ADC

Versionshinweise für Citrix ADC 13.0-76.31 Release

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die Citrix ADC-Version Build 13.0-76.31 bestehen.

Hinweise

  • Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste der sicherheitsbezogenen Fixes und Advisorys finden Sie im Citrix Security Bulletin.
  • Build 76.31 ersetzt Build 76.29
  • Zusätzlicher Fix in Build 76.31: NSAUTH-10135
  • Ein weiteres bekanntes Problem wurde in den Versionshinweisen Version 2.0 hinzugefügt: NSNET-21173

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.0-76.31 verfügbar sind.

Authentifizierung, Autorisierung und Auditing

  • Rewrite Policy-Unterstützung für von Citrix ADC und Citrix Gateway generierte Antworten, einschließlich 401- und 407-Antworten

    Mit der Implementierung des CSP-Headers wurde die Unterstützung für Rewrite-Richtlinien nun auf virtuelle Citrix Gateway-Server und vom virtuellen Authentifizierungsserver generierte Antworten ausgedehnt, einschließlich 401- und 407-Antworten.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/aaa-rewrite.html

    [NSAUTH-8809]

  • Unterstützung für standardmäßige sichere CSP-Header- und Rewrite-Richtlinien für von Citrix ADC und Citrix Gateway generierte Antworten

    Die folgenden Funktionen wurden jetzt dem virtuellen Citrix Gateway-Server und dem virtuellen Authentifizierungsserver hinzugefügt.

    • Infrastruktur zum Umschreiben von Richtlinien für von Citrix ADC generierte Antworten
    • Konfigurationsunterstützung für einen sicheren Standard-CSP-Header

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/aaa-rewrite.html

    [ NSAUTH-1421 ]

Bot-Verwaltung

  • Bot-Verwaltung mit ADM StyleBooks

    Sie können jetzt mithilfe von ADM StyleBooks die Bot-Verwaltungseinstellungen auf Ihren ADC-Instanzen konfigurieren. Das ADM bietet Ihnen ein Standard-StyleBook (“Bot-Management”), um die Konfiguration von Bot-Richtlinien zu erstellen. Es enthält viele Kriterien, die die Eigenschaften von Bad Bots beschreiben. Die ADC-Instanzen verwenden diese Konfiguration, um solche Bot-Bedrohungen und bösartigen Traffic zu identifizieren und zu blockieren.

    [NSBOT-84]

  • Bot-Log-Ausdruck

    Mit dem Citrix-Botverwaltungsprofil können Sie jetzt zusätzliche Daten als Protokollnachrichten erfassen, wenn der eingehende Verkehr als Bot identifiziert wird. Die Daten können der Name des Benutzers sein, der die URL angefordert hat, die Quell-IP-Adresse und der Quellport, von dem der Benutzer die Anfrage gesendet hat.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html

    [NSBOT-49]

  • Extraktion von Client-IP-Adressen zur Bot-Erkennung

    Sie können jetzt einen erweiterten Richtlinienausdruck in einem Bot-Profil konfigurieren, um die Client-IP-Adresse aus einem HTTP-Anforderungsheader, einem HTTP-Anforderungstext oder einer HTTP-Anforderungs-URL zu extrahieren. Der extrahierte Wert kann von einem Bot-Erkennungsmechanismus (z. B. Transaktion pro Sekunde (TPS), Bot-Trap oder Ratenlimit) verwendet werden, um zu erkennen, ob es sich bei einer eingehenden Anfrage um einen Bot handelt.

    Durch das Hinzufügen dieser Konfiguration kann die Citrix ADC-Appliance den Bot-Erkennungsmechanismus nutzen, um Softwareclients und -servern zu verbessern.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html

    [NSBOT-48]

Citrix ADC SDX-Appliance

  • Auf einer Citrix ADC SDX-Appliance kann der Standard-Administratorzugriff (nsroot) deaktiviert werden, indem die externe Authentifizierung konfiguriert und der Fallback zum Standard-Administratorzugriff deaktiviert wird. Wenn die externen Server jedoch nicht reagieren, wird der standardmäßige Administratorzugriff (lokale Authentifizierung) automatisch aktiviert, um den Zugriff auf die Appliance wiederzugewinnen.

    [NSSVM-4276]

  • Auf der Citrix ADC SDX-Appliance kann der Lizenzserver so geändert werden, dass er neue Details bereitstellt, ohne die ADC-Instanzen zu entlizenzieren.

    [NSSVM-2939]

Citrix Gateway

  • Anzeige des Status von nFactor EPA-Scans in den Citrix ADC-Protokollen

    Die Citrix ADC-Appliance protokolliert den Status der nFactor EPA-Scans für die Vor- und Nachauthentifizierung zusammen mit der Fall-ID. Die Fallnummer wird dem Endbenutzer auf der EPA-Fehler-HTML-Seite angezeigt. Die Fall-ID wird zusammen mit allen Scans, die bestanden oder fehlgeschlagen sind, ebenfalls in der Appliance protokolliert.

    [CGOP-12110]

Citrix Web App Firewall

Lastausgleich

  • Reduzierung des Zeitaufwands für die Synchronisation der GSLB-Konfiguration zwischen den GSLB-Standorten

    Die Zeit, die für die Synchronisation der GSLB-Konfiguration zwischen den GSLB-Standorten benötigt wird, wird jetzt erheblich reduziert, da Dateien, die mit Remote-Sites synchronisiert werden, komprimiert werden.

    [ NSLB-7399 ]

  • Umstellung der GSLB-Dienste in eine Lernphase, um Probleme bei GSLB-Diensten zu vermeiden

    Der Parameter svcStateLearningTime kann nun verwendet werden, um die lokalen und untergeordneten GSLB-Dienste in die Lernphase zu verschieben, um unnötige Fehler auf entfernten GSLB-Standorten zu vermeiden. Wenn sich ein Dienst in einer Lernphase befindet, berücksichtigen die externen GSLB-Standorte nicht den Status des primären Standorts und die von MEP für diesen Dienst erhaltenen Statistiken. Der Zustand der Standorte kann jedoch dem Gesundheitscheck entnommen werden, sofern eine explizite Bindung besteht.
    Sie können SvcStateLearningTime in Sekunden festlegen. Der Standardwert ist 0 und der Maximalwert beträgt 3600.
    GSLB-Dienste treten in jedem der folgenden Szenarien in die Lernphase ein.

    • Citrix ADC-Appliance wird neu gestartet
    • Ein Failover mit hoher Verfügbarkeit ist aufgetreten
    • Owner-Knoten in einem Cluster GSLB-Setup wird geändert
    • MEP ist auf einem lokalen Knoten aktiviert
    • Die GSLB-Site kommt aus dem Inselszenario heraus. Eine GSLB-Site wird zur Insel, wenn sie mit keiner anderen Site verbunden ist.

    Bei einer Eltern-Kind-Bereitstellung verschiebt das Ersatz-Elternteil (sofern konfiguriert) die GSLB-Dienste des adoptierten Kindes selektiv in die Lernphase, wenn das primäre Elternteil AUSFÄLLT.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/global-server-load-balancing/configuring-metrics-exchange-protocol.html

    [NSLB-6707]

Netzwerke

  • Hochverfügbare Versionskontrolle für Änderungen der Kontostruktur

    In einem Hochverfügbarkeits-Setup verwendet der ISSU-Prozess das Knoten-zu-Knoten-TCP-Kommunikationsframework, um die vorhandenen Verbindungen zu synchronisieren oder zu berücksichtigen.

    Die Appliances können während des ISSU-Prozesses abstürzen, wenn die Framework-Strukturgröße in den beiden Knoten nicht übereinstimmt.

    Mit dem Fix führt die Citrix ADC-Appliance die ISSU-Migration nur aus, wenn die Größe der Framework-Struktur auf beiden Knoten gleich ist.

    Wenn die Strukturgröße nicht übereinstimmt, führt die Citrix ADC-Appliance den ISSU-Migrationsvorgang nicht aus und zeigt eine Fehlermeldung an.

    [NSNET-15370]

Plattform

  • Unterstützung für Citrix ADC VPX-Konfigurationen beim ersten Start der Citrix ADC-Appliance in Azure-, GCP- und AWS-Clouds

    Sie können jetzt die Citrix ADC VPX-Konfigurationen beim ersten Start der Citrix ADC-Appliance in einer Cloud-Umgebung anwenden. In bestimmten Fällen, wie z. B. bei der gepoolten Citrix ADC-Lizenzierung, wird die VPX-Instanz mit dieser Funktion in viel kürzerer Zeit aufgerufen. Sie können diese Funktion verwenden, indem Sie der Cloud-Instanz ein Skript, Metadaten oder Benutzerdaten im XML-Format bereitstellen. Diese Funktion ist in Microsoft Azure, Google Cloud-Plattform und AWS-Clouds verfügbar.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/apply-vpx-config-at-preboot.html

    [NSPLAT-14774]

  • Unterstützung für beschleunigtes Azure-Netzwerk auf der Citrix ADC VPX-Instanz

    Die Citrix ADC VPX-Instanz unterstützt jetzt beschleunigtes Azure-Netzwerk. Beschleunigtes Netzwerken ermöglicht eine virtuelle Netzwerkkarte (VF) mit einer virtuellen Root-I/O-Virtualisierung (SR-IOV) für eine virtuelle Maschine, wodurch die Netzwerkleistung verbessert wird. Sie können diese Funktion bei starken Workloads verwenden, die Daten mit höherem Durchsatz mit zuverlässigem Streaming und geringerer CPU-Auslastung senden oder empfangen müssen.

    Wenn eine NIC mit beschleunigtem Netzwerk aktiviert ist, bündelt Azure die vorhandene paravirtualisierte (PV) -Schnittstelle der NIC mit einer SR-IOV-VF-Schnittstelle. Die Unterstützung der SR-IOV VF-Schnittstelle ermöglicht und verbessert den Durchsatz der Citrix ADC VPX-Instanz.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/deploy-vpx-on-azure/configure-vpx-to-use-azure-accelerated-networking.html

    [ NSPLAT-13235 ]

System

  • Analysieren des Proxy-Protokolls nach dem TLS-Handshake für SSL- und SSL-TCP-Verkehr

    Gemäß RFC wird das Proxy-Protokoll nach dem letzten ACK während eines TCP-Handshakes analysiert. Die Funktionalität wurde jetzt jedoch erweitert, um das Proxy-Protokoll nach dem TLS-Handshake für SSL- und SSL-TCP-Verkehr zu analysieren. Durch das Parsen nach dem TLS-Handshake werden die Proxy-Protokolldaten TLS-verschlüsselt und sicherer. Um dieses Parsing durchzuführen, müssen Sie den Parameter “ProxyProtocolAftertlsHandshake” im Netzprofil aktivieren. Wenn Sie den Parameter aktivieren, analysiert die Appliance das Proxy-Protokoll nach dem TLS-Handshake und nicht nach dem LETZTEN ACK des TCP-Handshakes

    Konfigurieren Sie das Proxy-Protokoll nach dem TLS-Handshake mithilfe der Befehlsschnittstelle:

    Geben Sie an der Befehlszeile Folgendes ein:
    add netprofile <name> -proxyProtocolAfterTLSHandshake ENABLED wobei sich die Parameter ProxyProtocol und ProxyProtocolAfterTLSHandshake gegenseitig ausschließen.

    [NSBASE - 12491]

  • QUIC-Bridge-Bereitstellung für HTTP3/QUIC-Verkehr

    Die Citrix ADC-Appliance unterstützt jetzt die QUIC-Brückenkonfiguration für HTTP3-QUIC-Verkehr. Die Bereitstellung ermöglicht Ihnen persistente QUIC-Verbindungen zwischen Client und Server im Falle einer NAT-Neubindung oder einer Verbindungsmigration.

    Vorteile der QUIC-Brückenkonfiguration:

    • Keine teuren Kryptooperationen.
    • Zustandsloses Routing möglich (kein 4-Tupel-basiertes Loadbalancing).

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/system/quic.html

    [NSBASE - 10636]

  • Unterstützung für zusätzliche Adresswerbung (ADD_ADDR)

    Wenn Sie in einer MPTCP-Bereitstellung einen virtuellen Server haben, der an einen IP-Satz gebunden ist, der zusätzliche IP-Adressen des virtuellen Servers enthält, gibt die Funktion für zusätzliche Adressenankündigung (ADD_ADDR) die IP-Adresse der virtuellen Server an, die an den IP-Satz gebunden sind. Dieser IP-Satz ist der, auf dem der Client die neuen MP-JOIN-Subflows initiieren kann.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/system/tcp-configurations.html

    [NSBASE-9076]

Benutzeroberfläche

  • Sie können die GUI nicht verwenden, um einen externen OCSP-Responder an ein Stammzertifikat zu binden, wenn ein interner OCSP-Responder für dasselbe Stammzertifikat hinzugefügt wird.

    [NSUI-1145]

Behobene Probleme

Die Probleme, die in Build 13.0-76.31 behoben wurden.

Authentifizierung, Autorisierung und Auditing

  • In seltenen Fällen schlägt die OAuth-Authentifizierung fehl, wenn eine als OAuth IdP konfigurierte Citrix ADC-Appliance kein JWT-Token im angegebenen Format sendet.

    [NSHELP-26323]

  • Wenn sich ein Benutzer mit einem abgelaufenen Zeitstempel anmeldet, sendet die Citrix ADC-Appliance eine ungültige Postback-URL, um sich erneut anzumelden.

    [NSHELP-26285]

  • In einigen Fällen führt das Hinzufügen mehrerer EPA-bezogener AuthentifizierungsRichtlinien zu einer hohen Verwaltungs-CPU.

    [NSHELP-26281]

  • In einigen Fällen stürzt eine Citrix ADC-Appliance ab, weil eine Standardaktion an eine Richtlinie gebunden ist, die kein Anmeldeschema hat.

    [NSHELP-26192]

  • In einigen Fällen reagiert die Citrix ADC-Appliance möglicherweise nicht mehr, wenn die Benutzerauthentifizierungsinformationen nicht verfügbar sind.

    [NSHELP-26113]

  • In einigen Fällen werden Attribute wie “Sicher” und “Domain”, die im Samesite-Cookie vorhanden sind, nicht durch ein Komma getrennt, sondern als ein Attribut angezeigt.

    [NSHELP-25825]

  • In einigen Fällen kann eine Citrix ADC-Appliance abstürzen, wenn ein Benutzer versucht, ein benutzerdefiniertes EULA-Anmeldeschema zu konfigurieren.

    [NSHELP-25570]

  • Systemdefinierte Fragen im Anmeldeschema für die KBA-Registrierung werden nur in englischer Sprache angezeigt. Für diese Fragen ist keine Sprachlokalisierung verfügbar.

    [NSHELP-25484]

  • Die Citrix ADC-Appliance löscht einige gültige Anfragen, wenn sie als ADFS-Proxy fungiert.

    [NSHELP-25427]

  • Wenn eine Citrix ADC-Appliance für die nFactor-Authentifizierung konfiguriert und auf Version 13.0 aktualisiert wird, wird dem Endpunkt (Beispiel iPad), der für den Zugriff auf die Citrix ADC-Appliance verwendet wird, eine 401-basierte Authentifizierung anstelle einer formularbasierten Authentifizierung angezeigt.

    [NSHELP-25309]

  • Die Citrix ADC-Appliance stürzt ab, wenn das FIPS-Zertifikat für usercertdata konfiguriert ist.

    [NSHELP-25264]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Probleme auftreten:

    • Ungültige Speicherzuweisung.
    • Die Web App Firewall ist mit formularbasierter SSO-Authentifizierung konfiguriert.

    [NSHELP-24551]

  • Wenn ein Citrix ADC oder ein Citrix Gateway-Gerät die Kerberos-Authentifizierung verwendet, gefolgt von einem LDAP-Benutzersuchvorgang, schlägt die Authentifizierung im folgenden Szenario fehl.
    Der LDAP-Benutzerprinzipalname (UPN) unterscheidet sich von dem in einem Kerberos-Ticket bereitgestellten Benutzernamen.

    [NSHELP-24384]

  • In einigen Fällen wird die SAML-Authentifizierung unterbrochen, wenn die folgenden Bedingungen erfüllt sind:

    • Die Citrix ADC-Appliance ist als SAML SP konfiguriert.
    • “Domänen-Dropdown” ist als Faktor auf der Citrix ADC-Appliance konfiguriert.
    • SAML-Richtlinien werden auf der Grundlage von Eingaben aus dem Faktor “Domain-Drop-down-Liste” bewertet.

    [ NSAUTH-10135 ]

  • Eine Citrix ADC-Appliance antwortet mit einem 400-Fehlercode, wenn die Header-Größe einer Anfrage im Zusammenhang mit der Citrix Gateway-Benutzeroberfläche 1024 Zeichen überschreitet.

    [NSAUTH-9475]

Bot-Verwaltung

  • Neue Bot-Aktionen für die Technik zur Erkennung von Bot-Blocklisten

    “Keine” und “Umleiten” werden der Liste der Aktionen hinzugefügt, die für die Bot-Blocklist-Erkennungstechnik ausgewählt werden können.

    [NSBOT-397]

  • Die Bot-Transaktion pro Sekunde (TPS) funktioniert nicht wie erwartet.

    [NSBOT-353]

  • Wenn Sie Bot-Signaturen in einer Citrix ADC-Clusterkonfiguration bearbeiten oder aktualisieren, zeigt die Citrix ADC-Appliance den folgenden Fehler an:

    “Signaturaktualisierung fehlgeschlagen — Aktualisierung der Ressource ist fehlgeschlagen”

    [NSBOT-345]

  • Die Bot-Trap-URL wird in alle Anfragen eingefügt, einschließlich der URLs, die nicht in der Liste der Trap-Insertion-URLs definiert sind.

    [NSBOT-316]

  • Der CAPTCHA-Abwehrprozess wird nicht neu initialisiert, um Kundenanfragen nach Ablauf der Stummschaltungsperiode zu berücksichtigen.

    [NSBOT-224]

  • Bot-Trap-URL-Logs funktionieren bei Bot-Aktionen wie “Drop”, “Reset” und “Redirect” nicht wie erwartet.

    [NSBOT-184]

Caching

  • Bei der Konfiguration der Cache-Inhaltsgruppe werden ungültige Leerzeichen im Cache-Control-Header für das maximale Alter beachtet.

    [NSHELP-20066]

Citrix ADC SDX-Appliance

  • Auf der Citrix ADC SDX 8400/8600-Plattform werden bei der Zustandsüberwachung möglicherweise Kryptofehler angezeigt.

    [NSHELP-26500]

  • Auf einer Citrix ADC SDX-Appliance werden die “Geodb” -Details in den ADC-Instanzen nicht erfasst, wenn Sie eine Backup der Appliance erstellen.

    [NSHELP-26190]

  • Wenn Sie das Löschen einer Citrix ADC-Instanz initiieren, während die Instanz bereitgestellt wird, ist der FIPS-Partitionseintrag für die gelöschte Instanz möglicherweise noch in der Datenbank vorhanden.

    [NSHELP-25909]

  • Auf einer Citrix ADC SDX-Appliance kann es zu einem Kennwortkonflikt zwischen dem Management Service und einer VPX-Instanz kommen, wenn die folgenden Bedingungen gleichzeitig auftreten:

    • Das Management Service-Kennwort wurde geändert.
    • Die VPX-Instanz wird für jede Änderung geändert, z. B. an Speicher, CPU und Profil.

    [NSHELP-25709]

  • Auf einer Citrix ADC SDX-Appliance schlägt die Bereitstellung oder Wiederherstellung einer VPX möglicherweise fehl, wenn die zulässige VLAN-Liste auf einer Schnittstelle oder einem Kanal mehr als 100 Zeichen umfasst.

    [NSHELP-25702]

  • Wenn eine Citrix ADC SDX-Appliance neu gestartet wird und der Management Service vor einer ADC-Instanz angezeigt wird, geht der Management Service davon aus, dass der Instanzstatus HALTED ist. Infolgedessen fügt der Management Service die Routeneinträge für die Instance nicht hinzu und der Instanzstatus geht auf DOWN.

    [NSHELP-25674]

  • Wenn Sie eine Citrix ADC SDX-Appliance auf die Werkseinstellungen zurücksetzen, ändert sich die Host-ID der Appliance zum ersten Mal. Die Änderung erfolgt, wenn eine der folgenden Bedingungen erfüllt ist:
    1. Sie stellen eine Appliance wieder her, auf der ein Link-Aggregationskanal auf einer Verwaltungsschnittstelle konfiguriert ist.
    2. Der Link-Aggregationskanal auf einer Verwaltungsschnittstelle wird gelöscht.

    [NSHELP-25670]

  • Auf einer Citrix ADC SDX-Appliance löst der Management Service ein Ereignis aus, wenn die Speichernutzung über dem Schwellenwert länger als 15 Minuten anhält.

