ADC

Citrix ADC 13.0-84.11 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 Build 13.0-84.11 中存在的增强和更改、已修复和已知问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
  • Build 13.0-84.11 取代了 Build 13.0-84.10。
  • 此版本还包括针对以下问题的修补程序:NSWAF-8668。

新增功能

版本 13.0-84.11 中提供的增强和更改。

身份验证、授权和审核

  • 支持最新版本的 Intune NAC API

    Citrix Gateway 对 Intune 网络访问控制 (NAC) 的支持现已针对最新版本的 Intune NAC API 进行了增强。

    [NSAUTH-9722]

平台

  • 在 Citrix Hypervisor 上支持 Intel Ethernet Controller X710 和 XL710 系列

    现在,您可以使用带有以下 NIC 的单根 I/O 虚拟化 (SR-IOV) 配置在 Citrix 虚拟机管理程序上运行的 Citrix ADC VPX 实例:

    • Intel X710 10G
    • Intel XL710 40G

    [NSPLAT-21410]

已修复的问题

版本 13.0-84.11 中解决的问题。

身份验证、授权和审核

  • 如果配置了电子邮件 OTP,Citrix ADC 设备将崩溃。

    [NHELP-29312]

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃。

    1. 设备处于内存压力之下。
    2. 审计日志记录已启用并设置为 INFO 级别。
    3. 用户身份验证正在进行中。

    [NHELP-29053]

  • 如果为 SameSite cookie 属性和用于身份验证的 Doma in 属性配置了 Citrix ADC 设备,则身份验证将失败。发生这种情况的原因是 SameSite cookie 属性值和 Dom ain 属性没有用分号分隔。

    [NHELP-28971]

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃。

    1. 设备处于内存压力之下。
    2. SAML 被配置为身份验证方法之一。

    [NHELP-28855]

  • 本机 OTP 加密工具不允许在设备名称中使用特殊字符。

    [NHELP-28795]

  • 将 VPN 虚拟服务器配置为 SAML SP 时,会返回错误的注销(“/cgi/tmlogout”)URL。出现此问题的原因是在 SAML 元数据中生成了错误的注销 URL。

    [NSHELP-28726]

  • 在某些情况下,在多核环境中,客户端浏览器无法访问身份验证、授权和 Auditing-TM 虚拟服务器背后的资源。

    [NHELP-28474]

  • 当您登录到 Citrix ADC 设备时,当满足以下两个条件时,将显示一个空白的密码字段。

    • 配置了 Duo 双重身份验证
    • 使用了 rfWebUI 门户网站主题

    [NHELP-27868]

  • 如果 Citrix ADC 设备配置为基于 401 的身份验证,则不会将 SAMESite Cookie 属性添加到身份验证 Cookie 中。

    [NHELP-27764]

  • 当用户执行 SAML 注销时,注销不会立即发生,并会显示以下错误消息:

    “在断言中发现了不支持的机制;请联系您的管理员。“

    之所以会出现此错误,是因为客户配置的 IDP 使用不同的 URL 编码技术对响应中的签名算法参数进行编码。此修复现在支持使用多种 URL 编码技术对 SAML 响应中的签名算法参数进行编码。

    [NSHELP-27621]

  • 在某些情况下,如果请求没有身份验证 cookie,则对身份验证、授权和审计-TM 虚拟服务器的 HTTP POST 请求的处理不正确。POST 主体在处理过程中丢失。

    [NSHELP-27227]

  • 在极少数情况下,如果满足以下条件,高可用性设置中的辅助节点可能会崩溃。

    • “aaa 组”和/或“aaa 用户”是在 Citrix ADC 设备上配置的。

    [NSHELP-26732]

Bot Management

  • 使用自动生成的机器人陷阱 URL 功能时,Citrix ADC 设备可能会崩溃。

    [NSBOT-780]

  • “botprofile_captcha_binding”nitro API 请求的响应不包含默认的验证码配置值。

    [NSBOT-748]

  • 在列入白名单的客户端上触发机器人陷阱 URL 检查。

    [NSBOT-581]

  • 如果用户代理标头字段值包含“Android”关键字,则机器人设备指纹检测技术将失败。

    [NSBOT-577]

Citrix ADC SDX 设备

  • 当接口速度值超过 4Gbps 时,由于整数溢出,会返回错误的值。

    [NSHELP-29658]

  • 在 Citrix ADC SDX 设备上,如果电源、电压或磁盘故障多次发生,管理服务不会发送系统日志或电子邮件通知。

    [NSHELP-29443]

  • 在 Citrix ADC SDX 14000-40G、15000 和 15000-50G 平台上,使用 CLI 设置接口速度失败。

    [NHELP-29388]

  • 当您更改托管在 Citrix ADC SDX 平台上的 ADC 实例上的配置文件时,您可能会注意到日志文件中有“save config”命令的额外条目。

    [NHELP-29343]

  • 在 Citrix ADC SDX 设备上,在管理服务中运行的 SNMP 代理为不存在的 OID 返回错误的错误代码。

    [NSHELP-29209]

Citrix Gateway

  • 如果具有 HTTP 规则的 AppFlow 策略绑定到 Citrix Gateway,Citrix ADC 设备可能会在 VPN 登录期间崩溃。

    [NHELP-28705]

  • 对于 3G/ 联机用户,Citrix Gateway 登录页面可能无法加载。

    [NHELP-28367]

  • 如果配置了 EPA 且没有足够的内存可用,Citrix ADC 设备可能会崩溃。

    [NHELP-28329]

  • 您可能会在 ns_aaa_json.c 文件中看到 NS_AUDITLOG_STR* 日志的额外一行。

    [ NSHELP-28160 ]

  • 在极少数情况下,Citrix Gateway 门户页面不会在 Internet Explorer 浏览器上显示 EPA 插件的 下载 按钮。

    [NHELP-27849]

  • 建立 VPN 连接后,DNS 注册不起作用。

    要解决此问题,必须启用 nsapimgr knob, nsapimgr_wr.sh -ys call=toggle_vpn_configured_dns_disable_override。

    [NHELP-27760]

  • 使用无客户端 VPN 访问 Citrix Gateway 设备时,可能会生成核心转储。

    [NSHELP-27653]

  • 在处理服务器启动的 UDP 流量时,Citrix Gateway 设备可能会崩溃。

    [NSHELP-27611]

  • Citrix Gateway 门户本地化不适用于 IE 浏览器。

    [NHELP-26822]

  • Citrix Gateway 门户企业书签功能仅支持以下协议。所有其他书签都被屏蔽。 http://、 https://、 rdp://和 ftp://

    [CGOP-19543]

Citrix Web App Firewall

  • 如果您使用的是 WAF 签名,则在升级构建后,必须将所有 WAF 签名(包括默认签名)更新为最新版本。然后,重新启用所需的签名规则。

    [NSWAF-8668]

  • 在某些情况下,当机器人管理系统中自动生成陷阱 URL 时,Citrix ADC 设备可能会崩溃。

    [NHELP-29339]

  • Web App Firewall 签名 ID 1048 会阻止 Citrix Gateway 页面加载。

    [NSHELP-29113]

负载平衡

  • 包含通配符的策略表达式的“add dns action”和“add location”命令的增量同步失败。

    [NSHELP-29301]

  • 由于失败的命令中缺少 ENUM 值,GSLB 服务组无法处理监视器更新。

    [NSHELP-29050]

  • 如果父域可用 ZONE 类型的 DNS 记录,则查询具有现有 NS 记录的子域将生成父域 SOA 记录,而不是子域 NS 记录。

    [NHELP-28793]

  • 如果 GSLB 虚拟服务器配置如下,Citrix ADC 设备可能无法使用预期的 GSLB 服务 IP 地址响应 GSLB 域查询:
    持久性类型:源 IP 地址
    负载平衡算法:静态邻近
    备份负载平衡方法:往返时间 (RTT)

    [NSHELP-28668]

  • 在启用 AutoScale 的情况下配置 GSLB 服务组后,VPX 主站点和辅助站点崩溃。

    [NSHELP-28530]

  • HA 设置中的 Citrix ADC 设备会失去连接,因为在 HTTP 探测监视期间发送 HTTP 响应后未释放 NSB 内存。

    [NSHELP-28466]

  • 对于绑定到 GSLB 服务组的监视器,最后的响应消息显示不正确。

    [NHELP-28393]

  • 在高可用性故障切换或重新启动 Citrix ADC 设备后,LB 组的持久性配置将丢失。

    [NSHELP-28071]

  • CookieTimeOut 值在 GET 操作期间设置不正确,导致 CS 虚拟服务器更新操作失败。

    [NHELP-27979]

  • 有时在多 PE 系统中,基于域的组在系统出现几次故障后无法恢复到 UP 状态。此问题是由 CLI 和内部监视器之间的争用条件引起的。

    [NHELP-27965]

