This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Citrix ADC 13.0-92.21 版本的发行说明
本发行说明文档介绍了 Citrix ADC 版本 Build 13.0-92.21 中存在的增强和更改、已修复和已知问题。
备注
- 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
- Build 13.0-92.21 及更高版本解决了 https://support.citrix.com/article/CTX584986 中描述的安全漏洞。
- Build 13.0-92.21 取代了 13.0-92.19。
- 除了先前 Citrix ADC 13.0 发行版本中存在的增强功能和已修复的问题外,该版本还包括一项增强功能:NSBASE-18564。
- 版本 13.0-92.19 及更高版本可解决 https://support.citrix.com/article/CTX579459 中描述的安全漏洞。
- Build 13.0-92.19 取代了 Build 13.0-92.18。
新增功能
Build 13.0-92.21 中提供的增强功能和更改。
NetScaler Secure Web Gateway
-
在 URL 过滤功能中弃用 URL 分类
在此版本中,URL 过滤功能中的 URL 分类已过时。
注意:不推荐使用的功能不会立即移除。Citrix ADC 将继续保留已弃用的功能,直到在未来的版本中将其删除。
[NSSWG-1370]
系统
-
限制一分钟内连接上收到的 HTTP/2 RESET 帧的数量
现在,您可以限制一分钟内在 HTTP/2 连接上收到的 HTTP/2 重置帧的数量。如果重置帧的数量超过配置的限制,Citrix ADC 将以静默方式丢弃该连接上的数据包。
通过此增强功能,当攻击者打开多个 HTTP/2 流并通过发送 RESET STREAM 帧立即取消这些流时,您可以缓解 HTTP/2 DoS 攻击。
有关更多信息,请参阅 HTTP/2 DoS 缓解。
[NSBASE-18564]
用户界面
-
“显示签名筛选条件”视图页面中的 CVE 筛选器类别
CVE 作为类别之一添加到“签名”视图 页面的“显示筛选条件”列表中。使用 CVE 作为筛选选项,在右侧的“筛选结果”窗口中仅查看与日志相关的详细信息。
有关更多信息,请参阅配置或修改签名对象。
[NSUI-18512,NSCXLCM-616]
-
基于内部服务的 TLS 1.2 设置的安全 RPC 通信
将 Citrix ADC 设备升级到 13.1 版本 33.x 及更高版本或 13.0 版本 92.x 及更高版本后,从以下版本之一中启用或禁用 RPC 节点的“安全”选项将根据内部 RPCS 和 KRPCS 服务的 TLS 1.2 设置(启用或禁用)启用或禁用。
- 版本 13.0 build 64.35 或更早版本
- 版本 12.1 版本 61.18 或更早版本
如果启用了“安全”选项,则将在以下设置的 Citrix ADC 节点之间加密 RPC 通信:
- 高可用性
- 群集
- GSLB
“安全”选项使用安全协议 TLS1.2 和端口号 3008 和 3009 进行 Citrix ADC 节点之间的 RPC 连接。
为确保 RPC 通信的安全,Citrix 建议在升级这些设置之前执行以下操作:
- 必须为内部 RPCS 和 KRPCS 服务启用 TLS 1.2:
- nsrpcs-127.0.0.1-3008
- nskrpcs-127.0.0.1-3009
- nsrpcs-::1l-3008
- 必须在 Citrix ADC 节点之间的防火墙中解除阻止 3008 和 3009。
您可以使用 Citrix ADC CLI 或 GUI 启用或禁用安全选项。
有关更多信息,请参阅 更改 RPC 节点密码。
[NSCONFIG-6485]
已修复的问题
Build 13.0-92.21 中解决的问题。
分析基础结构
-
如果满足以下所有条件,Citrix ADC 可能会崩溃:
- 在分析配置文件或 AppFlow 参数中启用事件、审核日志或指标。
- 配置了响应端重写策略。
[NSHELP-35550]
-
在非默认流量域中配置网络配置文件并在 AppFlow 配置中使用时,系统端口将耗尽,流量会受到影响。
[NSHELP-34544]
-
配置了多因素身份验证的 Citrix ADC 在策略评估期间崩溃。
[NSHELP-33674]
-
如果在管理分区中配置了 rest 类型的 AppFlow 收集器,Citrix ADC 设备可能会崩溃。
[NSHELP-33600]
-
当满足以下两个条件时,
show syslogAction
命令将在输出中显示未解析的 IP 地址:- 在传输模式下使用带有域名的 SYSLOG 操作 UDP。
- 服务器上的 ICMP 已被禁用。
出现此问题的原因是,由于无法通过 ICMP 访问服务器,ping-default 监视器将服务标记为关闭。因此,即使 IP 地址已解析,也不会显示在输出中。
[NSHELP-32886,NSHELP-33392]
-
即使审核日志级别设置为 none,
