Citrix ADC

Citrix ADC 13.1-37.38 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 Build 13.1-37.38 中存在的增强和变更、已修复和已知问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
  • Citrix ADC SDX 捆绑包版本 13.1-37.39 取代了版本 13.1-37.38。

新增功能

版本 13.1-37.38 中提供的增强和更改。

Citrix ADC SDX 设备

  • 升级过程中的增强

    在 Citrix ADC SDX 设备中,升级过程现在需要一次重启,而不是两次重启。

    [NSSVM-5299]

  • 从 SDX UI 中移除对第三方实例的支持

    Citrix ADC SDX 设备不再支持用户界面中的第三方实例。 第三方实例 视图已从 SDX UI 界面的“配置”选项卡中移除。

    解决方法:如果您仍想在管理服务中使用第三方实例,请使用以下步骤。

    1. 登录到管理服务 shell。
    2. 在“/mpsconfig”目录中创建一个文件“.thirdPartyVM”。
    3. 通过在管理服务 shell 中运行 svmd restart 命令来重新启动管理服务。

    [NSSVM-5229]

Citrix Gateway

  • 在身份验证 cookie 上支持 HttpOnly

    现在,VPN 场景的身份验证 cookie 支持 HttpOnly 标志,即 NSC_Authentication、authorization、auditingC 和 NSC_TMAS cookie。NSC_TMAS 身份验证 cookie 在 nFactor 身份验证期间使用,NSC_Authentication、authorization 和 auditingC cookie 用于经过身份验证的会话。cookie 上的 HttpOnlyflag 使用 JavaScript 文档 cookie 选项限制 cookie 的访问。这有助于防止 Cookie 因跨站脚本而被盗用。

    [CGOP-14004]

负载平衡

  • 配置自动延迟 TROFS 状态

    当从 DNS 响应中删除 IP 地址时,您可以将服务组中的成员配置为 TROFS 状态。启用自动延迟 TROFS 后,Citrix ADC 会等待连接到服务组的所有监视器的最高响应超时时间,然后再将成员移至 TROFS 状态。

    有关更多信息,请参阅配置基于域的自动服务组扩展

    [NSLB-9371]

网络连接

  • 基于 AMD 处理器的 Linux 主机上的 Citrix ADC BLX 设备的 DPDK 支持

    基于 AMD 处理器的 Linux 主机上的 Citrix ADC BLX 设备现在支持 DPDK。设备会自动检测 Linux 主机上指定的 DPDK 兼容网卡端口。然后,设备在 DPDK 模式下对其进行初始化。启动 Citrix ADC BLX 设备后,DPDK 端口将作为专用端口添加到设备。

    您必须指定属于同一 IOMMU 组的所有兼容 DPDK 的 NIC 端口,而不是在“blx.conf”文件中指定一个或多个兼容 DPDK 的 NIC 端口。否则,兼容 DPDK 的 NIC 端口将作为非 DPDK 专用端口添加到 Citrix ADC BLX 设备中。

    [NSNET-19219]

平台

  • 提高了 GCP 中共享核心实例的性能

    在 Citrix ADC VPX 实例中,默认情况下,GCP 中共享核心实例的 CPU 产量参数处于启用状态。这为共享核心实例在 GCP 中提供了更好的性能。有关 GCP 上共享核心机器类型的更多信息,请参阅 Google Cloud 文档

    在 GCP 中使用共享核心实例的 ADC HA 设置中,您会在登录时看到以下警告消息:

    为了实现高性能和高可用性,我们建议在 Google 云端平台上从共享核心计算机迁移到通用或计算/内存优化的实例类型。

    [NSPLAT-23748]

  • 支持 Azure Dv5 系列上的 Citrix ADC VPX 实例

    Azure 云上的 Citrix ADC VPX 实例现在可以在 Azure Dv5 系列虚拟机上运行。

    [NSPLAT-22730]

  • 支持 Citrix ADC MPX 16000 平台

    此版本支持 Citrix ADC MPX 16000 平台。此平台有两个 16 核处理器和 128 GB (16 x 8 GB DIMM) 内存。该设备总共提供八个 25G SFP+ 端口和四个 100G QSFP28 以太网端口。
    有关更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-hardware-platforms/mpx/netscaler-hardware-platforms/mpx-16000.html

