Citrix ADC

Versionshinweise für Citrix ADC 13.1—4.44 Version

November 3, 2022

Beitrag von:

In diesem Dokument mit den Versionshinweisen werden die Erweiterungen und Änderungen, behobenen und bekannten Probleme beschrieben, die für das Citrix ADC Release Build 13.1-4.44 bestehen.

Hinweise

Dieses Dokument mit den Versionshinweisen enthält keine sicherheitsrelevanten Fixes. Eine Liste der sicherheitsrelevanten Fixes und Advisories finden Sie im Citrix Sicherheitsbulletin.
Der Citrix Secure Access-Agent (früher bekannt als Citrix Gateway Plug-in für Windows) Build 21.9.1.2 und höher enthält das Update für https://support.citrix.com/article/CTX341455. Das Citrix Gateway Plug-in für Windows Build 21.9.1.2 ist im Citrix ADC Build 13.1—4.44 enthalten.
Build 13.1-4.44 und neuere Builds beheben die unter beschriebenen Sicherheitslücken https://support.citrix.com/article/CTX330728.
Build 4.44 ersetzt Build 4.43.
Dieser Build enthält auch eine Lösung für das folgende Problem: NSHELP-29519.

Neuigkeiten

Die Erweiterungen und Änderungen, die in Build 13.1—4.44 verfügbar sind.

Authentifizierung, Autorisierung und Auditing

Traversal von der Root-Domäne zur Tree-Domäne für Kerberos-SSO-Authentifizierung wird unterstützt

Das Überqueren von der Stammdomäne zur Baumdomäne wird jetzt während der Kerberos-SSO-Authentifizierung für den Backend-Server von der Citrix ADC-Appliance unterstützt. Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/single-sign-on-types/kerberos-single-sign-on/setup-citrix-adc-single-sign-on.html.

[ NSAUTH-9836 ]

Bot-Verwaltung

Umfassung der Protokollierung für die Citrix ADC Bot-Verwaltung

Wenn eingehender Datenverkehr als Bot identifiziert wird, können Sie mit der Citrix ADC-Appliance jetzt die ausführliche Bot-Protokollierungsfunktion für die Protokollierung zusätzlicher HTTP-Header-Details wie Domänenadresse, URL, Benutzer-Agent-Header und Cookie-Header konfigurieren. Die Protokolldetails werden dann zur Überwachung und Fehlerbehebung an den ADM-Server gesendet. Die ausführliche Protokollnachricht wird nicht in der Datei ns.log gespeichert.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html.

[NSBOT-273]

Citrix ADC SDX-Appliance

Verbesserungen der Clusterbildungsseite auf einer Citrix ADC SDX-Appliance

Die folgenden Änderungen werden in der GUI auf der Seite Add Node to Cluster vorgenommen. Das System fordert den Benutzer nun auf, eine SNIP-Adresse hinzuzufügen, während ein neuer Knoten zu einem Cluster hinzugefügt wird. Diese Verbesserungen beheben die Sicherheitsprobleme bei der strengen Überprüfung der Quell-IP-Adresse.

Ein optionales Feld für SNIP ist jetzt verfügbar.
Es wird auch eine Schaltfläche Add bereitgestellt, um SNiPs dynamisch zu erstellen und gleichzeitig einen Knoten zur Cluster-IP-Adresse (CLIP) hinzuzufügen.

[NSSVM-4170]

Ein Citrix ADC SDX-Administrator kann jetzt einen Benutzer entsperren, bevor das Sperrintervall abläuft. Lockout ist nicht anwendbar, wenn sich ein Benutzer über die Konsole beim Management Service anmeldet. Das Sperrintervall wird ebenfalls von Sekunden auf Minuten geändert. Mindestwert = 1 Minute. Maximalwert = 30 Minuten.

So entsperren Sie einen Benutzer über die GUI:

Navigieren Sie zu Konfiguration > System > Benutzerverwaltung > Benutzer.
Wähle den zu entsperrenden Benutzer aus.
Klicken Sie auf EntsperrenSo entsperren Sie einen Benutzer über die CLI:

Geben Sie in der Befehlszeile Folgendes ein:

set systemuser id=`<ID>` unlock=true
<!--NeedCopy-->

[NSSVM-4144]

Citrix Gateway

Unterstützung für weitere Sprachen

Das Citrix Gateway-Benutzerportal ist jetzt in den Sprachen Russisch, Koreanisch und Chinesisch (traditionell) verfügbar.

[CGOP-17095]

OAuth-OpenID Connect-Authentifizierungsunterstützung für Gateway Insight

Citrix Gateway Insight meldet jetzt OAuth-OpenID Connect authentifizierungsbezogene Ereignisse (erfolgreiche Benutzeranmeldungen und fehlgeschlagene Benutzeranmeldungen).

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-application-delivery-management-software/current-release/analytics/gateway-insight.html.

[CGOP-16907]

Citrix Web App Firewall

Extraktion der Client-IP-Adresse mithilfe eines erweiterten Richtlinienausdrucks

Die Citrix ADC-Appliance verwendet einen erweiterten Richtlinienausdruck, um die Client-IP-Adresse aus einem HTTP-Anforderungsheader, einem Anforderungstext und einer Anforderungs-URL Der extrahierte Wert wird dann an den ADM-Server gesendet, um Audit-Protokollierung, Sicherheitsinformationen und die Berechnung der Client-Geolokalisierung zu erhalten.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html.

[NSWAF-7260]

Option für BOT TPS-Erkennungsmechanismus aktivieren

Die Option “Aktivieren” ist jetzt für jede TPS-Bot-Erkennungsregel in der Bot-Profilkonfiguration verfügbar. Standardmäßig ist der Wert ON.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html.

[ NSHELP-25777 ]

Lastausgleich

Unterstützung für die HTTP-zu-HTTPS-Umleitung auf virtuellen Content Switching

Die virtuellen Content Switching-Server des Diensttyps SSL unterstützen jetzt die Umleitung des HTTP-Datenverkehrs. Zwei neue Parameter: HttpsRedirectUrl und RedirectFromPort werden dem Befehl add cs vserver hinzugefügt. Der gesamte HTTP-Verkehr, der an dem im Parameter RedirectFromPort angegebenen Port ankommt, wird an die im Parameter HttpsRedirectUrl angegebene URL umgeleitet. Wenn HttpsRedirectUrl nicht konfiguriert ist, wird der HTTP-Verkehr auf den Wert des Host-Headers in der eingehenden HTTP-Anforderung umgeleitet.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/ssl/how-to-articles/ssl-config-https-vserver-to-accept-http-traffic.html.

[NSLB-8224]

Unterstützung für die Synchronisierung des Befehls save config mit Remote-GSLB-Sites

Sie können den Befehl save ns config jetzt mit Remote-GSLB-Sites synchronisieren. Um diese Funktion zu aktivieren, wird dem Befehl set gslb parameter ein neuer Parameter GSLBSyncSaveConfigCommand hinzugefügt. Nachdem Sie GSLBSyncSaveConfigCommand aktiviert haben , wird der Befehl save ns config als ein weiterer GSLB-Befehl behandelt und mit Remote-GSLB-Sites synchronisiert. Sie müssen die Option AutomaticConfigSync zum Synchronisieren des Befehls save ns config aktivieren.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/global-server-load-balancing/synchronizing-configuration-in-gslb-setup/real-time-synchronization.html.

[NSLB-7831]

Unterstützung für sichere Script-Argumente für Benutzermonitore

Ein neuer Parameter, -secureargs, wird dem Befehl add lb monitor hinzugefügt. Dieser Parameter speichert die Skript-Argumente in einem verschlüsselten Format statt im Nur-Text-Format. Mit diesem Parameter können Sie sensible Daten in Bezug auf die Skripte für den Benutzermonitor sichern, z. B. Citrix empfiehlt Ihnen, den Parameter -secureargs anstelle des Parameters -scriptargs für sensible Daten im Zusammenhang mit den Skripts zu verwenden. Wenn Sie beide Parameter zusammen verwenden möchten, muss das in -scriptname angegebene Skript die Argumente in dieser Reihenfolge akzeptieren: <scriptargs> <secureargs>. Das heißt, Sie müssen die ersten Parameter in <scriptargs> und den Rest der Parameter in <secureargs> angeben, indem Sie die für die Argumente definierte Reihenfolge beibehalten. Sichere Argumente gelten nur für den internen Dispatcher.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/load-balancing/load-balancing-custom-monitors/configure-user-monitor.html.

[NSLB-6314]

Netzwerke

Nummerntyp-Datensatzunterstützung für erweiterte ACLs

Die Citrix ADC-Appliance unterstützt jetzt den Nummerntyp-Datensatz für die erweiterten ACLs. Sie können das Nummerntyp-Dataset zur Angabe des Quellports oder des Zielports oder beides für eine erweiterte ACL-Regel verwenden.

[NSNET-20235]

RHI-Unterstützung für eine VIP-Adresse, die an ein IPSet gebunden ist

Eine Citrix ADC-Appliance kündigt eine an ein IPSet gebundene VIP-Adresse als Kernelroute an, wenn alle folgenden Bedingungen erfüllt sind:

Bei der VIP-Adresse ist die Option host route aktiviert.
Das IPSet ist an eine Konfiguration gebunden, z. B. virtuelle Multi-IP-Lastausgleichsserver.

[NSNET-20209]

Unterstützung für die Citrix ADC CPX-Registrierung mit ADM mithilfe von Volume-Mounts

Citrix ADC CPX unterstützt jetzt die Registrierung bei Citrix ADM mithilfe von Volume-Mounts über Kubernetes ConfigMaps und Secret. Citrix ADC CPX initiiert die Registrierung beim ADM-Agenten mit den Konfigurationsdetails, die aus den Volume-Mounts abgeleitet sind, die sich im Dateisystem von Citrix ADC CPX befinden.

[NSNET-19058]

Plattform

Unterstützung für VMware ESX 7.0 Update 2a auf Citrix ADC VPX-Instanz

Die Citrix ADC VPX-Instanz unterstützt jetzt das Update 2a von VMware ESX Version 7.0 (Build 17867351).

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/supported-hypervisors-features-limitations.html.

[NSPLAT-20104]

AMD-Prozessorunterstützung für Citrix ADC VPX-Instanz auf ESXi

Die Citrix ADC VPX-Instanz auf dem VMware ESXi-Hypervisor unterstützt jetzt AMD-Prozessoren. Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/install-vpx-on-esx.html.

[NSPLAT-17853]

Unterstützung für Citrix ADC VPX 5000-Abonnement auf Azure Marketplace

Das Citrix ADC VPX 5000-Abonnement wird jetzt auf Azure Marketplace unterstützt. Dieser abonnementbasierte Plan bietet die folgenden Lizenzen:

Standard
Erweitert
Premium

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/deploy-vpx-on-azure.html#citrix-adc-vpx-licensing.

[ NSPLAT-13663 ]

Richtlinien

Unterstützung für IP-Header-Felder in einem erweiterten Richtlinien

Mit dem erweiterten Richtlinienausdruck können Sie jetzt die folgenden Header-Felder aus einem IP-Paket abrufen.

DSCP
ECN
TTL
Version
Identifizierung
Länge des Headers
Kopf-Prüfsumme
Optionen
Payload

[ NSPOLICY-2441 ]

Entfernung veralteter Funktionen ab Citrix ADC Version 13.1

Zahlreiche veraltete Funktionen wurden jetzt entfernt und sind auf einer Citrix ADC-Appliance nicht mehr konfigurierbar.

Dazu gehören:

Die Filterfunktion (auch als Content-Filter oder CF bezeichnet) - Aktionen, Richtlinien und Bindung.
Die Funktionen SPDY, sure connect (SC), Priority Queuing (PQ), HTTP Denial of Service (DoS) und HTML Injection.
Klassische Richtlinien für SSL, Content Switching, Cache-Umleitung, Komprimierung und Anwendungsfirewall.
Die Parameter url und domain in Content Switching-Richtlinien.
Klassische Ausdrücke in Persistenzregeln für den Lastausgleich.
Der Parameter pattern in Rewrite-Aktionen.
Der Parameter bypassSafetyCheck in Rewrite-Aktionen.
SYS.EVAL_CLASSIC_EXPR in erweiterten Ausdrücken.
Die Konfigurationseinheit patclass.
HTTP.REQ.BODY ohne Argument in erweiterten Ausdrücken.
Q- und S-Präfixe in erweiterten Ausdrücken.
Der Parameter policyType für die cmp-Parametereinstellung. (CLI-Befehl set cmp parameter.)

Wie bereits dokumentiert, können Sie das Tool nspepi für die Konvertierung verwenden. Sie müssen das Tool auf einer Citrix ADC-Appliance Version 13.0 oder 12.1 ausführen.

Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/appexpert/policies-and-expressions/introduction-to-policies-and-exp/classic-policy-deprecation-faq.html.

Informationen zur Verwendung der neuesten Version der Tools für die Migration von der klassischen zur erweiterten Konfiguration und von Verkehrsdomänen zu Admin-Partitionen finden Sie unter https://github.com/citrix/ADC-scripts

[ NSPOLICY-186 ]

System

Statistiken für QUIC bridge anzeigen

Der QUIC-Bridge-Befehl stat bietet jetzt eine detaillierte Zusammenfassung der QUIC-Brückenstatistiken.

[NSBASE - 13883]

Entfernung veralteter Funktionen in Citrix ADC ab 13.1

Die folgenden veralteten Funktionen und ihre Konfigurationen werden nicht mehr unterstützt und von der Citrix ADC-Appliance entfernt:

Sicher verbinden (SC)
Priority Queueing (PQ)
HTTP-DoS-Schutz (HDOSP)
HTMLInjection

Als Alternative empfiehlt Citrix Ihnen, AppQOE für SureConnect, Priority Queueing und HTTP DoS Protection zu verwenden und clientseitige Messungen für zu verwenden HTMLInjection.

[NSBASE - 13780]

Benutzeroberfläche

Batch-API-Unterstützung für NITRO-Aufrufe

Die Citrix ADC-Appliance unterstützt jetzt die API batchapi. Die API batchapi kann mehrere NITRO-Aufrufe in einer einzigen Anforderung verarbeiten und dadurch den Netzwerkverkehr minimieren. Sie können die folgenden Operationen mit dem ausführen batchapi:

Sie können die Batch-API verwenden, um mehrere heterogene Ressourcen gleichzeitig zu erstellen, zu aktualisieren und zu löschen.
Sie können die Batch-API verwenden, um mehrere heterogene Ressourcen zu erhalten.

[NSCONFIG-4061]

Behobene Probleme

Die Probleme, die in Build 13.1—4.44 behoben werden.

Authentifizierung, Autorisierung und Auditing

Wenn Sie einen LDAP-Monitor an einen Dienst binden, fällt der Monitor aus, da die Citrix ADC-Appliance ein falsches Kennwort an das Active Directory sendet.

[ NSHELP-27961 ]

In einem AD mit mehreren Kaskaden wird ein Konto für einen Benutzer nicht gesperrt, wenn ein Benutzer in der letzten Kaskade nicht gefunden wurde.

[ NSHELP-27948 ]

Wenn eine Citrix ADC-Appliance für die SAML-Authentifizierung konfiguriert ist, gibt die Appliance den Kern ab, wenn ein anderes Zertifikat als RSA verwendet wird.

[ NSHELP-27813 ]

In einigen Fällen kann eine Citrix ADC-Appliance abstürzen, während die Authentifizierungsanforderung eines bestimmten Benutzers verarbeitet wird, wenn rollenbasierter Zugriff konfiguriert ist.

[ NSHELP-27655 ]

Benutzer können sich nicht über die Citrix Workspace-App anmelden, wenn Azure AD auf dem virtuellen Citrix ADC-Authentifizierungsserver als OAuth IdP konfiguriert ist.

[ NSHELP-27462 ]

In einigen Fällen schlägt die SAML-Authentifizierung mit der Workspace-App fehl, wenn über StoreFront auf die App zugegriffen wird.

[ NSHELP-27338 ]

In einigen Fällen wird eine HTTP-POST-Anfrage an einen virtuellen Authentifizierungs-, Autorisierungs- und Auditing-TM-Server falsch verarbeitet, wenn die Anforderung kein Authentifizierungscookie enthält. Der POST-Körper geht bei der Verarbeitung verloren.

[ NSHELP-27227 ]

Die Citrix ADC-Appliance stürzt häufig bei der Verarbeitung von Authentifizierung, Autorisierung und Auditing-TM sowie 401 LB-basiertem Datenverkehr ab.

[ NSHELP-27094 ]

In einigen Fällen stürzt eine Citrix ADC-Appliance beim Ausführen der Benutzerauthentifizierung für Citrix Gateway und Authentifizierung, Autorisierung und Überwachung ab - verkehrsverwaltete Bereitstellung.

[ NSHELP-26555 ]

Bei Eingabe eines falschen OTP Email Auth failed. No further action to continue wird eine Fehlermeldung angezeigt.

[ NSHELP-26400 ]

In bestimmten Szenarien schlägt der Befehl Authentifizierung, Autorisierung und Überwachung binden möglicherweise fehl, wenn der Richtlinienname länger als der Name der Intranetanwendung ist.

[NSHELP-25971]

Eine als SAML Identity Provider (IdP) konfigurierte Citrix ADC-Appliance kürzt den Relay-Status vom Service Provider (SP) ab, wenn sie Anführungszeichen enthält.

[ NSHELP-20131 ]

Die Überprüfung der Netzwerkkonnektivität schlägt aufgrund eines Problems bei der Kennwortentschlüsselung fehl. Die Authentifizierungsfunktion funktioniert jedoch einwandfrei.

[ NSAUTH-10216 ]

Bot-Verwaltung

Im Bot-Erkennungsmechanismus “Transaction Per Second” (TPS) gibt der Back-End-Anwendungsserver während des Abrufs der Antwort nach der CAPTCHA-Herausforderung eine 304-Antwort zurück.

[NSBOT-626]

Caching

In einem HochverfügbarkeitsSetup schlägt die HA-Synchronisierung für die Cacheparametereinstellung memLimit während eines HA-Failovers fehl.

[ NSHELP-28428 ]

In einem Hochverfügbarkeits-Setup stürzt der primäre Knoten ab, nachdem er auf einen NULL-Zeiger anstelle eines zwischengespeicherten Objekts zugegriffen hat.

[ NSHELP-26967 ]

Citrix ADC SDX-Appliance

Auf einer Citrix ADC SDX-Appliance schlägt die Instanzwiederherstellung möglicherweise fehl, wenn die Instanz mit Softwareversion 13.0-76.x oder früher erstellt wurde.

[ NSHELP-28429 ]

In einer Citrix ADC SDX-Appliance meldet der Management Service eine falsche Datennutzung von ADC-Instanzen.

[ NSHELP-28208 ]

Auf einer Citrix ADC SDX-Appliance können Sie die CLI-Eingabeaufforderung in der Management Service-Konsole nicht ändern.

[ NSHELP-28030 ]

Auf einer Citrix ADC SDX-Appliance meldet der Verwaltungsdienst möglicherweise eine hohe Speicherauslastung von etwa 80% aufgrund erhöhter Jobs und Scheduler, die im Inventar ausgeführt werden.

[ NSHELP-27805 ]

Auf einer Citrix ADC SDX-Appliance schlägt das Upgrade möglicherweise fehl, wenn die Systemdateien (snmpd.conf und ntp.conf) Wagenrücklaufzeichen enthalten.

[ NSHELP-27713 ]

Auf einer Citrix ADC SDX-Appliance meldet der Verwaltungsdienst möglicherweise eine hohe Speicherauslastung von etwa 80% aufgrund erhöhter Jobs und Scheduler, die im Inventar ausgeführt werden.

[ NSHELP-27396 ]

Citrix Gateway

Benutzer können einen Fehler beim Starten der RDP-Sitzung feststellen, wenn ein Upgrade auf die neueste Version durchgeführt wird.

[ NSHELP-29519 ]

Eine Fehlermeldung wird angezeigt, wenn Sie versuchen, die CSS-Attribute in einem benutzerdefinierten Thema zu bearbeiten.

[ NSHELP-28648 ]

Die Anmeldung bei Citrix Workspace schlägt fehl, wenn Responderrichtlinien, die während der Evaluierung in einen blockierten Zustand geraten können, an den virtuellen Server gebunden sind.

[ NSHELP-27819 ]

Beim Zugriff auf das Citrix Gateway-Gerät mit dem clientlosen VPN wird möglicherweise ein Core-Dump generiert.

[ NSHELP-27653 ]

Das Citrix Gateway-Gerät stürzt möglicherweise bei der Verarbeitung vom Server initiierten UDP-Datenverkehr ab.

[ NSHELP-27611 ]

Benutzer können die Postfächer anderer Benutzer sehen, wenn sie sich bei Microsoft Outlook anmelden. Deaktivieren Sie als Problemumgehung das Multiplexing.

[ NSHELP-27538 ]

Eine Citrix ADC-Appliance kann abstürzen, wenn die EDT-bezogenen Befehle wie clearconfig, kill ica connection oder stop dtls listener von der Appliance verarbeitet werden.

[ NSHELP-27398 ]

Das Citrix Gateway-Gerät stürzt möglicherweise während der Verarbeitung von UDP-Datenverkehr ab.

[ NSHELP-27317 ]

Das Citrix Gateway-Gerät stürzt ab, wenn eine Syslog-Richtlinie an einen virtuellen Server gebunden ist und die entsprechende Syslog-Aktion geändert wird.

[ NSHELP-27171 ]

Die Citrix ADC-Protokolle werden möglicherweise mit der Protokollnachricht überflutet GwInsight: Func=ns_sslvpn_send_app_launch_fail_record Appflow policy evaluation has failed, wenn Gateway Insight aktiviert ist.

[ NSHELP-26750 ]

Das Citrix Gateway-Gerät stürzt ab, wenn Sie versuchen, die Konfiguration zu löschen, wenn beide der folgenden Bedingungen erfüllt sind:

Ein SSL-Profil und ein Zertifikatschlüsselpaar sind an den Standard-TCP-Monitor gebunden.
Derselbe Standard-TCP-Monitor ist an eine Syslog-Aktion gebunden.

[ NSHELP-26685 ]

Wenn Sie den FQDN als Proxy auf der Seite Citrix Gateway-Verkehrsprofil erstellen eingeben, wird die Meldung Invalid Proxy Value angezeigt.

