ADC

Citrix ADC 13.0-89.7 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 Build 13.0-89.7 中存在的增强和更改、已修复和已知问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。

新增功能

版本 13.0-89.7 中提供的增强和更改。

Citrix ADC SDX 设备

  • 在配置或编辑 VPX 时,“网关”和“Nexthop”字段是可选的

    在 Citrix ADC SDX 设备管理服务中,在满足以下条件时,“网关”和“Nexthop”字段不再是配置、编辑、备份或恢复 VPX 的必填字段:

    • 以下任一选项均为真:
      • VPX 启用“通过内部网络管理”。
      • VPX IP 地址与管理服务 IP 地址位于同一个子网中。
    • VPX 预置了 13.0-88.9 或 13.1-37.8 版本及其更高版本。

    有关更多信息,请参阅 配置 Citrix ADC 实例

    [NSSVM-5307]

  • 增强功能可正确显示磁盘的存在

    已进行增强以确定 Citrix ADC SDX 设备上磁盘的状态。现在,当磁盘存在时,可以正确显示磁盘的状态。

    [NSSVM-5252]

Citrix Gateway

  • 在身份验证 cookie 上支持 HttpOnly

    现在,VPN 场景的身份验证 cookie 支持 HttpOnly 标志,即 NSC_Authentication、authorization、auditingC 和 NSC_TMAS cookie。NSC_TMAS 身份验证 cookie 在 nFactor 身份验证期间使用,NSC_Authentication、authorization 和 auditingC cookie 用于经过身份验证的会话。cookie 上的 HttpOnlyflag 使用 JavaScript 文档 cookie 选项限制 cookie 的访问。这有助于防止 Cookie 因跨站脚本而被盗用。

    [CGOP-14004]

用户界面

  • 支持 systemfile NITRO API 的 8 MB 上载限制

    systemfile NITRO API 的最大上载限制已从 2 MB 提高到 8 MB。

    [NSCONFIG-7089]

已修复的问题

版本 13.0-89.7 中解决的问题。

AppFlow

  • 配置了 AppFlow 后,如果 Citrix ADC 设备收到来自后端服务器的空 HTTP 分块响应,则会重置 TCP 连接。

    当为相关的 AppFlow 操作启用“clientSideMeasurements”参数时,就会出现此问题。

    [NSHELP-32250]

身份验证、授权和审核

  • 在 Citrix Gateway GSLB 设置中,如果满足以下条件,可能会检测到 GSLB 站点之间循环的代理连接:

    • 所有的 GSLB 站点都不在同一个版本上。
    • Citrix Gateway 配置了高级身份验证。

    [NSHELP-32487]

  • 如果以级联方式配置 LDAP 和 SAML 身份验证,则登录期间会显示错误页面。

    [NSHELP-32378]

  • 如果配置了 SAML 身份验证,您可能会在注销期间遇到问题。

    [NSHELP-31962]

  • Citrix ADC GUI 不显示绑定到 VPN 虚拟服务器的默认缓存策略。

    [ NSHELP-26874 ]

Citrix Gateway

  • 故障切换后,某些 VPN 会话可能会被清除或从辅助 ADC 设备中删除。

    [NSHELP-33125]

  • 由于 Citrix Gateway 设备中的端口耗尽,应用程序可能无法通过 Citrix Gateway 启动。

    [NSHELP-32418]

  • 配置为无客户端 VPN 访问的 Citrix Gateway 设备在处理虚拟会话时可能会崩溃。

    [NSHELP-32399]

  • 如果启用 HDX Insight,Citrix Gateway 设备可能会崩溃。

    [NSHELP-32120]

  • 当 NOAUTH 配置为第一因素时,Gateway Insight 身份验证失败记录将用户名显示为“匿名”,而第二因素身份验证因凭证无效而失败。只有在使用 nFactor 可视化工具执行配置时才会出现此问题,因为第一个因素是在 nFactor 可视化工具中设计的 NOAUTH 配置的。

    [NSHELP-31795]

  • 在 Citrix ADC 设备上启用 GSLB 时,适用于 macOS 的 Citrix EPA 插件会崩溃。

    [CGOP-22722]

  • “show vpn icaconnection”命令无法正确显示 ICA 连接的序列号。之所以出现此问题,是因为运行“show vpn icaconnection”命令时序列号会被任意重置。

    [CGOP-22205]

Citrix Web App Firewall

  • 当您将 cookieHijackingAction 设置为阻止、记录或统计信息时,Citrix ADC 设备中会发生内存泄漏。

    [NSHELP-33187]

负载平衡

  • 如果在 GSLB 虚拟服务器上配置了以下设置,Citrix ADC 设备将无法使用正确的服务 IP 地址响应 GSLB 域查询:

    1. ECS 选项已启用。
    2. 静态邻近被配置为负载平衡方法。

    [NSHELP-32879]

  • 如果存在持久性条目,并且配置了大量虚拟负载平衡虚拟服务器和组虚拟服务器,则 Citrix ADC 设备可能会在清除配置期间崩溃。

    [NSHELP-30051]

  • 在高可用性设置中,如果满足以下条件,辅助节点可能会崩溃:

    • 两个节点上的物理内存量彼此不同。
    • 数据会话未正确同步。

    [NSHELP-26503,NSHELP-34114]

网络连接

  • 在 Citrix ADC BLX 群集设置中,如果满足以下条件,VTYSH 可能无法启动:

    • Linux 主机重新启动导致 Citrix ADC BLX 路由运行状况注入 (RHI) 进程的订单循环。

    [NSHELP-32473]

  • 当您删除虚拟服务器时,如果满足以下条件,Citrix ADC 设备会错误地将相关的 VIP RHI 状态设置为关闭:

    • 虚拟服务器有备份虚拟服务器。
    • 虚拟服务器处于 DOWN 状态,至少有一个备份虚拟服务器处于 UP 状态。

    [NSHELP-29972]

SSL

  • 通过群集 IP (CLIP) 地址访问的 Citrix ADC GUI 不显示与 SSL 虚拟服务器的服务器证书绑定。

    [NSHELP-31602]

  • 如果默认证书包中不存在有效的 CA 证书,OCSP 响应验证可能会在 SSL 拦截期间失败。之所以发生故障,是因为使用默认证书包而不是配置的证书包错误地完成了 OCSP 响应验证。

    [NSHELP-30594]

系统

  • Citrix ADC 设备在尝试访问已释放的 ICAP 上的资源时可能会崩溃。当 ICAP 处于响应修改 (RESPMOD) 模式时,就会发生这种情况。

    [NSHELP-33403]

  • Citrix ADC 设备无法一致地从分区发送 Logstream 数据。

    [NSHELP-33237]

  • Citrix ADC 设备无法解析分块值时中止连接。当 Transfer-Encoding 标头有多个值且 Chunked 不是第一个值时,就会出现此问题。

    [NSHELP-32420]

  • 当配置有 SSL 服务的 Citrix ADC 设备收到 TCP FIN 控制数据包后接收 TCP RESET 控制数据包时,该设备会崩溃。

    [ NSHELP-31656 ]

  • Citrix ADC 设备无法跟踪 ICA 连接。出现此问题的原因是,在数据包捕获期间,当 IP 或 PORT 过滤器与“start nstrace”一起使用时,“nstrace”会排除某些数据包。

    [NSHELP-29009]

用户界面

  • 当您访问许可证节点或刷新许可证节点时,管理服务许可证页面不会刷新池化许可证信息。相反,只有在您注销并再次登录时,才会刷新池化许可证信息。

    [NSHELP-33203]

  • 当用户查看内容交换策略上的绑定时,内容交换虚拟服务器的详细信息不会显示在“显示绑定”下的同一行中。

    [NSHELP-33149]

  • 支持关机 NITRO API 中的关机选项

    shutdown NITRO API 现在支持“立即关闭-p”选项,用于关闭 Citrix ADC 设备并将其电源。

    示例:

    在以下 curl 请求示例中, shutdown NITRO API 与“-p now”选项一起使用,用于关闭 IP 地址为 192.0.0.33 的 Citrix ADC 设备并关闭其电源。

    `curl -v -X POST -H Content-Type: application/json -u nsroot:examplepassword http://192.0.0.33/nitro/v1/config/install?warning=yes -d ‘{“shutdown”: {“args”:”-p now”}}’`

    [NSHELP-32915]

  • 当用户将流量策略绑定到内容交换或负载平衡虚拟服务器时,绑定详细信息不会显示在 GUI 中。

    [NSHELP-32751]

