Produktdokumentation
ADC
14.1 - Current Release 13.1 13.0 12.1
PDF anzeigen

Versionshinweise für Citrix ADC 13.0-61.48 Release

March 17, 2024
Beitrag von: 
C

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die Citrix ADC-Version Build 13.0-61.48 bestehen.

Hinweise

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.0-61.48 verfügbar sind.

Authentifizierung, Autorisierung und Auditing

  • Ratenbegrenzung für Citrix Gateway

    Mit der Ratenbegrenzungsfunktion für Citrix Gateway können Sie die maximale Last für eine bestimmte Netzwerkeinheit oder virtuelle Entität auf der Citrix Gateway-Appliance definieren. Da das Citrix Gateway-Gerät den gesamten nicht authentifizierten Datenverkehr verbraucht, ist das Gerät häufig Prozessanforderungen mit hoher Geschwindigkeit ausgesetzt. Mit der Ratenbegrenzungsfunktion können Sie das Citrix Gateway Gerät so konfigurieren, dass die Datenverkehrsrate einer Entität überwacht und basierend auf dem Datenverkehr in Echtzeit vorbeugende Maßnahmen ergriffen werden.

    [NSAUTH-7250]

Citrix Gateway

  • Unterstützung für weitere Sprachen

    Das Citrix Gateway-Benutzerportal und das Citrix Gateway-Plug-In für Windows sind jetzt in den Sprachen Italienisch und Portugiesisch (Brasilien) verfügbar.

    [CGOP-13689]

Citrix Web App Firewall

  • Verbesserte Konfigurationsunterstützung für das Citrix ADC-Botmanagement Die Citrix ADC-Botverwaltungskonfiguration wurde jetzt zur einfachen Wartung und Unterstützung als Citrix ADC CLI-basierte Bot-Verwaltungskonfiguration erweitert. Nachdem Sie Ihre Appliance von einer älteren Version aktualisiert haben, müssen Sie zunächst die vorhandene Bot-Konfiguration manuell in die CLI-basierte Bot-Konfiguration von Citrix ADC konvertieren

    [NSWAF-4980]

  • Unterstützung für den Angriffsschutz externer XML-Entitäten (XXE)

    Die Citrix ADC Web App Firewall wehrt Angriffe auf externe XML-Entitäten (XXE) ab, indem sie untersucht, ob eine eingehende Payload unbefugte XML-Eingabeentitäten außerhalb der vertrauenswürdigen Domäne enthält, und blockiert die Anfrage, wenn der “abgeleitete” Inhaltstyp in den HTTP-Headern nicht mit dem Inhaltstyp des Körpers übereinstimmt. Ein XXE-Angriff kann auftreten, wenn Sie einen schwachen XML-Parser haben, der eine XML-Payload mit Eingaben analysiert, die Verweise auf externe Entitäten enthalten.

    Im Folgenden sind einige der potenziellen Bedrohungen aufgeführt, die eine Citrix ADC Web App Firewall mithilfe des XML-Angriffsschutzes für externe Entitäten (XXE) abwehrt:

    • Lecks vertraulicher Daten
    • Denial-of-Service (DOS) -Angriffe
    • Serverseitige Fälschungsanfragen
    • Port-Scannen

    [NSWAF-4923]

  • Unterstützung für ein benutzerdefiniertes Signaturmuster für nicht standardmäßige Inhaltstypanforderungen.

    Die Citrix ADC Web App Firewall (WAF) unterstützt jetzt einen neuen Standort für die Prüfung kanonisierter Inhalte. Standardmäßig blockiert WAF keine codierte Nutzlast mit nicht standardmäßigen Inhaltstypen. Wenn diese Inhaltstypen auf der Whitelist stehen und keine konfigurierte Aktion angewendet wird, filtert die SQL- und Cross-Site-Scripting-Schutzprüfung keine SQL- oder Cross-Site-Scripting-Angriffe in den codierten Payloads. Um das Problem zu lösen, können Sie eine benutzerdefinierte Signaturregel mit dem neuen Speicherort (HTTP_CANON_POST_BODY) erstellen, die die codierten Payloads auf nicht standardmäßige Inhaltstypen untersucht. Wenn es einen SQL- oder Cross-Site-Scripting-Angriff gibt, blockiert sie den Datenverkehr nach der Kanonisierung des Beitragstextes.

    [NSWAF-4576]

  • Schutz vor Cookie-Hijack

    Cookie-Hijacking ist ein Sicherheitsangriff, bei dem eine Benutzersitzung von einem Angreifer gekapert wird, um unbefugten Zugriff auf eine Webanwendung zu erhalten. Wenn ein Benutzer eine Website besucht, beispielsweise eine Bankanwendung, baut die Website eine Sitzung mit dem Browser auf. Die Webanwendung weist dieser Sitzung Sitzungscookies zu und sendet diese Sitzungscookies zusammen mit anderen Benutzerattribut-Cookies in der Antwort. Während der Sitzung speichert der Browser diese Cookies in einer Cookie-Datei. Der Angreifer kann diese Cookies entweder manuell aus dem Cookie-Speicher des Browsers oder über eine Rouge-Browsererweiterung stehlen. Der Angreifer verwendet dann die Cookies, um Zugriff auf die Webanwendungssitzungen des Benutzers zu erhalten.

    Um einen Cookie-Hijacking-Angriff abzuwehren, fordert die Citrix ADC Web App Firewall die TLS-Verbindung vom Client heraus und führt auch eine Überprüfung der Cookie-Konsistenz durch. Bei jeder neuen Client-Anfrage validiert die Appliance die TLS-Verbindung und überprüft die Konsistenz der Anwendungs- und Sitzungscookies in der Anfrage. Wenn ein Angreifer versucht, ein Anwendungs-Cookie oder ein vom Opfer gestohlenes Sitzungscookie zu kombinieren, schlägt die Überprüfung der Cookie-Konsistenz fehl und die Appliance wendet die entsprechende Cookie-Hijacking-Aktion an.

    [NSWAF-4311]

  • Bot-Transaktionen pro Sekunde (TPS) -Erkennungstechnik Transactions Per Second (TPS) ist eine Bot-Erkennungstechnik, die eingehenden Traffic als Bot identifiziert, wenn die Anzahl der Anfragen pro Sekunde (RPS) und der prozentuale Anstieg des RPS den konfigurierten Schwellenwert überschreiten. Durch die Implementierung der Erkennungstechnik können Sie Ihre Webanwendungen vor automatisierten Bots schützen.

    Hinweis: Die Bot-Technik erkennt eingehenden Traffic nur dann als Bot, wenn beide Parameter konfiguriert sind und wenn beide Werte den Schwellenwert überschreiten.

    [NSWAF-2961]

Lastausgleich

  • Proaktive Überprüfung des Ablaufs von DNS-Einträgen vor der Bereitstellung aus dem Cache

    Es wurde jetzt Unterstützung hinzugefügt, um den Ablauf von DNS-Einträgen zu überprüfen, bevor sie aus dem Cache bereitgestellt werden.

    Beim Scale-Down, wenn die Anwendungscontainer heruntergefahren werden, aktualisieren Orchestrierungsplattformen den DNS, indem sie die IP-Adressen des stillgelegten Containers entfernen. Wenn die TTL des DNS-Eintrags in Sekunden konfiguriert ist, wird der DNS-Eintrag möglicherweise nicht aus dem Cache der Citrix ADC-Appliance gelöscht, sobald seine TTL abläuft. Wenn in diesem Szenario ein Benutzer versucht, die Anwendungsdomäne über den Cache aufzulösen, werden die stillgelegten IP-Adressen bereitgestellt. Sobald die IP-Adressen außer Betrieb genommen wurden, können die IP-Adressen entweder ungültig gemacht oder anderen Ressourcen in der Umgebung zugewiesen werden.

