ADC

Citrix ADC 13.0-83.29 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 Build 13.0-83.29 中存在的增强和更改、已修复和已知问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
  • Citrix 安全访问代理(以前称为适用于 Windows 的 Citrix Gateway 插件)版本 21.9.1.2 及更高版本包含 https://support.citrix.com/article/CTX341455 的修复程序。适用于 Windows 版本 21.9.1.2 的 Citrix Gateway 插件包含在 Citrix ADC 版本 13.0-83.29 中。
  • 版本 13.0-83.27 及更高版本可解决 https://support.citrix.com/article/CTX330728 中描述的安全漏洞。
  • 版本 83.29 取代了 Build 83.27。
  • 此版本还包括对以下问题的修复:NSHELP-29519。

新增功能

版本 13.0-83.29 中提供的增强和更改。

网络连接

  • Citrix ADC BLX 设备的新带宽和基于订阅的本地许可证

    以下基于带宽的基于订阅的本地许可证现已可用于 Citrix ADC BLX 设备。

    • Citrix ADC VPX/BLX 订阅 10 Mbps 标准版、高级版、高级版
    • Citrix ADC VPX/BLX 订阅 100 Gbps 标准版、高级版、高级版

    欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc-blx/current-release/licensing-blx.html

    [NSNET-21527]

  • RHI 支持绑定到 IPSet 的 VIP 地址

    如果满足以下所有条件,Citrix ADC 设备会将绑定到 IPSet 的 VIP 地址作为内核路由:

    • VIP 地址启用了“主机路由”选项。
    • IPSet 绑定到配置,例如,多 IP 负载平衡虚拟服务器。

    [NSNET-20209]

平台

系统

用户界面

  • Citrix ADC BLX 签入和退房许可

    您可以从 Citrix Application Delivery Management (ADM) 按需向 Citrix ADC BLX 设备分配许可证。ADM 软件存储和管理许可证,许可证具有许可框架,可提供可扩展和自动化的许可证配置。

    在部署 Citrix ADC BLX 设备时,Citrix ADC BLX 设备可以从 Citrix ADM 中签出许可证。删除或销毁 Citrix ADC BLX 设备后,设备会将其许可证重新检查给 Citrix ADM 软件。

    欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc-blx/current-release/licensing-blx.html

    [NSCONFIG-5777]

已修复的问题

版本 13.0-83.29 中解决的问题。

身份验证、授权和审核

  • 如果启用了表单 SSO,Citrix ADC 设备将通过添加表单以及内容类型标头来响应来自后端服务器的凭据请求。如果标题已经存在,此添加会导致重复的标题。

    [NHELP-28405]

  • 如果使用 DualAuthOrPush.xml 登录架构,Citrix ADC 设备会引发服务器验证错误。

    [NHELP-28063]

  • 将 LDAP 监视器绑定到服务时,监视器会关闭,因为 Citrix ADC 设备向活动目录发送了错误的密码。

    [NSHELP-27961]

  • 在多级联 AD 中,如果在最后一个级联中找不到用户,则用户的帐户不会被锁定。

    [NSHELP-27948]

  • 当 Citrix ADC 设备配置为 SAML 身份验证时,设备会在使用 RSA 以外的证书时转储核心。

    [NSHELP-27813]

  • 在某些情况下,配置基于角色的访问权限时,Citrix ADC 设备可能会在处理特定用户的身份验证请求时崩溃。

    [NSHELP-27655]

  • 如果在 Citrix ADC 身份验证虚拟服务器上将 Azure AD 配置为 OAuth IdP,则用户将无法通过 Citrix Workspace 应用程序登录。

    [NSHELP-27462]

  • 由于 Citrix ADC 版本 13.0 build 67.x 及更高版本中出现了 SQLite 依赖关系故障,Web App Firewall 配置文件无法按预期运行。

    [NSHELP-27458]

  • 在某些情况下,如果使用 StoreFront 访问应用程序,则 Workspace 应用程序的 SAML 身份验证将失败。

    [NSHELP-27338]

  • Citrix ADC 设备在处理身份验证、授权和审核 TM 以及基于 401 LB 的流量时经常崩溃。

    [NSHELP-27094]

  • 在某些情况下,Citrix ADC 设备在对 Citrix Gateway 执行用户身份验证以及身份验证、授权和审核-流量托管部署时崩溃。

    [NSHELP-26555]

  • 如果表达式中使用了 Authentication, authorization, and auditing.USER.DOMAIN,则会为登录用户填充错误的 SSO 域名。

    [NHELP-26443]

  • 输入错误的 OTP 时,会显示一条错误消息“电子邮件身份验证失败。不显示“要继续执行的进一步操作”。

    [NSHELP-26400]

  • 在某些情况下,当 SSO 功能与代理服务器一起使用时,Citrix ADC 设备中会观察到 NSB 泄漏。

    [NSHELP-25492,NSHELP-28073]

  • 由于密码解密问题,网络连接测试检查失败。但是,身份验证功能可以正常工作。

    [NSAUTH-10216]

Bot Management

  • 在每秒交易 (TPS) 机器人检测机制中,后端应用程序服务器在验证码挑战后的响应检索期间返回 304 响应。

    [NSBOT-626]

缓存

  • 在高可用性设置中,HA 故障转移期间“memLimit”缓存参数设置的 HA 同步失败。

    [NSHELP-28428]

  • 如果在 set cache contentGroup 命令中启用了 insertAge 参数,则会在缓存响应中发送额外的标头信息。

    [NHELP-27772]

  • 如果未在缓存控制块中动态设置“max_age”和“s_maxage”参数值,Citrix ADC 设备可能会崩溃。

    [NHELP-27758]

  • 在高可用性设置中,主节点在访问空指针而不是缓存对象后崩溃。

    [NSHELP-26967,NSHELP-20089]

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃:

    • 设备正在从其集成缓存中提供内容。
    • 已重新验证缓存的内容。
    • 不同客户端向 ADC 发出了针对同一缓存对象的新请求。

    [NHELP-22596]

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 设备上,当 SDX 许可证不在宽限期内时,系统不在宽限期内会持续生成一次警报,而不是仅生成一次。

    [NHELP-28740]

  • Citrix ADC SDX 设备上的管理服务以 Kbps/Mbps 为单位显示 SNMP 管理器的接口速度,而不是每秒比特数。

    [NHELP-28724]

  • 在 Citrix ADC SDX 设备上,SNMP v2 陷阱目标的社区字符串被屏蔽。

    [NHELP-28625]

  • 在 Citrix ADC SDX 设备上,即使在池许可证宽限期(30 天)之后,您也可以修改 VPX 实例的吞吐量。

    [NHELP-28553]

  • 在 Citrix ADC SDX 设备上,如果使用软件版本 13.0-76.x 或更早版本创建实例,则实例还原可能会失败。

    [NSHELP-28429]

  • 在 Citrix ADC SDX 设备上,使用软件版本 12.0 XVA 映像创建 ADC 实例失败。因此,实例无法访问。

    [NSHELP-28408]

  • 在 Citrix ADC SDX 设备中,管理服务报告 ADC 实例的数据使用不正确。

    [NSHELP-28208]

  • 在 Citrix ADC SDX 设备上,您无法在管理服务控制台中更改 CLI 提示符。

    [NSHELP-28030]

  • 由于 Python 版本的升级,管理服务的 Python SDK 加载可能会因语法错误而失败。

    [NHELP-27897]

