ADC

Citrix ADC 13.0—64.35 版本的发行说明

本发行说明文档描述了 Citrix ADC 版本 Build 13.0—64.35 中存在的增强和更改、已修复和已知问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
  • 版本 13.0—64.35 及更高版本可解决中描述的安全漏洞。 https://support.citrix.com/article/CTX281474

新增功能

版本 13.0—64.35 中提供的增强和更改。

身份验证、授权和审核

  • 增加 SAML 属性的单个最大长度值

    SAML 属性的单个最大长度已增加到允许的最大长度为 40k 字节。所有属性的大小不得超过 40k 字节。欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/aaa-tm/saml-authentication/citrix-adc-saml-sp.html

    [NSAUTH-8225]

  • 增加属性的最大长度值

    以下属性的最大长度值已更改如下。

    • set samlaction <saml-action-name> -samlissuerName - 511 (new max length)
    • set samlidPProfile <saml-idp-profile-name> -samlissuerName - 511 (new max length)
    • set samlidPProfile <saml-idp-profile-name> -serviceProviderID - 511 (new max length)
    • set tm samlSSOProfile <saml-sso-profile-name> -samlissuerName - 511 (new max length)
    • set vpn samlSSOProfile <saml-sso-profile-name> -samlissuerName - 511 (new max length)
    • set oauthaction <oauth-action-name> -clientSecret - 239 (new max length)
    • set oauthaction <oauthidp_profile-name> -clientSecret - 239 (new max length)

    [NSAUTH-8180]

  • 支持全局禁用弱的基本、摘要和 NTLM 身份验证

    现在,通过全局禁用以下弱身份验证方法,SSO 配置变得更加安全。

    • 基本认证
    • 摘要访问身份验证
    • 未设置“协商 NTLM2 密钥”或“协商签名”的 NTLM

    欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/aaa-tm/enable-sso-for-auth-pol.html

    [NSAUTH-7747]

  • 能够在 nFactor 可视化工具中使用决策块启动 nFactor 流

    使用 nFactor 可视化工具,您现在可以使用决策块启动 nFactor 流程。欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/aaa-tm/multi-factor-nfactor-authentication/nfactor-authentication-simplification.html

    [NSAUTH-7665]

  • 在 OAuth 令牌 API 中支持 client_assertion_type 和 client_asserti

    OAuth 功能现在支持令牌 API 中来自信赖方 (RP) 端以及 Citrix Gateway 和 Citrix ADC 的 IdP 端的以下功能。

    • PKCE(代码交换的证明密钥)支持
    • 支持 client_assertion

    欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/aaa-tm/oauth-authentication/citrix-adc-oauth-sp.html

    [NSAUTH-6243]

Citrix ADC SDX 设备

  • 无需初始化即可自动升级内置代理

    从 Citrix ADC 版本 ADC 13.0 build 61.xx 及更高版本开始,Citrix ADC SDX 设备具有具有 ADM Service Connect 功能的内置代理。ADC SDX 设备上可用的 Citrix ADM 内置代理像活动守护程序一样启动,并与 ADM 服务通信。与ADM服务建立通信后,内置代理会定期自动升级到最新软件版本。

    [NSSVM-3919]

  • Citrix ADM 服务连接功能可启用自动登录 Citrix ADM 服务

    Citrix Application Delivery Management (ADM) 服务连接功能允许将 Citrix ADC SDX 设备无缝接入 Citrix ADM 服务。此功能允许 ADC SDX 设备自动连接 ADM 服务,并将系统、使用情况和遥测数据发送到 ADM 服务。使用这些数据,您可以在 Citrix ADM 服务上获得有关 Citrix ADC 基础设施的见解和建议。

    默认情况下,安装或升级 Citrix ADC SDX 设备时,Citrix ADM 服务连接功能处于启用状态。

    有关详细信息,请参阅以下主题:

    注意:ADM 服务连接功能现已在 Citrix ADC 实例和 Citrix Gateway 设备上可用,但是,Citrix ADM 服务上的相应功能尚不可用。当 ADM 服务中出现相应功能时,Citrix 会更新本说明,以便您可以充分利用此功能的好处。

    [NSSVM-3911]

Citrix Web App Firewall

负载平衡

  • 增加了显示器名称的字符长度

    监视器名称中的字符数现在最多增加到 255 个字符。

    [NSLB-5223]

网络连接

  • Citrix ADC BLX 设备中接口编号方案的更改

    对 Citrix ADC BLX 设备的接口编号方案进行了修改,使其与其他 Citrix ADC 平台保持一致。Citrix 建议您更新任何依赖于接口编号的脚本。

    早些时候,两个内部接口都被编号为第一个和最后一个接口。所有专用接口(在非 DPDK 或 DPDK 模式下的 Citrix ADC 设备中)都在第一个和最后一个内部接口之间编号。

    示例 1:处于非 DPDK 模式的 Citrix ADC BLX 设备具有两个专用接口:

    • 内部 BLX 接口的编号为 0/1 和 0/4。
    • 专用接口的编号为 0/2 和 0/3。

    示例 2:处于 DPDK 模式的 Citrix ADC BLX 设备具有一个 DPDK 接口:

    • 内部 BLX 接口的编号为 0/1 和 0/3。
    • DPDK 接口的编号为 0/2。

    从本版本起,Citrix ADC 设备中的接口按以下顺序编号:

    • 两个内部接口都被编号为第一个和第二个接口。
    • 专用接口。
    • DPDK 接口(在 DPDK 模式下的 Citrix ADC 设备中)。

    示例 1:处于非 DPDK 模式的 Citrix ADC BLX 设备具有两个专用接口:

    • 内部 BLX 接口的编号为 0/1 和 0/2。
    • 专用接口的编号为 0/3 和 0/4。

    示例 2:处于 DPDK 模式的 Citrix ADC BLX 设备,具有一个 DPDK 接口 (40G) 和一个非 DPDK 专用接口:

    • 内部 BLX 接口的编号为 0/1 和 0/2。
    • 非 DPDK 专用接口的编号为 0/3。
    • DPDK 接口 (40G) 的编号为 40/1。

    [NSNET-17067]

  • Citrix ADC CPX 上对根用户的非默认密码支持

    Citrix ADC CPX 现在支持根用户 (nsroot) 的非默认密码。部署 CPX 时,会生成一个随机密码并为根用户分配。您也可以手动对其进行更改。

    [NSNET-10520]

  • Citrix ADC BLX 设备的订阅本地许可证支持

    本地许可证与永久许可证类似,但它们有过期日期。构成本地许可证的软件订阅是基于期限的,无需将 ADM 作为许可服务器即可安装。

    以下类型的订阅本地许可证可用于 Citrix ADC BLX 设备:

    基于带宽的订阅本地许可证。强制使用特定 Citrix ADC BLX 设备有权获得的最大允许吞吐量来强制执行此类许可证。每个本地许可证还与一个 Citrix ADC 软件版本(标准版、企业版或白金版)绑定,该版本在 Citrix ADC BLX 设备中解锁该版本的 ADC 功能集。购买本地许可证时包含嵌入式精选支持。

    示例:

    Citrix ADC BLX 订阅 10 Gbps Premium Edition - 授权使用最大允许吞吐量为 10 Gbps 的 Citrix ADC BLX 设备。此许可证还可解锁 Citrix ADC BLX 设备中高级版中列出的所有 ADC 功能。

    [NSNET-9189]

  • Mellanox NIC 支持 DPDK 模式下的 Citrix ADC BLX 设备

    Citrix ADC BLX 设备现在支持带有 MLX5 驱动程序的 Mellanox NIC 在 DPDK 模式下部署。

    [NSNET-8946]

策略

  • 导入响应程序 HTML 页面的服务器证书验证您现在可以使用“import responder htmlpage”命令向客户端发送 HTML 错误响应。以前,在 HTML 页面导入期间不进行服务器认证验证。现在,使用新参数“cacertFile”可以解决此问题。您可以配置参数以在导入 HTML 页面时验证服务器证书身份验证。
    注意:如果未配置 CA 证书文件名,则使用默认的根 CA 证书来验证服务器证书。
    import responder htmlpage [<src>] <name> [-comment <string>] [-overwrite][-CAcertFile <string>]

    欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/appexpert/responder/configuring-responder-action.html%23configure-html-page-import

    [NSPOLICY-3620]

系统

用户界面

  • 无需初始化即可自动升级内置代理

    从 Citrix ADC 版本 13.0 build 61.xx 及更高版本开始,Citrix ADC 实例上可用的 Citrix ADM 内置代理无需在相应的 ADC 实例上初始化即可与 ADM 服务通信。与 ADM 服务建立通信后,内置代理会定期自动升级到最新软件版本。

    以前,您必须使用“mastools”命令在 Citrix ADC 实例上初始化内置代理,才能与 ADM 服务建立通信并进行定期自动升级。

    [NSCONFIG-4153]

  • Citrix ADM 服务连接功能可启用自动登录 Citrix ADM 服务

    Citrix Application Delivery Management (ADM) 服务连接功能允许将 Citrix ADC MPX、SDX 和 VPX 实例以及 Citrix Gateway 设备无缝接入 Citrix ADM 服务。此功能允许 ADC 实例或 Gateway 设备自动连接到 ADM 服务,并将系统、使用情况和遥测数据发送到 ADM 服务。使用这些数据,您可以获得有关 Citrix ADM 服务上的 Citrix ADC 基础设施的见解和建议。

    默认情况下,安装或升级 Citrix ADC MPX、SDX 和 VPX 实例或 Citrix Gateway 设备时,Citrix ADM 服务连接功能处于启用状态。

    有关详细信息,请参阅以下主题:

    注意:ADM 服务连接功能现已在 Citrix ADC 实例和 Citrix Gateway 设备上可用,但是,Citrix ADM 服务上的相应功能尚不可用。当 ADM 服务中出现相应功能时,Citrix 会更新本说明,以便您可以充分利用此功能的好处。

    [NSCONFIG-4150]

  • Citrix ADM 服务连接功能可启用自动登录 Citrix ADM 服务

    Citrix Application Delivery Management (ADM) 服务连接功能允许将 Citrix ADC MPX、SDX 和 VPX 实例以及 Citrix Gateway 设备无缝接入 Citrix ADM 服务。此功能允许 ADC 实例或 Gateway 设备自动连接到 ADM 服务,并将系统、使用情况和遥测数据发送到 ADM 服务。使用这些数据,您可以获得有关 Citrix ADM 服务上的 Citrix ADC 基础设施的见解和建议。

    默认情况下,安装或升级 Citrix ADC MPX、SDX 和 VPX 实例或 Citrix Gateway 设备时,Citrix ADM 服务连接功能处于启用状态。

    有关详细信息,请参阅以下主题:

    注意:ADM 服务连接功能现已在 Citrix ADC 实例和 Citrix Gateway 设备上可用,但是,Citrix ADM 服务上的相应功能尚不可用。当 ADM 服务中出现相应功能时,Citrix 会更新本说明,以便您可以充分利用此功能的好处。

    [NSCONFIG-3793]

已修复的问题

版本 13.0—64.35 中解决的问题。

身份验证、授权和审核

  • 如果将 Citrix ADC 设备配置为 OTP 登录且 OTP 字段留空,则身份验证将失败。在这种情况下,设备会在 ns.log 中记录用户密码,从而导致安全问题。

    [NSHELP-24027]

  • 在某些情况下,当属性值有 XML 标签时,SAML 断言会中断。这会导致属性提取失败。

    [NSHELP-23940]

  • 当用户属于大量活动目录组时,配置为 Citrix Workspace 身份提供者 (IdP) 的 Citrix ADC 设备可能会崩溃。

    [NSHELP-23899]

  • 用户不会收到 401 身份验证提示,因为 Citrix ADC 设备从错误的虚拟服务器结构请求身份验证配置。

    [NSHELP-23892]

  • 当 Citrix ADC 设备配置为 Citrix Workspace 的身份提供者 (IdP) 并出现自定义属性提取错误时,Citrix Workspace 登录会失败。

    [NSHELP-23843]

  • 在某些情况下,Citrix ADC 设备中的“ns.log”文件会错误地充斥着以下日志消息“当前登录架构中允许声明”。

    [NSHELP-23593]

  • 如果 VPN 客户端使用 webview nFactor 身份验证方法访问 Citrix ADC 设备,则不应用绑定到身份验证、授权和审核用户或组的 VPN 会话策略。

    [NSHELP-23526]

  • “系统全局身份验证策略绑定”页面下的 Citrix ADC GUI 出现以下错误:

    • Goto 表达式字段错误地显示“结束”而不是“下一步”。
    • 下一个因子约束策略未反映在“下一个因子”字段下。

    [NSHELP-23474]

  • 在极少数情况下,如果满足以下两个条件,则会话用户名会错误地显示为“匿名”,而不是设备证书的常用名称。

    • Citrix ADC 设备已配置为 nFactor 身份验证。
    • 设备证书被配置为 nFactor 配置中的唯一因素。

    [NSHELP-23243]

  • 当满足以下两个条件时,最后一个因素的 SAML 身份验证将失败:

    • Citrix ADC 设备配置为 SAML SP。
    • EPA 在 VPN 虚拟服务器上作为预身份验证策略启用,并且 RFWebUI 主题绑定到服务器。

    [NSHELP-22932,NSHELP-22819]

  • 如果配置了预身份验证 EPA 以及 nFactor 身份验证,则使用 Webview 从 Citrix Workspace 应用程序访问会话时会话建立失败。

    [NSHELP-22845]

  • 当 LDAP 和 SAML 配置为主要身份验证机制时,Citrix ADC 设备的登录页面无法正确显示。

    [NSHELP-22713]

  • 当您登录 Citrix Gateway 设备时,如果满足以下条件,则会显示一个空白页面:

    • Citrix Gateway 设备配置为使用 nFactor 身份验证,将 SAML 作为下一个因素 EULA
    • 在登录过程中,单击返回箭头可转到上一页。

    [NSHELP-22604]

  • 在某些情况下,Citrix ADC 设备崩溃是因为 OTP 设备列表的缓冲区覆盖而导致的内存损坏。

    [NSHELP-22478]

  • 有时,如果 HTML 表单的 HTTP 响应标头中包含 Set-Cookie,则基于表单的 SSO 身份验证会首次失败。

    [NSHELP-21740]

Bot Management

  • 如果将机器人管理 TPS 检测技术配置为“缓解”操作,则可能会在运行时发生服务中断。

    [NSBOT-124]

  • 在升级期间,如果机器人签名文件包含长字符串,Citrix ADC 设备可能会崩溃。

    [NSBOT-37]

  • 如果您在处理流量时修改机器人管理配置文件,Citrix ADC 设备可能会崩溃。

    [NSBOT-4,NSHELP-25196]

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 8400、8600 或 8015 设备上配置池许可时,显示的平台模型字符串不正确。

    [NSHELP-24234]

  • 如果您备份一个 SDX 设备,则恢复另一个 SDX 设备上的实例将失败。

    [NSHELP-23947]

  • 在 Citrix ADC SDX 8900 设备上,升级设备后,可供配置的实例数量会减少。

    [NSHELP-23808]

  • 将 Citrix ADC SDX 设备升级到 12.1 build 57.x 版本可能会失败,因为管理服务中的进程没有响应。

    [NSHELP-23612]

  • 在 Citrix ADC SDX 设备上,具有只读权限的用户可以使用文件传输实用程序(例如 SCP 或 SFTP)将文件传输到管理服务。

    [NSHELP-22638]

Citrix Gateway

  • 在提供无客户端 VPN 流量时添加 cookie_watch JavaScript 时,Citrix Gateway设备可能会崩溃。

    [NSHELP-24096]

  • 升级到版本 13.0 build 58.30 后,您无法从 GUI 中禁用 Citrix Gateway EPA 插件。

    [NSHELP-24016]

  • 如果在登录期间指定了端口号,则 VPN 插件无法加载 Citrix Gateway 登录页面。仅当为设备上的虚拟服务器配置 nFactor 身份验证时,才会出现此问题。

    [NSHELP-23925]

  • 当 VPN 通道处于活动状态时,如果满足以下条件,用户将无法访问入口:

    • 配置基于主机名的内联网应用程序以及反向拆分通道。
    • 门户的主机名与 Intranet 应用程序名称相匹配。

    [NSHELP-23912]

  • 在 VPN 虚拟服务器页面中,配置的门户主题、策略和配置文件摘要不出现在页面的左侧。

    [NSHELP-23903]

  • 在极少数情况下,Citrix Gateway 设备在处理传输登录或注销请求时可能会崩溃。

    [NSHELP-23863]

  • 如果 RfWebUI 门户主题绑定到 Citrix ADC 虚拟服务器,则 Windows 插件无法在“始终开启”服务模式下执行无缝传输登录。

    [NSHELP-23837]

  • 将 VPN 插件升级到 13.0 时,如果分割通道设置为 OFF,则会将 DNS 查询发送到本地和远程 DNS 服务器。

    [NSHELP-23826]

  • 如果将 VPN 插件指定给特定 DNS 服务器,则不支持通过 VPN 插件进行本地 DNS 查询,因为查询会发送到客户端上随机选择的 DNS 服务器。

    [NSHELP-23743]

  • 网络恢复后,Windows 凭证屏幕不会刷新。

    [NSHELP-23594]

  • 通过高级无客户端 VPN 访问时,SAP 文件夹无法按预期运行。

    [NSHELP-23561]

  • 在 Citrix Gateway Always On 服务模式下,重新启动计算机时,如果配置了内联网 IP 地址,则无法建立通道。

    [NSHELP-23304]

  • 如果反复运行“show vpn storeinfo”命令,Citrix ADC 设备会崩溃。

    [NSHELP-23144]

  • 通过 SOCKS 通道启动 ICA 代理应用程序失败。

    [NSHELP-23111]

  • 当计算机从睡眠或休眠状态恢复时,用户无法通过 VPN 访问资源。

    [NSHELP-23024]

  • 重新启动 Citrix Gateway 设备后,VPN 插件无法建立无缝会话,因为启用 Always On 时配置会被覆盖。

    [NSHELP-22674]

  • 在极少数情况下,如果将 Citrix ADC 设备配置为 EDT,并且为 EDT 会话启用 HDX Insight,则该设备可能会变得无响应。

    [NSHELP-22640]

  • 如果配置了 RDP 代理并且在 WINS 解析后尝试 DNS 解析,Citrix Gateway 设备在访问 DNS 服务器配置时会崩溃。

    [NSHELP-22577]

  • 在 Citrix Gateway 双跳高可用性设置中,ICA 连接可能会在 HA 故障转移后丢失。

    [NSHELP-22444]

  • Citrix Gateway 设备可能会因为某些命令未运行而崩溃。

    [NSHELP-22371]

  • 如果配置了系统日志策略,Citrix Gateway 设备可能会间歇性地崩溃。

    [ NSHELP-22304 ]

Citrix Web App Firewall

  • 如果启用响应端或 XML 安全检查并且在 Web App Firewall 配置文件中配置了日志表达式,Citrix ADC 设备可能会崩溃。

    [NSWAF-6466]

  • 在群集配置中,用于配置 HTML 跨站脚本检查放宽规则(位置为 URL)的取消绑定命令不成功。

    [NSWAF-6463]

  • 在群集配置中,当 RPC 节点受到保护时,群集协调器节点 (CCO) 上的 Citrix Web App Firewall aslearn 数据聚合会失败。

    [NSWAF-6460]

  • 升级后,现有 Citrix Web App Firewall 配置文件中的“bufferOverflowMaxQuerYLength”和“bufferOverflowMaxHeaderLength”值可能不适合部署。因此,如果值不正确,则可能需要修改这些值。

    [NSWAF-6346]

  • 如果使用外部 DNS 服务器配置启用机器人签名,Citrix ADC 设备可能会崩溃。

    [NSHELP-24190]

  • 如果在未设置签名的情况下启用流式传输,则不处理内容类型为“应用程序/八位字节流”的 POST 请求。

    [NSHELP-22668]

  • 在高可用性设置中,辅助节点中的 Web App Firewall 会话是过时会话。

    [NSHELP-2028]

负载平衡

  • 如果为远程站点 RPC 节点启用安全选项,则从主站点到从属站点的 GSLB 配置的实时同步可能会失败。

    [NSHELP-24178]

  • 尝试评估订阅者策略并启用 gxSessionReporting 时,Citrix ADC 设备可能会崩溃。

    [NSHELP-24159]

  • 如果在 MYSQL-ECV 监视器中启用 StoreDB 参数,Citrix ADC 设备会崩溃。

    [NSHELP-23983]

  • 当您使用 CLI 显式添加两个具有相同值的“devno”参数的服务组时,添加第二个服务组会失败。这是因为已经为第一个服务组分配了相同的 devno。建议不要从 CLI 中明确提供 devno,因为它是自动填充的。

    [NSHELP-23817]

  • 如果为 Gx 接口启用了运行状况检查选项且 Gx 服务器没有响应,则不会创建负数 TTL 会话。

    [NSHELP-23355]

  • 对于 DNS UDP 请求,如果在同一策略中同时使用订阅者表达式和 DNS 表达式,则根据目标 IP 地址而不是源 IP 地址创建订阅者会话。

    [NSHELP-22521]

  • 在群集设置中,具有 VLAN 设置的 ACL 规则不生效,导致数据包达到其他 ACL 规则。

    当您在群集设置中删除虚拟服务器导致群集节点未在引导的数据包上添加 VLAN 信息时,就会出现此问题。

    [NSHELP-22103]

  • 在高可用性 (HA) 设置中,当辅助节点重新启动时,在将会话镜像到辅助节点的过程中,主节点可能会崩溃。

    [NSHELP-21715,NSHELP-34301]

其他

  • 重新启动 Citrix ADC 设备后,rc.netscaler 文件中存在的某些命令无法正确应用,因此设备可能无法按预期运行。

    [NSHELP-22507]

网络连接

  • nstcpdump.sh 脚本无法在通过 SSH 连接并使用默认管理员 (nsroot) 凭据登录的 Citrix ADC BLX CLI 上运行。该脚本失败,因为默认管理员 (nsroot) 无权访问某些文件和网络资源。

    [NSNET-16816]

  • 在为 FTP 流量启用了连接镜像的高可用性设置中,如果满足以下条件,辅助节点可能会崩溃。

    • 数据连接在控制连接之前传播到辅助节点

    [NSHELP-24088]

  • 启用 L2 模式后,Citrix ADC 设备会转发在默认分区中收到的 DHCP 广播数据包。

    [NSHELP-23957]

  • 如果满足以下条件,Citrix ADC 设备可能会在对收到的 IPv6 请求数据包进行 NAT64 转换期间失败:

    目标 IPv6 地址(转换后的目标 IPv4 地址)的后 32 位大于 240.0.0.0(属于保留 IP 范围)。

    [NSHELP-22742,NSHELP-25331]

  • 当 Citrix ADC 设备发送分段的 IPv6 数据包时,您可能会发现 Citrix ADC 设备的 CPU 使用率很高。

    [NSHELP-22699]

  • 以无效虚拟 MAC 地址作为目标地址的数据包被错误地归类为具有 Citrix ADC 所有 MAC 地址的数据包。

    [NSHELP-22697]

平台

  • 在 Citrix ADC SDX 24000 平台上,将设备升级到软件版本 13.0 后,会在逻辑驱动器上生成严重警报。这是误报。

    [NSHELP-23505]

  • 在某些情况下,在 Citrix ADC SDX 设备上,将某些虚拟实例配置为 50G 和 100G Mellanox 接口会消耗内存。

    [NSHELP-23394]

  • 当 Citrix ADC SDX 卡返回错误时,您需要重新启动 Citrix ADC SDX 设备才能重置和初始化 SSL 卡。通过此修复,无需重新启动。

    [NSHELP-22725]

策略

  • 在评估 HTML 页面中的大量嵌入式表达式时,Citrix ADC 可能会崩溃。

    [NSPOLICY-1462]

SSL

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃:

    • TLS 1.3 早期数据处理在非默认管理分区的 SSL 配置文件中启用。
    • 在默认管理分区的所有 SSL 配置文件中禁用 TLS 1.3 早期数据处理。

    [NSHELP-23607]

  • 在 Citrix ADC 设备上,如果管理分区配置为以下实体之一,则运行“force failover”命令或“clear config”命令可能会导致崩溃:

    • 透明的虚拟服务器。
    • 动态服务。

    [NSHELP-23321]

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃:

    • 添加了证书密钥对,启用了过期监视选项。
    • 证书日期早于 1970 年 1 月 1 日。

    [NSHELP-22934]

  • 在群集设置中,从 CLIP 地址获取 SSL 策略绑定的 NITRO API 查询是成功的,但是如果从群集节点运行,则查询会失败。

    [NSHELP-22853]

  • 如果有大量 OCSP 缓存条目并且您运行 clear config 命令,Citrix ADC 设备可能会崩溃。

    [NSHELP-22695]

  • 为频繁更新配置空 CRL 会耗尽 Citrix ADC 设备上分配的共享内存。

    [NSHELP-22166]

  • 如果您执行以下操作,分区的 Citrix ADC 设备可能无法按预期响应:

    1. 在不同的分区中创建两个 OCSP 响应程序。
    2. 清除一个分区中的配置。
    3. 删除另一个分区中的 OCSP 响应程序。

    [NSHELP-20861]

系统

  • 如果启用了前端优化,Citrix ADC 设备可能无法优化和压缩 Javascript 或 CSS 等大型对象。

    [NSHELP-24041]

  • 如果连接镜像不同步 PCB 参数,则可能导致 TCP 选项丢失,例如最大分段大小 (MSS) 和窗口缩放。

    [NSHELP-23990]

  • 对于 TLS v1.2 会话重用协议,Citrix ADC 设备中会观察到以下行为:

    • 分类信息保存在服务器 PCB 中,域信息保存在客户端 PCB 中。
    • 数据仅从客户端 PCB 发送到 AppFlow,因此,对于会话重用案例,分类信息以空形式发送。

    [NSHELP-23542]

  • 如果代表内联设备的服务在检查流量时出现故障,则无法正确释放资源。再次访问此释放的资源时,Citrix ADC 设备崩溃。

    [NSHELP-23145]

  • 如果观察到以下情况,Citrix ADC 设备可能会崩溃:

    • 闪存缓存已启用。
    • 客户端连接已重置。
    • 队列中的客户端请求作为缓存过程的一部分提供服务。

    [NSHELP-21872]

  • 对于 synflood 陷阱的生成,如果您不重置变量绑定值,则设备将使用旧的陷阱变量绑定值而不是当前值和阈值。

    [NSHELP-20653、NSHELP-20401、NSHELP-24490]

  • 在多路径 TCP (MPTCP) 中,si_cur_Clients 和 si_cur_clnt_ConnOpenEst 计数器会增加两次。

    [NSHELP-19896]

  • 有时,分析数据不会填充到 ADM 服务中。

    [NSBASE-11508]

用户界面

  • 使用 Citrix ADC GUI 无法进行多因子 (nFactor) 登录。第一个因子登录后,下一个因子登录输入不起作用。

    [NSHELP-24078]

  • 当内部进程重新启动最大次数时,Citrix ADC 设备可能会崩溃。

    [NSHELP-23378]

  • 在“stat system”命令的“Up since (Local)”行中仅显示年份的最后三位数。

    [NSHELP-22960]

  • 直接添加服务组成员是成功的。但是,如果您执行以下步骤,则操作将失败:

    1. 导航到 流量管理 > 负载平衡 > 服务组。

    2. 选择一个服务组,然后单击“服务组成员”。

    3. 右键单击其中一个条目并选择添加。

    4. 在创建服务组成员中,更改 IP 地址并单击创建。

    [NSHELP-21925]

  • 用于获取 zeBOS 运行配置的 NITRO API(路由器动态路由)无法获取大型配置(超过 25 行)的完整输出。

    [NSCONFIG-3535]

已知问题

13.0-64.35 版本中存在的问题。

身份验证、授权和审核

  • 在某些启用了 GSLB 的 Citrix ADC 设备上,由于 URL 计算无效,从身份验证虚拟服务器重定向到负载平衡虚拟服务器会失败。

    [NSHELP-33459]

  • 在非默认分区中使用身份验证虚拟服务器时,Citrix ADC 设备可能会崩溃。

    [NSHELP-32054]

  • 如果为没有处理 SSO 所需的承载令牌的流量启用 SSO,则单点登录 (SSO) 将失败。

    [NSHELP-31362,NSHELP-33814]

  • 将 LDAP 操作配置为 FQDN 而不是 IP 地址时,nsvpn.log 中会记录非 ASCII 字符。

    [ NSHELP-27281 ]

  • 在某些情况下,如果策略名称长于 Intranet 应用程序名称,则绑定身份验证、授权和审核组命令可能会失败。

    [NSHELP-25971]

  • 在基于 401 的身份验证流程中,当 NOAUTH 配置为第一个因素并将协商配置为后续因素时,Citrix ADC 设备将转储核心。

    [NHELP-25203]

  • 如果 LDAP、RADIUS 或 TACACS 服务的管理员密码包含双引号 (“) 字符,Citrix ADC 设备会在“测试连接”检查期间将其删除,从而导致连接失败。

    [NHELP-23630]

  • 管理员无法对因凭证无效而发生的身份验证失败执行自定义日志记录。之所以出现此问题,是因为 Citrix ADC 响应程序策略无法检测到登录失败的错误。

    [NSAUTH-11151]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
    show adfsproxyprofile <profile name>

    解决方法:连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

Citrix ADC SDX 设备

  • 升级 Citrix ADC SDX 设备时,在极少数情况下,管理服务 GUI 中会出现以下错误事件:

    “SVM 版本和虚拟机管理程序版本不兼容”

    [NSHELP-32949]

  • 在 Citrix ADC SDX GUI 上,如果 NTP 配置文件 (ntp.conf) 的任何一行中只有空格,则显示 NTP 服务器可能会冻结用户界面。

    [NHELP-31530]

Citrix Gateway

  • 在 Citrix Secure Access 客户端上将拆分通道设置为“关”时,无法访问与欺诈 IP 地址范围重叠的 Intranet 资源。

    [NSHELP-34334]

  • 由于网关服务器的可访问性,Always-On VPN 连接在启动时会间歇性失败。

    [NSHELP-3350]

  • 如果与 Citrix Secure Access 相关的注册表值大于 1500 个字符,日志收集器将无法收集错误日志。

    [NSHELP-33457]

  • 如果启用 HDX Insight 并且用户在注销后立即登录 StoreFront,Citrix Gateway 设备可能会崩溃。

    [NSHELP-32907、NSHELP-33079、NSHELP-33289]

  • 对于没有管理权限的用户,Citrix Secure Access 客户端(版本 21.7.1.2 及更高版本)无法升级到更高版本。仅当通过 Citrix ADC 设备完成 Citrix Secure Access 客户端升级时,此问题才适用。

    [NSHELP-32793]

  • 当用户单击适用于 Windows 的 Citrix Secure Access 屏幕上的“主页”选项卡时,该页面会显示连接被拒绝的错误。

    [NSHELP-32510]

  • 在使用 Chrome 的 Mac 设备上,VPN 扩展程序在访问两个 FQDN 时崩溃。

    [ NSHELP-32144 ]

  • 有时,当用户在 Always-On 服务模式下登录 Windows 计算机时,Windows 自动登录不起作用。计算机通道不会过渡到用户通道,并且会出现“正在连接…“显示在 VPN 插件用户界面中。

    [NSHELP-31357、CGOP-2112、NSHELP-34211]

  • 如果配置了“始终打开”,则由于 aoservice.exe 文件中的版本号 (1.1.1.1) 不正确,用户通道将失败。

    [ NSHELP-30662 ]

  • 将“networkAccessOnVPNFailure”始终开启配置文件参数从“fullAccess”更改为“onlyToGateway”后,用户无法连接到 Citrix Gateway 设备。

    [ NSHELP-30236 ]

  • 网关插件成功建立 VPN 通道后,不会立即显示网关主页。要修复此问题,引入了以下注册表值。

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    类型:DWORD

    默认情况下,不设置或添加此注册表值。当“SecureChannelResetTimeoutSeconds”的值为 0 或未添加时,处理延迟的修复不起作用,这是默认行为。管理员必须在客户端上设置此注册表才能启用此修复(即在网关插件成功建立 VPN 通道后立即显示主页)。

    [ NSHELP-30189 ]

  • Windows VPN 客户端不接受来自服务器的“SSL 关闭通知”警报,而是在同一连接上发送转移登录请求。

    [ NSHELP-29675 ]

  • 如果 macOS 钥匙串中没有客户端证书,则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

    [ NSHELP-28551 ]

  • 有时,设置客户端空闲超时后,用户会在几秒钟内注销 Citrix Gateway。

    [ NSHELP-28404 ]

  • 在处理服务器启动的 UDP 流量时,Citrix Gateway 设备可能会崩溃。

    [NSHELP-27611]

  • 如果异步被阻止并且您修改了内容交换策略配置,Citrix Gateway 设备可能会崩溃。

    [NHELP-27570]

  • 如果在会话策略中设置了未知的 VPN 客户端选项,Citrix Gateway 设备可能会崩溃。

    [NHELP-27380]

  • 使用 Citrix ADC GUI 创建 RDP 客户端配置文件时,满足以下条件时会显示错误消息:

    • 配置了默认的预共享密钥 (PSK)。
    • 您尝试在 RDP Cookie 有效性(秒)字段中修改 RDP Cookie 有效性计时器。

    [NSHELP-25694]

  • “show tunnel global”命令输出包括高级策略名称。以前,输出不显示高级策略名称。

    示例:

    新输出:

    show tunnel global
    策略名称:ns_tunnel_nocmp 优先级:0

    策略名称:ns_adv_tunnel_nocmp 类型:高级策略
    优先级:1
    全局绑定点:REQ_DEFAULT

    策略名称:ns_adv_tunnel_msdocs 类型:高级策略
    优先级:100
    全局绑定点:RES_DEFAULT
    完成

    上一个输出:

    show tunnel global
    策略名称:ns_tunnel_nocmp 优先级:0 已禁用

    高级策略:

    全局绑定点:REQ_DEFAULT 绑定策略
    数量:1

    完成

    [NSHELP-23496]

  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [ NSHELP-21897 ]

  • 在 Citrix ADC 群集设置中,不能同时启用 HDX Insight 和 Gateway Insight。

    [CGOP-23570]

  • 在 Citrix ADC GUI 上的预身份验证策略和身份验证操作的表达式编辑器下拉列表中未列出 Windows 操作系统选项。但是,如果您已经使用 GUI 或 CLI 在之前的 Citrix ADC 版本上配置了 Windows 操作系统扫描,则升级不会影响该功能。如果需要,您可以使用 CLI 进行更改。

    解决方法:

    使用 CLI 命令进行配置。

    • 要在 nFactor 身份验证中配置高级 EPA 操作,请使用以下命令。
      add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
    • 要配置经典的预身份验证操作,请使用以下命令。
      add aaa preauthenticationaction win_scan_action ALLOW add aaa preauthenticationpolicy win_scan_policy "CLIENT.SYSTEM('WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]') EXISTS" win_scan_action