    Wenn die IP-Adresse nicht erreichbar ist, kann die Anwendung möglicherweise nicht gestartet werden, wenn der Wiederholungsversuch nicht in die Anwendung integriert ist. Wenn der Wiederholungsversuch in die Anwendung integriert ist, kann die Anwendung die anderen IP-Adressen im DNS-Eintrag ausprobieren. Diese Aktionen führen zu einer Verzögerung beim Starten der Anwendung.

    Um diese Verzögerungen zu vermeiden, wurde die Möglichkeit hinzugefügt, das Ablaufdatum von DNS-Einträgen zu überprüfen, bevor sie aus dem Cache bereitgestellt werden.

    [NSLB-6340]

  • Geschwindigkeitsbegrenzung negativer Antworten, die von der Citrix ADC-Appliance bereitgestellt werden

    Sie können jetzt einen Schwellenwert für negative Antworten festlegen, die von der Citrix ADC-Appliance aus dem Cache bereitgestellt werden. Wenn der Schwellenwert festgelegt ist, sendet die Appliance die Antwort aus dem Cache, bis der Schwellenwert erreicht ist. Wenn der Schwellenwert erreicht ist, verwirft die Appliance die Anfragen, anstatt mit einer NXDOMAIN-Antwort zu antworten. Das Festlegen eines Ratenlimits für negative Antworten hat die folgenden Vorteile.

    • Speichert die Ressourcen auf der Citrix ADC-Appliance.
    • Verhindert böswillige Abfragen nach nicht existierenden Domainnamen.

    [NSLB-6339]

  • Unterstützung für den Vailwick Check auf DNS-basierten Monitoren

    Der Bailiwick-Check wird jetzt für DNS-basierte Monitore unterstützt, um den Cache-Poising-Angriff zu erkennen.

    [NSLB-6334]

  • Unterstützung für stärkere Algorithmen für DNS-Schlüssel Die Citrix ADC-Appliance unterstützt jetzt stärkere Kryptoalgorithmen wie RSASHA256 und RSASHA512, um eine DNS-Zone zu signieren. Bisher wurde nur der RSASHA1-Algorithmus unterstützt.

    [NSLB-4947]

Sonstiges

  • Unterstützung für das Caching von Token

    Mit dieser Verbesserung kann das von den Endpunkten erhaltene Zugriffstoken für nachfolgende Anfragen zwischengespeichert werden. Die Token-Caching-Unterstützung verbessert die Leistung der API.

    [NAPISEC-479]

Netzwerke

  • Cluster-Unterstützung für VPX Public Cloud und VPX Express-Lizenz

    Clustering ist jetzt in der Standard Edition für VPX Public Cloud und in der VPX Express-Lizenz verfügbar.

    [NSNET-14779]

Plattform

  • Unterstützung für Citrix ADC VPX — 1-Gbit/s-Lizenzierung auf Google Cloud Marketplace

    Die folgenden Lizenztypen werden jetzt für das VPX 1000-Modell auf Google Cloud Marketplace unterstützt:

    • Citrix ADC VPX Standard Edition - 1 Gbit/s
    • Citrix ADC VPX Advanced Edition - 1 Gbit/s
    • Citrix ADC VPX Premium Edition - 1 Gbit/s

    [NSPLAT-15311]

SSL

  • Unterstützung für den vollständigen Domainnamen in Azure Key Vault Dem Befehl “Azure application hinzufügen” wurde ein neuer Parameter, VaultResource, hinzugefügt. Dieser Parameter ruft die Domäne der Ressourcengruppe auf der Grundlage der Regionen ab, bevor der Anwendung das Zugriffstoken gewährt wird. Die Domain könnte beispielsweise vault.azure.net oder vault.usgov.net sein. Außerdem wurde der Parameter “AzureVaultName” im Befehl “add azure KeyVault” geändert, sodass er den vollständigen Domainnamen und nicht nur den Tresornamen enthält. Beispielsweise muss der Benutzer jetzt “example.vault.azure.net” oder “example.vault.usgov.net” anstelle von “Beispiel” eingeben. Zuvor musste der Benutzer nur den Tresornamen eingeben, und der Domainname wurde von der ADC-Appliance hinzugefügt.

    [ NSSSL-8189 ]

  • Unterstützung für Extended Master Secret im SSL-Handshake auf Citrix ADC-Plattformen Extended Master Secret (EMS) ist eine optionale Erweiterung des Transport Layer Security (TLS) -Protokolls. Um EMS auf der Citrix ADC-Appliance zu unterstützen, wird ein Parameter “allowExtendedMasterSecret” hinzugefügt, der sowohl für Frontend- als auch für Backend-SSL-Profile gilt. Wenn der Parameter aktiviert ist und der Peer EMS unterstützt, verwendet die ADC-Appliance die EMS-Berechnung. Wenn der Peer EMS nicht unterstützt, wird die EMS-Berechnung nicht für die Verbindung verwendet, obwohl der Parameter auf der Appliance aktiviert ist. Weitere Informationen zu EMS finden Sie unter RFC 7627.

    ADC-Plattformen, die EMS unterstützen:

    • MPX- und SDX-Plattformen, die entweder Cavium N3-Chips oder Intel Coleto Creek-Kryptokarten enthalten. Die folgenden Plattformen werden mit Intel Coleto-Chips geliefert:
    • MPX 5900
    • MPX/SDX 8900
    • MPX/SDX 26000
    • MPX/SDX 26000-50S
    • MPS/SDX 26000-100 G
    • MPX/SDX 15000-50G Sie können den Befehl “show hardware” verwenden, um festzustellen, ob Ihre Appliance über Coleto- (COL) - oder N3-Chips verfügt.
    • MPX- und SDX-Plattformen ohne Kryptokarten (nur Software).
    • Nur-Software-Plattformen: VPX, CPX und BLX.

    EMS kann auf den folgenden Plattformen nicht aktiviert werden:

    • FIPS-Plattformen.
    • MPX- und SDX-Plattformen, die Cavium N2 (PX) -Kryptochips enthalten.

    Der Parameter ist standardmäßig auf dem Standard-Frontend (ns_default_ssl_profile_frontend), dem Standard-Backend (ns_default_ssl_profile_backend) und allen benutzerdefinierten SSL-Profilen deaktiviert. Es ist jedoch standardmäßig auf dem SSL-Profil des sicheren Frontends (ns_default_ssl_profile_secure_frontend) aktiviert, wenn der zugrunde liegende Plattformtyp EMS unterstützt.

    Wenn der Parameter aktiviert ist, versucht die ADC-Appliance, EMS in TLS 1.2-, TLS 1.1- und TLS 1.0-Verbindungen zu verwenden. Die Einstellung wirkt sich nicht auf TLS 1.3- oder SSLv3-Verbindungen aus.