    [NSHELP-25668]

  • Auf einer Citrix ADC SDX-Appliance kann sich die Management Service-Host-ID ändern, wenn Sie die Link-Aggregation der Verwaltungsschnittstellen löschen. Infolgedessen könnte die Appliance-Lizenzierung beeinträchtigt werden.

    [NSHELP-25636]

Citrix Gateway

  • Manchmal schlägt der Endpoint Analysis-Scan mit dem EPA-Plug-In für macOS fehl, weil das Plug-In innerhalb von 5 Sekunden ein Timeout erreicht und der Scan daher beendet wird, bevor er abgeschlossen ist.

    [NSHELP-26305]

  • Manchmal stürzt die Citrix ADC-Appliance ab, wenn ein Trace entweder über die GUI oder die CLI gestartet wird.

    [NSHELP-26249]

  • Die Citrix ADC-Appliance stürzt möglicherweise ab, wenn die Attributgröße “rdplinkAttribute” mehr als 64 Zeichen beträgt.

    [NSHELP-26068]

  • Das Citrix Gateway-Plug-In kann keinen vollständigen Tunnel einrichten und zeigt nach Eingabe der Anmeldeinformationen den Inhalt des lokalen Laufwerks an.

    [NSHELP-25899]

  • Die Paket-Engine stürzt beim Abrufen eines ICA-Verbindungseintrags ab, wenn Sie den Befehl show icaconnection ausführen. Dieser Absturz tritt auf, weil die ICA-Verbindungsinformationen in der ICA-Verbindungsliste veraltet sind.

    [NSHELP-25420]

  • In der Citrix ADC GUI können Sie auf der Registerkarte Hinzufügen auf der Seite Authentifizierungs-, Autorisierungs- und Überwachungsgruppen das Feld Gewichte nicht bearbeiten.

    [NSHELP-25200]

  • Wenn ein FQDN für die Konfiguration von WiHome oder StoreFront über eine SSL-Verbindung verwendet wird, werden ECDHE-Chiffren während des Startvorgangs nicht ausgehandelt.

    [NSHELP-25144]

  • Die Umleitung zu ShareFile schlägt fehl, wenn Citrix Gateway für das RFWebUI-Design konfiguriert ist.

    [NSHELP-25133]

  • Citrix Gateway stürzt beim Dekodieren des CVPNv2-Pakets aufgrund einer falschen Zeichenkettenbeendigung ab.

    [NSHELP-24718]

  • In seltenen Fällen wird die Citrix Gateway-Anmeldeseite langsam geladen, wenn das Verzeichnis “nshttp_profile_ids” den Speicher füllt.

    [NSHELP-24705]

  • Eine Citrix ADC-Appliance stürzt zeitweise ab, wenn die folgenden Bedingungen erfüllt sind:

    • Ein CA-Zertifikat wird einem virtuellen VPN-Server hinzugefügt.
    • Die OCSP-Prüfung für das CA-Zertifikat ist auf dem virtuellen SSL-Server auf obligatorisch eingestellt.

    [NSHELP-24676]

  • Eine Verzögerung der Antwort von StoreFront-Servern kann zu langsamen Vorgängen im Zusammenhang mit der Citrix Gateway-Benutzeroberfläche oder zu Fehlermeldungen mit dem Hinweis “timeout at dispatch_netsvc” führen.

    [NSHELP-24437]

  • Der Befehl “show audit messages” zeigt nach der Ausführung des Befehls clear config Protokolle aller Protokollebenen anstelle des konfigurierten Log-Levels an.

    [NSHELP-24237]

  • Citrix ADM zeigt die falsche Bandbreite an, die von Benutzern verwendet wird, wenn sie mit einem VPN verbunden sind.

    [NSHELP-23855]

  • HDX Insight Insight-Daten werden in Director für einzelne Sitzungen nicht beobachtet. Das Problem tritt auf, wenn Citrix ADC App Experience (NSAP) -Sitzungen eingerichtet werden.

    [NSHELP-23834]

  • In Analytics > Gateway Insight wird unter Authentifizierung ein falscher Authentifizierungstyp angezeigt. Dieses Problem tritt auf, wenn Sie die NO_AUTHN-Aktion in der ADC-Instanz konfigurieren.

    [NSHELP-2017]

  • Ein Speicherverlust wird beobachtet, wenn HDX Insight mit erweiterter Verschlüsselung aktiviert ist.

    [CGOP-15689]

Citrix Web App Firewall

  • Fehlerantwortcode für HTML-, XML- und JSON-Anfragen

    In einer Clusterkonfiguration wird der Fehlerantwortcode für HTML-, XML- und JSON-Anfragen auf “0” statt auf “200” gesetzt, wenn das Profil standardmäßig als erweitert oder einfach konfiguriert ist.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/application-firewall/top-level-protections/profiles/custom-error-status-and-message-for-html-xml-json-error-object.html

    [NSWAF-7275]

  • Während eines Cluster-Upgrades kann eine Citrix ADC-Appliance abstürzen, wenn die Größe des Sitzungsschlüssels nicht den Erwartungen entspricht.

    [NSWAF-7080]

  • In Stylebook wird ein Auditfehler beobachtet, wenn der Parameter für die Feldkonsistenz ohne Sitzung auf “Postonly” gesetzt ist.

    [NSWAF-6894]

  • Die Signatur-URL wird geändert, nachdem Sie die Citrix ADC-Clusterkonfiguration aktualisiert haben.

    [NSWAF-6844]

  • Der aslearn-Prozess wird nicht automatisch gestartet, nachdem die Citrix ADC-Appliance abgestürzt ist.

    [NSWAF-6766]

  • In einer Citrix ADC-Appliance funktionieren die Relaxationsregeln für das Hochladen von Dateien für mehrere Dateitypen nicht wie erwartet.

    [NSHELP-26313]

  • Die SSL-Dienste für Loadbalancing und Content Switching reagieren aufgrund des hohen Speicherverbrauchs auf einer Citrix ADC-Appliance nicht.

    [NSHELP-25587]

  • Ein Nitro-API-GET-Aufruf, der Lerndaten für XMLWsicheck abruft, gibt Nulldaten in der Antwort zurück.

    [NSHELP-25550]

  • Die Citrix Web App Firewall Learn Engine lernt möglicherweise fälschlicherweise Nullwerte für die Parameter “Value Type” und “Value”, wenn die Schutzfunktionen “CheckRequestHeaders” und “HTML SQLi” aktiviert sind.

    [NSHELP-25549]

  • Die SOAP-Envelope-Validierung schlägt möglicherweise für XML-Daten fehl.

    [NSHELP-24412]

Lastausgleich

  • Das Speicherlimit für SSL-Sitzungs-IDs wurde erhöht, um den maximalen Persistenzeinträgen von SSL-Sitzungs-IDs von 1,66 MB pro Paket-Engine Rechnung zu tragen. Bisher war die Anzahl der SSL-Sitzungs-ID-Einträge aufgrund des Speicherlimits auf 1,06 Mio. begrenzt.

    [NSLB-7796]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, während die Richtlinienbindungen für den Content Switching angezeigt werden, wenn die folgenden Bedingungen erfüllt sind:

    • Die Cookie-Persistenz ist auf dem virtuellen Content Switching-Server aktiviert.
    • Der virtuelle Zielserver ist vom Typ VPN.

    [NSHELP-25652]

  • Wenn in der Antwort auf eine DNS-Monitorprobe eine verkürzte Antwort empfangen wird, wird die nachfolgende DNS-Monitorprobe nicht an einen TCP-Namenserver gesendet.

    [NSHELP-25527]

  • Eine Citrix ADC-Appliance kann beim Aktualisieren der Autoscale-Mitglieder der GSLB-Dienstgruppe abstürzen, wenn sowohl GSLB- als auch Nicht-GSLB-Dienstgruppen konfiguriert sind.

    [NSHELP-25361]

  • Die benutzerdefinierten Ortseinträge werden möglicherweise entfernt, wenn Sie die Befehle add locationfile oder add locationfile6” in einem Hochverfügbarkeits-Setup ausführen.

    [NSHELP-23775]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die DNS-Protokollierung aktiviert ist und eine fehlerhafte DNS-Abfrage empfangen wird.

    [NSHELP-21959]

Netzwerke

  • In einem deterministischen Large Scale NAT (LSN) -Setup wird das folgende Problem beobachtet, nachdem Sie die Citrix ADC-Appliance von Version 11.1 auf Version 12.1 oder Version 13.0 aktualisiert haben.

    Die NAT-IP-Adressen und Portblöcke werden auf der Grundlage der ZuweisungsRichtlinie “IPADDRS” und nicht auf der Grundlage der ZuweisungsRichtlinie “PORTS” zugewiesen.

    Der Typ “PORTS” war die einzige deterministische ZuweisungsRichtlinie, die in Version 11.1 standardmäßig ohne Konfigurationsoption vorhanden war.

    Der Typ “IPADDRS” ist in Version 12.1 oder Version 13.0 als standardmäßige deterministische ZuweisungsRichtlinie festgelegt.

    Daher wird eine deterministische LSN-Konfiguration mit der ZuweisungsRichtlinie “PORTS” während des Citrix ADC-Upgrade-Vorgangs in die “IPADDRS” -ZuweisungsRichtlinie umgewandelt.

    Im Rahmen des Fixes ist die standardmäßige deterministische ZuweisungsRichtlinie in den folgenden Versionen jetzt auf “PORTS” festgelegt:

    • Version 12.1 Build 61.18 und höher
    • Version 13.0 Build 76.x und höher

    [NSNET-19469]

  • Das Hinzufügen eines Knotens zu einem Cluster-Setup kann fehlschlagen, wenn alle folgenden Bedingungen erfüllt sind:

    • Die CLIP-Adresse und die NSIP-Adresse des Knotens, der verbunden werden soll, sind gleichgültige Netzwerke.
    • Eine SNIP-Adresse, die in dem zu verbindenden Knoten vorhanden ist, hat dieselbe Netzwerkadresse wie die CLIP-Adresse.
    • Beim Hinzufügen des Knotens zum Cluster-Setup wird die Verbindung mit SNIP als Quell-IP-Adresse und CLIP als Ziel-IP-Adresse initiiert.
    • Die CLIP-Adresse setzt die Verbindung zurück.

    [NSNET-18438]

  • Eine Citrix ADC BLX-Appliance mit mehr als einer Paket-Engine generiert möglicherweise keine SNMP-Trap-Nachrichten.

    [NSNET-11296]

  • In einem Hochverfügbarkeits-Setup kann der sekundäre Knoten möglicherweise nicht auf die IP-Adressen auf dem primären Knoten zugreifen, wenn die folgende Bedingung erfüllt ist:

    • Eine VMAC-Adresse, die eine Schnittstelle verwendet, über die der primäre Knoten mit dem sekundären Knoten kommuniziert.

    [NSHELP-25747]

  • Die FTP- und SFTP-Loadbalancing-Konfiguration mit aktiviertem USIP funktioniert in einer Citrix ADC-Appliance aus dem folgenden Grund möglicherweise nicht richtig:

    Interne Flags werden in den clientseitigen Sitzungsinformationen nicht gesetzt, was zu Portlecks bei falschen IP-Adressen für FTP- und SFTP-Load-Balancing-Sitzungen führt.

    [NSHELP-25569]

  • In einem Cluster-Setup können RNAT-Konfigurationen für den FTP-Datenverkehr zeitweise fehlschlagen.

    [NSHELP-25566]

  • Die Citrix ADC-Appliance stürzt möglicherweise aufgrund eines internen Speichersynchronisierungsproblems im LSN-Modul ab.

    [NSHELP-25105]

  • In einem Hochverfügbarkeits-Setup kann der sekundäre Knoten nach einem Neustart abstürzen, wenn die folgenden Bedingungen erfüllt sind:

    • Eine große Anzahl aktiver LSN-Sitzungen ist im primären Knoten vorhanden
    • Der Pitboss-Prozess stürzt während des Synchronisationsprozesses dieser großen Anzahl von LSN-Sitzungen im sekundären Knoten ab und wird neu gestartet

    [NSHELP-25068]

  • In einem Cluster-CLAG-Setup treten möglicherweise die folgenden Probleme auf, wenn die Monitor-Sonde des neuen aktiven Knotens (passiv bis aktiv) ND6 sendet, bevor der CLAG AKTIV ist:

    • Die ND6-Anfrage vom neuen aktiven Knoten schlägt kontinuierlich fehl.
    • Einige der Dienste, die dem neuen aktiven Knoten gehören, sind ausgefallen.

    [NSHELP-25010]

  • Bei einer PBR6-Regel ohne direkte Route zum nächsten Hop verwirft die Citrix ADC-Appliance möglicherweise fälschlicherweise verarbeitete RNAT6-Pakete mit einem Fehler.

    [NSHELP-24632]

  • In einem Hochverfügbarkeits-Setup kann das SNMP-Modul aufgrund der unsachgemäßen Verarbeitung von Daten durch die Paket-Engines und internen Netzwerkmodule wiederholt abstürzen.
    Dieser wiederholte Absturz des SNMP-Moduls löst einen HA-Failover aus.

    [NSHELP-24434]

Plattform

  • Eine Citrix ADC VPX-Instanz stürzt ab, wenn auf 50G- und 100G-Schnittstellen häufige Link-Flaps auftreten.

    [NSPLAT-16852]

  • Unterstützung für neue Citrix ADC SDX-Hardwareplattformen

    Diese Version unterstützt jetzt die folgenden neuen Plattformen:

    [NSPLAT-12815]

  • Auf einer Citrix ADC SDX-Appliance kann der Datenverkehr zur ADC-Instanz unterbrochen werden, wenn die Schnittstellenverbindung unterbrochen wird und die Schnittstelle gleichzeitig zurückgesetzt wird.

    [NSHELP-26307]

  • Das Binden eines VLAN an einen Link-Aggregationskanal schlägt fehl, wenn das VLAN mit mehr als 40 Partitions-MAC-Adressen verknüpft ist.

    [NSHELP-25308]

  • Auf den Citrix ADC SDX 14000- und SDX 25000-Plattformen wird kein Core-Dump über die Schaltfläche Non-Maskable Interrupt (NMI) für das Lights Out Management generiert.

    [NSHELP-25091]

  • Das Upgrade einer Citrix ADC SDX-Appliance schlägt möglicherweise fehl, wenn die /var/sdx-Partition nicht im Citrix Hypervisor gemountet ist.

    [NSHELP-24847]

Richtlinien

  • Die Policy-Stringmap funktioniert möglicherweise nicht, wenn UTF-8-Zeichen im Schlüsseltext verwendet werden.

    [NSHELP-25357]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen eingehalten werden:

    • Die maximale Header-Länge eines HTTP-Profils ist auf 61440 Byte festgelegt.
    • Der Richtlinienausdruck “HTTP.REQ.URL” wird bei einer Anfrage mit einer URL-Länge von mehr als 61440 Byte verarbeitet.

    [NSHELP-24476]

  • Eine Citrix ADC-Appliance stürzt möglicherweise während der ASYNC-Wiederherstellung ab, nachdem Sie versuchen, eine Richtlinie an ein Label mit einer Priorität zu binden, in der bereits eine andere Richtlinie gebunden ist.

    [NSHELP-18493]

SSL

  • In einem Cluster-Setup erfüllen einige Clusterknoten möglicherweise die Wiederverwendungsanforderung eines Sitzungstickets nicht, aber der vollständige SSL-Handshake ist erfolgreich.

    [NSSSL-3161]

  • Eine Citrix ADC-Appliance kann den Kern abwerfen, wenn die folgenden Bedingungen erfüllt sind:

    • Das Gerät hat wenig Speicher.
    • DTLS ist aktiviert.
    • Das DEBUG-Level-Log ist aktiviert.

    [NSHELP-26114]

  • Wenn die Option für ein sicheres Kennwort auf einer Citrix ADC-Appliance aktiviert ist, werden kennwortgeschützte Zertifikatsschlüsselpaare möglicherweise nicht hinzugefügt. Mit diesem Fix werden die kennwortgeschützten Zertifikatsschlüsselpaare immer erfolgreich hinzugefügt. Ein Downgrade auf einen früheren Build führt jedoch dazu, dass die Konfiguration des Zertifikatsschlüssels verloren geht.
    Außerdem wird in der NITRO-API-Antwort für Zertifikatschlüsselpaare die Passplain-Variable anstelle der Passcrypt-Variablen gesendet.

    [NSHELP-25675]

  • Bei Verwendung der SSL-Weiterleitung auf einer MPTCP-Verbindung zeigen die folgenden Zähler einen großen Wert an:

    • MPTCP-Sitzungszähler auf dem weitergeleiteten virtuellen Server.
    • Aktueller Client-Verbindungszähler auf dem ursprünglichen virtuellen Server.

    Wenn die Verbindung vom ursprünglichen virtuellen Server an den weitergeleiteten virtuellen Server weitergeleitet wird, wird der MPTCP-Sitzungszähler auf dem weitergeleiteten virtuellen Server nicht inkrementiert. Wenn die MPTCP-Verbindung jedoch freigegeben wird, wird der Zähler dekrementiert. Infolgedessen wird der Wert für den Zähler negativ.

    Wenn die Verbindung vom ursprünglichen virtuellen Server an den weitergeleiteten virtuellen Server weitergeleitet wird, wird der aktuelle Client-Verbindungszähler auf dem ursprünglichen virtuellen Server falsch dekrementiert. Infolgedessen wird der Wert für den Zähler negativ.

    Die Zählerwerte werden nun wie folgt berechnet:

    Zähler: Aktuelle Client-Verbindungen

    • Wert auf dem ursprünglichen virtuellen Server: Reguläre TCP-Verbindungen + MPTCP-Unterflüsse in einem beliebigen Bundesstaat
    • Wert auf dem weitergeleiteten virtuellen Server (SSL-Weiterleitung): Reguläre TCP-Verbindungen in einem beliebigen Bundesstaat

    Zähler: Aktuelle Client-Testverbindungen

    • Wert auf dem ursprünglichen virtuellen Server: Reguläre TCP-Verbindungen + MPTCP-Unterflussverbindungen im etablierten Zustand
    • Wert auf dem weitergeleiteten virtuellen Server (SSL-Weiterleitung): Reguläre TCP-Verbindungen im etablierten Zustand

    Zähler: Aktuelle Multipath-TCP-Subflows

    • Wert auf dem ursprünglichen virtuellen Server: Nur MPTCP-Subflowverbindungen
    • Wert auf dem weitergeleiteten virtuellen Server (SSL-Weiterleitung): 0 (Subflows werden auf dem ursprünglichen virtuellen Server beendet)

    Zähler: Aktuelle Multipath-TCP-Sitzungen

    • Wert auf dem ursprünglichen virtuellen Server: nur MPTCP-Sitzungen
    • Wert auf dem weitergeleiteten virtuellen Server (SSL-Weiterleitung): Weitergeleitete MPTCP-Sitzungen (am ursprünglichen virtuellen Server dekrementiert und hier inkrementiert)

    [NSHELP-25555]

  • Nachdem Sie einen virtuellen SSL_TCP-Server hinzugefügt und ein SSL-Profil an ihn angehängt haben, ist die Einstellung “RedirectPortRewrite” möglicherweise falsch aktiviert. Infolgedessen kann es bei einem zukünftigen Upgrade zu einem gewissen Konfigurationsverlust kommen.

    Die RedirectPortRewrite-Einstellung ist nur für einen virtuellen HTTP-Server gültig.

    [NSHELP-22984]

  • Wenn die SSL-Aktion “weiterleiten” ausgelöst wird, zeigt der Zähler “Aktuelle Client-Est-Verbindungen” fälschlicherweise einen großen Wert in der Statistikausgabe für den virtuellen Server an, an den der Datenverkehr weitergeleitet wird.

    [NSHELP-22825]

  • Der synchronisierte SSL-Funktionsstatus und der SSL-Hardwarestatus führen zu Inkonsistenzen mit Partitionen.

    [NSHELP-21193]

System

  • Wenn ein AppFlow-Collector vom Typ Rest in einem Analyseprofil verwendet wird, schlägt die Citrix ADC-Appliance möglicherweise beim Entfernen des Profils fehl.

    [NSHELP-26299]

  • Nach einem Upgrade auf Citrix ADC 13.0 Version 71.40 weisen der 32-Bit-Weblogging-Client (NSWL) und die 64-Bit-Citrix ADC-Appliance einen Offset von 4 Byte auf, was zu falschen Werten in den generierten Protokollen führt.

    [NSHELP-26241]

  • Wenn Sie dem ADM-Server ein ADC-Hochverfügbarkeitspaar hinzufügen, stellt der sekundäre Server mithilfe des SNIP als Quelladresse eine Verbindung zu ADM her. Infolgedessen treten Netzwerkprobleme auf den Uplink-Geräten auf. Beispielsweise findet die Firewall zwei MAC-Adressen für ein SNIP auf ihren Schnittstellen.

    [NSHELP-26010]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn sich der AppFlow Collector in einem anderen Subnetz als der SNIP befindet.

