ADC

Versionshinweise für Citrix ADC 13.0-58.32 Release

December 28, 2022

Beitrag von:

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die Citrix ADC-Version Build 13.0-58.32 bestehen.

Hinweise

Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste der sicherheitsbezogenen Fixes und Advisorys finden Sie im Citrix Security Bulletin.
Build 58.32 ersetzt Build 58.30
Zusätzliche Korrekturen in diesem Build: NSAUTH-8617, NSAUTH-8712

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.0-58.32 verfügbar sind.

Citrix Gateway

Verbesserungen des DTLS-Listeners

Der Benutzer kann jetzt einen separaten virtuellen DTLS-VPN-Server mit derselben IP und Portnummer eines konfigurierten virtuellen SSL-VPN-Servers konfigurieren. Durch die Konfiguration virtueller DTLS-VPN-Server kann der Benutzer die erweiterten DTLS-Chiffren und -Zertifikate binden. Außerdem wird das DTLS 1.2-Protokoll zusätzlich zu dem zuvor unterstützten DTLS 1.0-Protokoll unterstützt.

[CGOP-11142]

Citrix Web App Firewall

Bot-Management-Statistiken

Die Citrix ADC Bot-Management-GUI zeigt jetzt Bot-Traffic- und Bot-Verstoßstatistiken sowohl in tabellarischer als auch in grafischer Form an.

[NSWAF-5270]
Bot-Unterstützung für die Cluster-Konfiguration

Das Citrix ADC-Botmanagement wird jetzt in einer Clusterkonfiguration unterstützt.

[NSWAF-4227]
CAPTCHA-Validierung für IP-Reputation und Techniken zur Erkennung von Gerätefingerabdrücken

Das Citrix ADC-Botmanagement unterstützt jetzt CAPTCHA zur Abwehr von Bot-Angriffen. Ein CAPTCHA ist eine Challenge-Response-Validierung, die durchgeführt wird, um festzustellen, ob der eingehende Traffic von einem menschlichen Benutzer oder einem automatisierten Bot stammt. Die Validierung hilft dabei, automatisierte Bots zu blockieren, die Sicherheitsverletzungen für Webanwendungen verursachen. Sie können CAPTCHA sowohl in der IP-Reputation als auch in den Techniken zur Erkennung von Gerätefingerabdrücken als Bot-Aktion konfigurieren.

[NSWAF-3982]
Unterstützung für die automatische Aktualisierung von Bot-Signaturen

Das Citrix ADC-Botmanagement unterstützt jetzt die automatische Aktualisierungsfunktion, die mit der AWS-Datenbank kommuniziert, um die neuesten Signaturaktualisierungen abzurufen. Das Update ist für jede Stunde geplant.

Sie können auch einen Proxyserver konfigurieren, um die Updates von AWS abzurufen und die Signaturen regelmäßig auf der ADC-Appliance zu aktualisieren. Für die Proxy-Konfiguration müssen Sie die Proxy-IP-Adresse und den Port in den Bot-Einstellungen konfigurieren.

[NSWAF-3954]
Export und Import von Entspannungsregeln

Mit einer Citrix ADC-Appliance können Sie jetzt die dynamischen profilbasierten Relaxationsregeln und die regulären Entspannungsregeln exportieren und importieren. Sie können die Regeln aus einer Staging-Umgebung exportieren und in Ihre Produktionsumgebung importieren.
Die Aktion “Augment” stellt sicher, dass der Import der Relaxationsregeln additiv erfolgt und die bestehende Konfiguration nicht überschreibt.

[NSWAF-3813]
Bot-Trap-Erkennung

Das Citrix ADC-Botmanagement unterstützt jetzt die Bottrap-Erkennungstechnik. Die Technik kündigt in der Client-Antwort eine Trap-URL an. Die URL erscheint unsichtbar und nicht zugänglich, wenn der Client ein menschlicher Benutzer ist. Wenn der Client jedoch ein automatisierter Bot ist, ist die URL zugänglich, und wenn darauf zugegriffen wird, wird der Angreifer als Bot eingestuft und alle nachfolgenden Anfragen des Bot werden blockiert. Die Erkennungstechnik blockiert effektiv Angriffe von automatisierten Bots.

[NSWAF-3231]
Integration von Snort-Regeln

Sie können jetzt Snort-Regeln in eine Citrix ADC-Appliance integrieren, um böswillige Angriffe auf der Andwendungslayer zu verhindern. Die Regeln werden von der Snort-Website heruntergeladen und in WAF-Signaturen umgewandelt. Die auf Kurzform basierenden WAF-Signaturen können bösartige Aktivitäten wie DOS-Angriffe, Pufferüberläufe, Stealth-Portscans, CGI-Angriffe, SMB-Sonden und Versuche mit Betriebssystem-Fingerabdrücken erkennen.Durch die Integration von Snort-Regeln können Sie Ihre Sicherheitslösung auf der Schnittstellen- und Andwendungslayer stärken.

[NSWAF-3055]

Lastausgleich

Verbesserung der GEO-Regeln zur Validierung von Platzhalterübereinstimmungen für die standortbezogene Formulierung von Richtlinien

In den GEO-Regeln wurde nun Unterstützung für den Ausdruck “Ortsbezogene Richtlinie” hinzugefügt, um Platzhalterübereinstimmungen zu überprüfen. Diese Funktion prüft, ob Platzhalterqualifizierer mit anderen Qualifikationszeichen übereinstimmen, einschließlich Nicht-Platzhalter oder nicht. Der Platzhalterabgleich wird mithilfe des Attributs matchWildcardToAny durchgeführt, das dem Befehl “set LocationParameter” hinzugefügt wird.

Das matchWildcardToAny-Attribut kann auf die folgenden Werte festgelegt werden:
- Ja: Wildcard-Qualifikationsspiele stimmen mit allen anderen Qualifikationsspielen überein.
- Nein: Platzhalter-Qualifikationsspiele stimmen nicht mit Nicht-Wildcard-Qualifikationsspielen überein, sondern stimmen mit anderen Platzhalter-Qualifikationsspielen überein. Die Standardoption ist “ Nein”.
- Ausdruck: Platzhalterqualifizierer in einem Ausdruck stimmen mit jedem Qualifikator an einer LDNS-Position überein, aber Platzhalterqualifizierer am LDNS-Speicherort stimmen nicht mit Nicht-Platzhalter-Qualifizierern in einem Ausdruck überein.
[NSHELP-11782]

Netzwerke

Unterstützung für Besitzer von Neighbor Discovery für Striped IPv6-Adressen

In einem Cluster-Setup können Sie jetzt einen bestimmten Knoten als Neighbor Discovery (ND) -Besitzer für Striped IPv6-Adressen konfigurieren, um die Link-Layer-Adresse zu ermitteln. Ein Client sendet eine Neighbor Solicitation (NS) -Nachricht an alle Knoten im Cluster-Setup. Der ND-Besitzer antwortet mit einer Neighbor Advertisement (NA) -Nachricht mit der Link-Layer-Adresse für die Striped IPv6-Adresse und leitet den Datenverkehr weiter.

Sie können den ND-Besitzer mithilfe der CLI konfigurieren, indem Sie die Knoten-ID angeben:
- add ns ip6 -ndOwner
- set ns ip6 -ndOwner
Navigieren Sie in der GUI zu System > Netzwerk > IPs > IPv6s. Wählen Sie beim Hinzufügen oder Ändern einer IPv6-Adresse eine der unter “nDowner in Cluster” aufgeführten Knoten-IDs aus.

[NSNET-10767]
Unterstützung für den globalen Serverlastenausgleich auf einer Citrix ADC BLX-Appliance

Citrix ADC BLX-Appliances unterstützen jetzt die Citrix ADC Global Server Load Balancing (GSLB) -Funktion.

Hinweis: Die Citrix ADC BLX-Appliances unterstützen die GSLB-Unterfunktion für die automatische Synchronisierung nicht.

[NSNET-9263]

Plattform

Unterstützung für Intel X722 10G NIC auf der Linux-KVM-Plattform

Eine Citrix ADC VPX-Instanz auf der Linux-KVM-Plattform unterstützt jetzt Intel X722 10G SR-IOV-Netzwerkschnittstellen.

[NSPLAT-13197]
Einrichten eines Citrix ADC VPX-Hochverfügbarkeitspaars mit privaten IP-Adressen auf der Google Cloud Platform

Sie können jetzt ein VPX-Hochverfügbarkeitspaar auf GCP mithilfe privater IP-Adressen bereitstellen. Sie müssen den INC-Modus deaktivieren, um diese Funktion zu konfigurieren. Die Client-IP (VIP) und die Server-IP (SNIP) müssen als Alias-IP-Adressen auf dem Primärknoten konfiguriert werden. Beim Failover werden sowohl die Client-IP-Adresse als auch die Server-IP-Adresse auf den sekundären Knoten verschoben.

[NSPLAT-12516]
Backend-Autoscaling-Unterstützung für GCP

Die Citrix ADC VPX-Appliance unterstützt jetzt die Backend-Autoscaling-Funktion für die Google Cloud Platform (GCP). Diese Funktion erkennt die Backend-Server in einer GCP Managed Instance Group (MIG). GCP fügt dem MIG-Pool basierend auf benutzerdefinierten Metriken automatisch Server hinzu oder entfernt sie daraus. Die VPX-Appliance erfasst die Details des Backend-Serverpools und verteilt den Datenverkehr entsprechend.

[NSPLAT-7715]

Richtlinien

Konfiguration von Richtliniendatensätzen

Mit dem Richtliniendatensatz können Sie jetzt einen Bereich für verschiedene Datentypen angeben. Betrachten Sie ein Beispiel,
fügen Sie den Datensatz hinzu ds1 ipv4
bind dataset ds1 1.1.1.1 —EndRange 1.1.1.10

Wobei ein Wert als im Datensatz enthalten gilt, wenn er entweder einem einzelnen an den Datensatz gebundenen Wert entspricht oder zwischen dem unteren und dem oberen Wert (niedrigerer Wert <= Wert && Wert <- oberer Wert) eines an den Datensatz gebundenen Bereichs liegt.

[ NSPOLICY-3282 ]

SSL

Adaptive SSL-Verkehrssteuerung

Wenn auf der Appliance sehr viel Datenverkehr empfangen wird und die Kapazität der Kryptobeschleunigung voll ist, beginnt die Appliance, Verbindungen in die Warteschlange zu stellen, um sie später zu verarbeiten. Derzeit ist die Größe dieser Warteschlange auf 64 KB festgelegt und die Appliance beginnt, Verbindungen abzubrechen, wenn dieser Wert überschritten wird. Mit dieser Verbesserung unterbricht die Appliance neue Verbindungen, wenn die Anzahl der Elemente in der Warteschlange den adaptiv und dynamisch berechneten Grenzwert überschreitet.

Dieses Limit wird berechnet auf der Grundlage von:
- Die tatsächliche Kapazität des Geräts.
- Vom Benutzer konfigurierter Wert als Prozentsatz der tatsächlichen Kapazität. Der Standardwert ist 150%.
Wenn beispielsweise die tatsächliche Kapazität einer Appliance zu einem bestimmten Zeitpunkt 1000 Operationen/Sekunde beträgt und der Standardprozentsatz konfiguriert ist, beträgt der Grenzwert, nach dem die Appliance Verbindungen trennt, 1500 (150% von 1000).

[NSSSL-7476]
Unterstützung für das DTLSv1.2-Protokoll im Frontend einer Citrix ADC Cavium MPX-Plattform

Das DTLS 1.2-Protokoll wird jetzt im Frontend eines Citrix ADC für die Cavium MPX-Plattform unterstützt. Bei der Konfiguration eines virtuellen DTLS-Servers müssen Sie jetzt DTLS1 oder DTLS12 angeben. Standardmäßig ist DTLSv12 deaktiviert.

[NSSSL-6097]
Unterstützung für sichere Neuverhandlungen im Backend einer Citrix ADC-Appliance

Die sichere Neuverhandlung wird jetzt im Backend einer Citrix ADC-Appliance unterstützt. Sie können die sichere Neuverhandlung im SSL-Profil und in den globalen SSL-Parametern aktivieren. Um eine sichere Neuverhandlung zu aktivieren, setzen Sie den Parameter “denySSLReneg” auf eine der folgenden Optionen:
- NONSECURE
- NEIN
- FRONTEND_CLIENT
- FRONTEND_CLIENTSERVER
Beispiel
```
 set ssl profile ns_default_ssl_profile_backend -denySSLReneg NONSECURE  
 set ssl parameter -denySSLReneg NONSECURE  
 
```
[NSHELP-14944]

System

Eingebautes HTTP-Profil für Verwaltungszugriff

Die Citrix ADC-Appliance verfügt jetzt über ein integriertes HTTP-Profil, “nshttp_default_internal_apps” für den Verwaltungszugriff. Das Profil ist so konfiguriert, dass es HTTP/0.9-Anfragen blockiert und ungültige Anfragen für den Verwaltungszugriff verwirft. Die Profileinstellungen entsprechen denen des vorhandenen Profils “nshttp_default_strict_validation”. Es ist jedoch ratsam, die Profileinstellungen nicht wie im Profil “nshttp_default_strict_validation” zu ändern.

[NSBASE-9953]

Benutzeroberfläche

Konfigurieren Sie eine matcheDID, um den zuletzt ausgewerteten URL-Satz anzugeben

Ein neuer Parameter, “matchedID”, wurde jetzt zum Befehl “import policy urlset” hinzugefügt. Die ID kann den URL-Satz angeben, der zuletzt ausgewertet wurde, nachdem er mit der angeforderten URL übereinstimmte. Die ID wird auch an den AppFlow-Collector gesendet, der Informationen auf Benutzersitzungsebene sammelt.

[NSUI-14674]
Unterstützung des strikten Modus für den Synchronisierungsstatus des Clusters

Sie können jetzt einen Clusterknoten so konfigurieren, dass Fehler beim Anwenden der Konfiguration angezeigt werden. Ein neuer Parameter, “syncStatusStrictMode”, wird sowohl in den Befehlen add als auch set cluster instance eingeführt, um den Status jedes Knotens in einem Cluster zu verfolgen. Standardmäßig ist der Parameter “SyncStatusStrictMode” deaktiviert.

[NSCONFIG-2796]

Behobene Probleme

Die Probleme, die in Build 13.0-58.32 behoben wurden.

AppFlow

Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn während der Aktivierung der AppFlow-Funktion aktiver Datenverkehr herrscht.

[NSHELP-22361]

Authentifizierung, Autorisierung und Auditing

Die Extraktion von Benutzernamen in OnlyPassword.xml funktioniert in Citrix ADC nicht. Der Ausdruck wird als $ {http.req.user.name} angezeigt, der idealerweise durch einen Benutzernamen ersetzt werden sollte.

[NSHELP-22172]
Citrix ADC, das als SAML SP bereitgestellt wird, zeigt möglicherweise eine lokale Abmeldeseite an, nachdem der Benutzer den Abmeldevorgang initiiert hat.

[NSHELP-22067]
In einigen Fällen gibt eine Citrix ADC-Appliance den Kern aus, weil SYN-Pakete, die zum TACACS-Server gehen, mit falschen Partitionswerten gefüllt sind.

[NSHELP-22030]
Eine Citrix ADC-Appliance kann den Core ablegen, wenn sie einen RESET-Befehl vom Client empfängt, während die Appliance VPN-Verkehrsanforderungen verarbeitet.

[NSHELP-21817]
Formularbasiertes SSO schlägt fehl, wenn die FORMSSO-Richtlinien ein leeres Name-Wert-Paar für DYNAMIC FORMSSO enthalten.

[NSHELP-21753]
Eine Citrix ADC-Appliance stürzt möglicherweise mit StoreFront AuthAction ab, wenn die folgenden Bedingungen erfüllt sind:
- Das Kennwort wird nach Ablauf des Ablaufdatums geändert.
- Die Authentifizierung wird von alten VPN-Clients, die nicht von NFactor stammen, versucht.
[NSHELP-21555]
Das Tag “SAML:AttributeValue” fehlt in der SAML-Assertion immer dann, wenn der Knopf “ns_saml_disable_comma_sep_attr_res nsapimgr” aktiviert ist.

[NSHELP-21552]
SSO zu StoreFront mithilfe von Citrix ADC schlägt fehl, wenn die folgenden Bedingungen erfüllt sind:
- Die Citrix ADC-Appliance ist für die Multi-Faktor-Authentifizierung konfiguriert.
- Die Citrix ADC-Sitzung läuft ab, bevor die konfigurierten Authentifizierungsfaktoren geprüft werden.
[NSHELP-21466]
Volles VPN funktioniert nicht, wenn die folgenden Bedingungen erfüllt sind:
- Eine Citrix ADC-Appliance ist für die nFactor-Authentifizierung konfiguriert, wobei die SAML-Authentifizierung der letzte Authentifizierungsfaktor ist.
- Die Appliance ist an das RFWebUI-Portaldesign gebunden.
[NSHELP-21157]
Während der Erstellung einer IdP-Sitzung auf einem virtuellen Authentifizierungsserver wird jede Konfiguration des Anmeldeschemaprofils, das dem ersten Authentifizierungsfaktor zugeordnet ist, nicht berücksichtigt. Wenn das Anmeldeschemaprofil so konfiguriert ist, dass es die Anmeldeinformationen des ersten Faktors für die SSO-Funktionalität verwendet, wird die Konfiguration nicht berücksichtigt.

[NSAUTH-8712]
Ein Citrix Gateway-Gerät gibt den Kern aus, wenn die folgenden Bedingungen erfüllt sind:
- Auf das Citrix Gateway-Gerät wird mit der Citrix Workspace-App zugegriffen.
- Das Citrix Gateway-Gerät ist für die nFactor-Bereitstellung mit erweiterter Authentifizierung konfiguriert.
[NSAUTH-8617]

Caching

In einem Cluster-Setup kann eine Citrix ADC-Appliance abstürzen, wenn;
- Upgrade des Setups von Citrix ADC 13.0 47.x oder 13.0 52.x auf einen späteren Build
- Upgrade des Setups auf den Citrix ADC 13.0 47.x- oder 13.0 52.x-Build
Führen Sie während des Upgrade-Vorgangs die folgenden Schritte durch:
- Deaktivieren Sie alle Clusterknoten und aktualisieren Sie dann jeden Clusterknoten
- Aktivieren Sie alle Clusterknoten, nachdem alle Knoten aktualisiert wurden
[NSHELP-21754]

Citrix ADC SDX-Appliance

In einigen Fällen kann das Upgrade einer Citrix ADC SDX-Appliance auf Version 13.0 aufgrund eines internen Fehlers fehlschlagen.

[NSSVM-3377]
Auf einer Citrix ADC SDX-Appliance schlägt das Upgrade von Version 12.1 Build 56.22 auf Version 13.0 Build 52.24 möglicherweise fehl.

[NSSVM-3159]
Die Instanz wird nicht gestartet, wenn Sie zu Citrix ADC > Instances navigieren und in der SDX-GUI auf die Instanz-IP-Adresse klicken. Das Problem tritt erst auf, nachdem Sie auf Version 13.0 Build 47.x aktualisiert haben.

[NSHELP-22152]
Das Upgrade auf einer Citrix ADC SDX-Appliance schlägt möglicherweise fehl, wenn der gepoolte Lizenzserver konfiguriert ist.

[NSHELP-22064]
Sie können den VPX-Instanznamen auf den folgenden Plattformen nicht ändern, wenn die Anzahl der Kerne, die diesem VPX zugewiesen sind, größer ist als die Anzahl der freien Kerne, die auf der Appliance verfügbar sind.
- SDX 8900
- SDX 14xxx-40G
- SDX 14xxx-40S
- SDX 14xxx FIPS
- SDX 15xxx-25G
- SDX 15xxx-50G
- SDX 25xxx
- SDX 26 xxx
- SDX 26xxx-50S
- SDX 26xxx-100 g
[NSHELP-22048]
Auf den Plattformen Citrix ADC SDX 15xxx und SDX 26xxx können Sie nicht mehrere VPX-Instanzen im L2-Modus bereitstellen.

[NSHELP-21367]
Nach dem Upgrade auf die Softwareversionen 11.1 und 12.1 sendet die Appliance möglicherweise NSNotifyRestart-Traps.

[NSHELP-18308]

Citrix Gateway

Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn die Sitzungsinformationen in einem VPN-Setup zwischen CPUs kopiert werden.

[NSHELP-22665]
Das Citrix Gateway-Gerät stürzt bei der Verarbeitung einer serverinitiierten Verbindung aufgrund eines Fehlers bei der Verbindungsverknüpfung ab.

[NSHELP-22598]
Das Citrix Gateway-Gerät stürzt möglicherweise zeitweise ab, wenn die folgenden Bedingungen erfüllt sind.
- Wenn ein Server eine UDP-Verbindung zu einem Intranet initiiert hat, wird einem Benutzer eine IP-Adresse zugewiesen.
- Der Server sendet nach dem Senden des ersten Pakets noch lange keine UDP-Pakete.
[NSHELP-22583]
Während einer Übertragungsanmeldung stürzt das Citrix Gateway-Gerät möglicherweise ab, wenn versucht wird, eine ungültige Verbindung zu speichern und dann die ungültige Verbindung dereferenziert wird.

[NSHELP-22568]
Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn sie für klassisches clientloses VPN konfiguriert ist.

[NSHELP-22559]
In seltenen Fällen wird der Zähler für den Parameter “vpnusers” mit dem Wert 0 falsch dekrementiert. Durch diese Verringerung wird der Zähler auf einen sehr hohen Wert zurückgesetzt, was dazu führt, dass die Lizenzprüfung fehlschlägt.

[NSHELP-22558]
Manchmal ermöglicht Citrix Gateway macOS-Clients den Zugriff auf interne Ressourcen, auch wenn der EPA-Scan auf dem Client-Computer fehlschlägt.
Dieses Problem tritt nur bei N-Core-Computern mit der folgenden Konfiguration auf:
- Eine Sitzungsrichtlinie wird mit dem Parameter “ClientSecurityGroup” erstellt.
- Eine Responder-Richtlinie wird erstellt, um bestimmte Aktionen für die Benutzer durchzuführen, die Teil dieser Client-Sicherheitsgruppe sind.
[NSHELP-22262]
Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn Sie versuchen, über den vollständigen VPN-Tunnel zu drucken, wenn die Intranet-IP-Adresse zugewiesen ist.
Dieses Problem tritt bei HP-Druckern auf, die die Protokolle hp-status und WSDAPI verwenden.

[NSHELP-22191]
Wenn die SAML-Authentifizierung auf dem Citrix Gateway konfiguriert ist und ein Benutzer versucht, sich über das VPN-Plug-In anzumelden, zeigt der Browser einen leeren Bildschirm an.

[NSHELP-22185]
In der GUI der Citrix ADC-Appliance können Sie eine Autorisierungsrichtlinienbindung nicht von einer Authentifizierungs-, Autorisierungs- und Überwachungsgruppe trennen.

[NSHELP-22167]
Wenn Sie eine neue Citrix ADC VPX-Appliance mithilfe eines XVA-Image auf einem Citrix Hypervisor oder einem anderen Server bereitstellen, werden die Citrix Gateway-Plug-In-Pakete für Windows nicht am entsprechenden Speicherort gefunden.

