ADC

Versionshinweise für Citrix ADC 13.0-71.44 Release

May 11, 2023

Beitrag von:

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die Citrix ADC-Version Build 13.0-71.44 bestehen.

Hinweise

Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste der sicherheitsbezogenen Fixes und Advisorys finden Sie im Citrix Security Bulletin.
Build 13.0-71.44 ersetzt Build 13.0-71.40.
Dieser Build enthält eine Verbesserung, um die Anfälligkeit für DDoS-Angriffe gegen DTLS zu verringern, wie unter beschrieben https://support.citrix.com/article/CTX289674.
Dieser Build enthält auch Korrekturen für die folgenden Probleme, die im vorherigen Build der Citrix ADC 13.0-Version aufgetreten sind: NSAUTH-9475.

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.0-71.44 verfügbar sind.

Authentifizierung, Autorisierung und Auditing

Azure Government-Unterstützung für die Token-Authentifizierung in der Microsoft Intune-Integration

Im Integrationsszenario von Citrix Gateway und Microsoft Intune unterstützt Citrix Gateway jetzt die Microsoft Azure Government-Infrastruktur für die Tokenauthentifizierung von Microsoft Active Directory Libraries (ADAL). Bisher wurde nur die kommerzielle Infrastruktur von Microsoft Azure unterstützt.

[NSAUTH-8246]

Citrix ADC SDX-Appliance

Nach dem Löschen einer Schnittstelle oder eines Kanals aus einer ADC-Instanz ist die Instanz möglicherweise nicht vom Management Service aus erreichbar. Mit dieser Änderung können Sie die Schnittstelle oder den Kanal auf einer ADC-Instanz nicht aus dem Management Service löschen, wenn auf Ihrer Citrix ADC SDX-Appliance Version 13.0 Build 71.x und höher oder Version 12.1 Build 60.x und höher ausgeführt wird.

[NSSVM-3442]

Citrix Gateway

Unterstützung für dynamisches sicheres DNS-Update im Windows-Plug-In

Das VPN-Plug-In für Windows unterstützt jetzt das Secure DNS-Update. Das Feature ist in der Standardeinstellung deaktiviert. Um ihn zu aktivieren, erstellen Sie den Wert Hkey_Local_MachineSoftwareCitrixSecure Access ClientSecureDNSUpdate vom Typ REG_DWORD und setzen Sie ihn auf 1.
- Wenn Sie den Wert auf 1 setzen, versucht das VPN-Plug-In zuerst die unsichere DNS-Aktualisierung. Wenn das unsichere DNS-Update fehlschlägt, versucht das VPN-Plug-in das sichere DNS-Update.
- Um nur das sichere DNS-Update auszuprobieren, können Sie den Wert auf 2 setzen.
[CGOP-13788]

Citrix Web App Firewall

Bot-Erkennungstechnik für Gerätefingerprinting für mobile (Android) Anwendungen mithilfe des Bot Mobile SDK

Der Bot-Erkennungsmechanismus für Gerätefingerabdrücke wurde jetzt erweitert, um mobile Anwendungen (Android) vor Bot-Angriffen zu schützen. Um Bots in einer mobilen Anwendung zu erkennen, verwendet die Technik zur Erkennung von Gerätefingerabdrücken ein mobiles Bot-SDK. Das SDK ist in die mobile Anwendung integriert, um den mobilen Datenverkehr abzufangen, Client- und Gerätedetails zu sammeln und die Daten an die Appliance zu senden. Auf der Geräteseite untersucht die Bot-Erkennungstechnik für den Gerätefingerabdruck die Daten und stellt fest, ob die Verbindung von einem Bot oder einem Menschen stammt.

[NSWAF-5983]

Lastausgleich

Konfigurierbare MEP-Timer-Unterstützung zur Vermeidung von MEP-Flaps auf GSLB-Standorten

Ein neuer Parameter, MEPKeepAliveTimeout, wird jetzt hinzugefügt, um den MEP-Timer zu konfigurieren. Standardmäßig ist der Timer-Wert auf 10 Sekunden eingestellt. Zuvor hatte der Timer einen festen Wert von 4 Sekunden.

Wenn der lokale GSLB-Standort innerhalb des im MEP-Timer angegebenen Zeitrahmens keine neuen Pakete (erneut übertragene Pakete und doppelte Bestätigungspakete sind ausgeschlossen) von einem Remote-GSLB-Standort auf der standortmetrischen MEP-Verbindung empfängt, markiert die Citrix ADC-Appliance die Verbindung als DOWN. Und wartet weitere 15 Sekunden, ohne die Verbindung zu beenden. Wenn es ein neues Paket empfängt, wird die MEP-Verbindung beibehalten und der Status wird als UP markiert.

[NSLB-7342]
Unterstützung für dateibasierte Mustersätze

Die Citrix ADC-Appliance unterstützt jetzt dateibasierte Mustersätze.

Mit dem folgenden Befehl können Sie eine neue Pattern-Set-Datei in die Citrix ADC-Appliance importieren:
import patsetfile <src> <name> -overwrite -delimiter <char> -charset <ASCII | UTF_8>

Sie können eine vorhandene Pattern-Set-Datei auf der Citrix ADC-Appliance mit dem folgenden Befehl aktualisieren:
update patsetfile <patset filename>

Mit dem folgenden Befehl können Sie der Packet-Engine eine Pattern-Set-Datei hinzufügen:
add patsetfile <patset filename>

Mit dem folgenden Befehl können Sie Muster an die Mustersatzdatei binden:
add patset <name> -patsetfile <patset filename>

[NSLB-5823]
Unterstützung des MQTT-Protokolls auf Citrix ADC-Appliances

Citrix ADC-Appliances unterstützen jetzt nativ das Message Queuing Telemetry Transport (MQTT) -Protokoll. MQTT ist ein OASIS-Standard-Messaging-Protokoll für das Internet der Dinge (IoT). Mit dieser Unterstützung kann die Citrix ADC-Appliance in IoT-Bereitstellungen verwendet werden, um den MQTT-Verkehr zu belasten.

Zuvor konnten Sie MQTT auf der Citrix ADC-Appliance mithilfe von Protokollerweiterungen konfigurieren. Benutzer mussten ihren eigenen Erweiterungscode schreiben und die Erweiterungsdatei entweder von einem Webserver (über HTTP) oder einer lokalen Workstation in die Citrix ADC-Appliance importieren.

[NSLB-5822]

Netzwerke

Unterstützung in Citrix ADC CPX für Cilium CNI in einer Kubernetes-Umgebung hinzugefügt

Citrix ADC CPX unterstützt jetzt Cilium CNI in einer Kubernetes-Umgebung. Cilium ist ein Open-Source-CNI, das die erweiterte Version des Berkeley Packet Filter (BPF) verwendet, um die Sichtbarkeit, Leistung und Skalierbarkeit von Anwendungen auf Kubernetes zu verbessern.

[NSNET-17264]
Konfigurieren Sie die Citrix ADC-Appliance so, dass der Citrix ADC FreeBSD-Datenverkehr von einer SNIP-Adresse bezogen wird

Einige Citrix ADC-Datenfunktionen laufen auf dem zugrunde liegenden FreeBSD-Betriebssystem statt auf dem Citrix ADC-Betriebssystem. Aus diesem Grund senden diese Funktionen Datenverkehr, der von der Citrix ADC IP (NSIP) -Adresse stammt, anstatt von einer SNIP-Adresse. Es ist nicht wünschenswert, den Datenverkehr von der NSIP-Adresse zu beziehen, wenn Ihr Setup über Konfigurationen verfügt, um den gesamten Management- und Datenverkehr zu trennen.

Die folgenden Citrix ADC-Datenfunktionen laufen auf dem zugrunde liegenden FreeBSD-Betriebssystem und senden Datenverkehr, der von der Citrix ADC IP (NSIP) -Adresse stammt:
- Skriptfähige Monitore für den Lastausgleich
- GSLB Autosync
Um dieses Problem zu lösen, wurde ein globaler Layer-2-Parameter “UsenetProfileBSDTraffic” eingeführt. Wenn dieser Parameter aktiviert ist, senden die Citrix ADC-Funktionen Datenverkehr, der von einer der SNIP-Adressen in einem der Funktion zugeordneten Netzprofil stammt.

Derzeit wird der globale Layer-2-Parameter “UsenetProfileBSDTraffic” nur für skriptfähige Load-Balancing-Monitore unterstützt.

Um die Citrix ADC-Appliance so zu konfigurieren, dass sie GSLB-Autosync-Verkehr von einer SNIP-Adresse bezieht, können Sie erweiterte ACL- und RNAT-Regeln als Problemumgehung verwenden.

[NSNET-16274]
Datensatzbasierte erweiterte ACLs

In einem Unternehmen ist eine große Anzahl von ACLs erforderlich. Die Konfiguration und Verwaltung einer großen Anzahl von ACLs ist sehr schwierig und umständlich, wenn sie häufig geändert werden müssen.

Eine Citrix ADC-Appliance unterstützt jetzt Datensätze in erweiterten ACLs. Dataset ist ein vorhandenes Feature einer Citrix ADC-Appliance. Ein Datensatz ist ein Array von indizierten Mustern von Typen: Zahl (Ganzzahl), IPv4-Adresse oder IPv6-Adresse.

Die Unterstützung von Datensätzen in erweiterten ACLs ist nützlich, um mehrere ACL-Regeln zu erstellen, die gemeinsame ACL-Parameter erfordern. Beim Erstellen einer ACL-Regel können Sie, anstatt die gemeinsamen Parameter anzugeben, einen Datensatz angeben, der diese gemeinsamen Parameter enthält.

Alle am Datensatz vorgenommenen Änderungen werden automatisch in den ACL-Regeln wiedergegeben, die diesen Datensatz verwenden. ACLs mit Datensätzen sind einfacher zu konfigurieren und zu verwalten. Sie sind auch kleiner und einfacher zu lesen als die herkömmlichen ACLs.

Derzeit unterstützt die Citrix ADC-Appliance nur das Dataset des IPv4-Adresstyps für erweiterte ACLs.

[NSNET-8252]

Plattform

VMware ESX 7.0-Unterstützung auf der Citrix ADC VPX-Instanz

Die Citrix ADC VPX-Instanz unterstützt jetzt den VMware ESX Hypervisor 7.0 Build 1632494.

[NSPLAT-16902]
Die Unterstützung für die AWS-Region Top Secret (C2S) wurde für alle Citrix ADC-Editionen erweitert

Die Region AWS Top Secret (C2S) unterstützt jetzt alle folgenden Citrix ADC-Editionen zusammen mit Bring Your Own License (BYOL):
- Standard Edition
- Advanced Edition
- Premium Edition
Bisher unterstützte die AWS-Region Top Secret nur das BYOL-Abonnement.
Die AWS-Region Top Secret ist im Rahmen des Commercial Cloud Services (C2S) -Vertrags mit AWS sofort verfügbar.

[ NSPLAT-9195]

Richtlinien

Unterstützung dynamischer Ausdrücke in der CONTAIN-Funktion zur Optimierung der Verwendung erweiterter Richtlinien

Die Argumente für die folgenden Methoden sind statisch:
- contains()
- nach_str ()
- before_str ()
- substr (),
- strip_end_chars ()
- strip_chars ()
- strip_start_chars ()
[ NSPOLICY-3545 ]

SSL

Unterstützung für die Auslagerung von Kryptooperationen auf Intel Coleto-Kryptochips in TLS 1.3-Verbindungen

In TLS 1.3-Verbindungen wird nun Unterstützung für die Auslagerung von Kryptooperationen auf Intel Coleto-Kryptochips auf bestimmten Citrix ADC MPX-Plattformen hinzugefügt.

Die folgenden Appliances, die mit Intel Coleto-Chips geliefert werden, werden unterstützt:
- MPX 5900
- MPX/SDX 8900
- MPX/SDX 15000
- MPX/SDX 15000-50 G
- MPX/SDX 26000
- MPX/SDX 26000-50S
- MPX/SDX 26000-100G
Nur-Software-Unterstützung für das TLSv1.3-Protokoll ist auf allen anderen Citrix ADC MPX- und SDX-Appliances mit Ausnahme von Citrix ADC FIPS-Appliances verfügbar.

[NSSSL-7453]
Alle SAN-Werte (Subject Alternate Name) werden jetzt in einem Zertifikat angezeigt

Eine Citrix ADC-Appliance zeigt jetzt alle SAN-Werte an, wenn die Details eines Zertifikats angezeigt werden.

[NSSSL-5978]
Richtlinienunterstützung für das TLSv1.3-Protokoll

Wenn das TLSv1.3-Protokoll für eine Verbindung ausgehandelt wird, lösen Richtlinienregeln, die vom Client empfangene TLS-Daten überprüfen, nun die konfigurierte Aktion aus.
Wenn beispielsweise die folgende Richtlinienregel den Wert true zurückgibt, wird der Datenverkehr an den in der Aktion definierten virtuellen Server weitergeleitet.
Fügen Sie die SSL-Aktion hinzu action1 -forward vserver2
fügen Sie die SSL-Richtlinie hinzu pol1 -rule client.ssl.client_hello.sni.contains (xyz) -action action1

[NSSSL-869]

System

Zeigt die CPU-Auslastung (in Teilen pro Tausend) für einen virtuellen Lastausgleichsserver an

Ein neuer Zähler, “CPU-PM”, zeigt jetzt die statistischen Daten für die CPU-Auslastung in Promille (Teile pro Tausend) an. Beispielsweise muss 500 als 500/1000 gelesen werden, was 50 Prozent entspricht.

Navigieren Sie in der GUI zu Traffic Management > Virtuelle Server > Load Balancing > Statistics

[NSBASE - 11304]
Unterstützung für die Wiederholung von Anfragen bei Timeout

Ein erneuter Anforderungsversuch ist jetzt für ein weiteres Szenario verfügbar. Wenn ein Backend-Server mehr Zeit benötigt, um auf Anfragen zu antworten, führt die Appliance bei Timeout einen Neulastenausgleich durch und leitet die Anfrage an den nächsten verfügbaren Server weiter. Zuvor wartete die Appliance ständig auf die Serverantwort, was zu einer erhöhten RTT führte.
Um einen Timeout durchzuführen, kann in der appqoe-Aktion ein neuer Parameter retryOnTimeout konfiguriert werden. Mindestwert: 30 Millissekunden
Maximalwert: 2000.

So konfigurieren Sie die Wiederholung von Anfragen bei Timeout mithilfe der CLI:
add appqoe action <name> -retryOnTimeout <msecs>

Beispiel
“appqoe action appact1 -retryOnTimeout 35” hinzufügen

[NSBASE-10914]
Unterstützung für MPTCP-Cluster-Bereitstellungen und Beibehaltung von Verbindungen

MPTCP-Verbindungen unterstützen jetzt die Funktionen “Process Local” und “Retain Connections” in der Cloud und on-premises Citrix ADC-Clusterbereitstellungen.

[NSBASE-10734]
Informationen zur Responder-Antwort in AppFlow-Datensätzen

Die von der Citrix ADC-Appliance generierten AppFlow-Datensätze enthalten jetzt die Informationen zur Responder-Antwort.

[NSBASE-10634]
Unterstützung für größere HTTP-Header-Größen

Die Citrix ADC-Appliance kann jetzt HTTP-Anfragen mit großer Header-Größe verarbeiten, um die L7-Anwendungsanfrage zu erfüllen. Die Header-Größe einer HTTP-Anfrage wird auf 128 KB erhöht.

[NSBASE-7957]

Behobene Probleme

Die Probleme, die in Build 13.0-71.44 behoben wurden.

Authentifizierung, Autorisierung und Auditing

In einigen Fällen wird nach der Änderung des Benutzerkennworts die folgende Fehlermeldung angezeigt: Ihre Anfrage kann nicht abgeschlossen werden.

Der Fehler tritt auf, weil das geänderte Kennwort nach der Verschlüsselung beschädigt ist.

[NSHELP-25437]
In einigen Fällen kann eine Citrix ADC-Appliance abstürzen, wenn der Client die TCP-Verbindung schließt, bevor die E-Mail-OTP-Authentifizierung abgeschlossen wird.

[NSHELP-25154]
In einigen Fällen stürzt eine Citrix ADC-Appliance während des Entfernens der Citrix ADC-Authentifizierungs-, Autorisierungs- und Überwachungssitzung auf dem sekundären Knoten ab.

[NSHELP-25075]
In einigen Fällen, wenn Citrix ADC als IdP für Citrix Cloud verwendet wird, stürzen Authentifizierung, Autorisierung und AuditingD während der Extraktion verschachtelter Gruppen in AD aufgrund eines Speicherpufferüberlaufs ab.

[NSHELP-24884]
Die LDAP-Authentifizierung schlägt in einer Citrix ADC-Appliance fehl, wenn die Gruppenlänge eines Benutzers das definierte Limit überschreitet.

[NSHELP-24373]
Beim Versuch, sich am Citrix Gateway-Gerät anzumelden, sieht ein Benutzer keine Antwort, wenn der Anmeldeversuch fehlschlägt.

[NSHELP-23155]
Eine Citrix ADC-Appliance antwortet mit einem 400-Fehlercode, wenn die Header-Größe einer Anfrage im Zusammenhang mit der Citrix Gateway-Benutzeroberfläche 1024 Zeichen überschreitet.

[NSAUTH-9475]
Die Konfiguration des virtuellen Authentifizierungsservers für nicht adressierbare Authentifizierung wird nach einem Neustart nicht wiederhergestellt, wenn die folgenden Bedingungen erfüllt sind:
- Die Citrix ADC-Appliance verfügt über eine Standard Edition-Lizenz
- Die Appliance ist für die nFactor-Authentifizierung mit Citrix Gateway konfiguriert
[NSAUTH-9263]

Bot-Verwaltung

Eine Bot-Anfrage, die durch eine Bot-Signatur als fehlerhafter Bot identifiziert wird, wird zurückgesetzt, wenn die folgende Bedingung erfüllt ist:
- Bot-Terminalaktionen wie Löschen, Umleiten oder Zurücksetzen für die entsprechende Signatur werden auf “Falsch” gesetzt.
[NSBOT-222]

Zwischenspeichern

Eine Citrix ADC-Appliance kann nach dem Zufallsprinzip abstürzen, wenn die folgenden Bedingungen eingehalten werden:
- Die integrierte Caching-Funktion ist aktiviert.
- Für das integrierte Caching werden mindestens 100 GB Speicher zugewiesen.
[NSHELP-20854]

CallHome

Auf der Citrix AC MPX 22000-Plattform zeigt der Befehl show techsupport fälschlicherweise an, dass die Festplatte nicht gemountet ist.

[NSHELP-24223]

Citrix ADC SDX-Appliance

Das Upgrade der Citrix ADC SDX-Appliance schlägt fehl, wenn der Citrix Hypervisor mehr als 90% des Festplattenspeichers beansprucht.

[NSHELP-24873]
Auf den Plattformen Citrix ADC SDX 8900, SDX 15000 und SDX 15000-50G kann nach dem Upgrade der SDX-Appliance von Version 11.1 auf Version 12.1 oder von Version 11.1 auf Version 13.0 eine hohe CPU-Auslastung auf ADC-Instanzen festgestellt werden.

[NSHELP-24031]

Citrix Gateway

In seltenen Fällen kann das Citrix Gateway-Gerät während der Sitzungssynchronisierung mit dem sekundären Gerät oder während der Intranet-IP-Zuweisung abstürzen.

[NSHELP-25221]
Der URLName-Parameter wird an die Sitzung und andere Richtlinienbindungen angehängt, wenn auch die klassische VPN-URL gebunden ist, was zu einer zusätzlichen Konfiguration beim Speichern und Neustart führt.

[NSHELP-25072]
Die Citrix Gateway IIP-Registrierung schlägt fehl, wenn Split DNS auf “Both” oder “Local” gesetzt ist.

[NSHELP-24928]
Wenn die ICA Smart Policy aktiviert ist und noch eine AppFlow-Konfiguration übrig ist, stellen Sie möglicherweise eine Verbindung mit hoher Latenz fest.

[NSHELP-24908]
Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn UDP-Audio aktiviert ist und der interne Malloc-Systemaufruf einen Fehler zurückgibt.

[NSHELP-24890]
In seltenen Fällen stürzt ein Citrix Gateway-Gerät ab, wenn der Syslog-Transporttyp aufgrund eines Speicherfehlers geändert wird.

[NSHELP-24794]
Das Citrix Gateway-Gerät extrahiert den allgemeinen Namen nicht aus UTF8String-kodierten Gerätezertifikaten.

[NSHELP-24741]
Das Citrix Gateway-Gerät stürzt ab, wenn eine Intranet-App entfernt wird, deren Hostname-Wert 160 Zeichen überschreitet.

[NSHELP-24524]
Wenn die Standorterkennung aktiviert ist, dauert es lange, bis der Tunnel auf Maschinenebene des Always On VPN eingerichtet ist, nachdem der Client-Computer neu gestartet wurde.

[NSHELP-24508]
Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn sie für clientloses VPN konfiguriert ist.

[NSHELP-24430]
Das Citrix Gateway-Gerät wird möglicherweise neu gestartet, wenn für das an den virtuellen VPN-Server gebundene RDP-Serverprofil die RDP-IP-Adresse nicht konfiguriert ist und derselbe Port vom RDP-Serverprofil und dem virtuellen VPN-Server verwendet wird.

[NSHELP-24199]
Ein neuer, optimierter Mustersatz, “ns_cvpn_v2_fast_regex_light_ver”, wird für hohe CPU-Alarme eingeführt. Wenn mit dem Standardmustersatz “ns_cvpn_v2_fast_regex” zeitweise ein CPU-Spitzenwert beobachtet wird, können Sie zum neuen Mustersatz wechseln.

[NSHELP-24085]
Das Citrix Gateway-Gerät kann in einer EDT-Proxy-Bereitstellung ausfallen, wenn der Befehl “kill icaconnection” ausgeführt wird, während ein EDT-Verbindungsaufbau ausgeführt wird.

[NSHELP-23882]
Das Windows-Plug-In zeigt die Meldung Gateway ist nicht erreichbar an, wenn der Client-Computer über mehrere Instanzen der virtuellen Hyper-V- und WiFi-Direktzugriffsadapter verfügt.

[NSHELP-23794]
Ein Citrix Gateway-Gerät stürzt möglicherweise ab, wenn versucht wird, ein eingehendes Paket zu analysieren.

[NSHELP-23747]
Das Citrix Gateway-Gerät stürzt ab, wenn beim Zugriff auf den virtuellen Desktop UDP-Audio verwendet wird.

[NSHELP-23514]
Die auf UDP/ICMP/DNS basierenden Autorisierungsrichtlinien für VPN werden in der Datei ns.log nicht angezeigt.

[NSHELP-23410]
Die Citrix ADC-Appliance stürzt möglicherweise während des Failovers ab, wenn UDP-Audio aktiviert ist.

[NSHELP-22850]

Citrix Web App Firewall

Kommunikationsfehler werden in aslearn beobachtet, wenn Sie die Lerndaten der Citrix Web App Firewall in einer Clusterkonfiguration zurücksetzen.

[NSWAF-6768]
In einer Clusterkonfiguration wird der Wert für die Web Services Interoperability (WSI) mit Leerzeichen als ungültige Eingabe betrachtet, obwohl er in einer Citrix ADC Core-Appliance gültig ist.

[NSWAF-6745]
Die standardmäßigen Konfigurationsdetails für Kreditkartennamen für einfache oder erweiterte Web App Firewall-Profile fehlen in einer Cluster-Bereitstellung.

[NSWAF-6675]
Die standardmäßige XML-DOS-Bindung für das erweiterte Standardprofil der Web App Firewall fehlt in einer Cluster-Bereitstellung.

[NSWAF-6672]
In einer Clusterkonfiguration kann die “Safeobject” -Regel nicht an eine “SafeObject” -Ausdruckslänge von mehr als 255 Zeichen gebunden werden.

[NSWAF-6670]
Der Standardwert für die Konfiguration “FileUploadTypesAction” für ein einfaches oder erweitertes Web App Firewall-Profil fehlt in einer Cluster-Bereitstellung.

[NSWAF-6669]
In einer Cluster-Bereitstellung wird für das grundlegende oder erweiterte Web App Firewall-Profil eine falsche Standardkonfiguration von “CmdInjectionAction” beobachtet.

[NSWAF-6668]
Ein Citrix ADC-Cluster-Setup kann abstürzen, wenn DHT-Transportfehler zwischen den Clusterknoten auftreten und die Funktion zum Schutz der Feldkonsistenz aktiviert ist.

[NSWAF-6560]
Die Cookie-Konsistenzprüfung der Citrix Web App Firewall entfernt das SameSite-Cookie-Attribut in der vom Backend-Server gesendeten Antwort.

[NSHELP-24313]

Lastausgleich

Wenn eine GSLB-Bereitstellung die Round-Trip-Methode (RTT) für den Lastenausgleich verwendet, schlägt die Citrix ADC-Appliance möglicherweise fehl, wenn Sie einen GSLB-Dienst während des Verkehrsflusses löschen oder die Bindung aufheben.

[NSHELP-24425]
Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Verknüpfung zwischen dem Eintrag in der Distributed Hash Table (DHT) und der Persistenzsitzung gelöscht wird, während die Persistenzsitzung freigegeben wird.

[NSHELP-24213]
Wenn einem Dienstgruppenmitglied ein Wildcard-Port (Port *) zugewiesen wird, können die Monitordetails für dieses Dienstgruppenmitglied auf der Seite Monitordetails angezeigt werden.

[NSHELP-9409]

Netzwerke

In einer Citrix ADC BLX- oder Citrix ADC CPX-Appliance schlägt die Installation von OSPF- oder BGP-Routen zur Routingtabelle der Appliance möglicherweise fehl.

[NSNET-18707]
RNAT mit deaktiviertem “useproxyport” funktioniert möglicherweise nicht wie erwartet für Quellports, die kleiner als 1024 nummeriert sind.

[NSHELP-25162]
In einem Hochverfügbarkeits-Setup mit INC-Modus wird jede RNAT-Regel, für die eine VIP-Adresse als NAT-IP-Adresse festgelegt ist, während der HA-Synchronisierung entfernt.

[NSHELP-24893]
Das Laden der Citrix ADC SNMP MIB in einen SNMP-Manager schlägt möglicherweise fehl, da in der SNMP-MIB ein doppelter Objektname “UrlFiltDBUpdateStatus” vorhanden ist. Derselbe Objektname “UrlFiltDBUpdateStatus” wird für einen SNMP-Trap und eine SNMP-Trap-Variablenbindung verwendet.

Mit dem Fix wurde die SNMP-Trap-Variablenbindung “UrlFiltDBUpdateStatus” in “UrlFilterDBUpdateStatus” geändert.

[NSHELP-24778]
Eine Citrix ADC-Appliance stürzt möglicherweise aufgrund eines internen Speichersynchronisierungsproblems im LSN-Modul ab.

[NSHELP-24623]
Die folgende Link-Load-Balancing-Route, die in einer nicht standardmäßigen Verkehrsdomäne hinzugefügt wurde, wird in die Standard-Traffic-Domain verschoben, nachdem Sie die Appliance gespeichert und neu gestartet haben.
- füge lb route 0.0.0.0 -td 1 hinzu
[NSHELP-24067]
Richtlinienbasierte IPv6-Routen (PBR6) auf einer Citrix AC Appliance funktionieren möglicherweise nicht wie erwartet.

[NSHELP-23161]
In einem Hochverfügbarkeits-Setup stürzt möglicherweise eine der Citrix ADC-Appliances ab, wenn Sie ein In Service Software Upgrade (ISSU) von der Citrix ADC-Softwareversion 13.0 47.24 oder einer früheren Version auf eine spätere Version durchführen.

[NSHELP-21701]

Plattform

Die Citrix ADC MPX 8000-1G-Plattform unterstützt gepoolte Lizenzierung.

[NSPLAT-17354]
Eine Citrix ADC VPX-Instanz, auf der NSVLAN und zwei Link Aggregation (LA) -Kanäle konfiguriert sind, ist nicht erreichbar, wenn die folgenden Bedingungen erfüllt sind:
- Der erste LA-Kanal ist deaktiviert.
- Die VPX-Instanz wird neu gestartet.
[NSPLAT-16082]
Wenn eine Citrix ADC-Instanz eine ADM-basierte Lizenzierung verwendet, funktioniert die Citrix ADC-Lizenzierung möglicherweise nicht, wenn die ADM-Version unter der ADC-Version liegt. Stellen Sie daher beim Upgrade der ADC-Version sicher, dass die entsprechende ADM-Version mit der aktuellen ADC-Version identisch oder höher ist.

[NSPLAT-15184]
Wenn beim Upgrade einer Citrix ADC SDX-Appliance eine SSD bei einem der vielen Neustarts ausfällt, wird das entsprechende RAID-Paarvolume nach dem Neustart der Appliance inaktiv. Sie können Folgendes beobachten:
Das Volume wird in der GUI als “nicht erstellt” angezeigt.
Der ausgefallene SSD-Steckplatz wird als “nicht vorhanden” gemeldet. “
Der entsprechende VPX-SR wird ebenfalls als beeinträchtigt angezeigt.
Infolgedessen werden ADC-Instanzen, die sich auf dem VPX-SR befinden, möglicherweise nicht gestartet oder befinden sich in einem angehaltenen Zustand.

[NSHELP-24751]
Wenn mehrere LA-Kanäle auf einer SDX-Appliance ohne Verwaltungsschnittstellen (0/1, 0/2) konfiguriert sind und wenn der erste LA-Kanal über die VPX-CLI deaktiviert ist, ist die VPX-Appliance möglicherweise nicht erreichbar.

[NSHELP-21889]
Auf den ADC SDX 14000- und 15000-Appliances wird ein Verkehrsverlust von bis zu 9 Sekunden beobachtet, wenn die folgenden Bedingungen erfüllt sind:
- 10G-Ports werden über den LA-Kanal mit zwei Cisco-Switches verbunden, die im VPC-Setup als aktiv oder passiv konfiguriert sind.
- Die Verbindung zum aktiven oder primären Cisco-Switch springt ab.
[NSHELP-21875]

Richtlinien

Eine Citrix ADC-Appliance kann abstürzen, wenn die folgenden Bedingungen erfüllt sind:
- Verwendung von nstrace mit einem Filterausdruck.
- Authentifizierungs-, Autorisierungs- und Auditauthentifizierungsfunktionen aktiviert.
[ NSPOLICY-3844 ]
Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn globale Gültigkeitsvariablen in ungültigen HTTP-Anfragen verwendet werden.

[NSHELP-25369]

SSL

Auf den folgenden Citrix ADC SDX-Plattformen kann die SSL-Karte ausfallen, wenn der externe Client die ECDSA P224/521-Kurve für die Signatur während des SSL-Handshakes für die Clientauthentifizierung verwendet:
- SDX 11515/11520/11530/11540/11542
- SDX 22040/22060/22080/22100/22120
- SDX 24100/24150
- SDX 14000
- SDX 14000-40S
- SDX 14000-40G
- SDX 14000 FIPS
- SDX 2500
- SDX 25000A
[NSSSL-9324]
Eine Citrix ADC-Appliance schlägt in der Client-Hello-Nachricht keine ECDHE-Verschlüsselungen vor, nachdem Sie die Appliance neu gestartet haben und wenn die folgenden Bedingungen erfüllt sind:
- Das Standardprofil ist deaktiviert.
- Ein sicherer Monitor ist an einen Nicht-SSL-Dienst gebunden.
[NSHELP-24706]
Der SSL-Handshake am Backend schlägt fehl, wenn der Backend-Server einen einzelnen SSL-Eintrag sendet, der die folgenden Meldungen enthält: “Server Hello”, “Server Certificate”, “Server Key Exchange” und “Server Hello Done”.

[NSHELP-24615]
Eine Citrix ADC-Appliance schließt eine DTLS-Sitzung, indem sie eine Warnung sendet, wenn der maximale Timeout-Wert für Wiederholungen erreicht ist.

[NSHELP-24560]
Eine Citrix ADC MPX/SDX 11542-, MPX/SDX 14000-, MPX 22000/24000/25000- oder MPX/SDX 14000-FIPS-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen erfüllt sind:
- Das ECDHE/ECDSA-Hybridmodell ist aktiviert.
- DTLS-Verkehr wird empfangen, wenn die CPU-Auslastung bereits hoch ist.
[NSHELP-24405]
Eine Citrix ADC-Appliance schlägt möglicherweise keine ECDHE-Verschlüsselungen in der Client-Hello-Nachricht vor, wenn die folgenden Bedingungen erfüllt sind:
- Die HA-Synchronisierung ist im Gange.
- Monitorproben werden gesendet, bevor die Synchronisation abgeschlossen ist.
[NSHELP-24355]
Die Citrix ADC-Appliance stürzt ab, wenn NULL- oder RC2-Chiffren vom SSL-Backend-Dienst auf den folgenden Plattformen verwendet werden:
- MPX 5900
- MPX 8900
- MPX 15000
- MPX 15000-50 G
- MPX 26000
- MPX 26000-50S
- MPX 26000-100 G
[NSHELP-24308]
Eine Citrix ADC-Appliance kann bei der Konfiguration eines virtuellen DTLS-Servers abstürzen, wenn auf der Appliance wenig Speicherplatz zur Verfügung steht.

[NSHELP-24201]
Eine Citrix ADC-Appliance schlägt in der Client-Hello-Nachricht keine ECDHE-Verschlüsselungen vor, nachdem Sie die Appliance neu gestartet haben und wenn die folgenden Bedingungen erfüllt sind:
- Das Standardprofil ist aktiviert.
- Ein sicherer Monitor ist an einen Nicht-SSL-Dienst gebunden.
[NSHELP-24037]
In einem Cluster-Setup wird der Datei ns.conf ein ungültiger Befehl “bind ssl certkey” hinzugefügt, wenn Sie die Konfiguration speichern. Der ungültige Befehl wird hinzugefügt, wenn eine CRL-Verteilungspunkterweiterung Teil eines Zertifikats auf der Citrix ADC-Appliance ist.

[NSHELP-23963]

System

Eine Lightweight-CPX-Instanz kann abstürzen, wenn Sie ein Analyseprofil verwenden, ohne den Collector einzustellen.

[NSHELP-25239]
Fenstergröße für die HTTP/2-Erstverbindung konfigurieren

Gemäß RFC 7540 muss das Flow-Control-Fenster für den HTTP2-Stream und die Verbindung auf 64 K (65535) Oktette initialisiert werden, und jede Änderung dieses Werts muss dem Peer mitgeteilt werden. Die ADC-Appliance kommuniziert die Änderung der Fenstergröße der Durchflusssteuerung wie folgt:
- Verwenden Sie den SETTINGS-Frame für das Flow-Control-Fenster auf Streamebene.
- Verwenden Sie den WINDOW_UPDATE-Frame für das Flow-Control-Fenster auf Verbindungsebene.
In einem HTTP-Profil können Sie den Parameter Http2InitialWindowSize konfigurieren, um die anfängliche Fenstergröße auf Stream-Ebene festzulegen.

Aufgrund eines internen Systemfehlers initialisiert die ADC-Appliance das Flow-Control-Fenster für die Verbindung auch mit dem für “Http2InitialWindowSize” konfigurierten Wert. Wenn sich das konfigurierte Flusssteuerungsfenster für den Stream ändert, kommuniziert die ADC-Appliance über den Frame SETTINGS mit dem Peer. Die ADC-Appliance kommuniziert die Änderung im Flow-Control-Fenster für die Verbindung jedoch nicht mithilfe des WINDOW_UPDATE-Frames. Dies führt zu einem Einfrieren der Verbindung.

Um das Problem zu lösen, wurde der Parameter Http2InitialConnWindowSize (in Byte) hinzugefügt, um das Flow-Control-Fenster auf Verbindungsebene zu steuern. Durch die Verwendung separater konfigurierbarer Parameter, nämlich “Http2InitialWindowSize” und “Http2InitialConnWindowSize”, können Sie jetzt die Flow-Control-Fenstergröße sowohl auf Stream- als auch auf Verbindungsebene konfigurieren.

Konfigurieren Sie den Flow-Control-Fenstergrößenparameter für HTTP/2 auf Verbindungsebene mithilfe der CLI

Geben Sie in der Befehlszeile Folgendes ein:

set httpprofile p1 -http2InitialConnWindowSize <window-size>

Dabei ist Http2InitialConnWindowSize die anfängliche Fenstergröße für die Flusskontrolle auf Verbindungsebene in Byte.
Standardwert: 65535
Minimalwert: 65535
Maximalwert: 67108864

[NSHELP-25155]
Eine Citrix ADC-Appliance stürzt möglicherweise aufgrund eines Speicherfehlers ab, wenn die HTTP/2-Funktion aktiviert ist.

[NSHELP-25005]
In einem Cluster-Setup wird die Validierung der Standardwerte für den Überspannungsschutz in der Datenbank und der Paket-Engine unterschiedlich gehandhabt.

[NSHELP-24455]
Die Analyseaufzeichnungen werden nicht an das Citrix ADM gesendet, wenn die folgenden Bedingungen erfüllt sind:
- Der IPFIX Collector ist in der Admin-Partition der Citrix ADC-Appliance konfiguriert.
- Collector befindet sich in einem anderen Subnetz als der SNIP-Adresse.
[NSHELP-24283]
Im Citrix ADC Web Logging (NSWL) -Client, der auf einer Linux-Plattform ausgeführt wird, wird eine hohe CPU-Auslastung beobachtet, wenn das Abfrageintervall nicht richtig eingestellt ist.

[NSHELP-24266]
Wenn Sie Appflow auf einer ADC-Instanz aktivieren, zeigt das ADM HDX Insight dieser Instanz nicht an. Dieses Problem tritt auf, weil ADM die von der Instanz empfangenen Logstream-Daten nicht verarbeitet.

[NSHELP-24227]
Das Löschen eines TCP-Profils, das an einen virtuellen Content Switching-Server gebunden ist, führt zu einer Konfigurationsinkonsistenz in der Cluster-Datenbank.

[NSHELP-24004]
Eine Citrix ADC-Appliance kann beim Löschen der Konfiguration abstürzen, wenn sie versucht, auf die ICAP-Serverdetails zuzugreifen. Die Serverdetailinformationen werden nicht aus der Monitorliste entfernt, wenn die Konfiguration für die ICAP-Inhaltsinspektion gelöscht wird.

[NSHELP-23945]
Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen eingehalten werden:
- HTTP/2 ist im HTTP-Profil aktiviert, das an einen virtuellen Lastausgleichsserver vom Typ HTTP/SSL oder Dienst gebunden ist.
- Die Verbindungsmultiplexoption wurde im HTTP-Profil deaktiviert, das an den virtuellen Server oder Dienst für den Lastenausgleich gebunden ist.
[NSHELP-21202]
Eine Citrix ADC-Appliance mit Verbindungsverkettung und aktiviertem SSL sendet möglicherweise mehr MTU-Daten.

[NSHELP-9411]
Nach einem Upgrade auf Citrix ADC Version 12.1 Build 61.x stürzt die Appliance möglicherweise ab, wenn sie auf dem ADM-Server registriert ist.

[NSBASE - 13031]
Die Aktivierung des Metrics Collectors in der Standardpartition schlägt möglicherweise fehl, wenn sie bereits im Admin-Partitions-Setup aktiviert ist.

[NSBASE - 12623]
In einem Cluster-Setup reduziert die Aktivierung der prozesslokalen Unterstützung für MPTCP-Verbindungen die knotenübergreifende Steuerung.

[NSBASE-10587]

Benutzeroberfläche

Der Befehl diff ns config zeigt eine FEHLERMELDUNG an: UID für den Befehl: apply ns pbr6 konnte nicht abgerufen werden. Dies passiert, wenn der Befehl apply ns pbr6 in den Dateien ns.conf oder running-config gespeichert wird.

[NSHELP-25373]
In einem Cluster-Setup wird eine unerwünschte zusätzliche Bindungskonfiguration in der Datei ns.conf gespeichert.

[NSHELP-24636]
Die folgenden Fehlerbedingungen werden in der Citrix Gateway-GUI beobachtet:
- Wenn eine Richtlinie an die primäre Authentifizierung auf dem virtuellen VPN-Server gebunden ist, zeigt die GUI fälschlicherweise an, dass die Richtlinie an die sekundäre Authentifizierung und die Gruppenauthentifizierung gebunden ist.
- Wenn der virtuelle VPN-Server an ein Serverzertifikat gebunden ist, zeigt die Server-GUI fälschlicherweise an, dass der virtuelle VPN-Server ebenfalls an ein CA-Zertifikat gebunden ist.
[NSHELP-24494]
Auf einer Citrix ADC SDX-Plattform wird beim Laden der GUI die folgende Fehlermeldung angezeigt:
Vorgang wird vom Gerät nicht unterstützt [Gepoolte Lizenzierung wird auf dieser Plattform nicht unterstützt]

[NSHELP-24474]
Auf der Citrix ADC GUI können Sie die für eine bestimmte Partition erstellten “Benutzerdefinierten Berichte” nicht anzeigen.

[NSHELP-24370]
Die folgenden temporären Dateien im Ordner /var/tmp einer Citrix ADC-Appliance verursachen den vollen Speicherstatus.
- sh.runn.audit.<pid> Datei, die mit dem nsconfigaudit tool erstellt wurde.
- tmp_ns.conf.<pid> Datei, die mit dem Befehl show run für die Partition erstellt wurde.
[NSHELP-24092]
Bei einer NITRO-API-Anfrage “routerdynamicrouting” gibt die Citrix ADC-Appliance möglicherweise JSON-Daten mit Formatierungsfehlern zurück, wenn die Antwortgröße groß ist.

[NSHELP-19913]
Eine Citrix ADC-Appliance wird instabil, wenn Sie den Parameter -outfilename im Befehl diffnsconfig verwenden. Infolgedessen ist die Ausgabe von diffnsconfig groß, um die Stammfestplatte vollständig zu füllen.

[NSHELP-19345]

Bekannte Probleme

Die Probleme, die in Version 13.0-71.44 bestehen.

Authentifizierung, Autorisierung und Auditing

Eine Citrix ADC-Appliance kann abstürzen, wenn die folgenden Bedingungen erfüllt sind.
1. Das Gerät steht unter Speicherdruck.
2. SAML ist als eine der Authentifizierungsmethoden konfiguriert.
[NSHELP-28855]
In einem seltenen Szenario kann der sekundäre Knoten in einem Hochverfügbarkeits-Setup abstürzen, wenn die folgende Bedingung erfüllt ist.
- Die “AAA-Gruppen” und/oder “AAA-Benutzer” sind auf der Citrix ADC-Appliance konfiguriert.
[ NSHELP-26732 ]
In bestimmten Szenarien schlägt der Befehl Authentifizierung, Autorisierung und Überwachung binden möglicherweise fehl, wenn der Richtlinienname länger als der Name der Intranetanwendung ist.

[NSHELP-25971]
Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

[ NSHELP-563 ]
Das LoginSchema DualAuthPushOrOTP.xml wird im Anmeldeschema-Editor-Bildschirm der Citrix ADC-GUI nicht korrekt angezeigt.

[ NSAUTH-6106 ]
Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird.
show adfsproxyprofile <profile name>

Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Er zeigt den Status des Proxyprofils an.

[ NSAUTH-5916 ]

Zwischenspeichern

Eine Citrix ADC-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

[NSHELP-22942]

Citrix ADC SDX-Appliance

Wenn auf einer Citrix ADC SDX-Appliance die CLAG auf einer Mellanox-Netzwerkkarte erstellt wird, wird der CLAG-MAC geändert, wenn die VPX-Instanz neu gestartet wird. Der Datenverkehr zur VPX-Instanz stoppt nach dem Neustart, da die MAC-Tabelle den alten CLAG-MAC-Eintrag enthält.

