Citrix ADC

Citrix ADC 13.1—17.42 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 Build 13.1—17.42 中存在的增强功能和更改、已修复和已知问题。

备注

本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。

新增功能

内部版本 13.1—17.42 中提供的增强功能和更改。

机器人管理

支持 IPv6 寻址

Citrix ADC 机器人管理现在支持针对机器人检测技术的互联网协议版本 6 (IPv6) 寻址。

[NSBOT-690]

Citrix Gateway

通过 Citrix Gateway 进行 EDT 的 DF 位传播

Citrix Gateway 设备现在支持 EDT 路径最大传输单元发现 (PMTUD) 功能的 DF 位强制执行。路径 MTU 发现功能有助于在建立 EDT 会话时动态确定最大传输单位 (MTU)。DF 位强制可防止可能导致性能下降或无法建立会话的 EDT 碎片。

在早期版本中,Citrix Gateway 支持 EDT 路径 MTUD,但不支持 DF 位强制。

[CGOP-18438]

Citrix Web App Firewall

增强了对学习多个跨站点脚本 (XSS) 违例的支持

Citrix Web App Firewall 学习过程现已得到增强,可减少跨站脚本攻击中的误报。

启用学习后,您可以了解请求中的所有违规,并有可能一次性将放宽应用于所有标签/属性/模式。以前,您一次只能报告一个违规,并且必须对多个违规重复该过程。

例如,如果负载中有 15 个自定义标签,每个标签都会导致违规,则您可以对第一个违规应用放宽,然后运行请求将另一个自定义标记标记为违规。必须重复该过程才能逐个对所有自定义标记应用放宽。

[NSWAF-7545]

负载平衡

用于启用或禁用 LB 和 GSLB AutoScale 服务组成员的选项

现在,您可以直接启用或禁用 LB 或 GSLB(基于 DNS)AutoScale 服务组的特定成员。因此,现在可以更轻松地管理 LB 或 GSLB(基于 DNS)的 AutoScale 服务组。

以前,您必须启用或禁用整个 LB 或 GSLB AutoScale 服务组才能启用或禁用单个成员。只有非 autoScale 服务组才能选择启用或禁用单个成员。

[NSLB-8109]

网络连接

ISSU 统计信息增强功能

ISSU 统计信息中添加了以下两项增强功能:

  • show migration 操作中添加了一个选项 dumpsession (Dump Session),用于显示旧主节点当前正在服务的现有连接的列表。带有 dumpsession 选项的 show migration 操作只能在新的主节点上运行。
  • show migration 操作(不带任何选项)现在显示与 ISSU 迁移操作相关的以下其他信息:
  • 作为 ISSU 迁移操作的一部分处理的连接总数
  • 作为 ISSU 迁移操作的一部分正在处理的剩余连接数

有关更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/current-release/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html

[NSNET-23577]

使用 SNMP 监控 Citrix ADC 设备上的端口使用情况以进行后端连接

您可以使用 PORT-ALLOC-EXCEED SNMP 警报监视 Citrix ADC 设备上用于后端连接的端口使用情况。

PORT-ALLOC-EXCEED SNMP 警报包括 high-thresholdnormal-threshold 参数,它们以百分比形式指定 Citrix 拥有的 IP 地址的已分配端口总数。例如,如果将 high-threshold 参数设置为 90,Citrix ADC 设备将在发生以下事件时生成并发送陷阱消息:

  • 当后端连接的任何 Citrix ADC 拥有 IP 地址的端口分配百分比超过 90% 时

如果可用端口快要耗尽,SNMP 警报可帮助您决定是否需要更多 Citrix 拥有的 IP 地址。

[NSNET-21719]

GENEVE 协议支持

Citrix ADC 设备现在支持 RFC 8926 中定义的通用网络虚拟化封装 (GENEVE) 协议。

服务器虚拟化和云计算架构增加了数据中心对隔离的二层网络的需求。事实证明,4094 的 VLAN 限制是不够的,因此引入了 VXLAN 和 NVGRE 之类的封装协议来克服这一限制。

这些协议的区别主要在于控制层面的实现。GENEVE 协议没有定义控制平面的规范。协议留给实现来定义控制平面规范。

GENEVE 协议是一种封装技术,旨在通过将二层帧封装在 UDP 数据包中,在三层基础设施上创建二层覆盖网络。每个 VLAN 都由一个名为 VNID 的唯一 24 位标识符标识。只有在同一个分段ID (VNID) 内才能相互通信。

Citrix ADC 设备支持 UDP 端口 6081 上的 GENEVE 封装。

[NSNET-21717]

配置对在专用模式下运行 Citrix BLX 设备的 Linux 主机的 SSH 访问

默认情况下,无法通过设备的专用接口对在专用模式下运行 Citrix BLX 设备的 Linux 主机进行 SSH 访问。

您可以通过 Citrix ADC BLX 设备的专用接口配置对 Linux 主机的 SSH 访问。此功能在以专用模式运行 Citrix BLX 设备的单接口 Linux 主机中非常有用。

