ADC

Citrix ADC 13.0-47.24 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 13.0 Build 47.24 的增强和更改,列出了已修复的问题,并指定了存在的问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
  • “已知问题”部分是累积性的。它包括此版本中新发现的问题,以及之前的 Citrix ADC 13.0 版本中未修复的问题。
  • 问题描述下的 [# XXXXXX] 标签是 Citrix ADC 团队使用的内部跟踪 ID。
  • Build 47.24 取代了 Build 47.22
  • 版本 47.22 包含对 CGOP-11856 问题的修复。

新增功能

版本 47.24 中提供的增强功能和更改。

Citrix Gateway

  • 支持筛选用户证书

    要筛选用于用户证书身份验证的证书,管理员可以使用逗号分隔的 CA 列表配置以下注册表:

    “HKLMSOFTWARECitrixSecure Access ClientUserCertCaList”

    [CGOP-11856]

已修复的问题

版本 13.0-47.24 中解决的问题。

AppFlow

  • 在 HDX Insight 中,无论选定的间隔如何,终止会话的正常运行时间都会显示实际的会话正常运行时间。

    [NSHELP-21380]

身份验证、授权和审核

  • 在以下情况下,Citrix ADC 设备会跳过用户考虑其他组:
    • 用户是嵌套组的直接成员。
    • 用户已经是以前的级别组的成员。

    [NSHELP-21945]

  • 在 Citrix ADC 高可用性和群集设置中,延迟释放内存空间会导致内存堆积。

    [NSHELP-21917]

  • 如果使用额外的登录请求(例如密码更改或 RADIUS 质询)来提示用户进行身份验证,Citrix ADC 设备可能会在审核日志记录期间崩溃。

    [NSHELP-21703]

  • 配置为 SAML IdP 用于 Workspace 登录的 Citrix Gateway 设备在注销期间偶尔会返回 HTTP 404 错误。

    [NSHELP-21650]

  • 如果满足以下条件,Citrix ADC 设备可能会在连接清理中崩溃:
    • 流量从 VPN 设置进行路由。
    • SSO 正在进行中。
    • 关闭客户端连接时出现罕见的时机问题。

    [NSHELP-21504]

  • 如果使用 keytab 文件配置 kcdAccount 参数,则为跨域 Kerberos 部署的 Citrix ADC 设备可能无法执行 SSO。

    [NSHELP-21406]

  • 配置为转发代理的 Citrix ADC 设备不允许使用 HTTP 1.0 客户端进行 NTLM 身份验证。

    [NSHELP-21349]

  • 在极少数情况下,当收到无效的 HTTP 数据包时,Citrix Gateway 设备可能会崩溃。

    [NSHELP-21342]

  • 使用 NTLM 协议的 Citrix ADC 设备无法对消息应用程序编程接口 (MAPI) 客户端执行 SSO。

    [NSHELP-21270]

  • 当数据包引擎生成重复的会话删除响应时,Citrix ADC 设备可能会在身份验证、授权和审核期间崩溃。

    [NSHELP-21172]

  • 以 SAML 形式部署的 Citrix ADC 设备有时可能无法执行基于 SAML 的注销。

    [NSHELP-21093]

  • Citrix ADC GUI 上的 nFactor Flows 页面无法使用 Internet Explorer

    [NSHELP-21065]

  • 在极少数情况下,当要求用户提供一次性代码时,Citrix Gateway 设备可能会出现故障。

    [NSHELP-20967]

  • 在以下情况下,Citrix ADC 设备可能会出现故障:
    • Citrix ADC 设备配置了 OAuth 或 SAML IdP 操作以及从外部来源刷新元数据信息。
    • 当从外部源获取数据或正在进行身份验证时,配置会发生变化。运行 clear config 命令时会出现同样的问题。

    [NSHELP-20646]

  • 当活动同步客户端发送 HEAD 请求时,Citrix ADC 设备无法对 200 OK 响应进行身份验证。

    [NSHELP-20125]

  • 在 Citrix ADC 设备上配置 SSO 时,从 HTTP 切换到 WebSockets 的协议会失败。

    [NSAUTH-6354]

  • 如果您使用 Citrix ADC GUI 中创建身份验证 LDAP 服务器页面中的“端到端登录测试”或“测试最终用户连接”选项编辑身份验证虚拟服务器,则会出现一条错误消息。

    [NSAUTH-6339]

Citrix ADC SDX 设备

  • 在 SDX GUI > 配置 > 系统 > 身份验证 > LDAP 下添加 LDAP 服务器时,表单输入文本框中使用的特殊字符在显示之前不会被解码。并且,基本 DN 字段中的“&”字符被替换为“&”。

    [NSHELP-21488]

  • 将 SDX 设备升级到任意版本的 13.0 版本后,调配不带管理接口 (0/1、0/2) 的 Citrix ADC 实例将变得不可访问。

    [NSHELP-21412]

  • 如果您尝试同时重启在 SDX 设备上运行的多个 VPX 实例,VPX 实例的通道和数据接口将从 SDX 管理服务中消失。

    [NSHELP-21124]

  • 升级 SDX 设备后,SDX 管理服务可能不会列出以太网接口。如果升级的安装后过程部分不成功,就会发生这种情况。

    [NSHELP-21068]

  • 在 SDX 设备上,您可能会偶尔看到 CPU 使用率较高的事件。之所以出现这种峰值,是因为设备备份是一个 CPU 密集型过程。高 CPU 使用率是暂时的。

    [NSHELP-21063]

  • 当选择重启或关闭三个以上的实例时,设备会丢失接口详细信息。

    [NSHELP-21040]

Citrix Gateway

  • 如果插件客户端语言设置为中文,Windows VPN 插件会崩溃。

    [NSHELP-21946]

  • 配置为高级无客户端 VPN 时,Citrix ADC 设备可能会崩溃。

    [NSHELP-21819]

  • 将 Citrix Gateway 升级到版本 13.0 build 47.24 后,由于本地 DNS 服务器的响应为误报,通过 VPN 通道进行的 DNS 解析失败。

    [NSHELP-21794]

  • 如果设置 Cookie 并同时过期,则企业 Web 应用程序可能会显示错误。

    [NSHELP-21772]

  • 如果使用基于 RfWebUI 的自定义主题或带有自定义主题的 nFactor,Citrix Gateway 登录页面将变得无响应。

    [NSHELP-21763]

  • 升级到 13.0 build 47.x 版本后重新启动 Citrix ADC 设备时,Intranet 应用程序与身份验证、授权和审核组的绑定将丢失。

    [NSHELP-21733]

  • 您无法访问以 1https 或 0https 开头的链接。

    [NSHELP-21469]

  • 如果无客户端 VPN 应用程序的 POST 正文包含 html 编码的 ‘(单引号)或’(双引号),则无法使用高级无客户端 VPN 通过书签启动应用程序。

    [NSHELP-21361]

  • 如果无法访问代理 PAC 文件,Citrix Gateway VPN 插件可能需要很长时间才能建立通往计算机的通道。

    [NSHELP-21355]

  • 在某些情况下,如果满足以下条件,Citrix Gateway 会转储内核:

    • Citrix Gateway 设备启用了 EDT Insight 功能。
    • 设备收到来自 VDA 的乱序的 CGP BINDRESP 数据包。

    [NSHELP-21296]

  • 在某些计算机上,EPA 提示窗口按钮(是、否、始终)不会出现在 EPA 插件屏幕上。

    [NSHELP-21276]

  • 在 Citrix Gateway 高可用性设置中,如果在 Citrix Web App Firewall 全局上启用日志记录,则辅助节点在高可用性同步期间崩溃。

    [NSHELP-21254]

  • 如果您在 Citrix Gateway 上配置了无客户端 VPN (CVPN),则设备可能会因为错误的重写处理而崩溃。

    [NSHELP-21244]

  • 在 Citrix Gateway 高可用性设置中,如果启用了Gateway Insight,辅助节点可能会崩溃。

    [NSHELP-21184]

  • 如果两台或多台客户端计算机尝试与同一网关建立 VPN 通道连接,则从一台客户机到另一台计算机的 ping 连接将失败。

    [NSHELP-21169]

  • 有时,Citrix ADC 设备可能会在传输登录期间崩溃。

    [NSHELP-21134]

  • 如果 VPN 虚拟服务器主机名名称中包含“cvpn”,则用户无法登录 Citrix Gateway。

    [NSHELP-21119]

  • 如果您配置了高级无客户端 VPN 访问权限,则在企业 Web 应用程序中使用编码(例如“x3a”或“&%23x3a”代表“:”),则无法正确查看 SAP 应用程序书签。

    [NSHELP-21072]

  • 如果客户端和服务器进程控制块的内存分配失败,Citrix ADC 设备可能会崩溃并转储内核。

    [NSHELP-20961]

  • 如果启用了反向拆分通道,则要么使用错误的前缀值添加 Intranet 路由,要么根本不添加。

    [NSHELP-20825]

  • 在 Citrix Gateway 高可用性设置中,如果未配置任何策略并将该节点从版本 12.0 升级到版本 13.0,则辅助节点可能会崩溃。

    [NSHELP-20790]

  • 当无法访问后端服务器时,客户端将耗尽连接,并且无法成功连接到后端的新连接。

    [NSHELP-20535]

  • 为 ICA 代理配置的 Citrix Gateway 设备有时可能会崩溃。

    [NSHELP-20478]

  • 在某些情况下,在启用 ICA Insight 的双跳部署中,面向外部 Citrix Gateway 会转储特定网络流量模式的内核。

    [NSHELP-19487]

  • 现在,您可以通过编辑 plugins.xml 来配置 RfWebUI 参数,例如 loginFormTimeout 和会话超时。

    [NSHELP-19221]

  • 将 Citrix ADC 和网关插件升级到 13.0 build 41.20 版本后,用户在尝试设置 VPN 通道时会遇到持续的蓝屏死机 (BSOD) 错误。

    [CGOP-12099]

Citrix Web App Firewall

  • 如果启用了 URL 关闭保护,Citrix ADC 设备会在两分钟后屏蔽关闭 URL。

    [NSWAF-3292]

  • 如果 Web App Firewall 配置文件使用 APPFW_DROP 和 APPFW_RESET 策略操作,Citrix ADC 设备可能会崩溃。

    [NSHELP-21283]

  • 使用 APPFW_DROP 和 APPFW_RESET 作为 Web App Firewall 策略操作时,Citrix ADC 设备可能会崩溃。

    [NSHELP-21220]

  • 如果启用了 Citrix Web App Firewall 功能,Citrix ADC 设备可能会因为内存故障而崩溃。

    [NSHELP-21201]

  • 由于内存分配故障,Citrix ADC 设备可能会崩溃。

    [NSHELP-21071]

  • 如果传入的 GWT 请求在 URL 中包含查询字符串,Citrix ADC 设备会重置连接。

    [NSHELP-20564]

  • 从版本 12.0-58.15 升级到 12.0-62.8 后,URL 转换功能不适用于某些 URL。该问题是由重写 URL 时不正确的规范化引起的。

    [NSHELP-20460]

  • 如果您使用缓慢的 FTP/HTTP 服务器下载签名并且下载时间超过 10 分钟,Citrix ADC 设备可能会崩溃。

    [NSHELP-18331]

负载平衡

  • 在 GSLB 同步期间,Citrix ADC 设备可能会崩溃。在不存在的 GSLB 服务上执行“set gslb service”命令时,会出现此问题。

    [NSHELP-21304]

  • 连接故障转移后,当辅助设备成为新的主设备时,会观察到数据包丢失。

    [NSHELP-21155]

  • 执行 set service <servicename> 命令时,会显示以下错误消息:
    “无法在基于域的服务器上设置 IP 地址。“

    当服务器的名称配置为大于 32 个字符时,会显示此错误消息。

    [NSHELP-20939]

  • 对于群集中的 GSLB 设置,当您运行 set rpcnode 命令时,RPC 节点中的源 IP 地址会更改为 NSIP 地址。因此,GSLB 在启动 MEP 连接时使用 NSIP 地址而不是 SNIP 地址。

    [NSHELP-20552]

  • 在群集设置中,当您执行“unset lb vserver test -redirectFromPort”命令时,负载平衡虚拟服务器的 HTTP 重定向端口不会从数据库中清除。

    [NSHELP-20518]

  • 在 IPv6 高可用性设置中启用持久性时,Citrix ADC 设备可能会崩溃。

    [ NSHELP-20219 ]

其他

  • 在复合 URLSet 表达式中 <URL expression>.URLSET_MATCHES_ANY(URLSET1 || URLSET2),appflow 记录中的“Urlset Matchet”字段仅反映上次评估的 URLSet 的状态。例如,如果请求的 URL 仅属于 URLSET1,则 URLSet 匹配字段设置为 0,尽管该 URL 属于其中一个 URLSet。结果,URLSET1 将 URLSet Matched 字段更改为 1,但 URLSET2 将其设置回 0

    [NSSWG-1100]

  • 如果传入 URL 的域名后面有双斜杠,则 URL 过滤分类失败。前面有“http://”方案。例如,www.example.com//index.html

    [NSSWG-1082]

  • 在 Citrix ADC 设备和 Citrix Gateway 中观察到以下行为:
    • 当部署为代理并且为后端应用程序启用 SSO 时,Citrix ADC 设备可能会变得无响应。
    • 在使用出站代理配置的 Citrix Gateway 中观察到相同的行为。

    [NSHELP-21437]

  • 如果启用了策略和收费规则功能 (PCRF) 的设备监视器请求
    (DWR) 探测并且 PCRF 变得无法访问,Citrix ADC 设备可能会间歇性地崩溃。

    [NSHELP-20827]

  • 当您执行 show techsupport -scope cluster 命令时,所有 Citrix ADC SDX 设备都会显示以下错误:

    这是一个低带宽实例

    [NSHELP-20666]

网络连接

  • 如果 Linux 主机上的 DPDK 配置错误(例如,如果未配置 hugepage),支持 DPDK 的 Citrix ADC BLX 设备将无法启动并转储内核。

    有关在 Linux 主机上为 Citrix ADC BLX 设备配置 DPDK 的更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.html

    [NSNET-11349]

  • 由于 Linux 主机上的 DPDK 配置错误(例如,如果未配置 Hugepage),Citrix ADC BLX 设备无法启动。您需要运行两次启动命令(systemctl start blx)才能启动 Citrix ADC BLX 设备。

    [NSNET-11107]

  • VTYSH 命令行上的 sh IP BGP 摘要命令错误地将 32 位 ASN 值显示为负值。

    [NSHELP-21234]

  • 在 Citrix ADC 设备上,当您执行清除配置基本操作时,与 IPv6 子网 IP 地址的管理连接可能会被重置。

    [NSHELP-21206]

  • 在设置分区操作期间,分区的最大内存现在仅增加到 NS_SYS_MEM_FREE ()。以前,已将其增加到最大可用内存,这样在重新启动 Citrix ADC 设备后配置的分区不会丢失。

    [NSHELP-21159]

  • 由于收到的大型链路状态 PDU (LSP) 上缺少身份验证 (AUTH) 信息,Citrix ADC 无法将中间系统安装到中间系统 (IS-IS) 的下一跳。

    [NSHELP-21062]

  • 系统重启后,Citrix ADC 设备会在 180 秒内使用降低的指标公布路由。

    [NSHELP-20842]

  • 在 MAC 模式透明虚拟服务器部署期间,被动模式下的 FTP 数据连接变得无响应。

    [NSHELP-20698]

  • Citrix ADC 设备可能会跳过针对类型为 UDP 和 ICMP 的传出监视数据包的基于策略的路由 (PBR) 规则。

    [NSHELP-20545]

平台

  • 当您热重启 Citrix ADC VPX 设备时,订阅许可证可能会在以下情况下丢失:

    • 使用基于弹性网络适配器 (ENA) 的 AWS 实例类型:C5、C5n、M4 和 M5。
    • 在现有支持的 AWS 实例上启用 ENA 接口。

    [NSPLAT-13467]

  • 使用 10G IXGBE 端口的 Citrix ADC MPX 设备和使用 10G IXGBEVF 端口的 Citrix ADC SDX 设备上可能会发生 Tx 停机。

    [NSPLAT-13338]

  • 支持新的 Citrix ADC SDX 硬件平台此版本现在支持以下新平台:

    [NSPLAT-12815]

  • 将 Citrix ADC SDX 8900 和 SDX 15000 50G 设备升级到 11.1 63.9 版本后,10G NIC 不会出现在设备上。此问题会阻止 VPX 实例启动。结果,实例变得无法访问。

    [NSPLAT-12093]

  • 在某些情况下,当您在包含 Fortville NIC 的 Citrix ADC SDX 设备上重新启动一个或多个 VPX 实例时,接口上的 LACP 可能会进入“默认”状态。

    [NSHELP-21091、NSHELP-20769、NSHELP-23159、NSHELP-23191]

  • 在某些情况下,SDX 14000 设备可能会变得无响应并需要重新启动。

    [NSHELP-21017]

  • 在 Cisco CSP 2100 平台上的 VPX 部署中,当从物理网络接口卡 (pNIC) 中创建多个虚拟功能 (VF) 时,有时数据包可能会被丢弃。

    [NSHELP-20991]

  • 如果数据包跨越八个描述符,则可能会在包含 Fortville 接口的设备上观察到 Tx 失速。失速可能会导致接口进入错误禁用状态。

    [NSHELP-20800]

策略

  • 如果重写分块数据时网络缓冲区很少,Citrix ADC 设备可能会崩溃。

    [NSHELP-20847]

SSL

  • 在某些情况下,以下设备可能会在运行 SSL 流量时崩溃:
    • MPX 59xx
    • MPX/SDX 89xx
    • MPX/SDX MPX 26xxx
    • MPX/SDX 26xxx-50S
    • MPX/SDX 26xxx-100G
    • MPX/SDX 15xxx-50G

    [NSSSL-7606]

  • 如果在虚拟服务器上还配置了带有可选客户端证书的客户端身份验证,则带有强制证书验证的基于策略的客户端身份验证将失败。

    [ NSHELP-21190 ]

系统

  • 如果您满足以下条件,分析报告不会显示在 Citrix ADM GUI 上:
    1. 安装 ADM 12.1.52.15 或更高版本。
    2. 选择 Logstream 传输模式以配置实例分析。

    [NSHELP-21618]

  • 空闲超时后,Citrix ADC 设备不会在客户端与 HTTP/2 RST_STREAM 的连接上重置 HTTP/2 流。

    [NSHELP-21537]

  • 如果您在 Citrix ADC 设备上的 HTTP/2 配置文件中启用多路传输,则客户端连接将变得无响应。

    [NSHELP-21434]

  • 如果 Citrix ADC 设备同时包含尾部和内容长度标头,则不会将响应转发给客户端。

    [NSHELP-21427]

  • 如果 HTTP/2 安全监视器的内存分配失败,Citrix ADC 设备可能会崩溃。

    [NSHELP-21400]

  • 如果 appQoE 操作失败,Citrix ADC 设备可能会崩溃。

    [NSHELP-21393]

  • 如果 Citrix ADC 设备向后端服务器发送包含多个 cookie 名称/值对的 HTTP/2 请求,HTTP 事务可能会失败。

    [NSHELP-21373]

  • 如果 Citrix ADC 设备收到包含 HTTP/2.0 版本的 HTTP/1.1 请求,它可能会崩溃。对于 HTTP/2.0 版本的任何客户端请求,设备将其视为 HTTP/2.0 请求并对其进行处理。这会导致崩溃。

    [NSHELP-21187]

  • 如果在提供大型 HTTP 响应时启用 Appflow 客户端测量,Citrix ADC 设备可能会崩溃。

    [NSHELP-21099]

  • show connectiontable 命令显示一些在以下条件下不满足上述筛选条件的条目:
    • 命令在高流量下运行。
    • 命令与 IP 或端口过滤器一起使用。

    [NSBASE-9509]

用户界面

  • 如果 ADC 和 ADM 之间的延迟很高,Citrix ADC 池容量许可可能会失败。如果延迟大于 200 ms,则会出现此问题。

    Citrix ADC 许可客户端反复尝试从 ADM 检出许可证。在高可用性和群集设置中,只要触发同步,就会不必要地重新应用许可配置。池化许可命令的传播和同步已禁用。每个节点都必须通过登录到节点的 NSIP 来独立获得许可。您只能在群集 IP 上执行 show 命令。

    [NSUI-14868,NSHELP-22045]

  • 升级到 build 12.1-55.x 后,如果配置了池许可,设备可能会在未经许可的情况下启动。结果,所有功能都被禁用,运行配置中缺少任何依赖许可证的配置。执行热重启以恢复池许可证和配置。
    警告:请勿在未经许可的设备上运行“保存配置”或强制执行 HA 故障转移。

    [NSUI-7869]

  • 如果计数查询在 Citrix ADC 设备中不起作用,则会观察到 KeyError 异常。

    [NSHELP-20979]

  • Citrix ADC GUI 仪表板中的负载平衡服务器统计信息详细信息未对齐。

    [ NSHELP-20752 ]

  • 在分区部署期间,如果您运行“uiinternal”命令,然后在默认分区中“清除配置”,则分区设备可能会崩溃。

    [ NSHELP-20247 ]

  • 在某些情况下,提示字符串中的用户名(使用“%u”字符指定)无法正确显示。

    [ NSHELP-19991 ]

  • Citrix ADC 命令界面和 GUI 不显示少数 SNMP 警报的系统时间参数设置。

    [NSHELP-19958]

  • 如果文件名的长度介于 61 到 63 个字符之间,即使最大限制为 63 个字符,也无法使用 Citrix ADC GUI 检索备份文件。

    [NSHELP-11667]

  • 每次登录设备时,Citrix Gateway 设备都会向 RADIUS 身份验证服务发送重复的 RADIUS 访问请求。

    [NSHELP-1148]

已知问题

13.0 版中存在的问题。

AppFlow

  • 如果在事务完成后关闭连接之前删除 appflow 操作时观察到计时问题,Citrix ADC 设备可能会崩溃。

    [NSBASE-9345]

身份验证、授权和审核

  • DualAuthPushOrOTP.xml LoginSchema 未正确显示在 Citrix ADC GUI 的登录架构编辑器屏幕中。

    [NSAUTH-6106]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。

    show adfsproxyprofile <profile name>

    解决方法:连接到群集中的主活动 Citrix ADC 并发出 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

  • Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

    [NSHELP-563]

Citrix ADC GUI

  • 如果启用“在使用默认 nsroot 密码时强制更改 nsroot 用户密码”功能,并且在首次登录 Citrix ADC 设备时更改了 nsroot 密码,则 nsroot 密码更改不会传播到非 CCO 节点。因此,当 nsroot 用户登录到非 CCO 节点时,设备会再次要求更改密码。

    [NSCONFIG-2370]

Citrix ADC SDX 设备

  • Citrix ADC SDX 管理服务的 NTP 服务响应 NTP 查询。但是,管理服务没有任何选项可以为 NTP 查询配置限制。

    解决方法: 手动修改 /flash/mpsconfig/ntp.conf,然后从管理服务再次启用 NTP 同步以使更改生效。但是,如果更改 NTP 服务器配置,则此更改将丢失。

    [NSHELP-12246]

  • 如果您在 Citrix ADC 实例的接口上在 trunkallowedVlan 列表中配置超过 100 个 VLAN,则可能会出现以下错误消息:

    错误:操作超时

    错误:与数据包引擎的通信错误

    [NSNET-4312]

Citrix ADC VPX 设备

  • 如果满足以下条件,则在 AWS 上部署的 Citrix ADC VPX 实例无法通过配置的 IP 地址(VIP、ADC IP、SNIP)进行通信:

    • AWS 实例类型为 M5/C5,它们基于 KVM 虚拟机管理程序

    • VPX 实例有多个网络接口

    这是 AWS 的限制。,AWS 计划尽快解决这个问题。

    解决方法: 为 ADC IP、VIP 和 SNIP 配置单独的 VLAN。有关配置 VLAN 的更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/networking/interfaces/configuring-vlans.html

    [NSPLAT-9830]

  • 将 Citrix ADC VPX 实例降级到较低版本后,该实例在重启期间会卡住。如果您的实例分配了多个 CPU 内核,则会出现此问题。

    [NSPLAT-12603]

Citrix Gateway

  • 在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外,页面变得无响应。

    [CGOP-7269]

  • 当 StoreFront FQDN 解析在客户端上花费的时间比预期的时间长时,Citrix Gateway 使用客户端 IP 地址作为源 IP 地址向 StoreFront 服务器发送流量。

    [NSHELP-19476]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

    [NSINSIGHT-2059]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [NSINSIGHT-2108]

  • 如果用户使用 MAC Receiver以及 Citrix Virtual Apps and Desktops(以前成为 Citrix XenApp 和 XenDesktop)的 6.5 版,ICA 连接会导致 ICA 解析期间跳过解析。

    解决方法: 将 Receiver 升级到 Citrix Workspace 应用程序的最新版本。

    [NSINSIGHT-924]

Citrix SDX 设备

  • SDX 26000-100G 15000-50 G 设备可能需要更长的时间才能升级。因此,系统可能会显示消息“管理服务在 1 小时 20 分钟后无法启动。请联系管理员。”

    解决方法: 忽略该消息,等待一段时间,然后登录到设备。

    [NSSVM-3018]

Citrix Web App Firewall

  • 如果内存使用率高且由于应用程序故障而未释放内存值,Citrix ADC 设备可能会崩溃。

    [NSHELP-18863]

CloudBridge 连接器

  • 创建/监视 CloudBridge Connector 向导可能会变得无响应或无法配置 CloudBridge连接器。

    解决方法: 使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge 连接器。

    [NSUI-13024]

负载平衡

  • Citrix ADC VPX 设备在无响应后多次重新启动。

    [NSHELP-20435]

网络连接

  • 当 Citrix ADC 设备在删除命令中清理大量服务器连接时,Pitboss 进程可能会重新启动。这次 Pitboss 重启可能会导致 ADC 设备崩溃。

    [NSHELP-136]

平台

  • 在 Citrix ADC SDX 26000-100G 平台上,重新启动设备后接口可能无法启动。

    解决方法: 确保将自动协商设置为“开”。要检查和编辑自动协商状态,请导航到 SDX GUI > 系统 > 接口。

    [NSPLAT-11985]

SSL

  • 在群集设置中,群集 IP (CLIP) 地址上的运行配置显示绑定到实体的 DEFAULT_BACKEND 密码组,而节点上缺少该密码组。这是显示问题。

    [NSHELP-13466]

  • 更新命令不适用于以下添加命令:

    • 添加天蓝色应用

    • 添加天蓝色密钥库

    • 使用 hsmkey 选项添加 ssl 证书密钥

    [NSSSL-6484、NSSSL-6379、NSSSL-6380]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。

    ERROR: crl refresh disabled

    [NSSSL-6106]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

系统

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法: 将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

Web Citrix Web App Firewall

  • 如果信用卡验证过程中的错误案例处理不正确,Citrix ADC 设备可能会崩溃。

    [NSHELP-20562]

之前的 Citrix ADC 13.0 版本中有什么新内容

Build 47.24 之前的 Citrix ADC 13.0 版本中提供的增强功能和更改。问题描述下方提供的内部版本号表示提供了此增强功能或更改的版本。

AppFlow

  • 支持管理分区中的 Logstream

    Citrix ADC 设备现在可以从管理分区发送 Logstream 记录。

    [来自 Build 41.28]

    [NSBASE-4777]

  • 通过 NSIP 地址监视日志流记录

    Citrix ADC 设备现在可以使用 NSIP 地址连接到 Citrix ADM 来发送 Logstream 记录。

    [来自 Build 41.28]

    [NSBASE-7400]

身份验证、授权和审核

  • ADFSPIP 的信托续订支持

    现在,您可以续订即将到期的现有证书的信任,或者如果现有证书无效,则可以续订信任。只有在 Citrix ADC 设备和 ADFS 服务器之间建立信任时,才会更新证书的信任更新。

    [来自 Build 47.22]

    [NSAUTH-27]

  • 对 OAuth 身份验证的名称-值属性支持

    现在,您可以使用唯一的名称和值配置 OAuth 身份验证属性。名称在 OAuth 操作参数中配置,值是通过查询名称获得的。通过指定 name 属性值,管理员可以轻松搜索与属性名称关联的属性值。此外,管理员不再需要仅凭其值来记住属性。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/aaa-tm/oauth-authentication.html#name-value-attribute-support-for-oauth-authentication。

    [来自 Build 41.28]

    [NSAUTH-5563]

  • SAML SP 的自定义身份验证类参考支持

    现在,您可以在 SAML 操作命令中配置自定义身份验证类参考属性。使用自定义身份验证类引用属性,可以在相应的 SAML 标记中自定义类名称。

    [来自 Build 47.22]

    [NSAUTH-603、NSAUTH-58、NSHELP-451]

  • nFactor 可视化工具增强

    nFactor 可视化工具中进行了以下增强:

    • 管理员现在可以通过将没有关联的因素拖放到垃圾箱图标中来移动这些因素。

    • 现在也可以从“身份验证虚拟服务器”页面查看 nFactor 流程。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/aaa-tm/multi-factor-nfactor-authentication/nfactor-authentication-simplification.html#enhancements-to-the-nfactor-visualizer。

    [来自 Build 41.28]

    [NSAUTH-6159]

  • 支持基于客户端证书的 Active Directory 联合服务代理集成协议的身份验证

    Active Directory 联合服务代理集成协议现在支持基于客户端证书的身份验证。

    注意:此功能目前处于技术预览版中。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/aaa-tm/adfspip-compliance.html#client-certificate-based-authentication-on-adfs-server。

    [来自 Build 41.28]

    [NSAUTH-6457]

  • 用于对虚拟服务器进行身份验证以增强性能的默认缓存策略

    Citrix ADC 设备现在可以将默认缓存策略应用于所有身份验证虚拟服务器。默认情况下,在创建身份验证、授权和审核虚拟服务器时,会关联这些策略。因此,所有 GUI 页面都是由 Citrix ADC 缓存模块缓存和提供的,从而减少了管理 CPU 和 HTTP 守护程序的负载。此外,可以同时为更多数量的用户提供服务。

    [来自 Build 47.22]

    [NSAUTH-6654]

  • 支持加密 OTP 数据并将现有 OTP 数据迁移到加密形式

    为了增强安全性,您现在可以以加密格式而不是纯文本存储 OTP 机密数据。从 Citrix ADC 版本 13.0 build 41.xx 开始,如果设置了所需的配置,OTP 数据将自动以加密格式存储。但是,对于纯文本的现有 OTP 数据,您可以使用 OTP 加密工具从纯文本迁移到加密格式。此外,OTP 加密工具可用于将现有证书更新为新证书。

    OTP 加密工具位于“var”

    etscalerotptool”目录。您必须从此位置下载该工具,并使用所需的 AD 凭据和必备条件运行该工具。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/aaa-tm/native-otp-authentication/otp-encrypt-secret.htmlhttps://docs.citrix.com/zh-cn/citrix-adc/13/aaa-tm/native-otp-authentication/otp-encryption-tool.html。

    [来自 Build 41.28]

    [NSAUTH-74]

  • 对 SAML IdP 的断言消费者服务 (ACS) URL 支持

    配置为 SAML 身份提供商 (IdP) 的 Citrix ADC 设备现在支持 ACS 索引以处理 SAML 服务提供商 (SP) 请求。SAML IdP 从 SP 元数据中导入 ACS 索引配置或允许手动输入 ACS 索引信息。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/aaa-tm/saml-authentication/citrix-adc-saml-idp.html#assertion-consumer-service-url-support-for-saml-idp。

    [来自 Build 41.28]

    [ NSHELP-20228]

Citrix ADC BLX 设备

  • DPDK 支持 Citrix ADC BLX 设备

    Citrix ADC BLX 设备现在支持数据平面开发套件 (DPDK),这是一组 Linux 库和网络接口控制器,用于提高网络性能。Citrix ADC BLX 设备仅在专用模式下支持 DPDK。

    欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.html

    [来自 Build 41.28]

    [NSNET-2456]

  • 对 Citrix ADC BLX 设备的 IPv4 OSPF 动态路由协议支持

    Citrix ADC BLX 设备现在支持 IPv4 OSPF (OSPFv2) 动态路由协议。

    [来自 Build 47.22]

    [NSNET-7783]

  • BGP 对 Citrix ADC BLX 设备的 BGP 动态路由协议支持

    Citrix ADC BLX 设备现在支持 IPv4 和 IPv6 BGP 动态路由协议。

    [来自 Build 41.28]

    [NSNET-7785]

  • Ubuntu Linux 主机支持 Citrix ADC BLX 设备

    Citrix ADC BLX 设备现在支持在 Ubuntu Linux 系统中运行。

    [来自 Build 41.28]

    [NSNET-9259]

Citrix ADC CPX 设备

  • 在较轻版本的 Citrix ADC CPX 中,monitorConnectionClose 参数值的默认值设置为 RESET

要使用全局负载平衡参数关闭监视器与探测器的连接,您可以将 monitorConnectionClose 配置为 FIN 或 RESET。当您将 monitorConnectionClose 参数配置为;

-  FIN: The appliance performs a complete TCP handshake.

-  RESET: The appliance closes the connection after receiving the SYN-ACK from the service.

In lighter version of Citrix ADC CPX, the monitorConnectionClose parameter value is set to RESET by default and cannot be changed to FIN at the global level. However, you can change the monitorConnectionClose parameter to FIN at the service level.

[From Build 41.28]

[ NSLB-4610]

Citrix ADC GUI

  • 对管理分区的前端优化支持

    现在,您也可以在分区模式下从“配置高级功能”页面启用前端优化功能。

    [来自 Build 41.28]

    [NSUI-12800]

  • 支持确定服务或服务组状态被标记为关闭的原因

    现在,无需导航到监视器绑定界面,即可在 GUI 上查看处于关闭状态的服务或服务组的监视器探测信息。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/load-balancing/load-balancing-manage-setup/managing-services.html#identify-the-cause-for-the-service-state-marked-down-by-using-the-gui。

    [来自 Build 41.28]

    [NSUI-12906]

  • 支持确定虚拟服务器状态被标记为关闭的原因

    现在,无需导航到监视器绑定界面,即可在 GUI 上查看处于关闭状态的虚拟服务器的监视器探测信息。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/load-balancing/load-balancing-manage-setup/managing-vserver.html#identify-the-cause-for-the-virtual-server-state-marked-down-by-using-the-gui。

    [来自 Build 41.28]

    [NSUI-13255]

  • SSL 证书的引导式交互

    Citrix ADC GUI 现在为一些与创建、导入和更新 SSL 证书相关的常见但详细的任务提供引导式交互。首次启动设备时,它会提示您启用引导式交互。如果启用,您可以随时通过导航到“系统”>“设置”>“更改 CUXIP 设置”并清除“启用 CUXIP”复选框来明确禁用它。

    注意:此功能仅适用于 Citrix ADC GUI 中的 SSL 证书。

    [来自 Build 41.28]

    [NSUI-13389]

  • 升级 GUI 上磁盘空间使用情况的颜色指示

    在 Citrix ADC GUI(系统 > 系统信息 > 系统升级 > 检查磁盘空间)的“检查磁盘空间”屏幕上,为当前使用的磁盘空间添加了颜色指示。

    GUI 用以下颜色显示当前磁盘空间已用百分比:

    • 绿色,如果当前使用的磁盘空间为 =< 80%

    • 红色,如果当前使用的磁盘空间大于 80%

    [来自 Build 47.22]

    [NSUI-13699]

  • Citrix ADC 机器人管理的系统日志

    日志查看器 GUI 页面现在可以选择过滤掉已记录的机器人相关操作。

    [来自 Build 47.22]

    [NSUI-13722]

  • GUI 支持机器人统计信息

    控制板页面中的新 Bot 部分显示了与机器人相关的统计信息。

    [来自 Build 47.22]

    [NSUI-13945]

Citrix ADC SDX 设备

  • 具有 SWG 功能的 ADC 白金许可证

    Citrix Secure Web Gateway (SWG) 功能现已与 Citrix ADC Premium 许可证集成,SWG 不再作为单独的实例许可证提供。将 SDX 设备升级到 13.0 47.x 后,在该设备上运行的现有 SWG 实例作为 Citrix ADC 实例显示在 SDX 管理服务仪表板中。

    [来自 Build 47.22]

    [# NSSVM-2806]

Citrix ADC VPX 设备

  • Azure Monitor 中的 Citrix ADC VPX 指标

    现在,您可以使用 Azure Monitor 服务的指标来监视一组 Citrix ADC VPX 资源,例如 CPU、内存利用率和吞吐量。指标服务实时监视在 Azure 上运行的 Citrix ADC VPX 资源。可以使用 Metrics Explorer(指标资源管理器)访问收集的数据。

    [来自 Build 47.22]

    [NSPLAT-10104]

  • 用于将主时钟源从 CPU0 移至 CPU1 的新参数

    对于 Citrix ADC VPX 实例,您现在可以将主时钟源从 CPU0(管理 CPU)移至 CPU1。要更改主时钟源,将-masterclockcpu1 参数添加到“set ns vpxparam”命令中。此参数具有以下选项:

    • 是 — 允许虚拟机将主时钟源从 CPU0 移动到 CPU1。

    • 否 — 虚拟机使用 CPU0 作为主时钟源。默认情况下,CPU0 是主时钟源。

    [来自 Build 47.22]

    [NSPLAT-10859]

  • Google Cloud Platform 中的高可用性支持

    现在,您可以将 Citrix VPX 实例作为 HA 对在 Google Cloud Platform 上跨区域部署 Citrix VPX 实例。有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/deploying-vpx/deploy-vpx-google-cloud-ha.html。

    [来自 Build 41.28]

    [NSPLAT-7714]

  • 使用私有 IP 迁移在 AWS 中部署 VPX HA 对

    现在,您可以使用私有 IP 迁移在非独立网络配置 (INC) 模式下将 VPX 实例作为 HA 对部署在同一区域中,从而显著缩短故障转移时间。以前,VPX HA 节点是使用网络接口 (ENI) 迁移来部署的,这种迁移具有更长的故障转移时间。有关详细信息,请参阅:

    https://docs.citrix.com/zh-cn/citrix-adc/13/deploying-vpx/deploy-aws/how-aws-ha-works.html

    https://docs.citrix.com/zh-cn/citrix-adc/13/deploying-vpx/deploy-aws/vpx-aws-ha.html

    [来自 Build 41.28]

    [NSPLAT-7718]

  • 支持新的 AWS 实例类型

    从此版本起,在现有区域和新添加的巴黎区域中,VPX 部署支持以下 AWS 实例类型。

    • C5: c5.large, c5.xlarge, c5.2xlarge, c5.4xlarge, c5.9xlarge, c5.18xlarge

    • C5n: c5n.large, c5n.xlarge, c5n.2xlarge, c5n.4xlarge, c5n.9xlarge, c5n.18xlarge

    • M5: m5.large, m5.xlarge,m5.2xlarge,m5.4xlarge, m5.12xlarge,m5.24xlarge

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/deploying-vpx/deploy-aws.html。

    [来自 Build 41.28]

    [NSPLAT-8729]

  • 支持巴黎地区部署 AWS

    现在,您可以在巴黎地区的 AWS 中部署 VPX 实例。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/deploying-vpx/deploy-aws.html。

    [来自 Build 41.28]

    [NSPLAT-8730]

  • VPX 负载平衡服务组的 Azure 服务标签

    对于部署在 Azure 云上的 ADC Citrix VPX 实例,现在您可以创建与 Azure 标签关联的负载平衡服务组。VPX 实例使用相应的标签持续监视 Azure 虚拟机 (VM) 或网络接口 (NIC),或两者兼而有之,并相应地更新服务组。每当添加或删除带有相应标记的 VM 或 NIC 时,ADC 都会检测相应的更改,并自动从服务组中添加或删除 VM 或 NIC IP 地址。

    您可以使用 VPX GUI 将 Azure 标签设置添加到 VPX 实例。

    有关 Azure 标签的更多信息,请参阅 Microsoft 文档: https://docs.microsoft.com/zh-cn/azure/azure-resource-manager/resource-group-using-tags

    有关 Citrix ADC VPX 部署的 Azure 标签的更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/deploying-vpx/deploy-vpx-on-azure/tags.html。

    [来自 Build 41.28]

    [NSPLAT-8768]

  • GCP 上的 Citrix ADC VPX 基于订阅的新产品

    对于 Google Cloud Platform (GCP),以下基于订阅的服务现已推出:

    • Citrix ADC VPX Express 许可证

    • Citrix ADC VPX 10 Mbps(标准版/高级版/高级版)

    [来自 Build 47.22]

    [NSPLAT-8772]

  • 支持香港地区部署 AWS

    您现在可以在香港地区的 AWS 中部署 VPX 实例。

    [来自 Build 47.22]

    [NSPLAT-9166]

Citrix Bot Management

  • Citrix Bot Management

    检测和缓解机器人威胁是当今世界的核心安全需求。这是通过使用机器人管理系统实现的。Citrix Bot Management 保护您的 Web 应用程序、应用程序和 API 免受基本和高级安全攻击。Citrix Bot Management 使用以下六种检测机制来检测机器人类型并采取缓解措施。

    这些技术包括机器人白名单、机器人黑名单、IP 信誉、设备指纹识别、速率限制和静态签名。

    IP 信誉。此机制通过主动更新的恶意 IP 地址数据库检测入站流量是否为机器人。

    设备指纹。设备指纹识别将 javascript 注入 HTTP 流,并评估从该 Javascript 返回的属性以确定入站流量是否是机器人。

    速率限制。检测技术对通过会话、cookie 或 IP 来自同一客户端的多个请求进行速率限制。

    机器人签名。该检测技术根据 Citrix 威胁研究团队培育的 3,500 多个签名检测和拦截机器人。例如,机器人可能是未经授权的 URL,用于抓取网站、暴力破解登录或探测漏洞的 URL

    机器人白名单。白名单是可自定义的 URL、IP、CIDR 块和策略表达式列表,用于将符合这些参数之一的入站流量列入白名单并允许入站流量。

    机器人黑名单。黑名单是可自定义的 URL、IP、CIDR 块和策略表达式列表,用于将符合这些参数之一的入站流量列入黑名单并拒绝这些流量。

    Citrix Bot Management 可缓解针对您的公共应用程序、API 和网站的自动威胁和有害机器人流量。如果传入流量被确定为机器人,系统将采取由 ADC 管理员分配的操作,并生成可靠的报告以实现问责和可审核性。

    机器人管理提供以下好处:

    • 防御机器人、脚本和工具包 — 基于静态签名的防御和设备指纹识别可缓解基本和高级机器人的威胁。

    • 抵御基本和高级攻击 — 防止 App 层 DDoS、密码泄露、密码填充、价格抓取工具、内容抓取器等攻击。

    • 保护您的 API 和投资 — 保护您的 API 免遭滥用、探测和数据泄露,并保护基础设施投资免受有害流量的侵害。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/bot-management.html。

    [来自 Build 41.28]

    [NSWAF-2900]

Citrix Gateway

  • Windows 登录前始终处于开启状态

    Windows 登录前的 AlwaysOn 使用户能够在用户登录 Windows 系统之前建立 VPN 通道。这种持久的 VPN 连接是通过设备启动后自动建立设备级 VPN 通道来实现的。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html。

    [来自 Build 41.28]

    [CGOP-10791]

  • 有选择地使用客户端的旧版或最新登录协议

    使用 Workspace 应用程序和 Citrix Gateway 的客户现在可以根据策略有选择地使用旧版或最新的登录协议。客户可以对某些客户端使用旧的网络协议,也可以允许客户端使用传统协议与 Citrix Gateway 客户端进行原生 Intune 集成,主要是使用设备唯一标识符检查 Intune 合规性。

    [来自 Build 41.28]

    [CGOP-10879]

  • Ubuntu 18.04 LTS 上支持 VPN 客户端

    Ubuntu 18.04 LTS 现在支持 VPN 客户端。

    [来自 Build 47.22]

    [CGOP-11067]

Citrix Web App Firewall

  • 允许的文件上传格式

    Citrix Web App Firewall 现在允许您在 Citrix Web App Firewall 配置文件中配置允许的文件上传格式。通过这样做,您可以将文件上传限制为特定格式,并在多表单提交期间保护设备免受恶意上传。

    注意:只有当您在 WAF 配置文件中禁用“ExcludeFileUploadFormChecks”选项时,该功能才有效。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/application-firewall/profiles/file-upload-protection.html

    [来自 Build 41.28]

    [NSWAF-2579]

  • 详细记录违规模式

    现在,您可以配置 Web App Firewall 配置文件,以便在攻击发生时提供详细的违规模式。通过配置 Verbose 日志级别选项,您可以记录有效负载的不同部分以及攻击模式,以进行取证分析或故障排除。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/application-firewall/profiles/detailed-troubleshooting-with-waf-logs.html

    [来自 Build 41.28]

    [NSWAF-2892]

  • JSON 内容保护

    Citrix Web App Firewall 现在为 DOS、XSS 和 SQL 攻击提供 JSON 保护。JSON 拒绝服务 (DoS)、SQL 和 XSS 规则会检查传入的 JSON 请求,并验证是否有任何数据与 DoS、SQL 或 XSS 攻击的特征相匹配。如果请求存在 JSON 违规,设备将阻止请求、记录数据、发送 SNMP 警报以及显示 JSON 错误页面。JSON 保护检查的目的是防止攻击者发送 JSON 请求以对您的 JSON 应用程序或网站发起 DoS、XSS 或 SQL 攻击。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/application-firewall/json-content-protection.html

    [来自 Build 41.28]

    [NSWAF-2894]

  • 使用动态配置文件自动部署学习数据。

    现在,您可以将学习的数据作为放松规则自动部署。在动态分析中,如果 Web App Firewall 在用户定义的阈值内记录学习数据,则设备会向用户发送 SNMP 警报。如果用户未在宽限期内跳过数据,则设备会自动部署数据作为放宽规则。以前,用户必须手动部署所学数据作为放宽规则。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/application-firewall/profiles/dynamic-profiling.html

    [来自 Build 41.28]

    [NSWAF-2895]

  • 用于降低 CPU 利用率的 WAF POST 正文阈值

    应用程序防火墙签名文件现在包括 CPU 使用率、最新适用年份和严重性级别。每次定期修改和上传特征文件时,您都可以查看 CPU 使用率、最近年份和 CVE 严重性级别。观察这些值后,您可以决定在设备上启用或禁用签名。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/application-firewall/profiles/app-firewall-profile-settings.html

    [来自 Build 41.28]

    [NSWAF-2932]

  • 使用正则表达式模式屏蔽敏感数据

    绑定到 Web Citrix Web App Firewall (WAF) 配置文件的日志表达式中的 REGEX_REPLACE 高级策略功能使您能够屏蔽 WAF 日志中的敏感数据。

    [来自 Build 47.22]

    [NSWAF-3816]

  • 简单易读的 IP 信誉类别名称

    IP 信誉机器人检测类别名称现在可用作可读名称。

    [来自 Build 47.22]

    [NSWAF-3824]

  • 通过动态分析来学习 Start URL

    动态分析现在可用于开始 URL 安全检查,以检测和学习新的 URL。

    [来自 Build 47.22]

    [NSWAF-3934]

群集

  • 基于背板接口的操作视图

    在群集设置中,您现在可以根据仅在背板接口上收到的心跳消息实现操作视图。

    举一个由节点 1 和节点 2 组成的双节点群集的示例。这两个节点在所有已启用的接口上相互发送和接收心跳消息。启用基于背板的视图时,操作视图仅基于在背板接口上接收到的心跳。如果节点 1 没有收到来自背板接口上节点 2 的心跳消息,则即使节点 1 通过数据接口接收节点 2 的心跳信号,节点 1 或节点 2 也会在操作上处于非活动状态。默认情况下,基于背板的视图处于禁用状态。禁用此选项时,节点不依赖于仅通过背板接收心跳信号。

    [来自 Build 47.22]

    [NSHELP-15871]

  • ARP 所有者对条带化 IP 的支持

    在群集设置中,您现在可以配置特定节点以响应条带 IP 的 ARP 请求。配置的节点将响应 ARP 流量。在“add, set, and unset ip”CLI 命令中引入了一个新属性“arpOwner”。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/clustering/cluster-overview/cluster-config-type.html#arp-owner-support-for-striped-ip。

    [来自 Build 41.28]

    [NSNET-3050]

  • 清除群集版本不匹配的 SNMP 陷阱

    现在,使用清除陷阱 SNMP 可以清除群集设置中的版本不匹配。

    [来自 Build 41.28]

    [NSNET-8545]

DNS

  • 2019 年 DNS 国旗日合规性

    Citrix ADC 设备现在完全符合 2019 年 DNS 国旗日。

    [来自 Build 41.28]

    [NSLB-4275]

GSLB

  • 将目标虚拟服务器表达式关联到 GSLB 内容切换操作

    现在增加了将目标虚拟服务器表达式关联到 GSLB 内容切换操作的支持。这允许 GSLB 内容交换虚拟服务器在处理 DNS 请求时使用策略表达式来组成目标 GSLB 虚拟服务器名称。

    [来自 Build 47.22]

    [NSLB-4751]

  • 为通配符域支持 GSLB

    现在增加了将通配符 DNS 域绑定到 GSLB 虚拟服务器的支持。访问通配符域后面的应用程序的用户将被路由到托管这些应用程序的最佳最佳数据中心。通配符域处理不存在的域和子域的请求。在区域中,您可以使用通配符域将所有不存在的域或子域的查询重定向到特定服务器。您无需为每个此类域创建单独的资源记录 (RR)。

    [来自 Build 47.22]

    [NSLB-4792]

  • 使用 API 方法确定性能最佳的 GSLB 服务

    GSLB 部署现在支持基于 API 的 GSLB 方法,用于选择性能最佳的 GSLB 服务。在这种方法中,当 GSLB 收到来自客户端的 DNS 请求时,GSLB 会触发向配置的 API 服务器发出 HTTP (S) REST API 请求。根据来自 API 的响应,GSLB 发送一个 DNS 响应,其中包含性能最佳 GSLB 服务的 IP 地址。

    [来自 Build 47.22]

    [NSLB-5194]

许可

  • 标准许可证中的动态路由协议

    Citrix ADC 标准许可证现在包括 Citrix ADC 动态路由协议。Citrix ADC 支持以下动态协议:

    • RIP(IPv4 和 IPv6)

    • OSPF(IPv4 和 IPv6)

    • BGP(IPv4 和 IPv6)

    • IS-IS(IPv4 和 IPv6)

    [来自 Build 41.28]

    [NSNET-12256]

  • 标准许可证中的动态路由协议

    Citrix ADC 标准许可证现在包括 Citrix ADC 动态路由协议。Citrix ADC 支持以下动态协议:

    • RIP(IPv4 和 IPv6)

    • OSPF(IPv4 和 IPv6)

    • BGP(IPv4 和 IPv6)

    • IS-IS(IPv4 和 IPv6)

    [来自 Build 41.28]

    [NSPLAT-6179]

  • SDX 最小带宽和最小实例的新值

    支持 Citrix ADC 池容量的 SDX 设备的最小带宽和最小实例值已更改。有关详细信息,请参阅:

    https://docs.citrix.com/zh-cn/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html

    [来自 Build 41.28]

    [NSSVM-2770]

负载平衡

  • 支持安全的 NTLM 监视器

    现在,您可以使用 nsntlm-lwp.pl 脚本创建监视器来监视安全的 NTLM 服务器。

    [来自 Build 41.28]

    [NSLB-4806]

  • 支持自动缩放 API

    如果所有提供的条件都匹配,则可以将服务组从非自动缩放类型设置为所需状态 API (DSA) 的自动缩放类型。对于此配置,请在“set serviceGroup”命令中使用 autoscale API 参数。

    [来自 Build 47.22]

    [NSLB-5311]

  • 限制客户端连接上的并发请求数

    现在,您可以限制单个客户端连接上的并发请求数。您可以通过限制并发请求的数量来保护服务器免受安全漏洞的侵害。当客户端连接达到指定的最大限制时,Citrix ADC 设备会删除连接上的后续请求,直到未完成的请求数低于限制。

    [来自 Build 47.22]

    [NSLB-5315]

NITRO

  • 将系统用户限制到特定的管理接口

    Citrix ADC 设备现在允许您限制用户对特定管理接口(CLI 或 API)的访问权限。可以在用户级别为特定用户或一组用户配置允许的管理接口列表。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/restricted-management-interface-access.html。

    [来自 Build 41.28]

    [NSCONFIG-1376]

  • 使用所需状态 API 无缝更新具有所需成员集的服务组

    现在,您可以使用所需状态 API 用所需的服务组成员集更新服务组。使用所需状态 API,您可以在“servicegroup_servicegroupmemberlist_binding”资源的单个 PUT 请求中提供服务组成员列表及其权重和状态(可选)。Citrix ADC 设备将请求的所需成员集与配置的成员集进行比较。然后,它会自动绑定新成员并解除请求中不存在的成员的绑定。

    [来自 Build 41.28]

    [NSLB-4543]

网络连接

  • ISSU 统计支持

    现在,您可以查看用于在高可用性设置中监视当前 ISSU 进程的统计信息。ISSU 的统计信息显示以下信息:

    • ISSU 迁移操作的当前状态

    • ISSU 迁移操作的开始时间

    • ISSU 迁移操作的结束时间

    • ISSU 回滚操作的开始时间

    [来自 Build 47.22]

    [NSNET-11457]

  • 对来自 FTP 服务器随机端口的 FTP 连接的连接故障转移支持

    连接故障转移使主节点能够在高可用性设置中将连接和持久性信息复制到辅助节点。启用连接镜像后,会定期与辅助节点共享连接的状态信息。

    Citrix ADC 设备高可用性设置支持 FTP 服务器使用随机数据端口的 FTP 连接的连接故障转移。

    主节点定期向辅助节点发送与 FTP 相关的连接信息。辅助设备仅在发生故障转移时使用此信息。

    要在 FTP 类型的负载平衡配置上启用连接故障转移,您可以使用 CLI 或 GUI 启用负载平衡虚拟服务器的 connFailover (Connection Failover) 参数。

    此外,要使 Citrix ADC 设备能够处理 FTP 服务器使用随机端口的 FTP 连接,必须启用 Citrix ADC 全局参数:aftpAllowRandomSourcePort(启用 Active FTP 的随机源端口选择)。

    [来自 Build 47.22]

    [NSNET-7685,NSNET-9529]

  • 支持为与服务器的 RNAT 连接保留源端口

    对于点击具有一个或多个 RNAT IP 地址且禁用了使用代理端口参数的 RNAT 配置的请求,Citrix ADC 设备使用 RNAT IP 地址之一和 RNAT 请求的源端口来连接到服务器。

    在此版本之前,如果其他连接中已经使用了相同的源端口,则 RNAT 与服务器的连接(使用 RNAT 客户端的源端口)将失败。

    • 源端口小于 1024。默认情况下,Citrix ADC 设备保留任何 Citrix ADC 拥有的 IP 地址(包括 RNAT IP 地址)的前 1024 个端口。在此版本之前,如果 RNAT 请求的源端口小于或等于 1024,则 RNAT 与服务器的连接(使用 RNAT 客户端的源端口)将失败。在这些版本中,如果 RNAT 请求的源端口小于或等于 1024,则与服务器的 RNAT 连接(使用 RNAT 客户端的源端口)将成功。

    • 源端口大于 1024。在此版本之前,如果其他连接中已经使用了相同的源端口,则 RNAT 与服务器的连接(使用 RNAT 客户端的源端口)将失败。在此版本中,作为 RNAT 配置的一部分,您可以在“保留源端口范围”参数中指定 RNAT 客户端源端口范围。Citrix ADC 设备将这些 RNAT 客户端源端口保留在 RNAT IP 地址上,仅用于与服务器的 RNAT 连接。

    [来自 Build 47.22]

    [NSNET-9797]

平台

  • 为接口设置接收环形大小和振铃类型

    现在,您可以增加 Citrix ADC MPX 和 SDX 平台上 IX、F1X、F2X 和 F4X 接口的接收环路大小和振铃类型。

    增加戒指尺寸可为应对突发流量提供更多缓冲,但可能会影响性能。IX 接口支持最大 8192 的环形大小。F1X、F2X 和 F4X 接口支持最大 4096 的环形大小。默认戒指尺寸继续为 2048。

    默认情况下,接口环类型是弹性的。它们的大小根据数据包到达率增加或减小。您可以将振铃类型配置为“固定”,这样它就不会根据流量速率而变化。

    [来自 Build 41.28]

    [NSPLAT-9264]

策略

  • 新的策略表达式以本地时区显示 GMT 时间

    新的策略表达式“SYS.TIME.TO_LOCAL”现在可用于显示本地时区的 GMT 时间。

    [来自 Build 47.22]

    [NSHELP-16098,NSPOLICY-58]

  • 在 respondwithtmlpage 响应程序操作中添加自定义标头

    Citrix ADC 设备现在可以在响应 withtmlpage 响应程序操作中使用自定义标头进行响应。您最多可以配置八个自定义标头。以前,设备仅使用静态标头(例如 Content-type:text/html 和)进行响应 Content-Length:<value>

    注意:配置自定义标头时,可以覆盖“Content-Type”标头值。

    [来自 Build 47.22]

    [NSPOLICY-2329]

  • 用于策略转换的增强型 nspepi 工具

    nspepi 工具现已改进,支持以下内容:

    • 通道策略及其绑定的转换。

    • 转换 CMP、CR 和通道中的内置经典策略绑定。

    • 将身份验证策略及其绑定转换为身份验证虚拟服务器,但不转换为其他实体绑定。

    • 修复了各种错误。

    注意:如果使用 cmd 策略并转换命令的名称,则需要手动更改任何关联的 cmd 策略。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/appexpert/policies-and-expressions/introduction-to-policies-and-exp/converting-policy-expressions-nspepi-tool.html

    [来自 Build 41.28]

    [NSPOLICY-3159]

  • 生成与 encryptionParams 类似的随机且唯一的 HMAC 密钥值

    现在,您可以自动生成随机加密或 HMAC 密钥。

    add ns encryptionKey <name> -method <method> -keyValue AUTO

    add ns hmacKey <name> -digest <digest> -keyValue AUTO

    可以在设置命令中使用“AUTO”keyValue 来为现有的 encrytionKey 和 hmacKey 对象生成新密钥。

    如果 Citrix ADC 设备使用密钥加密和解密数据,或者生成和验证 HMAC 密钥,则自动密钥生成很有用。

    注意:由于密钥值本身在显示时已加密,因此您无法检索生成的密钥值以供任何其他方使用。

    [来自 Build 47.22]

    [NSPOLICY-3287]

  • 为绑定到模式集或数据集的模式提供注释的选项。

    现在,“绑定策略 patset”命令允许您为绑定到模式集的模式提供注释。

    bind policy patset <name> <string> [-index <positive_integer>]

    [-charset ( ASCII | UTF_8 )] [-comment <string>]

    其中,

    评论。提供有关绑定到模式集的模式的注释。

    现在,“绑定策略数据集”命令允许您为绑定到数据集的模式提供注释。

    bind policy dataset <name> <value> [-index <positive_integer>] [-comment <string>]

    其中,

    评论。提供有关绑定到数据集的模式的评论。

    [来自 Build 47.22]

    [NSPOLICY-3298]

  • 允许无害的 SYS 功能

    现在,表达式赋值器中允许使用 SYS.TIME、SYS.RANDOM、SYS.NSIP、SYS.UUID 等 SYS 函数,以及以前不允许使用它们的其他地方。

    但是,在表达式赋值器和其他以前不允许使用的地方,仍不允许使用某些 SYS 函数。一个例子是 SYS.HTTP_CALLOUT。

    [来自 Build 47.22]

    [NSPOLICY-3302]

  • 将经典过滤器命令转换为高级过滤器命令

    nspepi 工具现在可以将基于经典筛选操作(例如添加、绑定等)的命令转换为高级筛选器命令。

    但是,nepepi 工具不支持以下过滤器命令。

    • add filter action <action Name> FORWARD <service name>

    • add filter action <action name> ADD prebody

    • add filter action <action name> ADD postbody

    注意:

    • 如果 ns.conf 中存在重写或响应器功能,并且它们的策略是以 GOTO 表达式为 END 或 USER_INVOCATION_RESULT 进行全局绑定,并且绑定类型为 REQ_X 或 RES_X,则该工具会部分转换绑定过滤器命令并输出注释。将显示警告,请手动操作。

    • 如果存在现有的重写或响应器功能,并且它们的策略绑定到带有 GOTO-END 或 USER_INVOCATION_RESULT 的 HTTPS 类型的虚拟服务器(例如,负载平衡、内容切换或缓存重定向),则该工具会部分转换绑定过滤器命令,然后取消注释。将显示警告,请手动操作。

    [来自 Build 47.22]

    [NSPOLICY-509]

SSL

  • 支持在 stat ssl 命令中显示 RSA 3072 位密钥值

    stat ssl 的输出现在包含 RSA 3072 位密钥交换值。

    stat ssl -detail

    SSL 卸载

    现有 SSL 卡 8

    SSL 卡 UP 8

    SSL 引擎状态 1

    SSL 会话(比率)0

    密钥交易所

    RSA 512 位密钥交换 0 0

    RSA 1024 位密钥交换 0 0

    RSA 2048 位密钥交换 0 0

    RSA 3072 位密钥交换 0 106380

    RSA 4096 位密钥交换 0 0

    Done

    [来自 Build 41.28]

    [NSSSL-1954]

  • 支持分段的 TLS 消息

    Citrix ADC 设备现在支持对服务器证书消息和证书请求消息进行分段。这些消息在所有记录中支持的最大大小为 32 KB。以前,不支持分段,支持的最大消息大小为 16 KB。

    [来自 Build 41.28]

    [NSSSL-5971]

  • SSL 标题:查看使用 Intel Coleto 芯片的 Citrix ADC 设备上的 SSL 芯片利用率您现在可以在以下 Citrix ADC MPX 设备上查看 SSL 芯片利用率。这些设备包含 Intel Coleto 芯片。- MPX 5900 - MPX 8900 - MPX 15000-50G - MPX 26000 - MPX 26000-50S - MPX 26000-100G 要查看芯片利用率,请在命令提示符下键入:stat ssl。

    [来自 Build 47.22]

    [NSSSL-5975]

  • 支持更长的 SSL 实体名称

    为了帮助客户在所有 ADC 实体中保持标准命名惯例,Citrix ADC 设备现在支持最多 63 个字符的证书名称。早些时候,限制为 31 个字符。

    [来自 Build 41.28]

    [NSSSL-5976]

  • Intel Coleto 芯片运行状况检查增强功能

    搭载 Intel Coleto 芯片的 Citrix ADC 设备现在支持对称 (SYM) 和非对称 (ASYM) 操作的增强型运行状况检查。

    [来自 Build 41.28]

    [NSSSL-6299]

  • 通过基于策略的客户端身份验证支持可选的客户端证书验证

    配置了基于策略的客户端身份验证后,可以将客户端证书验证设置为可选。以前,强制是唯一的选择。现在,可选和强制选项均可用且可配置。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/ssl/ssl-actions-and-policies/config-built-in-ssl-actions.html#client-certificate-verification-with-policy-based-client-authentication。

    [来自 Build 41.28]

    [NSSSL-690]

  • 支持使用不同平台进行异构群集部署

    现在,您可以通过将 SSL 参数“Heterogeneous SSL HW”设置为“ENABLED”,对具有不同数量的数据包引擎的 Citrix ADC MPX 设备进行异构群集部署。例如,要形成基于 Cavium 芯片的设备(MPX 14000 或类似设备)和基于 Intel Coleto 芯片的设备(MPX 15000 或类似设备)的群集,请启用 SSL 参数“Heterogeneous SSL HW”。要使用同一芯片形成一个平台群集,请保留此参数的默认值 (禁用)。

    Citrix ADC SDX 设备上托管的 VPX 实例不支持该功能。

    有关组成异构群集时支持的平台的信息,请参见

    https://docs.citrix.com/zh-cn/citrix-adc/13/clustering/support-for-heterogeneous-cluster.html。

    [来自 Build 47.22]

    [NSSSL-7149]

  • 在 Citrix ADC VPX 设备前端支持 DTLSv1.2 协议

    Citrix ADC VPX 设备的前端现在支持 DTLS 1.2 协议。在配置 DTLS 虚拟服务器时,您现在必须指定 DTLS1 或 DTLS12。

    [来自 Build 47.22]

    [NSSSL-7188]

  • 自动证书链接

    SSL 证书链接现已自动化。也就是说,如果设备上存在中间 CA 证书和根证书,则您不再需要手动将每个证书链接到其颁发者。

    如果所有证书在设备上都可用,并且您单击最终用户证书中的“链接”按钮,则会出现潜在的证书链。在证书链中,单击“链接证书”以链接所有证书。

    [来自 Build 47.22]

    [NSSSL-7190,NSUI-12903]

系统

  • 支持高级审核日志策略

    现在,您可以将高级审核日志策略绑定到负载平衡虚拟服务器。

    [来自 Build 47.22]

    [CGOP-6824]

  • 实现 ICAP 请求超时和响应超时

    要处理 ICAP 响应超时问题,您可以在 ICAP 配置文件中为“reqTimeout”参数配置 ICAP 请求超时值。通过执行此操作,您可以为设备设置请求超时操作,使其在 ICAP 服务器延迟 ICAP 响应时采取任何操作。如果设备在配置的请求超时内没有收到任何 ICAP 响应,则设备可以根据在 Icapprofile 上配置的“ReqTimeoutAction”参数执行以下操作之一。

    ReqTimeoutAction:可能的值包括旁路、重置、丢弃。

    BYPASS:如果在超时值内未收到带有封装标头的 ICAP 响应,则会忽略远程 ICAP 服务器的响应并将完整的请求/响应发送到客户端/服务器

    RESET(默认):通过关闭客户端连接来重置。

    DROP:在不向用户发送响应的情况下删除请求

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/content-inspection/icap-for-remote-content-inspection.html

    [来自 Build 41.28]

    [NSBASE-3040,NSBASE-2264]

  • 在内容检查期间处理 ICAP 服务器停机时间

    为了在内容检查期间处理 ICAP 服务器停机时间,Citrix ADC 设备现在允许您配置 ifserverdown 参数并分配以下操作。

    继续:如果用户想在远程服务器关闭时绕过内容检查,则可以选择此操作。

    RESET(默认):此操作通过关闭与 RST 的连接来响应客户端。

    DROP:此操作会在不向用户发送响应的情况下以静默方式丢弃数据包。

    [来自 Build 41.28]

    [NSBASE-4936]

  • 重写对代理协议去除操作的策略表达式支持

    代理协议中的精简操作现在使用重写策略表达式将客户机详细信息(例如源 IP 地址、目标 IP 地址、源端口和目标端口)添加到 HTTP 标头中。重写策略评估表达式,如果为“true”,则触发相应的重写策略操作,并将客户端详细信息在 HTTP 标头中转发到后端服务器。

    [来自 Build 47.22]

    [NSBASE-4988]

  • TCP 选项中的客户端 IP 地址

    Citrix ADC 现在使用 TCP 选项配置将客户端 IP 地址发送到后端服务器。设备添加一个 TCP 选项编号,在第一个数据包中插入客户端 IP 地址,然后将其转发到后端服务器。TCP 选项配置可用于以下场景。

    • 了解原始客户端 IP 地址

    • 为网站选择一种语言

    • 将选定的 IP 地址列入黑名单

    [来自 Build 47.22]

    [NSBASE-6553,NSUI-14692]

  • 入侵检测系统 (IDS) 与 L3 连接集成

    Citrix ADC 设备现已与入侵检测系统 (IDS) 等被动安全设备集成在一起。在此设置中,设备将原始流量的副本安全地发送到远程 IDS 设备。这些被动设备存储日志,并在检测到不良或不合规的流量时触发警报。它还会生成用于合规目的的报告。如果 Citrix ADC 设备与两台或多台 IDS 设备集成在一起,并且流量很大,则设备可以通过在虚拟服务器级别克隆流量来平衡设备的负载。

    为了提供高级安全保护,Citrix ADC 设备与被动安全设备集成在一起,例如在仅检测模式下部署的入侵检测系统 (IDS)。这些设备存储日志,并在发现不良或不合规的流量时触发警报。它还会生成用于合规目的的报告。以下是将 Citrix ADC 与 IDS 设备集成的一些好处。

    1. 检查加密流量-大多数安全设备会绕过加密流量,从而使服务器容易受到攻击。Citrix ADC 设备可以解密流量并将其发送到 IDS 设备以增强客户的网络安全。

    2. 将 IDS 设备从 TLS/SSL 处理中卸载 — TLS/SSL 处理非常昂贵,如果入侵检测设备解密流量,则会导致入侵检测设备中的系统 CPU 过高。随着加密流量的快速增长,这些系统无法解密和检查加密的流量。Citrix ADC 有助于将流量从 TLS/SSL 处理中卸载到 IDS 设备。这种卸载数据的方式会导致 IDS 设备支持大量流量检查。

    3. 负载平衡 IDS 设备 — 当流量较大时,Citrix ADC 设备通过在虚拟服务器级别克隆流量来对多个 IDS 设备进行负载平衡。

    4. 将流量复制到被动设备-流入设备的流量可以复制到其他被动设备以生成合规性报告。例如,很少有政府机构要求在某些被动设备中记录每个交易。

    5. 向多个被动设备发送流量 — 有些客户更喜欢扇出或将传入流量复制到多个被动设备中。

    6. 智能选择流量-可能不需要对流入设备的每个数据包进行内容检查,例如下载文本文件。用户可以将 Citrix ADC 设备配置为选择要检查的特定流量(例如.exe 文件),然后将流量发送到 IDS 设备以处理数据。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/content-inspection/intrusion-detection-system-for-l3.html

    [来自 Build 41.28]

    [NSBASE-6800]

  • 用于调试负载平衡虚拟服务器的新实体计数器

    添加了一个新的实体计数器,用于调试虚拟服务器和分析目的。

    [来自 Build 41.28]

    [NSBASE-8087]

  • 更新许可服务器 IP 地址

    现在,您可以更新 VPX 实例中的许可服务器 IP 地址,而不会对分配的许可证带宽和数据丢失产生任何影响。有关信息,请参阅 https://docs.citrix.com/zh-cn/citrix-application-delivery-management-software/13/license-server/adc-vpx-check-in-check-out.html#update-a-licensing-server-ip-address

    [来自 Build 47.22]

    [NSCONFIG-1974]

  • 更改默认 RPC 节点密码

    在 HA、群集和 GSLB 部署中,如果默认 RPC 节点密码未更改,则会出现 nsroot 和超级用户登录的警告消息。

    [来自 Build 41.28]

    [NSCONFIG-2224]

  • 回滚运行中软件升级流程

    高可用性设置现在支持回滚在役软件升级 (ISSU) 流程。如果您观察到 ISSU 过程之后或期间的 HA 设置不稳定,或者性能未达到预期的最佳水平,则 ISSU 回滚功能会很有用。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html。

    [来自 Build 41.28]

    [NSNET-9958]

  • In Service Software Upgrade 过程的 SNMP 陷阱

    高可用性设置的服务中软件升级 (ISSU) 过程现在支持在 ISSU 迁移操作的开始和结束时发送 SNMP 陷阱消息。

    有关详细信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html。

    [来自 Build 41.28]

    [NSNET-9959]

视频优化

之前的 Citrix ADC 13.0 版本中已修复的问题

在 Build 47.24 之前的 Citrix ADC 13.0 版本中解决的问题。下面问题描述中提供的 Build 号指示解决了相应问题的 Build。

管理分区

  • 每当 Citrix ADC 设备在默认分区中达到 100% 的内存使用率时,“stat system memory”命令可能会为“空闲内存 (MB)”字段显示错误的值。

    [来自 Build 47.22]

    [NSHELP-19239]

  • 在使用管理分区配置的高可用性设置中,只有当可以从管理分区访问 SYSLOG 或 NSLOG 服务器时,才会将从辅助节点生成的审核日志发送到 SYSLOG 或 NSLOG 服务器。

    [来自 Build 41.28]

    [ NSHELP-19399]

  • 在分区设置中,“diff ns config”CLI 命令会显示误导性信息。

    [来自 Build 41.28]

    [ NSHELP-19530]

  • Citrix ADC 设备可能无法在与管理分区相关的 SNMP 陷阱消息中添加数据包引擎 (PE) ID 信息。

    [来自 Build 47.22]

    [NSHELP-19966]

  • 在分区设置中,创建管理分区后,DNS 会变慢并超时。

    [来自 Build 47.22]

    [NSHELP-19996]

AppFlow

  • 如果 AppFlow 策略绑定到内容交换虚拟服务器后面的负载平衡虚拟服务器,则不会触发该策略。

    [来自 Build 41.28]

    [ NSHELP-18782、NSBASE-8180]

  • 如果您将用户定义的分析配置文件(内部绑定配置文件除外)绑定到 AppFlow 操作,Citrix ADC 设备会崩溃。

    [来自 Build 41.28]

    [NSHELP-19362]

  • 启用 AppFlow“客户端测量”功能时,Citrix ADC 设备会意外地解析 HTML 页面的 CSS 文件。CSS 解析期间的任何错误都可能导致 HTML 页面加载不正确。

    [来自 Build 41.28]

    [NSHELP-19375]

  • 如果禁用 AppFlow 但在 FEO 操作中通过客户端测量启用了前端优化 (FEO),Citrix ADC 设备可能会崩溃。

    [来自 Build 41.28]

    [NSHELP-19531]

  • 如果 AppFlow 收集器在 Logstream 传输模式下关闭,Citrix ADC 设备可能会重新启动。

    [来自 Build 41.28]

    [NSHELP-19837]

  • 如果您在流量流经设备时删除 AppFlow 操作,Citrix ADC 设备可能会变得无响应。

    [来自 Build 47.22]

    [NSHELP-20523,NSHELP-21692]

身份验证、授权和审核

  • 如果满足以下条件,Citrix ADC 设备可能允许未经授权的访问:

    • 未配置相应的授权策略。

    • 默认情况下,“set tm sessionParameter”命令中的 defaultAuthorizationAction 参数为 ALLOW

    [来自 Build 41.28]

    [NSAUTH-6013]

  • 如果属性长度大于 128 字节,则从 AD 提取到 Citrix ADC 设备的 LDAP DN 属性将被截断。

    [来自 Build 47.22]

    [NSAUTH-7210]

  • 即使在 SSH 公钥身份验证成功之后,SNMP 仍会发送陷阱。

    [来自 Build 41.28]

    [NSHELP-18303]

  • 当 TACACS 服务器在不发送身份验证响应的情况下关闭与 FIN 或 RST 数据包的 TCP 连接时,探测服务器命令会提供相应的消息。

    [来自 Build 41.28]

    [NSHELP-18399]

  • 将 10.5 版上的 Citrix ADC 群集设置升级到更高版本时,系统登录到更高版本上的非 CCO 节点失败。

    [来自 Build 41.28]

    [NSHELP-18511,NSAUTH-5561]

  • 如果服务器发送大型 RelayState 参数名称和断言,则配置为 SAML SP 的 Citrix ADC 设备将失败。

    [来自 Build 41.28]

    [NSHELP-18559]

  • Citrix 身份验证、授权和审核注销消息有时会显示不正确的虚拟服务器名称。

    [来自 Build 41.28]

    [NSHELP-18751]

  • 如果满足以下条件之一,Citrix ADC 设备将无法通过受限委派获取 Kerberos 票证:

    • 为用户配置了企业“领域”参数。

    • “keytab”参数中的域名是小写的。

    [来自 Build 47.22]

    [NSHELP-18946]

  • 如果满足以下条件之一,Citrix ADC 设备将无法通过受限委派获取 Kerberos 票证:

    • 为用户配置了企业“领域”参数。

    • “keytab”参数中的域名是小写的。

    [来自 Build 41.28]

    [NSHELP-18946]

  • 如果满足以下条件,缓冲区就会损坏:

    • 缓冲区中的数据被覆盖。

    • 核心到核心的消息处理会导致缓冲区回收状态。

    [来自 Build 41.28]

    [NSHELP-18952]

  • 如果用户代理包含 ns_aaa_activesync_useragents 中提到的模式之一,Citrix ADC 设备不会丢弃未经身份验证的 HTTP 选项请求。

    [来自 Build 41.28]

    [NSHELP-19024]

  • 在 Citrix Gateway 设备上进行多次故障转移后,WebAuth 身份验证失败。

    [来自 Build 41.28]

    [NSHELP-19050]

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃:

    • 在 LDAP 操作命令中启用了密码更改选项。

    • 带有身份验证、授权和审核会话的 LDAP 操作遇到了会话传播问题。

    [来自 Build 41.28]

    [NSHELP-19053]

  • 当 Citrix Gateway 或流量管理虚拟服务器使用 Kerberos 身份验证时,Citrix ADC 设备的内存使用量会增加。

    [来自 Build 41.28]

    [NSHELP-19085]

  • 如果身份验证、授权和审核会话的数量很多,则终止用户会话需要更长的时间。

    [来自 Build 47.22]

    [NSHELP-19131]

  • 如果配置了 metadataURL 参数并重新启动 Citrix 设备,则不会保存 SAMLAction 命令并且配置将丢失。

    [来自 Build 41.28]

    [NSHELP-19140]

  • 如果您设置“导入元数据 URL”,然后通过提供来自 Citrix ADC GUI 的重定向 URL 对其进行编辑,则重定向 URL 已设置,但导入元数据 URL 未取消设置。因此,Citrix ADC 设备使用元数据 URL。

    [来自 Build 41.28]

    [NSHELP-19202]

  • 如果 Citrix GUI 或 NITRO API 登录请求的输入的用户名或密码值无效,Citrix ADC 设备可能会崩溃。

    [来自 Build 41.28]

    [NSHELP-19254]

  • 如果将身份验证登录架构策略设置为 noschema,Citrix 设备可能会崩溃。

    [来自 Build 41.28]

    [NSHELP-19292]

  • 如果在 samlIdPProfile 命令中配置了 defaultAuthenticationGroup 参数,Citrix ADC 设备偶尔会出现故障。

    [来自 Build 41.28]

    [NSHELP-19301]

  • 当通过负载平衡虚拟服务器和负载平衡服务访问 Citrix ADC 管理时,使用基于角色的访问 (RBA) 身份验证从 Citrix GUI 或 NITRO API 登录系统用户失败。

    [来自 Build 41.28]

    [NSHELP-19385]

  • Active Directory 联合服务 (ADFS) 无法导入 Citrix ADC SAML 服务提供商 (SP) 生成的元数据。

    [来自 Build 41.28]

    [NSHELP-19390]

  • 如果数字签名包含 HTML 实体编码字符,则 base64 解码失败。

    [来自 Build 41.28]

    [NSHELP-19410]

  • 为 SAML 身份提供商 (IdP) 配置的 Citrix ADC 设备无法对某些应用程序的传入身份验证请求进行身份验证。

    [来自 Build 41.28]

    [NSHELP-19443]

  • 如果在检查任何现有会话之前处理了客户端请求中的对话 Cookie,Citrix ADC 设备会向客户端发送更改密码页面。

    [来自 Build 47.22]

    [NSHELP-19528]

  • 如果在检查任何现有会话之前处理了客户端请求中的对话 Cookie,Citrix ADC 设备会向客户端发送更改密码页面。

    [来自 Build 41.28]

    [NSHELP-19528]

  • 如果 URL 包含“;”特殊字符,则 TASS cookie 会在登录时对 URL 重定向进行编码。

    [来自 Build 41.28]

    [NSHELP-19634]

  • 如果在管理员登录期间提取用户组,Citrix ADC AAA 的内存使用量会逐渐增加。

    [来自 Build 41.28]

    [NSHELP-19671]

  • 在极少数情况下,处理身份验证、授权和审核会话时可能会出现内存泄漏问题。

    [来自 Build 47.22]

    [NSHELP-19703]

  • 当配置为采用 WS-Fed 协议的 SAML 的 Citrix ADC 设备在密码中包含特殊字符“&”时,身份验证可能会失败。

    [来自 Build 41.28]

    [NSHELP-19740]

  • 如果满足以下条件,Citrix ADC 设备可能会在 OTP 管理流程中崩溃:

    • OTP 登录架构被用作第一个因素。

    • 电子邮件身份验证被用作第二个因素。

    [来自 Build 47.22]

    [NSHELP-19759]

  • 在某些情况下,发出“show aaa group -loggedIn”命令时,Citrix ADC 设备会转储内核。

    [来自 Build 47.22]

    [NSHELP-19793]

  • 如果满足以下条件,则会观察 500 错误消息:

    • 启用身份验证、授权和审核的流量管理虚拟服务器无需使用 cookie 即可获得发布请求。

    • 帖子正文包含换行符。

    [来自 Build 41.28]

    [NSHELP-19852]

  • Citrix ADC 设备使用从身份验证、授权和审核流量管理虚拟服务器收到的 OPTIONS 方法处理未经身份验证的 HTTP 请求。此时,设备会使用相应的 HTTP 401 错误消息进行响应。

    [来自 Build 41.28]

    [NSHELP-19916]

  • 如果 HSTS 标头的最大年龄值设置为 2,147,483,647 以上,Citrix ADC 设备将发送负值。

    [来自 Build 41.28]

    [NSHELP-19945]

  • SAML 响应中的 SAML 属性值包括多行 SAML AttributeValue,而不是一行。

    [来自 Build 47.22]

    [NSHELP-19961]

  • SAML 响应中的 SAML 属性值包括多行 SAML AttributeValue,而不是一行。

    [来自 Build 41.28]

    [NSHELP-19961]

  • 在 OpenID-Connect 机制中,OAuth 依赖方 (RP) 在调用密码授权 API 时不对用户名或密码属性进行编码。

    [来自 Build 41.28]

    [NSHELP-19987]

  • Citrix ADC GUI 上的 AAA 组页面未在内联网 IP 地址字段中显示 IP 地址。

    [来自 Build 47.22]

    [NSHELP-20068]

  • 如果配置为 SAML 身份提供商 (IdP) 的 Citrix ADC 设备包含引号,则会截断服务提供商 (SP) 的中继状态。

    [来自 Build 47.22]

    [NSHELP-20131]

  • 如果配置为 SAML 身份提供商 (IdP) 的 Citrix ADC 设备包含引号,则会截断服务提供商 (SP) 的中继状态。

    [来自 Build 41.28]

    [NSHELP-20131]

  • 如果您未在 Citrix ADC 设备上配置 RfWebUI 门户主题,则可能会观察到以下变化:

    • 显示的 OTP 管理页面的显示方式有所不同,否则 OTP 管理可能不起作用。

    • 设备显示出意外行为。

    [来自 Build 47.22]

    [NSHELP-20144]

  • 在极少数情况下,如果通过 HTTPS 连接到 LDAP 服务器,则身份验证会失败。

    [来自 Build 47.22]

    [NSHELP-20181]

  • 如果满足以下条件,Citrix Gateway 设备可能会出现故障:

    • 当用户注销会话时。

    • 该设备部署在 HDX 平台上。

    • Citrix Gateway 中使用 SAML 身份验证。

    [来自 Build 41.28]

    [NSHELP-20206]

  • 如果满足以下条件,Citrix Gateway 设备可能会出现故障:

    • 当用户注销会话时。

    • 该设备部署在 HDX 平台上。

    • Citrix Gateway 中使用 SAML 身份验证。

    [来自 Build 47.22]

    [NSHELP-20206]

  • 辅助节点的登录架构配置文件未正确显示配置身份验证登录架构 GUI 页面上的标签。

    [来自 Build 47.22]

    [ NSHELP-20234]

  • 当您在 FIPS 设备上使用 SAML IdP 时,Citrix ADC 设备可能会崩溃。

    [来自 Build 41.28]

    [NSHELP-20282]

  • 当您在 FIPS 设备上使用 SAML IdP 时,Citrix ADC 设备可能会崩溃。

    [来自 Build 47.22]

    [NSHELP-20282]

  • 如果用户在拍摄 VPX 快照时尝试登录,Citrix Gateway 设备有时可能会失败。

    [来自 Build 41.28]

    [NSHELP-20292]

  • 如果用户在拍摄 VPX 快照时尝试登录,Citrix Gateway 设备有时可能会失败。

    [来自 Build 47.22]

    [NSHELP-20292]

  • 您无法使用 Citrix ADC GUI 界面取消绑定授权策略。

    [来自 Build 47.22]

    [NSHELP-20298]

  • 如果未完全定义 SAML 的命名空间,则配置为 SAML 服务提供商 (SP) 的 Citrix ADC 设备可能无法验证某些 IdP 发送的断言。

    [来自 Build 47.22]

    [NSHELP-20307]

  • 在流量管理虚拟服务器上配置为 SAML 服务提供商 (SP) 的 Citrix ADC 设备在 SAML 登录后不会向后端服务器发送帖子正文响应。

    [来自 Build 47.22]

    [NSHELP-20348]

  • 在流量管理虚拟服务器上配置为 SAML 服务提供商 (SP) 的 Citrix ADC 设备在 SAML 登录后不会向后端服务器发送帖子正文响应。

    [来自 Build 41.28]

    [NSHELP-20348]

  • 如果满足以下条件,则会在 Citrix ADC 设备中观察到内存泄漏:

    • 第二个因素被配置为直通。

    • 缓冲区未释放。

    [来自 Build 47.22]

    [NSHELP-20390]

  • 由于缓冲区溢出情况,Citrix ADC 设备在升级到版本 13.0 后崩溃。

    [来自 Build 47.22]

    [NSHELP-20416,NSAUTH-6770]

  • 由于缓冲区溢出,SSL 证书中的 FQDN 可能会在 Citrix ADC 设备中崩溃。

    [来自 Build 47.22]

    [NSHELP-20476]

  • 您无法使用 Citrix ADC GUI 界面取消绑定多个证书。

    [来自 Build 47.22]

    [NSHELP-20598]

  • 当 Gateway 配置为 SAML IdP 以及 IdP 链接时,Citrix Gateway 设备可能会出现故障。

    [来自 Build 47.22]

    [NSHELP-20667]

  • 如果未在 SAMLAction 命令中配置 samlSigningCertName 参数,Citrix ADC 设备可能会崩溃。

    [来自 Build 47.22]

    [NSHELP-20674]

  • 如果密码包含 Umlaut 字符,Citrix ADC 设备可能无法对 Microsoft Outlook 2016 用户进行身份验证。

    [来自 Build 47.22]

    [NSHELP-20682]

  • 当 Citrix ADC 设备部署在多域环境(父子域)中并且用户位于父域中而服务位于子域中时,Kerberos SSO 可能会失败。

    [来自 Build 47.22]

    [NSHELP-20910]

  • 重启 Citrix ADC 设备后,SAML metadataURL 参数不起作用。

    [来自 Build 47.22]

    [NSHELP-21006]

  • 在极少数情况下,如果满足以下两个条件,nFactor 登录将失败:

    • Citrix ADC 设备配置为证书身份验证,后备为 LDAP。

    • 证书认证失败。

    [来自 Build 47.22]

    [NSHELP-21118]

  • 如果将 Citrix ADC 配置为基于表单的 SSO,并且在配置中指定了名称/值对,则如果表单中不存在这些值,则这些值将被忽略。

    [来自 Build 47.22]

    [NSHELP-21139]

  • 在 Citrix ADC GUI 中观察到以下行为:

    • 您无法编辑 OAuth 策略。

    • 您只能编辑 OAuth 操作。

    • OAuth 策略选项只能在“高级策略”下,而不是“基本策略”下。

    [来自 Build 41.28]

    [ NSHELP-2131]

  • 如果您使用 Citrix ADC GUI 将 SAML IdP 策略绑定到身份验证、授权和审核虚拟服务器,则无法修改下一个操作。

    [来自 Build 47.22]

    [NSHELP-479]

  • 有时,Citrix Gateway 设备在收到来自客户端的 /vpns/services.html 请求时可能会出现故障。

    [来自 Build 41.28]

    [ NSHELP-8513]

BaseCluster

  • 群集在群集设置中,如果启用了时间戳,则发送到服务器的某些请求可能会被删除。

    [来自 Build 47.22]

    [NSHELP-20394]

CPXCPX-Infra

  • Citrix ADC CPX

    以下默认 TCP 配置文件未自动设置为 TCP 最大分段大小 (MSS):

    • nstcp_default_profile

    • nstcp_internal_apps

    [来自 Build 41.28]

    [NSNET-11916]

Citrix ADC BLX 设备

  • 在以共享模式部署的 Citrix ADC BLX 设备上,如果您使用 Citrix ADC 命令行实用程序 ( cli_script.sh set ns param) 更改 BLX 管理 HTTP 端口 (mghttport) 或 HTTPS 端口 (mghttport),Citrix ADC GUI 和 NITRO 服务将不可用。

    [来自 Build 47.22]

    [NSNET-10005]

  • 在 Citrix ADC BLX 设备上,您无法将接口 0/1 绑定到 VLAN,因为此接口用于 BLX 设备与 Linux 主机应用程序之间的内部通信。

    [来自 Build 41.28]

    [NSNET-10014]

  • Citrix ADC BLX 设备不支持静态 LA 通道。在 Citrix ADC BLX 设备上添加静态 LA 通道可能会导致设备崩溃。

    [来自 Build 47.22]

    [NSNET-11929]

  • 分配给 Citrix ADC BLX 设备的接口(Linux 主机)禁用接口功能(例如 Rx、Tx、GRO、GSO 和 LRO)。即使在 BLX 设备停止时将这些 BLX 接口发布到默认命名空间之后,这些功能仍保持禁用状态。

    [来自 Build 41.28]

    [NSNET-9697]

Citrix ADC CLI

  • 以 nsrecover 用户身份登录时,nscli-U 命令会引发错误。

    [来自 Build 41.28]

    [NSCONFIG-1414]

  • 如果 Citrix ADC 设备达到最大用户会话数(大约 1000 个会话),并且管理界面停止响应,则该设备将变得无响应。

    [来自 Build 41.28]

    [NSHELP-19212,NSCONFIG-1369]

Citrix ADC CPX

  • Citrix ADC CPX 实例的较轻版本未在 Citrix ADM 上注册。

    [来自 Build 41.28]

    [NSCONFIG-2232]

  • 您无法为 Citrix ADC CPX 配置带有 /32 位子网掩码的 NSIP。

    [来自 Build 41.28]

    [NSNET-10968]

  • 您无法为 Citrix ADC CPX 配置带有 /32 位子网掩码的 NSIP。

    [来自 Build 47.22]

    [NSNET-10968]

  • 以下默认 TCP 配置文件未自动设置为 TCP 最大分段大小 (MSS):

    • nstcp_default_profile

    • nstcp_internal_apps

    [来自 Build 47.22]

    [NSNET-11916]

Citrix ADC GUI

  • 在群集设置中,当您启动新的跟踪(系统 > 诊断 > 启动新跟踪)时,启动跟踪操作会成功。但是 GUI 错误地显示了以下错误:

    “追踪未开始”

    [来自 Build 47.22]

    [NSHELP-18566]

  • 一条错误消息,“无法读取未定义的属性’get’。“在流标识符 GUI 页面中单击“操作”时出现。

    [来自 Build 41.28]

    [NSHELP-19369]

  • 在您执行步骤 1 到 4 后,会出现以下错误消息。

    “参数值 [] 不明确”

    1. 使用默认值创建 SSL 配置文件。

    2. 将配置文件绑定到 SSL 虚拟服务器。

    3. 编辑 SSL 参数,但不要更改任何值。

    4. 选择“确定”关闭 SSL 参数对话框。

    [来自 Build 41.28]

    [NSHELP-19402]

  • 在群集设置中,如果您使用 GUI 从高级设置中添加密码组,则该密码组不会出现在主页中。

    [来自 Build 47.22]

    [NSHELP-19704]

  • 如果在 VAR 文件滚动机制中发现问题,则用户对 Citrix ADC GUI 的身份验证将失败。

    [来自 Build 47.22]

    [ NSHELP-20229]

  • 如果实体名称包含空格,则无法在 ADC GUI 中使用搜索过滤器搜索实体。

    [来自 Build 47.22]

    [NSHELP-20506]

  • 如果您访问 Syslog GUI 页面,则会显示以下错误消息:“无法读取未定义的属性 ‘0’”。

    [来自 Build 47.22]

    [NSHELP-20574]

  • 升级后,具有超级用户组权限的管理员无法加载 Citrix ADC GUI 主页。

    [来自 Build 47.22]

    [NSHELP-20638]

  • 现在,您可以使用 GUI 在虚拟服务器的 SSL 参数中将客户端身份验证设置为可选。以前,如果您使用 GUI 更改任何 SSL 参数,则客户端身份验证更改为强制验证。

    [来自 Build 47.22]

    [NSHELP-21060]

  • 由于框架中的一些技术问题,所有服务组均未显示在 ADC GUI 中。

    [来自 Build 47.22]

    [NSUI-13754]

  • 由于框架中的一些技术问题,所有服务组均未显示在 ADC GUI 中。

    [来自 Build 41.28]

    [NSUI-13754]

Citrix ADC SDX 设备

  • 您现在可以在 VPX 实例上配置的最大内核数取决于特定 SDX 平台上的可用内核。早些时候,即使有更多内核可用,您也可以最多仅配置五个内核。

    有关您可以分配给 VPX 实例的最大内核数的信息,请参阅 https://docs.citrix.com/zh-cn/sdx/13/provision-netscaler-instances.html

    [来自 Build 41.28]

    [NSHELP-18632]

  • 恢复 SDX 设备后,备份文件中的分区 MAC 未在 SDX 设备上运行的相应 VPX 实例上恢复。

    [来自 Build 41.28]

    [NSHELP-19008]

  • 在 SDX 设备上运行的 VPX HA 设置中,当虚拟端口通道 (VPC) 中的一台交换机出现故障时,LACP 中的所有接口都会发生故障。这会触发 HA 故障转移。

    [来自 Build 47.22]

    [NSHELP-19095]

  • 在 SDX 设备上运行的 VPX HA 设置中,当虚拟端口通道 (VPC) 中的一台交换机出现故障时,LACP 中的所有接口都会发生故障。这会触发 HA 故障转移。

    [来自 Build 41.28]

    [NSHELP-19095]

  • 当您应用 SSL 配置以使用基于策略的客户端身份验证将客户端证书验证设置为可选时,SDX 8900 设备可能会崩溃。

    [来自 Build 41.28]

    [NSHELP-19297]

  • 升级 SDX 设备后,设备上的 LA 通道和 VLAN 配置可能会丢失。

    [来自 Build 41.28]

    [NSHELP-19392,NSHELP-19610]

  • 在 SDX 22XXX 和 24XXX 设备上,在系统运行状况监视期间,SDX 管理服务会发出错误警报。

    [来自 Build 47.22]

    [NSHELP-19795]

  • 如果备份文件名有任何特殊字符,则将 SDX 设备恢复到该备份会失败。修复后,如果备份文件有任何特殊字符,则会显示一条错误消息。

    [来自 Build 47.22]

    [NSHELP-19951]

  • 在 SDX 设备上,当您恢复配置了突增吞吐量的 VPX 实例时,恢复可能会失败。

    [来自 Build 47.22]

    [ NSHELP-20013]

  • 在 SDX 设备上,当满足以下所有条件时,将出现“接口 10/1 的成员没有其他 MAC 可用”错误消息:

    1. 您在 SDX 设备上实例化 19 个 VPX 实例,所有实例都使用相同的网络接口

    2. 然后将 MAC 地址添加到使用与先前实例相同网络接口的第 20 个 VPX 实例。

    3. 第 20 个 VPX 实例上的 MAC 地址数量是添加到第 1 个 VPX 的 MAC 地址的两倍

    [来自 Build 47.22]

    [NSHELP-20158]

  • 在 SDX 14000 FIPS 设备中配置池许可时,您可以查看的最低实例数为 25 个。通过此修复,您可以检出的最小实例数为两个。有关更多信息,请参阅 Citrix ADC 池容量文档:

    https://docs.citrix.com/zh-cn/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html。

    [来自 Build 41.28]

    [NSHELP-20305]

  • 在 SDX 14000 FIPS 设备中配置池许可时,您可以查看的最低实例数为 25 个。通过此修复,您可以检出的最小实例数为两个。有关更多信息,请参阅 Citrix ADC 池容量文档:

    https://docs.citrix.com/zh-cn/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html。

    [来自 Build 47.22]

    [NSHELP-20305]

  • 重置操作后,传输速率下降。

    [来自 Build 41.28]

    [NSPLAT-7792]

  • 在 SDX 26000 和 SDX 15000 平台上,当满足以下条件时,通过 SSH 对 DOM0 的管理访问可能会停止:

    • 同时重启多个 VPX 实例。

    • 为 VPX 实例分配 100 GE 或 50 GE 接口。

    [来自 Build 47.22]

    [NSPLAT-9185]

  • 在 SDX 26000 和 SDX 15000 平台上,当满足以下条件时,通过 SSH 对 DOM0 的管理访问可能会停止:

    • 同时重启多个 VPX 实例。

    • 为 VPX 实例分配 100 GE 或 50 GE 接口。

    [来自 Build 41.28]

    [NSPLAT-9185]

  • 当满足以下所有条件时,SDX 设备可能会在重新启动周期结束时挂起:

    • SDX 设备正在启动。

    • 在 SDX 设备上运行的所有 VPX 实例尚未启动。

    • 热重启命令在 SDX 设备上运行。

    因此,在 Citrix Hypervisor 控制台上,SDX 设备会定期进行清理,并在“达到目标最后一步”行处停止。

    [来自 Build 41.28]

    [NSPLAT-9417]

  • 在 SDX 设备上运行的 VPX 实例上从允许的 VLAN 列表 (AVL) 中配置 VLAN 后,该实例无法自动重启。因此,VPX 实例与 AVL 之间的通信停止。

    [来自 Build 41.28]

    [NSSVM-135]

Citrix ADC VPX 设备

  • 如果 VPX 实例有 vCPU 许可证,您可能无法使用管理 IP 访问该实例。该问题出现在所有本地和云端 VPX 实例中。如果 VPX 实例在 SDX 设备上运行,则可以从 SDX 管理服务 GUI 访问该实例。

    [来自 Build 41.28]

    [NSPLAT-10710]

  • 如果 VPX 实例有 vCPU 许可证,您可能无法使用管理 IP 访问该实例。该问题出现在所有本地和云端 VPX 实例中。如果 VPX 实例在 SDX 设备上运行,则可以从 SDX 管理服务 GUI 访问该实例。

    [来自 Build 47.22]

    [NSPLAT-10710]

  • 由于 Azure 堆栈限制,不支持使用模拟 MAC 地址的流量。因此,在 Azure 堆栈 ADC 部署中,必须禁用基于 Mac 的转发 (MBF) 模式。

    [来自 Build 47.22]

    [NSPLAT-11778]

  • 如果您通过 Citrix ADC VPX GUI 设置 MTU 大小,则会出现“不支持操作”错误消息。

    [来自 Build 41.28]

    [NSPLAT-9594]

Citrix Gateway

  • Citrix Gateway 内部网应用程序现在支持使用逗号分隔的主机名进行基于 FQDN 的通道。

    [来自 Build 41.28]

    [CGOP-10855]

  • 如果未安装适用于 macOS 的 Citrix Gateway 插件,并且用户尝试从 Safari 访问 VPN,则会显示一条错误消息。

    [来自 Build 41.28]

    [CGOP-11240]

  • 从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

    [来自 Build 41.28]

    [CGOP-11830]

  • 将 Citrix ADC 和网关插件升级到 13.0 build 41.20 版本后,用户在尝试设置 VPN 通道时会遇到持续的蓝屏死机 (BSOD) 错误。

    [来自 Build 47.22]

    [CGOP-12099]

  • 在 Citrix Gateway 群集设置中,由于内部数据结构发生了一些变化,Citrix ADC 设备可能会在群集升级期间崩溃。

    [来自 Build 47.22]

    [NSAUTH-7153]

  • 如果未在 Citrix ADC 设备上启用 LSN 配置,则会丢弃传输中的封装安全负载 (ESP) 数据包。

    [来自 Build 41.28]

    [NSHELP-18502]

  • 在高可用性设置中,如果配置了 SAML,辅助节点可能会崩溃。

    [来自 Build 41.28]

    [NSHELP-18691]

  • 如果 RDP 服务器配置文件设置为与内容交换虚拟服务器相同的端口号和 IP 地址,则重启后内容交换配置将丢失。

    [来自 Build 41.28]

    [NSHELP-18818]

  • 在某些情况下,使用 IE 浏览器访问 Citrix Gateway 设备时,Citrix Gateway 登录页面仅在刷新后出现。

    [来自 Build 41.28]

    [NSHELP-18938]

  • 在 Citrix ADM 中,分析 > Gateway Insight 页面错误地报告了终止的 VPN 会话。

    [来自 Build 41.28]

    [NSHELP-19037]

  • 在高可用性设置中,如果删除的用户信息未与该节点同步,则辅助节点会崩溃。

    [来自 Build 41.28]

    [NSHELP-19065]

  • 如果计算机保持非活动状态超过两个小时,则客户端计算机上的 VPN 插件窗口上会显示服务器忙碌对话框。

    [来自 Build 41.28]

    [NSHELP-19072]

  • UDP、DNS 和 ICMP 授权策略不适用于内部网络中的客户端与 VPN 客户端(服务器启动的连接)之间的连接。

    [来自 Build 41.28]

    [NSHELP-19142]

  • 在某些情况下,在 Citrix Gateway 服务器上配置的登录脚本无法在客户端计算机上运行。

    [来自 Build 41.28]

    [NSHELP-19163]

  • macOS 设备的高级端点分析 (EPA) 扫描失败。

    [来自 Build 41.28]

    [NSHELP-19328]

  • 在某些情况下,如果满足以下条件,Citrix ADC 设备会转储内核。

    • 已为本机 VMware Horizon 客户端启用了双重身份验证。

    • Radius 被配置为身份验证的第一要素。

    • 成功进行身份验证后,Radius 服务器使用组名进行响应。

    [来自 Build 41.28]

    [NSHELP-19333]

  • 当从 Microsoft Edge 浏览器访问 Citrix Gateway 且未使用 EPA 或 VPN 时,以下消息会错误地出现。

    “Edge 浏览器不支持完整的 VPN 和 EPA。请使用其他浏览器以获得更好的体验。”

    [来自 Build 47.22]

    [NSHELP-19367]

  • 在某些情况下,从 Windows VPN 插件注销所花费的时间比预期的要长。

    [来自 Build 41.28]

    [NSHELP-19394]

  • 在某些情况下,Citrix Gateway 设备在处理未经身份验证的请求时设置了无效的 cookie。

    [来自 Build 47.22]

    [NSHELP-19403]

  • 在某些情况下,Citrix Gateway 设备在处理未经身份验证的请求时设置了无效的 cookie。

    [来自 Build 41.28]

    [NSHELP-19403]

  • 在某些情况下,如果在 VPN 虚拟服务器上设置了 PCOIP 虚拟服务器配置文件,但未在会话操作下设置 pcoipProfile,Citrix Gateway 设备会转储内核。

    [来自 Build 41.28]

    [NSHELP-19412]

  • 在某些情况下,如果在中访问 Citrix Gateway 设备,则会转储内核

    完整 VPN 通道模式。

    [来自 Build 41.28]

    [NSHELP-19444]

  • 如果在 Citrix ADC 设备上启用了本地局域网访问选项,则适用于 macOS 的 Citrix Gateway 插件无法解析内部主机名。

    [来自 Build 41.28]

    [NSHELP-19543]

  • 如果在 Citrix ADC 设备上启用了本地局域网访问选项,则适用于 macOS 的 Citrix Gateway 插件无法解析内部主机名。

    [来自 Build 47.22]

    [NSHELP-19543]

  • 在某些情况下,在 Ubuntu 操作系统上运行的虚拟机的 EPA 会失败。

    [来自 Build 47.22]

    [NSHELP-19556]

  • 在 HA 对设置中,由于 VPN 服务器中的会话同步代码存在问题,主节点上的永久会话未被清除。

    [来自 Build 47.22]

    [NSHELP-19557]

  • VPN 虚拟服务器上的 DTLS 服务使用一组默认密码运行,这些密码无法通过 CLI 的绑定或取消绑定密码命令进行修改。

    [来自 Build 47.22]

    [NSHELP-19561]

  • VPN 虚拟服务器上的 DTLS 服务使用一组默认密码运行,这些密码无法通过 CLI 的绑定或取消绑定密码命令进行修改。

    [来自 Build 41.28]

    [NSHELP-19561]

  • 通过 VPN 传输多个应用程序/连接时,Skype 通话的音频清晰度会受到负面影响。发生这种情况是由于内存管理不当。

    [来自 Build 41.28]

    [NSHELP-19630]

  • 在 nFactor 身份验证期间,Citrix Gateway 无法识别 Windows 插件中的登录表达式策略。

    [来自 Build 41.28]

    [NSHELP-19640]

  • 当计算机从非网络区域进入网络连接区域 [Internet 或 Intranet] 时,“基于位置的感知”功能在客户端计算机上不起作用。

    [来自 Build 41.28]

    [NSHELP-19657]

  • 端点分析 (EPA) 扫描未能验证 4096 位密钥设备证书。

    [来自 Build 47.22]

    [NSHELP-19697]

  • 问题来自 Linux Receiver,在 ICA 握手期间,在 PACKET_INIT_RESPONSE 中,无法从 PACKET_INIT_RESPONSE 中的 Receiver 接收到加密模块 (ICA_MODULE_PD),因此 ADC 中有一个空加密处理程序会导致崩溃。当没有从 Receiver 接收到任何加密参数时,跳过的 ADC 会削减连接。

    [来自 Build 47.22]

    [NSHELP-19758]

  • 在个别情况下,内存损坏会导致核心转储,同时在超时后清除损坏的 SSL VPN 身份验证、授权和审核会话条目。

    [来自 Build 47.22]

    [NSHELP-19775]

  • 如果在 Citrix MFA 中使用 Azure 中托管的身份验证因素,则使用 Windows 插件登录 Citrix Gateway 将失败之所以发生这种情况,是因为 MFA HTTP 超时值小于 Citrix Gateway Windows 插件超时值。

    通过此修复,Citrix Gateway Windows 插件超时值增加了,以避免登录失败。此外,现在可以通过设置以下注册表值(以秒为单位)来配置 HTTP 超时值:

    ComputerHKEY_LOCAL_MACHINESOFTWARECitrixSecure Access ClientHttpTimeout

    [来自 Build 41.28]

    [NSHELP-19848]

  • 现有用户的“转移登录”页面不适用于英语以外的语言。

    [来自 Build 47.22]

    [NSHELP-19859]

  • 在某些情况下,EPA 扫描在 Windows 计算机上失败。

    [来自 Build 41.28]

    [NSHELP-19865]

  • 在极少数情况下,如果满足以下两个条件,则在高可用性 (HA) 设置中部署的 Citrix ADC 设备可能会崩溃,从而导致频繁的 HA 故障转移:

    • Gateway Insight 已启用。

    • SSO 失败。

    [来自 Build 47.22]

    [NSHELP-19922]

  • 在极少数情况下,如果满足以下两个条件,则在高可用性 (HA) 设置中部署的 Citrix ADC 设备可能会崩溃,从而导致频繁的 HA 故障转移:

    • Gateway Insight 已启用。

    • SSO 失败。

    [来自 Build 41.28]

    [NSHELP-19922]

  • 如果为 EDT 会话启用 ICA Insight,您可能会遇到屏幕冻结或应用程序屏幕操作延迟的情况。

    [来自 Build 47.22]

    [NSHELP-19934]

  • 无法在客户端计算机上禁用 Windows Intune 注册检查。默认情况下,该检查处于启用状态。

    通过此修复,可以禁用 Windows Intune 注册检查。

    要禁用该检查,请将以下注册表项设置为 1:

    ComputerHKEY_LOCAL_MACHINESOFTWARECitrixSecure Access ClientDisableIntuneDeviceEnrollment

    [来自 Build 41.28]

    [NSHELP-19942]

  • 在极少数情况下,当 GSLB 更新 VPN 服务统计信息时,Citrix Gateway 会崩溃。

    [来自 Build 47.22]

    [NSHELP-19992]

  • 通过 VPN 传输多个应用程序或连接时,VOIP 应用程序的音频清晰度会受到负面影响。

    [来自 Build 41.28]

    [NSHELP-20097]

  • 通过 VPN 传输多个应用程序或连接时,VOIP 应用程序的音频清晰度会受到负面影响。

    [来自 Build 47.22]

    [NSHELP-20097]

  • 查找要重写的 URL 以进行高级无客户端 VPN 处理会导致 CPU 使用率高。结果,系统变慢了。

    [来自 Build 41.28]

    [NSHELP-20122]

  • 查找要重写的 URL 以进行高级无客户端 VPN 处理会导致 CPU 使用率高。结果,系统变慢了。

    [来自 Build 47.22]

    [NSHELP-20122]

  • 在高可用性设置中,每当身份验证、授权和审核会话或包含 SAML 相关信息的 VPN 会话传播到主节点时,辅助节点就会崩溃。

    [来自 Build 47.22]

    [ NSHELP-20230]

  • 如果启用 HDX Insight,Citrix ADC 设备可能会变得无响应。

    [来自 Build 47.22]

    [ NSHELP-20280]

  • 客户端计算机无法重新连接到 Citrix Gateway 设备,因为设备在刷新 STA 时发送了错误的 STA 票证。

    [来自 Build 41.28]

    [NSHELP-20285]

  • 客户端计算机无法重新连接到 Citrix Gateway 设备,因为设备在刷新 STA 时发送了错误的 STA 票证。

    [来自 Build 47.22]

    [NSHELP-20285]

  • EPA 扫描未完成且无响应。

    [来自 Build 47.22]

    [NSHELP-20319]

  • 用户无法使用 Citrix Gateway GUI 从策略管理器添加无客户端访问策略。

    [来自 Build 47.22]

    [NSHELP-20333]

  • 为无客户端访问配置文件添加域时,当 FQDN 较长时会出现水平滚动条。

    [来自 Build 41.28]

    [NSHELP-20341]

  • 为无客户端访问配置文件添加域时,当 FQDN 较长时会出现水平滚动条。

    [来自 Build 47.22]

    [NSHELP-20341]

  • 如果满足以下两个条件,VPN 插件会解除所有 TCP 流量的阻止,直到专属门户进行身份验证:

    • 客户端计算机已配置为 AlwaysOn,onlyToGateway 模式。

    • 客户端计算机连接到专属门户网络。

    [来自 Build 47.22]

    [NSHELP-20360]

  • 当 networkAccessONVPNFailure 参数设置为“Only to Gateway”时,AlwaysOn 服务会间歇性地无法建立 VPN 通道。

    [来自 Build 47.22]

    [NSHELP-20369]

  • 如果启用 DTSL,则键盘和鼠标对启动的桌面中的操作的响应可能会延迟。

    [来自 Build 47.22]

    [NSHELP-20447]

  • 每次用户登录或注销时,网络级身份验证 (NLA) 服务都会重新启动。之所以发生这种情况,是因为不支持使用 nsapimgr 旋钮配置的设置。

    [来自 Build 47.22]

    [NSHELP-20494]

  • Citrix Windows 插件无法使用 Mozilla Firefox 68.0 连接到 Citrix Gateway

    [来自 Build 47.22]

    [NSHELP-20503]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,/var/netscaler/logon 文件夹中某些应用程序的图标不可见。

    [来自 Build 47.22]

    [NSHELP-20573]

  • 如果满足以下两个条件,则在转移登录期间会出现空白屏幕且不会枚举 StoreFront 应用程序:

    • SplitTunnel 设置为 ON。

    • IP 地址池(内联网 IP)选项设置为“NoSpillOver”。

    [来自 Build 47.22]

    [NSHELP-20584]

  • 如果 FQDN 中的 URL 包含“%2E”,则 Citrix ADC 设备无法解码无客户端 VPN 的重写 URL。

    [来自 Build 47.22]

    [NSHELP-20603]

  • 用户无法通过高级无客户端 VPN 访问从 SharePoint 访问 Microsoft Office 文档。

    [来自 Build 47.22]

    [NSHELP-20611]

  • 将 Citrix ADC 设备升级到 12.1 版本 54.13 及更高版本后,访问 RDP 资源时可能会出现以下消息。

    “错误:不是特权用户”

    [来自 Build 47.22]

    [NSHELP-20678]

  • 如果启用了 HDX Insight 并且存在内存不足的情况,Citrix ADC 设备可能会变得无响应。

    [来自 Build 47.22]

    [NSHELP-20707]

  • 即使 VPN 计算机处于睡眠模式并触发注销,Citrix 虚拟适配器仍保持连接状态。用户必须终止应用程序或重新启动 VPN 计算机才能访问网络。

    [来自 Build 47.22]

    [NSHELP-20755]

  • 如果 Citrix ADC 设备配置为代理 EDT 连接并且存在内存不足的情况,则该设备可能会变得无响应。

    [来自 Build 47.22]

    [NSHELP-20761]

  • 如果为设备证书检查启用了在线证书状态协议 (OCSP),nFactor 身份验证将失败。

    [来自 Build 47.22]

    [NSHELP-20855]

  • 如果满足以下所有条件,则在 StoreFront 上配置的应用程序不会显示在 Citrix Gateway 主页上:

    • WiHome 已配置。

    • 高级无客户端 VPN 访问已启用。

    • 用户从 Internet Explorer 或 Firefox 登录。

    [来自 Build 47.22]

    [NSHELP-20888]

  • 即使成功连接 VPN,用户也无法访问内部资源,但是没有为 Citrix 虚拟适配器正确配置 DNS 服务器。

    [来自 Build 47.22]

    [NSHELP-20892]

  • 在加载带有 RfWebUI 主题的 Citrix Gateway URL 时,用户会间歇性地收到“错误 403 访问被拒绝”错误消息。

    [来自 Build 47.22]

    [NSHELP-20895]

  • 如果设备存储中有多个设备证书,则具有用户角色的 AlwaysOn 服务无法建立用户通道。

    [来自 Build 47.22]

    [NSHELP-20897,NSHELP-21583]

  • 在高可用性设置中,如果在高可用性设置上启用会话可靠性,则辅助 Citrix ADC 设备可能会崩溃。

    [来自 Build 41.28]

    [NSHELP-5257、NSINSIGHT-1208、NSHELP-3807、NSHELP-3808、NSHELP-5414、NSHELP-5417、NSHELP-5428、NSHELP-17883、NSHELP-17894]

  • 身份验证、授权和审核虚拟服务器登录页面显示错误代码编号而不是有意义的错误消息。

    [来自 Build 41.28]

    [NSHELP-7872]

  • 身份验证、授权和审核虚拟服务器登录页面显示错误代码编号而不是有意义的错误消息。

    [来自 Build 47.22]

    [NSHELP-7872]

  • 在某些情况下,Citrix Gateway 设备会转储内核,因为待处理的 STA 刷新操作会无限累积。

    [来自 Build 41.28]

    [NSHELP-8684]

Citrix Web App Firewall

  • Citrix Web App Firewall 的原始设置被替换为默认设置。

    例如,如果您为某些签名选择了“启用”选项,则在签名合并操作期间,该设置将被替换为“禁用”。

    [来自 Build 41.28]

    [NSHELP-17841]

  • 当您在运行配置中启用了 rfcprofile 选项的情况下重新启动高可用性或群集设置时,会观察到配置丢失。

    [来自 Build 41.28]

    [NSHELP-18856]

  • 如果在 Web App Firewall 配置文件中启用了以下功能,Citrix ADC 设备可能会崩溃。

    • XML 处理。

    • Security Insight。

    [来自 Build 47.22]

    [NSHELP-18869,NSHELP-21691]

  • 如果在群集设置中未正确处理 Citrix Web App Firewall 配置更改,Citrix ADC 设备可能会崩溃。

    [来自 Build 41.28]

    [NSHELP-18870]

  • 添加放宽规则后,相似的 URL 不会从学习规则列表中删除。

    [来自 Build 41.28]

    [NSHELP-19298]

  • 添加放宽规则后,相似的 URL 不会从学习规则列表中删除。

    [来自 Build 47.22]

    [NSHELP-19298]

  • 在处理大型表单主体时以及如果在 Citrix Web App Firewall 配置文件上启用了字段一致性参数,Citrix ADC 设备可能会崩溃。

    [来自 Build 41.28]

    [NSHELP-19299]

  • 当 XML 流量较高时,Citrix ADC 设备可能会重置客户端连接。

    [来自 Build 41.28]

    [NSHELP-19314]

  • 如果您启用 URL 转换策略并且来自正文属性值的响应包含特殊字符,则 SSL 卸载中的 ContentSwitching 可能会将特殊字符替换为实体编码值。

    [来自 Build 41.28]

    [NSHELP-19356]

  • 收到连接请求时,Citrix ADC 设备可能会崩溃。如果您将默认配置文件设置设置为 APPFW_BYPASS、APPFW_RESET、APPFW_DROP、APPFW_BLOCK 以外的任何值,就会出现此问题。

    [来自 Build 41.28]

    [NSHELP-19603]

  • 如果启用了字段一致性保护参数,则带有许多查询参数的 Web 请求可能不会收到任何响应。

    [来自 Build 41.28]

    [NSHELP-19811]

  • 如果启用了字段一致性保护参数,则带有许多查询参数的 Web 请求可能不会收到任何响应。

    [来自 Build 47.22]

    [NSHELP-19811]

  • 如果观察到以下情况,Citrix ADC 设备将出现故障:

    • Web App Firewall 策略使用基于 HTTP 正文的规则,例如 HTTP.REQ.BODY (。)),

    • Web App Firewall 功能已禁用。

    [来自 Build 41.28]

    [NSHELP-19879]

  • 在高可用性设置中,启用 IP 信誉功能可能会导致高可用性命令传播失败。

    [来自 Build 47.22]

    [NSHELP-20010]

  • 在 Citrix ADC SDX 设备上,由于 WAF 模块存在内部问题,Citrix ADC VPX 实例可能会崩溃。

    [来自 Build 47.22]

    [NSHELP-20096]

  • 如果 sqlite 库出现内部通信错误,Citrix ADC 设备可能会崩溃。

    [来自 Build 47.22]

    [NSHELP-20173]

  • 升级后,如果您将签名绑定到 Web App Firewall 配置文件,设备会以静默方式删除传入的请求。

    [来自 Build 47.22]

    [NSHELP-2021、NSWAF-3427、NSHELP-20599]

  • 如果 bigstack 不可用,Citrix ADC 设备可能会在处理签名文件正则表达式模式时崩溃。

    [来自 Build 47.22]

    [NSHELP-20359]

  • 如果观察到以下情况,Citrix ADC 设备可能会崩溃:

    • IP 信誉策略表达式用于 TCP 类型的负载平衡虚拟服务器。

    • Security Insight 已启用。

    [来自 Build 47.22]

    [NSHELP-20410]

  • 如果启用签名功能并检测到特定的请求模式,Citrix ADC 设备可能会崩溃。

    [来自 Build 47.22]

    [NSHELP-20884,NSHELP-19583]

  • 限制签名检查的帖子正文字节的新选项

    将设备升级到 Citrix ADC 版本 13.0 后,您现在可以看到一个新的配置文件选项,即“签名帖子正文限制(字节)”,其默认值为 8192 字节。您的设备升级会将该选项设置为默认值。您可以更改此选项以限制对请求负载(以字节为单位)进行签名检查,其位置指定为“HTTP_POST_BODY”。

    以前,Web Citrix Web App Firewall 无法选择限制负载检查和控制 CPU。

    导航:配置 > 安全 > Citrix Web App Firewall > 配置文件 > 配置文件设置。

    [来自 Build 41.28]

    [NSWAF-2887,NSUI-13251]

  • 来自 Tor 代理 IP 地址的请求不会被 IP 信誉 Tor 代理类别使用 CLIENT.IP.SRC.IPREP_THREAT_CATEGORY(PROXY) 策略表达式阻止。

    [来自 Build 47.22]

    [NSWAF-3611]

客户 AG-EE

  • Citrix Gateway 一组计算机在仅通过 VPN 连接且配置了 Intranet IP 时无法访问内部和外部资源。

    [来自 Build 47.22]

    [ NSHELP-20011]

群集

  • 如果“show ns ip”命令显示许多 IP 地址,则在 Citrix ADC 设备或群集设置中观察到 CPU 使用率很高。

    [来自 Build 47.22]

    [NSHELP-11193]

  • 链接集成员接口或通道是作为 Citrix ADC 设备的新静态 ND6 条目的一部分添加的。要让 Citrix ADC 设备接受新的静态 ND6 条目,您必须提供链接集 VLAN。

    [来自 Build 47.22]

    [NSHELP-19453]

  • 在采用 ACL6 配置的群集设置中,ICMPv6 错误数据包在节点之间循环,导致 CPU 使用率高。

    [来自 Build 41.28]

    [NSHELP-19535]

  • 在群集设置中,如果满足以下条件之一,群集传播可能会失败:

    • 群集守护程序和配置守护程序之间的连接失败。

    • 增加群集守护程序的内存使用量。

    [来自 Build 41.28]

    [ NSHELP-19771]

  • 在群集设置中,在以下情况下,Citrix ADC GUI 无法上传 SSL 证书:

    • 命令从 CLIP 中执行。

    • “sh partition”命令的响应无效。

    [来自 Build 41.28]

    [NSHELP-19905]

  • 在单节点群集中,有时,在以下条件下您无法通过 SSH 到 CLIP:

    • USIP 模式已启用。

    • 群集节点的状态设置为被动。

    [来自 Build 47.22]

    [NSHELP-20210]

  • 在 L3 群集设置中,本地节点组错误地将免费地址解析协议 (GARP) 请求发送到对等节点组拥有的 IP 地址。这会导致群集心跳数据包循环。

    [来自 Build 47.22]

    [NSHELP-20366]

  • 当您按降序添加 ACL 并删除 ACL6 条目中的任何一个时,类型为 DFD 的 ACL6 列表可能会损坏。

    [来自 Build 47.22]

    [NSHELP-20587]

  • 在群集设置中,如果在 Citrix ADC 设备上的原始连接超时之前使用不同的 MPTCP 密钥重复使用 4 个元组,Citrix ADC 设备可能会因新的 MPTCP 连接而崩溃。

    [来自 Build 47.22]

    [NSHELP-20844,NSHELP-20726]

  • 在群集设置中,您可能会观察到持续的故障日志,这些日志表明 ZebOS 动态路由 IMI 守护程序与内部群集守护程序之间的连接失败。重新启动 ZebOS 动态路由 IMI 守护程序或内部群集守护程序时会出现此问题。

    [来自 Build 41.28]

    [NSNET-10655]

  • 在群集设置中观察到以下行为:

    • 如果您执行启用/禁用 servicegroupmember、服务组和服务器命令,则配置不匹配。

    • unset 命令不会重置服务/服务组的网络配置文件。

    [来自 Build 41.28]

    [NSNET-9599]

DNS

  • DNS 如果启用 DNS 日志记录并且设备收到大量 DNS 响应,Citrix ADC 设备可能会崩溃。?

    [来自 Build 47.22]

    [NSHELP-18926]

  • 在为权威区域的 DNS ANY 查询填充缓存的负面响应时,Citrix ADC 设备可能会崩溃。

    [来自 Build 41.28]

    [NSHELP-19496]

  • 您可以为自己拥有的区域添加通配符域。

    [来自 Build 41.28]

    [NSHELP-19498]

  • 如果在启用 Jumbo 的接口上收到无效的 DNS 请求,则在 SDX 设备上运行的 Citrix ADC VPX 实例可能会崩溃。

    [来自 Build 41.28]

    [NSHELP-19854]

GSLB

  • 如果满足以下两个条件,GSLB 站点备份父列表配置将丢失:

    • triggerMonitor 选项设置为 MEPDOWN 或 MEPDOWN_SVCDOWN。

    • Citrix ADC 设备已重新启动。

    [来自 Build 41.28]

    [NSCONFIG-1760]

  • 如果满足以下两个条件,GSLB 站点备份父列表配置将丢失:

    • triggerMonitor 选项设置为 MEPDOWN 或 MEPDOWN_SVCDOWN。

    • Citrix ADC 设备已重新启动。

    [来自 Build 47.22]

    [NSCONFIG-1760]

  • 当满足以下所有条件时,Citrix ADC 设备可能会崩溃:

    • 后端服务器已关闭。

    • ADC 设备收集服务器上的信息,例如 RTT 和距离信息,以选择新的后端。

    [来自 Build 47.22]

    [NSHELP-11969]

  • 在 GSLB 群集设置中,当节点加入群集时,MEP 连接可能会终止,从而导致 MEP 跳动。

    [来自 Build 47.22]

    [NSHELP-19532]

  • 在 GSLB 群集设置中,当节点加入群集时,MEP 连接可能会终止,从而导致 MEP 跳动。

    [来自 Build 41.28]

    [NSHELP-19532]

  • 在基于 CNAME 的 GSLB 服务上发出 set 命令时,Citrix ADC 设备崩溃。

    [来自 Build 47.22]

    [NSLB-5433,NSLB-5562]

网关

  • Citrix Gateway 在极少数情况下,如果传输 AAA 用户会话并启用内联网 IP,Citrix Gateway 设备会崩溃。

    [来自 Build 47.22]

    [NSHELP-20680]

Gateway Insight

  • 在高可用性 (HA) 设置中,如果启用了 AppFlow 并且出现故障转移,主节点可能会崩溃。

    [来自 Build 47.22]

    [NSHELP-19363]

  • 如果满足以下两个条件,则在高可用性 (HA) 设置中部署的 Citrix ADC 设备会崩溃:

    • AppFlow 已启用

    • 出现高可用性同步故障。

    [来自 Build 47.22]

    [NSHELP-19490]

许可

  • 如果 SDX 设备处于合并许可的宽限期,则剩余宽限期显示为零而不是 30 天。

    [来自 Build 47.22]

    [NSHELP-19615]

  • 将 MPX 永久许可证升级为池容量许可证后,ADM GUI 会提示保存配置并重新启动实例。修复后,GUI 仅提示重新启动实例。

    [来自 Build 47.22]

    [NSHELP-20137]

  • 将 MPX 永久许可证升级为池容量许可证后,ADM GUI 会提示保存配置并重新启动实例。修复后,GUI 仅提示重新启动实例。

    [来自 Build 41.28]

    [NSHELP-20137]

负载平衡

  • 在绑定到服务组的监视器上启用 LRTM 时,不显示响应时间。

    [来自 Build 41.28]

    [NSHELP-12689]

  • 在极少数情况下,如果在从具有以下配置的服务器接收 SSL 会话之前将服务标记为关闭,Citrix ADC 设备可能会失败。

    • 类型为 SSL_BRIDGE 的负载平衡虚拟服务器

    • 持久性类型设置为 SSLSESSION ID

    • 备份持久性类型设置为 SOURCEIP

    [来自 Build 41.28]

    [NSHELP-18482]

  • 在某些服务或服务组成员解除与负载平衡虚拟服务器的绑定后,负载平衡虚拟服务器的非活动服务编号可能会在几秒钟内返回一个大值。这是显示问题,不会影响任何功能。

    [来自 Build 41.28]

    [NSHELP-19400]

  • 如果虚拟服务器的类型为 ANY 并且在虚拟服务器上启用了溢出持久性,则 Citrix ADC 设备会崩溃。

    [来自 Build 47.22]

    [NSHELP-19540]

  • 如果虚拟服务器的类型为 ANY 并且在虚拟服务器上启用了溢出持久性,则 Citrix ADC 设备会崩溃。

    [来自 Build 41.28]

    [NSHELP-19540]

  • 在 INC 模式下的高可用性设置中,辅助节点的 GUI 和 CLI 错误地为某些负载平衡监视器显示以下状态消息:

    “已跳过探测 - 辅助节点”

    [来自 Build 41.28]

    [NSHELP-19617]

  • 如果 HTTPS URL 包含 % 特殊字符,则重定向该 URL 失败。

    [来自 Build 47.22]

    [NSHELP-19993]

  • 您可能会用完 Citrix ADC VPX 设备上的磁盘空间,因为该设备会生成多个临时文件。对特定位置文件执行 rsync 操作时,会为该位置文件创建一个临时文件。这些文件填满 /var 目录。

    [来自 Build 47.22]

    [NSHELP-20020]

  • 您可能会用完 Citrix ADC VPX 设备上的磁盘空间,因为该设备会生成多个临时文件。对特定位置文件执行 rsync 操作时,会为该位置文件创建一个临时文件。这些文件填满 /var 目录。

    [来自 Build 41.28]

    [NSHELP-20020]

  • 如果在 SIP 类型的负载平衡虚拟服务器上配置流量域,Citrix ADC 设备可能会崩溃。

    [来自 Build 47.22]

    [NSHELP-20286]

  • 当满足以下两个条件时,Citrix ADC 设备可能会崩溃:

    • 在设备上配置了基于规则的持久性。

    • 对于基于规则的持久性中配置的参数,多个 IPv6 服务器使用相同的值进行响应。

    [来自 Build 47.22]

    [NSHELP-20490]

  • 群集部署不支持自动扩展服务组的路径监视。

    [来自 Build 41.28]

    [NSLB-4660]

NITRO

  • Citrix ADC 设备以内部错误消息进行响应,显示路由器动态路由 NITRO API 调用。

    [来自 Build 41.28]

    [NSCONFIG-1325]

  • Citrix ADC 设备以内部错误消息进行响应,显示路由器动态路由 NITRO API 调用。

    [来自 Build 47.22]

    [NSCONFIG-1325]

  • 如果满足以下所有条件,Citrix ADC 设备上的 HTTP 守护程序可能会崩溃:

    • 设备收到一个用于在设备上添加资源的幂等 NITRO API 请求。

    • 幂等 NITRO API 请求没有任何可设置的属性。

    • Citrix ADC 设备上已经存在该资源。

    [来自 Build 47.22]

    [NSCONFIG-2298]

  • 分区用户首次使用 NITRO API 登录失败。但是,后续登录会成功。

    [来自 Build 47.22]

    [NSHELP-20159,NSCONFIG-2054]

网络连接

  • 在配置了 OSPF 动态路由的高可用性设置中,新的主节点在故障切换后不会按递增顺序生成 OSPF MD5 序列号。

    此问题已修复。要使修复程序正常运行,必须手动或使用 NTP 同步主节点和辅助节点之间的时间。

    [来自 Build 41.28]

    [NSHELP-18958]

  • 当为负载平衡服务或监视器添加下一跳参数设置为 NULL 的 PBR 规则时,Citrix ADC 设备可能会变得无响应。

    [来自 Build 41.28]

    [NSHELP-19245]

  • 当以下所有条件都成立时,Citrix ADC 设备可能会创建 SYN+ACK 数据包循环,这反过来会导致 CPU 使用率过高:

    • 如果 ADC 设备中存在与 IP 地址的出色的 RNAT 探测连接,该地址目前不是 Citrix ADC 拥有的 IP 地址。

    • 如果您将此 IP 地址作为 ADC 配置的一部分 ADC 拥有的 IP 地址。例如,使用此 IP 地址添加负载平衡虚拟服务器。

    [来自 Build 41.28]

    [NSHELP-19376]

  • 即使在协议模块尚未完全初始化之前,Citrix ADC 设备也允许通过 NITRO API 进行配置。由于这个原因,写入内存命令失败并显示以下错误消息:

    “保存配置被拒绝 - 模块未准备就绪”

    [来自 Build 41.28]

    [NSHELP-19431]

  • 在高可用性设置中的某些罕见情况下,辅助节点可能会通过 Citrix ADC IP 地址 (NSIP) 建立 BGP 会话。

    [来自 Build 41.28]

    [NSHELP-19720]

  • 如果 BGP 进程接收路径中包含多个 4 字节 AS 编号的 bgp 更新,则可能会由于内存损坏而失败。

    [来自 Build 41.28]

    [NSHELP-19860]

  • 禁用关联接口或删除关联的 IP 地址时,ADC 设备可能无法以优化的方式更新 ECMP 路由。

    [来自 Build 47.22]

    [NSHELP-19891]

  • Citrix ADC 设备上的 BGP 守护程序可能会错误地安装学习到的路由,下一跳为 0.0.0.0/0。

    [来自 Build 47.22]

    [NSHELP-19900]

  • 如果您添加依赖于特定内部 FTP 服务查找的监听策略,Citrix ADC 设备可能会崩溃。

    [来自 Build 47.22]

    [NSHELP-20002]

  • 对于通过 Citrix ADC Access Gateway 访问负载平衡设置的流量,即使没有将第 2 层信息正确添加到连接表条目中,Citrix ADC 设备也可能会对此流量应用基于 MAC 的转发 (MBF)。

    [来自 Build 47.22]

    [NSHELP-20064]

  • Citrix ADC 设备可能会跳过针对类型为 UDP 和 ICMP 的传出监视数据包的基于策略的路由 (PBR) 规则。

    [来自 Build 47.22]

    [NSHELP-2012]

  • 重新启动时,Citrix ADC 设备会与对等设备建立 BGP 会话,然后在接口上分配子网 IP (SNIP) 地址,从而导致下一跳验证失败。由于这个问题,Citrix ADC 设备可能无法学习从这些对等设备发布的路由。

    [来自 Build 47.22]

    [NSHELP-2021]

  • 充当代理服务器的 Citrix ADC 设备可能会将基于第 2 层信息的 PBR 规则应用于流量,即使流量与 PBR 规则不匹配。

    [来自 Build 47.22]

    [NSHELP-20317]

  • 如果出现以下所有情况,则会出现“现有路由依赖于此子网的存在”错误消息:

    • 添加两个或多个第一个二进制八位数大于 127 的 SNIP 地址

    • 在该网络上添加了 SNIP 地址的路由

    • 您尝试删除任何一个添加的 SNIP 地址

    [来自 Build 47.22]

    [NSHELP-20492]

  • 32 位 ASN 值在“sh ip bgp 摘要”命令输出中显示为负值。

    [来自 Build 47.22]

    [NSHELP-20540]

  • 如果 Citrix ADC 设备收到符合以下两个条件的 IPv6 流量,它可能会崩溃:

    • IPv6 流量的源 MAC 地址与绑定到虚拟服务器的 MAC 地址相匹配,类型为 ANY 且重定向模式设置为基于 MAC 的转发 (-m MAC)

    • IPv6 流量与启用了 TCP 代理选项的 RNAT6 规则相匹配

    [来自 Build 47.22]

    [NSHELP-20548]

  • 当多个 BGP 时,Citrix ADC 设备可能无法正确更新 ECMP 路由

    会话同时进入“关闭”状态。

    [来自 Build 47.22]

    [NSHELP-20664]

  • 对于从 Citrix ADC 路由表中删除的路由,BGP 守护程序可能会显示重复的警告消息。

    [来自 Build 47.22]

    [NSHELP-20906]

  • 对于禁用 useproxyport 参数的 RNAT 规则以及访问 INAT 公有 IP 地址的 RNAT 客户端,Citrix ADC 设备可能会错误地为与 RNAT 规则相关的会话分配/取消分配端口。这种错误的端口分配/取消分配会导致端口泄漏。

    [来自 Build 41.28]

    [NSNET-10089]

  • 在 Citrix ADC GUI 上,当您转到配置 > 网络 > 接口,然后单击接口统计信息时,不显示接口摘要,并出现“无效值 [arg]”错误消息。

    [来自 Build 41.28]

    [NSUI-13043]

优化

  • 延迟加载模式不会在没有高度或宽度等属性的简单网页中加载位于折页上方的图像。

    [来自 Build 41.28]

    [NSHELP-19193]

  • 如果观察到以下情况,Citrix ADC 设备会自行重新启动:

    • 前端优化功能已启用。

    • 对缓存的对象进行了重新优化。

    [来自 Build 41.28]

    [NSHELP-19428]

平台

  • 配置 FIPS HSM 分区时,SDX 14000 FIPS 设备可能会崩溃并重新启动。

    [来自 Build 41.28]

    [NSHELP-18503]

  • 在以下 Citrix ADC SDX 平台上,如果未将管理端口分配给 VPX 实例并且通过数据端口完成实例管理,则 VPX 实例接收大量多点传送流量,则与 VPX 实例的连接可能会失败。

    • SDX 8900

    • SDX 14000-40G

    • SDX 14000-40S

    • SDX 15000-50G

    • SDX 25000-40G

    • SDX 25000T

    • SDX 25000T-40G

    [来自 Build 47.22]

    [NSHELP-19861]

  • 在带有 Fortville 接口的 SDX 平台上,当 10G 和 40G Fortville 接口启用 Jumbo 时,它们可能会进入 TX 停滞。

    [来自 Build 47.22]

    [NSHELP-20605]

策略

  • 升级后,重写策略不适用于 CVPN homepage2.html

    [来自 Build 47.22]

    [NSHELP-19481]

  • 在 Citrix ADC 设备中,如果取消绑定默认高级全局策略并保存配置,则下次重新启动时不会反映所做的更改。

    [来自 Build 47.22]

    [NSHELP-19867]

  • 在 Citrix ADC 设备中,如果取消绑定默认高级全局策略并保存配置,则下次重新启动时不会反映所做的更改。

    [来自 Build 41.28]

    [NSHELP-19867]

  • 使用 nspepi 工具将策略从经典策略转换为高级策略时,会观察到端口和网络掩码的语法错误。

    [来自 Build 47.22]

    [NSHELP-20720]

  • 如果配置将响应程序操作以 respondwithtmlpage 作为操作类型,Citrix ADC 设备可能会崩溃。

    [来自 Build 41.28]

    [NSHELP-5821]

  • 如果您使用重定向操作类型的响应程序操作,Citrix ADC 设备可能会崩溃。

    [来自 Build 41.28]

    [NSPOLICY-3196]

  • Citrix ADC 12.0 版本 56.20 及更高版本中不推荐使用基于策略的经典特性和功能。作为替代方案,Citrix 建议您使用高级策略基础架构。

    这些特性和功能将在 2020 年的 Citrix ADC 13.1 版本中不再可用。此外,其他较小的功能也将被弃用。

    [来自 Build 41.28]

    [NSPOLICY-3228]

门户

  • 自定义 nFactor 登录表单以显示动态登录类型菜单并从列表中选择 OAuth 时,系统会错误地提示 Citrix Gateway 用户输入用户名和密码。

    [来自 Build 47.22]

    [NSHELP-20300]

SNMP

  • 从版本 12.1 build 49.23 升级到版本 12.1 build 49.37 的高可用性设置后,主节点在重新启动期间不会发送 SNMP 冷启动陷阱消息。

    [来自 Build 41.28]

    [NSHELP-18631]

SSL

  • 如果满足以下两个条件,ADC 设备可能会偶尔向客户端发送额外数据:

    • 设备通过 SSL 连接到后端服务器。

    • 从服务器接收的数据大小超过 9k。

    [来自 Build 41.28]

    [NSHELP-11183]

  • 如果 PEM 算法是 DES 或 DES3,则无法使用 GUI 创建 RSA 密钥。

    [来自 Build 47.22]

    [NSHELP-13018]

  • 如果 PEM 算法是 DES 或 DES3,则无法使用 GUI 创建 RSA 密钥。

    [来自 Build 41.28]

    [NSHELP-13018]

  • 对于启用 SNI 的会话,ADC 设备可以控制主机标头的验证方式。在 SSL 配置文件和 SSL 全局参数中添加了一个新参数“SNIHTTPHostMatch”,以便更好地控制此验证。此参数可以采用三个值:CERT、STRICT 和 NONE。必须在 SSL 虚拟服务器或绑定到虚拟服务器的配置文件上启用 SNI,并且 HTTP 请求必须包含主机标头。

    [来自 Build 47.22]

    [NSHELP-13370]

  • 在 Citrix XenServer、VMware ESX 或 Linux-KVM 平台上安装 VPX 实例时,Safenet 目录缺失。

    [来自 Build 41.28]

    [NSHELP-14582]

  • 如果接收到不同消息类型的 DTLS 记录的顺序不正确,DTLS 握手可能会失败。例如,在“服务器 Hello”消息之前收到“Server Hello Done”消息。

    [来自 Build 47.22]

    [NSHELP-18512]

  • 当您基于表达式“ssl.origin.server_cert”执行审核日志消息操作时,Citrix ADC 设备可能会崩溃。日志操作绑定到响应方策略。

    [来自 Build 41.28]

    [NSHELP-19014]

  • 如果客户端和 CA 证书的编码不同,则 -clientAuthUseBoundCAChain 设置为 ENABLED 时,即使客户端和服务器证书由同一 CA 颁发,也会错误地拒绝客户端证书。

    [来自 Build 41.28]

    [NSHELP-19077]

  • 如果满足以下两个条件,Citrix ADC 设备可能会间歇性地崩溃:

    • 在 SSL 配置文件上启用了 OCSP 检查和 SSL 拦截。

    • SSL 配置文件绑定到类型为 PROXY 的内容交换虚拟服务器。

    [来自 Build 47.22]

    [NSHELP-19194]

  • 如果满足以下两个条件,Citrix ADC 设备在执行 SSL 操作“clientcertFingerprint”以将客户端证书的指纹插入要发送到服务器的请求的 HTTP 标头时可能会崩溃:

    • 会话票证已启用。

    • SSL 策略在请求绑定点绑定。

    [来自 Build 41.28]

    [NSHELP-19331]

  • 如果满足以下条件,SSL 虚拟服务器可能会使用重置代码 9820 重置连接,而不是按预期将记录分成多个 TCP 数据包:

    • 启用 TLSv1.3 的虚拟服务器对来自后端应用程序服务器的应用程序数据进行加密,以发送到 TLSv1.3 客户端。

    • 生成的加密记录长度正好比 TCP 最大分段大小大一个字节。

    [来自 Build 41.28]

    [NSHELP-19466]

  • 在装有 N2 芯片的 Citrix ADC SDX 设备上,握手失败,因为此平台不支持 ECDSA 密码。通过此修复,ECDSA 密码不会在此平台上发布。

    [来自 Build 41.28]

    [NSHELP-19614,NSHELP-20630]

  • 如果 URL 从基于 IP 的地址更改为基于域名的地址,CRL 刷新将使用旧 IP 地址而不是新 IP 地址。

    [来自 Build 41.28]

    [NSHELP-19648]

  • 即使您从服务中解除绑定证书,内部 SSL 服务状态仍显示为 UP。

    [来自 Build 47.22]

    [NSHELP-19752]

  • ssl_tot_enc_bytes 计数器报告了错误的待加密纯文本字节。

    [来自 Build 41.28]

    [NSHELP-19830]

  • 在管理分区设置中,将 DH 参数文件分配给 SSL 配置文件时,会出现一条错误消息。

    [来自 Build 47.22]

    [NSHELP-19838]

  • 如果以下设备收到来自客户端的“ChangeCipherSpec”消息,但没有收到“完成”消息,则它们可能会崩溃:

    • MPX 5900/8900

    • MPX 15000-50G

    • MPX 26000-100G

    [来自 Build 41.28]

    [NSHELP-19856]

  • 如果您在群集 IP (CLIP) 地址上添加带有 AIA 扩展名的证书,则当您尝试从 CLIP 中删除该证书时,会出现以下错误消息:

    ‘内部错误’。

    [来自 Build 41.28]

    [NSHELP-19924]

  • 当在前端虚拟服务器上同时启用 TLS 1.3 和 SNI 时,如果发生以下一系列事件,设备会在 TLS 握手期间崩溃:

    1. TLS 1.3 客户端在其初始 ClientHello 消息中包含 server_name 扩展名。

    2. 服务器使用 HelloRetryRequest 消息进行响应。

    3. 客户端以非法的 ClientHello 消息进行响应,该消息省略了 server_name 扩展名。

    [来自 Build 47.22]

    [ NSHELP-20245]

  • 当在前端虚拟服务器上同时启用 TLS 1.3 和 SNI 时,如果发生以下一系列事件,设备会在 TLS 握手期间崩溃:

    1. TLS 1.3 客户端在其初始 ClientHello 消息中包含 server_name 扩展名。

    2. 服务器使用 HelloRetryRequest 消息进行响应。

    3. 客户端以非法的 ClientHello 消息进行响应,该消息省略了 server_name 扩展名。

    [来自 Build 41.28]

    [ NSHELP-20245]

  • 如果启用 SSL 默认配置文件并将其绑定到 SSL 服务组,则当您解除密码与 SSL 配置文件绑定并将服务绑定到该服务组时,会显示一条警告消息。该服务也未绑定到服务组。

    [来自 Build 47.22]

    [NSHELP-20332]

  • 如果旧版 SSL 配置文件绑定到 SSL 实体,之后启用了默认(增强型)SSL 配置文件,Citrix ADC 设备可能会在群集 IP (CLIP) 地址和 Citrix ADC IP (NSIP) 地址上显示不同的配置文件。

    [来自 Build 47.22]

    [NSHELP-20335]

  • 如果您的 ADC 设备集成了不受支持的 Thales HSM 版本,则该设备在生成 HSM 密钥和证书、在设备上安装证书密钥对并将其绑定到 SSL 虚拟服务器后崩溃。通过此修复,设备报告错误而不是崩溃。

    [来自 Build 47.22]

    [NSHELP-20352]

  • 在以下两种情况下,都会出现“错误 - 文件太大”的错误消息:

    • 您首先将 Citrix ADC 软件升级到版本 13.0,然后升级 FIPS 固件。

    [来自 Build 47.22]

    [NSHELP-20522]

  • 在以下两种情况下,都会出现“错误 - 文件太大”的错误消息:

    • 您首先将 Citrix ADC 软件升级到版本 13.0,然后升级 FIPS 固件。

    [来自 Build 41.28]

    [NSHELP-20522]

  • 如果使用 ChaChaPoly 密码并且客户端向设备发送截断的记录,Citrix ADC VPX 设备可能会崩溃。

    [来自 Build 47.22]

    [NSHELP-20684]

  • 如果接收 DTLS 记录片段的顺序不正确,DTLS 握手可能会失败。

    [来自 Build 47.22]

    [NSHELP-20703]

  • 如果客户端密钥交换和客户端验证消息出现在单个记录中,SSL 握手将在以下平台上失败。

    • MPX 59xx

    • MPX/SDX 89xx

    • MPX/SDX 261xx-100G

    • MPX/SDX 15xxx-50G

    [来自 Build 41.28]

    [NSSSL-3359,NSSSL-1608]

  • 当满足以下条件时,使用基于 RSA 的密钥交换进行 TLS 和 DTLS 握手会在基于 N3 的 Citrix ADC MPX 和 SDX 设备的前端失败。

    1. 当 TLS 客户端 Hello 消息包含 TLSv1.2 作为协议版本时,TLS 握手失败,但在 Citrix ADC 设备上禁用 TLSv1.2。因此,设备会协商较低的版本(TLSv1.1、TLSv1.0 或 SSLv3.0)

    2. 当 DTLS Client Hello 消息包含 DTLSv1.2 作为协议版本时,DTLS 握手失败,但是 Citrix ADC 设备协商 DTLSv1.0。

    使用“show hardware”命令来识别您的设备是否有 N3 芯片。

    [来自 Build 41.28]

    [NSSSL-6630]

  • 在对绑定了配置文件的虚拟服务器的 NITRO 调用中,还会显示该虚拟服务器的某些实体,例如作为配置文件一部分的 HSTS 和 OCSP_Stapling。

    [来自 Build 41.28]

    [NSSSL-6673]

  • 在请求绑定点运行 SSL 转发操作时,Citrix ADC 设备可能会崩溃。通过此修复,您无法将操作类型为“转发”的策略绑定到 REQUEST 绑定点。

    [来自 Build 47.22]

    [NSSSL-6688]

  • Citrix ADC 设备在配置新的 DTLS 虚拟服务器或服务时尝试访问已删除的默认 DTLS 配置文件时,可能会崩溃并转储内核。

    [来自 Build 47.22]

    [NSSSL-6886]

  • SSL 策略中的转发操作不允许 SSL_TCP 类型的虚拟服务器。通过此修复,您可以将基于 SSL 策略的 SSL 流量转发到 SSL_TCP 虚拟服务器。此功能可帮助想卸载 SSL 但不想解析转发连接的应用程序数据的客户。

    [来自 Build 47.22]

    [NSSSL-7133]

SWG URL 过滤

  • 在内容筛选期间,在策略评估和对私有 URL 集进行模糊处理之间会出现罕见的竞争情况。此问题会生成一个 AppFlow 记录,其中包含以明文形式而不是“非法”的 URL。

    [来自 Build 41.28]

    [NSSWG-890]

系统

  • 分区的 Citrix ADC 设备中出现内存过高问题。

    [来自 Build 47.22]

    [NSBASE-8780,NSBASE-8763]

  • 在客户端 IP 标头插入(例如-x-Forwarded-for)中,如果要插入的 IP 地址不如缓冲区长,则标头会在客户端 IP 地址末尾填充空格。

    [来自 Build 47.22]

    [NSHELP-10079]

  • 显示高可用性同步过程的实际状态

    在高可用性设置中,默认情况下, SUCCESS 即使某些命令在辅助节点上失败,HA 同步的状态也会显示为 HA 同步的状态是 HA 同步过程的一部分。

    例如,如果辅助节点上不存在相同编号的接口,则与将接口绑定到 VLAN 相关的命令将失败。

    您可以配置高可用性设置以指示 HA 同步过程的实际状态。

    当您在高可用性集的两个节点上启用了 Strict Synchronization mode 参数时,作为高可用性同步过程的一部分,如果辅助节点上一个或多个命令失败,高可用性同步的状态将显示为 Partial Success

    注意:两个节点上的 Strict Synchronization mode 参数必须设置为相同的选项,即在两个节点上启用或禁用。如果在一个节点上启用了严格同步模式参数而在另一个节点上禁用,则高可用性设置不会显示 HA 同步的正确状态。

    [来自 Build 47.22]

    [NSHELP-11953]

  • 如果绑定到 SNMPv3 陷阱目标的 SNMPv3 用户出现身份验证失败(密码、社区或密钥不正确),SNMPWalk 应用程序将失败。

    [来自 Build 47.22]

    [NSHELP-18541,NSHELP-19313]

  • 如果未设置 current_tcp_profile 和 current_adtcp_profile,Citrix ADC 设备会崩溃。

    [来自 Build 41.28]

    [NSHELP-18889]

  • 如果未完全刷新关闭的连接,Citrix ADC 设备会出现内存问题。

    [来自 Build 41.28]

    [NSHELP-18891]

  • 如果未完全刷新关闭的连接,Citrix ADC 设备会出现内存问题。

    [来自 Build 47.22]

    [NSHELP-18891,NSHELP-20778]

  • 在极端情况下,Citrix ADC 设备无需重置即可终止僵尸连接。当对等端连接发送处于活动状态的数据包时,设备会在处理数据包时重置连接。

    [来自 Build 41.28]

    [NSHELP-18998]

  • 如果满足以下条件,策略评估可能会失败:

    • 256 个策略表达式引用了相同的自定义标头。

    • 自定义标头引用计数器封装为 0(8 位计数器)。

    [来自 Build 41.28]

    [NSHELP-19082]

  • 在 Citrix ADC 设备中,如果夏令时 (DST) 发生变化,时区配置将失败。

    [来自 Build 47.22]

    [NSHELP-19128]

  • 每当发生高可用性配置同步以及高可用性故障时,都会发生配置丢失。

    [来自 Build 41.28]

    [NSHELP-19210]

  • 更改密码后,SNMPv3 查询仅在几分钟内有效。

    [来自 Build 47.22]

    [NSHELP-19313]

  • 主节点无法读取辅助节点的响应,导致连接重置。结果,连接在辅助节点上关闭。

    [来自 Build 41.28]

    [NSHELP-19432]

  • 如果您将 TCP 配置文件值设置为 NULL,Citrix ADC 设备会崩溃。

    [来自 Build 41.28]

    [NSHELP-19555]

  • 对为外部服务器创建的 MONITOR 密码进行强密码验证。在 Citrix ADC 设备上启用强密码配置(系统 > 全局设置)时,不允许设备为 LDAP 监视器配置弱密码。

    [来自 Build 41.28]

    [NSHELP-19582]

  • SDX 设备上的 SNMP 警报不适用于磁盘、内存或温度参数,但仅适用于 CPU。

    [来自 Build 41.28]

    [NSHELP-19713]

  • 在某些情况下,您会在连接到后端服务器时看到延迟或超时。发生这种情况是因为设备已释放连接并释放了端口。当设备重复使用同一端口与服务器建立新连接时,会出现延迟或超时,因为服务器上的连接处于 TIME_WAIT 状态。

    [来自 Build 41.28]

    [ NSHELP-19772]

  • 在某些情况下,您会在连接到后端服务器时看到延迟或超时。发生这种情况是因为设备已释放连接并释放了端口。当设备重复使用同一端口与服务器建立新连接时,会出现延迟或超时,因为服务器上的连接处于 TIME_WAIT 状态。

    [来自 Build 47.22]

    [ NSHELP-19772]

  • 在极少数情况下,当客户端或服务器先发送一个带有 FIN 消息的顺序数据包时,群集节点可能会崩溃。

    [来自 Build 41.28]

    [NSHELP-19824]

  • 如果在 MTU 大于 1500 字节的接口上接收到重新传输的 TCP 分段,Citrix ADC 设备可能会崩溃,如下所示:

    • 巨型帧或

    • IP 片段集。

    [来自 Build 47.22]

    [NSHELP-19920,NSHELP-20273]

  • 当 MTU 大于 1500 字节的接口上接收到重新传输的 TCP 段时,Citrix ADC 设备可能会崩溃,如下所示:

    • 巨型帧,或

    • IP 片段集

    [来自 Build 41.28]

    [NSHELP-19920,NSHELP-20273]

  • 即使禁用 SNMP 功能,SNMPWalk 也会从子网 IP (SNIP) 地址获取查询响应。

    [来自 Build 47.22]

    [ NSHELP-20254]

  • 基于角色的身份验证 (RBA) 不允许组名以“#”字符开头。

    [来自 Build 47.22]

    [ NSHELP-20266]

  • 如果未收到 POST 请求的完整请求正文,Citrix ADC 设备将启动 HTTP/1.1 连接而不是 HTTP/2 连接。

    [来自 Build 47.22]

    [NSHELP-20289]

  • 在极少数情况下,Call Home 进程可能会崩溃,从而导致设备重新启动。如果 Call Home 子进程使用与前一个子进程相同的内部进程 ID (PID),则会出现此问题。

    [来自 Build 47.22]

    [NSHELP-20334]

  • 如果启用代理协议并且由于网络拥塞而发生重传,则内存使用量会增加。

    [来自 Build 47.22]

    [NSHELP-20613]

  • 如果子流处于活动状态且处于活动状态的时间超过空闲超时期,Citrix ADC 设备会重置 MPTCP 子流。

    [来自 Build 47.22]

    [NSHELP-20648]

  • 如果 Citrix ADC 设备在 MPTCP 子流被确认为MTPCP之前收到普通确认,则会重置该子流。

    [来自 Build 47.22]

    [NSHELP-20649]

  • 如果您将经典策略和高级策略绑定到 aaa 用户和 aaa 用户组,则会检测到配置丢失。

    [来自 Build 47.22]

    [NSHELP-20744]

  • 如果 Citrix ADC 设备无法使用 TCP 连接连接到后端服务器,则会观察到 TCP 事务延迟。在这种情况下,设备会打开一个新连接,在等待一段时间后将客户端请求转发到后端服务器。等待时间从 400 毫秒到 600 毫秒不等。

    [来自 Build 41.28]

    [NSHELP-9118]

  • 全局绑定和显示绑定选项在内容检查策略 GUI 页面上不起作用。作为替代方案,您可以通过命令界面配置这些参数。

    [来自 Build 41.28]

    [NSUI-13193,NSUI-11561]

电信

  • 如果满足以下两个条件,Citrix ADC 设备可能会崩溃:

    • 设备在检索订阅者信息时收到两个 HTTP 请求。

    • 恢复正常交通流量的操作不正确。

    [来自 Build 41.28]

    [NSHELP-18955]

Citrix ADC 13.0-47.24 版本的发行说明