Citrix ADC

Citrix ADC 13.1-24.38 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 Build 13.1-24.38 的增强功能和更改、已修复的问题和已知问题。

备注

本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。

Build 13.1-24.38 及更高版本解决了 https://support.citrix.com/article/CTX457836 中所述的安全漏洞。

新增功能

版本 13.1-24.38 中提供的增强功能和更改。

负载平衡

高可用性 INC 模式的连接故障转移支持

当满足以下所有条件时,Citrix ADC 现在支持高可用性 INC 模式的连接故障转移:

  • 虚拟服务器服务类型为 ANY。
  • 模式为 DSR (MAC、IPTUNNEL 或 TOS)。
  • 在绑定到虚拟服务器的服务上启用 USIP。

[NSLB-9121]

支持 CAA 记录

Citrix ADC 设备现在支持添加证书颁发机构授权 (CAA) 记录。CAA 记录是一种域名系统 (DNS) 记录,允许域所有者指定哪个证书颁发机构 (CA) 可以为域颁发 SSL 证书。

此增强功能为您的网络形象提供了一层额外的保护。没有 CAA 记录可能会导致安全风险,因为任何人都可以为域生成证书签名请求 (CSR) 并获得任何 CA 签名的证书。

[NSLB-9007]

平台

在 Citrix ADC SDX 8015 平台上,熄灯管理 (LOM) 版本已从 3.21 升级到 3.56。

在 Citrix ADC SDX 14000、SDX 14000-40G、SDX 14000-40S 和 SDX 14000-FIPS 平台上,LOM 版本已从 4.08 升级到 4.14。

[NSPLAT-23416]

支持在 Azure 上使用 VMSS 跨资源组使用 Citrix ADC 后端自动缩放

在以下情况下,Citrix ADC VPX 实例现在支持跨资源组的 Azure 后端自动扩展:

Azure VMSS 和 Citrix ADC VPX 实例部署在同一 Azure 虚拟网络中。 Azure VMSS 和 Citrix ADC VPX 实例部署在同一 Azure 订阅的不同 Azure 虚拟网络中。这两个虚拟网络必须使用 Azure 的虚拟网络对等功能进行连接。

此功能使您能够在不同的资源组中隔离应用程序和网络资源。

早些时候,只有在同一个资源组中部署 VMSS 和 Citrix ADC VPX 实例时,Azure 上的 Citrix ADC 后端自动缩放才起作用。

[NSPLAT-16664]

系统

指标收集器上的订阅计数器

Citrix ADC 设备现在支持订阅指标收集器上的计数器的选项。 指标收集器支持每 30 秒导出不同格式的时间序列分析数据,如 AVRO、Prometheus 格式和 Influx DB 格式。指标收集器支持计数器的动态更新,使您能够将所需的计数器添加到架构文件中。您可以使用 CLI 界面配置架构文件名。指标收集器从架构文件中读取计数器名称并将其导出。

以前,指标收集器仅支持在编译时导出一组预定义的计数器。计数器列表中的任何更改都需要进行内部版本升级。 有关更多信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/current-release/ns-ag-appflow-intro-wrapper-con/ns-ag-appflow-config-tsk.html

[NSBASE-11595]

用户界面

配置 Citrix ADC 许可证过期警报

现在,您可以将 Citrix ADC 设备配置为在 Citrix ADC 许可证到期前的指定天数内执行以下警报操作:

  • 在 Citrix ADC GUI 上显示许可证到期警报横幅。
  • 如果启用了 SNMP 警报,则定期向配置的陷阱侦听器发送包含许可证过期信息的 NS_LICENSE_EXPIRY SNMP 陷阱。

[NSCONFIG-6360]

已修复的问题

Build 13.1-24.38 中解决的问题。

身份验证、授权和审核

在统一网关设置中,在极少数情况下,即使身份验证成功后,在访问统一网关后面的服务时,您也可能会看到重新登录页面。

[NSHELP-31148、NSHELP-27994]

对于在 URL 查询中发送键值参数的后端服务器,基于表单的 SSO 失败。

[NHELP-30975]

由于 OAuth 配置中缺少目标 URL,Citrix ADC 设备可能会因内存分配过大而崩溃。

[NHELP-30963]

在隐身模式下使用 Chrome 时,您可能会遇到间歇性的 RADIUS 身份验证问题。

[NHELP-30944]