    [NSPLAT-25436]

  • 支持 Citrix ADC SDX 16000 平台

    此版本支持 Citrix ADC SDX 16000 平台。此平台有两个 16 核处理器和 256 GB (16 x 16 GB DIMM) 内存。该设备总共提供八个 25G SFP+ 端口和四个 100G QSFP28 以太网端口。
    有关更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-hardware-platforms/sdx/hardware-platforms/sdx-16000.html

    [NSPLAT-21608]

SSL

  • 支持在证书到期之前的周期性通知

    Citrix ADC 设备现在每天发送一条通知,直到证书到期。以前,在证书到期前设定的天数内仅发送了一条通知。

    [NSSSL-11874]

系统

  • 用于提醒 syslog 连接失败的 SNMP 警报

    Citrix ADC 设备引入了新的 SNMP 警报“syslogConnectionDropped”,用于提醒与外部 syslog 服务器的网络连接失败。

    [NSBASE-16823]

用户界面

  • 当您上传一个或多个具有不同专享升级服务日期的许可证文件时,Citrix ADM 无法将它们合并到单个池中。因此,如果 Citrix ADC 实例超过任何许可证文件的限制,则无法检出容量。

    [NSCONFIG-6590,NSHELP-30854]

已修复的问题

Build 13.1-37.38 中解决的问题。

AppFlow

  • 配置了 AppFlow 后,如果 Citrix ADC 设备收到来自后端服务器的空 HTTP 分块响应,则会重置 TCP 连接。

    当为相关的 AppFlow 操作启用“clientSideMeasurements”参数时,就会出现此问题。

    [NSHELP-32250]

身份验证、授权和审核

  • 如果 Citrix ADC 设备拥有标准版许可证,则重启 Citrix ADC 设备后,NO_AUTHN 身份验证操作不会持续存在。

    [NSHELP-32522]

  • 在 Citrix Gateway GSLB 设置中,如果满足以下条件,可能会检测到 GSLB 站点之间循环的代理连接:

    • 所有的 GSLB 站点都不在同一个版本上。
    • Citrix Gateway 配置了高级身份验证。

    [NSHELP-32487]

  • Content-Type: application/x-www-form-urlencoded 如果您配置了以下两个选项,Citrix ADC 设备会删除 Content-Type 标头中的字符集后缀并发送。

    • 基于 SSO 表单的身份验证
    • nsapimgr knob - nsapimgr_wr.sh -ys call=ns_formsso_use_ctype_simple_enable knob

    [NSHELP-31977]

  • 如果配置了 SAML 身份验证,您可能会在注销期间遇到问题。

    [NSHELP-31962]

  • 如果为没有处理 SSO 所需的承载令牌的流量启用 SSO,则单点登录 (SSO) 将失败。

    [NSHELP-31362]

缓存

  • 将缓存的内容提供给客户端时,Citrix ADC 设备崩溃。

    [NSHELP-31760]

  • 如果未在缓存控制块中动态设置“max_age”和“s_maxage”参数值,Citrix ADC 设备可能会崩溃。

    [NHELP-27758]

Citrix ADC SDX 设备

  • 在 Citrix ADC SDX 设备 GUI 中,当用户为事件规则添加故障对象时,输入字段容易受到跨站点脚本攻击,并使页面安全易受存储的跨站点脚本攻击。为了防止出现此问题,现在已对输入字段进行过滤,以确保用户输入的内容有效。

    [NSHELP-32600]

Citrix Gateway

  • 如果启用了 Gateway Insight 和 Web Insight 功能,Citrix ADC 设备将崩溃。

    [NSHELP-33345、NSHELP-33347]

  • 有时,在连接代理存在的情况下,RDP 代理不起作用。

    [NSHELP-33063]

  • 由于 Citrix Gateway 设备中的端口耗尽,应用程序可能无法通过 Citrix Gateway 启动。

    [NSHELP-32418]

  • 配置为无客户端 VPN 访问的 Citrix Gateway 设备在处理虚拟会话时可能会崩溃。

    [NSHELP-32399]

  • 如果启用 HDX Insight,Citrix Gateway 设备可能会崩溃。

    [NSHELP-32120]

  • 启动 UDP 会话时,即使在关闭会话之后,仍然存在陈旧的连接。但是,这些并不是实际的陈旧连接,而是计数器的问题。

    [NSHELP-32009]

  • 当用户登录 Citrix ADC 设备时,如果未安装 Citrix Workspace,则下载 Citrix Workspace 的链接会错误地指向 Citrix Receiver。

    [NSHELP-31877]

  • 当 NOAUTH 配置为第一因素时,Gateway Insight 身份验证失败记录将用户名显示为“匿名”,而第二因素身份验证因凭证无效而失败。只有在使用 nFactor 可视化工具执行配置时才会出现此问题,因为第一个因素是在 nFactor 可视化工具中设计的 NOAUTH 配置的。

    [NSHELP-31795]

  • “show vpn icaconnection”命令无法正确显示 ICA 连接的序列号。之所以出现此问题,是因为运行“show vpn icaconnection”命令时序列号会被任意重置。

    [CGOP-22205]

Citrix Web App Firewall

  • 如果您在以下软件版本上为 Citrix Web App Firewall 配置签名对象,则独立 Citrix ADC 设备或高可用性设置中的辅助模式可能会崩溃:

    • 13.0 Build 88.5 及更高版本
    • 13.1 Build 33.41 及更高版本

    [NSHELP-33250]

  • 当您将 cookieHijackingAction 设置为阻止、记录或统计信息时,Citrix ADC 设备中会发生内存泄漏。

    [NSHELP-33187]

  • 在 Citrix Web App Firewall 中,当您提供带有协议 (application/pkcs7-signature) 的内容类型标头时,它会错误地解析标头。因此,防火墙会阻止有效请求。

    [NSHELP-32844]

  • 在恢复 WAF 配置文件时,某些放松规则不会导入。

    [NSHELP-32729]

  • 有时,Citrix Web App Firewall 需要很长时间才能检测到命令注入。因此,Pitboss 重启了 Citrix ADC 设备。

    [NSHELP-32654]

  • 合法的 cookie 被放置在日志中,同时显示重复的 Cookie 违规日志。

    [NSHELP-32369]

负载平衡

  • 在某些情况下,绑定到服务组的服务器会显示无效的 Cookie 值。您可以在跟踪日志中看到正确的 cookie 值。

    [ NSHELP-21196 ]

其他

  • Citrix ADC 设备将 Web 服务器日志记录功能的缓冲区大小设置为错误的默认值 3MB 而不是 16MB。

    [NSHELP-32429]

网络连接

  • 在 Citrix BLX 群集设置中,以下操作失败且没有任何错误消息:

    • 在 force basic 级别上清除配置(“clear config-force basic”)
    • 在强制扩展级别清除配置(“clear config -force extended”)
    • 在 force extended+ 级别清除配置(“clear config-force extended+”)

    [NSNET-27132]

  • 在高可用性设置中,在清除大量 LSN 会话时,主节点可能会由于内存损坏而崩溃。

    [NSHELP-32467]

  • 如果满足以下所有条件,Citrix ADC 设备可能会崩溃:

    • 基于 TTL 的 ACL 超时
    • Citrix ADC 设备配置了大量 ACL。

    [NSHELP-31307]

平台

  • 在 Citrix ADC MPX 设备上禁用 Mellanox 接口时,链接到该接口的对等交换机显示为“连接启动”状态,而不是处于“链路关闭”状态。

    [NSPLAT-24422]

  • 如果满足以下两个条件,Citrix ADC VPX 实例会丢弃来自客户端的数据包:

    • VPX 实例使用 VMXNET3 适配器托管在 VMware Cloud on AWS。
    • VMXNET3 适配器无法为数据包生成 RSS 哈希。

    [NSHELP-33150]

策略

  • 在 Citrix ADC 设备中,当满足以下条件时,使用 NSPEPI 工具从经典策略迁移到高级策略的内容切换策略可能不起作用:

    • 这些策略绑定到内容交换虚拟服务器。
    • “caseSensitive”参数设置为 OFF。

    [NSHELP-31951]

SSL

  • 当虚拟服务器配置为使用 Azure 密钥保管库中存储的私钥时,Citrix ADC 设备可能会在 TLS 1.3 握手期间崩溃。

    [NSHELP-32451]

  • 如果满足以下条件,Citrix ADC 设备将崩溃:

    • 在握手完成之前,客户端向另一个客户端发送问候。
    • 该请求在第一个客户端 hello 中包含一些特殊的密码集。

    [NSHELP-32422]

  • 通过群集 IP (CLIP) 地址访问的 Citrix ADC GUI 不显示与 SSL 虚拟服务器的服务器证书绑定。

    [NSHELP-31602]

  • 如果默认证书包中不存在有效的 CA 证书,OCSP 响应验证可能会在 SSL 拦截期间失败。之所以发生故障,是因为使用默认证书包而不是配置的证书包错误地完成了 OCSP 响应验证。

    [NSHELP-30594]

系统

  • 当 Citrix ADM 服务器收到带有唯一 URL 的大量 HTTP 流量时,它会消耗大量内存。因此,Citrix ADM 服务器变得不可访问。

    [NSHELP-32922]

  • 在 Citrix ADC 设备中,标头修改框架会导致内存损坏。当 Citrix ADC 设备要使用的 cookie 在转发之前按特定顺序被删除时,就会出现这种情况。

    [NSHELP-32799]

  • 在 HTTP 请求中使用 PATCH 方法时,VPN 身份验证失败。出现此问题是因为 HTTP PATCH 方法被识别为未知的身份验证方法。

    [NSHELP-32214]

  • 使用内容检查功能时,使用有效负载插入重写标头可能无法正常工作。

    [NSHELP-30088]

用户界面

  • 当您访问许可证节点或刷新许可证节点时,管理服务许可证页面不会刷新池化许可证信息。相反,只有在您注销并再次登录时,才会刷新池化许可证信息。

    [NSHELP-33203]

  • 当用户查看内容交换策略上的绑定时,内容交换虚拟服务器的详细信息不会显示在“显示绑定”下的同一行中。

    [NSHELP-33149]

  • 当用户将流量策略绑定到内容交换或负载平衡虚拟服务器时,绑定详细信息不会显示在 GUI 中。

    [NSHELP-32751]

  • 使用 Citrix ADC GUI 将 Citrix ADC 设备升级或降级为以下版本之一可能会失败:

    • 版本 13.1 build 30.52
    • 版本 13.1 build 27.59

    [NSHELP-32673]

  • 使用 Citrix ADC GUI 创建或编辑托管在自定义分区上的 DNS 和 DNS_TCP 协议的虚拟服务器时,会显示以下错误:

    Error: Invalid object name [lbvserver_scpolicy_binding]

    [NSHELP-32534]

  • 在 Citrix ADC GUI 中会出现以下问题:

    • 使用 Citrix ADC GUI,如果服务器证书绑定到 SSL 虚拟服务器,则证书绑定不会出现在 GUI 中。CA 证书绑定照常显示在 GUI 上。
    • 单击内置响应程序策略的隐藏按钮还会隐藏手动创建的响应程序策略。

    在群集设置中,Citrix ADC GUI 中还会出现以下其他问题:

    • 将密码组绑定到内部服务失败并出现错误。
    • 内置的重写操作未隐藏在 GUI 中。

    [NSHELP-32499]

  • 在具有管理分区的 Citrix ADC 设备中,重新启动后,分区内的“ns”参数设置会丢失。这种情况是由于错误的内置配置造成的。

    [NSHELP-32486]

  • 用户登录后,Citrix ADC 设备登录页面可能不会显示有效的用户名。

    [NSHELP-31759]

  • 在高可用性设置中,HA 配置同步后,辅助节点上的加密配置会丢失。

    [NSHELP-30897]

已知问题

版本 13.1-37.38 中存在的问题。

AppFlow

  • HDX Insight 不会报告因用户尝试启动用户无权访问的应用程序或桌面而导致的应用程序启动失败。

    [NSINSIGHT-943]

身份验证、授权和审核

  • Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

    [ NSHELP-563 ]

  • 如果在 Citrix ADC 设备上启用了内容安全策略 (CSP) 功能,DUO 身份验证将失败。

    [NSAUTH-12687]

  • 管理员无法对因凭证无效而发生的身份验证失败执行自定义日志记录。之所以出现此问题,是因为 Citrix ADC 响应器策略无法检测到登录失败的错误。

    [NSAUTH-11151]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
    show adfsproxyprofile <profile name>

    解决方法:连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

  • 如果执行以下步骤,Citrix ADC GUI 上的配置身份验证 LDAP 服务器页面将无响应:

    • 测试 LDAP 可达性选项已打开。
    • 填充并提交了无效的登录凭据。
    • 将填充并提交有效的登录凭据。

    解决方法:关闭并打开“测试 LDAP 可访问性”选项。

    [NSAUTH-2147]

Citrix ADC SDX 设备

  • 如果满足以下条件,则会在 Citrix ADC SDX 设备上托管的 VPX 实例上看到丢包:

    • 吞吐量分配模式为突发。
    • 吞吐量和最大突增容量之间存在很大差异。

    [ NSHELP-21992 ]

Citrix Gateway

  • 对于没有管理权限的用户,Citrix Secure Access 客户端(版本 21.7.1.2 及更高版本)无法升级到更高版本。仅当通过 Citrix Citrix ADC 设备完成 Citrix Secure Access 客户端升级时,此问题才适用。

    [NSHELP-32793]

  • 当用户单击 Windows 版 Citrix 安全访问屏幕上的“主页”选项卡时,该页面会显示连接被拒绝的错误。

    [NSHELP-32510]

  • 在使用 Chrome 的 Mac 设备上,VPN 扩展程序在访问两个 FQDN 时崩溃。

    [ NSHELP-32144 ]

  • 在某些情况下,Citrix Gateway 版本 13.0 或 13.1 中的空代理设置会导致 Citrix SSO 创建不正确的代理设置。

    [NSHELP-31970]

  • Citrix Secure Access 客户端的调试日志控制现在独立于 Citrix Gateway,可以从插件 UI 中为计算机和用户隧道启用或禁用它。

    [NSHELP-31968]

  • 如果出现严重延迟或拥塞,则与 Citrix Secure Access 建立的通道之外的资源的直接连接可能会失败。

    [ NSHELP-31598 ]

  • 自定义 EPA 故障日志消息未显示在 Citrix Gateway 门户上。而是显示“内部错误”消息。

    [NSHELP-31434]

  • 有时,当用户在 Always-On 服务模式下登录 Windows 计算机时,Windows 自动登录不起作用。机器隧道不会过渡到用户隧道,并且会出现“正在连接…“显示在 VPN 插件用户界面中。

    [NSHELP-31357、CGOP-21192]

  • 如果配置了“始终打开”,则由于 aoservice.exe 文件中的版本号 (1.1.1.1) 不正确,用户通道将失败。

    [ NSHELP-30662 ]

  • 将“networkAccessOnVPNFailure”always on 配置文件参数从 fullAccess 更改为 onlyToGateway 后,用户无法连接到 Citrix Gateway 设备。

    [ NSHELP-30236 ]

  • 网关插件成功建立 VPN 通道后,不会立即显示网关主页。要修复此问题,引入了以下注册表值。

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    类型:DWORD

    默认情况下,不设置或添加此注册表值。当“SecureChannelResetTimeoutSeconds”的值为 0 或未添加时,处理延迟的修复不起作用,这是默认行为。管理员必须在客户端上设置此注册表才能启用此修复(即在网关插件成功建立 VPN 通道后立即显示主页)。

    [ NSHELP-30189 ]

  • Windows VPN 客户端不接受来自服务器的“SSL 关闭通知”警报,而是在同一连接上发送转移登录请求。

    [ NSHELP-29675 ]

  • 您可能会注意到 rdx.js 文件中有一些 Citrix 内部 IP 地址。

    [ NSHELP-28682 ]

  • 如果 macOS 钥匙串中没有客户端证书,则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

    [ NSHELP-28551 ]

  • 有时,设置客户端空闲超时后,用户会在几秒钟内注销 Citrix Gateway。

    [ NSHELP-28404 ]

  • 适用于 Windows 的 EPA 插件不使用本地计算机配置的代理,而是直接连接到网关服务器。

    [ NSHELP-24848 ]

  • 如果满足以下条件,VPN 插件在 Windows 登录后不会建立通道:

    • Citrix Gateway 设备已配置为“始终开启”功能
    • 设备配置为基于证书的身份验证,双重身份验证“关闭”

    [ NSHELP-23584 ]

  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [ NSHELP-21897 ]

  • 在 Citrix ADC 群集设置中,不能同时启用 HDX Insight 和 Gateway Insight。

    [CGOP-22849]

  • 如果您想在 Windows 登录功能之前使用始终开启 VPN,建议升级到 Citrix Gateway 13.0 或更高版本。这使您能够利用版本 13.0 中引入的 12.1 版本中没有的其他增强功能。

    [CGOP-19355]

  • Gateway Insight 中不会报告因 STA 票证无效而导致的应用程序启动失败。

    [CGOP-13621]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [CGOP-13584]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

    [CGOP-13511]

  • 从 MAC Receiver版本 19.6.0.32 或 Citrix Virtual Apps and Desktops 7.18 版本启动 ICA 连接时,HDX Insight 功能将被禁用。

    [CGOP-13494]

  • 启用 EDT Insight 功能后,有时音频通道可能会在出现网络差异时出现故障。

    [CGOP-13493]

  • 接受来自浏览器的本地主机连接时,适用于 macOS 的“接受连接”对话框将以英语显示内容,而不考虑所选的语言。

    [CGOP-13050]

  • Citrix SSO 应用程序 > 主页中的文本“主页”在某些语言中被截断。

    [CGOP-13049]

  • 从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

    [CGOP-11830]

  • 在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外,页面变得无响应。

    [CGOP-7269]

负载平衡

  • 在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

    [NSLB-7679]

  • 服务组 entityofs 陷阱中的 serviceGroupName 格式如下所示:
    <service(group)name>?<ip/DBS>?<port>

    在陷阱格式中,服务组由 IP 地址或 DBS 名称和端口标识。问号 (“?“) 用作分隔符。Citrix ADC 发送带有问号的陷阱(“?“)。该格式在 Citrix ADM GUI 中显示的内容相同。这是预期的行为。

    [ NSHELP-28080 ]

其他

  • 在高可用性设置中进行强制同步时,设备将在辅助节点中执行“set urlfiltering 参数”命令。
    因此,辅助节点会跳过任何预定更新,直到“TimeOfDayToUpdateDB”参数中提到的下一个计划时间。

    [NSSWG-849]

  • 如果注册表值大于 2000 字节,AlwaysOnAllow 列表注册表将无法按预期工作。

    [ NSHELP-31836 ]

  • 如果 URL 筛选第三方供应商出现连接问题,Citrix ADC 设备可能会由于管理 CPU 停滞而重新启动。

    [ NSHELP-22409 ]

网络连接

  • 在支持 DPDK 的 Citrix ADC BLX 设备中,DPDK Intel i350 网卡端口不支持标记的 VLAN。这是因为这是 DPDK 驱动程序中存在的已知问题。

    [NSNET-25299]

  • 如果满足以下所有条件,带有 DPDK 的 Citrix ADC BLX 设备可能无法重新启动:

    • Citrix ADC BLX 设备分配的“大页面”数量很少。例如,1G。
    • Citrix ADC BLX 设备分配了大量的工作进程。例如,28。

    该问题作为错误消息记录在“/var/log/ns.log”中:

    • “BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x”

    注意:x是一个小于等于工作进程数的数字。

    解决方法:分配大量“大页面”,然后重新启动设备。

    [NSNET-25173]

  • 由于 DPDK 易用性功能,处于 DPDK 模式下的 Citrix ADC BLX 设备可能需要更长的时间才能重新启动。

    [NSNET-24449]

  • 带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

    • 禁用
    • 启用
    • 重置

    [NSNET-16559]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

    “以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”

    解决方法:在安装 Citrix ADC BLX 设备之前,在 Linux 主机 CLI 中运行以下命令:

    • dpkg — 添加架构 i386
    • apt-get 更新
    • apt-get dist-upgrade
    • apt-get 安装 libc6: i386

    [NSNET-14602]

  • 在某些 FTP 数据连接情况下,Citrix ADC 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。

    [NSNET-5233]

  • 在 Citrix ADC 设备中更改管理分区内存限制时,TCP 缓冲内存限制将自动设置为管理分区新内存限制。

    [ NSHELP-21082 ]

平台

  • 从 Azure 资源组中删除自动缩放设置或 VM 比例集时,请从 Citrix ADC 实例中删除相应的云配置文件配置。使用“rm cloudprofile”命令删除配置文件。

    [NSPLAT-4520]

  • 在 Azure 上的高可用性设置中,通过 GUI 登录到辅助节点时,将显示用于自动缩放云配置文件配置的首次用户 (FTU) 屏幕。
    解决方法:跳过屏幕,登录到主节点以创建云配置文件。云配置文件应始终在主节点上配置。

    [NSPLAT-4451]

  • 在 Citrix ADC SDX 8015/8400/8600 平台上,您可能会看到 Xen Server 的内存消耗增加。
    解决方法:在 Xen Server 上运行以下命令,然后重新启动设备。
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [NSHELP-32260]

策略

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法: 将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

SSL

  • 在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

    解决方法:

    1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
    2. 保存配置。

    [NSSSL-9572]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。 错误:crl 刷新已禁用

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

  • 在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。

    [NSSSL-3184、NSSSL-1379、NSSSL-1394]

系统

  • 如果满足以下条件,则 TCP 连接的 RTT 为高:

    • 设置了较高的最大拥塞窗口 (>4 MB)
    • TCP NILE 算法已启用

    要使 Citrix ADC 设备使用 NILE 算法进行拥塞控制,条件必须超过慢速启动阈值,再加上最大拥塞窗口

    因此,在达到配置的最大拥塞窗口之前,Citrix ADC 会继续接受数据并最终获得高 RTT。

    [NSHELP-31548]

  • 如果设备没有收到来自客户端的 max_concurrent_stream 设置框架,则默认情况下,MAX_CONCURRENT_STREAMS 值设置为 100。

    [ NSHELP-21240 ]

  • mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。

    [ NSHELP-10972 ]

  • 在极少数情况下,在 HTTP/2 WebSocket 流创建之前创建的流可能会在 WebSocket 的服务器端连接关闭时终止。

    之所以出现此问题,是因为 Citrix ADC 设备不支持 HTTP/2 WebSocket 的连接多路传输。

    解决方法:使用以下命令禁用相关 HTTP2 配置文件的连接多路传输:

    set httpProfile <name> [-conMultiplex ( ENABLED | DISABLED )]

    [NSBASE-17449]

  • 在群集部署中,如果您在非 CCO 节点上运行“强制群集同步”命令,则 ns.log 文件包含重复的日志条目。

    [NSBASE-16304、NSGI-1293]

  • 在 Kubernetes 群集上安装 Citrix ADM 时,它无法按预期工作,因为所需的进程可能无法启动。

    解决办法:重新启动“管理”窗格。

    [NSBASE-15556]

  • 当为 Insight 配置 LogStream 传输类型时,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 将反转。

    [NSBASE-8506]

用户界面

  • 对于 MQTT 重写功能,无法使用 GUI 中的表达式编辑器删除表达式。

    解决方法:通过 CLI 使用 MQTT 类型的添加或编辑操作命令。

    [NSUI-18049]

  • 在 Citrix ADC GUI 中,“仪表板”选项卡下的“帮助”链接已损坏。

    [NSUI-14752]

  • 创建/监控 CloudBridge Connector 向导可能会变得无响应或无法配置 cloudbridge 连接器。

    解决方法:使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,配置 cloudbridge 连接器。

    [NSUI-13024]

  • 如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。

    [NSUI-6838]

  • 在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

    • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

    解决方法:仅在 HA 同步完成后才执行连续的手动高可用性故障转移(两个节点均处于同步成功状态)。

    [ NSHELP-25598 ]

  • 在 Citrix ADC BLX 设备的高可用性设置中,主节点可能会在阻止任何 CLI 或 API 请求时变得无响应。

    解决方法:重新启动主节点。

    [NSCONFIG-6601]

  • 如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

    1. 将 Citrix ADC 设备升级到其中一个版本
      • 13.0 52.24 Build
      • 12.1 57.18 Build
      • 11.1 65.10 Build
    2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    3. 将 Citrix ADC 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表:
    在命令提示符处,键入:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    解决方法:要修复此问题,请使用以下独立选项之一:

    • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
    • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
    • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

    有关更多信息,请参阅 如何重置根管理员 (nsroot) 密码

    [NSCONFIG-3188]

Citrix ADC 13.1-37.38 版本的发行说明