[ NSSVM-4333 ]

Citrix Gateway

Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

[ NSHELP-28551 ]
Manchmal wird ein Benutzer innerhalb weniger Sekunden bei Citrix Gateway abgemeldet, wenn das Timeout im Leerlauf des Clients festgelegt ist.

[ NSHELP-28404 ]
Das Citrix Gateway-Gerät stürzt möglicherweise bei der Verarbeitung vom Server initiierten UDP-Datenverkehr ab.

[ NSHELP-27611 ]
Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn Async blockiert ist und Sie die Richtlinienkonfiguration für den Content Switching ändern.

[NSHELP-27570]
Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn in der Sitzungsrichtlinie eine unbekannte VPN-Clientoption festgelegt ist

[NSHELP-27380]
Wenn Sie den FQDN als Proxy auf der Seite “Citrix Gateway-Verkehrsprofil erstellen” eingeben, wird die Meldung “Ungültiger Proxywert” angezeigt.

[ NSHELP-26613 ]
Die Citrix ADC-Appliance stürzt ab, wenn eine der folgenden Bedingungen eintritt:
- Die Syslog-Aktion wird mit dem Domänennamen konfiguriert und Sie löschen die Konfiguration über die GUI oder der CLI.
- Die Hochverfügbarkeitssynchronisierung erfolgt auf dem sekundären Knoten.
Workaround:

Erstellen Sie eine Syslog-Aktion mit der IP-Adresse des Syslog-Servers anstelle des Domänennamens des Syslog-Servers.

[ NSHELP-25944 ]
Beim Erstellen eines RDP-Clientprofils über die Citrix ADC GUI wird eine Fehlermeldung angezeigt, wenn die folgenden Bedingungen erfüllt sind:
- Ein standardmäßiger Pre-Shared Key (PSK) ist konfiguriert.
- Sie versuchen, den Gültigkeitszeitgeber für RDP-Cookies im Feld RDP-Cookie-Gültigkeit (Sekunden) zu ändern.
[ NSHELP-25694 ]
Der Gateway Insight zeigt keine genauen Informationen über die VPN-Benutzer an.

[ NSHELP-23937 ]

Die Befehlsausgabe “show tunnel global” enthält erweiterte Richtliniennamen. Zuvor wurden in der Ausgabe die erweiterten Richtliniennamen nicht angezeigt.

Beispiel:

Neue Ausgabe:

 > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0

 Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
 Priority: 1  
 Global bindpoint: REQ_DEFAULT

 Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
 Priority: 100  
 Global bindpoint: RES_DEFAULT  
 Done  
 >
 <!--NeedCopy-->

Vorherige Ausgabe:

 > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

 Advanced Policies:

 Global bindpoint: REQ_DEFAULT  
 Number of bound policies: 1

 Done
 <!--NeedCopy-->

[ NSHELP-23496 ]

Manchmal erscheint beim Durchsuchen von Schemas die Fehlermeldung “Cannot read property ‘type’ of undefined”.

[ NSHELP-21897 ]
Ein Fehler beim Start der Anwendung aufgrund eines ungültigen STA-Tickets wird in Gateway Insight nicht gemeldet.

[ CGOP-13621 ]
Im Gateway Insight-Bericht wird fälschlicherweise der Wert “Local” statt “SAML” im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

[ CGOP-13584 ]
In einem Hochverfügbarkeitssetup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

[ CGOP-13511 ]
Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

[ CGOP-13050 ]
Der Text “Homepage” in der Citrix SSO-App > Startseite ist für einige Sprachen gekürzt.

[ CGOP-13049 ]
Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die Citrix ADC-GUI hinzufügen oder bearbeiten.

[ CGOP-11830 ]
Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem kritischen Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

[ CGOP-7269 ]

Lastausgleich

In einem Hochverfügbarkeitssetup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

[ NSLB-7679 ]
In einem Cluster-Setup wird die IP-Adresse des GSLB-Dienstes nicht in der GUI angezeigt, wenn über virtuelle GSLB-Serverbindungen zugegriffen wird. Dies ist nur ein Anzeigeproblem und es hat keine Auswirkungen auf die Funktionalität.

[ NSHELP-20406 ]

Netzwerke

Eine Citrix ADC BLX-Appliance im DPDK-Modus kann abstürzen, wenn ein Web Application Firewall-Profil mit erweiterten Sicherheitsschutzprüfungen konfiguriert ist.

Problemumgehung: Entfernen Sie die erweiterte Sicherheitsschutzkonfiguration für WAF.

[NSNET-22654]
In einer Citrix ADC BLX-Appliance funktioniert NSVLAN, das an markierte Nicht-DPDK-Schnittstellen gebunden ist, möglicherweise nicht wie erwartet. NSVLAN, das an ungetaggte Nicht-DPDK-Schnittstellen gebunden ist, funktioniert einwandfrei.

[NSNET-18586]
Nach einem Upgrade von Citrix ADC BLX Appliance 13.0 61.x Build auf 13.0 64.x Build gehen die Einstellungen in der BLX-Konfigurationsdatei verloren. Die BLX-Konfigurationsdatei wird dann auf die Standardeinstellungen zurückgesetzt.

[NSNET-17625]
Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer Citrix ADC BLX-Appliance mit DPDK nicht unterstützt:
- Deaktivieren
- Smartcard
- Reset
[NSNET-16559]
Auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) wird eine Citrix ADC BLX-Appliance unabhängig von den Einstellungen der BLX-Konfigurationsdatei (“/etc/blx/blx.conf”) immer im Shared-Modus bereitgestellt. Dieses Problem tritt auf, weil “mawk”, das auf Debian-basierten Linux-Systemen standardmäßig vorhanden ist, einige der in der Datei “blx.conf” enthaltenen awk-Befehle nicht ausführt.

Problemumgehung: Installieren Sie “gawk”, bevor Sie eine Citrix ADC BLX-Appliance installieren. Sie können den folgenden Befehl in der Linux-Host-CLI ausführen, um “gawk” zu installieren:
- apt-get install gawk
[NSNET-14603]
Die Installation einer Citrix ADC BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

“The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable”

Problemumgehung: Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine Citrix ADC BLX-Appliance installieren:
- dpkg — Architektur hinzufügen i386
- apt-get update
- apt-get dist-upgrade
- apt-get install libc6:i386
[NSNET-14602]
In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:
- Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.
Problemumgehung: Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Status “Synchronisierung erfolgreich”).

[ NSHELP-25598 ]
In einem Hochverfügbarkeits-Setup wird die SNIP-Adresse mit aktiviertem dynamischem Routing beim Neustart nicht für vtysh verfügbar gemacht, wenn die folgende Bedingung erfüllt ist:
- Eine für dynamisches Routing aktivierte SNIP-Adresse ist an das freigegebene VLAN in einer nicht standardmäßigen Partition gebunden.
Als Teil des Fix erlaubt die Citrix ADC-Appliance jetzt nicht, eine für dynamische Routing aktivierte SNIP-Adresse an das freigegebene VLAN in einer nicht standardmäßigen Partition zu binden

[NSHELP-24000]

Plattform

Wenn Sie von 13.0/12.1/11.1-Builds auf einen 13.1-Build oder ein Downgrade von einem 13.1 Build auf 13.0/12.1/11.1-Builds aktualisieren, werden einige Python-Pakete nicht auf den Citrix ADC-Appliances installiert. Dieses Problem wurde für die folgenden Citrix ADC-Versionen behoben:
- 13.1-4.x
- 13.0-82.31 und später
- 12.1-62.21 und später
Die Python-Pakete werden nicht installiert, wenn Sie die Citrix ADC-Versionen von 13.1-4.x auf eine der folgenden Versionen herunterstufen:
- Jeder 11.1-Build
- 12.1-62,21 und früher
- 13.0-81.x und früher
[NSPLAT-21691]

Richtlinien

Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße.

Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

[ NSPOLICY-1267 ]

SSL

Auf einem heterogenen Cluster von Citrix ADC SDX 22000 und Citrix ADC SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

Workaround:
1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Zum Beispiel set ssl vserver <name> -SSL3 DISABLED.
2. Speichern Sie die Konfiguration.
[NSSSL-9572]
Der Update-Befehl ist für die folgenden Befehle zum Hinzufügen nicht verfügbar:
- add azure application
- add azure keyvault
- add ssl certkey with hsmkey option
[NSSSL-6484]
Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

[NSSSL-6478]
Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

[NSSSL-6213]
Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.
FEHLER: CRL-Aktualisierung deaktiviert

[NSSSL-6106]
Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

[NSSSL-4427]
Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird eine falsche Warnmeldung mit dem Titel “Warnung: Keine verwendbaren Verschlüsselungen konfiguriert auf dem SSL vserver/service” angezeigt.

[NSSSL-4001]
Eine Citrix ADC-Appliance stürzt bei der Verarbeitung einer HTTP-Anfrage ab, wenn die Richtlinienaktion für eine Richtlinie, die bereits am Anforderungsbindungspunkt gebunden ist, auf “Forward” gesetzt ist.

[ NSHELP-29115 ]
Wenn in einem Clustersetup zwei installierte Zertifikate Aussteller eines Serverzertifikats mit der OCSP AIA-Erweiterung sind, ist die Appliance nicht mehr erreichbar, wenn Sie das Serverzertifikat entfernen.

[ NSHELP-28058 ]
In einem Hochverfügbarkeits-Setup schlägt die automatische CRL-Aktualisierung zeitweise fehl, wenn beide der folgenden Bedingungen erfüllt sind:
- Dateien werden vom primären Knoten zum sekundären Knoten synchronisiert.
- Die CRL-Datei wird gleichzeitig vom CRL-Server heruntergeladen.
[ NSHELP-27435 ]
Der Name des CA-Zertifikats, der die CRL ausgestellt hat, wird auf 32 Zeichen gekürzt, obwohl ein Zertifikatsschlüsselname bis zu 64 Zeichen lang sein kann. Dieses Problem tritt auf, weil das CRL-Feld eine Begrenzung von 32 Zeichen hat.

[NSHELP-26986]

System

Die TCP-Option für die Verbindungsverkettung wird zu den Citrix ADC RPC-Verbindungen hinzugefügt. Das Problem verursacht ein Interoperabilitätsproblem mit der Kommunikation von GSLB-Standorten.

[NSHELP-27417]
Erhöhte Neuübertragungen von Paketen sind in öffentlichen Cloud-MPTCP-Cluster-Bereitstellungen zu beobachten, wenn Linkset deaktiviert ist.

[NSHELP-27410]
Eine Citrix ADC-Appliance sendet möglicherweise ein ungültiges TCP-Paket zusammen mit TCP-Optionen wie SACK-Blöcken, Zeitstempel und MPTCP-Daten-ACK bei MPTCP-Verbindungen.

[NSHELP-27179]
Eine Nichtübereinstimmung in Logstream-Datensätzen wird in der Citrix ADC-Appliance und im Datenlader beobachtet.

[NSHELP-25796]
In einem seltenen Fall sendet eine Citrix ADC-Appliance möglicherweise falsche TCP-SACK-Folgennummern an den Client, wenn sie vom Backend-Server weitergeleitet wird. Das Problem tritt auf, wenn die Option TCP Selective ACK (SACK) in einem TCP-Profil aktiviert ist.

[ NSHELP-24875 ]
In einem Cluster-Setup funktioniert der Befehl “set ratecontrol” erst nach dem Neustart der Citrix ADC-Appliance.

Problemumgehung: Verwenden Sie den Befehl nsapimgr_wr.sh -ys icmp_rate_threshold=<new value>.

[ NSHELP-21811 ]
Bei der Verarbeitung großer Ströme von gRPC-Verkehr steigt das angekündigte TCP-Fenster exponentiell an, was zu einer hohen Speichernutzung führt.

[NSBASE - 15447]

Benutzeroberfläche

In der GUI des KomprimierungsRichtlinien-Managers kann eine KomprimierungsRichtlinie nicht an ein HTTP-Protokoll gebunden werden, indem ein relevanter Verbindungspunkt und Verbindungstyp angegeben wird.

[NSUI-17682]
Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

Problemumgehung: Konfigurieren Sie Cloudbridge-Connectors, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln mithilfe der Citrix ADC GUI oder CLI hinzufügen.

[NSUI-13024]
Nach dem Upgrade eines Hochverfügbarkeitssetups oder eines Cluster-Setups auf Version 13.0 Build 74.14 oder höher schlägt die Konfigurationssynchronisierung möglicherweise aus folgendem Grund fehl:
- Sowohl die privaten als auch die öffentlichen Schlüssel “ssh_host_rsa_key” sind ein falsches Paar.
Problemumgehung: Generieren Sie “ssh_host_rsa_key” neu. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX322863.

[NSHELP-27834]
Sie können einen Dienst oder eine Dienstgruppe nicht über die Citrix ADC GUI an einen virtuellen Lastausgleichsserver mit Priorität binden.

[ NSHELP-27252 ]
In einer Citrix ADC VPX Appliance schlägt ein festgelegter Kapazitätsvorgang möglicherweise nach dem Hinzufügen eines Lizenzservers fehl. Das Problem tritt auf, weil die Initialisierung der Flexera-bezogenen Komponenten aufgrund der großen Anzahl unterstützter Lizenzen für das Ein- und Auschecken vom Typ “Typ” (CICO) länger dauert, um zu initialisieren.

[ NSHELP-23310 ]
Das Hochladen und Hinzufügen einer Zertifikatsperrlistendatei (CRL) schlägt in einer Admin-Partitionseinrichtung fehl.

[NSHELP-20988]
Wenn Sie eine Citrix ADC-Appliance Version 13.0-71.x auf einen früheren Build herunterstufen, funktionieren einige Nitro-APIs aufgrund der Änderungen der Dateiberechtigung möglicherweise nicht.

Problemumgehung: Ändern Sie die Berechtigung für “/nsconfig/ns.conf” auf 644.

[NSCONFIG-4628]
Manchmal dauert es lange, bis die Firewall-Signaturen der Anwendung mit Nicht-CCO-Knoten synchronisiert werden. Daher können Befehle, die diese Dateien verwenden, fehlschlagen.

[NSCONFIG-4330]
Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften Citrix ADC-Appliance anmelden.
1. Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds:
  - Build 13.0 52.24
  - Build 12.1 57.18
  - Build 11.1 65.10
2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
3. Downgrade der Citrix ADC-Appliance auf einen älteren Build.
Um die Liste dieser Systembenutzer mithilfe der CLI anzuzeigen: Geben Sie
in der Befehlszeile Folgendes ein:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Workaround:

Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:
- Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mit einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herunter.
- Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
- Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.
Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

[NSCONFIG-3188]

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

Versionshinweise für Citrix ADC 13.0-71.44 Release

May 11, 2023

Beitrag von:

May 11, 2023

Beitrag von: