Citrix ADC

备注

本发行说明文档介绍了 Citrix ADC 版本 Build 13.1—21.50 中存在的增强功能和更改、已修复问题和已知问题。

本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。

版本 13.1-21.50 及更高版本解决了中所述的安全漏洞 https://support.citrix.com/article/CTX457048

新增功能

Build 13.1–21.50 中提供的增强功能和更改。

机器人管理

基于用户地理位置的机器人速率限制技术

机器人速率限制检测技术现在使您能够根据用户的地理位置限制流量机器人。在此配置中,您可以将国家/地区名称设置为类似于 URL 或 Cookie 名称的值。这样,您可以对不同的国家/地区应用不同的费率限制。以前,检测技术只能根据客户端的 IP 地址、会话或 URL 对流量进行速率限制。

[NSBOT-753]

增强的设备指纹 (DFP) 技术,用于无头浏览器检测

黑客可以通过无头浏览器访问服务器资源,方法是自动执行创建多用户帐户、预订门票、报废价格、凭证填充、票证旋转攻击等过程。

机器人配置文件中的设备指纹(DFP)检测技术现已通过智能功能得到增强,可以检测无头机器人和网络驱动程序机器人。要缓解无头浏览器机器人流量,您必须启用无头浏览器检测选项和设备指纹检测功能。

[NSBOT-747]

Citrix Web App Firewall

针对 JSON 命令注入攻击的精细放松

Citrix ADC 设备现在允许您为 JSON 命令注入攻击配置精细放宽。

[NSWAF-8511]

精细放松 JSON 跨站点脚本攻击

Citrix ADC 设备现在允许您为 JSON 跨站点脚本攻击配置精细放宽。

[NSWAF-8510]

针对 JSON SQL 注入攻击的精细放宽

Citrix ADC 设备现在允许您为 JSON SQL 注入攻击配置精细放宽。

[NSWAF-8509]

负载平衡

增强的期望状态 API 错误消息

当服务组成员的 IP 地址已与其他 Citrix ADC 实体(如 CS 虚拟服务器)关联时,显示的错误消息已得到增强。现在,错误消息中清楚地说明了失败的原因。以前,错误消息中的失败原因尚不清楚。

[NSLB-9005]

所需状态 API 支持重用现有服务器 IP 地址和名称

Desired State API 现在支持将服务组成员绑定到服务组,即使服务组成员的 IP 地址与现有服务器匹配。绑定服务组成员时,将重用现有服务器的 IP 地址和名称。

以前,当 IP 地址匹配时,无法成功将服务组成员绑定到服务组。

[NSLB-9004]

网络连接

支持扩展 ACL 的 IPv4 数据集中基于 CIDR 的绑定

扩展 ACL 现在支持包含 CIDR 表示法中指定的 IPv4 地址范围的 IPv4 数据集。

[NSNET-24452]

在 DPDK 模式下对 Citrix ADC BLX 设备的软件接收端缩放支持

处于 DPDK 模式并配置了更多数据包引擎的 Citrix ADC BLX 设备不支持发送 (Tx) 和接收 (Rx) 队列数量较少的 NIC 端口。

如果同时满足以下两个条件,处于 DPDK 模式的 Citrix ADC BLX 设备将不使用 NIC 端口:

  • 设备具有支持有限数量的发送队列 (Tx) 和接收队列 (Rx) 的 NIC 端口。例如,7。
  • 设备配置了更多数量的数据包引擎。例如,28。

为了解决此问题,从版本 13.1 21.x 开始,Citrix ADC BLX 设备使用软件接收端缩放 (RSS) 在多个数据包引擎之间高效地分发网卡端口上收到的数据包。

软件 RSS 模块为每个 NIC 端口分配一个逻辑 Rx 和 Tx 队列对。队列对然后映射到数据包引擎 PE-0。

对于 NIC 端口的 Rx 队列中的每个数据包,PE-0 会使用 RSS 哈希算法选择数据包引擎。然后 PE-0 将数据包发送到选定的数据包引擎进行处理。数据包处理完成后,PE-0将数据包发送到NIC端口的Tx队列。

[NSNET-23133]

使用 Citrix ADC GUI、Citrix ADC CLI 或 Citrix ADC NITRO API 配置内部 HTTP GUI 服务

在 Citrix ADC 设备上, /etc/httpd.conf 是内部 HTTP GUI 服务的配置文件,用于管理与 Citrix ADC GUI 的连接。

现在,您可以使用 Citrix ADC GUI、Citrix ADC CLI 或 Citrix ADC NITRO API,而不是使用 httpd.conf 文件来配置内部 HTTP GUI 服务。例如,您可以使用 Citrix ADC CLI 修改一次可以连接到内部 HTTP 服务的客户端的最大数量。

内部 HTTP GUI 服务具有以下名称格式: nshttpd-gui-<loop back IP address>-80

使用 Citrix ADC 服务命令操作配置内部 HTTP GUI 服务。

[NSNET-20350]

平台

支持 Citrix ADC MPX 9100 平台

此版本支持 Citrix ADC MPX 9100 平台。它包括 MPX 9110、MPX 9120 和 MPX9130 型号。有关更多信息,请参阅 Citrix ADC MPX 9100

[NSPLAT-23308]

支持 Citrix ADC SDX 9100 平台

此版本支持 Citrix ADC SDX 9100 平台。它包括 SDX 9120 和 SDX 9130 型号。有关更多信息,请参阅 Citrix ADC SDX 9100

[NSPLAT-23299]

提高 AWS 和 GCP 云上的 SSL-TPS 性能

通过平均分配数据包引擎 (PE) 权重,您可以在 AWS 和 GCP 云上获得更好的 SSL-TPS 性能。为此,请在 Citrix ADC CLI 中运行以下命令以设置 PE 模式:

set cpuparam pemode [CPUBOUND | Default]

在 Azure 云中,PE 权重默认均匀分布。此功能不会提高 Azure 实例的任何性能。

[NSPLAT-22570]

Citrix ADC VPX 实例上的 VMware ESXi 7.0 更新 3c 支持

Citrix ADC VPX 实例现在支持 VMware ESXi 版本 7.0 更新 3c(内部版本 19193900)。

[NSPLAT-22468]

SSL

查看 Citrix ADC 平台上 SSL 芯片利用率的详细信息

从版本 13.1 Build 21.x 开始,添加了计数器,以查看有关 Intel Coleto 芯片和 MPX 9100 (Lewisburg) 平台附带的 MPX 和 SDX 平台上 SSL 芯片使用情况的更多详细信息。在不受支持的平台上,这些计数器显示的值为 0.0。

有关更多信息,请参阅 支持基于 Intel Coleto 和 Lewisberg SSL 芯片的平台

[NSSSL-10996]

支持使用 DTLS 的 ECDSA 证书和密码

ECDSA 证书和密码现在可以用于 DTLS 实体,例如虚拟服务器和服务。

[NSSSL-9535]

系统

在 TCP 选项标头中发送客户端详细信息的增强功能

  • 现在,除了第一个数据包之外,Citrix ADC 设备还会在三次握手的最终 ACK 数据包中插入客户端 IP 地址。以前,设备仅在第一个数据包中发送客户端 IP 地址。
  • Citrix ADC 设备现在支持在 TCP 选项中发送客户端端口以进行插入模式配置。TCP 配置文件中引入了 Send Client Port in Tcp Option (sendClientPortInTcpOption) 用于启用或禁用此功能的参数。

[NSBASE-15635]

已修复的问题

Build 13.1–21.50 中解决的问题。

身份验证、授权和审核

如果更新 SAML 配置中使用的 SSL 证书密钥对时出错,Citrix ADC 设备可能会崩溃。要修复此问题,您可以取消绑定证书,更新证书,然后再次绑定证书。

[NSHELP-30270]

如果使用 SAML 的登录请求包含“”以外的空格字符(单引号),则用户无法登录 Citrix ADC 设备。通过此修复,允许使用所有空格字符。

[NSHELP-29773]

在为委派用户发送 AS_REQ 请求(这是 KCD SSO 的一部分)时,当域控制器 (DC) 发布所有加密类型时,Citrix ADC 设备会选择具有以下优先级的加密类型。

  1. ETYPE_ARCFOUR_HMAC_MD5
  2. ETYPE_AES128_CTS_HMAC_SHA1_96
  3. ETYPE_AES256_CTS_HMAC_SHA1_96 代替
  4. ETYPE_AES256_CTS_HMAC_SHA1_96
  5. ETYPE_AES128_CTS_HMAC_SHA1_96
  6. ETYPE_ARCFOUR_HMAC_MD5

[NSHELP-28681]

有时,使用身份验证、授权和审核时,身份验证可能会失败。使用 LOGIN.PASSWORD。

[NSHELP-28101]

如果同时满足以下两个条件,Citrix ADC 设备可能会与后端服务器进入 SSO 循环,并导致内存积聚。

  • ADC 设备与后端服务器执行协商和 NTLM SSO 身份验证。
  • 后端服务器无法执行这两项身份验证。

[NSHELP-27757]

在主控制器卡与辅助控制器卡之间同步会话和密钥配置时,Citrix ADC 设备可能会崩溃。

[NSHELP-26891]

Citrix ADC SDX 设备

当全新安装因工厂分区没有足够的空间而失败时,会出现错误消息。

[NSHELP-30136]

除非满足以下条件之一,否则“添加群集节点”页中的 backplane 字段不再是必填字段:

  • 第 3 层群集的节点组已存在。
  • 它是第 2 层群集。

[NSHELP-29701]

Citrix Gateway

如果在 nFactor 身份验证中将 SAML 和 EPA 配置为连续因素,VPN 客户端用户将无法成功注销。使用此修复程序,用户可以毫无问题地注销。

[NSHELP-30193]

在 Citrix ADC GSLB 和 SSL VPN 设置中,在处理 DTLS ICA 连接时会观察到内存泄漏。结果,连接断开,内存增加。

[NSHELP-30182]

从浏览器启动时,PCoIP 应用程序和桌面启动失败,并显示错误消息 VMware client missing 。出现此问题的原因是 vmware-view 协议未添加到允许的协议列表中。

[NHELP-30062]

在 macOS 上,用于检查防病毒软件的上一次完整系统扫描的 EPA 扫描失败。

[NSHELP-29571]

如果启用了二进制响应,Citrix Gateway VPN 全通道将无法按预期工作。因此,NSAAC cookie 已损坏。通过此修复,二进制响应可以在早期的 VPN 插件中运行。但是,Citrix 建议您使用与 JSON 响应兼容的最新 VPN 插件。

[NSHELP-28729]

负载平衡

分区的 Citrix ADC 设备可能会在处理带有附加标头 (EDNS) 的 DNS 请求数据包时转储核心。

[NSHELP-30796]

在 AutoScale DNS 部署中,处于 TROFS 状态的成员不会检测和响应运行状况检查失败。

[NSHELP-29628]

如果满足以下条件,Citrix ADC 设备可能会在将重写策略绑定到负载平衡虚拟服务器时崩溃:

  1. 对第二个表达式的求值将覆盖正在进行的第一个表达式的策略状态变量。
  2. DESINECE_SERVICES 策略状态变量将被负载平衡虚拟服务器定义的规则覆盖。

[NSHELP-29449]

运行 show service 命令时显示的监视器响应时间有时不正确。

[NSHELP-28994]

即使请求成功,SMPP 重试消息也会发送到群集中的所有节点。这种情况会导致 Citrix ADC 设备上的内存消耗很高。

[NSHELP-28332]

网络连接

将 Citrix ADC BLX 设备升级到版本 13.1 build 17.x 时,该设备可能无法启动。

[NSNET-25002]

如果主机上没有 jsonschema python 模块,则在基于 RHEL 的 Linux 主机上安装 Citrix ADC BLX 设备将失败。

[NSNET-24638]

如果满足以下所有条件,则使用 DPDK 升级 Citrix ADC BLX 设备将失败:

  • Citrix ADC BLX 设备正在基于 Debian 的 Linux 主机上运行
  • 升级是从 Citrix ADC 13.0 版本 82.x 或更早版本到版本 13.1 build 17.x 完成的。

[NSNET-24622]

在使用端口设置配置 TCP ACL 规则后配置 ICMP ACL 规则时,可能会出现以下问题:

  • Citrix ADC 设备也错误地将 TCP ACL 的相同端口设置添加到 ICMP ACL 中。

[NSHELP-31114]

如果满足以下条件,则使用 GUI 在 INAT 规则中修改私有 IP 地址将失败:

  • 在 INAT 规则上启用了连接故障转移。

[NSHELP-30792]

在 Citrix ADC 设备的串行控制台上,VTYSH 提示符或 shell 提示符可能不会显示任何输出。

[NSHELP-30446]

修改已经绑定了 IP 集的网络配置文件可能会失败,并出现以下错误:

  • IP set is already bound to the network profile

[NSHELP-29363]

在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

  • 对于设备中的 LSN 模块,筛选和映射引用计数不为零。

[NSHELP-28842]

平台

当虚拟机处于启动的早期阶段时,无法访问托管在 Azure 云上的 Citrix ADC VPX 实例的串行控制台。

[NSPLAT-23010]

在 Citrix ADC VPX HA 故障转移期间,如果您在未将 IPSet 绑定到任何 IP 地址的情况下配置 IPSet,则在 AWS 云中移动弹性 IP 地址将失败。

[NSHELP-29425]

SSL

RC4 密码套件在带有 Illegal parameter error 消息的 SSL 握手期间失败。

[NSSSL-11463]

启用 SSL 拦截并且存在多个访问具有过期证书的后端服务器的并行请求时,Citrix ADC 设备崩溃。

[NSHELP-29520]

在群集设置中,您可能会观察到以下问题:

  • 缺少绑定到 CLIP 上 SSL 内部服务的默认证书密钥对的命令。但是,如果从旧版本升级,则可能必须将默认证书密钥对绑定到 CLIP 上受影响的 SSL 内部服务。
  • 对于内部服务的默认 set 命令,CLIP 和节点之间的配置差异。
  • 在节点上运行的 show running config 命令的输出中缺少到 SSL 实体的默认密码绑定命令。遗漏只是显示问题,对功能没有影响。可以使用 show ssl <entity> <name> 命令查看绑定。

[NSHELP-25764]

系统

如果出现以下任一情况,Citrix ADC 设备将崩溃:

  • syslog 操作使用域名进行配置,您可以使用 GUI 或 CLI 清除配置。
  • 高可用性同步发生在辅助节点上。[NSHELP-30987、NSHELP-28121、NSHELP-29843]

从 Citrix ADC 设备转发的所有数据包都没有配置的 TTL 值,而是具有客户端或服务器发送的值。

[NSHELP-30683]

Citrix ADC 设备无法将某些非 HTTP 数据包转发到后端服务器。

[NSHELP-30192]

在某些情况下,如果满足以下条件,Citrix ADC 设备不会将某些 HTTP 数据包转发到后端服务器:

  • 如果 Citrix ADC 功能在内部克隆 HTTP 数据包。

[NSHELP-29958]

Citrix ADC 设备可能会错误地将 IPv4 地址添加到与 IPv6 事务相关的 AppFlow 记录中。

[NSHELP-29261]

当从 ICAP 模块向客户端重放分块响应时,Citrix ADC 设备可能会崩溃。

[NSHELP-28788]

在重传队列中循环大量数据包时,会发生 Pitboss 故障。

[NSHELP-26071]

使用 TCP 协议登录到外部 SYSLOG 服务器时,会丢弃某些 SYSLOG 消息。

[NSHELP-24522]

在某些情况下,如果应用基于 IP 地址的过滤器,nstrace 数据包捕获会丢失所有数据包。

[NSHELP-23483]

用户界面

缓存筛选可能无法在 Citrix ADC GUI 上按预期工作。

[NSHELP-30392]

将 Citrix ADC 设备配置为使用外部身份验证服务器时,无论将 RBAonResponse 参数设置为全局禁用如何,运行统计命令都可能会出现延迟。可以从 GUI 或 CLI 中禁用该参数。

[NSHELP-30289]

Citrix ADC GUI 不会处理 RAPI 调用,从而导致 GUI 的某些组件无响应。

[NSHELP-30231]

在某些情况下,您可能无法从 Citrix ADC GUI 中的 SSL 密钥选项卡加载 SSL 密钥。

[NSHELP-28870]

带有筛选器的 NITRO GET 请求的 API 响应可能包含其他信息,即使筛选器中未提及这些信息。

[NSHELP-28598]

在管理分区设置中,上传和添加证书吊销列表 (CRL) 文件失败。

[NSHELP-20988]

已知问题

13.1—21.50 版中存在的问题。

AppFlow

HDX Insight 不会报告因用户尝试启动用户无权访问的应用程序或桌面而导致的应用程序启动失败。

[NSINSIGHT-943]

身份验证、授权和审核

Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

[NSHELP-563]

DualAuthPushOrOTP.xml LoginSchema 在 Citrix ADC GUI 的登录架构编辑器屏幕中未正确显示。

[NSAUTH-6106]

可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。 show adfsproxyprofile <profile name>

解决方法:

连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

[NSAUTH-5916]

如果执行以下步骤,Citrix ADC GUI 上的配置身份验证 LDAP 服务器页面将无响应:

  • 测试 LDAP 可达性选项已打开。
  • 填充并提交了无效的登录凭据。
  • 将填充并提交有效的登录凭据。

解决方法:

关闭并打开 “测试 LDAP 可达性” 选项。

[NSAUTH-2147]

缓存

如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

[NSHELP-22942]

Citrix ADC SDX 设备

在 Citrix ADC SDX 设备上,如果 CLAG 是在 Mellanox 网卡上创建的,则当 VPX 实例重新启动时,CLAG MAC 将更改。VPX 实例的流量在重启后停止,因为 MAC 表包含旧的 CLAG MAC 条目。

[NSSVM-4333]

在装有 Mellanox 网卡的 Citrix ADC SDX 设备上,修改具有 Mellanox NIC 的 VPX 实例的吞吐量会重新启动 VPX 实例。

[NSHELP-31305]

在 Citrix ADC SDX 设备上,配置突增吞吐量分配模式时,ADC 实例不会突增至最大容量。

[NSHELP-27477]

如果满足以下条件,则会在 Citrix ADC SDX 设备上托管的 VPX 实例上看到丢包:

  • 吞吐量分配模式为突发。
  • 吞吐量和最大突增容量之间存在很大差异。

[NSHELP-21992]

将 Citrix ADC SDX 设备升级到版本 13.1 版本 21.50 或更高版本后,SSL 解密和 MAC 比较可能会失败。因此,您可能会看到 SSL 握手失败、VPX 状态抖动、VPX 实例 GUI 不可用以及虚拟服务器和应用程序出现故障。

注意:在 SDX 8900、SDX 15000、SDX 15000-50G、SDX 26000 和 SDX 26000-50S 平台上会出现此问题。

[NHELP-31672]

Citrix Gateway

在某些情况下,由于某些使用端口 53 的非 DNS 协议(例如 STUN)出现问题,适用于 macOS 的 Citrix Secure Access 会中断连接。

[NHELP-31004]

如果配置了 “始终打开”,则由于 aoservice.exe 文件中的版本号 (1.1.1.1) 不正确,用户隧道将失败。

[NHELP-30662]

将 “networkAccessonVPNFailure” 始终开启配置文件参数从 “完全访问” 更改为 “OnlyToGateway” 后,用户无法连接到 Citrix Gateway 设备。

[NHELP-30236]

Windows VPN 客户端不接受来自服务器的 “SSL 关闭通知” 警报,而是在同一连接上发送转移登录请求。

[NHELP-29675]

在某些情况下,当服务器证书受信任时,服务器验证代码会失败。因此,最终用户无法访问网关。

[NSHELP-28942]

如果 macOS 钥匙串中没有客户端证书,则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

[NSHELP-28551]

有时,设置客户端空闲超时后,用户会在几秒钟内注销 Citrix Gateway。

[NSHELP-28404]

您无法使用 GUI 解除经典授权策略的绑定。但是,您可以使用 CLI 解除身份验证、授权和审核授权策略的绑定。

通过此修复,您现在可以使用 GUI 取消绑定授权策略。

[NSHELP-27064]

在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

  • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

解决方法:

仅在 HA 同步完成后执行连续的手动 HA 故障切换(两个节点都处于同步成功状态)。

[NSHELP-25598]

适用于 Windows 的 EPA 插件不使用本地计算机配置的代理,而是直接连接到网关服务器。

[NSHELP-24848]

Gateway Insight 不会显示有关 VPN 用户的准确信息。

[NSHELP-23937]

如果满足以下条件,VPN 插件在 Windows 登录后不会建立隧道:

  • Citrix Gateway 设备已配置为 “始终开启” 功能
  • 设备配置为使用双因素身份验证的基于证书的身份验证 off

[NSHELP-23584]

有时在浏览模式时,会出 Cannot read property 'type' of undefined 现错误消息。

[NSHELP-21897]

如果您想在 Windows 登录功能之前使用始终开启 VPN,建议升级到 Citrix Gateway 13.0 或更高版本。这使您能够利用版本 13.0 中引入的 12.1 版本中没有的其他增强功能。

[CGOP-19355]

Gateway Insight 中不会报告由于 STA 票证无效而导致的应用程序启动失败。

[CGOP-13621]

Gateway Insight 在 SAML 错误失败的“身份验证类型”字段中报告错误地显示了值 Local 而非 SAML

[CGOP-13584]

在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数将增加,而不是 Citrix ADM 中的故障转移计数。

[CGOP-13511]

从 MAC Receiver 版本 19.6.0.32 或 Citrix Virtual Apps and Desktops 7.18 版启动 ICA 连接时,HDX Insight 功能将被禁用。

[CGOP-13494]

启用 EDT Insight 功能后,有时音频通道可能会在网络差异期间失败。

[CGOP-13493]

在接受来自浏览器的本地主机连接时,macOS 的 “ 接受连接 ” 对话框会以英语显示内容,而不考虑所选的语言。

[CGOP-13050]

对于某些语言,Citrix SSO 应用程序 > 主页中的文本 Home Page 会被截断。

[CGOP-13049]

从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

[CGOP-11830]

在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”将显示 严重错误 对话框。此外,页面变得无响应。

[CGOP-7269]

负载平衡

在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

[NSLB-7679]

服务组 entityofs 陷阱中的 ServiceGroupName 格式如下所示: <service(group)name>?<ip/DBS>?<port>

在陷阱格式中,服务组由 IP 地址或 DBS 名称和端口标识。问号 (?) 用作分隔符。Citrix ADC 发送带有问号 (?) 的陷阱。该格式在 Citrix ADM GUI 中显示的内容相同。这是预期的行为。

[NSHELP-28080]

其他

在高可用性设置中进行强制同步时,设备将在辅助节点中运行 set urlfiltering parameter 命令。 因此,辅助节点将跳过任何计划的更新,直到 TimeOfDayToUpdateDB 参数中提到的下一个计划时间为止。

[NSSWG-849]

如果 URL 筛选第三方供应商出现连接问题,Citrix ADC 设备可能会由于管理 CPU 停滞而重新启动。

[NSHELP-22409]

网络连接

在支持 DPDK 的 Citrix ADC BLX 设备中,DPDK Intel i350 网卡端口不支持标记的 VLAN。这是因为这是 DPDK 驱动程序中存在的已知问题。

[NSNET-25299]

如果满足以下所有条件,带有 DPDK 的 Citrix ADC BLX 设备可能无法重新启动:

  • Citrix ADC BLX 设备分配的 hugepages 数量很少。例如,1G。
  • Citrix ADC BLX 设备分配了大量的工作进程。例如,28。

该问题在 /var/log/ns.log 中记录为错误消息:

  • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

注意:x是一个小于等于工作进程数的数字。

解决方法:

分配大量的 hugepages,然后重新启动设备。

[NSNET-25173]

如果满足以下条件,带有 DPDK 的 Citrix ADC BLX 设备可能无法重新启动:

  • Citrix ADC BLX 设备分配了大量的 hugepages. 例如,16 GB。

该问题在 /var/log/ns.log 中记录为错误消息:

  • EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

解决方法:

使用以下解决方法之一来解决此问题:

  • 通过使用 ulimit 命令或编辑文件来增加 Linux 主机上的打开 limits.conf 文件限制。
  • 减少分配的 hugepages 的数量。

[NSNET-24727]

由于 DPDK 易用性功能,处于 DPDK 模式下的 Citrix ADC BLX 设备可能需要更长的时间才能重新启动。

[NSNET-24449]

带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

  • 禁用
  • 启用
  • 重置

[NSNET-16559]

在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

解决方法:

在安装 Citrix ADC BLX 设备之前,请在 Linux 主机 CLI 中运行以下命令:

  • dpkg — 添加架构 i386
  • apt-get 更新
  • apt-get dist-upgrade
  • apt-get 安装 libc6: i386

[NSNET-14602]

在某些 FTP 数据连接情况下,Citrix ADC 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。

[NSNET-5233]

在 Citrix ADC 设备中更改管理分区内存限制时,TCP 缓冲内存限制将自动设置为管理员分区新内存限制。

[NSHELP-21082]

平台

高可用性故障转移在 AWS 和 GCP 云中不起作用。管理 CPU 在 AWS 和 GCP 云中可能达到其 100% 的容量,而 Citrix ADC VPX 本地容量可能会达到 100%。这两个问题都是在满足以下条件时引起的:

  1. 在 Citrix ADC 设备的首次启动期间,您不会保存提示的密码。
  2. 随后,您重新启动 Citrix ADC 设备。

[NSPLAT-22013]

当您从 13.0/12.1/11.1 版本升级到 13.1 版本或从 13.1 版本降级到 13.0/12.1/11.1 版本时,Citrix ADC 设备上未安装某些 python 软件包。以下 Citrix ADC 版本的此问题已修复:

  • 13.1-4.x
  • 13.0—82.31 及更高版本
  • 12.1—62.21 及更高版本

当您将 Citrix ADC 版本从 13.1-4.x 降级到以下任何版本时,不会安装 python 软件包:

  • 任何 11.1 版本
  • 12.1—62.21 及更早版本
  • 13.0-81.x 及更早版本

[NSPLAT-21691]

在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第二个节点和 CLIP 上存在 CLAG MAC 不匹配:

  • CLAG 是在 Mellanox 网卡上创建的。
  • 您将另一个 VPX 实例添加到集群和 CLAG 设置。

因此,到 VPX 实例的流量会停止。

[NSPLAT-21049]

在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,第一个节点将因 CLIP 和 MAC 表上的 MAC 地址不匹配而关闭:

  • CLAG 是在 Mellanox 网卡上创建的。
  • 从群集中删除第二个节点。

[NSPLAT-21042]

从 Azure 资源组中删除自动缩放设置或 VM 比例集时,请从 Citrix ADC 实例中删除相应的云配置文件配置。使用命 rm cloudprofile 令删除配置文件。

[NSPLAT-4520]

在 Azure 上的高可用性设置中,通过 GUI 登录到辅助节点时,将显示用于自动缩放云配置文件配置的首次用户 (FTU) 屏幕。 解决办法:跳过屏幕,然后登录主节点以创建云配置文件。必须始终在主节点上配置云配置文件。

[NSPLAT-4451]

从 Citrix ADC 版本 13.1 起,Citrix ADC 设备无法在具有 8 个 VMXNET3 网络接口的 ESXi 虚拟机管理程序中启动。

[NHELP-31266]

策略

如果处理数据的大小超过配置的默认 TCP 缓冲区大小,则连接可能会挂起。解决办法:将 TCP 缓冲区大小设置为需要处理的最大数据大小。

[NSPOLICY-1267]

在某些情况下,当分配操作与 AppExpert 变量的清除操作一起使用时,Citrix ADC 设备可能会崩溃。

[NHELP-29766]

SSL

在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

解决方法:

  1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
  2. 保存配置。

[NSSSL-9572]

如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

[NSSSL-6478]

您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

[NSSSL-6213]

如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。 错误:crl 刷新已禁用

[NSSSL-6106]

会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

[NSSSL-4427]

如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会 Warning: No usable ciphers configured on the SSL vserver/service, 显示不正确的警告消息。

[NSSSL-4001]

在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。

[NSSSL-3184、NSSSL-1379、NSSSL-1394]

在 MPX 8900 和 MPX 15000 FIPS 认证的设备上,运行 ECDHE 流量可能会导致内存泄漏。

[NHELP-30744]

系统

如果配置了响应程序策略,并且您添加了一些导致标头损坏的重写策略,Citrix ADC VPX 实例可能会崩溃。

解决方法:

移除响应程序策略。

[NSHELP-28512, NSHELP-30415]

如果设备没有从客户端收到 max_concurrent_stream 设置帧,则默认情况下, MAX_CONCURRENT_STRE AMS 值设置为 100。

[NSHELP-21240]

mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。

[NSHELP-10972]

在群集部署中,如果您在非 CCO 节点上运行 force cluster sync 命令,ns.log 文件将包含重复的日志条目。[NSBASE-16304、NSGI-1293]

在 Kubernetes 集群上安装 Citrix ADM 时,它无法按预期工作,因为所需的进程可能无法启动。

解决办法:重新启动“管理”窗格。

[NSBASE-15556]

当为智能分析配置 LogStream 传输类型时,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 会反转。

[NSBASE-8506]

Citrix ADC 设备会丢弃包含带点 (”的自定义 HTTP 标头的数据包。标头名称字段中的“) 字符。之所以发生此操作,是因为默认 HTTP 配置文件中默认启用 allowOnlyWordCharactersAndHyphen 参数。

解决办法:在默认 HTTP 配置文件中禁用 allowOnlyWordCharactersAndHyphen。但是,Citrix 建议您保持启用状态。

[NSBASE-16722]

用户界面

对于 MQTT 重写功能,无法使用 GUI 中的表达式编辑器删除表达式。

解决方法:

通过 CLI 使用 MQTT 类型的添加或编辑操作命令。

[NSUI-18049]

在 Citrix ADC GUI 中, Dashboard 选项卡下显示的 Help 链接已断开。

[NSUI-14752]

创建/监控 CloudBridge Connector 向导可能会变得无响应或无法配置 cloudbridge 连接器。

解决方法:

通过使用 Citrix ADC GUI 或 CLI 添加 IPsec 配置文件、IP 隧道和 PBR 规则来配置云桥连接器。

[NSUI-13024]

如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。

[NSUI-6838]

在 Citrix ADC BLX 设备的高可用性设置中,主节点可能会在阻止任何 CLI 或 API 请求时变得无响应。

解决方法:

重新启动主节点。

[NSCONFIG-6601]

如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

  1. 将 Citrix ADC 设备升级到其中一个版本:
  • 13.0 52.24 构建
  • 12.1 57.18 构建
  • 11.1 65.10 构建
  1. 添加系统用户或更改现有系统用户的密码,然后保存配置,
  2. 将 Citrix ADC 设备降级为任何较旧的版本。

要使用 CLI 显示这些系统用户的列表: 在命令提示符下键入:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

解决方法:

要解决此问题,请使用以下独立选项之一:

  • 如果 Citrix ADC 设备尚未降级(前面提到的步骤中的步骤 3),请使用同一版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
  • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
  • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

有关更多信息,请参阅 如何重置根管理员 (nsroot) 密码

[NSCONFIG-3188]

备注