Citrix ADC

Citrix ADC 13.1—4.44 版本的发行说明

本发行说明文档介绍了 Citrix ADC 版本 Build 13.1-4.44 中存在的增强功能和更改以及已解决的问题和已知问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关与安全相关的修复程序和建议的列表,请参阅 Citrix 安全公告。
  • Citrix 安全访问代理(以前称为适用于 Windows 的 Citrix Gateway 插件)版本 21.9.1.2 及更高版本包含 https://support.citrix.com/article/CTX341455 的修复程序。适用于 Windows 版本的 Citrix Gateway 插件 21.9.1.2 包含在 Citrix ADC 版本 13.1—4.44 中。
  • 内部版本 13.1—4.44 及更高版本解决了 https://support.citrix.com/article/CTX330728 中描述的安全漏洞。
  • 版本 4.44 取代了版本 4.43。
  • 此版本还包括针对以下问题的修复程序:NSHELP-29519。

新增功能

Build 13.1—4.44 中提供的增强功能和更改。

身份验证、授权和审核

支持从根域到树域的遍历以进行 Kerberos SSO 身份验证

现在,在 Citrix ADC 设备对后端服务器进行 Kerberos SSO 身份验证期间,支持从根域到树域的遍历。有关详细信息,请参阅 https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/single-sign-on-types/kerberos-single-sign-on/setup-citrix-adc-single-sign-on.html

[NSAUTH-9836]

机器人管理

Citrix ADC 机器人管理的详细日志记录

如果传入流量被标识为机器人,Citrix ADC 设备现在允许您配置机器人详细日志记录功能,以记录其他 HTTP 标头详细信息,例如域地址、URL、用户代理标头和 Cookie 标头。然后将日志详细信息发送到 ADM 服务器以进行监控和故障排除。详细日志消息不存储在 ns.log 文件中。

有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html

[NSBOT-273]

Citrix ADC SDX 设备

Citrix ADC SDX 设备上群集形成页面的增强功能

Add Node to Cluster 页面的 GUI 中进行了以下更改。现在,在向群集添加新节点时,系统会提示用户添加 SNIP 地址。这些增强功能解决了严格的源 IP 地址检查中的安全问题。

  • 现在提供了 SNIP 的可选字段。
  • 还提供了一个 Add 按钮,用于在向群集 IP 地址 (CLIP) 添加节点时动态创建剪切。

[NSSVM-4170]

Citrix ADC SDX 管理员现在可以在锁定间隔到期之前解锁用户。如果用户通过控制台登录管理服务,则不适用锁定。锁定间隔也从秒更改为分钟。最小值 = 1 分钟。最大值 = 30 分钟。

要使用 GUI 解锁用户:

  1. 导航到 配置 > 系统 > 用户管理 > 用户
  2. 选择要解锁的用户。
  3. 单击 “ 解锁”。要使用 CLI 解锁用户:

在命令提示符下,键入:

set systemuser id=`<ID>` unlock=true
<!--NeedCopy-->

[NSSVM-4144]

Citrix Gateway

其他语言支持

Citrix Gateway 用户门户现已提供俄语、韩语和中文(繁体)语言版本。

[CGOP-17095]

Gateway Insight 的 OAuth-OpenID Connect 身份验证支持

Citrix Gateway Insight 现在会报告与 OAuth-OpenID Connect 身份验证相关的事件(用户登录成功和失败)。

有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-application-delivery-management-software/current-release/analytics/gateway-insight.html

[CGOP-16907]

Citrix Web App Firewall

使用高级策略表达式提取客户端 IP 地址

Citrix ADC 设备使用高级策略表达式从 HTTP 请求标头、请求正文和请求 URL 中提取客户端 IP 地址。然后将提取的值发送到 ADM 服务器,用于审计日志记录、安全见解和计算客户端地理位置。

有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html

[NSWAF-7260]

BOT TPS 检测机制的启用选项

启用选项现在可用于机器人配置文件配置中的每个 TPS 机器人检测规则。默认情况下,该值为 ON。

有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html

[NSHELP-25777]

负载平衡

在内容交换虚拟服务器上支持 HTTP 到 HTTPS 重定向

服务类型为 SSL 的内容交换虚拟服务器现在支持 HTTP 流量的重定向。 add cs vserver 命令中添加了 RedirectFromPort 两个新参数: HttpsRedirectUrl 和。所有到达 RedirectFromPort 参数中指定端口的 HTTP 流量都将重定向到 HttpsRedirectUrl 参数中指定的 URL。如 HttpsRedirectUrl 果未配置,则 HTTP 流量将重定向到传入 HTTP 请求中的主机标头的值。

有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-adc/current-release/ssl/how-to-articles/ssl-config-https-vserver-to-accept-http-traffic.html

[NSLB-8224]

支持将保存配置命令同步到远程 GSLB 站点

现在,您可以将命 save ns config 令同步到远程 GSLB 站点。要启用此功能,将在 set gslb parameter 命令中添加一个新参数 GSLBSyncSaveConfigCommand 。启用后 GSLBSyncSaveConfigCommand,该 save ns config 命令将被视为另一个 GSLB 命令,并同步到远程 GSLB 站点。必须启用该 AutomaticConfigSync 选项才能同步 save ns config 命令。

有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-adc/current-release/global-server-load-balancing/synchronizing-configuration-in-gslb-setup/real-time-synchronization.html

[NSLB-7831]

支持保护用户监视器的脚本参数

命令中添加了一个新参 add lb monitor 数。 -secureargs 此参数以加密格式而不是纯文本格式存储脚本参数。您可以使用此参数保护与用户监视器脚本相关的敏感数据,例如用户名和密码。对于与脚本相关的任何敏感 -scriptargs 数据,Citrix 建议您使用 -secureargs 参数而不是参数。如果选择同时使用这两个参数,则中指定的脚本 -scriptname 必须接受顺序为:的参数 <scriptargs> <secureargs>。也就是说,您需要 <secureargs> 通过保持为参数定义的顺序来指定中的前几个参数 <scriptargs> 和中的其余参数。安全参数仅适用于内部调度程序。

有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-adc/current-release/load-balancing/load-balancing-custom-monitors/configure-user-monitor.html

[NSLB-6314]

网络连接

扩展 ACL 的数字类型数据集支持

Citrix ADC 设备现在支持扩展 ACL 的数字类型数据集。您可以使用编号类型数据集为扩展 ACL 规则指定源端口或目标端口或两者。

[NSNET-20235]

RHI 支持绑定到 IPSet 的 VIP 地址

如果满足以下所有条件,Citrix ADC 设备会通告绑定到 IPSet 的 VIP 地址作为内核路由:

  • VIP 地址已启用该 host route 选项。
  • IPSet 绑定到配置,例如,多 IP 负载平衡虚拟服务器。

[NSNET-20209]

支持使用卷挂载向 ADM 注册 Citrix ADC CPX

Citrix ADC CPX 现在支持通过 Kubernetes ConfigMaps 和密钥使用卷挂载向 Citrix ADM 注册。Citrix ADC CPX 使用位于 Citrix ADC CPX 文件系统中的卷挂载派生的配置详细信息向 ADM 代理启动注册。

[NSNET-19058]

平台

VMware ESX 7.0 更新了 Citrix ADC VPX 实例上的 2a 支持

Citrix ADC VPX 实例现在支持 VMware ESX 版本 7.0 更新 2a(内部版本 17867351)。

有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/supported-hypervisors-features-limitations.html

[NSPLAT-20104]

AMD 处理器对 ESXi 上的 Citrix ADC VPX 实例的支持

VMware ESXi 虚拟机管理程序上的 Citrix ADC VPX 实例现在支持 AMD 处理器。有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/install-vpx-on-esx.html

[NSPLAT-17853]

在 Azure 市场上支持 Citrix ADC VPX 5000 订阅

Azure 市场现在支持 Citrix ADC VPX 5000 订阅计划。此基于订阅的计划提供以下许可证:

  • Standard
  • Advanced
  • Premium

有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/deploy-vpx-on-azure.html#citrix-adc-vpx-licensing

[NSPLAT-13663]

策略

支持高级策略表达式中的 IP 标头字段

现在,使用高级策略表达式可以从 IP 数据包中获取以下标头字段。

  • DSCP
  • ECN
  • TTL
  • 版本
  • 标识
  • 标题长度
  • 标头校验和
  • 选项
  • 有效负载

[NSPOLICY-2441]

从 Citrix ADC 13.1 版本中删除不推荐使用的功能

现在删除了许多不推荐使用的功能,并且不再可以在 Citrix ADC 设备上进行配置。

其中包括:

  • 过滤器功能(也称为内容过滤或 CF)-操作、策略和绑定。
  • SPDY、确定连接 (SC)、优先级队列 (PQ)、HTTP 拒绝服务 (DoS) 和 HTML 注入功能。
  • SSL、内容交换、缓存重定向、压缩和应用程序防火墙的经典策略。
  • 内容交换策略中的 urldomain 参数。
  • 负载平衡持久性规则中的经典表达式
  • 重写操作中的 pattern 参数。
  • 重写操作中的 bypassSafetyCheck 参数。
  • SYS.EVAL_CLASSIC_EXPR 在高级表达式中。
  • patclass 置实体。
  • 高级表达式中没有参数的 HTTP.REQ.BODY
  • 高级表达式中的 Q 和 S 前缀。
  • cmp policyType 参数设置的参数。(CLI 命令 set cmp parameter。)

如上所述,您可以使用该 nspepi 工具进行转换。您必须在 Citrix ADC 设备版本 13.0 或 12.1 上运行该工具。

有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-adc/current-release/appexpert/policies-and-expressions/introduction-to-policies-and-exp/classic-policy-deprecation-faq.html

另外,要使用最新版本的工具从传统配置迁移到高级配置,以及从流量域迁移到管理分区,请参阅 https://github.com/citrix/ADC-scripts

[NSPOLICY-186]

系统

查看 QUIC 桥的统计信息

QUIC bridge stat 命令现在提供了 QUIC 网桥统计信息的详细摘要。

[NSBASE-13883]

在 Citrix ADC 13.1 版本中删除已弃用的功能

不再支持以下已弃用的功能及其配置,并将从 Citrix ADC 设备中删除:

  • 当然可以连接 (SC)
  • 优先级排队 (PQ)
  • HTTP DoS 防护 (HDOS)
  • HTMLInjection

作为替代方案,Citrix 建议您将 AppQoE 用于 SureConnect、优先级队列和 HTTP DoS 保护,并将客户端测量值用于 HTMLInjection

有关详细信息,请参阅https://docs.citrix.com/en-us/citrix-adc/current-release/appexpert/policies-and-expressions/introduction-to-policies-and-exp/classic-policy-deprecation-faq.html

[NSBASE-13780]

用户界面

NITRO 调用的批处理 API 支持

Citrix ADC 设备现在支持 batchapi API。该 batchapi API 可以在单个请求中处理多个 NITRO 调用,从而最大限度地减少网络流量。您可以使用执行以下操作 batchapi

  • 您可以使用批处理 API 同时创建、更新和删除多个异构资源。
  • 您可以使用批处理 API 获取多个异构资源。

[NSCONFIG-4061]

已修复的问题

版本 131-4.44 中解决的问题。

身份验证、授权和审核

将 LDAP 监视器绑定到服务时,监视器会关闭,因为 Citrix ADC 设备向活动目录发送了错误的密码。

[NSHELP-27961]

在多级联 AD 中,如果在最后一个级联中找不到用户,则用户的帐户不会被锁定。

[NSHELP-27948]

当 Citrix ADC 设备配置为 SAML 身份验证时,设备会在使用 RSA 以外的证书时转储核心。

[NSHELP-27813]

在某些情况下,配置基于角色的访问权限时,Citrix ADC 设备可能会在处理特定用户的身份验证请求时崩溃。

[NSHELP-27655]

如果 Azure AD 在 Citrix ADC 身份验证虚拟服务器上配置为 OAuth IdP,则用户将无法通过 Citrix Workspace 应用程序登录。

[NSHELP-27462]

在某些情况下,如果使用 StoreFront 访问 Workspace 应用程序,SAML 身份验证将失败。

[NSHELP-27338]

在某些情况下,如果身份验证、授权和审核 TM 虚拟服务器的 HTTP POST 请求没有身份验证 cookie,则会错误地处理该请求。POST 主体在处理过程中丢失。

[NSHELP-27227]

Citrix ADC 设备在处理身份验证、授权和审核 TM 以及基于 401 LB 的流量时经常崩溃。

[NSHELP-27094]

在某些情况下,Citrix ADC 设备在对 Citrix Gateway 执行用户身份验证以及身份验证、授权和审核-流量托管部署时崩溃。

[NSHELP-26555]

输入错误的 OTP 时,将显示错 Email Auth failed. No further action to continue 误消息。

[NSHELP-26400]

在某些情况下,如果策略名称长于 Intranet 应用程序名称,则绑定身份验证、授权和审核组命令可能会失败。

[NSHELP-25971]

如果配置为 SAML 身份提供程序 (IdP) 的 Citrix ADC 设备包含引号,则会截断服务提供商 (SP) 的中继状态。

[NSHELP-20131]

由于密码解密问题,网络连接测试检查失败。但是,身份验证功能可以正常工作。

[NSAUTH-10216]

机器人管理

在每秒事务数 (TPS) 机器人检测机制中,后端应用程序服务器在验证码质询后的响应检索期间返回 304 个响应。

[NSBOT-626]

缓存

在高可用性设置中,HA 故障切换期间 memLimit 缓存参数设置的 HA 同步失败。

[NSHELP-28428]

在高可用性设置中,主节点在访问空指针而不是缓存对象后崩溃。

[NSHELP-26967]

Citrix ADC SDX 设备

在 Citrix ADC SDX 设备上,如果使用软件版本 13.0-76.x 或更早版本创建实例,则实例还原可能会失败。

[NSHELP-28429]

在 Citrix ADC SDX 设备中,管理服务报告 ADC 实例的数据使用不正确。

[NSHELP-28208]

在 Citrix ADC SDX 设备上,您无法在管理服务控制台中更改 CLI 提示符。

[NSHELP-28030]

在 Citrix ADC SDX 设备上,由于库存中运行的作业和计划程序增加,管理服务可能会报告内存使用率高达 80% 左右。

[NSHELP-27805]

在 Citrix ADC SDX 设备上,如果系统文件(snmpd.conf 和 ntp.conf)包含回车字符,升级可能会失败。

[NSHELP-27713]

在 Citrix ADC SDX 设备上,由于库存中运行的作业和计划程序增加,管理服务可能会报告内存使用率高达 80% 左右。

[NSHELP-27396]

Citrix Gateway

升级到最新版本时,用户可能会观察到 RDP 会话启动失败。

[NSHELP-29519]

当您尝试编辑自定义主题中的 CSS 属性时,会出现错误消息。

[NSHELP-28648]

如果在评估期间可能进入阻止状态的响应程序策略绑定到虚拟服务器,则登录 Citrix Workspace 将失败。

[NSHELP-27819]

使用无客户端 VPN 访问 Citrix Gateway 设备时,可能会生成核心转储。

[NSHELP-27653]

在处理服务器启动的 UDP 流量时,Citrix Gateway 设备可能会崩溃。

[NSHELP-27611]

用户在登录 Microsoft Outlook 时可以看到其他用户的邮箱。解决方法是禁用多路复用。

[NSHELP-27538]

如果设备处理与 EDT 相关的命令(例如、或) clearconfigkill ica connection,Citrix ADC 设 stop dtls listener 备可能会崩溃。

[NSHELP-27398]

Citrix Gateway 设备在处理 UDP 流量时可能会崩溃。

[NSHELP-27317]

当系统日志策略绑定到虚拟服务器并修改相应的系统日志操作时,Citrix Gateway 设备会崩溃。

[NSHELP-27171]

启用 Gateway Insight 后,Citrix ADC 日志可能会充斥日志消息 GwInsight: Func=ns_sslvpn_send_app_launch_fail_record Appflow policy evaluation has failed

[NSHELP-26750]

如果满足以下两个条件,则当您尝试清除配置时,Citrix Gateway 设备会崩溃:

  • SSL 配置文件和证书密钥对绑定到默认 TCP 监视器。
  • 相同的默认 TCP 监视器绑定到系统日志操作。

[NSHELP-26685]

在创建 Citrix Gateway 流量配置文件页面中将 FQDN 作为代理输入时, Invalid Proxy Value 将显示该消息。

[NSHELP-26613]

使用 Citrix ADC GUI 创建 RDP 客户端配置文件时,满足以下条件时会显示错误消息:

  • 配置了默认的预共享密钥 (PSK)。
  • 您尝试在 RDP Cookie 有效性(秒)字段中修改 RDP Cookie 有效性计时器。

[NSHELP-25694]

SNMP OID 向 VPN 虚拟服务器发送了一组不正确的当前连接。

[NSHELP-25596]

当多个 VPN 插件客户端使用大小为 1800 字节或更大的 X.509 证书设置隧道时,Citric ADC 设备崩溃。

[NSHELP-25195]

如果重命名绑定到 STA 服务器的 VPN 虚拟服务器,则运行 show 命令时 STA 服务器的状态将显示为 DOWN。

[NSHELP-24714]

在极少数情况下,如果启用了 Intranet IP (IIP) 地址并且存在由服务器启动的到 IIP 地址的连接,Citrix Gateway 设备可能会崩溃。

[NSHELP-23819]

show tunnel global 命令输出包括高级策略名称。以前,输出不显示高级策略名称。

示例:

新输出:

> show tunnel global
Policy Name: ns_tunnel_nocmp Priority: 0

Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy
Priority: 1
Global bindpoint: REQ_DEFAULT

Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy
Priority: 100
Global bindpoint: RES_DEFAULT
Done
>
<!--NeedCopy-->

上一个输出:

> show tunnel global
Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

Advanced Policies:

Global bindpoint: REQ_DEFAULT
Number of bound policies: 1

Done
<!--NeedCopy-->

[NSHELP-23496]

如果已为 ICA 启动/停止事件配置了 RADIUS 记帐,则 ICA 启动的 RADIUS 记帐请求中的会话 ID 将显示为全零。

[NSHELP-22576]

Citrix Web App Firewall

在 Citrix ADC 群集设置中,如果从 Citrix ADC 版本 12.0、12.1 或 13.0 版本 52.x 或更早版本升级一个或多个节点,则其中一个节点会崩溃。发生崩溃的原因是 Web App Firewall cookie 格式和大小不兼容。

[NSWAF-7689]

在 Web App Firewall 中,如果 Cookie-transformation 参数以逗号作为分隔符,则该参数将拆分响应端 cookie 值。

[NSHELP-28411]

如果按特定顺序观察到命令注入违规并且满足以下条件,Citrix ADC 设备可能会崩溃:

  • 请求中存在多个 cookie
  • URLDecodeRequestCookies 功能已关闭

[NSHELP-28365]

在解析启用了 Samesite 属性和 Web 应用程序防火墙功能的 HTTP 响应时,Citrix ADC 设备可能会显示较高的内存使用率。

[NSHELP-27722]

Cookie 劫持功能对 Internet Explorer 浏览器的支持有限,因为 IE 浏览器不会重复使用 SSL 连接。由于这个限制,会为一个请求发送多个重定向,最终导致 Internet Explorer 浏览器 MAX REDIRECTS EXCEEDED 出现错误。

[NSHELP-27193]

升级到 Citrix ADC 版本 13.0 版本 76.29 并在设备上启用了文件上传功能后,会发现以下问题:

  • SQL 和跨站点脚本保护检查会阻止所有 Web 应用程序的文件上载过程。

[NSHELP-27140]

负载平衡

在 GSLB 设置中,在 GSLB 站点上清除统计信息后,远程服务的状态不会更新。作为解决方法,请在同一 GSLB 网站上再次清除统计信息。然后,将更新远程服务的状态。

[NSHELP-28169]

在高可用性设置中,如果满足以下条件,辅助节点可能会崩溃:

  • 两个节点上的物理内存量彼此不同。
  • 数据会话未正确同步。

[NSHELP-26503]

在群集设置中,当通过 GSLB 虚拟服务器绑定访问时,GSLB 服务 IP 地址不会显示在 GUI 中。这只是一个显示问题,对功能没有影响。

[NSHELP-20406]

其他

创建隧道或服务类型 (TOS) 虚拟服务器时,Citrix ADC 设备会添加额外的 L2 信息。

[NSHELP-27825]

网络连接

在基于 Debian 的 Linux 主机上运行的 Citrix ADC BLX 设备(版本 13.0 版本 82.x)升级后,SSH 在共享模式下无法按预期工作。

[NSNET-23020]

Citrix ADC BLX 设备升级到版本 13.1 版本 4.x 后,Web 应用程序防火墙可能会错误地阻止没有内容类型标头的请求。

[NSNET-21415]

在 Citrix ADC BLX 设备中,绑定有标记 non-dpdk 接口的 NSVLAN 可能无法按预期工作。使用未标记 non-dpdk 接口绑定的 NSVLAN 工作正常。

[NSNET-18586]

在 Citrix ADC 设备中,内部驱动程序层可能使用不正确的数据缓冲区,从而导致数据损坏,从而导致设备崩溃。

[NSHELP-27858]

已修复的问题:

作为边车部署并与多个网络连接的 Citrix ADC CPX 无法为目标子网选择正确的源 IP 地址。

[NSHELP-27810]

在高可用性设置中,对于 WAF 配置文件和位置文件配置,HA 同步可能会失败。

[NSHELP-27546]

如果满足以下所有条件,则在负载平衡配置中观察到数据包环路:

  • 虚拟服务器配置为侦听端口 80,连接故障转移 (connfailover) 参数设置为无状态。
  • 虚拟服务器收到两个请求数据包,其中包含:

    • 源端口 = 80
    • 目标端口 = 80 以外的编号
    • 目标 IP 地址 = 虚拟服务器的 IP 地址 (VIP)

[NSHELP-22431]

平台

Failed to create target instance 即使您没有创建任何目标实例,也会在 GCP 控制台上看到错误消息。如果您的 GCP 服务帐户中没有 compute.targetInstances.get IAM 权限,则会出现此问题。从此版本开始,Citrix ADC VPX 仅为使用 VIP 扩展功能的虚拟机创建目标实例。

[NSPLAT-20952]

即使在 Citrix ADC 设备达到其许可证的 PPS 限制之前,Citrix ADC 设备也会生成每秒错误数据包 (PPS) 速率限制警报。

[NSHELP-26935]

策略

具有全局范围的 NS 变量不适用于 HTTP/2 流量。

[NSHELP-27095]

SSL

在群集设置中,当两个已安装的证书是一个具有 OCSP AIA 扩展名的服务器证书的颁发者时,如果删除服务器证书,设备将无法访问。

[NSHELP-28058]

在高可用性设置中,如果满足以下两个条件,CRL 自动刷新会间歇性失败:

  • 文件正在从主节点同步到辅助节点。
  • 同时从 CRL 服务器下载 CRL 文件。

[NSHELP-27435]

在 Citrix ADC 设备上,在启用了-EXPLOUDyMonitor 的情况下添加证书密钥对时,第二天会记录错误的证书到期通知。

[NSHELP-27348]

在集群数据库中,如果在客户端 hello 绑定点多次以不同的优先级将 SSL 策略绑定到虚拟服务器,则绑定不会正确更新。因此,即使在从虚拟服务器中解除绑定策略后,删除策略也会出现错误。

[NSHELP-27301]

如果在配置文件中更改内置证书的名称 (ns-server-certificate),Citrix ADC 设备在重新启动期间崩溃。

[NSHELP-26858]

在群集设置中,您可能会观察到以下问题:

  • 缺少绑定到 CLIP 上 SSL 内部服务的默认证书密钥对的命令。但是,如果从旧版本升级,则可能必须将默认证书密钥对绑定到 CLIP 上受影响的 SSL 内部服务。
  • 对于内部服务的默认 set 命令,CLIP 和节点之间的配置差异。
  • 在节点上运行的 show running config 命令的输出中缺少到 SSL 实体的默认密码绑定命令。遗漏只是显示问题,对功能没有影响。可以使用 show ssl <entity> <name> 命令查看绑定。

[NSHELP-25764]

系统

Citrix ADC 设备可能会因 ICAP OPTIONS 响应而崩溃。当允许的标头值包含 204 以外的值时,会出现此问题。

[NSHELP-27879]

在 AppFlow 中,流记录的第 4 层字节计数与 HTTP 虚拟服务器事务不匹配。计数值低于第 7 层虚拟服务器的字节计数值。

[NSHELP-27495]

如果 Citrix ADC 设备已在 Citrix ADM 上注册,则 TcpcurClientConn 计数器将显示较大的值。

[NSHELP-27463]

禁用 AppFlow 功能并重新启用时,Citrix ADC 设备可能会崩溃。

[NSHELP-27236]

在极少数情况下,Citrix ADC 设备从后端服务器转发时可能会向客户端发送错误的 TCP SACK 序列号。如果在 TCP 配置文件中启用了 TCP 选择性 ACK (SACK) 选项,则会出现此问题。

[NSHELP-24875]

当带有 HTTP.REQ.* 表达式的策略绑定到 HTTP_QUIC 虚拟服务器的响应绑定点时,Citrix ADC 设备可能会崩溃。如果将相同的策略绑定到 HTTP 或 SSL 类型的 HTTP_QUIC 虚拟服务器以及虚拟服务器,则不会出现此问题。

[NSBASE-14612]

用户界面

在压缩策略管理器 GUI 中,无法通过指定相关绑定点和连接类型将压缩策略绑定到 HTTP 协议。

[NSUI-17682]

使用命令从 ADC 实例获取任何文件的内容时 show systemfile,ADC 控制台上会显示下载失败错误消息。如果文件内容以 NULL 字节开头,则会出现此问题。

[NSHELP-28227]

由于内部系统问题 (缺少 Python 二进制文件), admautoregd SYSLOG 泛滥导致客户资源定义 (CRD) 错误分类和误诊。

修复:如果 python 二进制文件仍然缺失,在 30 分钟后停止监视进 admautoregd 程。

[NSHELP-28185]

如果使用 KEK 配置的 AWS 上的 VPX 实例升级到 Citrix ADC 版本 13.0 build 76.x 或更高版本,则配置可能会丢失。如果在重新启动后加载配置,则使用 KEK 加密的所有敏感数据都将失败。

[NSHELP-28010]

如果在某些 SSL 命令(例如 create ssl rsakey 和)的参数中使用特殊字符,则会错误地引入额外的反斜杠字符 create ssl cert

[NSHELP-27378]

在高可用性设置中,如果满足以下任一条件,HA 同步或 HA 传播可能会失败:

  • RPC 节点密码有特殊字符。
  • RPC 节点密码有 127 个字符(允许的最大字符数)。

[NSHELP-27375]

如果输入配置文件的大小非常大,该 nsconfigaudit 工具可能会崩溃。

[NSHELP-27263]

您无法使用 Citrix ADC GUI 将服务或服务组绑定到优先级负载平衡虚拟服务器。

[NSHELP-27252]

如果 Citrix ADC 设备上的系统时钟更新,报告功能可能会停止工作。

[NSHELP-25435]

在 Citrix ADC VPX 设备中,添加许可证服务器后,设置容量操作可能会失败。出现此问题的原因是,由于存在大量受支持的签入和签出类型的许可证 (CICO),与 Flexera 相关的组件需要较长的时间来初始化

[NSHELP-23310]

如果日志表达式绑定到机器人配置文件,则 botprofile_logexpression_binding NITRO API GET 调用不返回任何响应。

[NSCONFIG-5490]

在群集配置中,当您使用细粒度规则绑定 Web App Firewall 配置文件,然后将 non-fine-graned 规则绑定到同一 URL 时,细粒度规则将在数据库中删除。因此,群集 IP 地址上只显示非细粒度规则。

[NSCONFIG-5389]

已知问题

13.1—4.44 版中存在的问题。

AppFlow

HDX Insight 不会报告因用户尝试启动用户无权访问的应用程序或桌面而导致的应用程序启动失败。

[NSINSIGHT-943]

身份验证、授权和审核

将 VPN 虚拟服务器配置为 SAML SP 时,将返回错误的注销 (/cgi/tmlogout) URL。出现此问题的原因是在 SAML 元数据中生成了错误的注销 URL。

[NSHELP-28726]

在某些情况下,如果 SSO 功能与代理服务器一起使用,则 Citrix ADC 设备中会观察到内存泄漏。

[NSHELP-27744]

在极少数情况下,如果满足以下条件,高可用性设置中的辅助节点可能会崩溃。

  • aaa groupsaaa users 两者都在 Citrix ADC 设备上配置。

[NSHELP-26732]

Citrix ADC 设备不会对重复的密码登录尝试进行身份验证,并防止帐户锁定。

[NSHELP-563]

DualAuthPushOrOTP.xml LoginSchema 在 Citrix ADC GUI 的登录架构编辑器屏幕中未正确显示。

[NSAUTH-6106]

可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。 show adfsproxyprofile <profile name>

解决方法:

连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

[NSAUTH-5916]

如果执行以下步骤,Citrix ADC GUI 上的配置身份验证 LDAP 服务器页面将无响应:

  • 测试 LDAP 可达性选项已打开。
  • 填充并提交了无效的登录凭据。
  • 将填充并提交有效的登录凭据。

解决方法:

关闭并打开 “测试 LDAP 可达性” 选项。

[NSAUTH-2147]

缓存

如果启用了集成缓存功能且设备内存不足,Citrix ADC 设备可能会崩溃。

[NSHELP-22942]

Citrix ADC SDX 设备

在 Citrix ADC SDX 设备上,使用软件版本 12.0 XVA 映像创建 ADC 实例失败。因此,实例无法访问。

[NSHELP-28408]

在 Citrix ADC SDX 设备上,配置突增吞吐量分配模式时,ADC 实例不会突增至最大容量。

[NSHELP-27477]

如果满足以下条件,则会在 Citrix ADC SDX 设备上托管的 VPX 实例上看到丢包:

  • 吞吐量分配模式为突发。
  • 吞吐量和最大突增容量之间存在很大差异。

[NSHELP-21992]

Citrix Gateway

有时,断开 VPN 连接后,DNS 解析器无法解析主机名,因为在 VPN 断开连接期间会删除 DNS 后缀。

[NSHELP-28848]

将 Citrix Gateway 设备升级到版本 13.0 后,会话配置文件中的代理配置无法按预期工作。对于配置的非 HTTP NS 代理,将绕过代理连接。

示例: add vpn sessionAction -proxy NS -httpProxy 192.0.2.0:24 -sslProxy 192.0.2.0:24

在此示例中,-httpProxy 按预期工作,但 -sslProxy 不起作用。

[NSHELP-28640]

如果 macOS 钥匙串中没有客户端证书,则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

[NSHELP-28551]

有时,设置客户端空闲超时后,用户会在几秒钟内注销 Citrix Gateway。

[NSHELP-28404]

Windows 插件可能会在身份验证期间崩溃。

[NSHELP-28394]

如果出现以下任一情况,Citrix ADC 设备将崩溃:

  • syslog 操作使用域名进行配置,您可以使用 GUI 或 CLI 清除配置。
  • 高可用性同步发生在辅助节点上。

解决方法:

使用系统日志服务器的 IP 地址而不是系统日志服务器的域名创建 syslog 操作。

[NSHELP-25944]

适用于 Windows 的 EPA 插件不使用本地计算机配置的代理,而是直接连接到网关服务器。

[NSHELP-24848]

Gateway Insight 不会显示有关 VPN 用户的准确信息。

[NSHELP-23937]

如果满足以下条件,则 VPN 插件在 Windows 登录后不会建立隧道:

  • Citrix Gateway 设备已配置为 “始终开启” 功能
  • 设备配置为使用双因素身份验证的基于证书的身份验证 off

[NSHELP-23584]

有时在浏览模式时,会出 Cannot read property 'type' of undefined 现错误消息。

[NSHELP-21897]

Gateway Insight 中不会报告由于 STA 票证无效而导致的应用程序启动失败。

[CGOP-13621]

Gateway Insight 报告在 SAML 错误故障的身份验证类型字段中错误地显示了值 Local 而非 SAML

[CGOP-13584]

在高可用性设置中,Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

[CGOP-13511]

接受来自浏览器的本地主机连接时,适用于 macOS 的“接受连接”对话框将以英语显示内容,而不考虑所选的语言。

[CGOP-13050]

对于某些语言,Citrix SSO 应用程序 > 主页中的文本 Home Page 会被截断。

[CGOP-13049]

从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

[CGOP-11830]

在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”将显示 严重错误 对话框。此外,页面变得无响应。

[CGOP-7269]

在群集部署中,如果在非 CCO 节点上运行 force cluster sync 命令,ns.log 文件将包含重复的日志条目。

[CGOP-6794]

Citrix Web App Firewall

Web App Firewall 签名 ID 1048 会阻止 Citrix Gateway 页面加载。

[NSHELP-29113]

负载平衡

在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

[NSLB-7679]

由于失败的命令中缺少 ENUM 值,GSLB 服务组无法处理监视器更新。

[NSHELP-29050]

如果按以下方式配置 GSLB 虚拟服务器,Citrix ADC 设备可能无法使用预期的 GSLB 服务 IP 地址响应 GSLB 域查询: 持久性类型:源 IP 地址 负载平衡算法:静态邻近 备份负载平衡方法:回合行程时间 (RTT)

[NSHELP-28668]

在启用 AutoScale 的情况下配置 GSLB 服务组后,VPX 主站点和辅助站点崩溃。

解决办法:添加 GSLB 服务或将 IP 端口绑定到 GSLB 服务组时, 请勿添加虚拟虚拟服务器,例如内容交换虚拟服务器。

[NSHELP-28530]

HA 设置中的 Citrix ADC 设备会失去连接,因为在 HTTP 探测监视期间发送 HTTP 响应后未释放 NSB 内存。

[NSHELP-28466]

服务组 entityofs 陷阱中的 ServiceGroupName 格式如下所示: <service(group)name>?<ip/DBS>?<port>

在陷阱格式中,服务组由 IP 地址或 DBS 名称和端口标识。问号 (?) 用作分隔符。Citrix ADC 发送带有问号 (?) 的陷阱。该格式在 Citrix ADM GUI 中显示的内容相同。这是预期的行为。

[NSHELP-28080]

其他

在高可用性设置中进行强制同步时,设备将在辅助节点中运行 set urlfiltering parameter 命令。 因此,辅助节点将跳过任何计划的更新,直到 TimeOfDayToUpdateDB 参数中提到的下一个计划时间为止。

[NSSWG-849]

对于 IDNA2008 标准域,URL 集模式匹配失败。

[NSHELP-28902]

为 VXLAN 启用基于 MAC 的转发 (MBF) 时,没有建立有状态的 TCP 会话。

[NSHELP-27125]

如果 URL 筛选第三方供应商出现连接问题,Citrix ADC 设备可能会由于管理 CPU 停滞而重新启动。

[NSHELP-22409]

网络连接

如果 Web 应用程序防火墙配置文件配置了高级安全保护检查,则处于 DPDK 模式的 Citrix ADC BLX 设备可能会崩溃。

解决方法:

删除 WAF 的高级安全保护配置。

[NSNET-22654]

从 Citrix ADC BLX 设备 13.0 61.x 版本升级到 13.0 64.x 版本后,BLX 配置文件上的设置将丢失。然后,BLX 配置文件将重置为默认值。

[NSNET-17625]

带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

  • 禁用
  • 启用
  • 重置

[NSNET-16559]

在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件 (/etc/blx/blx.conf) 设置如何,Citrix ADC BLX 设备始终以共享模式部署。出现此问题的原因是 mawk,基于 Debian 的 Linux 系统默认存在,它不会运行 blx.conf 文件中存在的某些 awk 命令。

解决方法:

gawk 在安装 Citrix ADC BLX 设备之前进行安装。您可以在 Linux 主机 CLI 中运行以下命令进行安装 gawk

  • apt-get 安装 gawk

[NSNET-14603]

在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

解决方法:

在安装 Citrix ADC BLX 设备之前,请在 Linux 主机 CLI 中运行以下命令:

-  dpkg --add-architecture i386
-  apt-get update
-  apt-get dist-upgrade
-  apt-get install libc6:i386
<!--NeedCopy-->

[NSNET-14602]

在某些 FTP 数据连接情况下,Citrix ADC 设备仅对数据包执行 NAT 操作,而不会对 TCP MSS 协商的数据包执行 TCP 处理。因此,没有为连接设置最佳接口 MTU。此错误的 MTU 设置会导致数据包分段并影响 CPU 性能。

[NSNET-5233]

在高可用性设置中两个 Citrix ADC 设备的大规模 NAT 部署中,如果设置了高可用性配置 stayprimarystaysecondary 选项,则 IPsec ALG 可能无法正常工作。

[NSNET-1646]

当 Citrix ADC 设备中的管理分区内存限制发生更改时,TCP 缓冲内存限制将自动设置为管理分区新内存限制。

[NSHELP-21082]

在高可用性 (HA) 设置中,如果禁用了免费 ARP (GARP),则在 HA 故障切换后,上游路由器可能不会将流量定向到新的主服务器。

[NSHELP-20796]

平台

当您从 13.0/12.1/11.1 版本升级到 13.1 版本或从 13.1 版本降级到 13.0/12.1/11.1 版本时,Citrix ADC 设备上未安装某些 python 软件包。以下 Citrix ADC 版本的此问题已修复:

  • 13.1-4.x
  • 13.0—82.31 及更高版本
  • 12.1—62.21 及更高版本

当您将 Citrix ADC 版本从 13.1-4.x 降级到以下任何版本时,不会安装 python 软件包:

  • 任何 11.1 版本
  • 12.1-62.21 及更早版本
  • 13.0-81.x 及更早版本

[NSPLAT-21691]

在运行版本 13.1 的 Citrix ADC SDX 设备上,配置版本为 12.0 XVA 的 VPX 实例失败。

仅支持 VPX 12.1 及更高版本。在将 SBI 升级到版本 13.1 之前,请先升级 VPX 版本。

[NSPLAT-21442]

从 Azure 资源组中删除自动缩放设置或 VM 比例集时,请从 Citrix ADC 实例中删除相应的云配置文件配置。使用命 rm cloudprofile 令删除配置文件。

[NSPLAT-4520]

在 Azure 上的高可用性设置中,通过 GUI 登录辅助节点时,将显示自动缩放云配置文件配置的首次用户 (FTU) 屏幕。 解决办法:跳过屏幕,然后登录主节点以创建云配置文件。云配置文件应始终在主节点上配置。

[NSPLAT-4451]

如果使用 VMXNET3 驱动程序的 Citrix ADC VPX 实例在以下 Citrix ADC 版本之一上运行,则该实例可能会随机崩溃:

  • Citrix ADC 13.1 Build 4.x
  • Citrix ADC 13.1 Build 9.x

[NSHELP-29120]

策略

如果处理数据的大小超过配置的默认 TCP 缓冲区大小,则连接可能会挂起。解决办法:将 TCP 缓冲区大小设置为需要处理的最大数据大小。

[NSPOLICY-1267]

SSL

在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

解决方法:

  1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
  2. 保存配置。

[NSSSL-9572]

更新命令不适用于以下添加命令:

-  add azure application
-  add azure keyvault
-  add ssl certkey with hsmkey option
<!--NeedCopy-->

[NSSSL-6484]

如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

[NSSSL-6478]

您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

[NSSSL-6213]

当您删除 HSM 密钥但未指定 KEYVAULT 为 HSM 类型时,将显示以下错误错误消息。 错误: crl refresh disabled

[NSSSL-6106]

会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

[NSSSL-4427]

如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会 Warning: No usable ciphers configured on the SSL vserver/service, 显示不正确的警告消息。

[NSSSL-4001]

在 HA 故障切换后,非 CCO 节点和 HA 节点上将支持过期的会话票证。

[NSSSL-3184]

如果已在请求绑定点绑定的策略将策略操作设置 Forward 为,则 Citrix ADC 设备在处理 HTTP 请求时崩溃。

[NSHELP-29115]

系统

Citrix ADC 设备处理 HTTP/2 报头帧时会观察到 TCP 窗口泄漏。

[NSHELP-28475]

当客户端重置与多个 TCP 流的连接时,不会发送服务器端事务记录,这会导致这些数据流的 L4 记录丢失。

[NSHELP-28281]

在群集设置中,该 set ratecontrol 命令仅在重新启动 Citrix ADC 设备后有效。

解决方法:

使用 nsapimgr_wr.sh -ys icmp_rate_threshold=<new value> 命令。

[NSHELP-21811]

如果设备没有从客户端收到 max_concurrent_stream 设置帧,则默认情况下, MAX_CONCURRENT_STRE AMS 值设置为 100。

[NSHELP-21240]

mptcp_cur_session_没有_subflow 的计数器错误地递减为负值而不是零。

[NSHELP-10972]

当为智能分析配置 LogStream 传输类型时,HDX Insight SkipFlow 记录中的客户端 IP 和服务器 IP 会反转。

[NSBASE-8506]

用户界面

在 Citrix ADC GUI 中, Dashboard 选项卡下显示的 Help 链接已断开。

[NSUI-14752]

创建/监控 CloudBridge Connector 向导可能会变得无响应或无法配置 cloudbridge 连接器。

解决方法:

使用 Citrix ADC GUI 或 CLI,通过添加 IPsec 配置文件、IP 隧道和 PBR 规则来配置云桥连接器。

[NSUI-13024]

如果使用 GUI 创建 ECDSA 关键帧,则不会显示曲线的类型。

[NSUI-6838]

如果执行任何读取 ns.conf 文件的操作,则会出现以下问题。例如,show ns saved config

  • HTTPD 进程可能会冻结,导致 GUI 和 NITRO API 变得无法访问。

[NSHELP-28249]

在高可用性设置中,如果满足以下条件,VPN 用户会话将断开连接:

  • 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。

解决方法:

仅在 HA 同步完成后执行连续的手动 HA 故障切换(两个节点都处于同步成功状态)。

[NSHELP-25598]

在管理分区设置中,上传和添加证书吊销列表 (CRL) 文件失败。

[NSHELP-20988]

将 Citrix ADC 设备版本 13.0-71.x 降级到较早版本时,由于文件权限更改,某些 NITRO API 可能无法正常工作。

解决方法:

将权限更 /nsconfig/ns.conf 改为 644。

[NSCONFIG-4628]

如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

  1. 将 Citrix ADC 设备升级到其中一个版本:

    • 13.0 52.24 构建
    • 12.1 57.18 构建
    • 11.1 65.10 构建
  2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
  3. 将 Citrix ADC 设备降级为任何较旧的版本。

要使用 CLI 显示这些系统用户的列表: 在命令提示符下键入:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

解决方法:

要解决此问题,请使用以下独立选项之一:

  • 如果 Citrix ADC 设备尚未降级(前面提到的步骤中的步骤 3),请使用同一版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
  • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
  • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

有关详细信息,请参阅 如何重置 root 管理员密码

[NSCONFIG-3188]

以下任何 Citrix ADC 升级操作都可能导致本地系统用户帐户登录失败:

  • 从 Citrix ADC 13.0-83.x 版本到 Citrix ADC 13.1-4.x 版本
  • 从 Citrix ADC 12.1-63.x 版本到 Citrix ADC 13.1-4.x 版本
  • 从 Citrix ADC 12.1-63.x 版本到 Citrix ADC 13.0-82.x 版本

只有满足以下任一条件的本地系统用户帐户才会出现此问题:

  • 在执行升级操作之前,已更改 Citrix ADC 内部版本(13.0-83.x 或 12.1-63.x)上的本地系统帐户的用户密码。
  • 在执行升级操作之前,本地系统用户帐户已添加到 Citrix ADC 版本(13.0-83.x 或 12.1-63.x)中。

解决方法:

系统管理员可以为面临登录失败问题的本地系统用户帐户重置密码。

有关详细信息,请参阅 如何重置 root 管理员密码

[NSCONFIG-5650]

Citrix ADC 13.1—4.44 版本的发行说明