ADC

Citrix ADC 13.0-61.48 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 Build 13.0-61.48 中存在的增强和更改、已修复和已知问题。

备注

新增功能

版本 13.0-61.48 中提供的增强和更改。

身份验证、授权和审核

  • Citrix Gateway 的速率限制

    Citrix Gateway 的速率限制功能使您可以定义 Citrix Gateway 设备上给定网络实体或虚拟实体的最大负载。由于 Citrix Gateway 设备会消耗所有未经身份验证的流量,因此该设备通常会以较高的速率接收处理请求。速率限制功能允许您配置 Citrix Gateway 设备以监视与实体关联的流量速率,并根据流量实时采取预防措施。

    [NSAUTH-7250]

Citrix Gateway

  • 其他语言支持

    Citrix Gateway 用户门户和适用于 Windows 的 Citrix Gateway 插件现已提供意大利语和葡萄牙语(巴西)语言版本。

    [CGOP-13689]

Citrix Web App Firewall

  • 增强对 Citrix ADC 机器人管理 的配置支持 Citrix ADC 机器人管理配置现已增强为基于 Citrix ADC CLI 的机器人管理配置,便于维护和支持。从旧版本升级设备后,必须先手动将现有机器人配置转换为基于 Citrix ADC CLI 的机器人配置

    [NSWAF-4980]

  • 支持 XML 外部实体 (XXE) 攻击防护

    Citrix ADC Web App Firewall 通过检查传入的负载在可信域之外是否有任何未经授权的 XML 输入实体来缓解 XML 外部实体 (XXE) 攻击,并在 HTTP 标头中的 “推断的” 内容类型与正文的内容类型不匹配时阻止请求。如果您的 XML 解析器较弱,该解析器使用包含对外部实体的引用的输入来解析 XML 负载,则可能会发生 XXE 攻击。

    以下是 Citrix ADC Web App Firewall 使用 XML 外部实体 (XXE) 攻击防护缓解的一些潜在威胁:

    • 机密数据泄露
    • 拒绝服务 (DOS) 攻击
    • 服务器端伪造请求
    • 端口扫描

    [NSWAF-4923]

  • 支持非默认内容类型请求的自定义签名模式。

    Citrix ADC Web App Firewall (WAF) 现在支持使用新位置来检查规范化内容。默认情况下,WAF 不会屏蔽非默认内容类型的编码有效负载。当这些内容类型被列入白名单且未应用任何配置的操作时,SQL 和跨站点脚本保护检查不会过滤编码负载中的 SQL 或跨站点脚本攻击。要解决此问题,您可以使用新位置 (HTTP_CANON_POST_BODY) 创建自定义签名规则,用于检查非默认内容类型的编码负载,如果存在 SQL 或跨站脚本攻击,则会在帖子正文规范化后阻止流量。

    [NSWAF-4576]

  • Cookie 劫持保护

    Cookie 劫持是一种安全攻击,攻击者劫持用户会话以获得对 Web 应用程序的未经授权的访问权限。当用户浏览网站(例如银行应用程序)时,该网站会与浏览器建立会话。Web 应用程序将为此会话分配会话 cookie,并在响应中发送此会话 cookie 以及其他用户属性 cookie。在会话期间,浏览器将这些 cookie 保存在 Cookie 文件中。攻击者可以从浏览器的 Cookie 存储区手动窃取这些 cookie,也可以通过某些 rouge 浏览器扩展程序窃取这些 cookie。然后,攻击者使用 cookie 来访问用户的 Web 应用程序会话。

    为了缓解 Cookie 劫持攻击,Citrix ADC Web App Firewall 会质疑来自客户端的 TLS 连接,还会执行 cookie 一致性验证。对于每个新的客户端请求,设备都会验证 TLS 连接并检查请求中应用程序和会话 Cookie 的一致性。如果攻击者试图混合搭配从受害者那里窃取的应用程序 cookie 或会话 cookie,cookie 一致性验证将失败,设备会应用相应的 cookie 劫持操作。

    [NSWAF-4311]

  • 每秒机器人交易 (TPS) 检测技术每秒 交易次数 (TPS) 是一种机器人检测技术,如果每秒请求数 (RPS) 和 RPS 的增加百分比超过配置的阈值,则将传入流量识别为机器人。 通过实施检测技术,您可以保护您的网络应用程序免受自动机器人的侵害。

    注意:只有在配置了两个参数并且两个值都超过阈值限制时,机器人技术才会将传入流量检测为机器人。

    [NSWAF-2961]

负载平衡

  • 在从缓存中提供服务之前,主动检查 DNS 记录的过期情况

    现在增加了在从缓存中提供服务之前检查 DNS 记录的过期支持。

    在缩小规模期间,当应用程序容器关闭时,编排平台会通过删除已停用的容器的 IP 地址来更新 DNS。如果以秒为单位配置 DNS 记录 TTL,则 DNS 记录可能无法在 TTL 到期后立即从 Citrix ADC 设备缓存中清除。在这种情况下,如果用户尝试通过缓存解析应用程序域,则会提供已停用的 IP 地址。IP 地址停用后,IP 地址可以变为无效或分配给环境中的其他资源。

    如果无法访问 IP 地址,则如果应用程序中未内置重试功能,则应用程序可能无法启动。如果应用程序内置了重试功能,则应用程序可以尝试 DNS 记录中的其他 IP 地址。这些操作增加了启动应用程序的延迟。

    为避免这些延迟,增加了在从缓存中提供服务之前检查 DNS 记录的过期时间的支持。

    [NSLB-6340]

  • 限制 Citrix ADC 设备提供的负面响应的速率

    现在,您可以为 Citrix ADC 设备从缓存中提供的负面响应设置阈值。设置阈值后,设备会从缓存中提供响应,直到达到阈值。达到阈值时,设备会丢弃请求,而不是使用 NXDOMAIN 响应进行响应。为负响应设置速率限制具有以下优点。

    • 保存 Citrix ADC 设备上的资源。
    • 防止对不存在的域名进行任何恶意查询。

    [NSLB-6339]

  • 在基于 DNS 的监视器中支持辖区检查

    基于 DNS 的监视器现在支持 Bailiwick check 来检测缓存中毒攻击。

    [NSLB-6334]

  • 支持更强的 DNS 密钥 算法 Citrix ADC 设备现在支持更强大的加密算法,例如 RSASHA256 和 RSASHA512,用于签署 DNS 区域。以前,仅支持 RSASHA1 算法。

    [NSLB-4947]

其他

  • 支持缓存代币

    通过此增强功能,可以缓存从端点获取的访问令牌以供后续请求使用。令牌缓存支持增强了 API 的性能。

    [NSAPISEC-479]

网络连接

  • 集群支持 VPX 公有云和 VPX Express 许可证

    集群现在在 VPX 公有云的标准版和 VPX Express 许可证中可用。

    [NSNET-14779]

平台

  • 支持 Citrix ADC VPX-Google Cloud 市场上的 1 Gbps 许可

    Google Cloud 市场上的 VPX 1000 型号现在支持以下许可证类型:

    • Citrix ADC VPX 标准版-1 Gbps
    • Citrix ADC VPX 高级版-1 Gbps
    • Citrix ADC VPX 高级版-1 Gbps

    [NSPLAT-15311]

SSL

  • 支持 Azure 密钥库中的完整域名在 “添加 azure 应用程序” 命令中添加 了一个新参数 VaultResource。在向应用程序授予访问令牌之前,此参数根据区域获取资源组的域。例如,域名可以是 vault.azure.net 或 vault.usgov.net。 此外,修改 “添加 azure KeyVaultName” 命令中的参数 “AzureVaultName”,使其包含完整的域名,而不仅仅是保管库名称。例如,用户现在必须输入 “example.vault.azure.net” 或 “example.vault.usgov.net”,而不仅仅是 “示例”。早些时候,用户只需要输入保管库名称,域名是由 ADC 设备添加的。

    [NSSSL-8189]

  • 在 Citrix ADC 平台的 SSL 握手中支持 扩展主密钥扩展主密钥是传输层安全 (TLS) 协议的可选扩展。为了支持 Citrix ADC 设备上的 EMS,添加了一个适用于前端和后端 SSL 配置文件的参数 “allowExtendedMasterSecret”。如果该参数已启用并且对等方支持 EMS,则 ADC 设备将使用 EMS 计算。如果对等方不支持 EMS,则即使在设备上启用了参数,EMS 计算也不会用于连接。有关 EMS 的更多信息,请参阅 RFC 7627。

    支持 EMS 的 ADC 平台:

    • 包含 Cavium N3 芯片或英特尔 Coleto Creek 加密卡的 MPX 和 SDX 平台。以下平台附带英特尔 Coleto 芯片:
    • MPX 5900
    • MPX/SDX 8900
    • MPX/SDX 26000
    • MPX/SDX 26000-50S
    • MPS/SDX 26000-100G
    • MPX/SDX 15000-50G 你可以使用 “show hardware” 命令来识别你的设备是 Coleto (COL) 还是 N3 芯片。
    • 没有加密卡的 MPX 和 SDX 平台(仅限软件)。
    • 纯软件平台:VPX、CPX 和 BLX。

    无法在以下平台上启用EMS:

    • FIPS 平台。
    • 包含 Cavium N2 (PX) 加密芯片的 MPX 和 SDX 平台。

    默认情况下,该参数在默认前端(ns_default_ssl_profrie_frontend)、默认后端(ns_default_ssl_profile_backend)和任何用户定义的 SSL 配置文件上处于禁用状态。但是,如果基础平台类型支持 EMS,则在安全前端(ns_default_ssl_profrie_scure_frontend)SSL 配置文件上默认启用它。

    如果启用了该参数,ADC 设备将尝试在 TLS 1.2、TLS 1.1 和 TLS 1.0 连接中使用 EMS。该设置不会影响 TLS 1.3 或 SSLv3 连接。

    [NSSSL-7518]

  • 支持使用 SSL 策略 在客户端 hello 消息中检测 APN 扩展 Citrix ADC 设备现在可以在解析客户端 hello 消息的 APN 扩展名以进行策略评估时识别客户端 hello 消息的 APN 扩展中的协议。在客户端 hello 消息的 APN 扩展中识别协议的规则是 “client.ssl.client_hello.alpn.has_nextprotocol”. 将 “转发” 类型的 SSL 操作与策略关联以将数据包转发到 SSL_TCP 类型的虚拟服务器。为了协商 APPN 扩展中的 SSL_TCP 虚拟服务器处理的连接的应用程序协议,在前端 SSL 配置文件中添加了一个参数 “AlpnProtocol”。该参数支持的值为 HTTP1.1、HTTP2 或 NONE(默认值)。如果在客户端 hello 消息的 ALPN 扩展中收到相同的协议,则仅协商 SSL 配置文件中指定的协议。 注意:“AlpnProtocol” 参数仅在前端 SSL 配置文件上支持,并且适用于 SSL_TCP 类型的虚拟服务器处理的 SSL 连接。用于策略评估的 APN 扩展支持的最大长度为 4096 字节。 将 APN 扩展中包含 HTTP2 协议的所有请求转发到 SSL_TCP 虚拟服务器 v1 的示例配置:

    • 添加 ssl 操作 forward_stcp_v1-forward v1
    • 添加 ssl 策略 pol1-rule “client.ssl.client_hello.alpn.has_nextprotocol (“h2”)”-action forward_stcp_v1
    • bind ssl vserver vMain-PolicyName pol1-priority 2-TYPRIORY 2-TYPL

    要在前端 SSL 配置文件中设置协议,请在命令提示符处键入:

    • 设置 ssl 配置文件 ns_default_ssl_profile_frontend-AlpnP HTTP2

    [NSHELP-21436]

系统

  • 对 HTTP/2 负载平衡配置的代理协议支持

    除了对 TCP 和 HTTP 流量的现有支持外,Citrix ADC 设备现在还支持 HTTP/2 负载平衡配置的代理协议。

    代理协议跨 Citrix ADC 设备安全地将客户端详细信息从客户端传输到服务器。设备会添加包含客户端详细信息的代理协议标头,然后将其转发到后端服务器。以下是 Citrix ADC 设备中代理协议的一些使用场景。

    • 学习原始客户端 IP 地址
    • 为网站选择语言
    • 将选定的 IP 地址列入黑名单
    • 记录和收集统计信息。

    有关代理协议的更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/13/system/proxy-protocol.html

    [NSBASE-10516]

用户界面

  • Citrix ADC 仪表板 GUI 上的 HTTP2

    Citrix ADC 仪表板 GUI 现在以表格和图形格式显示 HTTP2 协议的统计数据。

    [NSUI-15457]

  • 集群中的所需状态 API 支持

    Citrix ADC 集群部署现在支持用于更改服务组成员资格的所需状态 API。

    [NSCONFIG-1493]

  • 通过 SSH 为 Citrix ADC BLX 设备提供命令行界面

    Citrix ADC BLX 设备现在支持命令行界面 (CLI),用于运行 ADC CLI 命令以在设备上配置 ADC 功能。

    您可以从工作站通过安全外壳 (SSH) 远程访问 CLI。

    以下列表显示了可通过 SSH 使用 Citrix ADC CLI 的 IP 地址和端口:

    • 在共享模式下部署的 Citrix ADC BLX 设备: <Linux host IP address>:9022
    • 在专用模式下部署的 Citrix ADC BLX 设备: <Citrix ADC IP address (NSIP)>:22

    有关 Citrix ADC BLX CLI 的更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc-blx/13/configure-blx.html

    [NSCONFIG-1180]

已修复的问题

版本 13.0-61.48 中解决的问题。

身份验证、授权和审核

  • 当满足以下两个条件时,用户无法在 Citrix Workspace 应用程序 (CWA) 上添加新帐户:
    • Citrix ADC 设备已配置为 nFactor 流。
    • 该设备被配置为 SAML SP 或 OAuth RP。

    [NSHELP-23907]

  • 在某些情况下,自定义登录架构的身份验证失败。

    [NSHELP-22929]

  • 用于备用电子邮件 ID 注册 的 AltEmailRegister.xml 登录架构无法按预期运行。

    [NSHELP-22912]

  • 在集群设置中,Citrix ADC 设备在对用户进行身份验证时可能会在某些情况下崩溃。

    [NSHELP-22871]

  • Citrix ADC GUI 无法正确显示 AFDS 服务器登录页面内容。

    [NSHELP-22594]

  • 在集群设置中,如果运行 “设置身份验证 RadiusAction” 命令,Citrix ADC 设备会在发送到 RADIUS 服务器的访问请求中将网络访问服务器 (NAS) IP 地址指定为 0.0.0.0。

    [NSHELP-22580]

  • 在极少数情况下,将经典的预身份验证 EPA 策略与 nFactor 高级身份验证策略结合使用时,Citrix ADC 设备会转储内核。

    作为建议,Citrix 建议将 EPA 作为 nFactor 身份验证流程中的一个因素进行迁移。

    [NSHELP-22553]

  • 在极少数情况下,配置为负载平衡虚拟服务器的身份提供商 (IdP) 的 Citrix ADC 设备在成功进行身份验证后可能会崩溃。

    [NSHELP-22528]

  • 在某些情况下,由于执行基于表单的 SSO 身份验证时内存损坏,Citrix ADC 设备会转储内核。

    [NSHELP-22488]

  • 在极少数情况下,当在 samlidpProfile 命令中使用 metadataUrl 参数时,Citrix ADC 设备会在释放客户端连接的同时转储内核。

    [NSHELP-22440]

  • 在极少数情况下,配置了前端 NTLM 身份验证的虚拟服务器会导致 Citrix ADC 设备转储内核。

    [NSHELP-22372]

  • 如果满足以下条件,Citrix ADC 设备会转储内核。
    • 设备配置为基于表单的 SSO。
    • AppSecure 池的设备内存已耗尽。

    [NSHELP-22096]

  • 当使用特殊字符作为 “nsroot” 密码时,您无法通过 GUI 访问 Citrix ADC 管理控制台。

    [NSHELP-21630]

Citrix ADC SDX 设备

  • SDX 26000-100G 15000-50 G 设备可能需要更长的时间才能升级。因此,系统可能会显示消息 “管理服务在 1 小时 20 分钟后无法启动。请联系管理员。”

    [NSSVM-3018]

  • 尝试升级到 13.0-58.30 版本后,Citrix ADC SDX 用户界面可能无法访问。
    1. 使用 “nsrecover” 凭据通过 SSH 连接到 SVM IP 地址。
    2. 在 shell 提示符处,键入 “svmd stop” 以停止所有 SVM 进程。
    3. 要验证所有 SVM 进程是否都已停止,请键入 “ps-ax | grep svm”。要终止任何正在运行的 SVM 进程,请键入 kill -9 <process-id of the running process>
    4. 使用 vi 编辑器编辑文件 /var/mps/mps_featurelist.conf.bak。在文件末尾添加 “禁用MetricCollection” 并保存文件。
    5. 键入 “svmd start” 以重新启动 SVM 进程。升级仍在继续,大约 30 分钟后启动 SDX 用户界面。

    [NSHELP-23904]

  • 将 Citrix ADC SDX 设备升级到 12.1 build 56.x 版本后,可能无法访问 SDX GUI。

    [NSHELP-23637]

  • 更改描述和主机名等某些属性后,管理服务无法访问托管在 Citrix ADC SDX 15000-50G 或 SDX 26000 设备上的 VPX 实例。

    [NSHELP-23491]

  • 如果在 SDX 中更改了使用池许可配置的 Citrix ADC SDX 设备的 IP 地址,则管理 SDX 设备的 Citrix ADM 将继续显示旧的 SDX IP 地址。

    [NSHELP-23490]

  • 在以下情况下,您将收到一些类别的电子邮件通知:
    • Citrix ADC SDX 设备上的事件配置被抑制。
    • Citrix ADC SDX 设备上的事件配置已更新。

    [NSHELP-22701]

  • 将 Citrix ADC SDX 设备升级到 12.1 build 56.x 版本可能会由于进程间通信延迟而超时。

    [NSHELP-22644]

  • Citrix ADC SDX 管理服务的 NTP 服务响应 NTP 查询。但是,管理服务没有任何选项可以为 NTP 查询配置限制。

    [NSHELP-12246]

Citrix Gateway

  • 如果您在 VPN 插件上使用法语键盘,则使用 CTRL+ALT 输入的字符不起作用。

    [NSHELP-23556]

  • 如果您已使用高级策略配置 nFactor 身份验证并且启用了 Gateway Insight 功能,则不会向 Citrix Application Delivery Management 系统报告以下详细信息。
    • 设备类型
    • 浏览器类型
    • 操作系统
    • 设备详细信息

    [NSHELP-23549]

  • 在 Citrix Gateway 部署中,默认情况下会添加 DHCP 服务器路由。如果您的部署不需要 DHCP 服务器路由,请执行以下操作之一。

    在路径中将客户端注册表 nodhcProute 设置为 1:hkey_local_machineSoftwareCitrixSecure Access Client 从 Citrix ADC 设备创建一个名为 PluginCustomization.json 的新文件,其值 "NoDHCPRoute":true 位于文件夹 /netscaler/ns_gui/vpn/var/netscaler/gui/vpn

    [NSHELP-23029]

  • 如果内联网 IP 的注册时间超过 15 秒,则注销 VPN 后不会取消内联网 IP 注册。

    [NSHELP-23021]

  • 如果代理服务器的 URL 长度大于 32 字节,则暴露的 VPN 插件的 API 会崩溃。

    [NSHELP-22977]

  • 使用 nFactor 配置 rfwebUI 主题时,传输登录不适用于互联网资源管理器和 Windows 插件。

    [NSHELP-22927]

  • 在本地计算机上配置手动代理时,在建立服务隧道后无法自动建立用户隧道。

    [NSHELP-22831]

  • 当你重新启动客户端 Windows 10 计算机或打开其电源时,即使配置了 nFactor 身份验证,Always On VPN 插件 13.0 也会退回到经典身份验证。

    [NSHELP-22795]

  • 将 Citrix Gateway 设备从 12.0 版本 59.8 升级到 13.0 版本 47.24 版本后重新启动客户端计算机时,Always On 无法建立无缝 VPN 连接。

    [NSHELP-22700]

  • 基于 Internet Explorer 的 Web 浏览器在 X1 和 RFWebUI 主题的下拉列表中不显示箭头。

    [NSHELP-22623]

  • 如果您在客户端计算机上配置代理并且代理不适用于 VPN FQDN,Windows 的登录屏幕可能会显示不正确的字段。

    [NSHELP-22618]

  • 将 Citrix Gateway 设备升级到 13.0.47.24 版本后,从 VMware Horizon Client 版本 5.2 及更高版本登录 Citrix Gateway 失败。

    [NSHELP-22541]

  • 在多核处理器设置中,如果满足以下两个条件,Citrix Gateway 设备会崩溃:
    • Gateway Insight 功能已启用。
    • 在非所有者核心上收到请求。

    [NSHELP-22524]

  • 在极少数情况下,如果启用 DTLS,Citrix Gateway 设备可能会崩溃。

    [NSHELP-22520]

  • Citrix VPN 插件不处理 IPv6 DNS 数据包。

    [NSHELP-22446]

  • 如果在服务器和客户端上启用 HTTP 2.0,Always On 服务将无法建立计算机隧道。

    [NSHELP-22423]

  • 在启用了 AlwaysOn 功能的 Citrix Gateway 设置中,AlwaysOn 在重新启动客户端后无法建立无缝 VPN 连接。

    [NSHELP-22420]

  • 在某些情况下,Citrix ADC 设备会崩溃,因为内核收到要发送给客户端的数据包但是 IIP 信息尚不可用。在 NSHELP-21522 中,我们在 ns_iip6.c 中进行了修复,这是 ns_iip.c 中的添加修复

    [NSHELP-22411]

  • 如果 ICA 文件长度大于 2,048 个字符并且启用了 Gateway Insight,Citrix Gateway 设备就会崩溃。

    [NSHELP-22387]

  • 在极少数情况下,如果之前未正确使用和释放已配置的内网 IP 地址,Citrix Gateway 设备可能会崩溃。

    [NSHELP-22349]

  • 采用 “keep-alive” UDP 服务器启动的连接机制的软电话可能会间歇性地断开呼叫。

    [NSHELP-2231]

  • 如果您下载大文件(大约 3 GB),Linux VPN 客户端可能会崩溃。

    [NSHELP-22032]

  • 在 ICA 代理设置为关闭的情况下通过 Citrix Gateway 登录 StoreFront 时,StoreFront 上的 “类别” 图标不会出现。

    [NSHELP-21797]

  • 通过 TCP 配置 syslog 服务器时,会间歇性地将一些日志发送到 syslog 服务器。

    [NSHELP-21624]

  • Citrix Gateway 设备在释放之前释放的 SSL VPN 会话时崩溃。

    [NSHELP-21073]

Citrix Web App Firewall

  • 如果签名规则 ID 大于 2,147,483,647 或小于零,则该值将被截断。

    [NSWAF-126]

  • 如果传入请求在 Web App Firewall 配置文件中启用了许多表单字段和字段一致性保护,Citrix ADC 设备可能会崩溃。

    [NSHELP-21856]

  • 如果启用了响应正文签名规则,Citrix ADC 设备可能会删除响应正文。

    [NSHELP-20872]

  • 如果内存使用率高且由于应用程序故障而未释放内存值,Citrix ADC 设备可能会崩溃。

    [NSHELP-18863]

负载平衡

  • 当出现以下所有情况时,Citrix ADC 设备会对发往特定负载平衡虚拟服务器的所有流量进行负载平衡,流向同一后端服务器:

    • 负载平衡虚拟服务器使用基于哈希的 LB 方法进行配置。
    • 具有自动扩展模式 DNS 的服务组绑定到负载平衡虚拟服务器。

    解决方法:使用 Round Robin LB 方法配置负载平衡虚拟服务器。

    [NSHELP-21952]

其他

  • 如果将机器人管理 TPS 检测技术配置为 “缓解” 操作,则服务可能会在运行时中断。

    [NSBOT-124]

  • 在升级期间,如果机器人签名文件包含长字符串,Citrix ADC 设备可能会崩溃。

    [NSBOT-37]

网络连接

  • 拒绝 ACL6 规则可能会丢弃已建立会话的 IPv6 流量。

    [NSNET-11409]

  • 如果 Citrix ADC 设备中的 BGP 模块访问空接口相关信息,它可能会崩溃。

    [NSHELP-22258]

  • 在启用了 RetainConnectionsonCluster 选项的群集设置中,群集节点在接收到分段数据包后接收到非分段数据包时可能会崩溃。

    [NSHELP-21674]

  • 在集群设置中,Citrix ADC 设备在收到来自服务器的节点到节点引导的 ICMP 错误消息时可能会崩溃。之所以发生崩溃,是因为收到的数据包不包含接口相关信息。

    [NSHELP-18401]

平台

  • 在 Citrix ADC SDX 26000-100G 平台上,重新启动设备后接口可能无法启动。

    [NSPLAT-11985]

  • 在 Citrix ADC SDX 15000-50G 平台上,多次收集 Citrix Hypervisor 支持包时,NIC 转储中的某些文件可能无法从 /tmp 目录中清除。这些文件可能会中断设备的成功重启。

    [NSHELP-22903]

  • 在 SDX 仪表板的 CPU 可视化工具中,如果将 CPU 0 的核心分配给该实例,则 VPX 实例的 CPU 使用率显示 0。

    [NSHELP-22869]

  • 执行出厂重置后,Citrix ADC SDX 8900 设备显示缺少 NIC 接口。升级到以下版本之一:
    • 版本 12.1-56.x 或更高版本
    • 版本 13.0-61.x 或更高版本

    [NSHELP-22715]

  • 如果满足以下条件,则与 VPX 实例的连接将失败:
    • 实例配置时没有管理接口。
    • 只有 LACP 端口通道被配置为数据接口。
    • LACP 频道的第一个成员丢失或禁用。 例如,如果接口 50/1 和 50/2 是通道的成员,接口 50/1 为 DOWN,50/2 为 UP,则与实例的连接就会中断。但是,如果接口 50/1 处于开启状态,50/2 处于关闭状态,则 VPX 连接可用。 这个问题是 Mellanox NIC 所特有的。

    [NSHELP-22424]

  • 默认情况下,高可用性监视器 (HAMON) 在内部接口上处于启用状态,如果配置了内部接口,则无法在 SDX 设备上禁用。上述设置对功能没有影响。

    [NSHELP-21803]

  • Citrix ADC MPX 平台上的 SNMP 模块可能会为某些系统属性返回错误的值。

    [NSHELP-19621]

策略

  • insert_after 类型的重写操作可能不适用于 HTTP 分块或 FIN 终止的响应。

    [NSHELP-22743]

SSL

  • 如果将以下所有设置应用于 SSL 配置文件,Citrix ADC 设备可能会在简短(恢复)TLS 1.3 握手期间崩溃:

    • snihttphostMatch 设置为 CERT
    • TLSv1.3 已启用
    • 会话票证已启用。

    [NSHELP-22126]

  • 当 Citrix ADC 设备配置为使用巨型帧时,SSL 记录解密可能会间歇性失败。

    [NSHELP-21969]

  • 当 Citrix ADC 设备配置为使用 SSL 会话票证并启用客户端身份验证时,当客户端发送大型客户端证书时,设备可能会崩溃。例如,包含 4096 位密钥的 RSA 证书。

    [NSHELP-21662]

  • 如果配置了 OCSP 装订且设备内存不足,Citrix ADC 设备可能会崩溃并转储内核。

    [NSHELP-21661]

  • 在 OCSP 响应的 “SingleResponse” 字段中收到空扩展名时,OCSP 签名验证失败。

    [NSHELP-20997]

系统

  • Citrix ADC 设备可能会错误地发送 RST_STREAM 帧以获取成功完成的 HTTP/2 连接的事务流。

    [NSHELP-22969]

  • 如果满足以下条件,Citrix ADC 设备可能会重新启动:

    • 时间序列配置文件在数组上循环读取。

    • 循环使用了错误的参数。

    [NSHELP-22828]

  • 如果观察到以下情况,Citrix ADC 设备可能会崩溃:
    • 闪存缓存已启用。
    • 客户端连接已重置。
    • 队列中的客户端请求作为缓存过程的一部分提供服务。

    [NSHELP-21872]

  • 在非端点情况下,如果连接上多次进行sack续订,Citrix ADC 设备可能会重置 TCP 连接”

    [NSHELP-21405]

用户界面

  • 在主节点上创建的 FIPS 密钥无法使用 Citrix ADC GUI 中的 “启用 SIM” 选项同步到辅助节点。

    [NSUI-16016]

  • 以前,“操作” 字段将任务和重写操作一起列出,但是 “添加/编辑” 功能仅用于重写操作,不适用于任务。现在,我们删除了添加/编辑选项,并提供了 “配置任务”、“配置重写操作” 作为超链接来单独配置它们。

    [NSHELP-23095]

  • 即使在保存配置之后,保存的 v/s 运行配置实用程序也可能会显示 “bind ServiceGroup” 命令的差异。

    [NSHELP-22459]

  • 带有 “-k” 选项的 “nsconfig” 命令无法使用当前 Citrix ADC 配置创建备份文件。

    [NSHELP-22179]

  • 在高可用性设置中,同步问题可能会将辅助节点的许可证文件替换为主节点的许可证文件。

    主节点许可证文件的存在导致辅助节点上此文件的主机 ID 不匹配。由于主机 ID 不匹配,当辅助节点在故障转移后接管主节点时,所有 Citrix ADC 功能都将被禁用。

    [NSHELP-21871]

  • 如果 /tmp 目录已满,Citrix ADC 设备可能会崩溃。

    [NSHELP-21809]

  • 如果你在 diffnsconfig 命令中使用-outfilename 参数,Citrix ADC 设备就会变得不稳定。因此,diffnsconfig 的输出很大,无法完全填满根磁盘。

    [NSHELP-19345]

  • 在集群设置中,证书密钥对可能会稍有延迟地同步到非 CCO 节点。因此,证书密钥对可能已添加到 CCO 节点,但在非 CCO 节点上失败且没有错误消息。

    [NSHELP-12037]

已知问题

13.0-61.48 版本中存在的问题。

身份验证、授权和审核

  • 在某些情况下,尝试单点登录时,Citrix ADC 设备会变得无响应。

    [NSHELP-23632]

  • 在极少数情况下,如果出现 DUP-FREE(尝试释放已经空闲的资源)情况,Citrix ADC 设备会在处理身份验证请求时崩溃。

    [NSHELP-23565]

  • Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

    [ NSHELP-563 ]

  • DualAuthPushOrOTP.xml LoginSchema 未正确显示在 Citrix ADC GUI 的登录架构编辑器屏幕中。

    [NSAUTH-6106]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。 show adfsproxyprofile <profile name>

    解决方法:连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

缓存

  • 如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

    [NSHELP-22942]

  • 如果观察到以下情况,Citrix ADC 设备可能会随机崩溃:

    • 集成缓存功能已启用。
    • 为集成缓存分配 100 GB 或更多内存。

    解决方法:分配少于 100 GB 的内存。

    [NSHELP-20854]

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 8900、SDX 15000 和 SDX 15000-50G 平台上,将 SDX 设备从版本 11.1 升级到版本 12.1 或从版本 11.1 升级到 13.0 版本后,可以注意到 ADC 实例上的 CPU 使用率很高。

    [NSHELP-24031]

  • 您不能在 Citrix ADC SDX 设备上配置的 SNMP 管理器和陷阱目标的社区字符串中包含哈希 (%23)。

    [NSHELP-23989]

  • 如果在旧版本的 11.1 版本上配置 VPX 实例,则如果满足以下条件,则使用 SDX CLI 对 VPX 实例的更新操作将失败:
    • 选择了 “Shell/sftp/SCP Access” 选项。
    • 未选择 “添加实例管理” 选项。 这些选项在 “实例管理” 下可用。“

    [NSHELP-23683]

  • 在某些情况下,重新启动 Citrix ADC SDX 设备后,管理服务无法正确读取许可证。

    [NSHELP-23619]

Citrix Gateway

  • 如果在建立 EDT 连接时运行 “kill icaconnection” 命令,Citrix Gateway 设备可能会在 EDT 代理部署中关闭。

    [NSHELP-23882]

  • 当通过高级无客户端 VPN 访问这些应用程序时,使用 SharePoint 中链接的基于 Web 的办公应用程序编辑文档时可能会遇到问题。

    [NSHELP-23364]

  • 如果 VDA FQDN 解析失败,Citrix Gateway 设备可能会在启动应用程序时崩溃。 [NSHELP-22454]
  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [ NSHELP-21897 ]

  • 当你通过无客户端 VPN SharePoint 访问微软 Excel 时,你无法编辑 Excel 文件。

    解决方法:运行以下 CLI 命令:

    添加重写策略 ns_cvpn_v2_req_body_decode_pol “http.req.header (“内容长度”) .exists & http.req.header (“内容长度”) .exist.req.header (“内容长度”) .exists (“HTTP.REQ.HEADER”) .exist & (HTTP.REQ.HEADER (“内容长度”) 类型”) .CONTAINS (“text/”) || (HTTP.REQ.HEADER (“内容类型”) .CONTAINS (“应用程序/”) && HTTP.REQ.HEADER (“内容类型”) .CONTAINS_ANY (“ns_cvpn_v2_application_content_type_end”))” ns_cvpn_v2_req_body_decode_act 绑定重写政策标签 ns_cvpn_v2_req_rw_label ns_cvpn_v2_req_body_decode_pol 27001

    [CGOP-15123]

  • 当您将 Unified Gateway 环境升级到 13.0 build 58.x 或更高版本时,将在网关或 VPN 虚拟服务器之前配置的内容交换虚拟服务器中禁用 DTLS 旋钮。升级后,您必须在内容交换虚拟服务器中手动启用 DTLS 旋钮。如果使用向导进行配置,请不要启用 DTLS 旋钮。

    [CGOP-13972]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [CGOP-13584]

  • 如果用户使用 MAC 接收器以及 Citrix 虚拟应用程序和桌面(以前是 Citrix XenApp 和 XenDesktop)的 6.5 版,ICA 连接会导致 ICA 解析期间跳过解析。 解决方法:将接收器升级到 Citrix Workspace 应用程序的最新版本。

    [CGOP-13532]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

    [CGOP-13511]

  • 在 Outlook Web App (OWA) 2013 中,单击 “设置” 菜单下的 “选项” 会显示 “严重错误” 对话框。此外,页面变得无响应。

    [CGOP-7269]

Citrix Web App Firewall

  • 在 Web App Firewall XML 验证检查期间,Citrix ADC 设备可能会崩溃。

    [NSHELP-23562]

负载平衡

  • 在 GSLB 实时同步期间,连续批处理 GSLB 配置命令可能会导致命令以错误的顺序推送到从属站点。

    [NSHELP-23934]

  • 如果从主站点到从属站点的配置同步失败,SNMP 警报的生成可能会延迟。

    [NHELP-23391]

  • 将 Citrix ADC 设备升级到 12.0 build 63.13 版本时,您可能会看到负载平衡持久性组的一些重复配置条目。例如,“show running config” 命令可能会多次显示 “添加 lb group” 命令。这只是显示问题,不会影响功能。但是,“show running config” 命令的执行时间可能比平时稍长一些。

    [NSHELP-23050]

  • 流标识符的统计数据不显示任何图表。

    [NSHELP-22753]

  • 在与流标识符相关的一系列操作后截断整数值时,Citrix ADC 设备很少会崩溃。

    [NSHELP-22489]

其他

  • 如果在流量流入设备时禁用机器人设备指纹技术,Citrix ADC 设备可能会崩溃。 解决方法:在禁用设备指纹技术之前,取消绑定机器人配置文件。

    [NSBOT-156]

网络连接

  • 如果您在 Citrix ADC 实例的接口上在 TrunkAllowedVLAN 列表中配置超过 100 个 VLAN,可能会出现以下错误消息: 错误:操作超时 错误:与数据包引擎的通信错误

    [NSNET-4312]

  • 观察到以下与 Citrix ADC 设备中的 BGP 社区字符串有关的问题:

    • 当设备收到 BGP 社区字符串 x: 65535 时,BGP 会话将断开连接。

    • 未启用 <bgp extended asn> 功能时,BGP 守护程序无法按所需方式处理 AS4_PATH 属性和某些社区字符串的组合。这种不当的处理会导致 BGP 守护程序崩溃。

    [NSHELP-24119]

  • 对于非默认 HTTPS 端口上的内部 SSL 服务,重新启动设备后,SSL 证书绑定可能会恢复为默认设置。

    [NSHELP-24034]

  • 在 INC 模式下设置的高可用性中,BFD 会话在故障转移后丢失。

    [NSHELP-23648]

  • 多次硬重启 Citrix ADC 设备后,BFD 设置可能不适用于 Citrix ADC 设备。

    [NSHELP-23471]

  • 如果观察到以下情况,Citrix ADC 设备可能会在部署期间崩溃:
    • 使用 MBF 和 PMTUD 启用了多路径 TCP (MPTCP)
    • 收到了 MPTCP 流量,响应会导致 ICMP 需要分段错误。

    [NSHELP-22418]

  • 在高可用性设置中,如果您从 Citrix ADC 软件版本 13.0 47.24 或更高版本执行服务内软件升级 (ISSU),则其中一个 Citrix ADC 设备可能会崩溃。

    [NSHELP-21701]

  • 将带有 jumbo MTU 的从属接口添加到用作背板的链路聚合通道时,会错误地显示以下警告消息:

    “背板接口的 MTU 必须足够大,以处理所有数据包。它必须等于(MTU 值)。如果推荐值不可配置,请查看 jumbo 接口的 MTU。“

    这只是一个显示问题,对功能没有影响。

    [NSHELP-20794]

平台

  • 如果 Citrix ADC 实例使用基于 ADM 的许可,则当 ADM 版本低于 ADC 版本时,Citrix ADC 许可可能不起作用。因此,在升级 ADC 版本时,请确保相应的 ADM 版本等于或高于当前 ADC 版本。

    [NSPLAT-15184]

  • 如果 Citrix Hypervisor 版本为 6.1,则将 Citrix ADC SDX 设备升级到软件版本 12.1 可能会失败。

    [NSHELP-24036]

  • 如果 Citrix ADC 设备在 HTTP (S) 上的管理活动中处于闲置状态超过六天,则对 Citrix ADC 设备的 NITRO API 请求或 GUI 访问将失败。

    解决方法:重新启动 HTTPD 进程。在 Citrix ADC 命令行界面中运行以下命令:

    • 添加 ServiceGroup mgmt_http_svc HTTP-maxClient 0-maxReq 0-cip 禁用-useproxyport 是的-cltTimeout 180-svrTiemout 360-CKA NO-TCPB 不-CMP 是的

    • 绑定 ServiceGroup mgmt_http_svc 127.0.0.1 80

    [NSHELP-22849]

策略

  • 在评估 HTML 页面中的大量嵌入式表达式时,Citrix ADC 可能会崩溃。

    [NSPOLICY-1462]

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法:将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

  • 如果您在策略表达式中配置 MATCHES_LOCATION () 函数并使用过滤器表达式启动 nstrace,Citrix ADC 设备可能会崩溃。

    [NSHELP-22687]

SSL

  • 更新命令不适用于以下添加命令:
    • 添加天蓝色应用
    • 添加天蓝色密钥库
    • 使用 hsmkey 选项添加 ssl 证书密钥

    [NSSSL-6484]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。 错误:crl 刷新已禁用

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

  • 在极少数情况下,如果满足以下条件,Citrix ADC 设备会崩溃:
    • SSL 虚拟服务器接收 Client Hello 消息,其中 SSL 记录标头分为两个或多个 TCP 数据包。
    • 在客户端 hello 上绑定并指定了转发操作的策略返回 true。
    • 完成客户端 Hello 消息记录标头的数据包的 TCP 校验和包含 0xxx 0x16 模式。

    [NSHELP-23754]

  • 在集群设置中,群集 IP (CLIP) 地址上的运行配置显示绑定到实体的 DEFAULT_BACKEND 密码组,而节点上缺少该密码组。这是显示问题。

    [NSHELP-13466]

系统

  • 对于集群设置中的非 CCO 节点,当您对字符串对象运行 snmpwalk 命令时,可能会看到输出不一致。对于 CLIP 上的 snmpwalk,输出会在末尾附加一个点。而对于 NSIP 上的 snmpwalk,输出不在末尾附加一个点。

    [NSHELP-22684]

  • 如果观察到以下情况,Citrix ADC 设备可能会崩溃:
    • 在绑定到 HTTP/SSL 类型的负载平衡虚拟服务器或服务的 HTTP 配置文件中启用 HTTP/2。
    • 在绑定到负载平衡虚拟服务器或服务的 HTTP 配置文件中禁用连接多路复用选项。

    [NSHELP-21202]

  • 如果聚合器进程变得不稳定,Citrix ADC MPX 26000-100G 设备可能会变得无响应。

    [NSBASE-11747]

用户界面

  • 创建/监控 CloudBridge Connector 向导可能会变得无响应或无法配置 cloudbridge 连接器。

    解决方法:使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,配置 cloudbridge 连接器。

    [NSUI-13024]

  • 在 GUI 中选中 “直播会话”(AppExpert > Action Analytics > Stream ID)时,刷新按钮不起作用。

    [NSHELP-24195]

  • Citrix ADC GUI 不以图形格式显示所选流标识符的 “Top CLIENT.UDP.DNS.DOMAIN” 统计数据。

    [NSHELP-23777]

  • 执行 “saveconfig-all” 命令后,管理分区上次保存的时间未准确更新。

    [NSHELP-23740]

  • 在 Citrix ADC GUI 中,Web App Firewall 配置文件页面没有下一个或上一个导航选项,无法在列表窗格中查看 25 个以上的配置文件。

    导航:安全->Citrix Web 应用程序防火墙->配置文件

    [NSHELP-22622]

  • 在 Citrix ADC MPX 设备上,要将池容量许可证转换为永久许可证,必须先删除池化许可配置,然后删除池容量许可证。

    [NSCONFIG-4167]

  • 如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

    1. 将 Citrix ADC 设备升级到其中一个版本:
      • 13.0 52.24 Build
      • 12.1 57.18 Build
      • 11.1 65.10 Build
    2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    3. 将 Citrix ADC 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表: 在命令提示符下键入:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    解决方法:

    要解决此问题,请使用以下独立选项之一:

    • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
    • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
    • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

    欲了解更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Citrix ADC 13.0-61.48 版本的发行说明