Citrix ADC

Citrix ADC 13.1—27.59 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 Build 13.1—27.59 中存在的增强和更改、已修复和已知问题。

备注

本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。

新增功能

Build 13.1—27.59 中提供的增强功能和更改。

身份验证、授权和审核

使用户能够将 Intune NAC v2 配置与新的Microsoft Graph API 配合使用

您现在可以将 Intune NAC v2 配置与新的 Microsoft Graph API 一起使用,而不是已弃用的 AAD Graph API。

有关更多信息,请参阅 https://docs.citrix.com/en-us/citrix-gateway/current-release/microsoft-intune-integration.html.。另请参阅 https://docs.citrix.com/en-us/citrix-gateway/current-release/microsoft-intune-integration/extended-support-for-azure-ad-graph.html.

[NSAUTH-11897]

机器人管理

用于 Citrix Gateway 设备上的 WAF/Bot 管理样书

您现在可以为 Citrix Gateway 设备配置 WAF 和 BOT 策略以保护网关登录页面。现在有两个新的默认样书可用于 Citrix Gateway 设备上的 WAF/Bot 管理:

  • 使用 WAF 和 BOT Citrix Gateway 登录站点保护的样书
  • 使用 WAF 和 BOT 与 WAF 和 Bot 安全违规的 Citrix Gateway 登录站点保护样书

要在网关上使用默认样书进行 WAF/Bot 管理,请导航到“应用程序”>“配置”>“样书”。在搜索字段中键入样书的名称,然后按 Enter 键。有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-application-delivery-management-software/current-release/stylebooks/how-to-use-default-stylebooks.html%23to-create-a-configuration-from-a-default-stylebook

[NSBOT-755]

为所有 Citrix ADC 高级授权启用机器人检测功能

现在,默认情况下,所有 Citrix ADC 高级授权均启用机器人检测功能以及签名和 IP 信誉检查。

您可以查看进入环境的机器人流量以及 Citrix ADC 设备采取的操作。此外,ADC 设备还会在 SNMP 日志消息中捕获以下机器人流量信息:

  • 检测到的机器人数量
  • 检测到的前两类机器人
  • 您可以在此位置找到有关检测到的机器人的更多详细信息

有关更多信息,请参阅 机器人检测

[NSBOT-752]

Citrix Web App Firewall

自动启用新签名

现在,您可以选择“自动启用新签名”,以允许在更新后自动启用新的 WAF 签名默认规则。

[NSWAF-8825]

WAF 配置文件中的机密字段

现在,您可以在 WAF 配置文件中添加机密字段。发生违规时,这些字段将被屏蔽,不会在 ADC 日志中捕获。以前,您只能使用设置来添加这些字段。

[NSWAF-8525]

HTML 有效负载的自定义关键字支持

您可以添加您选择的关键字,并检查这些配置的关键字是否存在于HTML有效负载中。如果在传入请求中检测到配置的关键字,则可以将 Citrix ADC 设备配置为阻止请求、更新日志或增加日志计数器。

使用此功能,您可以添加 SQL 注入和命令注入检查中未涵盖的关键字,从而减少误报。

[NSWAF-8520]

基于语法的HTML有效载荷命令注入检测方法

下一代 Citrix Web App Firewall 解决方案现已得到增强,可支持基于语法的命令注入检测方法。这种方法减少了 HTML 有效负载中的误报。

以前,仅支持基于模式的方法。

[NSWAF-8270]

网络连接

现在,您可以使用 Citrix ADC CPX 上的 NSIP: 8080 端口进行虚拟服务器配置。此前,此端口是保留的,无法用于用户配置。

[NSNET-25399]

在群集设置中支持 Geneve 通道

Citrix ADC 设备的群集设置现在支持 Geneve 通道。

[NSNET-24773]

在发送 SNMP 陷阱消息时包括严重性级别的增强功能

Citrix ADC VPX 设备现在将严重性级别作为变量绑定包含在 SNMP 陷阱消息中。使用以下带有 severityInfoInTrap 选项的命令:

  • set snmp option -severityInfoInTrap ENABLED

启用此选项后,陷阱严重性级别将包含在 SNMP 陷阱消息中。

[NSNET-21603]

平台

在 AWS 中支持 Citrix ADC 高可用性的 IPv6 地址

Citrix ADC VPX 高可用性对现在支持同一 AWS 可用区中的 IPv6 地址。以前,仅支持 IPv4 地址。

[NSPLAT-16672]

用户界面

微软已从2022年6月起停止对Internet Explorer浏览器的支持。有关详细信息,请参阅 https://support.microsoft.com/en-us/windows/internet-explorer-help-23360e49-9cd3-4dda-ba52-705336cc0de2

从 Citrix ADC 13.1 27.x 版本起,Citrix ADC 设备不再支持 Internet Explorer 访问其 GUI。

当您使用 Internet Explorer 访问 Citrix ADC GUI 时,Citrix ADC 设备会显示一条消息,指出不支持 Internet Explorer。它还推荐了用于访问 GUI 的受支持浏览器列表。

[NSUI-18224]

在 Citrix ADC GUI 中启用或禁用功能的确认提示

现在,当您在 GUI 中启用或禁用 Citrix ADC 功能时,Citrix ADC GUI 会提示您确认操作。确认提示可防止意外启用或禁用 Citrix ADC 功能。

[NSUI-18098]

已修复的问题

Build 13.1—27.59 中解决的问题。

身份验证、授权和审核

不支持终端节点的重写策略(如 /logon/LogonPoint/Resources/List and /cgi/Resources/List )。

[NSHELP-29488]

Citrix ADC SDX 设备

Citrix 服务虚拟机时区设置无法按预期运行。

[NSHELP-32114]

在 Citrix ADC SDX 设备中,由于 SNMP 数据处理量大,检测到的内存使用量更高。

[NSHELP-30222]

在 Citrix ADC SDX 设备上运行的 SDX-ROOT-MIB::xenTable 的 SNMP walk 应用程序花费的时间比预期的要长。

[NSHELP-30085]

Citrix Gateway

有时,用户无法在高级无客户端 VPN 模式下访问书签。

[NSHELP-30939]

在 ICA 代理模式下为 UDP 音频连接配置的 Citrix Gateway 设备可能会因内存损坏而崩溃。

[NSHELP-30919]

ICA 应用程序启动在以下情况下失败:

  • 内容安全策略 (CSP) 功能已启用。
  • 用户从浏览器登录,但使用 Citrix Workspace 应用程序启动该应用程序。

[NSHELP-30534]

启用 HDX Insight 并禁用 NSAP 时,Citrix Gateway 设备可能会在通道解析期间崩溃。

[NSHELP-30029]

如果身份验证规则配置为与登录流程中的某个请求匹配,Gateway Insight 甚至在用户提交登录凭据之前就报告了错误的身份验证失败。

[NSHELP-29313]

如果会话配置文件包含 StoreFront 的 FQDN,则在您输入凭据后,应用程序启动将失败。出现以下错误。

“Http/1.1 内部服务器错误 43531”

通过此修复,客户可以将 FQDN 而不是会话配置文件 WI 地址输入 IP。

[NSHELP-26671]

Citrix Web App Firewall

No user-agent header actionmulti user-agent header action 的日志可能会错误地使用 IP 信誉检查的日志消息。

[NSHELP-31935]

使用速度较慢的 DNS 服务器处理 BOT 签名查找时,Citrix ADC 设备可能会崩溃。

[NSHELP-31642]

如果在签名规则中启用了跨站脚本,Citrix ADC 设备可能会崩溃。

[NSHELP-31617]

负载平衡

在某些情况下,服务的状态与监视器的状态不同步。

[NSHELP-31747]

如果满足以下条件,Citrix ADC 设备将在删除域名服务器期间崩溃:

  • DNS 服务器和名称服务器配置在相同的 IP 地址和端口上。
  • 在 DNS 服务器上设置监听策略。

[NSHELP-31142]

如果存在持久性条目,并且配置了大量虚拟负载平衡虚拟服务器和组虚拟服务器,则 Citrix ADC 设备可能会在清除配置期间崩溃。

[NSHELP-30051]

如果 Citrix ADC 设备上存在未解析的 WIHOME 配置,则创建通配符虚拟服务将失败。

[NSHELP-25627]

其他

在 Citrix ADC 设备中,向设备添加额外的 HDD 时,将在崩溃文件夹 /var/crash/nslog 中创建 /var/nslog 文件的链接。crash 文件夹中可用的 newnslog 文件不会收集在技术支持生成的收集器文件夹中。

[NSHELP-31354]

分配给资源的内存未释放时,Citrix ADC SWG 设备可能会崩溃,从而导致内存使用率过高,即使没有流量也是如此。

[NSHELP-31290]

在配置了公钥系统身份验证的 Citrix ADC 群集设置中,观察到以下问题:

  • VTYSH 不会在群集配置协调器 (CCO) 上显示所有群集节点的信息。

[NSHELP-28762]

平台

在 SDX 26000 平台 (SDX 26100-100G、26160-100G、26200-100G、26250-100G) 上, 可分配给单个 VPX 实例的最大 CPU 内核数从 26 个更改为 25 个 CPU 内核。

[NSPLAT-21233]

BYOL 许可证无法应用于在 ALI 云平台上运行的 Citrix ADC VPX 实例。

[NSHELP-31546]

SSL

将加密单元分配给 VPX 实例并启用巨型配置时,Citrix ADC SDX 设备崩溃。

[NSHELP-30950]

在以下情况下,Citrix ADC 设备可能会崩溃:

  • SSL 和 SSL 服务的负载平衡监视器具有相同的名称
  • SSL 服务已重命名
  • 已删除负载平衡监视器

[NSHELP-30445]

如果启用了 SSL 拦截,且 DNS 服务器未返回有效的 DNS 响应,则网站访问将被阻止。

[NSHELP-30201]

出现以下所有情况时,Citrix ADC 设备会崩溃:

  • 默认 RSA 证书密钥对绑定到内部服务。
  • 非 RSA 证书密钥对绑定到同一服务。
  • 发生高可用性同步。

[NSHELP-30084]

系统

当管理的 Citrix ADM 设备的网络 MTU 大于 1500 时,Citrix ADC 设备会崩溃。

[NSHELP-30835]

在以下情况下,具有客户端测量配置的 Citrix ADC 设备可能会损坏变量,从而导致页面加载失败:

  • HTTP 响应包含一个大于 2000 字节的 javascript 变量。

[NSHELP-30026]

在 Citrix ADC 设备中,如果取消绑定默认高级全局策略并保存配置,则下次重新启动时不会反映所做的更改。

[NSHELP-19867]

Citrix ADC 设备会丢弃包含标头名称字段中带有点字符的自定义 HTTP 标头的数据包。之所以发生此操作,是因为默认情况下,默认 HTTP 配置文件中启用了 allowOnlyWordCharactersAndHyphen 参数。

在 13.1-27.x 及更高版本中,默认 HTTP 配置文件集中的 allowOnlyWordCharactersAndHyphen 参数默认处于禁用状态。但是,Citrix 建议您保持启用此参数以提高安全性。

[NSBASE-16722]

用户界面

您无法在 Citrix ADC 版本 13.0 版本 85.15 版本上使用 GUI 解除负载平衡服务组成员的绑定。

[NSHELP-31474]

Citrix ADC GUI 中的“系统”>“诊断”页面不会显示具有高级许可证的客户的页面详细信息。

[NSHELP-31330]

记录数据包跟踪可能无法在管理分区上按预期工作。

[NSHELP-31321]

在 CLI 界面中运行 show run 命令时输入 CTRL+C 时,重新连接到 Citrix ADC 设备失败,并显示以下错误:

  • Invalid username or password

如果密钥和密码中的字符相同,则会发生此问题。

[NSHELP-30817]