由于从数据包引擎到身份验证、授权和 auditingD 的传入密码长度丢失或不正确,Citrix ADC 设备的身份验证、授权和 auditingD 模块可能会崩溃。

[NHELP-30911]

在 nFactor 推送操作期间,Citrix ADC 设备崩溃。

[NHELP-30577]

由于 Citrix ADC 设备添加的标头不正确,通过 Outlook 应用程序连接到 Outlook Exchange 服务器时可能会出现间歇性故障。

[NHELP-30555]

如果核心到核心通信出现故障,Citrix ADC 设备可能会因内存损坏而崩溃。

[NHELP-30275]

触发密码更改事件时,在身份验证会话期间,单点登录失败。只有在启用 persistentLogin 尝试参数时才会出现此问题。

[NHELP-28085]

在某些情况下,在 RADIUS 身份验证过程中会显示 invalid credentials 错误消息。使用 Google Chrome 浏览器从客户端设备访问 Citrix ADC 设备时会出现此错误。

[NSHELP-27113]

当 Citrix ADC 设备执行嵌套 LDAP 组搜索时,由于 Citrix ADC 设备的行为无效,活动目录中的某些组信息会丢失。即使 groupSearchSubAttribute 参数配置得当,ADC 设备也会采用错误的值。

[NSHELP-26316]

在基于 401 的身份验证流程中,当 NOAUTH 配置为第一个因素并将协商配置为后续因素时,Citrix ADC 设备将转储核心。

[NHELP-25203]

Citrix ADC SDX 设备

在 Citrix ADC SDX GUI 上,如果 NTP 配置文件 (ntp.conf) 的任何一行中只有空格,则显示 NTP 服务器可能会冻结用户界面。

[NHELP-31530]

在装有 Mellanox 网卡的 Citrix ADC SDX 设备上,修改具有 Mellanox NIC 的 VPX 实例的吞吐量会重新启动 VPX 实例。

[NSHELP-31305]

将 Citrix ADC SDX 设备升级到版本 13.1 版本 21.50 或更高版本后,SSL 解密和 MAC 比较可能会失败。因此,您可能会看到 SSL 握手失败、VPX 状态抖动、VPX 实例 GUI 不可用以及虚拟服务器和应用程序出现故障。

注意:在 SDX 8900、SDX 15000、SDX 15000-50G、SDX 26000 和 SDX 26000-50S 平台上会出现此问题。

[NHELP-31672]

Citrix Gateway

在极少数情况下,配置了 VPN 虚拟服务器的 Citrix ADC 设备在成功登录 Citrix Gateway 后可能会崩溃。

[NHELP-31481]

在 ICA DTLS 设置中,Citrix Gateway 设备在处理 STA 票证时崩溃。

[NHELP-31211]

Citrix ADC 设备错误地记录了指示流量为 Allowed 授权策略拒绝的 UDP 流量的 UDPFLOWSTAT 消息。

[NHELP-29542]

配置出站代理时,Citrix ADC 设备中会观察到内存泄漏。

[NSHELP-29234]

除非条目数更改为每页 2000,否则“活动用户会话”页不会显示所有活动用户会话。

通过此修复,将在列出所有用户会话和连接的管理 UI 中添加一个新链接 All user session (Citrix Gateway -> 监视连接 > 所有用户会话)。

[NHELP-29151]

show vpn icaConnection 命令输出未正确显示 ICA 连接的序列号。之所以出现此问题,是因为在 show vpn icaconnection 运行时会任意重置序列号。

[NHELP-25646]

Citrix Web App Firewall

Web App Firewall 策略可以在配置 (ns.conf) 文件中保存两次。

[NHELP-30899]

在包含引号(单引号、双引号或反引号)的 WAF SQL 注入中,必须存在起始和结束引号,才能将模式标记为攻击。但是,当模式中存在注释时,不需要结尾报价。

[NHELP-30379]

负载平衡

在 ADC 应用装置上启用 ECS 且找不到位置时, 作用域前缀设置不正确。此问题会导致创建错误的持久性条目。错误的持久性条目是基于 LDNS IP 地址而非基于邻近的非静态的 GSLB 方法的请求中收到的 ECS IP 地址创建的。

[NHELP-30846]

在罕见的竞争条件下,当 Citrix ADC 设备上存在以下配置时,数据包引擎可能会因核心转储而崩溃:

  • GSLB 虚拟服务器配置了基于源 IP 地址的持久性,并且在绑定到 ADNS 服务的 DNS 配置文件上启用 DNS 日志记录。
  • DNS 负载平衡服务器配置时未在 DNS 配置文件上启用 DNS 日志记录。

[NSHELP-29791]

其他

门户 jQuery UI 已从 1.12.1 更新为 1.13.1,以解决安全公告(CVE-2021-41182、CVE-2021-41183 和 CVE-2021-41184)中描述的漏洞。

[NHELP-30209]

网络连接

在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件 (/etc/blx/blx.conf) 设置如何,Citrix ADC BLX 设备始终以共享模式部署。出现此问题的原因是 mawk,在基于 Debian 的 Linux 系统上默认存在,它没有运行 blx.conf 文件中存在的某些 awk 命令。

[NSNET-14603]

在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

  • 设备中不存在 LSN 过滤和映射条目。

[NHELP-30225]

如果在某些数据包与 ACL 规则匹配时取消数据集与 ACL 规则的绑定,Citrix ADC 设备可能会崩溃。

[NHELP-30221]

在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

  • 删除筛选条目时,会话引用计数不为零。

[NHELP-29348]

平台

在具有单包映像 (SBI) 和 VPX 版本 13.1-24.x 或更高版本的 Citrix ADC SDX 设备上,支持在 Fortville NIC 上使用 VRRP 的主动-主动部署。在 L2 模式下不支持此部署。

以下几点适用于部署:

  • Citrix 建议在升级或降级关联的 VPX 实例之前从管理服务中删除 VRID 配置。升级或降级操作完成后,从管理服务添加 VRID 配置。
  • 如果不遵循上述建议,则必须从管理服务手动重新发现 VPX 实例,以启用 VRRP 收敛。

[NHELP-30670]

当 RPC 节点的密码包含特殊字符时,GCP 和 AWS 云上的 Citrix ADC VPX 实例的高可用性故障转移将失败。

[NSHELP-28600]

策略

在某些情况下,当分配操作与 AppExpert 变量的清除操作一起使用时,Citrix ADC 设备可能会崩溃。

[NHELP-29766]

SSL

由于 SAML 等内部应用程序在一段时间内持续使用 API 进行加密操作,Citrix ADC MPX/SDX 14000 FIPS 设备可能会崩溃。

[NHELP-27952]

系统

即使启用了 AppFlow 参数 TimeSeriesOverNSIP ,REST 收集器也会关闭。

[NHELP-30759]

在 Citrix ADC 设备中,如果满足以下条件,则会在 HTTP/2 事务中观察到延迟问题:

  • 已在后端服务上启用 HTTP/2 SSL 配置
  • 服务不支持 HTTP/2 协议。

[NHELP-30020]

Citrix ADC 设备在服务 SYN 泛洪计数器上报告虚假的 SNMP 警报。

[NSHELP-28710、NSHELP-28713]

用户界面

如果升级了配置了池许可的 Citrix ADC 设备,则该设备可能会使用部分配置重新启动。

[NHELP-30926]

在 Citrix ADC 设备中,使用 GUI 界面绑定缓存策略以覆盖全局或默认全局失败,并显示以下错误:

  • 缺少必需的参数。

使用 CLI 界面绑定缓存策略时未出现此错误。

[NHELP-30826]

在 Citrix ADC GUI 管理证书 > CSR 页面中,搜索筛选器不适用于“名称”键。

[NHELP-30274]

已知问题

13.1-24.38 版中存在的问题。

AppFlow

HDX Insight 不会报告因用户尝试启动用户无权访问的应用程序或桌面而导致的应用程序启动失败。

[NSINSIGHT-943]

身份验证、授权和审核

Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

[NSHELP-563]

DualAuthPushOrOTP.xml LoginSchema 未正确显示在 Citrix ADC GUI 的登录架构编辑器屏幕中。

[NSAUTH-6106]

可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。 show adfsproxyprofile <profile name>

解决方法:

连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

[NSAUTH-5916]

如果执行以下步骤,Citrix ADC GUI 上的配置身份验证 LDAP 服务器页面将无响应:

  • 测试 LDAP 可达性选项已打开。
  • 填充并提交了无效的登录凭据。
  • 将填充并提交有效的登录凭据。

解决方法:

关闭并打开“测试 LDAP 可达性”选项。

[NSAUTH-2147]

缓存

如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

[NSHELP-22942]

Citrix ADC SDX 设备

在 Citrix ADC SDX 设备上,如果 CLAG 是在 Mellanox 网卡上创建的,则当 VPX 实例重新启动时,CLAG MAC 将更改。VPX 实例的流量在重启后停止,因为 MAC 表包含旧的 CLAG MAC 条目。

[NSSVM-4333]

如果证书名称或密钥名称包含任何空格,则在 Citrix ADC SDX 设备上安装 SSL 证书将失败。

[NHELP-31711]

在 Citrix ADC SDX 设备上,配置突增吞吐量分配模式时,ADC 实例不会突增至最大容量。

[NSHELP-27477]

如果满足以下条件,则会在 Citrix ADC SDX 设备上托管的 VPX 实例上看到丢包:

  • 吞吐量分配模式为突发。
  • 吞吐量和最大突增容量之间存在很大差异。

[NSHELP-21992]

Citrix Gateway

如果配置了“始终打开”,则由于 aoservice.exe 文件中的版本号 (1.1.1.1) 不正确,用户通道将失败。

[NHELP-30662]

将“networkAccessOnVPNFailure”始终开启配置文件参数从“fullAccess”更改为“onlyToGateway”后,用户无法连接到 Citrix Gateway 设备。

[NHELP-30236]

网关插件成功建立 VPN 通道后,不会立即显示网关主页。要修复此问题,引入了以下注册表值。 \HKLM\Software\Citrix\Secure Access Client\SecureChannelResetTimeoutSeconds 类型:DWORD

[NHELP-30189]

Windows VPN 客户端不接受来自服务器的“SSL 关闭通知”警报,而是在同一连接上发送转移登录请求。

[NHELP-29675]

在某些情况下,当服务器证书受信任时,服务器验证代码会失败。因此,最终用户无法访问网关。

[NSHELP-28942]

您可能会注意到 rdx.js 文件中有一些 Citrix 内部 IP 地址。

[NHELP-28682]

如果 macOS 钥匙串中没有客户端证书,则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

[NSHELP-28551]

有时,设置客户端空闲超时后,用户会在几秒钟内注销 Citrix Gateway。

[NSHELP-28404]

您无法使用 GUI 解除经典授权策略的绑定。但是,您可以使用 CLI 解除身份验证、授权和审核授权策略的绑定。

通过此修复,您现在可以使用 GUI 取消绑定授权策略。

[NSHELP-27064]

适用于 Windows 的 EPA 插件不使用本地计算机配置的代理,而是直接连接到网关服务器。

[NSHELP-24848]

Gateway Insight 不会显示有关 VPN 用户的准确信息。

[NSHELP-23937]

如果满足以下条件,VPN 插件在 Windows 登录后不会建立通道:

  • Citrix Gateway 设备已配置为“始终开启”功能
  • 设备配置为使用双因素身份验证的基于证书的身份验证 off

[NSHELP-23584]

有时在浏览模式时,会出 Cannot read property 'type' of undefined 现错误消息。

[NSHELP-21897]

如果您想在 Windows 登录功能之前使用始终开启 VPN,建议升级到 Citrix Gateway 13.0 或更高版本。这使您能够利用版本 13.0 中引入的 12.1 版本中没有的其他增强功能。

[CGOP-19355]

Gateway Insight 中不会报告因 STA 票证无效而导致的应用程序启动失败。

[CGOP-13621]

对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示值 Local,而非显示 SAML

[CGOP-13584]

在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

[CGOP-13511]

从 MAC Receiver版本 19.6.0.32 或 Citrix Virtual Apps and Desktops 7.18 版本启动 ICA 连接时,HDX Insight 功能将被禁用。

[CGOP-13494]

启用 EDT Insight 功能后,有时音频通道可能会在出现网络差异时出现故障。

[CGOP-13493]

接受来自浏览器的本地主机连接时,适用于 macOS 的“接受连接”对话框将以英语显示内容,而不考虑所选的语言。

[CGOP-13050]

对于某些语言,Citrix SSO 应用程序 > 主页中的文本 Home Page 将被截断。

[CGOP-13049]

从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

[CGOP-11830]

在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的选项将显示严重错误对话框。此外,页面变得无响应。

[CGOP-7269]

负载平衡

在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

[NSLB-7679]

服务组的 entityofs 陷阱中的 serviceGroupName 格式如下所示: <service(group)name>?<ip/DBS>?<port>

在陷阱格式中,服务组由 IP 地址或 DBS 名称和端口标识。问号 (?) 用作分隔符。Citrix ADC 发送带有问号 (?) 的陷阱。该格式在 Citrix ADM GUI 中显示的内容相同。这是预期的行为。

[NSHELP-28080]

在某些情况下,绑定到服务组的服务器会显示无效的 Cookie 值。您可以在跟踪日志中看到正确的 cookie 值。

[NHELP-21196]

其他

在高可用性设置中进行强制同步时,设备将在辅助节点中执行 set urlfiltering parameter 命令。 因此,辅助节点将跳过任何计划的更新,直到 TimeOfDayToUpdateDB 参数中提到的下一个计划时间为止。

[NSSWG-849]

如果 URL 筛选第三方供应商出现连接问题,Citrix ADC 设备可能会由于管理 CPU 停滞而重新启动。

[NSHELP-22409]

网络连接

在支持 DPDK 的 Citrix ADC BLX 设备中,DPDK Intel i350 网卡端口不支持标记的 VLAN。这是因为这是 DPDK 驱动程序中存在的已知问题。

[NSNET-25299]

如果满足以下所有条件,带有 DPDK 的 Citrix ADC BLX 设备可能无法重新启动:

  • Citrix ADC BLX 设备分配的 hugepages 数量很少。例如,1G。
  • Citrix ADC BLX 设备分配了大量的工作进程。例如,28。

该问题在 /var/log/ns.log 中记录为错误消息:

  • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

注意:x是一个小于等于工作进程数的数字。

解决方法:

分配大量的 hugepages,然后重新启动设备。

[NSNET-25173]

如果满足以下条件,带有 DPDK 的 Citrix ADC BLX 设备可能无法重新启动:

  • Citrix ADC BLX 设备分配了大量的 hugepages. 例如,16 GB。

该问题在 /var/log/ns.log 中记录为错误消息:

  • EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

解决方法:

使用以下解决方法之一来解决此问题:

  • 通过使用 ulimit 命令或编辑文件来增加 Linux 主机上的打开 limits.conf 文件限制。
  • 减少分配的 hugepages 的数量。

[NSNET-24727]

由于 DPDK 易用性功能,处于 DPDK 模式下的 Citrix ADC BLX 设备可能需要更长的时间才能重新启动。

[NSNET-24449]

带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

  • 禁用
  • 启用
  • 重置

[NSNET-16559]

在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

解决方法:

在安装 Citrix ADC BLX 设备之前,请在 Linux 主机 CLI 中运行以下命令:

  • dpkg — 添加架构 i386
  • apt-get 更新
  • apt-get dist-upgrade
  • apt-get 安装 libc6: i386

[NSNET-14602]

在某些 FTP 数据连接情况下,Citrix ADC 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。

[NSNET-5233]

在 Citrix ADC 设备中更改管理分区内存限制时,TCP 缓冲内存限制将自动设置为管理分区新内存限制。

[NSHELP-21082]

平台

高可用性故障转移在 AWS 和 GCP 云中不起作用。管理 CPU 在 AWS 和 GCP 云中可能达到其 100% 的容量,而 Citrix ADC VPX 本地容量可能会达到 100%。这两个问题都是在满足以下条件时引起的:

  1. 在 Citrix ADC 设备的首次启动期间,您不会保存提示的密码。
  2. 随后,您重新启动 Citrix ADC 设备。

[NSPLAT-22013]

当您从 13.0/12.1/11.1 版本升级到 13.1 版本或从 13.1 版本降级到 13.0/12.1/11.1 版本时,Citrix ADC 设备上未安装某些 python 软件包。以下 Citrix ADC 版本的此问题已修复:

  • 13.1-4.x
  • 13.0-82.31 及更高版本
  • 12.1-62.21 及更高版本

当您将 Citrix ADC 版本从 13.1-4.x 降级到以下任何版本时,不会安装 python 软件包:

  • 任何 11.1 版本
  • 12.1-62.21 及更早版本
  • 13.0-81.x 及更早版本

[NSPLAT-21691]

在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第二个节点和 CLIP 上存在 CLAG MAC 不匹配:

  • CLAG 是在 Mellanox 网卡上创建的。
  • 您将另一个 VPX 实例添加到集群和 CLAG 设置。

因此,到 VPX 实例的流量会停止。

[NSPLAT-21049]

在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第一个节点会因为 CLIP 和 MAC 表上的 MAC 地址不匹配而关闭:

  • CLAG 是在 Mellanox 网卡上创建的。
  • 从群集中删除第二个节点。

[NSPLAT-21042]

从 Azure 资源组中删除自动缩放设置或 VM 比例集时,请从 Citrix ADC 实例中删除相应的云配置文件配置。使用命 rm cloudprofile 令删除配置文件。

[NSPLAT-4520]

在 Azure 上的高可用性设置中,通过 GUI 登录到辅助节点时,将显示用于自动缩放云配置文件配置的首次用户 (FTU) 屏幕。 解决办法:跳过屏幕,然后登录主节点以创建云配置文件。云配置文件应始终在主节点上配置。

[NSPLAT-4451]

从 Citrix ADC 版本 13.1 起,Citrix ADC 设备无法在具有 8 个 VMXNET3 网络接口的 ESXi 虚拟机管理程序中启动。

[NHELP-31266]

策略

如果处理数据的大小超过配置的默认 TCP 缓冲区大小,则连接可能会挂起。解决办法:将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

[NSPOLICY-1267]

SSL

在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

解决方法:

  1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
  2. 保存配置。

[NSSSL-9572]

如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

[NSSSL-6478]

您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

[NSSSL-6213]

如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。 错误:crl 刷新已禁用

[NSSSL-6106]

会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

[NSSSL-4427]

如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会 Warning: No usable ciphers configured on the SSL vserver/service, 显示不正确的警告消息。

[NSSSL-4001]

在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。[NSSSL-3184、NSSSL-1379、NSSSL-1394]

在 MPX 8900 和 MPX 15000 FIPS 认证的设备上,运行 ECDHE 流量可能会导致内存泄漏。

[NHELP-30744]

系统

如果设备没有从客户端收到 max_concurrent_stream 设置帧,则默认情况下,MAX_CONCURRENT_STREAMS 值设置为 100。

[NSHELP-21240]

mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。

[NSHELP-10972]

在群集部署中,如果在非 CCO 节点上运行 force cluster sync 命令,ns.log 文件将包含重复的日志条目。[NSBASE-16304、NSGI-1293]

在 Kubernetes 集群上安装 Citrix ADM 时,它无法按预期工作,因为所需的进程可能无法启动。

解决办法:重新启动“管理”窗格。

[NSBASE-15556]

当为 Insight 配置 LogStream 传输类型时,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 将反转。

[NSBASE-8506]

Citrix ADC 设备会丢弃包含带点 (”的自定义 HTTP 标头的数据包。标头名称字段中的“) 字符。之所以发生此操作,是因为默认 HTTP 配置文件中默认启用 allowOnlyWordCharactersAndHyphen 参数。

解决办法:在默认 HTTP 配置文件中禁用 allowOnlyWordCharactersAndHyphen。但是,Citrix 建议您保持启用状态。

[NSBASE-16722]

用户界面

对于 MQTT 重写功能,无法使用 GUI 中的表达式编辑器删除表达式。

解决方法:

通过 CLI 使用 MQTT 类型的添加或编辑操作命令。

[NSUI-18049]

在 Citrix ADC GUI 中, Dashboard 选项卡下显示的 Help 链接已断开。

[NSUI-14752]

创建/监控 CloudBridge Connector 向导可能会变得无响应或无法配置 cloudbridge 连接器。

解决方法:

通过使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则来配置云桥连接器。

[NSUI-13024]

如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。

[NSUI-6838]

在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

  • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

解决方法:

仅在 HA 同步完成后执行连续的手动 HA 故障切换(两个节点都处于同步成功状态)。

[NSHELP-25598]

在 Citrix ADC BLX 设备的高可用性设置中,主节点可能会在阻止任何 CLI 或 API 请求时变得无响应。

解决方法:

重新启动主节点。

[NSCONFIG-6601]

如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

  1. 将 Citrix ADC 设备升级到其中一个版本:
  • 13.0 52.24 构建
  • 12.1 57.18 构建
  • 11.1 65.10 构建
  1. 添加系统用户或更改现有系统用户的密码,然后保存配置,
  2. 将 Citrix ADC 设备降级为任何较旧的版本。

要使用 CLI 显示这些系统用户的列表: 在命令提示符下键入:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

解决方法:

要解决此问题,请使用以下独立选项之一:

  • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
  • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
  • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

[NSCONFIG-3188]

Citrix ADC 13.1-24.38 版本的发行说明