ADC

Citrix ADC 13.0-85.19 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 Build 13.0-85.19 中存在的增强和更改、已修复和已知问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
  • 版本 13.0-85.19 及更高版本可解决 https://support.citrix.com/article/CTX457048 中描述的安全漏洞。
  • 版本 85.19 取代了 Build 85.15。
  • 此版本还包括针对以下问题的修复程序:NSHELP-31668。

新增功能

版本 13.0-85.19 中提供的增强和更改。

身份验证、授权和审核

  • 支持使用连接代理进行 nFactor 身份验证的 GSLB 主动-主动部署

    现在添加了对使用连接代理进行 nFactor 身份验证的 GSLB 主动-主动部署的支持。此支持适用于 Citrix Gateway 和身份验证、授权和审核方案。
    当前,如果在 nFactor 身份验证中配置了各种因素,并且为 GSLB 配置了网关,则如果客户端请求到达不同的 GSLB 站点,则身份验证可能会中断。

    例如,如果将 LDAP 配置为第一因素,并将 RADIUS 配置为第二因素,则在以下情况下身份验证可能会中断。

    • 客户端对 LDAP 的请求登陆到 GSLB 站点 1 上。
    • Radius 请求登陆了 GSLB 站点 2。

    连接代理现在用于将请求路由到正确的 GSLB 站点,以完成身份验证和提供流量。

    [NSAUTH-7141]

已修复的问题

版本 13.0-85.19 中解决的问题。

身份验证、授权和审核

  • 如果更新在 SAML 配置中使用的 SSL 证书密钥对时出错,Citrix ADC 设备可能会崩溃。要修复此问题,您可以取消绑定证书,更新证书,然后再次绑定证书。

    [NSHELP-30270]

  • 如果使用 SAML 的登录请求包含“”以外的空格字符(单引号),则用户无法登录 Citrix ADC 设备。通过此修复,允许使用所有空格字符。

    [NSHELP-29773]

  • 在极少数情况下,Citrix ADC 设备可能会由于日志位置错误而崩溃。

    [NSHELP-29267]

  • 配置为使用 OAuth 服务提供商进行身份验证的 Citrix ADC 设备无法使用“client-secrete_post”配置为通过 IDP tokenEndpoint 进行身份验证。

    通过此修复,当ADC与IDP的令牌端点通信时,将身份验证方法“client_secret_basic”添加到 ADC 的 OAuth 服务提供者功能中。

    [NSHELP-28945]

  • 当正在进行 SAML 身份验证并且在 SAML 身份验证中使用大小为 1800 字节或更大的 X.509 证书时,Citrix ADC 设备可能无法响应。

    [NSHELP-28608,NSHELP-29913]

  • 在 Citrix ADC 高可用性设置中,由于同步问题,在 CLI 配置期间会显示一些身份验证命令。

    [NHELP-28448]

  • 当用户密码到期时更改时,身份验证、授权和审计.user.Attribute 表达式可能会在多核 Citrix ADC 设备中提供空值。

    [NSHELP-28419]

  • Citrix ADC 设备配置为 OAuth 信赖方时,不会将从 ID 令牌中提取的“电子邮件”和“用户名”字段信息添加到身份验证、授权和审核会话的哈希属性中。

    [NSHELP-28262]

  • 有时,使用身份验证、授权和审核时,身份验证可能会失败。使用 LOGIN.PASSWORD。

    [NSHELP-28101]

  • 配置 SAML 元数据时,使用 SSL 证书会观察到内存泄漏。

    [NSHELP-27846,NSHELP-25020]

  • 如果同时满足以下两个条件,Citrix ADC 设备可能会与后端服务器进入 SSO 循环,并导致内存积聚。

    • ADC 设备与后端服务器执行协商和 NTLM SSO 身份验证。
    • 后端服务器无法执行这两项身份验证。

    [NSHELP-27757]

  • 如果提取的组的可分辨名称为空,Citrix ADC 设备可能会在 Active Directory 组提取过程中崩溃。

    [NHELP-26899]

  • 有时,如果配置了 nFactor,注销消息中会记录不正确的 IP 地址。

    [NSHELP-26692]

  • 在高可用性设置中,启动强制同步时 Citrix ADC 设备崩溃。

    [NSAUTH-11876]

  • Android 11 及更高版本不支持 Intune NAC v2。

    [NSAUTH-11872]

  • 如果密码包含特定的特殊字符或参数中有空格,管理员将无法使用 LDAP 或 RADIUS 连接工具。

    [NSAUTH-11322]

机器人管理

  • CAPTCHA 质询正在进行时,Citrix ADC 机器人管理不会遵守用户为验证码重试设置的配置值。

    [NSBOT-801]

CallHome

  • 对于使用池许可的 Citrix ADC MPX 设备,CallHome 注册可能会失败。注册失败,因为 CallHome 在 Citrix 支持服务器中注册设备时使用了不正确的序列号。

    [NSHELP-28667]

Citrix ADC SDX 设备

  • 从备份还原 Citrix ADC SDX 设备时,不会恢复 CLI 提示字符串。

    [NSHELP-30238]

  • 当全新安装因工厂分区没有足够的空间而失败时,会出现错误消息。

    [NSHELP-30136]

  • 在 Citrix ADC SDX 115xx 设备上,如果设备备份包含三个或更多实例,则恢复分配了大量 CPU 核心(3-5 个核心)的 VPX 可能会失败。

    [NSHELP-30135]

  • 除非满足以下条件之一,否则“添加群集节点”页中的 backplane 字段不再是必填字段:

    • 第 3 层群集的节点组已存在。
    • 它是第 2 层群集。

    [NSHELP-29701]

  • 在 Citrix ADC SDX 设备上,在“虚拟机管理程序磁盘使用率偏高”警报时发出警报的默认值已增加到 98%。

    [NSHELP-29688]

  • 在极少数情况下,Citrix ADC SDX 设备上不会出现 ADC 清单。

    [NSHELP-29607]

  • 现在,如果数据记录总数少于5000,则可以跨页对ADC事件表中的数据进行排序。

    [NHELP-29170]

Citrix Gateway

  • 用户在使用 Citrix ADC GUI 标准许可证版本配置 Citrix Gateway 时无法添加身份验证配置文件。通过此修复,用户可以附加标准许可证提供的 nFactor 身份验证配置文件。

    [NSHELP-30647]

  • 升级到 Chrome 98 或 Edge 98 浏览器版本后,用户无法启动 EPA 插件或 VPN 插件。要修复此问题,请执行以下步骤:
    1. 对于 VPN 插件升级,最终用户必须首次使用 VPN 客户端进行连接才能在其计算机上获得修复。在随后的登录尝试中,用户可以选择要连接的浏览器或插件。
    2. 对于仅适用于 EPA 的用例,最终用户将没有 VPN 客户端连接到网关。在这种情况下,请执行以下操作:
      1. 使用浏览器连接到网关。

      2. 等待下载页面出现并下载 nsepa_setup.exe。
      3. 下载完成后,关闭浏览器并安装 nsepa_setup.exe 文件。
      4. 重新启动客户端。

    [NSHELP-30641]

  • 在 Citrix ADC GSLB 和 SSL VPN 设置中,在处理 DTLS ICA 连接时会观察到内存泄漏。结果,连接断开,内存增加。

    [NSHELP-30182]

  • 在 macOS 上,用于检查防病毒软件的上一次完整系统扫描的 EPA 扫描失败。

    [NSHELP-29571]

  • 在具有 TCP SYSLOG 配置的高可用性设置中,节点可能会在高可用性故障转移期间或清除配置操作期间崩溃。

    [NSHELP-29251]

  • 配置出站代理时,Citrix ADC 设备中会观察到内存泄漏。

    [NSHELP-29234]

  • 在 Citrix Gateway 门户页面中, RDP 代理链接 图标不会随着 rfWebUI 门户主题而改变。

    [NSHELP-28974]

  • 如果启用了二进制响应,Citrix Gateway VPN 全通道将无法按预期工作。因此,NSAAC cookie 已损坏。通过此修复,二进制响应可以在早期的 VPN 插件中运行。但是,Citrix 建议您使用可与 JSON 响应配合使用的最新 VPN 插件。

    [NSHELP-28729]

  • Citrix Gateway 设备在 DTLS 音频中处理 STA 时崩溃,因为分配的内存未重置。

    [NSHELP-28432,NSHELP-29796]

  • 如果最初不存在目录 /var/netscaler/logon/logonPoint/Custom/,则该目录不会在升级后创建。

    [NHELP-28223]

  • 如果通过备份负载平衡虚拟服务器访问 StoreFront,则通过 VPN 虚拟服务器访问 StoreFront 将失败。

    [NSHELP-27852]

  • 重新连接到现有 ICA 会话时,Citrix Gateway 设备可能会崩溃。

    [NSHELP-27441]

  • 在“创建 Citrix Gateway 流量配置文件”页面中输入 FQDN 作为代理时,将出现“代理值无效”消息。

    [NSHELP-26613]

Citrix Web App Firewall

  • 升级到 XML 库版本 2.9.12 会导致与 WAF 签名相关的 XML 文件在解析过程中中断。

    [NSWAF-8662]

  • 即使 Web App Firewall 模块阻止 HTTP 请求,JSON 命令注入保护在 ns.log 消息中仍显示“未阻止”。

    [NSHELP-29709]

  • Web App Firewall 日志消息显示跨站脚本 (XSS) URL 属性违反“错误 URL”,而“错误 URL”一词不清楚它属于哪个类别(例如标签、模式或属性)。

    [NSHELP-29358]

  • 如果在 SSL 类型的负载平衡虚拟服务器上启用了机器人管理策略,则机器人设备指纹发布 URL 可能会失败。

    [NSHELP-29198]

  • 如果启用了以下模块,Citrix ADC 设备可能会崩溃:

    • 具有高级安全检查功能的 Web App Firewall。
    • appqoe。

    [NSHELP-28251]

负载平衡

  • 在 AutoScale DNS 部署中,处于 TROFS 状态的成员不会检测和响应运行状况检查失败。

    [NSHELP-29628]

  • 如果满足以下条件,Citrix ADC 设备可能会在将重写策略绑定到负载平衡虚拟服务器时崩溃:

    1. 对第二个表达式的求值将覆盖正在进行的第一个表达式的策略状态变量。
    2. DETERMINE_SERVICES 策略状态变量将被负载平衡虚拟服务器定义的规则覆盖。

    [NSHELP-29449]

  • Citrix ADC 设备在尝试释放与其释放的分区不同的分区中分配的内存时崩溃。

    [NHELP-29038]

  • 运行 show service 命令时显示的监视器响应时间有时不正确。

    [NSHELP-28994]

  • 当静态绑定成员和动态解析的 DNS 记录之间存在冲突时,某些服务组成员不会从 AutoScale 服务组列表中删除。此问题会导致内存损坏。

    [NSHELP-28949]

  • 在极少数情况下,配置 (ns.conf) 文件中可能缺少位置数据库配置。

    [NSHELP-28570]

  • 在启用持久性的部署中,上下文保存期间存储的虚拟服务器不正确。

    [NSHELP-28342]

  • 处理 mysql 类型监视器的监视器探测时,Citrix ADC 设备可能会失败,最终导致系统重新启动。

    [NHELP-27953]

其他

  • 由于 /var/netscaler/logon 目录中缺少 GUI 文件,在全新安装 Citrix ADC 设备时,Citrix Gateway 登录页面无法加载。

    [NSHELP-31668]

  • 将设备升级到 Citrix ADC 版本 12.1 build 63.22 后会出现以下问题:

    • 升级后,扩展 Find API 可能无法正常工作。

    [NSHELP-29860]

网络连接

  • 在具有偶数个数据包引擎 (PE) 的 Citrix ADC 设备中,设备错误地将活动接口的状态显示为冗余接口集(LR 通道)的非活动状态。此问题不会影响 Citrix ADC 设备的任何功能。

    [NSHELP-28099]

  • 冷重启后,Citrix ADC 设备可能无法生成“coldStart”SNMP 陷阱消息。

    [NSHELP-27917]

平台

  • 当虚拟机处于启动的早期阶段时,无法访问托管在 Azure 云上的 Citrix ADC VPX 实例的串行控制台。

    [NSPLAT-23010]

SSL

  • 在极少数情况下,您可能会在以下平台上进行 DTLS 处理时看到崩溃:

    • MPX 5900
    • MPX/SDX 8900
    • MPX/SDX 15000
    • MPX/SDX 15000-50G
    • MPX/SDX 26000
    • MPX/SDX 26000-50S
    • MPX/SDX 26000-100G

    [NSHELP-29538]

  • 如果执行以下步骤,Citrix ADC 设备将崩溃:

    1. 添加了 SSL 类型的监视器。
    2. 证书密钥对已绑定到监视器。
    3. 显示器已拆除。
    4. 添加了另一台同名的监视器。
    5. 证书密钥对已更新。

    [NSHELP-28666,NSHELP-29784]

  • 在高可用性设置中,主节点和辅助节点之间的证书类型未正确同步。

    [NSHELP-27589]

  • 在 VPN 部署中,Citrix ADC 设备会从缓存中拾取 SSL 会话以重用会话,以便与代理服务器或后端服务器进行通信。这样做时不会将从客户端收到的 SNI 与缓存会话中存在的 SNI 相匹配。

    因此,根据缓存的数据,要么不发送 SNI,要么发送不同的 SNI。

    [NSHELP-27439]

  • 在高可用性设置中,如果满足以下两个条件,CRL 自动刷新会间歇性失败:

    • 文件正在从主节点同步到辅助节点。
    • 同时从 CRL 服务器下载 CRL 文件。

    [NSHELP-27435]

  • 颁发 CRL 的 CA 证书名称被截断为 32 个字符,即使证书密钥名称最多可以包含 64 个字符。出现此问题的原因是 CRL 字段的字符限制为 32 个字符。

    [NHELP-26986]

  • 如果将 DH 密码与外部 HSM 配合使用,SSL 握手将失败。

    [NHELP-25307]

系统

  • 如果出现以下任一情况,Citrix ADC 设备将崩溃:

    • syslog 操作使用域名进行配置,您可以使用 GUI 或 CLI 清除配置。
    • 高可用性同步发生在辅助节点上。

    [NSHELP-30987、NSHELP-28121、NSHELP-29843]

  • Citrix ADC 设备无法将某些非 HTTP 数据包转发到后端服务器。

    [NSHELP-30192]

  • 清除为入侵防御系统 (IPS) 资源分配的内存时,Citrix ADC 设备中会观察到内存泄漏。

    [NSHELP-29992]

  • 在某些情况下,如果满足以下条件,Citrix ADC 设备不会将某些 HTTP 数据包转发到后端服务器:

    • 如果 Citrix ADC 功能在内部克隆 HTTP 数据包。

    [NSHELP-29958]

  • 在 Citrix ADC 群集部署中,将 SSL 配置文件和 SSL 证书密钥与 HTTP QUIC 虚拟服务器关联的配置操作可能会失败。

    [NSHELP-29655]

  • 如果满足以下条件,则同一客户端连接上的第二个请求将失败:

    • clientsideMeasurements 已启用。
    • HEAD 请求已收到。

    [NSHELP-29353]

  • Citrix ADC 设备可能会错误地将 IPv4 地址添加到与 IPv6 事务相关的 AppFlow 记录中。

    [NSHELP-29261]

  • 在某些情况下,Citrix ADC 设备可能会在以下情况下崩溃:

    • 使用 TCP 巨型帧。
    • 持久性是在 TCP 负载平衡虚拟服务器上配置的。

    [NSHELP-29162]

  • 如果满足以下条件,Citrix ADC 设备将崩溃:

    • 在 AppFlow 操作上启用了客户端测量选项。
    • 区块报头落在数据包边界上。

    [NSHELP-29049]

  • 如果 HTTP 管道(一个或多个请求)大小超过 128 KB,Citrix ADC 设备将重置连接。出现此问题的原因是管道大小硬限制为 128 KB。

    [NSHELP-28846]

  • 当从 ICAP 模块向客户端重放分块响应时,Citrix ADC 设备可能会崩溃。

    [NSHELP-28788]

  • 在 TCP 连接中,如果满足以下所有条件,Citrix ADC 设备可能会丢弃从服务器接收的 FIN 数据包,而不是将其转发到客户端:

    • TCP 缓冲已启用。
    • 服务器分别发送 FIN 数据包和数据包。

    [NSHELP-27274]

用户界面

  • 您可能会意外取消关联 SSL 证书,因为没有确认提示。通过此修复,当用户单击链接的证书时,它会在取消证书链接之前提示进行确认。

    [NSUI-17897]

  • 对于禁用“安全”选项的 RPC 节点配置,Citrix ADC GUI 中的“配置 RPC 节点”对话框错误地将“安全”选项显示为已启用。

    [NSHELP-30887]

  • 缓存筛选可能无法在 Citrix ADC GUI 上按预期工作。

    [NSHELP-30392]

  • Citrix ADC GUI 不会处理 RAPI 调用,从而导致 GUI 的某些组件无响应。

    [NSHELP-30231]

  • 在某些情况下,您可能无法从 Citrix ADC GUI 中的 SSL 密钥选项卡加载 SSL 密钥。

    [NSHELP-28870]

  • 带有过滤器的 NITRO GET 请求的 API 响应可能包含其他信息,即使过滤器中未提及这些信息。

    [NSHELP-28598]

  • 使用 Citrix ADC GUI 配置或检查 SSL 证书时,可能会出现“目录不存在”错误。当文件名包含两个连续的点 (“..”) 存在于 SSL 文件夹“/nsconfig/ssl”中。

    [NSHELP-28589]

  • 在高可用性设置中,如果在主节点上修改了内置策略模式集,则内置策略模式集绑定的 HA 同步可能会失败。

    [NSHELP-28460]

  • 当用户尝试在侧面板视图中更改列表的页面大小时,页面会失真。

    [NSHELP-28220]

  • 带接口 (-I) 选项的 ping 或 ping6 命令可能会失败,并显示以下错误:

    • “不支持接口选项”

    [NSHELP-26962]

  • 在 Citrix ADC VPX 设备中,添加许可证服务器后,设置容量操作可能会失败。出现此问题的原因是,由于存在大量受支持的签入和签出类型的许可证 (CICO),与 Flexera 相关的组件需要较长的时间来初始化

    [NSHELP-23310]

已知问题

13.0-85.19 版本中存在的问题。

AppFlow

  • HDX Insight 不会报告因用户尝试启动用户无权访问的应用程序或桌面而导致的应用程序启动失败。

    [NSINSIGHT-943]

身份验证、授权和审核

  • 对于在 URL 查询中发送键值参数的后端服务器,基于表单的 SSO 失败。

    [NHELP-30975]

  • 由于 OAuth 配置中缺少目标 URL,Citrix ADC 设备可能会因内存分配过大而崩溃。

    [NHELP-30963]

  • 由于从数据包引擎到身份验证、授权和 auditingD 的传入密码长度丢失或不正确,Citrix ADC 设备的身份验证、授权和 auditingD 模块可能会崩溃。

    [NHELP-30911]

  • 由于 Citrix ADC 设备添加的标头不正确,通过 Outlook 应用程序连接到 Outlook Exchange 服务器时可能会出现间歇性故障。

    [NHELP-30555]

  • 如果 ADFSPIP URL 设置为键入“http://”,则 Citrix ADC 设备会崩溃。ADFSPIP 仅支持“https://”URL 类型。

    [NSHELP-29838]

  • 触发密码更改事件时,在身份验证会话期间,单点登录失败。只有在启用 persistentLogin 尝试参数时才会出现此问题。

    [NHELP-28085]

  • 在某些情况下,在 RADIUS 身份验证过程中会显示“凭据无效”错误消息。使用 Google Chrome 浏览器从客户端设备访问 Citrix ADC 设备时会出现此错误。

    [NSHELP-27113]

  • 如果满足以下条件,则拒绝访问服务:

    • 该服务绑定到身份验证虚拟服务器。
    • 401 身份验证是在服务和服务绑定到的虚拟服务器上配置的。

    [NHELP-26903]

  • 在主控制器卡与辅助控制器卡之间同步会话和密钥配置时,Citrix ADC 设备可能会崩溃。

    [NSHELP-26891]

  • 在某些情况下,如果策略名称长于 Intranet 应用程序名称,则绑定身份验证、授权和审核组命令可能会失败。

    [NSHELP-25971]

  • 在基于 401 的身份验证流程中,当 NOAUTH 配置为第一个因素并将协商配置为后续因素时,Citrix ADC 设备将转储核心。

    [NHELP-25203]

  • 如果 LDAP、RADIUS 或 TACACS 服务的管理员密码包含双引号 (“) 字符,Citrix ADC 设备会在“测试连接”检查期间将其删除,从而导致连接失败。

    [NHELP-23630]

  • Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

    [ NSHELP-563 ]

  • DualAuthPushOrOTP.xml LoginSchema 未正确显示在 Citrix ADC GUI 的登录架构编辑器屏幕中。

    [NSAUTH-6106]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白: show adfsproxyprofile <profile name>

    解决方法:连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

  • 如果执行以下步骤,Citrix ADC GUI 上的配置身份验证 LDAP 服务器页面将无响应:

    • 测试 LDAP 可达性选项已打开。
    • 填充并提交了无效的登录凭据。
    • 将填充并提交有效的登录凭据。

    解决方法:关闭并打开“测试 LDAP 可访问性”选项。

    [NSAUTH-2147]

缓存

  • 如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

    [NSHELP-22942]

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 设备上,如果 CLAG 是在 Mellanox 网卡上创建的,则当 VPX 实例重新启动时,CLAG MAC 将更改。VPX 实例的流量在重启后停止,因为 MAC 表包含旧的 CLAG MAC 条目。

    [NSSVM-4333]

  • 如果满足以下条件,则会在 Citrix ADC SDX 设备上托管的 VPX 实例上看到丢包:

    • 吞吐量分配模式为突发。
    • 吞吐量和最大突增容量之间存在很大差异。

    [ NSHELP-21992 ]

Citrix Gateway

  • 在某些情况下,由于某些使用端口 53 的非 DNS 协议(例如 STUN)出现问题,适用于 macOS 的 Citrix Secure Access 会中断连接。

    [NHELP-31004]

  • 有时,用户无法在高级无客户端 VPN 模式下访问书签。

    [NSHELP-30939]

  • 如果配置了“始终打开”,则由于 aoservice.exe 文件中的版本号 (1.1.1.1) 不正确,用户通道将失败。

    [ NSHELP-30662 ]

  • 将“networkAccessOnVPNFailure”始终开启配置文件参数从“fullAccess”更改为“onlyToGateway”后,用户无法连接到 Citrix Gateway 设备。

    [ NSHELP-30236 ]

  • 从浏览器启动时,PCoIP 应用程序和桌面启动失败,并显示“VMware 客户端缺失”错误消息。出现此问题的原因是“vmware-view”协议未添加到允许的协议列表中。

    [NHELP-30062]

  • 启用 HDX Insight 并禁用 NSAP 时,Citrix Gateway 设备可能会在通道解析期间崩溃。

    [NSHELP-30029]

  • Windows VPN 客户端不接受来自服务器的“SSL 关闭通知”警报,而是在同一连接上发送转移登录请求。

    [ NSHELP-29675 ]

  • 如果身份验证规则配置为与登录流程中的某个请求匹配,Gateway Insight 甚至在用户提交登录凭据之前就报告了错误的身份验证失败。

    [NSHELP-29313]

  • 除非条目数更改为每页 2000,否则“活动用户会话”页不会显示所有活动用户会话。

    通过此修复,管理员界面中添加了一个新链接“所有用户会话”(Citrix Gateway -> 监视连接 > 所有用户会话),其中列出了所有用户会话和连接。

    [NHELP-29151]

  • 您可能会注意到 rdx.js 文件中有一些 Citrix 内部 IP 地址。

    [ NSHELP-28682 ]

  • 如果 macOS 钥匙串中没有客户端证书,则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

    [ NSHELP-28551 ]

  • 如果配置了 EPA 且没有足够的内存可用,Citrix ADC 设备可能会崩溃。

    [NHELP-28329]

  • 在处理服务器启动的 UDP 流量时,Citrix Gateway 设备可能会崩溃。

    [NSHELP-27611]

  • 如果异步被阻止并且您修改了内容交换策略配置,Citrix Gateway 设备可能会崩溃。

    [NHELP-27570]

  • 如果在会话策略中设置了未知的 VPN 客户端选项,Citrix Gateway 设备可能会崩溃。

    [NHELP-27380]

  • 有时,在转移登录过程中,Intranet IP 子网在客户端显示不正确。

    [NHELP-26904]

  • 编辑 VPN 会话配置文件时,Citrix Gateway GUI 显示消息“IP 或端口无效”。

    [NHELP-26722]

  • 使用 Citrix ADC GUI 创建 RDP 客户端配置文件时,满足以下条件时会显示错误消息:

    • 配置了默认的预共享密钥 (PSK)。
    • 您尝试在 RDP Cookie 有效性(秒)字段中修改 RDP Cookie 有效性计时器。

    [NSHELP-25694]

  • “show vpn icaConnection”命令输出无法正确显示 ICA 连接的序列号。之所以出现此问题,是因为在运行“show vpn icaconnection”时会任意重置序列号。

    [NHELP-25646]

  • 在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

    • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

    解决方法:仅在 HA 同步完成后才执行连续的手动高可用性故障转移(两个节点均处于同步成功状态)。

    [ NSHELP-25598 ]

  • Gateway Insight 不会显示有关 VPN 用户的准确信息。

    [ NSHELP-23937 ]

  • 如果满足以下条件,VPN 插件在 Windows 登录后不会建立通道:

    • Citrix Gateway 设备已配置为“始终开启”功能
    • 设备配置为基于证书的身份验证,双重身份验证“关闭”

    [ NSHELP-23584 ]

  • “show tunnel global”命令输出包括高级策略名称。以前,输出不显示高级策略名称。

    示例:

    新输出:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    上一个输出:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [NSHELP-23496]

  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [ NSHELP-21897 ]

  • 如果您想在 Windows 登录功能之前使用始终开启 VPN,建议升级到 Citrix Gateway 13.0 或更高版本。这使您能够利用版本 13.0 中引入的 12.1 版本中没有的其他增强功能。

    [CGOP-19355]

  • Gateway Insight 中不会报告因 STA 票证无效而导致的应用程序启动失败。

    [CGOP-13621]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [CGOP-13584]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

    [CGOP-13511]

  • 从 MAC Receiver版本 19.6.0.32 或 Citrix Virtual Apps and Desktops 7.18 版本启动 ICA 连接时,HDX Insight 功能将被禁用。

    [CGOP-13494]

  • 启用 EDT Insight 功能后,有时音频通道可能会在出现网络差异时出现故障。

    [CGOP-13493]

