Citrix ADC

Citrix ADC 13.1—12.51 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 Build 13.1—12.51 中存在的增强功能和更改、已修复和已知问题。

构建 13.1—12.51 取代了构建 13.1—12.50。

此版本还包括针对以下问题的修补程序:NSWAF-8668。

备注

本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。

新增功能

内部版本 13.1—12.51 中提供的增强功能和更改。

身份验证、授权和审核

支持最新版本的 Intune NAC API

Citrix Gateway 对 Intune 网络访问控制 (NAC) 的支持现已针对最新版本的 Intune NAC API 进行了增强。

[NSAUTH-9722]

支持使用连接代理进行 nFactor 身份验证的 GSLB 主动-主动部署

现在添加了对使用连接代理进行 nFactor 身份验证的 GSLB 主动-主动部署的支持。此支持适用于 Citrix Gateway 和身份验证、授权和审核方案。 目前,如果在 nFactor 身份验证中配置了各种因素,并且为 GSLB 配置了网关,则如果客户端请求落在不同的 GSLB 站点上,身份验证可能会中断。

例如,如果将 LDAP 配置为第一因素,并将 RADIUS 配置为第二因素,则在以下情况下身份验证可能会中断。

  • 客户端对 LDAP 的请求登陆到 GSLB 站点 1 上。
  • Radius 请求登陆了 GSLB 站点 2。 连接代理现在用于将请求路由到正确的 GSLB 站点,以完成身份验证和提供流量。

[NSAUTH-7141]

Citrix ADC SDX 设备

在 Citrix ADC SDX 设备上,管理服务会在后台轮询 Citrix ADC 实例以进行操作,例如 SSL 证书、网络功能和配置审核。现在,您可以根据需要启用和禁用此轮询。禁用此轮询可提高管理服务和 ADC 实例的性能。

[NSSVM-4991]

Citrix Web App Firewall

JSON 安全检查(SQL、CMD 和 XSS)的详细日志记录

Citrix ADC 设备现在允许您为日志违规详细信息配置详细日志级别参数,例如用于 JSON 安全检查的模式、模式负载和 HTTP 标头详细信息。然后,日志详细信息将发送到 Citrix ADM 服务器以进行监视和故障排除。详细日志消息不存储在 ns.log 文件中。

[NSWAF-8269]

弃用 Web App Firewall 经典版审核日志策略

要全局绑定 Web App Firewall 策略,现在可以在 bind audit syslogGlobalbind audit nslogGlobal 命令中配置新的全局绑定类型 APPFW_GLOBAL。全局绑定的审核日志策略在 Web App Firewall 日志记录上下文中进行评估。

[NSWAF-406]

负载平衡

重写 MQTT 协议的策略支持

重写功能现在支持 MQTT 协议。您可以将重写策略配置为根据 MQTT 客户端请求和服务器响应中的参数执行操作。

[NSLB-8661]

服务的优先顺序

服务优先级顺序功能使您能够根据负载平衡选择首选项确定服务或服务组的优先顺序。现在,当您将服务或服务组绑定到 LB 或 GSLB 虚拟服务器时,可以配置服务选择顺序。绑定命令中添加了一个新参数 -order <number> 用于配置服务选择首选项。

默认情况下,最低订单号的优先级最高。但是,您可以推迟此默认选择行为。使用新的 LB 操作和策略命令,您现在可以根据传入的客户端流量配置服务选择顺序。

服务的优先级顺序功能使用较少的配置命令来模仿主虚拟服务器链和备份虚拟服务器链功能的行为。

[NSLB-8039]

网络连接

将客户端 IP 地址插入无会话负载平衡配置的 IP 隧道外部报头中

在具有以下设置的无会话负载平衡配置中,封装器 Citrix ADC 设备使用 SNIP 地址而不是客户端 IP 地址作为 IP 隧道外部标头中的源 IP。

  • 负载平衡虚拟服务器:

  • 重定向模式 (m):IP 隧道
  • 无会话:已启用

  • IP 隧道全局参数:

  • 使用客户端源 IP 地址 (useClientSourceIP):已启用

但是,在某些情况下,隧道解封器(后端 Citrix ADC 或后端服务器)需要知道客户端的 IP 地址。

为了满足此要求,封装器 Citrix ADC 设备现在使用客户端 IP 地址作为 IP 隧道外部标头中的源 IP。

有关详细信息,请参阅 使用 IP over IP 在 DSR 模式下配置负载平衡

[NSNET-21804]

