ADC

Citrix ADC 13.0-67.43 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 Build 13.0-67.43 中存在的增强和更改、已修复和已知问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
  • 13.0-67.43 是 13.0-67.39 的替代版本。NSHELP-25322 和 NSHELP-25443 是替换版本中的其他补丁。

新增功能

版本 13.0-67.43 中提供的增强和更改。

身份验证、授权和审核

Citrix Gateway

  • 引入了新的 Citrix 徽标。

    [CGOP-14440]

Citrix Web App Firewall

  • 所有导入对象的名称长度和配置文件名称长度都增加到 127 个字符

    Citrix Web App Firewall 导入对象的名称长度和配置文件名称长度现已增加到 127 个字符的最大限制。以前,名称长度最多只能设置为 32 个字符。

    [NSWAF-5992]

  • 动态分析放松规则计数器

    当 Citrix Web App Firewall 检测到违规行为时,用户可以使用放松规则绕过操作。要监测这些放松情况,您现在有一个放松计数器。计数器跟踪统计详细信息,例如设备上发生违规的次数、违规时应用的放松规则数量以及上次应用的时间戳。

    但是,新的放松命中计数器仅适用于以下安全检查:

    • Starturl
    • Denyurl
    • 跨站点脚本编写
    • SQL 注入

    [NSWAF-5842]

  • JSON 命令注入保护检查

    Citrix Web App Firewall 配置文件现已增强,对 JSON 负载中的命令注入攻击进行了新的保护检查。当命令注入安全检查检查 JSON 流量并检测到任何恶意命令时,设备会阻止请求或执行配置的操作。

    [NSWAF-5837]

  • 机器人陷阱 URL 随机化

    Citrix Bot 陷阱技术现在可以随机或定期在客户端响应中插入陷阱 URL。如果客户端是人类用户,则该 URL 将显示为不可见且无法访问。但是,如果客户端是自动机器人,则可以访问该 URL,当访问时,攻击者将被归类为机器人,并且来自机器人的任何后续请求都会被阻止。陷阱技术可以有效阻止来自机器人的攻击。

    机器人陷阱 URL 是自动生成的,您可以配置需要更新 URL 的长度和间隔。如果在配置文件中配置了陷阱 URL,则必须仅插入该 URL。此外,此技术允许您通过在配置文件中绑定网站 URL,为访问量最高的网站或经常访问的网站的每个响应插入陷阱 URL。

    [NSWAF-5774]

  • SameSite cookie 属性用于安全的网络通信

    随着最近的浏览器升级,例如 Google Chrome 80,Cookie 中的默认跨域行为发生了变化。因此,SameSite 属性被设置为“无”、“Lax”或“严格”,对于 Google Chrome,默认属性值设置为 Lax。

    根据浏览器新的 SameSite Cookie 策略,Citrix Web App Firewall 配置文件已得到增强,以支持 SameSite cookie 属性配置。现在,您可以启用 SameSite cookie 属性,也可以将该属性设置为以下任一选项。

    • SameSite=None。表示浏览器仅在安全连接上在跨站点上下文中使用 cookie。
    • SameSite=Lax。表示浏览器对同一域的请求使用 cookie,对于跨站点,只有像“GET”请求这样的安全 HTTP 方法才能使用 cookie。
    • SameSite=Strict。表示只有在用户明确请求域名时才能使用 cookie。

    [NSWAF-5468]

网络连接

  • 增加了对 NET_ADMIN 运行多核 Citrix ADC CPX 的支持

    现在,您可以在桥接模式部署中使用–cap-add=net_Admin 选项运行具有单核和多核的 Citrix ADC CPX。

    [NSNET-16016]

平台

  • 使用不同 AWS 区域的专用 IP 地址设置 VPX 高可用性对

    现在,您可以使用不同的 AWS 区域的专用 IP 地址在 AWS 上部署 VPX 高可用性对。

    [NSPLAT-14757]

  • GCP 上 Citrix ADC VPX 实例的 VIP 扩展支持

    根据您的要求,您现在可以在部署在 GCP 上的 Citrix ADC VPX 实例上添加多个 VIP(公有 IP)地址。独立部署和高可用性部署均支持此功能。以前,您可以添加的最大 VIP 数量取决于 GCP 网络限制。

    [NSPLAT-14738]

  • 更改默认管理员密码
    如果密码设置为默认管理员 (nsroot) 密码,则用户必须在首次登录或创建实例时更改密码,然后保存配置。密码无法重置为默认管理员密码。
    此更改适用于以下 Citrix 设备:

    • 托管在 Citrix ADC SDX 设备上的 VPX 实例
    • Citrix ADC BLX 设备
    • 托管在以下虚拟化和云平台上的 Citrix VPX 虚拟设备:
    • Citrix Hypervisor
    • VMware ESX
    • Microsoft Hyper-V
    • Linux KVM
    • Amazon Web Services
    • Google 云端平台

    [NSPLAT-14480]

  • 使用转发规则在 GCP 上设置 Citrix ADC VPX 高可用性对

    现在,您可以使用转发规则在 Google Cloud Platform (GCP) 上部署 VPX 高可用性对,目标实例位于后端。转发规则必须与 VPX 实例位于同一区域,并且目标实例必须与 VPX 实例位于同一区域。故障转移后,转发规则目标将更新为辅助目标实例,以恢复流量。

    [NSPLAT-14378]

系统

  • 用于管理访问的内置 HTTP 配置文件

    Citrix ADC 设备现在有内置的 HTTP 配置文件,即“nshttp_default_internal_apps”,用于管理访问权限。配置文件配置为阻止 HTTP/0.9 请求并删除无效的管理访问请求。配置文件设置与现有的“nshttp_default_strict_validation”配置文件相同。但是,建议您不要像“nshttp_default_strict_validation”配置文件中那样更改配置文件设置。

    [NSBASE-10118]

  • 建立 TCP SYN 连接时请求重试

    请求重试适用于另一种错误场景。如果在建立 TCP SYN 期间收到来自后端服务器的重置,则设备在客户端连接超时之前不会继续重试同一台服务器。相反,根据重新负载平衡,设备将请求转发到下一个可用的后端服务器。

    [NSBASE-9610]

  • 支持 gRPC 响应缓冲区时间和大小限制

    在 gRPC 桥接场景中,Citrix ADC 设备会缓冲来自后端服务器的 gRPC 响应,直到收到响应预告片为止。这会中断双向 gRPC 调用。此外,如果 gRPC 响应很大,它会消耗大量内存来完全缓冲响应。要解决这些问题,您可以在 HTTP 配置文件中配置两个新参数,即 grpcholdlimimit 和/或 grpcholdtimeout。配置两个参数或其中任何一个参数时,即使触发了任何一个缓冲限制(要么在配置的缓冲区大小内未收到拖车,要么出现配置的超时),设备也会停止缓冲并开始转发响应。

    [NSBASE-9466]

用户界面

  • Citrix 徽标变更

    Citrix 现在有了反映其品牌转型的新徽标。Citrix ADC 和 Citrix Gateway GUI 现在反映了新的 Citrix 徽标。

    [NSUI-16210]

  • 机器人签名的自定义搜索功能

    Citrix ADC 机器人签名 GUI 页面现已提供自定义搜索功能。您可以使用搜索选项在签名文件中查找内容。

    [NSUI-15992]

  • DSA 密钥已过时,Citrix ADC 设备不再支持 DSA 密钥。

    [NSUI-14778]

已修复的问题

版本 13.0-67.43 中解决的问题。

身份验证、授权和审核

  • 在极少数情况下,如果将 Citrix Gateway 设备配置为“VPN URL”功能,SSO 类型为“selfauth”,则 Citrix Gateway 设备会崩溃。

    [NSHELP-24667]

  • 在某些情况下,当一个内核发送 OTP 请求而另一个内核收到验证请求时,电子邮件 OTP 验证会失败。

    [NSHELP-24442]

  • Citrix ADC 设备拒绝来自移动客户端的登录请求,因为登录架构验证失败。您必须在配置中使用 OAuthToken_Username_password.xml 架构。

    [NSHELP-24318]

  • 如果满足以下条件,则登录 Citrix ADC 设备将失败。

    • 该设备已针对 nFactor 进行了配置。
    • 登录架构策略绑定到身份验证虚拟服务器,身份验证架构设置为“noschema”。

    [NSHELP-24259]

  • 在极少数情况下,如果将 Citrix ADC 设备配置为 NTLM 身份验证,则该设备会崩溃。

    [NSHELP-24236]

  • 对于在非默认 (443) 端口上配置的 VPN 虚拟服务器,Citrix SSO QR 扫描失败。这是因为本地 OTP 设置存在问题。

    [NSHELP-24097]

  • 在某些情况下,Citrix ADC 设备在执行一些与用户身份验证相关的后台任务时会变得无响应。

    [NSHELP-23883]

  • 在某些情况下,尝试单点登录时,Citrix ADC 设备会变得无响应。

    [NSHELP-23632]

  • 在极少数情况下,如果出现 DUP-FREE(尝试释放已经空闲的资源)情况,Citrix ADC 设备会在处理身份验证请求时崩溃。

    [NSHELP-23565]

  • 当 AD 用户所属的组数量超过组大小限制时,Citrix ADC 设备无法为 AD 用户提取 LDAP 场景中的所有组。

    [NSHELP-22959]

  • 如果仅在全局级别启用 Citrix ADC 和 Citrix Gateway 中的 SSO 配置,则使用以下身份验证方法的单点登录 (SSO) 不起作用。

    • CitrixAGBasic 身份验证
    • Kerberos 身份验证
    • OAuth 持有者身份验证

    [NSAUTH-9166]

  • 在某些情况下,如果在配置清理期间存在任何过期的身份验证、授权和审计会话,Citrix ADC 设备会崩溃。

    [NSAUTH-7767]

Bot Management

  • 如果在流量流入设备时禁用机器人设备指纹技术,Citrix ADC 设备可能会崩溃。

    [NSBOT-156]

  • 如果将机器人管理配置文件配置为 CAPTCHA 作为机器人操作,Citrix ADC 设备可能会崩溃。

    [NSBOT-148]

Citrix ADC SDX 设备

  • 在运行软件版本 13.0 build 64.x 或 12.1 build 58.x 的 Citrix ADC SDX 设备上,用户无法下载设备的备份。

    [NSSVM-3952]

  • 升级配置了管理 LA 和 CLAG 的 Citrix ADC SDX 设备后,可能无法访问 SDX GUI。

    [NSHELP-24671]

  • 如果您更改在 Citrix ADC SDX 设备上配置的 ADC 实例的设备配置文件,则不会修改 SNMP 用户详细信息。

    [NSHELP-24488]

  • 在 Citrix ADC SDX 设备上,无法修改配置有 IPv6 地址的 ADC 实例。

    [NSHELP-24256]

  • 您不能在 Citrix ADC SDX 设备上配置的 SNMP 管理器和陷阱目标的社区字符串中包含哈希 (%23)。

    [NSHELP-23989]

  • 在 Citrix ADC SDX 设备上,由于并行重新发现 ADC 实例之间存在争用情况,ADC 实例的链接聚合信息可能会丢失。

    [NSHELP-23849]

  • 如果在旧版本的 11.1 版本上配置 VPX 实例,则如果满足以下条件,则使用 SDX CLI 对 VPX 实例的更新操作将失败:

    • 选择了“Shell/sftp/SCP Access”选项。
    • 未选择“添加实例管理”选项。
      这些选项在“实例管理”下可用。“

    [NSHELP-23683]

  • 在某些情况下,重新启动 Citrix ADC SDX 设备后,管理服务无法正确读取许可证。

    [NSHELP-23619]

Citrix Gateway

  • 如果 Citrix Gateway 设备两次尝试从会话中删除连接,则该设备可能会在会话注销期间崩溃。

    [NSHELP-25443]

  • 如果请求落在上一个会话已超时的内核上,Citrix Gateway 设备将在传输登录期间崩溃。

    [NSHELP-25322]

  • 如果满足以下条件,用户将无法访问网站:

    • 代理服务器经过严格的 SNI 检查。
    • 通过无客户端 VPN 或 SecureBrowse 的出站代理访问后端服务器。
    • backendServersNI 参数已启用。

    [NSHELP-24903]

  • 如果在自定义端口上配置虚拟服务器,则 SAML 身份验证无法按预期运行。

    [NSHELP-24842]

  • 在极少数情况下,如果服务器启动的连接会话已释放,则 Citrix ADC 设备在打印调试日志时崩溃。

    [NSHELP-24581]

  • 如果您登录 Citrix Gateway 并通过无客户端 VPN SharePoint 访问 Microsoft Excel,则您将退出为 Microsoft Excel 创建的会话。

    [NSHELP-24074]

  • 在极少数情况下,如果启用了内部网 IP (IIP) 地址并且服务器启动了与 IIP 地址的连接,Citrix Gateway 设备可能会崩溃。

    [NSHELP-23819]

  • 如果客户端计算机有多个 Hyper-V 和 WiFi 直接访问虚拟适配器的实例,Windows 插件会显示“无法访问网关”消息。

    [NSHELP-23794]

  • 当 UDP 应用程序服务器发送大于 MTU 的数据包以及数据包被分段时,会观察到丢包的情况。

    [NSHELP-23770]

  • 如果用户从 Citrix Workspace 登录,Citrix ADC 设备可能会在身份验证、授权和审计会话注销期间崩溃。

    [NSHELP-23623]

  • 如果 VDA FQDN 解析失败,Citrix Gateway 设备可能会在启动应用程序时崩溃。

    [NSHELP-22454]

  • 当您通过无客户端 VPN SharePoint 访问 Microsoft Excel 时,您无法编辑 Excel 文件。

    [CGOP-15123]

  • 对 credSSP 协议版本 2 的支持已删除。Windows 操作系统仅支持 credsSP 协议版本 5 和 6。

    [CGOP-14308]

Citrix Web App Firewall

  • 在显示某些 XML 学习数据时,文件描述符在 aslearn 中泄漏。

    [NSWAF-6648]

  • 支持 CEF 日志消息中的“cs7”

    Citrix Web App Firewall 通用事件格式 (CEF) 日志消息现在又包含一个参数,即“cs7”作为审核日志表达式名称。

    [NSWAF-6593]

  • 在群集配置中,当学习引擎尝试查看和重置学习的数据时,会出现“与 aslearn 通信错误”的错误消息。

    [NSHELP-24584]

  • 由于 XML 处理中的流式传输上下文为空以及“multipleHeaderAction”参数设置为“日志”,Citrix ADC 设备可能会崩溃。

    [NSHELP-24549]

  • 如果发现以下问题,Citrix ADC 设备会从响应中删除状态码:

    • 原因短语缺失且
    • 状态码后面没有空格。

    [NSHELP-24489]

  • 在群集设置中,您无法修改或删除 set 或 rm appfw rfcprofile 命令中的 rfcprofile。

    [NSHELP-24222]

  • 在 Web App Firewall XML 验证检查期间,Citrix ADC 设备可能会崩溃。

    [NSHELP-23562]

负载平衡

  • 在 GSLB 实时同步期间,连续批处理 GSLB 配置命令可能会导致命令以错误的顺序推送到从属站点。

    [NSHELP-23934]

  • 在管理分区中配置 GSLB 时,sync gslb config-forceSync 命令可能会删除与特定于 GSLB 站点 IP 地址的 SSL 服务的所有证书密钥绑定。

    [NSHELP-23203]

  • 将 Citrix ADC 设备升级到 12.0 build 63.13 版本时,您可能会看到负载平衡持久性组的一些重复配置条目。例如,“show running config”命令可能会多次显示“add lb group”命令。这只是显示问题,不会影响功能。但是,“show running config”命令的执行时间可能比平时稍长一些。

    [NSHELP-23050]

  • 如果满足以下所有条件,则在 Citrix ADC 设备中发生高可用性故障转移:

    • 绑定到 SIP 负载平衡虚拟服务器的服务未与其绑定。
    • SIP 负载平衡虚拟服务器上的连接未完全刷新。
    • 在这些连接上接收客户端请求。

    [NSHELP-22589]

  • 在与流标识符相关的一系列操作后截断整数值时,Citrix ADC 设备很少会崩溃。

    [NSHELP-22489]

网络连接

  • 升级到 Citrix ADC 12.1 build 58.x 后,来自 CCO 节点的任何一条命令传播失败都可能导致传播完全失败。因此,从 CCO 节点到非 CCO 节点的后续命令可能会失败。

    [NSNET-18028]

  • 在管理分区设置中,当您在错误的内存资源分区期间运行“set”命令时,内存分配可能会失败。

    [NSNET-17719]

  • 如果您在群集设置中运行 set appflow 命令,则可能无法形成群集。

    [NSHELP-24220]

  • 观察到以下与 Citrix ADC 设备中的 BGP 社区字符串有关的问题:

    • 当设备收到 BGP 社区字符串 x: 65535 时,BGP 会话将断开连接。
    • 当未启用“bgp extended asn”功能时,BGP 守护程序无法按所需方式处理 AS4_PATH 属性和某些社区字符串的组合。这种不当的处理会导致 BGP 守护程序崩溃。

    [NSHELP-24119]

  • 在高可用性设置中,在某些 ACL 规则的“应用 acls”操作期间,HA 心跳数据包可能会丢失。

    [NSHELP-23663]

  • 在 INC 模式下设置的高可用性中,BFD 会话在故障转移后丢失。

    [NSHELP-23648]

  • 多次硬重启 Citrix ADC 设备后,BFD 设置可能不适用于 Citrix ADC 设备。

    [NSHELP-23471]

  • 在 Citrix ADC 设备中进入和退出 VTYSH 外壳后,“/etc/syslog.conf”中“/nsconfig/syslog.conf”的符号链接可能会被删除。因此,“/nsconfig/syslog.conf”中的更改没有反映在“/etc/syslog.conf”中。

    [NSHELP-23200]

  • 如果观察到以下情况,Citrix ADC 设备可能会在部署期间崩溃:

    • 使用 MBF 和 PMTUD 启用了多路径 TCP (MPTCP)
    • 收到了 MPTCP 流量,响应会导致 ICMP 需要分段错误。

    [NSHELP-22418]

  • 将带有 jumbo MTU 的从属接口添加到用作背板的链路聚合通道时,会错误地显示以下警告消息:

    “底板接口的 MTU 必须足够大,以处理所有数据包。它必须等于(MTU 值)。如果推荐值不可配置,请查看巨型接口的 MTU。“

    这只是一个显示问题,对功能没有影响。

    [NSHELP-20794]

平台

  • 由于空间不足,在 Citrix ADC SDX 设备上升级失败。

    [NSHELP-24066]

  • 当所有 10G 和 50G 接口都配置为具有 9000 MTU 的 LACP 通道时,重启操作中的 Citrix ADC SDX 15000-50G 可能无法完全重启。重新启动后,50G 接口也可能最终丢失。

    [NSHELP-23104]

  • 如果 Citrix ADC 设备在 HTTP (S) 上的管理活动中处于闲置状态超过六天,则对 Citrix ADC 设备的 NITRO API 请求或 GUI 访问将失败。

    [NSHELP-22849]

策略

  • “NOOP”操作类型的响应者操作中的目标字段未保存在配置文件 (ns.conf) 中。因此,当您重新启动设备时,会丢失配置。

    [NSHELP-23772]

  • 升级 Citrix ADC 设备版本 11.1 build 63.15 后,HTML 页面导入对象 GUI 页面上会出现一条错误消息“目录不存在”。

    [NSHELP-22826]

  • 如果您在策略表达式中配置 MATCHES_LOCATION () 函数并使用过滤器表达式启动 nstrace,Citrix ADC 设备可能会崩溃。

    [NSHELP-22687]

  • 出现 XML 命名空间错误时出现的错误消息不清晰且描述性不足,无法告诉用户如何修复问题。

    [NSHELP-18283]

SSL

  • 在极少数情况下,如果满足以下条件,Citrix ADC 设备会崩溃:

    • SSL 虚拟服务器接收 Client Hello 消息,其中 SSL 记录标头分为两个或多个 TCP 数据包。
    • 在客户端 hello 上绑定并指定了转发操作的策略返回 true。
    • 完成客户端 Hello 消息记录标头的数据包的 TCP 校验和包含 0xxx 0x16 模式。

    [NSHELP-23754]

系统

  • 如果在建立服务器端连接后启用 AppFlow,Citrix ADC 设备可能会崩溃。

    [NSHELP-24546]

  • 如果重写模块或 HTTP 严格传输安全 (HSTS) 标头修改数据包并将其分成两部分,则入侵防御系统 (IPS) 会释放第二个数据包。这会破坏流向客户端的数据包,从而只允许将部分响应转发给客户端。

    [NSHELP-24294]

  • 如果满足以下条件,启用了连接链参数的 Citrix 设备可能会崩溃:

    • 传入数据包的 TCP 选项超过 20 字节。
    • 设备尝试额外插入 20 字节,这会导致 TCP 溢出。

    [NSHELP-23322]

  • 如果聚合器进程变得不稳定,Citrix ADC MPX 26000-100G 设备可能会变得无响应。

    [NSBASE-11747]

用户界面

  • 在 Cookie 一致性设置 GUI 页面上,“仅解密”Cookie 选项拼写不正确。

    [NSUI-16857]

  • 在 Web App Firewall 配置文件 GUI 页面上编辑放宽规则时,页面底部会显示一条错误消息。该错误是由于内部框架问题而发生的。

    [NSUI-16806]

  • 在群集设置中,“机器人管理”功能不出现在导航菜单的“安全”下。

    [NSUI-16796]

  • Citrix ADC GUI 可能不会在 Microsoft Internet Explorer 浏览器中显示“保存并刷新”按钮。

    [NSHELP-24774]

  • 当 Citrix ADC 设备为以下内容调用“appfwlearningdata”API 时,Citrix ADC GUI 上会出现间歇性的 WSI 错误消息缺少必需参数 [ProFileName]。

    • XMLDOS
    • XML 附件
    • WSI 检查

    [NSHELP-24648]

  • 在群集和高可用性设置中都观察到以下行为:
    • 在群集设置中,从 CLIP 的“/nsconfig/ssl”路径中删除的文件即使在同步后也不会反映在非 CCO 节点上。
    • 在高可用性设置中,即使同步后,从主节点的“/nsconfig/ssl”路径中删除的文件也不会反映在辅助节点上。

    [NSHELP-24578]

  • 与命令界面相比,Citrix ADC GUI 显示的缓存对象数量较少。

    [NSHELP-24337]

  • 升级到 Citrix ADC 13.0 build 56.x 后,Citrix Web App Firewall 正则表达式评估器无法按预期工作。

    [NSHELP-24212]

  • Citrix ADC GUI 不以图形格式显示所选流标识符的“Top CLIENT.UDP.DNS.DOMAIN”统计数据。

    [NSHELP-23777]

  • 执行“saveconfig - all”命令后,管理分区的最后保存时间未准确更新。

    [NSHELP-23740]

  • 运行“set cs policy”命令时,不会发生 GSLB 配置从主站点到从属站点的实时同步。

    [NSHELP-23393]

  • 在 Citrix ADC 设备中,HTTPD 在处理 NITRO API 调用时可能会转储内核。

    [NSHELP-23208]

  • 在 Citrix ADC GUI 中,Web App Firewall 配置文件页面没有下一个或上一个导航选项,无法在列表窗格中查看 25 个以上的配置文件。

    导航:安全-> Citrix Web App Firewall -> 配置文件

    [NSHELP-22622]

  • 生成更正命令时,“nsconfigaudit”配置差异工具不维护同一资源组中的命令顺序。

    [NSHELP-21791]

  • 在 Citrix ADC MPX 设备上,要将池容量许可证转换为永久许可证,必须先删除池化许可配置,然后删除池容量许可证。

    [NSCONFIG-4167]

已知问题

13.0-67.43 版本中存在的问题。

身份验证、授权和审核

  • 通过 Citrix ADC GUI 进行配置时,您无法在 LDAP 服务器中取消设置“memberof”中的组属性。

    [NSHELP-26199]

  • Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

    [ NSHELP-563 ]

  • DualAuthPushOrOTP.xml LoginSchema 未正确显示在 Citrix ADC GUI 的登录架构编辑器屏幕中。

    [NSAUTH-6106]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
    show adfsproxyprofile <profile name>

    解决方法:连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

  • 当您尝试解除策略与因素的绑定时,您可能会在 nFactor Visualizer 的 nFactor Flow 页面上看到“不存在这样的策略”消息。取消绑定选项按预期工作。

    [NSAUTH-5821]

缓存

  • 如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

    [NSHELP-22942]

Citrix Gateway

  • 当服务器启动的连接在连接关闭后发送数据包时,Citrix Gateway 设备崩溃。

    [NSHELP-26431]

  • Citrix Gateway 登录页面显示一条错误,指出如果满足以下一系列条件,则登录失败。即使用户没有尝试再次登录,也会出现错误。

    1. 登录 Citrix Gateway 失败。
    2. 成功登录 Citrix Gateway。
    3. 用户注销。

    [NSHELP-25157]

  • Gateway Insight 不会显示有关 VPN 用户的准确信息。

    [ NSHELP-23937 ]

  • Gateway Insight 中报告了应用程序的错误启动失败。未启动应用程序或桌面时会报告启动失败。

    [NSHELP-23047]

  • 如果满足以下条件,Citrix ADC 设备将变得无响应:

    • DTLS 已启用。
    • UDP 多路传输使用 DTLS 信道并高速泵送流量。

    [NSHELP-22987]

  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [ NSHELP-21897 ]

  • 使用 XenApp 和 XenDesktop 向导添加身份验证虚拟服务器时,测试该身份验证服务器的连接失败。

    [CGOP-16792]

  • 如果满足以下两个条件,则转移登录不起作用:

    • nFactor 身份验证已配置。
    • Citrix ADC 主题设置为默认值。

    [CGOP-14092]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [CGOP-13584]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

    [CGOP-13511]

  • 接受来自浏览器的本地主机连接时,适用于 macOS 的“接受连接”对话框将以英语显示内容,而不考虑所选的语言。

    [CGOP-13050]

  • Citrix SSO 应用程序 > 主页中的文本“主页”在某些语言中被截断。

    [CGOP-13049]

  • 从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

    [CGOP-11830]

  • 在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外,页面变得无响应。

    [CGOP-7269]

负载平衡

  • 在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

    [NSLB-7679]

  • Citrix ADC 设备在处理无效的会话初始化协议 (SIP) 数据包时可能会崩溃。

    [NSHELP-26202]

  • 当内容交换虚拟服务器收到 HTTPS 请求时,当满足以下条件时,HTTPS 请求中最大的 cookie 会导致缓冲区溢出和堆栈损坏:

    • Cookie 格式不正确。
    • cookie 的长度大于 32 字节。

    [NSHELP-25932]

  • 当您修改名称与其 IP 地址不同的服务器的后端服务器 IP 地址时,您可能无法保存完整的配置。这是一种罕见的情况,如果 Citrix ADC 设备内存不足,可能会发生。

    [NSHELP-24329]

  • 如果从主站点到从属站点的配置同步失败,SNMP 警报的生成可能会延迟。

    [NHELP-23391]

网络连接

  • newnslog 备份文件数量增加时,可能会在一段时间内导致正在运行的 Citrix ADC CPX 实例的磁盘空间紧张。使用 NEWNSLOG_MAX_FILENUM 环境变量,您可以控制备份文件的数量。通过将环境变量值设置为 10,可以将 newnslog 备份文件的最大数量限制为 10。

    [ NSNET-20261 ]

  • Citrix ADC BLX 设备现在支持 Citrix ADC IPv6 OSPF (OSPFv3) 动态路由协议功能。欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/current-release/networking/ip-routing/configuring-dynamic-routes/configuring-ipv6-ospf.html

    [NSNET-19567]

  • 如果您已将接口绑定到处于关闭状态的 DPDK,则处于 DPDK 模式的 Citrix ADC BLX 设备无法检测到接口。

    解决方法:不要将 DOWN 接口绑定到 DPDK。

    [NSNET-16561]

  • Citrix ADC BLX 设备不支持以下接口操作:

    • 禁用
    • 启用
    • 重置

    [NSNET-16559]

  • 如果存在以下情况,Citrix ADC 设备可能会崩溃:

    • IPv6 链路负载平衡 (LLB6) 配置已启用持久性选项。
    • 为此 LLB6 配置创建了一些 IPv6 虚拟连接

    [NSHELP-25695]

  • 当您使用 StyleBook 将配置推送到群集实例时,命令会失败并出现“命令传播失败”错误消息。
    在连续出现故障时,群集会保留部分配置。
    解决方法:

    1. 从日志中识别失败的命令。
    2. 手动将恢复命令应用于失败的命令。

    [NSHELP-24910]

平台

  • 在 Citrix ADC SDX 15000-50G 设备上,如果未定向任何 ADC VPX 实例的数据流量短暂激增,则可能会出现以下问题:

    • 10G 端口上的 LACP 链路可能会间歇性断开或永久关闭。

    解决方法:

    1. 找出与 10G 端口对应的内部 ethX 端口
    2. 在 Citrix Hypervisor 外壳提示符下运行以下命令:ethtool -G ethX rx 4096 tx 512
    3. 查看流量配置文件以阻止交换机端不需要的流量

    [NSHELP-25561]

  • 默认情况下,在配置为内部管理接口的管理接口上禁用高可用性监视器 (HAMON) 和 HA 心跳信号。此外,无法在此接口上启用 HAMON 和 HA 心跳信号。
    稍后,如果将相同的接口配置回管理接口并重新启动 VPX 实例,则 HAMON 和 HA Heartbeat 选项仍处于禁用状态。
    但是,您现在可以手动启用这些选项,以避免 HA 配置出现任何问题。

    [NSHELP-21803]

策略

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法: 将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

  • 以下问题可能会导致高可用性设置中的故障转移:

    如果许多非 HTTP、非 TCP 数据包在处理被阻塞后排队等待处理。

    [NSHELP-23506]

SSL

  • 在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

    解决方法:

    1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
    2. 保存配置。

    [NSSSL-9572]

  • 更新命令不适用于以下添加命令:

    • 添加天蓝色应用
    • 添加天蓝色密钥库
    • 使用 hsmkey 选项添加 ssl 证书密钥

    [NSSSL-6484]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
    ERROR: crl refresh disabled

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

  • 在群集设置中,您可能会观察到以下问题:

    • 缺少绑定到 CLIP 上 SSL 内部服务的默认证书密钥对的命令。但是,如果从旧版本升级,则可能必须将默认证书密钥对绑定到 CLIP 上受影响的 SSL 内部服务。
    • 对于内部服务的默认 set 命令,CLIP 和节点之间的配置差异。
    • 在节点上运行的 show running config 命令的输出中缺少到 SSL 实体的默认密码绑定命令。遗漏只是显示问题,对功能没有影响。可以使用 show ssl <entity> <name> 命令查看绑定。

    [NSHELP-25764]

  • 在群集设置中,如果删除了任何证书或密钥文件,则不允许更改证书配置。

    [NSHELP-24913]

用户界面

  • 创建/监视 CloudBridge Connector 向导可能会变得无响应或无法配置 CloudBridge连接器。

    解决方法: 使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge Connector。

    [NSUI-13024]

  • 编辑现有虚拟服务器持久性配置时,负载平衡虚拟服务器持久性视图无法显示所有参数。

    [NSHELP-25965]

  • 在群集设置中,当在所有群集节点上配置大型配置(例如,将 100 个负载平衡虚拟 IP 地址绑定到具有多个响应程序策略和 IP 路径集的 Citrix Web App Firewall 配置文件)时,会出现延迟。

    [NSHELP-25458]

  • 在 GUI 中选中“直播会话”(AppExpert > Action Analytics > Stream ID)时,刷新按钮不起作用。

    [NSHELP-24195]

  • 在管理分区设置中,上载和添加证书吊销列表 (CRL) 文件失败。

    [NSHELP-20988]

  • Citrix ADC 设备不支持使用 NITRO API 添加大于 2 MB 的 CRL 文件。

    [NSHELP-20821]

  • 在 Citrix ADC BLX 设备中,GUI 中的“报告”选项卡可能无法按预期运行。

    [NSCONFIG-4877]

  • 将 Citrix ADC 设备版本 13.0-71.x 降级到较早版本时,由于文件权限更改,某些 Nitro API 可能无法正常工作。

    解决方法:将“/nsconfig/ns.conf”的权限更改为 644。

    [NSCONFIG-4628]

  • 当满足以下条件时,ADC 实例和 ADM 服务之间的连接将断开:

    • 使用内置代理将实例添加到 ADM 服务。
    • 使用-Y 选项或从 ADM GUI 升级实例。在这两种情况下,内置代理都不会重新启动。-Y 选项提供“是”作为 CLI 或 GUI 上出现的所有与升级相关的问题的答案。

    [NSCONFIG-4368]

  • 有时,应用程序防火墙签名需要很长时间才能同步到非 CCO 节点。因此,使用这些文件的命令可能会失败。

    [NSCONFIG-4330]

  • 如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

    1. 将 Citrix ADC 设备升级到其中一个版本:
    • 13.0 52.24 Build
    • 12.1 57.18 Build
    • 11.1 65.10 Build
    1. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    2. 将 Citrix ADC 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表:
    在命令提示符处,键入:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    解决方法:

    要解决此问题,请使用以下独立选项之一:

    • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
    • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
    • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

    欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Citrix ADC 13.0-67.43 版本的发行说明