    [CGOP-22966]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [CGOP-13584]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

    [CGOP-13511]

  • 接受来自浏览器的本地主机连接时,适用于 macOS 的“接受连接”对话框将以英语显示内容,而不考虑所选的语言。

    [CGOP-13050]

  • Citrix SSO 应用程序 > 主页中的文本“主页”在某些语言中被截断。

    [CGOP-13049]

  • 从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

    [CGOP-11830]

  • 在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外,页面变得无响应。

    [CGOP-7269]

Citrix Web App Firewall

  • 在虚拟服务器上更新 Web App Firewall 策略时,会出现以下问题:

    • Citrix ADC GUI 和 CLI 没有响应或花费的时间比平时长。
    • 数据包 CPU 利用率已提高到 100%
    • 持续会话的数量已增加。

    [NSHELP-33975]

负载平衡

  • 在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

    [NSLB-7679]

  • 在 HA 设置中,当绑定到多个虚拟服务器的服务组被删除时,Citrix ADC 设备会崩溃。

    [NSHELP-34029]

  • 在连接镜像期间,当重写策略大于 30 字节时,Citrix ADC 设备会崩溃。

    [NSHELP-32902]

  • 由于服务器数量的计算错误,Citrix ADC 设备针对服务器连接频率触发了错误的 SNMP 警报。

    [NSHELP-31582]

  • 在 GSLB 设置中,从属站点缺少 SSL 证书。如果启用了自动同步选项,并且从属站点拥有主站点上不可用的 SSL 证书,则会出现此问题。

    [NSHELP-29309]

  • 在某些情况下,绑定到服务组的服务器会显示无效的 Cookie 值。您可以在跟踪日志中看到正确的 cookie 值。

    [ NSHELP-21196 ]

  • 在群集设置中,通过 GSLB 虚拟服务器绑定访问 GSLB 服务 IP 地址时,GUI 中不显示 GSLB 服务 IP 地址。这只是一个显示问题,对功能没有影响。

    [NSHELP-20406]

其他

  • 当您在 Citrix ADC 设备上运行“ns_hw_err.bash”脚本时,会出现以下错误消息:
    “错误:无法打开文件 ‘ns_hw_plugins.py’:[Errno 2] 没有这样的文件或目录”

    [NSHELP-32991]

  • Citrix ADC 设备将 Web 服务器日志功能的缓冲区大小设置为错误的默认值,即 3 MB 而不是 16 MB。

    [NSHELP-32429]

  • 如果注册表值大于 2000 字节,AlwaysOnAllow 列表注册表将无法按预期工作。

    [ NSHELP-31836 ]

  • Citrix ADC CPX 实例在具有 64 位架构和 1 TB 文件存储空间的 Linux 系统上运行,现在可以加载证书和密钥文件。

    [NHELP-28986]

网络连接

  • 在 Citrix ADC BLX 设备中,绑定到带标签的非 dpdk 接口的 NSVLAN 可能无法按预期运行。与未标记的非 dpdk 接口绑定的 NSVLAN 可以正常工作。

    [NSNET-18586]

  • 带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

    • 禁用
    • 启用
    • 重置

    [NSNET-16559]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件(“/etc/blx/blx.conf”)设置如何,Citrix ADC BLX 设备始终以共享模式部署。之所以出现此问题,是因为基于 Debian 的 Linux 系统上默认存在的“mawk”无法运行“blx.conf”文件中存在的一些 awk 命令。

    解决方法:在安装 Citrix ADC BLX 设备之前安装“gawk”。可以在 Linux 主机 CLI 中运行以下命令来安装“gawk”:

    • apt-get 安装 gawk

    [NSNET-14603]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

    “以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”

    解决方法:在安装 Citrix ADC BLX 设备之前,在 Linux 主机 CLI 中运行以下命令:

    • dpkg — 添加架构 i386
    • apt-get 更新
    • apt-get 安装 libc6: i386

    [NSNET-14602]

  • 在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

    • LSN 模块在减少引用计数或删除服务时找不到服务。

    [NSHELP-29134]

  • 在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

    • 因为过滤条目过时。

    [ NSHELP-28895 ]

  • 在大规模 NAT44 部署中,Citrix ADC 设备在接收 SIP 流量时可能会崩溃,原因如下:

    • LSN 模块访问了已删除服务的内存位置。

    [NSHELP-28815]

  • 冷重启后,Citrix ADC 设备可能无法生成“coldStart”SNMP 陷阱消息。

    [NSHELP-27917]

  • 在高可用性设置中,如果满足以下条件,启用了动态路由的 SNIP 地址在重启时不会暴露给 VTYSH:

    • 启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN。

    作为修复的一部分,Citrix ADC 设备现在不允许将启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN

    [NHELP-24000]

平台

  • 高可用性故障转移在 AWS 和 GCP 云中不起作用。管理 CPU 在 AWS 和 GCP 云中可能达到其 100% 的容量,而 Citrix ADC VPX 本地容量可能会达到 100%。这两个问题都是在满足以下条件时引起的:

    1. 在 Citrix ADC 设备的首次启动期间,您不会保存提示的密码。
    2. 随后,您重新启动 Citrix ADC 设备。

    [NSPLAT-22013,NSHELP-344441]

  • 当您将 Citrix ADC 设备从 13.1-4.x 版本及更高版本降级到以下任何版本时,某些 python 软件包未安装:

    • 任何 11.1 版本
    • 12.1—62.21 及更早版本
    • 13.0-81.x 及更早版本

    [NSPLAT-21691]

  • 在 Citrix ADC SDX 8015/8400/8600 平台上,您可能会看到 Xen Server 的内存消耗增加。
    解决方法:在 Xen Server 上运行以下命令,然后重新启动设备。
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [NSHELP-32260]