ns.log
文件也会生成调试日志,因此超过了配置的文件大小限制。之所以出现此问题,是因为高级策略绑定到本地日志记录,即使不是必需的。[NSHELP-32404、NSCXLCM-1374、NSCXLCM-1551、NSCXLCM-1708]
-
在群集环境中,当系统日志策略绑定到 lb 虚拟服务器时,Citrix ADC 可能会看到 nsppe 崩溃。
[NSHELP-30983,NSANINFRA-21]
-
在夏令时期间,syslog 消息中的时间戳不正确。
[NSHELP-30137]
机器人管理
-
在极少数情况下,当使用设备指纹检测技术时,网页可能无法加载。
[NSHELP-34742]
-
当设备指纹操作设置为 LOG、RESET 或 REDIRECT 时,机器人设备指纹会话重播攻击就会被丢弃。
[NSBOT-1117]
CallHome
-
即使该功能已禁用,Call Home 也会向 Citrix ADC 技术支持服务器发送遥测数据。
[NSHELP-33240]
Citrix ADC SDX 设备
-
在 Citrix ADC SDX FIPS 上,当您在 VPX 上执行添加或编辑操作时,会出现以下错误:
“未定义 is_fips_enabled”
[NSSVM-5786]
-
对使用 25G、40G 或 100G 端口创建 LACP 信道的最大吞吐量检查验证失败。
[NSHELP-35743]
-
在极少数情况下,由于某些字段(例如 IP 地址)中存在垃圾值,Citrix ADC SDX 可能会崩溃且无法访问。
[NSHELP-34925]
Citrix Gateway
-
有时,配置了 VPN 和 AppFlow 的 Citrix ADC 可能会崩溃,从而导致 HA 故障转移。
[NSHELP-35734,NSCXLCM-1247]
-
当您尝试使用移动浏览器在无客户端 VPN 模式下访问应用程序时,Citrix Gateway 主页可能无法枚举这些应用程序。
[NSHELP-35541、NSCXLCM-1132、NSCXLCM-1212、NSCXLCM-1248、NSCXLCM-1774]
-
在 Citrix Gateway 上配置高级无客户端 VPN 访问时,可能无法从已添加书签的 URL 加载页面。
[ NSHELP-33771 ]
-
有时,当您通过 Citrix Gateway 建立 VPN 连接时,您会被重定向到主页,URL 中的文本不正确。当使用 RfWebUI 门户主题配置 Citrix ADC 时,就会出现此问题。
[NSHELP-30097,NSCXLCM-481]
-
为特定用户添加的 RDP 书签将显示给未将这些 URL 添加为书签的其他用户。
[NSHELP-29904]
-
在处理服务器启动的 UDP 流量时,Citrix Gateway 设备可能会崩溃。
[NSHELP-27611]
-
创建 EULA 实体时,文本将作为单行显示在 Citrix Gateway 的 RfWebUI 门户主题上。出现此问题是由于 HTML
<br>
换行符标记。在 EULA 文本中,<br>
所有 HTML 标签以及暂时禁用。您可以尝试使用“n”添加换行符。[CGOP-24534]
Citrix Web App Firewall
-
当 Web App Firewall 配置文件中的“VerboseLogLevel”设置为“patternPayloadHeader”时,Citrix ADC 可能会崩溃。
[NSHELP-35915]
-
在极少数情况下,当配置的内存不足且使用 Web App Firewall 配置文件时,Citrix ADC 可能会崩溃。
[NSHELP-35463]
-
由于 HTTP 标头信息无效,Citrix ADC 设备可能会崩溃。满足以下条件时会出现此问题:
- 在 HTTP 请求正文中出现 SQL/XSS 冲突。
- 详细日志记录设置为“patternPayloadHeader”。
[NSHELP-35297,NSCXLCM-1127]
-
Citrix ADC 报告的 Web Application Firewall 请求计数器数量大于请求计数器总数,这是因为 XML 请求的请求计数器会增加两次。
[NSHELP-34591]
负载平衡
-
在 HA 设置中,当满足以下条件时,DNS 服务器可能会间歇性地为 GSLB 域查询发送空响应:
- 持久性是在 GSLB 虚拟服务器上配置的。
- 配置了大量的负载平衡部署。
- 发生 HA 故障转移。
[NSHELP-35981]
-
在流量域部署中,当 netprofile 绑定到 DNS 虚拟服务器时,DNS 查询的负载平衡可能会失败。
[NSHELP-35675]
-
在极少数情况下,当满足以下条件时,Citrix ADC 设备可能会崩溃并生成核心转储:
- 基于 TCP 的 DNS 监视探测器用于监视后端服务。
- 设备内存不足。
[NSHELP-35289]
-
NTLM 监视器不支持以下选项:
- 由 NTLM 版本 1 和版本 2 配置的监视器进行并行探测。
- 当“scriptArg”参数中的 URL 解析为不同的 IP 地址时,将探测定向到服务器的 IP 地址。
- NTLM 版本 2.
[NSHELP-35185]
-
如果绑定到用户监视器的服务超过 30 个,则绑定到用户监视器的服务可能会间歇性不可用。
[NSHELP-34669,NSCXLCM-1373]
-
在八个或更多节点的群集设置中,速率限制标识符功能可能无法按预期运行。
[NSHELP-34555]
-
即使服务已绑定到服务器,“show server name”命令也会将服务状态显示为未知。
[NSHELP-33668]
-
当满足以下条件时,Citrix ADC 可能会崩溃:
- 负载平衡虚拟服务器在多个分区中配置了重定向 URL。
- 触发内存恢复。
[NSHELP-33638、NSCXLCM-227、NSCXLCM-509]
-
在某些情况下,如果将 DNS 重写策略配置为 DROP 操作,则会在 Citrix ADC 设备中观察到内存泄漏。
[NSHELP-33077]
-
由于服务器数量的计算错误,Citrix ADC 设备针对服务器连接频率触发了错误的 SNMP 警报。
[NSHELP-31582]
其他
-
当 Citrix ADC 在传入的 HTTP 请求中删除 NetScaler 生成的 Cookie 然后再将其发送到上游 HTTP 服务器时,上游服务器可能会拒绝该请求。之所以出现此问题,是因为删除 Cookie 名称/值对可能会导致 cookie 标头字段不符合 HTTP 协议规范。
[NSHELP-35855]
-
当满足以下条件时,Citrix ADC 可能会崩溃:
- EDT 上有活跃的 ICA 连接。
- 添加了 IP 地址和端口号与 Citrix VDA 相同的 UDP 服务。
- Citrix Gateway 和 Citrix VDA 之间存在连接问题。
[NSHELP-35637]
-
当辅助节点收到待处理的数据包时,配置了 HDX Insight 的 Citrix ADC 可能会重启。
[NSHELP-34152]
-
在 Citrix Gateway 上启用了 ICA 代理的 Citrix ADC 可能会在双跳 DMZ 部署中崩溃。
[NSHELP-33369]
-
在群集模式 Citrix ADC 部署中,当“仅限 ICA”参数设置为“开”时,即使启用了强制超时设置,Citrix Gateway 也会间歇性地无法断开用户会话的连接。
[NSHELP-33014]
-
在极少数情况下,Citrix ADC 设备在 VPN 部署中获取 STA 监视器时可能会崩溃。
[NSHELP-32893]
-
Citrix ADC 设备将 Web 服务器日志功能的缓冲区大小设置为错误的默认值,即 3 MB 而不是 16 MB。
[NSHELP-32429]
-
当 EDT ICA 连接启动时,Citrix ADC 崩溃。当 HDX Insight 的 AppFlow 分析配置文件绑定到 VPN 虚拟服务器时,就会出现此问题。
[GOPHDX-5014]
网络连接
-
在高可用性设置中,当满足以下所有条件时,节点的状态至少需要 60 秒才能变为 UP:
- HA 设置已启用故障安全功能
- 已在多个接口上启用 HA 监视
- 其中一个启用 HA 监视的接口变得无法访问
- 至少有一个 HA 监视接口可以访问
现在,通过此修复,当所有这些条件都满足时,节点的状态会立即变为 UP。
[NSHELP-32157]
SSL
-
如果 Citrix ADC 上的内存使用率很高并且配置经常被清除,Citrix ADC 可能会在删除默认 CA 证书组时崩溃。
[NSHELP-35441]
-
您可能会在 Citrix ADC 上看到 DTLS 流量积聚了大量内存,因为在处理来自客户端的重新传输的握手时内存未正确释放。
[NSHELP-35359、NSCXLCM-999、NSCXLCM-1968]
-
在混合模式下运行的 Citrix ADC MPX/SDX 14000 FIPS 上,在密钥交换过程中收到损坏的数据后,密钥存储器可能会被重置。
[NSHELP-35020]
-
如果在密钥交换期间使用 DH 512 密码,则包含 Intel Coleto 或 Intel Lewisburg 芯片的 Citrix ADC 设备可能会崩溃。
[NSHELP-34094]
-
如果在 SSL 握手中交换的客户端、服务器和 CA 证书的总大小超过 16K 限制,则在流量过大的情况下,您可能会受到短暂的性能影响。
[NSHELP-33905]
-
在具有 SSL_TCP(前端)虚拟服务器和 TCP(后端)服务的 Citrix ADC 部署中,客户端请求可能会间歇性地失败。之所以出现故障,是因为 Citrix ADC 会转发前端收到的 SSL 客户端问候消息,但后端无法处理该消息,请求失败。
[NSHELP-32806]
系统
-
在极少数情况下,启用前端优化 (FEO) 功能后,Citrix ADC 可能会崩溃。
[NSHELP-34861]
-
当后端服务器针对 HTTP 请求发送 464 错误时,Citrix ADC 不会将该错误转发给客户端,因此客户端的连接将停止。
[NSHELP-33571,NSCXLCM-1098]
-
当配置有 SSL 服务的 Citrix ADC 设备收到 TCP FIN 控制数据包后接收 TCP RESET 控制数据包时,该设备会崩溃。
[ NSHELP-31656 ]
-
满足以下条件时,gRPC 客户端无法解析 gRPC 状态标头:
- gRPC 状态标头同时添加到前导标头和尾部标头中,而不是仅在尾部标头中添加。
[NSHELP-31640]
用户界面
-
在使用 GUI 创建 HTTP_QUIC 虚拟服务器时,您无法选择 HTTP 配置文件。之所以出现此问题,是因为在创建 HTTP_QUIC 虚拟服务器时禁用了 HTTP 配置文件。
[NSUI-18816]
-
如果同一个用户绑定到两个不同的分区,则会错误地计算用户会话。这两个分区可以是默认分区、非默认分区或两者兼而有之。
[NSHELP-34971]
-
使用 Citrix ADC GUI 上载地理定位数据库时,由于吞吐量低,可能会出现超时错误。
[NSHELP-34677]
-
HTTPD 守护程序在处理 NITRO API 批量绑定 HTTP GET 请求时遇到异常时可能会崩溃。
[NSHELP-34399]
-
当用户查看内容交换策略上的绑定时,内容交换虚拟服务器的详细信息不会显示在“显示绑定”下的同一行中。
[NSHELP-33149]
-
当保存的配置和运行的配置之间存在巨大差异时,Citrix ADC UI 上会出现以下错误:
“获取配置时出错”
[NSHELP-32752]
-
NITRO Python SDK 按名称调用失败,以下资源出现错误消息“赋值前引用了局部变量’响应’”:
-
appfwhtmlerrorpage
-
appfwjsonerrorpage
-
appfwprotofile
-
appfwsignatures
-
appfwwsdl
-
appfwxmlerrorpage
-
appfwxmlschema
-
botsignature
-
responderhtmlpage
[NSHELP-32525]
-
-
使用 Citrix ADC GUI(系统 > 网络 > 路由)修改静态路由可能会错误地失败并显示以下错误消息:
- “缺少必填参数 [网关]”
[NSHELP-32024]
-
当您在 Citrix ADC 上配置管理分区功能并在辅助节点分区内持续执行配置命令时,使用
save ns config
命令在辅助节点分区上保存配置可能会失败。[NSHELP-31663]
-
在 Citrix ADC GUI 上,“已保存与正在运行”配置屏幕(系统 > 诊断)错误地显示 HTML 标签而不是显示纯文本。
[NSHELP-27169]
-
与命令界面相比,Citrix ADC GUI 显示的缓存对象数量较少。
[NSHELP-24337]
已知问题
13.0-92.21 版本中存在的问题。
分析基础结构
-
在群集部署中,当您在该节点上执行“强制群集同步”或“重新启动”操作时,非 CCO 节点不会将 TCP 系统日志消息发送到外部 syslog 服务器。
[NSHELP-32925]
-
满足以下条件时,Citrix ADC 设备可能会崩溃:
- 分析配置文件和 AppFlow 策略均已绑定,并且配置文件启用了“httpAllHdrs”选项。
[NSHELP-30628]
-
在 Citrix ADC 设备和数据加载器中观察到日志流记录不匹配。
[NSHELP-25796]
-
在 Kubernetes 群集上安装 Citrix ADM 时,它无法按预期工作,因为所需的进程可能无法启动。
解决方法 :重新启动“管理”窗格。
[NSANINFRA-1504]
身份验证、授权和审核
-
当椭圆曲线证书全局绑定到 VPN 时,配置了 OAuth 身份验证策略的 Citrix ADC 可能会崩溃。
[NSHELP-34795]
-
当同时有大量传入请求时,Kerberos SSO 可能会失败。
[NSHELP-34177]
-
在群集 Citrix ADC 部署中,您无法将分配操作绑定到身份验证策略。
[NSHELP-33974]
-
在非默认分区中使用身份验证虚拟服务器时,Citrix ADC 设备可能会崩溃。
[NSHELP-32054、NSCXLCM-640、NSCXLCM-1577]
-
如果为没有处理 SSO 所需的承载令牌的流量启用 SSO,则单点登录 (SSO) 将失败。
[NSHELP-31362,NSCXLCM-533]
-
升级适用于 iOS 的 Citrix SSO 后,您收到的用于身份验证的推送通知可能没有声音。
[NSHELP-27525]
-
当 LDAP 操作配置为 FQDN 而不是 IP 地址时,将在 nsvpn.log 中记录非 ASCII 字符。
[NSHELP-27281]
-
在某些情况下,如果策略名称长于 Intranet 应用程序名称,则绑定身份验证、授权和审核组命令可能会失败。
[NSHELP-25971]
-
在基于 401 的身份验证流程中,当 NOAUTH 配置为第一个因素并将协商配置为后续因素时,Citrix ADC 设备将转储核心。
[NSHELP-25203]
-
如果 LDAP、RADIUS 或 TACACS 服务的管理员密码包含双引号 (“) 字符,Citrix ADC 设备会在“测试连接”检查期间将其删除,从而导致连接失败。
[NSHELP-23630]
-
满足以下条件时,Citrix ADC 会崩溃:
- 基于 401 的证书身份验证通过负载平衡虚拟服务器进行。
- 没有绑定到身份验证虚拟服务器的身份验证策略。
- 调试日志已启用。
[NSAUTH-13259]
-
管理员无法对因凭据无效而发生的身份验证失败执行自定义日志记录。之所以出现此问题,是因为 Citrix ADC 响应程序策略无法检测到登录失败的错误。
[NSAUTH-11151]
-
可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
show adfsproxyprofile <profile name>
解决方法:连接到群集中的主活动 Citrix ADC 并运行
show adfsproxyprofile <profile name>
命令。它将显示代理配置文件状态。[NSAUTH-5916]
Citrix ADC SDX 设备
-
升级 Citrix ADC SDX 设备时,在极少数情况下,管理服务 GUI 中会出现以下错误事件:
“SVM 版本和 Hypervisor 版本不兼容”
[NSHELP-32949]
-
在 Citrix ADC SDX GUI 上,如果 NTP 配置文件 (ntp.conf) 的任何一行中只有空格,则显示 NTP 服务器可能会冻结用户界面。
[NSHELP-31530]
Citrix Gateway
-
如果异步被阻止并且您修改了内容交换策略配置,Citrix Gateway 设备可能会崩溃。
[NSHELP-27570]
-
如果在会话策略中设置了未知的 VPN 客户端选项,Citrix Gateway 设备可能会崩溃。
[NSHELP-27380]
-
使用 Citrix ADC GUI 创建 RDP 客户端配置文件时,满足以下条件时会显示错误消息:
- 配置了默认的预共享密钥 (PSK)。
- 您尝试在 RDP Cookie 有效性(秒)字段中修改 RDP Cookie 有效性计时器。
[NSHELP-25694]
-
show tunnel global
命令输出包括高级策略名称。以前,输出不显示高级策略名称。示例:
新输出:
show tunnel global
策略名称:ns_tunnel_nocmp 优先级:0策略名称:ns_adv_tunnel_nocmp 类型:高级策略
优先级:1
全局绑定点:REQ_DEFAULT策略名称:ns_adv_tunnel_msdocs 类型:高级策略
优先级:100
全局绑定点:RES_DEFAULT
完成上一个输出:
show tunnel global
策略名称:ns_tunnel_nocmp 优先级:0 已禁用高级策略:
全局绑定点:REQ_DEFAULT 绑定策略
数量:1完成
[NSHELP-23496]
-
有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。
[NSHELP-21897]
-
在 Citrix ADC GUI 上的预身份验证策略和身份验证操作的表达式编辑器下拉列表中未列出 Windows 操作系统选项。但是,如果您已经使用 GUI 或 CLI 在之前的 Citrix ADC 版本上配置了 Windows 操作系统扫描,则升级不会影响该功能。如果需要,您可以使用 CLI 进行更改。
解决方法:
使用 CLI 命令进行配置。
- 要在 nFactor 身份验证中配置高级 EPA 操作,请使用以下命令。
add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)” - 要配置经典的预身份验证操作,请使用以下命令。
add aaa preauthenticationaction win_scan_action ALLOW
add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action
[CGOP-22966]
- 要在 nFactor 身份验证中配置高级 EPA 操作,请使用以下命令。
-
从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。
[CGOP-11830]
-
在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示一个严重错误对话框。此外,页面变得无响应。
[CGOP-7269]
负载平衡
-
在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。
[NSLB-7679]
- 满足以下一系列条件后,当您引用基于域名的服务 (DBS) 时,Citrix ADC 可能会崩溃:
- 为 DBS 域名解析到的 IP 地址配置了位置条目。
- DBS 域名被移除,导致域名服务器发出 NXDOMAIN 响应。
- 位置条目已删除。
[NSHELP-35370]
-
在 HA 设置中,当辅助节点重新启动时,静态邻近数据库可能无法加载。
[NSHELP-35271]
-
HA 故障转移后,即使在持久性超时时间过期之后,也不会从主节点中删除持久性会话条目。会话条目将一直保留,直到辅助节点启动并运行。
[NSHELP-34378]
-
满足以下条件时,辅助 Citrix ADC 可能会崩溃:
- 在高可用性设置中,大量负载平衡服务器配置了负载平衡组。
- 同步进行时,将在负载平衡组中的一个负载平衡服务器上执行设置操作。
[NSHELP-34225]
-
在 HA 设置中,当绑定到多个虚拟服务器的服务组被删除时,Citrix ADC 设备会崩溃。
[NSHELP-34029]
-
由于检索速率限制记录和记录老化过程之间的时间问题,Citrix ADC 可能会崩溃。
[ NSHELP-33349 ]
-
在连接镜像期间,当重写策略大于 30 字节时,Citrix ADC 设备会崩溃。
[NSHELP-32902]
-
在 GSLB 设置中,从属站点缺少 SSL 证书。如果启用了自动同步选项,并且从属站点拥有主站点上不可用的 SSL 证书,则会出现此问题。
[NSHELP-29309]
-
在某些情况下,绑定到服务组的服务器会显示无效的 Cookie 值。您可以在跟踪日志中看到正确的 cookie 值。
[NSHELP-21196]
-
在群集设置中,通过 GSLB 虚拟服务器绑定访问 GSLB 服务 IP 地址时,GUI 中不显示 GSLB 服务 IP 地址。这只是一个显示问题,对功能没有影响。
[NSHELP-20406]
其他
-
在 Citrix ADC 设备上运行
ns_hw_err.bash
脚本时,会出现以下错误消息:
error: can't open file 'ns_hw_plugins.py': [Errno 2] No such file or directory
[NSHELP-32991]
-
Citrix ADC CPX 实例在具有 64 位架构和 1 TB 文件存储空间的 Linux 系统上运行,现在可以加载证书和密钥文件。
[NSHELP-28986]
-
在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。
[GOPHDX-1050]
NetScaler Secure Web Gateway
-
在极少数情况下,Citrix ADC 可能会在数据包捕获期间崩溃。当 PCB 结构中的 TCP 配置文件变量为空值时,可能会出现此问题。
[NSHELP-36081]
网络连接
-
在 Citrix ADC BLX 设备中,绑定到带标签的非 dpdk 接口的 NSVLAN 可能无法按预期运行。与未标记的非 dpdk 接口绑定的 NSVLAN 可以正常工作。
[NSNET-18586]
-
带有 DPDK 的 Citrix ADC BLX 设备上的 Intel
X710 10G (i40e)
接口不支持以下接口操作:- 禁用
- 启用
- 重置
[NSNET-16559]
-
在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件(“/etc/blx/blx.conf”)设置如何,Citrix ADC BLX 设备始终以共享模式部署。之所以出现此问题,是因为基于 Debian 的 Linux 系统上默认存在的“mawk”无法运行“blx.conf”文件中存在的一些 awk 命令。
解决方法:在安装 Citrix ADC BLX 设备之前安装“gawk”。可以在 Linux 主机 CLI 中运行以下命令来安装“gawk”:
- apt-get 安装 gawk
[NSNET-14603]
-
在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:
“以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”
解决方法:在安装 Citrix ADC BLX 设备之前,在 Linux 主机 CLI 中运行以下命令:
- dpkg — 添加架构 i386
- apt-get 更新
- apt-get 安装 libc6: i386
[NSNET-14602]
-
删除其中一个管理分区时,Citrix ADC 也可能删除其他分区的数据包缓冲区。因此,当您删除已删除数据包缓冲区的分区时,Citrix ADC 可能会崩溃。
[NSHELP-35595]
-
在高可用性设置中,修改辅助节点时,如果在 HA 同步过程中从节点中移除路由,则辅助节点会崩溃。
[NSHELP-34927]
-
在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:
- LSN 模块在减少引用计数或删除服务时找不到服务。
[NSHELP-29134]
-
在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:
- 因为过滤条目过时。
[NSHELP-28895]
-
在大规模 NAT44 部署中,Citrix ADC 设备在接收 SIP 流量时可能会崩溃,原因如下:
- LSN 模块访问了已删除服务的内存位置。
[NSHELP-28815]
-
在高可用性设置中,如果满足以下条件,启用了动态路由的 SNIP 地址在重启时不会暴露给 VTYSH:
- 启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN。
作为修复的一部分,Citrix ADC 设备现在不允许将启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN
[NSHELP-24000]
平台
-
高可用性故障转移在 AWS 和 GCP 云中不起作用。管理 CPU 在 AWS 和 GCP 云中可能达到其 100% 的容量,而 Citrix ADC VPX 本地容量可能会达到 100%。这两个问题都是在满足以下条件时引起的:
- 在 Citrix ADC 设备的首次启动期间,您不会保存提示的密码。
