ADC

查看 PDF

Citrix ADC 13.0-71.44 版本的发行说明

May 11, 2023

投稿者:

本发行说明文档介绍了 Citrix ADC 版本 Build 13.0-71.44 中存在的增强和更改、已修复和已知问题。

备注

本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表，请参阅 Citrix 安全公告。
Build 13.0-71.44 取代了 Build 13.0-71.40。
此版本添加了一项增强功能，以消除针对 DTLS 的 DDoS 式攻击的敏感性，如中所述 https://support.citrix.com/article/CTX289674。
此版本还包括对先前 Citrix ADC 13.0 版本中存在的以下问题的修复：NSAUTH-9475。

新增功能

版本 13.0-71.44 中提供的增强和更改。

身份验证、授权和审核

Azure 政府在Microsoft Intune 集成中支持令牌身份验证

在 Citrix Gateway 和Microsoft Intune 集成场景中，Citrix Gateway 现在支持用于 Microsoft Active Directory 库 (ADAL) 令牌身份验证的 Microsoft Azure 政府基础以前，仅支持 Microsoft Azure 商用基础架构。

[NSAUTH-8246]

Citrix ADC SDX 设备

从 ADC 实例删除接口或通道后，管理服务可能无法访问该实例。通过此更改，如果您的 Citrix ADC SDX 设备正在运行 13.0 build 71.x 及更高版本或版本 12.1 build 60.x 及更高版本，则无法从管理服务中删除 ADC 实例上的接口或通道。

[NSSVM-3442]

Citrix Gateway

在 Windows 插件上支持动态安全 DNS 更新

适用于 Windows 的 VPN 插件现在支持安全 DNS 更新。默认情况下，此功能处于禁用状态。要启用它，请创建 REG_DWORD 类型的 HKEY_LOCAL_MACHINESOFTWARECitrixSecure Access ClientsecureDNSUpdat 值并将其设置为 1。
- 将该值设置为 1 时，VPN 插件会先尝试不安全的 DNS 更新。如果不安全的 DNS 更新失败，VPN 插件会尝试安全 DNS 更新。
- 要仅尝试安全 DNS 更新，可以将该值设置为 2。
[CGOP-13788]

Citrix Web App Firewall

使用 Bot Mobile SDK 的移动 (Android) 应用程序的设备指纹识别机器人检测技术

设备指纹识别机器人检测机制现已增强，可以保护移动 (Android) 应用程序免受机器人攻击。为了检测移动应用程序中的机器人，设备指纹识别检测技术使用机器人移动 SDK。SDK 与移动应用程序集成，用于拦截移动流量、收集客户端和设备详细信息并将数据发送到设备。在设备方面，设备指纹识别机器人检测技术会检查数据并确定连接来自机器人还是人类。

[NSWAF-5983]

负载平衡

可配置的 MEP 计时器支持，可避免 GSLB 站点上的 MEP 波动

现在添加了一个名为 mepKeepAliveTimeout 的新参数，用于配置 MEP 计时器。默认情况下，计时器值设置为 10 秒。以前，计时器的固定值为 4 秒。

如果本地 GSLB 站点未在 MEP 计时器指定的时间范围内从站点衡量 MEP 连接上的远程 GSLB 站点收到任何新数据包（不包括重新传输的数据包和重复确认数据包），Citrix ADC 设备会将连接标记为关闭。并且，再等待 15 秒钟而不终止连接。如果收到任何新数据包，则保留 MEP 连接并将状态标记为 UP。

[NSLB-7342]
支持基于文件的模式集

Citrix ADC 设备现在支持基于文件的模式集。

您可以使用以下命令将新的模式集文件导入 Citrix ADC 设备：
import patsetfile <src> <name> -overwrite -delimiter <char> -charset <ASCII | UTF_8>

您可以使用以下命令更新 Citrix ADC 设备上的现有模式集文件：
update patsetfile <patset filename>

您可以使用以下命令将模式集文件添加到数据包引擎：
add patsetfile <patset filename>

您可以使用以下命令将模式绑定到模式集文件：
add patset <name> -patsetfile <patset filename>

[NSLB-5823]
Citrix ADC 设备上支持 MQTT 协议

Citrix ADC 设备现在原生支持消息队列遥测传输 (MQTT) 协议。MQTT 是用于物联网 (IoT) 的 OASIS 标准消息协议。有了这种支持，Citrix ADC 设备可用于物联网部署来对 MQTT 流量进行负载平衡。

以前，您可以使用协议扩展在 Citrix ADC 设备上配置 MQTT。用户必须编写自己的扩展代码并将扩展文件从 Web 服务器（使用 HTTP）或本地工作站导入 Citrix ADC 设备。

[NSLB-5822]

网络连接

在 Kubernetes 环境中，Citrix ADC CPX 中增加了对 Cilium CNI 的支持

Citrix ADC CPX 现在在 Kubernetes 环境中支持 Cilium CNI。Cilium 是一个开源 CNI，它使用伯克利数据包过滤器 (BPF) 的扩展版本来提高 Kubernetes 上应用程序的可见性、性能和可扩展性。

[NSNET-17264]
将 Citrix ADC 设备配置为从 SNIP 地址获取 Citrix ADC FreeBSD 数据流量

某些 Citrix ADC 数据功能在底层 FreeBSD 操作系统上运行，而不是在 Citrix ADC 操作系统上运行。正因为如此，这些功能发送的流量来自 Citrix ADC IP (NSIP) 地址，而不是来自 SNIP 地址。如果您的设置具有将所有管理和数据流量分开的配置，则不希望从 NSIP 地址获取数据流量。

以下 Citrix ADC 数据功能在底层 FreeBSD 操作系统上运行，发送来自 Citrix ADC IP (NSIP) 地址的流量：
- 负载平衡可编写脚本的监视器
- GSLB 自动同步
为了解决这个问题，引入了全局第 2 层参数“useNetprofilebsdTraffic”。启用此参数后，Citrix ADC 功能会发送来自与该功能关联的网络配置文件中的 SNIP 地址之一的流量。

目前，仅负载平衡可脚本监视器支持第 2 层全局参数“useNetprofilebsdTraffic”。

要将 Citrix ADC 设备配置为从 SNIP 地址获取 GSLB 自动同步流量，可以使用扩展 ACL 和 RNAT 规则作为解决方法。

[NSNET-16274]
基于数据集的扩展 ACL

企业需要大量 ACL。当需要频繁更改时，配置和管理大量 ACL 非常困难和繁琐。

Citrix ADC 设备现在支持扩展 ACL 中的数据集。数据集是 Citrix ADC 设备的现有功能。数据集是一组索引模式的类型：数字（整数）、IPv4 地址或 IPv6 地址。

扩展 ACL 中的数据集支持对于创建需要通用 ACL 参数的多个 ACL 规则非常有用。创建 ACL 规则时，您可以指定包含这些常用参数的数据集，而不是指定常用参数。

对数据集所做的任何更改都将自动反映在使用此数据集的 ACL 规则中。包含数据集的 ACL 更易于配置和管理。它们也比传统 ACL 更小且易于阅读。

目前，Citrix ADC 设备仅支持扩展 ACL 的 IPv4 地址类型数据集。

[NSNET-8252]

平台

Citrix ADC VPX 实例上支持 VMware ESX 7.0

Citrix ADC VPX 实例现在支持 VMware ESX Hypervisor 7.0 版本 1632494。

[NSPLAT-16902]
AWS Top Secret (C2S) 区域支持已扩展到所有 Citrix ADC 版本

AWS Top Secret (C2S) 区域现在支持以下 Citrix ADC 版本以及 BYOL 自带许可证 (BYOL)：
- Standard Edition
- 高级版
- Premium Edition
以前，AWS 绝密区域仅支持 BYOL 订阅。
AWS 绝密区域可随时通过与 AWS 签订的商业云服务 (C2S) 合同获得。

[NSPLAT-9195]

策略

CONTAINS 函数中支持动态表达式以优化高级策略的使用

以下方法的参数是静态的：
- contains()
- after_str ()
- before_str()
- substr(),
- strip_end_chars()
- strip_chars()
- strip_start_chars()
[NSPOLICY-3545]

SSL

支持在 TLS 1.3 连接中将加密操作转移到 Intel Coleto 加密芯片

在 TLS 1.3 连接中，现在增加了支持，将加密操作转移到特定 Citrix ADC MPX 平台上的 Intel Coleto 加密芯片。

支持 Intel Coleto 芯片附带的以下设备：
- MPX 5900
- MPX/SDX 8900
- MPX/SDX 15000
- MPX/SDX 15000-50G
- MPX/SDX 26000
- MPX/SDX 26000-50S
- MPX/SDX 26000-100G
除 Citrix ADC FIPS 设备外，所有其他 Citrix ADC MPX 和 SDX 设备均仅提供对 TLSv1.3 协议的软件支持。

[NSSSL-7453]
现在，所有使用者备用名 (SAN) 值都显示在证书中

现在，当显示证书的详细信息时，Citrix ADC 设备会显示所有 SAN 值。

[NSSSL-5978]
对 TLSv1.3 协议的策略支持

当为连接协商 TLSv1.3 协议时，检查从客户端收到的 TLS 数据的策略规则现在会触发配置的操作。
例如，如果以下策略规则返回 true，则流量将转发到操作中定义的虚拟服务器。
add ssl action action1 -forward vserver2
add ssl policy pol1 -rule client.ssl.client_hello.sni.contains(xyz) -action action1

[NSSSL-869]

系统

显示负载平衡虚拟服务器的 CPU 使用率（以千分之一为单位）

新的计数器“CPU-PM”现在以千分之一（千分之一）为单位显示CPU使用率的统计数据。例如，500 必须读为 500/1000，等于 50%。

在 GUI 中，导航到流量管理 > 虚拟服务器 > 负载平衡 > 统计信息

[NSBASE-11304]
支持在超时时重试请求

请求重试现在可用于另一种情况，即如果后端服务器花费更多时间来响应请求，设备会在超时时时执行重新负载平衡并将请求转发到下一个可用服务器。以前，设备一直在等待服务器响应，这导致 RTT 增加。
要执行超时，可以在 appqoe 操作中配置一个新参数 retryonTimeout。最小值：30 毫秒
最大值：2000。

要使用 CLI 配置请求在超时时重试，请执行以下操作：
add appqoe action <name> -retryOnTimeout <msecs>

示例
“add appqoe action appact1 -retryOnTimeout 35”

[NSBASE-10914]
处理对 MPTCP 群集部署的本地连接支持并保留连接

MPTCP 连接现在支持云端和本地 Citrix ADC 群集部署中的“处理本地”和“保留连接”功能。

[NSBASE-10734]
AppFlow 记录中与响应者响应相关的信息

Citrix ADC 设备生成的 AppFlow 记录现在包含与响应者响应相关的信息。

[NSBASE-10634]
支持更大的 HTTP 标头大小

Citrix ADC 设备现在可以处理较大的标头大小的 HTTP 请求，以满足 L7 应用程序请求。HTTP 请求的标头大小增加到 128 KB。

[NSBASE-7957]

已修复的问题

版本 13.0-71.44 中解决的问题。

身份验证、授权和审核

在某些情况下，更改用户密码后，会出现以下错误消息：无法完成您的请求。

之所以出现此错误，是因为修改后的密码在加密后已损坏。

[NSHELP-25437]
在某些情况下，如果客户端在完成电子邮件 OTP 身份验证之前关闭 TCP 连接，Citrix ADC 设备可能会崩溃。

[NSHELP-25154]
在某些情况下，Citrix ADC 设备在辅助节点上删除 Citrix ADC 身份验证、授权和审计会话期间崩溃。

[NSHELP-25075]
在某些情况下，当 Citrix ADC 用作 Citrix Cloud 的 IdP 时，由于内存缓冲区溢出，身份验证、授权和 AuditingD 在 AD 中执行嵌套组提取活动时崩溃。

[NSHELP-24884]
当用户的组长度超过定义的限制时，Citrix ADC 设备中的 LDAP 身份验证将失败。

[NSHELP-24373]
尝试登录 Citrix Gateway 设备时，如果登录尝试失败，用户将看不到响应。

[NSHELP-23155]
当 Citrix Gateway 用户界面相关请求的标头大小超过 1024 个字符时，Citrix ADC 设备会以 400 错误代码进行响应。

[NSAUTH-9475]
如果满足以下条件，则无法在重新启动后恢复不可寻址身份验证虚拟服务器的配置：
- Citrix ADC 设备具有标准版许可证
- 该设备已使用 Citrix Gateway 配置为使用 nFactor
[NSAUTH-9263]

Bot Management

如果观察到以下情况，则被机器人签名识别为坏机器人的机器人请求将被重置：
- 机器人终端操作（例如丢弃、重定向或重置相应签名）设置为“False”。
[NSBOT-222]

缓存

如果观察到以下情况，Citrix ADC 设备可能会随机崩溃：
- 集成缓存功能已启用。
- 为集成缓存分配 100 GB 或更多内存。
[NSHELP-20854]

CallHome

在 Citrix AC MPX 22000 平台上，show techsupport 命令错误地显示硬盘未安装。

[NSHELP-24223]

Citrix ADC SDX 设备

如果 Citrix Hypervisor 消耗的磁盘空间超过 90%，Citrix ADC SDX 设备升级将失败。

[NSHELP-24873]
在 Citrix ADC SDX 8900、SDX 15000 和 SDX 15000-50G 平台上，将 SDX 设备从版本 11.1 升级到版本 12.1 或从版本 11.1 升级到 13.0 版本后，可以注意到 ADC 实例上的 CPU 使用率很高。

[NSHELP-24031]

Citrix Gateway

在极少数情况下，Citrix Gateway 设备可能会在与辅助设备的会话同步期间或在 Intranet IP 分配期间崩溃。

[NSHELP-25221]
当还绑定经典 VPN URL 时，URLName 参数会附加到会话和其他策略绑定中，从而在保存和重新启动时添加配置。

[NSHELP-25072]
如果 Split DNS 设置为“两者”或“本地”，Citrix Gateway IIP 注册将失败。

[NSHELP-24928]
如果启用 ICA 智能策略并且存在一些剩余的 AppFlow 配置，则您可能会观察到高延迟连接。

[NSHELP-24908]
启用 UDP 音频且内部 malloc 系统调用返回错误时，Citrix ADC 设备可能会崩溃。

[NSHELP-24890]
在极少数情况下，当由于内存损坏而修改系统日志传输类型时，Citrix Gateway 设备会崩溃。

[NSHELP-24794]
Citrix Gateway 设备不会从 UTF8String 编码的设备证书中提取公用名。

[NSHELP-24741]
删除主机名值超过 160 个字符的内联网应用程序时，Citrix Gateway 设备崩溃。

[NSHELP-24524]
如果启用位置检测，则重新启动客户端计算机后，Always On VPN 的计算机级通道需要很长时间才能建立。

[NSHELP-24508]
配置为无客户端 VPN 时，Citrix ADC 设备可能会崩溃。

[NSHELP-24430]
如果绑定到 VPN 虚拟服务器的 RDP 服务器配置文件未配置 RDP IP 地址，且 RDP 服务器配置文件和 VPN 虚拟服务器使用相同的端口，Citrix Gateway 设备可能会重新启动。

[NSHELP-24199]
针对高CPU警报，引入了新的优化模式集“ns_cvpn_v2_fast_regex_light_ver”。如果使用默认模式集“ns_cvpn_v2_fast_regex”，间歇性地观察到 CPU 出现峰值，则可以切换到新的模式集。

[NSHELP-24085]
如果在建立 EDT 连接时运行“kill icaconnection”命令，Citrix Gateway 设备可能会在 EDT 代理部署中关闭。

[NSHELP-23882]
如果客户端计算机有多个 Hyper-V 和 WiFi 直接访问虚拟适配器的实例，Windows 插件会显示“无法访问网关”消息。

[NSHELP-23794]
Citrix Gateway 设备在尝试解析传入的数据包时可能会崩溃。

[NSHELP-23747]
在访问虚拟桌面时使用 UDP 音频时，Citrix Gateway 设备崩溃。

[NSHELP-23514]
基于 UDP/ICMP/DNS 的 VPN 授权策略拒绝不会出现在 ns.log 文件中。

[NSHELP-23410]
如果启用了 UDP 音频，Citrix ADC 设备可能会在故障转移期间崩溃。

[NSHELP-22850]

Citrix Web App Firewall

当您在群集配置中重置 Citrix Web App Firewall 学习数据时，会在 aslearn 中观察到通信错误。

[NSWAF-6768]
在群集配置中，带有空格的 Web 服务互操作性 (WSI) 检查值被视为无效输入，尽管它在 Citrix ADC 核心设备中有效。

[NSWAF-6745]
群集部署中缺少基本或高级 Web App Firewall 配置文件的默认信用卡名称配置详细信息。

[NSWAF-6675]
群集部署中缺少默认 Web App Firewall 高级配置文件的默认 XML DOS 绑定。

[NSWAF-6672]
在群集配置中，无法绑定“安全对象”表达式长度超过 255 个字符的“安全对象”规则。

[NSWAF-6670]
群集部署中缺少基本或高级 Web App Firewall 配置文件的“FileUploadTypeAction”配置的默认值。

[NSWAF-6669]
在群集部署中，观察到 Web App Firewall 基本或高级配置文件的默认“cmdinJectionAction”配置不正确。

[NSWAF-6668]
如果群集节点之间出现 DHT 传输错误并且启用了字段一致性保护功能，则 Citrix ADC 群集设置可能会崩溃。

[NSWAF-6560]
Citrix Web App Firewall Cookie 一致性检查删除了后端服务器发送的响应中的 SameSite cookie 属性。

[NSHELP-24313]

负载平衡

当 GSLB 部署使用往返时间 (RTT) 方法进行负载平衡时，如果您在流量期间删除或取消绑定 GSLB 服务，Citrix ADC 设备可能会失败。

[NSHELP-24425]
如果在释放持久会话的同时删除分布式哈希表 (DHT) 条目和持久会话之间的关联，Citrix ADC 设备可能会崩溃。

[NSHELP-24213]
如果为服务组成员分配了通配符端口（端口*），则可以从“监视详细信息”页面查看该服务组成员的监视器详细信息。

[NSHELP-9409]

网络连接

在 Citrix ADC BLX 或 Citrix ADC CPX 设备中，将 OSPF 或 BGP 路由安装到设备的路由表可能会失败。

[NSNET-18707]
对于编号小于 1024 的源端口，禁用“useproxyport”的 RNAT 可能无法按预期工作。

[NSHELP-25162]
在采用 INC 模式的高可用性设置中，任何将 VIP 地址设置为 NAT IP 地址的 RNAT 规则都会在 HA 同步期间删除。

[NSHELP-24893]
将 Citrix ADC SNMP MIB 加载到 SNMP 管理器可能会失败，因为 SNMP MIB 中存在重复的对象名称“urlfiltdbupdateStatus”。SNMP 陷阱和 SNMP 陷阱变量绑定使用相同的对象名称“urlfiltDbUpdateStatus”。

修复后，“urlfiltdbupdateStatus”SNMP 陷阱变量绑定更改为“URLFilterdBupdateStatus”。

[NSHELP-24778]
由于 LSN 模块中存在内部存储器同步问题，Citrix ADC 设备可能会崩溃。

[NSHELP-24623]
保存并重新启动设备后，在非默认流量域中添加的以下链路负载平衡路由将移至默认流量域。
- add lb route 0.0.0.0 -td 1
[NSHELP-24067]
Citrix AC 设备上基于 IPv6 策略的路由 (PBR6) 可能无法按预期运行。

[NSHELP-23161]
在高可用性设置中，如果您从 Citrix ADC 软件版本 13.0 47.24 或更高版本执行服务内软件升级 (ISSU)，则其中一个 Citrix ADC 设备可能会崩溃。

[NSHELP-21701]

平台

Citrix ADC MPX 8000-1G 平台支持池化许可。

[NSPLAT-17354]
当满足以下条件时，将无法访问配置了 NSVLAN 和两个链路聚合 (LA) 通道的 Citrix ADC VPX 实例：
- 第一个 LA 频道已禁用。
- VPX 实例已重新启动。
[NSPLAT-16082]
如果 Citrix ADC 实例使用基于 ADM 的许可，则当 ADM 版本低于 ADC 版本时，Citrix ADC 许可可能不起作用。因此，在升级 ADC 版本时，请确保相应的 ADM 版本等于或高于当前 ADC 版本。

[NSPLAT-15184]
升级 Citrix ADC SDX 设备时，如果固态硬盘在多次重启中一次出现故障，则相应的 RAID 对卷将在设备重新启动后变为非活动状态。您可以观察到以下情况：
该卷在 GUI 中显示为“未创建”。
故障的 SSD 插槽被报告为“不存在”。
相应的 VPX-SR 也显示为已降级。
因此，位于 VPX-SR 上的 ADC 实例可能无法启动或保持暂停状态。

[NSHELP-24751]
当在没有任何管理接口（0/1、0/2）的 SDX 设备上配置多个 LA 通道时，如果通过 VPX CLI 禁用第一个 LA 通道，则可能无法访问 VPX 设备。

[NSHELP-21889]
在 ADC SDX 14000 和 15000 设备上，如果满足以下条件，则会观察到长达 9 秒的流量丢失：
- 10G 端口使用 LA 通道连接到两台 Cisco 交换机，这两台交换机在 VPC 设置中配置为主动或被动
- 到活动或主 Cisco 交换机的链路反弹。
[NSHELP-21875]

策略

如果满足以下条件，Citrix ADC 设备可能会崩溃：
- 将 nstrace 与过滤器表达式一起使用。
- 已启用身份验证、授权和审计身份验证功能。
[NSPOLICY-3844]
如果在无效的 HTTP 请求中使用全局范围变量，Citrix ADC 设备可能会崩溃。

[NSHELP-25369]

SSL

在以下 Citrix ADC SDX 平台上，如果外部客户端在 SSL 握手进行客户端身份验证期间使用 ECDSA P224/521 曲线进行签名，SSL 卡可能会关闭：
- SDX 11515/11520/11530/11540/11542
- SDX 22040/22060/22080/22100/22120
- SDX 24100/24150
- SDX 14000
- SDX 14000-40S
- SDX 14000-40G
- SDX 14000 FIPS
- SDX 25000
- SDX 25000A
[NSSSL-9324]
在您重新启动设备且满足以下条件后，Citrix ADC 设备不会在客户端 hello 消息中提出 ECDHE 密码：
- 默认配置文件已禁用。
- 安全监视器绑定到非 SSL 服务。
[NSHELP-24706]
当后端服务器发送包含以下消息的单个 SSL 记录时，后端的 SSL 握手会失败：“Server Hello”、“服务器证书”、“服务器密钥交换”和“Server Hello Done”。

[NSHELP-24615]
如果达到最大重试超时值，Citrix ADC 设备会通过发送警报来关闭 DTLS 会话。

[NSHELP-24560]
如果满足以下条件，Citrix ADC MPX/SDX 11542、MPX/SDX 14000、MPX 22000/24000/25000 或 MPX/SDX 14000 FIPS 设备可能会崩溃：
- ECDHE/ECDSA 混合模型已启用。
- 在 CPU 利用率已经很高时接收 DTLS 流量。
[NSHELP-24405]
如果满足以下条件，Citrix ADC 设备可能不会在客户端 hello 消息中提出 ECDHE 密码：
- HA 同步正在进行中。
- 监视探测器在同步完成之前发送。
[NSHELP-24355]
如果 SSL 后端服务在以下平台上使用 NULL 或 RC2 密码，Citrix ADC 设备会崩溃：
- MPX 5900
- MPX 8900
- MPX 15000
- MPX 15000-50G
- MPX 26000
- MPX 26000-50S
- MPX 26000-100G
[NSHELP-24308]
如果 Citrix ADC 设备磁盘空间不足，则配置 DTLS 虚拟服务器时可能会崩溃。

[NSHELP-24201]
在您重新启动设备且满足以下条件后，Citrix ADC 设备不会在客户端 hello 消息中提出 ECDHE 密码：
- 默认配置文件已启用。
- 安全监视器绑定到非 SSL 服务。
[NSHELP-24037]
在群集设置中，保存配置时将无效的“bind ssl certkey”命令添加到 ns.conf 文件中。如果 CRL 分发点扩展是 Citrix ADC 设备上证书的一部分，则添加无效命令。

[NSHELP-23963]

系统

如果您在未设置收集器的情况下使用分析配置文件，则轻量级 CPX 实例可能会崩溃。

[NSHELP-25239]
配置 HTTP/2 初始连接窗口大小

根据 RFC 7540，HTTP2 流和连接的流量控制窗口必须初始化为 64K (65535) 个八位字节，并且对该值的任何更改都必须传达给对等方。ADC 设备传达流量控制窗口大小的变化，如下所示：
- 使用 SETTINGS 框架作为流级流量控制窗口。
- 使用 WINDOW_UPDATE 框架作为连接级别流量控制窗口。
在 HTTP 配置文件中，您可以配置 http2initialWindowSize 参数以在流级别设置初始窗口大小。

由于内部系统错误，ADC 设备还使用配置为“http2InitialWindowSize”的值初始化连接的流量控制窗口。当流配置的流量控制窗口发生更改时，ADC 设备将使用 STESTINGS 帧与对等体进行通信。但是 ADC 设备无法使用 WINDOW_UPDATE 帧传达连接的流量控制窗口中的更改。这导致连接冻结。

为了解决这个问题，现在添加了 http2initialConnWindowSize 参数（以字节为单位）来控制连接级别的流量控制窗口。通过使用单独的可配置参数，即“http2InitialWindowSize”和“http2initialConnWindowSize”，您现在可以在流和连接级别配置流量控制窗口大小。

使用 CLI 配置 HTTP/2 初始连接级流量控制窗口大小参数

在命令提示符下，键入：

set httpprofile p1 -http2InitialConnWindowSize <window-size>

其中，http2initialConnWindowSize 是连接级别流量控制的初始窗口大小，以字节为单位。
默认值：65535
最小值：65535
最大值：67108864

[NSHELP-25155]
启用 HTTP/2 功能时，Citrix ADC 设备可能会因为内存损坏而崩溃。

[NSHELP-25005]
在群集设置中，浪涌保护中默认值的验证在数据库和数据包引擎上的处理方式不同。

[NSHELP-24455]
如果观察到以下条件，则分析记录不会发送到 Citrix ADM：
- IPFIX 收集器是在 Citrix ADC 设备的管理分区中配置的。
- 收集器位于 SNIP 地址以外的子网中。
[NSHELP-24283]
如果轮询间隔设置不正确，则在 Linux 平台上运行的 Citrix ADC 网络日志 (NSWL) 客户端中会观察到 CPU 使用率很高。

[NSHELP-24266]
当您在 ADC 实例上启用 Appflow 时，ADM 不会显示该实例的 HDX Insight。出现此问题的原因是 ADM 无法处理从实例接收到的 Logstream 数据。

[NSHELP-24227]
删除绑定到内容交换虚拟服务器的 TCP 配置文件会导致群集数据库中的配置不一致。

[NSHELP-24004]
Citrix ADC 设备在尝试访问 ICAP 服务器详细信息时可能会在清除配置时崩溃。清除 ICAP 内容检查配置后，服务器详细信息不会从监视器列表中删除。

[NSHELP-23945]
如果观察到以下情况，Citrix ADC 设备可能会崩溃：
- 在绑定到 HTTP/SSL 类型的负载平衡虚拟服务器或服务的 HTTP 配置文件中启用 HTTP/2。
- 在绑定到负载平衡虚拟服务器或服务的 HTTP 配置文件中禁用连接多路复用选项。
[NSHELP-21202]
启用了连接链和SSL的 Citrix ADC 设备可能会发送更多 MTU 数据。

[NSHELP-9411]
升级到 Citrix ADC 版本 12.1 build 61.x 后，如果在 ADM 服务器上注册，设备可能会崩溃。

[NSBASE-13031]
如果已在管理分区设置中启用默认分区中的指标收集器，则在默认分区中启用指标收集器可能会失败。

[NSBASE-12623]
在群集设置中，为 MPTCP 连接启用进程本地支持会减少节点间的转向。

[NSBASE-10587]

用户界面

diff ns config 命令显示错误：无法获取命令的 UID：apply ns pbr6 错误消息。当 apply ns pbr6 命令保存在 ns.conf 或 running-config 文件中时，就会发生这种情况。

[NSHELP-25373]
在群集设置中，不需要的额外绑定配置保存在ns.conf文件中。

[NSHELP-24636]
在 Citrix Gateway GUI 中观察到以下错误情况：
- 当策略绑定到 VPN 虚拟服务器中的主身份验证时，GUI 错误地显示该策略绑定到辅助身份验证和组身份验证。
- 当 VPN 虚拟服务器绑定到服务器证书时，服务器 GUI 错误地显示 VPN 虚拟服务器也绑定到 CA 证书。
[NSHELP-24494]
在 Citrix ADC SDX 平台上，加载 GUI 时出现以下错误消息：设备不支持
操作 [此平台不支持池许可]

[NSHELP-24474]
在 Citrix ADC GUI 上，您无法查看为特定分区创建的“自定义报告”。

[NSHELP-24370]
Citrix ADC 设备的 /var/tmp 文件夹中存在的以下临时文件导致内存已满状态。
- sh.runn.audit.<pid> 由 nsconfigaudit 工具创建的文件。
- 由 show run 命令为分区创建的 tmp_ns.conf.<pid> 文件。
[NSHELP-24092]
对于“路由器动态路由”NITRO API 请求，如果响应大小很大，Citrix ADC 设备可能会返回带有格式错误的 JSON 数据。

[NSHELP-19913]
如果您在 diffnsconfig 命令中使用-outfilename 参数，Citrix ADC 设备就会变得不稳定。因此，diffnsconfig 的输出很大，无法完全填满根磁盘。

[NSHELP-19345]

已知问题

13.0-71.44 版本中存在的问题。

身份验证、授权和审核

如果满足以下条件，Citrix ADC 设备可能会崩溃。
1. 设备处于内存压力之下。
2. SAML 被配置为身份验证方法之一。
[NHELP-28855]
在极少数情况下，如果满足以下条件，高可用性设置中的辅助节点可能会崩溃。
- “aaa 组”和/或“aaa 用户”是在 Citrix ADC 设备上配置的。
[NSHELP-26732]
在某些情况下，如果策略名称长于 Intranet 应用程序名称，则绑定身份验证、授权和审核组命令可能会失败。

[NSHELP-25971]
Citrix ADC 设备不会对重复的密码登录尝试进行身份验证，并防止帐户锁定。

[ NSHELP-563 ]
DualAuthPushOrOTP.xml LoginSchema 未正确显示在 Citrix ADC GUI 的登录架构编辑器屏幕中。

[NSAUTH-6106]
可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时，代理配置文件的状态错误地显示为空白。
show adfsproxyprofile <profile name>

解决方法：连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

[NSAUTH-5916]

缓存

如果启用了集成缓存功能且设备内存不足，Citrix ADC 设备可能会崩溃。

[NSHELP-22942]

Citrix ADC SDX 设备

在 Citrix ADC SDX 设备上，如果 CLAG 是在 Mellanox 网卡上创建的，则当 VPX 实例重新启动时，CLAG MAC 将更改。VPX 实例的流量在重启后停止，因为 MAC 表包含旧的 CLAG MAC 条目。

[NSSVM-4333]

Citrix Gateway

如果 macOS 钥匙串中没有客户端证书，则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

[ NSHELP-28551 ]
有时，设置客户端空闲超时后，用户会在几秒钟内注销 Citrix Gateway。

[ NSHELP-28404 ]
在处理服务器启动的 UDP 流量时，Citrix Gateway 设备可能会崩溃。

[NSHELP-27611]
如果异步被阻止并且您修改了内容交换策略配置，Citrix Gateway 设备可能会崩溃。

[NHELP-27570]
如果在会话策略中设置了未知的 VPN 客户端选项，Citrix Gateway 设备可能会崩溃。

[NHELP-27380]
在“创建 Citrix Gateway 流量配置文件”页面中输入 FQDN 作为代理时，将出现“代理值无效”消息。

[NSHELP-26613]
如果出现以下任一情况，Citrix ADC 设备将崩溃：
- syslog 操作使用域名进行配置，您可以使用 GUI 或 CLI 清除配置。
- 高可用性同步发生在辅助节点上。
解决方法：

使用系统日志服务器的 IP 地址而不是系统日志服务器的域名创建 syslog 操作。

[NSHELP-25944]
使用 Citrix ADC GUI 创建 RDP 客户端配置文件时，满足以下条件时会显示错误消息：
- 配置了默认的预共享密钥 (PSK)。
- 您尝试在 RDP Cookie 有效性（秒）字段中修改 RDP Cookie 有效性计时器。
[NSHELP-25694]
Gateway Insight 不会显示有关 VPN 用户的准确信息。

[ NSHELP-23937 ]

“show tunnel global”命令输出包括高级策略名称。以前，输出不显示高级策略名称。

示例：

新输出：

 > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0

 Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
 Priority: 1  
 Global bindpoint: REQ_DEFAULT

 Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
 Priority: 100  
 Global bindpoint: RES_DEFAULT  
 Done  
 >
 <!--NeedCopy-->

上一个输出：

 > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

 Advanced Policies:

 Global bindpoint: REQ_DEFAULT  
 Number of bound policies: 1

 Done
 <!--NeedCopy-->

[NSHELP-23496]

有时，在浏览架构时，会出现错误消息“无法读取未定义的属性’类型’”。

[ NSHELP-21897 ]
Gateway Insight 中不会报告因 STA 票证无效而导致的应用程序启动失败。

[CGOP-13621]
对于 SAML 错误失败，Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

[CGOP-13584]
在高可用性设置中，在 Citrix ADC 故障转移期间，SR 计数会增加，而不是 Citrix ADM 中的故障转移计数。

[CGOP-13511]
接受来自浏览器的本地主机连接时，适用于 macOS 的“接受连接”对话框将以英语显示内容，而不考虑所选的语言。

[CGOP-13050]
Citrix SSO 应用程序 > 主页中的文本“主页”在某些语言中被截断。

[CGOP-13049]
从 Citrix ADC GUI 添加或编辑会话策略时，将显示错误消息。

[CGOP-11830]
在 Outlook Web App (OWA) 2013 中，单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外，页面变得无响应。

[CGOP-7269]

负载平衡

在高可用性设置中，主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

[NSLB-7679]
在群集设置中，通过 GSLB 虚拟服务器绑定访问 GSLB 服务 IP 地址时，GUI 中不显示 GSLB 服务 IP 地址。这只是一个显示问题，对功能没有影响。

[NSHELP-20406]

网络连接

如果 Web App Firewall 配置文件配置了高级安全保护检查，则处于 DPDK 模式的 Citrix ADC BLX 设备可能会崩溃。

解决方法：删除 WAF 的高级安全保护配置。

[NSNET-22654]
在 Citrix ADC BLX 设备中，绑定到带标签的非 dpdk 接口的 NSVLAN 可能无法按预期运行。与未标记的非 dpdk 接口绑定的 NSVLAN 可以正常工作。

[NSNET-18586]
从 Citrix ADC BLX 设备 13.0 61.x 版本升级到 13.0 64.x 版本后，BLX 配置文件上的设置将丢失。然后，BLX 配置文件将重置为默认值。

[NSNET-17625]
带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作：
- 禁用
- 启用
- 重置
[NSNET-16559]
在基于 Debian 的 Linux 主机（Ubuntu 版本 18 及更高版本）上，无论 BLX 配置文件（“/etc/blx/blx.conf”）设置如何，Citrix ADC BLX 设备始终以共享模式部署。之所以出现此问题，是因为基于 Debian 的 Linux 系统上默认存在的“mawk”无法运行“blx.conf”文件中存在的一些 awk 命令。

解决方法：在安装 Citrix ADC BLX 设备之前安装“gawk”。可以在 Linux 主机 CLI 中运行以下命令来安装“gawk”：
- apt-get 安装 gawk
[NSNET-14603]
在基于 Debian 的 Linux 主机（Ubuntu 版本 18 及更高版本）上安装 Citrix ADC BLX 设备可能会失败，并出现以下依赖项错误：

“以下软件包有未满足的依赖关系： blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”

解决方法：在安装 Citrix ADC BLX 设备之前，在 Linux 主机 CLI 中运行以下命令：
- dpkg — 添加架构 i386
- apt-get 更新
- apt-get dist-upgrade
- apt-get 安装 libc6: i386
[NSNET-14602]
在高可用性设置中，如果满足以下条件，VPN 用户会话将断开连接：
- 如果在进行 HA 同步时连续执行两次或更多次手动 HA 故障切换操作。
解决方法：仅在 HA 同步完成后才执行连续的手动高可用性故障转移（两个节点均处于同步成功状态）。

[ NSHELP-25598 ]
在高可用性设置中，如果满足以下条件，则启用动态路由的 SNIP 地址不会在重新启动时向 vtysh 公开：
- 启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN。
作为修复的一部分，Citrix ADC 设备现在不允许将启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN

[NHELP-24000]

平台

当您从 13.0/12.1/11.1 版本升级到 13.1 版本或从 13.1 版本降级到 13.0/12.1/11.1 版本时，Citrix ADC 设备上未安装某些 python 软件包。以下 Citrix ADC 版本的此问题已修复：
- 13.1-4.x
- 13.0-82.31 及更高版本
- 12.1-62.21 及更高版本
当您将 Citrix ADC 版本从 13.1-4.x 降级到以下任何版本时，不会安装 python 软件包：
- 任何 11.1 版本
- 12.1-62.21 及更早版本
- 13.0-81.x 及更早版本
[NSPLAT-21691]

策略

如果处理数据的大小超过配置的默认 TCP 缓冲区大小，连接可能会挂起。

解决方法：将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

[NSPOLICY-1267]

SSL

在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上，如果重新启动 SDX 26000 设备，则会丢失 SSL 实体的配置。

解决方法：
1. 在 CLIP 上，在所有现有和新的 SSL 实体（例如虚拟服务器、服务、服务组和内部服务）上禁用 SSLv3。例如，set ssl vserver <name> -SSL3 DISABLED。
2. 保存配置。
[NSSSL-9572]
更新命令不适用于以下添加命令：
- 添加天蓝色应用
- 添加天蓝色密钥库
- 使用 hsmkey 选项添加 ssl 证书密钥
[NSSSL-6484]
如果已添加身份验证 Azure 密钥保管库对象，则无法添加 Azure 密钥保管库对象。

[NSSSL-6478]
您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

[NSSSL-6213]
如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型，则会出现以下错误错误消息。
ERROR: crl refresh disabled

[NSSSL-6106]
会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。（无法禁用此选项。）

[NSSSL-4427]
如果您尝试更改 SSL 配置文件中的 SSL 协议或密码，则会显示一条错误的警告消息，即“警告：在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

[NSSSL-4001]
如果已在请求绑定点绑定的策略的策略操作设置为“转发”，则 Citrix ADC 设备在处理 HTTP 请求时崩溃。

[NSHELP-29115]
在群集设置中，当两个已安装的证书是一个具有 OCSP AIA 扩展名的服务器证书的颁发者时，如果删除服务器证书，设备将无法访问。

[NSHELP-28058]
在高可用性设置中，如果满足以下两个条件，CRL 自动刷新会间歇性失败：
- 文件正在从主节点同步到辅助节点。
- 同时从 CRL 服务器下载 CRL 文件。
[NSHELP-27435]
颁发 CRL 的 CA 证书名称被截断为 32 个字符，即使证书密钥名称最多可以包含 64 个字符。出现此问题的原因是 CRL 字段的字符限制为 32 个字符。

[NHELP-26986]

系统

连接链 TCP 选项将添加到 Citrix ADC RPC 连接中。该问题导致 GSLB 站点通信的互操作性问题。

[NHELP-27417]
如果禁用了链接集，则在公有云 MPTCP 群集部署中，数据包重传会增加。

[NHELP-27410]
Citrix ADC 设备可能会在 MPTCP 连接上发送无效的 TCP 数据包以及 TCP 选项，例如 SACK 块、时间戳和 MPTCP 数据 ACK 确认。

[NHELP-27179]
在 Citrix ADC 设备和数据加载器中观察到 Logstream 记录不匹配。

[NHELP-25796]
在极少数情况下，Citrix ADC 设备从后端服务器转发时可能会向客户端发送错误的 TCP SACK 序列号。如果在 TCP 配置文件中启用了 TCP 选择性 ACK (SACK) 选项，则会出现此问题。

[NSHELP-24875]
在群集设置中，“set ratecontrol”命令只有在重新启动 Citrix ADC 设备后才能生效。

解决方法：使用 nsapimgr_wr.sh -ys icmp_rate_threshold=<new value> 命令。

[NSHELP-21811]
在处理大量的 gRPC 流量时，TCP 通告窗口呈指数级增长，导致高内存使用率。

[NSBASE-15447]

用户界面

在压缩策略管理器 GUI 中，无法通过指定相关绑定点和连接类型将压缩策略绑定到 HTTP 协议。

[NSUI-17682]
创建/监视 CloudBridge Connector 向导可能会变得无响应或无法配置 CloudBridge连接器。

解决方法：使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则，从而配置 CloudBridge Connector。

[NSUI-13024]
将高可用性设置或群集设置升级到版本 13.0 build 74.14 或更高版本后，配置同步可能由于以下原因而失败：
- “ssh_host_rsa_key”私钥和公钥对都不正确。
解决方法：重新生成“ssh_host_rsa_key”。有关详细信息，请参阅 https://support.citrix.com/article/CTX322863。

[NHELP-27834]
您无法使用 Citrix ADC GUI 将服务或服务组绑定到优先级负载平衡虚拟服务器。

[NSHELP-27252]
在 Citrix ADC VPX 设备中，添加许可证服务器后，设置容量操作可能会失败。出现此问题的原因是，由于存在大量受支持的签入和签出类型的许可证 (CICO)，与 Flexera 相关的组件需要较长的时间来初始化

[NSHELP-23310]
在管理分区设置中，上载和添加证书吊销列表 (CRL) 文件失败。

[NSHELP-20988]
将 Citrix ADC 设备版本 13.0-71.x 降级到较早版本时，由于文件权限更改，某些 Nitro API 可能无法正常工作。

解决方法：将“/nsconfig/ns.conf”的权限更改为 644。

[NSCONFIG-4628]
有时，应用程序防火墙签名需要很长时间才能同步到非 CCO 节点。因此，使用这些文件的命令可能会失败。

[NSCONFIG-4330]
如果您（系统管理员）在 Citrix ADC 设备上执行以下所有步骤，则系统用户可能无法登录降级的 Citrix ADC 设备。
1. 将 Citrix ADC 设备升级到其中一个版本：
  - 13.0 52.24 Build
  - 12.1 57.18 Build
  - 11.1 65.10 Build
2. 添加系统用户或更改现有系统用户的密码，然后保存配置，
3. 将 Citrix ADC 设备降级为任何较旧的版本。
要使用 CLI 显示这些系统用户的列表：
在命令提示符处，键入：

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

解决方法：

要解决此问题，请使用以下独立选项之一：
- 如果 Citrix ADC 设备尚未降级（上述步骤中的步骤 3），请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
- 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本，并为其他系统用户更新密码。
- 如果上述选项都不起作用，系统管理员可以重置系统用户密码。
欲了解更多信息，请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

[NSCONFIG-3188]

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

Citrix ADC 13.0-71.44 版本的发行说明

May 11, 2023

投稿者:

May 11, 2023

投稿者: