产品文档
ADC
14.1 - Current Release 13.1 13.0 12.1
查看 PDF

Citrix ADC 13.0-76.31 版本的发行说明

April 15, 2024
投稿者: 
C

本发行说明文档介绍了 Citrix ADC 版本 Build 13.0-76.31 中存在的增强和更改、已修复和已知问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
  • Build 76.31 取代了 Build 76.29
  • 版本 76.31 中的其他修复程序:NSAUTH-10135
  • 发行说明版本 2.0 中添加的其他已知问题:NSNET-21173

新增功能

版本 13.0-76.31 中提供的增强和更改。

身份验证、授权和审核

  • 重写对 Citrix ADC 和 Citrix Gateway 生成的响应的策略支持,包括 401 和 407 个响应

    随着 CSP 标头的实施,对重写策略的支持现已扩展到 Citrix Gateway 虚拟服务器和身份验证虚拟服务器生成的响应,包括 401 和 407 个响应。

    欲了解更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/aaa-rewrite.html

    [NSAUTH-8809]

  • 支持 Citrix ADC 和 Citrix Gateway 生成的响应的默认安全 CSP 标头和重写策略

    以下功能现已添加到 Citrix Gateway 虚拟服务器和身份验证虚拟服务器。

    • 用于 Citrix ADC 生成的响应的重写策略的基础架构
    • 对默认安全 CSP 标头的配置支持

    欲了解更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/aaa-rewrite.html

    [NSAUTH-1421]

机器人管理

  • 使用 ADM 样书管理机器人

    现在,您可以使用 ADM 样书在 ADC 实例上配置机器人管理设置。ADM 为您提供了一个默认样书(“机器人管理”),用于创建机器人策略配置。它包含许多描述恶意机器人功能的标准。ADC 实例使用此配置来识别和阻止此类机器人威胁和恶意流量。

    [NSBOT-84]

  • 机器人日志表达式

    现在,如果传入流量被识别为机器人,Citrix 机器人管理配置文件允许您捕获其他数据作为日志消息。数据可以是请求 URL 的用户的姓名、源 IP 地址和用户发送请求的源端口。

    欲了解更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html

    [NSBOT-49]

  • 提取客户端 IP 地址以进行机器人检测

    现在,您可以在机器人配置文件中配置高级策略表达式,用于从 HTTP 请求标头、HTTP 请求正文或 HTTP 请求 URL 中提取客户端 IP 地址。提取的值可以由机器人检测机制(例如每秒交易 (TPS)、机器人陷阱或速率限制)用来检测传入的请求是否是机器人。

    通过添加此配置,Citrix ADC 设备可以利用机器人检测机制为软件客户端和服务器提供增强的安全性。

    欲了解更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html

    [NSBOT-48]

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 设备上,可以通过配置外部身份验证和禁用回退到默认管理员访问权限来禁用默认管理员 (nsroot) 访问权限。但是,如果外部服务器没有响应,则会自动启用默认管理员访问权限(本地身份验证)以重新获得对设备的访问权限。

    [NSSVM-4276]

  • 在 Citrix ADC SDX 设备上,可以修改许可证服务器以提供新的详细信息,而无需取消 ADC 实例的许可。

    [NSSVM-2939]

Citrix Gateway

  • 在 Citrix ADC 日志中显示 nFactor EPA 扫描的状态

    Citrix ADC 设备记录用于预身份验证和身份验证后的 nFactor EPA 扫描状态以及案例 ID。问题编号将在 EPA 错误 HTML 页面中显示给最终用户。案例 ID 以及所有已通过或失败的扫描也会记录在设备中。

    [CGOP-12110]

Citrix Web App Firewall

负载平衡

  • 减少了在 GSLB 站点之间同步 GSLB 配置所花费的时间

    现在,由于压缩了与远程站点同步的文件,因此在 GSLB 站点之间同步 GSLB 配置所花费的时间已大大缩短。

    [NSLB-7399]

  • 将 GSLB 服务移至学习阶段,以避免 GSLB 服务出现跳动

    现在,可以使用参数 svcStateLearningTime 将本地和子 GSLB 服务移至学习阶段,以避免远程 GSLB 站点出现不必要的波动。当服务处于学习阶段时,远程 GSLB 站点不遵守通过 MEP 接收的主站点状态和该服务的统计信息。但是,如果明确绑定,则可以从运行状况监视器中了解站点的状态。
    你可以以秒为单位设置 svcStateLearningTime。默认值为 0,最大值为 3600。
    在以下任何情况下,GSLB 服务都会进入学习阶段。

    • Citrix ADC 设备已重新启动
    • 已发生高可用性故障转移
    • 群集 GSLB 设置中的所有者节点已更改
    • 在本地节点上启用 MEP
    • GSLB 网站出现了岛屿场景。当 GSLB 站点未连接到任何其他站点时,它就变成孤岛。

    在父子部署中,当主父站点(如果已配置)关闭时,备份父站点(如果已配置)有选择地将收养的子站点 GSLB 服务移至学习阶段。

    欲了解更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/current-release/global-server-load-balancing/configuring-metrics-exchange-protocol.html

    [NSLB-6707]

网络连接

  • 用于账户结构变更的高可用性版本控制

    在高可用性设置中,ISSU 进程使用节点到节点 TCP 通信框架来同步或尊重现有连接。

    如果两个节点中的框架结构大小不匹配,则设备可能会在 ISSU 过程中崩溃。

    修复后,Citrix ADC 设备仅在两个节点上的框架结构大小相同时运行 ISSU 迁移。

    如果结构大小不匹配,Citrix ADC 设备不会运行 ISSU 迁移操作并显示错误消息。

    [NSNET-15370]

平台

  • 在 Azure、GCP 和 AWS 云上首次启动 Citrix ADC 设备时支持 Citrix ADC VPX 配置

    现在,您可以在云环境中首次启动 Citrix ADC 设备时应用 Citrix ADC VPX 配置。在某些情况下,例如 Citrix ADC 池化许可,此功能可在更短的时间内启动 VPX 实例。您可以通过以 XML 格式向云实例提供脚本、元数据或用户数据来使用此功能。此功能可在 Microsoft Azure、Google 云端平台和 AWS 云中使用。

    欲了解更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/apply-vpx-config-at-preboot.html

    [NSPLAT-14774]

  • 在 Citrix ADC VPX 实例上支持 Azure 加速联网

    Citrix ADC VPX 实例现在支持 Azure 加速网络。加速的网络连接可将单根 I/O 虚拟化 (SR-IOV) 虚拟函数 (VF) NIC 连接到虚拟机,从而提高网络性能。可以将此功能用于需要以更高吞吐量发送或接收数据的繁重工作负载,具有可靠的流技术推送和较低的 CPU 利用率。

    当 NIC 启用加速联网时,Azure 会将 NIC 现有的准虚拟化 (PV) 接口与 SR-IOV VF 接口捆绑在一起。SR-IOV VF 接口的支持可实现并增强 Citrix ADC VPX 实例的吞吐量。

    欲了解更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/deploy-vpx-on-azure/configure-vpx-to-use-azure-accelerated-networking.html

    [NSPLAT-13235]