您可以使用以下任一类型配置对 Linux 主机的直接 SSH 访问:

  • 在 Citrix ADC BLX 设备的 Citrix ADC IP (NSIP) 的端口 9022 上提供 SSH 访问权限。- <Citrix ADC IP address (NSIP)>:9022
  • 在 Citrix ADC IP (NSIP) 的子网中定义一个新的 IP 地址,并在端口 22 上提供 SSH 访问。- <new IP address on the Citrix ADC IP address (NSIP) subnet>:22 此外,使用新的 IP 地址可以访问 Linux 主机上的所有其他端口。例如,现在可以通过新 IP 地址的端口 514 访问在 Linux 主机上的端口 514/UDP 上运行的 rsyslog 服务器。

[NSNET-21586]

简化了具有 DPDK 端口的 Citrix ADC BLX 设备的部署

部署具有 DPDK 端口的 Citrix ADC BLX 设备的过程已通过以下增强功能得到简化:

  • Citrix ADC BLX 设备现在使用使用 DPDK 版本 20.11.1 编译的库。设备会自动在 Linux 主机上加载 DPDK VFIO 内核模块。
  • dpdk-config 参数已从 Citrix ADC BLX 配置 (blx.conf) 文件中删除。现有 worker-processes 参数现在也适用于具有 DPDK 端口的 Citrix ADC BLX 设备。worker-processes 指定 Citrix ADC BLX 设备的数据包引擎的数量。换句话说,现在 worker-processes 是 Citrix ADC BLX 设备的常用参数,无论其模式如何(共享、专用或 DPDK)。如果 worker-process 未设置,默认情况下,Citrix ADC BLX 设备将配置 1 个数据包引擎。
  • 现在,除了非 DPDK 网卡端口之外,interfaces 参数还指定了兼容 DPDK 的网卡端口。Citrix ADC BLX 设备会自动从为 interfaces 参数指定的端口列表中检测与 DPDK 兼容的网卡端口(如果有)。然后,设备将检测到的 DPDK 兼容网卡端口绑定到 Linux 主机上的 DPDK VFIO 模块。启动 Citrix ADC BLX 设备后,DPDK 和非 DPDK NIC 端口将作为设备的一部分自动添加。
  • dpdk-non-uio-intf 参数指定绑定了 DPDK 的 Mellanox NIC 端口,该参数已从 Citrix ADC BLX 配置 (blx.conf) 文件中删除。interfaces 参数现在指定要在 Citrix ADC BLX 设备中用作 DPDK 端口的 Mellanox NIC 端口。在为 Citrix ADC BLX 设备指定 Mellanox NIC 端口之前,必须在 Linux 主机上安装 Mellanox OFED DPDK 库和内核模块。Citrix ADC BLX 设备会自动检测指定的 Mellanox 网卡端口,并在 DPDK 模式下对其进行初始化。启动 Citrix ADC BLX 设备后,绑定 DPDK 的 Mellanox NIC 端口将作为设备的一部分添加。
  • Citrix ADC BLX 配置 (blx.conf) 文件中引入了一个新参数 total-hugepage-mem ,用于在 Linux 主机上为 DPDK 设置 hugepagestotal-hugepage-mem 参数以 MB 或 GB 为单位指定 hugepages 大小(例如 1024 MB 和 2 GB)。
  • 升级具有 DPDK 端口的 Citrix ADC BLX 设备时,升级模块会自动将现有配置转换为 Citrix ADC BLX 配置 (blx.conf) 文件中的新格式。

[NSNET-20524]

监视 Citrix ADC 设备上可用的空闲端口以建立新的后端连接

为了与物理服务器或其他对等设备进行通信,Citrix ADC 设备使用 Citrix 拥有的 IP 地址作为源 IP 地址。Citrix ADC 设备维护其 IP 地址池,并在与服务器连接时动态选择 IP 地址。根据物理服务器所在的子网,设备决定要使用的 IP 地址。此地址池用于发送流量和监视探测器。

您可以显示 Citrix ADC 拥有的 IP 地址上可用于新后端连接的可用端口总数。此信息可帮助您在可用端口快要耗尽时决定是否需要更多 Citrix 拥有的 IP 地址。

您可以为 Citrix ADC 设备提供以下信息,以计算可用于新后端连接的可用端口总数:

  • Citrix 拥有的 IP 地址(可选)
  • 目标 IP 地址
  • 目的端口
  • TCP 或非 TCP 协议

[NSNET-20410]

平台

在 KVM 虚拟机管理程序上首次启动 Citrix ADC 设备时支持 Citrix ADC VPX 配置

现在,您可以在 KVM 虚拟机管理程序上首次启动 Citrix ADC 设备时应用 Citrix ADC VPX 配置。因此,客户在 VPX 实例上的设置可以在更短的时间内完成配置。

[NSPLAT-21571]

