Citrix ADC

Versionshinweise für Citrix ADC 13.1—4.43

In diesem Dokument mit Versionshinweisen werden die Verbesserungen und Änderungen, behobenen und bekannten Probleme beschrieben, die für den Citrix ADC Release Build 13.1—4.43 bestehen.

Hinweise

  • Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste der sicherheitsbezogenen Fixes und Advisorys finden Sie im Citrix Security Bulletin.
  • Der Abschnitt “Behobene Probleme” listet die Fixes nach Version 13.0-82.x auf.

Neue Features

Die Erweiterungen und Änderungen, die in Build 13.1—4.43 verfügbar sind.

Authentifizierung, Autorisierung und Auditing

Traversal von der Root-Domäne zur Tree-Domäne für Kerberos-SSO-Authentifizierung wird unterstützt

Das Durchlaufen von der Stammdomäne zur Baumdomäne wird jetzt während der Kerberos-SSO-Authentifizierung für den Back-End-Server von der Citrix ADC-Appliance unterstützt. Weitere Informationen finden Sie unter https://docs.citrix.com/de-de/citrix-adc/current-release/aaa-tm/single-sign-on-types/kerberos-single-sign-on/setup-citrix-adc-single-sign-on.html

[ NSAUTH-9836 ]

Bot-Verwaltung

Umfassung der Protokollierung für die Citrix ADC Bot-Verwaltung

Wenn eingehender Datenverkehr als Bot identifiziert wird, können Sie mit der Citrix ADC-Appliance jetzt die ausführliche Bot-Protokollierungsfunktion für die Protokollierung zusätzlicher HTTP-Header-Details wie Domänenadresse, URL, Benutzer-Agent-Header und Cookie-Header konfigurieren. Die Protokolldetails werden dann zur Überwachung und Fehlerbehebung an den ADM-Server gesendet. Die ausführliche Protokollnachricht wird nicht in der Datei ns.log gespeichert.

Weitere Informationen finden Sie unter https://docs.citrix.com/de-de/citrix-adc/current-release/bot-management/bot-detection.html

[ NSBOT-273 ]

Citrix ADC SDX Appliance

Verbesserungen der Clusterbildungsseite auf einer Citrix ADC SDX-Appliance

Die folgenden Änderungen werden in der GUI auf der Seite Add Node to Cluster vorgenommen. Das System fordert den Benutzer nun auf, eine SNIP-Adresse hinzuzufügen, während ein neuer Knoten zu einem Cluster hinzugefügt wird. Diese Verbesserungen beheben die Sicherheitsprobleme bei der strengen Überprüfung der Quell-IP-Adresse.

  • Ein optionales Feld für SNIP ist jetzt verfügbar.
  • Es wird auch eine Schaltfläche Add bereitgestellt, um SNiPs dynamisch zu erstellen und gleichzeitig einen Knoten zur Cluster-IP-Adresse (CLIP) hinzuzufügen.

[ NSSVM-4170 ]

Ein Citrix ADC SDX-Administrator kann jetzt einen Benutzer entsperren, bevor das Sperrintervall abläuft. Lockout ist nicht anwendbar, wenn sich ein Benutzer über die Konsole beim Verwaltungsdienst anmeldet. Das Sperrintervall wird ebenfalls von Sekunden auf Minuten geändert. Mindestwert = 1 Minute. Maximalwert = 30 Minuten.

So entsperren Sie einen Benutzer über die GUI:

  1. Navigieren Sie zu Konfiguration > System > Benutzerverwaltung > Benutzer.
  2. Wähle den zu entsperrenden Benutzer aus.
  3. Klicken Sie auf EntsperrenSo entsperren Sie einen Benutzer über die CLI:

Geben Sie an der Eingabeaufforderung ein:

set systemuser id=<ID> unlock=true
<!--NeedCopy-->

[ NSSVM-4144 ]

Citrix Gateway

Unterstützung für weitere Sprachen

Das Citrix Gateway-Benutzerportal ist jetzt in den Sprachen Russisch, Koreanisch und Chinesisch (traditionell) verfügbar.

[ CGOP-17095 ]

OAuth-OpenID Connect-Authentifizierungsunterstützung für Gateway Insight

Citrix Gateway Insight meldet jetzt Ereignisse im Zusammenhang mit der OAuth-OpenID Connect Authentifizierung (erfolgreiche und fehlgescheiterte Benutzeranmeldungen).

[ CGOP-16907 ]

Citrix Web App Firewall

Extraktion der Client-IP-Adresse mithilfe eines erweiterten Richtlinienausdrucks

Die Citrix ADC-Appliance verwendet einen erweiterten Richtlinienausdruck, um die Client-IP-Adresse aus einem HTTP-Anforderungsheader, einem Anforderungstext und einer Anforderungs-URL Der extrahierte Wert wird dann an den ADM-Server gesendet, um Audit-Protokollierung, Sicherheitsinformationen und die Berechnung der Client-Geolokalisierung zu erhalten.

Weitere Informationen finden Sie unter https://docs.citrix.com/de-de/citrix-adc/current-release/bot-management/bot-detection.html

[ NSWAF-7260 ]

Option für BOT TPS-Erkennungsmechanismus aktivieren

Die Option “Aktivieren” ist jetzt für jede TPS-Bot-Erkennungsregel in der Bot-Profilkonfiguration verfügbar. Standardmäßig ist der Wert ON. ;

Weitere Informationen finden Sie unter [https://docs.citrix.com/de-de/citrix-adc/current-release/bot-management/bot-detection.html]; [ NSHELP-25777 ]

Lastausgleich

Unterstützung für die HTTP-zu-HTTPS-Umleitung auf virtuellen Content Switching

Die virtuellen Content Switching-Server des Diensttyps SSL unterstützen jetzt die Umleitung des HTTP-Datenverkehrs. Zwei neue Parameter: HttpsRedirectUrl und RedirectFromPort werden dem Befehl add cs vserver hinzugefügt. Der gesamte HTTP-Verkehr, der an dem im Parameter RedirectFromPort angegebenen Port ankommt, wird an die im Parameter HttpsRedirectUrl angegebene URL umgeleitet. Wenn HttpsRedirectUrl nicht konfiguriert ist, wird der HTTP-Verkehr auf den Wert des Host-Headers in der eingehenden HTTP-Anforderung umgeleitet.

Weitere Informationen finden Sie unter https://docs.citrix.com/de-de/citrix-adc/current-release/ssl/how-to-articles/ssl-config-https-vserver-to-accept-http-traffic.html

[ NSLB-8224 ]

Unterstützung für die Synchronisierung des Befehls save config mit Remote-GSLB-Sites

Sie können den Befehl save ns config jetzt mit Remote-GSLB-Sites synchronisieren. Um diese Funktion zu aktivieren, wird dem Befehl set gslb parameter ein neuer Parameter GSLBSyncSaveConfigCommand hinzugefügt. Nachdem Sie GSLBSyncSaveConfigCommand aktiviert haben , wird der Befehl save ns config als ein weiterer GSLB-Befehl behandelt und mit Remote-GSLB-Sites synchronisiert. Sie müssen die Option AutomaticConfigSync zum Synchronisieren des Befehls save ns config aktivieren.

Weitere Informationen finden Sie unter https://docs.citrix.com/de-de/citrix-adc/current-release/global-server-load-balancing/synchronizing-configuration-in-gslb-setup/real-time-synchronization.html

[ NSLB-7831 ]

Unterstützung für sichere Script-Argumente für Benutzermonitore

Ein neuer Parameter, -secureargs, wird dem Befehl add lb monitor hinzugefügt. Dieser Parameter speichert die Skript-Argumente in einem verschlüsselten Format statt im Nur-Text-Format. Mit diesem Parameter können Sie sensible Daten in Bezug auf die Skripte für den Benutzermonitor sichern, z. B. Citrix empfiehlt Ihnen, den Parameter -secureargs anstelle des Parameters -scriptargs für sensible Daten im Zusammenhang mit den Skripts zu verwenden. Wenn Sie beide Parameter zusammen verwenden möchten, muss das in -scriptname angegebene Skript die Argumente in der Reihenfolge akzeptieren: <scriptargs> <secureargs>. Das heißt, Sie müssen die ersten Parameter in <scriptargs> und den Rest der Parameter in <secureargs> angeben, indem Sie die für die Argumente definierte Reihenfolge beibehalten. Sichere Argumente gelten nur für den internen Dispatcher.

Weitere Informationen finden Sie unter https://docs.citrix.com/de-de/citrix-adc/current-release/load-balancing/load-balancing-custom-monitors/configure-user-monitor.html

[ NSLB-6314 ]

Netzwerke

Nummerntyp-Datensatzunterstützung für erweiterte ACLs

Die Citrix ADC-Appliance unterstützt jetzt den Nummerntyp-Datensatz für die erweiterten ACLs. Sie können das Nummerntyp-Dataset zur Angabe des Quellports oder des Zielports oder beides für eine erweiterte ACL-Regel verwenden.

[ NSNET-20235 ]

RHI-Unterstützung für eine VIP-Adresse, die an ein IPSet gebunden ist

Eine Citrix ADC-Appliance kündigt eine an ein IPSet gebundene VIP-Adresse als Kernelroute an, wenn alle folgenden Bedingungen erfüllt sind:

  • Bei der VIP-Adresse ist die Option host route aktiviert.
  • Das IPSet ist an eine Konfiguration gebunden, z. B. virtuelle Multi-IP-Lastausgleichsserver.

[ NSNET-20209 ]

Unterstützung für die Citrix ADC CPX-Registrierung mit ADM mithilfe von Volume-Mounts

Citrix ADC CPX unterstützt jetzt die Registrierung bei Citrix ADM mithilfe von Volume-Mounts über Kubernetes ConfigMaps und Secret. Citrix ADC CPX initiiert die Registrierung beim ADM-Agenten mit den Konfigurationsdetails, die von den Volume-Mounts abgeleitet sind, die sich im Dateisystem von Citrix ADC CPX befinden.

[ NSNET-19058 ]

Plattform

Unterstützung für VMware ESX 7.0 Update 2a auf Citrix ADC VPX-Instanz

Die Citrix ADC VPX-Instanz unterstützt jetzt das Update 2a von VMware ESX Version 7.0 (Build 17867351).

Weitere Informationen finden Sie unter https://docs.citrix.com/de-de/citrix-adc/current-release/deploying-vpx/supported-hypervisors-features-limitations.html

[ NSPLAT-20104 ]

AMD-Prozessorunterstützung für Citrix ADC VPX-Instanz auf ESXi

Die Citrix ADC VPX-Instanz auf dem VMware ESXi-Hypervisor unterstützt jetzt AMD-Prozessoren. Weitere Informationen finden Sie unter https://docs.citrix.com/de-de/citrix-adc/current-release/deploying-vpx/install-vpx-on-xenserver.html

[ NSPLAT-17853 ]

Unterstützung für Citrix ADC VPX 5000-Abonnement auf Azure Marketplace

Das Citrix ADC VPX 5000-Abonnement wird jetzt auf Azure Marketplace unterstützt. Dieser abonnementbasierte Plan bietet die folgenden Lizenzen:

  • Standard
  • Erweitert
  • Premium

Weitere Informationen finden Sie unter https://docs.citrix.com/de-de/citrix-adc/current-release/deploying-vpx/deploy-vpx-on-azure.html#citrix-adc-vpx-licensing

[ NSPLAT-13663 ]

Richtlinien

Unterstützung für IP-Header-Felder in einem erweiterten Richtlinien

Mit dem erweiterten Richtlinienausdruck können Sie jetzt die folgenden Header-Felder aus einem IP-Paket abrufen.

  • DSCP
  • ECN
  • TTL
  • Version
  • Identifizierung
  • Länge des Headers
  • Kopf-Prüfsumme
  • Optionen
  • Nutzlast

[NSPOLICY-2441]

Entfernung veralteter Funktionen ab Citrix ADC Version 13.1

Zahlreiche veraltete Funktionen wurden jetzt entfernt und sind auf einer Citrix ADC-Appliance nicht mehr konfigurierbar.

Dazu gehören:

  • Die Filterfunktion (auch als Content-Filter oder CF bezeichnet) - Aktionen, Richtlinien und Bindung.
  • Die Funktionen SPDY, sure connect (SC), Priority Queuing (PQ), HTTP Denial of Service (DoS) und HTML Injection.
  • Klassische Richtlinien für SSL, Content Switching, Cache-Umleitung, Komprimierung und Anwendungsfirewall.
  • Die Parameter url und domain in Content Switching-Richtlinien.
  • Klassische Ausdrücke in Persistenzregeln für den Lastausgleich.
  • Der Parameter pattern in Rewrite-Aktionen.
  • Der Parameter bypassSafetyCheck in Rewrite-Aktionen.
  • SYS.EVAL\_CLASSIC\_EXPR in erweiterten Ausdrücken.
  • Die Konfigurationseinheit patclass.
  • HTTP.REQ.BODY ohne Argument in erweiterten Ausdrücken.
  • Q- und S-Präfixe in erweiterten Ausdrücken.
  • Der Parameter policyType für die cmp-Parametereinstellung. (CLI-Befehl set cmp parameter.)

Wie bereits dokumentiert, können Sie das Tool nspepi für die Konvertierung verwenden. Sie müssen das Tool auf einer Citrix ADC-Appliance Version 13.0 oder 12.1 ausführen.

Weitere Informationen finden Sie unter https://docs.citrix.com/de-de/citrix-adc/current-release/appexpert/policies-and-expressions/introduction-to-policies-and-exp/classic-policy-deprecation-faq.html

Informationen zur Verwendung der neuesten Version der Tools für die Migration von der klassischen zur erweiterten Konfiguration und von Verkehrsdomänen zu Admin-Partitionen finden Sie unter https://github.com/citrix/ADC-scripts

[ NSPOLICY-186 ]

System

Statistiken für QUIC bridge anzeigen

Der QUIC-Bridge-Befehl stat bietet jetzt eine detaillierte Zusammenfassung der QUIC-Brückenstatistiken.

[ NSBASE-13883 ]

Entfernung veralteter Funktionen in Citrix ADC ab 13.1

Die folgenden veralteten Funktionen und ihre Konfigurationen werden nicht mehr unterstützt und von der Citrix ADC-Appliance entfernt:

  • Sicher verbinden (SC)
  • Priority Queueing (PQ)
  • HTTP-DoS-Schutz (HDOSP)
  • HTMLInjection

Als Alternative empfiehlt Citrix Ihnen, AppQOE für SureConnect, Priority Queueing und HTTP DoS Protection zu verwenden und clientseitige Messungen für zu verwenden HTMLInjection.

Weitere Informationen finden Sie unter https://docs.citrix.com/de-de/citrix-adc/current-release/appexpert/policies-and-expressions/introduction-to-policies-and-exp/classic-policy-deprecation-faq.html

[ NSBASE-13780 ]

Benutzeroberfläche

Batch-API-Unterstützung für NITRO-Aufrufe

Die Citrix ADC-Appliance unterstützt jetzt die API batchapi. Die API batchapi kann mehrere NITRO-Aufrufe in einer einzigen Anforderung verarbeiten und dadurch den Netzwerkverkehr minimieren. Sie können die folgenden Operationen mit dem ausführen batchapi:

  • Sie können die Batch-API verwenden, um mehrere heterogene Ressourcen gleichzeitig zu erstellen, zu aktualisieren und zu löschen.
  • Sie können die Batch-API verwenden, um mehrere heterogene Ressourcen zu erhalten.

[ NSCONFIG-4061 ]

Behobene Probleme

Die Probleme, die in Build 13.1—4.43 angesprochen werden.

Authentifizierung, Autorisierung und Auditing

Wenn Sie einen LDAP-Monitor an einen Dienst binden, fällt der Monitor aus, da die Citrix ADC-Appliance ein falsches Kennwort an das Active Directory sendet.

[ NSHELP-27961 ]

In einem AD mit mehreren Kaskaden wird ein Konto für einen Benutzer nicht gesperrt, wenn ein Benutzer in der letzten Kaskade nicht gefunden wurde.

[ NSHELP-27948 ]

Wenn eine Citrix ADC-Appliance für die SAML-Authentifizierung konfiguriert ist, gibt die Appliance den Kern ab, wenn ein anderes Zertifikat als RSA verwendet wird.

[ NSHELP-27813 ]

In einigen Fällen kann eine Citrix ADC-Appliance abstürzen, während die Authentifizierungsanforderung eines bestimmten Benutzers verarbeitet wird, wenn rollenbasierter Zugriff konfiguriert ist.

[ NSHELP-27655 ]

Benutzer können sich nicht über die Citrix Workspace-App anmelden, wenn Azure AD auf dem virtuellen Citrix ADC-Authentifizierungsserver als OAuth IdP konfiguriert ist.

[ NSHELP-27462 ]

In einigen Fällen schlägt die SAML-Authentifizierung mit der Workspace-App fehl, wenn über StoreFront auf die App zugegriffen wird.

[ NSHELP-27338 ]

In einigen Fällen wird eine HTTP-POST-Anfrage an einen virtuellen Authentifizierungs-, Autorisierungs- und Auditing-TM-Server falsch verarbeitet, wenn die Anforderung kein Authentifizierungscookie enthält. Der POST-Körper geht bei der Verarbeitung verloren.

[ NSHELP-27227 ]

Die Citrix ADC-Appliance stürzt häufig bei der Verarbeitung von Authentifizierung, Autorisierung und Auditing-TM sowie 401 LB-basiertem Datenverkehr ab.

[ NSHELP-27094 ]

In einigen Fällen stürzt eine Citrix ADC-Appliance beim Ausführen der Benutzerauthentifizierung für Citrix Gateway und Authentifizierung, Autorisierung und Überwachung ab - verkehrsverwaltete Bereitstellung.

[ NSHELP-26555 ]

Bei Eingabe eines falschen OTP Email Auth failed. No further action to continue wird eine Fehlermeldung angezeigt.

[ NSHELP-26400 ]

In bestimmten Szenarien schlägt der Befehl Authentifizierung, Autorisierung und Überwachung binden möglicherweise fehl, wenn der Richtlinienname länger als der Name der Intranetanwendung ist.

[ NSHELP-25971 ]

Eine Citrix ADC-Appliance, die als SAML Identity Provider (IdP) konfiguriert ist, kürt den Relaystate von Service Provider (SP), wenn er Anführungszeichen enthält. [ NSHELP-20131 ]

Die Überprüfung der Netzwerkkonnektivität schlägt aufgrund eines Problems bei der Kennwortentschlüsselung fehl. Die Authentifizierungsfunktion funktioniert jedoch einwandfrei.

[ NSAUTH-10216 ]

Bot-Verwaltung

Im Bot-Erkennungsmechanismus “Transaction Per Second” (TPS) gibt der Back-End-Anwendungsserver während des Abrufs der Antwort nach der CAPTCHA-Herausforderung eine 304-Antwort zurück.

[ NSBOT-626 ]

Zwischenspeichern

In einem HochverfügbarkeitsSetup schlägt die HA-Synchronisierung für die Cacheparametereinstellung memLimit während eines HA-Failovers fehl.

[ NSHELP-28428 ]

In einem Hochverfügbarkeits-Setup stürzt der primäre Knoten ab, nachdem er auf einen NULL-Zeiger anstelle eines zwischengespeicherten Objekts zugegriffen hat.

[ NSHELP-26967 ]

Citrix ADC SDX Appliance

Auf einer Citrix ADC SDX-Appliance schlägt die Instanzwiederherstellung möglicherweise fehl, wenn die Instanz mit Softwareversion 13.0-76.x oder früher erstellt wurde.

[ NSHELP-28429 ]

In einer Citrix ADC SDX-Appliance meldet der Management Service eine falsche Datennutzung von ADC-Instanzen.

[ NSHELP-28208 ]

Auf einer Citrix ADC SDX-Appliance können Sie die CLI-Eingabeaufforderung in der Management Service-Konsole nicht ändern.

[ NSHELP-28030 ]

Auf einer Citrix ADC SDX-Appliance meldet der Verwaltungsdienst möglicherweise eine hohe Speicherauslastung von etwa 80% aufgrund erhöhter Jobs und Scheduler, die im Inventar ausgeführt werden.

[ NSHELP-27805 ]

Auf einer Citrix ADC SDX-Appliance schlägt das Upgrade möglicherweise fehl, wenn die Systemdateien (snmpd.conf und ntp.conf) Wagenrücklaufzeichen enthalten.

[ NSHELP-27713 ]

Auf einer Citrix ADC SDX-Appliance meldet der Verwaltungsdienst möglicherweise eine hohe Speicherauslastung von etwa 80% aufgrund erhöhter Jobs und Scheduler, die im Inventar ausgeführt werden.

[ NSHELP-27396 ]

Citrix Gateway

Eine Fehlermeldung wird angezeigt, wenn Sie versuchen, die CSS-Attribute in einem benutzerdefinierten Thema zu bearbeiten.

[ NSHELP-28648 ]

Die Anmeldung bei Citrix Workspace schlägt fehl, wenn Responderrichtlinien, die während der Evaluierung in einen blockierten Zustand geraten können, an den virtuellen Server gebunden sind.

[ NSHELP-27819 ]

Beim Zugriff auf das Citrix Gateway-Gerät mithilfe des clientlosen VPN wird möglicherweise Core-Dump generiert.

[ NSHELP-27653 ]

Das Citrix Gateway-Gerät stürzt möglicherweise bei der Verarbeitung vom Server initiierten UDP-Datenverkehr ab.

[ NSHELP-27611 ]

Benutzer können die Postfächer anderer Benutzer sehen, wenn sie sich bei Microsoft Outlook anmelden. Deaktivieren Sie als Problemumgehung das Multiplexing.

[ NSHELP-27538 ]

Eine Citrix ADC-Appliance kann abstürzen, wenn die EDT-bezogenen Befehle wie clearconfig, kill ica connection oder stop dtls listener von der Appliance verarbeitet werden.

[ NSHELP-27398 ]

Das Citrix Gateway-Gerät stürzt möglicherweise während der Verarbeitung von UDP-Datenverkehr ab.

[ NSHELP-27317 ]

Das Citrix Gateway-Gerät stürzt ab, wenn eine Syslog-Richtlinie an einen virtuellen Server gebunden ist und die entsprechende Syslog-Aktion geändert wird.

[ NSHELP-27171 ]

Die Citrix ADC-Protokolle werden möglicherweise mit der Protokollnachricht überflutet GwInsight: Func=ns\_sslvpn\_send\_app\_launch\_fail\_record Appflow policy evaluation has failed, wenn Gateway Insight aktiviert ist.

[ NSHELP-26750 ]

Das Citrix Gateway-Gerät stürzt ab, wenn Sie versuchen, die Konfiguration zu löschen, wenn beide der folgenden Bedingungen erfüllt sind:

  • Ein SSL-Profil und ein Zertifikatschlüsselpaar sind an den Standard-TCP-Monitor gebunden.
  • Derselbe Standard-TCP-Monitor ist an eine Syslog-Aktion gebunden.

[ NSHELP-26685 ]

Wenn Sie den FQDN als Proxy auf der Seite Citrix Gateway-Verkehrsprofil erstellen eingeben, wird die Meldung Invalid Proxy Value angezeigt.

[ NSHELP-26613 ]

Beim Erstellen eines RDP-Clientprofils über die Citrix ADC GUI wird eine Fehlermeldung angezeigt, wenn die folgenden Bedingungen erfüllt sind:

  • Ein standardmäßiger Pre-Shared Key (PSK) ist konfiguriert.
  • Sie versuchen, den Gültigkeitszeitgeber für RDP-Cookies im Feld RDP-Cookie-Gültigkeit (Sekunden) zu ändern.

[ NSHELP-25694 ]

Die SNMP-OID sendet einen falschen Satz aktueller Verbindungen zum virtuellen VPN-Server.

[ NSHELP-25596 ]

Wenn Sie einen virtuellen VPN-Server umbenennen, der an einen STA-Server gebunden ist, erscheint der Status des STA-Servers DOWN, wenn Sie den Befehl show ausführen.

[ NSHELP-24714 ]

In seltenen Fällen kann das Citrix Gateway-Gerät abstürzen, wenn die Intranet-IP-Adresse (IIP) aktiviert ist und Server-initiierte Verbindungen zur IIP-Adresse bestehen.

[ NSHELP-23819 ]

Die Befehlsausgabe von show tunnel global enthält erweiterte Richtliniennamen. Zuvor wurden in der Ausgabe die erweiterten Richtliniennamen nicht angezeigt.

Beispiel:

Neue Ausgabe:

show tunnel global Richtlinienname: ns_tunnel_nocmp Priorität: 0

Richtlinienname: ns_adv_tunnel_nocmp Typ: Erweiterte Richtlinie Priorität: 1 Globaler Bindepunkt: REQ_DEFAULT

Richtlinienname: ns_adv_tunnel_msdocs Typ: Erweiterte Richtlinie Priorität: 100 Globaler Bindepunkt: RES_DEFAULT Fertig

Vorherige Ausgabe:

show tunnel global Richtlinienname: ns_tunnel_nocmp Priorität: 0 Deaktiviert

Erweiterte Richtlinien:

Globaler Bindpoint: REQ_DEFAULT Anzahl gebundener Richtlinien: 1

Fertig

[ NSHELP-23496 ]

Wenn Sie die RADIUS-Buchhaltung für das ICA-Start-/Stopp-Ereignis konfiguriert haben, wird die Sitzungs-ID in der RADIUS-Buchhaltungsanforderung für den ICA-Start als alle Nullen angezeigt.

[ NSHELP-22576 ]

Citrix Web App Firewall

In einem Citrix ADC-Clustersetup stürzt einer der Knoten ab, wenn ein oder mehrere Knoten von Citrix ADC Version 12.0, 12.1 oder 13.0 Build 52.x oder früheren Builds aktualisiert werden. Der Absturz tritt aufgrund einer Inkompatibilität im Cookie-Format und der Größe des Web App Firewall auf.

[ NSWAF-7689 ]

In der Web App Firewall teilt der Parameter Cookie-transformation die antwortseitigen Cookie-Werte, wenn er ein Komma als Trennzeichen enthält.

[ NSHELP-28411 ]

Eine Citrix ADC-Appliance kann abstürzen, wenn Verstöße gegen die Befehlseinschleusung in einer bestimmten Reihenfolge beobachtet werden und die folgenden Bedingungen erfüllt sind:

  • In der Anfrage sind mehrere Cookies enthalten
  • URLDecodeRequestCookies Funktion ist ausgeschaltet

[ NSHELP-28365 ]

Eine Citrix ADC-Appliance zeigt möglicherweise eine hohe Speicherauslastung, wenn HTTP-Antworten analysiert werden, bei denen das Samesite-Attribut und die Web Application Firewall-Funktion aktiviert sind.

[ NSHELP-27722 ]

Die Cookie-Hijacking-Funktion bietet eingeschränkte Unterstützung für den Internet Explorer-Browser, da Internet Explorer-Browser die SSL-Verbindungen nicht wiederverwenden. Aufgrund der Einschränkung werden mehrere Weiterleitungen für eine Anfrage gesendet, die schließlich zu einem Fehler MAX REDIRECTS EXCEEDED im Internet Explorer-Browser führt.

[ NSHELP-27193 ]

Nach einem Upgrade auf Citrix ADC Version 13.0 Build 76.29 und aktivierter Funktion zum Hochladen von Dateien auf der Appliance wird das folgende Problem beobachtet:

  • SQL- und Cross-Site-Scripting-Schutzprüfungen blockieren den Datei-Upload-Prozess für alle Webanwendungen.

[ NSHELP-27140 ]

Lastausgleich

In einem GSLB-Setup werden die Status der Remote-Dienste nicht aktualisiert, nachdem die Statistiken auf der GSLB-Site gelöscht wurden. Löschen Sie als Problemumgehung die Statistiken erneut auf derselben GSLB-Site. Der Status der Remote-Dienste wird dann aktualisiert.

[ NSHELP-28169 ]

In einem Hochverfügbarkeits-Setup kann der sekundäre Knoten abstürzen, wenn die folgenden Bedingungen erfüllt sind:

  • Die Menge an physischem Speicher auf beiden Knoten unterscheidet sich voneinander.
  • Die Datensitzungen werden nicht ordnungsgemäß synchronisiert.

[ NSHELP-26503 ]

In einem Clustersetup wird die IP-Adresse des GSLB-Dienstes nicht in der GUI angezeigt, wenn über virtuelle GSLB-Serverbindungen zugegriffen wird. Dies ist nur ein Anzeigeproblem und es hat keine Auswirkungen auf die Funktionalität.

[ NSHELP-20406 ]

Sonstiges

Eine Citrix ADC-Appliance fügt zusätzliche L2-Informationen hinzu, wenn ein Tunnel oder virtuelle Server vom Typ des Dienstes (TOS) erstellt werden.

[ NSHELP-27825 ]

Netzwerke

Nachdem eine Citrix ADC BLX-Appliance (Version 13.0 Build 82.x), die auf einem Debian-basierten Linux-Host ausgeführt wird, aktualisiert wurde, funktioniert SSH im freigegebenen Modus nicht wie vorgesehen.

[ NSNET-23020 ]

Nachdem eine Citrix ADC BLX-Appliance auf Version 13.1 Build 4.x aktualisiert wurde, blockiert die Webanwendungsfirewall möglicherweise fälschlicherweise eine Anforderung, die keinen Inhaltstyp-Header hat.

[ NSNET-21415 ]

In einer Citrix ADC BLX-Appliance funktioniert NSVLAN, das mit non-dpdk getaggten Schnittstellen gebunden ist, möglicherweise nicht wie erwartet. NSVLAN, das mit nicht als non-dpdk getaggten Schnittstellen gebunden ist, funktioniert gut.

[ NSNET-18586 ]

In einer Citrix ADC-Appliance verwendet die interne Treiberschicht möglicherweise einen falschen Datenpuffer, was zu einer Datenbeschädigung führt, was wiederum zum Absturz der Appliance führt.

[ NSHELP-27858 ]

Behobenes Problem:

Citrix ADC CPX, das als Beiwagen bereitgestellt und mit mehreren Netzwerken verbunden war, konnte nicht die richtige Quell-IP-Adresse für das Zielsubnetz auswählen.

[ NSHELP-27810 ]

In einem Hochverfügbarkeits-Setup schlägt die HA-Synchronisierung für WAF-Profil- und Standortdateikonfigurationen möglicherweise fehl.

[ NSHELP-27546 ]

Paketschleifen werden in einer Lastausgleichskonfiguration beobachtet, wenn alle folgenden Bedingungen erfüllt sind:

  • Der virtuelle Server ist so konfiguriert, dass er Port 80 abhört, und der Parameter Verbindungsfailover (connfailover) ist auf zustandslos gesetzt.
  • Der virtuelle Server erhält zwei Anforderungspakete mit:
    • Quellport = 80
    • Zielport = andere Nummer als 80
    • Ziel-IP-Adresse = IP-Adresse (VIP) des virtuellen Servers

[ NSHELP-22431 ]

Plattform

Failed to create target instance Eine Fehlermeldung wird auf der GCP-Konsole angezeigt, auch wenn Sie keine Zielinstanzen erstellen. Dieses Problem tritt auf, wenn Sie nicht die IAM-Berechtigung compute.targetInstances.get in Ihrem GCP-Dienstkonto haben. Ab dieser Version erstellt Citrix ADC VPX Zielinstanzen nur für VMs, die die VIP-Skalierungsfunktion verwenden.

[ NSPLAT-20952 ]

Die Citrix ADC-Appliance generiert Falschpakete pro Sekunde (PPS) Ratenbegrenzungswarnungen, noch bevor die Citrix ADC-Appliance ihr PPS-Limit für die Lizenz erreicht.

[ NSHELP-26935 ]

Richtlinien

Die NS-Variable mit globalem Umfang funktioniert nicht für HTTP/2-Verkehr.

[ NSHELP-27095 ]

SSL

Wenn in einem Clustersetup zwei installierte Zertifikate Aussteller eines Serverzertifikats mit der OCSP AIA-Erweiterung sind, ist die Appliance nicht mehr erreichbar, wenn Sie das Serverzertifikat entfernen.

[ NSHELP-28058 ]

In einem Hochverfügbarkeits-Setup schlägt die automatische CRL-Aktualisierung zeitweise fehl, wenn beide der folgenden Bedingungen erfüllt sind:

  • Dateien werden vom primären Knoten zum sekundären Knoten synchronisiert.
  • Die CRL-Datei wird gleichzeitig vom CRL-Server heruntergeladen.

[ NSHELP-27435 ]

Auf einer Citrix ADC-Appliance wird am nächsten Tag eine Benachrichtigung über den Ablauf eines falschen Zertifikats protokolliert, wenn ein Zertifikatschlüsselpaar mit aktiviertem -ExpiryMonitor hinzugefügt wird.

[ NSHELP-27348 ]

In einer Clusterdatenbank wird die Bindung nicht ordnungsgemäß aktualisiert, wenn Sie eine SSL-Richtlinie mehrmals und mit unterschiedlichen Prioritäten an einen virtuellen Server am Hallo-Bindpunkt des Clients binden. Infolgedessen tritt ein Fehler auf, wenn Sie die Richtlinie entfernen, auch nachdem Sie sie vom virtuellen Server entfernt haben.

[ NSHELP-27301 ]

Die Citrix ADC-Appliance stürzt während des Neustarts ab, wenn Sie den Namen des integrierten Zertifikats (ns-server-certificate) in der Konfigurationsdatei ändern.

[ NSHELP-26858 ]

In einem Clustersetup können Sie die folgenden Probleme feststellen:

  • Fehlender Befehl für das standardmäßige Zertifikatschlüsselpaar, das an die internen SSL-Dienste auf dem CLIP bindet. Wenn Sie jedoch von einem älteren Build upgraden, müssen Sie möglicherweise das Standard-Zertifikatschlüsselpaar an die betroffenen internen SSL-Dienste auf dem CLIP binden.
  • Konfigurationsdiskrepanz zwischen dem CLIP und den Knoten für den standardmäßigen set-Befehl für die internen Dienste.
  • Fehlender Standard-Verschlüsselungsbindungsbefehl an die SSL-Entitäten in der Ausgabe des Befehls show running config, der auf einem Knoten ausgeführt wird. Die Auslassung ist nur ein Anzeigeproblem und hat keine funktionalen Auswirkungen. Die Bindung kann mit dem Befehl show ssl <entity> <name> angezeigt werden.

[ NSHELP-25764 ]

System

Eine Citrix ADC-Appliance kann mit einer ICAP OPTIONS-Antwort abstürzen. Das Problem tritt auf, wenn der erlaubte Header-Wert einen anderen Wert als 204 enthält.

[ NSHELP-27879 ]

Im AppFlow stimmt die Anzahl der Layer 4-Byte für Flow-Datensätze nicht mit den virtuellen HTTP-Server-Transaktionen überein. Der Zählwert ist niedriger als der Wert für die Byteanzahl des virtuellen Layer 7-Servers.

[ NSHELP-27495 ]

Der Zähler TcpCurClientConn zeigt einen großen Wert an, wenn die Citrix ADC-Appliance im Citrix ADM registriert ist.

[ NSHELP-27463 ]

Eine Citrix ADC-Appliance kann abstürzen, wenn die AppFlow-Funktion deaktiviert und wieder aktiviert ist.

[ NSHELP-27236 ]

In seltenen Fällen sendet eine Citrix ADC-Appliance möglicherweise falsche TCP-SACK-Sequenznummern an den Client, wenn sie vom Back-End-Server weitergeleitet wird. Das Problem tritt auf, wenn die Option TCP Selective ACK (SACK) in einem TCP-Profil aktiviert ist.

[ NSHELP-24875 ]

Eine Citrix ADC-Appliance kann abstürzen, wenn eine Richtlinie mit dem Ausdruck HTTP.REQ.* an den RESPONSE-Bindpunkt des virtuellen HTTP_QUIC-Servers gebunden ist. Das Problem tritt nicht auf, wenn Sie dieselbe Richtlinie zusammen mit dem virtuellen HTTP_QUIC-Server an einen virtuellen HTTP- oder SSL-Server binden.

[ NSBASE-14612 ]

Benutzeroberfläche

In der GUI des Komprimierungsrichtlinien-Managers kann eine Komprimierungsrichtlinie nicht an ein HTTP-Protokoll gebunden werden, indem ein relevanter Verbindungspunkt und Verbindungstyp angegeben wird.

[ NSUI-17682 ]

Wenn Sie mithilfe des Befehls den Inhalt einer Datei von einer ADC-Instanz abrufen show systemfile, wird in der ADC-Konsole eine Fehlermeldung über einen Downloadfehler angezeigt. Das Problem tritt auf, wenn der Dateiinhalt mit NULL Byte beginnt.

[ NSHELP-28227 ]

Die SYSLOG-Flut admautoregd führt zu einer Fehlklassifizierung und Fehldiagnose der Kundenressourcendefinition (CRD) aufgrund eines internen Systemproblems (Python-Binärdatei fehlt).

Fix: Um die Überwachung des Prozesses admautoregd nach 30 Minuten zu beenden, wenn die Python-Binärdatei immer noch fehlt.

[ NSHELP-28185 ]

Es kann zu einem Konfigurationsverlust kommen, wenn eine mit KEK konfigurierte VPX-Instanz auf AWS auf Citrix ADC Version 13.0 Build 76.x oder höher aktualisiert wird. Alle vertraulichen Daten, die mit KEK verschlüsselt wurden, schlagen fehl, wenn die Konfiguration nach einem Neustart geladen wird.

[ NSHELP-28010 ]

Ein zusätzliches Backslash-Zeichen wird falsch eingeführt, wenn Sonderzeichen innerhalb von Argumenten in einigen SSL-Befehlen wie create ssl rsakey und create ssl cert verwendet werden.

[ NSHELP-27378 ]

In einem Hochverfügbarkeits-Setup schlägt die HA-Synchronisierung oder HA-Propagierung möglicherweise fehl, wenn eine der folgenden Bedingungen erfüllt ist:

  • Das RPC-Knotenkennwort hat Sonderzeichen.
  • Das RPC-Knotenkennwort hat 127 Zeichen (maximal zulässige Zeichen).

[ NSHELP-27375 ]

Das Tool nsconfigaudit kann abstürzen, wenn die Größe der Eingabekonfigurationsdatei sehr groß ist.

[ NSHELP-27263 ]

Sie können einen Dienst oder eine Dienstgruppe nicht über die Citrix ADC GUI an einen virtuellen Lastausgleichsserver mit Priorität binden.

[ NSHELP-27252 ]

Die Berichtsfunktion funktioniert möglicherweise nicht mehr, wenn die Systemuhr auf einer Citrix ADC-Appliance aktualisiert wird.

[ NSHELP-25435 ]

In einer Citrix ADC VPX Appliance schlägt ein festgelegter Kapazitätsvorgang möglicherweise nach dem Hinzufügen eines Lizenzservers fehl. Das Problem tritt auf, weil die Initialisierung der Flexera-bezogenen Komponenten aufgrund der großen Anzahl unterstützter Lizenzen für das Ein- und Auschecken vom Typ (CICO) länger dauert.

[ NSHELP-23310 ]

Der Aufruf botprofile\_logexpression\_binding für NITRO API GET gibt keine Antwort zurück, wenn der Logausdruck an ein Bot-Profil gebunden ist.

[ NSCONFIG-5490 ]

Wenn Sie in einer Clusterkonfiguration ein Web App Firewall-Profil mit den feinkörnigen Regeln und dann mit non-fine-graned Regeln an dieselbe URL binden, werden feinkörnige Regeln in der Datenbank entfernt. Infolgedessen werden nur die nicht feinkörnigen Regeln auf der Cluster-IP-Adresse angezeigt.

[ NSCONFIG-5389 ]

Bekannte Probleme

Die Probleme, die in Version 13.1—4.43 bestehen.

AppFlow

HDX Insight meldet keinen Anwendungsstartfehler, der durch einen Benutzer verursacht wurde, der versucht, eine Anwendung oder einen Desktop zu starten, auf den der Benutzer keinen Zugriff hat.

[ NSINSIGHT-943 ]

Authentifizierung, Autorisierung und Auditing

Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

[ NSHELP-563 ]

Das DualAuthPushOrOTP.xml LoginSchema wird im Bildschirm des Anmeldeschema-Editors der Citrix ADC GUI nicht ordnungsgemäß angezeigt.

[ NSAUTH-6106 ]

Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird. show adfsproxyprofile <profile name>

Workaround:

Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Es würde den Status des Proxy-Profils anzeigen.

[ NSAUTH-5916 ]

Die Seite Authentifizierung LDAP-Server konfigurieren auf der Citrix ADC GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

  • Die Option LDAP-Erreichbarkeit testen wird geöffnet.
  • Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
  • Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

Workaround:

Schließen und öffnen Sie die Option LDAP-Erreichbarkeit testen.

[ NSAUTH-2147 ]

Zwischenspeichern

Eine Citrix ADC-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

[ NSHELP-22942 ]

Citrix ADC SDX Appliance

Auf einer Citrix ADC SDX-Appliance schlägt das Erstellen einer ADC-Instanz mit Softwareversion 12.0 XVA-Image fehl. Infolgedessen ist die Instanz nicht erreichbar.

[ NSHELP-28408 ]

Auf einer Citrix ADC SDX-Appliance platzen die ADC-Instanzen nicht auf maximale Kapazität, wenn Sie den Burst-Durchsatzzuweisungsmodus konfigurieren.

[ NSHELP-27477 ]

Paketverluste werden auf einer VPX-Instanz angezeigt, die auf einer Citrix ADC SDX-Appliance gehostet wird, wenn die folgenden Bedingungen erfüllt sind:

  • Der Durchsatzzuweisungsmodus ist Burst.
  • Es besteht ein großer Unterschied zwischen dem Durchsatz und der maximalen Burstkapazität.

[ NSHELP-21992 ]

Citrix Gateway

Das EPA-Plug-in für Windows verwendet nicht den konfigurierten Proxy des lokalen Computers und stellt eine direkte Verbindung zum Gateway-Server her.

[ NSHELP-24848 ]

Der Gateway Insight zeigt keine genauen Informationen über die VPN-Benutzer an.

[ NSHELP-23937 ]

Das VPN-Plug-in richtet nach der Windows-Anmeldung keinen Tunnel ein, wenn die folgenden Bedingungen erfüllt sind:

  • Citrix Gateway-Appliance ist für Always On konfiguriert
  • Die Appliance ist für zertifikatbasierte Authentifizierung mit Zwei-Faktor-Authentifizierung konfiguriert off

[ NSHELP-23584 ]

Manchmal wird beim Durchsuchen von Schemas die Fehlermeldung Cannot read property 'type' of undefined angezeigt.

[ NSHELP-21897 ]

Die Konfiguration des virtuellen SOCKS-Proxy-CR-Servers für ein Citrix Gateway-Gerät schlägt fehl, wenn Sie einen vollqualifizierten Domänennamen (FQDN) für Virtual Delivery Agent (VDA) verwenden. Problemumgehung: Verwenden Sie eine IP-Adresse für VDA.

[ NSHELP-8549 ]

Ein Fehler beim Anwendungsstart aufgrund eines ungültigen STA-Ticket wird in Gateway Insight nicht gemeldet.

[ CGOP-13621 ]

Der Gateway Insight-Bericht zeigt fälschlicherweise den Wert Local anstelle SAML im Feld Authentifizierungstyp für SAML-Fehlerfehler an.

[ CGOP-13584 ]

In einem Hochverfügbarkeits-Setup erhöht sich während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM.

[ CGOP-13511 ]

Während lokale Host-Verbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

[ CGOP-13050 ]

Der Text Home Page in der Citrix SSO App > Homepage wird für einige Sprachen abgeschnitten.

[ CGOP-13049 ]

Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die Citrix ADC GUI hinzufügen oder bearbeiten.

[ CGOP-11830 ]

Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld für kritische Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

[ CGOP-7269 ]

Wenn Sie in einer Clusterbereitstellung den Befehl force cluster sync auf einem Nicht-CCO-Knoten ausführen, enthält die Datei ns.log doppelte Protokolleinträge.

[ CGOP-6794 ]

Lastausgleich

In einem Hochverfügbarkeits-Setup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

[ NSLB-7679 ]

Das Format für ServiceGroupName in der Trap entityofs für die Dienstgruppe ist: <service(group)name>?<ip/DBS>?<port>

Im Trap-Format wird die Dienstgruppe durch eine IP-Adresse oder einen DBS-Namen und Port identifiziert. Das Fragezeichen (?) wird als Trennzeichen verwendet. Der Citrix ADC sendet die Falle mit dem Fragezeichen (?). Das Format erscheint in der Citrix ADM GUI gleich. Dies ist das erwartete Verhalten.

[ NSHELP-28080 ]

Die Generierung von SNMP-Alarmen kann sich verzögern, wenn die Synchronisierung der Konfiguration vom Hauptstandort zu untergeordneten Standorten fehlschlägt.

[ NSHELP-23391 ]

Sonstiges

Wenn eine erzwungene Synchronisierung in einem Hochverfügbarkeits-Setup stattfindet, führt die Appliance den Befehl set urlfiltering parameter im sekundären Knoten aus.

Infolgedessen überspringt der sekundäre Knoten jede geplante Aktualisierung bis zur nächsten geplanten Zeit, die im TimeOfDayToUpdateDB Parameter erwähnt wird.

[ NSSWG-849 ]

Eine Citrix ADC-Appliance wird möglicherweise aufgrund einer Stagnation der Management-CPU neu gestartet, wenn das Konnektivitätsproblem beim URL-Filter-Drittanbieter auftritt.

[ NSHELP-22409 ]

Netzwerke

Eine Citrix ADC BLX-Appliance im DPDK-Modus kann abstürzen, wenn ein Web Application Firewall-Profil mit erweiterten Sicherheitsschutzprüfungen konfiguriert ist.

Workaround:

Entfernen Sie die Konfiguration des erweiterten Sicherheitsschutzes für WAF.

[ NSNET-22654 ]

Nach einem Upgrade von Citrix ADC BLX Appliance 13.0 61.x Build auf 13.0 64.x Build gehen die Einstellungen in der BLX-Konfigurationsdatei verloren. Die BLX-Konfigurationsdatei wird dann auf die Standardeinstellungen zurückgesetzt.

[ NSNET-17625 ]

Die folgenden Schnittstellenvorgänge werden in einer Citrix ADC BLX-Appliance nicht unterstützt:

  • Deaktivieren
  • Smartcard
  • Reset

[ NSNET-16559 ]

Auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) wird eine Citrix ADC BLX-Appliance unabhängig von den Einstellungen der BLX-Konfigurationsdatei (/etc/blx/blx.conf) immer im freigegebenen Modus bereitgestellt. Dieses Problem tritt auf, weil mawk, standardmäßig auf Debian-basierten Linux-Systemen vorhanden, einige der in der Datei blx.confvorhandenen Befehle awk nicht ausführt.

Workaround:

Installieren Sie gawk vor der Installation einer Citrix ADC BLX Appliance. Sie können den folgenden Befehl in der Linux-Host-CLI zur Installation ausführen gawk:

  • apt-get installiere gawk

[ NSNET-14603 ]

Die Installation einer Citrix ADC BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Workaround:

Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine Citrix ADC BLX-Appliance installieren:

-  dpkg --add-architecture i386
-  apt-get update
-  apt-get dist-upgrade
-  apt-get install libc6:i386
<!--NeedCopy-->

[ NSNET-14602 ]

In einigen Fällen von FTP-Datenverbindungen führt die Citrix ADC-Appliance nur NAT-Operationen und keine TCP-Verarbeitung für die Pakete für die TCP-MSS-Aushandlung aus. Infolgedessen ist die optimale Schnittstellen-MTU nicht für die Verbindung eingestellt. Diese falsche MTU-Einstellung führt zu einer Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

[ NSNET-5233 ]

Bei einer groß angelegten NAT-Bereitstellung von zwei Citrix ADC-Appliances in einem Hochverfügbarkeits-Setup funktioniert IPSec ALG möglicherweise nicht ordnungsgemäß, wenn für die Hochverfügbarkeitskonfiguration die Option stayprimary oder staysecondary gesetzt ist.

[ NSNET-1646 ]

In einem Hochverfügbarkeits-Setup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

  • Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

Workaround:

Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Erfolgsstatus Sync).

[ NSHELP-25598 ]

Wenn ein Speicherlimit für Administratorpartitionen in der Citrix ADC-Appliance geändert wird, wird das Speicherlimit für die TCP-Pufferung automatisch auf das neue Speicherlimit der Admin-Partition festgelegt.

[ NSHELP-21082 ]

Wenn in einem Hochverfügbarkeits-Setup (HA) Gratuitous ARP (GARP) deaktiviert ist, leitet der Upstream-Router den Datenverkehr nach einem HA-Failover möglicherweise nicht an die neue Primärstufe weiter.

[ NSHELP-20796 ]

Plattform

Wenn Sie von 13.0/12.1/11.1-Builds auf einen 13.1-Build oder ein Downgrade von einem 13.1 Build auf 13.0/12.1/11.1-Builds aktualisieren, werden einige Python-Pakete nicht auf den Citrix ADC-Appliances installiert. Dieses Problem wurde für die folgenden Citrix ADC-Versionen behoben:

  • 13.1-4.x
  • 13.0—82.31 und höher
  • 12.1—62.21 und höher

Die Python-Pakete werden nicht installiert, wenn Sie die Citrix ADC-Versionen von 13.1-4.x auf eine der folgenden Versionen herunterstufen:

  • Jeder 11.1-Build
  • 12,1—62,21 und früher
  • 13.0-81.x und früher

[ NSPLAT-21691 ]

Die Provisioning einer VPX-Instanz mit Version 12.0 XVA schlägt auf einer Citrix ADC SDX-Appliance mit Version 13.1 fehl.

Nur VPX-Versionen 12.1 und höher werden unterstützt. Aktualisieren Sie die VPX-Version, bevor Sie das SBI auf Version 13.1 aktualisieren.

[ NSPLAT-21442 ]

Wenn auf NetScaler MAS gehostete NetScaler-Lizenzen ablaufen, wechselt die Citrix ADC-Appliance in eine Nachfrist von 30 Tagen. Wenn gültige Lizenzen während der Kulanzfrist aktualisiert werden, funktioniert die Citrix ADC-Appliance weiterhin wie gewohnt. Wenn nicht, werden Lizenzen widerrufen und die Appliance funktioniert nicht mehr.

[ NSPLAT-6417 ]

Wenn Sie eine Autoscale-Einstellung oder einen VM-Skalierungssatz aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der NetScaler-Instanz. Verwenden Sie den Befehl rm cloudprofile, um das Profil zu löschen.

[ NSPLAT-4520 ]

In einem Hochverfügbarkeits-Setup auf Azure wird bei der Anmeldung am sekundären Knoten über die GUI der Bildschirm für den Erstbenutzer (FTU) für die Konfiguration des automatischen Cloud-Profils angezeigt. Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich beim primären Knoten an, um das Cloud-Profil zu erstellen. Das Cloud-Profil muss immer auf dem primären Knoten konfiguriert werden.

[ NSPLAT-4451 ]

Richtlinien

Verbindungen können hängen bleiben, wenn die Größe der Verarbeitungsdaten größer als die konfigurierte Standard-TCP-Puffergröße ist.Workaround: Stellen Sie die TCP-Puffergröße auf die maximale Größe der zu verarbeitenden Daten ein.

[ NSPOLICY-1267 ]

SSL

Auf einem heterogenen Cluster von Citrix ADC SDX 22000 und Citrix ADC SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

Workaround:

  1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Beispiel: set ssl vserver <name> -SSL3 DISABLED.
  2. Speichern Sie die Konfiguration.

[ NSSSL-9572 ]

Der Update-Befehl ist für die folgenden Befehle zum Hinzufügen nicht verfügbar:

-  add azure application
-  add azure keyvault
-  add ssl certkey with hsmkey option
<!--NeedCopy-->

[ NSSSL-6484 ]

Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

[ NSSSL-6478 ]

Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

[ NSSSL-6213 ]

Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben. FEHLER: crl refresh deaktiviert

[ NSSSL-6106 ]

Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

[ NSSSL-4427 ]

Eine falsche Warnmeldung Warning: No usable ciphers configured on the SSL vserver/service, wird angezeigt, wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern.

[ NSSSL-4001 ]

Ein abgelaufenes Sitzungsticket wird nach einem HA-Failover auf einem Nicht-CCO-Knoten und auf einem HA-Knoten berücksichtigt.

[ NSSSL-3184 ]

System

Wenn die Citrix ADC-Appliance auf dem ADM-Server registriert ist, wird selbst bei sehr geringem Datenverkehr ein Speicherverlust auf der Appliance beobachtet.

[ NSHELP-25347 ]

In einem Clustersetup funktioniert der Befehl set ratecontrol erst nach dem Neustart der Citrix ADC-Appliance.

Workaround:

Verwenden Sie den Befehl nsapimgr\_wr.sh -ys icmp\_rate\_threshold=<new value>.

[ NSHELP-21811 ]

Der Wert MAX_CONCURRENT_STREAMS ist standardmäßig auf 100 festgelegt, wenn die Appliance den Einstellungsrahmen max_concurrent_stream nicht vom Client erhält.

[ NSHELP-21240 ]

Wenn eine Citrix ADC-Appliance eine SNMP-Trap tcpSynFloodAttack sendet, enthält die Protokollnachricht unackSynCount Zeichenfolgenzeichen anstelle von Integerwerten.

[ NSHELP-20401 ]

Die mptcp_cur_session_without_subflow-Zähler verringern fälschlicherweise auf einen negativen Wert statt auf Null.

[ NSHELP-10972 ]

Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

[ NSBASE-8506 ]

ICAP-Unterstützung für Citrix ADC

Eine Citrix ADC-Appliance unterstützt jetzt das Internet Content Adaptation Protocol (ICAP) für den Content-Transformationsdienst für HTTP- und HTTPS-Verkehr. Die Appliance fungiert als ICAP-Client und arbeitet mit ICAP-Servern von Drittanbietern wie Antimalware und Data Leak Prevention (DLP) zusammen. Die ICAP-Server führen eine Inhaltstransformation für die HTTP- und HTTPS-Nachrichten durch und antworten als geänderte Nachrichten auf die Appliance zurück. Die angepassten Nachrichten sind entweder eine HTTP- oder eine HTTPS-Antwort oder -Anfrage. Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/netscaler/12-1/security/icap-for-remote-content-inspection.html

[ NSBASE-825 ]

Benutzeroberfläche

In der Citrix ADC GUI ist der Help Link unter der Dashboard Registerkarte defekt.

[ NSUI-14752 ]

Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

Workaround:

Konfigurieren Sie Cloudbridge-Konnektoren, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln über die Citrix ADC GUI oder CLI hinzufügen.

[ NSUI-13024 ]

Wenn Sie über die GUI einen ECDSA-Schlüssel erstellen, wird der Kurventyp nicht angezeigt.

[ NSUI-6838 ]

Das Hochladen und Hinzufügen einer Zertifikatsperrlistendatei (CRL) schlägt in einer Admin-Partitionseinrichtung fehl.

[ NSHELP-20988 ]

Wenn Sie eine Citrix ADC-Appliance Version 13.0-71.x auf einen früheren Build herunterstufen, funktionieren einige NITRO-APIs aufgrund der Änderungen der Dateiberechtigung möglicherweise nicht.

Workaround:

Ändern Sie die Berechtigung für /nsconfig/ns.conf auf 644.

[ NSCONFIG-4628 ]

Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestufenen Citrix ADC-Appliance anmelden.

  1. Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds:
    • Build 13.0 52.24
    • Build 12.1 57.18
    • Build 11.1 65.10
  2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
  3. Downgrade der Citrix ADC-Appliance auf einen älteren Build.

Um die Liste dieser Systembenutzer über die CLI anzuzeigen: Geben Sie an der Eingabeaufforderung Folgendes ein:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Workaround:

Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

  • Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mithilfe einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herab.
  • Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestufenen Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
  • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

Weitere Informationen finden Sie unter https://docs.citrix.com/de-de/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

[ NSCONFIG-3188 ]

Versionshinweise für Citrix ADC 13.1—4.43