  • 在 Citrix ADC VPX HA 故障转移期间,如果您在未将 IPset 绑定到任何 IP 地址的情况下配置 IPset,则在 AWS 云中移动弹性 IP 地址将失败。

    [NSHELP-29425]

  • 当 RPC 节点的密码包含特殊字符时,GCP 和 AWS 云上的 Citrix ADC VPX 实例的高可用性故障转移将失败。

    [NSHELP-28600]

策略

  • 在 Citrix ADC GUI 中,只有在 AppExpert > 重写 > 操作中单击“显示内置重写”操作时,才能看到重写操作。

    [NSPOLICY-4843]

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法: 将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

SSL

  • 当虚拟服务器收到带有无效填充的 TLS 1.3 记录时,它会发送致命的“decode_error”警报,而不是“unexpected_message”警报。

    [NSSSL-11890]

  • 在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

    解决方法:

    1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
    2. 保存配置。

    [NSSSL-9572]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
    ERROR: crl refresh disabled

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

系统

  • 如果满足以下条件,则 TCP 连接的 RTT 为高:

    • 设置了较高的最大拥塞窗口 (>4 MB)
    • TCP NILE 算法已启用

    要使 Citrix ADC 设备使用 NILE 算法进行拥塞控制,条件必须超过慢速启动阈值,再加上最大拥塞窗口

    因此,在达到配置的最大拥塞窗口之前,Citrix ADC 会继续接受数据并最终获得高 RTT。

    [NSHELP-31548]

  • 满足以下条件时,Citrix ADC 设备可能会崩溃:

    • 分析配置文件和 AppFlow 策略均已绑定,并且配置文件启用了“httpAllHdrs”选项。

    [ NSHELP-30628 ]

  • Citrix ADC 设备在服务 SYN 泛洪计数器上报告虚假的 SNMP 警报。

    [NSHELP-28710、NSHELP-28713]

  • 如果禁用了链接集,则在公有云 MPTCP 群集部署中,数据包重传会增加。

    [NHELP-27410]

  • Citrix ADC 设备可能会在 MPTCP 连接上发送无效的 TCP 数据包以及 TCP 选项,例如 SACK 块、时间戳和 MPTCP 数据 ACK 确认。

    [NHELP-27179]

  • 在 Citrix ADC 设备和数据加载器中观察到 Logstream 记录不匹配。

    [NHELP-25796]

  • 在 Kubernetes 群集上安装 Citrix ADM 时,它无法按预期工作,因为所需的进程可能无法启动。

    解决办法:重新启动“管理”窗格。

    [NSBASE-15556]

  • 在群集配置中,具有 CCO 优先级的节点由于网络问题而与 Open vSwitch (OVS) 断开连接。节点重新加入群集配置后,不会收到最新的 SYN cookie。

    [NSBASE-14419]

用户界面

  • 创建/监视 CloudBridge Connector 向导可能会变得无响应或无法配置 CloudBridge连接器。

    解决方法:使用 Citrix ADC GUI 或 CLI 添加 IPsec 配置文件、IP 通道和 PBR 规则,配置 CloudBridge Connector。

    [NSUI-13024]

  • 将 AppFW 配置文件绑定到日志表达式时,状态参数默认设置为启用。但是,当系统升级时,参数将重置为禁用。

    [NSHELP-34187]

  • 使用 Citrix ADC GUI(系统 > 网络 > 路由)修改静态路由可能会错误地失败并显示以下错误消息:

    • “缺少必填参数 [网关]”

    [NSHELP-32024]

  • 在 HA/群集设置中,如果您配置了 RSA 以外的 SSH 密钥,则配置同步会失败。例如,ECDSA 或 DSA 密钥。

    [NSHELP-31675]

  • 在 Citrix ADC 设备中,使用 GUI 界面绑定缓存策略以覆盖全局或默认全局失败,并显示以下错误:

    • 缺少必需的参数。

    使用 CLI 界面绑定缓存策略时未出现此错误。

    [NHELP-30826]

  • 由于升级安装顺序不正确,Citrix ADC 设备中会出现以下问题。

    • 首先更新内核映像,然后在几个步骤之后复制加密密钥。在这些步骤之间,会发生一些故障,ADC 设备会生成一个新映像。新映像中缺少加密密钥会导致解密失败和配置丢失。

    [NSHELP-30755]

  • Citrix ADC GUI 可能会错误地生成仅包含一个节点而不是所有群集节点的群集技术支持包。

    [NHELP-28606]

  • 使用 Citrix ADC GUI 生成群集技术支持包可能会失败并显示错误。

    [NHELP-28586]

  • 将高可用性设置或群集设置升级到版本 13.0 build 74.14 或更高版本后,配置同步可能由于以下原因而失败:

    • “ssh_host_rsa_key”私钥和公钥对都不正确。

    解决方法:重新生成“ssh_host_rsa_key”。有关详细信息,请参阅 https://support.citrix.com/article/CTX322863

    [NHELP-27834]

  • 您无法使用 Citrix ADC GUI 将服务或服务组绑定到优先级负载平衡虚拟服务器。

    [NSHELP-27252]

  • 在 Citrix ADC GUI 上,“已保存与正在运行”配置屏幕(系统 > 诊断)错误地显示 HTML 标签而不是显示纯文本。

    [NSHELP-27169]

  • 在 Citrix ADC GUI 中查看绑定到内容交换策略标签的策略时,即使绑定到该策略标签的策略更多,也只显示 25 个策略。

    [NSHELP-23428]

  • 有时,应用程序防火墙签名需要很长时间才能同步到非 CCO 节点。因此,使用这些文件的命令可能会失败。

    [NSCONFIG-4330]

  • 如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

    1. 将 Citrix ADC 设备升级到其中一个版本
      • 13.0 52.24 Build
      • 12.1 57.18 Build
      • 11.1 65.10 Build
    2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    3. 将 Citrix ADC 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表:
    在命令提示符处,键入:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    解决方法:要修复此问题,请使用以下独立选项之一:

    • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
    • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
    • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

    有关更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Citrix ADC 13.0—64.35 版本的发行说明