  • 接受来自浏览器的本地主机连接时,适用于 macOS 的“接受连接”对话框将以英语显示内容,而不考虑所选的语言。

    [CGOP-13050]

  • Citrix SSO 应用程序 > 主页中的文本“主页”在某些语言中被截断。

    [CGOP-13049]

  • 从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

    [CGOP-11830]

  • 在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外,页面变得无响应。

    [CGOP-7269]

Citrix Web App Firewall

  • 在包含引号(单引号、双引号或反引号)的 WAF SQL 注入中,必须存在起始和结束引号,才能将模式标记为攻击。但是,当模式中存在注释时,不需要结尾报价。

    [NHELP-30379]

负载平衡

  • 在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

    [NSLB-7679]

  • 在 ADC 应用装置上启用 ECS 且找不到位置时, 作用域前缀设置不正确。此问题会导致创建错误的持久性条目。错误的持久性条目是基于 LDNS IP 地址而非基于邻近的非静态的 GSLB 方法的请求中收到的 ECS IP 地址创建的。

    [NHELP-30846]

  • 在罕见的竞争条件下,当 Citrix ADC 设备上存在以下配置时,数据包引擎可能会因核心转储而崩溃:

    • GSLB 虚拟服务器配置了基于源 IP 地址的持久性,并且在绑定到 ADNS 服务的 DNS 配置文件上启用 DNS 日志记录。
    • DNS 负载平衡服务器配置时未在 DNS 配置文件上启用 DNS 日志记录。

    [NSHELP-29791]

  • 包含通配符的策略表达式的“add dns action”和“add location”命令的增量同步失败。

    [NSHELP-29301]

  • show 和 stat 命令中显示的服务组的状态不一致。

    [NSHELP-28931]

  • 如果您使用通配符端口,则负载平衡或基于 GSLB 域的 AutoScale 服务组状态保持为关闭。

    [NHELP-28548]

  • 当对等方发送重置现有连接的请求时,SQL 或 Oracle 类型监视器崩溃。

    [NSHELP-28478]

  • 即使请求成功,SMPP 重试消息也会发送到群集中的所有节点。这种情况会导致 Citrix ADC 设备上的内存消耗很高。

    [NSHELP-28332]

  • 在某些情况下,绑定到服务组的服务器会显示无效的 Cookie 值。您可以在跟踪日志中看到正确的 cookie 值。

    [ NSHELP-21196 ]

  • 在群集设置中,通过 GSLB 虚拟服务器绑定访问 GSLB 服务 IP 地址时,GUI 中不显示 GSLB 服务 IP 地址。这只是一个显示问题,对功能没有影响。

    [NSHELP-20406]

其他

  • 在高可用性设置中进行强制同步时,设备将在辅助节点中执行“set urlfiltering parameter”命令。
    因此,辅助节点会跳过任何预定更新,直到“TimeOfDayToUpdateDB”参数中提到的下一个计划时间。

    [NSSWG-849]

  • 门户 jQuery UI 已从 1.12.1 更新为 1.13.1,以解决安全公告(CVE-2021-41182、CVE-2021-41183 和 CVE-2021-41184)中描述的漏洞。

    [NHELP-30209]

  • Citrix ADC CPX 实例在具有 64 位架构和 1 TB 文件存储空间的 Linux 系统上运行,现在可以加载证书和密钥文件。

    [NHELP-28986]

  • 如果 URL 筛选第三方供应商出现连接问题,Citrix ADC 设备可能会由于管理 CPU 停滞而重新启动。

    [ NSHELP-22409 ]

网络连接

  • 如果满足以下所有条件,Citrix ADC 设备可能会崩溃:

    • 负载平衡路由在设备的流量域中配置。
    • 在设备上执行清晰的配置操作。

    [NSNET-23847]

  • 如果 Web App Firewall 配置文件配置了高级安全保护检查,则处于 DPDK 模式的 Citrix ADC BLX 设备可能会崩溃。

    解决方法:删除 WAF 的高级安全保护配置。

    [NSNET-22654]

  • 在 Citrix ADC BLX 设备中,绑定到带标签的非 dpdk 接口的 NSVLAN 可能无法按预期运行。与未标记的非 dpdk 接口绑定的 NSVLAN 可以正常工作。

    [NSNET-18586]

  • 带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

    • 禁用
    • 启用
    • 重置

    [NSNET-16559]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件(“/etc/blx/blx.conf”)设置如何,Citrix ADC BLX 设备始终以共享模式部署。之所以出现此问题,是因为基于 Debian 的 Linux 系统上默认存在的“mawk”无法运行“blx.conf”文件中存在的一些 awk 命令。

    解决方法:在安装 Citrix ADC BLX 设备之前安装“gawk”。可以在 Linux 主机 CLI 中运行以下命令来安装“gawk”:

    • apt-get 安装 gawk

    [NSNET-14603]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

    “以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”

    解决方法:在安装 Citrix ADC BLX 设备之前,在 Linux 主机 CLI 中运行以下命令:

    • dpkg — 添加架构 i386
    • apt-get 更新
    • apt-get dist-upgrade
    • apt-get 安装 libc6: i386

    [NSNET-14602]

  • 在某些 FTP 数据连接情况下,Citrix ADC 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。

    [NSNET-5233]

  • 在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

    • 设备中不存在 LSN 过滤和映射条目。

    [NHELP-30225]

  • 如果在某些数据包与 ACL 规则匹配时取消数据集与 ACL 规则的绑定,Citrix ADC 设备可能会崩溃。

    [NHELP-30221]

  • 在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

    • 删除筛选条目时,会话引用计数不为零。

    [NHELP-29348]

  • 在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

    • LSN 模块在减少引用计数或删除服务时找不到服务。

    [NSHELP-29134]

  • 在大规模 NAT44 部署中,Citrix ADC 设备在接收 SIP 流量时可能会崩溃,原因如下:

    • LSN 模块访问了已删除服务的内存位置。

    [NSHELP-28815]

  • 在高可用性设置中,如果满足以下条件,启用了动态路由的 SNIP 地址在重启时不会暴露给 VTYSH:

    • 启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN。

    作为修复的一部分,Citrix ADC 设备现在不允许将启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN

    [NHELP-24000]

  • 在 Citrix ADC 设备中更改管理分区内存限制时,TCP 缓冲内存限制将自动设置为管理分区新内存限制。

    [ NSHELP-21082 ]

平台

  • 高可用性故障转移在 AWS 和 GCP 云中不起作用。管理 CPU 在 AWS 和 GCP 云中可能达到其 100% 的容量,而 Citrix ADC VPX 本地容量可能会达到 100%。这两个问题都是在满足以下条件时引起的:

    1. 在 Citrix ADC 设备的首次启动期间,您不会保存提示的密码。
    2. 随后,您重新启动 Citrix ADC 设备。

    [NSPLAT-22013]

  • 当您从 13.0/12.1/11.1 版本升级到 13.1 版本或从 13.1 版本降级到 13.0/12.1/11.1 版本时,Citrix ADC 设备上未安装某些 python 软件包。以下 Citrix ADC 版本的此问题已修复:

    • 13.1-4.x
    • 13.0-82.31 及更高版本
    • 12.1-62.21 及更高版本

    当您将 Citrix ADC 版本从 13.1-4.x 降级到以下任何版本时,不会安装 python 软件包:

    • 任何 11.1 版本
    • 12.1-62.21 及更早版本
    • 13.0-81.x 及更早版本

    [NSPLAT-21691]

  • 在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第二个节点和 CLIP 上存在 CLAG MAC 不匹配:

    • CLAG 是在 Mellanox 网卡上创建的。
    • 您将另一个 VPX 实例添加到群集和 CLAG 设置。

    因此,到 VPX 实例的流量会停止。

    [NSPLAT-21049]

  • 在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第一个节点会因为 CLIP 和 MAC 表上的 MAC 地址不匹配而关闭:

    • CLAG 是在 Mellanox 网卡上创建的。
    • 从群集中删除第二个节点。

    [NSPLAT-21042]

  • 从 Azure 资源组中删除自动缩放设置或 VM 比例集时,请从 Citrix ADC 实例中删除相应的云配置文件配置。使用“rm cloudprofile”命令删除配置文件。

    [NSPLAT-4520]

  • 在 Azure 上的高可用性设置中,通过 GUI 登录到辅助节点时,将显示用于自动缩放云配置文件配置的首次用户 (FTU) 屏幕。
    解决方法:跳过屏幕,登录到主节点以创建云配置文件。云配置文件应始终在主节点上配置。

    [NSPLAT-4451]

  • 在具有单包映像 (SBI) 和 VPX 版本 13.1-24.x 或更高版本的 Citrix ADC SDX 设备上,支持在 Fortville NIC 上使用 VRRP 的主动-主动部署。在 L2 模式下不支持此部署。

    以下几点适用于部署:

    • Citrix 建议在升级或降级关联的 VPX 实例之前从管理服务中删除 VRID 配置。升级或降级操作完成后,从管理服务添加 VRID 配置。
    • 如果不遵循上述建议,则必须从管理服务手动重新发现 VPX 实例,以启用 VRRP 收敛。

    [NHELP-30670]

  • 在 Citrix ADC VPX HA 故障转移期间,如果您在未将 IPset 绑定到任何 IP 地址的情况下配置 IPset,则在 AWS 云中移动弹性 IP 地址将失败。

    [NSHELP-29425]

  • 当 RPC 节点的密码包含特殊字符时,GCP 和 AWS 云上的 Citrix ADC VPX 实例的高可用性故障转移将失败。

    [NSHELP-28600]

策略

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法: 将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

  • 在某些情况下,当分配操作与 AppExpert 变量的清除操作一起使用时,Citrix ADC 设备可能会崩溃。

    [NHELP-29766]

SSL

  • 在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

    解决方法:

    1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
    2. 保存配置。

    [NSSSL-9572]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
    ERROR: crl refresh disabled

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

  • 在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。

    [NSSSL-3184、NSSSL-1379、NSSSL-1394]

  • 在 MPX 8900 和 MPX 15000 FIPS 认证的设备上,运行 ECDHE 流量可能会导致内存泄漏。

    [NHELP-30744]

  • 启用 SSL 拦截并且存在多个访问具有过期证书的后端服务器的并行请求时,Citrix ADC 设备崩溃。

    [NSHELP-29520]

  • 在群集设置中,当两个已安装的证书是一个具有 OCSP AIA 扩展名的服务器证书的颁发者时,如果删除服务器证书,设备将无法访问。

    [NSHELP-28058]

  • 由于 SAML 等内部应用程序在一段时间内持续使用 API 进行加密操作,Citrix ADC MPX/SDX 14000 FIPS 设备可能会崩溃。

    [NHELP-27952]

系统

  • 在 Citrix ADC 设备中,如果满足以下条件,则会在 HTTP/2 事务中观察到延迟问题:

    • 已在后端服务上启用 HTTP/2 SSL 配置
    • 服务不支持 HTTP/2 协议。

    [NHELP-30020]

  • Citrix ADC 设备在服务 SYN 泛洪计数器上报告虚假的 SNMP 警报。

    [NSHELP-28710、NSHELP-28713]

  • 如果配置了响应程序策略,并且您添加了一些导致标头损坏的重写策略,Citrix ADC VPX 实例可能会崩溃。

    解决办法:删除响应者策略。

    [NSHELP-28512, NSHELP-30415]

  • 如果禁用了链接集,则在公有云 MPTCP 群集部署中,数据包重传会增加。

    [NHELP-27410]

  • Citrix ADC 设备可能会在 MPTCP 连接上发送无效的 TCP 数据包以及 TCP 选项,例如 SACK 块、时间戳和 MPTCP 数据 ACK 确认。

    [NHELP-27179]

  • 在重传队列中循环大量数据包时,会发生 Pitboss 故障。

    [NSHELP-26071]

  • 在 Citrix ADC 设备和数据加载器中观察到 Logstream 记录不匹配。

    [NHELP-25796]

  • 使用 TCP 协议登录到外部 SYSLOG 服务器时,会丢弃某些 SYSLOG 消息。

    [NSHELP-24522]

  • 在某些情况下,如果应用基于 IP 地址的过滤器,nstrace 数据包捕获会丢失所有数据包。

    [NSHELP-23483]

  • 在群集设置中,“set ratecontrol”命令只有在重新启动 Citrix ADC 设备后才能生效。

    解决方法:使用 nsapimgr_wr.sh -ys icmp_rate_threshold=<new value> 命令。

    [NSHELP-21811]

  • 如果设备没有从客户端接收 max_concurrent_stream 设置帧,则默认情况下, MAX_CONCURRENT_ STREAM 值设置为 100。

    [ NSHELP-21240 ]

  • mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。

    [ NSHELP-10972 ]

  • 在群集部署中,如果您在非 CCO 节点上运行“force cluster sync”命令,则 ns.log 文件包含重复的日志条目。

    [NSBASE-16304、NSGI-1293]

  • 在 Kubernetes 群集上安装 Citrix ADM 时,它无法按预期工作,因为所需的进程可能无法启动。

    解决办法:重新启动“管理”窗格。

    [NSBASE-15556]

  • 在群集配置中,具有 CCO 优先级的节点由于网络问题而与 Open vSwitch (OVS) 断开连接。节点重新加入群集配置后,不会收到最新的 SYN cookie。

    [NSBASE-14419]

  • 当为 Insight 配置 LogStream 传输类型时,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 将反转。

    [NSBASE-8506]

用户界面

  • 在 Citrix ADC GUI 中,“仪表板”选项卡下的“帮助”链接已损坏。

    [NSUI-14752]

  • 创建/监视 CloudBridge Connector 向导可能会变得无响应或无法配置 CloudBridge连接器。

    解决方法: 使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge Connector。

    [NSUI-13024]

  • 如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。

    [NSUI-6838]

  • 如果升级了配置了池许可的 Citrix ADC 设备,则该设备可能会使用部分配置重新启动。
    解决方法:删除升级后创建的群集配置数据库,然后热重启设备。

    [NHELP-30926]

  • 在 Citrix ADC 设备中,使用 GUI 界面绑定缓存策略以覆盖全局或默认全局失败,并显示以下错误:

    • 缺少必需的参数。

    使用 CLI 界面绑定缓存策略时未出现此错误。

    [NHELP-30826]

  • 在 CLI 界面中运行“show run”命令时输入“CTRL+C”时,重新连接到 Citrix ADC 设备失败并出现以下错误:

    • “用户名或密码无效”

    如果密钥和密码中的字符相同,则会发生此问题。

    [NSHELP-30817]

  • 将 Citrix ADC 设备配置为使用外部身份验证服务器时,无论是否将全局禁用的 rbaonResponse 参数设置为全局禁用,stat 命令的运行都可能会延迟。可以从 GUI 或 CLI 中禁用该参数。

    [NSHELP-30289]

  • 在 Citrix ADC GUI 管理证书 > CSR 页面中,搜索筛选器不适用于“名称”键。

    [NHELP-30274]

  • Citrix ADC GUI 可能会错误地生成仅包含一个节点而不是所有群集节点的群集技术支持包。

    [NHELP-28606]

  • 使用 Citrix ADC GUI 生成群集技术支持包可能会失败并显示错误。

    [NHELP-28586]

  • 将高可用性设置或群集设置升级到版本 13.0 build 74.14 或更高版本后,配置同步可能由于以下原因而失败:

    • “ssh_host_rsa_key”私钥和公钥对都不正确。

    解决方法:重新生成“ssh_host_rsa_key”。有关详细信息,请参阅 https://support.citrix.com/article/CTX322863

    [NHELP-27834]

  • 您无法使用 Citrix ADC GUI 将服务或服务组绑定到优先级负载平衡虚拟服务器。

    [NSHELP-27252]

  • 有时,应用程序防火墙签名需要很长时间才能同步到非 CCO 节点。因此,使用这些文件的命令可能会失败。

    [NSCONFIG-4330]

  • 如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

    1. 将 Citrix ADC 设备升级到其中一个版本:

      • 13.0 52.24 Build
      • 12.1 57.18 Build
      • 11.1 65.10 Build
    2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    3. 将 Citrix ADC 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表:
    在命令提示符处,键入:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    解决方法:

    要解决此问题,请使用以下独立选项之一:

    • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
    • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
    • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

    欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Citrix ADC 13.0-85.19 版本的发行说明