    [NSHELP-26008]

  • Wenn eine Citrix ADC-Appliance eine Verbindung zum Backend-Server für “CONNECT” -Anfragen initiiert, die mit hoher Geschwindigkeit gesendet werden, werden die folgenden Bedingungen eingehalten:

    • Der Backend-Server sendet ein fehlerhaftes ACK an die Appliance.
    • Die Appliance versucht nicht erneut, die Verbindung herzustellen.
    • Client-Verbindungen reagieren nicht mehr.

    [NSHELP-25925]

  • Ein virtueller Content Switching-Server zeigt eine falsche Anzahl von Anfragen- und Antwortbyten mit MPTCP-Verkehr an.

    [NSHELP-25731]

  • Ein Versuch, den AppFlow-Collector zu entfernen, schlägt fehl, nachdem der Befehl “set appflow action” ausgeführt wurde.

    [NSHELP-25392]

  • Wenn die Citrix ADC-Appliance nach einem SSL-Handshake SETTINGS- und SETTINGS-ACK-Frames nach der H2-Verhandlung sendet, werden die folgenden Probleme beobachtet:

    • Ein Latenzproblem von 100 ms (standardmäßig) tritt auf der SSL-Ebene auf, wenn Daten unter 8 k verschlüsselt werden.
    • Das TCP-PUSH-Flag ist auf diesen Frames nicht gesetzt.

    [NSHELP-25148]

  • In einem Szenario ohne Sondierung wird der vom Bound-Gateway-Dienst gelernte MSS-Wert für alle nachfolgenden Transaktionen verwendet, bis das Gerät neu gestartet wird. Dies führt zu den folgenden Fehlern:
    • Eine hohe Frequenz des MSS-Werts 1330 unabhängig von der Änderung des im TCP-Profil konfigurierten MSS-Werts.
    • Falsche Fragmentierungen im Netzwerk.

    [NSHELP-25043]

  • Bei einem Missmanagement des HTTP/2-Flags werden nur wenige TCP-Zähler sowohl für HTTP/2- als auch für Nicht-HTTP/2-Streams auf einen negativen Wert herabgesetzt.

    [NSHELP-25031]

  • Eine Citrix ADC-Appliance kann keine serverseitigen Verbindungen verarbeiten und kann keine korrekten AppFlow-Datensätze protokollieren, wenn die folgenden Bedingungen erfüllt sind:

    • Der Domainname, der einem privaten URL-Set entspricht, ist in den AppFlow-Datensätzen nicht korrekt verschleiert.
    • Die Felder Responder-Aktion, Policy Matched und Matched ID sind in den AppFlow-Datensätzen falsch gefüllt.

    [NSHELP-24824]

  • Die HTML-Seite wird möglicherweise nicht geladen, wenn die AppFlow-Funktionen Client-Side Measurements und Rewrite aktiviert sind.

    [NSHELP-24043]

  • Segmentierungsfehler oder Duplikate Free können zum Absturz einer Citrix ADC-Appliance führen, wenn die folgenden Bedingungen erfüllt sind:

    • Bei einem an einen Backend-Dienst gebundenen HTTP-Profil ist HTTP2 aktiviert und HTTP2 Direct deaktiviert.
    • Mehrere HTTP CONNECT-Anfragen werden vom Client über HTTP/2-Streams an einen virtuellen Server vom Typ HTTP gesendet.

    [NSBASE - 13582]

  • Wenn Citrix ADC CPX als Sidecar bereitgestellt wird und die Umgebungsvariable MGMT_HTTP_PORT nicht gesetzt ist, funktionieren NITRO-API-Aufrufe nicht

    [NSBASE - 12800]

  • Einige AppFlow-Datensätze, die IPFIX-Informationen enthalten, sind möglicherweise ungewöhnlich.

    [NSBASE - 11686]

Benutzeroberfläche

  • Die Bearbeitung der Bot-Signatur schlägt mit der Fehlermeldung “Datei existiert nicht” fehl, wenn die Signatur von der CLI oder der URL importiert wird.

    [NSUI-17261]

  • Der Link zum Herunterladen der SNMP-MIB ist defekt.

    [NSHELP-26107]

  • Einzelne oder mehrere Befehle in einer NITRO-API-Anfrage an eine Citrix ADC-Appliance schlagen möglicherweise fehl und verursachen die folgenden Probleme in der Appliance:

    • Beschädigung des Speichers
    • Absturz des HTTPD-Prozesses

    [NSHELP-25997]

  • Ein Fehler bei einer solchen StartURL-Prüfung wird unten auf der Citrix ADC GUI-Seite angezeigt, wenn Sie versuchen, die StartURL-Regel im Abschnitt Relaxationsregeln zu bearbeiten oder zu löschen.

    [NSHELP-25977]

  • Wenn Sie die IP-Reputation mithilfe erweiterter Richtlinienausdrücke konfigurieren, fehlt die Bedrohungskategorie “TOR_PROXY” in der Benutzeroberfläche des Expression Editors.

    [NSHELP-25654]

  • Der HTTPD-Daemon stürzt möglicherweise ab und generiert Kerndateien, während der authentifizierte Schwachstellenscan von Qualys ausgeführt wird.

    [NSHELP-25000]

  • Alle Kontrollkästchen werden automatisch deaktiviert, wenn Sie versuchen, eine Sicherheitsüberprüfung auf der Citrix Web App Firewall-Profilseite zu ändern. Das zeitweilige Problem tritt zufällig auf der GUI auf.

    [NSHELP-24409]

  • In einer Citrix ADC BLX-Appliance funktioniert die Autocomplete-Funktion möglicherweise nicht wie erwartet.

    [NSCONFIG-4338]

Videooptimierung

  • Die Gx-Schnittstelle, die AppFlow-Datensätze enthält, hat beim Empfang von CCA-T-Durchmessernachrichten einen falschen Zeitstempel. Das Problem kann auftreten, wenn die folgenden Bedingungen erfüllt sind:

    • Der Parameter idletTL im Befehl set subscriber parameter ist auf einen Wert ungleich Null gesetzt.
    • Der Parameter GXSessionReporting im Befehl set appflow param ist aktiviert.

    [NSHELP-24099]

Bekannte Probleme

Die in Version 13.0-76.31 vorhandenen Probleme.

Authentifizierung, Autorisierung und Auditing

  • In einigen Fällen stürzt eine Citrix ADC-Appliance beim Ausführen der Benutzerauthentifizierung für Citrix Gateway und Authentifizierung, Autorisierung und Überwachung ab - verkehrsverwaltete Bereitstellung.

    [ NSHELP-26555 ]

  • Ein falscher SSO-Domänenname wird für angemeldeten Benutzer ausgefüllt, wenn im Ausdruck Authentifizierung, Autorisierung und Überwachung.USER.DOMAIN verwendet wird.

    [NSHELP-26443]

  • Das Citrix Gateway-Gerät stürzt während der nFactor-Authentifizierung ab, wenn die folgenden Bedingungen erfüllt sind.

    • WebView wird für den Zugriff auf das Citrix Gateway-Gerät verwendet.
    • Blockierungsausdrücke werden in der VPN-Sitzungsrichtlinie konfiguriert.

    [NSHELP-26433]

  • Bei Eingabe eines falschen OTP wird die Fehlermeldung “E-Mail-Authentifizierung fehlgeschlagen” angezeigt. Es wird keine weitere Aktion zum Fortfahren angezeigt.

    [ NSHELP-26400 ]

  • Sie können das Gruppenattribut von “memberof” auf dem LDAP-Server nicht deaktivieren, wenn Sie über die Citrix ADC GUI konfigurieren.

    [NSHELP-26199]

  • In bestimmten Szenarien schlägt der Befehl Authentifizierung, Autorisierung und Überwachung binden möglicherweise fehl, wenn der Richtlinienname länger als der Name der Intranetanwendung ist.

    [NSHELP-25971]

  • In einer Citrix ADC BLX-Appliance funktioniert die LDAP-Authentifizierung mit den Sicherheitstypen SSL, TLS und Klartext möglicherweise nicht wie erwartet.

    [NSHELP-25809]

  • Die folgenden Probleme treten auf, wenn die Citrix ADC-Appliance als Relying Party (RP) konfiguriert ist.

    • Die Appliance kann die Authentifizierungsanfrage von OAuth IdP nicht verarbeiten, wenn der IdP den Signaturalgorithmus für JWT als RS512 verwendet.
    • Die Appliance sendet den “anonymen” Wert für den Parameter “login_hint” an OAuth IdP.

    [NSHELP-25794]

  • Die Authentifizierung schlägt im Dialogmodus fehl, wenn der RADIUS-Server mehrere doppelte Antworten sendet.

    [NSHELP-25758]

  • Bei der Konfiguration einer AuthentifizierungsRichtlinie mithilfe der Citrix ADC GUI kann die Aktion “NO AUTH” nicht ausgewählt werden.

    [NSHELP-25466]

  • In einigen Fällen kann die Citrix ADC-Appliance abstürzen, wenn ein Benutzer versucht, sich zu authentifizieren, und wenn die Appliance wie folgt konfiguriert ist.

    • Die Appliance ist für die 401-Authentifizierung konfiguriert.
    • Die AuthentifizierungsRichtlinie sieht NoAuth als ersten Faktor und Zertifikatsauthentifizierung als zweiten Faktor vor

    Workaround:

    • Entfernen Sie die NoAuth-Richtlinie aus der Konfiguration
    • Wechseln Sie zur formularbasierten Authentifizierung

    [NSHELP-25051]

  • Eine Citrix ADC-Appliance authentifiziert keine Anmeldeversuche mit doppelten Kennwörtern und verhindert Kontosperrungen.

    [ NSHELP-563 ]

  • Das LoginSchema DualAuthPushOrOTP.xml wird im Anmeldeschema-Editor-Bildschirm der Citrix ADC-GUI nicht korrekt angezeigt.

    [ NSAUTH-6106 ]

  • Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird.
    show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Er zeigt den Status des Proxyprofils an.

    [ NSAUTH-5916 ]

  • Möglicherweise wird auf der Seite nFactor Flow in nFactor Visualizer die Meldung Keine solche Richtlinie existiert, angezeigt, wenn Sie versuchen, die Bindung einer Richtlinie an einen Faktor aufzuheben. Die Option Unbind funktioniert wie erwartet.

    [NSAUTH-5821]

Bot-Verwaltung

  • Sie können nicht mehrere Sitzungscookies mit Ratenbegrenzung an ein Bot-Profil binden.

    [NSBOT-390]

Caching

  • Eine Citrix ADC-Appliance kann abstürzen, wenn die Funktion für integriertes Caching aktiviert ist und die Appliance wenig Arbeitsspeicher hat.

    [NSHELP-22942]

Citrix ADC SDX-Appliance

  • Wenn auf einer Citrix ADC SDX-Appliance die CLAG auf einer Mellanox-Netzwerkkarte erstellt wird, wird der CLAG-MAC geändert, wenn die VPX-Instanz neu gestartet wird. Der Datenverkehr zur VPX-Instanz stoppt nach dem Neustart, da die MAC-Tabelle den alten CLAG-MAC-Eintrag enthält.

    [ NSSVM-4333 ]

  • Die Inventarisierung erfolgt nicht gemäß dem Inventarzyklus für Instanzen, in denen die bei der Instanzbereitstellung verwendete IP-Adresse später direkt von der Instanz aus geändert wird.

    [NSHELP-26407]

Citrix Gateway

  • Wenn Sie den FQDN als Proxy auf der Seite “Citrix Gateway-Verkehrsprofil erstellen” eingeben, wird die Meldung “Ungültiger Proxywert” angezeigt.

    [ NSHELP-26613 ]

  • Wenn der Anwendungsname länger als 20 Zeichen ist, wird der Anwendungsname gekürzt angezeigt, wenn eine Verbindung über Citrix Gateway hergestellt wird.

    [NSHELP-26604]

  • Das Windows VPN-Gateway-Plug-In blockiert die Verwendung von “STRG + P” und “STRG + O” über den VPN-Tunnel.

    [NSHELP-26602]

  • Das VPN-Plug-In für Windows zeigt falsche Informationen auf dem Windows-Anmeldeinformationsbildschirm an, wenn sich das Netzwerk ändert.

    [NSHELP-26562]

  • EPA-Bibliotheken für macOS wurden auf Version 1.3.4.7 aktualisiert (Opswat-Version: 4.3.1566.0)

    [NSHELP-26538]

  • Das Citrix Gateway-Gerät stürzt ab, wenn eine vom Server initiierte Verbindung Datenpakete sendet, nachdem die Verbindung geschlossen wurde.

    [NSHELP-26431]

  • Das Citrix Gateway-Gerät reagiert möglicherweise nicht mehr, wenn es mit einer IPv6-Adresse konfiguriert ist und das Gateway als Proxy für das Enlightened Data Transport (EDT) -Protokoll verwendet wird.

    [NSHELP-26357]

  • Auf der RFWebUI-Client-Erkennungsseite wird die Schaltfläche Installieren anstelle der Schaltfläche Erkennen angezeigt, wenn ein virtueller Content Switching-Server konfiguriert ist.

    [NSHELP-26138]

  • Die Citrix ADC-Appliance stürzt ab, wenn eine der folgenden Bedingungen eintritt:

    • Die Syslog-Aktion wird mit dem Domänennamen konfiguriert und Sie löschen die Konfiguration über die GUI oder der CLI.
    • Die Hochverfügbarkeitssynchronisierung erfolgt auf dem sekundären Knoten.

    Problemumgehung:

    Erstellen Sie eine Syslog-Aktion mit der IP-Adresse des Syslog-Servers anstelle des Domänennamens des Syslog-Servers.

    [ NSHELP-25944 ]

  • Beim Erstellen eines RDP-Clientprofils über die Citrix ADC GUI wird eine Fehlermeldung angezeigt, wenn die folgenden Bedingungen erfüllt sind:

    • Ein standardmäßiger Pre-Shared Key (PSK) ist konfiguriert.
    • Sie versuchen, den Gültigkeitszeitgeber für RDP-Cookies im Feld RDP-Cookie-Gültigkeit (Sekunden) zu ändern.

    [ NSHELP-25694 ]

  • Die Citric ADC-Appliance stürzt ab, wenn mehrere VPN-Plug-In-Clients X.509-Zertifikate mit einer Größe von 1800 Byte oder mehr verwenden, um einen Tunnel einzurichten.

    [ NSHELP-25195 ]

  • Auf der Citrix Gateway-Anmeldeseite wird ein Fehler angezeigt, der besagt, dass die Anmeldung fehlgeschlagen ist, wenn die folgende Reihenfolge von Bedingungen erfüllt ist. Der Fehler tritt auch dann auf, wenn der Benutzer nicht erneut versucht hat, sich anzumelden.

    1. Die Anmeldung am Citrix Gateway schlägt fehl.
    2. Die Anmeldung am Citrix Gateway ist erfolgreich.
    3. Der Benutzer meldet sich ab.

    [NSHELP-25157]

  • Wenn Sie einen virtuellen VPN-Server umbenennen, der an einen STA-Server gebunden ist, erscheint der Status des STA-Servers DOWN, wenn Sie den Befehl show ausführen.

    [ NSHELP-24714 ]

  • Der Gateway Insight zeigt keine genauen Informationen über die VPN-Benutzer an.

    [ NSHELP-23937 ]

  • Die Befehlsausgabe “show tunnel global” enthält erweiterte Richtliniennamen. Zuvor wurden in der Ausgabe die erweiterten Richtliniennamen nicht angezeigt.

    Beispiel:

    Neue Ausgabe:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     <!--NeedCopy-->
    

    Vorherige Ausgabe:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [ NSHELP-23496 ]

  • Fehlstartfehler von Anwendungen werden in Gateway Insight gemeldet. Die Startfehler werden gemeldet, wenn keine App- oder Desktop-Starts erfolgen.

    [NSHELP-23047]

  • Manchmal erscheint beim Durchsuchen von Schemas die Fehlermeldung “Eigenschaft ‘Typ’ von undefined kann nicht gelesen werden”.

    [ NSHELP-21897 ]

  • Beim Hinzufügen eines virtuellen Authentifizierungsservers mithilfe des XenApp- und XenDesktop-Assistenten schlägt das Testen der Konnektivität für diesen Authentifizierungsserver fehl.

    [CGOP-16792]

  • Logon übertragen funktioniert nicht, wenn die folgenden beiden Bedingungen erfüllt sind:

    • Die nFactor-Authentifizierung ist konfiguriert.
    • Das Citrix ADC-Design ist auf Standard eingestellt.

    [CGOP-14092]

  • Im Gateway Insight-Bericht wird fälschlicherweise der Wert “Local” statt “SAML” im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

    [ CGOP-13584 ]

  • In einem Hochverfügbarkeitssetup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

    [ CGOP-13511 ]

  • Während lokale Hostverbindungen vom Browser akzeptiert werden, zeigt das Dialogfeld Verbindung akzeptieren für macOS Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

    [ CGOP-13050 ]

  • Der Text “Homepage” in der Citrix SSO-App > Startseite ist für einige Sprachen gekürzt.

    [ CGOP-13049 ]

  • Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die Citrix ADC-GUI hinzufügen oder bearbeiten.

    [ CGOP-11830 ]

  • Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird ein Dialogfeld mit einem kritischen Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

    [ CGOP-7269 ]

Citrix Web App Firewall

  • Im Citrix Web App Firewall-Modul werden die DHT-Einträge (Distributed Hash Table) nicht auf dem primären Knoten freigegeben. Dieses Problem tritt auf, wenn Firewall-Sitzungen für Anwendungen ein kürzeres Timeout haben und mit einer höheren Rate erstellt werden.

    [NSHELP-26570]

  • Wenn in einem Hochverfügbarkeits-Setup die dynamische Profilerstellung zusammen mit aktivierten SNMP-Warnungen konfiguriert ist, kann es auf dem sekundären Knoten zu einem Anstieg der Speichernutzung kommen.

    [NSHELP-25580]

  • Die Citrix ADC-Appliance stürzt möglicherweise aufgrund eines Timeout-Problems ab, wenn einer langen Liste von Datensätzen ein Verletzungsdatensatz hinzugefügt wird.

    [NSHELP-25507]

Lastausgleich

  • In einem Hochverfügbarkeitssetup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

    [ NSLB-7679 ]

  • In einem Hochverfügbarkeits-Setup kann der sekundäre Knoten abstürzen, wenn die folgenden Bedingungen erfüllt sind:

    • Die Menge an physischem Speicher auf beiden Knoten unterscheidet sich voneinander.
    • Die Datensitzungen werden nicht ordnungsgemäß synchronisiert.

    Problemumgehung:
    Behalten Sie die gleiche Menge und mindestens 4 GB physischen Speicher auf beiden HA-Knoten.

    [ NSHELP-26503 ]

  • In einer Cluster-GSLB-Bereitstellung wird der effektive Status der lokalen GSLB-Dienste auf Knoten, die keine Eigentümer sind, nicht aktualisiert, da der GSLB-Besitzerknoten keine Dienststatusaktualisierungen an die Knoten senden kann, die keine Eigentümer sind.

    [NSHELP-26260]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, während sie ein ungültiges SIP-Paket (Session Initiation Protocol) verarbeitet.

    [NSHELP-26202]

  • Wenn ein virtueller Content Switching-Server eine HTTPS-Anfrage empfängt, führt das größte Cookie in der HTTPS-Anfrage zu einem Pufferüberlauf und einer Beschädigung des Stacks, wenn die folgenden Bedingungen erfüllt sind:

    • Das Cookie-Format ist falsch.
    • Die Länge des Cookie beträgt mehr als 32 Byte.

    [NSHELP-25932]

  • Wenn Sie die IP-Adresse des Backend-Servers für einen Server ändern, dessen Name nicht mit seiner IP-Adresse übereinstimmt, können Sie möglicherweise nicht die vollständige Konfiguration speichern. Dies ist ein seltener Fall und kann auftreten, wenn der Speicher der Citrix ADC-Appliance knapp ist.

    [NSHELP-24329]

  • Bei der Autoscale-Hochverfügbarkeit oder Cluster-Bereitstellung kann eine Citrix ADC-Appliance abstürzen, wenn ein Servicemitglied erstellt wird und wenn die folgenden Bedingungen erfüllt sind:

    • Wenn Sie das Servicemitglied an eine Dienstgruppe in einem Knoten binden, der nicht der Eigentümer ist, oder einem sekundären Knoten mit deaktivierter Systemüberwachungsoption.

    [NSHELP-24029]

Sonstiges

  • Auf einer Citrix ADC SDX-Appliance tritt auf einer oder mehreren VPX-Instanzen ein Fehler beim Aufbau einer neuen SSL-Sitzung auf der Grundlage von RSA auf, wenn die folgenden Bedingungen erfüllt sind:

    • Auf den VPX-Instanzen wird die ADC-Softwareversion 12.x oder 13.0 ausgeführt.
    • Der Management Service wurde auf die ADC-Softwareversion 13.0 aktualisiert.

    [SDX-486]

  • Wenn Sie Konfigurationen mithilfe eines StyleBook an die Cluster-Instanzen übertragen, schlagen die Befehle mit der Fehlermeldung “Befehlsweitergabe fehlgeschlagen” fehl.

    Bei aufeinanderfolgenden Ausfällen behält der Cluster die Teilkonfiguration bei.

    Workaround:

    1. Identifizieren Sie die fehlgeschlagenen Befehle im Protokoll.
    2. Wenden Sie die Wiederherstellungsbefehle manuell auf die fehlgeschlagenen Befehle an.

    [NSHELP-24910]

Netzwerke

  • In einem Cluster-Setup mit maximaler Verbindung (MaxConn), der auf einen Wert ungleich Null festgelegt ist, schlagen CLIP-Verbindungen möglicherweise fehl, wenn eine der folgenden Bedingungen erfüllt ist:

    • Aktualisierung des Setups von Citrix ADC 13.0 76.x Build auf Citrix ADC 13.0 79.x Build.
    • Neustart des CCO-Knotens in einem Cluster-Setup, in dem der Citrix ADC 13.0 76.x-Build ausgeführt wird.

    Problemumgehungen:

    • Vor dem Upgrade eines Cluster-Setups vom Citrix ADC 13.0 76.x-Build auf den Citrix ADC 13.0 79.x-Build muss der globale Parameter Maximale Verbindung (MaxConn) auf Null gesetzt werden. Nach dem Upgrade des Setups können Sie den MaxConn-Parameter auf einen gewünschten Wert setzen und dann die Konfiguration speichern.
    • Citrix ADC 13.0 76.x Build ist nicht für Cluster-Setups geeignet. Citrix empfiehlt, den Citrix ADC 13.0 76.x Build nicht für ein Cluster-Setup zu verwenden.

    [NSNET-21173]

  • Wenn die Anzahl der Newslog-Sicherungsdateien zunimmt, kann dies zu einer Speicherknappheit für eine laufende Citrix ADC CPX-Instanz über einen bestimmten Zeitraum führen. Mit der Umgebungsvariablen NEWNSLOG_MAX_FILENUM können Sie die Anzahl der Sicherungsdateien steuern. Indem Sie den Wert der Umgebungsvariablen auf 10 setzen, können Sie die maximale Anzahl von Newslog-Backupdateien auf 10 begrenzen.

    [NSNET-20261]

  • Eine Citrix ADC BLX-Appliance unterstützt jetzt die dynamische Routing-Protokollfunktion von Citrix ADC IPv6 OSPF (OSPFv3). Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/current-release/networking/ip-routing/configuring-dynamic-routes/configuring-ipv6-ospf.html.

    [NSNET-19567]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn alle der folgenden Bedingungen erfüllt sind:

    • Der MAC-Modus ist auf einem virtuellen Lastausgleichsserver aktiviert, der nicht adressierbar ist.
    • Derselbe virtuelle Server ist Teil einer Link-Load-Balancing-Konfiguration oder einer Richtlinienbasierten Routing-Konfiguration.

    Im Rahmen des Fixes zeigt die Citrix ADC-Appliance jetzt die folgende Warnmeldung an, wenn die oben genannten Bedingungen erfüllt sind:

    • Warnung: Die Umleitung im MAC-Modus sollte mit der LLB-Konfiguration nicht aktiviert werden.

    [NSNET-19485]

  • In einer Citrix ADC BLX-Appliance funktioniert NSVLAN, das an markierte Nicht-DPDK-Schnittstellen gebunden ist, möglicherweise nicht wie erwartet. NSVLAN, das an ungetaggte Nicht-DPDK-Schnittstellen gebunden ist, funktioniert einwandfrei.

    [NSNET-18586]

  • Nach einem Upgrade von Citrix ADC BLX Appliance 13.0 61.x Build auf 13.0 64.x Build gehen die Einstellungen in der BLX-Konfigurationsdatei verloren. Die BLX-Konfigurationsdatei wird dann auf die Standardeinstellungen zurückgesetzt.

    [NSNET-17625]

  • Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer Citrix ADC BLX-Appliance mit DPDK nicht unterstützt:

    • Deaktivieren
    • Smartcard
    • Reset

    [NSNET-16559]

  • Auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) wird eine Citrix ADC BLX-Appliance unabhängig von den Einstellungen der BLX-Konfigurationsdatei (“/etc/blx/blx.conf”) immer im Shared-Modus bereitgestellt. Dieses Problem tritt auf, weil “mawk”, das auf Debian-basierten Linux-Systemen standardmäßig vorhanden ist, einige der in der Datei “blx.conf” enthaltenen awk-Befehle nicht ausführt.

    Problemumgehung: Installieren Sie “gawk”, bevor Sie eine Citrix ADC BLX-Appliance installieren. Sie können den folgenden Befehl in der Linux-Host-CLI ausführen, um “gawk” zu installieren:

    • apt-get install gawk

    [NSNET-14603]

  • Die Installation einer Citrix ADC BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

    “The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable”

    Problemumgehung: Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine Citrix ADC BLX-Appliance installieren:

    • dpkg — Architektur hinzufügen i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen vorliegen:

    • Bei der IPv6-Link-Load-Balancing-Konfiguration (LLB6) ist die Persistenzoption aktiviert.
    • Für diese LLB6-Konfiguration werden einige IPv6-Dummy-Verbindungen erstellt

    [NSHELP-25695]

  • In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

    • Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

    Problemumgehung: Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Status “Synchronisierung erfolgreich”).

    [ NSHELP-25598 ]

Plattform

  • Auf der Citrix ADC SDX 8900-Plattform wird die LOM-Version von 4,5x auf 4.61 aktualisiert. Auf den Plattformen Citrix ADC SDX 15000 und SDX 26000 wird die LOM-Version von 5.03 auf 5.56 aktualisiert. Nach dem Upgrade wird das Standardkennwort der LOM für neu hergestellte Plattformen auf die Seriennummer der Appliance zurückgesetzt. Dieses Upgrade behebt die beschriebene Sicherheitsanfälligkeit CVE-2013-4786. Weitere Informationen finden Sie unter [https://support.citrix.com/article/CTX234367](https://support.citrix.com/article/CTX234367).

    [NSPLAT-19327]

  • Auf einer Citrix ADC SDX 15000-50G-Appliance kann bei einem kurzen Anstieg des Datenverkehrs, der nicht an eine der ADC VPX-Instanzen geleitet wird, das folgende Problem auftreten:

    • Die LACP-Verbindung an 10G-Ports kann zeitweise ausfallen oder dauerhaft ausfallen.

    Problemumgehung:

    1. Finden Sie den internen EthX-Port heraus, der dem 10G-Port entspricht
    2. Führen Sie den folgenden Befehl an der Citrix Hypervisor-Shell-Eingabeaufforderung aus: ethtool -G ethX rx 4096 tx 512
    3. Überprüfen Sie das Verkehrsprofil, um unerwünschten Traffic auf der Switch-Seite zu blockieren

    [NSHELP-25561]

  • Auf einer Citrix ADC SDX-Appliance kann der Backplane-LA-Kanal während eines Warmneustarts einer als Clusterknoten konfigurierten VPX-Instanz aufgrund eines Set-Interface-Befehlsfehlers in den Zustand PARTIAL-UP übergehen.

    [NSHELP-23353]

  • Standardmäßig sind High Availability Monitor (HAMON) und HA Heartbeat auf einer Verwaltungsschnittstelle deaktiviert, die als interne Verwaltungsschnittstelle konfiguriert ist. Außerdem können HAMON und HA Heartbeat auf dieser Schnittstelle nicht aktiviert werden.
    Wenn später dieselbe Schnittstelle wieder als Verwaltungsschnittstelle konfiguriert und die VPX-Instanz neu gestartet wird, sind die HAMON- und HA-Heartbeat-Optionen immer noch deaktiviert.
    Sie können diese Optionen jetzt jedoch manuell aktivieren, um Probleme mit der HA-Konfiguration zu vermeiden.

    [NSHELP-21803]

Richtlinien

  • Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße.

    Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

    [ NSPOLICY-1267 ]

  • Variablen können in der Zuweisung nicht verwendet werden, wenn die Variablenlänge mehr als 31 Zeichen beträgt.

    [NSHELP-26362]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn alle folgenden Bedingungen erfüllt sind.

    • nstrace wird mit einem Filterausdruck aktiviert
    • Die Debug-Auditprotokollierung auf einem externen ADC-Auditserver ist aktiviert
    • Eine AuthentifizierungsRichtlinie mit einem erweiterten Regelausdruck ist konfiguriert

    [NSHELP-26045]

  • Das folgende Problem tritt auf, wenn zwei Richtlinienvariablen mit unterschiedlicher Ablaufzeit konfiguriert sind:

    • Das Löschen des abgelaufenen Werts für die Variable mit der kürzeren Ablaufzeit kann verzögert werden, bis der abgelaufene Wert mit der längeren Ablaufzeit gelöscht wird.

    [NSHELP-25786]

  • Das folgende Problem kann zu einem Failover in einem Hochverfügbarkeits-Setup führen:

    Wenn viele Nicht-HTTP- und Nicht-TCP-Pakete in die Warteschlange gestellt werden und darauf warten, bearbeitet zu werden, nachdem die Verarbeitung auf ihnen blockiert wurde.

    [NSHELP-23506]

SSL

  • Auf einem heterogenen Cluster von Citrix ADC SDX 22000 und Citrix ADC SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

    Workaround:

    1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Beispiel: set ssl vserver <name> -SSL3 DISABLED.
    2. Speichern Sie die Konfiguration.

    [NSSSL-9572]

  • Der Update-Befehl ist für die folgenden Befehle zum Hinzufügen nicht verfügbar:

    • add azure application
    • add azure keyvault
    • add ssl certkey with hsmkey option

    [NSSSL-6484]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.
    FEHLER: CRL Refresh deaktiviert

    [NSSSL-6106]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird eine falsche Warnmeldung mit dem Titel “Warnung: Keine verwendbaren Verschlüsselungen konfiguriert auf dem SSL vserver/service” angezeigt.

    [NSSSL-4001]

  • Auf einer Citrix ADC-Appliance tritt ein Speicherverlust auf, wenn der SSL-Parameter “SessionTicket” aktiviert ist.

    [NSHELP-26207]

  • Eine Citrix ADC-Appliance kann bei der Bearbeitung von Anfragen von TLS 1.3-Clients abstürzen, wenn die folgenden Bedingungen erfüllt sind:

    • Das TLS 1.3-Protokoll ist auf dem virtuellen Front-End-Server aktiviert.
    • Die zugrunde liegende Hardwareplattform verwendet Intel Coleto Creek-Kryptobeschleunigungskarten (ausgewählte MPX- und SDX-Modelle verwenden diese Chips.)
    • Auf SDX-Plattformen werden die Intel Coleto Creek-Kryptokartenressourcen der ADC-Instanz zugewiesen.

    [NSHELP-26089]

  • Verbindungsfehler aufgrund von wenig Arbeitsspeicher können auf einer Citrix ADC-Appliance auftreten, wenn die Admin-Partition aktiviert ist. Das Problem tritt auf, wenn die SSL-Krypto-Hardware-Chips voll sind.

    [NSHELP-25981]

  • In einem Clustersetup können Sie die folgenden Probleme feststellen:

    • Fehlender Befehl für das standardmäßige Zertifikatschlüsselpaar, das an die internen SSL-Dienste auf dem CLIP bindet. Wenn Sie jedoch von einem älteren Build upgraden, müssen Sie möglicherweise das Standard-Zertifikatschlüsselpaar an die betroffenen internen SSL-Dienste auf dem CLIP binden.
    • Konfigurationsdiskrepanz zwischen dem CLIP und den Knoten für den standardmäßigen set-Befehl für die internen Dienste.
    • Fehlender Standard-Verschlüsselungsbindungsbefehl an die SSL-Entitäten in der Ausgabe des Befehls show running config, der auf einem Knoten ausgeführt wird. Die Auslassung ist nur ein Anzeigeproblem und hat keine funktionalen Auswirkungen. Die Bindung kann mit dem Befehl show ssl <entity> <name> angezeigt werden.

    [ NSHELP-25764 ]

  • Die Citrix ADC-Appliance reagiert nicht mehr, wenn die folgenden Bedingungen erfüllt sind:

    • DTLS ist aktiviert.
    • Das UDP-Multiplexing verwendet einen DTLS-Kanal und pumpt den Datenverkehr mit hoher Geschwindigkeit.

    [NSHELP-22987]

System

  • Bei einer Clientverbindung sendet eine Citrix ADC-Appliance möglicherweise fälschlicherweise einen Verbindungs-Keep-Alive-Header als Antwort auf den Connection-Close-Header des Clients. Dieser falsche Verbindungs-Keep-Alive-Header führt zu einer Verzögerung beim Schließen der Verbindung auf dem Client.

    [NSHELP-26474]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgenden Bedingungen eingehalten werden:

    • Wenn eine Client-Anfrage von einer Ressource (mit derselben IP-Adresse und demselben Port) stammt, für die eine Ressource in der vorherigen IPS-Verbindungsstruktur (Intrusion Prevention System) nicht freigegeben wurde.
    • Das Modul Intrusion Prevention System (IPS) versucht, von der freigegebenen Struktur aus auf die nicht freigegebene Ressource zuzugreifen.

    [NSHELP-26450]

  • Die Patch-HTTP-Methode wird blockiert, wenn der Parameter MarkHttpHeaderExtrawsError im Befehl set HttpProfile aktiviert ist.

    [NSHELP-26398]

  • Eine Citrix ADC-Appliance stürzt möglicherweise in einem AppFlow-Modul ab, wenn die Appliance unter Speicherbelastung steht.

    [NSHELP-26367]

  • Wenn während der Klarkonfiguration kein URL-Set verwendet wird, wird in der Datei ns.log ein Fehlerprotokolleintrag angezeigt, der dem URL-Satz entspricht.

    [NSHELP-26242]

  • Nach einem Upgrade von Citrix ADC 12.1 Build 50.31 auf Citrix ADC 13.0 Build 58.32 versucht die Appliance nicht erneut, nachdem sie bei Monitoren ein fehlerhaftes ACK für das TCP-SYN-Paket empfangen hat. Infolgedessen setzt die Appliance die TCP-Verbindung des Monitors zurück und markiert den Dienst als DOWN.

    [NSHELP-25813]

  • Eine Nichtübereinstimmung in Logstream-Datensätzen wird in der Citrix ADC-Appliance und im Datenlader beobachtet.

    [NSHELP-25796]

  • Ein Fehler in der HTTP/2- und TCP-Fensterverwaltungslogik kann dazu führen, dass bei der Serververbindung ein HTTP/2- und TCP-Fensterproblem auftritt. Es verhindert, dass das Objekt vollständig zwischengespeichert wird. Das Problem tritt auf, wenn die folgenden Bedingungen erfüllt sind:

    • Die integrierte Caching-Funktion ist aktiviert und die Antwort wird zwischengespeichert.
    • Während der vorherigen Bedingung sendet der HTTP/2-Client abrupt ein Reset-Stream-Paket oder der HTTP/1.1-Client sendet ein TCP-RST auf die Verbindung.

    [NSBASE - 13878]

  • Eine Citrix ADC-Appliance schlägt möglicherweise beim Generieren von AppFlow-Datensätzen für bestimmte von VPN generierte HTTP-Antworten fehl. Das Problem tritt auf, wenn Gateway Insight aktiviert ist.

    [NSBASE - 13698]

  • Eine Citrix ADC-Appliance kann während der Löschkonfiguration fehlschlagen, wenn die folgenden Bedingungen erfüllt sind:

    • Die IP-Adresse eines Dienstes wird geändert, wenn der Dienst an einen virtuellen Server gebunden ist.
    • Derselbe virtuelle Server wird als Collector in einem Analyseprofil verwendet.

    [NSBASE - 11511]

Benutzeroberfläche

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

    Problemumgehung: Konfigurieren Sie Cloudbridge-Connectors, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln mithilfe der Citrix ADC-GUI oder CLI hinzufügen.

    [NSUI-13024]

  • In einer Citrix ADC BLX-Appliance verringert sich die Ablaufzeit einer lokalen Lizenz möglicherweise nicht wie erwartet.

    Als Fix verringert sich die Ablaufzeit für eine lokale Lizenz jetzt alle 24 Stunden um 1.

    [NSHELP-26554]

  • In einem Hochverfügbarkeits-Setup von Citrix ADC BLX-Appliances kann die Konfigurationssynchronisierung manchmal fehlschlagen.

    [NSHELP-26495]

  • In einer Loadbalancing-Persistenzansicht für virtuelle Server werden nicht alle Parameter angezeigt, wenn Sie eine vorhandene Persistenzkonfiguration für virtuelle Server bearbeiten.

    [NSHELP-25965]

  • Eine Fehlermeldung wird angezeigt, wenn Sie versuchen, ein Zertifikat mithilfe der Citrix ADC GUI von einem virtuellen SSL-Server zu trennen.

    [NSHELP-25087]

  • Die Schaltfläche “Aktualisieren” funktioniert nicht, wenn Sie Stream Sessions (AppExpert > Action Analytics > Stream Identifier) in der GUI aktivieren.

    [NSHELP-24195]

  • In einer Citrix ADC VPX Appliance schlägt ein festgelegter Kapazitätsvorgang möglicherweise nach dem Hinzufügen eines Lizenzservers fehl. Das Problem tritt auf, weil die Initialisierung der Flexera-bezogenen Komponenten aufgrund der großen Anzahl unterstützter Lizenzen für das Ein- und Auschecken vom Typ “Typ” (CICO) länger dauert, um zu initialisieren.

    [ NSHELP-23310 ]

  • Das Hochladen und Hinzufügen einer Zertifikatsperrlistendatei (CRL) schlägt in einer Admin-Partitionseinrichtung fehl.

    [NSHELP-20988]

  • Eine Citrix ADC-Appliance unterstützt das Hinzufügen von CRL-Dateien mit mehr als 2 MB mithilfe von NITRO-APIs nicht.

    [NSHELP-20821]

  • In einer Citrix ADC BLX-Appliance funktioniert die Registerkarte “Reporting” in der GUI möglicherweise nicht wie erwartet.

    [NSCONFIG-4877]

  • Wenn eine Citrix ADC BLX-Appliance mit Citrix ADM lizenziert wird, schlägt die Lizenzierung möglicherweise nach dem Upgrade der Appliance auf Version 13.0 Build 83.x fehl.

    Problemumgehung: Aktualisieren Sie zuerst Citrix ADM auf Version 13.0 Build 83.x oder höher, bevor Sie die Citrix ADC BLX-Appliance aktualisieren.

    [NSCONFIG-4834]

  • Wenn Sie eine Citrix ADC-Appliance Version 13.0-71.x auf einen früheren Build herunterstufen, funktionieren einige Nitro-APIs aufgrund der Änderungen der Dateiberechtigung möglicherweise nicht.

    Problemumgehung: Ändern Sie die Berechtigung für “/nsconfig/ns.conf” auf 644.

    [NSCONFIG-4628]

  • Die Verbindung zwischen der ADC-Instanz und dem ADM Service geht verloren, wenn die folgenden Bedingungen erfüllt sind:

    • Die Instanz wird mithilfe eines integrierten Agenten zum ADM Service hinzugefügt.
    • Die Instanz wird mit der Option -Y oder über die ADM-GUI aktualisiert. In beiden Fällen wird der integrierte Agent nicht neu gestartet. Die Option -Y bietet Ja als Antwort auf alle Fragen zum Upgrade, die auf der CLI oder GUI erscheinen.

    [NSCONFIG-4368]

  • Manchmal dauert es lange, bis die Firewall-Signaturen der Anwendung mit Nicht-CCO-Knoten synchronisiert werden. Daher können Befehle, die diese Dateien verwenden, fehlschlagen.

    [NSCONFIG-4330]

  • Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften Citrix ADC-Appliance anmelden.

    1. Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds:

      • Build 13.0 52.24
      • Build 12.1 57.18
      • Build 11.1 65.10
    2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
    3. Downgrade der Citrix ADC-Appliance auf einen älteren Build.

    Um die Liste dieser Systembenutzer über die CLI anzuzeigen, geben Sie
    in der Befehlszeile Folgendes ein:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Workaround:

    Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

    • Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mit einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herunter.
    • Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
    • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Videooptimierung

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn eine eingehende Anfrage nicht den FQDN-Grammatikregeln für die Richtlinienbewertung entspricht. Einige Beispiele für ungültige FQDNs sind SNI und Hostname, die mit einem Punkt (‘.’) beginnen.

    [NSHELP-25564]

Wenn AppFlow konfiguriert ist, setzt die Citrix ADC-Appliance eine TCP-Verbindung zurück, wenn die Appliance eine leere HTTP-Chunked-Antwort vom Back-End-Server empfängt.

Dieses Problem tritt auf, wenn der clientSideMeasurements Parameter für die zugehörige AppFlow-Aktion aktiviert ist.

Versionshinweise für Citrix ADC 13.0-76.31 Release