由于升级安装顺序不正确,Citrix ADC 设备中会出现以下问题。

  • 首先更新内核映像,经过几个步骤后,将复制加密密钥。在这些步骤之间,会发生一些故障,ADC 设备会生成一个新映像。新映像中缺少加密密钥会导致解密失败和配置丢失。

[NSHELP-30755]

已知问题

版本 13.1—27.59 中存在的问题。

AppFlow

HDX Insight 不会报告因用户尝试启动用户无权访问的应用程序或桌面而导致的应用程序启动失败。

[NSINSIGHT-943]

身份验证、授权和审核

Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

[NSHELP-563]

DualAuthPushOrOTP.xml LoginSchema 在 Citrix ADC GUI 的登录架构编辑器屏幕中未正确显示。

[NSAUTH-6106]

可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。 show adfsproxyprofile <profile name>

解决方法:

连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

[NSAUTH-5916]

如果执行以下步骤,Citrix ADC GUI 上的配置身份验证 LDAP 服务器页面将无响应:

  • 测试 LDAP 可达性选项已打开。
  • 填充并提交了无效的登录凭据。
  • 将填充并提交有效的登录凭据。

解决方法:

关闭并打开“测试 LDAP 可达性”选项。

[NSAUTH-2147]

缓存

如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

[NSHELP-22942]

Citrix ADC SDX 设备

在 Citrix ADC SDX 设备上,如果 CLAG 是在 Mellanox 网卡上创建的,则当 VPX 实例重新启动时,CLAG MAC 将更改。VPX 实例的流量在重启后停止,因为 MAC 表包含旧的 CLAG MAC 条目。

[NSSVM-4333]

在 Citrix ADC SDX 设备中,VLAN 白名单不会使用分配给 Citrix ADC VPX 实例的 Mellanox 接口的正确值进行更新。

[NSHELP-31849]

升级 Citrix SDX 设备时,即使当前版本和升级后的 SDX 版本的虚拟机管理程序版本相同,管理服务 GUI 中仍会通知以下不正确事件:

SVM 和虚拟机管理程序版本不匹配

[NSHELP-31769]

如果证书名称或密钥名称包含任何空格,则在 Citrix ADC SDX 设备上安装 SSL 证书将失败。

[NHELP-31711]

在 Citrix ADC SDX 设备上,配置突增吞吐量分配模式时,ADC 实例不会突增至最大容量。

[NSHELP-27477]

如果满足以下条件,则会在 Citrix ADC SDX 设备上托管的 VPX 实例上看到丢包:

  • 吞吐量分配模式为突发。
  • 吞吐量和最大突增容量之间存在很大差异。

[NSHELP-21992]

Citrix Gateway

如果出现严重延迟或拥塞,则与 Citrix Secure Access 建立的通道之外的资源的直接连接可能会失败。

[NSHELP-31598]

如果配置了“始终打开”,则由于 aoservice.exe 文件中的版本号 (1.1.1.1) 不正确,用户通道将失败。

[NHELP-30662]

将“networkAccessOnVPNFailure”始终开启配置文件参数从“fullAccess”更改为“onlyToGateway”后,用户无法连接到 Citrix Gateway 设备。

[NHELP-30236]

网关插件成功建立 VPN 通道后,不会立即显示网关主页。要修复此问题,引入了以下注册表值。

\HKLM\Software\Citrix\Secure Access Client\SecureChannelResetTimeoutSeconds 类型:DWORD

默认情况下,不设置或添加此注册表值。当 SecureChannelResetTimeoutSeconds 的值为 0 或未添加时,处理延迟的修复不起作用,这是默认行为。管理员必须在客户端上设置此注册表才能启用此修复(即在网关插件成功建立 VPN 通道后立即显示主页)。

[NHELP-30189]

Windows VPN 客户端不接受来自服务器的“SSL 关闭通知”警报,而是在同一连接上发送转移登录请求。

[NHELP-29675]

在某些情况下,当服务器证书受信任时,服务器验证代码会失败。因此,最终用户无法访问网关。

[NSHELP-28942]

您可能会注意到 rdx.js 文件中有一些 Citrix 内部 IP 地址。

[NHELP-28682]

