产品文档
Citrix ADC
Current Release 13.0 12.1
查看 PDF

Citrix ADC 13.0-88.16 版本的发行说明

December 28, 2022
投稿者: 
C

本发行说明文档介绍了 Citrix ADC 版本 Build 13.0-88.16 中存在的增强和更改、已修复和已知问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
  • 版本 13.0-88.12 及更高版本解决了中描述的安全漏洞 https://support.citrix.com/article/CTX463706
  • 版本 88.16 取代了版本 88.14 和构建 88.12。
  • 版本 88.16 包括对以下问题的修复:NSHELP-33250、NSHELP-33345 和 NSHELP-33063。
  • 版本 88.14 包括对先前 Citrix ADC 13.0 版本中存在的以下问题的修复:NSHELP-32907。

新增功能

版本 13.0-88.16 中提供的增强和更改。

系统

  • 在 HTTP 配置文件中添加了新参数

    在 HTTP 配置文件中添加了一个新参数 passProtocolUpgrade,以防止对后端服务器的攻击。根据此参数的状态,升级标头将在发送到后端服务器的请求中传递或删除,然后再发送请求。

    • 如果启用了 passProtocolUpgrade 参数,则升级标头将传递到后端。服务器接受升级请求并在响应中通知它。
    • 如果禁用此参数,则删除升级标头并将剩余的请求发送到后端。

    passProtocolUpgrade 参数已添加到以下配置文件中:

    • nshttp_default_profile ENABLED by default
    • nshttp_default_strict_validation DISABLED by default
    • nshttp_default_internal_apps DISABLED by default
    • nshttp_default_http_quic_profile ENABLED by default

    Citrix 建议默认禁用此参数。有关更多详细信息,请参阅 Citrix ADC 安全部署指南

    [NSBASE-17423]

用户界面

  • 支持自管理池许可证

    Citrix ADC 设备现在支持自管理池许可证,该许可证可在购买后简化并自动将许可证文件上传到许可证服务器。您可以使用 Citrix ADM 创建由公共带宽或 vCPU 和实例池组成的许可框架。

    [NSCONFIG-6592]

已修复的问题

版本 13.0-88.16 中解决的问题。

身份验证、授权和审核

  • 由于 MEM_SSLVPN 模块中存在内存泄漏,Citrix ADC 设备停止处理请求。

    [NSHELP-32646]

  • 如果 Citrix ADC 设备拥有标准版许可证,则重启 Citrix ADC 设备后,NO_AUTHN 身份验证操作不会持续存在。

    [NSHELP-32522]

  • Citrix Gateway Duo 身份验证登录页面未加载 nonRfWebUI 主题。

    [NSHELP-32463]

  • 在 Citrix Gateway 设备上注册设备时,Citrix 安全访问 (Citrix SSO) 会出现“推送注册失败”消息。

    [NSHELP-32461]

  • 有时,使用 Citrix Workspace 应用程序对网关进行身份验证不成功。

    [NSHELP-32333]

  • 如果在 Citrix ADC 设备上启用了内容安全策略 (CSP) 功能,SAML 身份验证将失败。

    [NSHELP-32203]

  • Content-Type: application/x-www-form-urlencoded 如果您配置了以下两个选项,Citrix ADC 设备会删除 Content-Type 标头中的字符集后缀并发送。

    • 基于 SSO 表单的身份验证
    • nsapimgr knob - nsapimgr_wr.sh -ys call=ns_formsso_use_ctype_simple_enable knob

    [NSHELP-31977]

  • 如果 ADFSPIP URL 设置为 “http://” 类型,Citrix ADC 设备会崩溃。ADFSPIP 仅支持 “https://” 网址类型。

    [NSHELP-29838]

  • 如果满足以下两个条件,Citrix ADC 设备将崩溃。

    • 已配置电子邮件 OTP
    • 电子邮件服务器没有响应,或者电子邮件服务器存在网络问题

    [NSHELP-26137、NSHELP-27824]

缓存

  • 将缓存的内容提供给客户端时,Citrix ADC 设备崩溃。

    [NSHELP-31760]

  • 如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

    [NSHELP-22942]

Citrix ADC SDX 设备

  • 使用 SDX 和 ADM 备份 Citrix ADC VPX 实例时,还会备份一些冗余的硬件安全模块 (HSM) 配置文件。

    [NSHELP-32539]

  • Citrix ADC SDX 设备不会向 Citrix ADM 发送虚拟机管理程序磁盘使用情况的 SNMP 陷阱。

    [ NSHELP-32323 ]

  • 在 Citrix ADC SDX 设备中,VLAN 白名单不会使用分配给 Citrix ADC VPX 实例的 Mellanox 接口的正确值进行更新。

    [ NSHELP-31849 ]

  • 升级 Citrix SDX 设备时,即使当前版本和升级后的 SDX 版本的虚拟机管理程序版本相同,管理服务 GUI 中仍会通知以下不正确事件:

    SVM 和虚拟机管理程序版本不匹配

    [ NSHELP-31769 ]

  • 如果证书名称或密钥名称包含任何空格,则在 Citrix ADC SDX 设备上安装 SSL 证书将失败。

    [ NSHELP-31711 ]

  • 有时,在平台升级期间,将 Citrix ADC SDX 设备从 13.0 升级到 13.1 固件时,将安装后脚本文件 (postinst.sh) 上传到 Citrix 虚拟机管理程序会失败。

    [ NSHELP-31125 ]

Citrix Gateway

  • 如果启用了 Gateway Insight 和 Web Insight 功能,Citrix ADC 设备将崩溃。

    [NSHELP-33345]

  • 有时,在连接代理存在的情况下,RDP 代理不起作用。

    [NSHELP-33063]

  • 如果启用 HDX Insight 并且用户在注销后立即登录 StoreFront,Citrix Gateway 设备可能会崩溃。

    [NSHELP-32907、NSHELP-33079、NSHELP-33289]

  • 基于补丁集的 MAC 地址 EPA 扫描不能与设备证书扫描一起使用,因子相同。

    [NSHELP-32760]

  • “转移登录信息”对话框不显示“传输”按钮。

    [NSHELP-32614]

  • 在 StoreFront 上配置回调 URL 时,Citrix ADC 设备在处理来自 StoreFront 服务器的注销请求 POST /CitrixAuthService/AuthService.asmx 时崩溃。

    [NSHELP-32207]

  • 在群集设置中,Citrix ADC 设备在向客户端发送 CGP_FINISH_REQUEST 请求时崩溃。

    [ NSHELP-32029 ]

  • 启动 UDP 会话时,即使在关闭会话之后,仍然存在陈旧的连接。但是,这些并不是实际的陈旧连接,而是计数器的问题。

    [NSHELP-32009]

  • 当用户登录 Citrix ADC 设备时,如果未安装 Citrix Workspace,则下载 Citrix Workspace 的链接会错误地指向 Citrix Receiver。

    [NSHELP-31877]

  • 在 Citrix Gateway 设备中,如果未在会话操作级别设置 VPN 参数,则全局 VPN 参数不会生效。

    在升级高可用性设置之前,请确保手动禁用辅助设备上的 HA 同步。有关详情,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/current-release/upgrade-downgrade-citrix-adc-appliance/upgrade-downgrade-ha-pair.html

    [NSHELP-31478,CGOP-21737]

  • 基于策略的路由 (PBR) 策略不会对通过 VPN 的 DNS 流量生效。

    [ NSHELP-31123 ]

  • ICA 应用程序启动在以下情况下失败:

    • 内容安全策略 (CSP) 功能已启用。
    • 用户从浏览器登录,但使用 Citrix Workspace 应用程序启动该应用程序。

    [NSHELP-30534]

  • Citrix Gateway 登录页面标题和门户主题显示不正确。

    [NSHELP-29202]

  • 在配置 IIP 池(IP 地址和掩码)时,如果 IP 地址与范围内的第一个 IP 地址不匹配,Citrix ADC CLI 和 GUI 仅显示一个区块,而不是全部。

    示例:
    bind vpn vserver vpn_ssl -intranetIP 172.168.1.1 255.255.255.0
    bind vpn vserver vpn_ssl -intranetIP 172.168.2.1 255.255.255.0

    在这种情况下,CLI 或 GUI 在显示 vpn vserver vpn_ssl 时仅显示 172.168.2.1 池,而不显示 172.168.2.2。

    [NSHELP-29084]

  • 如果配置了 EPA 且没有足够的内存可用,Citrix ADC 设备可能会崩溃。

    [NHELP-28329]

  • Gateway Insight 不会显示有关 VPN 用户的准确信息。

    [ NSHELP-23937 ]

Citrix Web App Firewall

  • 如果您在以下软件版本上为 Citrix Web App Firewall 配置签名对象,则独立 Citrix ADC 设备或高可用性设置中的辅助模式可能会崩溃:
    • 13.0 Build 88.5 及更高版本
    • 13.1 Build 33.41 及更高版本

    [NSHELP-33250]

  • 在 Citrix Web App Firewall 中,当您提供带有协议 (application/pkcs7-signature) 的内容类型标头时,它会错误地解析标头。因此,防火墙会阻止有效请求。

    [NSHELP-32844]

  • 在恢复 WAF 配置文件时,某些放松规则不会导入。

    [NSHELP-32729]

  • 配置代理服务器和代理端口后,WAF 签名更新失败。在签名自动更新过程每小时运行期间,ADC 设备联系自动更新主机下载更新的文件,而不是通过配置的代理服务器和代理端口。因此,当无法访问自动更新主机时,会出现更新失败。

    [NSHELP-32613]

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃:

    • 设备上的负载很高。
    • 配置更改正在进行中。
    • 删除签名需要很长时间。

    [NSHELP-32454]

  • 合法的 cookie 被放置在日志中,同时显示重复的 Cookie 违规日志。

    [NSHELP-32369]

负载平衡

  • 在极少数情况下,在内容交换虚拟服务器上启用基于 SSL 会话 ID 的持久性和基于 SSL 会话票证的处理时,Citrix ADC 设备可能会崩溃并生成核心转储。

    [NSHELP-32228]

其他

  • Lua math.random () 函数可能不会返回随机数。

    [NSHELP-32447]

  • 当满足以下条件时,群集节点进入数据包循环:

    • 将目标 IP 地址作为 CLIP 的 UDP 数据包发送到群集节点。
    • 在群集实例的生命周期内,CCO 已从一个节点更改为另一个节点。

    [NSHELP-30804]

网络连接

  • 在 Citrix ADC 设备上配置 ECMP 后,SSH 负载平衡连接可能会出现以下问题:

    • Citrix ADC 设备通过与相同流中其余数据包不同的路由发送第一个数据包。

    [ NSHELP-32089 ]

  • 满足以下条件时,在某些情况下,Citrix ADC 设备可能会崩溃:

    • Citrix ADC 设备接收多个具有不同偏移量的第一个片段。
    • Citrix ADC 设备不会重新组装碎片。

    [ NSHELP-32084 ]

  • 在虚拟服务器上启用“无会话”选项并在服务器端启用 ECMP 的负载平衡配置中,可能会出现以下问题:

    • Citrix ADC 设备始终通过相同的路由将数据包发送到服务器。

    [ NSHELP-32061 ]

平台

  • 在 Citrix ADC SDX 设备上,Mellanox 接口的环大小从 1024 个增加到 2048 个条目。

    [NSPLAT-24539]

  • 如果满足以下条件,当您从软件版本 13.1 降级到版本 13.0 build 88.x 及更早版本时,Citrix ADC VPX 实例会崩溃:

    • 无法从虚拟机访问 AWS 实例元数据服务 (IMDS)。
    • AWS 中使用基于弹性网络适配器 (ENA) 的实例。

    [NSHELP-32906]

策略

  • 满足以下条件时,Citrix ADC 设备可能会在使用 patset 添加策略时崩溃:

    • 在重写 TCP 场景中,与 NSB 关联的标志的设置顺序不正确。

    [NSHELP-31064]

SSL

  • 如果满足以下条件,Citrix ADC 设备将崩溃:

    • 在握手完成之前,客户端向另一个客户端发送问候。
    • 该请求在第一个客户端 hello 中包含一些特殊的密码集。

    [NSHELP-32422]

  • 在搭载支持 Intel QAT 的加密加速硬件的 Citrix ADC MPX 和 SDX 平台上,SOURCEIP 持久性类型不一致地应用于通过 TLS 1.3 连接发送到虚拟服务器的请求。也就是说,从单个源 IP 地址发送的请求可能会分配到多个不同的后端服务器。

    [NSHELP-32410、NSHELP-32895、NSHELP-32572、NSHELP-32688]

  • 包含 Cavium SSL 卡的 Citrix ADC 设备在向客户端发送 DTLS 警报消息时可能会崩溃。

    [NSHELP-32031]

  • 如果满足以下条件顺序,SSL 握手可能会失败:

    1. 在 DTLS 上启用了 Hello 验证请求 (HVR)。
    2. Citrix ADC 设备向客户端发送 HVR。
    3. 客户端未收到 HVR。
    4. 客户端尝试重新传输第一个客户端 hello,而不是使用会话 cookie 响应 HVR。

    注意:为了响应重新传输的客户端 hello 消息,ADC 设备最多向客户端发送 HVR 三次。如果未收到正确的响应,则设备握手失败。

    [ NSHELP-31808 ]

  • 如果对同一请求评估证书身份验证规则并触发两次,Citrix ADC 设备可能会崩溃。

    [NSHELP-31785]

  • 如果启用了 SSL 拦截,且 DNS 服务器未返回有效的 DNS 响应,则网站访问将被阻止。

    [NSHELP-30201]

  • 在软件模式下处理 SSL 流量时,Citrix ADC 设备可能会崩溃。

    [ NSHELP-29996 ]

系统

  • 当 Citrix ADM 服务器收到带有唯一 URL 的大量 HTTP 流量时,它会消耗大量内存。因此,Citrix ADM 服务器变得不可访问。

    [NSHELP-32922]

  • 在 Citrix ADC 设备中,标头修改框架会导致内存损坏。当 Citrix ADC 设备要使用的 cookie 在转发之前按特定顺序被删除时,就会出现这种情况。

    .

    [NSHELP-32799]

  • 只有在默认分区中启用 ULFD 模式后,才能在管理分区中启用 AppFlow 功能。

    [NSHELP-32670]

  • 当传入的 TCP 分段中存在部分 HTTP 请求方法时,Citrix ADC 设备可能会将 HTTP 请求视为无效请求。

    [NSHELP-32462]

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃:

    • 在 HTTP2 和 SSL 的高内存使用率组合期间,Citrix ADC 设备无法分配内存。

    [NSHELP-32255]

  • Citrix ADC 设备在系统日志操作配置流程中崩溃。在辅助节点上进行高可用性同步期间观察到此崩溃。

    [ NSHELP-32254、NSHELP-32397 ]

  • 满足以下条件时,gRPC 客户端无法解析 gRPC 状态标头:

    • gRPC 状态标头同时添加到前导标头和尾部标头中,而不是仅在尾部标头中添加。

    [NSHELP-31640]

  • 使用内容检查功能时,使用有效负载插入重写标头可能无法正常工作。

    [NSHELP-30088]

  • 启用 SACK 后,Citrix ADC 设备不会重新传输重传列表中的最后一个字节 TCP 数据段,原因如下:设备使用最后一个字节的 TCP 段作为虚拟段来标记重传列表的结尾。

    [NSHELP-28778]

用户界面

  • 您无法使用 Citrix ADC GUI 将 GSLB 服务绑定到 GSLB 虚拟服务器,因为 GSLB 服务 组绑定 > GSLB 服务绑定 > GSLB 服务下的 GSLB 服务 列表显示为空。

    [NSHELP-32236]

  • 在 Citrix ADC 版本 13.0 中,“配置优先级负载平衡虚拟服务器服务”页面上的“确定”按钮显示为灰色。

    [NSHELP-32007]

  • Citrix ADC 设备 GUI 未显示已配置的 SAML 和 OAuth IDP 策略的正确数量。

    [NSHELP-31480]

  • 在 Citrix ADC 设备中,使用 GUI 界面时,响应程序策略页面上会出现以下问题:

    • 自定义创建的响应器策略可能会显示在内置响应程序策略下方。

    [NSHELP-31428]

  • 在 Citrix ADC HA 设置中,保存配置并单击“刷新”按钮后,在 Citrix ADC GUI 中观察到以下问题:

    • 即使设备上没有未保存的配置更改,GUI 也会错误地在“保存”按钮上显示橙点。

    [NSHELP-30031]

  • 已从 Citrix ADM 签出许可证的 Citrix ADC 设备在设备与 ADM 断开连接时进入宽限期。该设备在 ADM 中显示为未获得许可,即使在重新连接到 ADM 之后,它仍将在宽限期内继续运行。

    [NSCONFIG-7098]

已知问题

13.0-88.16 版本中存在的问题。

身份验证、授权和审核

  • 如果配置了 SAML 身份验证,您可能会在注销期间遇到问题。

    [NSHELP-31962]

  • 如果为没有处理 SSO 所需的承载令牌的流量启用 SSO,则单点登录 (SSO) 将失败。

    [NSHELP-31362]

  • 将 LDAP 操作配置为 FQDN 而不是 IP 地址时,nsvpn.log 中会记录非 ASCII 字符。

    [ NSHELP-27281 ]

  • 在某些情况下,在 RADIUS 身份验证过程中会显示 “凭据无效” 错误消息。使用 Google Chrome 浏览器从客户端设备访问 Citrix ADC 设备时会出现此错误。

    [NSHELP-27113]

  • 在某些情况下,如果策略名称长于 Intranet 应用程序名称,则绑定身份验证、授权和审核组命令可能会失败。

    [NSHELP-25971]

  • 在基于 401 的身份验证流程中,当 NOAUTH 配置为第一个因素并将协商配置为后续因素时,Citrix ADC 设备将转储核心。

    [NHELP-25203]

  • 如果 LDAP、RADIUS 或 TACACS 服务的管理员密码包含双引号 (“) 字符,Citrix ADC 设备会在 “测试连接” 检查期间将其删除,从而导致连接失败。

    [NHELP-23630]

  • Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

    [ NSHELP-563 ]

  • 如果在 Citrix ADC 设备上启用了内容安全策略 (CSP) 功能,DUO 身份验证将失败。

    [NSAUTH-12687]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。

    show adfsproxyprofile <profile name>

    解决方法:连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 设备上,如果 CLAG 是在 Mellanox 网卡上创建的,则当 VPX 实例重新启动时,CLAG MAC 将更改。VPX 实例的流量在重启后停止,因为 MAC 表包含旧的 CLAG MAC 条目。

    [NSSVM-4333]

  • 在 Citrix ADC SDX GUI 上,如果 NTP 配置文件 (ntp.conf) 的任何一行中只有空格,则显示 NTP 服务器可能会冻结用户界面。

    [NHELP-31530]

Citrix Gateway

  • 基于 Windows 更新检查的 EPA 扫描在 Windows 11 22H2 版本上不起作用。

    [NSHELP-33068]

  • 对于没有管理权限的用户,Citrix Secure Access 客户端(版本 21.7.1.2 及更高版本)无法升级到更高版本。

    这仅在通过 Citrix Citrix ADC 设备完成 Citrix Secure Access 客户端升级时适用。

    [NSHELP-32793]

  • 当用户单击 Windows 版 Citrix 安全访问屏幕上的“主页”选项卡时,该页面会显示连接被拒绝的错误。

    [NSHELP-32510]

  • 在使用 Chrome 的 Mac 设备上,VPN 扩展程序在访问两个 FQDN 时崩溃。

    [ NSHELP-32144 ]

  • Citrix Secure Access 客户端的调试日志控制现在独立于 Citrix Gateway,可以从插件 UI 中为计算机和用户隧道启用或禁用它。

    [NSHELP-31968]

  • 有时,当用户在 Always-On 服务模式下登录 Windows 计算机时,Windows 自动登录不起作用。机器隧道不会过渡到用户隧道,并且会出现“正在连接…“显示在 VPN 插件用户界面中。

    [NSHELP-31357、CGOP-21192]

  • 如果配置了“始终打开”,则由于 aoservice.exe 文件中的版本号 (1.1.1.1) 不正确,用户通道将失败。

    [ NSHELP-30662 ]

  • 将“networkAccessOnVPNFailure”始终开启配置文件参数从“fullAccess”更改为“onlyToGateway”后,用户无法连接到 Citrix Gateway 设备。

    [ NSHELP-30236 ]

  • 网关插件成功建立 VPN 通道后,不会立即显示网关主页。要修复此问题,引入了以下注册表值。

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    类型:DWORD

    默认情况下,不设置或添加此注册表值。当“SecureChannelResetTimeoutSeconds”的值为 0 或未添加时,处理延迟的修复不起作用,这是默认行为。管理员必须在客户端上设置此注册表才能启用此修复(即在网关插件成功建立 VPN 通道后立即显示主页)。

    [ NSHELP-30189 ]

  • Windows VPN 客户端不接受来自服务器的“SSL 关闭通知”警报,而是在同一连接上发送转移登录请求。

    [ NSHELP-29675 ]

  • 如果 macOS 钥匙串中没有客户端证书,则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

    [ NSHELP-28551 ]

  • 有时,设置客户端空闲超时后,用户会在几秒钟内注销 Citrix Gateway。

    [ NSHELP-28404 ]

  • 在处理服务器启动的 UDP 流量时,Citrix Gateway 设备可能会崩溃。

    [NSHELP-27611]

  • 如果异步被阻止并且您修改了内容交换策略配置,Citrix Gateway 设备可能会崩溃。

    [NHELP-27570]

  • 如果在会话策略中设置了未知的 VPN 客户端选项,Citrix Gateway 设备可能会崩溃。

    [NHELP-27380]

  • 使用 Citrix ADC GUI 创建 RDP 客户端配置文件时,满足以下条件时会显示错误消息:

    • 配置了默认的预共享密钥 (PSK)。
    • 您尝试在 RDP Cookie 有效性(秒)字段中修改 RDP Cookie 有效性计时器。

    [NSHELP-25694]

  • 适用于 Windows 的 EPA 插件不使用本地计算机配置的代理,而是直接连接到网关服务器。

    [ NSHELP-24848 ]

  • “show tunnel global” 命令输出包括高级策略名称。以前,输出不显示高级策略名称。

    示例:

    新输出:

     > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0

 Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
 Priority: 1  
 Global bindpoint: REQ_DEFAULT

 Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
 Priority: 100  
 Global bindpoint: RES_DEFAULT  
 Done  
 >
 <!--NeedCopy-->

    上一个输出:

     > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

 Advanced Policies:

 Global bindpoint: REQ_DEFAULT  
 Number of bound policies: 1

 Done
 <!--NeedCopy-->

    [NSHELP-23496]

  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [ NSHELP-21897 ]

  • Gateway Insight 中不会报告因 STA 票证无效而导致的应用程序启动失败。

    [CGOP-13621]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [CGOP-13584]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

    [CGOP-13511]

  • 接受来自浏览器的本地主机连接时,适用于 macOS 的“接受连接”对话框将以英语显示内容,而不考虑所选的语言。

    [CGOP-13050]

  • Citrix SSO 应用程序 > 主页中的文本“主页”在某些语言中被截断。

    [CGOP-13049]

  • 从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

    [CGOP-11830]

  • 在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外,页面变得无响应。

    [CGOP-7269]

负载平衡

  • 在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

    [NSLB-7679]

  • 在某些情况下,绑定到服务组的服务器会显示无效的 Cookie 值。您可以在跟踪日志中看到正确的 cookie 值。

    [ NSHELP-21196 ]

  • 在集群设置中,通过 GSLB 虚拟服务器绑定访问 GSLB 服务 IP 地址时,GUI 中不显示 GSLB 服务 IP 地址。这只是一个显示问题,对功能没有影响。

    [NSHELP-20406]

其他

  • Citrix ADC 设备将 Web 服务器日志记录功能的缓冲区大小设置为错误的默认值 3MB 而不是 16MB。

    [NSHELP-32429]

  • 如果注册表值大于 2000 字节,AlwaysOnAllow 列表注册表将无法按预期工作。

    [ NSHELP-31836 ]

  • Citrix ADC CPX 实例在具有 64 位架构和 1 TB 文件存储空间的 Linux 系统上运行,现在可以加载证书和密钥文件。

    [NHELP-28986]

网络连接

  • 在 Citrix ADC BLX 设备中,绑定到带标签的非 dpdk 接口的 NSVLAN 可能无法按预期运行。与未标记的非 dpdk 接口绑定的 NSVLAN 可以正常工作。

    [NSNET-18586]

  • 带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

    • 禁用
    • 启用
    • 重置

    [NSNET-16559]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件(“/etc/blx/blx.conf”)设置如何,Citrix ADC BLX 设备始终以共享模式部署。之所以出现此问题,是因为基于 Debian 的 Linux 系统上默认存在的 “mawk” 无法运行 “blx.conf” 文件中存在的一些 awk 命令。

    解决方法:在安装 Citrix ADC BLX 设备之前安装 “gawk”。你可以在 Linux 主机 CLI 中运行以下命令来安装 “gawk”:

    • apt-get 安装 gawk

    [NSNET-14603]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

    “以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”

    解决方法:在安装 Citrix ADC BLX 设备之前,在 Linux 主机 CLI 中运行以下命令:

    • dpkg — 添加架构 i386
    • apt-get 更新
    • apt-get dist-upgrade
    • apt-get 安装 libc6: i386

    [NSNET-14602]

  • 当您删除虚拟服务器时,如果满足以下条件,Citrix ADC 设备会错误地将相关的 VIP RHI 状态设置为关闭:

    • 虚拟服务器有备份虚拟服务器。
    • 虚拟服务器处于 DOWN 状态,至少有一个备份虚拟服务器处于 UP 状态。

    [NSHELP-29972]

  • 在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

    • LSN 模块在减少引用计数或删除服务时找不到服务。

    [NSHELP-29134]

  • 在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

    • 因为过滤条目过时。

    [ NSHELP-28895 ]

  • 在大规模 NAT44 部署中,Citrix ADC 设备在接收 SIP 流量时可能会崩溃,原因如下:

    • LSN 模块访问了已删除服务的内存位置。

    [NSHELP-28815]

  • 在高可用性设置中,如果满足以下条件,启用了动态路由的 SNIP 地址在重启时不会暴露给 VTYSH:

    • 启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN。

    作为修复的一部分,Citrix ADC 设备现在不允许将启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN

    [NHELP-24000]

平台

  • 高可用性故障转移在 AWS 和 GCP 云中不起作用。管理 CPU 在 AWS 和 GCP 云中可能达到其 100% 的容量,而 Citrix ADC VPX 本地容量可能会达到 100%。这两个问题都是在满足以下条件时引起的:

    1. 在 Citrix ADC 设备的首次启动期间,您不会保存提示的密码。
    2. 随后,您重新启动 Citrix ADC 设备。

    [NSPLAT-22013]

  • 当您从 13.0/12.1/11.1 版本升级到 13.1 版本或从 13.1 版本降级到 13.0/12.1/11.1 版本时,Citrix ADC 设备上未安装某些 python 软件包。以下 Citrix ADC 版本的此问题已修复:

    • 13.1-4.x
    • 13.0-82.31 及更高版本
    • 12.1-62.21 及更高版本

    当您将 Citrix ADC 版本从 13.1-4.x 降级到以下任何版本时,不会安装 python 软件包:

    • 任何 11.1 版本
    • 12.1-62.21 及更早版本
    • 13.0-81.x 及更早版本

    [NSPLAT-21691]

  • 在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第二个节点和 CLIP 上存在 CLAG MAC 不匹配:

    • CLAG 是在 Mellanox 网卡上创建的。
    • 您将另一个 VPX 实例添加到集群和 CLAG 设置。

    因此,到 VPX 实例的流量会停止。

    [NSPLAT-21049]

  • 在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第一个节点会因为 CLIP 和 MAC 表上的 MAC 地址不匹配而关闭:

    • CLAG 是在 Mellanox 网卡上创建的。
    • 从群集中删除第二个节点。

    [NSPLAT-21042]

  • 在 Citrix ADC SDX 8015/8400/8600 平台上,你可能会看到 Xen Server 的内存消耗增加。
    解决方法:在 Xen Server 上运行以下命令,然后重新启动设备。
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [NSHELP-32260]

  • 在 Citrix ADC VPX HA 故障转移期间,如果您在未将 IPSet 绑定到任何 IP 地址的情况下配置 IPSet,则在 AWS 云中移动弹性 IP 地址将失败。

    [NSHELP-29425]

  • 当 RPC 节点的密码包含特殊字符时,GCP 和 AWS 云上的 Citrix ADC VPX 实例的高可用性故障转移将失败。

    [NSHELP-28600]

策略

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法:将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

  • 在 Citrix ADC 设备中,当满足以下条件时,使用 NSPEPI 工具从经典策略迁移到高级策略的内容切换策略可能不起作用:

    • 这些策略绑定到内容交换虚拟服务器。
    • “caseSensitive”参数设置为 OFF。

    [NSHELP-31951]

SSL

  • 当虚拟服务器收到带有无效填充的 TLS 1.3 记录时,它会发送致命的“decode_error”警报,而不是“unexpected_message”警报。

    [NSSSL-11890]

  • 在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

    解决方法:

    1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
    2. 保存配置。

    [NSSSL-9572]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
    错误:crl 刷新已禁用

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

系统

  • 在 Citrix ADC 设备中,HTTP 配置文件中“maxHeaderFieldLen”参数的默认值会导致以下问题。

    • 升级到 13.0 版本后出现流量故障。

    [ NSHELP-32079 ]

  • 当 Citrix ADC 设备接收 TCP FIN 控制数据包然后是 TCP RESET 控制数据包时,具有虚拟服务器服务类型 SSL 配置的 Citrix ADC 设备崩溃。

    [ NSHELP-31656 ]

  • 如果满足以下条件,则 TCP 连接的 RTT 为高:

    • 设置了较高的最大拥塞窗口 (>4 MB)
    • TCP NILE 算法已启用

    要使 Citrix ADC 设备使用 NILE 算法进行拥塞控制,条件必须超过慢速启动阈值,再加上最大拥塞窗口

    因此,在达到配置的最大拥塞窗口之前,Citrix ADC 会继续接受数据并最终获得高 RTT。

    [NSHELP-31548]

  • 满足以下条件时,Citrix ADC 设备可能会崩溃:

    • 分析配置文件和 AppFlow 策略均已绑定,并且配置文件启用了 “HttpAllHDRS” 选项。

    [ NSHELP-30628 ]

  • Citrix ADC 设备在服务 SYN 泛洪计数器上报告虚假的 SNMP 警报。

    [NSHELP-28710、NSHELP-28713]

  • 如果禁用了链接集,则在公有云 MPTCP 群集部署中,数据包重传会增加。

    [NHELP-27410]

  • Citrix ADC 设备可能会在 MPTCP 连接上发送无效的 TCP 数据包以及 TCP 选项,例如 SACK 块、时间戳和 MPTCP 数据确认。

    [NHELP-27179]

  • 在 Citrix ADC 设备和数据加载器中观察到 Logstream 记录不匹配。

    [NHELP-25796]

  • 使用 TCP 协议登录到外部 SYSLOG 服务器时,会丢弃某些 SYSLOG 消息。

    [NSHELP-24522]

  • 在某些情况下,如果应用基于 IP 地址的过滤器,nstrace 数据包捕获会丢失所有数据包。

    [NSHELP-23483]

  • 在 Kubernetes 集群上安装 Citrix ADM 时,它无法按预期工作,因为所需的进程可能无法启动。

    解决办法:重新启动“管理”窗格。

    [NSBASE-15556]

  • 在群集配置中,具有 CCO 优先级的节点由于网络问题而与 Open vSwitch (OVS) 断开连接。节点重新加入群集配置后,不会收到最新的 SYN cookie。

    [NSBASE-14419]

用户界面

  • 创建/监控 CloudBridge Connector 向导可能会变得无响应或无法配置 cloudbridge 连接器。

    解决方法:使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,配置 cloudbridge 连接器。

    [NSUI-13024]

  • 创建 Citrix Web App Firewall 的配置文件并尝试在“系统”>“报告”中生成应用程序防火墙的配置报告后,出现以下错误:

    “无法加载 PDF 文档。“

    [NSHELP-32469]

  • 使用 Citrix ADC GUI(系统 > 网络 > 路由)修改静态路由可能会错误地失败并显示以下错误消息:

    • “缺少必填参数 [网关]”

    [NSHELP-32024]

  • 在 HA/群集设置中,如果您配置了 RSA 以外的 SSH 密钥,则配置同步会失败。例如,ECDSA 或 DSA 密钥。

    [NSHELP-31675]

  • 在 Citrix ADC 设备中,使用 GUI 界面绑定缓存策略以覆盖全局或默认全局失败,并显示以下错误:

    • 缺少必需的参数。

    使用 CLI 界面绑定缓存策略时未出现此错误。

    [NHELP-30826]

  • 由于升级安装顺序不正确,Citrix ADC 设备中会出现以下问题。

    • 首先更新内核映像,然后在几个步骤之后复制加密密钥。在这些步骤之间,会发生一些故障,ADC 设备会生成一个新映像。新映像中缺少加密密钥会导致解密失败和配置丢失。

    [NSHELP-30755]

  • Citrix ADC GUI 可能会错误地生成仅包含一个节点而不是所有群集节点的群集技术支持包。

    [NHELP-28606]

  • 使用 Citrix ADC GUI 生成群集技术支持包可能会失败并显示错误。

    [NHELP-28586]

  • 将高可用性设置或集群设置升级到版本 13.0 build 74.14 或更高版本后,配置同步可能由于以下原因而失败:

    • “ssh_host_rsa_key” 私钥和公钥对都不正确。

    解决方法:重新生成 “ssh_host_rsa_key”。有关详细信息,请参阅 https://support.citrix.com/article/CTX322863

    [NHELP-27834]

  • 您无法使用 Citrix ADC GUI 将服务或服务组绑定到优先级负载平衡虚拟服务器。

    [NSHELP-27252]

  • 在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

    • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

    解决方法:仅在 HA 同步完成后才执行连续的手动高可用性故障转移(两个节点均处于同步成功状态)。

    [ NSHELP-25598 ]

  • 有时,应用程序防火墙签名需要很长时间才能同步到非 CCO 节点。因此,使用这些文件的命令可能会失败。

    [NSCONFIG-4330]

  • 如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

    1. 将 Citrix ADC 设备升级到其中一个版本
      • 13.0 52.24 Build
      • 12.1 57.18 Build
      • 11.1 65.10 Build
    2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    3. 将 Citrix ADC 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表:
    在命令提示符下,键入:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    解决方法:要修复此问题,请使用以下独立选项之一:

    • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
    • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
    • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

    有关更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Citrix ADC 13.0-88.16 版本的发行说明
December 28, 2022
投稿者: 
C
December 28, 2022
投稿者: 
C

在本文中

站点反馈 | 隐私和法律条款 | Cookie 首选项 | 同意设置
© 1999- Cloud Software Group, Inc. All rights reserved.