ADC

Versionshinweise für die NetScaler ADC Version 13.0-89.7

In diesem Dokument mit den Versionshinweisen werden die Verbesserungen und Änderungen sowie die behobenen und bekannten Probleme beschrieben, die für die NetScaler ADC-Version Build 13.0-89.7 bestehen.

Hinweise

  • Dieses Dokument mit Versionshinweisen enthält keine sicherheitsbezogenen Fixes. Eine Liste der sicherheitsbezogenen Fixes und Advisorys finden Sie im Citrix Security Bulletin.

Was ist neu

Die Verbesserungen und Änderungen, die in Build 13.0-89.7 verfügbar sind.

Citrix ADC SDX-Appliance

  • Die Felder “Gateway” und “Nexthop” sind bei der Bereitstellung oder Bearbeitung der VPX optional

    In einem NetScaler ADC SDX Appliance Management Service sind die Felder “Gateway” und “Nexthop” für die Bereitstellung, Bearbeitung, Backup oder Wiederherstellung von VPX nicht mehr erforderlich, wenn die folgenden Bedingungen erfüllt sind:

    • Jede der folgenden Optionen ist wahr:
      • “Über das interne Netzwerk verwalten” ist für VPX aktiviert.
      • Die VPX-IP-Adresse befindet sich im selben Subnetz wie die IP-Adresse des Management Service.
    • VPX wird mit Version 13.0-88.9 oder 13.1-37.8 und deren höheren Versionen bereitgestellt.

    Weitere Informationen finden Sie unter Bereitstellen von NetScaler ADC-Instanzen.

    [NSSVM-5307]

  • Verbesserungen, um das Vorhandensein der Festplatte korrekt anzuzeigen

    Es wurden Verbesserungen vorgenommen, um den Status der Festplatte auf einer NetScaler ADC SDX-Appliance zu ermitteln. Der Status der Festplatte wird jetzt korrekt angezeigt, wenn die Festplatte vorhanden ist.

    [NSSVM-5252]

Citrix Gateway

  • Unterstützung für das HttpOnly-Flag bei Authentifizierungs-Cookies

    Das HttpOnly-Flag wird jetzt für die Authentifizierungs-Cookies von VPN-Szenarien unterstützt, d. h. für NSC_Authentication, Authorization sowie AuditingC- und NSC_TMAS-Cookies. Das NSC_TMAS-Authentifizierungscookie wird während der nFactor-Authentifizierung verwendet und das NSC_Authentication-, Authorization- und AuditingC-Cookie wird für die authentifizierte Sitzung verwendet. HttpOnlyflag in einem Cookie schränkt den Cookiezugriff über die JavaScript-Dokumentcookieoption ein. Dies hilft dabei, Cookie-Diebstahl aufgrund von Cross-Site Scripting verhindern.

    [CGOP-14004]

Benutzeroberfläche

  • Unterstützung für das 8-MB-Upload-Limit für die systemfile NITRO API

    Das maximale Upload-Limit für die systemfile NITRO API wurde von 2 MB auf 8 MB erhöht.

    [NSCONFIG-7089]

Behobene Probleme

Die Probleme, die in Build 13.0-89.7 behoben wurden.

AppFlow

  • Wenn AppFlow konfiguriert ist, setzt die NetScaler ADC-Appliance eine TCP-Verbindung zurück, wenn die Appliance eine leere HTTP-Chunked-Antwort vom Back-End-Server empfängt.

    Dieses Problem tritt auf, wenn der Parameter “clientSideMeasurements” für die zugehörige AppFlow-Aktion aktiviert ist.

    [NSHELP-32250]

Authentifizierung, Autorisierung und Auditing

  • In einem NetScaler Gateway GSLB-Setup wird möglicherweise eine Proxyverbindungsschleife zwischen den GSLB-Sites erkannt, wenn die folgenden Bedingungen erfüllt sind:

    • Alle GSLB-Sites haben nicht dieselbe Version.
    • NetScaler Gateway ist mit erweiterter Authentifizierung konfiguriert.

    [NSHELP-32487]

  • Wenn sowohl die LDAP- als auch die SAML-Authentifizierung kaskadiert konfiguriert sind, wird während der Anmeldung eine Fehlerseite angezeigt.

    [NSHELP-32378]

  • Möglicherweise treten beim Abmelden Probleme auf, wenn die SAML-Authentifizierung konfiguriert ist.

    [NSHELP-31962]

  • Die NetScaler ADC GUI zeigt nicht die Standard-Cache-Richtlinien an, die an einen virtuellen VPN-Server gebunden sind.

    [ NSHELP-26874 ]

Citrix Gateway

  • Einige der VPN-Sitzungen werden nach einem Failover möglicherweise gelöscht oder von der sekundären ADC-Appliance entfernt.

    [NSHELP-33125]

  • Anwendungen können möglicherweise nicht über NetScaler Gateway gestartet werden, da der Port in der NetScaler Gateway-Appliance erschöpft ist.

    [NSHELP-32418]

  • Die für den clientlosen VPN-Zugriff konfigurierte NetScaler Gateway-Appliance stürzt möglicherweise bei der Verarbeitung einer Dummy-Sitzung ab.

    [NSHELP-32399]

  • Die NetScaler Gateway-Appliance stürzt möglicherweise ab, wenn HDX Insight aktiviert ist.

    [NSHELP-32120]

  • In den Gateway-Insight-Authentifizierungsfehlerdatensätzen wird der Benutzername als “Anonym” angezeigt, wenn NOAUTH als erster Faktor konfiguriert ist und die Authentifizierung mit dem zweiten Faktor aufgrund ungültiger Anmeldeinformationen fehlschlägt. Dieses Problem tritt nur auf, wenn die Konfiguration mithilfe des nFactor-Visualizers durchgeführt wird, da der erste Faktor in nFactor Visualizer standardmäßig als NOAUTH konfiguriert ist.

    [NSHELP-31795]

  • Das Citrix EPA-Plug-In für macOS stürzt ab, wenn GSLB auf einer NetScaler ADC-Appliance aktiviert ist.

    [CGOP-22722]

  • Der Befehl “show vpn icaconnection” zeigt die Seriennummern der ICA-Verbindungen nicht korrekt an. Dieses Problem tritt auf, weil die Seriennummer willkürlich zurückgesetzt wird, wenn der Befehl “show vpn icaconnection” ausgeführt wird.

    [CGOP-22205]

Citrix Web App Firewall

  • In einer NetScaler ADC-Appliance tritt ein Speicherverlust auf, wenn Sie für cookieHijackingAction “block”, “log” oder “stats” einstellen.

    [NSHELP-33187]

Lastausgleich

  • Die NetScaler ADC-Appliance antwortet nicht mit der richtigen Service-IP-Adresse für die GSLB-Domainabfrage, wenn die folgenden Einstellungen auf dem virtuellen GSLB-Server konfiguriert sind:

    1. Die ECS-Option ist aktiviert.
    2. Statische Nähe ist als Lastausgleichsmethode konfiguriert.

    [NSHELP-32879]

  • Eine NetScaler ADC-Appliance stürzt während der Löschkonfiguration möglicherweise ab, wenn Persistenzeinträge vorhanden sind und eine große Anzahl von virtuellen Dummy-Lastausgleichsservern und virtuellen Gruppenservern konfiguriert ist.

    [NSHELP-30051]

  • In einem Hochverfügbarkeits-Setup kann der sekundäre Knoten abstürzen, wenn die folgenden Bedingungen erfüllt sind:

    • Die Menge an physischem Speicher auf beiden Knoten unterscheidet sich voneinander.
    • Die Datensitzungen werden nicht ordnungsgemäß synchronisiert.

    [NSHELP-26503, NSHELP-34114]

Netzwerke

  • In einem NetScaler ADC BLX-Cluster-Setup kann VTYSH möglicherweise nicht gestartet werden, wenn die folgende Bedingung erfüllt ist:

    • Der Linux-Host wird neu gestartet, was zu einer Auftragsschleife des NetScaler ADC BLX Route Health Injection (RHI) -Prozesses führt.

    [NSHELP-32473]

  • Wenn Sie einen virtuellen Server entfernen, setzt die NetScaler ADC-Appliance fälschlicherweise den zugehörigen VIP RHI-Status auf DOWN, wenn die folgenden Bedingungen erfüllt sind:

    • Der virtuelle Server verfügt über virtuelle Backupserver.
    • Der virtuelle Server hat den Status DOWN und mindestens ein virtueller Backupserver hat den Status UP.

    [NSHELP-29972]

SSL

  • Die NetScaler ADC-GUI, auf die über eine Cluster-IP-Adresse (CLIP) zugegriffen wird, zeigt keine Serverzertifikatsbindungen an einen virtuellen SSL-Server an.

    [NSHELP-31602]

  • Die OCSP-Antwortüberprüfung schlägt möglicherweise beim Abfangen von SSL fehl, wenn im Standardzertifikatspaket kein gültiges CA-Zertifikat vorhanden ist. Der Fehler tritt auf, weil die OCSP-Antwortüberprüfung fälschlicherweise mit dem Standardzertifikatspaket anstelle des konfigurierten Zertifikatpakets durchgeführt wurde.

    [NSHELP-30594]

System

  • Eine NetScaler ADC-Appliance stürzt möglicherweise ab, wenn sie versucht, auf Ressourcen auf dem freigegebenen ICAP zuzugreifen. Dieser Zustand tritt auf, wenn sich das ICAP im Modus Response Modification (RESPMOD) befindet.

    [NSHELP-33403]

  • Die NetScaler ADC-Appliance kann Logstream-Daten nicht konsistent von Partitionen senden.

    [NSHELP-33237]

  • Die NetScaler ADC-Appliance bricht die Verbindung ab, wenn der Chunk-Wert nicht analysiert werden kann. Dieses Problem tritt auf, wenn der Transfer-Encoding-Header mehrere Werte hat und Chunked nicht der erste Wert ist.

    [NSHELP-32420]

  • Die mit einem SSL-Dienst konfigurierte NetScaler ADC-Appliance stürzt ab, wenn die Appliance ein TCP-FIN-Steuerpaket empfängt, gefolgt von einem TCP-RESET-Steuerpaket.

    [NSHELP-31656]

  • Eine NetScaler ADC-Appliance kann eine ICA-Verbindung nicht verfolgen. Der Grund für dieses Problem ist, dass “nstrace” während der Paketerfassung einige Pakete ausschließt, wenn IP- oder PORT-Filter mit “start nstrace” verwendet werden.

    [NSHELP-29009]

Benutzeroberfläche

  • Auf der Management Service-Lizenzseite werden die gepoolten Lizenzinformationen nicht aktualisiert, wenn Sie den Lizenzknoten aufrufen oder ihn aktualisieren. Stattdessen werden die gepoolten Lizenzinformationen nur aktualisiert, wenn Sie sich ab- und erneut anmelden.

    [NSHELP-33203]

  • Wenn ein Benutzer die Bindung in einer Content Switching-Richtlinie betrachtet, werden die Details des virtuellen Content Switching-Servers nicht in derselben Zeile unter Bindungen anzeigen angezeigt.

    [NSHELP-33149]

  • Unterstützung der Abschaltoption in der Shutdown-NITRO-API

    Die shutdown NITRO-API unterstützt jetzt die Option “-p now” zum Herunterfahren und Ausschalten einer NetScaler ADC-Appliance.

    Beispiel:

    Im folgenden Beispiel einer Curl-Anfrage wird die shutdown NITRO-API mit der Option “-p now” verwendet, um eine NetScaler ADC-Appliance mit der IP-Adresse 192.0.0.33 herunterzufahren und auszuschalten.

    `curl -v -X POST -H Content-Type: application/json -u nsroot:examplepassword http://192.0.0.33/nitro/v1/config/install?warning=yes -d ‘{“shutdown”: {“args”:”-p now”}}’`

    [NSHELP-32915]

  • Wenn ein Benutzer eine Verkehrsrichtlinie an einen virtuellen Content Switching- oder Load Balancing-Server bindet, werden die Bindungsdetails nicht in der GUI angezeigt.

    [NSHELP-32751]

  • In einer NetScaler ADC-Appliance mit Admin-Partitionen geht die Parametereinstellung “ns” innerhalb der Partition nach einem Neustart verloren. Dieser Zustand tritt aufgrund der falschen integrierten Konfiguration auf.

    [NSHELP-32486]

  • Wenn in der NetScaler ADC-GUI ein vorhandenes SNMP-Trap-Ziel unter System>SNMP>Trapsvorhanden ist, schlägt das Bearbeiten dieses Ziels mit der folgenden Fehlermeldung fehl:

    • “Fehler beim Abrufen des SNMP-Traps”

    [NSHELP-31661]

  • In einem Hochverfügbarkeits-Setup gehen die verschlüsselten Konfigurationen nach der HA-Konfigurationssynchronisierung auf dem sekundären Knoten verloren.

    [NSHELP-30897]

Bekannte Probleme

Die in Version 13.0-89.7 vorhandenen Probleme.

Authentifizierung, Autorisierung und Auditing

  • Single Sign-On (SSO) schlägt fehl, wenn SSO für den Datenverkehr aktiviert ist, der nicht über das für die Verarbeitung von SSO erforderliche Trägertoken verfügt.

    [NSHELP-31362]

  • Nicht-ASCII-Zeichen werden in nsvpn.log aufgezeichnet, wenn die LDAP-Aktion für einen FQDN anstelle einer IP-Adresse konfiguriert ist.

    [ NSHELP-27281 ]

  • In bestimmten Szenarien schlägt der Befehl Authentifizierung, Autorisierung und Überwachung binden möglicherweise fehl, wenn der Richtlinienname länger als der Name der Intranetanwendung ist.

    [NSHELP-25971]

  • Die Citrix ADC-Appliance gibt den Kern ab, wenn NOAUTH als erster Faktor konfiguriert ist, und Negotiate als der nachfolgende Faktor im 401-basierten Authentifizierungsfluss.

    [NSHELP-25203]

  • Wenn das Admin-Kennwort für LDAP-, RADIUS- oder TACACS-Dienste das Zeichen in doppelten Anführungszeichen (“) enthält, entfernt die Citrix ADC-Appliance es während der Prüfung “Konnektivität testen”, was zu einem Verbindungsfehler führt.

    [NSHELP-23630]

  • Die DUO-Authentifizierung schlägt fehl, wenn die Content Security Policy (CSP) -Funktion auf der NetScaler ADC-Appliance aktiviert ist.

    [ NSAUTH-12687 ]

  • Administratoren können keine benutzerdefinierte Protokollierung für Authentifizierungsfehler durchführen, die auf ungültige Anmeldeinformationen zurückzuführen sind. Dieses Problem tritt auf, weil die Citrix ADC-Responder-Richtlinien Fehler für Anmeldefehler nicht erkennen können.

    [ NSAUTH-11151 ]

  • Das ADFS-Proxy-Profil kann in einer Clusterbereitstellung konfiguriert werden. Der Status für ein Proxy-Profil wird fälschlicherweise als leer angezeigt, wenn der folgende Befehl ausgegeben wird.
    show adfsproxyprofile <profile name>

    Problemumgehung: Stellen Sie eine Verbindung zum primären aktiven Citrix ADC im Cluster her und führen Sie den Befehl show adfsproxyprofile <profile name> aus. Er zeigt den Status des Proxyprofils an.

    [ NSAUTH-5916 ]

Citrix ADC SDX-Appliance

  • Wenn Sie eine Citrix ADC SDX-Appliance aktualisieren, wird in seltenen Fällen das folgende falsche Ereignis in der Management Service-GUI angezeigt:

    “SVM-Version und Hypervisor-Version sind nicht kompatibel”

    [NSHELP-32949]

  • Auf einer Citrix ADC SDX-GUI kann das Anzeigen der NTP-Server die Benutzeroberfläche einfrieren, wenn die NTP-Konfigurationsdatei (ntp.conf) nur Leerzeichen in einer der Zeilen enthält.

