ADC

Citrix ADC 13.0-90.12 版本的发行说明

本发行说明文档描述了 Citrix ADC 版本 Build 13.0-90.12 中存在的增强功能和更改、已修复的问题和已知问题。

备注

  • 本发行说明文档不包括与安全相关的修补程序。有关安全相关的修复和建议列表,请参阅 Citrix 安全公告。
  • 版本 13.0-90.11 及更高版本解决了 CTX477714 中描述的安全漏洞。
  • Build 13.0-90.12 取代了 Build 13.0-90.7 和 Build 13.0-90.11。
  • Build 13.0-90.11 包括对先前 Citrix ADC 13.0 版本中存在的以下问题的修复,以及 Build 13.0-90.7 中提供的所有增强和错误修复:NSHELP-34187、NSHELP-33683、NSHELP-33644、NSHELP-33400、NSHELP-33243、NSHELP-32335、NSHELP-33975、NSHELP-33459、NSHELP-30631、NSBASE-17802。
  • Build 13.0-90.12 包括对 NSBASE-18162 (NSHELP-35288) 的修复,以及版本 13.0-90.11 中提供的所有增强和错误修复。

新增功能

Build 13.0-90.12 中提供的增强功能和更改。

平台

  • Citrix ADC VPX 实例上的 VMware ESXi 7.0 更新 3i 支持

    Citrix ADC VPX 实例现在支持 VMware ESXi 版本 7.0 更新 3i(Build 20842708)。

    [NSPLAT-25160]

已修复的问题

Build 13.0-90.12 中解决的问题。

身份验证、授权和审核

  • 在某些启用了 GSLB 的 Citrix ADC 设备上,由于 URL 计算无效,从身份验证虚拟服务器重定向到负载平衡虚拟服务器会失败。

    [NSHELP-33459]

  • 当 Citrix ADC 设备配置为 SAML 服务提供商并更新 SSL 证书时,它可能会崩溃。

    [NSHELP-33243、NSHELP-32966、NSHELP-33242、NSHELP-34366]

  • 在 Citrix ADC GUI 上, 身份验证虚拟服务器 页面上的 响应策略 部分不显示响应程序类型的缓存策略。

    [NSHELP-33111]

  • 当 SSO 凭据中使用了错误的用户主体名称时,使用高级加密类型的 Kerberos SSO 模拟可能会失败。

    [NSHELP-32890、NSHELP-34087、NSHELP-34753]

  • 在某些情况下,在 RADIUS 身份验证过程中会显示“凭据无效”错误消息。使用 Google Chrome 浏览器从客户端设备访问 Citrix ADC 设备时会出现此错误。

    [NSHELP-27113]

机器人管理

  • 在 Citrix ADC GUI 中,用户定义的机器人签名显示的基本版本不正确。

    [NSHELP-33546]

Citrix Gateway

  • 在评估 VPN URL 的策略时,Citrix Gateway 设备崩溃。

    [NSHELP-33683, CGOP-20369, NSHELP-34002, NSHELP-34030, NSHELP-34052, NSHELP-34076, NSHELP-34077, NSHELP-34100, NSHELP-34151, NSHELP-34180, NSHELP-34209, NSHELP-34243, NSHELP-34276, NSHELP-34327, NSHELP-34402, NSHELP-34443, NSHELP-34472, NSHELP-34513, NSHELP-34576, NSHELP-34586, NSHELP-34620, NSHELP-34690, NSHELP-34778, NSHELP-34844, NSHELP-34947, NSHELP-35178]

  • 升级 Citrix ADC 设备后,RDP 代理 URL 不适用于 X1 门户主题,并出现
    “未找到 Http/1.1 对象”消息。

    [NSHELP-33676、NSHELP-33845、NSHELP-33921、NSHELP-34032]

  • 升级 Citrix ADC 设备后,RDP 代理 URL 变得不可访问,并出现错误消息“未找到 Http/1.1 对象”。当 RDP URL 的自定义参数包含空格时,就会出现此问题。

    [NSHELP-33333]

  • 升级 Citrix Gateway 设备后,“配置”>“与 Citrix 产品集成”部分不会显示在 Citrix ADC GUI 中。

    [NSHELP-32335]

  • 当 CA 证书来自不同的域时,用于检查客户端设备的 CA 证书的 EPA 扫描在 Citrix ADC 设备上失败。

    [NSHELP-32118]

Citrix Web App Firewall

  • Citrix Web App Firewall 学习引擎仅在观察到违规时才会学习字段格式规则。

    [NSWAF-7677]

  • 在虚拟服务器上更新 Web App Firewall 策略时,会出现以下问题:

    • Citrix ADC GUI 和 CLI 没有响应或花费的时间比平时长。
    • 数据包 CPU 利用率已提高到 100%
    • 持续会话的数量已增加。

    [NSHELP-33975]

负载平衡

  • 如果您使用相同的 GSLB 虚拟服务器作为多个 GSLB 虚拟服务器的备份,则辅助节点可能会崩溃。

    [NSHELP-33400、NSHELP-34247、NSHELP-34573]

网络连接

  • 当满足以下所有条件时,SSH 会话的几个传入数据包的“nstrace”可能会错误地显示不同的接收接口号和 VLAN ID:

    • SSH 会话客户端的 ECMP 路由存在于 Citrix ADC 设备上。
    • SSH 会话处于空闲状态几秒钟。

    [NSHELP-32734]

平台

  • 在 AWS 云上 Citrix ADC VPX 实例的 HA 设置中,存储在 /var/log/ 位置的“cloud-ha-daemon.log”文件中的内容会打印两次而不是一次。

    [NSPLAT-25687]

  • 在 Citrix ADC SDX 设备上托管的 Citrix ADC VPX 实例不支持链路冗余配置。 从 Citrix ADC 版本 13.0 Build 90.x 及更高版本开始,在 Citrix ADC SDX 设备上托管的 Citrix ADC VPX 实例上禁用链路冗余配置命令。

    [ NSPLAT-25388 ]

  • 在 SDX 26000 平台 (SDX 26100-100G、26160-100G、26200-100G、26250-100G) 上, 可分配给单个 VPX 实例的最大 CPU 内核数从 26 个更改为 25 个 CPU 内核。

    [NSPLAT-21233]

  • 当包含 Mellanox NIC 的 Citrix ADC SDX 设备从禁用 VLAN 筛选的版本升级而管理服务在升级过程中尝试禁用 VLAN 筛选时,操作失败。因此,为所有接口和信道启用了 VLAN 过滤。

    [NSHELP-32759]

策略

  • 在 Citrix ADC 设备中,当满足以下条件时,使用 NSPEPI 工具从经典策略迁移到高级策略的内容切换策略可能不起作用:

    • 这些策略绑定到内容交换虚拟服务器。
    • “caseSensitive”参数设置为 OFF。

    [NSHELP-31951]

SSL

  • 解除绑定默认密码后,当您在虚拟服务器上禁用协议版本,然后尝试将密码与描述中列出的该协议绑定时,会出现以下错误消息。

    No usable ciphers configured on the SSL vserver/service

    此消息不正确,因为虚拟服务器上启用的其他协议支持该密码。例如,

    密码名称:TLS1-ECDHE-RSA-AES256-SHA
    描述:SSLv3 Kx=ECC-DHE Au=RSA Enc=AES(256) Mac=SHA1 HexCode=0xc014

    从 SSLv3(SSLv3、TLS1、TLS11、TLS12)开始的所有协议都支持此密码。当您在虚拟服务器上禁用 SSLv3 然后尝试将此密码绑定到该虚拟服务器时,即使虚拟服务器上仍启用 TLS1、TLS11、TLS12 协议,也会出现警告。

    通过此修复,只有在配置不支持密码时才会出现警告。

    [NSHELP-32739]

  • Citrix ADC 设备不允许配置 notBefore date 早于 1970 的证书。

    [NSHELP-32677]

  • 如果满足以下条件,Citrix ADC 设备可能会崩溃:

    • 客户端将 Client Hello 消息中的 TLS1.3 早期数据发送到 SSL Insight 虚拟服务器。
    • ECDHE 密码已在此虚拟服务器上启用。

    [NSHELP-31560]

系统

  • 当满足以下两个条件时,Citrix ADC 设备可能会崩溃:

    • 内容检查设备向 ADC 设备发送重置 (RST) 响应,其中一个入侵防御系统 (IPS) 资源未被正确清除。
    • 在进一步的交易中会访问相同的 IPS 资源。

    [NSHELP-33691]

  • 在某些情况下,Citrix ADC 设备在处理处于 TIME_WAIT 状态的服务器连接发送的更正确认时可能会崩溃。

    [NSHELP-33469]

  • 如果 Citrix ADC 设备处理与服务器端 TCP 连接相关的纠正 ACK 数据包,它可能会崩溃。

    [NSHELP-32290]

  • 在 Citrix ADC 设备中,HTTP 配置文件中“maxHeaderFieldLen”参数的默认值会导致以下问题。

    • 升级到 13.0 版本后出现流量故障。

    [NSHELP-32079]

  • 如果满足以下两个条件,Citrix ADC 设备中可能会发生内存泄漏:

    • HTTP 压缩功能已启用。
    • 连接在交易中途重置。

    [NSHELP-30631]

  • 使用 TCP 协议登录到外部 SYSLOG 服务器时,会丢弃某些 SYSLOG 消息。

    [NSHELP-24522]

  • 当启用了 HTTP/2 的虚拟服务器为 HTTP/2 请求生成响应,而不是将请求转发到后端服务时,Citrix ADC 设备可能会崩溃。

    [NSBASE-18162,NSHELP-35288]

  • Citrix ADC 设备向客户端发出的仅限标头的 gRPC 响应不包含 gRPC 状态和 gRPC 消息。

    [NSBASE-17802]

用户界面

  • 当您创建 JSON 类型的 Citrix Web App Firewall 配置文件并尝试更新 配置文件设置时, JSON 错误对象 会显示一个空列表。

    [NSUI-18453]

  • 将 AppFW 配置文件绑定到日志表达式时,状态参数默认设置为启用。但是,当系统升级时,参数将重置为禁用。

    [NSHELP-34187]

  • Citrix 机器人管理配置文件的链接错误地显示在“流量管理”>“内容切换”页面中。当您单击该链接时,它会呈现一个空白页面。如果您将机器人策略绑定到内容交换虚拟服务器,则会出现此问题。

    [NSHELP-33697]

  • 下载 Citrix ADC GUI 的“诊断”页面(“系统 > 诊断”)上的任何核心文件都可能因错误而失败。

    [NSHELP-33644]

  • 创建 Citrix Web App Firewall 的配置文件并尝试在“系统”>“报告”中生成应用程序防火墙的配置报告后,出现以下错误:

    “无法加载 PDF 文档。“

    [NSHELP-32469]

  • 在群集设置中,使用 Citrix ADC GUI 创建虚拟服务器时,TFTP 选项不会显示在协议列表中。

    [NSHELP-32036]

  • 在 Citrix ADC GUI 上,系统日志文件页面(配置 > 系统 > 审计 > 系统日志 消息)和日志页面(配置 > 身份验证 > 日志)无法 加载日志文件。

    [NSHELP-30868]

  • 在 Citrix ADC GUI 上,“已保存与正在运行”配置屏幕(系统 > 诊断)错误地显示 HTML 标签而不是显示纯文本。

    [NSHELP-27169]

已知问题

版本 13.0-90.12 中存在的问题。

身份验证、授权和审核

  • 当 Citrix ADC 用作 OpenID 提供商 (OAuth IdP) 并使用它配置 GSLB 时,在令牌验证期间,与依赖方 (RP) 的 OAuth 身份验证会失败,这可能会导致 OAuth 中继方 (RP) 的身份验证失败。

    [NSHELP-33455]

  • 在非默认分区中使用身份验证虚拟服务器时,Citrix ADC 设备可能会崩溃。

    [NSHELP-32054]

  • 如果为没有处理 SSO 所需的承载令牌的流量启用 SSO,则单点登录 (SSO) 将失败。

    [NSHELP-31362,NSHELP-33814]

  • 将 LDAP 操作配置为 FQDN 而不是 IP 地址时,nsvpn.log 中会记录非 ASCII 字符。

    [NSHELP-27281]

  • 在某些情况下,如果策略名称长于 Intranet 应用程序名称,则绑定身份验证、授权和审核组命令可能会失败。

    [NSHELP-25971]

  • 在基于 401 的身份验证流程中,当 NOAUTH 配置为第一个因素并将协商配置为后续因素时,Citrix ADC 设备将转储核心。

    [NSHELP-25203]

  • 如果 LDAP、RADIUS 或 TACACS 服务的管理员密码包含双引号 (“) 字符,Citrix ADC 设备会在“测试连接”检查期间将其删除,从而导致连接失败。

    [NSHELP-23630]

  • 管理员无法对因凭证无效而发生的身份验证失败执行自定义日志记录。之所以出现此问题,是因为 Citrix ADC 响应程序策略无法检测到登录失败的错误。

    [NSAUTH-11151]

  • 可以在群集部署中配置 ADFS 代理配置文件。发出以下命令时,代理配置文件的状态错误地显示为空白。
    show adfsproxyprofile <profile name>

    解决方法:连接到群集中的主活动 Citrix ADC 并运行 show adfsproxyprofile <profile name> 命令。它将显示代理配置文件状态。

    [NSAUTH-5916]

Citrix ADC SDX 设备

  • 升级 Citrix ADC SDX 设备时,在极少数情况下,管理服务 GUI 中会出现以下错误事件:

    “SVM 版本和虚拟机管理程序版本不兼容”

    [NSHELP-32949]

  • 在 Citrix ADC SDX GUI 上,如果 NTP 配置文件 (ntp.conf) 的任何一行中只有空格,则显示 NTP 服务器可能会冻结用户界面。

    [NSHELP-31530]

Citrix Gateway

  • 由于网关服务器的可访问性,Always-On VPN 连接在启动时会间歇性失败。

    [NSHELP-33500]

  • 如果与 Citrix Secure Access 相关的注册表值大于 1500 个字符,日志收集器将无法收集错误日志。

    [NSHELP-33457]

  • 重新配置 VPN 会话操作后,将在 VPN 会话操作中取消设置 Always On 配置文件。

    [NSHELP-33396]

  • 在 Citrix Gateway 高可用性设置中,主设备和辅助设备可能会在故障转移期间崩溃。

    [NSHELP-33198,NSHELP-33483]

  • 升级后,Citrix ADC 设备可能会在第一次 HA 同步期间崩溃。

    [NSHELP-32957]

  • 如果启用 HDX Insight 并且用户在注销后立即登录 StoreFront,Citrix Gateway 设备可能会崩溃。

    [NSHELP-32907、NSHELP-33079、NSHELP-33289]

  • 对于没有管理权限的用户,Citrix Secure Access 客户端(版本 21.7.1.2 及更高版本)无法升级到更高版本。仅当通过 Citrix ADC 设备完成 Citrix Secure Access 客户端升级时,此问题才适用。

    [NSHELP-32793]

  • 当用户单击适用于 Windows 的 Citrix Secure Access 屏幕上的“主页”选项卡时,该页面会显示连接被拒绝的错误。

    [NSHELP-32510]

  • 在使用 Chrome 的 Mac 设备上,VPN 扩展程序在访问两个 FQDN 时崩溃。

    [NSHELP-32144]

  • Citrix Secure Access 客户端的调试日志控制现在独立于 Citrix Gateway,可以从插件 UI 中为计算机和用户通道启用或禁用它。

    [NSHELP-31357, CGOP-21192, NSHELP-34211]

  • 如果配置了“始终打开”,则由于 aoservice.exe 文件中的版本号 (1.1.1.1) 不正确,用户通道将失败。

    [NSHELP-30662]

  • 将“networkAccessOnVPNFailure”始终开启配置文件参数从“fullAccess”更改为“onlyToGateway”后,用户无法连接到 Citrix Gateway 设备。

    [NSHELP-30236]

  • 网关插件成功建立 VPN 通道后,不会立即显示网关主页。要修复此问题,引入了以下注册表值。

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    类型:DWORD

    默认情况下,不设置或添加此注册表值。当“SecureChannelResetTimeoutSeconds”的值为 0 或未添加时,处理延迟的修复不起作用,这是默认行为。管理员必须在客户端上设置此注册表才能启用此修复(即在网关插件成功建立 VPN 通道后立即显示主页)。

    [NSHELP-30189]

  • 为特定用户添加的 RDP 书签将显示给未将这些 URL 添加为书签的其他用户。

    [NSHELP-29904]

  • Windows VPN 客户端不接受来自服务器的“SSL 关闭通知”警报,而是在同一连接上发送转移登录请求。

    [NSHELP-29675]

  • 如果 macOS 钥匙串中没有客户端证书,则适用于 macOS 的 Citrix SSO 的客户端证书身份验证将失败。

    [NSHELP-28551]

  • 有时,设置客户端空闲超时后,用户会在几秒钟内注销 Citrix Gateway。

    [NSHELP-28404]

  • 在处理服务器启动的 UDP 流量时,Citrix Gateway 设备可能会崩溃。

    [NSHELP-27611]

  • 如果异步被阻止并且您修改了内容交换策略配置,Citrix Gateway 设备可能会崩溃。

    [NSHELP-27570]

  • 如果在会话策略中设置了未知的 VPN 客户端选项,Citrix Gateway 设备可能会崩溃。

    [NSHELP-27380]

  • 使用 Citrix ADC GUI 创建 RDP 客户端配置文件时,满足以下条件时会显示错误消息:

    • 配置了默认的预共享密钥 (PSK)。
    • 您尝试在 RDP Cookie 有效性(秒)字段中修改 RDP Cookie 有效性计时器。

    [NSHELP-25694]

  • “show tunnel global”命令输出包括高级策略名称。以前,输出不显示高级策略名称。

    示例:

    新输出:

    show tunnel global
    策略名称:ns_tunnel_nocmp 优先级:0

    策略名称:ns_adv_tunnel_nocmp 类型:高级策略
    优先级:1
    全局绑定点:REQ_DEFAULT

    策略名称:ns_adv_tunnel_msdocs 类型:高级策略
    优先级:100
    全局绑定点:RES_DEFAULT
    完成

    上一个输出:

    show tunnel global
    策略名称:ns_tunnel_nocmp 优先级:0 已禁用

    高级策略:

    全局绑定点:REQ_DEFAULT 绑定策略
    数量:1

    完成

    [NSHELP-23496]

  • 有时,在浏览架构时,会出现错误消息“无法读取未定义的属性’类型’”。

    [NSHELP-21897]

  • 在 Citrix ADC 群集设置中,不能同时启用 HDX Insight 和 Gateway Insight。

    [CGOP-23570]

  • 在 Citrix ADC GUI 上的预身份验证策略和身份验证操作的表达式编辑器下拉列表中未列出 Windows 操作系统选项。但是,如果您已经使用 GUI 或 CLI 在之前的 Citrix ADC 版本上配置了 Windows 操作系统扫描,则升级不会影响该功能。如果需要,您可以使用 CLI 进行更改。

    解决方法:

    使用 CLI 命令进行配置。

    • 要在 nFactor 身份验证中配置高级 EPA 操作,请使用以下命令。
      add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
    • 要配置经典的预身份验证操作,请使用以下命令。
      add aaa preauthenticationaction win_scan_action ALLOW
      add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action

    [CGOP-22966]

  • 对于 SAML 错误失败,Gateway Insight 报告在“身份验证类型”字段中错误地显示了值“本地”而不是“SAML”。

    [CGOP-13584]

  • 在高可用性设置中,在 Citrix ADC 故障转移期间,SR 计数会增加,而不是 Citrix ADM 中的故障转移计数。

    [CGOP-13511]

  • 在接受来自浏览器的本地主机连接时,无论选择哪种语言,macOS 的“接受连接”对话框都会显示英语内容。

    [CGOP-13050]

  • Citrix SSO 应用程序 > 主页中的文本“主页”在某些语言中被截断。

    [CGOP-13049]

  • 从 Citrix ADC GUI 添加或编辑会话策略时,将显示错误消息。

    [CGOP-11830]

  • 在 Outlook Web App (OWA) 2013 中,单击“设置”菜单下的“选项”会显示“严重错误”对话框。此外,页面变得无响应。

    [CGOP-7269]

Citrix Web App Firewall

  • 导出放松规则时,下载会花费更多时间,而且文件未完全下载。如果文件大小超过 5MB,则会出现此问题。

    [NSHELP-34044]

负载平衡

  • 在高可用性设置中,主节点的订阅者会话可能不会同步到辅助节点。这种情况很少见。

    [NSLB-7679]

  • 在 HA 设置中,当绑定到多个虚拟服务器的服务组被删除时,Citrix ADC 设备会崩溃。

    [NSHELP-34029]

  • 在极少数情况下,nsmap 会崩溃。因此,某些使用地理定位数据库的 Citrix ADC 设备可能无法按预期运行。

    [NSHELP-33840]

  • 即使服务已绑定到服务器,“show server name”命令也会将服务状态显示为未知。

    [NSHELP-33668]

  • 在某些情况下,如果将 DNS 重写策略配置为 DROP 操作,则会在 Citrix ADC 设备中观察到内存泄漏。

    [NSHELP-33077]

  • 在连接镜像期间,当重写策略大于 30 字节时,Citrix ADC 设备会崩溃。

    [NSHELP-32902]

  • 由于服务器数量的计算错误,Citrix ADC 设备针对服务器连接频率触发了错误的 SNMP 警报。

    [NSHELP-31582]

  • 在 GSLB 设置中,从属站点缺少 SSL 证书。如果启用了自动同步选项,并且从属站点拥有主站点上不可用的 SSL 证书,则会出现此问题。

    [NSHELP-29309]

  • 在某些情况下,绑定到服务组的服务器会显示无效的 Cookie 值。您可以在跟踪日志中看到正确的 cookie 值。

    [NSHELP-21196]

  • 在群集设置中,通过 GSLB 虚拟服务器绑定访问 GSLB 服务 IP 地址时,GUI 中不显示 GSLB 服务 IP 地址。这只是一个显示问题,对功能没有影响。

    [NSHELP-20406]

其他

  • Citrix ADC 设备将 Web 服务器日志记录功能的缓冲区大小设置为错误的默认值 3MB 而不是 16MB。

    [NSHELP-32429]

  • 如果注册表值大于 2000 字节,AlwaysOnAllow 列表注册表将无法按预期工作。

    [NSHELP-31836]

  • Citrix ADC CPX 实例在具有 64 位架构和 1 TB 文件存储空间的 Linux 系统上运行,现在可以加载证书和密钥文件。

    [NSHELP-28986]

网络连接

  • 在 Citrix ADC BLX 设备中,绑定到带标签的非 dpdk 接口的 NSVLAN 可能无法按预期运行。与未标记的非 dpdk 接口绑定的 NSVLAN 可以正常工作。

    [NSNET-18586]

  • 带有 DPDK 的 Citrix ADC BLX 设备上的 Intel X710 10G (i40e) 接口不支持以下接口操作:

    • 禁用
    • 启用
    • 重置

    [NSNET-16559]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上,无论 BLX 配置文件(“/etc/blx/blx.conf”)设置如何,Citrix ADC BLX 设备始终以共享模式部署。之所以出现此问题,是因为基于 Debian 的 Linux 系统上默认存在的“mawk”无法运行“blx.conf”文件中存在的一些 awk 命令。

    解决方法:在安装 Citrix ADC BLX 设备之前安装“gawk”。可以在 Linux 主机 CLI 中运行以下命令来安装“gawk”:

    • apt-get 安装 gawk

    [NSNET-14603]

  • 在基于 Debian 的 Linux 主机(Ubuntu 版本 18 及更高版本)上安装 Citrix ADC BLX 设备可能会失败,并出现以下依赖项错误:

    “以下软件包有未满足的依赖关系: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) 但它无法安装”

    解决方法:在安装 Citrix ADC BLX 设备之前,在 Linux 主机 CLI 中运行以下命令:

    • dpkg — 添加架构 i386
    • apt-get 更新
    • apt-get 安装 libc6: i386

    [NSNET-14602]

  • 在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

    • LSN 模块在减少引用计数或删除服务时找不到服务。

    [NSHELP-29134]

  • 在大规模 NAT44 设置中,Citrix ADC 设备可能会在接收 SIP 流量时崩溃,原因如下:

    • 因为过滤条目过时。

    [NSHELP-28895]

  • 在大规模 NAT44 部署中,Citrix ADC 设备在接收 SIP 流量时可能会崩溃,原因如下:

    • LSN 模块访问了已删除服务的内存位置。

    [NSHELP-28815]

  • 冷重启后,Citrix ADC 设备可能无法生成“coldStart”SNMP 陷阱消息。

    [NSHELP-27917]

  • 在高可用性设置中,如果满足以下条件,启用了动态路由的 SNIP 地址在重启时不会暴露给 VTYSH:

    • 启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN。

    作为修复的一部分,Citrix ADC 设备现在不允许将启用动态路由的 SNIP 地址绑定到非默认分区中的共享 VLAN

    [NSHELP-24000]

平台

  • 高可用性故障转移在 AWS 和 GCP 云中不起作用。管理 CPU 在 AWS 和 GCP 云中可能达到其 100% 的容量,而 Citrix ADC VPX 本地容量可能会达到 100%。这两个问题都是在满足以下条件时引起的:

    1. 在 Citrix ADC 设备的首次启动期间,您不会保存提示的密码。
    2. 随后,您重新启动 Citrix ADC 设备。

    [NSPLAT-22013, NSHELP-34441]

  • 当您将 Citrix ADC 设备从 13.1-4.x 版本及更高版本降级到以下任何版本时,某些 python 软件包未安装:

    • 任何 11.1 版本
    • 12.1-62.21 及更早版本
    • 13.0-81.x 及更早版本

    [NSPLAT-21691]

  • 在 Citrix ADC SDX 设备上,即使 SDX 设备中有足够的吞吐量来处理突发流量,VPX 实例仍可能以配置为突发模式的一部分的最小吞吐量值运行。

    [NSHELP-33875,NSHELP-34667]

  • 在 Citrix ADC SDX 8015/8400/8600 平台上,您可能会看到 Xen Server 的内存消耗增加。
    解决方法:在 Xen Server 上运行以下命令,然后重新启动设备。
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [NSHELP-32260]

  • 当在具有 10G 接口的 Citrix ADC SDX 设备上发送大量流量时,您可能会遇到传输停顿的情况。

    [NSHELP-31232]

  • 在 Citrix ADC VPX HA 故障转移期间,如果您在未将 IPset 绑定到任何 IP 地址的情况下配置 IPset,则在 AWS 云中移动弹性 IP 地址将失败。

    [NSHELP-29425]

  • 当 RPC 节点的密码包含特殊字符时,GCP 和 AWS 云上的 Citrix ADC VPX 实例的高可用性故障转移将失败。

    [NSHELP-28600]

  • 如果 VRID 绑定到未配置成员接口的 LA 频道,则 NetScaler 设备会崩溃。

    解决办法:在将 VRID 绑定到 LA 通道之前,为 LA 通道配置成员接口。

    [NSPLAT-26707]

策略

  • 如果处理数据的大小超过配置的默认 TCP 缓冲区大小,连接可能会挂起。

    解决方法: 将 TCP 缓冲区大小设置为需要处理的数据的最大大小。

    [NSPOLICY-1267]

SSL

  • 当虚拟服务器收到带有无效填充的 TLS 1.3 记录时,它会发送致命的“decode_error”警报,而不是“unexpected_message”警报。

    [NSSSL-11890]

  • 在 Citrix ADC SDX 22000 和 Citrix ADC SDX 26000 设备的异构群集上,如果重新启动 SDX 26000 设备,则会丢失 SSL 实体的配置。

    解决方法:

    1. 在 CLIP 上,在所有现有和新的 SSL 实体(例如虚拟服务器、服务、服务组和内部服务)上禁用 SSLv3。例如,set ssl vserver <name> -SSL3 DISABLED
    2. 保存配置。

    [NSSSL-9572]

  • 如果已添加身份验证 Azure 密钥保管库对象,则无法添加 Azure 密钥保管库对象。

    [NSSSL-6478]

  • 您可以使用相同的客户端 ID 和客户端密钥创建多个 Azure 应用程序实体。Citrix ADC 设备不会返回错误。

    [NSSSL-6213]

  • 如果删除 HSM 密钥而未将 KEYVAULT 指定为 HSM 类型,则会出现以下错误错误消息。
    ERROR: crl refresh disabled

    [NSSSL-6106]

  • 会话密钥自动刷新在群集 IP 地址上错误地显示为已禁用。(无法禁用此选项。)

    [NSSSL-4427]

  • 如果您尝试更改 SSL 配置文件中的 SSL 协议或密码,则会显示一条错误的警告消息,即“警告:在 SSL 虚拟服务器/服务上未配置任何可用的密码”。

    [NSSSL-4001]

系统

  • 当 AppQoE 配置配置了 retryOnTimeout 参数时,Citrix ADC 设备在收到来自后端服务器的 1xx HTTP 响应(例如 100 Continue”)时可能会崩溃。

    [NSHELP-33438]

  • 如果满足以下条件,则 TCP 连接的 RTT 为高:

    • 设置了较高的最大拥塞窗口 (>4 MB)
    • TCP NILE 算法已启用

    要使 Citrix ADC 设备使用 NILE 算法进行拥塞控制,条件必须超过慢速启动阈值,再加上最大拥塞窗口

    因此,在达到配置的最大拥塞窗口之前,Citrix ADC 会继续接受数据并最终获得高 RTT。

    [NSHELP-31548]

  • 满足以下条件时,Citrix ADC 设备可能会崩溃:

    • 分析配置文件和 AppFlow 策略均已绑定,并且配置文件启用了“httpAllHdrs”选项。

    [NSHELP-30628]

  • Citrix ADC 设备在服务 SYN 泛洪计数器上报告虚假的 SNMP 警报。

    [NSHELP-28710、NSHELP-28713]

  • 如果禁用了链接集,则在公有云 MPTCP 群集部署中,数据包重传会增加。

    [NSHELP-27410]

  • Citrix ADC 设备可能会在 MPTCP 连接上发送无效的 TCP 数据包以及 TCP 选项,例如 SACK 块、时间戳和 MPTCP 数据 ACK 确认。

    [NSHELP-27179]

  • 在 Citrix ADC 设备和数据加载器中观察到 Logstream 记录不匹配。

    [NSHELP-25796]

  • 在 Kubernetes 群集上安装 Citrix ADM 时,它无法按预期工作,因为所需的进程可能无法启动。

    解决办法:重新启动“管理”窗格。

    [NSBASE-15556]

  • 在群集配置中,具有 CCO 优先级的节点由于网络问题而与 Open vSwitch (OVS) 断开连接。节点重新加入群集配置后,不会收到最新的 SYN cookie。

    [NSBASE-14419]

用户界面

  • 创建/监视 CloudBridge Connector 向导可能会变得无响应或无法配置 CloudBridge连接器。

    解决方法: 使用 Citrix ADC GUI 或 CLI 添加 IPSec 配置文件、IP 通道和 PBR 规则,从而配置 CloudBridge Connector。

    [NSUI-13024]

  • 即使在系统全局设置中启用了“允许默认分区”选项,绑定到一组管理分区的系统用户帐户也可能无法通过 NITRO API 访问默认分区。

    [NSHELP-33990]

  • 当保存的配置和运行的配置之间存在巨大差异时,Citrix ADC UI 上会出现以下错误:

    “获取配置时出错”

    [NSHELP-32752]

  • 使用 Citrix ADC GUI(系统 > 网络 > 路由)修改静态路由可能会错误地失败并显示以下错误消息:

    • “缺少必填参数 [网关]”

    [NSHELP-32024]

  • 在 HA/群集设置中,如果您配置了 RSA 以外的 SSH 密钥,则配置同步会失败。例如,ECDSA 或 DSA 密钥。

    [NSHELP-31675]

  • 在 Citrix ADC 设备中,使用 GUI 界面绑定缓存策略以覆盖全局或默认全局失败,并显示以下错误:

    • 缺少必需的参数。

    使用 CLI 界面绑定缓存策略时未出现此错误。

    [NSHELP-30826]

  • 由于升级安装顺序不正确,Citrix ADC 设备中会出现以下问题。

    • 首先更新内核映像,然后在几个步骤之后复制加密密钥。在这些步骤之间,会发生一些故障,ADC 设备会生成一个新映像。新映像中缺少加密密钥会导致解密失败和配置丢失。

    [NSHELP-30755]

  • Citrix ADC GUI 可能会错误地生成仅包含一个节点而不是所有群集节点的群集技术支持包。

    [NSHELP-28606]

  • 使用 Citrix ADC GUI 生成群集技术支持包可能会失败并显示错误。

    [NSHELP-28586]

  • 将高可用性设置或群集设置升级到版本 13.0 build 74.14 或更高版本后,配置同步可能由于以下原因而失败:

    • “ssh_host_rsa_key”私钥和公钥对都不正确。

    解决方法:重新生成“ssh_host_rsa_key”。有关详细信息,请参阅 https://support.citrix.com/article/CTX322863

    [NSHELP-27834]

  • 您无法使用 Citrix ADC GUI 将服务或服务组绑定到优先级负载平衡虚拟服务器。

    [NSHELP-27252]

  • 在 Citrix ADC GUI 中查看绑定到内容交换策略标签的策略时,即使绑定到该策略标签的策略更多,也只显示 25 个策略。

    [NSHELP-23428]

  • 有时,应用程序防火墙签名需要很长时间才能同步到非 CCO 节点。因此,使用这些文件的命令可能会失败。

    [NSCONFIG-4330]

  • 如果您(系统管理员)在 Citrix ADC 设备上执行以下所有步骤,则系统用户可能无法登录降级的 Citrix ADC 设备。

    1. 将 Citrix ADC 设备升级到其中一个版本
      • 13.0 52.24 Build
      • 12.1 57.18 Build
      • 11.1 65.10 Build
    2. 添加系统用户或更改现有系统用户的密码,然后保存配置,
    3. 将 Citrix ADC 设备降级为任何较旧的版本。

    要使用 CLI 显示这些系统用户的列表:
    在命令提示符处,键入:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    解决方法:要修复此问题,请使用以下独立选项之一:

    • 如果 Citrix ADC 设备尚未降级(上述步骤中的步骤 3),请使用同一发行版本的先前备份的配置文件 (ns.conf) 降级 Citrix ADC 设备。
    • 任何在升级版本中未更改密码的系统管理员都可以登录降级的内部版本,并为其他系统用户更新密码。
    • 如果上述选项都不起作用,系统管理员可以重置系统用户密码。

    有关更多信息,请参阅 https://docs.citrix.com/zh-cn/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Citrix ADC 13.0-90.12 版本的发行说明