  • 在 Citrix ADC SDX 设备上,在“虚拟机管理程序磁盘使用率过高”时发出警报的默认值已增加到 98%。

    [NHELP-27854]

  • 在 Citrix ADC SDX 设备上,由于库存中运行的作业和计划程序增加,管理服务可能会报告内存使用率高达 80% 左右。

    [NSHELP-27805]

  • 在 Citrix ADC SDX 设备上,如果系统文件(snmpd.conf 和 ntp.conf)包含回车字符,升级可能会失败。

    [NSHELP-27713]

  • 在 Citrix ADC SDX 设备上,如果满足以下条件序列,则作为管理通道一部分的界面将与管理通道一起显示:

    1. VPX 实例是群集的一部分。
    2. 管理渠道已创建。

    [NHELP-27487]

  • 在 Citrix ADC SDX 设备上,配置突增吞吐量分配模式时,ADC 实例不会突增至最大容量。

    [NSHELP-27477]

  • 在 Citrix ADC SDX 设备上,由于库存中运行的作业和计划程序增加,管理服务可能会报告内存使用率高达 80% 左右。

    [NSHELP-27396]

Citrix Gateway

  • 升级到最新版本时,用户可能会观察到 RDP 会话启动失败。

    [NSHELP-29519]

  • 处理 UDP 流量时,Citrix ADC 设备可能会崩溃。

    [NHELP-28802]

  • 当您尝试编辑自定义主题中的 CSS 属性时,会出现错误消息。

    [NSHELP-28648]

  • 在极少数情况下,访问释放的会话时,Citrix Gateway 设备可能会在转移登录期间崩溃。

    [NHELP-28022]

  • Citrix ADC 设备在处理传入的封装安全有效负载 (ESP) 流量时崩溃,但找不到安全关联 (SA)。

    [NSHELP-27991]

  • 如果满足以下两个条件,Citrix ADC 设备可能会崩溃。

    • 该设备已部署为 ICA 代理模式。
    • ICA 流程的网关智能分析功能已启用。

    [NSHELP-27982,NSHELP-28179]

  • 如果在评估期间可能进入阻止状态的响应程序策略绑定到虚拟服务器,则登录 Citrix Workspace 将失败。

    [NSHELP-27819]

  • 用户在登录 Microsoft Outlook 时可以看到其他用户的邮箱。解决方法是禁用多路复用。

    [NSHELP-27538]

  • 处理 UDP 流量时,Citrix ADC 设备可能会崩溃。

    [NHELP-27536]

  • 如果 Citrix ADC 设备处理与 EDT 相关的命令,例如“clearconfig”、“kill ica connection”或“stop dtls listener”,则该设备可能会崩溃。

    [NSHELP-27398]

  • 无法将用户的个人书签文件从一个 Citrix Gateway 设备复制到另一台设备。

    [NHELP-27389]

  • 有时,Citrix Gateway 设备在访问无效的内存位置时可能会崩溃。

    [NHELP-27343]

  • Citrix Gateway 设备在处理 UDP 流量时可能会崩溃。

    [NSHELP-27317]

  • 当系统日志策略绑定到虚拟服务器并修改相应的系统日志操作时,Citrix Gateway 设备会崩溃。

    [NSHELP-27171]

  • Citrix Gateway 设备意外重启,因为启用 Gateway Insight 后,本地 ns.log 文件中的 SSL VPN 日志消息泛滥。

    [NSHELP-27040,NSHELP-30723]

  • 启用 Gateway Insight 时,Citrix ADC 日志中可能会充斥日志消息“gwinsight:func=ns_sslvpn_send_app_launch_fail_record Appflow 策略评估失败”。

    [NSHELP-26750]

  • 如果满足以下两个条件,则当您尝试清除配置时,Citrix Gateway 设备会崩溃:

    • SSL 配置文件和证书密钥对绑定到默认 TCP 监视器。
    • 相同的默认 TCP 监视器绑定到系统日志操作。

    [NSHELP-26685]

  • SNMP OID 向 VPN 虚拟服务器发送了一组不正确的当前连接。

    [NSHELP-25596]

  • 当多个 VPN 插件客户端使用大小为 1800 字节或以上的 X.509 证书来设置通道时,Citric ADC 设备崩溃。

    [NSHELP-25195]

  • 如果重命名绑定到 STA 服务器的 VPN 虚拟服务器,则运行 show 命令时 STA 服务器的状态将显示为 DOWN。

    [NSHELP-24714]

  • 启用 L7 延迟后,会话的 ICA 延迟在 Citrix Director 中被错误地记录为 64,000 毫秒。当“nsapimgr”旋钮“enable_ica_l7_latency”设置为 1 时,L7 延迟处于启用状态。

    [NHELP-23459]

  • 如果您已为 ICA 启动/停止事件配置 RADIUS 记账,则 ICA 启动的 RADIUS 记账请求中的会话 ID 将显示为全零。

    [NSHELP-22576]

  • 如果您在全局 syslog 参数中修改 syslog 服务器,“显示审计消息”输出不会显示最新的日志。

    [NHELP-19430]

Citrix Web App Firewall

  • 在 Citrix ADC 群集设置中,如果从 Citrix ADC 版本 12.0、12.1 或 13.0 版本 52.x 或更早版本升级一个或多个节点,则其中一个节点会崩溃。发生崩溃的原因是 Web App Firewall cookie 格式和大小不兼容。

    [NSWAF-7689]

  • 在 Web App Firewall 中,如果“Cookie-Transformation”参数以逗号作为分隔符,则会拆分响应端 cookie 值。

    [NSHELP-28411]

  • 如果按特定顺序观察到命令注入违规并且满足以下条件,Citrix ADC 设备可能会崩溃:

    • 请求中存在多个 cookie
    • “URLdecodeRequestCookie”功能已关闭

    [NSHELP-28365]

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃:

    • Web App Firewall cookie 代理已启用。
    • 会话 cookie 和永久性 cookie 具有相同的名称。

    [NHELP-28181]

  • 在解析启用 Samesite 属性和启用 Web App Firewall功能的 HTTP 响应时,Citrix ADC 设备可能会显示较高的内存使用率。

    [NSHELP-27722、NSHELP-27922、NSHELP-28136、NSHELP-28265]

  • Cookie 劫持功能对 Internet Explorer (IE) 浏览器的支持有限,因为 IE 浏览器不重复使用 SSL 连接。由于限制,会为一个请求发送多个重定向,最终导致 IE 浏览器中出现“超出最大重定向”错误。

    [NSHELP-27193]

  • 升级到 Citrix ADC 版本 13.0 版本 76.29 并在设备上启用了文件上载功能后,会发现以下问题:

    • SQL 和 XSS 保护检查会阻止所有 Web 应用程序的文件上载过程。

    [NSHELP-27140]

负载平衡

  • 在 GSLB 设置中,清除 GSLB 站点上的统计信息后,远程服务的状态不会更新。作为解决方法,请在同一 GSLB 网站上再次清除统计信息。然后更新远程服务的状态。

    [NSHELP-28169]

  • 在某些情况下,发出显示运行配置命令时,Citrix ADC 设备可能会崩溃。

    [NHELP-27815]

  • 收到流水线化的 radius 请求时,Citrix ADC 设备可能不会在响应中插入适当的数据包标识符。由于此问题,客户端收到无效响应。

    [NHELP-27391]

  • 如果满足以下条件,GSLB 配置可能会部分丢失:

    • Citrix ADC 设备已重新启动。
    • ADNS 服务配置的 IP 地址与远程 GSLB 站点的 IP 地址相同。

    [NHELP-26816]