  • 即使默认监视器已绑定到服务,默认监视器的配置状态也会显示为已禁用。

    [NSHELP-27669]

  • 在群集设置中,当一个或多个节点进入“关闭”状态时,备份节点可能无法加入群集节点组。此故障会导致某些 Citrix ADC 功能失败。

    [NHELP-27664]

  • 如果在具有高网络延迟的多个 GSLB 站点上配置了大量 GSLB 服务,则远程 GSLB 站点上的 GSLB 服务状态可能无法更新。

    [NHELP-23799]

其他

  • 对于 IDNA2008 标准域,URL 集模式匹配失败。

    [NSHELP-28902]

  • 为 VXLAN 启用基于 MAC 的转发 (MBF) 时,没有建立有状态的 TCP 会话。

    [NSHELP-27125]

网络连接

  • 如果满足以下条件,升级具有管理分区的 Citrix ADC 设备可能会导致一些配置丢失:

    • 如果将整个可用系统内存分配给管理分区。

    [NSNET-23031]

  • 如果满足以下条件,Citrix ADC 设备可能会在为相关服务创建监视器探测时崩溃:

    • 具有至少有一个 IPv4 地址但没有 IPv6 地址的 IP 集的网络配置文件。网络配置文件绑定到设置为 IPv6 服务的监视器。
    • 具有至少有一个 IPv6 地址但没有 IPv4 地址的 IP 集的网络配置文件。网络配置文件绑定到监视器,监视器设置为 IPv4 服务。

    [NHELP-29382]

  • 在高可用性设置中,如果两个节点之间的 HA 版本不匹配,则动态路由不会同步到辅助节点。如果辅助节点的可访问性取决于动态路由,则无法访问辅助节点。

    作为修复,即使在HA版本不匹配的情况下,动态路由也会同步到辅助节点。

    [NHELP-28326]

平台

  • 即使在 Citrix ADC 设备达到其许可证的 PPS 限制之前,Citrix ADC 设备也会生成每秒错误数据包 (PPS) 速率限制警报。

    [NSHELP-26935]

策略

  • 在以下情况下,Citrix ADC 设备可能会崩溃:

    • 审计消息操作使用字符串生成器表达式进行配置,并将一个或多个 REGEX 函数应用于请求正文。
    • 配置了流式处理选项的应用程序防火墙配置文件。

    例如,HTTP.REQ.BODY (1000000) .REGEX_SELECT (re/name= [^rn] * [rn] +/)。

    [NHELP-27895]

SSL

  • 如果已在请求绑定点绑定的策略的策略操作设置为“转发”,则 Citrix ADC 设备在处理 HTTP 请求时崩溃。

    [NSHELP-29115]

  • 由于内存分配失败,添加证书密钥对可能会失败。因此,CA 证书密钥对查找失败,设备崩溃。

    [NHELP-28197]

  • 现在,将显示 SAN 证书中的所有 IP 地址。之前只显示了 SAN 证书中所有 IP 地址的最后一个 SAN IP 地址。

    [NHELP-27336]

  • 如果您在配置文件中更改内置证书(“ns-server-certificate”)的名称,Citrix ADC 设备将在重新启动期间崩溃。

    [NSHELP-26858]

系统

  • 当 Citrix ADC 设备从客户端收到 HTTP/2 GOWAY 帧时,它会错误地重置流 ID 大于承诺 ID(最后一个对等项启动的流标识符)的所有流。

    [NHELP-29328]

  • 在 Citrix ADM 上,由于 ADM 代理中的问题,ADM 代理可能会报告内存使用率过高。

    [NHELP-29285]

  • X-Forwarder 标头不会添加到从 Citrix ADC 设备发送到后端服务器的某些请求中。

    [NHELP-29142]

  • 如果满足以下条件,Citrix ADC 入侵防御系统 (IPS) 会在插入或修改数据时观察到重写策略存在问题:

    • 在后端服务器连接打开之前,Citrix ADC 设备将数据包发送到 IPS 服务器。

    [NSHELP-28496]

  • 在高可用性设置中,辅助节点上管理分区配置的 HA 同步失败,原因如下:

    • 由于辅助节点上的大量配置负载而导致的内存不足问题

    [NSHELP-28409]

  • 满足以下所有条件时,Citrix ADC 设备会崩溃:

    • 具有服务器 IP 地址的内容检查操作将使用服务的内部数据(如果已配置)。
    • 因此,在删除 CI 操作时,服务的内部数据也会被删除。
    • 删除实际服务后,Citrix ADC 设备将尝试访问并删除已删除的内部数据。

    [NHELP-28293]

  • 当客户端重置与多个 TCP 流的连接时,不会发送服务器端事务记录,这会导致这些数据流的 L4 记录丢失。

    [NSHELP-28281]

  • 连接链 TCP 选项将添加到 Citrix ADC RPC 连接中。该问题导致 GSLB 站点通信的互操作性问题。

    [NHELP-27417]

  • 在极少数情况下,Citrix ADC 设备从后端服务器转发时可能会向客户端发送错误的 TCP SACK 序列号。如果在 TCP 配置文件中启用了 TCP 选择性 ACK (SACK) 选项,则会出现此问题。

    [NSHELP-24875]

  • 当 Citrix ADC 设备收到设置了 FIN 标志的乱序 TCP 数据包时,可能会观察到以下问题:

    • Citrix ADC 设备发送错误的 SACK,表示设备收到的是 2 个字节,而不是 1 字节的乱序 TCP 数据包。
    • Citrix ADC 设备不会通过接收按顺序排序的 TCP 数据包来确认 TCP FIN 数据包。

    [NSBASE-15735]

  • 在重置连接的情况下,缓存模块中的 TCP 模拟功能可能无法及时产生 CPU 以响应“pitboss”心跳。

    [NSBASE-15367]

用户界面

  • 使用 Citrix ADC GUI 修改基于 ACL 的 RNAT 规则(该规则已启用连接故障转移)可能会失败,并显示以下错误:

    • “参数值无效 [confailover]”

    [NSHELP-29243]

  • 配置了池容量的群集模式下的 ADC 实例将关闭。如果在群集节点中配置了主机名,并且节点在启动时需要更多时间连接到 ADM 许可证服务器,就会出现此问题。

    [NHELP-28613]

  • 如果执行任何读取 ns.conf 文件的操作,则会出现以下问题。例如,show ns saved config

    • HTTPD 进程可能会冻结,导致 GUI 和 NITRO API 变得无法访问。

    [NSHELP-28249]

  • 在管理分区设置中,上载和添加证书吊销列表 (CRL) 文件失败。

    [NSHELP-20988]

  • 在 Citrix ADC CLI 界面中,如果在命令提示符下键入命令时按 Tab 键,则绑定命令的选项 不会自动填充。

    例如,键入以下命令,当使用 T ab 键时,对象不会自动填充:

    bind authentication vserver <authvservername> -policy <Tab>

    在这里,身份验证虚拟服务器可以绑定到多种对象类型,例如 radius 策略、Idappolicy、cert 策略、TACAS 策略、高级身份验证策略等。

    [NSCONFIG-6340]

  • 从机器人配置文件中解除速率限制 URL 的绑定会导致内部数据库错误。

    [NSCONFIG-6231]

已知问题

13.0-84.11 版本中存在的问题。

AppFlow

  • HDX Insight 不会报告因用户尝试启动用户无权访问的应用程序或桌面而导致的应用程序启动失败。

    [NSINSIGHT-943]

身份验证、授权和审核

  • 在某些情况下,如果 SSO 功能与代理服务器一起使用,则 Citrix ADC 设备中会观察到内存泄漏。

    [NSHELP-27744]

  • 在某些情况下,在 RADIUS 身份验证过程中会显示“凭据无效”错误消息。使用 Google Chrome 浏览器从客户端设备访问 Citrix ADC 设备时会出现此错误。

    [NSHELP-27113]

  • 如果满足以下条件,则拒绝访问服务:

    • 该服务绑定到身份验证虚拟服务器。
    • 401 身份验证是在服务和服务绑定到的虚拟服务器上配置的。

    [NHELP-26903]

  • 如果满足以下两个条件,Citrix ADC 设备将崩溃。

    • 已配置电子邮件 OTP
    • 电子邮件服务器没有响应,或者电子邮件服务器存在网络问题

    [NSHELP-26137]

  • 在某些情况下,如果策略名称长于 Intranet 应用程序名称,则绑定身份验证、授权和审核组命令可能会失败。

    [NSHELP-25971]

  • 如果 LDAP、RADIUS 或 TACACS 服务的管理员密码包含双引号 (“) 字符,Citrix ADC 设备会在“测试连接”检查期间将其删除,从而导致连接失败。

    [NHELP-23630]

  • Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

    [ NSHELP-563 ]

  • DualAuthPushOrOTP.xml LoginSchema 未正确显示在 Citrix ADC GUI 的登录架构编辑器屏幕中。

    [NSAUTH-6106]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白: show adfsproxyprofile <profile name>

    解决方法:连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

  • 如果执行以下步骤,Citrix ADC GUI 上的配置身份验证 LDAP 服务器页面将无响应:

    • 测试 LDAP 可达性选项已打开。
    • 填充并提交了无效的登录凭据。
    • 将填充并提交有效的登录凭据。

    解决方法:关闭并打开“测试 LDAP 可访问性”选项。

    [NSAUTH-2147]

缓存

  • 如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

    [NSHELP-22942]

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 设备上,如果 CLAG 是在 Mellanox 网卡上创建的,则当 VPX 实例重新启动时,CLAG MAC 将更改。VPX 实例的流量在重启后停止,因为 MAC 表包含旧的 CLAG MAC 条目。

    [NSSVM-4333]

  • 现在,如果数据记录总数少于5000,则可以跨页对ADC事件表中的数据进行排序。

    [NHELP-29170]

  • 如果满足以下条件,则会在 Citrix ADC SDX 设备上托管的 VPX 实例上看到丢包:

    • 吞吐量分配模式为突发。
    • 吞吐量和最大突增容量之间存在很大差异。

    [ NSHELP-21992 ]

Citrix Gateway

  • 在 Citrix Gateway 高可用性设置中,如果启用了Gateway Insight,辅助节点可能会崩溃。

    [NSHELP-28856]

  • 有时,断开 VPN 连接后,DNS 解析器无法解析主机名,因为在 VPN 断开连接期间会删除 DNS 后缀。

    [NSHELP-28848]

  • 如果 macOS 钥匙串中没有客户端证书,则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

    [ NSHELP-28551 ]

  • 有时,设置客户端空闲超时后,用户会在几秒钟内注销 Citrix Gateway。

    [ NSHELP-28404 ]

  • Windows 插件可能会在身份验证期间崩溃。

    [NSHELP-28394]

  • 如果异步被阻止并且您修改了内容交换策略配置,Citrix Gateway 设备可能会崩溃。

    [NHELP-27570]

  • 如果在会话策略中设置了未知的 VPN 客户端选项,Citrix Gateway 设备可能会崩溃。

    [NHELP-27380]

  • 您无法使用 GUI 解除经典授权策略的绑定。但是,您可以使用 CLI 解除身份验证、授权和审核授权策略的绑定。

    通过此修复,您现在可以使用 GUI 取消绑定授权策略。

    [ NSHELP-27064 ]

  • 有时,在转移登录过程中,Intranet IP 子网在客户端显示不正确。

    [NHELP-26904]

  • 编辑 VPN 会话配置文件时,Citrix Gateway GUI 显示消息“IP 或端口无效”。

    [NHELP-26722]

  • 如果出现以下任一情况,Citrix ADC 设备将崩溃:

    • syslog 操作使用域名进行配置,您可以使用 GUI 或 CLI 清除配置。
    • 高可用性同步发生在辅助节点上。

    解决方法:

    使用系统日志服务器的 IP 地址而不是系统日志服务器的域名创建 syslog 操作。

    [NSHELP-25944]

  • 使用 Citrix ADC GUI 创建 RDP 客户端配置文件时,满足以下条件时会显示错误消息:

    • 配置了默认的预共享密钥 (PSK)。
    • 您尝试在 RDP Cookie 有效性(秒)字段中修改 RDP Cookie 有效性计时器。

    [NSHELP-25694]

  • 在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

    • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

    解决方法:仅在 HA 同步完成后才执行连续的手动高可用性故障转移(两个节点均处于同步成功状态)。

    [ NSHELP-25598 ]

  • Gateway Insight 不会显示有关 VPN 用户的准确信息。

    [ NSHELP-23937 ]

  • 如果满足以下条件,VPN 插件在 Windows 登录后不会建立通道:

    • Citrix Gateway 设备已配置为“始终开启”功能
    • 设备配置为基于证书的身份验证,双重身份验证“关闭”

    [ NSHELP-23584 ]

  • “show tunnel global”命令输出包括高级策略名称。以前,输出不显示高级策略名称。

    示例:

    新输出:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    上一个输出:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [NSHELP-23496]

  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [ NSHELP-21897 ]

  • 如果您想在 Windows 登录功能之前使用始终开启 VPN,建议升级到 Citrix Gateway 13.0 或更高版本。这使您能够利用版本 13.0 中引入的 12.1 版本中没有的其他增强功能。

    [CGOP-19355]

  • Gateway Insight 中不会报告因 STA 票证无效而导致的应用程序启动失败。

    [CGOP-13621]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [CGOP-13584]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

    [CGOP-13511]

  • 接受来自浏览器的本地主机连接时,适用于 macOS 的“接受连接”对话框将以英语显示内容,而不考虑所选的语言。

    [CGOP-13050]

  • Citrix SSO 应用程序 > 主页中的文本“主页”在某些语言中被截断。

    [CGOP-13049]

  • 从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

    [CGOP-11830]

  • 在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外,页面变得无响应。

    [CGOP-7269]

  • 在群集部署中,如果您在非 CCO 节点上运行“force cluster sync”命令,则 ns.log 文件包含重复的日志条目。

    [CGOP-6794]

Citrix Web App Firewall

  • 如果启用了以下模块,Citrix ADC 设备可能会崩溃:

    • 具有高级安全检查功能的 Web App Firewall。
    • appqoe。

    [NSHELP-28251]

负载平衡

  • 在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

    [NSLB-7679]

  • show 和 stat 命令中显示的服务组的状态不一致。

    [NSHELP-28931]

  • 如果您使用通配符端口,则负载平衡或基于 GSLB 域的 AutoScale 服务组状态保持为关闭。

    [NHELP-28548]

  • 在群集设置中,通过 GSLB 虚拟服务器绑定访问 GSLB 服务 IP 地址时,GUI 中不显示 GSLB 服务 IP 地址。这只是一个显示问题,对功能没有影响。

    [NSHELP-20406]

其他

  • 在高可用性设置中进行强制同步时,设备将在辅助节点中执行“set urlfiltering parameter”命令。
    因此,辅助节点会跳过任何预定更新,直到“TimeOfDayToUpdateDB”参数中提到的下一个计划时间。

    [NSSWG-849]

  • Citrix ADC CPX 实例在具有 64 位架构和 1 TB 文件存储空间的 Linux 系统上运行,现在可以加载证书和密钥文件。

    [NHELP-28986]

  • 如果 URL 筛选第三方供应商出现连接问题,Citrix ADC 设备可能会由于管理 CPU 停滞而重新启动。

    [ NSHELP-22409 ]

网络连接

  • 如果满足以下所有条件,Citrix ADC 设备可能会崩溃:

    • 负载平衡路由在设备的流量域中配置。
    • 在设备上执行清晰的配置操作。

    [NSNET-23847]

  • 如果 Web App Firewall 配置文件配置了高级安全保护检查,则处于 DPDK 模式的 Citrix ADC BLX 设备可能会崩溃。

    解决方法:删除 WAF 的高级安全保护配置。

    [NSNET-22654]

  • 在 Citrix ADC BLX 设备中,绑定到带标签的非 dpdk 接口的 NSVLAN 可能无法按预期运行。与未标记的非 dpdk 接口绑定的 NSVLAN 可以正常工作。

    [NSNET-18586]

  • 从 Citrix ADC BLX 设备 13.0 61.x 版本升级到 13.0 64.x 版本后,BLX 配置文件上的设置将丢失。然后,BLX 配置文件将重置为默认值。

    [NSNET-17625]

  • 带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

    • 禁用
    • 启用
    • 重置

    [NSNET-16559]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件(“/etc/blx/blx.conf”)设置如何,Citrix ADC BLX 设备始终以共享模式部署。之所以出现此问题,是因为基于 Debian 的 Linux 系统上默认存在的“mawk”无法运行“blx.conf”文件中存在的一些 awk 命令。

    解决方法:在安装 Citrix ADC BLX 设备之前安装“gawk”。可以在 Linux 主机 CLI 中运行以下命令来安装“gawk”:

    • apt-get 安装 gawk

    [NSNET-14603]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

    “以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”

    解决方法:在安装 Citrix ADC BLX 设备之前,在 Linux 主机 CLI 中运行以下命令:

    • dpkg — 添加架构 i386
    • apt-get 更新
    • apt-get dist-upgrade
    • apt-get 安装 libc6: i386

    [NSNET-14602]

  • 在某些 FTP 数据连接情况下,Citrix ADC 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。

    [NSNET-5233]

  • 在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

    • LSN 模块在减少引用计数或删除服务时找不到服务。

    [NSHELP-29134]

  • 在大规模 NAT44 部署中,Citrix ADC 设备在接收 SIP 流量时可能会崩溃,原因如下:

    • LSN 模块访问了已删除服务的内存位置。

    [NSHELP-28815]

  • 在高可用性设置中,如果满足以下条件,启用了动态路由的 SNIP 地址在重启时不会暴露给 VTYSH:

    • 启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN。

    作为修复的一部分,Citrix ADC 设备现在不允许将启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN

    [NHELP-24000]

  • 在 Citrix ADC 设备中更改管理分区内存限制时,TCP 缓冲内存限制将自动设置为管理分区新内存限制。

    [ NSHELP-21082 ]

平台

  • 高可用性故障转移在 AWS 和 GCP 云中不起作用。管理 CPU 在 AWS 和 GCP 云中可能达到其 100% 的容量,而 Citrix ADC VPX 本地容量可能会达到 100%。这两个问题都是在满足以下条件时引起的:

    1. 在 Citrix ADC 设备的首次启动期间,您不会保存提示的密码。
    2. 随后,您重新启动 Citrix ADC 设备。

    [NSPLAT-22013]

  • 当您从 13.0/12.1/11.1 版本升级到 13.1 版本或从 13.1 版本降级到 13.0/12.1/11.1 版本时,Citrix ADC 设备上未安装某些 python 软件包。以下 Citrix ADC 版本的此问题已修复:

    • 13.1-4.x
    • 13.0-82.31 及更高版本
    • 12.1-62.21 及更高版本

    当您将 Citrix ADC 版本从 13.1-4.x 降级到以下任何版本时,不会安装 python 软件包:

    • 任何 11.1 版本
    • 12.1-62.21 及更早版本
    • 13.0-81.x 及更早版本

    [NSPLAT-21691]

  • 在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第二个节点和 CLIP 上存在 CLAG MAC 不匹配:

    • CLAG 是在 Mellanox 网卡上创建的。
    • 您将另一个 VPX 实例添加到群集和 CLAG 设置。

    因此,到 VPX 实例的流量会停止。

    [NSPLAT-21049]

  • 在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第一个节点会因为 CLIP 和 MAC 表上的 MAC 地址不匹配而关闭:

    • CLAG 是在 Mellanox 网卡上创建的。
    • 从群集中删除第二个节点。

    [NSPLAT-21042]

  • 从 Azure 资源组中删除自动缩放设置或 VM 比例集时,请从 Citrix ADC 实例中删除相应的云配置文件配置。使用“rm cloudprofile”命令删除配置文件。

    [NSPLAT-4520]

  • 在 Azure 上的高可用性设置中,通过 GUI 登录到辅助节点时,将显示用于自动缩放云配置文件配置的首次用户 (FTU) 屏幕。
    解决方法:跳过屏幕,登录到主节点以创建云配置文件。云配置文件应始终在主节点上配置。

    [NSPLAT-4451]

策略

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法: 将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

SSL

  • 在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

    解决方法:

    1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
    2. 保存配置。

    [NSSSL-9572]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
    ERROR: crl refresh disabled

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

  • 在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。

    [NSSSL-3184]

  • 在群集设置中,当两个已安装的证书是一个具有 OCSP AIA 扩展名的服务器证书的颁发者时,如果删除服务器证书,设备将无法访问。

    [NSHELP-28058]

  • 在 VPN 部署中,Citrix ADC 设备会从缓存中拾取 SSL 会话以重用会话,以便与代理服务器或后端服务器进行通信。这样做时不会将从客户端收到的 SNI 与缓存会话中存在的 SNI 相匹配。

    因此,根据缓存的数据,要么不发送 SNI,要么发送不同的 SNI。

    [NSHELP-27439]

  • 颁发 CRL 的 CA 证书名称被截断为 32 个字符,即使证书密钥名称最多可以包含 64 个字符。出现此问题的原因是 CRL 字段的字符限制为 32 个字符。

    [NHELP-26986]

系统

  • 如果禁用了链接集,则在公有云 MPTCP 群集部署中,数据包重传会增加。

    [NHELP-27410]

  • Citrix ADC 设备可能会在 MPTCP 连接上发送无效的 TCP 数据包以及 TCP 选项,例如 SACK 块、时间戳和 MPTCP 数据 ACK 确认。

    [NHELP-27179]

  • 在重传队列中循环大量数据包时,会发生 Pitboss 故障。

    [NSHELP-26071]

  • 在 Citrix ADC 设备和数据加载器中观察到 Logstream 记录不匹配。

    [NHELP-25796]

  • 在群集设置中,“set ratecontrol”命令只有在重新启动 Citrix ADC 设备后才能生效。

    解决方法:使用 nsapimgr_wr.sh -ys icmp_rate_threshold=<new value> 命令。

    [NSHELP-21811]

  • 如果设备没有从客户端接收 max_concurrent_stream 设置帧,则默认情况下, MAX_CONCURRENT_ STREAM 值设置为 100。

    [ NSHELP-21240 ]

  • mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。

    [ NSHELP-10972 ]

  • 在处理大量的 gRPC 流量时,TCP 通告窗口呈指数级增长,导致高内存使用率。

    [NSBASE-15447]

  • 在群集配置中,具有 CCO 优先级的节点由于网络问题而与 Open vSwitch (OVS) 断开连接。节点重新加入群集配置后,不会收到最新的 SYN cookie。

    [NSBASE-14419]

  • 当为 Insight 配置 LogStream 传输类型时,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 将反转。

    [NSBASE-8506]

  • 会计师协会对 Citrix ADC 的支持

    Citrix ADC 设备现在支持针对 HTTP 和 HTTPS 流量的内容转换服务的 Internet 内容适应协议 (ICAP)。该设备充当 ICAP 客户端,并与第三方 ICAP 服务器(例如反恶意软件和数据泄漏防护 (DLP))进行互操作。ICAP 服务器对 HTTP 和 HTTPS 消息执行内容转换,并作为修改后的消息回复设备。调整后的消息可以是 HTTP 或 HTTPS 响应或请求。

    欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/netscaler/12-1/security/icap-for-remote-content-inspection.html

    [NSBASE-825]

用户界面

  • 在压缩策略管理器 GUI 中,无法通过指定相关绑定点和连接类型将压缩策略绑定到 HTTP 协议。

    [NSUI-17682]

  • 在 Citrix ADC GUI 中,“仪表板”选项卡下的“帮助”链接已损坏。

    [NSUI-14752]

  • 创建/监视 CloudBridge Connector 向导可能会变得无响应或无法配置 CloudBridge连接器。

    解决方法: 使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge Connector。

    [NSUI-13024]

  • 如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。

    [NSUI-6838]

  • Citrix ADC GUI 可能会错误地生成仅包含一个节点而不是所有群集节点的群集技术支持包。

    [NHELP-28606]

  • 使用 Citrix ADC GUI 生成群集技术支持包可能会失败并显示错误。

    [NHELP-28586]

  • 将高可用性设置或群集设置升级到版本 13.0 build 74.14 或更高版本后,配置同步可能由于以下原因而失败:

    • “ssh_host_rsa_key”私钥和公钥对都不正确。

    解决方法:重新生成“ssh_host_rsa_key”。有关详细信息,请参阅 https://support.citrix.com/article/CTX322863

    [NHELP-27834]

  • 您无法使用 Citrix ADC GUI 将服务或服务组绑定到优先级负载平衡虚拟服务器。

    [NSHELP-27252]

  • 在 Citrix ADC VPX 设备中,添加许可证服务器后,设置容量操作可能会失败。出现此问题的原因是,由于存在大量受支持的签入和签出类型的许可证 (CICO),与 Flexera 相关的组件需要较长的时间来初始化

    [NSHELP-23310]

  • 将 Citrix ADC 设备版本 13.0-71.x 降级到较早版本时,由于文件权限更改,某些 Nitro API 可能无法正常工作。

    解决方法:将“/nsconfig/ns.conf”的权限更改为 644。

    [NSCONFIG-4628]

  • 有时,应用程序防火墙签名需要很长时间才能同步到非 CCO 节点。因此,使用这些文件的命令可能会失败。

    [NSCONFIG-4330]

  • 如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

    1. 将 Citrix ADC 设备升级到其中一个版本:

      • 13.0 52.24 Build
      • 12.1 57.18 Build
      • 11.1 65.10 Build
    2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    3. 将 Citrix ADC 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表:
    在命令提示符处,键入:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    解决方法:

    要解决此问题,请使用以下独立选项之一:

    • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
    • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
    • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

    欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Citrix ADC 13.0-84.11 版本的发行说明