平台

VMware ESXi 映像可启动至虚拟硬件版本 13

默认情况下,从 VMware ESXi 映像(12.1 版起)部署 Citrix ADC VPX 实例时,虚拟机会提供硬件版本 13。

[NSPLAT-21416]

Citrix Hypervisor 上支持英特尔以太网控制器 X710 和 XL710 系列

现在,您可以使用单根 I/O 虚拟化 (SR-IOV) 使用以下网卡配置在 Citrix Hypervisor 上运行的 Citrix ADC VPX 实例:

  • Intel X710 10G
  • Intel XL710 40G

[NSPLAT-21410]

使用 AWS 共享 VPC 使用专用 IP 地址部署 VPX 高可用性对

现在,您可以使用 AWS 共享虚拟私有云 (VPC) 跨不同 AWS 区域使用专用 IP 地址部署 VPX 高可用性对。VPC 共享允许多个 AWS 帐户在集中管理的共享 VPC 中创建其应用程序资源。您可以在 AWS 共享 VPC 中创建 Citrix ADC VPX 实例。共享 VPC 减少了您创建和管理的 VPC 的数量,同时使用单独的帐户进行账单和访问控制。

[NSPLAT-21401]

SSL

基于JA3 SSL指纹检测恶意软件的新表达式

添加了一个新的 SSL 表达式 CLIENT.SSL.JA3_FINGERPRINT,该表达式通过将请求与配置的 JA3 指纹进行比较来帮助识别任何恶意请求。

示例: add ssl policy ja3_pol -rule "CLIENT.SSL.JA3_FINGERPRINT.EQ(bb4c15a90e93a25ddc16274395bce4c6)" -action reset

[NSSSL-10156]

支持群集中的证书捆绑包

群集设置中现在支持证书捆绑包。

[NSSSL-9854]

支持 SSL 证书捆绑包

证书捆绑包功能已得到增强,可将捆绑包视为实体。因此,无需为每个中间证书创建文件。两个证书捆绑包现在可以共享中间证书链的一部分。您还可以使用同样属于证书捆绑包的相同服务器证书和密钥来添加证书密钥对。此外,还简化了证书捆绑包的移除。

之前,添加证书捆绑包在配置中添加了多个命令。如果两个捆绑包共享一个公用中间证书,则无法添加其他证书捆绑包。移除也是一个手动过程。

[NSSSL-9425]

系统

在 13.1 版本中删除了与 html 注入相关的命令。此更改将删除所有后端代码。

[NSBASE-14742]

已修复的问题

内部版本 13.1—12.51 中解决的问题。

身份验证、授权和审核

如果配置了电子邮件 OTP,Citrix ADC 设备将崩溃。

[NHELP-29312]

本机 OTP 加密工具不允许在设备名称中使用特殊字符。

[NHELP-28795]

当您登录到 Citrix ADC 设备时,当满足以下两个条件时,将显示一个空白的密码字段。

  • 配置了 Duo 双重身份验证
  • 使用了 rfWebUI 门户网站主题

[NHELP-27868]

如果满足以下条件,则拒绝访问服务:

  • 该服务绑定到身份验证虚拟服务器。
  • 401 身份验证是在服务和服务绑定到的虚拟服务器上配置的。

[NHELP-26903]

在极少数情况下,如果满足以下条件,高可用性设置中的辅助节点可能会崩溃。

  • aaa groups 和/或 aaa users 在 Citrix ADC 设备上配置。

[NSHELP-26732]

如果 LDAP、RADIUS 或 TACACS 服务的管理员密码包含双引号 (“) 字符,Citrix ADC 设备会在 Test Connectivity 检查期间将其删除,从而导致连接失败。

[NHELP-23630]

Citrix ADC SDX 设备

在 Citrix ADC SDX 14000-40G、15000 和 15000-50G 平台上,使用 CLI 设置接口速度失败。

[NHELP-29388]

在 Citrix ADC SDX 平台上托管的 ADC 实例上更改配置文件时,您可能会注意到日志文件中 save config 命令的一些额外条目。

[NHELP-29343]

在 Citrix ADC SDX 设备上,在管理服务中运行的 SNMP 代理为不存在的 OID 返回错误的错误代码。

[NSHELP-29209]

现在,如果数据记录总数少于5000,则可以跨页对ADC事件表中的数据进行排序。

[NHELP-29170]

Citrix Gateway

如果配置了 EPA 且没有足够的内存可用,Citrix ADC 设备可能会崩溃。

[NHELP-28329]

如果目录最初不存在 /var/netscaler/logonPoint/custom/,则升级后不会创建目录 /var/netscaler/logonPoint/custom/。

[NHELP-28223]

你可能会在 ns_aaa_json.c 文件中看到 NS_AUDITLOG_STR* 日志的额外一行。

[NHELP-28160]

建立 VPN 连接后,DNS 注册不起作用。

要解决此问题,必须启用 nsapimgr knob, nsapimgr_wr.sh -ys call=toggle_vpn_configured_dns_disable_override。

[NHELP-27760]

有时,在转移登录过程中,Intranet IP 子网在客户端显示不正确。

[NHELP-26904]

启用 L7 延迟后,会话的 ICA 延迟在 Citrix Director 中被错误地记录为 64,000 毫秒。当 nsapimgr 旋钮 enable_ica_l7_latency 设置为 1 时,将启用 L7 延迟。

[NHELP-23459]

当用户登录到 Citrix Gateway 设备并访问 ICA 应用程序时,网关智能分析日志文件中充斥着以下消息。

GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero Oct 25 23:01:31 <local0.err> 10.217.24.1Oct 25 23:01:31 <local0.err> 10.217.24.101 10/26/2021:06:01:31 GMT NSGWTHDR 0-PPE-0 : default SSLVPN Message 10491736 0 : GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero

[CGOP-19685]

Citrix Gateway 门户企业书签功能仅支持以下协议。所有其他书签都将被阻止。http://https://rdp://ftp://

[CGOP-19543]

Citrix Web App Firewall

如果您使用的是 WAF 签名,则在升级构建后,必须将所有 WAF 签名(包括默认签名)更新为最新版本。然后,重新启用所需的签名规则。

[NSWAF-8668]

在某些情况下,当机器人管理系统中自动生成陷阱 URL 时,Citrix ADC 设备可能会崩溃。

[NHELP-29339]

负载平衡

由于失败的命令中缺少 ENUM 值,GSLB 服务组无法处理监视器更新。

[NSHELP-29050]

Citrix ADC 设备在尝试释放与其释放的分区不同的分区中分配的内存时崩溃。

[NHELP-29038]

如果父域可用 ZONE 类型的 DNS 记录,则查询具有现有 NS 记录的子域将生成父域 SOA 记录,而不是子域 NS 记录。

[NHELP-28793]

如果按以下方式配置 GSLB 虚拟服务器,Citrix ADC 设备可能无法使用预期的 GSLB 服务 IP 地址响应 GSLB 域查询: 持久性类型:源 IP 地址 负载平衡算法:静态邻近 备份负载平衡方法:回合行程时间 (RTT)

[NSHELP-28668]

如果使用通配符端口,负载平衡或基于 GSLB 域的 AutoScale 服务组状态将保持为 DOWN。

[NHELP-28548]

对于绑定到 GSLB 服务组的监视器,最后的响应消息显示不正确。

[NHELP-28393]

CookieTimeOut 值在 GET 操作期间设置不正确,导致 CS 虚拟服务器更新操作失败。

[NHELP-27979]

处理 mysql 类型监视器的监视器探测时,Citrix ADC 设备可能会失败,最终导致系统重新启动。

[NHELP-27953]

其他

Citrix ADC CPX 实例在具有 64 位架构和 1 TB 文件存储空间的 Linux 系统上运行,现在可以加载证书和密钥文件。

[NHELP-28986]

对于 IDNA2008 标准域,URL 集模式匹配失败。

[NSHELP-28902]

为 VXLAN 启用基于 MAC 的转发 (MBF) 时,没有建立有状态的 TCP 会话。

[NSHELP-27125]

网络连接

如果满足以下条件,升级具有管理分区的 Citrix ADC 设备可能会导致一些配置丢失:

  • 如果将整个可用系统内存分配给管理分区。

[NSNET-23031]

LIMITATIONS -

VLAN ID 2 保留供内部使用

VLAN ID 2 保留给在网桥和无模式下部署的内部使用。Citrix ADC CPX 将除 0/1 以外的所有接口绑定到 VLAN ID 2,并且 VLAN ID 2 的 MTU(最大传输单位)设置为 eth0 接口的 MTU。如果要配置 VLAN 并与其绑定接口,如果接口 MTU 小于 1500 字节,请将 VLAN 上的 MTU 设置为 Linux 上配置的接口的 MTU。

[NSNET-22807]

如果 Web 应用程序防火墙配置文件配置了高级安全保护检查,则处于 DPDK 模式的 Citrix ADC BLX 设备可能会崩溃。

[NSNET-22654]

如果满足以下条件,Citrix ADC 设备可能会在为相关服务创建监视器探测时崩溃:

  • 具有至少有一个 IPv4 地址但没有 IPv6 地址的 IP 集的网络配置文件。网络配置文件绑定到设置为 IPv6 服务的监视器。
  • 具有至少有一个 IPv6 地址但没有 IPv4 地址的 IP 集的网络配置文件。网络配置文件绑定到监视器,监视器设置为 IPv4 服务。

[NHELP-29382]

在 Citrix ADC 设备中,内存分配失败后,被动 FTP 数据连接可能会丢失。

[NHELP-26522]

平台

如果使用 VMXNET3 驱动程序的 Citrix ADC VPX 实例在以下 Citrix ADC 版本之一上运行,则该实例可能会随机崩溃:

  • Citrix ADC 13.1 Build 4.x
  • Citrix ADC 13.1 Build 9.x

[NSHELP-29120]

策略

在以下情况下,Citrix ADC 设备可能会崩溃:

  • 审计消息操作使用字符串生成器表达式进行配置,并将一个或多个 REGEX 函数应用于请求正文。
  • 配置了流式处理选项的应用程序防火墙配置文件。

例如,HTTP.REQ.BODY(10000000).REGEX_SELECT(re/name=[^\r\n]*[\r\n]+/)。

[NHELP-27895]

SSL

如果已在请求绑定点绑定的策略将策略操作设置 Forward 为,则 Citrix ADC 设备在处理 HTTP 请求时崩溃。

[NSHELP-29115]

如果执行以下步骤,Citrix ADC 设备将崩溃:

  1. 添加了 SSL 类型的监视器。
  2. 证书密钥对已绑定到监视器。
  3. 显示器已拆除。
  4. 添加了另一台同名的监视器。
  5. 证书密钥对已更新。

[NHELP-28666]

现在,将显示 SAN 证书中的所有 IP 地址。之前只显示了 SAN 证书中所有 IP 地址的最后一个 SAN IP 地址。

[NHELP-27336]

如果将 DH 密码与外部 HSM 配合使用,SSL 握手将失败。

[NHELP-25307]

系统

当 Citrix ADC 设备从客户端收到 HTTP/2 GOWAY 帧时,它会错误地重置流 ID 大于承诺 ID(最后一个对等项启动的流标识符)的所有流。

[NHELP-29328]

在 Citrix ADM 上,由于 ADM 代理中的问题,ADM 代理可能会报告内存使用率过高。

[NHELP-29285]

满足以下所有条件时,Citrix ADC 设备会崩溃:

  • 具有服务器 IP 地址的内容检查操作将使用服务的内部数据(如果已配置)。
  • 因此,在删除 CI 操作时,服务的内部数据也会被删除。
  • 删除实际服务后,Citrix ADC 设备将尝试访问并删除已删除的内部数据。

[NHELP-28293]

在具有管理分区的 Citrix ADC 设备中, nstrace 实用程序可能无法在非默认分区中正常运行

[NSBASE-15738]

在群集配置中,具有 CCO 优先级的节点由于网络问题而与 Open vSwitch (OVS) 断开连接。节点重新加入群集配置后,不会收到最新的 SYN cookie。

[NSBASE-14419]

用户界面

配置了池容量的集群模式下的 ADC 实例将关闭。如果在群集节点中配置了主机名,并且节点在启动时需要更多时间连接到 ADM 许可证服务器,就会出现此问题。

[NHELP-28613]

Citrix ADC GUI 可能会错误地生成仅包含一个节点而不是所有群集节点的群集技术支持包。

[NHELP-28606]

使用 Citrix ADC GUI 生成群集技术支持包可能会失败并显示错误。

[NHELP-28586]

在 Citrix ADC CLI 界面中,如果在命令提示符下键入命令时按 <Tab> 键,则不会自动填充绑定命令的选项。

例如,键入以下命令,当使用 <Tab> 密钥时,不会自动填充对象。

bind authentication vserver <authvservername> -policy <Tab>.

在这里,身份验证虚拟服务器可以绑定到多种对象类型,例如 radius 策略、Idappolicy、cert 策略、TACAS 策略、高级身份验证策略等。

[NSCONFIG-6340]

已知问题

13.1—12.51 版中存在的问题。

AppFlow

HDX Insight 不会报告因用户尝试启动用户无权访问的应用程序或桌面而导致的应用程序启动失败。

[NSINSIGHT-943]

身份验证、授权和审核

在某些情况下,如果 SSO 功能与代理服务器一起使用,则 Citrix ADC 设备中会观察到内存泄漏。

[NSHELP-27744]

Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

[NSHELP-563]

DualAuthPushOrOTP.xml 登录架构未正确显示在 Citrix ADC GUI 的登录架构编辑器屏幕中。

[NSAUTH-6106]

可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。 show adfsproxyprofile <profile name>

解决方法:

连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

[NSAUTH-5916]

如果执行以下步骤,Citrix ADC GUI 上的配置身份验证 LDAP 服务器页面将无响应:

  • 测试 LDAP 可达性选项已打开。
  • 填充并提交了无效的登录凭据。
  • 将填充并提交有效的登录凭据。

解决方法:

关闭并打开 “测试 LDAP 可达性” 选项。

[NSAUTH-2147]

缓存

如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

[NSHELP-22942]

Citrix ADC SDX 设备

在 Citrix ADC SDX 设备上,如果 CLAG 是在 Mellanox 网卡上创建的,则当 VPX 实例重新启动时,CLAG MAC 将更改。VPX 实例的流量在重启后停止,因为 MAC 表包含旧的 CLAG MAC 条目。

[NSSVM-4333]

在 Citrix ADC SDX 设备上,配置突增吞吐量分配模式时,ADC 实例不会突增至最大容量。

[NSHELP-27477]

如果满足以下条件,则会在 Citrix ADC SDX 设备上托管的 VPX 实例上看到丢包:

  • 吞吐量分配模式为突发。
  • 吞吐量和最大突增容量之间存在很大差异。

[NSHELP-21992]

Citrix Gateway

在某些情况下,当服务器证书受信任时,服务器验证代码会失败。因此,最终用户无法访问网关。

[NSHELP-28942]

有时,断开 VPN 连接后,DNS 解析器无法解析主机名,因为在 VPN 断开连接期间会删除 DNS 后缀。

[NSHELP-28848]

如果 macOS 钥匙串中没有客户端证书,则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

[NSHELP-28551]

有时,设置客户端空闲超时后,用户会在几秒钟内注销 Citrix Gateway。

[NSHELP-28404]

Windows 插件可能会在身份验证期间崩溃。

[NSHELP-28394]

适用于 Windows 的 EPA 插件不使用本地计算机配置的代理,而是直接连接到网关服务器。

[NSHELP-24848]

Gateway Insight 不会显示有关 VPN 用户的准确信息。

[NSHELP-23937]

如果满足以下条件,VPN 插件在 Windows 登录后不会建立隧道:

  • Citrix Gateway 设备已配置为 “始终开启” 功能
  • 设备配置为使用双因素身份验证的基于证书的身份验证 off

[NSHELP-23584]

有时在浏览模式时,会出 Cannot read property 'type' of undefined 现错误消息。

[NSHELP-21897]

如果您想在 Windows 登录功能之前使用始终开启 VPN,建议升级到 Citrix Gateway 13.0 或更高版本。这使您能够利用版本 13.0 中引入的 12.1 版本中没有的其他增强功能。

[CGOP-19355]

Gateway Insight 中不会报告因 STA 票证无效而导致的应用程序启动失败。

[CGOP-13621]

Gateway Insight 在 SAML 错误失败的“身份验证类型”字段中报告错误地显示了值 Local 而非 SAML

[CGOP-13584]

在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

[CGOP-13511]

在接受来自浏览器的本地主机连接时,macOS 的 “ 接受连接 ” 对话框会以英语显示内容,而不考虑所选的语言。

[CGOP-13050]

对于某些语言,Citrix SSO 应用程序 > 主页中的文本 Home Page 会被截断。

[CGOP-13049]

从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

[CGOP-11830]

在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”将显示 严重错误 对话框。此外,页面变得无响应。

[CGOP-7269]

在群集部署中,如果在非 CCO 节点上运行 force cluster sync 命令,ns.log 文件将包含重复的日志条目。

[CGOP-6794]

负载平衡

在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

[NSLB-7679]

服务组 entityofs 陷阱中的 ServiceGroupName 格式如下所示: <service(group)name>?<ip/DBS>?<port>

在陷阱格式中,服务组由 IP 地址或 DBS 名称和端口标识。问号 (?) 用作分隔符。Citrix ADC 发送带有问号 (?) 的陷阱。该格式在 Citrix ADM GUI 中显示的内容相同。这是预期的行为。

[NSHELP-28080]

其他

在高可用性设置中进行强制同步时,设备将在辅助节点中执行 set urlfiltering parameter 命令。 因此,辅助节点将跳过任何计划的更新,直到 TimeOfDayToUpdateDB 参数中提到的下一个计划时间为止。

[NSSWG-849]

如果 URL 筛选第三方供应商出现连接问题,Citrix ADC 设备可能会由于管理 CPU 停滞而重新启动。

[NSHELP-22409]

网络连接

从 Citrix ADC BLX 设备 13.0 61.x 版本升级到 13.0 64.x 版本后,BLX 配置文件上的设置将丢失。然后,BLX 配置文件将重置为默认值。

[NSNET-17625]

带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

  • 禁用
  • 启用
  • 重置

[NSNET-16559]

在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件 (/etc/blx/blx.conf) 设置如何,Citrix ADC BLX 设备始终以共享模式部署。出现此问题的原因是 mawk,在基于 Debian 的 Linux 系统上默认存在,它没有运行 blx.conf 文件中存在的某些 awk 命令。

解决方法:

gawk 在安装 Citrix ADC BLX 设备之前进行安装。您可以在 Linux 主机 CLI 中运行以下命令进行安装 gawk

  • apt-get 安装 gawk

[NSNET-14603]

在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

解决方法:

在安装 Citrix ADC BLX 设备之前,请在 Linux 主机 CLI 中运行以下命令:

  • dpkg — 添加架构 i386
  • apt-get 更新
  • apt-get dist-upgrade
  • apt-get 安装 libc6: i386

[NSNET-14602]

在某些 FTP 数据连接情况下,Citrix ADC 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。

[NSNET-5233]

在高可用性设置中,如果两个节点之间的 HA 版本不匹配,则动态路由不会同步到辅助节点。如果辅助节点的可访问性取决于动态路由,则无法访问辅助节点。

作为修复,即使在HA版本不匹配的情况下,动态路由也会同步到辅助节点。

[NHELP-28326]

在 Citrix ADC 设备中更改管理分区内存限制时,TCP 缓冲内存限制将自动设置为管理分区新内存限制。

[NSHELP-21082]

平台

高可用性故障转移在 AWS 和 GCP 云中不起作用。管理 CPU 在 AWS 和 GCP 云中可能达到其 100% 的容量,而 Citrix ADC VPX 本地容量可能会达到 100%。这两个问题都是在满足以下条件时引起的:

  1. 在 Citrix ADC 设备的首次启动期间,您不会保存提示的密码。
  2. 随后,您重新启动 Citrix ADC 设备。

[NSPLAT-22013]

当您从 13.0/12.1/11.1 版本升级到 13.1 版本或从 13.1 版本降级到 13.0/12.1/11.1 版本时,Citrix ADC 设备上未安装某些 python 软件包。以下 Citrix ADC 版本的此问题已修复:

  • 13.1-4.x
  • 13.0-82.31 及更高版本
  • 12.1-62.21 及更高版本

当您将 Citrix ADC 版本从 13.1-4.x 降级到以下任何版本时,不会安装 python 软件包:

  • 任何 11.1 版本
  • 12.1-62.21 及更早版本
  • 13.0-81.x 及更早版本

[NSPLAT-21691]

在运行版本 13.1 的 Citrix ADC SDX 设备上,配置版本为 12.0 XVA 的 VPX 实例失败。

仅支持 VPX 12.1 及更高版本。在将 SBI 升级到版本 13.1 之前,请先升级 VPX 版本。

[NSPLAT-21442]

在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第二个节点和 CLIP 上存在 CLAG MAC 不匹配:

  • CLAG 是在 Mellanox 网卡上创建的。
  • 您将另一个 VPX 实例添加到集群和 CLAG 设置。

因此,到 VPX 实例的流量会停止。

[NSPLAT-21049]

在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第一个节点会因为 CLIP 和 MAC 表上的 MAC 地址不匹配而关闭:

  • CLAG 是在 Mellanox 网卡上创建的。
  • 从群集中删除第二个节点。

[NSPLAT-21042]

从 Azure 资源组中删除自动缩放设置或 VM 比例集时,请从 Citrix ADC 实例中删除相应的云配置文件配置。使用命 rm cloudprofile 令删除配置文件。

[NSPLAT-4520]

在 Azure 上的高可用性设置中,通过 GUI 登录到辅助节点时,将显示用于自动缩放云配置文件配置的首次用户 (FTU) 屏幕。 解决办法:跳过屏幕,然后登录主节点以创建云配置文件。云配置文件应始终在主节点上配置。

[NSPLAT-4451]

策略

如果处理数据的大小超过配置的默认 TCP 缓冲区大小,则连接可能会挂起。解决办法:将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

[NSPOLICY-1267]

SSL

在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

解决方法:

  1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
  2. 保存配置。

[NSSSL-9572]

更新命令不适用于以下添加命令:

  • 添加天蓝色应用
  • 添加天蓝色密钥库
  • 使用 hsmkey 选项添加 ssl 证书密钥

[NSSSL-6484]

如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

[NSSSL-6478]

您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

[NSSSL-6213]

如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。 错误:crl 刷新已禁用

[NSSSL-6106]

会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

[NSSSL-4427]

如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会 Warning: No usable ciphers configured on the SSL vserver/service, 显示不正确的警告消息。

[NSSSL-4001]

在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。

[NSSSL-3184]

系统

如果设备没有从客户端收到 max_concurrent_stream 设置帧,则默认情况下, MAX_CONCURRENT_STRE AMS 值设置为 100。

[NSHELP-21240]

mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。

[NSHELP-10972]

在处理大量的 grPC 流量时,TCP 通告窗口呈指数级增长,导致高内存使用率。

[NSBASE-15447]

当为 Insight 配置 LogStream 传输类型时,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 将反转。

[NSBASE-8506]

用户界面

对于 MQTT 重写功能,无法使用 GUI 中的表达式编辑器删除表达式。

解决方法:

通过 CLI 使用 MQTT 类型的添加或编辑操作命令。

[NSUI-18049]

在 Citrix ADC GUI 中, Dashboard 选项卡下显示的 Help 链接已断开。

[NSUI-14752]

创建/监控 CloudBridge Connector 向导可能会变得无响应或无法配置 cloudbridge 连接器。

解决方法:

通过使用 Citrix ADC GUI 或 CLI 添加 IPsec 配置文件、IP 隧道和 PBR 规则来配置云桥连接器。

[NSUI-13024]

如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。

[NSUI-6838]

在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

  • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

解决方法:

仅在 HA 同步完成后执行连续的手动 HA 故障切换(两个节点都处于同步成功状态)。

[NSHELP-25598]

将 Citrix ADC 设备版本 13.0-71.x 降级到较早版本时,由于文件权限更改,某些 Nitro API 可能无法正常工作。

解决方法:

将权限更 /nsconfig/ns.conf 改为 644。

[NSCONFIG-4628]

如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

  1. 将 Citrix ADC 设备升级到其中一个版本:
  • 13.0 52.24 构建
  • 12.1 57.18 构建
  • 11.1 65.10 构建
  1. 添加系统用户或更改现有系统用户的密码,然后保存配置,
  2. 将 Citrix ADC 设备降级为任何较旧的版本。

要使用 CLI 显示这些系统用户的列表: 在命令提示符下键入:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

解决方法:

要解决此问题,请使用以下独立选项之一:

  • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
  • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
  • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

[NSCONFIG-3188]

Citrix ADC 13.1—12.51 版本的发行说明