[ NSHELP-26613 ]

Beim Erstellen eines RDP-Clientprofils über die Citrix ADC GUI wird eine Fehlermeldung angezeigt, wenn die folgenden Bedingungen erfüllt sind:

Ein standardmäßiger Pre-Shared Key (PSK) ist konfiguriert.
Sie versuchen, den Gültigkeitszeitgeber für RDP-Cookies im Feld RDP-Cookie-Gültigkeit (Sekunden) zu ändern.

[ NSHELP-25694 ]

Die SNMP-OID sendet einen falschen Satz aktueller Verbindungen zum virtuellen VPN-Server.

[ NSHELP-25596 ]

Die Citric ADC Appliance stürzt ab, wenn mehrere VPN-Plug-In-Clients X.509-Zertifikate der Größe 1800 Byte oder mehr zum Einrichten eines Tunnels verwenden.

[ NSHELP-25195 ]

Wenn Sie einen virtuellen VPN-Server umbenennen, der an einen STA-Server gebunden ist, erscheint der Status des STA-Servers DOWN, wenn Sie den Befehl show ausführen.

[ NSHELP-24714 ]

In seltenen Fällen kann das Citrix Gateway-Gerät abstürzen, wenn die Intranet-IP-Adresse (IIP) aktiviert ist und Server-initiierte Verbindungen zur IIP-Adresse bestehen.

[ NSHELP-23819 ]

Die Befehlsausgabe von show tunnel global enthält erweiterte Richtliniennamen. Zuvor wurden in der Ausgabe die erweiterten Richtliniennamen nicht angezeigt.

Beispiel:

Neue Ausgabe:

> show tunnel global
Policy Name: ns_tunnel_nocmp Priority: 0

Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy
Priority: 1
Global bindpoint: REQ_DEFAULT

Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy
Priority: 100
Global bindpoint: RES_DEFAULT
Done
>
<!--NeedCopy-->

Vorherige Ausgabe:

> show tunnel global
Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

Advanced Policies:

Global bindpoint: REQ_DEFAULT
Number of bound policies: 1

Done
<!--NeedCopy-->

[ NSHELP-23496 ]

Wenn Sie die RADIUS-Buchhaltung für das ICA-Start-/Stopp-Ereignis konfiguriert haben, wird die Sitzungs-ID in der RADIUS-Buchhaltungsanforderung für den ICA-Start als alle Nullen angezeigt.

[ NSHELP-22576 ]

Citrix Web App Firewall

In einem Citrix ADC-Clustersetup stürzt einer der Knoten ab, wenn ein oder mehrere Knoten von Citrix ADC Version 12.0, 12.1 oder 13.0 Build 52.x oder früheren Builds aktualisiert werden. Der Absturz tritt aufgrund einer Inkompatibilität im Cookie-Format und der Größe des Web App Firewall auf.

[NSWAF-7689]

In der Web App Firewall teilt der Parameter Cookie-transformation die antwortseitigen Cookie-Werte, wenn er ein Komma als Trennzeichen enthält.

[ NSHELP-28411 ]

Eine Citrix ADC-Appliance kann abstürzen, wenn Verstöße gegen die Befehlseinschleusung in einer bestimmten Reihenfolge beobachtet werden und die folgenden Bedingungen erfüllt sind:

In der Anfrage sind mehrere Cookies enthalten
URLDecodeRequestCookies Funktion ist ausgeschaltet

[ NSHELP-28365 ]

Eine Citrix ADC-Appliance zeigt möglicherweise eine hohe Speicherauslastung, wenn HTTP-Antworten analysiert werden, bei denen das Samesite-Attribut und die Web Application Firewall-Funktion aktiviert sind.

[ NSHELP-27722 ]

Die Cookie-Hijacking-Funktion bietet eingeschränkte Unterstützung für den Internet Explorer-Browser, da Internet Explorer-Browser die SSL-Verbindungen nicht wiederverwenden. Aufgrund der Einschränkung werden mehrere Weiterleitungen für eine Anfrage gesendet, die schließlich zu einem Fehler MAX REDIRECTS EXCEEDED im Internet Explorer-Browser führt.

[ NSHELP-27193 ]

Nach einem Upgrade auf Citrix ADC Version 13.0 Build 76.29 und aktivierter Funktion zum Hochladen von Dateien auf der Appliance wird das folgende Problem beobachtet:

SQL- und Cross-Site-Scripting-Schutzprüfungen blockieren den Datei-Upload-Prozess für alle Webanwendungen.

[ NSHELP-27140 ]

Lastausgleich

In einem GSLB-Setup wird der Status der Remote-Dienste nicht aktualisiert, nachdem die Statistiken auf der GSLB-Site gelöscht wurden. Löschen Sie als Problemumgehung die Statistiken erneut auf derselben GSLB-Site. Der Status der Remote-Dienste wird dann aktualisiert.

[ NSHELP-28169 ]

In einem Hochverfügbarkeits-Setup kann der sekundäre Knoten abstürzen, wenn die folgenden Bedingungen erfüllt sind:

Die Menge an physischem Speicher auf beiden Knoten unterscheidet sich voneinander.
Die Datensitzungen werden nicht ordnungsgemäß synchronisiert.

[ NSHELP-26503 ]

In einem Clustersetup wird die IP-Adresse des GSLB-Dienstes nicht in der GUI angezeigt, wenn über virtuelle GSLB-Serverbindungen zugegriffen wird. Dies ist nur ein Anzeigeproblem und es hat keine Auswirkungen auf die Funktionalität.

[ NSHELP-20406 ]

Sonstiges

Eine Citrix ADC-Appliance fügt zusätzliche L2-Informationen hinzu, wenn ein Tunnel oder virtuelle Server vom Typ des Dienstes (TOS) erstellt werden.

[ NSHELP-27825 ]

Netzwerke

Nachdem eine Citrix ADC BLX-Appliance (Version 13.0 Build 82.x), die auf einem Debian-basierten Linux-Host ausgeführt wird, aktualisiert wurde, funktioniert SSH im freigegebenen Modus nicht wie vorgesehen.

[NSNET-23020]

Nachdem eine Citrix ADC BLX-Appliance auf Version 13.1 Build 4.x aktualisiert wurde, blockiert die Webanwendungsfirewall möglicherweise fälschlicherweise eine Anforderung, die keinen Inhaltstyp-Header hat.

[NSNET-21415]

In einer Citrix ADC BLX-Appliance funktioniert NSVLAN, das mit non-dpdk getaggten Schnittstellen gebunden ist, möglicherweise nicht wie erwartet. NSVLAN, das mit nicht als non-dpdk getaggten Schnittstellen gebunden ist, funktioniert gut.

[NSNET-18586]

In einer Citrix ADC-Appliance verwendet die interne Treiberschicht möglicherweise einen falschen Datenpuffer, was zu einer Datenbeschädigung führt, was wiederum zum Absturz der Appliance führt.

[ NSHELP-27858 ]

Behobenes Problem:

Citrix ADC CPX, das als Beiwagen bereitgestellt und mit mehreren Netzwerken verbunden war, konnte nicht die richtige Quell-IP-Adresse für das Zielsubnetz auswählen.

[ NSHELP-27810 ]

In einem Hochverfügbarkeits-Setup schlägt die HA-Synchronisierung für WAF-Profil- und Standortdateikonfigurationen möglicherweise fehl.

[ NSHELP-27546 ]

Paketschleifen werden in einer Lastausgleichskonfiguration beobachtet, wenn alle folgenden Bedingungen erfüllt sind:

Der virtuelle Server ist so konfiguriert, dass er Port 80 abhört, und der Parameter Verbindungsfailover (connfailover) ist auf zustandslos gesetzt.
Der virtuelle Server erhält zwei Anforderungspakete mit:
- Quellport = 80
- Zielport = andere Nummer als 80
- Ziel-IP-Adresse = IP-Adresse (VIP) des virtuellen Servers

[ NSHELP-22431 ]

Plattform

Failed to create target instance Eine Fehlermeldung wird auf der GCP-Konsole angezeigt, auch wenn Sie keine Zielinstanzen erstellen. Dieses Problem tritt auf, wenn Sie nicht die IAM-Berechtigung compute.targetInstances.get in Ihrem GCP-Dienstkonto haben. Ab dieser Version erstellt Citrix ADC VPX Zielinstanzen nur für VMs, die die VIP-Skalierungsfunktion verwenden.

[NSPLAT-20952]

Die Citrix ADC-Appliance generiert Falschpakete pro Sekunde (PPS) Ratenbegrenzungswarnungen, noch bevor die Citrix ADC-Appliance ihr PPS-Limit für die Lizenz erreicht.

[ NSHELP-26935 ]

Richtlinien

Die NS-Variable mit globalem Umfang funktioniert nicht für HTTP/2-Verkehr.

[ NSHELP-27095 ]

SSL

Wenn in einem Clustersetup zwei installierte Zertifikate Aussteller eines Serverzertifikats mit der OCSP AIA-Erweiterung sind, ist die Appliance nicht mehr erreichbar, wenn Sie das Serverzertifikat entfernen.

[ NSHELP-28058 ]

In einem Hochverfügbarkeits-Setup schlägt die automatische CRL-Aktualisierung zeitweise fehl, wenn beide der folgenden Bedingungen erfüllt sind:

Dateien werden vom primären Knoten zum sekundären Knoten synchronisiert.
Die CRL-Datei wird gleichzeitig vom CRL-Server heruntergeladen.

[ NSHELP-27435 ]

Auf einer Citrix ADC-Appliance wird am nächsten Tag eine Benachrichtigung über den Ablauf eines falschen Zertifikats protokolliert, wenn ein Zertifikatschlüsselpaar mit aktiviertem -ExpiryMonitor hinzugefügt wird.

[ NSHELP-27348 ]

In einer Clusterdatenbank wird die Bindung nicht ordnungsgemäß aktualisiert, wenn Sie eine SSL-Richtlinie mehrmals und mit unterschiedlichen Prioritäten an einen virtuellen Server am Hallo-Bindpunkt des Clients binden. Infolgedessen tritt ein Fehler auf, wenn Sie die Richtlinie entfernen, auch nachdem Sie sie vom virtuellen Server entfernt haben.

[ NSHELP-27301 ]

Die Citrix ADC-Appliance stürzt während des Neustarts ab, wenn Sie den Namen des integrierten Zertifikats (ns-server-certificate) in der Konfigurationsdatei ändern.

[ NSHELP-26858 ]

In einem Clustersetup können Sie die folgenden Probleme feststellen:

Fehlender Befehl für das standardmäßige Zertifikatschlüsselpaar, das an die internen SSL-Dienste auf dem CLIP bindet. Wenn Sie jedoch von einem älteren Build upgraden, müssen Sie möglicherweise das Standard-Zertifikatschlüsselpaar an die betroffenen internen SSL-Dienste auf dem CLIP binden.
Konfigurationsdiskrepanz zwischen dem CLIP und den Knoten für den standardmäßigen set-Befehl für die internen Dienste.
Fehlender Standard-Verschlüsselungsbindungsbefehl an die SSL-Entitäten in der Ausgabe des Befehls show running config, der auf einem Knoten ausgeführt wird. Die Auslassung ist nur ein Anzeigeproblem und hat keine funktionalen Auswirkungen. Die Bindung kann mit dem Befehl show ssl <entity> <name> angezeigt werden.

[ NSHELP-25764 ]

System

Eine Citrix ADC-Appliance kann mit einer ICAP OPTIONS-Antwort abstürzen. Das Problem tritt auf, wenn der erlaubte Header-Wert einen anderen Wert als 204 enthält.

[ NSHELP-27879 ]

Im AppFlow stimmt die Anzahl der Layer 4-Byte für Flow-Datensätze nicht mit den virtuellen HTTP-Server-Transaktionen überein. Der Zählwert ist niedriger als der Wert für die Byteanzahl des virtuellen Layer 7-Servers.

[ NSHELP-27495 ]

Der Zähler TcpCurClientConn zeigt einen großen Wert an, wenn die Citrix ADC-Appliance im Citrix ADM registriert ist.

[ NSHELP-27463 ]

Eine Citrix ADC-Appliance kann abstürzen, wenn die AppFlow-Funktion deaktiviert und wieder aktiviert ist.

[ NSHELP-27236 ]

In einem seltenen Fall sendet eine Citrix ADC-Appliance möglicherweise falsche TCP-SACK-Folgennummern an den Client, wenn sie vom Backend-Server weitergeleitet wird. Das Problem tritt auf, wenn die Option TCP Selective ACK (SACK) in einem TCP-Profil aktiviert ist.

[ NSHELP-24875 ]

Eine Citrix ADC-Appliance kann abstürzen, wenn eine Richtlinie mit dem Ausdruck HTTP.REQ.* an den RESPONSE-Bindpunkt des virtuellen HTTP_QUIC-Servers gebunden ist. Das Problem tritt nicht auf, wenn Sie dieselbe Richtlinie zusammen mit einem virtuellen Server vom Typ HTTP oder SSL an einen virtuellen HTTP_QUIC-Server binden.

[NSBASE - 14612]

Benutzeroberfläche

In der GUI des Komprimierungsrichtlinien-Managers kann eine Komprimierungsrichtlinie nicht an ein HTTP-Protokoll gebunden werden, indem ein relevanter Verbindungspunkt und Verbindungstyp angegeben wird.

[NSUI-17682]

Wenn Sie mithilfe des Befehls den Inhalt einer Datei von einer ADC-Instanz abrufen show systemfile, wird in der ADC-Konsole eine Fehlermeldung über einen Downloadfehler angezeigt. Das Problem tritt auf, wenn der Dateiinhalt mit NULL Byte beginnt.

[ NSHELP-28227 ]

Die admautoregd-SYSLOG-Flut führt zu einer Fehlklassifizierung und Fehldiagnose der Kundenressourcendefinition (CRD) aufgrund eines internen Systemproblems (Python-Binärdatei fehlt).

Fix: Um die Überwachung des Prozesses admautoregd nach 30 Minuten zu beenden, wenn die Python-Binärdatei immer noch fehlt.

[ NSHELP-28185 ]

Es kann zu einem Konfigurationsverlust kommen, wenn eine mit KEK konfigurierte VPX-Instanz auf AWS auf Citrix ADC Version 13.0 Build 76.x oder höher aktualisiert wird. Alle vertraulichen Daten, die mit KEK verschlüsselt wurden, schlagen fehl, wenn die Konfiguration nach einem Neustart geladen wird.

[ NSHELP-28010 ]

Ein zusätzliches Backslash-Zeichen wird falsch eingeführt, wenn Sonderzeichen innerhalb von Argumenten in einigen SSL-Befehlen wie create ssl rsakey und create ssl cert verwendet werden.

[ NSHELP-27378 ]

In einem Hochverfügbarkeits-Setup schlägt die HA-Synchronisierung oder HA-Propagierung möglicherweise fehl, wenn eine der folgenden Bedingungen erfüllt ist:

Das RPC-Knotenkennwort hat Sonderzeichen.
Das RPC-Knotenkennwort hat 127 Zeichen (maximal zulässige Zeichen).

[ NSHELP-27375 ]

Das Tool nsconfigaudit kann abstürzen, wenn die Größe der Eingabekonfigurationsdatei sehr groß ist.

[ NSHELP-27263 ]

Sie können einen Dienst oder eine Dienstgruppe nicht über die Citrix ADC GUI an einen virtuellen Lastausgleichsserver mit Priorität binden.

[ NSHELP-27252 ]

Die Berichtsfunktion funktioniert möglicherweise nicht mehr, wenn die Systemuhr auf einer Citrix ADC-Appliance aktualisiert wird.

[ NSHELP-25435 ]

In einer Citrix ADC VPX Appliance schlägt ein festgelegter Kapazitätsvorgang möglicherweise nach dem Hinzufügen eines Lizenzservers fehl. Das Problem tritt auf, weil die Initialisierung der Flexera-bezogenen Komponenten aufgrund der großen Anzahl unterstützter Lizenzen für das Ein- und Auschecken vom Typ “Typ” (CICO) länger dauert, um zu initialisieren.

[ NSHELP-23310 ]

Der Aufruf botprofile_logexpression_binding für NITRO API GET gibt keine Antwort zurück, wenn der Logausdruck an ein Bot-Profil gebunden ist.

[NSCONFIG-5490]

Wenn Sie in einer Clusterkonfiguration ein Web App Firewall-Profil mit feinkörnigen Regeln und dann mit non-fine-graned-Regeln an dieselbe URL binden, werden die feinkörnigen Regeln in der Datenbank entfernt. Infolgedessen werden nur die nicht feinkörnigen Regeln auf der Cluster-IP-Adresse angezeigt.

[NSCONFIG-5389]

Bekannte Probleme

Die Probleme, die in Release 13.1—4.44 bestehen.

AppFlow

HDX Insight meldet keinen Anwendungsstartfehler, der durch einen Benutzer verursacht wurde, der versucht, eine Anwendung oder einen Desktop zu starten, auf den der Benutzer keinen Zugriff hat.

[ NSINSIGHT-943 ]

Authentifizierung, Autorisierung und Auditing

Eine falsche Abmelde-URL (/cgi/tmlogout) wird zurückgegeben, wenn ein virtueller VPN-Server als SAML-SP konfiguriert ist. Das Problem tritt auf, weil die falsche Abmelde-URL in den SAML-Metadaten generiert wird.

[ NSHELP-28726 ]

In einigen Fällen wird in einer Citrix ADC-Appliance ein Speicherleck beobachtet, wenn die SSO-Funktionalität mit einem Proxyserver verwendet wird.

[ NSHELP-27744 ]

In einem seltenen Szenario kann der sekundäre Knoten in einem Hochverfügbarkeits-Setup abstürzen, wenn die folgende Bedingung erfüllt ist.

aaa groups oder aaa users, oder beide sind auf der Citrix ADC-Appliance konfiguriert.

[ NSHELP-26732 ]

Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

[ NSHELP-563 ]

Das DualAuthPushOrOTP.xml LoginSchema wird im Bildschirm des Anmeldeschema-Editors der Citrix ADC GUI nicht ordnungsgemäß angezeigt.

[ NSAUTH-6106 ]

Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird. show adfsproxyprofile <profile name>

Workaround:

Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Er zeigt den Status des Proxyprofils an.

[ NSAUTH-5916 ]

Die Seite Authentifizierung LDAP-Server konfigurieren auf der Citrix ADC-GUI reagiert nicht mehr, wenn Sie die folgenden Schritte ausführen:

Die Option LDAP-Erreichbarkeit testen wird geöffnet.
Ungültige Anmeldeinformationen werden ausgefüllt und übermittelt.
Gültige Anmeldeinformationen werden ausgefüllt und übermittelt.

Workaround:

Schließen und öffnen Sie die Option LDAP-Erreichbarkeit testen.

[ NSAUTH-2147 ]

Caching

Eine Citrix ADC-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

[NSHELP-22942]

Citrix ADC SDX-Appliance

Auf einer Citrix ADC SDX-Appliance schlägt das Erstellen einer ADC-Instanz mit Softwareversion 12.0 XVA-Image fehl. Infolgedessen ist die Instanz nicht erreichbar.

[ NSHELP-28408 ]

Citrix Gateway

Manchmal kann der DNS-Resolver nach dem Trennen des VPN die Hostnamen nicht auflösen, da die DNS-Suffixe während der VPN-Trennung entfernt werden.

[ NSHELP-28848 ]

Nachdem Sie das Citrix Gateway-Gerät auf Version 13.0 aktualisiert haben, funktioniert die Proxykonfiguration im Sitzungsprofil nicht wie beabsichtigt. Die Proxyverbindung wird für den konfigurierten Nicht-HTTP-NS-Proxy umgangen.

Beispiel: add vpn sessionAction -proxy NS -httpProxy 192.0.2.0:24 -sslProxy 192.0.2.0:24

In diesem Beispiel funktioniert -httpProxy wie beabsichtigt, aber -sslProxy funktioniert nicht.

[ NSHELP-28640 ]

Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

[ NSHELP-28551 ]

Manchmal wird ein Benutzer innerhalb weniger Sekunden bei Citrix Gateway abgemeldet, wenn das Timeout im Leerlauf des Clients festgelegt ist.

[ NSHELP-28404 ]

Das Windows-Plug-In kann während der Authentifizierung abstürzen.

[ NSHELP-28394 ]

Die Citrix ADC-Appliance stürzt ab, wenn eine der folgenden Bedingungen eintritt:

Die Syslog-Aktion wird mit dem Domänennamen konfiguriert und Sie löschen die Konfiguration über die GUI oder der CLI.
Die Hochverfügbarkeitssynchronisierung erfolgt auf dem sekundären Knoten.

Problemumgehung:

Erstellen Sie eine Syslog-Aktion mit der IP-Adresse des Syslog-Servers anstelle des Domänennamens des Syslog-Servers.

[ NSHELP-25944 ]

Das EPA-Plug-in für Windows verwendet keinen konfigurierten Proxy des lokalen Computers und stellt eine direkte Verbindung zum Gateway-Server her.

[ NSHELP-24848 ]

Der Gateway Insight zeigt keine genauen Informationen über die VPN-Benutzer an.

[ NSHELP-23937 ]

Das VPN-Plug-in richtet nach der Windows-Anmeldung keinen Tunnel ein, wenn die folgenden Bedingungen erfüllt sind:

Citrix Gateway-Appliance ist für Always On konfiguriert
Die Appliance ist für zertifikatbasierte Authentifizierung mit Zwei-Faktor-Authentifizierung konfiguriert off

[ NSHELP-23584 ]

Manchmal wird beim Durchsuchen von Schemas die Fehlermeldung Cannot read property 'type' of undefined angezeigt.

[ NSHELP-21897 ]

Ein Fehler beim Anwendungsstart aufgrund eines ungültigen STA-Ticket wird in Gateway Insight nicht gemeldet.

[ CGOP-13621 ]

Der Gateway Insight-Bericht zeigt fälschlicherweise den Wert Local anstelle von SAML im Feld Authentifizierungstyp für SAML-Fehlerfehler an.

[ CGOP-13584 ]

In einem Hochverfügbarkeitssetup erhöht sich während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM.

[ CGOP-13511 ]

Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

[ CGOP-13050 ]

Der Text Home Page in der Citrix SSO-App > Startseite ist für einige Sprachen abgeschnitten.

[ CGOP-13049 ]

Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die Citrix ADC-GUI hinzufügen oder bearbeiten.

[ CGOP-11830 ]

In Outlook Web App (OWA) 2013 wird durch Klicken auf Optionen im Menü Einstellung ein Dialogfeld Kritischer Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

[ CGOP-7269 ]

Wenn Sie in einer Clusterbereitstellung den Befehl force cluster sync auf einem Nicht-CCO-Knoten ausführen, enthält die Datei ns.log doppelte Protokolleinträge.

[CGOP-6794]

Citrix Web App Firewall

Die Web App Firewall-Signatur-ID 1048 verhindert das Laden der Citrix Gateway-Seite.

[ NSHELP-29113 ]

Lastausgleich

In einem Hochverfügbarkeitssetup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

[ NSLB-7679 ]

Die GSLB-Dienstgruppe kann aufgrund eines fehlenden ENUM-Werts in fehlgeschlagenen Befehlen keine Überwachungsaktualisierungen verarbeiten.

[ NSHELP-29050 ]

Die Citrix ADC-Appliance reagiert möglicherweise nicht auf eine GSLB-Domänenabfrage mit einer erwarteten GSLB-Dienst-IP-Adresse, wenn der virtuelle GSLB-Server wie folgt konfiguriert ist: Persistenztyp: Quell-IP-Adresse Load-Balancing-Algorithmus: Statische Nähe Backup-Lastausgleichsmethode: Round Fahrzeit (RTT)

[ NSHELP-28668 ]

Die primären und sekundären VPX-Standorte sind nach der Konfiguration der GSLB-Dienstgruppe mit aktivierter Autoscale abgestürzt.

Problemumgehung: Fügen Sie keine virtuellen Dummy-Server hinzu, z. B. den virtuellen Content Switching-Server, wenn Sie einen GSLB Service hinzufügen oder einen IP-Port an eine GSLB-Dienstgruppe binden.

[ NSHELP-28530 ]

Eine Citrix ADC-Appliance in einem HA-Setup verliert die Konnektivität, da der NSB-Speicher nach dem Senden der HTTP-Antwort während der HTTP-Sondenüberwachung nicht freigegeben wird.

[ NSHELP-28466 ]

Das Format für serviceGroupName in dem Trap entityofs für die Dienstgruppe ist: <service(group)name>?<ip/DBS>?<port>

Im Trapformat wird die Dienstgruppe durch eine IP-Adresse oder einen DBS-Namen und Port identifiziert. Das Fragezeichen (?) wird als Trennzeichen verwendet. Der Citrix ADC sendet den Trap mit dem Fragezeichen (?). Das Format erscheint in der Citrix ADM GUI gleich. Dies ist das erwartete Verhalten.

[NSHELP-28080]

Sonstiges

Wenn eine erzwungene Synchronisierung in einem Hochverfügbarkeitssetup stattfindet, führt die Appliance den Befehl set urlfiltering parameter im sekundären Knoten aus. Infolgedessen überspringt der sekundäre Knoten jede geplante Aktualisierung bis zur nächsten geplanten Zeit, die im Parameter TimeOfDayToUpdateDB erwähnt wird.

[NSSWG-849]

Der Musterabgleich für URL-Satz schlägt für IDNA2008-Standarddomänen fehl.

[ NSHELP-28902 ]

Wenn die MAC-basierte Weiterleitung (MBF) für VXLAN aktiviert ist, wurde die statusbehaftete TCP-Sitzung nicht eingerichtet.

[ NSHELP-27125 ]

Eine Citrix ADC-Appliance wird möglicherweise aufgrund einer Stagnation der Verwaltungs-CPU neu gestartet, wenn ein Verbindungsproblem mit dem Drittanbieter der URL-Filterung auftritt.

[NSHELP-22409]

Netzwerke

Eine Citrix ADC BLX-Appliance im DPDK-Modus kann abstürzen, wenn ein Web Application Firewall-Profil mit erweiterten Sicherheitsschutzprüfungen konfiguriert ist.

Workaround:

Entfernen Sie die Konfiguration des erweiterten Sicherheitsschutzes für WAF.

[NSNET-22654]

Nach einem Upgrade von Citrix ADC BLX Appliance 13.0 61.x Build auf 13.0 64.x Build gehen die Einstellungen in der BLX-Konfigurationsdatei verloren. Die BLX-Konfigurationsdatei wird dann auf die Standardeinstellungen zurückgesetzt.

[NSNET-17625]

Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer Citrix ADC BLX-Appliance mit DPDK nicht unterstützt:

Deaktivieren
Smartcard
Reset

[NSNET-16559]

Auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) wird eine Citrix ADC BLX-Appliance unabhängig von den Einstellungen der BLX-Konfigurationsdatei (/etc/blx/blx.conf) immer im freigegebenen Modus bereitgestellt. Dieses Problem tritt auf, weil mawk, standardmäßig auf Debian-basierten Linux-Systemen vorhanden, einige der in der Datei blx.conf vorhandenen awk-Befehle nicht ausführt.

Workaround:

Installieren Sie gawk vor der Installation einer Citrix ADC BLX Appliance. Sie können den folgenden Befehl in der Linux-Host-CLI zur Installation ausführen gawk:

apt-get install gawk

[NSNET-14603]

Die Installation einer Citrix ADC BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Workaround:

Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine Citrix ADC BLX-Appliance installieren:

-  dpkg --add-architecture i386
-  apt-get update
-  apt-get dist-upgrade
-  apt-get install libc6:i386
<!--NeedCopy-->

[NSNET-14602]

In einigen Fällen von FTP-Datenverbindungen führt die Citrix ADC-Appliance nur NAT-Operationen und keine TCP-Verarbeitung für die Pakete für die TCP-MSS-Aushandlung aus. Infolgedessen ist die optimale Schnittstellen-MTU nicht für die Verbindung eingestellt. Diese falsche MTU-Einstellung führt zu einer Fragmentierung von Paketen und beeinträchtigt die CPU-Leistung.

[NSNET-5233]

Bei einer groß angelegten NAT-Bereitstellung von zwei Citrix ADC-Appliances in einem Hochverfügbarkeits-Setup funktioniert IPSec ALG möglicherweise nicht ordnungsgemäß, wenn für die Hochverfügbarkeitskonfiguration die Option stayprimary oder staysecondary gesetzt ist.

[NSNET-1646]

Wenn ein Speicherlimit für Administratorpartitionen in der Citrix ADC-Appliance geändert wird, wird das Speicherlimit für die TCP-Pufferung automatisch auf das neue Speicherlimit der Admin-Partition festgelegt.

[NSHELP-21082]

Wenn in einem Hochverfügbarkeits-Setup (HA) Gratuitous ARP (GARP) deaktiviert ist, leitet der Upstream-Router den Datenverkehr nach einem HA-Failover möglicherweise nicht an die neue Primärstufe weiter.

[ NSHELP-20796 ]

Plattform

Wenn Sie von 13.0/12.1/11.1-Builds auf einen 13.1-Build oder ein Downgrade von einem 13.1 Build auf 13.0/12.1/11.1-Builds aktualisieren, werden einige Python-Pakete nicht auf den Citrix ADC-Appliances installiert. Dieses Problem wurde für die folgenden Citrix ADC-Versionen behoben:

13.1-4.x
13.0—82.31 und höher
12.1—62.21 und höher

Die Python-Pakete werden nicht installiert, wenn Sie die Citrix ADC-Versionen von 13.1-4.x auf eine der folgenden Versionen herunterstufen:

Jeder 11.1-Build
12.1-62,21 und früher
13.0-81.x und früher

[NSPLAT-21691]

Die Provisioning einer VPX-Instanz mit Version 12.0 XVA schlägt auf einer Citrix ADC SDX-Appliance mit Version 13.1 fehl.

Nur VPX-Versionen 12.1 und höher werden unterstützt. Aktualisieren Sie die VPX-Version, bevor Sie das SBI auf Version 13.1 aktualisieren.

[NSPLAT-21442]

Wenn Sie eine Autoscale-Einstellung oder einen VM-Maßstabssatz aus einer Azure-Ressourcengruppe löschen, löschen Sie die entsprechende Cloud-Profilkonfiguration aus der Citrix ADC-Instanz. Verwenden Sie den Befehl rm cloudprofile, um das Profil zu löschen.

[NSPLAT-4520]

In einem Hochverfügbarkeits-Setup auf Azure wird bei der Anmeldung am sekundären Knoten über die GUI der Bildschirm für den Erstbenutzer (FTU) für die Konfiguration des automatischen Cloud-Profils angezeigt. Problemumgehung: Überspringen Sie den Bildschirm und melden Sie sich beim primären Knoten an, um das Cloud-Profil zu erstellen. Das Cloud-Profil sollte immer auf dem primären Knoten konfiguriert werden.

[ NSPLAT-4451 ]

Die Citrix ADC VPX-Instanzen, die den VMXNET3-Treiber verwenden, stürzen möglicherweise zufällig ab, wenn die Instanz auf einem der folgenden Citrix ADC-Builds ausgeführt wird:

Citrix ADC 13.1 erstellen 4.x
Citrix ADC 13.1 erstellen 9.x

[ NSHELP-29120 ]

Richtlinien

Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße. Workaround: Stellen Sie die TCP-Puffergröße auf eine maximale Datengröße ein, die verarbeitet werden muss.

[ NSPOLICY-1267 ]

SSL

Auf einem heterogenen Cluster von Citrix ADC SDX 22000 und Citrix ADC SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

Workaround:

Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Zum Beispiel set ssl vserver <name> -SSL3 DISABLED.
Speichern Sie die Konfiguration.

[NSSSL-9572]

Der Update-Befehl ist für die folgenden Befehle zum Hinzufügen nicht verfügbar:

-  add azure application
-  add azure keyvault
-  add ssl certkey with hsmkey option
<!--NeedCopy-->

[NSSSL-6484]

Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

[NSSSL-6478]

Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

[NSSSL-6213]

Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben. FEHLER: crl refresh disabled

[NSSSL-6106]

Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

[NSSSL-4427]

Eine falsche Warnmeldung Warning: No usable ciphers configured on the SSL vserver/service, wird angezeigt, wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern.

[NSSSL-4001]

Ein abgelaufenes Sitzungsticket wird nach einem HA-Failover auf einem Nicht-CCO-Knoten und auf einem HA-Knoten berücksichtigt.

[NSSSL-3184]

Eine Citrix ADC-Appliance stürzt während der Verarbeitung einer HTTP-Anforderung ab, wenn die Richtlinienaktion für eine Richtlinie auf Forwardfestgelegt ist, die bereits an den Anforderungsbindepunkt gebunden ist.

[ NSHELP-29115 ]

System

Ein TCP-Fensterleck wird beobachtet, wenn eine Citrix ADC-Appliance HTTP/2-Header-Frames verarbeitet.

[ NSHELP-28475 ]

Wenn ein Client eine Verbindung mit mehreren TCP-Streams zurücksetzt, wird der serverseitige Transaktionsdatensatz nicht gesendet, was dazu führt, dass L4-Datensätze für diese Datenströme fehlen.

[ NSHELP-28281 ]

In einem Clustersetup funktioniert der Befehl set ratecontrol erst nach dem Neustart der Citrix ADC-Appliance.

Workaround:

Verwenden Sie den Befehl nsapimgr_wr.sh -ys icmp_rate_threshold=<new value>.

[ NSHELP-21811 ]

Der Wert MAX_CONCURRENT_STREAMS ist standardmäßig auf 100 festgelegt, wenn die Appliance den max_concurrent_stream-Einstellungsrahmen nicht vom Client empfängt.

[NSHELP-21240]

Die mptcp_cur_session_without_subflow-Zähler verringern fälschlicherweise auf einen negativen Wert statt auf Null.

[NSHELP-10972]

Client-IP und Server-IP werden im HDX Insight SkipFlow-Datensatz invertiert, wenn der LogStream-Transporttyp für Insight konfiguriert ist.

[NSBASE-8506]

Benutzeroberfläche

In der Citrix ADC GUI ist der Help-Link unter der Dashboard-Registerkarte defekt.

[NSUI-14752]

Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

Workaround:

Konfigurieren Sie Cloudbridge-Konnektoren, indem Sie IPsec-Profile, IP-Tunnel und PBR-Regeln über die Citrix ADC-GUI oder CLI hinzufügen.

[NSUI-13024]

Wenn Sie über die GUI einen ECDSA-Schlüssel erstellen, wird der Kurventyp nicht angezeigt.

[NSUI-6838]

Das folgende Problem tritt auf, wenn ein Vorgang ausgeführt wird, der die Datei ns.conf liest. Zum Beispiel show ns saved config.

Der HTTPD-Prozess kann einfrieren, wodurch auf die GUI und die NITRO-API nicht mehr zugegriffen werden kann.

[ NSHELP-28249 ]

In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

Workaround:

Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Erfolgsstatus Sync).

[ NSHELP-25598 ]

Das Hochladen und Hinzufügen einer Zertifikatsperrlistendatei (CRL) schlägt in einer Admin-Partitionseinrichtung fehl.

[NSHELP-20988]

Wenn Sie eine Citrix ADC-Appliance Version 13.0-71.x auf einen früheren Build herunterstufen, funktionieren einige NITRO-APIs aufgrund der Änderungen der Dateiberechtigung möglicherweise nicht.

Workaround:

Ändern Sie die Berechtigung für /nsconfig/ns.conf auf 644.

[NSCONFIG-4628]

Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften Citrix ADC-Appliance anmelden.

Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds:
- Build 13.0 52.24
- Build 12.1 57.18
- Build 11.1 65.10
Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
Downgrade der Citrix ADC-Appliance auf einen älteren Build.

Um die Liste dieser Systembenutzer über die CLI anzuzeigen: Geben Sie an der Eingabeaufforderung Folgendes ein:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Workaround:

Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mithilfe einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herab.
Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

Weitere Informationen finden Sie unter Zurücksetzen des Root-Administratorkennworts.

[NSCONFIG-3188]

Jeder der folgenden Citrix ADC-Upgradevorgänge kann zu Anmeldefehlern für Benutzerkonten des lokalen Systems führen:

von Citrix ADC 13.0-83.x Build bis Citrix ADC 13.1-4.x Build
vom Citrix ADC 12.1-63.x Build zum Citrix ADC 13.1-4.x-Build
von Citrix ADC 12.1-63.x Build bis Citrix ADC 13.0-82.x Build

Dieses Problem tritt nur bei Benutzerkonten des lokalen Systems auf, die eine der folgenden Bedingungen erfüllen:

Das Benutzerkennwort wurde für das lokale Systemkonto im Citrix ADC-Build (13.0-83.x oder 12.1-63.x) geändert, bevor der Aktualisierungsvorgang durchgeführt wurde.
Das lokale Systembenutzerkonto wurde vor dem Ausführen des Upgrade-Vorgangs zum Citrix ADC-Build (13.0-83.x oder 12.1-63.x) hinzugefügt.

Workaround:

Ein Systemadministrator kann das Kennwort für die Benutzerkonten des lokalen Systems zurücksetzen, bei denen das Problem mit dem Anmeldefehler auftritt.

Weitere Informationen finden Sie unter Zurücksetzen des Root-Administratorkennworts.

[NSCONFIG-5650]

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Citrix Dokumentation maschinell übersetzt. Citrix hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Citrix Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Citrix gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Citrix kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

Versionshinweise für Citrix ADC 13.1—4.44 Version

November 3, 2022

Beitrag von:

November 3, 2022

Beitrag von:

War dieser Artikel hilfreich?