ADC

Citrix ADC 13.0-87.9 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 Build 13.0-87.9 中存在的增强和更改、已修复和已知问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。

新增功能

版本 13.0-87.9 中提供的增强和更改。

身份验证、授权和审核

负载平衡

  • 支持保护用户监视器的脚本参数

    在“add lb monitor”命令中添加了一个新参数 -secureargs。此参数以加密格式而不是纯文本格式存储脚本参数。您可以使用此参数保护与用户监视器脚本相关的敏感数据,例如用户名和密码。对于与脚本相关的任何敏感 -scriptargs 数据,Citrix 建议您使用 -secureargs 参数而不是参数。如果选择同时使用这两个参数,则在-scriptname 中指定的脚本必须接受顺序为:的参数 <scriptargs> <secureargs>。也就是说,您需要 <secureargs> 通过保持为参数定义的顺序来指定中的前几个参数 <scriptargs> 和中的其余参数。安全参数仅适用于内部调度程序。

    欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/load-balancing/load-balancing-custom-monitors/configure-user-monitor.html

    [NSLB-7310]

网络连接

  • 在发送 SNMP 陷阱消息时包括严重性级别的增强功能

    Citrix ADC VPX 设备现在将严重性级别作为变量绑定包含在 SNMP 陷阱消息中。使用以下带有 severityInfoInTrap 选项的命令:

    • set snmp option -severityInfoInTrap ENABLED

    启用此选项后,陷阱严重性级别将包含在 SNMP 陷阱消息中。

    [NSNET-21603]

系统

  • 配置慢启动阈值参数

    Citrix ADC 设备现在支持配置慢启动阈值参数,该参数可以解决以下问题。

    • Citrix ADC 设备处理的 TCP 流量的动态往返时间 (RTT) 很高。
    • 将 RTT 视为拥塞控制的 TCP 拥塞控制协议变体 Nile 无法运行。配置的拥塞窗口要高得多,它映射到 Nile 的慢启动阈值。

    有关更多信息,请参阅 TCP 配置。

    [NSBASE-16509]

已修复的问题

版本 13.0-87.9 中解决的问题。

身份验证、授权和审核

  • 如果配置中的 SAML 元数据 URL 不以反斜杠 (/) 结尾或不包含反斜杠 (/),Citrix ADC 设备可能会崩溃。

    [ NSHELP-31937 ]

  • 如果您配置了 syslog 服务器,则会在两行中看到与 SAML 相关的单个日志。

    [ NSHELP-31750 ]

  • 在身份验证虚拟服务器上应用内容安全策略 (CSP) 的重写策略时,应用程序重写可能会出现问题。

    [ NSHELP-31583 ]

  • 在主控制器卡与辅助控制器卡之间同步会话和密钥配置时,Citrix ADC 设备可能会崩溃。

    [NSHELP-26891]

Citrix Gateway

  • 在某些情况下,Citrix ADC 设备在向客户端分配内联网 IP 地址时可能会崩溃。

    [ NSHELP-31712 ]

  • 配置经典 EPA 策略和 nFactor 身份验证后,成功进行身份验证的 Gateway Insight 事件不会发送到 Citrix Application Delivery Management。

    [ NSHELP-30901 ]

  • 您无法使用 GUI 解除经典授权策略的绑定。但是,您可以使用 CLI 解除身份验证、授权和审核授权策略的绑定。

    通过此修复,您现在可以使用 GUI 取消绑定授权策略。

    [ NSHELP-27064 ]

  • 如果会话配置文件包含 Storefront 的 FQDN,则在您输入凭据后,应用程序启动将失败。出现以下错误。

    “Http/1.1 内部服务器错误 43531”

    通过此修复,客户可以将 FQDN 而不是会话配置文件 WI 地址输入 IP。

    [NSHELP-26671]

Citrix Web App Firewall

  • “无用户代理标头操作”和“多用户代理标头操作”的日志可能错误地使用了 IP 信誉检查的日志消息。

    [NSHELP-31935]

  • 使用速度较慢的 DNS 服务器处理 BOT 签名查找时,Citrix ADC 设备可能会崩溃。

    [NSHELP-31642]

负载平衡

  • 在高可用性 (HA) 设置中,路由会在新的主节点上丢弃,并且在满足以下条件时不会再次获知。

    • 由于关键接口故障,动态路由删除和 HA 故障切换同时发生。

    [ NSHELP-32264 ]

  • 如果用户监视脚本返回的响应大于 1024 字节,Citrix ADC 设备可能会崩溃并转储内核。

    [ NSHELP-32097 ]

  • 在极少数情况下,如果启用了 DNSSEC 处理并且存在 DNS 区域配置,Citrix ADC 设备可能会崩溃并转储内核。

    [ NSHELP-31993 ]

  • 在某些情况下,服务的状态与监视器的状态不同步。

    [NSHELP-31747]

  • 在 AutoScale DNS 部署中,处于 TROFS 状态的成员不会检测和响应运行状况检查失败。

    [NSHELP-29628]

  • 当 AutoScale 类型的 DNS 服务组的成员处于 TROFS 状态时,如果再次将同一成员添加到该组,则该成员的状态不会传播。

    [NSHELP-29493]

  • 包含通配符的策略表达式的“add dns action”和“add location”命令的增量同步失败。

    [NSHELP-29301]

  • 如果您使用通配符端口,则负载平衡或基于 GSLB 域的 AutoScale 服务组状态保持为关闭。

    [NHELP-28548]

其他

  • 在 Citrix ADC 设备中,向设备添加额外硬盘时,将在崩溃文件夹“/var/crash/nslog”中创建“/var/crash/nslog”文件的链接。崩溃文件夹中可用的“newnslog”文件未收集到技术支持生成的收集器文件夹中。

    [NSHELP-31354]

  • 在配置了公钥系统身份验证的 Citrix ADC 群集设置中,观察到以下问题:

    • VTYSH 不会在群集配置协调器 (CCO) 上显示所有群集节点的信息。

    [NSHELP-28762]

平台

  • 对于存储在 /var/log/waagent 文件夹中的文件,日志轮换失败并占用更多磁盘空间。使用还原功能在 Azure 云上托管的另一个 ADC VPX 实例上应用从 Citrix ADC VPX 实例获取的备份配置时,会出现此故障。

    [ NSHELP-31599 ]

策略

  • 在 Citrix ADC 设备中,会观察到以下情况。
    • 在某些不寻常的情况下与内存记帐有关的问题。
    • 与某些实体的内存分配/释放相关的问题。

    此外,还增加了/改进了对某些实体的分配/重新分配的跟踪。

    [ NSHELP-29215 ]

  • 如果您在策略表达式中配置 MATCHES_LOCATION () 函数并使用过滤器表达式启动 nstrace,Citrix ADC 设备可能会崩溃。

    [NSHELP-22687]

SSL

  • 在以下情况下,Citrix ADC 设备可能会崩溃:

    • SSL 和 SSL 服务的负载平衡监视器具有相同的名称
    • SSL 服务已重命名
    • 已删除负载平衡监视器

    [NSHELP-30445]

  • 出现以下所有情况时,Citrix ADC 设备会崩溃:

    • 默认 RSA 证书密钥对绑定到内部服务。
    • 非 RSA 证书密钥对绑定到同一服务。
    • 发生高可用性同步。

    [NSHELP-30084]

系统

  • 在 Citrix ADC 设备中,HTTP 配置文件中“maxHeaderFieldLen”参数的默认值会导致以下问题。

    • 升级到 13.0 版本后出现流量故障。

    [ NSHELP-32079 ]

  • 在 Citrix ADC 设备中,为内容交换或负载平衡虚拟 IP (VIP) 启用 HTTP/2 配置时会出现以下问题。

    • 通过 Citrix ADC 设备将 HTTP/2 标头和数据帧转发到网站时,延迟最多可增加 100 毫秒。

    [ NSHELP-30094 ]

  • 在 Citrix ADC 设备中,如果取消绑定默认高级全局策略并保存配置,则下次重新启动时不会反映所做的更改。

    [NSHELP-19867]

用户界面

  • 尝试删除 SSL 虚拟服务器和证书密钥对绑定时,Python API SDK 中会出现以下异常。
    TypeError:无法连接 ‘str’ 和 ‘bool’ 对象

    [ NSHELP-31746 ]

  • 您无法在 Citrix ADC 版本 13.0 版本 85.15 版本上使用 GUI 解除负载平衡服务组成员的绑定。

    [NSHELP-31474]

  • 在管理分区设置中,上载和添加证书吊销列表 (CRL) 文件失败。

    [NSHELP-20988]

  • Citrix ADC GUI 仪表板中的负载平衡服务器统计信息详细信息未对齐。

    [ NSHELP-20752 ]

已知问题

13.0-87.9 版本中存在的问题。

身份验证、授权和审核

  • 如果 ADFSPIP URL 设置为键入“http://”,则 Citrix ADC 设备会崩溃。ADFSPIP 仅支持“https://”URL 类型。

    [NSHELP-29838]

  • 将 LDAP 操作配置为 FQDN 而不是 IP 地址时,nsvpn.log 中会记录非 ASCII 字符。

    [ NSHELP-27281 ]

  • 在某些情况下,在 RADIUS 身份验证过程中会显示“凭据无效”错误消息。使用 Google Chrome 浏览器从客户端设备访问 Citrix ADC 设备时会出现此错误。

    [NSHELP-27113]

  • Citrix ADC GUI 不显示绑定到 VPN 虚拟服务器的默认缓存策略。

    [ NSHELP-26874 ]

  • 在某些情况下,如果策略名称长于 Intranet 应用程序名称,则绑定身份验证、授权和审核组命令可能会失败。

    [NSHELP-25971]

  • 在基于 401 的身份验证流程中,当 NOAUTH 配置为第一个因素并将协商配置为后续因素时,Citrix ADC 设备将转储核心。

    [NHELP-25203]

  • 如果 LDAP、RADIUS 或 TACACS 服务的管理员密码包含双引号 (“) 字符,Citrix ADC 设备会在“测试连接”检查期间将其删除,从而导致连接失败。

    [NHELP-23630]

  • Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

    [ NSHELP-563 ]

  • DualAuthPushOrOTP.xml LoginSchema 未正确显示在 Citrix ADC GUI 的登录架构编辑器屏幕中。

    [NSAUTH-6106]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
    show adfsproxyprofile <profile name>

    解决方法:连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

缓存

  • 如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

    [NSHELP-22942]

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 设备上,如果 CLAG 是在 Mellanox 网卡上创建的,则当 VPX 实例重新启动时,CLAG MAC 将更改。VPX 实例的流量在重启后停止,因为 MAC 表包含旧的 CLAG MAC 条目。

    [NSSVM-4333]

  • 在 Citrix ADC SDX GUI 上,如果 NTP 配置文件 (ntp.conf) 的任何一行中只有空格,则显示 NTP 服务器可能会冻结用户界面。

    [NHELP-31530]

Citrix Gateway

  • 如果配置了“始终打开”,则由于 aoservice.exe 文件中的版本号 (1.1.1.1) 不正确,用户通道将失败。

    [ NSHELP-30662 ]

  • ICA 应用程序启动在以下情况下失败:

    • 内容安全策略 (CSP) 功能已启用。
    • 用户从浏览器登录,但使用 Citrix Workspace 应用程序启动该应用程序。

    [NSHELP-30534]

  • 将“networkAccessOnVPNFailure”始终开启配置文件参数从“fullAccess”更改为“onlyToGateway”后,用户无法连接到 Citrix Gateway 设备。

    [ NSHELP-30236 ]

  • 网关插件成功建立 VPN 通道后,不会立即显示网关主页。要修复此问题,引入了以下注册表值。

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    类型:DWORD

    默认情况下,不设置或添加此注册表值。当“SecureChannelResetTimeoutSeconds”的值为 0 或未添加时,处理延迟的修复不起作用,这是默认行为。管理员必须在客户端上设置此注册表才能启用此修复(即在网关插件成功建立 VPN 通道后立即显示主页)。

    [ NSHELP-30189 ]

  • 有时,仅限计算机通道模式下的 Citrix Secure Access 代理在计算机从睡眠模式中唤醒后不会自动建立计算机通道。

    [NSHELP-30110]

  • Windows VPN 客户端不接受来自服务器的“SSL 关闭通知”警报,而是在同一连接上发送转移登录请求。

    [ NSHELP-29675 ]

  • 如果 macOS 钥匙串中没有客户端证书,则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

    [ NSHELP-28551 ]

  • 有时,设置客户端空闲超时后,用户会在几秒钟内注销 Citrix Gateway。

    [ NSHELP-28404 ]

  • 如果配置了 EPA 且没有足够的内存可用,Citrix ADC 设备可能会崩溃。

    [NHELP-28329]

  • 在处理服务器启动的 UDP 流量时,Citrix Gateway 设备可能会崩溃。

    [NSHELP-27611]

  • 如果异步被阻止并且您修改了内容交换策略配置,Citrix Gateway 设备可能会崩溃。

    [NHELP-27570]

  • 如果在会话策略中设置了未知的 VPN 客户端选项,Citrix Gateway 设备可能会崩溃。

    [NHELP-27380]

  • 使用 Citrix ADC GUI 创建 RDP 客户端配置文件时,满足以下条件时会显示错误消息:

    • 配置了默认的预共享密钥 (PSK)。
    • 您尝试在 RDP Cookie 有效性(秒)字段中修改 RDP Cookie 有效性计时器。

    [NSHELP-25694]

  • Gateway Insight 不会显示有关 VPN 用户的准确信息。

    [ NSHELP-23937 ]

  • “show tunnel global”命令输出包括高级策略名称。以前,输出不显示高级策略名称。

    示例:

    新输出:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    上一个输出:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [NSHELP-23496]

  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [ NSHELP-21897 ]

  • Gateway Insight 中不会报告因 STA 票证无效而导致的应用程序启动失败。

    [CGOP-13621]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [CGOP-13584]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

    [CGOP-13511]

  • 接受来自浏览器的本地主机连接时,适用于 macOS 的“接受连接”对话框将以英语显示内容,而不考虑所选的语言。

    [CGOP-13050]

  • Citrix SSO 应用程序 > 主页中的文本“主页”在某些语言中被截断。

    [CGOP-13049]

  • 从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

    [CGOP-11830]

  • 在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外,页面变得无响应。

    [CGOP-7269]

负载平衡

  • 在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

    [NSLB-7679]

  • 在某些情况下,绑定到服务组的服务器会显示无效的 Cookie 值。您可以在跟踪日志中看到正确的 cookie 值。

    [ NSHELP-21196 ]

  • 在群集设置中,通过 GSLB 虚拟服务器绑定访问 GSLB 服务 IP 地址时,GUI 中不显示 GSLB 服务 IP 地址。这只是一个显示问题,对功能没有影响。

    [NSHELP-20406]

其他

  • 如果注册表值大于 2000 字节,AlwaysOnAllow 列表注册表将无法按预期工作。

    [ NSHELP-31836 ]

  • Citrix ADC CPX 实例在具有 64 位架构和 1 TB 文件存储空间的 Linux 系统上运行,现在可以加载证书和密钥文件。

    [NHELP-28986]

网络连接

  • 在 Citrix ADC BLX 设备中,绑定到带标签的非 dpdk 接口的 NSVLAN 可能无法按预期运行。与未标记的非 dpdk 接口绑定的 NSVLAN 可以正常工作。

    [NSNET-18586]

  • 带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

    • 禁用
    • 启用
    • 重置

    [NSNET-16559]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件(“/etc/blx/blx.conf”)设置如何,Citrix ADC BLX 设备始终以共享模式部署。之所以出现此问题,是因为基于 Debian 的 Linux 系统上默认存在的“mawk”无法运行“blx.conf”文件中存在的一些 awk 命令。

    解决方法:在安装 Citrix ADC BLX 设备之前安装“gawk”。可以在 Linux 主机 CLI 中运行以下命令来安装“gawk”:

    • apt-get 安装 gawk

    [NSNET-14603]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

    “以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”

    解决方法:在安装 Citrix ADC BLX 设备之前,在 Linux 主机 CLI 中运行以下命令:

    • dpkg — 添加架构 i386
    • apt-get 更新
    • apt-get dist-upgrade
    • apt-get 安装 libc6: i386

    [NSNET-14602]

  • 在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

    • LSN 模块在减少引用计数或删除服务时找不到服务。

    [NSHELP-29134]

  • 在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

    • 因为过滤条目过时。

    [ NSHELP-28895 ]

  • 在大规模 NAT44 部署中,Citrix ADC 设备在接收 SIP 流量时可能会崩溃,原因如下:

    • LSN 模块访问了已删除服务的内存位置。

    [NSHELP-28815]

  • 在高可用性设置中,如果满足以下条件,启用了动态路由的 SNIP 地址在重启时不会暴露给 VTYSH:

    • 启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN。

    作为修复的一部分,Citrix ADC 设备现在不允许将启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN

    [NHELP-24000]

平台

  • 高可用性故障转移在 AWS 和 GCP 云中不起作用。管理 CPU 在 AWS 和 GCP 云中可能达到其 100% 的容量,而 Citrix ADC VPX 本地容量可能会达到 100%。这两个问题都是在满足以下条件时引起的:

    1. 在 Citrix ADC 设备的首次启动期间,您不会保存提示的密码。
    2. 随后,您重新启动 Citrix ADC 设备。

    [NSPLAT-22013]

  • 当您从 13.0/12.1/11.1 版本升级到 13.1 版本或从 13.1 版本降级到 13.0/12.1/11.1 版本时,Citrix ADC 设备上未安装某些 python 软件包。以下 Citrix ADC 版本的此问题已修复:

    • 13.1-4.x
    • 13.0-82.31 及更高版本
    • 12.1-62.21 及更高版本

    当您将 Citrix ADC 版本从 13.1-4.x 降级到以下任何版本时,不会安装 python 软件包:

    • 任何 11.1 版本
    • 12.1-62.21 及更早版本
    • 13.0-81.x 及更早版本

    [NSPLAT-21691]

  • 在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第二个节点和 CLIP 上存在 CLAG MAC 不匹配:

    • CLAG 是在 Mellanox 网卡上创建的。
    • 您将另一个 VPX 实例添加到群集和 CLAG 设置。

    因此,到 VPX 实例的流量会停止。

    [NSPLAT-21049]

  • 在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第一个节点会因为 CLIP 和 MAC 表上的 MAC 地址不匹配而关闭:

    • CLAG 是在 Mellanox 网卡上创建的。
    • 从群集中删除第二个节点。

    [NSPLAT-21042]

  • 在 Citrix ADC VPX HA 故障转移期间,如果您在未将 IPset 绑定到任何 IP 地址的情况下配置 IPset,则在 AWS 云中移动弹性 IP 地址将失败。

    [NSHELP-29425]

  • 当 RPC 节点的密码包含特殊字符时,GCP 和 AWS 云上的 Citrix ADC VPX 实例的高可用性故障转移将失败。

    [NSHELP-28600]

策略

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法: 将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

  • 满足以下条件时,Citrix ADC 设备可能会在使用 patset 添加策略时崩溃:

    • 在重写 TCP 场景中,与 NSB 关联的标志的设置顺序不正确。

    [NSHELP-31064]

SSL

  • 在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

    解决方法:

    1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
    2. 保存配置。

    [NSSSL-9572]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
    ERROR: crl refresh disabled

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

  • 如果对同一请求评估证书身份验证规则并触发两次,Citrix ADC 设备可能会崩溃。

    [NSHELP-31785]

  • 如果启用了 SSL 拦截,且 DNS 服务器未返回有效的 DNS 响应,则网站访问将被阻止。

    [NSHELP-30201]

系统

  • 满足以下条件时,具有虚拟服务器服务类型 SSL 配置的 Citrix ADC 设备会崩溃:

    • Citrix ADC 设备会收到 TCP FIN 控制数据包,然后是 TCP RESET 控制数据包。

    [ NSHELP-31656 ]

  • Citrix ADC 设备在服务 SYN 泛洪计数器上报告虚假的 SNMP 警报。

    [NSHELP-28710、NSHELP-28713]

  • 如果禁用了链接集,则在公有云 MPTCP 群集部署中,数据包重传会增加。

    [NHELP-27410]

  • Citrix ADC 设备可能会在 MPTCP 连接上发送无效的 TCP 数据包以及 TCP 选项,例如 SACK 块、时间戳和 MPTCP 数据 ACK 确认。

    [NHELP-27179]

  • 在 Citrix ADC 设备和数据加载器中观察到 Logstream 记录不匹配。

    [NHELP-25796]

  • 使用 TCP 协议登录到外部 SYSLOG 服务器时,会丢弃某些 SYSLOG 消息。

    [NSHELP-24522]

  • 在某些情况下,如果应用基于 IP 地址的过滤器,nstrace 数据包捕获会丢失所有数据包。

    [NSHELP-23483]

  • 在 Kubernetes 群集上安装 Citrix ADM 时,它无法按预期工作,因为所需的进程可能无法启动。

    解决办法:重新启动“管理”窗格。

    [NSBASE-15556]

  • 在群集配置中,具有 CCO 优先级的节点由于网络问题而与 Open vSwitch (OVS) 断开连接。节点重新加入群集配置后,不会收到最新的 SYN cookie。

    [NSBASE-14419]

用户界面

  • 创建/监视 CloudBridge Connector 向导可能会变得无响应或无法配置 CloudBridge连接器。

    解决方法: 使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge Connector。

    [NSUI-13024]

  • 在 Citrix ADC 设备中,使用 GUI 界面绑定缓存策略以覆盖全局或默认全局失败,并显示以下错误:

    • 缺少必需的参数。

    使用 CLI 界面绑定缓存策略时未出现此错误。

    [NHELP-30826]

  • 由于升级安装顺序不正确,Citrix ADC 设备中会出现以下问题。

    • 首先更新内核映像,然后在几个步骤之后复制加密密钥。在这些步骤之间,会发生一些故障,ADC 设备会生成一个新映像。新映像中缺少加密密钥会导致解密失败和配置丢失。

    [NSHELP-30755]

  • 在 Citrix ADC HA 设置中,保存配置并单击“刷新”按钮后,在 Citrix ADC GUI 中观察到以下问题:

    • 即使设备上没有未保存的配置更改,GUI 也会错误地在“保存”按钮上显示橙点。

    [NSHELP-30031]

  • Citrix ADC GUI 可能会错误地生成仅包含一个节点而不是所有群集节点的群集技术支持包。

    [NHELP-28606]

  • 使用 Citrix ADC GUI 生成群集技术支持包可能会失败并显示错误。

    [NHELP-28586]

  • 将高可用性设置或群集设置升级到版本 13.0 build 74.14 或更高版本后,配置同步可能由于以下原因而失败:

    • “ssh_host_rsa_key”私钥和公钥对都不正确。

    解决方法:重新生成“ssh_host_rsa_key”。有关详细信息,请参阅 https://support.citrix.com/article/CTX322863

    [NHELP-27834]

  • 您无法使用 Citrix ADC GUI 将服务或服务组绑定到优先级负载平衡虚拟服务器。

    [NSHELP-27252]

  • 在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

    • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

    解决方法:仅在 HA 同步完成后才执行连续的手动高可用性故障转移(两个节点均处于同步成功状态)。

    [ NSHELP-25598 ]

  • 有时,应用程序防火墙签名需要很长时间才能同步到非 CCO 节点。因此,使用这些文件的命令可能会失败。

    [NSCONFIG-4330]

  • 如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

    1. 将 Citrix ADC 设备升级到其中一个版本:

      • 13.0 52.24 Build
      • 12.1 57.18 Build
      • 11.1 65.10 Build
    2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    3. 将 Citrix ADC 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表:
    在命令提示符处,键入:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]<!--NeedCopy-->

    解决方法:

    要解决此问题,请使用以下独立选项之一:

    • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
    • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
    • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

    欲了解更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Citrix ADC 13.0-87.9 版本的发行说明