- 随后,您重新启动 Citrix ADC 设备。
[NSPLAT-22013, NSCXLCM-544]
-
当您将 Citrix ADC 设备从 13.1-4.x 版本及更高版本降级到以下任何版本时,某些 python 软件包未安装:
- 任何 11.1 版本
- 12.1-62.21 及更早版本
- 13.0-81.x 及更早版本
[NSPLAT-21691]
-
您无法再使用传统 SSL 协议(例如 SSLv3、TLS 1.0 和 TLS 1.1)访问托管在 Citrix ADC SDX 上的 Citrix Hypervisor。
[NSHELP-33196]
-
在 Citrix ADC SDX 8015/8400/8600 平台上,您可能会看到 Xen Server 的内存消耗增加。
解决方法:在 Xen Server 上运行以下命令,然后重新启动设备。
/opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”[NSHELP-32260]
-
在 Citrix ADC VPX HA 故障转移期间,如果您在未将 IPset 绑定到任何 IP 地址的情况下配置 IPset,则在 AWS 云中移动弹性 IP 地址将失败。
[NSHELP-29425]
-
当 RPC 节点的密码包含特殊字符时,GCP 和 AWS 云上的 Citrix ADC VPX 实例的高可用性故障转移将失败。
[NSHELP-28600]
策略
-
在 Citrix ADC GUI 中,只有在 AppExpert > 重写 > 操作中单击“显示内置重写”操作时,才能看到重写操作。
[NSPOLICY-4843]
-
如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。
解决办法:将 TCP 缓冲区大小设置为需要处理的数据的最大大小。
[NSPOLICY-1267]
-
在 HA 设置中,如果配置了 ALL 选项和空的替换字符串,REGEX_REPLACE 表达式可能会进入循环,从而导致故障转移。
[NSHELP-34640]
SSL
-
当虚拟服务器收到带有无效填充的 TLS 1.3 记录时,它会发送致命的“decode_error”警报,而不是“unexpected_message”警报。
[NSSSL-11890]
-
在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。
解决方法:
- 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,
set ssl vserver <name> -SSL3 DISABLED
。 - 保存配置。
[NSSSL-9572]
- 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,
-
如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。
[NSSSL-6478]
-
您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。
[NSSSL-6213]
-
如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
ERROR: crl refresh disabled[NSSSL-6106]
-
会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)
[NSSSL-4427]
-
如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。
[NSSSL-4001]
-
如果对等服务器协商的密码与最初协商的密码不同,则包含 Intel Coleto 或 Intel Lewisburg 芯片的 Citrix ADC 设备可能会在后端重新协商阶段崩溃。
[NSHELP-34324]
系统
-
同时启用 AppFlow 和 HTTP 压缩功能时,Citrix ADC 可能会发送错误的响应。
[NSHELP-35862]
-
如果满足以下条件,Citrix ADC 可能会停止数据传输:
- 已启用多项功能。
- 多个功能尝试删除 TCP 或 HTTP 有效负载的相同部分。
[NSHELP-33793、NSCXLCM-1512、NSCXLCM-1954]
-
当基于 HTTP 的功能尝试缓冲大量应用程序数据时,Citrix ADC 可能会阻止 HTTP/2 连接上的数据传输。
[NSHELP-32612]
-
如果满足以下条件,则 TCP 连接的 RTT 为高:
- 设置了较高的最大拥塞窗口 (>4 MB)
- TCP NILE 算法已启用
要使 Citrix ADC 设备使用 NILE 算法进行拥塞控制,条件必须超过慢速启动阈值,再加上最大拥塞窗口
因此,在达到配置的最大拥塞窗口之前,Citrix ADC 会继续接受数据并最终获得高 RTT。
[NSHELP-31548]
-
Citrix ADC 设备在服务 SYN 泛洪计数器上报告虚假的 SNMP 警报。
[NSHELP-28710、NSHELP-28713]
-
如果禁用了链接集,则在公有云 MPTCP 群集部署中,数据包重传会增加。
[NSHELP-27410]
-
Citrix ADC 设备可能会在 MPTCP 连接上发送无效的 TCP 数据包以及 TCP 选项,例如 SACK 块、时间戳和 MPTCP 数据 ACK 确认。
[NSHELP-27179]
-
在群集配置中,具有 CCO 优先级的节点由于网络问题而与 Open vSwitch (OVS) 断开连接。节点重新加入群集配置后,不会收到最新的 SYN cookie。
[NSBASE-14419]
用户界面
-
创建/监视 CloudBridge Connector 向导可能会变得无响应或无法配置 CloudBridge 连接器。
解决方法: 使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge Connector。
[NSUI-13024]
-
创建或删除多个分区时,可能会生成重复的分区 ID。因此,在创建分区时可能会出现以下错误。
“分区 ID 已被另一个分区使用”
[NSHELP-35042]
-
在 Citrix Gateway 用户界面上修改授权策略表达式时,“表达式编辑器”下拉列表中不会显示身份验证、授权和审核选项。
[NSHELP-33509]
-
在 HA/群集设置中,如果您配置了 RSA 以外的 SSH 密钥,则配置同步会失败。例如,ECDSA 或 DSA 密钥。
[NSHELP-31675]
-
在 Citrix ADC 设备中,使用 GUI 界面绑定缓存策略以覆盖全局或默认全局失败,并显示以下错误:
- 缺少必需的参数。
使用 CLI 界面绑定缓存策略时未出现此错误。
[NSHELP-30826]
-
由于升级安装顺序不正确,Citrix ADC 设备中会出现以下问题。
- 首先更新内核映像,然后在几个步骤之后复制加密密钥。在这些步骤之间,会发生一些故障,ADC 设备会生成一个新映像。新映像中缺少加密密钥会导致解密失败和配置丢失。
[NSHELP-30755]
-
Citrix ADC GUI 可能会错误地生成仅包含一个节点而不是所有群集节点的群集技术支持包。
[NSHELP-28606]
-
使用 Citrix ADC GUI 生成群集技术支持包可能会失败并显示错误。
[NSHELP-28586]
-
将高可用性设置或群集设置升级到版本 13.0 build 74.14 或更高版本后,配置同步可能由于以下原因而失败:
-
ssh_host_rsa_key
私钥和公钥都是错误的对。
解决办法:重新生成
ssh_host_rsa_key
。有关详细信息,请参阅 https://support.citrix.com/article/CTX322863。[NSHELP-27834]
-
-
您无法使用 Citrix ADC GUI 将服务或服务组绑定到优先级负载平衡虚拟服务器。
[NSHELP-27252]
-
在 Citrix ADC GUI 中查看绑定到内容交换策略标签的策略时,即使绑定到该策略标签的策略更多,也只显示 25 个策略。
[NSHELP-23428]
-
如果满足以下条件顺序,用户可能无法登录降级后的 Citrix ADC 设备:
- 您可以执行以下步骤之一:
- 升级到当前版本后,您可以添加系统用户或更改现有系统用户的密码,然后保存配置。
- 使用当前版本配置新的 Citrix ADC VPX、BLX 或 CPX 实例。
- 将设备降级为以下版本之一:
- 13.1-4.x
- 13.0-82.x 或更早版本
- 12.1-62.x 或更早版本
要查看降级后受影响的用户列表,请在命令提示符下键入:
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
解决方法:重置受影响用户的密码。有关更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html。
注意:如果您要降级之前升级的版本,则在降级时使用先前版本的备份配置文件 (ns.conf) 来避免此问题。[NSCONFIG-8068]
- 您可以执行以下步骤之一:
-
有时,应用程序防火墙签名需要很长时间才能同步到非 CCO 节点。因此,使用这些文件的命令可能会失败。
[NSCONFIG-4330]
-
如果满足以下条件顺序,用户可能无法登录降级后的 Citrix ADC 设备:
- 您可以执行以下步骤之一:
- 升级到当前版本后,您可以添加系统用户或更改现有系统用户的密码,然后保存配置。
- 使用当前版本配置新的 VPX、BLX 或 CPX 实例。
- 将设备降级为以下版本之一:
- 13.0-47.x 或更早版本
- 12.1-56.x 或更早版本
- 11.1-64.x 或更早版本
要查看降级后受影响的用户列表,请在命令提示符下键入:
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
解决办法:重置受影响用户的密码。有关更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html。
注意:如果您要降级之前升级的版本,则在降级时,请使用先前版本的备份配置文件 (ns.conf) 来避免此问题。
[NSCONFIG-3188]
- 您可以执行以下步骤之一:
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.