ADC

Citrix ADC 13.0-58.32 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 Build 13.0-58.32 中存在的增强和更改、已修复和已知问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
  • Build 58.32 取代了 Build 58.30
  • 此版本中的其他补丁:NSAUTH-8617、NSAUTH-8712

新增功能

版本 13.0-58.32 中提供的增强和更改。

Citrix Gateway

  • DTLS 侦听器增强功能

    用户现在可以使用与已配置的 SSL VPN 虚拟服务器相同的 IP 和端口号配置单独的 DTLS VPN 虚拟服务器。配置 DTLS VPN 虚拟服务器使用户能够绑定高级 DTLS 密码和证书。此外,除之前支持的 DTLS 1.0 协议外,还支持 DTLS 1.2 协议。

    [CGOP-11142]

Citrix Web App Firewall

  • 机器人管理统计

    Citrix ADC 机器人管理 GUI 现在以表格和图形格式显示机器人流量和机器人违规统计信息。

    [NSWAF-5270]

  • 对集群配置的机器人支持

    集群配置现在支持 Citrix ADC 机器人管理。

    [NSWAF-4227]

  • IP 信誉和设备指纹检测技术的 CAPTCHA 验证

    Citrix ADC 机器人管理现在支持 CAPTCHA 来缓解机器人攻击。CAPTCHA 是一种质询响应验证,用于确定传入流量是来自人类用户还是自动机器人。该验证有助于阻止导致 Web 应用程序安全违规的自动机器人。您可以在 IP 信誉和设备指纹检测技术中将 CAPTCHA 配置为机器人操作。

    [NSWAF-3982]

  • 支持自动更新机器人签名

    Citrix ADC 机器人管理现在支持自动更新功能,该功能可与 AWS 数据库通信以获取最新的签名更新。计划每隔一小时更新一次。

    您还可以配置代理服务器以从 AWS 获取更新,并定期向 ADC 设备更新签名。对于代理配置,您必须在机器人设置中配置代理 IP 地址和端口。

    [NSWAF-3954]

  • 导出和导入放宽规则

    Citrix ADC 设备现在允许您导出和导入基于动态配置文件的放宽规则和常规放宽规则。您可以将规则从暂存环境导出并导入到生产环境中。
    “增强” 操作可确保放宽规则的导入是累加的,不会覆盖现有配置。

    [NSWAF-3813]

  • 机器人陷阱检测

    Citrix ADC 机器人管理现在支持机器人陷阱检测技术。该技术在客户端响应中公布陷阱网址。如果客户端是人类用户,则该 URL 将显示为不可见且无法访问。但是,如果客户端是自动机器人,则可以访问该网址,并且当访问时,攻击者将被归类为机器人,并且来自该机器人的任何后续请求都将被阻止。该检测技术可有效阻止来自自动机器人的攻击。

    [NSWAF-3231]

  • Snort 规则集成

    现在,您可以将 Snort 规则与 Citrix ADC 设备集成,以防止应用程序层的恶意攻击。这些规则从 Snort 网站下载并将其转换为 WAF 签名。基于 snort 的 WAF 签名可以检测恶意活动,例如 DOS 攻击、缓冲区溢出、隐身端口扫描、CGI 攻击、SMB 探测和操作系统指纹识别尝试。通过集成 Snort 规则,您可以增强接口和应用层的安全解决方案。

    [NSWAF-3055]

负载平衡

  • 增强 GEO 规则以验证基于位置的策略表达式的通配符匹配

    现在,GEO 规则中增加了对基于位置的策略表达式的支持,用于检查通配符匹配。此功能检查通配符限定符是否与任何其他限定符(包括非通配符)匹配。通配符匹配是使用添加到 “set LocationParameter” 命令中的 matchWildCardToAny 属性执行的。

    matchWildCardToAny 属性可以设置为以下值:

    • 是: 通配符限定符与任何其他限定符匹配。
    • 否: 通配符限定符与非通配符限定符不匹配,但匹配其他通配符限定符。默认选项为 “ 否”。
    • 表达式:表达式 中的通配符限定符与 LDNS 位置中的任何限定符匹配,但是 LDNS 位置中的通配符限定符与表达式中的非通配符限定符不匹配。

    [NSHELP-11782]

网络连接

  • 邻居发现所有者支持条带化 IPv6 地址

    在群集设置中,您现在可以将特定节点配置为条带化 IPv6 地址的邻居发现 (ND) 所有者,以确定链路层地址。客户端向集群设置中的所有节点发送邻居请求 (NS) 消息。ND 所有者使用带有条带 IPv6 地址的链路层地址的邻居通告 (NA) 消息进行响应,并为流量提供服务。

    您可以通过指定节点 ID 使用 CLI 配置 ND 所有者:

    • 添加 ns ip6-nDowner
    • set ns ip6-nDowner

    在 GUI 中,导航到 “系统” > “网络” > “IP” > “IPv6”。在添加或修改 IPv6 地址时,选择 “集群中的 nDowner” 中列出的节点 ID 之一。

    [NSNET-10767]

  • Citrix ADC BLX 设备上支持全局服务器负载平衡

    Citrix ADC BLX 设备现在支持 Citrix ADC 全球服务器负载平衡 (GSLB) 功能。

    注意:Citrix ADC BLX 设备不支持 GSLB 自动同步子功能。

    [NSNET-9263]

平台

  • 在 Linux-KVM 平台上支持英特尔 X722 10G NIC

    Linux-KVM 平台上的 Citrix ADC VPX 实例现在支持英特尔 X722 10G SR-IOV 网络接口。

    [NSPLAT-13197]

  • 在Google Cloud Platform 上设置带有私有 IP 地址的 Citrix ADC VPX 高可用性配对

    现在,您可以使用私有 IP 地址在 GCP 上部署 VPX 高可用性对。必须禁用 INC 模式才能配置此功能。客户端 IP (VIP) 和服务器 IP (SNIP) 必须配置为主节点上的别名 IP 地址。故障切换后,客户端 IP 地址和服务器 IP 地址都将移至辅助节点。

    [NSPLAT-12516]

  • 对 GCP 的后端自动缩放支持

    Citrix ADC VPX 设备现在支持Google Cloud Platform (GCP) 的后端自动缩放功能。此功能检测 GCP 托管实例组 (MIG) 中的后端服务器。GCP 根据用户定义的指标自动在 MIG 池中添加或删除服务器。VPX 设备捕获后端服务器池的详细信息并相应地对流量进行负载平衡。

    [NSPLAT-7715]

策略

  • 策略数据集配置

    策略数据集现在允许您为不同的数据类型指定范围。举个例子,
    添加数据集 ds1 ipv4
    绑定数据集 ds1 1.1.1.1 —endRange 1.1.1.10

    其中,如果值等于绑定到数据集的单个值,或者位于绑定到数据集的范围的下限值和上限值(较低值 <= 值 && 值 <-上限值)之间,则该值被视为在数据集中。

    [NSPOLICY-3282]

SSL

  • 自适应 SSL 流量控制

    当设备接收到非常高的流量并且加密加速容量已满时,设备会开始排队连接以待稍后处理。目前,该队列的大小固定为 64K,如果超过此值,设备将开始断开连接。通过此增强功能,如果队列中的元素数量大于自适应和动态计算的限制,设备就会断开新连接。

    此限制是根据以下计算得出的:

    • 设备的实际容量。
    • 用户配置的值占实际容量的百分比。默认值为 150%。

    例如,如果设备在给定时间的实际容量为每秒 1000 次操作,并且配置了默认百分比,则设备断开连接的限制为 1500(1000 次中的 150%)。

    [NSSSL-7476]

  • 在 Citrix ADC Cavium MPX 平台的前端支持 dtlSv1.2 协议

    适用于 Cavium MPX 平台的 Citrix ADC 的前端现在支持 DTLS 1.2 协议。在配置 DTLS 虚拟服务器时,您现在必须指定 DTLS1 或 DTLS12。默认情况下,dtlSv12 将被禁用。

    [NSSSL-6097]

  • 支持在 Citrix ADC 设备的后端进行安全重新协商

    Citrix ADC 设备的后端现在支持安全重新协商。您可以在 SSL 配置文件和全局 SSL 参数中启用安全重新协商。要启用安全重新协商,请将 “denysslReneg” 参数设置为以下选项之一:

    • NONSECURE
    • FRONTEND_CLIENT
    • FRONTEND_CLIENT

    示例

     set ssl profile ns_default_ssl_profile_backend -denySSLReneg NONSECURE  
     set ssl parameter -denySSLReneg NONSECURE  
     <!--NeedCopy-->
    

    [NSHELP-14944]

系统

  • 用于管理访问的内置 HTTP 配置文件

    Citrix ADC 设备现在有内置的 HTTP 配置文件,即 “nshttp_default_internal_apps”,用于管理访问权限。配置文件配置为阻止 HTTP/0.9 请求并删除无效的管理访问请求。配置文件设置与现有的 “nshttp_default_strict_validation” 配置文件相同。但是,建议您不要像 “nshttp_default_strict_validation” 配置文件中那样更改配置文件设置。

    [NSBASE-9953]

用户界面

  • 配置 matchEdid 以指定上次评估的 URL 集

    现在,在 “导入策略 urlset” 命令中添加了一个新参数 “matcheDid”。该 ID 可以指定在匹配请求的 URL 后上次评估的 URL 集。该 ID 还会发送到收集用户会话级别信息的 AppFlow 收集器。

    [NSUI-14674]

  • 对群集的同步状态的严格模式支持

    现在,您可以将群集节点配置为在应用配置时查看错误。添加和设置集群实例命令中都引入了一个新参数 “syncStatusStrictMode”,用于跟踪集群中每个节点的状态。默认情况下,“syncStatusStrictMode” 参数处于禁用状态。

    [NSCONFIG-2796]

已修复的问题

版本 13.0-58.32 中解决的问题。

AppFlow

  • 如果启用 AppFlow 功能时有活跃流量,Citrix ADC 设备可能会崩溃。

    [NSHELP-22361]

身份验证、授权和审核

  • OnlyPassword.xml 中的用户名提取在 Citrix ADC 中不起作用。它将表达式显示为 $ {http.req.user.name},理想情况下应将其替换为用户名。

    [NSHELP-22172]

  • 作为 SAML SP 部署的 Citrix ADC 可能会在用户启动注销过程后显示本地注销页面。

    [NSHELP-22067]

  • 在某些情况下,Citrix ADC 设备会转储内核,因为发往 TACACS 服务器的 SYN 数据包中填充了错误的分区值。

    [NSHELP-22030]

  • 在设备处理 VPN 流量请求时,Citrix ADC 设备可能会在收到来自客户端的 RESET 命令时转储内核。

    [NSHELP-21817]

  • 如果 FORMSSO 策略包含空的 DYNAMIC FORMSSO 名称/值对,则基于表单的 SSO 将失败。

    [NSHELP-21753]

  • 如果满足以下条件,Citrix ADC 设备可能会因 StoreFront AuthAction 而崩溃:
    • 密码在到期日后更改。
    • 尝试从非 nFactor 旧 VPN 客户端进行身份验证。

    [NSHELP-21555]

  • 每当启用 “ns_saml_disable_comma_sep_attr_res nsapimgr” 旋钮时,SAML 断言中都会缺少 “saml: AttributeValue” 标签。

    [NSHELP-21552]

  • 如果满足以下条件,则使用 Citrix ADC 到 StoreFront 的 SSO 将失败:
    • Citrix ADC 设备配置为多因素身份验证。
    • 在检查配置的身份验证因素之前,Citrix ADC 会话会超时。

    [NSHELP-21466]

  • 如果满足以下条件,则完整 VPN 不起作用:

    • Citrix ADC 设备配置为 nFactor 身份验证,其中 SAML 身份验证是身份验证的最后一个因素。
    • 该设备绑定到 RFWebUI 门户主题。

    [NSHELP-21157]

  • 在身份验证虚拟服务器上创建 IdP 会话期间,不支持对与第一身份验证因素关联的登录架构配置文件进行的任何配置。如果将登录架构配置文件配置为使用 SSO 功能的第一因素凭据,则不支持该配置。

    [NSAUTH-8712]

  • 如果满足以下条件,Citrix Gateway 设备会转储内核:
    • 使用 Citrix Workspace 应用程序访问 Citrix Gateway 设备。
    • Citrix Gateway 设备配置为使用高级身份验证进行nFactor部署。

    [NSAUTH-8617]

缓存

  • 在集群设置中,Citrix ADC 设备可能会在以下情况下崩溃:
    • 将设置从 Citrix ADC 13.0 47.x 或 13.0 52.x 版本升级到更高版本
    • 将设置升级到 Citrix ADC 13.0 47.x 或 13.0 52.x 版本

    在升级过程中,执行以下步骤:

    • 禁用所有群集节点,然后升级每个群集节点
    • 升级所有节点后启用所有群集节点

    [NSHELP-21754]

Citrix ADC SDX 设备

  • 在某些情况下,将 Citrix ADC SDX 设备升级到 13.0 版本可能会因为内部错误而失败。

    [NSSVM-3377]

  • 在 Citrix ADC SDX 设备上,从 12.1 版本 56.22 升级到 13.0 版本 52.24 可能会失败。

    [NSSVM-3159]

  • 当您导航到 Citrix ADC > 实例并在 SDX GUI 中单击实例 IP 地址时,该实例不会启动。只有在升级到版本 13.0 build 47.x 之后,才会出现此问题。

    [NSHELP-22152]

  • 如果配置了池化许可服务器,则在 Citrix ADC SDX 设备上升级可能会失败。

    [NSHELP-22064]

  • 当分配给该 VPX 的核心数大于设备上可用的空闲内核数量时,您无法在以下平台上修改 VPX 实例名称。
    • SDX 8900
    • SDX 14xxx-40G
    • SDX 14xxx-40s
    • SDX 14xxx FIPS
    • SDX 15xxx-25G
    • SDX 15xxx-50G
    • SDX 25xxx
    • SDX 26xxx
    • SDX 26xxx-50s
    • SDX 26xxx-100G

    [NSHELP-22048]

  • 在 Citrix ADC SDX 15xxx 和 SDX 26xxx 平台上,您无法在 L2 模式下预置多个 VPX 实例。

    [NSHELP-21367]

  • 升级到软件版本 11.1 和 12.1 后,设备可能会发送 nsNotifyRestart 陷阱。

    [NSHELP-18308]

Citrix Gateway

  • 在 VPN 设置中的 CPU 之间复制会话信息时,Citrix Gateway 设备可能会崩溃。

    [NSHELP-22665]

  • 由于连接链接错误,Citrix Gateway 设备在处理服务器启动的连接时崩溃。

    [NSHELP-22598]

  • 如果满足以下条件,Citrix Gateway 设备可能会间歇性地崩溃。
    • 如果服务器启动的 UDP 连接到内联网 IP 地址会分配给用户。
    • 发送第一个数据包后,服务器在很长一段时间内不会发送 UDP 数据包。

    [NSHELP-22583]

  • 在传输登录期间,Citrix Gateway 设备在尝试存储无效连接然后取消引用无效连接时可能会崩溃。

    [NSHELP-22568]

  • 配置为经典无客户端 VPN 时,Citrix ADC 设备可能会崩溃。

    [NSHELP-22559]

  • 在极少数情况下,值为 0 的 “vpnusers” 参数的计数器会被错误地减小。此减量将计数器重置为非常高的值,从而导致许可证检查失败。

    [NSHELP-22558]

  • 有时,即使 EPA 扫描在客户端计算机上失败,Citrix Gateway 也允许 macOS 客户端访问内部资源。
    此问题仅发生在包含以下配置的 n 核计算机上:
    • 使用 “客户端安全组” 参数创建会话策略。
    • 创建响应程序策略是为了对属于此客户端安全组的用户执行某些操作。

    [NSHELP-22262]

  • 如果您在分配内联网 IP 地址时尝试通过完整的 VPN 隧道进行打印,Citrix Gateway 设备可能会崩溃。
    在使用 hp-status 和 WSDAPI 协议的 HP 打印机中会出现此问题。

    [NSHELP-22191]

  • 如果在 Citrix Gateway 上配置了 SAML 身份验证,并且用户尝试通过 VPN 插件登录,则浏览器会显示空白屏幕。

    [NSHELP-22185]

  • 在 Citrix ADC 设备 GUI 中,您无法取消与身份验证、授权和审计组的授权策略绑定。

    [NSHELP-22167]

  • 在 Citrix Hypervisor 或任何其他服务器上使用 XVA 映像部署新的 Citrix ADC VPX 设备时,在相应的位置找不到适用于 Windows 的 Citrix Gateway 插件包。

    [NSHELP-22157]

  • 在全隧道设置和使用 RFWebUI 的经典客户端证书身份验证中,设备在登录后以空白页或 “无法使用客户端” 错误进行响应。

    [NSHELP-22084]

  • 有时,PCoIP 应用程序或桌面可能无法启动。

    [NSHELP-22041]

  • 在 Citrix Gateway 高可用性设置中,辅助节点可能会在核心间通信期间崩溃。

    [NSHELP-21991]

  • 如果 Citrix Gateway 服务器解析为公司网络内部与外部网络不同的 IP 地址,则从外部网络漫游到内部网络或反之亦然会间歇性失败。因此,“在 Windows 中始终开启” 功能不起作用。

    [NSHELP-21956]

  • 如果在会话策略中配置了代理设置,Linux VPN 客户端会崩溃。

    [NSHELP-21955]

  • 在 nFactor 模式下配置 EPA 时,与 EPA 插件安装相关的消息不会显示在 VPN 插件窗口中。

    [NSHELP-21939]

  • 如果你使用的是 McAfee LiveSafe,EPA 检查不会成功。因此,检测中文产品名称不适用于OPSWAT。但是,对于其他语言,它可以按预期工作。

    [NSHELP-21938]

  • 升级 Citrix ADC 设备后,Web 界面功能可能无法按预期运行。

    [NSHELP-21899]

  • 如果有多个内核并且使用 RFWebUI 主题启用了内网 IP 地址,Citrix Gateway 设备可能会崩溃。

    [NSHELP-21722]

  • Citrix ADC 设备在尝试访问损坏的收集器信息时可能会崩溃。

    [NSHELP-21653]

  • 如果为缓存启用了强制缓存清理参数,Always On 服务将无法建立 VPN 隧道。

    [NSHELP-21645]

  • 您可能会间歇性地看到门户文件出现 403 禁止访问错误。

    [NSHELP-21620]

  • UDP 应用程序的性能有时可能会因为流量拥塞而受到影响。

    [NSHELP-21599]

  • 在采用 nFactor 身份验证的 Citrix Gateway 中,EPA 作为一个因素有时可能会失败。

    [NSHELP-21557]

  • 有时,Citrix ADC 设备在处理服务器启动的连接时可能会崩溃。

    [NSHELP-21532]

  • VPN 插件保留通过 VPN 连接添加到 Wi-Fi 或以太网适配器上的 DNS 后缀。

    [NSHELP-21492]

  • 为全局服务器负载平衡配置的 Citrix Gateway 设备在父子拓扑中无法按预期工作。

    [NSHELP-21381]

  • 如果桌面数量小于应用程序数量,则不会进行应用程序枚举。

    [NSHELP-21377]

  • 在多核处理器设置中,如果启用了 Gateway Insight 功能并在非所有者内核上收到请求,Citrix Gateway 设备会崩溃。

    [NSHELP-21089]

  • 如果满足以下条件,Citrix Gateway 设备可能会崩溃:
    • 客户端或服务器连接使用悬空指针而不是链接。
    • 链接的连接已释放。
    • 设备尝试刷新连接以释放链接。

    [NSHELP-20901]

  • 如果您在网关配置中使用经典策略,Citrix ADC 设备可能会崩溃。

    [NSHELP-20070]

  • 将网络配置文件添加到服务时,Citrix ADC 设备可能会崩溃。

    [NSHELP-19569]

  • 默认情况下,通过Unified Gateway 向导创建的内容交换虚拟服务器的 DTLS 参数设置为 ON。

    [CGOP-13213]

  • 将 Citrix Gateway 设备升级到 13.0 版本后,rfWebUI 自定义主题不起作用。

    [CGOP-12740]

Citrix Web App Firewall

  • 如果您在前端网关虚拟服务器上启用 SSL 会话重用选项,并在设备上启用 TLS 1.3,则会重置连接。

    [NSWAF-5268]

  • 如果启用了 XML 安全检查 “xmlmaxnodescheck” 选项,NITRO 不允许 SDK 客户配置 WAF。

    [NSHELP-22111]

  • 如果您启用 StarTurl 关闭保护检查,则会在 Citrix ADC 设备上观察到内存泄漏。

    [NSHELP-21472]

  • 升级后,Citrix ADC 设备可能会因为内存使用率过高而崩溃。

    [NSHELP-21410]

  • 在 Citrix ADC 机器人管理中,无法正确插入分块和 FIN 终止数据的陷阱 URL 和 Javascript。

    [NSHELP-21289]

  • 如果 XML 内容嵌套了对 “APPFW_XML_VALIDATION_ERR_INVALID_ELEMENT” 参数的引用,XML 验证将失败。

    [NSHELP-2118]

  • 如果信用卡验证过程中的错误案例处理不正确,Citrix ADC 设备可能会崩溃。

    [NSHELP-20562]

  • 如果您在日志模式下启用 XML Wellformedness 保护检查,Citrix ADC 设备可能会崩溃。

    [NSHELP-18737]

负载平衡

  • 在高可用性设置中,主节点在从服务器重用池中提取服务器 PCB 时崩溃。之所以发生崩溃,是因为循环已经存在,这会导致紧循环。

    [NSHELP-22149]

  • 当数据包引擎 (NSPPE) 接收到第一个标头不完整的 RTSP 数据包,接着在收到完整标头之前接收 ACK 时,它可能会崩溃。

    [NSHELP-22099]

  • 在管理分区设置中,当您执行 “stat gslb site” 命令时,两个 GSLB 站点之间的指标交换或网络指标交换状态显示为 “关闭”。这只是一个显示问题,对功能没有影响。

    [NSHELP-21895]

  • 在高可用性同步期间,配置池化许可证后,与辅助设备的连接可能会丢失。

    [NSHELP-21556]

  • 在集群设置中,当节点升级到新版本时,diameter 身份的配置会丢失。

    [NSHELP-21444]

  • 对于来自支持 NAT 的客户端的请求,当会话描述协议 (SDP) 负载中的媒体部分包含 NAT IP 地址时,Citrix ADC 设备可能会崩溃。

    [NSHELP-21438]

  • 在 NITRO API 中,服务组的状态发生变化后,服务组的 “tickssincelastatechange” 字段无法正确更新。

    [NSHELP-21425]

  • 在高可用性设置中,在最大尝试与辅助节点上的特定内核建立连接后,主节点找不到相关的端口。因此,辅助连接表未与主连接表完全同步。

    [NSHELP-21420]

  • 在采用网关部署的 GSLB 设置中,在以下情况下,Citrix ADC 设备可能无法解析 GSLB 服务的域名:
    当主负载平衡虚拟服务器处于关闭状态时,即使备份负载平衡虚拟服务器处于启动状态。

    [NSHELP-21061]

  • 将 Citrix ADC 设备从版本 11.1 build 56.19 升级到 12.1 build 53.12 版本后,即使负载平衡虚拟服务器处于启动状态,GSLB 服务的有效状态仍设置为关闭。

    [NSHELP-21025]

  • 如果配置了安全 HTTP 监视器并且响应大小很大,Citrix ADC 设备可能会显示内存使用量激增。

    [NSHELP-20712]

网络连接

  • 重新启动 Citrix ADC 设备后,内部传输层服务可能会被取消注册。因此,设备上的任何传输协议服务请求都将失败。

    [NSNET-15252]

  • 在群集拓扑中,在节点升级或降级时,非 cco 节点的 “set snmp mib” 命令失败。这会导致配置丢失。

    [NSNET-14562]

  • 如果您在 CLIP 上将 GUI 选项设置为 secureonly,而在 NSIP 地址上未发现问题,则会出现问题。
    只有在触发 “设置 ns ip gui” 配置时才会出现此问题。

    [NSNET-14364]

  • Citrix ADC 设备处理任何收到的具有以下属性的数据包,以进行活动 FTP 数据连接:
    • 协议 = TCP
    • 目标 IP 地址 = Citrix ADC IP (NSIP)
    • 源端口 = 20

    因此,Citrix ADC 设备将数据包发送到内部管理模块而不是数据包引擎模块进行处理,这反过来会导致对数据包进行一些意外处理。

    [NSHELP-22637]

  • 在非默认分区中启用第 2 层模式的高可用性设置中,辅助节点可能会转发其收到的 DHCP 数据包,从而导致网络中出现循环。

    [NSHELP-22140]

  • 在具有基于 IPv4 和 IPv6 策略的背板转向 (PBS) 配置的 Citrix ADC 集群设置中,当以下所有条件都成立时,ICMPv6 错误数据包可能会在群集节点之间循环:

    • ICMPv6 错误数据包的内部 IP 数据包与其中一个活动 TCP 会话中的 IP 元组相同。
    • 对于相同 IPv6 地址,每个群集节点上存在不同的 IPv4 映射地址。

    [NSHELP-21815]

  • 对于无限制的管理分区,分配期间的内存检查处于禁用状态。

    [NSHELP-21775]

  • 在 INC 模式下的高可用性设置中,故障转移后,新的辅助节点可能不会撤回其作为主节点运行时通告的默认路由(从其他 BGP 对等节点获知)。由于这个问题,数据流量也可以到达新的辅助节点。

    [NSHELP-21720]

  • 在 OpenStack 中,在以下条件下命令传播可能会失败:

    当您从 3 节点集群中移除节点时,如果从已删除的节点中获得较旧的心跳信号。

    [NSHELP-21432]

  • 如果为 VIP 地址添加 INAT 规则,Citrix ADC 设备会错误地允许添加负载平衡配置,其中虚拟服务器的类型为 ANY 且设置为相同的 VIP 地址。

    [NSHELP-21288]

  • 重新启动 Citrix ADC 设备时,默认路由是在填充接口的 IP 地址之前生成的。由于此问题,路由的下一跳设置为 NULL,从而导致火星错误。

    [NSHELP-16407]

NSSWG

  • 在集群配置和高可用性配置上观察到内存管理错误,这会阻止 Citrix ADC GUI HTTPS 访问和空的 appflow URL 过滤记录。

    [NSSWG-1220]

  • URL 类别文件不包含 NetStar 数据库的最新更新。

    [NSSWG-1205]

平台

  • 在 Citrix ADC SDX 设备上,当满足以下条件时,您可能会观察到运行早于 13.0 build 58.x 的软件版本的 VPX 实例上的 Tx 停顿:

    • SDX 设备包含 10G、25G 或 40G 网卡。
    • SDX 设备正在运行 13.0 版本 58.x 或更高版本。

    Citrix 建议您在将 SDX 软件升级到 13.0-58.x 版本之前,将 VPX 实例上的软件版本升级到 13.0-58.x。

    [NSPLAT-14422]

  • 在某些 Citrix ADC 平台上,配置擦除脚本会失败。通过此修复,脚本的日期代码更新为 01/14/20,并且支持所有平台。

    [NSPLAT-13498]

  • 在 SDX 8200/8400/8600 平台上,如果 SDX 设备或在其上运行的 VPX 实例多次重新启动,SDX 设备将在 Citrix Hypervisor 控制台上挂起。当设备挂起时,会出现消息 “信息:检测到 rcu_sched 在 CPU/Tasks 上停止”。

    • 按下背面的 NMI 按钮重新启动 SDX 设备。
    • 在 LOM GUI 中,使用 NMI 重新启动设备。
    • 使用 LOM 重新启动 SDX 设备。

    [NSPLAT-9155]

  • 如果您更换启动 RAID 对插槽 1 和插槽 2 中的一个 SSD 驱动器,SDX 设备可能无法重建 RAID 对。

    [NSHELP-22470]

  • 在流量繁忙期间,Tx 可能会停止在包含 50G 接口的 Citrix ADC 平台上运行。

    [NSHELP-22221]

  • 在某些情况下,在包含英特尔 Coleto 芯片的 Citrix ADC SDX 设备上配置 VPX 实例可能会因为 SSL Coleto 芯片初始化失败而失败。

    [NSHELP-2203]

  • 当在没有任何管理接口(0/1、0/2)的 SDX 设备上配置多个 LA 通道时,如果通过 VPX CLI 禁用第一个 LA 通道,则可能无法访问 VPX 设备。

    [NSHELP-21889]

  • 在 ADC SDX 14000 和 15000 设备上,如果满足以下条件,则会观察到长达 9 秒的流量丢失:
    • 10G 端口使用 LA 通道连接到两台 Cisco 交换机,这两台交换机在 VPC 设置中配置为主动或被动
    • 指向 Cisco 主交换机或主交换机的链路反弹。

    [NSHELP-21875]

  • 在运行 13.0 版本的单包升级的 SDX 设备上,即使为不同的 VPX 实例分配了专用内核,CPU 也可能会重叠。

    [NSHELP-21729]

  • 在 Citrix ADC MPX 平台上,如果执行以下操作,则作为链路聚合组成员的 50G 端口将继续处于关闭状态:

    1. 50G 端口已禁用。
    2. 对等交换机上的端口已禁用。
    3. 对等交换机上的端口已启用。
    4. 50G 端口已启用。

    50G 端口即使在启用后也无法启动。因此,流量无法通过 50G 端口。

    [NSHELP-20529]

  • Citrix ADC 设备在内存不足时可能会崩溃。

    [NSHELP-20130]

策略

  • 如果在负载平衡虚拟服务器上配置 HTTP 标注,则负载平衡虚拟服务器的 “当前 Client Est 连接” 和 “当前客户端连接” 计数器显示的值不正确。

    [NSHELP-22491]

SSL

  • 在 Citrix ADC MPX 14000 FIPS 平台上,所有 SSL 虚拟服务器在非管理 CPU 上都显示为关闭。

    [NSSSL-8015]

  • 在某些情况下,Citrix ADC 设备在内存不足的情况下处理 DTLS 流量时可能会崩溃。

    [NSHELP-22611]

  • 如果在 VPN 虚拟服务器上同时启用系统日志记录和 DTLS,Citrix ADC 设备可能会在流量繁忙的情况下崩溃。

    [NSHELP-22195]

  • 如果在后端配置了动态 SNI 并且设备上没有正确的许可证,Citrix ADC 设备可能会崩溃。

    [NSHELP-22081]

  • 即使在重命名虚拟服务器之后,SSL 操作仍指向旧虚拟服务器。

    [NSHELP-21584]

  • 如果启用了默认 SSL 配置文件并且设备重新启动,则绑定到负载平衡监视器的 SSL 配置文件的信息将丢失。

    [NSHELP-21321]

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃:
    1. 使用相同的主机名配置了两个 OCSP 响应器。
    2. 两个响应者都绑定到相同的根证书密钥对。
    3. 第一响应者请求失败。
    4. 设备尝试将请求发送给第二个响应者,但主机名未解析。

    [NSHELP-21278]

  • 从 Citrix ADC 设备导出的错误密码导致 Citrix ADM 显示相同的错误密码信息。

    [NSHELP-21177]

  • 包含英特尔 Coleto 芯片的分区 Citrix ADC MPX 设备的内存分配存在差异。

    [NSHELP-20853]

系统

  • 检测到重复的 TCP 重新传输时,Citrix ADC 设备可能会崩溃。由于 TCP 拥塞控制算法中的除零操作,设备崩溃。

    [NSHELP-22693]

  • 如果在客户端连接过程中删除 AppFlow 配置,Citrix ADC 设备可能会崩溃。

    [NSHELP-22389]

  • 在集群设置中,如果观察到以下情况,Citrix ADC 设备可能会崩溃:
    • 连接从流处理器引导到流量接收器。
    • TCP 无序数据包在等待时间状态下处理。

    [NSHELP-21792]

  • 在以下情况下,Citrix ADC 设备可能会崩溃:
    • HTTP/2 客户端在启用缓存的情况下在下载过程中发送连接重置。
    • 后端服务器在 FIN 终止时关闭连接。

    [NSHELP-21605]

  • 绑定到内容交换虚拟服务器后面的 VPN 虚拟服务器的 AppFlow 策略不适用。

    [NSHELP-20816]

  • 在 MPTCP 群集部署中,群集节点之间的数据包循环会导致高带宽使用率。

    [NSHELP-20675]

  • 在集群设置中,如果启用了时间戳,则发送到服务器的某些请求可能会被删除。

    [NSHELP-20394]

  • 在集群设置中,如果启用了日志流,Citrix ADC 设备可能会重新启动。

    [NSHELP-2008]

  • 启用了连接链和SSL的 Citrix ADC 设备可能会发送更多 MTU 数据。

    [NSHELP-9411]

  • 如果 Citrix ADC 设备收到以下信息,则该设备会在 HTTP/1.1 客户端连接上发送错误的 HTTP/2 响应:
    • 来自后端服务器的 “100 继续” HTTP/2 响应。
    • 在同一 HTTP/2 流上有另一个 HTTP/2 响应。

    [NSBASE-10419]

  • 如果您使用 pitboss 监视指标收集器,Citrix ADC 设备可能会崩溃。

    [NSBASE-9743]

  • Citrix ADC 设备仅在第一个流上提供连接请求,如果在设备上观察到以下情况,则不会处理其他流上的后续请求:
    • 在不同流的单个 HTTP/2 连接中接收多个 HTTP 请求。
    • HTTP/2 在后端服务器上被禁用。

    [NSBASE-9510]

  • 由于 TCP 时间戳场景中的内存分配失败,Citrix ADC 设备可能会崩溃。因此,设备会重置客户端连接。

    [NSBASE-9297]

  • 即使你使用 “set ns config” 命令更改 NSIP 地址,“设置 appflow 参数” 命令中的 “observationPointID” 参数也不会改变。因此,数据不会传输到 Citrix ADM 服务器。

    [NSBASE-8622]

用户界面

  • 当系统用户尝试锁定或解锁设备时,Citrix ADC GUI 会显示一条错误消息,“用户不存在”。

    [NSUI-14999]

  • 如果绑定到虚拟服务器的服务是服务组的一部分,则 LB Visualizer 不会显示绑定到虚拟服务器的服务。但是,如果单独绑定该服务,则该服务将显示在 LB Visualizer 中。

    [NSHELP-22436]

  • 在 GUI 中修改除环形大小以外的参数(例如双工、速度、HamON)时,会出现以下错误消息:不允许在此 NIC 上更改
    振铃大小

    [NSHELP-21934]

  • 在群集设置中,由于不支持 VXLAN,您会看到以下问题:
    • 当您尝试创建 IPv6 邻居时,“创建 IPv6 邻居” GUI 页面显示以下错误消息:

    “集群中不支持操作”

    • 在 “创建 IPv6 路由” GUI 页面上,创建按钮没有响应。

    [NSHELP-19451]

  • 具有多个参数值的数据未正确存储在 Citrix ADC 配置数据库中。

    [NSHELP-18633]

已知问题

13.0-58.32 版本中存在的问题。

身份验证、授权和审核

  • Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

    [ NSHELP-563 ]

  • 在身份验证虚拟服务器上创建 IdP 会话期间,不支持对与第一身份验证因素关联的登录架构配置文件进行的任何配置。如果将登录架构配置文件配置为使用 SSO 功能的第一因素凭据,则不支持该配置。

    [NSAUTH-8712]

  • DualAuthPushOrOTP.xml LoginSchema 未正确显示在 Citrix ADC GUI 的登录架构编辑器屏幕中。

    [NSAUTH-6106]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
    “显示 adfsproxy 配置文件”

    解决方法:连接到集群中的主活动 Citrix ADC 并发出 “show adfsproxyprofile” 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

缓存

  • 如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

    [NSHELP-22942]

Citrix ADC SDX 设备

  • 如果在 SDX 中更改了使用池许可配置的 Citrix ADC SDX 设备的 IP 地址,则管理 SDX 设备的 Citrix ADM 将继续显示旧的 SDX IP 地址。

    [NSHELP-23490]

  • 将 Citrix ADC SDX 设备升级到 12.1 build 56.x 版本可能会由于进程间通信延迟而超时。

    [NSHELP-22644]

  • 在 Citrix ADC SDX 设备上,具有只读权限的用户可以使用文件传输实用程序(例如 SCP 或 SFTP)将文件传输到管理服务。

    [NSHELP-22638]

  • 尝试升级到 13.0-58.30 版本后,Citrix ADC SDX 用户界面可能无法访问。
    解决方法:

    1. 使用 “nsrecover” 凭据通过 SSH 连接到 SVM IP 地址。
    2. 在 shell 提示符处,键入 “svmd stop” 以停止所有 SVM 进程。
    3. 要验证所有 SVM 进程是否已停止,请键入 ps -ax | grep svm。要终止任何正在运行的 SVM 进程,请键入 kill -9
    4. 使用 vi 编辑器编辑文件 /var/mps/mps_featurelist.conf.bak。在文件末尾添加 “禁用MetricCollection” 并保存文件。
    5. 键入 “svmd start” 以重新启动 SVM 进程。升级仍在继续,大约 30 分钟后启动 SDX 用户界面。

    [NSHELP-23904]

Citrix Gateway

  • 当通过高级无客户端 VPN 访问这些应用程序时,使用 SharePoint 中链接的基于 Web 的办公应用程序编辑文档时可能会遇到问题。

    [NSHELP-23364]

  • 使用 Citrix Workspace 应用程序连接到 Citrix Gateway 时,如果会话策略绑定到 VPN 虚拟服务器,则会话建立可能会失败。

    解决方法:将会话策略绑定到用户或用户组。

    [NSHELP-23148]

  • 在极少数情况下,如果将 Citrix ADC 设备配置为 EDT,并且为 EDT 会话启用 HDX Insight,则该设备可能会变得无响应。

    [NSHELP-22640]

  • 在 Citrix Gateway 双跳高可用性设置中,ICA 连接可能会在 HA 故障转移后丢失。
    解决方法:将 FQDN 更改为下一跳服务器的 IP 地址。

    [NSHELP-22444]

  • 在 Citrix Gateway 高可用性设置中,如果配置了 syslog,则辅助节点可能会在故障转移期间崩溃。

    [NSHELP-22438]

  • Citrix Gateway 设备可能会因为某些命令未运行而崩溃。

    [NSHELP-22371]

  • 如果配置了系统日志策略,Citrix Gateway 设备可能会间歇性地崩溃。

    [NSHELP-2304]

  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [ NSHELP-21897 ]

  • 通过 TCP 配置 syslog 服务器时,会间歇性地将一些日志发送到 syslog 服务器。

    [NSHELP-21624]

  • 如果 Citrix ADC 设备配置为 nFactor 身份验证,则在 RADIUS 身份验证失败时,Citrix ADM 设备会错误地将失败的身份验证类型显示为 “LDAP”。

    [NSHELP-20440]

  • 当您将 Unified Gateway 环境升级到 13.0 build 58.x 或更高版本时,将在网关或 VPN 虚拟服务器之前配置的内容交换虚拟服务器中禁用 DTLS 旋钮。升级后,您必须在内容交换虚拟服务器中手动启用 DTLS 旋钮。如果使用向导进行配置,请不要启用 DTLS 旋钮。

    [CGOP-13972]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [CGOP-13584]

  • 如果用户使用 MAC 接收器以及 Citrix 虚拟应用程序和桌面(以前是 Citrix XenApp 和 XenDesktop)的 6.5 版,ICA 连接会导致 ICA 解析期间跳过解析。
    解决方法:将接收器升级到 Citrix Workspace 应用程序的最新版本。

    [CGOP-13532]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

    [CGOP-13511]

  • 在 Outlook Web App (OWA) 2013 中,单击 “设置” 菜单下的 “选项” 会显示 “严重错误” 对话框。此外,页面变得无响应。

    [CGOP-7269]

负载平衡

  • 在集群设置中,具有 VLAN 设置的 ACL 规则不会生效,从而导致数据包到达其他 ACL 规则。

    当您在群集设置中删除虚拟服务器导致群集节点未在引导的数据包上添加 VLAN 信息时,就会出现此问题。

    [NSHELP-2103]

  • 在高可用性 (HA) 设置中,当辅助节点重新启动时,在将会话镜像到辅助节点的过程中,主节点可能会崩溃。

    [NSHELP-21715]

  • 当客户端定期发送数据包但第一个数据包在设备中被阻塞时,Citrix ADC 设备可能会耗尽内存。结果,数据包排成队列,设备耗尽存储数据包的内存。

    [NSHELP-20871]

网络连接

  • 如果您在 Citrix ADC 实例的接口上在 TrunkAllowedVLAN 列表中配置超过 100 个 VLAN,可能会出现以下错误消息:
    错误:操作超时
    错误:与数据包引擎的通信错误

    [NSNET-4312]

  • 如果满足以下条件,Citrix ADC 设备可能会在对收到的 IPv6 请求数据包进行 NAT64 转换期间失败:

    目标 IPv6 地址(转换后的目标 IPv4 地址)的后 32 位大于 240.0.0.0(属于保留 IP 范围)。

    解决方法:添加 ACL 以拒绝此类数据包。

    [NSHELP-22742]

  • 如果观察到以下情况,Citrix ADC 设备可能会在部署期间崩溃:
    • 使用 MBF 和 PMTUD 启用了多路径 TCP (MPTCP)
    • 收到了 MPTCP 流量,响应会导致 ICMP 需要分段错误。

    [NSHELP-22418]

  • 在高可用性设置中,如果您从 Citrix ADC 软件版本 13.0 47.24 或更高版本执行服务内软件升级 (ISSU),则其中一个 Citrix ADC 设备可能会崩溃。

    [NSHELP-21701]

  • 在启用了 RetainConnectionsonCluster 选项的群集设置中,群集节点在接收到分段数据包后接收到非分段数据包时可能会崩溃。

    [NSHELP-21674]

  • 当 Citrix ADC 设备在删除命令中清理大量服务器连接时,Pitboss 进程可能会重新启动。这次 Pitboss 重启可能会导致 ADC 设备崩溃。

    [NSHELP-136]

策略

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法:将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

  • insert_after 类型的重写操作可能不适用于 HTTP 分块或 FIN 终止的响应。

    [NSHELP-22743]

SSL

  • 更新命令不适用于以下添加命令:
    • 添加天蓝色应用
    • 添加天蓝色密钥库
    • 使用 hsmkey 选项添加 ssl 证书密钥

    [NSSSL-6484]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
    错误:crl 刷新已禁用

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃:
    • 在启用到期监控选项的情况下添加了证书密钥对。
    • 证书日期早于 1970 年 1 月 1 日。

    [NSHELP-22934]

  • 如果将以下所有设置应用于 SSL 配置文件,Citrix ADC 设备可能会在简短(恢复)TLS 1.3 握手期间崩溃:

    • snihttphostMatch 设置为 CERT
    • TLSv1.3 已启用
    • 会话票证已启用。

    解决方法:将 snihttPhostMatch 设置为 “严格” 或 “否”。

    [NSHELP-22126]

  • 如果您执行以下操作,分区的 Citrix ADC 设备可能无法按预期响应:
    1) 在不同的分区中创建两个 OCSP 响应程序。
    2) 清除一个分区中的配置。
    3) 删除另一个分区中的 OCSP 响应程序。

    [NSHELP-20861]

  • 在集群设置中,群集 IP (CLIP) 地址上的运行配置显示绑定到实体的 DEFAULT_BACKEND 密码组,而节点上缺少该密码组。这是显示问题。

    [NSHELP-13466]

系统

  • 如果观察到以下情况,Citrix ADC 设备可能会崩溃:
    • 在绑定到 HTTP/SSL 类型的负载平衡虚拟服务器或服务的 HTTP 配置文件中启用 HTTP/2。
    • 在绑定到负载平衡虚拟服务器或服务的 HTTP 配置文件中禁用连接多路复用选项。

    [NSHELP-21202]

  • 对于 synflood 陷阱的生成,如果您不重置变量绑定值,则设备将使用旧的陷阱变量绑定值而不是当前值和阈值。

    [NSHELP-20653]

  • 在多路径 TCP (MPTCP) 中,si_cur_Clients 和 si_cur_clnt_connopenest 计数器递增两次。

    [NSHELP-19896]

用户界面

  • 创建/监控 CloudBridge Connector 向导可能会变得无响应或无法配置 cloudbridge 连接器。

    解决方法:使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,配置 cloudbridge 连接器。

    [NSUI-13024]

  • 在 “stat system” 命令的 “Up since(Local)” 行中仅显示年份的最后三位数。

    [NSHELP-22960]

  • 在 Citrix ADC GUI 的 Syslog 仪表板中使用滚动条时,页面要么快速滚动,要么显示空格。

    [NSHELP-21267]

  • 如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

    1. 将 Citrix ADC 设备升级到其中一个版本:

      • 13.0 52.24 Build
      • 12.1 57.18 Build
    2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    3. 将 Citrix ADC 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表:
    在命令提示符处,键入:

    query ns config -changedpassword [-config ]

    解决方法:

    要解决此问题,请使用以下独立选项之一:

    [NSCONFIG-3188]

Citrix ADC 13.0-58.32 版本的发行说明