其他

  • “add URLF categorization”命令无法更新数据库,从而导致内部错误。

    [NSSWG-1315]

  • 如果满足以下条件,Citrix ADC 设备可能会在恢复处理后崩溃:

    • 使用 SSL 转发代理功能。
    • SSL 转发代理请求的协议信息以多个异步数据包形式接收。设备在收到请求的所有协议详细信息后暂停数据包处理并恢复处理。

    [NHELP-28447]

  • 创建通道或服务类型 (TOS) 虚拟服务器时,Citrix ADC 设备会添加额外的 L2 信息。

    [NSHELP-27825]

  • 当内联设备发送自定义消息后重置时,Citrix ADC 设备会在将内联设备响应转发到客户端之前重置连接。

    [NHELP-27676]

网络连接

  • 在基于 Debian 的 Linux 主机上运行的 Citrix ADC BLX 设备(版本 13.0 版本 82.x)升级后,SSH 在共享模式下无法按预期工作。

    [NSNET-23020]

  • Citrix ADC BLX 设备升级到版本 13.1 版本 4.x 后,Web App Firewall可能会错误地阻止没有内容类型标头的请求。

    [NSNET-21415]

  • 在 Citrix ADC 设备中,内部驱动程序层可能使用不正确的数据缓冲区,从而导致数据损坏,从而导致设备崩溃。

    [NSHELP-27858]

  • 满足以下条件时,Citrix ADC VPX 实例可能会崩溃:

    • 存在大量的 FTP 数据连接。
    • Citrix ADC 设备上发生故障转移。
    • 客户端或服务器端的 NATPCB 连接已清除。

    [NHELP-27816]

  • 已修复的问题:

    作为边车部署并与多个网络连接的 Citrix ADC CPX 无法为目标子网选择正确的源 IP 地址。

    [NSHELP-27810]

  • 在高可用性设置中,对于 WAF 配置文件和位置文件配置,HA 同步可能会失败。

    [NSHELP-27546]

  • 在 Citrix ADC 设备中,内存分配失败后,被动 FTP 数据连接可能会丢失。

    [NHELP-26522]

  • 如果满足以下所有条件,则在负载平衡配置中观察到数据包环路:

    • 虚拟服务器配置为监听端口 80,连接故障转移 (“connfailover”) 参数设置为无状态。
    • 虚拟服务器收到两个请求数据包,其中包含:
      • 源端口 = 80
      • 目标端口 = 80 以外的编号
      • 目标 IP 地址 = 虚拟服务器的 IP 地址 (VIP)

    [NSHELP-22431]

平台

  • 即使您未创建任何目标实例,GCP 控制台上也会出现“无法创建目标实例”错误消息。当您在 GCP 服务帐户中没有“compute.targetInstances.get”IAM 权限时,就会出现此问题。从此版本开始,Citrix ADC VPX 仅为使用 VIP 扩展功能的虚拟机创建目标实例。

    [NSPLAT-20952]

  • 在 Azure 云上的 Citrix ADC VPX 实例和 Microsoft Hyper-V 服务器上,在某些情况下,Hyper-V 虚拟接口的传输端可能会发生拥塞数据包丢弃。这些数据包丢弃可能会使来自 Citrix ADC 设备的传输停滞。

    [NSHELP-28375、NSHELP-26728、NSHELP-27671、NSHELP-27761]

  • 在 Citrix ADC MPX 5900 和 MPX 8900 平台上,液晶屏上会显示错误的平台编号。

    [NHELP-28207]

  • 在使用 Fortville NIC 的 Citrix ADC MPX 设备上,在光纤收发器中设置 AUTO 时,链路无法正常启动。

    [NSHELP-26518]

  • SDX 平台的状态在 LOM 控制台中显示为“未知”。这只是显示问题,没有功能影响。

    [NSHELP-20009]

策略

  • 如果在第 2 层和第 3 层模式下使用 FIX 服务类型,Citrix ADC 可能会崩溃。

    [NHELP-28468]

  • 具有全局范围的 NS 变量不适用于 HTTP/2 流量。

    [NSHELP-27095]

  • 如果您在策略表达式中配置 MATCHES_LOCATION () 函数并使用过滤器表达式启动 nstrace,Citrix ADC 设备可能会崩溃。

    [NSHELP-22687]

SSL

  • 如果在 SSL 虚拟服务器上配置了异步策略,则 Citrix ADC MPX 平台上的 SSL 握手重新协商可能会失败。

    [NHELP-27870]

  • 在 Citrix ADC 设备上,在启用了-expiryMonitor 的情况下添加证书密钥对时,第二天会记录错误的证书到期通知。

    [NSHELP-27348]

  • 在群集数据库中,如果在客户端 hello 绑定点多次以不同的优先级将 SSL 策略绑定到虚拟服务器,则绑定不会正确更新。因此,即使在从虚拟服务器中解除绑定策略后,删除策略也会出现错误。

    [NSHELP-27301]

  • 如果 Citrix ADC 设备没有内容长度 HTTP 标头,则不接受 OCSP 响应。

    [NHELP-27039]

  • 在 Citrix ADC MPX/SDX 14000 FIPS 设备上,使用 EDT 数据报大小大于 1K 的 EDT 配置时,您可能会看到内存泄漏。

    [NSHELP-25375、NSHELP-25915、NSHELP-26016]

系统

  • 在 Citrix ADM 上注册 Citrix ADC 实例时,会在 ADC 计数器中看到端口分配错误。

    [NHELP-28779]

  • 升级到 Citrix ADC 版本 13.0 build 64-x 及更高版本后,警告日志过多,上面显示一条消息:“探测连接时从服务器接收 SSL_BRIDGE 服务类型-服务器的意外数据。“已收到。

    [NHELP-28656]

  • 如果启用了“ns mode pmtud”并使用了分区,则运行 13.0 版 build 82.x 及更高版本的 Citrix ADC 设备可能会崩溃。

    [NHELP-28068]

  • 如果收到的报头大小大于标头表的最大大小,则设备会将表大小重置为零。因此,HTTP2 请求在几次请求后失败。

    [NHELP-27977]

  • 分析配置文件引用的 AppFlow 收集器指针已损坏。

    [NHELP-27924]

  • 如果 ADM 队列中有待处理的事务,它会随机报告高内存使用率的严重警报。

    [NHELP-27913]

  • Citrix ADC 设备可能会因 ICAP OPTIONS 响应而崩溃。当允许的标头值包含 204 以外的值时,会出现此问题。

    [NSHELP-27879]

  • TCP 僵尸超时会刷新活动的服务器或客户端连接,因为连接速度较快的一端存在半关闭超时。

    [NSHELP-27502,NSBASE-14650]

  • 在 AppFlow 中,流记录的第 4 层字节计数与 HTTP 虚拟服务器事务不匹配。计数值低于第 7 层虚拟服务器的字节计数值。

    [NSHELP-27495]

  • 如果 Citrix ADC 设备已在 Citrix ADM 上注册,则 tcpCurClientConn 计数器将显示较大的值。

    [NSHELP-27463]

  • 禁用 AppFlow 功能并重新启用时,Citrix ADC 设备可能会崩溃。

    [NSHELP-27236]

  • NSWL 客户端偶尔会多次记录来自数据包引擎 (PE-0) 的数据,而其他数据包引擎的日志则会被跳过。

    [NHELP-27138]

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃:

    • 处理 Logstream 元数据记录时。
    • Appflow 功能已启用。

    [NHELP-26942]

  • 使用“HTTP.REQ”的策略时,Citrix ADC 设备可能会崩溃。*”表达式绑定到 HTTP_QUIC 虚拟服务器的响应绑定点。如果您将相同的策略绑定到 HTTP 或 SSL 类型的虚拟服务器以及 HTTP_QUIC 虚拟服务器,则不会出现此问题。

    [NSBASE-14612]

用户界面

  • 在 Citrix Web App Firewall 策略管理器 GUI 页面中将策略与全局绑定点关联时,无法选择“HTTPQUIC”以外的协议。

    [NSHELP-29071]

  • 在 ADC GUI 中取消选择 RPC 节点的安全选项时,将显示以下错误消息:

    缺少参数先决条件 [validateCert, secure==是]

    [NSHELP-28239]

  • 当您使用“show systemfile”命令从 ADC 实例获取任何文件的内容时,ADC 控制台上会显示下载失败错误消息。如果文件内容以 NULL 字节开头,则会出现此问题。

    [NSHELP-28227]

  • 由于内部系统问题
    (缺少 Python 二进制文件),admautoregd SYSLOG 洪水会导致客户资源定义 (CRD) 错误分类和误诊。

    修复:如果 python 二进制文件仍然缺失,则在 30 分钟后停止监视 admautoregd 进程。

    [NSHELP-28185]

  • 在群集设置中,具有两个或多个密码的单例或全局实体可能会在配置同步过程中在节点上失败,原因如下:

    • 如果跳过序列中的第一个密码,则同步节点上的后续密码解密将失败。解密失败是因为它查找同步节点上不存在的 CCO 本地密钥。

    [NHELP-28035]

  • 如果使用 KEK 配置的 AWS 上的 VPX 实例升级到 Citrix ADC 版本 13.0 build 76.x 或更高版本,则配置可能会丢失。如果在重新启动后加载配置,则使用 KEK 加密的所有敏感数据都将失败。

    [NSHELP-28010]

  • 如果在某些 SSL 命令的参数中使用特殊字符,例如“create ssl rsakey”和“创建 ssl 证书”,则会错误地引入额外的反斜杠字符。

    [NSHELP-27378,NSHELP-28861]

  • 在高可用性设置中,如果满足以下任一条件,HA 同步或 HA 传播可能会失败:

    • RPC 节点密码有特殊字符。
    • RPC 节点密码有 127 个字符(允许的最大字符数)。

    [NSHELP-27375]

  • 如果输入配置文件的大小非常大,“nsconfigaudit”工具可能会崩溃。

    [NSHELP-27263]

  • 在高可用性设置中,如果满足以下条件,Citrix ADC 设备可能会在系统用户身份验证过程中崩溃:

    • 密码哈希计算需要更多时间才能错过五个心跳。

    [NHELP-27066]

  • 如果 Citrix ADC 设备上的系统时钟更新,报告功能可能会停止工作。

    [NSHELP-25435]

  • 如果日志表达式绑定到机器人配置文件,则“botprofile_logexpression_binding”Nitro API GET 调用不返回任何响应。

    [NSCONFIG-5490]

  • 在群集配置中,当您将带有细粒度规则的 Web App Firewall 配置文件绑定到同一 URL 时,细粒度规则将在数据库中删除。因此,群集 IP 地址上只显示非细粒度规则。

    [NSCONFIG-5389]

  • 如果 Citrix ADC BLX 设备使用 Citrix ADM 获得许可,则在将设备升级到 13.0 版本 83.x 版本后,许可可能会失败。

    [NSCONFIG-4834]

视频优化

  • 启用视频优化功能后,Citrix ADC 设备可能会因内存分配失败而崩溃。

    [NHELP-28752]

已知问题

13.0-83.29 版本中存在的问题。

AppFlow

  • HDX Insight 不会报告因用户尝试启动用户无权访问的应用程序或桌面而导致的应用程序启动失败。

    [NSINSIGHT-943]

身份验证、授权和审核

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃。

    1. 设备处于内存压力之下。
    2. 审计日志记录已启用并设置为 INFO 级别。
    3. 用户身份验证正在进行中。

    [NHELP-29053]

  • 配置为使用 OAuth 服务提供商进行身份验证的 Citrix ADC 设备无法使用“client-secrete_post”配置为通过 IDP tokenEndpoint 进行身份验证。

    通过此修复,当ADC与IDP的令牌端点通信时,将身份验证方法“client_secret_basic”添加到 ADC 的 OAuth 服务提供者功能中。

    [NSHELP-28945]

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃。

    1. 设备处于内存压力之下。
    2. SAML 被配置为身份验证方法之一。

    [NHELP-28855]

  • 将 VPN 虚拟服务器配置为 SAML SP 时,会返回错误的注销(“/cgi/tmlogout”)URL。出现此问题的原因是在 SAML 元数据中生成了错误的注销 URL。

    [NSHELP-28726]

  • 当正在进行 SAML 身份验证并且在 SAML 身份验证中使用大小为 1800 字节或更大的 X.509 证书时,Citrix ADC 设备可能无法响应。

    [NSHELP-28608,NSHELP-29913]

  • 在 Citrix ADC 高可用性设置中,由于同步问题,在 CLI 配置期间会显示一些身份验证命令。

    [NHELP-28448]

  • Citrix ADC 设备配置为 OAuth 信赖方时,不会将从 ID 令牌中提取的“电子邮件”和“用户名”字段信息添加到身份验证、授权和审核会话的哈希属性中。

    [NSHELP-28262]

  • 有时,使用身份验证、授权和审核时,身份验证可能会失败。使用 LOGIN.PASSWORD。

    [NSHELP-28101]

  • 触发密码更改事件时,在身份验证会话期间,单点登录失败。只有在启用 persistentLogin 尝试参数时才会出现此问题。

    [NHELP-28085]

  • 配置 SAML 元数据时,使用 SSL 证书会观察到内存泄漏。

    解决方法:将“metadataRefreshInterval”参数设置为 3600 分钟。

    [NSHELP-27846,NSHELP-25020]

  • 如果同时满足以下两个条件,Citrix ADC 设备可能会与后端服务器进入 SSO 循环,并导致内存积聚。

    • ADC 设备与后端服务器执行协商和 NTLM SSO 身份验证。
    • 后端服务器无法执行这两项身份验证。

    [NSHELP-27757]

  • 当用户执行 SAML 注销时,注销不会立即发生,并会显示以下错误消息:

    “在断言中发现了不支持的机制;请联系您的管理员。“

    之所以会出现此错误,是因为客户配置的 IDP 使用不同的 URL 编码技术对响应中的签名算法参数进行编码。此修复现在支持使用多种 URL 编码技术对 SAML 响应中的签名算法参数进行编码。

    [NSHELP-27621]

  • 在某些情况下,在 RADIUS 身份验证过程中会显示“凭据无效”错误消息。使用 Google Chrome 浏览器从客户端设备访问 Citrix ADC 设备时会出现此错误。

    [NSHELP-27113]

  • 如果满足以下条件,则拒绝访问服务:

    • 该服务绑定到身份验证虚拟服务器。
    • 401 身份验证是在服务和服务绑定到的虚拟服务器上配置的。

    [NHELP-26903]

  • 如果提取的组的可分辨名称为空,Citrix ADC 设备可能会在 Active Directory 组提取过程中崩溃。

    [NHELP-26899]

  • 在主控制器卡与辅助控制器卡之间同步会话和密钥配置时,Citrix ADC 设备可能会崩溃。

    [NSHELP-26891]

  • 在极少数情况下,如果满足以下条件,高可用性设置中的辅助节点可能会崩溃。

    • “aaa 组”和/或“aaa 用户”是在 Citrix ADC 设备上配置的。

    [NSHELP-26732、NSHELP-28558、NSHELP-29056]

  • 当 Citrix ADC 设备执行嵌套 LDAP 组搜索时,由于 Citrix ADC 设备的行为无效,活动目录中的某些组信息会丢失。即使 groupSearchSubAttribute 参数配置得当,ADC 设备也会采用错误的值。

    [NSHELP-26316]

  • 如果满足以下两个条件,Citrix ADC 设备将崩溃。

    • 已配置电子邮件 OTP
    • 电子邮件服务器没有响应,或者电子邮件服务器存在网络问题

    [NSHELP-26137、NSHELP-27824]

  • 在某些情况下,如果策略名称长于 Intranet 应用程序名称,则绑定身份验证、授权和审核组命令可能会失败。
    [NSHELP-25971]
  • 如果 LDAP、RADIUS 或 TACACS 服务的管理员密码包含双引号 (“) 字符,Citrix ADC 设备会在“测试连接”检查期间将其删除,从而导致连接失败。

    [NHELP-23630]

  • Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

    [ NSHELP-563 ]

  • DualAuthPushOrOTP.xml LoginSchema 未正确显示在 Citrix ADC GUI 的登录架构编辑器屏幕中。

    [NSAUTH-6106]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白: show adfsproxyprofile <profile name>

    解决方法:连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

  • 如果执行以下步骤,Citrix ADC GUI 上的配置身份验证 LDAP 服务器页面将无响应:

    • 测试 LDAP 可达性选项已打开。
    • 填充并提交了无效的登录凭据。
    • 将填充并提交有效的登录凭据。

    解决方法:关闭并打开“测试 LDAP 可访问性”选项。

    [NSAUTH-2147]

缓存

  • 如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

    [NSHELP-22942]

CallHome

  • 对于使用池许可的 Citrix ADC MPX 设备,CallHome 注册可能会失败。注册失败,因为 CallHome 在 Citrix 支持服务器中注册设备时使用了不正确的序列号。

    [NSHELP-28667]

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 设备上,如果 CLAG 是在 Mellanox 网卡上创建的,则当 VPX 实例重新启动时,CLAG MAC 将更改。VPX 实例的流量在重启后停止,因为 MAC 表包含旧的 CLAG MAC 条目。

    [NSSVM-4333]

  • 现在,如果数据记录总数少于5000,则可以跨页对ADC事件表中的数据进行排序。

    [NHELP-29170]

  • 如果满足以下条件,则会在 Citrix ADC SDX 设备上托管的 VPX 实例上看到丢包:

    • 吞吐量分配模式为突发。
    • 吞吐量和最大突增容量之间存在很大差异。

    [ NSHELP-21992 ]

Citrix Gateway

  • 配置出站代理时,Citrix ADC 设备中会观察到内存泄漏。

    [NSHELP-29234]

  • 有时,Citrix SSO 应用程序在处理大型 DNS 数据包时会崩溃。

    [NSHELP-29133]

  • 适用于 macOS 的 Citrix Secure Access 运行身份验证后 EPA 检查所需的时间比预期的要长。

    [NSHELP-29118]

  • 在 Citrix Gateway 门户页面中, RDP 代理链接 图标不会随着 rfWebUI 门户主题而改变。

    [NSHELP-28974]

  • 在 Citrix Gateway 高可用性设置中,如果启用了Gateway Insight,辅助节点可能会崩溃。

    [NSHELP-28856]

  • 有时,断开 VPN 连接后,DNS 解析器无法解析主机名,因为在 VPN 断开连接期间会删除 DNS 后缀。

    [NSHELP-28848]

  • 如果启用了二进制响应,Citrix Gateway VPN 全通道将无法按预期工作。因此,NSAAC cookie 已损坏。通过此修复,二进制响应可以在早期的 VPN 插件中运行。但是,Citrix 建议您使用可与 JSON 响应配合使用的最新 VPN 插件。

    [NSHELP-28729]

  • 如果具有 HTTP 规则的 AppFlow 策略绑定到 Citrix Gateway,Citrix ADC 设备可能会在 VPN 登录期间崩溃。

    [NHELP-28705]

  • 将 Citrix Gateway 设备升级到版本 13.0 后,会话配置文件中的代理配置无法按预期工作。对于配置的非 HTTP NS 代理,将绕过代理连接。

    示例:
    add vpn sessionAction -proxy NS -httpProxy 192.0.2.0:24 -sslProxy 192.0.2.0:24

    在此示例中,-httpProxy 按预期工作,但 -sslProxy 不起作用。

    [NSHELP-28640]

  • 如果 macOS 钥匙串中没有客户端证书,则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

    [ NSHELP-28551 ]

  • Citrix Gateway 设备在 DTLS 音频中处理 STA 时崩溃,因为分配的内存未重置。

    [NSHELP-28432,NSHELP-29796]

  • 有时,设置客户端空闲超时后,用户会在几秒钟内注销 Citrix Gateway。

    [ NSHELP-28404 ]

  • Windows 插件可能会在身份验证期间崩溃。

    [NSHELP-28394]

  • 对于 3G/ 联机用户,Citrix Gateway 登录页面可能无法加载。

    [NHELP-28367]

  • 如果配置了 EPA 且没有足够的内存可用,Citrix ADC 设备可能会崩溃。

    [NHELP-28329]

  • 您可能会在 ns_aaa_json.c 文件中看到 NS_AUDITLOG_STR* 日志的额外一行。

    [ NSHELP-28160 ]

  • 如果通过备份负载平衡虚拟服务器访问 StoreFront,则通过 VPN 虚拟服务器访问 StoreFront 将失败。

    [NSHELP-27852]

  • 使用无客户端 VPN 访问 Citrix Gateway 设备时,可能会生成核心转储。

    [NSHELP-27653]

  • 在处理服务器启动的 UDP 流量时,Citrix Gateway 设备可能会崩溃。

    [NSHELP-27611]

  • 如果异步被阻止并且您修改了内容交换策略配置,Citrix Gateway 设备可能会崩溃。

    [NHELP-27570]

  • 重新连接到现有 ICA 会话时,Citrix Gateway 设备可能会崩溃。

    [NSHELP-27441]

  • 如果在会话策略中设置了未知的 VPN 客户端选项,Citrix Gateway 设备可能会崩溃。

    [NHELP-27380]

  • 您无法使用 GUI 解除经典授权策略的绑定。但是,您可以使用 CLI 解除身份验证、授权和审核授权策略的绑定。

    通过此修复,您现在可以使用 GUI 取消绑定授权策略。

    [ NSHELP-27064 ]

  • 有时,在转移登录过程中,Intranet IP 子网在客户端显示不正确。

    [NHELP-26904]

  • Citrix Gateway 门户本地化不适用于 IE 浏览器。

    [NSHELP-26822,NSHELP-27604]

  • 编辑 VPN 会话配置文件时,Citrix Gateway GUI 显示消息“IP 或端口无效”。

    [NHELP-26722]

  • 在“创建 Citrix Gateway 流量配置文件”页面中输入 FQDN 作为代理时,将出现“代理值无效”消息。

    [NSHELP-26613]

  • 使用 Citrix ADC GUI 创建 RDP 客户端配置文件时,满足以下条件时会显示错误消息:

    • 配置了默认的预共享密钥 (PSK)。
    • 您尝试在 RDP Cookie 有效性(秒)字段中修改 RDP Cookie 有效性计时器。

    [NSHELP-25694]

  • 在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

    • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

    解决方法:仅在 HA 同步完成后才执行连续的手动高可用性故障转移(两个节点均处于同步成功状态)。

    [ NSHELP-25598 ]

  • Gateway Insight 不会显示有关 VPN 用户的准确信息。

    [ NSHELP-23937 ]

  • 如果满足以下条件,VPN 插件在 Windows 登录后不会建立通道:

    • Citrix Gateway 设备已配置为“始终开启”功能
    • 设备配置为基于证书的身份验证,双重身份验证“关闭”

    [ NSHELP-23584 ]

  • “show tunnel global”命令输出包括高级策略名称。以前,输出不显示高级策略名称。

    示例:

    新输出:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    上一个输出:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [NSHELP-23496]

  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [ NSHELP-21897 ]

  • Gateway Insight 中不会报告因 STA 票证无效而导致的应用程序启动失败。

    [CGOP-13621]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [CGOP-13584]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

    [CGOP-13511]

  • 从 MAC Receiver版本 19.6.0.32 或 Citrix Virtual Apps and Desktops 7.18 版本启动 ICA 连接时,HDX Insight 功能将被禁用。

    [CGOP-13494]

  • 启用 EDT Insight 功能后,有时音频通道可能会在出现网络差异时出现故障。

    [CGOP-13493]

  • 接受来自浏览器的本地主机连接时,适用于 macOS 的“接受连接”对话框将以英语显示内容,而不考虑所选的语言。

    [CGOP-13050]

  • Citrix SSO 应用程序 > 主页中的文本“主页”在某些语言中被截断。

    [CGOP-13049]

  • 从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

    [CGOP-11830]

  • 在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外,页面变得无响应。

    [CGOP-7269]

Citrix Web App Firewall

  • Web App Firewall 签名 ID 1048 会阻止 Citrix Gateway 页面加载。

    [NSHELP-29113]

  • 如果启用了以下模块,Citrix ADC 设备可能会崩溃:

    • 具有高级安全检查功能的 Web App Firewall。
    • appqoe。

    [NSHELP-28251]

负载平衡

  • 在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

    [NSLB-7679]

  • 由于失败的命令中缺少 ENUM 值,GSLB 服务组无法处理监视器更新。

    [NSHELP-29050]

  • Citrix ADC 设备在尝试释放与其释放的分区不同的分区中分配的内存时崩溃。

    [NHELP-29038]

  • 运行 show service 命令时显示的监视器响应时间有时不正确。

    [NSHELP-28994]

  • 当静态绑定成员和动态解析的 DNS 记录之间存在冲突时,某些服务组成员不会从 AutoScale 服务组列表中删除。此问题会导致内存损坏。

    [NSHELP-28949]

  • show 和 stat 命令中显示的服务组的状态不一致。

    [NSHELP-28931]

  • 如果父域可用 ZONE 类型的 DNS 记录,则查询具有现有 NS 记录的子域将生成父域 SOA 记录,而不是子域 NS 记录。

    [NHELP-28793]

  • 如果 GSLB 虚拟服务器配置如下,Citrix ADC 设备可能无法使用预期的 GSLB 服务 IP 地址响应 GSLB 域查询:
    持久性类型:源 IP 地址
    负载平衡算法:静态邻近
    备份负载平衡方法:往返时间 (RTT)

    [NSHELP-28668]

  • 在极少数情况下,配置 (ns.conf) 文件中可能缺少位置数据库配置。

    [NSHELP-28570]

  • 如果您使用通配符端口,则负载平衡或基于 GSLB 域的 AutoScale 服务组状态保持为关闭。

    [NHELP-28548]

  • 在启用 AutoScale 的情况下配置 GSLB 服务组后,VPX 主站点和辅助站点崩溃。

    “解决方法”:
    在添加 GSLB 服务或将 IP 端口绑定到 GSLB 服务组时,不要添加虚拟虚拟服务器,例如内容交换虚拟服务器。

    [NSHELP-28530]

  • 当对等方发送重置现有连接的请求时,SQL 或 Oracle 类型监视器崩溃。

    [NSHELP-28478]

  • HA 设置中的 Citrix ADC 设备会失去连接,因为在 HTTP 探测监视期间发送 HTTP 响应后未释放 NSB 内存。

    [NSHELP-28466]

  • 在启用持久性的部署中,上下文保存期间存储的虚拟服务器不正确。

    [NSHELP-28342]

  • 即使请求成功,SMPP 重试消息也会发送到群集中的所有节点。这种情况会导致 Citrix ADC 设备上的内存消耗很高。

    [NSHELP-28332]

  • 在高可用性故障切换或重新启动 Citrix ADC 设备后,LB 组的持久性配置将丢失。

    [NSHELP-28071]

  • CookieTimeOut 值在 GET 操作期间设置不正确,导致 CS 虚拟服务器更新操作失败。

    [NHELP-27979]

  • 有时在多 PE 系统中,基于域的组在系统出现几次故障后无法恢复到 UP 状态。此问题是由 CLI 和内部监视器之间的争用条件引起的。

    [NHELP-27965]

  • 处理 mysql 类型监视器的监视器探测时,Citrix ADC 设备可能会失败,最终导致系统重新启动。

    [NHELP-27953]

  • 即使默认监视器已绑定到服务,默认监视器的配置状态也会显示为已禁用。

    [NSHELP-27669]

  • 在群集设置中,通过 GSLB 虚拟服务器绑定访问 GSLB 服务 IP 地址时,GUI 中不显示 GSLB 服务 IP 地址。这只是一个显示问题,对功能没有影响。

    [NSHELP-20406]

其他

  • 在高可用性设置中进行强制同步时,设备将在辅助节点中执行“set urlfiltering parameter”命令。
    因此,辅助节点会跳过任何预定更新,直到“TimeOfDayToUpdateDB”参数中提到的下一个计划时间。

    [NSSWG-849]

  • Citrix ADC CPX 实例在具有 64 位架构和 1 TB 文件存储空间的 Linux 系统上运行,现在可以加载证书和密钥文件。

    [NHELP-28986]

  • 对于 IDNA2008 标准域,URL 集模式匹配失败。

    [NSHELP-28902]

网络连接

  • 如果 Web App Firewall 配置文件配置了高级安全保护检查,则处于 DPDK 模式的 Citrix ADC BLX 设备可能会崩溃。

    解决方法:删除 WAF 的高级安全保护配置。

    [NSNET-22654]

  • 在 Citrix ADC BLX 设备中,绑定到带标签的非 dpdk 接口的 NSVLAN 可能无法按预期运行。与未标记的非 dpdk 接口绑定的 NSVLAN 可以正常工作。

    [NSNET-18586]

  • 带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

    • 禁用
    • 启用
    • 重置

    [NSNET-16559]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件(“/etc/blx/blx.conf”)设置如何,Citrix ADC BLX 设备始终以共享模式部署。之所以出现此问题,是因为基于 Debian 的 Linux 系统上默认存在的“mawk”无法运行“blx.conf”文件中存在的一些 awk 命令。

    解决方法:在安装 Citrix ADC BLX 设备之前安装“gawk”。可以在 Linux 主机 CLI 中运行以下命令来安装“gawk”:

    • apt-get 安装 gawk

    [NSNET-14603]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

    “以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”

    解决方法:在安装 Citrix ADC BLX 设备之前,在 Linux 主机 CLI 中运行以下命令:

    • dpkg — 添加架构 i386
    • apt-get 更新
    • apt-get dist-upgrade
    • apt-get 安装 libc6: i386

    [NSNET-14602]

  • 在某些 FTP 数据连接情况下,Citrix ADC 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。

    [NSNET-5233]

  • 在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

    • LSN 模块在减少引用计数或删除服务时找不到服务。

    [NSHELP-29134]

  • 在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

    • 对于设备中的 LSN 模块,筛选和映射引用计数不为零。

    [NSHELP-28842]

  • 在大规模 NAT44 部署中,Citrix ADC 设备在接收 SIP 流量时可能会崩溃,原因如下:

    • LSN 模块访问了已删除服务的内存位置。

    [NSHELP-28815]

  • 在具有偶数个数据包引擎 (PE) 的 Citrix ADC 设备中,设备错误地将活动接口的状态显示为冗余接口集(LR 通道)的非活动状态。此问题不会影响 Citrix ADC 设备的任何功能。

    [NSHELP-28099]

  • 冷重启后,Citrix ADC 设备可能无法生成“coldStart”SNMP 陷阱消息。

    [NSHELP-27917]

  • 在高可用性设置中,如果满足以下条件,启用了动态路由的 SNIP 地址在重启时不会暴露给 VTYSH:

    • 启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN。

    作为修复的一部分,Citrix ADC 设备现在不允许将启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN

    [NHELP-24000]

  • 在 Citrix ADC 设备中更改管理分区内存限制时,TCP 缓冲内存限制将自动设置为管理分区新内存限制。

    [ NSHELP-21082 ]

平台

  • 当您从 13.0/12.1/11.1 版本升级到 13.1 版本或从 13.1 版本降级到 13.0/12.1/11.1 版本时,Citrix ADC 设备上未安装某些 python 软件包。以下 Citrix ADC 版本的此问题已修复:

    • 13.1-4.x
    • 13.0-82.31 及更高版本
    • 12.1-62.21 及更高版本

    当您将 Citrix ADC 版本从 13.1-4.x 降级到以下任何版本时,不会安装 python 软件包:

    • 任何 11.1 版本
    • 12.1-62.21 及更早版本
    • 13.0-81.x 及更早版本

    [NSPLAT-21691]

  • 从 Azure 资源组中删除自动缩放设置或 VM 比例集时,请从 Citrix ADC 实例中删除相应的云配置文件配置。使用“rm cloudprofile”命令删除配置文件。

    [NSPLAT-4520]

  • 在 Azure 上的高可用性设置中,通过 GUI 登录到辅助节点时,将显示用于自动缩放云配置文件配置的首次用户 (FTU) 屏幕。
    解决方法:跳过屏幕,登录到主节点以创建云配置文件。云配置文件应始终在主节点上配置。

    [NSPLAT-4451]

  • 当 RPC 节点的密码包含特殊字符时,GCP 和 AWS 云上的 Citrix ADC VPX 实例的高可用性故障转移将失败。

    [NSHELP-28600]

  • 即使在 Citrix ADC 设备达到其许可证的 PPS 限制之前,Citrix ADC 设备也会生成每秒错误数据包 (PPS) 速率限制警报。

    [NSHELP-26935]

策略

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法: 将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

  • 在以下情况下,Citrix ADC 设备可能会崩溃:

    • 审计消息操作使用字符串生成器表达式进行配置,并将一个或多个 REGEX 函数应用于请求正文。
    • 配置了流式处理选项的应用程序防火墙配置文件。

    例如,HTTP.REQ.BODY (1000000) .REGEX_SELECT (re/name= [^rn] * [rn] +/)。

    解决方法:在不使用 REGEX 函数的情况下重新配置消息操作字符串生成器表达式。

    例如,HTTP.REQ.BODY(10000000).AFTER_STR(“name=”).BEFORE_STR(“r”))。

    [NHELP-27895]

SSL

  • 在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

    解决方法:

    1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
    2. 保存配置。

    [NSSSL-9572]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
    ERROR: crl refresh disabled

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

  • 在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。

    [NSSSL-3184、NSSSL-1379、NSSSL-1394]

  • 如果已在请求绑定点绑定的策略的策略操作设置为“转发”,则 Citrix ADC 设备在处理 HTTP 请求时崩溃。

    [NSHELP-29115]

  • 在群集设置中,当两个已安装的证书是一个具有 OCSP AIA 扩展名的服务器证书的颁发者时,如果删除服务器证书,设备将无法访问。

    [NSHELP-28058]

  • 在高可用性设置中,主节点和辅助节点之间的证书类型未正确同步。

    [NSHELP-27589]

  • 在 VPN 部署中,Citrix ADC 设备会从缓存中拾取 SSL 会话以重用会话,以便与代理服务器或后端服务器进行通信。这样做时不会将从客户端收到的 SNI 与缓存会话中存在的 SNI 相匹配。

    因此,根据缓存的数据,要么不发送 SNI,要么发送不同的 SNI。

    [NSHELP-27439]

  • 在高可用性设置中,如果满足以下两个条件,CRL 自动刷新会间歇性失败:

    • 文件正在从主节点同步到辅助节点。
    • 同时从 CRL 服务器下载 CRL 文件。

    [NSHELP-27435]

  • 现在,将显示 SAN 证书中的所有 IP 地址。之前只显示了 SAN 证书中所有 IP 地址的最后一个 SAN IP 地址。

    [NHELP-27336]

  • 颁发 CRL 的 CA 证书名称被截断为 32 个字符,即使证书密钥名称最多可以包含 64 个字符。出现此问题的原因是 CRL 字段的字符限制为 32 个字符。

    [NHELP-26986]

  • 如果将 DH 密码与外部 HSM 配合使用,SSL 握手将失败。

    [NHELP-25307]

系统

  • 如果出现以下任一情况,Citrix ADC 设备将崩溃:

    • syslog 操作使用域名进行配置,您可以使用 GUI 或 CLI 清除配置。
    • 高可用性同步发生在辅助节点上。

    “解决方法:”

    使用系统日志服务器的 IP 地址而不是系统日志服务器的域名创建 syslog 操作。

    [NSHELP-30987、NSHELP-28121、NSHELP-29843]

  • X-Forwarder 标头不会添加到从 Citrix ADC 设备发送到后端服务器的某些请求中。

    [NSHELP-29142,NSHELP-29583]

  • 如果满足以下条件,Citrix ADC 设备将崩溃:

    • 在 AppFlow 操作上启用了客户端测量选项。
    • 区块报头落在数据包边界上。

    [NSHELP-29049]

  • 如果 HTTP 管道(一个或多个请求)大小超过 128 KB,Citrix ADC 设备将重置连接。出现此问题的原因是管道大小硬限制为 128 KB。

    [NSHELP-28846]

  • 当从 ICAP 模块向客户端重放分块响应时,Citrix ADC 设备可能会崩溃。

    [NSHELP-28788]

  • 如果满足以下条件,Citrix ADC 入侵防御系统 (IPS) 会在插入或修改数据时观察到重写策略存在问题:

    • 在后端服务器连接打开之前,Citrix ADC 设备将数据包发送到 IPS 服务器。

    [NSHELP-28496]

  • Citrix ADC 设备处理 HTTP/2 报头帧时会观察到 TCP 窗口泄漏。

    [NSHELP-28475]

  • 在高可用性设置中,辅助节点上管理分区配置的 HA 同步失败,原因如下:

    • 由于辅助节点上的大量配置负载而导致的内存不足问题

    [NSHELP-28409]

  • 满足以下所有条件时,Citrix ADC 设备会崩溃:

    • 具有服务器 IP 地址的内容检查操作将使用服务的内部数据(如果已配置)。
    • 因此,在删除 CI 操作时,服务的内部数据也会被删除。
    • 删除实际服务后,Citrix ADC 设备将尝试访问并删除已删除的内部数据。

    [NHELP-28293]

  • 当客户端重置与多个 TCP 流的连接时,不会发送服务器端事务记录,这会导致这些数据流的 L4 记录丢失。

    [NSHELP-28281]

  • 连接链 TCP 选项将添加到 Citrix ADC RPC 连接中。该问题导致 GSLB 站点通信的互操作性问题。

    [NHELP-27417]

  • 如果禁用了链接集,则在公有云 MPTCP 群集部署中,数据包重传会增加。

    [NHELP-27410]

  • 在 TCP 连接中,如果满足以下所有条件,Citrix ADC 设备可能会丢弃从服务器接收的 FIN 数据包,而不是将其转发到客户端:

    • TCP 缓冲已启用。
    • 服务器分别发送 FIN 数据包和数据包。

    [NSHELP-27274]

  • Citrix ADC 设备可能会在 MPTCP 连接上发送无效的 TCP 数据包以及 TCP 选项,例如 SACK 块、时间戳和 MPTCP 数据 ACK 确认。

    [NHELP-27179]

  • 在重传队列中循环大量数据包时,会发生 Pitboss 故障。

    [NSHELP-26071]

  • 在 Citrix ADC 设备和数据加载器中观察到 Logstream 记录不匹配。

    [NHELP-25796]

  • 在极少数情况下,Citrix ADC 设备从后端服务器转发时可能会向客户端发送错误的 TCP SACK 序列号。如果在 TCP 配置文件中启用了 TCP 选择性 ACK (SACK) 选项,则会出现此问题。

    [NSHELP-24875]

  • 使用 TCP 协议登录到外部 SYSLOG 服务器时,会丢弃某些 SYSLOG 消息。

    [NSHELP-24522]

  • 在某些情况下,如果应用基于 IP 地址的过滤器,nstrace 数据包捕获会丢失所有数据包。

    [NSHELP-23483]

  • 在群集设置中,“set ratecontrol”命令只有在重新启动 Citrix ADC 设备后才能生效。

    解决方法:使用 nsapimgr_wr.sh -ys icmp_rate_threshold=<new value> 命令。

    [NSHELP-21811]

  • 如果设备没有从客户端接收 max_concurrent_stream 设置帧,则默认情况下, MAX_CONCURRENT_ STREAM 值设置为 100。

    [ NSHELP-21240 ]

  • mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。

    [ NSHELP-10972 ]

  • 在群集部署中,如果您在非 CCO 节点上运行“force cluster sync”命令,则 ns.log 文件包含重复的日志条目。

    [NSBASE-16304、NSGI-1293]

  • 当为 Insight 配置 LogStream 传输类型时,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 将反转。

    [NSBASE-8506]

  • 会计师协会对 Citrix ADC 的支持

    Citrix ADC 设备现在支持针对 HTTP 和 HTTPS 流量的内容转换服务的 Internet 内容适应协议 (ICAP)。该设备充当 ICAP 客户端,并与第三方 ICAP 服务器(例如反恶意软件和数据泄漏防护 (DLP))进行互操作。ICAP 服务器对 HTTP 和 HTTPS 消息执行内容转换,并作为修改后的消息回复设备。调整后的消息可以是 HTTP 或 HTTPS 响应或请求。

    欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/netscaler/12-1/security/icap-for-remote-content-inspection.html

    [NSBASE-825]

用户界面

  • 在压缩策略管理器 GUI 中,无法通过指定相关绑定点和连接类型将压缩策略绑定到 HTTP 协议。

    [NSUI-17682]

  • 在 Citrix ADC GUI 中,“仪表板”选项卡下的“帮助”链接已损坏。

    [NSUI-14752]

  • 创建/监视 CloudBridge Connector 向导可能会变得无响应或无法配置 CloudBridge连接器。

    解决方法: 使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge Connector。

    [NSUI-13024]

  • 如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。

    [NSUI-6838]

  • 配置了池容量的群集模式下的 ADC 实例将关闭。如果在群集节点中配置了主机名,并且节点在启动时需要更多时间连接到 ADM 许可证服务器,就会出现此问题。

    [NHELP-28613]

  • Citrix ADC GUI 可能会错误地生成仅包含一个节点而不是所有群集节点的群集技术支持包。

    [NHELP-28606]

  • 带有过滤器的 NITRO GET 请求的 API 响应可能包含其他信息,即使过滤器中未提及这些信息。

    [NSHELP-28598]

  • 使用 Citrix ADC GUI 配置或检查 SSL 证书时,可能会出现“目录不存在”错误。当文件名包含两个连续的点 (“..”) 存在于 SSL 文件夹“/nsconfig/ssl”中。

    解决方法:从“/nsconfig/ssl”文件夹中删除或移动这些文件。

    [NSHELP-28589]

  • 使用 Citrix ADC GUI 生成群集技术支持包可能会失败并显示错误。

    [NHELP-28586]

  • 在高可用性设置中,如果在主节点上修改了内置策略模式集,则内置策略模式集绑定的 HA 同步可能会失败。

    [NSHELP-28460]

  • 如果执行任何读取 ns.conf 文件的操作,则会出现以下问题。例如,show ns saved config

    • HTTPD 进程可能会冻结,导致 GUI 和 NITRO API 变得无法访问。

    [NSHELP-28249]

  • 当用户尝试在侧面板视图中更改列表的页面大小时,页面会失真。

    [NSHELP-28220]

  • 将高可用性设置或群集设置升级到版本 13.0 build 74.14 或更高版本后,配置同步可能由于以下原因而失败:

    • “ssh_host_rsa_key”私钥和公钥对都不正确。

    解决方法:重新生成“ssh_host_rsa_key”。有关详细信息,请参阅 https://support.citrix.com/article/CTX322863

    [NHELP-27834]

  • 您无法使用 Citrix ADC GUI 将服务或服务组绑定到优先级负载平衡虚拟服务器。

    [NSHELP-27252]

  • 带接口 (-I) 选项的 ping 或 ping6 命令可能会失败,并显示以下错误:

    • “不支持接口选项”

    [NSHELP-26962]

  • 在 Citrix ADC VPX 设备中,添加许可证服务器后,设置容量操作可能会失败。出现此问题的原因是,由于存在大量受支持的签入和签出类型的许可证 (CICO),与 Flexera 相关的组件需要较长的时间来初始化

    [NSHELP-23310]

  • 在管理分区设置中,上载和添加证书吊销列表 (CRL) 文件失败。

    [NSHELP-20988]

  • 有时,应用程序防火墙签名需要很长时间才能同步到非 CCO 节点。因此,使用这些文件的命令可能会失败。

    [NSCONFIG-4330]

  • 如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

    1. 将 Citrix ADC 设备升级到其中一个版本:

      • 13.0 52.24 Build
      • 12.1 57.18 Build
      • 11.1 65.10 Build
    2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    3. 将 Citrix ADC 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表:
    在命令提示符处,键入:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    解决方法:

    要解决此问题,请使用以下独立选项之一:

    • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
    • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
    • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

    欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Citrix ADC 13.0-83.29 版本的发行说明