ADC

Citrix ADC 13.0-79.64 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 Build 13.0-79.64 中存在的增强和更改、已修复和已知问题。

备注

新增功能

版本 13.0-79.64 中提供的增强和更改。

身份验证、授权和审核

Bot Management

  • 基于鼠标和键盘动态学的机器人检测

    Citrix 机器人管理系统现在可以根据键盘和鼠标的移动来检测机器人。与需要直接人机交互(例如 CAPTCHA 验证)的传统机器人技术不同,新的机器人检测技术被动监视鼠标和键盘动态。然后,Citrix ADC 设备收集实时用户数据并将数据发送到 Citrix ADM 服务器进行机器人分析。

    使用键盘和鼠标动力学的机器人检测技术具有以下优点:

    • 允许在整个用户会话中进行监视,并消除单一检查点。
    • 不需要人工互动,对用户来说是完全透明的。

    欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/current-release/bot-management/bot-detection.html

    [NSBOT-402]

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 设备上,当满足以下条件时,ADC 实例状态当前显示“停止服务”:

    • 使用实例 CLI 直接更改 ADC 实例的密码。
    • 密码与存储在管理服务中的实例管理员配置文件密码不匹配。
    • 首次重启实例后,上一个会话将丢失。

    现在,每当实例因身份验证失败而停止服务时,实例状态颜色就会变为灰色。要恢复实例,请执行以下操作之一:

    • 在实例 CLI 中,修改实例的密码,使其与实例的管理员配置文件中的密码匹配。然后从管理服务重新发现实例。
    • 使用与 ADC 实例的当前密码相同的密码创建管理员配置文件。然后,使用新的管理员配置文件更新 ADC 实例。

    [NSSVM-4193]

Citrix Web App Firewall

负载平衡

网络连接

  • Citrix ADC BLX 设备支持 BGP MD5 身份验证

    Citrix ADC BLX 设备现在支持通过 IPv4 对等体对边界网关协议 (BGP) 进行 MD5 身份验证。

    启用身份验证后,只有在身份验证成功时,BGP IPv4 对等方之间交换的任何 BGP TCP 分段才会被验证和接受。要成功进行身份验证,必须使用相同的 MD5 密码配置对等方。如果身份验证失败,则无法建立 BGP 邻居关系。

    Citrix ADC BLX 设备中对 BGP 的 MD5 身份验证支持符合 RFC 2385。

    [NSNET-19089]

平台

  • VMware ESX 7.0 更新 1c 对 Citrix ADC VPX 实例的支持

    Citrix ADC VPX 实例现在支持 VMware ESX 版本 7.0 更新 1c(Build 1732555)。

    [NSHELP-26444]

SSL

  • 支持 4096 位 RSA 客户端证书

    在 Citrix ADC VPX 设备上,现在在 SSL 握手期间支持使用 4096 位 RSA 客户端证书进行客户端身份验证。

    [NSSSL-8194]

系统

已修复的问题

版本 13.0-79.64 中解决的问题。

身份验证、授权和审核

  • 使用“set aaa parameter”命令启用“enableEnhancedAuthFeedback”参数时,在门户页面上为最终用户自定义错误消息失败。

    [NSHELP-26814]

  • 通过 Citrix ADC GUI 进行配置时,您无法在 LDAP 服务器中取消设置“memberof”中的组属性。

    [NSHELP-26199]

  • 如果满足以下条件,Citrix Gateway 插件将无法启动:

    • Citrix Gateway 设备仅配置为完整 VPN。
    • 身份验证方法是 OAuth RP。

    [NSHELP-26020]

  • 在 Citrix ADC BLX 设备中,对于 SSL、TLS 和纯文本安全类型,LDAP 身份验证可能无法按预期运行。

    [NSHELP-25809]

  • 将 Citrix ADC 设备配置为依赖方 (RP) 时会出现以下问题。

    • 如果 IdP 使用 JWT 的签名算法作为 RS512,则设备将无法处理来自 OAuth IdP 的身份验证请求。
    • 设备向 OAuth IdP 发送“login_hint”参数的“匿名”值。

    [NSHELP-25794]

  • 当您从 Citrix Gateway 注销并且在网关上配置了 RADIUS 帐户时,注销信息不会发送到 RADIUS 记账服务器。

    [NSHELP-25765]

  • 当 RADIUS 服务器发送多个重复响应时,在对话模式下身份验证失败。

    [NSHELP-25758]

  • 如果满足以下条件,Citrix Gateway 插件将无法启动:

    • Citrix Gateway 设备仅配置为完整 VPN。
    • SSPR 注册被配置为最后一个因素。

    [NSHELP-25691]

  • 使用 Citrix ADC GUI 配置身份验证策略时,无法选择“无身份验证”操作。

    [NSHELP-25466]

  • 在某些情况下,当用户尝试进行身份验证时,如果设备配置如下,Citrix ADC 设备可能会崩溃。

    • 设备配置为 401 身份验证
    • 身份验证策略的第一个因素是 NoAuth,第二个因素是证书身份验证

    [NSHELP-25051]

Bot Management

  • 您无法将多个速率限制会话 Cookie 绑定到机器人配置文件。

    [NSBOT-390]

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 设备上,管理服务不会向配置的系统日志服务器发送系统日志消息。

    [NSHELP-27000]

  • 重新启动管理服务后,首次从池化许可服务器签出实例或带宽可能会失败。

    [NSHELP-26878]

  • 在运行软件版本 13.0 的 Citrix ADC SDX 设备上,即使使用实例 IP 地址可以直接访问实例,也可以无法从管理服务访问 ADC 实例。

    [NSHELP-26679]

  • 当您重新启动管理服务时,如果设置了某些 VPX 实例,则如果您尝试从“系统”>“用户管理”>“”页面编辑默认组的会话超时,则会出现以下错误消息。

    无法更改默认组的授权范围。

    [NSHELP-26556]

  • 对于在实例配置期间使用的 IP 地址稍后直接从实例更改的实例,清单不会按照库存周期进行。

    [NSHELP-26407]

Citrix Gateway

  • 如果配置了 Citrix Secure Web Gateway 和 AppFlow,Citrix ADC 设备可能会在 SSO 流中崩溃。

    [NSHELP-26781]

  • Citrix Gateway 会话配置文件 > 客户端体验 > 高级中“本地局域网访问”参数的“覆盖全局”选项已禁用。在之前的版本中,它默认处于启用状态。

    [NSHELP-26689]

  • 如果通过完整的 VPN 通道使用内联网 IP(插件到插件流量)从用户访问其他用户的客户端 IDENT 端口 (113),Citrix Gateway 设备会崩溃。

    [NSHELP-26631]

  • 适用于 macOS 的 EPA 库已更新至版本 1.3.4.7(Opswat 版本:4.3.1566.0)

    [NSHELP-26538]

  • 当服务器启动的连接在连接关闭后发送数据包时,Citrix Gateway 设备崩溃。

    [NSHELP-26431]

  • Citrix Gateway 登录页面显示一条错误,指出如果满足以下一系列条件,则登录失败。即使用户没有尝试再次登录,也会出现错误。

    1. 登录 Citrix Gateway 失败。
    2. 成功登录 Citrix Gateway。
    3. 用户注销。

    [NSHELP-25157]

  • Gateway Insight 中报告了应用程序的错误启动失败。未启动应用程序或桌面时会报告启动失败。

    [NSHELP-23047]

  • 使用 XenApp 和 XenDesktop 向导添加身份验证虚拟服务器时,测试该身份验证服务器的连接失败。

    [CGOP-16792]

Citrix Web App Firewall

  • 在群集配置中,如果 SQL 通配符与百分位数 (%) 字符匹配,Web App Firewall 学习引擎会多次学习相同的数据。

    [NSWAF-7489]

  • 如果启用 StarTurl 关闭并且出现内存分配故障,Citrix ADC 设备可能会崩溃。

    [NSHELP-27155]

  • 在 Citrix Web App Firewall 配置文件中添加 cookie 支持后,如果将 cookie 值用逗号(非 RFC 标准)分隔,则会出现问题。

    [NSHELP-26846]

  • 如果机器人管理无法在 HTTP 响应中插入 JavaScript,Citrix ADC 设备可能会崩溃。

    [NSHELP-26730]

  • 当一些用于 XSS 日志记录的消息缓冲区未腾出用于特定的负载时,可能会观察到内存泄漏。

    [NSHELP-26430]

  • 在高可用性设置中,如果在启用了 SNMP 警报的同时配置了动态概要分析,则可能会在辅助节点上观察到内存使用量激增。

    [NSHELP-25580]

  • 在向长长的记录列表中添加违规记录时,Citrix ADC 设备可能会因为超时问题而崩溃。

    [NSHELP-25507]

负载平衡

  • 在 Cluster-GSLB 部署中,本地 GSLB 服务的有效状态不会在非所有者节点上更新,因为 GSLB 所有者节点无法向非所有者节点发送服务状态更新。

    [NSHELP-26260]

  • Citrix ADC 设备在处理无效的会话初始化协议 (SIP) 数据包时可能会崩溃。

    [NSHELP-26202]

  • 当内容交换虚拟服务器收到 HTTPS 请求时,当满足以下条件时,HTTPS 请求中最大的 cookie 会导致缓冲区溢出和堆栈损坏:

    • Cookie 格式不正确。
    • cookie 的长度大于 32 字节。

    [NSHELP-25932]

  • 当您修改名称与其 IP 地址不同的服务器的后端服务器 IP 地址时,您可能无法保存完整的配置。这是一种罕见的情况,如果 Citrix ADC 设备内存不足,可能会发生。

    [NSHELP-24329]

  • 在 Autoscale 高可用性或群集部署中,如果满足以下条件,Citrix ADC 设备可能会在创建服务成员时崩溃:

    • 如果您将服务成员绑定到非所有者节点或禁用运行状况监视选项的辅助节点中的服务组。

    [NSHELP-24029]

其他

  • 在群集设置中,由于与 CCO 的连接中断,命令传播可能会失败。如果满足以下两个条件,则会出现问题:

    • 在安装程序中执行命令传播操作。
    • 安装程序处于空闲状态超过两个小时。如果节点之间不交换任何 CLI 命令,则认为群集设置处于空闲状态。

    [NSHELP-26350]

网络连接

  • 在最大连接 (maxConn) 全局参数设置为非零值的群集设置中,如果满足以下任何条件,CLIP 连接可能会失败:

    • 将设置从 Citrix ADC 13.0 76.x 版本升级到 Citrix ADC 13.0 79.x 版本。
    • 在运行 Citrix ADC 13.0 76.x 版本的群集设置中重新启动 CCO 节点。

    [NSNET-21173]

  • newnslog 备份文件数量增加时,可能会在一段时间内导致正在运行的 Citrix ADC CPX 实例的磁盘空间紧张。使用 NEWNSLOG_MAX_FILENUM 环境变量,您可以控制备份文件的数量。通过将环境变量值设置为 10,可以将 newnslog 备份文件的最大数量限制为 10。

    [ NSNET-20261 ]

  • Citrix ADC BLX 设备现在支持 Citrix ADC IPv6 OSPF (OSPFv3) 动态路由协议功能。欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/current-release/networking/ip-routing/configuring-dynamic-routes/configuring-ipv6-ospf.html

    [NSNET-19567]

  • 当满足以下所有条件时,Citrix ADC 设备可能会崩溃:

    • MAC 模式在不可寻址的负载平衡虚拟服务器上启用。
    • 同一虚拟服务器是链路负载平衡配置或基于策略的路由配置的一部分。

    作为修复的一部分,Citrix ADC 设备现在在满足上述条件时显示以下警告消息:

    • 警告:不应使用 LLB 配置启用 MAC 模式重定向。

    [NSNET-19485]

  • 如果存在以下情况,Citrix ADC 设备可能会崩溃:

    • IPv6 链路负载平衡 (LLB6) 配置已启用持久性选项。
    • 为此 LLB6 配置创建了一些 IPv6 虚拟连接

    [NSHELP-25695]

  • 在群集 AWS 云设置中,优先级值较高的节点可能会成为 CCO。当八个或更多具有不同优先级值的节点一起重新启动时,就会发生这种情况。

    [NSHELP-25244]

平台

  • 在某些情况下,如果向 VPX 实例添加大量接口,则 Citrix SDX 设备上的 VPX 实例不会启动。

    [NSHELP-26861]

  • 在 Citrix ADC SDX 15000-50G 设备上,如果未定向任何 ADC VPX 实例的数据流量短暂激增,则可能会出现以下问题:

    • 10G 端口上的 LACP 链路可能会间歇性断开或永久关闭。

    [NSHELP-25561]

  • 在 Citrix ADC SDX 设备上,在热重启配置为群集节点的 VPX 实例期间,由于设置接口命令失败,背板 LA 通道可能会进入 PARTIAL-UP 状态。

    [NSHELP-23353]

  • 默认情况下,在配置为内部管理接口的管理接口上禁用高可用性监视器 (HAMON) 和 HA 心跳信号。此外,无法在此接口上启用 HAMON 和 HA 心跳信号。
    稍后,如果将相同的接口配置回管理接口并重新启动 VPX 实例,则 HAMON 和 HA Heartbeat 选项仍处于禁用状态。
    但是,您现在可以手动启用这些选项,以避免 HA 配置出现任何问题。

    [NSHELP-21803]

策略

  • 如果变量长度大于 31 个字符,则无法在赋值中使用变量。

    [NSHELP-26362]

  • 以下问题可能会导致高可用性设置中的故障转移:

    如果许多非 HTTP、非 TCP 数据包在处理被阻塞后排队等待处理。

    [NSHELP-23506]

SSL

  • 在 Citrix ADC 设备上,如果启用 SSL“SessionTicket”参数,就会出现内存泄漏。

    [NSHELP-26207]

  • 如果满足以下条件,Citrix ADC 设备在处理来自 TLS 1.3 客户端的请求时可能会崩溃:

    • TLS 1.3 协议已在前端虚拟服务器上启用。
    • 底层硬件平台使用 Intel Coleto Creek 加密加速卡(部分 MPX 和 SDX 型号使用这些芯片。)
    • 在 SDX 平台上,Intel Coleto Creek 加密卡资源被分配给 ADC 实例。

    [NSHELP-26089]

  • 启用管理分区后,Citrix ADC 设备上可能会出现由于内存不足而导致的连接失败。SSL 加密硬件芯片已满时会出现问题。

    [NSHELP-25981]

  • 在群集设置中,您可能会观察到以下问题:

    • 缺少绑定到 CLIP 上 SSL 内部服务的默认证书密钥对的命令。但是,如果从旧版本升级,则可能必须将默认证书密钥对绑定到 CLIP 上受影响的 SSL 内部服务。
    • 对于内部服务的默认 set 命令,CLIP 和节点之间的配置差异。
    • 在节点上运行的 show running config 命令的输出中缺少到 SSL 实体的默认密码绑定命令。遗漏只是显示问题,对功能没有影响。可以使用 show ssl <entity> <name> 命令查看绑定。

    [NSHELP-25764]

  • 如果满足以下条件,Citrix ADC 设备将变得无响应:

    • DTLS 已启用。
    • UDP 多路传输使用 DTLS 信道并高速泵送流量。

    [NSHELP-22987]

系统

  • 在高可用性设置中,如果在 Citrix ADM 的 Citrix ADC 设备上启用指标,则辅助节点可能会崩溃。

    [NSHELP-26969]

  • 当 Citrix ADC 设备处理重复的 TCP 数据包时,会在设备上观察到以下问题:

    • 设备使用 DSACK 生成重复的 ACK,数据包将被丢弃。
    • 如果传入的数据包有任何窗口更新,则设备会对其进行副本并模拟窗口更新 ACK。
    • 设备使用不正确的时间戳创建窗口更新 ACK。

    [NSHELP-26893]

  • 在 HTTP/2 前端和 HTTP/1.1 后端场景中,如果在 nstrace 命令中配置了虚拟服务器 IP 过滤器和启用-link 的参数,则用户将无法看到后端服务器连接。

    [NSHELP-26717]

  • 对于客户端连接,Citrix ADC 设备可能会错误地发送连接保持活动标头以响应客户端的连接关闭标头。这种错误的连接 keep-alive 标头会导致延迟关闭客户端上的连接。

    [NSHELP-26474]

  • 启用后,无法在 AppFlow 操作命令中禁用“clientSideMeasurements”参数。

    [NSHELP-26464]

  • 如果观察到以下情况,Citrix ADC 设备可能会崩溃:

    • 如果客户端请求来自未释放先前入侵防御系统 (IPS) 连接结构中的资源的资源(具有相同的 IP 地址和端口)。
    • 入侵防御系统 (IPS) 模块尝试从释放的结构中访问未释放的资源。

    [NSHELP-26450]

  • 当根据正在缓存的请求发送重置时,Citrix ADC 设备可能会崩溃。

    [NSHELP-26410]

  • 在 set httpProfile 命令中启用 markHTTPHeaderExtraWSError 参数时,补丁 HTTP 方法会被阻止。

    [NSHELP-26398]

  • 当 Citrix ADC 设备面临内存压力时,该设备可能会在 AppFlow 模块中崩溃。

    [NSHELP-26367]

  • 在清除配置期间,如果未使用任何 URL 集,则会在 ns.log 中看到与 URL 集对应的错误日志条目。

    [NSHELP-26242]

  • 从 Citrix ADC 12.1 build 50.31 升级到 Citrix ADC 13.0 build 58.32 后,设备在收到显示器的 TCP SYN 数据包错误的 ACK 后不会重试。因此,设备重置监视器 TCP 连接并将服务标记为关闭状态。

    [NSHELP-25813]

  • 如果设备使用 RNAT IP 地址进行服务器端(http2 和 http1.1)连接,则 RNAT 配置不适用于 HTTP/2 连接。

    [NSHELP-23783]

  • 如果将所有数据包的高 TTL 值设置为 255,CAPTCHA 验证将无法按预期运行。

    [NSBASE-13966]

  • HTTP/2 和 TCP 窗口管理逻辑中的错误可能会导致服务器连接遇到 HTTP/2 和 TCP 窗口问题。它可以防止对象被完全缓存。如果满足以下条件,则会出现此问题:

    • 集成缓存功能已启用,正在缓存响应。
    • 在上述条件下,HTTP/2 客户端突然发送重置流数据包或 HTTP/1.1 客户端在连接上发送 TCP RST。

    [NSBASE-13878]

  • Citrix ADC 设备在为 VPN 生成的某些 HTTP 响应生成 AppFlow 记录时可能会出现故障。启用 Gateway Insight 时会出现问题。

    [NSBASE-13698]

  • 如果启用了动态接收缓冲 (DRB) 功能,TCP 通告窗口 (ADV_WND) 更新在接收数据包时不符合预期。因此,与禁用 DRB 功能时的速度相比,上载速度要慢。

    [NSBASE-13100]

用户界面

  • 在绑定到策略后编辑内容交换虚拟服务器时,Citrix ADC GUI 显示的 VIP 不正确。

    [NSHELP-26853]

  • 在 Citrix ADC BLX 设备中,本地许可证的到期时间可能不会按预期缩短。

    修复方法是,本地许可证的到期时间现在每 24 小时减少 1。

    [NSHELP-26554]

  • 在 Citrix ADC BLX 设备的高可用性设置中,配置同步有时可能会失败。

    [NSHELP-26495]

  • 重新启动 Citrix ADC 设备后,如果无法从设备访问许可证服务器,则设备的许可证状态将进入宽限状态。即使许可证服务器可以访问,许可证状态仍处于宽限状态。

    [NSHELP-26468]

  • switch partition 命令允许强制执行选项 f 或 force。它可以允许用户在不提示保存配置的情况下切换到新分区,也不会保存配置。强制切换将在没有提示的情况下进行,配置已保存。当您使用-save 标志时会发生这种情况。

    [NSHELP-26222]

  • 编辑现有虚拟服务器持久性配置时,负载平衡虚拟服务器持久性视图无法显示所有参数。

    [NSHELP-25965]

  • 如果满足以下条件,show partition 命令可能会导致“nsconfigd”守护程序崩溃:
    • API 会话令牌是短暂的。
    • 在 show partition 命令完成之前,会话令牌已过期。

    [NSHELP-25880]

  • 在群集设置中,当您从 CLIP 访问 Citrix ADC GUI 时,您可能会发现审计 Syslog 策略没有全局绑定。当您从 NSIP 访问 Citrix ADC GUI 时,不会出现同样的问题。

    [NSHELP-24631]

  • 在 GUI 中选中“直播会话”(AppExpert > Action Analytics > Stream ID)时,刷新按钮不起作用。

    [NSHELP-24195]

  • Citrix ADC 设备不支持使用 NITRO API 添加大于 2 MB 的 CRL 文件。

    [NSHELP-20821]

  • 在 Citrix ADC BLX 设备中,GUI 中的“报告”选项卡可能无法按预期运行。

    [NSCONFIG-4877]

  • 当满足以下条件时,ADC 实例和 ADM 服务之间的连接将断开:

    • 使用内置代理将实例添加到 ADM 服务。
    • 使用-Y 选项或从 ADM GUI 升级实例。在这两种情况下,内置代理都不会重新启动。-Y 选项提供“是”作为 CLI 或 GUI 上出现的所有与升级相关的问题的答案。

    [NSCONFIG-4368]

视频优化

  • 如果传入的请求不符合用于策略评估的 FQDN 语法规则,Citrix ADC 设备可能会崩溃。无效 FQDN 的一些示例是以句点 (‘.’) 开头的 SNI 和主机名。

    [NSHELP-25564]

已知问题

13.0-79.64 版本中存在的问题。

身份验证、授权和审核

  • 在某些情况下,如果请求没有身份验证 cookie,则对身份验证、授权和审计-TM 虚拟服务器的 HTTP POST 请求的处理不正确。POST 主体在处理过程中丢失。

    [NSHELP-27227]

  • Citrix ADC 设备在处理身份验证、授权和审核 TM 以及基于 401 LB 的流量时经常崩溃。

    [NSHELP-27094]

  • 在某些情况下,Citrix ADC 设备在对 Citrix Gateway 执行用户身份验证以及身份验证、授权和审核-流量托管部署时崩溃。

    [NSHELP-26555]

  • 如果表达式中使用了 Authentication, authorization, and auditing.USER.DOMAIN,则会为登录用户填充错误的 SSO 域名。

    [NHELP-26443]

  • 输入错误的 OTP 时,会显示一条错误消息“电子邮件身份验证失败。不显示“要继续执行的进一步操作”。

    [NSHELP-26400]

  • 在某些情况下,如果策略名称长于 Intranet 应用程序名称,则绑定身份验证、授权和审核组命令可能会失败。

    [NSHELP-25971]

  • Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

    [ NSHELP-563 ]

  • 由于密码解密问题,网络连接测试检查失败。但是,身份验证功能可以正常工作。

    [NSAUTH-10216]

  • DualAuthPushOrOTP.xml LoginSchema 未正确显示在 Citrix ADC GUI 的登录架构编辑器屏幕中。

    [NSAUTH-6106]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
    show adfsproxyprofile <profile name>

    解决方法:连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

缓存

  • 如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

    [NSHELP-22942]

Citrix ADC SDX 设备

  • 管理服务命令行已损坏,出现以下错误:

    错误:无效的属性字段

    [NSSVM-4551]

  • 在 Citrix ADC SDX 设备上,如果 CLAG 是在 Mellanox 网卡上创建的,则当 VPX 实例重新启动时,CLAG MAC 将更改。VPX 实例的流量在重启后停止,因为 MAC 表包含旧的 CLAG MAC 条目。

    [NSSVM-4333]

  • 在 Citrix ADC SDX 设备上,如果在 ADC 实例上配置了突发吞吐量,则可能不会显示该实例的 IP 地址 (NSIP)。

    [NSHELP-27133]

Citrix Gateway

  • 当系统日志策略绑定到虚拟服务器并修改相应的系统日志操作时,Citrix Gateway 设备会崩溃。

    [NSHELP-27171]

  • Citrix Gateway 设备意外重启,因为启用 Gateway Insight 后,本地 ns.log 文件中的 SSL VPN 日志消息泛滥。

    [NHELP-27040]

  • 如果为后端子网配置 ForwardSession 并且通过 VPN 通道访问同一子网中的服务器,Citrix Gateway 设备可能会崩溃。

    [NSHELP-27037]

  • 某些 Citrix Gateway 相关的日志文件不会轮换,从而导致日志大小增加。

    [NSHELP-26767]

  • 启用 Gateway Insight 时,Citrix ADC 日志中可能会充斥日志消息“gwinsight:func=ns_sslvpn_send_app_launch_fail_record Appflow 策略评估失败”。

    [NSHELP-26750]

  • 在“创建 Citrix Gateway 流量配置文件”页面中输入 FQDN 作为代理时,将出现“代理值无效”消息。

    [NSHELP-26613]

  • Citrix Gateway 设备在 SSLVPN NONHTTP_RESOURCESS_DENIED 日志中显示损坏的会话策略名称。

    [NSHELP-26610]

  • 如果应用程序名称超过 20 个字符,则通过 Citrix Gateway 连接时应用程序名称会显示为截断。

    [NSHELP-26604]

  • 当网络发生变化时,适用于 Windows 的 VPN 插件会在 Windows 凭据屏幕上显示错误的信息。

    [NSHELP-26562]

  • 如果配置了内容交换虚拟服务器,RFWebUI 客户端 检测 页面会显示“安装”按钮,而不是“检测”按钮。

    [NSHELP-26138]

  • 如果出现以下任一情况,Citrix ADC 设备将崩溃:

    • syslog 操作使用域名进行配置,您可以使用 GUI 或 CLI 清除配置。
    • 高可用性同步发生在辅助节点上。

    解决方法:

    使用系统日志服务器的 IP 地址而不是系统日志服务器的域名创建 syslog 操作。

    [NSHELP-25944]

  • 如果启用 Enlighended Data Transfort (EDT),您可能会注意到已建立的 TCP 连接总数存在差异。

    [NSHELP-25841]

  • 使用 Citrix ADC GUI 创建 RDP 客户端配置文件时,满足以下条件时会显示错误消息:

    • 配置了默认的预共享密钥 (PSK)。
    • 您尝试在 RDP Cookie 有效性(秒)字段中修改 RDP Cookie 有效性计时器。

    [NSHELP-25694]

  • Windows VPN 网关插件无法丢弃 IPv6 DNS 数据包,从而导致 DNS 解析出现问题。

    [NSHELP-25684]

  • 删除管理分区(如果已配置)时,Citrix Gateway 登录页面不会加载。

    [NSHELP-25538]

  • 当多个 VPN 插件客户端使用大小为 1800 字节或以上的 X.509 证书来设置通道时,Citric ADC 设备崩溃。

    [NSHELP-25195]

  • “show tunnel global”命令输出包括高级策略名称。以前,输出不显示高级策略名称。

    示例:

    新输出:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    上一个输出:

    
     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [NSHELP-23496]

  • 启用 L7 延迟后,会话的 ICA 延迟在 Citrix Director 中被错误地记录为 64,000 毫秒。当“nsapimgr”旋钮“enable_ica_l7_latency”设置为 1 时,L7 延迟处于启用状态。

    解决方法:使用 CLI 或 GUI 将 L7 延迟频率设置为 5。

    [NHELP-23459]

  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [ NSHELP-21897 ]

  • Gateway Insight 中不会报告因 STA 票证无效而导致的应用程序启动失败。

    [CGOP-13621]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [CGOP-13584]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

    [CGOP-13511]

  • 接受来自浏览器的本地主机连接时,适用于 macOS 的“接受连接”对话框将以英语显示内容,而不考虑所选的语言。

    [CGOP-13050]

  • Citrix SSO 应用程序 > 主页中的文本“主页”在某些语言中被截断。

    [CGOP-13049]

  • 从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

    [CGOP-11830]

  • 在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外,页面变得无响应。

    [CGOP-7269]

Citrix Web App Firewall

  • 如果应用程序防火墙学习数据中有特殊字符,则不会跳过 aslearn 学习数据。

    [NSWAF-7584]

  • Cookie 劫持功能对 Internet Explorer (IE) 浏览器的支持有限,因为 IE 浏览器不重复使用 SSL 连接。由于限制,会为一个请求发送多个重定向,最终导致 IE 浏览器中出现“超出最大重定向”错误。

    [NSHELP-27193]

  • 升级到 Citrix ADC 版本 13.0 版本 76.29 并在设备上启用了文件上载功能后,会发现以下问题:

    • SQL 和 XSS 保护检查会阻止所有 Web 应用程序的文件上载过程。

    [NSHELP-27140]

  • 在 Citrix Web App Firewall 模块中,不会在主节点上释放分布式哈希表 (DHT) 条目。如果应用程序防火墙会话的超时时间较短且创建速率较高,则会出现此问题。

    [NSHELP-26570]

  • HTML 跨站脚本安全检查不会阻止某些存在安全违规行为的请求。

    [NSHELP-24762]

  • 为签名自动更新配置代理设置

    如果出站流量通过代理设备(例如 bluecoat 或 Squid),您现在可以为签名自动更新配置代理设置。

    CLI 命令:

    set appfw settings -proxyServer <IP> -proxyPort <port>

    示例:

    set appfw settings -proxyServer 10.10.10.10 -proxyPort 8080

    [NSHELP-17494]

负载平衡

  • 在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

    [NSLB-7679]

  • 如果满足以下条件,GSLB 配置可能会部分丢失:

    • Citrix ADC 设备已重新启动。
    • ADNS 服务配置的 IP 地址与远程 GSLB 站点的 IP 地址相同。

    [NHELP-26816]

  • 在群集设置中,通过 GSLB 虚拟服务器绑定访问 GSLB 服务 IP 地址时,GUI 中不显示 GSLB 服务 IP 地址。这只是一个显示问题,对功能没有影响。

    [NSHELP-20406]

其他

  • 当您使用 StyleBook 将配置推送到群集实例时,命令会失败并出现“命令传播失败”错误消息。

    在连续出现故障时,群集会保留部分配置。

    解决方法:

    1. 从日志中识别失败的命令。
    2. 手动将恢复命令应用于失败的命令。

    [NSHELP-24910]

网络连接

  • 在 Citrix ADC BLX 设备中,绑定到带标签的非 dpdk 接口的 NSVLAN 可能无法按预期运行。与未标记的非 dpdk 接口绑定的 NSVLAN 可以正常工作。

    [NSNET-18586]

  • 从 Citrix ADC BLX 设备 13.0 61.x 版本升级到 13.0 64.x 版本后,BLX 配置文件上的设置将丢失。然后,BLX 配置文件将重置为默认值。

    [NSNET-17625]

  • 带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

    • 禁用
    • 启用
    • 重置

    [NSNET-16559]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件(“/etc/blx/blx.conf”)设置如何,Citrix ADC BLX 设备始终以共享模式部署。之所以出现此问题,是因为基于 Debian 的 Linux 系统上默认存在的“mawk”无法运行“blx.conf”文件中存在的一些 awk 命令。

    解决方法:在安装 Citrix ADC BLX 设备之前安装“gawk”。可以在 Linux 主机 CLI 中运行以下命令来安装“gawk”:

    • apt-get 安装 gawk

    [NSNET-14603]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

    “以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”

    解决方法:在安装 Citrix ADC BLX 设备之前,在 Linux 主机 CLI 中运行以下命令:

    • dpkg — 添加架构 i386
    • apt-get 更新
    • apt-get dist-upgrade
    • apt-get 安装 libc6: i386

    [NSNET-14602]

  • 在 Citrix ADC 设备中,如果邻居是对等组的一部分,则 BGP neighbor <IPv6 neighbor> shutdown 命令无效。

    由于此问题,使用 neighbor <IPv6 neighbor> shutdown 命令关闭的任何 IPv6 BGP 邻居在设备重新启动或升级后都处于 UP 状态。

    [NSHELP-26957]

  • 在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

    • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

    解决方法:仅在 HA 同步完成后才执行连续的手动高可用性故障转移(两个节点均处于同步成功状态)。

    [ NSHELP-25598 ]

  • 对于非默认 HTTPS 端口上的内部 SSL 服务,重新启动设备后,SSL 证书绑定可能会恢复为默认设置。

    [NSHELP-24034]

平台

  • 在 Citrix ADC SDX 8900 平台上,LOM 版本从 4.5x 升级到 4.61。在 Citrix ADC SDX 15000 和 SDX 26000 平台上,LOM 版本从 5.03 升级到 5.56。升级后,LOM 的默认密码将重置为新制造平台的设备序列号。此升级解决了 CVE-2013-4786 描述的漏洞。欲了解更多信息,请参阅 https:// support.citrix.com/article/ctx234367

    [NSPLAT-19327]

  • 在重启适用于 AWS 的 Citrix ADC VPX 实例时,如果您使用默认网关以外的网关向 DNS 服务器添加静态路由,则会发生以下事件:

    • 添加到 DNS 服务器的静态路由已被删除。
    • 使用默认网关添加新的静态路由。

    [NSHELP-27116]

  • 如果要将群集节点设置为 yield,则必须在 CCO 上执行以下附加配置:

    • 如果形成了群集,则所有节点都会出现 yield=DEFAULT。
    • 如果使用已设置为 yield=YES 的节点形成群集,则使用 DEFAULT yield 将节点添加到群集中。

    注意:如果要将群集节点设置为 yield=Yes,则只能在形成群集之后执行适当的配置,而不能在群集形成之前执行适当的配置。

    [NSHELP-27091]

  • 在 Citrix ADC SDX 平台上,当节点加入群集时,群集状态可能会发生抖动。当触发影响群集运行状况的隐式接口重置时,就会发生抖动。

    [NSHELP-27081]

策略

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法: 将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

  • 具有全局范围的 NS 变量不适用于 HTTP/2 流量。

    [NSHELP-27095]

  • 如果满足以下所有条件,Citrix Gateway 设备可能会崩溃。

    • nstrace 已使用过滤器表达式启用
    • 已启用外部 ADC 审计服务器的调试审计日志记录
    • 配置了带有高级规则表达式的身份验证策略

    [NSHELP-26045]

  • 如果将两个策略变量配置为不同的过期时间,则会出现以下问题:

    • 删除过期时间较短的变量的过期值可能会延迟到删除过期时间较长的过期值之后。

    [NSHELP-25786]

SSL

  • 如果在 Client hello 绑定点绑定多个 SSL 策略绑定到单个虚拟服务器,并且 APN 或 SNI 策略是第一个策略绑定,则可能会出现以下错误情况:

    如果客户端不发送 ALPN 或 SNI 请求,则不会评估绑定到虚拟服务器的其他策略。

    [NSSSL-9865]

  • 在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

    解决方法:

    1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
    2. 保存配置。

    [NSSSL-9572]

  • 更新命令不适用于以下添加命令:

    • 添加天蓝色应用
    • 添加天蓝色密钥库
    • 使用 hsmkey 选项添加 ssl 证书密钥

    [NSSSL-6484]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
    ERROR: crl refresh disabled

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

  • 颁发 CRL 的 CA 证书名称被截断为 32 个字符,即使证书密钥名称最多可以包含 64 个字符。出现此问题的原因是 CRL 字段的字符限制为 32 个字符。

    [NHELP-26986]

  • 如果您在配置文件中更改内置证书(“ns-server-certificate”)的名称,Citrix ADC 设备将在重新启动期间崩溃。

    [NSHELP-26858]

系统

  • Citrix ADC 设备可能会在 MPTCP 连接上发送无效的 TCP 数据包以及 TCP 选项,例如 SACK 块、时间戳和 MPTCP 数据 ACK 确认。

    [NHELP-27179]

  • 在 Citrix ADC 设备和数据加载器中观察到 Logstream 记录不匹配。

    [NHELP-25796]

  • 如果满足以下条件,Citrix ADC 设备在清除配置期间可能会失败:

    • 当服务绑定到虚拟服务器时,服务的 IP 地址会更改。
    • 同一虚拟服务器在分析配置文件中用作收集器。

    [NSBASE-11511]

用户界面

  • 创建/监视 CloudBridge Connector 向导可能会变得无响应或无法配置 CloudBridge连接器。

    解决方法: 使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge Connector。

    [NSUI-13024]

  • 在管理分区中导入证书可能会错误地失败,并显示以下消息:

    错误:用户无权访问给定目标路径

    [NSHELP-26918]

  • 在 Citrix ADC VPX 设备中,添加许可证服务器后,设置容量操作可能会失败。出现此问题的原因是,由于存在大量受支持的签入和签出类型的许可证 (CICO),与 Flexera 相关的组件需要较长的时间来初始化

    [NSHELP-23310]

  • 在管理分区设置中,上载和添加证书吊销列表 (CRL) 文件失败。

    [NSHELP-20988]

  • 在 Citrix ADC BLX 群集设置中,“sync cluster files”命令可能会因为内部错误而失败。

    解决方法:重新启动“nsclfsyncd”进程。

    [NSCONFIG-4968]

  • 如果 Citrix ADC BLX 设备使用 Citrix ADM 获得许可,则在将设备升级到 13.0 版本 83.x 版本后,许可可能会失败。

    解决方法:在升级 Citrix ADC BLX 设备之前,请先将 Citrix ADM 升级到 13.0 版本 83.x 或更高版本。

    [NSCONFIG-4834]

  • 将 Citrix ADC 设备版本 13.0-71.x 降级到较早版本时,由于文件权限更改,某些 Nitro API 可能无法正常工作。

    解决方法:将“/nsconfig/ns.conf”的权限更改为 644。

    [NSCONFIG-4628]

  • 有时,应用程序防火墙签名需要很长时间才能同步到非 CCO 节点。因此,使用这些文件的命令可能会失败。

    [NSCONFIG-4330]

  • 如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

    1. 将 Citrix ADC 设备升级到其中一个版本:

      • 13.0 52.24 Build
      • 12.1 57.18 Build
      • 11.1 65.10 Build
    2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    3. 将 Citrix ADC 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表:
    在命令提示符处,键入:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    解决方法:

    要解决此问题,请使用以下独立选项之一:

    • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
    • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
    • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

    欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Citrix ADC 13.0-79.64 版本的发行说明