产品文档
Citrix ADC
Current Release 13.0 12.1
查看 PDF

Citrix ADC 13.0-82.45 版本的发行说明

December 28, 2022
投稿者: 
C

本发行说明文档介绍了 Citrix ADC 版本 Build 13.0-82.45 中存在的增强和更改、已修复和已知问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
  • 版本 13.0-82.45 及更高版本解决了中描述的安全漏洞 https://support.citrix.com/article/CTX319135
  • 版本 82.45 取代了 Build 82.42。
  • 此版本还包括对先前 Citrix ADC 13.0 版本中存在的以下问题的修复:NSHELP-28098、NSCONFIG-5621、NSHELP-28341。

新增功能

版本 13.0-82.45 中提供的增强和更改。

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 设备上,重置配置或尝试恢复密码时,必须使用设备序列号作为密码登录。

    [NSSVM-4357]

Citrix Web App Firewall

  • 支持基于微软 SQL (MSSQL) 语法的检测

    现有的基于语法的 SQL 注入检测机制得到了增强,以支持 Web 应用程序的 Microsoft SQL Server 查询。

    [NSWAF-7290]

其他

  • 在显式代理部署中增加了对 SSH、SFTP 和 FTP 流量的支持。之前仅支持常规网络流量。这些协议的传入流量现在已桥接到后端。

    [NSSWG-1272]

网络连接

SSL

  • 用于忽略 DTLS 会话中错误 MAC 记录的新参数

    如果在 DTLS 会话中收到错误的 MAC 记录,则目前 ADC 设备会终止会话并发送警报。因此,云中的 VDA 会话已断开连接。

    现在,已在 DTLS 配置文件中添加了一个参数 maxbadmacignoreCount,用于忽略这些不良记录。使用此参数,将忽略不超过参数中设置的值的坏记录。只有在达到限制后,设备才会终止会话并发送警报。

    此参数设置仅在启用 TerminateSession 参数时才有效。

    [NSSSL-8581]

系统

  • 在虚拟服务器上支持 HTTP/3 协议

    Citrix ADC 设备现在支持虚拟服务器(仅在前端)上的 HTTP/3 协议,用于通过单个连接发送多个 HTTP 请求流。QUIC 是一种使用 UDP 而不是 TCP 作为基础传输的新兴协议。该协议实现了可靠的连接,通过该连接,您可以流式传输多个 HTTP 请求。QUIC 还将 TLS 作为集成组件,而不是像 HTTP/1.1 或 HTTP/2 那样作为额外的层。

    作为 HTTP/3 配置的一部分,对于 HTTP/3 流量,设备支持以下功能的策略配置。

    • 响应方
    • 重写
    • HTTP 压缩
    • 集成缓存
    • Web 应用防火墙
    • URL 转换
    • SSL
    • 前端优化
    • AppQoE

    此外,不支持以下功能策略配置。

    • 身份验证、授权和审计政策
    • 机器人管理
    • AppFlow

    HTTP/3 配置还支持虚拟服务器发现 HTTP/3 服务,以便使用 HTTP 替代服务机制宣布 HTTP/3 服务端点的可用性。

    欲了解更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/current-release/system/http3-over-quic-protocol.html

    [NSBASE-11110]

  • 用于匹配 gRPC 协议缓冲区字段的 PI 表达式

    Citrix ADC 设备现在支持 gRPC 中的以下功能:

    • grPC 协议缓冲区字段访问。现在,任意 gRPC API 调用将消息字段号与新的 PI 表达式进行匹配。在 PI 配置中,仅使用字段号和 API 路径进行匹配。
    • grPC 标头过滤。gRPC 的 “HttpProfile” 参数现在用于调整 gRPC 解析的默认行为(包括 gRPC PI 表达式)。以下参数适用于 gRPC PI 表达式:
      • grpClength划界。默认情况下,它处于启用状态,并希望协议缓冲区显示长度分隔的消息。
      • grpCholdLimit。默认值为 131072。它是以字节为单位的最大协议缓冲区消息大小。

    欲了解更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/current-release/system/grpc/grpc-with-responder-policy-configuration.html%23policy-expressions-for-matching-grpc-protocol-buffer-fields

    [NSBASE-10458]

用户界面

  • 如果您将 Citrix ADC 设备升级到软件版本 13.0 版本 81.6 及更高版本,CICO 40G 功能无法按预期运行。

    [NSCONFIG-5621]

已修复的问题

版本 13.0-82.45 中解决的问题。

身份验证、授权和审核

  • 如果端点设备在 samlAction 命令中配置了 RelayStateRule 表达式,则使用在用户计算机浏览器上标记的完整 URL 登录到 Citrix Gate way 端点将失败。

    例如,如果您尝试使用浏览器上已添加书签的完整网址(如 https://citrixgateway.com/citrix/storeweb )登录并尝试登录,则登录会失败。

    [NSHELP-28098]

  • 在某些情况下,在 GSLB Active-Active-Active 站点部署中将 Citrix ADC 配置为 OAuth IdP 时,身份验证会失败。

    [NSHELP-27651]

  • 在极少数情况下,EPA 评估可能会失败。

    [NSHELP-27333]

  • 当不支持的证书绑定到设备上的证书端点时,配置为 OAuth IdP 的 Citrix ADC 设备会崩溃。

    [NSHELP-27248]

  • 如果将电子邮件验证配置为电子邮件ID注册后的下一个因素,则电子邮件验证将失败。

    [NSHELP-26905]

  • 在极少数情况下,Citrix Gateway 设备在使用 OAuth 身份验证方法访问设备时会转储内核。

    [NSHELP-26745]

  • 如果满足以下条件,则在 nFactor 身份验证期间,Citrix Gateway 设备会崩溃。

    • WebView 用于访问 Citrix Gateway 设备。
    • 阻塞表达式在 VPN 会话策略中配置。

    [NSHELP-26433]

  • EmailAction 命令的 “超时” 参数已过时。超时的默认值为 180 秒。

    [NSHELP-26424]

  • 使用 SAML 身份验证和 RelayStateRule 配置 Citrix ADC 时,来自 Citrix Workspace 应用程序的身份验证失败。基于浏览器的登录不受影响。

    [NSAUTH-10517]

机器人管理

  • 重置和重定向操作值保留在同一个签名文件中,并且在机器人签名自动更新后不会传播到新文件。

    [NSBOT-579]

  • 在 BOT TPS 检测期间,针对主机、地理位置和源 IP 违规类型生成的日志消息中缺少 HTTP URL 信息。

    [NSBOT-575]

  • 如果在 Web App Firewall 设置中启用了通用事件格式 (CEF) 日志记录,则默认机器人日志格式会更改。

    [NSBOT-562]

  • 在机器人违规日志中,SSL 请求 URL 显示为 “http://” 而不是 “https://”。

    [NSBOT-537]

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 设备上,由于缺少 python 模块库,在管理服务中使用 “mastools” 进行自动升级和注册失败。

    [NSSVM-4697]

  • 管理服务命令行已损坏,出现以下错误:

    错误:无效的属性字段

    [NSSVM-4551]

  • 在 Citrix ADC SDX 设备上,如果在 ADC 实例上配置了突发吞吐量,则可能不会显示该实例的 IP 地址 (NSIP)。

    [NSHELP-27133]

Citrix Gateway

  • 最终用户可以绕过 EPA 扫描,使用恶意脚本登录 Citrix ADC 设备。添加了对绕过 EPA 设备证书策略的补救措施。该修复程序添加在 “nsapimgr” 旋钮 “sslvpn_toggle_devicecert_epa_validate” 下,该旋钮默认处于禁用状态。最终用户必须在 ADC 中启用此旋钮才能阻止恶意脚本绕过。

    [NSHELP-27573]

  • 在某些情况下,如果 EPA 扫描未在规定的时间(大约 25 秒)内完成,EPA 插件会关闭连接。

    [NSHELP-27241]

  • 如果为后端子网配置 ForwardSession 并且通过 VPN 隧道访问同一子网中的服务器,Citrix Gateway 设备可能会崩溃。

    [NSHELP-27037]

  • 当多核设备收到 “/broker URL” 请求时,Citrix Gateway 设备可能会崩溃,原因如下:

    • 请求落在与创建 VPN 会话的核心不同的核心上。
    • 使用新的身份验证、授权和审计 cookie 并创建虚拟会话。

    [NSHELP-27008]

  • 某些 Citrix Gateway 相关的日志文件不会轮换,从而导致日志大小增加。

    [NSHELP-26767]

  • Citrix Gateway 设备在 SSLVPN NONHTTP_RESOURCESS_DENIED 日志中显示损坏的会话策略名称。

    [NSHELP-26610]

  • 如果应用程序名称超过 20 个字符,则通过 Citrix Gateway 连接时应用程序名称会显示为截断。

    [NSHELP-26604]

  • 身份验证后,Citrix Receiver 下载网址(receiver.exe 文件)无法下载。

    [NSHELP-26600]

  • 如果 Citrix Gateway 设备配置了 IPV6 地址并且该网关用于代理 Enlightened Data Transport (EDT) 协议,则该设备可能会变得无响应。

    [NSHELP-26357]

  • 如果在系统日志操作配置中使用 FQDN,Citrix ADC 设备可能会崩溃。

    在这种情况下,您可以使用 syslog 服务器的 IP 地址而不是 FQDN。

    [NSHELP-26355]

  • 如果配置了内容交换虚拟服务器,RFWebUI 客户端 检测 页面将显示 “ 安装 ” 按钮而不是 “检测” 按钮。

    [NSHELP-26138]

  • 如果启用 “开明数据传输 (EDT)”,您可能会注意到已建立的 TCP 连接总数存在差异。

    [NSHELP-25841]

  • 如果 StoreFront 生成的 ICA 文件的大小超过 2048 字节,则通过 Citrix Gateway 从 StoreFront 启动应用程序可能会失败。

    [NSHELP-25838]

  • 删除管理分区(如果已配置)时,Citrix Gateway 登录页面不会加载。

    [NSHELP-25538]

  • 如果用户从 Citrix Workspace 登录,Citrix ADC 设备可能会在身份验证、授权和审计会话注销期间崩溃。

    [NSHELP-23623]

  • 以下功能已弃用。

    • WioNNS-使用 Citrix ADC Web 界面访问 Citrix Virtual Apps and Desktops 应用程序的站点。
    • WebFront-用于访问 StoreFront 的 Citrix ADCS WebF

    当您为这些功能运行任何命令时,会出现警告。

    Citrix 建议使用 StoreFront 交付 Citrix Virtual Apps and Desktops 应用程序。

    [CGOP-17707]

Citrix Web App Firewall

  • Web App Firewall 日志表达式不适用于 XML 安全检查。

    [NSWAF-7705]

  • 在集群设置中,“aslearn” 进程在非配置协调器节点上间歇性地崩溃。

    [NSWAF-7619]

  • 如果应用程序防火墙学习数据中有特殊字符,则不会跳过 aslearn 学习数据。

    [NSWAF-7584]

  • 如果启用了 IP 信誉功能并配置了策略表达式,Citrix ADC 设备可能会崩溃。

    [NSHELP-26983]

  • 在 Citrix Web App Firewall 模块中,不会在主节点上释放分布式哈希表 (DHT) 条目。如果应用程序防火墙会话的超时时间较短且创建速率较高,则会出现此问题。

    [NSHELP-26570]

  • 如果满足以下条件,则会观察到内存分配失败:

    • Web App Firewall 配置文件已启用并配置了 “开始 URL 关闭”。
    • 正在处理的 HTTP 响应不断包含数千个唯一的 URL。

    [NSHELP-26435]

  • 如果系统中存在大量 Web App Firewall 放宽规则,Citrix ADC 设备可能会崩溃。

    [NSHELP-26074]

  • HTML 跨站脚本安全检查不会阻止某些存在安全违规行为的请求。

    [NSHELP-24762]

  • 为签名自动更新配置代理设置

    如果出站流量通过代理设备(例如 bluecoat 或 Squid),您现在可以为签名自动更新配置代理设置。

    CLI 命令:

    set appfw settings -proxyServer <IP> -proxyPort <port>

    示例:

    设置 appfw 设置-ProxyServer 10.10.10.10-ProxyPort 8080

    [NSHELP-17494]

负载平衡

  • 如果满足以下条件,GSLB 完全同步将失败:

    • 您可以使用基于 IP 地址的服务器添加 GSLB 服务,其公有 IP 地址和公共端口由其他 GSLB 服务使用。
    • 你运行 “添加 gslb 服务” 命令。在这种情况下,命令会失败,但基于 IP 地址的服务器仍然是 GSLB 运行配置的一部分。

    [NSHELP-26949]

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃:

    • 数据数组的大小是奇数,例如 3、5、7、9 等。
    • 在使用会话 ID 之前,静态函数局部变量未设置为零。

    [NSHELP-26312]

  • 在极少数情况下,Citrix ADC 设备在处理从 GSLB 远程站点收到的普通 ACK 数据包时可能会崩溃。

    [NSHELP-25886]

其他

  • 在 Citrix ADC SDX 设备上,如果满足以下条件,则在一个或多个 VPX 实例上会出现基于 RSA 的新 SSL 会话建立失败:

    • VPX 实例正在运行 ADC 软件版本 12.x 或 13.0。
    • 管理服务已升级到 ADC 软件版本 13.0。

    [SDX-486]

  • 在集群设置中,将洛杉矶通道设置为背板的群集节点重新启动或升级到版本 13.0 build 82.42 后,会观察到以下问题:

    • 如果信道是使用 LACP 创建的,并且为该信道设置了巨型 MTU,则 LA 信道配置将丢失,导致节点变为非活动状态。
    • 如果为该信道设置了非巨型 MTU,则 LA 信道 MTU 配置将丢失,导致该节点丢弃全尺寸的数据包。

    [NSHELP-28341]

  • 作为 URLSet 匹配过程的一部分,响应方策略不会检测到 HTTP 网址。

    [NSHELP-27504]

  • Citrix ADC 设备在内容检查期间尝试取消引用非分配结构时可能会崩溃。之所以发生崩溃,是因为该资源/结构的内存分配失败。

    [NSHELP-27358]

  • Citrix ADC 设备可能会因为空点错误而崩溃。

    [NSHELP-27021]

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃:

    • 在收到响应之前更改基于请求的策略表达式。
    • 内容检查不处理 undef 案件。

    [NSHELP-26980]

网络连接

  • 当你在 Kubernetes 集群中部署带有 Citrix Metrics Exporter 的 Citrix ADC CPX 作为副车时,它需要公开 METRICS_EXPORTER_PORT=<port-number> environment 变量。端口号应与为指标导出器的 “–port” 参数指定的端口号相同。

    [NSNET-21213]

  • 在 CGNAT-NAT44 模式下,由于以下原因,Citrix ADC 设备在接收 SIP 流量时可能会崩溃:

    • 从设备中删除订阅者相关数据时,LSN 模块不会将订阅者配对的 IP 参考计数重置为零。

    [NSHELP-27332]

  • 在 Citrix ADC 设备中,如果邻居是对等组的一部分,则 BGP neighbor <IPv6 neighbor> shutdown 命令无效。

    由于此问题,使用 neighbor <IPv6 neighbor> shutdown 命令关闭的任何 IPv6 BGP 邻居在设备重新启动或升级后都处于 UP 状态。

    [NSHELP-26957]

  • 如果满足以下条件,则高可用性设置的两个节点都声称自己是主节点:

    • 在主节点热重启后 3 秒内,所有接口均未处于 UP 状态。之所以出现此问题,是因为未为内部 HA INIT 模块设置交换机学习时间。

    [NSHELP-26288]

  • 在高可用性设置中,如果满足以下条件,辅助节点可能会在重新启动后崩溃:

    • 主节点中存在大量活动 LSN 会话。
    • 在辅助节点中同步大量 LSN 会话时,Pitboss 进程会重新启动数据包引擎。

    [NSHELP-26257]

平台

  • 如果您在具有热重启的弹性网络适配器 (ENA) NIC 的实例类型上运行 Citrix ADC VPX for AWS,则对 Citrix ADC VPX 实例的管理访问权限将丢失。

    [NSPLAT-20296]

  • 在 Citrix ADC SDX 8900 平台上,LOM 版本从 4.5x 升级到 4.61。在 Citrix ADC SDX 15000 和 SDX 26000 平台上,LOM 版本从 5.03 升级到 5.56。升级后,LOM 的默认密码将重置为新制造平台的设备序列号。此升级解决了 CVE-2013-4786 描述的漏洞。欲了解更多信息,请参阅 https:// support.citrix.com/article/ctx234367

    [NSPLAT-19327]

  • 在 Citrix ADC MPX 14000 FIPS 平台上,使用池化容量许可,ECC 性能数字低于启用混合 ECC 模式时发布的数字。

    [NSHELP-27482]

  • 如果您修改 Citrix 提供的内核校验和,然后安装内核,则可能会发现以下问题之一:

    • 安装命令完成。设备重新启动后,它报告内核安装无法完成,启动过程停止。然后,你必须加载不同的内核才能启动盒子。
    • installns 命令检测到不匹配情况并停止安装。但此时会显示错误消息。

    [NSHELP-27420]

  • 在重启适用于 AWS 的 Citrix ADC VPX 实例时,如果您使用默认网关以外的网关向 DNS 服务器添加静态路由,则会发生以下事件:

    • 添加到 DNS 服务器的静态路由已被删除。
    • 使用默认网关添加新的静态路由。

    [NSHELP-27116]

  • 如果要将群集节点设置为 yield,则必须在 CCO 上执行以下附加配置:

    • 如果形成了集群,则所有节点都会出现 yield=Default。
    • 如果使用已设置为 yield=YES 的节点形成集群,则使用 DEFAULT yield 将节点添加到集群中。

    注意:如果要将群集节点设置为 yield=yes,则只能在形成集群之后执行合适的配置,而不能在集群形成之前执行适当的配置。

    [NSHELP-27091]

  • 在 Citrix ADC SDX 平台上,当节点加入集群时,群集状态可能会发生变化。当触发影响集群运行状况的隐式接口重置时,就会发生抖动。

    [NSHELP-27081]

策略

  • 如果在非基于 TCP 的协议中使用 MATCHES () 表达式,Citrix ADC 设备可能会崩溃。

    [NHELP-26062]

  • 如果满足以下所有条件,Citrix Gateway 设备可能会崩溃。

    • nstrace 已使用过滤器表达式启用
    • 已启用外部 ADC 审计服务器的调试审计日志记录
    • 配置了带有高级规则表达式的身份验证策略

    [NSHELP-26045]

  • 如果将两个策略变量配置为不同的过期时间,则会出现以下问题:

    • 删除过期时间较短的变量的过期值可能会延迟到删除过期时间较长的过期值之后。

    [NSHELP-25786]

SSL

  • 如果在 Client hello 绑定点绑定多个 SSL 策略绑定到单个虚拟服务器,而 APN 或 SNI 策略是第一个策略绑定,则可能会出现以下错误情况:

    如果客户端不发送 APN 或 SNI 请求,则不会评估绑定到虚拟服务器的其他策略。

    [NSSSL-9865]

  • 未清除 “stat ssl” 命令输出中显示的 SSL 计数器。

    [NSHELP-20966]

系统

  • Citrix ADC 设备在禁用连接多路传输的情况下关闭客户端连接大约 40 毫秒后关闭服务器连接。

    [NSHELP-26968]

  • 扩大往返时间 (RTT) 测量范围可能会导致 5G 部署速度变慢。将由 RTT 测量的起搏层引起的排队延迟包括在内时会出现问题。

    [NSHELP-26755]

  • 如果 Citrix ADC 设备在已经关闭的 MPTCP 会话上收到部分确认的 MPTCP MP-FAIL 信号,它可能会崩溃。崩溃适用于在 TCP 配置文件中启用了 MPTCP 的虚拟服务器。

    [NSHELP-26594]

  • 当 Citrix ADC 设备使用 NOOP 选项重写不支持的 TCP 选项时,某些 IoT 或嵌入式设备可能会拒绝来自该设备的 TCP 连接。

    [NSHELP-25767]

  • 如果满足以下条件,Citrix ADC 设备在清除配置期间可能会失败:

    • 当服务绑定到虚拟服务器时,服务的 IP 地址会更改。
    • 同一虚拟服务器在分析配置文件中用作收集器。

    [NSBASE-11511]

用户界面

  • 配置 HTTP_QUIC 协议后,默认 HTTP 级别的压缩策略绑定失败。

    [NSUI-17729]

  • Citrix ADC GUI 上的前端优化 (FEO) 配置不支持 QUIC 流量上的 HTTP/3。但是,该配置在 Citrix ADC 命令界面上运行良好。

    [NSUI-17616]

  • 在高可用性设置中,由于以下原因,在高可用性同步过程中,具有多个密码的配置可能会在辅助节点上失败:

    如果跳过序列中的任何密码,则后续的密码解密将在辅助节点上失败。解密失败,因为它会寻找主节点的本地 KEK,而辅助节点中不存在。

    [NSHELP-27797]

  • GSLB 配置同步可能无法同步带有长用户标识符 (UID) 的命令。

    [NSHELP-27328]

  • 在高可用性设置中,如果满足以下所有条件,HA 传播可能会失败:

    • RPC 节点的验证证书 (validatecert) 选项设置为 “是”,然后设置为 “否”。
    • 未配置 CA 证书

    [NSHELP-27315]

  • 运行 “启用 gslb 服务组” 或 “禁用 gslb servicegroup” 命令时,GSLB 增量同步失败。因此,启动了 GSLB 完整配置同步。

    [NSHELP-27079]

  • 在管理分区中导入证书可能会错误地失败,并显示以下消息:

    错误:用户无权访问给定目标路径

    [NSHELP-26918]

  • 在 Citrix ADC BLX 集群设置中,“同步集群文件” 命令可能会因为内部错误而失败。

    [NSCONFIG-4968]

视频优化

  • 如果满足以下所有条件,Citrix ADC 设备可能会崩溃:

    • GX 接口已配置。
    • GX 会话报告已配置。
    • “清除订阅者会话” 命令在等待从 GX 服务器接收 CCA 消息时触发。

    [NSHELP-27474]

已知问题

13.0-82.45 版本中存在的问题。

身份验证、授权和审核

  • 将 LDAP 监视器绑定到服务时,监视器会关闭,因为 Citrix ADC 设备向活动目录发送了错误的密码。

    [NSHELP-27961]

  • 在多级联 AD 中,如果在最后一个级联中找不到用户,则用户的帐户不会被锁定。

    [NSHELP-27948]

  • 当 Citrix ADC 设备配置为 SAML 身份验证时,设备会在使用 RSA 以外的证书时转储核心。

    [NSHELP-27813]

  • 如果 Citrix ADC 设备配置为基于 401 的身份验证,则不会将 SAMESite Cookie 属性添加到身份验证 Cookie 中。

    [NHELP-27764]

  • 由于 Citrix ADC 版本 13.0 build 67.x 及更高版本中出现了 SQLite 依赖关系故障,Web App Firewall 配置文件无法按预期运行。

    [NSHELP-27458]

  • 在某些情况下,如果请求没有身份验证 cookie,则对身份验证、授权和审计-TM 虚拟服务器的 HTTP POST 请求的处理不正确。POST 主体在处理过程中丢失。

    [NSHELP-27227]

  • 如果表达式中使用了 Authentication, authorization, and auditing.USER.DOMAIN,则会为登录用户填充错误的 SSO 域名。

    [NHELP-26443]

  • 在某些情况下,如果策略名称长于 Intranet 应用程序名称,则绑定身份验证、授权和审核组命令可能会失败。

    [NSHELP-25971]

  • Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

    [ NSHELP-563 ]

  • 由于密码解密问题,网络连接测试检查失败。但是,身份验证功能可以正常工作。

    [NSAUTH-10216]

  • DualAuthPushOrOTP.xml LoginSchema 未正确显示在 Citrix ADC GUI 的登录架构编辑器屏幕中。

    [NSAUTH-6106]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
    show adfsproxyprofile <profile name>

    解决方法:连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

缓存

  • 如果在 “设置缓存内容组” 命令中启用了 “insertAge” 参数,则会在缓存响应中发送额外的标头信息。

    [NHELP-27772]

  • 如果未在缓存控制块中动态设置“max_age”和“s_maxage”参数值,Citrix ADC 设备可能会崩溃。

    [NHELP-27758]

  • 在高可用性设置中,主节点在访问空指针而不是缓存对象后崩溃。

    [NSHELP-26967]

  • 如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

    [NSHELP-22942]

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 设备上,如果 CLAG 是在 Mellanox 网卡上创建的,则当 VPX 实例重新启动时,CLAG MAC 将更改。VPX 实例的流量在重启后停止,因为 MAC 表包含旧的 CLAG MAC 条目。

    [NSSVM-4333]

  • 在 Citrix ADC SDX 设备上,在 “虚拟机管理程序磁盘使用率高” 时发出警报的默认值增加到 98%。

    [NHELP-27854]

  • 在 Citrix ADC SDX 设备上,由于库存中运行的作业和计划程序增加,管理服务可能会报告内存使用率高达 80% 左右。

    [NSHELP-27805]

  • 在 Citrix ADC SDX 设备上,如果满足以下条件序列,则作为管理通道一部分的界面将与管理通道一起显示:

    1. VPX 实例是集群的一部分。
    2. 管理渠道已创建。

    [NHELP-27487]

  • 在 Citrix ADC SDX 设备上,由于库存中运行的作业和计划程序增加,管理服务可能会报告内存使用率高达 80% 左右。

    [NSHELP-27396]

Citrix Gateway

  • Citrix ADC 设备在处理传入的封装安全有效负载 (ESP) 流量时崩溃,但找不到安全关联 (SA)。

    [NSHELP-27991]

  • 如果由于网络错误而在登录过程中出现 JavaScript 错误,则随后的登录尝试将失败并出现相同的 JavaScript 错误。

    [NSHELP-27912]

  • 通道建立后,Windows 插件将添加具有默认网关地址的路由,而不是使用先前的网关 IP 地址添加 DNS 服务器路由。

    [NSHELP-27850]

  • 在极少数情况下,Citrix Gateway 门户页面不会在 Internet Explorer 浏览器上显示 EPA 插件的 下载 按钮。

    [NHELP-27849]

  • 使用无客户端 VPN 访问 Citrix Gateway 设备时,可能会生成核心转储。

    [NSHELP-27653]

  • 如果异步被阻止并且您修改了内容交换策略配置,Citrix Gateway 设备可能会崩溃。

    [NHELP-27570]

  • 处理 UDP 流量时,Citrix ADC 设备可能会崩溃。

    [NHELP-27536]

  • 无法将用户的个人书签文件从一个 Citrix Gateway 设备复制到另一台设备。

    [NHELP-27389]

  • Citrix Gateway 设备意外重启,因为启用网关智能分 Gateway Insight 后,本地 ns.log 文件中的 SSL VPN 日志消息泛滥。

    [NHELP-27040]

  • 启用 Gateway Insight 时,Citrix ADC 日志中可能会充斥日志消息 “gwinsight:func=ns_sslvpn_send_app_launch_fail_record Appflow 策略评估失败”。

    [NSHELP-26750]

  • 编辑 VPN 会话配置文件时,Citrix Gateway GUI 显示消息 “IP 或端口无效”。

    [NHELP-26722]

  • 在 “创建 Citrix Gateway 流量配置文件” 页面中输入 FQDN 作为代理时,将出现 “代理值无效” 消息。

    [NSHELP-26613]

  • 当网络发生变化时,适用于 Windows 的 VPN 插件会在 Windows 凭据屏幕上显示错误的信息。

    [NSHELP-26562]

  • 如果出现以下任一情况,Citrix ADC 设备将崩溃:

    • syslog 操作使用域名进行配置,您可以使用 GUI 或 CLI 清除配置。
    • 高可用性同步发生在辅助节点上。

    解决方法:

    使用系统日志服务器的 IP 地址而不是系统日志服务器的域名创建 syslog 操作。

    [NSHELP-25944]

  • 使用 Citrix ADC GUI 创建 RDP 客户端配置文件时,满足以下条件时会显示错误消息:

    • 配置了默认的预共享密钥 (PSK)。
    • 您尝试在 RDP Cookie 有效性(秒)字段中修改 RDP Cookie 有效性计时器。

    [NSHELP-25694]

  • Windows VPN 网关插件无法丢弃 IPv6 DNS 数据包,从而导致 DNS 解析出现问题。

    [NSHELP-25684]

  • SNMP OID 向 VPN 虚拟服务器发送了一组不正确的当前连接。

    [NSHELP-25596]

  • 当多个 VPN 插件客户端使用大小为 1800 字节或以上的 X.509 证书来设置隧道时,Citric ADC 设备崩溃。

    [NSHELP-25195]

  • 适用于 Windows 的 EPA 插件不使用本地计算机配置的代理,而是直接连接到网关服务器。

    [ NSHELP-24848 ]

  • Gateway Insight 不会显示有关 VPN 用户的准确信息。

    [ NSHELP-23937 ]

  • “show tunnel global” 命令输出包括高级策略名称。以前,输出不显示高级策略名称。

    示例:

    新输出:

    
 > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0

 Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
 Priority: 1  
 Global bindpoint: REQ_DEFAULT

 Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
 Priority: 100  
 Global bindpoint: RES_DEFAULT  
 Done  
 >
 <!--NeedCopy-->

    上一个输出:

    
 > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

 Advanced Policies:

 Global bindpoint: REQ_DEFAULT  
 Number of bound policies: 1

 Done
 <!--NeedCopy-->

    [NSHELP-23496]

  • 启用 L7 延迟后,会话的 ICA 延迟在 Citrix Director 中被错误地记录为 64,000 毫秒。当 “nsapimgr” 旋钮 “enable_ica_l7_latency” 设置为 1 时,L7 延迟处于启用状态。

    解决方法:使用 CLI 或 GUI 将 L7 延迟频率设置为 5。

    [NHELP-23459]

  • 如果您已为 ICA 启动/停止事件配置 RADIUS 记账,则 ICA 启动的 RADIUS 记账请求中的会话 ID 将显示为全零。

    [NSHELP-22576]

  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [ NSHELP-21897 ]

  • 如果您在全局 syslog 参数中修改 syslog 服务器,“显示审计消息” 输出不会显示最新的日志。

    [NHELP-19430]

Citrix Web App Firewall

  • 在 Citrix ADC 群集设置中,如果从 Citrix ADC 版本 12.0、12.1 或 13.0 版本 52.x 或更早版本升级一个或多个节点,则其中一个节点会崩溃。发生崩溃的原因是 Web App Firewall cookie 格式和大小不兼容。

    [NSWAF-7689]

  • Citrix Web App Firewall 学习引擎仅在观察到违规时才会学习字段格式规则。

    [NSWAF-7677]

  • Cookie 劫持功能对 Internet Explorer (IE) 浏览器的支持有限,因为 IE 浏览器不重复使用 SSL 连接。由于该限制,会为一个请求发送多个重定向,最终导致 IE 浏览器中出现 “最大重定向超过” 错误。

    [NSHELP-27193]

  • 升级到 Citrix ADC 版本 13.0 版本 76.29 并在设备上启用了文件上传功能后,会发现以下问题:

    • SQL 和 XSS 保护检查会阻止所有 Web 应用程序的文件上传过程。

    [NSHELP-27140]

负载平衡

  • 在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

    [NSLB-7679]

  • 在 GSLB 设置中,清除 GSLB 站点上的统计信息后,远程服务的状态不会更新。作为解决方法,请在同一 GSLB 网站上再次清除统计信息。然后更新远程服务的状态。

    [NSHELP-28169]

  • CookieTimeOut 值在 GET 操作期间设置不正确,导致 CS 虚拟服务器更新操作失败。

    [NHELP-27979]

  • 在某些情况下,发出显示运行配置命令时,Citrix ADC 设备可能会崩溃。

    [NHELP-27815]

  • 在群集设置中,当一个或多个节点进入 “关闭” 状态时,备份节点可能无法加入群集节点组。此故障会导致某些 Citrix ADC 功能失败。

    [NHELP-27664]

  • 收到流水线化的 radius 请求时,Citrix ADC 设备可能不会在响应中插入适当的数据包标识符。由于此问题,客户端收到无效响应。

    [NHELP-27391]

  • 在高可用性设置中,如果满足以下条件,辅助节点可能会崩溃:

    • 两个节点上的物理内存量彼此不同。
    • 数据会话未正确同步。

    解决方法:在两个 HA 节点上
    保持相同数量和至少 4 GB 的物理内存。

    [NSHELP-26503]

  • 在集群设置中,通过 GSLB 虚拟服务器绑定访问 GSLB 服务 IP 地址时,GUI 中不显示 GSLB 服务 IP 地址。这只是一个显示问题,对功能没有影响。

    [NSHELP-20406]

网络连接

  • Citrix ADC BLX 设备升级到版本 13.1 版本 4.x 后,Web 应用程序防火墙可能会错误地阻止没有内容类型标头的请求。

    解决方法:在 Citrix ADC BLX CLI 中运行以下命令:

    • “添加 appfw jsonContentType “^application/json$”-isRegex REGEX”
    • “添加 appfw urlenCodedFormContentType “application/x-www-form-urlencoded”-isRegex NOTREGEX
    • “添加 appfw urlencodedFormContentType” application/x-www-form-urlencoded。*”-isRegex 正则表达式”
    • “添加 appfw multipartFormContentType “multipart/form-data”-isRegex NOTREGEX”
    • “添加 appfw multipartFormContentType” 多部分/表单数据。*”-isRegex 正则表达式”
    • “添加 appfw xmlContentType”。*/xml”-isRegeX 正则表达式”
    • “添加 appfw xmlContentType” ./。+xml”-isRegex 正则表达式”
    • “添加 appfw xmlContentType”。/xml-。“-isRegex 正则表达式”

    [NSNET-21415]

  • 在 Citrix ADC BLX 设备中,绑定到带标签的非 dpdk 接口的 NSVLAN 可能无法按预期运行。与未标记的非 dpdk 接口绑定的 NSVLAN 可以正常工作。

    [NSNET-18586]

  • 从 Citrix ADC BLX 设备 13.0 61.x 版本升级到 13.0 64.x 版本后,BLX 配置文件上的设置将丢失。然后,BLX 配置文件将重置为默认值。

    [NSNET-17625]

  • 带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

    • 禁用
    • 启用
    • 重置

    [NSNET-16559]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件(“/etc/blx/blx.conf”)设置如何,Citrix ADC BLX 设备始终以共享模式部署。之所以出现此问题,是因为基于 Debian 的 Linux 系统上默认存在的 “mawk” 无法运行 “blx.conf” 文件中存在的一些 awk 命令。

    解决方法:在安装 Citrix ADC BLX 设备之前安装 “gawk”。你可以在 Linux 主机 CLI 中运行以下命令来安装 “gawk”:

    • apt-get 安装 gawk

    [NSNET-14603]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

    “以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”

    解决方法:在安装 Citrix ADC BLX 设备之前,在 Linux 主机 CLI 中运行以下命令:

    • dpkg — 添加架构 i386
    • apt-get 更新
    • apt-get dist-upgrade
    • apt-get 安装 libc6: i386

    [NSNET-14602]

  • 在 Citrix ADC 设备中,内部驱动程序层可能使用不正确的数据缓冲区,从而导致数据损坏,从而导致设备崩溃。

    [NSHELP-27858]

  • 满足以下条件时,Citrix ADC VPX 实例可能会崩溃:

    • 存在大量的 FTP 数据连接。
    • Citrix ADC 设备上发生故障转移。
    • 客户端或服务器端的 NATPCB 连接已清除。

    [NHELP-27816]

  • 已修复的问题:

    作为边车部署并与多个网络连接的 Citrix ADC CPX 无法为目标子网选择正确的源 IP 地址。

    [NSHELP-27810]

  • 在高可用性设置中,对于 WAF 配置文件和位置文件配置,HA 同步可能会失败。

    [NSHELP-27546]

  • 在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

    • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

    解决方法:仅在 HA 同步完成后才执行连续的手动高可用性故障转移(两个节点均处于同步成功状态)。

    [ NSHELP-25598 ]

平台

  • 即使在 Citrix ADC 设备达到其许可证的 PPS 限制之前,Citrix ADC 设备也会生成每秒错误数据包 (PPS) 速率限制警报。

    [NSHELP-26935]

策略

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法:将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

SSL

  • 在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

    解决方法:

    1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
    2. 保存配置。

    [NSSSL-9572]

  • 更新命令不适用于以下添加命令:

    • 添加天蓝色应用
    • 添加天蓝色密钥库
    • 使用 hsmkey 选项添加 ssl 证书密钥

    [NSSSL-6484]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
    错误:crl 刷新已禁用

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

  • 在高可用性设置中,如果满足以下两个条件,CRL 自动刷新会间歇性失败:

    • 文件正在从主节点同步到辅助节点。
    • 同时从 CRL 服务器下载 CRL 文件。

    [NSHELP-27435]

  • 颁发 CRL 的 CA 证书名称被截断为 32 个字符,即使证书密钥名称最多可以包含 64 个字符。出现此问题的原因是 CRL 字段的字符限制为 32 个字符。

    [NHELP-26986]

系统

  • 如果收到的报头大小大于标头表的最大大小,则设备会将表大小重置为零。因此,HTTP2 请求在几次请求后失败。

    解决方法:将标题表大小配置为大于或等于最大标题大小。

    [NHELP-27977]

  • 如果 ADM 队列中有待处理的事务,它会随机报告高内存使用率的严重警报。

    [NHELP-27913]

  • Citrix ADC 设备可能会因 ICAP OPTIONS 响应而崩溃。当允许的标头值包含 204 以外的值时,会出现此问题。

    [NSHELP-27879]

  • 在 AppFlow 中,流记录的第 4 层字节计数与 HTTP 虚拟服务器事务不匹配。计数值低于第 7 层虚拟服务器的字节计数值。

    [NSHELP-27495]

  • 如果 Citrix ADC 设备已在 Citrix ADM 上注册,则 tcpCurClientConn 计数器将显示较大的值。

    [NSHELP-27463]

  • 如果禁用了链接集,则在公有云 MPTCP 群集部署中,数据包重传会增加。

    [NHELP-27410]

  • Citrix ADC 设备可能会在 MPTCP 连接上发送无效的 TCP 数据包以及 TCP 选项,例如 SACK 块、时间戳和 MPTCP 数据确认。

    [NHELP-27179]

  • 在 Citrix ADC 设备和数据加载器中观察到 Logstream 记录不匹配。

    [NHELP-25796]

用户界面

  • 在压缩策略管理器 GUI 中,无法通过指定相关绑定点和连接类型将压缩策略绑定到 HTTP 协议。

    [NSUI-17682]

  • 创建/监控 CloudBridge Connector 向导可能会变得无响应或无法配置 cloudbridge 连接器。

    解决方法:使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,配置 cloudbridge 连接器。

    [NSUI-13024]

  • 如果使用 KEK 配置的 AWS 上的 VPX 实例升级到 Citrix ADC 版本 13.0 build 76.x 或更高版本,则配置可能会丢失。如果在重新启动后加载配置,则使用 KEK 加密的所有敏感数据都将失败。

    [NSHELP-28010]

  • 将高可用性设置或集群设置升级到版本 13.0 build 74.14 或更高版本后,配置同步可能由于以下原因而失败:

    • “ssh_host_rsa_key” 私钥和公钥对都不正确。

    解决方法:重新生成 “ssh_host_rsa_key”。有关详细信息,请参阅 https://support.citrix.com/article/CTX322863

    [NHELP-27834]

  • 如果在某些 SSL 命令的参数中使用特殊字符,例如 “create ssl rsakey” 和 “创建 ssl 证书”,则会错误地引入额外的反斜杠字符。

    [NSHELP-27378]

  • 在高可用性设置中,如果满足以下任一条件,HA 同步或 HA 传播可能会失败:

    • RPC 节点密码有特殊字符。
    • RPC 节点密码有 127 个字符(允许的最大字符数)。

    [NSHELP-27375]

  • 在 Citrix ADC VPX 设备中,添加许可证服务器后,设置容量操作可能会失败。出现此问题的原因是,由于存在大量受支持的签入和签出类型的许可证 (CICO),与 Flexera 相关的组件需要较长的时间来初始化

    [NSHELP-23310]

  • 在管理分区设置中,上传和添加证书吊销列表 (CRL) 文件失败。

    [NSHELP-20988]

  • 如果 Citrix ADC BLX 设备使用 Citrix ADM 获得许可,则在将设备升级到 13.0 版本 83.x 版本后,许可可能会失败。

    解决方法:在升级 Citrix ADC BLX 设备之前,请先将 Citrix ADM 升级到 13.0 版本 83.x 或更高版本。

    [NSCONFIG-4834]

  • 将 Citrix ADC 设备版本 13.0-71.x 降级到较早版本时,由于文件权限更改,某些 Nitro API 可能无法正常工作。

    解决方法:将 “/nsconfig/ns.conf” 的权限更改为 644。

    [NSCONFIG-4628]

  • 有时,应用程序防火墙签名需要很长时间才能同步到非 CCO 节点。因此,使用这些文件的命令可能会失败。

    [NSCONFIG-4330]

  • 如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

    1. 将 Citrix ADC 设备升级到其中一个版本:

      • 13.0 52.24 Build
      • 12.1 57.18 Build
      • 11.1 65.10 Build
    2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    3. 将 Citrix ADC 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表:
    在命令提示符下,键入:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    解决方法:

    要解决此问题,请使用以下独立选项之一:

    • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
    • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
    • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

    欲了解更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Citrix ADC 13.0-82.45 版本的发行说明
December 28, 2022
投稿者: 
C
December 28, 2022
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置
© 1999- Cloud Software Group, Inc. All rights reserved.