系统

  • 在 TLS 握手后解析 SSL 和 SSL-TCP 流量的代理协议

    根据 RFC,在 TCP 握手期间,代理协议是在最终的 ACK 之后解析的。但是,该功能现已增强,可以在TLS握手后解析SSL和SSL-TCP流量的代理协议。通过在 TLS 握手后进行解析,代理协议数据经过 TLS 加密且更安全。要执行此解析,你必须在网络配置文件中启用 “proxyProtocolAfterTLSHandShake” 参数。启用参数时,设备会在 TLS 握手之后解析代理协议,而不是在 TCP 握手的最终确认之后解析代理协议

    使用 TLS 握手后使用命令界面配置代理协议:

    在命令提示符处,键入:
    add netprofile <name> -proxyProtocolAfterTLSHandshake ENABLED 其中 ProxyProtocol 和 ProxyProtocolAfterTLSHAKE 参数相互排斥。

    [NSBASE-12491]

  • 为 HTTP3/QUIC 流量部署 QUIC 桥接器

    Citrix ADC 设备现在支持 HTTP3 QUIC 流量的 QUIC 桥接配置。部署使您能够在 NAT 重新绑定或连接迁移的情况下在客户端和服务器之间建立持久的 QUIC 连接。

    QUIC 桥接配置的优点:

    • 没有昂贵的加密操作。
    • 可以进行无状态路由(不支持基于 4 元组的负载均衡)。

    欲了解更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/current-release/system/quic.html

    [NSBASE-10636]

  • 支持其他地址通告 (ADD_ADDR)

    在 MPTCP 部署中,如果您的虚拟服务器绑定了具有其他虚拟服务器 IP 地址的 IP 集,则附加地址通告 (ADD_ADDR) 功能会通告绑定到该 IP 集的虚拟服务器的 IP 地址。此 IP 集是客户端可以启动新的 MP-JOIN 子流程的 IP 集。

    欲了解更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/current-release/system/tcp-configurations.html

    [NSBASE-9076]

用户界面

  • 如果为同一根证书添加了内部 OCSP 响应程序,则无法使用 GUI 将外部 OCSP 响应程序绑定到根证书。

    [NSUI-1145]

已修复的问题

版本 13.0-76.31 中解决的问题。

身份验证、授权和审核

  • 在极少数情况下,如果配置为 OAuth IdP 的 Citrix ADC 设备未发送指定格式的 JWT 令牌,OAuth 身份验证将失败。

    [NSHELP-26323]

  • 如果用户使用过期的时间戳登录,Citrix ADC 设备会发送无效的回帖 URL 以重新登录。

    [NSHELP-26285]

  • 在某些情况下,添加多个与 EPA 相关的身份验证策略会导致 CPU 管理水平较高。

    [NSHELP-26281]

  • 在某些情况下,Citrix ADC 设备会崩溃,因为默认操作绑定到没有登录架构的策略。

    [NSHELP-26192]

  • 在某些情况下,如果用户身份验证信息不可用,Citrix ADC 设备可能会变得无响应。

    [NSHELP-26113]

  • 在某些情况下,Samesite cookie 中存在的 “安全” 和 “域” 等属性不用逗号分隔,而是显示为一个属性。

    [NSHELP-25825]

  • 在某些情况下,当用户尝试配置自定义 EULA 登录架构时,Citrix ADC 设备可能会崩溃。

    [NSHELP-25570]

  • KBA 注册登录架构中的系统定义问题仅以英文显示,并且不为这些问题提供语言本地化支持。

    [NSHELP-25484]

  • Citrix ADC 设备在充当 ADFS 代理时会丢弃一些有效的请求。

    [NSHELP-25427]

  • 如果 Citrix ADC 设备配置为 nFactor 身份验证并升级到版本 13.0,则用于访问 Citrix ADC 设备的端点(例如 iPad)将获得基于 401 的身份验证,而不是基于表单的身份验证。

    [NSHELP-25309]

  • 为用户证书数据配置 FIPS 证书时,Citrix ADC 设备崩溃。

    [NSHELP-25264]

  • 如果观察到以下问题,Citrix ADC 设备可能会崩溃:

    • 内存分配无效。
    • Web App Firewall 配置了基于表单的 SSO 身份验证。

    [NSHELP-24551]

  • 当 Citrix ADC 或 Citrix Gateway 设备使用 Kerberos 身份验证然后执行 LDAP 用户搜索操作时,在以下情况下身份验证会失败。
    LDAP 用户主体名称 (UPN) 与 Kerberos 票证提供的用户名不同。

    [NSHELP-24384]

  • 在某些情况下,当满足以下条件时,SAML 身份验证会中断:

    • Citrix ADC 设备被配置为 SAML SP。
    • “域下拉列表” 配置为 Citrix ADC 设备上的一个因素。
    • SAML 策略是根据 “域下拉列表” 因素的输入进行评估的。

    [NSAUTH-10135]

  • 当 Citrix Gateway 用户界面相关请求的标头大小超过 1024 个字符时,Citrix ADC 设备会以 400 错误代码进行响应。

    [NSAUTH-9475]

机器人管理

  • 机器人黑名单检测技术的新机器人操作

    “无” 和 “重定向” 已添加到可以为机器人阻止列表检测技术选择的操作列表中。

    [NSBOT-397]

  • 机器人每秒交易 (TPS) 功能无法按预期运行。

    [NSBOT-353]

  • 当您在 Citrix ADC 群集配置中编辑或更新机器人签名时,Citrix ADC 设备会显示以下错误:

    “签名更新失败-更新资源失败”

    [NSBOT-345]

  • 机器人陷阱 URL 会插入到所有请求中,包括未在 “陷阱插入 URL” 列表中定义的 URL。

    [NSBOT-316]

  • 在禁言期过后,CAPTCHA 缓解过程不会重新初始化以满足客户端的请求。

    [NSBOT-224]

  • 对于 “删除”、“重置” 和 “重定向” 机器人操作,机器人陷阱 URL 日志无法按预期运行。

    [NSBOT-184]

缓存

  • 配置缓存内容组时,在缓存控制标头的最大年龄值中观察到无效的宽空格。

    [NSHELP-20066]

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 8400/8600 平台上,运行状况监控可能会显示加密错误。

    [NSHELP-26500]

  • 在 Citrix ADC SDX 设备上,备份设备时,不会收集 ADC 实例中的 “geodb” 详细信息。

    [NSHELP-26190]

  • 如果您在配置 Citrix ADC 实例时开始删除该实例,则数据库中可能仍存在已删除实例的 FIPS 分区条目。

    [NSHELP-25909]

  • 在 Citrix ADC SDX 设备上,如果同时出现以下情况,则管理服务和 VPX 实例之间的密码可能不匹配:

    • 管理服务密码已更改。
    • VPX 实例会针对任何更改(例如内存、CPU 和配置文件)进行修改。

    [NSHELP-25709]

  • 在 Citrix ADC SDX 设备上,如果接口或通道上允许的 VLAN 列表超过 100 个字符,则配置或恢复 VPX 可能会失败。

    [NSHELP-25702]

  • 当 Citrix ADC SDX 设备重新启动并且管理服务在 ADC 实例之前启动时,管理服务假定实例状态为 “已停止”。因此,管理服务不会为实例添加路由条目,实例状态变为关闭。

    [NSHELP-25674]

  • 如果您在 Citrix ADC SDX 设备上执行出厂重置,则该设备的主机 ID 将首次更改。如果满足以下条件之一,则会发生更改:
    1. 您可以恢复在管理接口上配置了链路聚合通道的设备。
    2. 管理接口上的链路聚合通道被删除。

    [NSHELP-25670]

  • 在 Citrix ADC SDX 设备上,如果内存使用率超过阈值持续超过 15 分钟,管理服务就会引发事件。

    [NSHELP-25668]

  • 在 Citrix ADC SDX 设备上,如果您删除管理接口的链接聚合,管理服务主机 ID 可能会更改。因此,设备许可可能会受到影响。

    [NSHELP-25636]

Citrix Gateway

  • 有时,使用 macOS 版 EPA 插件进行端点分析扫描会失败,因为插件会在 5 秒钟后超时,结果扫描会在完成之前退出。

    [NSHELP-26305]

  • 有时,当从 GUI 或 CLI 启动跟踪时,Citrix ADC 设备会崩溃。

    [NSHELP-26249]

  • 如果 “rdpLinkAttribute” 属性大小大于 64 个字符,Citrix ADC 设备可能会崩溃。

    [NSHELP-26068]

  • Citrix Gateway 插件无法建立完整隧道并在输入凭据后显示本地驱动器的内容。

    [NSHELP-25899]

  • 运行 show icaconnection 命令时,数据包引擎在获取 ICA 连接条目时崩溃。之所以发生此崩溃,是因为 ICA 连接列表中的 ICA 连接信息已过时。

    [NSHELP-25420]

  • 在 Citrix ADC GUI 中, 身份验证、授权和审计组 页面中存在的 “ 添加 ” 选项卡不允许编辑 “ 权重 ” 字段。

    [NSHELP-25200]

  • 如果使用 FQDN 通过 SSL 连接配置 WiHome 或 StoreFront,则在启动过程中不会协商 ECDHE 密码。

    [NSHELP-25144]

  • 为 rfWebUI 主题配置 Citrix Gateway 时,重定向到 ShareFile 失败。

    [NSHELP-25133]

  • 由于字符串终止不正确,Citrix Gateway 在解码 cvpnv2 数据包时崩溃。

    [NSHELP-24718]

  • 在极少数情况下,如果 “nshttp_profile_ids” 目录已填满存储空间,Citrix Gateway 登录页面的加载速度会很慢。

    [NSHELP-24705]

  • 如果满足以下条件,Citrix ADC 设备会间歇性地崩溃:

    • CA 证书已添加到 VPN 虚拟服务器。
    • 在 SSL 虚拟服务器上,OCSP 对 CA 证书的检查设置为强制检查。

    [NSHELP-24676]

  • StoreFront 服务器的响应延迟可能会导致 Citrix Gateway GUI 相关操作缓慢或 “在 dispatch_netsvc 时超时” 错误消息。

    [NSHELP-24437]

  • 运行 clear config 命令后,“显示审计消息” 命令显示所有日志级别的日志,而不是配置的日志级别。

    [NSHELP-24237]

  • Citrix ADM 显示用户在连接到 VPN 时使用的带宽不正确。

    [NSHELP-23855]

  • 在 Director 中无法观察到单个会话的 HDX Insight 数据。建立 Citrix ADC 应用程序体验 (NSAP) 会话时会出现此问题。

    [NSHELP-23834]

  • 在 Analytics > Gateway Insight 中的 “身份验证” 下,它显示了不正确的身份当您在 ADC 实例中配置 NO_AUTH 操作时,会出现此问题。

    [NSHELP-2017]

  • 如果启用了具有高级加密功能的 HDX Insight,则会观察到内存泄漏。

    [CGOP-15689]

Citrix Web App Firewall

  • HTML、XML 和 JSON 请求的错误响应代码

    在集群配置中,如果配置文件默认配置为高级或基本,则 HTML、XML 和 JSON 请求的错误响应代码设置为 “0” 而不是 “200”。

    欲了解更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/current-release/application-firewall/top-level-protections/profiles/custom-error-status-and-message-for-html-xml-json-error-object.html

    [NSWAF-7275]

  • 在集群升级期间,如果会话密钥大小不如预期,Citrix ADC 设备可能会崩溃。

    [NSWAF-7080]

  • 如果将无会话字段一致性参数设置为 “Postonly”,则会在样书中观察到审计错误。

    [NSWAF-6894]

  • 升级 Citrix ADC 群集配置后,签名 URL 会被修改。

    [NSWAF-6844]

  • 在 Citrix ADC 设备崩溃后,aslearn 进程不会自动启动。

    [NSWAF-6766]

  • 在 Citrix ADC 设备中,多种文件类型的文件上传放宽规则无法按预期运行。

    [NSHELP-26313]

  • 由于 Citrix ADC 设备上的内存使用率很高,负载平衡和内容切换 SSL 服务无法响应。

    [NSHELP-25587]

  • 获取 xmlwsiCheck 学习数据的 Nitro API GET 调用在响应中返回空数据。

    [NSHELP-2550]

  • 如果启用了 “checkRequestHeaders” 和 “HTML SQLi” 保护,Citrix Web App Firewall 学习引擎可能会错误地获取 “值类型” 和 “值” 参数的空值。

    [NSHELP-25549]

  • 对于 XML 数据,SOAP 封套验证可能失败。

    [NSHELP-24412]

负载平衡

  • SSL 会话 ID 的内存限制已增加,以容纳每个数据包引擎的最大 SSL 会话 ID 持久性条目 166M。以前,由于内存限制,SSL 会话 ID 条目的数量限制为 106M。

    [NSLB-7796]

  • 如果满足以下条件,Citrix ADC 设备可能会在显示内容交换策略绑定时崩溃:

    • 在内容交换虚拟服务器上启用 Cookie 持久性。
    • 目标虚拟服务器的类型为 VPN。

    [NSHELP-25652]

  • 当在 DNS 监控器探测的响应中收到截断的响应时,后续的 DNS 监控器探测不会发送到 TCP 名称服务器。

    [NSHELP-25527]

  • 如果同时配置 GSLB 和非 GSLB 服务组,Citrix ADC 设备在更新 GSLB 服务组的 AutoScale 成员时可能会崩溃。

    [NSHELP-25361]

  • 在高可用性设置中运行 add locationfile 或 add locationfile6” 命令时,自定义位置条目可能会被删除。

    [NSHELP-23775]

  • 启用 DNS 日志记录并收到格式错误的 DNS 查询时,Citrix ADC 设备可能会崩溃。

    [NSHELP-21959]

网络连接

  • 在确定性大规模 NAT (LSN) 设置中,将 Citrix ADC 设备从版本 11.1 升级到 12.1 版或版本 13.0 后,会出现以下问题。

    NAT IP 地址和端口块是基于 “IPADDRS” 分配策略而非 “端口” 分配策略分配的。

    默认情况下,“PORTS” 类型是 11.1 版本中唯一存在的确定性分配策略,没有任何配置选项。

    在版本 12.1 或 13.0 版本中,“IPADDRS” 类型被设置为默认的确定性分配策略。

    因此,在 Citrix ADC 升级过程中,具有 “端口” 分配策略的确定性 LSN 配置将转换为 “IPADDRS” 分配策略。

    作为修复的一部分,在以下版本中,默认的确定性分配策略现已设置为 “PORTS”:

    • 版本 12.1 build 61.18 及更高版本
    • 13.0 版本 76.x 及更高版本

    [NSNET-19469]

  • 如果满足以下所有条件,则将节点加入群集设置可能会失败:

    • 待加入的节点的 CLIP 地址和 NSIP 地址是不同的网络。
    • 要加入的节点中存在的 SNIP 地址与 CLIP 地址具有相同的网络地址。
    • 在将节点加入群集设置时,使用 SNIP 作为源 IP 地址和 CLIP 作为目标 IP 地址启动连接。
    • CLIP 地址重置连接。

    [NSNET-18438]

  • 具有多个数据包引擎的 Citrix ADC BLX 设备可能无法生成 SNMP 陷阱消息。

    [NSNET-11296]

  • 在高可用性设置中,当满足以下条件时,辅助节点可能无法访问主节点上的 IP 地址:

    • 使用接口的 VMAC 地址,主节点通过该接口与辅助节点通信。

    [NSHELP-25747]

  • 启用了 USIP 的 FTP 和 SFTP 负载平衡配置可能无法在 Citrix ADC 设备中正常运行,原因如下:

    未在客户端会话信息中设置内部标志,导致 FTP 和 SFTP 负载平衡会话的虚拟 IP 地址上的端口泄漏。

    [NSHELP-25569]

  • 在群集设置中,FTP 数据流量的 RNAT 配置可能会间歇性失败。

    [NSHELP-25566]

  • 由于 LSN 模块中存在内部存储器同步问题,Citrix ADC 设备可能会崩溃。

    [NSHELP-25105]

  • 在高可用性设置中,如果满足以下条件,辅助节点可能会在重新启动后崩溃:

    • 主节点中存在大量活动 LSN 会话
    • 在辅助节点中这些大量 LSN 会话的同步过程中,Pitboss 进程崩溃并重新启动

    [NSHELP-25068]

  • 在集群 CLAG 设置中,当新的主动节点(被动到主动)的监视器探测器在 CLAG 启动之前发送 ND6 时,您可能会发现以下问题:

    • 来自新主动节点的 ND6 请求持续失败。
    • 新主动节点拥有的某些服务已关闭。

    [NSHELP-25010]

  • 对于没有直接路由到下一跳的 PBR6 规则,Citrix ADC 设备可能会错误地丢弃 RNAT6 处理过的数据包,但出现错误。

    [NSHELP-24632]

  • 在高可用性设置中,由于数据包引擎和内部网络模块对数据的处理不当,SNMP 模块可能会反复崩溃。
    SNMP 模块反复崩溃会触发 HA 故障转移。

    [NSHELP-24434]

平台

策略

  • 如果在密钥文本中使用 UTF-8 字符,则策略字符串映射可能不起作用。

    [NSHELP-25357]

  • 如果观察到以下情况,Citrix ADC 设备可能会崩溃:

    • HTTP 配置文件的最大标头长度设置为 61440 字节。
    • 策略表达式 “HTTP.REQ.URL” 是在 URL 长度大于 61440 字节的请求上处理的。

    [NSHELP-24476]

  • 在您尝试按优先级将策略绑定到已绑定其他策略的标签后,Citrix ADC 设备可能会在 ASYNC 恢复期间崩溃。

    [NSHELP-18493]

SSL

  • 在集群设置中,某些集群节点可能不接受会话票证的重用请求,但是 SSL 完全握手会成功。

    [NSSSL-3161]

  • 如果满足以下条件,Citrix ADC 设备可能会转储内核:

    • 设备内存不足。
    • DTLS 已启用。
    • 调试级别日志已启用。

    [NSHELP-26114]

  • 如果在 Citrix ADC 设备上启用了强密码选项,则可能无法添加受密码保护的证书密钥对。通过此修复,始终可以成功添加受密码保护的证书密钥对。但是,降级到较早版本会导致证书密钥配置丢失。
    此外,在证书密钥对的 NITRO API 响应中,发送的是 passplain 变量而不是 passcrypt 变量。

    [NSHELP-25675]

  • 在 MPTCP 连接上使用 SSL 转发时,以下计数器显示较大值:

    • 转发虚拟服务器上的 MPTCP 会话计数器。
    • 原始虚拟服务器上的当前客户端连接计数器。

    当连接从原始虚拟服务器转发到转发的虚拟服务器时,转发虚拟服务器上的 MPTCP 会话计数器不会增加。但是,当 MPTCP 连接被释放时,计数器会减少。结果,计数器的值变为负数。

    当连接从原始虚拟服务器转发到转发的虚拟服务器时,原始虚拟服务器上的当前客户端连接计数器会错误地减少。结果,计数器的值变为负数。

    计数器值现在按如下方式计算:

    计数器:当前的客户端连接

    • 原始虚拟服务器上的值:常规 TCP 连接 + 任何状态下的 MPTCP 子流
    • 转发的虚拟服务器上的值(SSL 转发):任何状态下的常规 TCP 连接

    计数器:当前的客户端测试连接

    • 原始虚拟服务器上的值:常规 TCP 连接 + MPTCP 子流连接处于已建立状态
    • 转发的虚拟服务器上的值(SSL 转发):已建立状态下的常规 TCP 连接

    计数器:当前多路径 TCP 子流

    • 原始虚拟服务器上的值:MPTCP 仅对连接进行子流动
    • 转发的虚拟服务器上的值(SSL 转发):0(子流在原始虚拟服务器上终止)

    计数器:当前的多路径 TCP 会话

    • 原始虚拟服务器上的值:仅限 MPTCP 会话
    • 转发虚拟服务器上的值(SSL 转发):转发的 MPTCP 会话(在原始虚拟服务器上递减并在此处递增)

    [NSHELP-25555]

  • 添加 SSL_TCP 虚拟服务器并向其附加 SSL 配置文件后,“redirectPortRewrite” 设置可能被错误地启用。因此,在未来的升级中可能会丢失一些配置。

    RedirectPortRewrite 设置仅对 HTTP 虚拟服务器有效。

    [NSHELP-22984]

  • 触发 “forward” ssl 操作时,计数器 “C_urrent Client Est 连接_” 在流量转发到的虚拟服务器的统计信息输出中错误地显示了一个大值。

    [NSHELP-22825]

  • 同步的 SSL 功能状态和 SSL 硬件状态会导致分区不一致。

    [NSHELP-21193]

系统

  • 如果在分析配置文件中使用 Rest 类型的 AppFlow 收集器,Citrix ADC 设备可能会在删除配置文件期间出现故障。

    [NSHELP-26299]

  • 升级到 Citrix ADC 13.0 版本 71.40 后,32 位网络博客 (NSWL) 客户端和 64 位 Citrix ADC 设备的偏移量为 4 字节,导致生成的日志中的值不正确。

    [NSHELP-26241]

  • 当您向 ADM 服务器添加 ADC 高可用性对时,辅助服务器使用 SNIP 作为源地址连接到 ADM。结果,上行链路设备上出现网络问题。例如,防火墙在其接口上找到 SNIP 的两个 MAC 地址。

    [NSHELP-26010]

  • 当 AppFlow 收集器与 SNIP 位于不同的子网中时,Citrix ADC 设备可能会崩溃。

    [NSHELP-26008]

  • 当 Citrix ADC 设备针对高速发送的 “CONNECT” 请求启动与后端服务器的连接时,会观察到以下情况:

    • 后端服务器向设备发送了错误的 ACK。
    • 设备不会重试连接启动。
    • 客户端连接变得无响应。

    [NSHELP-25925]

  • 内容交换虚拟服务器在 MPTCP 流量中显示的请求和响应字节数不正确。

    [NSHELP-25731]

  • 执行 “设置 appflow 操作” 命令后,尝试删除 AppFlow 收集器失败。

    [NSHELP-25392]

  • SSL 握手后,如果 Citrix ADC 设备在 H2 协商之后发送设置和设置-ACK 帧,则会观察到以下问题:

    • 加密小于 8k 的数据时,SSL 层会出现 100 毫秒的延迟问题(默认情况下)。
    • 未在这些帧上设置 TCP PUSH 标志。

    [NSHELP-25148]

  • 在非探测场景中,所有后续事务都会使用绑定网关服务获取的 MSS 值,直到设备重新启动,这会导致以下错误:
    • 不管 TCP 配置文件上配置的 MSS 值有何变化,MSS 值 1330 的频率都很高。
    • 网络中的分段不正确。

    [NSHELP-25043]

  • HTTP/2 标志管理不善会将 HTTP/2 和非 HTTP/2 流的少数 TCP 计数器降至负值。

    [NSHELP-25031]

  • 如果观察到以下情况,Citrix ADC 设备将无法处理服务器端连接,也无法记录正确的 AppFlow 记录:

    • 与 AppFlow 记录中匹配私有 URL 集的域名无法正确混淆。
    • AppFlow 记录中的 “响应方操作”、“策略匹配” 和 “匹配的 ID” 字段未正确填充。

    [NSHELP-24824]

  • 启用 AppFlow 客户端测量和重写功能时,HTML 页面可能无法加载。

    [NSHELP-24043]

  • 如果满足以下条件,分段错误或删除重复项可能会导致 Citrix ADC 设备崩溃:

    • 绑定到后端服务的 HTTP 配置文件启用了 HTTP2,禁用了 HTTP2 直接禁用。
    • 多个 HTTP CONNECT 请求通过 HTTP/2 流从客户端发送到 HTTP 类型的虚拟服务器。

    [NSBASE-13582]

  • 当 Citrix ADC CPX 作为附带车部署且未设置环境变量 MGMT_HTTP_PORT 时,NITRO API 调用将不起作用

    [NSBASE-12800]

  • 一些包含 IPFIX 信息的 AppFlow 记录可能异常。

    [NSBASE-11686]

用户界面

  • 如果签名是从 CLI 或 URL 导入的,则机器人签名编辑失败并显示一条错误消息 “文件不存在”。

    [NSUI-17261]

  • 下载 SNMP MIB 的链接已断开。

    [NSHELP-26107]

  • 向 Citrix ADC 设备发出的 NITRO API 请求中的单个或多个命令可能会失败,从而导致设备出现以下问题:

    • 内存损坏
    • HTTPD 进程崩溃

    [NSHELP-25997]

  • 当你尝试在 “放宽规则” 部分编辑或删除 StarTurl 规则时,Citrix ADC GUI 页面底部会出现错误,不显示此类 StarTurl 检查。

    [NSHELP-25977]

  • 使用高级策略表达式配置 IP 信誉时,表达式编辑器 GUI 中缺少 “TOR_PROXY” 威胁类别。

    [NSHELP-25654]

  • 在运行 Qualys 经过身份验证的漏洞扫描时,HTTPD 守护程序可能会崩溃并生成核心文件。

    [NSHELP-25000]

  • 当您尝试修改 Citrix Web App Firewall 配置文件页面上的安全检查时,所有复选框都会自动清除。间歇性问题在 GUI 上随机出现。

    [NSHELP-24409]

  • 在 Citrix ADC BLX 设备中,自动完成功能可能无法按预期运行。

    [NSCONFIG-4338]

视频优化

  • 包含 AppFlow 记录的 Gx 接口在接收 CCA-T 直径消息时有错误的时间戳。如果满足以下条件,则可能会出现此问题:

    • 设置订阅者参数命令中的 idletTL 参数设置为非零。
    • set appflow param 命令中的 gxSessionReporting 参数已启用。

    [NSHELP-24099]

已知问题

13.0-76.31 版本中存在的问题。

身份验证、授权和审核

  • 在某些情况下,Citrix ADC 设备在对 Citrix Gateway 执行用户身份验证以及身份验证、授权和审核-流量托管部署时崩溃。

    [NSHELP-26555]

  • 如果表达式中使用了 Authentication, authorization, and auditing.USER.DOMAIN,则会为登录用户填充错误的 SSO 域名。

    [NHELP-26443]

  • 如果满足以下条件,则在 nFactor 身份验证期间,Citrix Gateway 设备会崩溃。

    • WebView 用于访问 Citrix Gateway 设备。
    • 阻塞表达式在 VPN 会话策略中配置。

    [NSHELP-26433]

  • 输入错误的 OTP 后,会显示一条错误消息 “电子邮件身份验证失败。不显示要继续执行的进一步操作”。

    [NSHELP-26400]

  • 通过 Citrix ADC GUI 进行配置时,您无法在 LDAP 服务器中 “memberof” 取消设置组属性。

    [NSHELP-26199]

  • 在某些情况下,如果策略名称长于 Intranet 应用程序名称,则绑定身份验证、授权和审核组命令可能会失败。

    [NSHELP-25971]

  • 在 Citrix ADC BLX 设备中,对于 SSL、TLS 和纯文本安全类型,LDAP 身份验证可能无法按预期运行。

    [NSHELP-25809]

  • 将 Citrix ADC 设备配置为依赖方 (RP) 时会出现以下问题。

    • 如果 IdP 使用 JWT 的签名算法作为 RS512,则设备将无法处理来自 OAuth IdP 的身份验证请求。
    • 设备向 OAuth IdP 发送 “login_hint” 参数的 “匿名” 值。

    [NSHELP-25794]

  • 当 RADIUS 服务器发送多个重复响应时,在对话模式下身份验证失败。

    [NSHELP-25758]

  • 使用 Citrix ADC GUI 配置身份验证策略时,无法选择 “无身份验证” 操作。

    [NSHELP-25466]

  • 在某些情况下,当用户尝试进行身份验证时,如果设备配置如下,Citrix ADC 设备可能会崩溃。

    • 设备配置为 401 身份验证
    • 身份验证策略的第一个因素是 NoAuth,第二个因素是证书身份验证

    解决方法:

    • 从配置中删除 noAuth 策略
    • 移至基于表单的身份验证

    [NSHELP-25051]

  • Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

    [ NSHELP-563 ]

  • DualAuthPushOrOTP.xml LoginSchema 未正确显示在 Citrix ADC GUI 的登录架构编辑器屏幕中。

    [NSAUTH-6106]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
    show adfsproxyprofile <profile name>

    解决方法:连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

  • 当你尝试解除策略与因素的绑定时,你可能会在 nFactor Visualizer 的 nFactor Flow 页面上看到 “不存在这样的策略” 消息。取消绑定选项按预期工作。

    [NSAUTH-5821]

机器人管理

  • 您无法将多个速率限制会话 Cookie 绑定到机器人配置文件。

    [NSBOT-390]

缓存

  • 如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

    [NSHELP-22942]

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 设备上,如果 CLAG 是在 Mellanox 网卡上创建的,则当 VPX 实例重新启动时,CLAG MAC 将更改。VPX 实例的流量在重启后停止,因为 MAC 表包含旧的 CLAG MAC 条目。

    [NSSVM-4333]

  • 对于在实例配置期间使用的 IP 地址稍后直接从实例更改的实例,清单不会按照库存周期进行。

    [NSHELP-26407]

Citrix Gateway

  • 在 “创建 Citrix Gateway 流量配置文件” 页面中输入 FQDN 作为代理时,将出现 “代理值无效” 消息。

    [NSHELP-26613]

  • 如果应用程序名称超过 20 个字符,则通过 Citrix Gateway 连接时应用程序名称会显示为截断。

    [NSHELP-26604]

  • Windows VPN 网关插件阻止在 VPN 通道上使用“CTRL+P”和“CTRL + O”。

    [NSHELP-26602]

  • 当网络发生变化时,适用于 Windows 的 VPN 插件会在 Windows 凭据屏幕上显示错误的信息。

    [NSHELP-26562]

  • 适用于 macOS 的 EPA 库已更新至版本 1.3.4.7(Opswat 版本:4.3.1566.0)

    [NSHELP-26538]

  • 当服务器启动的连接在连接关闭后发送数据包时,Citrix Gateway 设备崩溃。

    [NSHELP-26431]

  • 如果 Citrix Gateway 设备配置了 IPV6 地址并且该网关用于代理 Enlightened Data Transport (EDT) 协议,则该设备可能会变得无响应。

    [NSHELP-26357]

  • 如果配置了内容交换虚拟服务器,RFWebUI 客户端 检测 页面将显示 “ 安装 ” 按钮而不是 “检测” 按钮。

    [NSHELP-26138]

  • 如果出现以下任一情况,Citrix ADC 设备将崩溃:

    • syslog 操作使用域名进行配置,您可以使用 GUI 或 CLI 清除配置。
    • 高可用性同步发生在辅助节点上。

    解决方法:

    使用系统日志服务器的 IP 地址而不是系统日志服务器的域名创建 syslog 操作。

    [NSHELP-25944]

  • 使用 Citrix ADC GUI 创建 RDP 客户端配置文件时,满足以下条件时会显示错误消息:

    • 配置了默认的预共享密钥 (PSK)。
    • 您尝试在 RDP Cookie 有效性(秒)字段中修改 RDP Cookie 有效性计时器。

    [NSHELP-25694]

  • 当多个 VPN 插件客户端使用大小为 1800 字节或以上的 X.509 证书来设置隧道时,Citric ADC 设备崩溃。

    [NSHELP-25195]

  • Citrix Gateway 登录页面显示一条错误,指出如果满足以下一系列条件,则登录失败。即使用户没有尝试再次登录,也会出现错误。

    1. 登录 Citrix Gateway 失败。
    2. 成功登录 CCitrix Gateway。
    3. 用户注销。

    [NSHELP-25157]

  • 如果重命名绑定到 STA 服务器的 VPN 虚拟服务器,则运行 show 命令时 STA 服务器的状态将显示为 DOWN。

    [NSHELP-24714]

  • Gateway Insight 不会显示有关 VPN 用户的准确信息。

    [ NSHELP-23937 ]

  • “show tunnel global” 命令输出包括高级策略名称。以前,输出不显示高级策略名称。

    示例:

    新输出:

     > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0

 Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
 Priority: 1  
 Global bindpoint: REQ_DEFAULT

 Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
 Priority: 100  
 Global bindpoint: RES_DEFAULT  
 Done  
 <!--NeedCopy-->

    上一个输出:

     > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

 Advanced Policies:

 Global bindpoint: REQ_DEFAULT  
 Number of bound policies: 1

 Done
 <!--NeedCopy-->

    [NSHELP-23496]

  • Gateway Insight 中报告了应用程序的错误启动失败。未启动应用程序或桌面时会报告启动失败。

    [NSHELP-23047]

  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [ NSHELP-21897 ]

  • 使用 XenApp 和 XenDesktop 向导添加身份验证虚拟服务器时,测试该身份验证服务器的连接失败。

    [CGOP-16792]

  • 如果满足以下两个条件,则转移登录不起作用:

    • nFactor 身份验证已配置。
    • Citrix ADC 主题设置为默认值。

    [CGOP-14092]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [CGOP-13584]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

    [CGOP-13511]

  • 接受来自浏览器的本地主机连接时,适用于 macOS 的“接受连接”对话框将以英语显示内容,而不考虑所选的语言。

    [CGOP-13050]

  • Citrix SSO 应用程序 > 主页中的文本“主页”在某些语言中被截断。

    [CGOP-13049]

  • 从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

    [CGOP-11830]

  • 在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外,页面变得无响应。

    [CGOP-7269]

Citrix Web App Firewall

  • 在 Citrix Web App Firewall 模块中,不会在主节点上释放分布式哈希表 (DHT) 条目。如果应用程序防火墙会话的超时时间较短且创建速率较高,则会出现此问题。

    [NSHELP-26570]

  • 在高可用性设置中,如果在启用了 SNMP 警报的同时配置了动态概要分析,则可能会在辅助节点上观察到内存使用量激增。

    [NSHELP-25580]

  • Citrix ADC 设备可能会因为向一长串记录添加违规记录时出现超时问题而崩溃。

    [NSHELP-25507]

负载平衡

  • 在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

    [NSLB-7679]

  • 在高可用性设置中,如果满足以下条件,辅助节点可能会崩溃:

    • 两个节点上的物理内存量彼此不同。
    • 数据会话未正确同步。

    解决方法:在两个 HA 节点上
    保持相同数量和至少 4 GB 的物理内存。

    [NSHELP-26503]

  • 在 Cluster-GSLB 部署中,本地 GSLB 服务的有效状态不会在非所有者节点上更新,因为 GSLB 所有者节点无法向非所有者节点发送服务状态更新。

    [NSHELP-26260]

  • Citrix ADC 设备在处理无效的会话初始化协议 (SIP) 数据包时可能会崩溃。

    [NSHELP-26202]

  • 当内容交换虚拟服务器收到 HTTPS 请求时,当满足以下条件时,HTTPS 请求中最大的 cookie 会导致缓冲区溢出和堆栈损坏:

    • Cookie 格式不正确。
    • cookie 的长度大于 32 字节。

    [NSHELP-25932]

  • 当您修改名称与其 IP 地址不同的服务器的后端服务器 IP 地址时,您可能无法保存完整的配置。这是一种罕见的情况,如果 Citrix ADC 设备内存不足,可能会发生。

    [NSHELP-24329]

  • 在 AutoScale 高可用性或集群部署中,如果创建服务成员且满足以下条件,Citrix ADC 设备可能会崩溃:

    • 如果您将服务成员绑定到非所有者节点或禁用运行状况监控选项的辅助节点中的服务组。

    [NSHELP-24029]

其他

  • 在 Citrix ADC SDX 设备上,如果满足以下条件,则在一个或多个 VPX 实例上会出现基于 RSA 的新 SSL 会话建立失败:

    • VPX 实例正在运行 ADC 软件版本 12.x 或 13.0。
    • 管理服务已升级到 ADC 软件版本 13.0。

    [SDX-486]

  • 当您使用样书将配置推送到集群实例时,命令失败并显示 “命令传播失败” 错误消息。

    连续失败时,集群会保留部分配置。

    解决方法:

    1. 从日志中识别失败的命令。
    2. 手动将恢复命令应用于失败的命令。

    [NSHELP-24910]

网络连接

  • 在最大连接 (maxConn) 全局参数设置为非零值的群集设置中,如果满足以下任何条件,CLIP 连接可能会失败:

    • 将设置从 Citrix ADC 13.0 76.x 版本升级到 Citrix ADC 13.0 79.x 版本。
    • 在运行 Citrix ADC 13.0 76.x 版本的集群设置中重新启动 CCO 节点。

    解决方法:

    • 在将集群设置从 Citrix ADC 13.0 76.x 版本升级到 Citrix ADC 13.0 79.x 版本之前,必须将最大连接 (MaxConn) 全局参数设置为零。升级安装程序后,可以将 maxConn 参数设置为所需的值,然后保存配置。
    • Citrix ADC 13.0 76.x 版本不适合集群设置。Citrix 建议不要将 Citrix ADC 13.0 76.x 版本用于群集设置。

    [NSNET-21173]

  • newnslog 备份文件数量增加时,可能会在一段时间内导致正在运行的 Citrix ADC CPX 实例的磁盘空间紧张。使用 NEWNSLOG_MAX_FILENUM 环境变量,你可以控制备份文件的数量。通过将环境变量值设置为 10,可以将 newnslog 备份文件的最大数量限制为 10。

    [ NSNET-20261 ]

  • Citrix ADC BLX 设备现在支持 Citrix ADC IPv6 OSPF (OSPFv3) 动态路由协议功能。欲了解更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/current-release/networking/ip-routing/configuring-dynamic-routes/configuring-ipv6-ospf.html

    [NSNET-19567]

  • 当满足以下所有条件时,Citrix ADC 设备可能会崩溃:

    • MAC 模式在不可寻址的负载平衡虚拟服务器上启用。
    • 同一虚拟服务器是链路负载平衡配置或基于策略的路由配置的一部分。

    作为修复的一部分,Citrix ADC 设备现在在满足上述条件时显示以下警告消息:

    • 警告:不应使用 LLB 配置启用 MAC 模式重定向。

    [NSNET-19485]

  • 在 Citrix ADC BLX 设备中,绑定到带标签的非 dpdk 接口的 NSVLAN 可能无法按预期运行。与未标记的非 dpdk 接口绑定的 NSVLAN 可以正常工作。

    [NSNET-18586]

  • 从 Citrix ADC BLX 设备 13.0 61.x 版本升级到 13.0 64.x 版本后,BLX 配置文件上的设置将丢失。然后,BLX 配置文件将重置为默认值。

    [NSNET-17625]

  • 带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

    • 禁用
    • 启用
    • 重置

    [NSNET-16559]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件(“/etc/blx/blx.conf”)设置如何,Citrix ADC BLX 设备始终以共享模式部署。之所以出现此问题,是因为基于 Debian 的 Linux 系统上默认存在的 “mawk” 无法运行 “blx.conf” 文件中存在的一些 awk 命令。

    解决方法:在安装 Citrix ADC BLX 设备之前安装 “gawk”。你可以在 Linux 主机 CLI 中运行以下命令来安装 “gawk”:

    • apt-get 安装 gawk

    [NSNET-14603]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

    “以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”

    解决方法:在安装 Citrix ADC BLX 设备之前,在 Linux 主机 CLI 中运行以下命令:

    • dpkg — 添加架构 i386
    • apt-get 更新
    • apt-get dist-upgrade
    • apt-get 安装 libc6: i386

    [NSNET-14602]

  • 如果存在以下情况,Citrix ADC 设备可能会崩溃:

    • IPv6 链路负载平衡 (LLB6) 配置已启用持久性选项。
    • 为此 LLB6 配置创建了一些 IPv6 虚拟连接

    [NSHELP-25695]

  • 在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

    • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

    解决方法:仅在 HA 同步完成后才执行连续的手动高可用性故障转移(两个节点均处于同步成功状态)。

    [ NSHELP-25598 ]

平台

  • 在 Citrix ADC SDX 8900 平台上,LOM 版本从 4.5x 升级到 4.61。在 Citrix ADC SDX 15000 和 SDX 26000 平台上,LOM 版本从 5.03 升级到 5.56。升级后,LOM 的默认密码将重置为新制造平台的设备序列号。此升级解决了 CVE-2013-4786 描述的漏洞。欲了解更多信息,请参阅 https:// support.citrix.com/article/ctx234367

    [NSPLAT-19327]

  • 在 Citrix ADC SDX 15000-50G 设备上,如果未定向任何 ADC VPX 实例的数据流量短暂激增,则可能会出现以下问题:

    • 10G 端口上的 LACP 链路可能会间歇性断开或永久关闭。

    解决方法:

    1. 找出与 10G 端口对应的内部 ethX 端口
    2. 在 Citrix Hypervisor 外壳提示符下运行以下命令:ethtool-G ethx rx 4096 tx 512
    3. 查看流量配置文件以阻止交换机端不需要的流量

    [NSHELP-25561]

  • 在 Citrix ADC SDX 设备上,在热重启配置为群集节点的 VPX 实例期间,由于设置接口命令失败,背板 LA 通道可能会进入 PARTIAL-UP 状态。

    [NSHELP-23353]

  • 默认情况下,在配置为内部管理接口的管理接口上禁用高可用性监视器 (HAMON) 和 HA 心跳信号。此外,无法在此接口上启用 HAMON 和 HA 心跳信号。
    稍后,如果将同一个接口重新配置为管理接口并重新启动 VPX 实例,HAMON 和 HA 心跳选项仍处于禁用状态。
    但是,您现在可以手动启用这些选项,以避免 HA 配置出现任何问题。

    [NSHELP-21803]

策略

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法:将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

  • 如果变量长度大于 31 个字符,则无法在赋值中使用变量。

    [NSHELP-26362]

  • 如果满足以下所有条件,Citrix Gateway 设备可能会崩溃。

    • nstrace 已使用过滤器表达式启用
    • 已启用外部 ADC 审计服务器的调试审计日志记录
    • 配置了带有高级规则表达式的身份验证策略

    [NSHELP-26045]

  • 如果将两个策略变量配置为不同的过期时间,则会出现以下问题:

    • 删除过期时间较短的变量的过期值可能会延迟到删除过期时间较长的过期值之后。

    [NSHELP-25786]

  • 以下问题可能会导致高可用性设置中的故障转移:

    如果许多非 HTTP、非 TCP 数据包在处理被阻塞后排队等待处理。

    [NSHELP-23506]

SSL

  • 在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

    解决方法:

    1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
    2. 保存配置。

    [NSSSL-9572]

  • 更新命令不适用于以下添加命令:

    • 添加天蓝色应用
    • 添加天蓝色密钥库
    • 使用 hsmkey 选项添加 ssl 证书密钥

    [NSSSL-6484]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
    错误:crl 刷新已禁用

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

  • 在 Citrix ADC 设备上,如果启用 SSL “SessionTicket” 参数,就会出现内存泄漏。

    [NSHELP-26207]

  • 如果满足以下条件,Citrix ADC 设备在处理来自 TLS 1.3 客户端的请求时可能会崩溃:

    • TLS 1.3 协议已在前端虚拟服务器上启用。
    • 底层硬件平台使用英特尔 Coleto Creek 加密加速卡(特定的 MPX 和 SDX 型号使用这些芯片。)
    • 在 SDX 平台上,英特尔 Coleto Creek 加密卡资源被分配给 ADC 实例。

    [NSHELP-26089]

  • 启用管理分区后,Citrix ADC 设备上可能会出现由于内存不足而导致的连接失败。SSL 加密硬件芯片已满时会出现问题。

    [NSHELP-25981]

  • 在群集设置中,您可能会观察到以下问题:

    • 缺少绑定到 CLIP 上 SSL 内部服务的默认证书密钥对的命令。但是,如果从旧版本升级,则可能必须将默认证书密钥对绑定到 CLIP 上受影响的 SSL 内部服务。
    • 对于内部服务的默认 set 命令,CLIP 和节点之间的配置差异。
    • 在节点上运行的 show running config 命令的输出中缺少到 SSL 实体的默认密码绑定命令。遗漏只是显示问题,对功能没有影响。可以使用 show ssl <entity> <name> 命令查看绑定。

    [NSHELP-25764]

  • 如果满足以下条件,Citrix ADC 设备将变得无响应:

    • DTLS 已启用。
    • UDP 多路传输使用 DTLS 信道并高速泵送流量。

    [NSHELP-22987]

系统

  • 对于客户端连接,Citrix ADC 设备可能会错误地发送连接保持活动标头以响应客户端的连接关闭标头。这种错误的连接 keep-alive 标头会导致延迟关闭客户端上的连接。

    [NSHELP-26474]

  • 如果观察到以下情况,Citrix ADC 设备可能会崩溃:

    • 如果客户端请求来自未释放先前入侵防御系统 (IPS) 连接结构中的资源的资源(具有相同的 IP 地址和端口)。
    • 入侵防御系统 (IPS) 模块尝试从释放的结构中访问未释放的资源。

    [NSHELP-26450]

  • 在 set HttpProfile 命令中启用 markHttpHeaderextrawsError 参数时,补丁 HTTP 方法就会被阻止。

    [NSHELP-26398]

  • 当 Citrix ADC 设备面临内存压力时,该设备可能会在 AppFlow 模块中崩溃。

    [NSHELP-26367]

  • 在清除配置期间,如果未使用任何 URL 集,则会在 ns.log 中看到与 URL 集对应的错误日志条目。

    [NSHELP-26242]

  • 从 Citrix ADC 12.1 build 50.31 升级到 Citrix ADC 13.0 build 58.32 后,设备在收到显示器的 TCP SYN 数据包错误的 ACK 后不会重试。因此,设备重置监视器 TCP 连接并将服务标记为关闭状态。

    [NSHELP-25813]

  • 在 Citrix ADC 设备和数据加载器中观察到 Logstream 记录不匹配。

    [NHELP-25796]

  • HTTP/2 和 TCP 窗口管理逻辑中的错误可能会导致服务器连接遇到 HTTP/2 和 TCP 窗口问题。它可以防止对象被完全缓存。如果满足以下条件,则会出现此问题:

    • 集成缓存功能已启用,正在缓存响应。
    • 在上述条件下,HTTP/2 客户端突然发送重置流数据包或 HTTP/1.1 客户端在连接上发送 TCP RST。

    [NSBASE-13878]

  • Citrix ADC 设备在为 VPN 生成的某些 HTTP 响应生成 AppFlow 记录时可能会出现故障。启用 Gateway Insight 时会出现问题。

    [NSBASE-13698]

  • 如果满足以下条件,Citrix ADC 设备在清除配置期间可能会失败:

    • 当服务绑定到虚拟服务器时,服务的 IP 地址会更改。
    • 同一虚拟服务器在分析配置文件中用作收集器。

    [NSBASE-11511]

用户界面

  • 创建/监控 CloudBridge Connector 向导可能会变得无响应或无法配置 cloudbridge 连接器。

    解决方法:使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,配置 cloudbridge 连接器。

    [NSUI-13024]

  • 在 Citrix ADC BLX 设备中,本地许可证的到期时间可能不会按预期缩短。

    修复方法是,本地许可证的到期时间现在每 24 小时减少 1。

    [NSHELP-26554]

  • 在 Citrix ADC BLX 设备的高可用性设置中,配置同步有时可能会失败。

    [NSHELP-26495]

  • 编辑现有虚拟服务器持久性配置时,负载平衡虚拟服务器持久性视图无法显示所有参数。

    [NSHELP-25965]

  • 当你尝试使用 Citrix ADC GUI 解除证书与 SSL 虚拟服务器的绑定时,会出现一条错误消息。

    [NSHELP-25087]

  • 在 GUI 中选中 “直播会话”(AppExpert > Action Analytics > Stream ID)时,刷新按钮不起作用。

    [NSHELP-24195]

  • 在 Citrix ADC VPX 设备中,添加许可证服务器后,设置容量操作可能会失败。出现此问题的原因是,由于存在大量受支持的签入和签出类型的许可证 (CICO),与 Flexera 相关的组件需要较长的时间来初始化

    [NSHELP-23310]

  • 在管理分区设置中,上传和添加证书吊销列表 (CRL) 文件失败。

    [NSHELP-20988]

  • Citrix ADC 设备不支持使用 NITRO API 添加大于 2 MB 的 CRL 文件。

    [NSHELP-20821]

  • 在 Citrix ADC BLX 设备中,GUI 中的 “报告” 选项卡可能无法按预期运行。

    [NSCONFIG-4877]

  • 如果 Citrix ADC BLX 设备使用 Citrix ADM 获得许可,则在将设备升级到 13.0 版本 83.x 版本后,许可可能会失败。

    解决方法:在升级 Citrix ADC BLX 设备之前,请先将 Citrix ADM 升级到 13.0 版本 83.x 或更高版本。

    [NSCONFIG-4834]

  • 将 Citrix ADC 设备版本 13.0-71.x 降级到较早版本时,由于文件权限更改,某些 Nitro API 可能无法正常工作。

    解决方法:将 “/nsconfig/ns.conf” 的权限更改为 644。

    [NSCONFIG-4628]

  • 当满足以下条件时,ADC 实例和 ADM 服务之间的连接将断开:

    • 使用内置代理将实例添加到 ADM 服务。
    • 使用-Y 选项或从 ADM GUI 升级实例。在这两种情况下,内置代理都不会重新启动。-Y 选项为 CLI 或 GUI 上显示的所有升级相关问题提供了 “是” 的答案。

    [NSCONFIG-4368]

  • 有时,应用程序防火墙签名需要很长时间才能同步到非 CCO 节点。因此,使用这些文件的命令可能会失败。

    [NSCONFIG-4330]

  • 如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

    1. 将 Citrix ADC 设备升级到其中一个版本:

      • 13.0 52.24 Build
      • 12.1 57.18 Build
      • 11.1 65.10 Build
    2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    3. 将 Citrix ADC 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表:
    在命令提示符下,键入:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    解决方法:

    要解决此问题,请使用以下独立选项之一:

    • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
    • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
    • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

    欲了解更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

视频优化

  • 如果传入的请求不符合用于策略评估的 FQDN 语法规则,Citrix ADC 设备可能会崩溃。无效 FQDN 的一些示例是以句点 (‘.’) 开头的 SNI 和主机名。

    [NSHELP-25564]

配置了 AppFlow 后,如果 Citrix ADC 设备收到来自后端服务器的空 HTTP 分块响应,则会重置 TCP 连接。

为相关的 AppFlow 操作启用 clientSideMeasurements 参数时,会出现此问题。

Citrix ADC 13.0-76.31 版本的发行说明
April 15, 2024
投稿者: 
C
April 15, 2024
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.