Citrix ADC

Citrix ADC 13.0-41.28 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 13.0 Build 41.28 的增强和更改,列出了已修复的问题,并指定了存在的问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
  • “已知问题”部分是累积性的。它包括此版本中新发现的问题,以及之前的 Citrix ADC 13.0 版本中未修复的问题。
  • 问题描述下的 [# XXXXXX] 标签是 Citrix ADC 团队使用的内部跟踪 ID。
  • Build 41.28 取代了 Build 41.20

  • 版本 41.20 包含对以下问题的修复:
    • 已知问题: NSSSL-7044、NSCONFIG-2370、NSHELP-136、NSHELP-16407、NSHELP-20266
    • 已修复问题: CGOP-11830、NSCONFIG-2232、NSHELP-19614、NSHELP-20020、NSHELP-20522、NSNET-10968、NSNET-11916
    • 增强功能: NSCONFIG-2224、NSNET-12256

注意事项

使用 Build 41.28 时要记住的一些重要方面。

  • Citrix ADC VPX 设备

    • 要在 Azure Stack 上部署 VPX,必须将 Azure Stack 中的 DNS 转发器配置为支持 DNS 根服务器的解析。

    [NSPLAT-10838]

新增功能

版本 41.28 中提供的增强功能和更改。

AppFlow

  • 支持管理分区中的 Logstream

    Citrix ADC 设备现在可以从管理分区发送 Logstream 记录。

    [NSBASE-4777]

  • 通过 NSIP 地址监视日志流记录

    Citrix ADC 设备现在可以使用 NSIP 地址连接到 Citrix ADM 来发送 Logstream 记录。

    [NSBASE-7400]

身份验证、授权和审核

Citrix ADC BLX 设备

  • Ubuntu Linux 主机支持 Citrix ADC BLX 设备

    Citrix ADC BLX 设备现在支持在 Ubuntu Linux 系统中运行。

    [NSNET-9259]

  • BGP 对 Citrix ADC BLX 设备的 BGP 动态路由协议支持

    Citrix ADC BLX 设备现在支持 IPv4 和 IPv6 BGP 动态路由协议。

    [NSNET-7785]

  • DPDK 支持 Citrix ADC BLX 设备

    Citrix ADC BLX 设备现在支持数据平面开发套件 (DPDK),这是一组 Linux 库和网络接口控制器,用于提高网络性能。Citrix ADC BLX 设备仅在专用模式下支持 DPDK。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc-blx/13/deploy-blx-dpdk.html。

    [NSNET-2456]

Citrix ADC CPX 设备

  • 在较轻版本的 Citrix ADC CPX 中,monitorConnectionClose 参数值的默认值设置为 RESET

    要使用全局负载平衡参数关闭监视器与探测器的连接,您可以将 monitorConnectionClose 配置为 FIN 或 RESET。当您将 monitorConnectionClose 参数配置为:

    • FIN:设备执行完整的 TCP 握手。

    • RESET:设备在从服务接收 SYN-ACK 后关闭连接。

    在较轻版本的 Citrix ADC CPX 中,monitorConnectionClose 参数值默认设置为重置,无法在全局级别上更改为 FIN。但是,您可以在服务级别将 monitorConnectionClose 参数更改为 FIN。

    [NSLB-4610]

Citrix ADC GUI

Citrix ADC VPX 设备

Citrix 机器人管理

  • Citrix 机器人管理

    检测和缓解机器人威胁是当今世界的核心安全需求。这是通过使用机器人管理系统实现的。Citrix 机器人管理保护您的 Web 应用程序、应用程序和 API 免受基本和高级安全攻击。Citrix Bot Management 使用以下六种检测机制来检测机器人类型并采取缓解措施。

    这些技术包括机器人白名单、机器人黑名单、IP 信誉、设备指纹识别、速率限制和静态签名。

    IP 信誉。此机制通过主动更新的恶意 IP 地址数据库检测入站流量是否为机器人。

    设备指纹。设备指纹识别将 javascript 注入 HTTP 流,并评估从该 Javascript 返回的属性以确定入站流量是否是机器人。

    速率限制。检测技术对通过会话、cookie 或 IP 来自同一客户端的多个请求进行速率限制。

    机器人签名。该检测技术根据 Citrix 威胁研究团队培育的 3,500 多个签名检测和拦截机器人。例如,机器人可能是未经授权的网址,用于抓取网站、暴力破解登录或探测漏洞的网址

    机器人白名单。白名单是可自定义的 URL、IP、CIDR 块和策略表达式列表,用于将符合这些参数之一的入站流量列入白名单并允许入站流量。

    机器人黑名单。黑名单是可自定义的 URL、IP、CIDR 块和策略表达式列表,用于将符合这些参数之一的入站流量列入黑名单并拒绝这些流量。

    Citrix Bot Management 可缓解针对您的公共应用程序、API 和网站的自动威胁和有害机器人流量。如果传入流量被确定为机器人,系统将采取由 ADC 管理员分配的操作,并生成可靠的报告以实现问责和可审计性。

    机器人管理提供以下好处:

    • 防御机器人、脚本和工具包 — 基于静态签名的防御和设备指纹识别可缓解基本和高级机器人的威胁。

    • 抵御基本和高级攻击 — 防止 App 层 DDoS、密码泄露、密码填充、价格抓取工具、内容抓取器等攻击。

    • 保护您的 API 和投资 — 保护您的 API 免遭滥用、探测和数据泄露,并保护基础设施投资免受有害流量的侵害。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/bot-management.html。

    [NSWAF-2900]

Citrix Gateway

  • 有选择地使用客户端的旧版或最新登录协议

    使用 Workspace 应用程序和 Citrix Gateway 的客户现在可以根据策略有选择地使用旧版或最新的登录协议。客户可以对某些客户端使用旧的网络协议,也可以允许客户端使用传统协议与 Citrix Gateway 客户端进行原生 Intune 集成,主要是使用设备唯一标识符检查 Intune 合规性。

    [CGOP-10879]

  • Windows 登录前始终处于开启状态

    Windows 登录前的 AlwaysOn 使用户能够在用户登录 Windows 系统之前建立 VPN 隧道。这种持久的 VPN 连接是通过设备启动后自动建立设备级 VPN 隧道来实现的。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html。

    [CGOP-10791]

Citrix Web App Firewall

  • 允许的文件上传格式

    Citrix Web App Firewall 现在允许您在 Citrix Web App Firewall 配置文件中配置允许的文件上传格式。通过这样做,您可以将文件上传限制为特定格式,并在多表单提交期间保护设备免受恶意上传。

    注意:只有当您在 WAF 配置文件中禁用“ExcludeFileUploadFormChecks”选项时,该功能才有效。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/application-firewall/profiles/file-upload-protection.html

    [NSWAF-2579]

  • 详细记录违规模式

    现在,您可以配置 Web App Firewall 配置文件,以便在攻击发生时提供详细的违规模式。通过配置 Verbose 日志级别选项,您可以记录有效负载的不同部分以及攻击模式,以进行取证分析或故障排除。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/application-firewall/profiles/detailed-troubleshooting-with-waf-logs.html

    [NSWAF-2892]

  • JSON 内容保护

    Citrix Web App Firewall 现在为 DOS、XSS 和 SQL 攻击提供 JSON 保护。JSON 拒绝服务 (DoS)、SQL 和 XSS 规则会检查传入的 JSON 请求,并验证是否有任何数据与 DoS、SQL 或 XSS 攻击的特征相匹配。如果请求存在 JSON 违规,设备将阻止请求、记录数据、发送 SNMP 警报以及显示 JSON 错误页面。JSON 保护检查的目的是防止攻击者发送 JSON 请求以对您的 JSON 应用程序或网站发起 DoS、XSS 或 SQL 攻击。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/application-firewall/json-content-protection.html

    [NSWAF-2894]

  • 用于降低 CPU 利用率的 WAF POST 正文阈值

    应用程序防火墙签名文件现在包括 CPU 使用率、最新适用年份和严重性级别。每次定期修改和上传特征文件时,您都可以查看 CPU 使用率、最近年份和 CVE 严重性级别。观察这些值后,您可以决定在设备上启用或禁用签名。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/application-firewall/profiles/app-firewall-profile-settings.html

    [NSWAF-2932]

  • 使用动态配置文件自动部署学习数据。

    现在,您可以将学习的数据作为放松规则自动部署。在动态分析中,如果 Web App Firewall 在用户定义的阈值内记录学习数据,则设备会向用户发送 SNMP 警报。如果用户未在宽限期内跳过数据,则设备会自动部署数据作为放宽规则。以前,用户必须手动部署所学数据作为放宽规则。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/application-firewall/profiles/dynamic-profiling.html

    [NSWAF-2895]