在备份操作期间,从 Citrix ADC 管理分区中排除 nstrace 文件夹

在具有管理分区的 Citrix ADC 设备中,不包括 nstrace 文件夹的备份操作。这样可以在不丢失重要数据的情况下减小 Citrix ADC 的整体备份大小。

[NSPLAT-21433]

策略

支持策略数据集的 IPv4 和 IPv6 地址中的 CIDR 子网表示法

IPv4 和 IPv6 地址的策略数据集现在允许绑定值是使用 CIDR 表示法的子网(例如,a.b.c.d/n)。CIDR 表示法指定子网的地址和范围。以前,没有在策略数据集中添加子网的选项。

有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-adc/current-release/appexpert/pattern-sets-data-seta/configuring-data-sets.html

[NSPOLICY-3828]

SSL

在 Citrix ADC 设备上的前端 SSL 服务上禁用非安全协议

标准安全扫描可能会在 Citrix ADC 设备启动时默认创建的前端 SSL 服务上触发非安全协议的警报。为避免此类警报,现在默认情况下,前端 SSL 服务在设备启动时禁用这些协议。非安全协议的示例包括 SSLv3、TLV1 和 TLSv1.1。

启用默认 SSL 配置文件后,将创建一个禁用这些协议的新 SSL 配置文件。这个新的配置文件绑定到前端 SSL 服务(ns_default_ssl_profile_internal_frontend_service)。此配置文件是可编辑的。

[NSSSL-9985]

支持使用 RSASSA-PSS 算法签名的证书

现在,所有 Citrix ADC 平台都支持使用 RSASSA-PSS 算法签名的证书。这些算法在 X.509 证书路径验证中受支持。

[NSSSL-9289]

已修复的问题

内部版本 13.1—17.42 中解决的问题。

身份验证、授权和审核

如果 ADFSPIP URL 设置为类型 http://,Citrix ADC 设备将崩溃。ADFSPIP 仅支持 https:// URL 类型。

[NSHELP-29838]

如果请求处理出现严重延迟,Citrix ADC 设备可能会在 SAML IdP 流程期间崩溃。

[NSHELP-29789]

不支持终端节点的重写策略(如 /logon/LogonPoint/Resources/List and /cgi/Resources/List )。

[NSHELP-29488]

在极少数情况下,Citrix ADC 设备可能会由于日志位置错误而崩溃。

[NSHELP-29267]

配置为使用 OAuth 服务提供商进行身份验证的 Citrix ADC 设备无法使用 “client-secrete_post` 配置” 来使用 IDP tokenEndpoint 进行身份验证。

通过此修复,当 ADC 与 IDP 的令牌端点通信时,身份验证方法 client_secret_basic 将添加到 ADC 的 OAuth 服务提供程序功能中。

[NSHELP-28945]

当正在进行 SAML 身份验证并且在 SAML 身份验证中使用大小为 1800 字节或更大的 X.509 证书时,Citrix ADC 设备可能无法响应。

[NSHELP-28608]

当用户密码到期时更改时,身份验证、授权和审计.user.Attribute 表达式可能会在多核 Citrix ADC 设备中提供空值。

[NSHELP-28419]

Citrix ADC 设备配置为 OAuth 信赖方时,不会将从 ID 令牌中提取的 “电子邮件” 和 “用户名” 字段信息添加到身份验证、授权和审核会话的哈希属性中。

[NSHELP-28262]

配置 SAML 元数据时,使用 SSL 证书会观察到内存泄漏。

[NSHELP-27846]

当用户执行 SAML 注销时,注销不会立即发生,并会显示以下错误消息:

Unsupported mechanisms found in Assertion; Please contact your administrator.

之所以会出现此错误,是因为客户配置的 IDP 使用不同的 URL 编码技术对响应中的签名算法参数进行编码。此修复现在支持使用多种 URL 编码技术对 SAML 响应中的签名算法参数进行编码。

[NSHELP-27621]

有时,如果配置了 nFactor,注销消息中会记录不正确的 IP 地址。

[NSHELP-26692]

如果满足以下两个条件,Citrix ADC 设备将崩溃。

  • 已配置电子邮件 OTP
  • 电子邮件服务器没有响应,或者电子邮件服务器存在网络问题

[NSHELP-26137]

在高可用性设置中,启动强制同步时 Citrix ADC 设备崩溃。

[NSAUTH-11876]

Android 11 及更高版本不支持 Intune NAC v2。

[NSAUTH-11872]

如果密码包含特定的特殊字符或参数中有空格,管理员将无法使用 LDAP 或 RADIUS 连接工具。

[NSAUTH-11322]

机器人管理

CAPTCHA 质询正在进行时,Citrix ADC 机器人管理不会遵守用户为验证码重试设置的配置值。

[NSBOT-801]

CallHome

对于使用池许可的 Citrix ADC MPX 设备,CallHome 注册可能会失败。注册失败,因为 CallHome 在 Citrix 支持服务器中注册设备时使用了不正确的序列号。

[NSHELP-28667]

Citrix ADC SDX 设备

从备份还原 Citrix ADC SDX 设备时,不会恢复 CLI 提示字符串。

[NSHELP-30238]