  • 在具有管理分区的 Citrix ADC 设备中,重新启动后,分区内的“ns”参数设置会丢失。这种情况是由于错误的内置配置造成的。

    [NSHELP-32486]

  • 在 Citrix ADC GUI 中,如果 系统>SNMP>陷阱下存在现有 SNMP 陷阱目的地,则编辑该目标将失败并显示以下错误消息:

    • “检索 SNMP 陷阱时出错”

    [NSHELP-31661]

  • 在高可用性设置中,HA 配置同步后,辅助节点上的加密配置会丢失。

    [NSHELP-30897]

已知问题

13.0-89.7 版本中存在的问题。

身份验证、授权和审核

  • 如果为没有处理 SSO 所需的承载令牌的流量启用 SSO,则单点登录 (SSO) 将失败。

    [NSHELP-31362]

  • 将 LDAP 操作配置为 FQDN 而不是 IP 地址时,nsvpn.log 中会记录非 ASCII 字符。

    [NSHELP-27281]

  • 在某些情况下,如果策略名称长于 Intranet 应用程序名称,则绑定身份验证、授权和审核组命令可能会失败。

    [NSHELP-25971]

  • 在基于 401 的身份验证流程中,当 NOAUTH 配置为第一个因素并将协商配置为后续因素时,Citrix ADC 设备将转储核心。

    [NSHELP-25203]

  • 如果 LDAP、RADIUS 或 TACACS 服务的管理员密码包含双引号 (“) 字符,Citrix ADC 设备会在“测试连接”检查期间将其删除,从而导致连接失败。

    [NSHELP-23630]

  • 如果在 Citrix ADC 设备上启用了内容安全策略 (CSP) 功能,DUO 身份验证将失败。

    [NSAUTH-12687]

  • 管理员无法对因凭证无效而发生的身份验证失败执行自定义日志记录。之所以出现此问题,是因为 Citrix ADC 响应程序策略无法检测到登录失败的错误。

    [NSAUTH-11151]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
    show adfsproxyprofile <profile name>

    解决方法:连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

Citrix ADC SDX 设备

  • 升级 Citrix ADC SDX 设备时,在极少数情况下,管理服务 GUI 中会出现以下错误事件:

    “SVM 版本和虚拟机管理程序版本不兼容”

    [NSHELP-32949]

  • 在 Citrix ADC SDX GUI 上,如果 NTP 配置文件 (ntp.conf) 的任何一行中只有空格,则显示 NTP 服务器可能会冻结用户界面。

    [NSHELP-31530]

Citrix Gateway

  • 当 Citrix Secure Access 相关的注册表值大于 1500 个字符时,日志收集器将无法收集错误日志。

    [NSHELP-33457]

  • 对于没有管理权限的用户,Citrix Secure Access 客户端(版本 21.7.1.2 及更高版本)无法升级到更高版本。仅当通过 Citrix ADC 设备完成 Citrix Secure Access 客户端升级时,此问题才适用。

    [NSHELP-32793]

  • 当用户单击适用于 Windows 的 Citrix Secure Access 屏幕上的“主页”选项卡时,该页面会显示连接被拒绝的错误。

    [NSHELP-32510]

  • 在使用 Chrome 的 Mac 设备上,VPN 扩展程序在访问两个 FQDN 时崩溃。

    [NSHELP-32144]

  • Citrix Secure Access 客户端的调试日志控制现在独立于 Citrix Gateway,可以从插件 UI 中为计算机和用户通道启用或禁用它。

    [NSHELP-31357、CGOP-21192]

  • 如果配置了“始终打开”,则由于 aoservice.exe 文件中的版本号 (1.1.1.1) 不正确,用户通道将失败。

    [NSHELP-30662]

  • 将“networkAccessOnVPNFailure”始终开启配置文件参数从“fullAccess”更改为“onlyToGateway”后,用户无法连接到 Citrix Gateway 设备。

    [NSHELP-30236]

  • 网关插件成功建立 VPN 通道后,不会立即显示网关主页。要修复此问题,引入了以下注册表值。

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    类型:DWORD

    默认情况下,不设置或添加此注册表值。当“SecureChannelResetTimeoutSeconds”的值为 0 或未添加时,处理延迟的修复不起作用,这是默认行为。管理员必须在客户端上设置此注册表才能启用此修复(即在网关插件成功建立 VPN 通道后立即显示主页)。

    [NSHELP-30189]

  • Windows VPN 客户端不接受来自服务器的“SSL 关闭通知”警报,而是在同一连接上发送转移登录请求。

    [NSHELP-29675]

  • 如果 macOS 钥匙串中没有客户端证书,则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

    [NSHELP-28551]

  • 有时,设置客户端空闲超时后,用户会在几秒钟内注销 Citrix Gateway。

    [NSHELP-28404]

  • 在处理服务器启动的 UDP 流量时,Citrix Gateway 设备可能会崩溃。

    [NSHELP-27611]

  • 如果异步被阻止并且您修改了内容交换策略配置,Citrix Gateway 设备可能会崩溃。

    [NSHELP-27570]

  • 如果在会话策略中设置了未知的 VPN 客户端选项,Citrix Gateway 设备可能会崩溃。

    [NSHELP-27380]

  • 使用 Citrix ADC GUI 创建 RDP 客户端配置文件时,满足以下条件时会显示错误消息:

    • 配置了默认的预共享密钥 (PSK)。
    • 您尝试在 RDP Cookie 有效性(秒)字段中修改 RDP Cookie 有效性计时器。

    [NSHELP-25694]

  • Gateway Insight 不会显示有关 VPN 用户的准确信息。

    [ NSHELP-23937 ]

  • “show tunnel global”命令输出包括高级策略名称。以前,输出不显示高级策略名称。

    示例:

    新输出:

    show tunnel global
    策略名称:ns_tunnel_nocmp 优先级:0

    策略名称:ns_adv_tunnel_nocmp 类型:高级策略
    优先级:1
    全局绑定点:REQ_DEFAULT

    策略名称:ns_adv_tunnel_msdocs 类型:高级策略
    优先级:100
    全局绑定点:RES_DEFAULT
    完成

    上一个输出:

    show tunnel global
    策略名称:ns_tunnel_nocmp 优先级:0 已禁用

    高级策略:

    全局绑定点:REQ_DEFAULT 绑定策略
    数量:1

    完成

    [NSHELP-23496]

  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [NSHELP-21897]

  • 在 Citrix ADC GUI 上的预身份验证策略和身份验证操作的表达式编辑器下拉列表中未列出 Windows 操作系统选项。但是,如果您已经使用 GUI 或 CLI 在之前的 Citrix ADC 版本上配置了 Windows 操作系统扫描,则升级不会影响该功能。如果需要,您可以使用 CLI 进行更改。

    解决方法:

    使用 CLI 命令进行配置。

    • 要在 nFactor 身份验证中配置高级 EPA 操作,请使用以下命令。
      add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
    • 要配置经典的预身份验证操作,请使用以下命令。
      add aaa preauthenticationaction win_scan_action ALLOW
      add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action

    [CGOP-22966]

  • 在 Citrix ADC 群集设置中,不能同时启用 HDX Insight 和 Gateway Insight。

    [CGOP-22849]

  • Gateway Insight 中不会报告因 STA 票证无效而导致的应用程序启动失败。

    [CGOP-13621]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [CGOP-13584]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

    [CGOP-13511]

  • 在接受来自浏览器的本地主机连接时,无论选择哪种语言,macOS 的“接受连接”对话框都会显示英语内容。

    [CGOP-13050]

  • Citrix SSO 应用程序 > 主页中的文本“主页”在某些语言中被截断。

    [CGOP-13049]

  • 从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

    [CGOP-11830]

  • 在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外,页面变得无响应。

    [CGOP-7269]

负载平衡

  • 在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

    [NSLB-7679]

  • 在某些情况下,绑定到服务组的服务器会显示无效的 Cookie 值。您可以在跟踪日志中看到正确的 cookie 值。

    [NSHELP-21196]

  • 在群集设置中,通过 GSLB 虚拟服务器绑定访问 GSLB 服务 IP 地址时,GUI 中不显示 GSLB 服务 IP 地址。这只是一个显示问题,对功能没有影响。

    [NSHELP-20406]

其他

  • Citrix ADC 设备将 Web 服务器日志记录功能的缓冲区大小设置为错误的默认值 3MB 而不是 16MB。

    [NSHELP-32429]

  • 如果注册表值大于 2000 字节,AlwaysOnAllow 列表注册表将无法按预期工作。

    [NSHELP-31836]

  • Citrix ADC CPX 实例在具有 64 位架构和 1 TB 文件存储空间的 Linux 系统上运行,现在可以加载证书和密钥文件。

    [NSHELP-28986]

网络连接

  • 在 Citrix ADC BLX 设备中,绑定到带标签的非 dpdk 接口的 NSVLAN 可能无法按预期运行。与未标记的非 dpdk 接口绑定的 NSVLAN 可以正常工作。

    [NSNET-18586]

  • 带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

    • 禁用
    • 启用
    • 重置

    [NSNET-16559]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件(“/etc/blx/blx.conf”)设置如何,Citrix ADC BLX 设备始终以共享模式部署。之所以出现此问题,是因为基于 Debian 的 Linux 系统上默认存在的“mawk”无法运行“blx.conf”文件中存在的一些 awk 命令。

    解决方法:在安装 Citrix ADC BLX 设备之前安装“gawk”。可以在 Linux 主机 CLI 中运行以下命令来安装“gawk”:

    • apt-get 安装 gawk

    [NSNET-14603]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

    “以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”

    解决方法:在安装 Citrix ADC BLX 设备之前,在 Linux 主机 CLI 中运行以下命令:

    • dpkg — 添加架构 i386
    • apt-get 更新
    • apt-get 安装 libc6: i386

    [NSNET-14602]

  • 在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

    • LSN 模块在减少引用计数或删除服务时找不到服务。

    [NSHELP-29134]

  • 在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

    • 因为过滤条目过时。

    [NSHELP-28895]

  • 在大规模 NAT44 部署中,Citrix ADC 设备在接收 SIP 流量时可能会崩溃,原因如下:

    • LSN 模块访问了已删除服务的内存位置。

    [NSHELP-28815]

  • 在高可用性设置中,如果满足以下条件,启用了动态路由的 SNIP 地址在重启时不会暴露给 VTYSH:

    • 启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN。

    作为修复的一部分,Citrix ADC 设备现在不允许将启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN

    [NSHELP-24000]

平台

  • 高可用性故障转移在 AWS 和 GCP 云中不起作用。管理 CPU 在 AWS 和 GCP 云中可能达到其 100% 的容量,而 Citrix ADC VPX 本地容量可能会达到 100%。这两个问题都是在满足以下条件时引起的:

    1. 在 Citrix ADC 设备的首次启动期间,您不会保存提示的密码。
    2. 随后,您重新启动 Citrix ADC 设备。

    [NSPLAT-22013]

  • 当您将 Citrix ADC 设备从 13.1-4.x 版本及更高版本降级到以下任何版本时,某些 python 软件包未安装:

    • 任何 11.1 版本
    • 12.1-62.21 及更早版本
    • 13.0-81.x 及更早版本

    [NSPLAT-21691]

  • 在 Citrix ADC SDX 8015/8400/8600 平台上,您可能会看到 Xen Server 的内存消耗增加。
    解决方法:在 Xen Server 上运行以下命令,然后重新启动设备。
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [NSHELP-32260]

  • 在 Citrix ADC VPX HA 故障转移期间,如果您在未将 IPset 绑定到任何 IP 地址的情况下配置 IPset,则在 AWS 云中移动弹性 IP 地址将失败。

    [NSHELP-29425]

  • 当 RPC 节点的密码包含特殊字符时,GCP 和 AWS 云上的 Citrix ADC VPX 实例的高可用性故障转移将失败。

    [NSHELP-28600]

策略

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法: 将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

SSL

  • 当虚拟服务器收到带有无效填充的 TLS 1.3 记录时,它会发送致命的“decode_error”警报,而不是“unexpected_message”警报。

    [NSSSL-11890]

  • 在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

    解决方法:

    1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
    2. 保存配置。

    [NSSSL-9572]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
    ERROR: crl refresh disabled

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

系统

  • 在 Citrix ADC 设备中,HTTP 配置文件中“maxHeaderFieldLen”参数的默认值会导致以下问题。

    • 升级到 13.0 版本后出现流量故障。

    [NSHELP-32079]

  • 如果满足以下条件,则 TCP 连接的 RTT 为高:

    • 设置了较高的最大拥塞窗口 (>4 MB)
    • TCP NILE 算法已启用

    要使 Citrix ADC 设备使用 NILE 算法进行拥塞控制,条件必须超过慢速启动阈值,再加上最大拥塞窗口

    因此,在达到配置的最大拥塞窗口之前,Citrix ADC 会继续接受数据并最终获得高 RTT。

    [NSHELP-31548]

  • 满足以下条件时,Citrix ADC 设备可能会崩溃:

    • 分析配置文件和 AppFlow 策略均已绑定,并且配置文件启用了“httpAllHdrs”选项。

    [NSHELP-30628]

  • Citrix ADC 设备在服务 SYN 泛洪计数器上报告虚假的 SNMP 警报。

    [NSHELP-28710、NSHELP-28713]

  • 如果禁用了链接集,则在公有云 MPTCP 群集部署中,数据包重传会增加。

    [NSHELP-27410]

  • Citrix ADC 设备可能会在 MPTCP 连接上发送无效的 TCP 数据包以及 TCP 选项,例如 SACK 块、时间戳和 MPTCP 数据 ACK 确认。

    [NSHELP-27179]

  • 在 Citrix ADC 设备和数据加载器中观察到 Logstream 记录不匹配。

    [NSHELP-25796]

  • 在某些情况下,如果应用基于 IP 地址的过滤器,nstrace 数据包捕获会丢失所有数据包。

    [NSHELP-23483]

  • 在 Kubernetes 群集上安装 Citrix ADM 时,它无法按预期工作,因为所需的进程可能无法启动。

    解决办法:重新启动“管理”窗格。

    [NSBASE-15556]

  • 在群集配置中,具有 CCO 优先级的节点由于网络问题而与 Open vSwitch (OVS) 断开连接。节点重新加入群集配置后,不会收到最新的 SYN cookie。

    [NSBASE-14419]

用户界面

  • 创建/监视 CloudBridge Connector 向导可能会变得无响应或无法配置 CloudBridge连接器。

    解决方法: 使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge Connector。

    [NSUI-13024]

  • 使用 Citrix ADC GUI(系统 > 网络 > 路由)修改静态路由可能会错误地失败并显示以下错误消息:

    • “缺少必填参数 [网关]”

    [NSHELP-32024]

  • 在 HA/群集设置中,如果您配置了 RSA 以外的 SSH 密钥,则配置同步会失败。例如,ECDSA 或 DSA 密钥。

    [NSHELP-31675]

  • 在 Citrix ADC 设备中,使用 GUI 界面绑定缓存策略以覆盖全局或默认全局失败,并显示以下错误:

    • 缺少必需的参数。

    使用 CLI 界面绑定缓存策略时未出现此错误。

    [NSHELP-30826]

  • 由于升级安装顺序不正确,Citrix ADC 设备中会出现以下问题。

    • 首先更新内核映像,然后在几个步骤之后复制加密密钥。在这些步骤之间,会发生一些故障,ADC 设备会生成一个新映像。新映像中缺少加密密钥会导致解密失败和配置丢失。

    [NSHELP-30755]

  • Citrix ADC GUI 可能会错误地生成仅包含一个节点而不是所有群集节点的群集技术支持包。

    [NSHELP-28606]

  • 使用 Citrix ADC GUI 生成群集技术支持包可能会失败并显示错误。

    [NSHELP-28586]

  • 将高可用性设置或群集设置升级到版本 13.0 build 74.14 或更高版本后,配置同步可能由于以下原因而失败:

    • “ssh_host_rsa_key”私钥和公钥对都不正确。

    解决方法:重新生成“ssh_host_rsa_key”。有关详细信息,请参阅 https://support.citrix.com/article/CTX322863

    [NSHELP-27834]

  • 您无法使用 Citrix ADC GUI 将服务或服务组绑定到优先级负载平衡虚拟服务器。

    [NSHELP-27252]

  • 在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

    • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

    解决方法:仅在 HA 同步完成后才执行连续的手动高可用性故障转移(两个节点均处于同步成功状态)。

    [ NSHELP-25598 ]

  • 有时,应用程序防火墙签名需要很长时间才能同步到非 CCO 节点。因此,使用这些文件的命令可能会失败。

    [NSCONFIG-4330]

  • 如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

    1. 将 Citrix ADC 设备升级到其中一个版本
      • 13.0 52.24 Build
      • 12.1 57.18 Build
      • 11.1 65.10 Build
    2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    3. 将 Citrix ADC 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表:
    在命令提示符处,键入:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    解决方法:要修复此问题,请使用以下独立选项之一:

    • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
    • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
    • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

    有关更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Citrix ADC 13.0-89.7 版本的发行说明