群集

DNS

  • 2019 年 DNS 国旗日合规性

    Citrix ADC 设备现在完全符合 2019 年 DNS 国旗日。

    [NSLB-4275]

许可

  • 标准许可证中的动态路由协议

    Citrix ADC 标准许可证现在包括 Citrix ADC 动态路由协议。Citrix ADC 支持以下动态协议:

    • RIP(IPv4 和 IPv6)

    • OSPF(IPv4 和 IPv6)

    • BGP(IPv4 和 IPv6)

    • IS-IS(IPv4 和 IPv6)

    [NSNET-12256]

  • SDX 最小带宽和最小实例的新值

    支持 Citrix ADC 池容量的 SDX 设备的最小带宽和最小实例值已更改。有关详细信息,请参阅:

    https://docs.citrix.com/zh-cn/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html

    [NSSVM-2770]

  • 标准许可证中的动态路由协议

    Citrix ADC 标准许可证现在包括 Citrix ADC 动态路由协议。Citrix ADC 支持以下动态协议:

    • RIP(IPv4 和 IPv6)

    • OSPF(IPv4 和 IPv6)

    • BGP(IPv4 和 IPv6)

    • IS-IS(IPv4 和 IPv6)

    [NSPLAT-6179]

负载平衡

  • 支持安全的 NTLM 监视器

    现在,您可以使用 nsntlm-lwp.pl 脚本创建监视器来监视安全的 NTLM 服务器。

    [NSLB-4806]

NITRO

  • 使用所需状态 API 无缝更新具有所需成员集的服务组

    现在,您可以使用所需状态 API 用所需的服务组成员集更新服务组。使用所需状态 API,您可以在“servicegroup_servicegroupmemberlist_binding”资源的单个 PUT 请求中提供服务组成员列表及其权重和状态(可选)。Citrix ADC 设备将请求的所需成员集与配置的成员集进行比较。然后,它会自动绑定新成员并解除请求中不存在的成员的绑定。

    [NSLB-4543]

  • 将系统用户限制到特定的管理接口

    Citrix ADC 设备现在允许您限制用户对特定管理接口(CLI 或 API)的访问权限。可以在用户级别为特定用户或一组用户配置允许的管理接口列表。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/restricted-management-interface-access.html。

    [NSCONFIG-1376]

平台

  • 为接口设置接收环形大小和振铃类型

    现在,您可以增加 Citrix ADC MPX 和 SDX 平台上 IX、F1X、F2X 和 F4X 接口的接收环路大小和振铃类型。

    增加戒指尺寸可为应对突发流量提供更多缓冲,但可能会影响性能。IX 接口支持最大 8192 的环形大小。F1X、F2X 和 F4X 接口支持最大 4096 的环形大小。默认戒指尺寸继续为 2048。

    默认情况下,接口环类型是弹性的。它们的大小根据数据包到达率增加或减小。您可以将振铃类型配置为“固定”,这样它就不会根据流量速率而变化。

    [NSPLAT-9264]

策略

SSL

  • 通过基于策略的客户端身份验证支持可选的客户端证书验证

    配置了基于策略的客户端身份验证后,可以将客户端证书验证设置为可选。以前,强制是唯一的选择。现在,可选和强制选项均可用且可配置。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/ssl/ssl-actions-and-policies/config-built-in-ssl-actions.html#client-certificate-verification-with-policy-based-client-authentication。

    [NSSSL-690]

  • 支持在 stat ssl 命令中显示 RSA 3072 位密钥值

    stat ssl 的输出现在包含 RSA 3072 位密钥交换值。

    stat ssl -detail

    SSL 卸载

    现有 SSL 卡 8

    SSL 卡 UP 8

    SSL 引擎状态 1

    SSL 会话(比率)0

    密钥交易所

    RSA 512 位密钥交换 0 0

    RSA 1024 位密钥交换 0 0

    RSA 2048 位密钥交换 0 0

    RSA 3072 位密钥交换 0 106380

    RSA 4096 位密钥交换 0 0

    Done

    [NSSSL-1954]

  • 支持更长的 SSL 实体名称

    为了帮助客户在所有 ADC 实体中保持标准命名惯例,Citrix ADC 设备现在支持最多 63 个字符的证书名称。早些时候,限制为 31 个字符。

    [NSSSL-5976]

  • Intel Coleto 芯片运行状况检查增强功能

    搭载 Intel Coleto 芯片的 Citrix ADC 设备现在支持对称 (SYM) 和非对称 (ASYM) 操作的增强型运行状况检查。

    [NSSSL-6299]

  • 支持分段的 TLS 消息

    Citrix ADC 设备现在支持对服务器证书消息和证书请求消息进行分段。这些消息在所有记录中支持的最大大小为 32 KB。以前,不支持分段,支持的最大消息大小为 16 KB。

    [NSSSL-5971]

系统

  • 实现 ICAP 请求超时和响应超时

    要处理 ICAP 响应超时问题,您可以在 ICAP 配置文件中为“reqTimeout”参数配置 ICAP 请求超时值。通过执行此操作,您可以为设备设置请求超时操作,使其在 ICAP 服务器延迟 ICAP 响应时采取任何操作。如果设备在配置的请求超时内没有收到任何 ICAP 响应,则设备可以根据在 Icapprofile 上配置的“ReqTimeoutAction”参数执行以下操作之一。

    ReqTimeoutAction:可能的值包括旁路、重置、丢弃。

    BYPASS:如果在超时值内未收到带有封装标头的 ICAP 响应,则会忽略远程 ICAP 服务器的响应并将完整的请求/响应发送到客户端/服务器

    RESET(默认):通过关闭客户端连接来重置。

    DROP:在不向用户发送响应的情况下删除请求

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/content-inspection/icap-for-remote-content-inspection.html

    [NSBASE-3040,NSBASE-2264]

  • 在内容检查期间处理 ICAP 服务器停机时间

    为了在内容检查期间处理 ICAP 服务器停机时间,Citrix ADC 设备现在允许您配置 ifserverdown 参数并分配以下操作。

    继续:如果用户想在远程服务器关闭时绕过内容检查,则可以选择此操作。

    RESET(默认):此操作通过关闭与 RST 的连接来响应客户端。

    DROP:此操作会在不向用户发送响应的情况下以静默方式丢弃数据包。

    [NSBASE-4936]

  • 入侵检测系统 (IDS) 与 L3 连接集成

    Citrix ADC 设备现已与入侵检测系统 (IDS) 等被动安全设备集成在一起。在此设置中,设备将原始流量的副本安全地发送到远程 IDS 设备。这些被动设备存储日志,并在检测到不良或不合规的流量时触发警报。它还会生成用于合规目的的报告。如果 Citrix ADC 设备与两台或多台 IDS 设备集成在一起,并且流量很大,则设备可以通过在虚拟服务器级别克隆流量来平衡设备的负载。

    为了提供高级安全保护,Citrix ADC 设备与被动安全设备集成在一起,例如在仅检测模式下部署的入侵检测系统 (IDS)。这些设备存储日志,并在发现不良或不合规的流量时触发警报。它还会生成用于合规目的的报告。以下是将 Citrix ADC 与 IDS 设备集成的一些好处。

    1. 检查加密流量-大多数安全设备会绕过加密流量,从而使服务器容易受到攻击。Citrix ADC 设备可以解密流量并将其发送到 IDS 设备以增强客户的网络安全。

    2. 将 IDS 设备从 TLS/SSL 处理中卸载 — TLS/SSL 处理非常昂贵,如果入侵检测设备解密流量,则会导致入侵检测设备中的系统 CPU 过高。随着加密流量的快速增长,这些系统无法解密和检查加密的流量。Citrix ADC 有助于将流量从 TLS/SSL 处理中卸载到 IDS 设备。这种卸载数据的方式会导致 IDS 设备支持大量流量检查。

    3. 负载平衡 IDS 设备 — 当流量较大时,Citrix ADC 设备通过在虚拟服务器级别克隆流量来对多个 IDS 设备进行负载平衡。

    4. 将流量复制到被动设备-流入设备的流量可以复制到其他被动设备以生成合规性报告。例如,很少有政府机构要求在某些被动设备中记录每个交易。

    5. 向多个被动设备发送流量 — 有些客户更喜欢扇出或将传入流量复制到多个被动设备中。

    6. 智能选择流量-可能不需要对流入设备的每个数据包进行内容检查,例如下载文本文件。用户可以将 Citrix ADC 设备配置为选择要检查的特定流量(例如.exe 文件),然后将流量发送到 IDS 设备以处理数据。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/content-inspection/intrusion-detection-system-for-l3.html

    [NSBASE-6800]

  • 用于调试负载平衡虚拟服务器的新实体计数器

    添加了一个新的实体计数器,用于调试虚拟服务器和分析目的。

    [NSBASE-8087]

  • In Service Software Upgrade 过程的 SNMP 陷阱

    高可用性设置的服务中软件升级 (ISSU) 过程现在支持在 ISSU 迁移操作的开始和结束时发送 SNMP 陷阱消息。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html。

    [NSNET-9959]

  • 回滚运行中软件升级流程

    高可用性设置现在支持回滚在役软件升级 (ISSU) 流程。如果您观察到 ISSU 过程之后或期间的 HA 设置不稳定,或者性能未达到预期的最佳水平,则 ISSU 回滚功能会很有用。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html。

    [NSNET-9958]

  • 更改默认 RPC 节点密码

    在 HA、群集和 GSLB 部署中,如果默认 RPC 节点密码未更改,则会出现 nsroot 和超级用户登录的警告消息。

    [NSCONFIG-2224]

视频优化

已修复的问题

版本 41.28 中解决的问题。

管理分区

  • 在使用管理分区配置的高可用性设置中,只有当可以从管理分区访问 SYSLOG 或 NSLOG 服务器时,才会将从辅助节点生成的审核日志发送到 SYSLOG 或 NSLOG 服务器。

    [NSHELP-19399]

  • 在分区设置中,“diff ns config”CLI 命令会显示误导性信息。

    [NSHELP-19530]

AppFlow

  • 如果 AppFlow 策略绑定到内容交换虚拟服务器后面的负载平衡虚拟服务器,则不会触发该策略。

    [NSHELP-18782,NSBASE-8180]

  • 如果您将用户定义的分析配置文件(内部绑定配置文件除外)绑定到 AppFlow 操作,Citrix ADC 设备会崩溃。

    [NSHELP-19362]

  • 启用 AppFlow“客户端测量”功能时,Citrix ADC 设备会意外地解析 HTML 页面的 CSS 文件。CSS 解析期间的任何错误都可能导致 HTML 页面加载不正确。

    [NSHELP-19375]

  • 如果禁用 AppFlow 但在 FEO 操作中通过客户端测量启用了前端优化 (FEO),Citrix ADC 设备可能会崩溃。

    [NSHELP-19531]

  • 如果 AppFlow 收集器在 Logstream 传输模式下关闭,Citrix ADC 设备可能会重新启动。

    [NSHELP-19837]

身份验证、授权和审核

  • 如果满足以下条件,Citrix ADC 设备可能允许未经授权的访问:

    • 未配置相应的授权策略。

    • 默认情况下,“set tm sessionParameter”命令中的 defaultAuthorizationAction 参数为 ALLOW

    [NSAUTH-6013]

  • 即使在 SSH 公钥身份验证成功之后,SNMP 仍会发送陷阱。

    [NSHELP-18303]

  • 当 TACACS 服务器在不发送身份验证响应的情况下关闭与 FIN 或 RST 数据包的 TCP 连接时,探测服务器命令会提供相应的消息。

    [NSHELP-18399]

  • 将 10.5 版上的 Citrix ADC 群集设置升级到更高版本时,系统登录到更高版本上的非 CCO 节点失败。

    [NSHELP-18511,NSAUTH-5561]

  • 如果服务器发送大型 RelayState 参数名称和断言,则配置为 SAML SP 的 Citrix ADC 设备将失败。

    [NSHELP-18559]

  • Citrix 身份验证、授权和审核注销消息有时会显示不正确的虚拟服务器名称。

    [NSHELP-18751]

  • 如果满足以下条件之一,Citrix ADC 设备将无法通过受限委派获取 Kerberos 票证:

    • 为用户配置了企业“领域”参数。

    • “keytab”参数中的域名是小写的。

    [NSHELP-18946]

  • 如果满足以下条件,缓冲区就会损坏:

    • 缓冲区中的数据被覆盖。

    • 核心到核心的消息处理会导致缓冲区回收状态。

    [NSHELP-18952]

  • 如果用户代理包含 ns_aaa_activesync_useragents 中提到的模式之一,Citrix ADC 设备不会丢弃未经身份验证的 HTTP 选项请求。

    [NSHELP-19024]

  • 在 Citrix Gateway 设备上进行多次故障转移后,WebAuth 身份验证失败。

    [NSHELP-19050]

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃:

    • 在 LDAP 操作命令中启用了密码更改选项。

    • 带有身份验证、授权和审计会话的 LDAP 操作遇到了会话传播问题。

    [NSHELP-19053]

  • 当 Citrix Gateway 或流量管理虚拟服务器使用 Kerberos 身份验证时,Citrix ADC 设备的内存使用量会增加。

    [NSHELP-19085]

  • 如果配置了 metadataURL 参数并重新启动 Citrix 设备,则不会保存 SAMLAction 命令并且配置将丢失。

    [NSHELP-19140]

  • 如果您设置“导入元数据 URL”,然后通过提供来自 Citrix ADC GUI 的重定向 URL 对其进行编辑,则重定向 URL 已设置,但导入元数据 URL 未取消设置。因此,Citrix ADC 设备使用元数据 URL。

    [NSHELP-19202]

  • 如果 Citrix GUI 或 NITRO API 登录请求的输入的用户名或密码值无效,Citrix ADC 设备可能会崩溃。

    [NSHELP-19254]

  • 如果将身份验证登录架构策略设置为 noschema,Citrix 设备可能会崩溃。

    [NSHELP-19292]

  • 如果在 samlIdPProfile 命令中配置了 defaultAuthenticationGroup 参数,Citrix ADC 设备偶尔会出现故障。

    [NSHELP-19301]

  • 当通过负载平衡虚拟服务器和负载平衡服务访问 Citrix ADC 管理时,使用基于角色的访问 (RBA) 身份验证从 Citrix GUI 或 NITRO API 登录系统用户失败。

    [NSHELP-19385]

  • Active Directory 联合服务 (ADFS) 无法导入 Citrix ADC SAML 服务提供商 (SP) 生成的元数据。

    [NSHELP-19390]

  • 如果数字签名包含 HTML 实体编码字符,则 base64 解码失败。

    [NSHELP-19410]

  • 为 SAML 身份提供商 (IdP) 配置的 Citrix ADC 设备无法对某些应用程序的传入身份验证请求进行身份验证。

    [NSHELP-19443]

  • 如果在检查任何现有会话之前处理了客户端请求中的对话 Cookie,Citrix ADC 设备会向客户端发送更改密码页面。

    [NSHELP-19528]

  • 如果 URL 包含“;”特殊字符,则 TASS cookie 会在登录时对 URL 重定向进行编码。

    [NSHELP-19634]

  • 如果在管理员登录期间提取用户组,Citrix ADC AAA 的内存使用量会逐渐增加。

    [NSHELP-19671]

  • 当配置为采用 WS-Fed 协议的 SAML 的 Citrix ADC 设备在密码中包含特殊字符“&”时,身份验证可能会失败。

    [NSHELP-19740]

  • 如果满足以下条件,则会观察 500 错误消息:

    • 启用身份验证、授权和审核的流量管理虚拟服务器无需使用 cookie 即可获得发布请求。

    • 帖子正文包含换行符。

    [NSHELP-19852]

  • Citrix ADC 设备使用从身份验证、授权和审计流量管理虚拟服务器收到的 OPTIONS 方法处理未经身份验证的 HTTP 请求。此时,设备会使用相应的 HTTP 401 错误消息进行响应。

    [NSHELP-19916]

  • 如果 HSTS 标头的最大年龄值设置为 2,147,483,647 以上,Citrix ADC 设备将发送负值。

    [NSHELP-19945]

  • SAML 响应中的 SAML 属性值包括多行 SAML AttributeValue,而不是一行。

    [NSHELP-19961]

  • 在 OpenID-Connect 机制中,OAuth 依赖方 (RP) 在调用密码授权 API 时不对用户名或密码属性进行编码。

    [NSHELP-19987]

  • 如果配置为 SAML 身份提供商 (IdP) 的 Citrix ADC 设备包含引号,则会截断服务提供商 (SP) 的中继状态。

    [NSHELP-20131]

  • 如果满足以下条件,Citrix Gateway 设备可能会出现故障:

    • 当用户注销会话时。

    • 该设备部署在 HDX 平台上。

    • Citrix Gateway 中使用 SAML 身份验证。

    [NSHELP-20206]

  • 当您在 FIPS 设备上使用 SAML IdP 时,Citrix ADC 设备可能会崩溃。

    [NSHELP-20282]

  • 如果用户在拍摄 VPX 快照时尝试登录,Citrix Gateway 设备有时可能会失败。

    [NSHELP-20292]

  • 在流量管理虚拟服务器上配置为 SAML 服务提供商 (SP) 的 Citrix ADC 设备在 SAML 登录后不会向后端服务器发送帖子正文响应。

    [NSHELP-20348]

  • 在 Citrix ADC GUI 中观察到以下行为:

    • 您无法编辑 OAuth 策略。

    • 您只能编辑 OAuth 操作。

    • OAuth 策略选项只能在“高级策略”下,而不是“基本策略”下。

    [NSHELP-2131]

  • 有时,Citrix Gateway 设备在收到来自客户端的 /vpns/services.html 请求时可能会出现故障。

    [NSHELP-8513]

CPXCPX-Infra

  • 功能:Citrix ADC CPX

    以下默认 TCP 配置文件未自动设置为 TCP 最大分段大小 (MSS):

    • nstcp_default_profile

    • nstcp_internal_apps

    [NSNET-11916]

Citrix ADC BLX 设备

  • 在 Citrix ADC BLX 设备上,您无法将接口 0/1 绑定到 VLAN,因为此接口用于 BLX 设备与 Linux 主机应用程序之间的内部通信。

    [NSNET-10014]

  • 分配给 Citrix ADC BLX 设备的接口(Linux 主机)禁用接口功能(例如 Rx、Tx、GRO、GSO 和 LRO)。即使在 BLX 设备停止时将这些 BLX 接口发布到默认命名空间之后,这些功能仍保持禁用状态。

    [NSNET-9697]

Citrix ADC CLI

  • 以 nsrecover 用户身份登录时,nscli-U 命令会引发错误。

    [NSCONFIG-1414]

  • 如果 Citrix ADC 设备达到最大用户会话数(大约 1000 个会话),并且管理界面停止响应,则该设备将变得无响应。

    [NSHELP-19212,NSCONFIG-1369]

Citrix ADC CPX

  • Citrix ADC CPX 实例的较轻版本未在 Citrix ADM 上注册。

    [NSCONFIG-2232]

  • 您无法为 Citrix ADC CPX 配置带有 /32 位子网掩码的 NSIP。

    [NSNET-10968]

Citrix ADC GUI

  • 一条错误消息,“无法读取未定义的属性’get’。“在流标识符 GUI 页面中单击“操作”时出现。

    [NSHELP-19369]

  • 在您执行步骤 1 到 4 后,会出现以下错误消息。

    “参数值 [] 不明确”

    1. 使用默认值创建 SSL 配置文件。

    2. 将配置文件绑定到 SSL 虚拟服务器。

    3. 编辑 SSL 参数,但不要更改任何值。

    4. 选择“确定”关闭 SSL 参数对话框。

    [NSHELP-19402]

  • 由于框架中的一些技术问题,所有服务组均未显示在 ADC GUI 中。

    [NSUI-13754]

Citrix ADC SDX 设备

  • 您现在可以在 VPX 实例上配置的最大内核数取决于特定 SDX 平台上的可用内核。早些时候,即使有更多内核可用,您也可以最多仅配置五个内核。

    有关您可以分配给 VPX 实例的最大内核数的信息,请参阅 https://docs.citrix.com/zh-cn/sdx/13/provision-netscaler-instances.html

    [NSHELP-18632]

  • 恢复 SDX 设备后,备份文件中的分区 MAC 未在 SDX 设备上运行的相应 VPX 实例上恢复。

    [NSHELP-19008]

  • 在 SDX 设备上运行的 VPX HA 设置中,当虚拟端口通道 (VPC) 中的一台交换机出现故障时,LACP 中的所有接口都会发生故障。这会触发 HA 故障转移。

    [NSHELP-19095]

  • 当您应用 SSL 配置以使用基于策略的客户端身份验证将客户端证书验证设置为可选时,SDX 8900 设备可能会崩溃。

    [NSHELP-19297]

  • 升级 SDX 设备后,设备上的 LA 通道和 VLAN 配置可能会丢失。

    [NSHELP-19392,NSHELP-19610]

  • 在 SDX 14000 FIPS 设备中配置池许可时,您可以查看的最低实例数为 25 个。通过此修复,您可以检出的最小实例数为两个。有关更多信息,请参阅 Citrix ADC 池容量文档:

    https://docs.citrix.com/zh-cn/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html。

    [NSHELP-20305]

  • 重置操作后,传输速率下降。

    [NSPLAT-7792]

  • 在 SDX 26000 和 SDX 15000 平台上,当满足以下条件时,通过 SSH 对 DOM0 的管理访问可能会停止:

    • 同时重启多个 VPX 实例。

    • 为 VPX 实例分配 100 GE 或 50 GE 接口。

    [NSPLAT-9185]

  • 当满足以下所有条件时,SDX 设备可能会在重新启动周期结束时挂起:

    • SDX 设备正在启动。

    • 在 SDX 设备上运行的所有 VPX 实例尚未启动。

    • 热重启命令在 SDX 设备上运行。

    因此,在 Citrix Hypervisor 控制台上,SDX 设备会定期进行清理,并在“达到目标最后一步”行处停止。

    [NSPLAT-9417]

  • 在 SDX 设备上运行的 VPX 实例上从允许的 VLAN 列表 (AVL) 中配置 VLAN 后,该实例无法自动重启。因此,VPX 实例与 AVL 之间的通信停止。

    [NSSVM-135]

Citrix ADC VPX 设备

  • 如果 VPX 实例有 vCPU 许可证,您可能无法使用管理 IP 访问该实例。该问题出现在所有本地和云端 VPX 实例中。如果 VPX 实例在 SDX 设备上运行,则可以从 SDX 管理服务 GUI 访问该实例。

    [NSPLAT-10710]

  • 如果您通过 Citrix ADC VPX GUI 设置 MTU 大小,则会出现“不支持操作”错误消息。

    [NSPLAT-9594]

Citrix Gateway

  • Citrix Gateway 内部网应用程序现在支持使用逗号分隔的主机名进行基于 FQDN 的隧道。

    [CGOP-10855]

  • 如果未安装适用于 macOS 的 Citrix Gateway 插件,并且用户尝试从 Safari 访问 VPN,则会显示一条错误消息。

    [CGOP-11240]

  • 从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

    [CGOP-11830]

  • 如果未在 Citrix ADC 设备上启用 LSN 配置,则会丢弃传输中的封装安全负载 (ESP) 数据包。

    [NSHELP-18502]

  • 在高可用性设置中,如果配置了 SAML,辅助节点可能会崩溃。

    [NSHELP-18691]

  • 如果 RDP 服务器配置文件设置为与内容交换虚拟服务器相同的端口号和 IP 地址,则重启后内容交换配置将丢失。

    [NSHELP-18818]

  • 在某些情况下,使用 IE 浏览器访问 Citrix Gateway 设备时,Citrix Gateway 登录页面仅在刷新后出现。

    [NSHELP-18938]

  • 在 Citrix ADM 中,分析 > Gateway Insight 页面错误地报告了终止的 VPN 会话。

    [NSHELP-19037]

  • 在高可用性设置中,如果删除的用户信息未与该节点同步,则辅助节点会崩溃。

    [NSHELP-19065]

  • 如果计算机保持非活动状态超过两个小时,则客户端计算机上的 VPN 插件窗口上会显示服务器忙碌对话框。

    [NSHELP-19072]

  • UDP、DNS 和 ICMP 授权策略不适用于内部网络中的客户端与 VPN 客户端(服务器启动的连接)之间的连接。

    [NSHELP-19142]

  • 在某些情况下,在 Citrix Gateway 服务器上配置的登录脚本无法在客户端计算机上运行。

    [NSHELP-19163]

  • macOS 设备的高级端点分析 (EPA) 扫描失败。

    [NSHELP-19328]

  • 在某些情况下,如果满足以下条件,Citrix ADC 设备会转储内核。

    • 已为本机 VMware Horizon 客户端启用了双重身份验证。

    • Radius 被配置为身份验证的第一要素。

    • 成功进行身份验证后,Radius 服务器使用组名进行响应。

    [NSHELP-19333]

  • 在某些情况下,从 Windows VPN 插件注销所花费的时间比预期的要长。

    [NSHELP-19394]

  • 在某些情况下,Citrix Gateway 设备在处理未经身份验证的请求时设置了无效的 cookie。

    [NSHELP-19403]

  • 在某些情况下,如果在 VPN 虚拟服务器上设置了 PCOIP 虚拟服务器配置文件,但未在会话操作下设置 pcoipProfile,Citrix Gateway 设备会转储内核。

    [NSHELP-19412]

  • 在某些情况下,如果在中访问 Citrix Gateway 设备,则会转储内核

    完整 VPN 通道模式。

    [NSHELP-19444]

  • 如果在 Citrix ADC 设备上启用了本地局域网访问选项,则适用于 macOS 的 Citrix Gateway 插件无法解析内部主机名。

    [NSHELP-19543]

  • VPN 虚拟服务器上的 DTLS 服务使用一组默认密码运行,这些密码无法通过 CLI 的绑定或取消绑定密码命令进行修改。

    [NSHELP-19561]

  • 通过 VPN 传输多个应用程序/连接时,Skype 通话的音频清晰度会受到负面影响。发生这种情况是由于内存管理不当。

    [NSHELP-19630]

  • 在 nFactor 身份验证期间,Citrix Gateway 无法识别 Windows 插件中的登录表达式策略。

    [NSHELP-19640]

  • 当计算机从非网络区域进入网络连接区域 [Internet 或 Intranet] 时,“基于位置的感知”功能在客户端计算机上不起作用。

    [NSHELP-19657]

  • 如果在 Citrix MFA 中使用 Azure 中托管的身份验证因素,则使用 Windows 插件登录 Citrix Gateway 将失败之所以发生这种情况,是因为 MFA HTTP 超时值小于 Citrix Gateway Windows 插件超时值。

    通过此修复,Citrix Gateway Windows 插件超时值增加了,以避免登录失败。此外,现在可以通过设置以下注册表值(以秒为单位)来配置 HTTP 超时值:

    ComputerHKEY_LOCAL_MACHINESOFTWARECitrixSecure Access ClientHttpTimeout

    [NSHELP-19848]

  • 在某些情况下,EPA 扫描在 Windows 计算机上失败。

    [NSHELP-19865]

  • 在极少数情况下,如果满足以下两个条件,则在高可用性 (HA) 设置中部署的 Citrix ADC 设备可能会崩溃,从而导致频繁的 HA 故障转移:

    • Gateway Insight 已启用。

    • SSO 失败。

    [NSHELP-19922]

  • 无法在客户端计算机上禁用 Windows Intune 注册检查。默认情况下,该检查处于启用状态。

    通过此修复,可以禁用 Windows Intune 注册检查。

    要禁用该检查,请将以下注册表项设置为 1:

    ComputerHKEY_LOCAL_MACHINESOFTWARECitrixSecure Access ClientDisableIntuneDeviceEnrollment

    [NSHELP-19942]

  • 通过 VPN 传输多个应用程序或连接时,VOIP 应用程序的音频清晰度会受到负面影响。

    [NSHELP-20097]

  • 查找要重写的 URL 以进行高级无客户端 VPN 处理会导致 CPU 使用率高。结果,系统变慢了。

    [NSHELP-20122]

  • 客户端计算机无法重新连接到 Citrix Gateway 设备,因为设备在刷新 STA 时发送了错误的 STA 票证。

    [NSHELP-20285]

  • 为无客户端访问配置文件添加域时,当 FQDN 较长时会出现水平滚动条。

    [NSHELP-20341]

  • 在高可用性设置中,如果在高可用性设置上启用会话可靠性,则辅助 Citrix ADC 设备可能会崩溃。

    [NSHELP-5257、NSINSIGHT-1208、NSHELP-3807、NSHELP-3808、NSHELP-5414、NSHELP-5417、NSHELP-5428、NSHELP-17883、NSHELP-17894]

  • 身份验证、授权和审核虚拟服务器登录页面显示错误代码编号而不是有意义的错误消息。

    [NSHELP-7872]

  • 在某些情况下,Citrix Gateway 设备会转储内核,因为待处理的 STA 刷新操作会无限累积。

    [NSHELP-8684]

Citrix Web App Firewall

  • Citrix Web App Firewall 的原始设置被替换为默认设置。

    例如,如果您为某些签名选择了“启用”选项,则在签名合并操作期间,该设置将被替换为“禁用”。

    [NSHELP-17841]

  • 当您在运行配置中启用了 rfcprofile 选项的情况下重新启动高可用性或群集设置时,会观察到配置丢失。

    [NSHELP-18856]

  • 如果在群集设置中未正确处理 Citrix Web App Firewall 配置更改,Citrix ADC 设备可能会崩溃。

    [NSHELP-18870]

  • 添加放宽规则后,相似的 URL 不会从学习规则列表中删除。

    [NSHELP-19298]

  • 在处理大型表单主体时以及如果在 Citrix Web App Firewall 配置文件上启用了字段一致性参数,Citrix ADC 设备可能会崩溃。

    [NSHELP-19299]

  • 当 XML 流量较高时,Citrix ADC 设备可能会重置客户端连接。

    [NSHELP-19314]

  • 如果您启用 URL 转换策略并且来自正文属性值的响应包含特殊字符,则 SSL 卸载中的 ContentSwitching 可能会将特殊字符替换为实体编码值。

    [NSHELP-19356]

  • 收到连接请求时,Citrix ADC 设备可能会崩溃。如果您将默认配置文件设置设置为 APPFW_BYPASS、APPFW_RESET、APPFW_DROP、APPFW_BLOCK 以外的任何值,就会出现此问题。

    [NSHELP-19603]

  • 如果启用了字段一致性保护参数,则带有许多查询参数的 Web 请求可能不会收到任何响应。

    [NSHELP-19811]

  • 如果观察到以下情况,Citrix ADC 设备将出现故障:

    • Web App Firewall 策略使用基于 HTTP 正文的规则,例如 HTTP.REQ.BODY (。)),

    • Web App Firewall 功能已禁用。

    [NSHELP-19879]

  • 限制签名检查的帖子正文字节的新选项

    将设备升级到 Citrix ADC 版本 13.0 后,您现在可以看到一个新的配置文件选项,即“签名帖子正文限制(字节)”,其默认值为 8192 字节。您的设备升级会将该选项设置为默认值。您可以更改此选项以限制对请求负载(以字节为单位)进行签名检查,其位置指定为“HTTP_POST_BODY”。

    以前,Web Citrix Web App Firewall 无法选择限制负载检查和控制 CPU。

    导航:配置 > 安全 > Citrix Web App Firewall > 配置文件 > 配置文件设置。

    [NSWAF-2887,NSUI-13251]

群集

  • 在采用 ACL6 配置的群集设置中,ICMPv6 错误数据包在节点之间循环,导致 CPU 使用率高。

    [NSHELP-19535]

  • 在群集设置中,如果满足以下条件之一,群集传播可能会失败:

    • 群集守护程序和配置守护程序之间的连接失败。

    • 增加群集守护程序的内存使用量。

    [NSHELP-1971]

  • 在群集设置中,在以下情况下,Citrix ADC GUI 无法上传 SSL 证书:

    • 命令从 CLIP 中执行。

    • “sh partition”命令的响应无效。

    [NSHELP-19905]

  • 在群集设置中,您可能会观察到持续的故障日志,这些日志表明 ZebOS 动态路由 IMI 守护程序与内部群集守护程序之间的连接失败。重新启动 ZebOS 动态路由 IMI 守护程序或内部群集守护程序时会出现此问题。

    [NSNET-10655]

  • 在群集设置中观察到以下行为:

    • 如果您执行启用/禁用 servicegroupmember、服务组和服务器命令,则配置不匹配。

    • unset 命令不会重置服务/服务组的网络配置文件。

    [NSNET-9599]

DNS

  • 在为权威区域的 DNS ANY 查询填充缓存的负面响应时,Citrix ADC 设备可能会崩溃。

    [NSHELP-19496]

  • 您可以为自己拥有的区域添加通配符域。

    [NSHELP-19498]

  • 如果在启用 Jumbo 的接口上收到无效的 DNS 请求,则在 SDX 设备上运行的 Citrix ADC VPX 实例可能会崩溃。

    [NSHELP-19854]

GSLB

  • 如果满足以下两个条件,GSLB 站点备份父列表配置将丢失:

    • triggerMonitor 选项设置为 MEPDOWN 或 MEPDOWN_SVCDOWN。

    • Citrix ADC 设备已重新启动。

    [NSCONFIG-1760]

  • 在 GSLB 群集设置中,当节点加入群集时,MEP 连接可能会终止,从而导致 MEP 跳动。

    [NSHELP-19532]

许可

  • 将 MPX 永久许可证升级为池容量许可证后,ADM GUI 会提示保存配置并重新启动实例。修复后,GUI 仅提示重新启动实例。

    [NSHELP-20137]

负载平衡

  • 在绑定到服务组的监视器上启用 LRTM 时,不显示响应时间。

    [NSHELP-12689]

  • 在极少数情况下,如果在从具有以下配置的服务器接收 SSL 会话之前将服务标记为关闭,Citrix ADC 设备可能会失败。

    • 类型为 SSL_BRIDGE 的负载平衡虚拟服务器

    • 持久性类型设置为 SSLSESSION ID

    • 备份持久性类型设置为 SOURCEIP

    [NSHELP-18482]

  • 在某些服务或服务组成员解除与负载平衡虚拟服务器的绑定后,负载平衡虚拟服务器的非活动服务编号可能会在几秒钟内返回一个大值。这是显示问题,不会影响任何功能。

    [NSHELP-19400]

  • 如果虚拟服务器的类型为 ANY 并且在虚拟服务器上启用了溢出持久性,则 Citrix ADC 设备会崩溃。

    [NSHELP-19540]