在 Citrix ADC SDX 115xx 设备上,如果设备备份包含三个或更多实例,则还原分配了大量 CPU 内核(3—5 个内核)的 VPX 可能会失败。

[NSHELP-30135]

在 Citrix ADC SDX 设备上,在 Hypervisor Disk Usage High 警报上发出警报的默认值将增加到 98%。

[NSHELP-29688]

当接口速度值大于 4 Gbps 时,由于整数溢出,将返回错误的值。

[NSHELP-29658]

在极少数情况下,Citrix ADC SDX 设备上不会出现 ADC 清单。

[NSHELP-29607]

在 Citrix ADC SDX 设备上,如果电源、电压或磁盘故障多次发生,管理服务不会发送系统日志或电子邮件通知。

[NSHELP-29443]

Citrix Gateway

升级到 Chrome 98 或 Edge 98 浏览器版本后,用户无法启动 EPA 插件或 VPN 插件。要修复此问题,请执行以下步骤:

  1. 对于 VPN 插件升级,最终用户必须首次使用 VPN 客户端进行连接才能在其计算机上获得修复。在随后的登录尝试中,用户可以选择要连接的浏览器或插件。
  2. 对于仅适用于 EPA 的用例,最终用户将没有 VPN 客户端连接到网关。在这种情况下,请执行以下操作:

    1. 使用浏览器连接到网关。
    2. 等待下载页面出现并下载 nsepa_setup.exe。
    3. 下载完成后,关闭浏览器并安装 nsepa_setup.exe 文件。
    4. 重新启动客户端。

[NSHELP-30641]

在具有 TCP SYSLOG 配置的高可用性设置中,节点可能会在高可用性故障转移期间或清除配置操作期间崩溃。

[NSHELP-29251]

在 Citrix Gateway 门户页面中, RDP 代理链接 图标不会随着 rfWebUI 门户主题而改变。

[NSHELP-28974]

将 Citrix Gateway 设备升级到版本 13.0 后,会话配置文件中的代理配置无法按预期工作。对于配置的非 HTTP NS 代理,将绕过代理连接。

示例: add vpn sessionAction-proxy NS -httpProxy 192.0.2.0:24 -sslProxy 192.0.2.0:24

在此示例中,-httpProxy 按预期工作,但 -sslProxy 不起作用。

[NSHELP-28640]

Citrix Gateway 设备在 DTLS 音频中处理 STA 时崩溃,因为分配的内存未重置。

[NSHELP-28432]

Citrix ADC 设备会记录与已弃用的 VPND 进程相关的过时消息。

[NSHELP-28163]

如果通过备份负载平衡虚拟服务器访问 StoreFront,则通过 VPN 虚拟服务器访问 StoreFront 将失败。

[NSHELP-27852]

重新连接到现有 ICA 会话时,Citrix Gateway 设备可能会崩溃。

[NSHELP-27441]

您无法使用 GUI 解除经典授权策略的绑定。但是,您可以使用 CLI 解除身份验证、授权和审核授权策略的绑定。

通过此修复,您现在可以使用 GUI 取消绑定授权策略。

[NSHELP-27064]

Citrix Web App Firewall

升级到 XML 库版本 2.9.12 会导致与 WAF 签名相关的 XML 文件在解析过程中中断。

[NSWAF-8662]

即使 HTTP 请求被 Web App Firewall 模块阻止,JSON 命令注入保护也会显示 Not blocked 在 ns.log 消息中。

[NSHELP-29709]

BAD URL 对于跨站点脚本 (XSS) URL 属性违规,将显示 Web App Firewall 日志消息,并且该术语 Bad URL 不清楚它属于哪个类别(例如标记、模式或属性)。

[NSHELP-29358]

如果在 SSL 类型的负载平衡虚拟服务器上启用了机器人管理策略,则机器人设备指纹发布 URL 可能会失败。

[NSHELP-29198]

Web App Firewall 签名 ID 1048 会阻止 Citrix Gateway 页面加载。

[NSHELP-29113]

如果启用了以下模块,Citrix ADC 设备可能会崩溃:

  • 具有高级安全检查功能的 Web App Firewall。
  • appqoe。

[NSHELP-28251]

负载平衡

当 AutoScale 类型的 DNS 服务组的成员处于 TROFS 状态时,如果再次将同一成员添加到该组,则该成员的状态不会传播。

[NSHELP-29493]

对于策略表达式包含通配符的 add dns actionadd location 命令,增量同步失败。

[NSHELP-29301]

当静态绑定成员和动态解析的 DNS 记录之间存在冲突时,某些服务组成员不会从 AutoScale 服务组列表中删除。此问题会导致内存损坏。

[NSHELP-28949]

show 和 stat 命令中显示的服务组的状态不一致。

[NSHELP-28931]

在极少数情况下,配置 (ns.conf) 文件中可能缺少位置数据库配置。

[NSHELP-28570]

当对等方发送重置现有连接的请求时,SQL 或 Oracle 类型监视器崩溃。

[NSHELP-28478]