    [NSSSL-7518]

  • Unterstützung für die Erkennung der ALPN-Erweiterung in der Client-Hello-Nachricht mithilfe einer SSL-Richtlinie Eine Citrix ADC-Appliance kann jetzt die Protokolle identifizieren, die in der ALPN-Erweiterung der Client-Hello-Nachricht enthalten sind, während die Nachricht zur Richtlinienauswertung analysiert wird. Die Regel zur Identifizierung des Protokolls in der ALPN-Erweiterung der Client-Hello-Nachricht lautet “client.ssl.client_hello.alpn.has_nextprotocol”. Ordnen Sie der Richtlinie eine SSL-Aktion vom Typ "Weiterleiten" zu, um die Pakete an einen virtuellen Server vom Typ SSL_TCP weiterzuleiten. Um das Anwendungsprotokoll in der ALPN-Erweiterung für die vom virtuellen SSL_TCP-Server verarbeiteten Verbindungen auszuhandeln, wird den Frontend-SSL-Profilen ein Parameter "AlpnProtocol" hinzugefügt. Unterstützte Werte für den Parameter sind HTTP1.1, HTTP2 oder NONE (Standardwert). Es wird nur das im SSL-Profil angegebene Protokoll ausgehandelt, wenn dasselbe Protokoll in der ALPN-Erweiterung der Client-Hello-Nachricht empfangen wird. Hinweis: Der Parameter "AlpnProtocol" wird nur für Frontend-SSL-Profile unterstützt und gilt für SSL-Verbindungen, die von virtuellen Servern vom Typ SSL_TCP verarbeitet werden. Die maximal unterstützte Länge der ALPN-Erweiterung für die Richtlinienbewertung beträgt 4096 Byte. Beispielkonfiguration zur Weiterleitung aller Anfragen, die das HTTP2-Protokoll in der ALPN-Erweiterung enthalten, an einen virtuellen SSL_TCP-Server v1:

    • füge die SSL-Aktion forward_stcp_v1 -forward v1 hinzu
    • füge die SSL-Richtlinie hinzu pol1 -rule “client.ssl.client_hello.alpn.has_nextprotocol (“h2”)” -action forward_stcp_v1
    • bind ssl vserver vMain -PolicyName pol1 -Priorität 2 -Typ CLIENTHELLO_REQ

    Um das Protokoll im Frontend-SSL-Profil festzulegen, geben Sie an der Befehlszeile Folgendes ein:

    • setz das SSL-Profil ns_default_ssl_profile_frontend -AlpnProtocol HTTP2

    [NSHELP-21436]

System

  • Unterstützung des Proxy-Protokolls für die HTTP/2-Loadbalancing-Konfiguration

    Eine Citrix ADC-Appliance unterstützt jetzt zusätzlich zur bestehenden Unterstützung für TCP- und HTTP-Verkehr das Proxy-Protokoll für die HTTP/2-Loadbalancing-Konfiguration.

    Das Proxyprotokoll transportiert Clientdetails sicher von Client zu Server über Citrix ADC-Appliances. Die Appliance fügt einen Proxyprotokoll-Header mit Clientdetails hinzu und leitet ihn an den Back-End-Server weiter. Im Folgenden finden Sie einige Nutzungsszenarien für das Proxy-Protokoll in einer Citrix ADC-Appliance.

    • Ursprüngliche Client-IP-Adresse ermitteln
    • Auswählen einer Sprache für eine Website
    • Ausgewählte IP-Adressen auf die schwarze Liste setzen
    • Protokollieren und Sammeln von Statistiken.

    Weitere Informationen zum Proxy-Protokoll finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/proxy-protocol.html

    [NSBASE - 10516]

Benutzeroberfläche

  • HTTP2-Statistiken auf der Citrix ADC Dashboard-GUI

    Die Citrix ADC Dashboard-GUI zeigt jetzt statistische Daten für das HTTP2-Protokoll in tabellarischem und grafischem Format an.

    [NSUI-15457]

  • Gewünschte State-API-Unterstützung im Cluster

    Die Desired State API für Änderungen der Dienstgruppenmitgliedschaft wird jetzt in der Citrix ADC-Clusterbereitstellung unterstützt.

    [NSCONFIG-1493]

  • Befehlszeilenschnittstelle über SSH für Citrix ADC BLX-Appliances

    Eine Citrix ADC BLX-Appliance unterstützt jetzt die Befehlszeilenschnittstelle (CLI) zum Ausführen von ADC-CLI-Befehlen zur Konfiguration von ADC-Funktionen auf der Appliance.

    Sie können über eine sichere Shell (SSH) von einer Workstation aus remote auf die CLI zugreifen.

    Die folgende Liste zeigt die IP-Adresse und den Port, auf denen die Citrix ADC CLI über SSH verfügbar ist:

    • Die Citrix ADC BLX-Appliance wird im Shared-Modus bereitgestellt: <Linux host IP address>:9022
    • Die Citrix ADC BLX-Appliance wird im dedizierten Modus bereitgestellt: <Citrix ADC IP address (NSIP)>:22

    Weitere Informationen zu Citrix ADC BLX CLI finden Sie unter https://docs.citrix.com/en-us/citrix-adc-blx/13/configure-blx.html

    [NSCONFIG-1180]

Behobene Probleme

Die Probleme, die in Build 13.0-61.48 behoben wurden.

Authentifizierung, Autorisierung und Auditing

  • Benutzer können in der Citrix Workspace-App (CWA) kein neues Konto hinzufügen, wenn die beiden folgenden Bedingungen erfüllt sind:
    • Die Citrix ADC-Appliance ist für nFactor Flow konfiguriert.
    • Die Appliance ist als SAML SP oder OAuth RP konfiguriert.

    [NSHELP-23907]

  • In bestimmten Szenarien schlägt die Authentifizierung für benutzerdefinierte Anmeldeschemas fehl.

    [NSHELP-22929]

  • Das Anmeldeschema AltEmailRegister.xml, das für die Registrierung einer alternativen E-Mail-ID verwendet wird, funktioniert nicht wie vorgesehen.

    [NSHELP-22912]

  • In einem Cluster-Setup kann eine Citrix ADC-Appliance in bestimmten Fällen bei der Authentifizierung eines Benutzers abstürzen.

    [NSHELP-22871]

  • Eine Citrix ADC GUI zeigt den Inhalt der AFDS-Server-Anmeldeseite nicht richtig an.

    [NSHELP-22594]

  • Wenn in einem Cluster-Setup der Befehl “set authentication radiusAction” ausgeführt wird, gibt die Citrix ADC-Appliance die IP-Adresse des Netzwerkzugriffsservers (NAS) in Zugriffsanforderungen, die an den RADIUS-Server gesendet werden, als 0.0.0.0 an.

    [NSHELP-22580]

  • In seltenen Fällen verbraucht eine Citrix ADC-Appliance den Kern, wenn klassische EPA-Richtlinien zur Vorauthentifizierung in Kombination mit erweiterten nFactor-AuthentifizierungsRichtlinien verwendet werden.

    Als Empfehlung schlägt Citrix vor, EPA als Faktor im nFactor-Authentifizierungsablauf zu migrieren.

    [NSHELP-22553]

  • In extrem seltenen Fällen kann eine als Identity Provider (IdP) konfigurierte Citrix ADC-Appliance nach erfolgreicher Authentifizierung für einen virtuellen Lastausgleichsserver abstürzen.

    [NSHELP-22528]

  • In einigen Fällen gibt eine Citrix ADC-Appliance den Kern aufgrund einer Speicherbeschädigung aus, während sie die formularbasierte SSO-Authentifizierung durchführt.

    [NSHELP-22488]

  • In seltenen Fällen, wenn der MetadataUrl-Parameter im Befehl samlidpProfile verwendet wird, gibt eine Citrix ADC-Appliance den Kern aus, während die Clientverbindung freigegeben wird.

    [NSHELP-22440]

  • In seltenen Fällen führt ein virtueller Server, der mit der Front-End-NTLM-Authentifizierung konfiguriert ist, dazu, dass die Citrix ADC-Appliance den Kern abgibt.

    [NSHELP-22372]

  • Eine Citrix ADC-Appliance gibt den Kern aus, wenn die folgenden Bedingungen erfüllt sind.
    • Die Appliance ist für formularbasiertes SSO konfiguriert.
    • Der Appliance-Speicher für den AppSecure-Pool ist aufgebraucht.

    [NSHELP-22096]

  • Sie können nicht über die GUI auf die Citrix ADC Management Console zugreifen, wenn Sonderzeichen für das “nsroot” -Kennwort verwendet werden.

    [NSHELP-21630]

Citrix ADC SDX-Appliance

  • Das Upgrade von SDX 26000-100G 15000-50 G-Appliances kann länger dauern. Infolgedessen zeigt das System möglicherweise die Meldung “Der Management Service konnte nach 1 Stunde 20 Minuten nicht verfügbar sein. Wenden Sie sich an den Administrator.”

    [NSSVM-3018]

  • Auf die Citrix ADC SDX-Benutzeroberfläche kann möglicherweise nicht zugegriffen werden, nachdem Sie versucht haben, auf Version 13.0-58.30 zu aktualisieren.
    1. SSH mit den Anmeldeinformationen “nsrecover” an die SVM-IP-Adresse.
    2. Geben Sie an der Shell-Eingabeaufforderung “svmd stop” ein, um alle SVM-Prozesse zu stoppen.
    3. Um zu überprüfen, ob alle SVM-Prozesse gestoppt wurden, geben Sie “ps -ax | grep svm” ein. Um alle laufenden SVM-Prozesse zu beenden, geben Sie ein kill -9 <process-id of the running process>.
    4. Bearbeiten Sie die Datei /var/mps/mps_featurelist.conf.bak mit dem vi-Editor. Fügen Sie “DisableMetricCollection” am Ende der Datei hinzu und speichern Sie die Datei.
    5. Geben Sie “svmd start” ein, um die SVM-Prozesse neu zu starten. Das Upgrade wird fortgesetzt und die SDX-Benutzeroberfläche wird nach ca. 30 Minuten gestartet.

    [NSHELP-23904]

  • Auf die SDX-GUI kann möglicherweise nicht zugegriffen werden, nachdem Sie eine Citrix ADC SDX-Appliance auf Version 12.1 Build 56.x aktualisiert haben.

    [NSHELP-23637]

  • Eine VPX-Instanz, die auf einer Citrix ADC SDX 15000-50G- oder SDX 26000-Appliance gehostet wird, ist vom Management Service aus nicht erreichbar, nachdem Sie einige Eigenschaften wie Beschreibung und Hostname geändert haben.

    [NSHELP-23491]

  • Wenn die IP-Adresse einer Citrix ADC SDX-Appliance, die mithilfe der Poollizenzierung konfiguriert wurde, in SDX geändert wird, zeigt das Citrix ADM, das die SDX-Appliance verwaltet, weiterhin die alte SDX-IP-Adresse an.

    [NSHELP-23490]

  • In den folgenden Szenarien erhalten Sie E-Mail-Benachrichtigungen für einige Kategorien:
    • Die Ereigniskonfiguration wird auf der Citrix ADC SDX-Appliance unterdrückt.
    • Die Ereigniskonfiguration wird auf der Citrix ADC SDX-Appliance aktualisiert.

    [NSHELP-22701]

  • Beim Upgrade einer Citrix ADC SDX-Appliance auf Version 12.1 Build 56.x kann es aufgrund einer Latenz bei der Interprozesskommunikation zu einem Timeout kommen.

    [NSHELP-22644]

  • Der NTP-Dienst von Citrix ADC SDX Management Service reagiert auf NTP-Abfragen. Der Management Service bietet jedoch keine Option zum Konfigurieren von Einschränkungen für NTP-Abfragen.

    [NSHELP-12246]

Citrix Gateway

  • Wenn Sie eine französische Tastatur für ein VPN-Plug-In verwenden, funktionieren die mit STRG+ALT eingegebenen Zeichen nicht.

    [NSHELP-23556]

  • Wenn Sie die nFactor-Authentifizierung mit erweiterten Richtlinien konfiguriert haben und wenn die Gateway Insight Insight-Funktion aktiviert ist, werden die folgenden Details nicht an das Citrix Application Delivery Management-System gemeldet.
    • Gerätetyp
    • Typ des Browsers
    • Betriebssystem
    • Gerätedetails

    [NSHELP-23549]

  • In einer Citrix Gateway-Bereitstellung wird die DHCP-Serverroute standardmäßig hinzugefügt. Wenn für Ihre Bereitstellung keine DHCP-Serverroute erforderlich ist, führen Sie eine der folgenden Aktionen aus.

    Setzen Sie die clientseitige Registrierung nodhcpRoute auf 1 im Pfad: HKEY_LOCAL_MachineSoftwareCitrix Secure Access Client Erstellen Sie auf der Citrix ADC-Appliance eine neue Datei mit dem Namen PluginCustomization.json mit dem Wert "NoDHCPRoute":true in den Ordnern /netscaler/ns_gui/vpn und /var/netscaler/gui/vpn.

    [NSHELP-23029]

  • Die Intranet-IP-Deregistrierung erfolgt nicht, nachdem das VPN abgemeldet wurde, wenn die Registrierung der Intranet-IP mehr als 15 Sekunden gedauert hat.

    [NSHELP-23021]

  • Wenn die URL-Länge des Proxyservers mehr als 32 Byte beträgt, stürzt die exponierte API des VPN-Plug-ins ab.

    [NSHELP-22977]

  • Die Transfer-Anmeldung funktioniert nicht mit Internet Explorer und dem Windows-Plug-In, wenn das RFWebUI-Design mit nFactor konfiguriert ist.

    [NSHELP-22927]

  • Wenn der manuelle Proxy auf einem lokalen Computer konfiguriert ist, kann der Benutzertunnel nicht automatisch eingerichtet werden, nachdem ein Servicetunnel eingerichtet wurde.

    [NSHELP-22831]

  • Wenn Sie einen Windows 10-Client-Computer neu starten oder einschalten, greift das Always On VPN-Plug-In 13.0 auf die klassische Authentifizierung zurück, selbst wenn die nFactor-Authentifizierung konfiguriert ist.

    [NSHELP-22795]

  • Wenn Sie den Client-Computer neu starten, nachdem Sie das Citrix Gateway-Gerät von Version 12.0 Build 59.8 auf Version 13.0 Build 47.24 aktualisiert haben, kann Always On keine nahtlose VPN-Verbindung herstellen.

    [NSHELP-22700]

  • In Internet Explorer-basierten Webbrowsern wird der Pfeil in den Dropdownlisten für die Designs X1 und RFWebUI nicht angezeigt.

    [NSHELP-22623]

  • Auf dem Anmeldebildschirm für Windows werden möglicherweise falsche Felder angezeigt, wenn Sie einen Proxy auf einem Client-Computer konfigurieren und wenn der Proxy nicht für den VPN-FQDN geeignet ist.

    [NSHELP-22618]

  • Nachdem Sie Ihr Citrix Gateway-Gerät auf Build 13.0.47.24 aktualisiert haben, schlägt die Anmeldung am Citrix Gateway von VMware Horizon Client Version 5.2 und höher fehl.

    [NSHELP-22541]

  • In einem Multicore-Prozessor-Setup stürzt das Citrix Gateway-Gerät ab, wenn die folgenden zwei Bedingungen erfüllt sind:
    • Die Gateway Insight Insight-Funktion ist aktiviert.
    • Eine Anfrage geht bei einem Core ein, der kein Eigentümer ist.

    [NSHELP-22524]

  • In seltenen Fällen kann das Citrix Gateway-Gerät abstürzen, wenn DTLS aktiviert ist.

    [NSHELP-22520]

  • Das Citrix VPN-Plug-In verarbeitet die IPv6-DNS-Pakete nicht.

    [NSHELP-22446]

  • Wenn HTTP 2.0 auf dem Server und dem Client aktiviert ist, kann der Always-On-Dienst den Maschinentunnel nicht einrichten.

    [NSHELP-22423]

  • In einem Citrix Gateway-Setup mit aktivierter AlwaysOn-Funktion kann AlwaysOn nach dem Neustart eines Clients keine nahtlose VPN-Verbindung herstellen.

    [NSHELP-22420]

  • In einigen Fällen stürzt die Citrix ADC-Appliance ab, weil der Kern ein Paket zum Senden an den Client empfängt, die IIP-Informationen jedoch noch nicht verfügbar sind. In NSHELP-21522 reparieren wir in ns_iip6.c, dies ist ein Add Fix in ns_iip.c

    [NSHELP-22411]

  • Das Citrix Gateway-Gerät stürzt ab, wenn die Länge der ICA-Datei mehr als 2.048 Zeichen beträgt und wenn Gateway Insight aktiviert ist.

    [NSHELP-22387]

  • In seltenen Fällen kann das Citrix Gateway-Gerät abstürzen, wenn eine bereits konfigurierte Intranet-IP-Adresse zuvor falsch verwendet und freigegeben wurde.

    [NSHELP-22349]

  • Softphones, die über den vom UDP-Server initiierten “Keep-Alive” -Verbindungsmechanismus verfügen, können die Anrufe gelegentlich unterbrechen.

    [NSHELP-22231]

  • Der Linux-VPN-Client kann abstürzen, wenn Sie eine große Datei (ca. 3 GB) herunterladen.

    [NSHELP-22032]

  • Wenn Sie sich über Citrix Gateway bei StoreFront anmelden und der ICA-Proxy auf Aus gesetzt ist, wird das Kategoriensymbol auf StoreFront nicht angezeigt.

    [NSHELP-21797]

  • Wenn der Syslog-Server über TCP konfiguriert ist, werden gelegentlich einige Protokolle nicht an den Syslog-Server gesendet.

    [NSHELP-21624]

  • Das Citrix Gateway-Gerät stürzt ab, während eine zuvor freigegebene SSL-VPN-Sitzung freigegeben wird.

    [NSHELP-21073]

Citrix Web App Firewall

  • Wenn eine Signaturregel-ID größer als 2.147.483.647 oder kleiner als Null ist, wird der Wert gekürzt.

    [ NSWAF-126 ]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn für die eingehende Anfrage viele Formularfelder vorhanden sind und der Feldkonsistenzschutz im Web App Firewall-Profil aktiviert ist.

    [NSHELP-21856]

  • Eine Citrix ADC-Appliance entfernt möglicherweise den Antworttext, wenn die Signaturregeln für den Antworttext aktiviert sind.

    [NSHELP-20872]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Speichernutzung hoch ist und Speicherwerte aufgrund eines Anwendungsfehlers nicht freigegeben werden.

    [NSHELP-1863]

Lastausgleich

  • Die Citrix ADC-Appliance gleicht den gesamten Datenverkehr, der für einen bestimmten virtuellen Lastausgleichsserver bestimmt ist, auf denselben Backend-Server aus, wenn alle der folgenden Bedingungen eintreten:

    • Der virtuelle Lastenausgleichsserver wird mit der Hash-basierten LB-Methode konfiguriert.
    • Dienstgruppe mit DNS im Autoscale-Modus ist an den virtuellen Lastausgleichsserver gebunden.

    Problemumgehung: Konfigurieren Sie den virtuellen Lastausgleichsserver mit der Round Robin LB-Methode.

    [NSHELP-21952]

Sonstiges

  • Wenn die TPS-Erkennungstechnik des Bot-Managements mit der Aktion “Schadensbegrenzung” konfiguriert ist, kann es zur Laufzeit zu Serviceunterbrechungen kommen.

    [NSBOT-124]

  • Während eines Upgrades kann eine Citrix ADC-Appliance abstürzen, wenn die Bot-Signaturdatei lange Zeichenfolgen enthält.

    [NSBOT-37]

Netzwerke

  • Wenn Sie ACL6-Regeln ablehnen, kann der IPv6-Verkehr für eine etablierte Sitzung unterbrochen werden.

    [NSNET-11409]

  • Das BGP-Modul in einer Citrix ADC-Appliance stürzt möglicherweise ab, wenn es auf Informationen zur Nullschnittstelle zugreift.

    [NSHELP-22258]

  • In einem Cluster-Setup mit aktivierter Option RetainConnectionsOnCluster kann ein Clusterknoten abstürzen, wenn er fragmentierte Pakete empfängt, gefolgt von nicht fragmentierten Paketen.

    [NSHELP-21674]

  • In einem Cluster-Setup kann eine Citrix ADC-Appliance abstürzen, wenn sie vom Server eine von Knoten zu Knoten gesteuerte ICMP-Fehlermeldung empfängt. Der Absturz tritt auf, weil das empfangene Paket die schnittstellenbezogenen Informationen nicht enthält.

    [NSHELP-18401]

Plattform

  • Auf der Citrix ADC SDX 26000-100G-Plattform wird die Schnittstelle nach dem Neustart der Appliance möglicherweise nicht angezeigt.

    [ NSPLAT-11985]

  • Auf der Citrix ADC SDX 15000-50G-Plattform werden einige Dateien aus dem NIC-Dump möglicherweise nicht aus dem Verzeichnis /tmp gelöscht, wenn das Citrix Hypervisor-Supportpaket mehrmals gesammelt wird. Diese Dateien können einen erfolgreichen Neustart der Appliance stören.

    [NSHELP-22903]

  • Im CPU-Visualizer des SDX-Dashboards zeigt die CPU-Auslastung einer VPX-Instanz 0 an, wenn der Instanz Kerne von CPU 0 zugewiesen sind.

    [NSHELP-22869]

  • Die Citrix ADC SDX 8900-Appliance zeigt nach dem Zurücksetzen auf die Werkseinstellungen fehlende NIC-Schnittstellen. Führen Sie ein Upgrade auf eine der folgenden Versionen durch:
    • Version 12.1-56.x oder später
    • Version 13.0-61.x oder später

    [NSHELP-22715]

  • Die Konnektivität zu einer VPX-Instanz schlägt fehl, wenn die folgenden Bedingungen erfüllt sind:
    • Die Instanz ist ohne Verwaltungsschnittstelle konfiguriert.
    • Nur der LACP-Portkanal ist als Datenschnittstelle konfiguriert.
    • Das erste Mitglied des LACP-Kanals ist verloren gegangen oder deaktiviert. Wenn beispielsweise die Schnittstellen 50/1 und 50/2 Mitglieder des Kanals sind und Schnittstelle 50/1 DOWN und 50/2 UP ist, geht die Konnektivität zur Instance verloren. Wenn die Schnittstelle 50/1 jedoch UP und 50/2 DOWN ist, ist VPX-Konnektivität verfügbar. Dieses Problem ist spezifisch für Mellanox-NICs.

    [NSHELP-22424]

  • Der High Availability Monitor (HAMON) ist standardmäßig auf der internen Schnittstelle aktiviert und kann auf SDX-Appliances nicht deaktiviert werden, wenn eine interne Schnittstelle konfiguriert ist. Die obige Einstellung hat keine funktionalen Auswirkungen.

    [NSHELP-21803]

  • Das SNMP-Modul auf einer Citrix ADC MPX-Plattform gibt möglicherweise für einige Systemeigenschaften einen falschen Wert zurück.

    [NSHELP-19621]

Richtlinien

  • Die Rewrite-Aktion des Typs insert_after funktioniert möglicherweise nicht mit einer HTTP-Antwort in Chunk-Form oder mit FIN-terminierter Antwort.

    [NSHELP-22743]

SSL

  • Die Citrix ADC-Appliance stürzt möglicherweise während eines abgekürzten (wiederaufgenommenen) TLS 1.3-Handshakes ab, wenn alle folgenden Einstellungen auf ein SSL-Profil angewendet werden:

    • SniHttpHostMatch ist auf CERT gesetzt
    • TLSv1.3 ist aktiviert
    • Das Sitzungsticket ist aktiviert.

    [NSHELP-22126]

  • Die Entschlüsselung von SSL-Einträgen schlägt möglicherweise zeitweise fehl, wenn die Citrix ADC-Appliance für die Verwendung von Jumbo-Frames konfiguriert ist.

    [NSHELP-21969]

  • Wenn eine Citrix ADC-Appliance für die Verwendung von SSL-Sitzungstickets konfiguriert ist und die Clientauthentifizierung aktiviert ist, stürzt die Appliance möglicherweise ab, wenn die Clients ein großes Client-Zertifikat senden. Zum Beispiel ein RSA-Zertifikat, das einen 4096-Bit-Schlüssel enthält.

    [NSHELP-21662]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab und gibt den Kern aus, wenn das OCSP-Stapling konfiguriert ist und die Appliance wenig Arbeitsspeicher hat.

    [NSHELP-21661]

  • Die Überprüfung der OCSP-Signatur schlägt fehl, wenn im Feld “SingleResponse” der OCSP-Antwort eine leere Erweiterung empfangen wird.

    [NSHELP-20997]

System

  • Eine Citrix ADC-Appliance sendet möglicherweise fälschlicherweise den RST_STREAM-Frame für erfolgreich abgeschlossene Transaktionsstreams für HTTP/2-Verbindungen.

    [NSHELP-22969]

  • Eine Citrix ADC-Appliance wird möglicherweise neu gestartet, wenn die folgenden Bedingungen erfüllt sind:

    • Das Zeitreihenprofil ruft in einer Schleife über ein Array ab.

    • Für die Schleife wird ein falscher Parameter verwendet.

    [NSHELP-22828]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen eingehalten werden:
    • Flash Cache ist aktiviert.
    • Die Client-Verbindung wird zurückgesetzt.
    • Client-Anfrage in der Warteschlange, die im Rahmen des Caching-Prozesses bearbeitet werden soll.

    [NSHELP-21872]

  • In Fällen, in denen es sich nicht um einen Endpunkt handelt, setzt die Citrix ADC-Appliance möglicherweise eine TCP-Verbindung zurück, wenn der Stack bei der Verbindung mehrmals unterbrochen wird.”

    [NSHELP-21405]

Benutzeroberfläche

  • Ein auf einem primären Knoten erstellter FIPS-Schlüssel wird nicht mit der Option Enable SIM in der Citrix ADC GUI mit dem sekundären Knoten synchronisiert.

    [NSUI-16016]

  • Zuvor waren im Feld Aktionen die Aktionen “Zuweisungen” und “Rewrite Actions” zusammen aufgeführt, aber die Funktion “Hinzufügen/Bearbeiten” war nur für Rewrite-Aktionen vorgesehen, nicht für Zuweisungen. Jetzt haben wir die Optionen zum Hinzufügen/Bearbeiten entfernt und “Zuweisungen konfigurieren” und “Rewrite-Aktionen konfigurieren” als Hyperlinks bereitgestellt, um sie unabhängig voneinander zu konfigurieren.

    [NSHELP-23095]

  • Gespeichert vs. Beim Ausführen des Konfigurationsprogramms werden möglicherweise auch nach dem Speichern der Konfiguration Unterschiede für den Befehl ‘bind ServiceGroup’ angezeigt.

    [NSHELP-22459]

  • Der Befehl “nsconfig” mit der Option “-k” kann keine Sicherungsdatei mit der aktuellen Citrix ADC-Konfiguration erstellen.

    [NSHELP-22179]

  • In einem Hochverfügbarkeits-Setup kann ein Synchronisationsproblem die Lizenzdatei des sekundären Knotens durch die Lizenzdatei des primären Knotens ersetzen.

    Das Vorhandensein der Lizenzdatei des primären Knotens führt zu einer Diskrepanz der Host-IDs für diese Datei auf dem sekundären Knoten. Aufgrund dieser Host-ID-Nichtübereinstimmung sind alle Citrix ADC-Funktionen deaktiviert, wenn der sekundäre Knoten nach einem Failover als primärer Knoten übernimmt.

    [NSHELP-21871]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn das Verzeichnis /tmp voll ist.

    [NSHELP-21809]

  • Eine Citrix ADC-Appliance wird instabil, wenn Sie den Parameter -outfilename im Befehl diffnsconfig verwenden. Infolgedessen ist die Ausgabe von diffnsconfig groß, um die Stammfestplatte vollständig zu füllen.

    [NSHELP-19345]

  • In einem Cluster-Setup kann das Zertifikatsschlüsselpaar mit einer gewissen Verzögerung mit den Nicht-CCO-Knoten synchronisiert werden. Daher ist es möglich, dass das Zertifikatsschlüsselpaar dem CCO-Knoten hinzugefügt wird, auf den Nicht-CCO-Knoten jedoch ohne Fehlermeldung fehlschlägt.

    [NSHELP-12037]

Bekannte Probleme

Die Probleme, die in Version 13.0-61.48 bestehen.

Authentifizierung, Autorisierung und Auditing

  • In einigen Fällen reagiert eine Citrix ADC-Appliance nicht mehr, wenn Single Sign-On versucht wird.

    [NSHELP-23632]

  • In seltenen Fällen stürzt eine Citrix ADC-Appliance bei der Bearbeitung der Authentifizierungsanfrage ab, wenn ein DUP-FREE-Szenario (Versuch, eine bereits freie Ressource freizugeben) auftritt.

    [NSHELP-23565]

  • Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

    [ NSHELP-563 ]

  • Das LoginSchema DualAuthPushOrOTP.xml wird im Anmeldeschema-Editor-Bildschirm der Citrix ADC-GUI nicht korrekt angezeigt.

    [ NSAUTH-6106 ]

  • Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird. show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Er zeigt den Status des Proxyprofils an.

    [ NSAUTH-5916 ]

Caching

  • Eine Citrix ADC-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

    [NSHELP-22942]

  • Eine Citrix ADC-Appliance kann nach dem Zufallsprinzip abstürzen, wenn die folgenden Bedingungen eingehalten werden:

    • Die integrierte Caching-Funktion ist aktiviert.
    • Für das integrierte Caching werden mindestens 100 GB Speicher zugewiesen.

    Problemumgehung: Weisen Sie weniger als 100 GB Arbeitsspeicher zu.

    [NSHELP-20854]

Citrix ADC SDX-Appliance

  • Auf den Plattformen Citrix ADC SDX 8900, SDX 15000 und SDX 15000-50G kann nach dem Upgrade der SDX-Appliance von Version 11.1 auf Version 12.1 oder von Version 11.1 auf Version 13.0 eine hohe CPU-Auslastung auf ADC-Instanzen festgestellt werden.

    [NSHELP-24031]

  • Sie können keinen Hash (%23) in Community-Zeichenfolgen für SNMP-Manager und Trap-Ziele aufnehmen, die auf einer Citrix ADC SDX-Appliance konfiguriert sind.

    [NSHELP-23989]

  • Wenn eine VPX-Instanz in einem alten 11.1-Build bereitgestellt wurde, schlagen Aktualisierungsvorgänge auf der VPX-Instanz mithilfe der SDX-CLI fehl, wenn die folgenden Bedingungen erfüllt sind:
    • Die Option “Shell/SFTP/SCP Access” wurde ausgewählt.
    • Die Option “Instanzverwaltung hinzufügen” wurde nicht ausgewählt. Diese Optionen waren unter “Instanzverwaltung” verfügbar. “

    [NSHELP-23683]

  • In einigen Fällen werden die Lizenzen vom Management Service nach dem Neustart einer Citrix ADC SDX-Appliance nicht richtig gelesen.

    [NSHELP-23619]

Citrix Gateway

  • Das Citrix Gateway-Gerät kann in einer EDT-Proxy-Bereitstellung ausfallen, wenn der Befehl “kill icaconnection” ausgeführt wird, während ein EDT-Verbindungsaufbau ausgeführt wird.

    [NSHELP-23882]

  • Bei der Bearbeitung von Dokumenten mithilfe der in SharePoint verknüpften webbasierten Office-Apps können Probleme auftreten, wenn auf diese Apps über das erweiterte clientlose VPN zugegriffen wird.

    [NSHELP-23364]

  • Das Citrix Gateway-Gerät stürzt möglicherweise beim Starten einer App ab, wenn die VDA-FQDN-Auflösung fehlschlägt. [NSHELP-22454]

  • Manchmal erscheint beim Durchsuchen von Schemas die Fehlermeldung “Eigenschaft ‘Typ’ von undefined kann nicht gelesen werden”.

    [ NSHELP-21897 ]

  • Wenn Sie über clientloses VPN SharePoint auf Microsoft Excel zugreifen, können Sie die Excel-Datei nicht bearbeiten.

    Problemumgehung: Führen Sie die folgenden CLI-Befehle aus:

    add rewrite policy ns_cvpn_v2_req_body_decode_pol “http.req.header(“Content-Length”).exists && http.req.header(“Content-Length”).value(0).typecast_num_t(decimal).gt(0) && http.req.header(“Content-Type”).exists && (HTTP.REQ.HEADER(“Content-Type”).CONTAINS(“text/”) || (HTTP.REQ.HEADER(“Content-Type”).CONTAINS(“application/”) && HTTP.REQ.HEADER(“Content-Type”).CONTAINS_ANY(“ns_cvpn_v2_application_content_type_end”)))” ns_cvpn_v2_req_body_decode_act bind rewrite policylabel ns_cvpn_v2_req_rw_label ns_cvpn_v2_req_body_decode_pol 27001

    [CGOP-15123]

  • Wenn Sie Ihre Unified Gateway-Umgebung auf Version 13.0 Build 58.x oder höher aktualisieren, ist der DTLS-Knopf auf dem virtuellen Content Switching-Server deaktiviert, der vor dem Gateway oder dem virtuellen VPN-Server konfiguriert ist. Sie müssen den DTLS-Knopf auf dem virtuellen Content Switching-Server nach dem Upgrade manuell aktivieren. Aktivieren Sie den DTLS-Regler nicht, wenn Sie den Assistenten für die Konfiguration verwenden.

    [CGOP-13972]

  • Im Gateway Insight-Bericht wird fälschlicherweise der Wert “Local” statt “SAML” im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

    [ CGOP-13584 ]

  • Die ICA-Verbindung führt zu einem Skip-Parse während der ICA-Analyse, wenn Benutzer den MAC-Receiver zusammen mit Version 6.5 von Citrix Virtual App and Desktops (früher Citrix XenApp und XenDesktop) verwenden. Problemumgehung: Führen Sie ein Upgrade des Receivers auf die neueste Version der Citrix Workspace-App durch.

    [CGOP-13532]

  • In einem Hochverfügbarkeitssetup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

    [ CGOP-13511 ]

  • Wenn Sie in Outlook Web App (OWA) 2013 im Einstellungsmenü auf “Optionen” klicken, wird das Dialogfeld “Kritischer Fehler” angezeigt. Außerdem reagiert die Seite nicht mehr.

    [ CGOP-7269 ]

Citrix Web App Firewall

  • Eine Citrix ADC-Appliance stürzt möglicherweise während der XML-Validierungsprüfung der Web App Firewall ab.

    [NSHELP-23562]

Lastausgleich

  • Während der GSLB-Echtzeitsynchronisierung kann das kontinuierliche Stapeln von GSLB-Konfigurationsbefehlen dazu führen, dass die Befehle in einer falschen Reihenfolge an die untergeordneten Standorte gesendet werden.

    [NSHELP-23934]

  • Die Generierung von SNMP-Alarmen kann sich verzögern, wenn die Synchronisation der Konfiguration von der Master-Site zu den untergeordneten Standorten fehlschlägt.

    [NSHELP-23391]

  • Wenn Sie die Citrix ADC-Appliance auf Version 12.0 Build 63.13 aktualisieren, werden möglicherweise einige doppelte Konfigurationseinträge für Load-Balancing-Persistenzgruppen angezeigt. Beispielsweise könnte der Befehl “show running config” den Befehl “add lb group” mehrmals anzeigen. Dies ist nur ein Anzeigeproblem und beeinträchtigt die Funktionalität nicht. Die Ausführung des Befehls “show running config” kann jedoch etwas mehr Zeit in Anspruch nehmen als gewöhnlich.

    [NSHELP-23050]

  • Die Statistiken für einen Stream-Identifier zeigen keine Grafiken.

    [NSHELP-22753]

  • Die Citrix ADC-Appliance stürzt möglicherweise selten ab, wenn ein Ganzzahlwert nach einer Reihe von Vorgängen im Zusammenhang mit Stream Identifier gekürzt wird.

    [NSHELP-22489]

Sonstiges

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Fingerabdrucktechnik für Bot-Geräte deaktiviert ist, während der Datenverkehr in die Appliance fließt. Problemumgehung: Entbinden Sie das Bot-Profil, bevor Sie die Technik des Gerätefingerabdrucks deaktivieren.

    [NSBOT-156]

Netzwerke

  • Die folgenden Fehlermeldungen können angezeigt werden, wenn Sie mehr als 100 VLANs in der TrunkAllowedVLAN-Liste auf einer Schnittstelle in der Citrix ADC-Instanz konfigurieren: ERROR: Operation timed out ERROR: Kommunikationsfehler mit der Packet-Engine

    [NSNET-4312]

  • Die folgenden Probleme wurden im Zusammenhang mit BGP-Community-Strings in der Citrix ADC-Appliance beobachtet:

    • Wenn die Appliance eine BGP-Community-Zeichenfolge x:65535 empfängt, wird die BGP-Sitzung getrennt.

    • Wenn die <bgp extended asn> Funktion nicht aktiviert ist, verarbeitet der BGP-Daemon die Kombination aus dem AS4_PATH-Attribut und bestimmten Community-Zeichenketten nicht auf die gewünschte Weise. Diese unsachgemäße Behandlung führt zum Absturz des BGP-Daemons.

    [NSHELP-24119]

  • Bei internen SSL-Diensten an einem nicht standardmäßigen HTTPS-Port werden SSL-Zertifikatsbindungen nach dem Neustart der Appliance möglicherweise auf die Standardeinstellung zurückgesetzt.

    [NSHELP-24034]

  • In einem Hochverfügbarkeits-Setup im INC-Modus gehen BFD-Sitzungen nach einem Failover verloren.

    [NSHELP-23648]

  • BFD-Einstellungen gelten möglicherweise nicht für eine Citrix ADC-Appliance, nachdem Sie die Appliance mehrmals hart neu gestartet haben.

    [NSHELP-23471]

  • Eine Citrix ADC-Appliance kann während der Bereitstellung abstürzen, wenn die folgenden Bedingungen eingehalten werden:
    • Multipath TCP (MPTCP) ist mit MBF und PMTUD aktiviert
    • MPTCP-Verkehr wird empfangen und die Antwort verursacht den Fehler ICMP Fragmentation Needed.

    [NSHELP-22418]

  • In einem Hochverfügbarkeits-Setup stürzt möglicherweise eine der Citrix ADC-Appliances ab, wenn Sie ein In Service Software Upgrade (ISSU) von der Citrix ADC-Softwareversion 13.0 47.24 oder einer früheren Version auf eine spätere Version durchführen.

    [NSHELP-21701]

  • Wenn Sie eine Slave-Schnittstelle mit Jumbo-MTU zum Link-Aggregationskanal hinzufügen, der als Backplane verwendet wird, wird fälschlicherweise die folgende Warnmeldung angezeigt:

    “Die MTU für eine Backplane-Schnittstelle muss groß genug sein, um alle Pakete zu verarbeiten. Er muss dem (MTU-Wert) entsprechen. Wenn der empfohlene Wert nicht konfigurierbar ist, überprüfen Sie bitte die MTU der Jumbo-Interfaces. “

    Dies ist nur ein Anzeigeproblem und es hat keine Auswirkungen auf die Funktionalität.

    [NSHELP-20794]

Plattform

  • Wenn eine Citrix ADC-Instanz eine ADM-basierte Lizenzierung verwendet, funktioniert die Citrix ADC-Lizenzierung möglicherweise nicht, wenn die ADM-Version unter der ADC-Version liegt. Stellen Sie daher beim Upgrade der ADC-Version sicher, dass die entsprechende ADM-Version mit der aktuellen ADC-Version identisch oder höher ist.

    [NSPLAT-15184]

  • Das Upgrade einer Citrix ADC SDX-Appliance auf Softwareversion 12.1 schlägt möglicherweise fehl, wenn die Citrix Hypervisor-Version 6.1 ist.

    [NSHELP-24036]

  • Die NITRO-API-Anfrage oder der GUI-Zugriff auf eine Citrix ADC-Appliance schlagen fehl, wenn die Appliance länger als sechs Tage aufgrund von Verwaltungsaktivitäten über HTTP (S) inaktiv bleibt.

    Problemumgehung: Starten Sie den HTTPD-Prozess neu. Führen Sie die folgenden Befehle in der Citrix ADC CLI aus:

    • add serviceGroup mgmt_http_svc HTTP -MaxClient 0 -MaxReq 0 -cip DISABLED -usip NEIN -useproxyport JA -CltTimeout 180 -SvrTimeout 360 -CKA NEIN -TCPB NEIN -CMP JA

    • bind ServiceGroup mgmt_http_svc 127.0.0.1 80

    [NSHELP-22849]

Richtlinien

  • Ein Citrix ADC kann abstürzen, wenn eine große Anzahl eingebetteter Ausdrücke auf einer HTML-Seite ausgewertet wird.

    [ NSPOLICY-1462 ]

  • Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße.

    Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

    [ NSPOLICY-1267 ]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn Sie die Funktion MATCHES_LOCATION () in einem Richtlinienausdruck konfigurieren und nstrace mit einem Filterausdruck starten.

    [NSHELP-22687]

SSL

  • Der Update-Befehl ist für die folgenden Befehle zum Hinzufügen nicht verfügbar:
    • add azure application
    • add azure keyvault
    • add ssl certkey with hsmkey option

    [NSSSL-6484]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben. ERROR: crl refresh disabled

    [NSSSL-6106]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird eine falsche Warnmeldung mit dem Titel “Warnung: Keine verwendbaren Verschlüsselungen konfiguriert auf dem SSL vserver/service” angezeigt.

    [NSSSL-4001]

  • In seltenen Fällen stürzt eine Citrix ADC-Appliance ab, wenn die folgenden Bedingungen erfüllt sind:
    • Ein virtueller SSL-Server empfängt eine Client-Hello-Nachricht mit dem SSL-Datensatzheader, der in zwei oder mehr TCP-Pakete aufgeteilt ist.
    • Eine an das Kunden-Hallo gebundene Richtlinie mit einer angegebenen Weiterleitungsaktion gibt den Wert true zurück.
    • Die TCP-Prüfsumme des Pakets, das den Datensatzheader der Client Hello-Nachricht vervollständigt, enthält das 0xX16-Muster.

    [NSHELP-23754]

  • In einem Cluster-Setup zeigt die laufende Konfiguration auf der Cluster-IP-Adresse (CLIP) die DEFAULT_BACKEND-Verschlüsselungsgruppe, die an Entitäten gebunden ist, wohingegen sie auf Knoten fehlt. Dies ist ein Display-Problem.

    [NSHELP-13466]

System

  • Wenn Sie bei Nicht-CCO-Knoten in einem Cluster-Setup den Befehl snmpwalk für Zeichenkettenobjekte ausführen, wird möglicherweise eine Inkonsistenz in der Ausgabe angezeigt. Für snmpwalk auf CLIP wird die Ausgabe mit einem Punkt am Ende angehängt. Während bei snmpwalk auf NSIP die Ausgabe nicht mit einem Punkt am Ende angehängt wird.

    [NSHELP-22684]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen eingehalten werden:
    • HTTP/2 ist im HTTP-Profil aktiviert, das an einen virtuellen Lastausgleichsserver vom Typ HTTP/SSL oder Dienst gebunden ist.
    • Die Verbindungsmultiplexoption wurde im HTTP-Profil deaktiviert, das an den virtuellen Server oder Dienst für den Lastenausgleich gebunden ist.

    [NSHELP-21202]

  • Die Citrix ADC MPX 26000-100G-Appliance reagiert möglicherweise nicht mehr, wenn der Aggregatorprozess instabil wird.

    [NSBASE - 11747]

Benutzeroberfläche

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

    Problemumgehung: Konfigurieren Sie Cloudbridge-Connectors, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln mithilfe der Citrix ADC-GUI oder CLI hinzufügen.

    [NSUI-13024]

  • Die Schaltfläche “Aktualisieren” funktioniert nicht, wenn Sie Stream Sessions (AppExpert > Action Analytics > Stream Identifier) in der GUI aktivieren.

    [NSHELP-24195]

  • Die Citrix ADC GUI zeigt die statistischen Daten “Top CLIENT.UDP.DNS.DOMAIN” nicht im grafischen Format für den ausgewählten Stream-Identifier an.

    [NSHELP-23777]

  • Nach dem Ausführen des Befehls “saveconfig - all” wird die zuletzt gespeicherte Zeit für die Admin-Partitionen nicht genau aktualisiert.

    [NSHELP-23740]

  • In der Citrix ADC GUI enthält die Seite Web App Firewall Profiles nicht die nächsten oder vorherigen Navigationsoptionen, um mehr als 25 Profile im Listenbereich anzuzeigen.

    Navigation: Sicherheit->Citrix Citrix Web App Firewall->Profile

    [NSHELP-22622]

  • Um auf einer Citrix ADC MPX-Appliance die gepoolte Kapazitätslizenz auf eine unbefristete Lizenz umzustellen, müssen Sie zuerst die gepoolte Lizenzkonfiguration und dann die gepoolte Kapazitätslizenz entfernen.

    [NSCONFIG-4167]

  • Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften Citrix ADC-Appliance anmelden.

    1. Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds:
      • Build 13.0 52.24
      • Build 12.1 57.18
      • Build 11.1 65.10
    2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
    3. Downgrade der Citrix ADC-Appliance auf einen älteren Build.

    Um die Liste dieser Systembenutzer über die CLI anzuzeigen: Geben Sie an der Eingabeaufforderung Folgendes ein:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Workaround:

    Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

    • Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mit einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herunter.
    • Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
    • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Versionshinweise für Citrix ADC 13.0-61.48 Release
March 17, 2024
Beitrag von: 
C
March 17, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.