  • 在 INC 模式下的高可用性设置中,辅助节点的 GUI 和 CLI 错误地为某些负载平衡监视器显示以下状态消息:

    “已跳过探测 - 辅助节点”

    [NSHELP-19617]

  • 您可能会用完 Citrix ADC VPX 设备上的磁盘空间,因为该设备会生成多个临时文件。对特定位置文件执行 rsync 操作时,会为该位置文件创建一个临时文件。这些文件填满 /var 目录。

    [NSHELP-20020]

  • 群集部署不支持自动扩展服务组的路径监控。

    [NSLB-4660]

NITRO

  • Citrix ADC 设备以内部错误消息进行响应,显示路由器动态路由 NITRO API 调用。

    [NSCONFIG-1325]

网络连接

  • 在配置了 OSPF 动态路由的高可用性设置中,新的主节点在故障切换后不会按递增顺序生成 OSPF MD5 序列号。

    此问题已修复。要使修复程序正常运行,必须手动或使用 NTP 同步主节点和辅助节点之间的时间。

    [NSHELP-18958]

  • 当为负载平衡服务或监视器添加下一跳参数设置为 NULL 的 PBR 规则时,Citrix ADC 设备可能会变得无响应。

    [NSHELP-19245]

  • 当以下所有条件都成立时,Citrix ADC 设备可能会创建 SYN+ACK 数据包循环,这反过来会导致 CPU 使用率过高:

    • 如果 ADC 设备中存在与 IP 地址的出色的 RNAT 探测连接,该地址目前不是 Citrix ADC 拥有的 IP 地址。

    • 如果您将此 IP 地址作为 ADC 配置的一部分 ADC 拥有的 IP 地址。例如,使用此 IP 地址添加负载平衡虚拟服务器。

    [NSHELP-19376]

  • 即使在协议模块尚未完全初始化之前,Citrix ADC 设备也允许通过 NITRO API 进行配置。由于这个原因,写入内存命令失败并显示以下错误消息:

    “保存配置被拒绝 - 模块未准备就绪”

    [NSHELP-19431]

  • 在高可用性设置中的某些罕见情况下,辅助节点可能会通过 Citrix ADC IP 地址 (NSIP) 建立 BGP 会话。

    [NSHELP-19720]

  • 如果 BGP 进程接收路径中包含多个 4 字节 AS 编号的 bgp 更新,则可能会由于内存损坏而失败。

    [NSHELP-19860]

  • 对于禁用 useproxyport 参数的 RNAT 规则以及访问 INAT 公有 IP 地址的 RNAT 客户端,Citrix ADC 设备可能会错误地为与 RNAT 规则相关的会话分配/取消分配端口。这种错误的端口分配/取消分配会导致端口泄漏。

    [NSNET-10089]

  • 在 Citrix ADC GUI 上,当您转到配置 > 网络 > 接口,然后单击接口统计信息时,不显示接口摘要,并出现“无效值 [arg]”错误消息。

    [NSUI-13043]

优化

  • 延迟加载模式不会在没有高度或宽度等属性的简单网页中加载位于折页上方的图像。

    [NSHELP-19193]

  • 如果观察到以下情况,Citrix ADC 设备会自行重新启动:

    • 前端优化功能已启用。

    • 对缓存的对象进行了重新优化。

    [NSHELP-19428]

平台

  • 配置 FIPS HSM 分区时,SDX 14000 FIPS 设备可能会崩溃并重新启动。

    [NSHELP-18503]

策略

  • 在 Citrix ADC 设备中,如果取消绑定默认高级全局策略并保存配置,则下次重新启动时不会反映所做的更改。

    [NSHELP-19867]

  • 如果配置将响应程序操作以 respondwithtmlpage 作为操作类型,Citrix ADC 设备可能会崩溃。

    [NSHELP-5821]

  • 如果您使用重定向操作类型的响应程序操作,Citrix ADC 设备可能会崩溃。

    [NSPOLICY-3196]

  • Citrix ADC 12.0 版本 56.20 及更高版本中不推荐使用基于策略的经典特性和功能。作为替代方案,Citrix 建议您使用高级策略基础架构。

    这些特性和功能将在 2020 年的 Citrix ADC 13.1 版本中不再可用。此外,其他较小的功能也将被弃用。

    [NSPOLICY-3228]

SNMP

  • 从版本 12.1 build 49.23 升级到版本 12.1 build 49.37 的高可用性设置后,主节点在重新启动期间不会发送 SNMP 冷启动陷阱消息。

    [NSHELP-18631]

SSL

  • 如果满足以下两个条件,ADC 设备可能会偶尔向客户端发送额外数据:

    • 设备通过 SSL 连接到后端服务器。

    • 从服务器接收的数据大小超过 9k。

    [NSHELP-11183]

  • 如果 PEM 算法是 DES 或 DES3,则无法使用 GUI 创建 RSA 密钥。

    [NSHELP-13018]

  • 在 Citrix XenServer、VMware ESX 或 Linux-KVM 平台上安装 VPX 实例时,Safenet 目录缺失。

    [NSHELP-14582]

  • 当您基于表达式“ssl.origin.server_cert”执行审核日志消息操作时,Citrix ADC 设备可能会崩溃。日志操作绑定到响应方策略。

    [NSHELP-19014]

  • 如果客户端和 CA 证书的编码不同,则 -clientAuthUseBoundCAChain 设置为 ENABLED 时,即使客户端和服务器证书由同一 CA 颁发,也会错误地拒绝客户端证书。

    [NSHELP-19077]

  • 如果满足以下两个条件,Citrix ADC 设备在执行 SSL 操作“clientcertFingerprint”以将客户端证书的指纹插入要发送到服务器的请求的 HTTP 标头时可能会崩溃:

    • 会话票证已启用。

    • SSL 策略在请求绑定点绑定。

    [NSHELP-19331]

  • 如果满足以下条件,SSL 虚拟服务器可能会使用重置代码 9820 重置连接,而不是按预期将记录分成多个 TCP 数据包:

    • 启用 TLSv1.3 的虚拟服务器对来自后端应用程序服务器的应用程序数据进行加密,以发送到 TLSv1.3 客户端。

    • 生成的加密记录长度正好比 TCP 最大分段大小大一个字节。

    [NSHELP-19466]

  • 在装有 N2 芯片的 Citrix ADC SDX 设备上,握手失败,因为此平台不支持 ECDSA 密码。通过此修复,ECDSA 密码不会在此平台上发布。

    [NSHELP-19614,NSHELP-20630]

  • 如果 URL 从基于 IP 的地址更改为基于域名的地址,CRL 刷新将使用旧 IP 地址而不是新 IP 地址。

    [NSHELP-19648]

  • ssl_tot_enc_bytes 计数器报告了错误的待加密纯文本字节。

    [NSHELP-19830]

  • 如果以下设备收到来自客户端的“ChangeCipherSpec”消息,但没有收到“完成”消息,则它们可能会崩溃:

    • MPX 5900/8900

    • MPX 15000-50G

    • MPX 26000-100G

    [NSHELP-19856]

  • 如果您在群集 IP (CLIP) 地址上添加带有 AIA 扩展名的证书,则当您尝试从 CLIP 中删除该证书时,会出现以下错误消息:

    ‘内部错误’。

    [NSHELP-19924]

  • 当在前端虚拟服务器上同时启用 TLS 1.3 和 SNI 时,如果发生以下一系列事件,设备会在 TLS 握手期间崩溃:

    1. TLS 1.3 客户端在其初始 ClientHello 消息中包含 server_name 扩展名。

    2. 服务器使用 HelloRetryRequest 消息进行响应。

    3. 客户端以非法的 ClientHello 消息进行响应,该消息省略了 server_name 扩展名。

    [NSHELP-2025]

  • 在以下两种情况下,都会出现“错误 - 文件太大”的错误消息:

    • 您首先将 Citrix ADC 软件升级到版本 13.0,然后升级 FIPS 固件。

    [NSHELP-20522]

  • 如果客户端密钥交换和客户端验证消息出现在单个记录中,SSL 握手将在以下平台上失败。

    • MPX 59xx

    • MPX/SDX 89xx

    • MPX/SDX 261xx-100G

    • MPX/SDX 15xxx-50G

    [NSSSL-3359,NSSSL-1608]

  • 当满足以下条件时,使用基于 RSA 的密钥交换进行 TLS 和 DTLS 握手会在基于 N3 的 Citrix ADC MPX 和 SDX 设备的前端失败。

    1. 当 TLS 客户端 Hello 消息包含 TLSv1.2 作为协议版本时,TLS 握手失败,但在 Citrix ADC 设备上禁用 TLSv1.2。因此,设备会协商较低的版本(TLSv1.1、TLSv1.0 或 SSLv3.0)

    2. 当 DTLS Client Hello 消息包含 DTLSv1.2 作为协议版本时,DTLS 握手失败,但是 Citrix ADC 设备协商 dtlsv1.0。

    使用“show hardware”命令来识别您的设备是否有 N3 芯片。

    [NSSSL-6630]

  • 在对绑定了配置文件的虚拟服务器的 NITRO 调用中,还会显示该虚拟服务器的某些实体,例如作为配置文件一部分的 HSTS 和 OCSP_Stapling。

    [NSSSL-6673]

SWG URL 过滤

  • 在内容筛选期间,在策略评估和对私有 URL 集进行模糊处理之间会出现罕见的竞争情况。此问题会生成一个 AppFlow 记录,其中包含以明文形式而不是“非法”的 URL。

    [NSSWG-890]

系统

  • 如果未设置 current_tcp_profile 和 current_adtcp_profile,Citrix ADC 设备会崩溃。

    [NSHELP-18889]

  • 如果未完全刷新关闭的连接,Citrix ADC 设备会出现内存问题。

    [NSHELP-18891]

  • 在极端情况下,Citrix ADC 设备无需重置即可终止僵尸连接。当对等端连接发送处于活动状态的数据包时,设备会在处理数据包时重置连接。

    [NSHELP-18998]

  • 如果满足以下条件,策略评估可能会失败:

    • 256 个策略表达式引用了相同的自定义标头。

    • 自定义标头引用计数器封装为 0(8 位计数器)。

    [NSHELP-19082]

  • 每当发生高可用性配置同步以及高可用性故障时,都会发生配置丢失。

    [NSHELP-19210]

  • 主节点无法读取辅助节点的响应,导致连接重置。结果,连接在辅助节点上关闭。

    [NSHELP-19432]

  • 如果您将 TCP 配置文件值设置为 NULL,Citrix ADC 设备会崩溃。

    [NSHELP-19555]

  • 对为外部服务器创建的 MONITOR 密码进行强密码验证。在 Citrix ADC 设备上启用强密码配置(系统 > 全局设置)时,不允许设备为 LDAP 监视器配置弱密码。

    [NSHELP-19582]

  • SDX 设备上的 SNMP 警报不适用于磁盘、内存或温度参数,但仅适用于 CPU。

    [NSHELP-19713]

  • 在某些情况下,您会在连接到后端服务器时看到延迟或超时。发生这种情况是因为设备已释放连接并释放了端口。当设备重复使用同一端口与服务器建立新连接时,会出现延迟或超时,因为服务器上的连接处于 TIME_WAIT 状态。

    [NSHELP-1972]

  • 在极少数情况下,当客户端或服务器先发送一个带有 FIN 消息的顺序数据包时,群集节点可能会崩溃。

    [NSHELP-19824]

  • 当 MTU 大于 1500 字节的接口上接收到重新传输的 TCP 段时,Citrix ADC 设备可能会崩溃,如下所示:

    • 巨型帧,或

    • IP 片段集

    [NSHELP-19920,NSHELP-20273]

  • 如果 Citrix ADC 设备无法使用 TCP 连接连接到后端服务器,则会观察到 TCP 事务延迟。在这种情况下,设备会打开一个新连接,在等待一段时间后将客户端请求转发到后端服务器。等待时间从 400 毫秒到 600 毫秒不等。

    [NSHELP-9118]

  • 全局绑定和显示绑定选项在内容检查策略 GUI 页面上不起作用。作为替代方案,您可以通过命令界面配置这些参数。

    [NSUI-13193,NSUI-11561]

电信

  • 如果满足以下两个条件,Citrix ADC 设备可能会崩溃:

    • 设备在检索订阅者信息时收到两个 HTTP 请求。

    • 恢复正常交通流量的操作不正确。

    [NSHELP-18955]

已知问题

13.0 版中存在的问题。

身份验证、授权和审核

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。

    show adfsproxyprofile <profile name>

    解决方法:连接到群集中的主活动 Citrix ADC 并发出 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

  • DualAuthPushOrOTP.xml LoginSchema 未正确显示在 Citrix ADC GUI 的登录架构编辑器屏幕中。

    [NSAUTH-6106]

  • 在 Citrix ADC 设备上配置 SSO 时,从 HTTP 切换到 WebSockets 的协议会失败。

    [NSAUTH-6354]

  • 在极少数情况下,如果通过 HTTPS 连接到 LDAP 服务器,则身份验证会失败。

    [NSHELP-20181]

  • 由于缓冲区溢出情况,Citrix ADC 设备在升级到版本 13.0 后崩溃。

    [NSHELP-20416,NSAUTH-6770]

  • Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

    [NSHELP-563]

Citrix ADC BLX 设备

  • 由于 Linux 主机上的 DPDK 配置错误(例如,如果未配置 Hugepage),Citrix ADC BLX 设备无法启动。您需要运行两次启动命令(systemctl start blx)才能启动 Citrix ADC BLX 设备。

    [NSNET-11107]

  • 如果 Linux 主机上的 DPDK 配置错误(例如,如果未配置 hugepage),支持 DPDK 的 Citrix ADC BLX 设备将无法启动并转储内核。

    有关在 Linux 主机上为 Citrix ADC BLX 设备配置 DPDK 的更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc-blx/13/deploy-blx-dpdk.html。

    [NSNET-11349]

Citrix ADC GUI

  • 如果启用“在使用默认 nsroot 密码时强制更改 nsroot 用户密码”功能,并且在首次登录 Citrix ADC 设备时更改了 nsroot 密码,则 nsroot 密码更改不会传播到非 CCO 节点。因此,当 nsroot 用户登录到非 CCO 节点时,设备会再次要求更改密码。

    [NSCONFIG-2370]

  • 如果实体名称包含空格,则无法在 ADC GUI 中使用搜索过滤器搜索实体。

    [NSHELP-20506]

  • 如果您访问 Syslog GUI 页面,则会显示以下错误消息:“无法读取未定义的属性 ‘0’”。

    [NSHELP-20574]

  • 一旦基于域的服务 (DBS) 服务器绑定到服务组并且解析了服务器名称,就无法使用 GUI 修改或取消绑定的 TTL 或名称服务器。

    [NSUI-13060]

  • 在 Citrix ADM GUI 中,当您转到“系统”>“诊断”>“已保存与正在运行”时,不显示任何数据。如果 ns. conf 文件的大小超过 10 MB,就会发生这种情况。

    解决方法:使用“diff ns config”命令使用 CLI 检查已保存的数据与正在运行的数据。

    [NSUI-13242]

Citrix ADC SDX 设备

  • 在 SDX 22XXX 和 24XXX 设备上,在系统运行状况监控期间,SDX 管理服务会发出错误警报。

    [NSHELP-19795]

  • 如果备份文件名有任何特殊字符,则将 SDX 设备恢复到该备份会失败。修复后,如果备份文件有任何特殊字符,则会显示一条错误消息。

    [NSHELP-19951]

  • 如果您在 Citrix ADC 实例的接口上在 trunkallowedVlan 列表中配置超过 100 个 VLAN,则可能会出现以下错误消息:

    错误:操作超时

    错误:与数据包引擎的通信错误

    [NSNET-4312]

  • 运行状况监控警报错误地描述了 PSU 编号。当电源线与 PSU #1 断开连接时,运行状况监控会发送错误警报,表示 PSU #2 出现故障。

    [NSPLAT-4985]

  • 在 SDX 8200/8400/8600 平台上,如果 SDX 设备或在其上运行的 VPX 实例多次重新启动,SDX 设备将在 Citrix Hypervisor 控制台上挂起。当设备挂起时,会出现消息“信息:检测到 rcu_sched 在 CPU/Tasks 上停止”。 解决方法: - 按下背面的 NMI 按钮重新启动 SDX 设备。

    • From the LOM GUI, use NMI to restart the appliance.

    • Use LOM to restart the SDX appliance.

    [ NSPLAT-9155]

Citrix ADC VPX 设备

  • 在 Azure 上配置 Citrix ADC VPX 实例后尝试立即登录该实例时,用户名和密码可能不起作用。之所以出现此问题,是因为在配置 Citrix ADC VPX 实例后,用户提供的凭据(用户名和密码)可能需要一分钟才能在首次启动时处于活动状态。

    解决方法:等待一分钟,然后重新登录。

    [NSPLAT-10962]

  • 如果满足以下条件,则在 AWS 上部署的 Citrix ADC VPX 实例无法通过配置的 IP 地址(VIP、ADC IP、SNIP)进行通信:

    • AWS 实例类型为 M5/C5,它们基于 KVM 虚拟机管理程序

    • VPX 实例有多个网络接口

    这是 AWS 的限制。,AWS 计划尽快解决这个问题。

    解决方法: 为 ADC IP、VIP 和 SNIP 配置单独的 VLAN。有关配置 VLAN 的更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/networking/interfaces/configuring-vlans.html

    [NSPLAT-9830]

Citrix 机器人管理

  • 用于检测机器人流量的设备指纹识别技术不适用于 XML 响应。

    [NSDOC-1047]

Citrix Gateway

  • 在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外,页面变得无响应。

    [CGOP-7269]

  • 无法访问 StoreFront 服务器,因为 Citrix Gateway 设备使用客户端计算机的 IP 地址,而不是使用 SNIP 向 StoreFront 服务器发送流量。

    [NSHELP-19476]

  • 在某些情况下,在启用 ICA Insight 的双跳部署中,面向外部 Citrix Gateway 会转储特定网络流量模式的内核。

    [NSHELP-19487]

  • 在个别情况下,内存损坏会导致核心转储,同时在超时后清除损坏的 SSL VPN 身份验证、授权和审计会话条目。

    [NSHELP-19775]

  • 在 XenApp 和 XenDesktop 向导中单击“检索应用商店”时,会出现以下错误消息。“无法从 StoreFront FQDN 获取 StorePath。“

    解决方法:在“Receiver for Web 路径”中手动输入应用商店。

    [NSHELP-2024]

  • 如果启用了反向拆分隧道,则要么使用错误的前缀值添加 Intranet 路由,要么根本不添加。

    [NSHELP-20825]

  • 将 Citrix ADC 和网关插件升级到 13.0 build 41.20 版本后,用户在尝试设置 VPN 隧道时会遇到持续的蓝屏死机 (BSOD) 错误。

    [NSHELP-20832]

  • 在具有用户角色的 AlwaysOn 服务中,当用户注销时,计算机隧道会间歇性关闭。

    [NSHELP-21163]

  • 对于命令“add vpn intranetApplication”,手册页中显示的“协议protocol”参数描述不正确。描述将“BOTH”作为可能的值,而不是“ANY”。但是,手册页正确显示了配置所需的可能值。

    [NSHELP-8392]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

    [NSINSIGHT-2059]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [NSINSIGHT-2108]

  • 如果用户使用 MAC Receiver以及 Citrix Virtual Apps and Desktops(以前成为 Citrix XenApp 和 XenDesktop)的 6.5 版,ICA 连接会导致 ICA 解析期间跳过解析。

    解决方法:将 Receiver 升级到 Citrix Workspace 应用程序的最新版本。

    [NSINSIGHT-924]

Citrix SDX 设备

  • SDX 26000-100G 15000-50 G 设备可能需要更长的时间才能升级。因此,系统可能会显示消息“管理服务在 1 小时 20 分钟后无法启动。请联系管理员。”

    解决方法: 忽略该消息,等待一段时间,然后登录到设备。

    [NSSVM-3018]

Citrix Web App Firewall

  • 使用 Learned Rules 可视化工具部署放宽规则会显示一条错误消息,指出该规则已被添加。

    [NSHELP-18582]

  • 如果内存使用率高且由于应用程序故障而未释放内存值,Citrix ADC 设备可能会崩溃。

    [NSHELP-18863]

  • 在高可用性设置中,启用 IP 信誉功能可能会导致高可用性命令传播失败。

    [NSHELP-20010]

云桥连接器

  • 创建/监控 CloudBridge Connector 向导可能会变得无响应或无法配置 cloudbridge 连接器。

    解决方法:使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,配置 cloudbridge 连接器。

    [NSUI-13024]

群集

  • 如果“show ns ip”命令显示许多 IP 地址,则在 Citrix ADC 设备或群集设置中观察到 CPU 使用率很高。

    [NSHELP-11193]

  • 在 Citrix ADC 群集设置中,在以下情况下,流处理器节点可能会因为 TCP 连接遭到 SYN cookie 拒绝:

    • SYN Cookie 已启用

    • SYN 欺骗保护已禁用

    流处理器节点将新的 TCP 流数据包作为杂散数据包处理,并通过重置连接进行响应。

    [NSHELP-20098]

GSLB

  • 当后端服务器处于关闭状态并且设备在选择新的后端服务器时尝试收集服务器信息(例如 RTT)时,Citrix ADC 设备可能会崩溃。

    [NSHELP-11969]

负载平衡

  • 如果 HTTPS URL 包含 % 特殊字符,则重定向该 URL 失败。

    [NSHELP-19993]

  • Citrix ADC VPX 设备在无响应后多次重新启动。

    [NSHELP-20435]

网络连接

  • 当 Citrix ADC 设备在删除命令中清理大量服务器连接时,Pitboss 进程可能会重新启动。这次 Pitboss 重启可能会导致 ADC 设备崩溃。

    [NSHELP-136]

  • 如果使用与现有动态虚拟服务器 (RNAT) 相同的 IP 地址添加静态虚拟服务器,则在哈希表中执行名称搜索操作期间,ADC 设备可能会崩溃。

    [NSHELP-15851]

  • 重新启动 Citrix ADC 设备时,默认路由是在填充接口的 IP 地址之前生成的。由于此问题,路由的下一跳设置为 NULL,从而导致火星错误。

    [NSHELP-16407]

平台

  • 在 Citrix ADC SDX 26000-100G 平台上,重新启动设备后接口可能无法启动。

    解决方法: 确保将自动协商设置为“开”。要检查和编辑自动协商状态,请导航到 SDX GUI > 系统 > 接口。

    [NSPLAT-11985]

  • 以下 Citrix ADC SDX 设备在 VPX 版本 13.0-41.x 下可能无法正确启动。升级到 VPX 版本 13.0-47.x 或更高版本。

    • SDX 11xxx

    • SDX 14xxx

    • SDX 14xxx-40S

    • SDX 14xxx-40G

    • SDX 14xxx FIPS

    • SDX 22xxx

    • SDX 24xxx

    • SDX 25xxx

    [NSSSL-7044]

SSL

  • 在群集设置中,群集 IP (CLIP) 地址上的运行配置显示绑定到实体的 DEFAULT_BACKEND 密码组,而节点上缺少该密码组。这是显示问题。

    [NSHELP-13466]

  • 如果满足以下所有条件,则在 SSL 握手期间,HTTPS-ECV 监视器将失败:

    • 监视器绑定到 SSL 配置文件。

    • 已在 SSL 配置文件上启用会话重用。

    • 监视器绑定到两台或更多后端服务器。

    • 服务器上正在运行不同的协议版本(例如 TLS1.0 和 TLS1.2)。

    [NSHELP-18384]

  • 如果您的 ADC 设备集成了不受支持的 Thales HSM 版本,则该设备在生成 HSM 密钥和证书、在设备上安装证书密钥对并将其绑定到 SSL 虚拟服务器后崩溃。通过此修复,设备报告错误而不是崩溃。

    [NSHELP-20352]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。

    错误:crl 刷新已禁用

    [NSSSL-6106]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 更新命令不适用于以下添加命令:

    • 添加天蓝色应用

    • 添加天蓝色密钥库

    • 使用 hsmkey 选项添加 ssl 证书密钥

    [NSSSL-6484、NSSSL-6379、NSSSL-6380]

系统

  • 在清除配置期间,在 Citrix ADC 设备上运行的 metricscollector 应用程序没有响应,但可能会由 PITBOSS 模块重新启动。

    [NSBASE-7846]

  • 如果某些内部连接导致接收的 TCP SYN 数量与建立的 TCP 连接数量不匹配,Citrix ADC 设备可能会生成错误的 SNMP SYN 洪水实体陷阱。

    [NSHELP-18671]

  • 基于角色的身份验证 (RBA) 不允许组名以“#”字符开头。

    [NSHELP-2026]

  • 如果启用代理协议并且由于网络拥塞而发生重传,则内存使用量会增加。

    [NSHELP-20613]

  • 如果子流处于活动状态且处于活动状态的时间超过空闲超时期,Citrix ADC 设备会重置 MPTCP 子流。

    [NSHELP-20648]

  • 如果 Citrix ADC 设备在 MTCP 子流被确认为MTPCP之前收到普通确认,则会重置该子流。

    [NSHELP-20649]

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法: 将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

URL 过滤

  • 在复合 URLSet 表达式中 <URL expression>. URLSET_MATCHES_ANY(URLSET1 || URLSET2),appflow 记录中的“Urlset Matchet”字段仅反映上次评估的 URLSet 的状态。例如,如果请求的 URL 仅属于 URLSET1,则“匹配的 URLSet”字段设置为 0,尽管该 URL 属于其中一个 URLSet。结果,URLSET1 将“URLSet Matched”字段更改为 1,但 URLSET2 将其设置回 0

    [NSSWG-1100]

视频优化

  • 在某些情况下,当您在群集设置中启用视频检测时,Citrix ADC 的内存利用率可能会逐渐增加。但是增幅足够低,不会影响正常的系统运行

    [NSVIDEOOPT-921]

Citrix ADC 13.0-41.28 版本的发行说明