在启用持久性的部署中,上下文保存期间存储的虚拟服务器不正确。

[NSHELP-28342]

在高可用性故障切换或重新启动 Citrix ADC 设备后,LB 组的持久性配置将丢失。

[NSHELP-28071]

即使默认监视器已绑定到服务,默认监视器的配置状态也会显示为已禁用。

[NSHELP-27669]

其他

将设备升级到 Citrix ADC 版本 12.1 build 63.22 后会出现以下问题:

  • 升级后,扩展 Find API 可能无法正常工作。

[NSHELP-29860]

网络连接

如果满足以下所有条件,Citrix ADC 设备可能会崩溃:

  • 负载平衡路由在设备的流量域中配置。
  • 在设备上执行清晰的配置操作。

[NSNET-23847]

在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

  • LSN 模块在减少引用计数或删除服务时找不到服务。

[NSHELP-29134]

在大规模 NAT44 部署中,Citrix ADC 设备在接收 SIP 流量时可能会崩溃,原因如下:

  • LSN 模块访问了已删除服务的内存位置。

[NSHELP-28815]

在具有偶数个数据包引擎 (PE) 的 Citrix ADC 设备中,设备错误地将活动接口的状态显示为冗余接口集(LR 通道)的非活动状态。此问题不会影响 Citrix ADC 设备的任何功能。

[NSHELP-28099]

冷重启后,Citrix ADC 设备可能不会生成 coldStart SNMP 陷阱消息。

[NSHELP-27917]

平台

ntpdate 命令崩溃导致核心转储。

[NSHELP-29649]

SSL

如果使用导出密码套件,Citrix ADC MPX 7500 设备会崩溃。

[NSSSL-11294]

在极少数情况下,您可能会在以下平台上进行 DTLS 处理时看到崩溃:

  • MPX 5900
  • MPX/SDX 8900
  • MPX/SDX 15000
  • MPX/SDX 15000-50G
  • MPX/SDX 26000
  • MPX/SDX 26000-50S
  • MPX/SDX 26000-100G

[NSHELP-29538]

在高可用性设置中,证书类型不能在主节点和辅助节点之间正确同步。

[NSHELP-27589]

在 VPN 部署中,Citrix ADC 设备会从缓存中拾取 SSL 会话以重用会话,以便与代理服务器或后端服务器进行通信。这样做时不会将从客户端收到的 SNI 与缓存会话中存在的 SNI 相匹配。

因此,根据缓存的数据,要么不发送 SNI,要么发送不同的 SNI。

[NSHELP-27439]

系统

清除为入侵防御系统 (IPS) 资源分配的内存时,Citrix ADC 设备中会观察到内存泄漏。

[NSHELP-29992]

在 Citrix ADC 群集部署中,将 SSL 配置文件和 SSL 证书密钥与 HTTP QUIC 虚拟服务器关联的配置操作可能会失败。

[NSHELP-29655]

如果满足以下条件,则同一客户端连接上的第二个请求将失败:

  • clientsideMeasurements 已启用。
  • HEAD 请求已收到。

[NSHELP-29353]

在某些情况下,Citrix ADC 设备可能会在以下情况下崩溃:

  • 使用 TCP 巨型帧。
  • 持久性是在 TCP 负载平衡虚拟服务器上配置的。

[NSHELP-29162]

如果满足以下条件,Citrix ADC 设备将崩溃:

  • 在 AppFlow 操作上启用了客户端测量选项。
  • 区块报头落在数据包边界上。

[NSHELP-29049]

如果 HTTP 管道(一个或多个请求)大小超过 128 KB,Citrix ADC 设备将重置连接。出现此问题的原因是管道大小硬限制为 128 KB。

[NSHELP-28846]

如果满足以下条件,Citrix ADC 入侵防御系统 (IPS) 会在插入或修改数据时观察到重写策略存在问题:

  • 在后端服务器连接打开之前,Citrix ADC 设备将数据包发送到 IPS 服务器。

[NSHELP-28496]

在高可用性设置中,辅助节点上管理分区配置的 HA 同步失败,原因如下:

  • 由于辅助节点上的大量配置负载而导致的内存不足问题

[NSHELP-28409]

当客户端重置与多个 TCP 流的连接时,不会发送服务器端事务记录,这会导致这些数据流的 L4 记录丢失。

[NSHELP-28281]

在 TCP 连接中,如果满足以下所有条件,Citrix ADC 设备可能会丢弃从服务器接收的 FIN 数据包,而不是将其转发到客户端:

  • TCP 缓冲已启用。
  • 服务器分别发送 FIN 数据包和数据包。

[NSHELP-27274]

在群集设置中,该 set ratecontrol 命令仅在重新启动 Citrix ADC 设备后有效。

[NSHELP-21811]

当 Citrix ADC 设备收到设置了 FIN 标志的乱序 TCP 数据包时,可能会观察到以下问题:

  • Citrix ADC 设备发送错误的 SACK,表示设备收到的是 2 个字节,而不是 1 字节的乱序 TCP 数据包。
  • Citrix ADC 设备不会通过接收按顺序排序的 TCP 数据包来确认 TCP FIN 数据包。

[NSBASE-15735]

用户界面

您可能会意外取消关联 SSL 证书,因为没有确认提示。使用此修复后,当用户单击链接的证书时,它会在取消链接证书之前提示进行确认。

[NSUI-17897]

使用 Citrix ADC GUI 修改基于 ACL 的 RNAT 规则(该规则已启用连接故障转移)可能会失败,并显示以下错误:

  • Invalid argument value [connfailover]

[NSHELP-29243]

使用 Citrix ADC GUI 配置或检查 SSL 证书时,可能会出现错误 Directory doesn't exist。当 SSL 文件夹 /nsconfig/ssl 中存在带有两个连续点 (..) 的文件名时,会出现此问题。

[NSHELP-28589]

在高可用性设置中,如果在主节点上修改了内置策略模式集,则内置策略模式集绑定的 HA 同步可能会失败。

[NSHELP-28460]

在 ADC GUI 中取消选择 RPC 节点的安全选项时,将显示以下错误消息:

缺少参数先决条件 [validateCert, secure==是]

[NSHELP-28239]

当用户尝试在侧面板视图中更改列表的页面大小时,页面会失真。

[NSHELP-28220]

如果在某些 SSL 命令(如 create ssl rsakeycreate ssl cert)的参数中使用特殊字符,则会错误地引入额外的反斜杠字符。

[NSHELP-27378]

带接口 (-I) 选项的 ping 或 ping6 命令可能会失败,并显示以下错误:

  • interface option not supported

[NSHELP-26962]

已知问题

13.1—17.42 版中存在的问题。

AppFlow

HDX Insight 不会报告因用户尝试启动用户无权访问的应用程序或桌面而导致的应用程序启动失败。

[NSINSIGHT-943]

身份验证、授权和审核

Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

[NSHELP-563]

DualAuthPushOrOTP.xml 登录架构未正确显示在 Citrix ADC GUI 的登录架构编辑器屏幕中。

[NSAUTH-6106]

可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。 show adfsproxyprofile <profile name>

解决方法:

连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

[NSAUTH-5916]

如果执行以下步骤,Citrix ADC GUI 上的配置身份验证 LDAP 服务器页面将无响应:

  • 测试 LDAP 可达性选项已打开。
  • 填充并提交了无效的登录凭据。
  • 将填充并提交有效的登录凭据。

解决方法:

关闭并打开 “测试 LDAP 可达性” 选项。

[NSAUTH-2147]

缓存

如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

[NSHELP-22942]

Citrix ADC SDX 设备

在 Citrix ADC SDX 设备上,如果 CLAG 是在 Mellanox 网卡上创建的,则当 VPX 实例重新启动时,CLAG MAC 将更改。VPX 实例的流量在重启后停止,因为 MAC 表包含旧的 CLAG MAC 条目。

[NSSVM-4333]

在 Citrix ADC SDX 设备上,配置突增吞吐量分配模式时,ADC 实例不会突增至最大容量。

[NSHELP-27477]

如果满足以下条件,则会在 Citrix ADC SDX 设备上托管的 VPX 实例上看到丢包:

  • 吞吐量分配模式为突发。
  • 吞吐量和最大突增容量之间存在很大差异。

[NSHELP-21992]

Citrix Gateway

在某些情况下,当服务器证书受信任时,服务器验证代码会失败。因此,最终用户无法访问网关。

[NSHELP-28942]

在 Citrix Gateway 高可用性设置中,如果启用了Gateway Insight,辅助节点可能会崩溃。

[NSHELP-28856]

如果 macOS 钥匙串中没有客户端证书,则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

[NSHELP-28551]

有时,设置客户端空闲超时后,用户会在几秒钟内注销 Citrix Gateway。

[NSHELP-28404]

在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

  • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

解决方法:

仅在 HA 同步完成后执行连续的手动 HA 故障切换(两个节点都处于同步成功状态)。

[NSHELP-25598]

适用于 Windows 的 EPA 插件不使用本地计算机配置的代理,而是直接连接到网关服务器。

[NSHELP-24848]

Gateway Insight 不会显示有关 VPN 用户的准确信息。

[NSHELP-23937]

如果满足以下条件,VPN 插件在 Windows 登录后不会建立隧道:

  • Citrix Gateway 设备已配置为 “始终开启” 功能
  • 设备配置为使用双因素身份验证的基于证书的身份验证 off

[NSHELP-23584]

有时在浏览模式时,会出 Cannot read property 'type' of undefined 现错误消息。

[NSHELP-21897]

如果您想在 Windows 登录功能之前使用始终开启 VPN,建议升级到 Citrix Gateway 13.0 或更高版本。这使您能够利用版本 13.0 中引入的 12.1 版本中没有的其他增强功能。

[CGOP-19355]

Gateway Insight 中不会报告因 STA 票证无效而导致的应用程序启动失败。

[CGOP-13621]

Gateway Insight 报告在 SAML 错误故障的身份验证类型字段中错误地显示了值 Local 而非 SAML

[CGOP-13584]

在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

[CGOP-13511]

接受来自浏览器的本地主机连接时,适用于 macOS 的“接受连接”对话框将以英语显示内容,而不考虑所选的语言。

[CGOP-13050]

对于某些语言,Citrix SSO 应用程序 > 主页中的文本 Home Page 会被截断。

[CGOP-13049]

从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

[CGOP-11830]

在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”将显示 严重错误 对话框。此外,页面变得无响应。

[CGOP-7269]

在群集部署中,如果在非 CCO 节点上运行 force cluster sync 命令,ns.log 文件将包含重复的日志条目。

[CGOP-6794]

负载平衡

在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

[NSLB-7679]

服务组 entityofs 陷阱中的 ServiceGroupName 格式如下所示: <service(group)name>?<ip/DBS>?<port>

在陷阱格式中,服务组由 IP 地址或 DBS 名称和端口标识。问号 (?) 用作分隔符。Citrix ADC 发送带有问号 (?) 的陷阱。该格式在 Citrix ADM GUI 中显示的内容相同。这是预期的行为。

[NSHELP-28080]

其他

在高可用性设置中进行强制同步时,设备将在辅助节点中运行 set urlfiltering parameter 命令。 因此,辅助节点将跳过任何计划的更新,直到 TimeOfDayToUpdateDB 参数中提到的下一个计划时间为止。

[NSSWG-849]

如果 URL 筛选第三方供应商出现连接问题,Citrix ADC 设备可能会由于管理 CPU 停滞而重新启动。

[NSHELP-22409]

网络连接

如果满足以下所有条件,带有 DPDK 的 Citrix ADC BLX 设备可能无法重新启动:

  • Citrix ADC BLX 设备分配的 hugepages 数量很少。例如,1G。
  • Citrix ADC BLX 设备分配了大量的工作进程。例如,28。

该问题在 /var/log/ns.log 中记录为错误消息:

  • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

注意:x是一个小于等于工作进程数的数字。

解决方法:

分配大量的 hugepages,然后重新启动设备。

[NSNET-25173]

如果满足以下条件,带有 DPDK 的 Citrix ADC BLX 设备可能无法重新启动:

  • Citrix ADC BLX 设备分配了大量的 hugepages. 例如,16 GB。

该问题在 /var/log/ns.log 中记录为错误消息:

  • EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

解决方法:

使用以下解决方法之一来解决此问题:

  • 通过使用 ulimit 命令或编辑文件来增加 Linux 主机上的打开 limits.conf 文件限制。
  • 减少分配的 hugepages 的数量。

[NSNET-24727]

由于 DPDK 易用性功能,处于 DPDK 模式下的 Citrix ADC BLX 设备可能需要更长的时间才能重新启动。

[NSNET-24449]

从 Citrix ADC BLX 设备 13.0 61.x 版本升级到 13.0 64.x 版本后,BLX 配置文件上的设置将丢失。然后,BLX 配置文件将重置为默认值。

[NSNET-17625]

带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

  • 禁用
  • 启用
  • 重置

[NSNET-16559]

在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件 (/etc/blx/blx.conf) 设置如何,Citrix ADC BLX 设备始终以共享模式部署。出现此问题的原因是 mawk,基于 Debian 的 Linux 系统默认存在,它不会运行 blx.conf 文件中存在的某些 awk 命令。

解决方法:

gawk 在安装 Citrix ADC BLX 设备之前进行安装。您可以在 Linux 主机 CLI 中运行以下命令进行安装 gawk

  • apt-get 安装 gawk

[NSNET-14603]

在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

解决方法:

在安装 Citrix ADC BLX 设备之前,请在 Linux 主机 CLI 中运行以下命令:

  • dpkg — 添加架构 i386
  • apt-get 更新
  • apt-get dist-upgrade
  • apt-get 安装 libc6: i386

[NSNET-14602]

在某些 FTP 数据连接情况下,Citrix ADC 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。

[NSNET-5233]

在 Citrix ADC 设备中更改管理分区内存限制时,TCP 缓冲内存限制将自动设置为管理分区新内存限制。

[NSHELP-21082]

平台

高可用性故障转移在 AWS 和 GCP 云中不起作用。管理 CPU 在 AWS 和 GCP 云中可能达到其 100% 的容量,而 Citrix ADC VPX 本地容量可能会达到 100%。这两个问题都是在满足以下条件时引起的:

  1. 在 Citrix ADC 设备的首次启动期间,您不会保存提示的密码。
  2. 随后,您重新启动 Citrix ADC 设备。

[NSPLAT-22013]

当您从 13.0/12.1/11.1 版本升级到 13.1 版本或从 13.1 版本降级到 13.0/12.1/11.1 版本时,Citrix ADC 设备上未安装某些 python 软件包。以下 Citrix ADC 版本的此问题已修复:

  • 13.1-4.x
  • 13.0—82.31 及更高版本
  • 12.1—62.21 及更高版本

当您将 Citrix ADC 版本从 13.1-4.x 降级到以下任何版本时,不会安装 python 软件包:

  • 任何 11.1 版本
  • 12.1—62.21 及更早版本
  • 13.0-81.x 及更早版本

[NSPLAT-21691]

在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第二个节点和 CLIP 上存在 CLAG MAC 不匹配:

  • CLAG 是在 Mellanox 网卡上创建的。
  • 您将另一个 VPX 实例添加到集群和 CLAG 设置。

因此,到 VPX 实例的流量会停止。

[NSPLAT-21049]

在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第一个节点会因为 CLIP 和 MAC 表上的 MAC 地址不匹配而关闭:

  • CLAG 是在 Mellanox 网卡上创建的。
  • 从群集中删除第二个节点。

[NSPLAT-21042]

从 Azure 资源组中删除 AutoScale 设置或虚拟机比例集时,请从 Citrix ADC 实例中删除相应的云配置文件配置。使用命 rm cloudprofile 令删除配置文件。

[NSPLAT-4520]

在 Azure 上的高可用性设置中,通过 GUI 登录到辅助节点时,将显示 AutoScale 云配置文件配置的首次用户 (FTU) 屏幕。 解决办法:跳过屏幕,然后登录主节点以创建云配置文件。始终在主节点上配置云配置文件。

[NSPLAT-4451]

当 RPC 节点的密码包含特殊字符时,GCP 和 AWS 云上的 Citrix ADC VPX 实例的高可用性故障转移将失败。

[NSHELP-28600]

策略

如果处理数据的大小超过配置的默认 TCP 缓冲区大小,则连接可能会挂起。解决办法:将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

[NSPOLICY-1267]

SSL

在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

解决方法:

  1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
  2. 保存配置。

[NSSSL-9572]

如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

[NSSSL-6478]

您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

[NSSSL-6213]

如果移除 HSM 密钥但未将 Key Vault 指定为 HSM 类型,则会显示以下错误消息。 错误:crl 刷新已禁用

[NSSSL-6106]

会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

[NSSSL-4427]

如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会 Warning: No usable ciphers configured on the SSL vserver/service, 显示不正确的警告消息。

[NSSSL-4001]

在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。

[NSSSL-3184]

系统

如果设备没有从客户端收到 max_concurrent_stream 设置帧,则默认情况下,MAX_CONCURRENT_STREAMS 值设置为 100。

[NSHELP-21240]

mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。

[NSHELP-10972]

在 Citrix ADC GUI 上生成 PCI DSS 报告时观察到问题(导航: 系统 > 报告 > 生成 PCI DSS 报告)。

[NSBASE-16225]

为 Insight 配置了 LogStream 传输类型后,HDX Insight skipFlow 记录中的客户端 IP 和服务器 IP 会反转。

[NSBASE-8506]

Citrix ADC 设备会丢弃包含带点 (”的自定义 HTTP 标头的数据包。标头名称字段中的“) 字符。之所以发生此操作,是因为默认 HTTP 配置文件中默认启用 allowOnlyWordCharactersAndHyphen 参数。

解决办法:在默认 HTTP 配置文件中禁用 allowOnlyWordCharactersAndHyphen。但是,Citrix 建议您保持启用状态。

[NSBASE-16722]

用户界面

对于 MQTT 重写功能,无法使用 GUI 中的表达式编辑器删除表达式。

解决方法:

通过 CLI 使用 MQTT 类型的添加或编辑操作命令。

[NSUI-18049]

在 Citrix ADC GUI 中, Dashboard 选项卡下显示的 Help 链接已断开。

[NSUI-14752]

创建/监控 CloudBridge Connector 向导可能会变得无响应或无法配置 cloudbridge 连接器。

解决方法:

使用 Citrix ADC GUI 或 CLI,通过添加 IPsec 配置文件、IP 隧道和 PBR 规则来配置云桥连接器。

[NSUI-13024]

如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。

[NSUI-6838]

在管理分区设置中,上传和添加证书吊销列表 (CRL) 文件失败。

[NSHELP-20988]

将 Citrix ADC 设备版本 13.0-71.x 降级到较早版本时,由于文件权限更改,某些 NITRO API 可能无法正常工作。

解决方法:

将权限更 /nsconfig/ns.conf 改为 644。

[NSCONFIG-4628]

如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

  1. 将 Citrix ADC 设备升级到其中一个版本:

    • 13.0 52.24 构建
    • 12.1 57.18 构建
    • 11.1 65.10 构建
  2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
  3. 将 Citrix ADC 设备降级为任何较旧的版本。

要使用 CLI 显示这些系统用户的列表: 在命令提示符下键入:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

解决方法:

要解决此问题,请使用以下独立选项之一:

  1. 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
  2. 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
  3. 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

[NSCONFIG-3188]

Citrix ADC 13.1—17.42 版本的发行说明