如果 macOS 钥匙串中没有客户端证书,则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

[NSHELP-28551]

有时,设置客户端空闲超时后,用户会在几秒钟内注销 Citrix Gateway。

[NSHELP-28404]

您无法使用 GUI 解除经典授权策略的绑定。但是,您可以使用 CLI 解除身份验证、授权和审核授权策略的绑定。

通过此修复,您现在可以使用 GUI 取消绑定授权策略。

[NSHELP-27064]

适用于 Windows 的 EPA 插件不使用本地计算机配置的代理,而是直接连接到网关服务器。

[NSHELP-24848]

Gateway Insight 不会显示有关 VPN 用户的准确信息。

[NSHELP-23937]

如果满足以下条件,则 VPN 插件不会在 Windows 登录后建立通道:

  • Citrix Gateway 设备已配置为“始终开启”功能
  • 设备配置为使用双因素身份验证的基于证书的身份验证 off

[NSHELP-23584]

有时在浏览模式时,会出 Cannot read property 'type' of undefined 现错误消息。

[NSHELP-21897]

如果您想在 Windows 登录功能之前使用始终开启 VPN,建议升级到 Citrix Gateway 13.0 或更高版本。这使您能够利用版本 13.0 中引入的 12.1 版本中没有的其他增强功能。

[CGOP-19355]

Gateway Insight 中不会报告由于 STA 票证无效而导致的应用程序启动失败。

[CGOP-13621]

对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示值 Local,而非显示 SAML

[CGOP-13584]

在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

[CGOP-13511]

从 MAC Receiver版本 19.6.0.32 或 Citrix Virtual Apps and Desktops 7.18 版本启动 ICA 连接时,HDX Insight 功能将被禁用。

[CGOP-13494]

启用 EDT Insight 功能后,有时音频通道可能会在出现网络差异时出现故障。

[CGOP-13493]

接受来自浏览器的本地主机连接时,适用于 macOS 的“接受连接”对话框将以英语显示内容,而不考虑所选的语言。

[CGOP-13050]

对于某些语言,Citrix SSO 应用程序 > 主页中的文本 Home Page 将被截断。

[CGOP-13049]

从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

[CGOP-11830]

在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的选项将显示严重错误对话框。此外,页面变得无响应。

[CGOP-7269]

Citrix Web App Firewall

使用速度较慢的 DNS 服务器处理 BOT 签名查找时,Citrix ADC 设备可能会崩溃。

[NSHELP-31642]

如果在签名规则中启用了跨站脚本,Citrix ADC 设备可能会崩溃。

[NSHELP-31617]

负载平衡

在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

[NSLB-7679]

在某些情况下,服务的状态与监视器的状态不同步。

[NSHELP-31747]

如果满足以下条件,Citrix ADC 设备可能会崩溃并转储核心:

  • 静态邻近或 RTT 用作主负载平衡方法或备用负载平衡方法。
  • 源 IP 地址持久性已启用

[NSHELP-31735]

服务组的 entityofs 陷阱中的 serviceGroupName 格式如下所示: <service(group)name>?<ip/DBS>?<port>

在陷阱格式中,服务组由 IP 地址或 DBS 名称和端口标识。问号 (?) 用作分隔符。Citrix ADC 发送带有问号 (?) 的陷阱。该格式在 Citrix ADM GUI 中显示的内容相同。这是预期的行为。

[NSHELP-28080]

在某些情况下,绑定到服务组的服务器会显示无效的 Cookie 值。您可以在跟踪日志中看到正确的 cookie 值。

[NHELP-21196]

其他

在高可用性设置中进行强制同步时,设备将在辅助节点中执行 set urlfiltering parameter 命令。 因此,辅助节点将跳过任何计划的更新,直到 TimeOfDayToUpdateDB 参数中提到的下一个计划时间为止。

[NSSWG-849]

如果注册表值大于 2000 字节,AlwaysOnAllow 列表注册表将无法按预期工作。

[NSHELP-31836]

在 Citrix ADC 设备中,向设备添加额外的 HDD 时,将在崩溃文件夹 /var/crash/nslog 中创建 /var/nslog 文件的链接。crash 文件夹中可用的 newnslog 文件不会收集在技术支持生成的收集器文件夹中。

解决方法:

手动收集丢失的 newnslog 文件。

[NSHELP-31354]

如果 URL 筛选第三方供应商出现连接问题,Citrix ADC 设备可能会由于管理 CPU 停滞而重新启动。

[NSHELP-22409]

网络连接

在支持 DPDK 的 Citrix ADC BLX 设备中,DPDK Intel i350 网卡端口不支持标记的 VLAN。这是因为这是 DPDK 驱动程序中存在的已知问题。

[NSNET-25299]

如果满足以下所有条件,带有 DPDK 的 Citrix ADC BLX 设备可能无法重新启动:

  • Citrix ADC BLX 设备分配的 hugepages 数量很少。例如,1G。
  • Citrix ADC BLX 设备分配了大量的工作进程。例如,28。

该问题在 /var/log/ns.log 中记录为错误消息:

  • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

注意:x是一个小于等于工作进程数的数字。

解决方法:

分配大量的 hugepages,然后重新启动设备。

[NSNET-25173]

如果满足以下条件,带有 DPDK 的 Citrix ADC BLX 设备可能无法重新启动:

  • Citrix ADC BLX 设备分配了大量的 hugepages. 例如,16 GB。

该问题在 /var/log/ns.log 中记录为错误消息:

  • EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

解决方法:

使用以下解决方法之一来解决此问题:

  • 通过使用 ulimit 命令或编辑文件来增加 Linux 主机上的打开 limits.conf 文件限制。
  • 减少分配的 hugepages 的数量。

[NSNET-24727]

由于 DPDK 易用性功能,处于 DPDK 模式下的 Citrix ADC BLX 设备可能需要更长的时间才能重新启动。

[NSNET-24449]

带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

  • 禁用
  • 启用
  • 重置

[NSNET-16559]

在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

解决方法:

在安装 Citrix ADC BLX 设备之前,请在 Linux 主机 CLI 中运行以下命令:

  • dpkg — 添加架构 i386
  • apt-get 更新
  • apt-get dist-upgrade
  • apt-get 安装 libc6: i386

[NSNET-14602]

在某些 FTP 数据连接情况下,Citrix ADC 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。

[NSNET-5233]

在 Citrix ADC 设备中更改管理分区内存限制时,TCP 缓冲内存限制将自动设置为管理分区新内存限制。

[NSHELP-21082]

平台

高可用性故障转移在 AWS 和 GCP 云中不起作用。管理 CPU 在 AWS 和 GCP 云中可能达到其 100% 的容量,而 Citrix ADC VPX 本地容量可能会达到 100%。这两个问题都是在满足以下条件时引起的:

  1. 在 Citrix ADC 设备的首次启动期间,您不会保存提示的密码。
  2. 随后,您重新启动 Citrix ADC 设备。

[NSPLAT-22013]

当您从 13.0/12.1/11.1 版本升级到 13.1 版本或从 13.1 版本降级到 13.0/12.1/11.1 版本时,Citrix ADC 设备上未安装某些 python 软件包。以下 Citrix ADC 版本的此问题已修复:

  • 13.1-4.x
  • 13.0-82.31 及更高版本
  • 12.1-62.21 及更高版本

当您将 Citrix ADC 版本从 13.1-4.x 降级到以下任何版本时,不会安装 python 软件包:

  • 任何 11.1 版本
  • 12.1-62.21 及更早版本
  • 13.0-81.x 及更早版本

[NSPLAT-21691]

在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第二个节点和 CLIP 上存在 CLAG MAC 不匹配:

  • CLAG 是在 Mellanox 网卡上创建的。
  • 您将另一个 VPX 实例添加到集群和 CLAG 设置。

因此,到 VPX 实例的流量会停止。

[NSPLAT-21049]

在 Citrix ADC SDX 设备上的群集设置中,如果满足以下条件,则第一个节点会因为 CLIP 和 MAC 表上的 MAC 地址不匹配而关闭:

  • CLAG 是在 Mellanox 网卡上创建的。
  • 从群集中删除第二个节点。

[NSPLAT-21042]

从 Azure 资源组中删除自动缩放设置或 VM 比例集时,请从 Citrix ADC 实例中删除相应的云配置文件配置。使用命 rm cloudprofile 令删除配置文件。

[NSPLAT-4520]

在 Azure 上的高可用性设置中,通过 GUI 登录到辅助节点时,将显示用于自动缩放云配置文件配置的首次用户 (FTU) 屏幕。 解决办法:跳过屏幕,然后登录主节点以创建云配置文件。云配置文件应始终在主节点上配置。

[NSPLAT-4451]

从 Citrix ADC 版本 13.1 起,Citrix ADC 设备无法在具有 8 个 VMXNET3 网络接口的 ESXi 虚拟机管理程序中启动。

[NHELP-31266]

策略

如果处理数据的大小超过配置的默认 TCP 缓冲区大小,则连接可能会挂起。解决办法:将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

[NSPOLICY-1267]

SSL

在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

解决方法:

  1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
  2. 保存配置。

[NSSSL-9572]

如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

[NSSSL-6478]

您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

[NSSSL-6213]

如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。 错误:crl 刷新已禁用

[NSSSL-6106]

会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

[NSSSL-4427]

如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会 Warning: No usable ciphers configured on the SSL vserver/service, 显示不正确的警告消息。

[NSSSL-4001]

在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。[NSSSL-3184、NSSSL-1379、NSSSL-1394]

在以下情况下,Citrix ADC 设备可能会崩溃:

  • SSL 和 SSL 服务的负载平衡监视器具有相同的名称
  • SSL 服务已重命名
  • 已删除负载平衡监视器

[NSHELP-30445]

系统

如果设备没有从客户端收到 max_concurrent_stream 设置帧,则默认情况下,MAX_CONCURRENT_STREAMS 值设置为 100。

[NSHELP-21240]

mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。

[NSHELP-10972]

在群集部署中,如果在非 CCO 节点上运行 force cluster sync 命令,ns.log 文件将包含重复的日志条目。[NSBASE-16304、NSGI-1293]

在 Kubernetes 集群上安装 Citrix ADM 时,它无法按预期工作,因为所需的进程可能无法启动。

解决办法:重新启动“管理”窗格。

[NSBASE-15556]

为 Insight 配置了 LogStream 传输类型后,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 会反转。

[NSBASE-8506]

用户界面

对于 MQTT 重写功能,无法使用 GUI 中的表达式编辑器删除表达式。

解决方法:

通过 CLI 使用 MQTT 类型的添加或编辑操作命令。

[NSUI-18049]

在 Citrix ADC GUI 中, Dashboard 选项卡下显示的 Help 链接已断开。

[NSUI-14752]

创建/监控 CloudBridge Connector 向导可能会变得无响应或无法配置 cloudbridge 连接器。

解决方法:

使用 Citrix ADC GUI 或 CLI,通过添加 IPsec 配置文件、IP 通道和 PBR 规则来配置云桥连接器。

[NSUI-13024]

如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。

[NSUI-6838]

在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

  • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

解决方法:

仅在 HA 同步完成后执行连续的手动 HA 故障切换(两个节点都处于同步成功状态)。

[NSHELP-25598]

在 Citrix ADC BLX 设备的高可用性设置中,主节点可能会在阻止任何 CLI 或 API 请求时变得无响应。

解决方法:

重新启动主节点。

[NSCONFIG-6601]

如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

  1. 将 Citrix ADC 设备升级到其中一个版本:

    • 13.0 52.24 构建
    • 12.1 57.18 构建
    • 11.1 65.10 构建
  2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
  3. 将 Citrix ADC 设备降级为任何较旧的版本。

要使用 CLI 显示这些系统用户的列表: 在命令提示符下键入:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

解决方法:

要解决此问题,请使用以下独立选项之一:

  • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
  • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
  • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

[NSCONFIG-3188]

Citrix ADC 13.1—27.59 版本的发行说明