    [NSHELP-31530]

Citrix Gateway

  • Wenn die Registrierungswerte für Citrix Secure Access mehr als 1500 Zeichen umfassen, kann der Log Collector die Fehlerprotokolle nicht erfassen.

    [NSHELP-33457]

  • Der Citrix Secure Access-Client, Version 21.7.1.2 und höher, kann für Benutzer ohne Administratorrechte nicht auf neuere Versionen aktualisiert werden. Dieses Problem tritt nur auf, wenn das Citrix Secure Access-Client-Upgrade von einer Citrix ADC-Appliance aus durchgeführt wird.

    [NSHELP-32793]

  • Wenn Benutzer auf dem Citrix Secure Access-Bildschirm für Windows auf die Registerkarte Startseite klicken, wird auf der Seite der Fehler “Verbindung verweigert” angezeigt.

    [NSHELP-32510]

  • Auf einem Mac-Gerät, das Chrome verwendet, stürzt die VPN-Erweiterung beim Zugriff auf zwei FQDNs ab.

    [NSHELP-32144]

  • Die Debug-Protokollierungssteuerung für den Citrix Secure Access-Client ist jetzt unabhängig von Citrix Gateway und kann über die Plugin-Benutzeroberfläche sowohl für den Computer als auch für den Benutzertunnel aktiviert oder deaktiviert werden.

    [NSHELP-31357, CGOP-21192]

  • Wenn Always on konfiguriert ist, schlägt der Benutzertunnel aufgrund der falschen Versionsnummer (1.1.1.1) in der Datei aoservice.exe fehl.

    [NSHELP-30662]

  • Benutzer können keine Verbindung zur Citrix Gateway-Appliance herstellen, nachdem sie den Profilparameter “networkAccessOnVPNFailure” von “fullAccess” auf “onlyToGateway” geändert haben.

    [NSHELP-30236]

  • Die Gateway-Startseite wird nicht sofort angezeigt, nachdem das Gateway-Plug-in den VPN-Tunnel erfolgreich eingerichtet hat Um dieses Problem zu beheben, wird der folgende Registrierungswert eingeführt.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Typ: DWORD

    Standardmäßig wird dieser Registrierungswert nicht festgelegt oder hinzugefügt. Wenn der Wert von “SecureChannelResetTimeoutSeconds” 0 ist oder nicht hinzugefügt wird, funktioniert der Fix zur Behandlung der Verzögerung nicht. Dies ist das Standardverhalten. Der Administrator muss diese Registrierung auf dem Client einrichten, um das Update zu aktivieren (das heißt, die Homepage wird sofort angezeigt, nachdem das Gateway-Plug-in den VPN-Tunnel erfolgreich eingerichtet hat).

    [NSHELP-30189]

  • Der Windows VPN-Client berücksichtigt die Warnung “SSL-Benachrichtigung zum Schließen” des Servers nicht und sendet die Anmeldeanforderung für die Übertragung über dieselbe Verbindung.

    [ NSHELP-29675 ]

  • Die Clientzertifikatauthentifizierung schlägt für Citrix SSO für macOS fehl, wenn der macOS-Schlüsselbund keine Clientzertifikate enthält.

    [ NSHELP-28551 ]

  • Manchmal wird ein Benutzer innerhalb weniger Sekunden bei Citrix Gateway abgemeldet, wenn das Timeout im Leerlauf des Clients festgelegt ist.

    [ NSHELP-28404 ]

  • Das Citrix Gateway-Gerät stürzt möglicherweise bei der Verarbeitung vom Server initiierten UDP-Datenverkehr ab.

    [ NSHELP-27611 ]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn Async blockiert ist und Sie die Richtlinienkonfiguration für den Content Switching ändern.

    [NSHELP-27570]

  • Das Citrix Gateway-Gerät stürzt möglicherweise ab, wenn in der Sitzungsrichtlinie eine unbekannte VPN-Clientoption festgelegt ist

    [NSHELP-27380]

  • Beim Erstellen eines RDP-Clientprofils über die Citrix ADC GUI wird eine Fehlermeldung angezeigt, wenn die folgenden Bedingungen erfüllt sind:

    • Ein standardmäßiger Pre-Shared Key (PSK) ist konfiguriert.
    • Sie versuchen, den Gültigkeitszeitgeber für RDP-Cookies im Feld RDP-Cookie-Gültigkeit (Sekunden) zu ändern.

    [ NSHELP-25694 ]

  • Der Gateway Insight zeigt keine genauen Informationen über die VPN-Benutzer an.

    [ NSHELP-23937 ]

  • Die Befehlsausgabe “show tunnel global” enthält erweiterte Richtliniennamen. Zuvor wurden in der Ausgabe die erweiterten Richtliniennamen nicht angezeigt.

    Beispiel:

    Neue Ausgabe:

    Zeige den globalen Tunnel
    Richtlinienname: ns_tunnel_nocmp Priorität: 0

    Richtlinienname: ns_adv_tunnel_nocmp Typ: Erweiterte
    Richtlinienpriorität: 1
    Globaler Bindpunkt: REQ_DEFAULT

    Richtlinienname: ns_adv_tunnel_msdocs Typ: Erweiterte
    Richtlinienpriorität: 100
    Globaler Bindpoint: RES_DEFAULT
    Fertig

    Vorherige Ausgabe:

    Zeige den globalen Tunnel
    Richtlinienname: ns_tunnel_nocmp Priorität: 0 Deaktiviert

    Erweiterte Richtlinien:

    Globaler Bindpoint: REQ_DEFAULT
    Anzahl der gebundenen Richtlinien: 1

    Fertig

    [ NSHELP-23496 ]

  • Manchmal erscheint beim Durchsuchen von Schemas die Fehlermeldung “Cannot read property ‘type’ of undefined”.

    [ NSHELP-21897 ]

  • Die Windows-Betriebssystemoption ist in der Dropdownliste des Expression Editors für Vorauthentifizierungsrichtlinien und Authentifizierungsaktionen auf der Citrix ADC GUI nicht aufgeführt. Wenn Sie den Windows-Betriebssystemscan jedoch bereits in einem früheren Citrix ADC-Build mithilfe der GUI oder der CLI konfiguriert haben, hat das Upgrade keine Auswirkungen auf die Funktionalität. Sie können die CLI verwenden, um bei Bedarf Änderungen vorzunehmen.

    Workaround:

    Verwenden Sie die CLI-Befehle für die Konfiguration.

    • Verwenden Sie den folgenden Befehl, um die erweiterte EPA-Aktion in der nFactor-Authentifizierung zu konfigurieren.
      Authentifizierung hinzufügen ePAAction adv_win_scan -csecexpr “sys.client_expr (“sys_0_Win-OS_Name_Anyof_Win-10 [KOMMENTAR: Windows OS]”)”
    • Verwenden Sie die folgenden Befehle, um eine klassische Vorauthentifizierungsaktion zu konfigurieren.
      aaa preauthenticationaction hinzufügen win_scan_action ALLOW
      add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM (‘Win-OS_Name_anyof_WIN-10 [KOMMENTAR: Windows OS] ‘) EXISTIERT” win_scan_action

    [CGOP-22966]

  • In einem Citrix ADC-Cluster-Setup können HDX Insight und Gateway Insight nicht gleichzeitig aktiviert werden.

    [CGOP-22849]

  • Ein Fehler beim Start der Anwendung aufgrund eines ungültigen STA-Tickets wird in Gateway Insight nicht gemeldet.

    [ CGOP-13621 ]

  • Im Gateway Insight-Bericht wird fälschlicherweise der Wert “Local” statt “SAML” im Feld Authentifizierungstyp für SAML-Fehler angezeigt.

    [ CGOP-13584 ]

  • In einem Hochverfügbarkeitssetup wird während des Citrix ADC-Failovers die SR-Anzahl anstelle der Failover-Anzahl in Citrix ADM erhöht.

    [ CGOP-13511 ]

  • Während lokale Hostverbindungen vom Browser aus akzeptiert werden, zeigt das Dialogfeld “Verbindung akzeptieren für macOS” Inhalte in englischer Sprache an, unabhängig von der ausgewählten Sprache.

    [ CGOP-13050 ]

  • Der Text “Homepage” in der Citrix SSO-App > Startseite ist für einige Sprachen gekürzt.

    [ CGOP-13049 ]

  • Eine Fehlermeldung wird angezeigt, wenn Sie eine Sitzungsrichtlinie über die Citrix ADC-GUI hinzufügen oder bearbeiten.

    [ CGOP-11830 ]

  • Wenn Sie in Outlook Web App (OWA) 2013 im Menü Einstellungen auf Optionen klicken, wird das Dialogfeld Kritischer Fehler angezeigt. Außerdem reagiert die Seite nicht mehr.

    [ CGOP-7269 ]

Lastausgleich

  • In einem Hochverfügbarkeitssetup werden Teilnehmersitzungen des primären Knotens möglicherweise nicht mit dem sekundären Knoten synchronisiert. Dies ist ein seltener Fall.

    [ NSLB-7679 ]

  • In bestimmten Szenarien zeigen Server, die an eine Dienstgruppe gebunden sind, einen ungültigen Cookie-Wert an. Sie können den richtigen Cookie-Wert in den Ablaufverfolgungsprotokollen sehen.

    [NSHELP-21196]

  • In einem Cluster-Setup wird die IP-Adresse des GSLB-Dienstes nicht in der GUI angezeigt, wenn über virtuelle GSLB-Serverbindungen zugegriffen wird. Dies ist nur ein Anzeigeproblem und es hat keine Auswirkungen auf die Funktionalität.

    [ NSHELP-20406 ]

Sonstiges

  • Die Citrix ADC-Appliance legt die Puffergröße für die Webserver-Logging-Funktion auf einen falschen Standardwert von 3 MB statt 16 MB fest.

    [NSHELP-32429]

  • Die AlwaysOnAllow Listenregistrierung funktioniert nicht wie erwartet, wenn der Registrierungswert größer als 2000 Byte ist.

    [NSHELP-31836]

  • Die Citrix ADC CPX-Instanz, die auf einem Linux-System mit 64-Bit-Architektur und 1 TB Dateispeicher ausgeführt wird, kann jetzt Zertifikat- und Schlüsseldateien laden.

    [NSHELP-28986]

Netzwerke

  • In einer Citrix ADC BLX-Appliance funktioniert NSVLAN, das an markierte Nicht-DPDK-Schnittstellen gebunden ist, möglicherweise nicht wie erwartet. NSVLAN, das an ungetaggte Nicht-DPDK-Schnittstellen gebunden ist, funktioniert einwandfrei.

    [NSNET-18586]

  • Die folgenden Schnittstellenvorgänge werden für Intel X710 10G (i40e)-Schnittstellen auf einer Citrix ADC BLX-Appliance mit DPDK nicht unterstützt:

    • Deaktivieren
    • Aktivieren
    • Reset

    [NSNET-16559]

  • Auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) wird eine Citrix ADC BLX-Appliance unabhängig von den Einstellungen der BLX-Konfigurationsdatei (“/etc/blx/blx.conf”) immer im Shared-Modus bereitgestellt. Dieses Problem tritt auf, weil “mawk”, das auf Debian-basierten Linux-Systemen standardmäßig vorhanden ist, einige der in der Datei “blx.conf” enthaltenen awk-Befehle nicht ausführt.

    Problemumgehung: Installieren Sie “gawk”, bevor Sie eine Citrix ADC BLX-Appliance installieren. Sie können den folgenden Befehl in der Linux-Host-CLI ausführen, um “gawk” zu installieren:

    • apt-get install gawk

    [NSNET-14603]

  • Die Installation einer Citrix ADC BLX-Appliance schlägt möglicherweise auf einem Debian-basierten Linux-Host (Ubuntu Version 18 und höher) mit dem folgenden Abhängigkeitsfehler fehl:

    “The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable”

    Problemumgehung: Führen Sie die folgenden Befehle in der Linux-Host-CLI aus, bevor Sie eine Citrix ADC BLX-Appliance installieren:

    • dpkg — Architektur hinzufügen i386
    • apt-get update
    • apt-get install libc6:i386

    [NSNET-14602]

  • In einem großen NAT44-Setup kann die Citrix ADC-Appliance aus dem folgenden Grund beim Empfang von SIP-Verkehr abstürzen:

    • Das LSN-Modul findet den Dienst nicht, während es den Referenzzähler verringert oder den Dienst löscht.

    [ NSHELP-29134 ]

  • In einem großen NAT44-Setup kann die Citrix ADC-Appliance aus dem folgenden Grund beim Empfang von SIP-Verkehr abstürzen:

    • Wegen veralteter Filtereingabe.

    [NSHELP-28895]

  • In einer großen NAT44-Bereitstellung kann die Citrix ADC-Appliance aus folgendem Grund beim Empfangen von SIP-Verkehr abstürzen:

    • Das LSN-Modul hat auf den Speicherplatz eines bereits gelöschten Dienstes zugegriffen.

    [ NSHELP-28815 ]

  • In einem Hochverfügbarkeits-Setup wird die für dynamisches Routing aktivierte SNIP-Adresse beim Neustart nicht VTYSH ausgesetzt, wenn die folgende Bedingung erfüllt ist:

    • Eine für dynamisches Routing aktivierte SNIP-Adresse ist an das freigegebene VLAN in einer nicht standardmäßigen Partition gebunden.

    Als Teil des Fix erlaubt die Citrix ADC-Appliance jetzt nicht, eine für dynamische Routing aktivierte SNIP-Adresse an das freigegebene VLAN in einer nicht standardmäßigen Partition zu binden

    [NSHELP-24000]

Plattform

  • Das Hochverfügbarkeitsfailover funktioniert nicht in AWS- und GCP-Clouds. Die Verwaltungs-CPU erreicht möglicherweise ihre Kapazität von 100% in AWS- und GCP-Clouds und Citrix ADC VPX on-premises. Beide Probleme werden verursacht, wenn die folgenden Bedingungen erfüllt sind:

    1. Beim ersten Start der Citrix ADC-Appliance speichern Sie das angeforderte Kennwort nicht.
    2. Anschließend starten Sie die Citrix ADC-Appliance neu.

    [ NSPLAT-22013 ]

  • Einige Python-Pakete werden nicht installiert, wenn Sie die Citrix ADC-Appliance von Version 13.1-4.x und höheren Versionen auf eine der folgenden Versionen herabstufen:

    • Jeder 11.1-Build
    • 12.1-62,21 und früher
    • 13.0-81.x und früher

    [NSPLAT-21691]

  • Auf der Citrix ADC SDX 8015/8400/8600-Plattform sehen Sie möglicherweise einen erhöhten Speicherverbrauch auf Xen Server.
    Problemumgehung: Führen Sie den folgenden Befehl auf dem Xen Server aus und starten Sie dann die Appliance neu.
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024 m, max:1024 m”

    [NSHELP-32260]

  • Während des Citrix ADC VPX HA-Failovers schlägt die elastische IP-Adressverschiebung in der AWS-Cloud fehl, wenn Sie ein IPset konfigurieren, ohne das IPset an eine IP-Adresse zu binden.

    [ NSHELP-29425 ]

  • Das HA-Failover für die Citrix ADC VPX-Instanz in der GCP- und AWS-Cloud schlägt fehl, wenn das Kennwort eines RPC-Knotens ein Sonderzeichen enthält.

    [NSHELP-28600]

Policies

  • Verbindungen können hängen, wenn die Größe der Verarbeitungsdaten größer ist als die konfigurierte Standard-TCP-Puffergröße.

    Problemumgehung: Stellen Sie die TCP-Puffergröße auf die maximale Größe der Daten ein, die verarbeitet werden müssen.

    [ NSPOLICY-1267 ]

SSL

  • Wenn ein virtueller Server einen TLS 1.3-Datensatz mit ungültigem Padding empfängt, sendet er statt einer “unerwartet_message” -Warnung eine fatale Warnung “decode_error”.

    [NSSSL-11890]

  • Auf einem heterogenen Cluster von Citrix ADC SDX 22000 und Citrix ADC SDX 26000 Appliances kommt es zu einem Konfigurationsverlust von SSL-Entitäten, wenn die SDX 26000-Appliance neu gestartet wird.

    Workaround:

    1. Deaktivieren Sie auf dem CLIP SSLv3 für alle vorhandenen und neuen SSL-Entitäten wie virtuellen Server, Dienst, Dienstgruppe und interne Dienste. Beispiel: set ssl vserver <name> -SSL3 DISABLED.
    2. Speichern Sie die Konfiguration.

    [NSSSL-9572]

  • Sie können kein Azure Key Vault-Objekt hinzufügen, wenn bereits ein Azure Key Vault-Authentifizierungsobjekt hinzugefügt wurde.

    [NSSSL-6478]

  • Sie können mehrere Azure Application Entitäten mit derselben Client-ID und demselben Clientgeheimnis erstellen. Die Citrix ADC-Appliance gibt keinen Fehler zurück.

    [NSSSL-6213]

  • Die folgende falsche Fehlermeldung wird angezeigt, wenn Sie einen HSM-Schlüssel entfernen, ohne KEYVAULT als HSM-Typ anzugeben.
    FEHLER: CRL-Aktualisierung deaktiviert

    [NSSSL-6106]

  • Die automatische Aktualisierung des Sitzungsschlüssels wird fälschlicherweise auf einer Cluster-IP-Adresse als deaktiviert angezeigt. (Diese Option kann nicht deaktiviert werden.)

    [NSSSL-4427]

  • Wenn Sie versuchen, das SSL-Protokoll oder die Verschlüsselung im SSL-Profil zu ändern, wird eine falsche Warnmeldung mit dem Titel “Warnung: Keine verwendbaren Verschlüsselungen konfiguriert auf dem SSL vserver/service” angezeigt.

    [NSSSL-4001]

System

  • In einer Citrix ADC-Appliance verursacht der Standardwert des Parameters “maxHeaderFieldLen” im HTTP-Profil das folgende Problem.

    • Verkehrsausfall nach dem Upgrade auf 13.0 Build.

    [NSHELP - 32079]

  • Ein hoher RTT wird für eine TCP-Verbindung beobachtet, wenn die folgende Bedingung erfüllt ist:

    • ein hohes maximales Überlastungsfenster (>4 MB) ist eingestellt
    • Der TCP-NILE-Algorithmus ist aktiviert

    Damit eine Citrix ADC-Appliance den NILE-Algorithmus zur Überlastungskontrolle verwenden kann, müssen die Bedingungen den Schwellenwert für den langsamen Start überschreiten, der mit dem Fenster für maximale Überlastung gekoppelt ist.

    Bis das maximal konfigurierte Überlastungsfenster erreicht ist, akzeptiert der Citrix ADC weiterhin Daten und endet mit einem hohen RTT.

    [NSHELP-31548]

  • Eine Citrix ADC-Appliance stürzt möglicherweise ab, wenn die folgende Bedingung erfüllt ist:

    • Sowohl das Analyseprofil als auch die AppFlow-Richtlinie sind gebunden, und für das Profil ist die Option “HttpAllHDRS” aktiviert.

    [NSHELP-30628]

  • Die Citrix ADC-Appliance meldet einen falschen SNMP-Alarm auf den SYN-Flood-Zählern des Dienstes.

    [NSHELP-28710, NSHELP-28713]

  • Erhöhte Neuübertragungen von Paketen sind in öffentlichen Cloud-MPTCP-Cluster-Bereitstellungen zu beobachten, wenn Linkset deaktiviert ist.

    [NSHELP-27410]

  • Eine Citrix ADC-Appliance sendet möglicherweise ein ungültiges TCP-Paket zusammen mit TCP-Optionen wie SACK-Blöcken, Zeitstempel und MPTCP-Daten-ACK bei MPTCP-Verbindungen.

    [NSHELP-27179]

  • Eine Nichtübereinstimmung in Logstream-Datensätzen wird in der Citrix ADC-Appliance und im Datenlader beobachtet.

    [NSHELP-25796]

  • In bestimmten Szenarien verfehlen bei der nstrace-Paketerfassung alle Pakete, wenn Sie den IP-Adressbasierten Filter anwenden.

    [ NSHELP-23483 ]

  • Wenn Sie Citrix ADM auf einem Kubernetes-Cluster installieren, funktioniert es nicht wie erwartet, da die erforderlichen Prozesse möglicherweise nicht ausgeführt werden.

    Problemumgehung: Starten Sie den Management-Pod neu.

    [NSBASE - 15556]

  • In einer Cluster-Konfiguration wird ein Knoten mit CCO-Priorität aufgrund von Netzwerkproblemen von Open vSwitch (OVS) getrennt. Nachdem der Knoten wieder in die Cluster-Konfiguration aufgenommen wurde, erhält er nicht das neueste SYN-Cookie.

    [NSBASE - 14419]

Benutzeroberfläche

  • Der Assistent zum Erstellen/Überwachen von CloudBridge Connector reagiert möglicherweise nicht oder konfiguriert keinen Cloudbridge-Konnektor.

    Problemumgehung: Konfigurieren Sie Cloudbridge-Connectors, indem Sie IPSec-Profile, IP-Tunnel und PBR-Regeln mithilfe der Citrix ADC GUI oder CLI hinzufügen.

    [NSUI-13024]

  • Das Ändern einer statischen Route mithilfe der Citrix ADC-GUI (System > Netzwerk > Routen) schlägt möglicherweise fälschlicherweise mit der folgenden Fehlermeldung fehl:

    • “Erforderliches Argument fehlt [Gateway]”

    [NSHELP-32024]

  • In einem HA-/Cluster-Setup schlägt die Konfigurationssynchronisierung fehl, wenn Sie andere SSH-Schlüssel als RSA konfiguriert haben. Zum Beispiel ECDSA- oder DSA-Schlüssel.

    [NSHELP-31675]

  • In einer Citrix ADC-Appliance schlägt das Binden der Cache-Richtlinie zum Überschreiben von global oder default global über die GUI-Schnittstelle mit dem folgenden Fehler fehl:

    • Erforderliches Argument fehlt.

    Dieser Fehler tritt beim Binden der Cache-Richtlinie über die CLI-Schnittstelle nicht auf.

    [NSHELP-30826]

  • Aufgrund einer falschen Upgrade-Installationsreihenfolge tritt das folgende Problem in der Citrix ADC-Appliance auf.

    • Das Kernel-Image wird zuerst aktualisiert und nach einigen Schritten werden die Verschlüsselungsschlüssel kopiert. Zwischen diesen Schritten tritt ein Fehler auf und die ADC Appliance erstellt ein neues Image. Die fehlenden Verschlüsselungsschlüssel im neuen Image führen zu einem Fehler bei der Entschlüsselung und einer fehlenden Konfiguration.

    [ NSHELP-30755 ]

  • Die Citrix ADC GUI generiert möglicherweise fälschlicherweise ein Paket für den technischen Support des Clusters mit nur einem Knoten anstelle aller Clusterknoten.

    [NSHELP-28606]

  • Das Erstellen eines Pakets für den technischen Support für Cluster mithilfe der Citrix ADC GUI schlägt möglicherweise mit einem Fehler fehl.

    [NSHELP-28586]

  • Nach dem Upgrade eines Hochverfügbarkeitssetups oder eines Cluster-Setups auf Version 13.0 Build 74.14 oder höher schlägt die Konfigurationssynchronisierung möglicherweise aus folgendem Grund fehl:

    • Sowohl die privaten als auch die öffentlichen Schlüssel “ssh_host_rsa_key” sind ein falsches Paar.

    Problemumgehung: Generieren Sie “ssh_host_rsa_key” neu. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX322863.

    [NSHELP-27834]

  • Sie können einen Dienst oder eine Dienstgruppe nicht über die Citrix ADC GUI an einen virtuellen Lastausgleichsserver mit Priorität binden.

    [ NSHELP-27252 ]

  • In einem Hochverfügbarkeitssetup werden VPN-Benutzersitzungen getrennt, wenn die folgende Bedingung erfüllt ist:

    • Wenn zwei oder mehr aufeinanderfolgende manuelle HA-Failover-Vorgänge durchgeführt werden, während die HA-Synchronisierung läuft.

    Problemumgehung: Führen Sie ein aufeinanderfolgendes manuelles HA-Failover erst durch, nachdem die HA-Synchronisierung abgeschlossen ist (beide Knoten befinden sich im Status “Synchronisierung erfolgreich”).

    [ NSHELP-25598 ]

  • Manchmal dauert es lange, bis die Firewall-Signaturen der Anwendung mit Nicht-CCO-Knoten synchronisiert werden. Daher können Befehle, die diese Dateien verwenden, fehlschlagen.

    [NSCONFIG-4330]

  • Wenn Sie (Systemadministrator) alle folgenden Schritte auf einer Citrix ADC-Appliance ausführen, können sich die Systembenutzer möglicherweise nicht bei der heruntergestuften Citrix ADC-Appliance anmelden.

    1. Aktualisieren Sie die Citrix ADC-Appliance auf einen der Builds
      • Build 13.0 52.24
      • Build 12.1 57.18
      • Build 11.1 65.10
    2. Fügen Sie einen Systembenutzer hinzu oder ändern Sie das Kennwort eines vorhandenen Systembenutzers und speichern Sie die Konfiguration und
    3. Downgrade der Citrix ADC-Appliance auf einen älteren Build.

    Um die Liste dieser Systembenutzer mithilfe der CLI anzuzeigen: Geben Sie
    in der Befehlszeile Folgendes ein:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Problemumgehung: Verwenden Sie eine der folgenden unabhängigen Optionen, um dieses Problem zu beheben:

    • Wenn die Citrix ADC-Appliance noch nicht heruntergestuft ist (Schritt 3 in den oben genannten Schritten), stufen Sie die Citrix ADC-Appliance mit einer zuvor gesicherten Konfigurationsdatei (ns.conf) desselben Release-Builds herunter.
    • Jeder Systemadministrator, dessen Kennwort im aktualisierten Build nicht geändert wurde, kann sich beim heruntergestuften Build anmelden und die Kennwörter für andere Systembenutzer aktualisieren.
    • Wenn keine der oben genannten Optionen funktioniert, kann ein Systemadministrator die Systembenutzerkennwörter zurücksetzen.

    Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

    [NSCONFIG-3188]

Versionshinweise für die NetScaler ADC Version 13.0-89.7