[NSHELP-22157]
Bei einem vollständigen Tunnel-Setup und der klassischen Client-Zertifikatsauthentifizierung mit rfWebUI reagiert die Appliance nach der Anmeldung mit einer leeren Seite oder dem Fehler “Client nicht fähig”.

[NSHELP-22084]
Manchmal kann die PCoIP-App oder der Desktop möglicherweise nicht gestartet werden.

[NSHELP-22041]
In einem Citrix Gateway-Hochverfügbarkeits-Setup kann der sekundäre Knoten während der Core-to-Core-Kommunikation abstürzen.

[NSHELP-21991]
Wenn der Citrix Gateway-Server innerhalb des Unternehmensnetzwerks eine andere IP-Adresse als in einem externen Netzwerk verwendet, schlägt das Roaming von einem externen zum internen Netzwerk oder umgekehrt zeitweise fehl. Daher funktioniert die Funktion “Immer aktiv mit Windows” nicht.

[NSHELP-21956]
Der Linux-VPN-Client stürzt ab, wenn die Proxy-Einstellungen in der Sitzungsrichtlinie konfiguriert sind.

[NSHELP-21955]
Wenn EPA im nFactor-Modus konfiguriert ist, werden Meldungen zur Installation des EPA-Plug-ins nicht im VPN-Plug-In-Fenster angezeigt.

[NSHELP-21939]
Wenn Sie McAfee LiveSafe verwenden, ist die EPA-Prüfung nicht erfolgreich. Daher funktioniert die Erkennung chinesischer Produktnamen für OPSWAT nicht. Für andere Sprachen funktioniert es jedoch wie vorgesehen.

[NSHELP-21938]
Die Webinterface-Funktion funktioniert nach dem Upgrade der Citrix ADC-Appliance möglicherweise nicht wie vorgesehen.

[NSHELP-21899]
Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn mehrere Kerne vorhanden sind und die Intranet-IP-Adresse mit dem RFWebUI-Design aktiviert ist.

[NSHELP-21722]
Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn sie versucht, auf die beschädigten Collector-Informationen zuzugreifen.

[NSHELP-21653]
Der Always On-Dienst kann keinen VPN-Tunnel einrichten, wenn der Parameter Force Cache Cleanup für Cache aktiviert ist.

[NSHELP-21645]
Möglicherweise wird gelegentlich der 403-Fehler “Zugriff verboten” für Portaldateien angezeigt.

[NSHELP-21620]
Die Leistung von UDP-Anwendungen kann manchmal aufgrund von Verkehrsstaus beeinträchtigt werden.

[NSHELP-21599]
In einem Citrix Gateway mit nFactor-Authentifizierung kann EPA als Faktor manchmal fehlschlagen.

[NSHELP-21557]
Manchmal stürzt die Citrix ADC-Appliance ab, während die serverinitiierte Verbindung verarbeitet wird.

[NSHELP-21532]
Das VPN-Plug-In behält DNS-Suffixe bei, die auf dem WLAN- oder Ethernet-Adapter hinzugefügt werden, während die VPN-Verbindung besteht.

[NSHELP-21492]
Das für den globalen Serverlastenausgleich konfigurierte Citrix Gateway-Gerät funktioniert in einer übergeordneten und untergeordneten Topologie nicht wie vorgesehen.

[NSHELP-21381]
Die App-Aufzählung erfolgt nicht, wenn die Anzahl der Desktops geringer ist als die Anzahl der Apps.

[NSHELP-21377]
In einem Multicore-Prozessor-Setup stürzt das Citrix Gateway-Gerät ab, wenn die Gateway Insight Insight-Funktion aktiviert ist und eine Anfrage auf einem Kern empfangen wird, der nicht der Besitzer ist.

[NSHELP-21089]
Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn die folgenden Bedingungen erfüllt sind:
- Die Client- oder Serververbindung hat einen baumelnden Zeiger anstelle eines Links.
- Die verknüpfte Verbindung ist bereits freigegeben.
- Die Appliance versucht, die Verbindung zu leeren, um die Verbindung freizugeben.
[NSHELP-20901]
Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn Sie in Ihrer Gateway-Konfiguration klassische Richtlinien verwenden.

[NSHELP-20070]
Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn einem Dienst ein Netzprofil hinzugefügt wird.

[NSHELP-19569]
Der DTLS-Parameter ist für einen virtuellen Content Switching-Server, der mit einem Unified Gateway-Assistenten erstellt wurde, standardmäßig auf ON gesetzt.

[CGOP-13213]
Benutzerdefinierte RFWebUI-Designs funktionieren nicht, nachdem Sie Ihr Citrix Gateway-Gerät auf Version 13.0 aktualisiert haben.

[CGOP-12740]

Citrix Web App Firewall

Die Verbindung wird zurückgesetzt, wenn Sie die Option zur Wiederverwendung von SSL-Sitzungen auf Ihren virtuellen Front-End-Gateway-Servern aktivieren und TLS 1.3 auf der Appliance aktiviert ist.

[NSWAF-5268]
NITRO erlaubt SDK-Kunden nicht, WAF zu konfigurieren, wenn die Option “xmlmaxnodescheck” für die XML-Sicherheitsprüfung aktiviert ist.

[NSHELP-22111]
Auf einer Citrix ADC-Appliance wird ein Speicherleck beobachtet, wenn Sie die StartURL Closure Protection Check aktivieren.

[NSHELP-21472]
Nach einem Upgrade kann eine Citrix ADC-Appliance aufgrund des hohen Speicherverbrauchs abstürzen.

[NSHELP-21410]
In der Citrix ADC-Botverwaltung werden die Trap-URL und Javascript für gechunkte und FIN-terminierte Daten nicht richtig eingefügt.

[NSHELP-21289]
Die XML-Validierung schlägt fehl, wenn der XML-Inhalt einen verschachtelten Verweis auf den Parameter “APPFW_XML_VALIDATION_ERR_INVALID_ELEMENT” enthält.

[NSHELP-21128]
Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn ein Fehlerfall bei der Kreditkartenüberprüfung falsch behandelt wurde.

[NSHELP-20562]
Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn Sie die XML Wellformedness-Schutzprüfung im Protokollmodus aktivieren.

[NSHELP-18737]

Lastausgleich

In einem Hochverfügbarkeits-Setup stürzt der primäre Knoten ab, während die Serverplatine aus einem Pool zur Serverwiederverwendung abgerufen wird. Der Absturz tritt auf, weil die Schleife bereits existiert und das führt zu einer engen Schleife.

[NSHELP-22149]
Die Packet Engines (NSPPE) können abstürzen, wenn sie das erste RTSP-Datenpaket mit einem unvollständigen Header empfangen, gefolgt von einem ACK, bevor der vollständige Header empfangen wird.

[NSHELP-22099]
Wenn Sie in einer Admin-Partition den Befehl “stat gslb site” ausführen, wird der Metric Exchange- oder Network Metric Exchange-Status zwischen zwei GSLB-Sites als DOWN angezeigt. Dies ist nur ein Anzeigeproblem und es hat keine Auswirkungen auf die Funktionalität.

[NSHELP-21895]
Während der Hochverfügbarkeitssynchronisierung kann die Konnektivität zu einem sekundären Gerät unterbrochen werden, wenn die Poollizenz konfiguriert wird.

[NSHELP-21556]
In einem Cluster-Setup geht die Konfiguration für die Durchmesseridentität verloren, wenn ein Knoten auf eine neuere Version aktualisiert wird.

[NSHELP-21444]
Bei den Anfragen von NAT-fähigen Clients stürzt die Citrix ADC-Appliance möglicherweise ab, wenn der Medienbereich in der Payload des Session Description Protocol (SDP) die NAT-IP-Adresse enthält.

[NSHELP-21438]
In einer NITRO-API wird das Feld “tickssincelaststatechange” für eine Dienstgruppe nicht richtig aktualisiert, nachdem sich der Status der Dienstgruppe geändert hat.

[NSHELP-21425]
In einem Hochverfügbarkeits-Setup kann der primäre Knoten nach einer maximalen Anzahl von Versuchen, eine Verbindung zu einem bestimmten Kern auf einem sekundären Knoten herzustellen, keinen relevanten PORT finden. Daher ist die sekundäre Verbindungstabelle nicht vollständig mit der primären Verbindungstabelle synchronisiert.

[NSHELP-21420]
In einem GSLB-Setup mit Gateway-Bereitstellung kann die Citrix ADC-Appliance den Domänennamen für einen GSLB-Dienst unter den folgenden Bedingungen möglicherweise nicht auflösen:
Wenn der primäre virtuelle Lastausgleichsserver DOWN ist, auch wenn der virtuelle Backup-LoadBalancing-Server AKTIV ist.

[NSHELP-21061]
Nach dem Upgrade der Citrix ADC-Appliance von Version 11.1 Build 56.19 auf Version 12.1 Build 53.12 wird der effektive Status des GSLB-Dienstes auf DOWN gesetzt, obwohl der virtuelle Load-Balancing-Server AKTIV ist.

[NSHELP-21025]
Eine Citrix ADC-Appliance kann Spitzen in der Speichernutzung zeigen, wenn ein sicherer HTTP-Monitor konfiguriert ist und die Antwortgröße groß ist.

[NSHELP-20712]

Netzwerke

Nach dem Neustart der Citrix ADC-Appliance wird der interne Transportschichtdienst möglicherweise nicht registriert. Infolgedessen schlägt jede Transportprotokolldienstanforderung auf der Appliance fehl.

[NSNET-15252]
In einer Cluster-Topologie schlägt bei einem Upgrade oder Downgrade von Knoten der Befehl “set snmp mib” für Nicht-CCO-Knoten fehl. Dies führt zu einem Konfigurationsverlust.

[NSNET-14562]
Ein Problem tritt auf, wenn Sie die GUI-Option für CLIP auf secureonly setzen, während das Problem an der NSIP-Adresse nicht beobachtet wird.
Das Problem tritt nur auf, wenn Sie die Konfiguration “set ns ip gui” auslösen.

[NSNET-14364]
Die Citrix ADC-Appliance verarbeitet jedes empfangene Paket mit den folgenden Eigenschaften für eine aktive FTP-Datenverbindung:
- Protokoll = TCP
- Ziel-IP-Adresse = Citrix ADC IP (NSIP)
- Quellport = 20
Infolgedessen sendet die Citrix ADC-Appliance das Paket zur Verarbeitung an das interne Verwaltungsmodul anstelle des Packet Engine-Moduls, was wiederum zu einer unerwarteten Verarbeitung des Pakets führt.

[NSHELP-22637]
In einem Hochverfügbarkeits-Setup mit aktiviertem Layer-2-Modus in einer nicht standardmäßigen Partition leitet der sekundäre Knoten möglicherweise die empfangenen DHCP-Pakete weiter, was zu einer Schleife im Netzwerk führt.

[NSHELP-22140]
In einem Citrix ADC-Cluster-Setup mit IPv4- und IPv6-Policy-Based Backplane Steering (PBS) -Konfigurationen können ICMPv6-Fehlerpakete zwischen den Clusterknoten schleifen, wenn alle der folgenden Bedingungen erfüllt sind:
- Die inneren IP-Pakete der ICMPv6-Fehlerpakete haben dasselbe IP-Tupel wie in einer der aktiven TCP-Sitzungen.
- Für dieselbe IPv6-Adresse ist auf jedem Clusterknoten eine andere zugeordnete IPv4-Adresse vorhanden.
[NSHELP-21815]
Bei Admin-Partitionen ohne Limit ist die Speicherprüfung während der Zuweisung deaktiviert.

[NSHELP-21775]
In einem Hochverfügbarkeits-Setup im INC-Modus zieht der neue sekundäre Knoten nach einem Failover möglicherweise nicht die Standardroute (von anderen BGP-Peers gelernt) zurück, die er angekündigt hatte, als er als primärer Knoten funktionierte. Aufgrund dieses Problems kann der Datenverkehr auch auf dem neuen sekundären Knoten ankommen.

[NSHELP-21720]
In einem OpenStack kann die Befehlspropagierung unter den folgenden Bedingungen fehlschlagen:

Wenn Sie einen Knoten aus dem 3-Knoten-Cluster entfernen, wenn Sie einen älteren Heartbeat von dem entfernten Knoten erhalten.

[NSHELP-21432]
Wenn eine INAT-Regel für eine VIP-Adresse hinzugefügt wird, erlaubt die Citrix ADC-Appliance fälschlicherweise das Hinzufügen einer Load-Balancing-Konfiguration, in der der virtuelle Server vom Typ ANY ist und dieselbe VIP-Adresse hat.

[NSHELP-21288]
Beim Neustart der Citrix ADC-Appliance wird die Standardroute erstellt, bevor die IP-Adresse der Schnittstelle gefüllt wird. Aufgrund dieses Problems wird der nächste Hop einer Route auf NULL gesetzt, was zu einem Marsfehler führt.

[NSHELP-16407]

NSSWG

Bei Clustern- und Hochverfügbarkeitskonfigurationen wird ein Speicherverwaltungsfehler beobachtet, der den HTTPS-Zugriff von Citrix ADC und Null-Appflow-URL-Filterdatensätze stoppt.

[NSSWG-1220]
Die Dateien der URL-Kategorie enthalten nicht die neuesten Updates aus der NetStar-Datenbank.

[ NSSWG-1205 ]

Plattform

Auf einer Citrix ADC SDX-Appliance können Sie Tx-Stalls auf einer VPX-Instanz beobachten, auf der eine Softwareversion vor 13.0 Build 58.x ausgeführt wird, wenn die folgenden Bedingungen erfüllt sind:
- Die SDX-Appliance enthält 10G-, 25G- oder 40G-NICs.
- Auf der SDX-Appliance wird Version 13.0 Build 58.x oder höher ausgeführt.
Citrix empfiehlt, dass Sie die Softwareversion auf der VPX-Instanz auf 13.0-58.x aktualisieren, bevor Sie die SDX-Software auf die Version 13.0-58.x aktualisieren.

[NSPLAT-14422]
Skripts zum Löschen von Konfigurationen schlagen auf einigen Citrix ADC-Plattformen fehl. Mit diesem Fix wird der Datumscode der Skripts auf den 14.01.20 aktualisiert und alle Plattformen werden unterstützt.

[ NSPLAT-13498 ]
Auf SDX 8200/8400/8600-Plattformen hängt die SDX-Appliance an der Citrix Hypervisor-Konsole, wenn die SDX-Appliance oder die darauf laufenden VPX-Instanzen mehrmals neu gestartet werden. Wenn die Appliance hängt, erscheint die Meldung “INFO: rcu_sched detected stalls on CPUs/Tasks”.
- Starten Sie die SDX-Appliance neu, indem Sie die NMI-Taste auf der Rückseite drücken.
- Verwenden Sie in der LOM-GUI NMI, um die Appliance neu zu starten.
- Verwenden Sie LOM, um die SDX-Appliance neu zu starten.
[NSPLAT-9155]
Die SDX-Appliance kann das RAID-Paar möglicherweise nicht wiederherstellen, wenn Sie eines der SSD-Laufwerke in den Boot-RAID-Paaren Steckplatz 1 und Steckplatz 2 austauschen.

[NSHELP-22470]
Bei starkem Verkehr funktioniert Tx möglicherweise nicht mehr auf Citrix ADC-Plattformen mit 50G-Schnittstellen.

[NSHELP-22221]
In einigen Fällen kann die Bereitstellung einer VPX-Instanz auf einer Citrix ADC SDX-Appliance mit Intel Coleto-Chips fehlschlagen, weil die SSL-Coleto-Chip-Initialisierung fehlgeschlagen ist.

[NSHELP-22033]
Wenn mehrere LA-Kanäle auf einer SDX-Appliance ohne Verwaltungsschnittstellen (0/1, 0/2) konfiguriert sind und wenn der erste LA-Kanal über die VPX-CLI deaktiviert ist, ist die VPX-Appliance möglicherweise nicht erreichbar.

[NSHELP-21889]
Auf den ADC SDX 14000- und 15000-Appliances wird ein Verkehrsverlust von bis zu 9 Sekunden beobachtet, wenn die folgenden Bedingungen erfüllt sind:
- 10G-Ports werden über den LA-Kanal mit zwei Cisco-Switches verbunden, die im VPC-Setup als aktiv oder passiv konfiguriert sind.
- Die Verbindung zum aktiven oder primären Cisco-Switch springt ab.
[NSHELP-21875]
Auf SDX-Appliances, auf denen 13.0-Versionen des Single-Bundle-Upgrades ausgeführt werden, können sich die CPUs für verschiedene VPX-Instanzen überschneiden, obwohl den Instanzen dedizierte Kerne zugewiesen sind.

[NSHELP-21729]
Auf der Citrix ADC MPX-Plattform ist ein 50G-Port, der Mitglied einer Link-Aggregationsgruppe ist, weiterhin DOWN, wenn die folgenden Aktionen ausgeführt werden:
1. Der 50G-Port ist deaktiviert.
2. Der Port auf dem Peer-Switch ist deaktiviert.
3. Der Port auf dem Peer-Switch ist aktiviert.
4. Der 50G-Port ist aktiviert.
Der 50G-Port wird auch nach seiner Aktivierung nicht angezeigt. Daher kann der Datenverkehr nicht über den 50G-Port geleitet werden.

[NSHELP-20529]
Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn ihr der Speicher ausgeht.

[NSHELP-20130]

Richtlinien

Die Zähler “Aktuelle Client-Est-Verbindungen” und “Aktuelle Client-Verbindungen” für einen virtuellen Lastausgleichsserver zeigen falsche Werte an, wenn der HTTP-Callout auf diesem virtuellen Server konfiguriert ist.

[NSHELP-22491]

SSL

Auf den Citrix ADC MPX 14000 FIPS-Plattformen werden alle virtuellen SSL-Server auf den Nicht-Management-CPUs als DOWN angezeigt.

[NSSSL-8015]
In einigen Fällen kann eine Citrix ADC-Appliance bei der Verarbeitung von DTLS-Verkehr bei wenig Speicher abstürzen.

[NSHELP-22611]
Die Citrix ADC-Appliance kann bei starkem Datenverkehr abstürzen, wenn sowohl Syslogging als auch DTLS auf einem virtuellen VPN-Server aktiviert sind.

[NSHELP-22195]
Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn dynamisches SNI im Backend konfiguriert ist und die richtige Lizenz auf der Appliance nicht verfügbar ist.

[NSHELP-22081]
Die SSL-Aktion verweist auf den alten virtuellen Server, auch nachdem der virtuelle Server umbenannt wurde.

[NSHELP-21584]
Informationen über das SSL-Profil, das an einen Load-Balancing-Monitor gebunden ist, gehen verloren, wenn das Standard-SSL-Profil aktiviert ist und die Appliance neu gestartet wird.

[NSHELP-21321]
Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen erfüllt sind:
1. Zwei OCSP-Responder sind mit demselben Hostnamen konfiguriert.
2. Beide Responder sind an dasselbe Schlüsselpaar für das Stammzertifikat gebunden.
3. Die Anfrage schlägt beim Ersthelfer fehl.
4. Die Appliance versucht, die Anfrage an den zweiten Responder zu senden, und der Hostname ist ungelöst.
[NSHELP-21278]
Die falschen Verschlüsselungen, die von der Citrix ADC-Appliance exportiert wurden, führen dazu, dass das Citrix ADM dieselben falschen Verschlüsselungsinformationen anzeigt.

[NSHELP-21177]
Bei partitionierten Citrix ADC MPX-Appliances, die Intel Coleto-Chips enthalten, besteht eine Diskrepanz bei der Speicherzuweisung.

[NSHELP-20853]

System

Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn doppelte TCP-Neuübertragungen erkannt werden. Die Appliance stürzt aufgrund der Operation “Teilen durch Null” im Algorithmus zur Kontrolle der TCP-Überlastung ab.

[NSHELP-22693]
Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die AppFlow-Konfiguration während einer Clientverbindung gelöscht wird.

[NSHELP-22389]
In einem Cluster-Setup kann eine Citrix ADC-Appliance abstürzen, wenn die folgenden Bedingungen eingehalten werden:
- Die Verbindung wird vom Flow Processor zum Flow Receiver gesteuert.
- TCP-Pakete, die nicht in der richtigen Reihenfolge sind, werden im Status Time-Wait verarbeitet.
[NSHELP-21792]
Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn:
- Ein HTTP/2-Client sendet während eines Downloads mit aktiviertem Cache einen Verbindungsreset.
- Der Backend-Server schließt die Verbindung mit der FIN-Terminierung.
[NSHELP-21605]
Eine AppFlow-Richtlinie, die an einen virtuellen VPN-Server gebunden ist, der sich hinter einem virtuellen Content Switching-Server befindet, wird nicht angewendet.

[NSHELP-20816]
Bei der MPTCP-Cluster-Bereitstellung verursacht die Paketschleife zwischen den Clusterknoten eine hohe Bandbreitennutzung.

[NSHELP-20675]
Wenn Timestamp in einem Cluster-Setup aktiviert ist, werden einige der an den Server gesendeten Anfragen möglicherweise verworfen.

[NSHELP-20394]
In einem Cluster-Setup wird eine Citrix ADC-Appliance möglicherweise neu gestartet, wenn Logstream aktiviert ist.

[NSHELP-2008]
Eine Citrix ADC-Appliance mit Verbindungsverkettung und aktiviertem SSL sendet möglicherweise mehr MTU-Daten.

[NSHELP-9411]
Eine Citrix ADC-Appliance sendet eine falsche HTTP/2-Antwort auf eine HTTP/1.1-Client-Verbindung, wenn die Appliance Folgendes empfängt:
- eine “100 Continue” -HTTP/2-Antwort vom Backend-Server.
- eine weitere HTTP/2-Antwort auf demselben HTTP/2-Stream.
[NSBASE - 10419]
Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn Sie Pitboss zur Überwachung des Metrics-Collectors verwenden.

[NSBASE-9743]
Die Citrix ADC-Appliance bedient die Verbindungsanfrage nur für den ersten Stream und verarbeitet keine nachfolgenden Anfragen in anderen Streams, wenn die folgenden Bedingungen auf der Appliance eingehalten werden:
- In einer einzigen HTTP/2-Verbindung werden mehrere HTTP-Anfragen in verschiedenen Streams empfangen.
- HTTP/2 ist auf dem Backend-Server deaktiviert.
[NSBASE-9510]
Eine Citrix ADC-Appliance kann aufgrund eines Fehlers bei der Speicherzuweisung in einem TCP-Zeitstempelszenario abstürzen. Infolgedessen setzt die Appliance die Client-Verbindung zurück.

[NSBASE-9297]
Der Parameter “ObservationPointID” im Befehl “set appflow param” ändert sich nicht, selbst wenn Sie die NSIP-Adresse mit dem Befehl “set ns config” ändern. Daher werden die Daten nicht an den Citrix ADM Server übertragen.

[NSBASE - 8622]

Benutzeroberfläche

Wenn ein Systembenutzer versucht, eine Appliance zu sperren oder zu entsperren, zeigt die Citrix ADC GUI die Fehlermeldung “Benutzer existiert nicht” an.

[NSUI-14999]
Der LB Visualizer zeigt die an den virtuellen Server gebundenen Dienste nicht an, wenn die Dienste Teil der Dienstgruppe sind. Wenn der Service jedoch einzeln gebunden ist, wird der Service im LB Visualizer angezeigt.

[NSHELP-22436]
Wenn Sie einen anderen Parameter als die Ringgröße (z. B. Duplex, Speed, HAMon) über die GUI ändern, wird die folgende Fehlermeldung angezeigt: Die Änderung der
Ringgröße ist für diesen NIC-Typ nicht zulässig

[NSHELP-21934]
In einem Cluster-Setup treten die folgenden Probleme auf, da VXLAN nicht unterstützt wird:
- Auf der GUI-Seite “IPv6-Nachbar erstellen” wird die folgende Fehlermeldung angezeigt, wenn Sie versuchen, einen IPv6-Nachbarn zu erstellen:
“Der Vorgang wird im Cluster nicht unterstützt”
- Auf der GUI-Seite “IPv6-Route erstellen” reagiert die Schaltfläche Erstellen nicht.
[NSHELP-19451]
Daten mit mehreren Argumentwerten werden nicht ordnungsgemäß in der Citrix ADC-Konfigurationsdatenbank gespeichert.

[NSHELP-18633]

Bekannte Probleme

Die in Version 13.0-58.32 vorhandenen Probleme.

Authentifizierung, Autorisierung und Auditing

Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

[ NSHELP-563 ]
Während der Erstellung einer IdP-Sitzung auf einem virtuellen Authentifizierungsserver wird jede Konfiguration des Anmeldeschemaprofils, das dem ersten Authentifizierungsfaktor zugeordnet ist, nicht berücksichtigt. Wenn das Anmeldeschemaprofil so konfiguriert ist, dass es die Anmeldeinformationen des ersten Faktors für die SSO-Funktionalität verwendet, wird die Konfiguration nicht berücksichtigt.

[NSAUTH-8712]
Das LoginSchema DualAuthPushOrOTP.xml wird im Anmeldeschema-Editor-Bildschirm der Citrix ADC-GUI nicht korrekt angezeigt.

[ NSAUTH-6106 ]
Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird.
“adfsproxy-Profil anzeigen”

Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und geben Sie den Befehl “show adfsproxyprofile” ein. Er zeigt den Status des Proxyprofils an.

[ NSAUTH-5916 ]

Caching

Eine Citrix ADC-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

[NSHELP-22942]

Citrix ADC SDX-Appliance

Wenn die IP-Adresse einer Citrix ADC SDX-Appliance, die mithilfe der Poollizenzierung konfiguriert wurde, in SDX geändert wird, zeigt das Citrix ADM, das die SDX-Appliance verwaltet, weiterhin die alte SDX-IP-Adresse an.

[NSHELP-23490]
Beim Upgrade einer Citrix ADC SDX-Appliance auf Version 12.1 Build 56.x kann es aufgrund einer Latenz bei der Interprozesskommunikation zu einem Timeout kommen.

[NSHELP-22644]
Auf der Citrix ADC SDX-Appliance kann ein Benutzer mit Leseberechtigungen Dateien mithilfe eines Dateiübertragungsprogramms wie SCP oder SFTP an den Management Service übertragen.

[NSHELP-22638]
Auf die Citrix ADC SDX-Benutzeroberfläche kann möglicherweise nicht zugegriffen werden, nachdem Sie versucht haben, auf Version 13.0-58.30 zu aktualisieren.
Problemumgehung:
1. SSH mit den Anmeldeinformationen “nsrecover” an die SVM-IP-Adresse.
2. Geben Sie an der Shell-Eingabeaufforderung “svmd stop” ein, um alle SVM-Prozesse zu stoppen.
3. Um zu überprüfen, ob alle SVM-Prozesse gestoppt wurden, geben Sie ein ps -ax | grep svm. Um alle laufenden SVM-Prozesse zu beenden, geben Sie ein kill -9.
4. Bearbeiten Sie die Datei /var/mps/mps_featurelist.conf.bak mit dem vi-Editor. Fügen Sie “DisableMetricCollection” am Ende der Datei hinzu und speichern Sie die Datei.
5. Geben Sie “svmd start” ein, um die SVM-Prozesse neu zu starten. Das Upgrade wird fortgesetzt und die SDX-Benutzeroberfläche wird nach ca. 30 Minuten gestartet.
[NSHELP-23904]

Citrix Gateway

Bei der Bearbeitung von Dokumenten mithilfe der in SharePoint verknüpften webbasierten Office-Apps können Probleme auftreten, wenn auf diese Apps über das erweiterte clientlose VPN zugegriffen wird.

[NSHELP-23364]
Wenn die Citrix Workspace-App für die Verbindung mit Citrix Gateway verwendet wird, schlägt der Sitzungsaufbau möglicherweise fehl, wenn die Sitzungsrichtlinie an den virtuellen VPN-Server gebunden ist.

Umgehung: Binden Sie die Sitzungsrichtlinie an den Benutzer oder die Benutzergruppe.

[NSHELP-23148]
In seltenen Fällen reagiert die Citrix ADC-Appliance möglicherweise nicht mehr, wenn die Appliance für EDT konfiguriert ist und HDX Insight für EDT-Sitzungen aktiviert ist.

[NSHELP-22640]
In einem Citrix Gateway-Double-Hop-Hochverfügbarkeits-Setup kann die ICA-Verbindung nach einem HA-Failover unterbrochen werden.
Problemumgehung: Ändern Sie den FQDN auf die IP-Adresse des nächsten Hop-Servers.

[NSHELP-22444]
In einem Citrix Gateway-Hochverfügbarkeits-Setup kann der sekundäre Knoten während eines Failovers abstürzen, wenn Syslog konfiguriert ist.

[NSHELP-22438]
Das Citrix Gateway-Gerät stürzt möglicherweise ab, da einige Befehle nicht ausgeführt werden.

[NSHELP-22371]
Das Citrix Gateway-Gerät stürzt möglicherweise zeitweise ab, wenn eine Syslog-Richtlinie konfiguriert ist.

[NSHELP-22304]
Manchmal erscheint beim Durchsuchen von Schemas die Fehlermeldung “Eigenschaft ‘Typ’ von undefined kann nicht gelesen werden”.

[ NSHELP-21897 ]
Wenn der Syslog-Server über TCP konfiguriert ist, werden gelegentlich einige Protokolle nicht an den Syslog-Server gesendet.

[NSHELP-21624]
Falls eine Citrix ADC-Appliance für die nFactor-Authentifizierung konfiguriert ist, zeigt die Citrix ADM Appliance bei einem Fehler bei der RADIUS-Authentifizierung den fehlgeschlagenen Authentifizierungstyp fälschlicherweise als “LDAP” an.

[NSHELP-20440]
Wenn Sie Ihre Unified Gateway-Umgebung auf Version 13.0 Build 58.x oder höher aktualisieren, ist der DTLS-Knopf auf dem virtuellen Content Switching-Server deaktiviert, der vor dem Gateway oder dem virtuellen VPN-Server konfiguriert ist. Sie müssen den DTLS-Knopf auf dem virtuellen Content Switching-Server nach dem Upgrade manuell aktivieren. Aktivieren Sie den DTLS-Regler nicht, wenn Sie den Assistenten für die Konfiguration verwenden.

[CGOP-13972]
Im Gateway Insight-Bericht wird fälschlicherweise der Wert “Local” statt “SAML” im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

[ CGOP-13584 ]
Die ICA-Verbindung führt zu einem Skip-Parse während der ICA-Analyse, wenn Benutzer den MAC-Receiver zusammen mit Version 6.5 von Citrix Virtual App and Desktops (früher Citrix XenApp und XenDesktop) verwenden.
Problemumgehung: Führen Sie ein Upgrade des Receivers auf die neueste Version der Citrix Workspace-App durch.

[CGOP-13532]
In einem Hochverfügbarkeitssetup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

[ CGOP-13511 ]
Wenn Sie in Outlook Web App (OWA) 2013 im Einstellungsmenü auf “Optionen” klicken, wird das Dialogfeld “Kritischer Fehler” angezeigt. Außerdem reagiert die Seite nicht mehr.

[ CGOP-7269 ]

Lastausgleich

In einem Cluster-Setup werden ACL-Regeln mit VLAN-Einstellungen nicht wirksam, was dazu führt, dass Pakete andere ACL-Regeln treffen.

Dieses Problem tritt auf, wenn Sie einen virtuellen Server im Cluster-Setup löschen, was dazu führt, dass die Clusterknoten keine VLAN-Informationen zu den gesteuerten Paketen hinzufügen.

[NSHELP-22103]
In einem Hochverfügbarkeits-Setup (HA) kann der primäre Knoten beim Neustart des sekundären Knotens während der Verbindungsspiegelung von Sitzungen zum sekundären Knoten abstürzen.

[NSHELP-21715]
Der Citrix ADC-Appliance geht möglicherweise der Arbeitsspeicher aus, wenn ein Client in regelmäßigen Abständen Pakete sendet, das erste Paket jedoch in der Appliance blockiert ist. Infolgedessen werden Pakete in die Warteschlange gestellt und der Appliance geht der Speicher zum Speichern der Pakete aus.

[NSHELP-20871]

Netzwerke

Die folgenden Fehlermeldungen können angezeigt werden, wenn Sie mehr als 100 VLANs in der TrunkAllowedVLAN-Liste auf einer Schnittstelle in der Citrix ADC-Instanz konfigurieren:
ERROR: Operation timed out
ERROR: Kommunikationsfehler mit der Packet-Engine

[NSNET-4312]
Die Citrix ADC-Appliance schlägt möglicherweise während einer NAT64-Übersetzung eines empfangenen IPv6-Anforderungspakets fehl, wenn die folgende Bedingung erfüllt ist:

Die letzten 32 Bit der IPv6-Zieladresse, bei der es sich um die übersetzte IPv4-Zieladresse handelt, sind größer als 240.0.0.0 (fällt in den reservierten IP-Bereich).

Problemumgehung: Fügen Sie eine ACL hinzu, um solche Pakete abzulehnen.

[NSHELP-22742]
Eine Citrix ADC-Appliance kann während der Bereitstellung abstürzen, wenn die folgenden Bedingungen eingehalten werden:
- Multipath TCP (MPTCP) ist mit MBF und PMTUD aktiviert
- MPTCP-Verkehr wird empfangen und die Antwort verursacht den Fehler ICMP Fragmentation Needed.
[NSHELP-22418]
In einem Hochverfügbarkeits-Setup stürzt möglicherweise eine der Citrix ADC-Appliances ab, wenn Sie ein In Service Software Upgrade (ISSU) von der Citrix ADC-Softwareversion 13.0 47.24 oder einer früheren Version auf eine spätere Version durchführen.

[NSHELP-21701]
In einem Cluster-Setup mit aktivierter Option RetainConnectionsOnCluster kann ein Clusterknoten abstürzen, wenn er fragmentierte Pakete empfängt, gefolgt von nicht fragmentierten Paketen.

[NSHELP-21674]
Wenn die Citrix ADC-Appliance im Rahmen des Befehls remove eine große Anzahl von Serververbindungen bereinigt, wird der Pitboss-Prozess möglicherweise neu gestartet. Dieser Pitboss-Neustart kann zum Absturz der ADC-Appliance führen.

[NSHELP-136]

Richtlinien

Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße.

Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

[ NSPOLICY-1267 ]
Die Rewrite-Aktion des Typs insert_after funktioniert möglicherweise nicht mit einer HTTP-Antwort in Chunk-Form oder mit FIN-terminierter Antwort.

[NSHELP-22743]

SSL

Der Update-Befehl ist für die folgenden Befehle zum Hinzufügen nicht verfügbar:
- add azure application
- add azure keyvault
- add ssl certkey with hsmkey option
[NSSSL-6484]
Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

[NSSSL-6478]
Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

[NSSSL-6213]
Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.
FEHLER: CRL Refresh deaktiviert

[NSSSL-6106]
Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

[NSSSL-4427]
Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird eine falsche Warnmeldung mit dem Titel “Warnung: Keine verwendbaren Verschlüsselungen konfiguriert auf dem SSL vserver/service” angezeigt.

[NSSSL-4001]
Eine Citrix ADC-Appliance kann abstürzen, wenn die folgenden Bedingungen erfüllt sind:
- Ein Zertifikatsschlüsselpaar wird hinzugefügt, wobei die Option “Ablaufüberwachung” aktiviert ist.
- Das Datum des Zertifikats liegt vor dem 01.01.1970.
[NSHELP-22934]
Die Citrix ADC-Appliance stürzt möglicherweise während eines abgekürzten (wiederaufgenommenen) TLS 1.3-Handshakes ab, wenn alle folgenden Einstellungen auf ein SSL-Profil angewendet werden:
- SniHttpHostMatch ist auf CERT gesetzt
- TLSv1.3 ist aktiviert
- Das Sitzungsticket ist aktiviert.
Problemumgehung: SniHttpHostMatch auf STRICT oder NO setzen.

[NSHELP-22126]
Eine partitionierte Citrix ADC-Appliance reagiert möglicherweise nicht wie erwartet, wenn Sie die folgenden Aktionen ausführen:
1) Erstellen Sie zwei OCSP-Responder in verschiedenen Partitionen.
2) Löschen Sie die Konfiguration in einer Partition.
3) Entfernen Sie den OCSP-Responder in der anderen Partition.

[NSHELP-20861]
In einem Cluster-Setup zeigt die laufende Konfiguration auf der Cluster-IP-Adresse (CLIP) die DEFAULT_BACKEND-Verschlüsselungsgruppe, die an Entitäten gebunden ist, wohingegen sie auf Knoten fehlt. Dies ist ein Display-Problem.

[NSHELP-13466]

System

Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen eingehalten werden:
- HTTP/2 ist im HTTP-Profil aktiviert, das an einen virtuellen Lastausgleichsserver vom Typ HTTP/SSL oder Dienst gebunden ist.
- Die Verbindungsmultiplexoption wurde im HTTP-Profil deaktiviert, das an den virtuellen Server oder Dienst für den Lastenausgleich gebunden ist.
[NSHELP-21202]
Wenn Sie für die Synflood-Trap-Generierung die Varbinding-Werte nicht zurücksetzen, verwendet die Appliance die alten Trap-Varbinding-Werte anstelle der aktuellen Werte und der Schwellenwerte.

[NSHELP-20653]
In Multipath-TCP (MPTCP) werden die Zähler SI_CUR_Clients und SI_CUR_CLNT_ConnOpenest zweimal inkrementiert.

[NSHELP-19896]

Benutzeroberfläche

Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

Problemumgehung: Konfigurieren Sie Cloudbridge-Connectors, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln mithilfe der Citrix ADC-GUI oder CLI hinzufügen.

[NSUI-13024]
In der Zeile “Up since (Local)” des Befehls “stat system” werden nur die letzten drei Ziffern des Jahres angezeigt.

[NSHELP-22960]
Wenn Sie die Scrollleiste im Syslog-Dashboard in der Citrix ADC GUI verwenden, scrollt die Seite entweder schnell oder zeigt Leerzeichen an.

[NSHELP-21267]
Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften Citrix ADC-Appliance anmelden.
1. Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds:
  - Build 13.0 52.24
  - Build 12.1 57.18
2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
3. Downgrade der Citrix ADC-Appliance auf einen älteren Build.
Um die Liste dieser Systembenutzer mithilfe der CLI anzuzeigen: Geben Sie
an der Befehlszeile Folgendes ein:

query ns config -changedpassword [-config ]

Problemumgehung:

Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:
- Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mit einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herunter.
- Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
- Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen. Weitere Informationen finden Sie unter: https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html
[NSCONFIG-3188]

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

Versionshinweise für Citrix ADC 13.0-58.32 Release

December 28, 2022

Beitrag von:

December 28, 2022

Beitrag von: