ADC

Notas de lanzamiento para la versión 13.0-41.28 de Citrix ADC

Este documento de notas de versión describe las mejoras y los cambios, enumera los problemas que se han solucionado y especifica los problemas existentes para la versión 13.0 de Citrix ADC, compilación 41.28.

Notas

  • Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.
  • La sección de problemas conocidos es acumulativa. Incluye problemas encontrados recientemente en esta versión y problemas que no se solucionaron en versiones anteriores de Citrix ADC 13.0.
  • Las etiquetas [ # XXXXXX] en las descripciones de los problemas son identificadores de seguimiento internos que utiliza el equipo de Citrix ADC.
  • La compilación 41.28 reemplaza a la compilación 41.20

  • La compilación 41.20 incluyó correcciones para los siguientes problemas:
    • Problemas conocidos: NSSSL-7044, NSCONFIG-2370, NSHELP-136, NSHELP-16407, NSHELP-20266
    • Problemas resueltos: CGOP-11830, NSCONFIG-2232, NSHELP-19614, NSHELP-20020, NSHELP-20522, NSNET-10968, NSNET-11916
    • Mejoras: NSCONFIG-2224, NSNET-12256

Puntos que tener en cuenta

Algunos aspectos importantes que tener en cuenta al usar la compilación 41.28.

  • Dispositivo Citrix ADC VPX

    • Para la implementación de VPX en Azure Stack, el reenviador de DNS de Azure Stack debe configurarse para admitir la resolución de servidores raíz de DNS.

    [ NSPLAT-10838 ]

Novedades

Las mejoras y los cambios disponibles en la compilación 41.28.

AppFlow

  • Compatibilidad con Logstream en particiones de administración

    Un dispositivo Citrix ADC ahora puede enviar registros de Logstream desde particiones de administración.

    [ NSBASE-4777 ]

  • Supervisión de los registros de Logstream a través de la dirección NSIP

    Un dispositivo Citrix ADC ahora puede conectarse a Citrix ADM mediante la dirección NSIP para enviar registros de Logstream.

    [ NSBASE-7400 ]

Autenticación, autorización y auditoría

Dispositivo Citrix ADC BLX

  • Soporte de host Ubuntu Linux para dispositivos Citrix ADC BLX

    El dispositivo Citrix ADC BLX ahora admite la ejecución en sistemas Ubuntu Linux.

    [ NSNET-9259 ]

  • Compatibilidad con el protocolo de enrutamiento dinámico BGP para dispositivos Citrix ADC BLX

    Los dispositivos Citrix ADC BLX ahora admiten los protocolos de enrutamiento dinámico BGP IPv4 e IPv6.

    [ NSNET-7785 ]

  • Compatibilidad con DPDK para dispositivos Citrix ADC BLX

    Los dispositivos Citrix ADC BLX ahora son compatibles con el kit de desarrollo de planos de datos (DPDK), que es un conjunto de bibliotecas de Linux y controladores de interfaz de red para mejorar el rendimiento de la red. El dispositivo Citrix ADC BLX solo admite DPDK en modo dedicado.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.html.

    [ NSNET-2456 ]

Dispositivo Citrix ADC CPX

  • El valor predeterminado del parámetro monitorConnectionClose se establece en RESET en una versión más ligera de Citrix ADC CPX.

    Para cerrar una conexión monitor-sonda mediante parámetros de equilibrio de carga globales, puede configurar monitorConnectionClose en FIN o RESET. Al configurar el parámetro monitorConnectionClose para:

    • FIN: El dispositivo realiza un protocolo de enlace TCP completo.

    • RESET: El dispositivo cierra la conexión después de recibir el SYN-ACK del servicio.

    En una versión más ligera de Citrix ADC CPX, el valor del parámetro monitorConnectionClose se establece en RESET de forma predeterminada y no se puede cambiar a FIN a nivel global. Sin embargo, puede cambiar el parámetro monitorConnectionClose a FIN en el nivel de servicio.

    [ NSLB-4610 ]

GUI de Citrix ADC

  • Soporte para identificar la causa por la cual el estado de un servicio o grupo de servicios está marcado como NO ACTIVO

    Ahora puede ver la información del sondeo del monitor en la GUI de los servicios o grupos de servicios que están inactivos sin tener que ir a la interfaz de enlace del monitor.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-manage-setup/managing-services.html#identify-the-cause-for-the-service-state-marked-down-by-using-the-gui.

    [ NSUI-12906 ]

  • Soporte de optimización de interfaz para la partición de administración

    Ahora también puede habilitar la función de optimización de interfaz desde la página Configurar funciones avanzadas en modo partición.

    [ NSUI-12800 ]

  • Interacción guiada para certificados SSL

    La GUI de Citrix ADC ahora proporciona una interacción guiada para algunas tareas comunes pero detalladas relacionadas con la creación, la importación y la actualización de certificados SSL. Le pide que habilite la interacción guiada al iniciar el dispositivo por primera vez. Si está habilitada, puede inhabilitarla explícitamente en cualquier momento. Para ello, vaya a Sistema > Configuración > Cambiar la configuración de CUXIP y desactive la casilla Habilitar CUXIP.

    Nota: Esta función solo está disponible para los certificados SSL en la GUI de Citrix ADC.

    [ NSUI-13389 ]

  • Soporte para identificar la causa por la cual el estado de un servidor virtual está marcado como INACTIVO

    Ahora puede ver la información de la sonda del monitor en la GUI del servidor virtual que está INACTIVO sin tener que ir a la interfaz de enlace del monitor.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-manage-setup/managing-vserver.html#identify-the-cause-for-the-virtual-server-state-marked-down-by-using-the-gui.

    [ NSUI-13255 ]

Dispositivo Citrix ADC VPX

  • Soporte de alta disponibilidad en Google Cloud Platform

    Ahora puede implementar instancias de Citrix VPX como un par de HA en Google Cloud Platform, en todas las zonas de la misma región. Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-vpx-google-cloud-ha.html.

    [ NSPLAT-7714 ]

  • Implemente un par VPX HA en AWS mediante la migración de IP privadas

    Ahora puede implementar instancias VPX como un par de HA en la misma zona, en modo de configuración de red no independiente (INC), mediante la migración de IP privadas, lo que reduce significativamente el tiempo de conmutación por error. Anteriormente, los nodos VPX HA se implementaban mediante la migración de la interfaz de red (ENI), que tenía un tiempo de conmutación por error más prolongado. Para obtener más información, consulte:

    https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws/how-aws-ha-works.html

    https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws/vpx-aws-ha.html

    [ NSPLAT-7718 ]

  • Compatibilidad con el nuevo tipo de instancia de AWS

    A partir de esta versión, se admiten los siguientes tipos de instancias de AWS para la implementación de VPX, en las regiones existentes y en la región recientemente agregada de París.

    • C5: c5.large, c5.xlarge, c5.2xlarge, c5.4xlarge, c5.9xlarge, c5.18xlarge

    • C5n: c5n.large, c5n.xlarge, c5n.2xlarge, c5n.4xlarge, c5n.9xlarge, c5n.18xlarge

    • M5: m5.large, m5.xlarge,m5.2xlarge,m5.4xlarge, m5.12xlarge,m5.24xlarge

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws.html.

    [ NSPLAT-8729 ]

  • Etiquetas de servicio de Azure para grupos de servicios de equilibrio de carga VPX

    Para una instancia de ADC Citrix VPX implementada en Azure Cloud, ahora puede crear grupos de servicios de equilibrio de carga asociados a una etiqueta de Azure. La instancia VPX monitorea constantemente las máquinas virtuales (VM) o las interfaces de red (NIC) de Azure, o ambas, con la etiqueta correspondiente y actualiza el grupo de servicios en consecuencia. Siempre que se agrega o elimina una máquina virtual o NIC con la etiqueta correspondiente, el ADC detecta el cambio respectivo y agrega o elimina automáticamente la dirección IP de la máquina virtual o NIC del grupo de servicios.

    Puede agregar la configuración de etiqueta de Azure a una instancia VPX mediante la GUI de VPX.

    Para obtener más información sobre las etiquetas de Azure, consulte el documento de Microsoft: https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-using-tags

    Para obtener más información sobre las etiquetas de Azure para la implementación de Citrix ADC VPX, consulte https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-vpx-on-azure/tags.html.

    [ NSPLAT-8768 ]

  • Soporte para la implementación de AWS en la región de París

    Ahora puede implementar instancias VPX en AWS, en la región de París.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws.html.

    [ NSPLAT-8730 ]

Administración de bots de Citrix

  • Administración de bots de Citrix

    Detectar y mitigar las amenazas de los robots es una necesidad de seguridad fundamental en el mundo actual. Esto se logra mediante el uso de un sistema de gestión de bots. Citrix Bot Management protege sus aplicaciones web, aplicaciones y API de los ataques de seguridad básicos y avanzados. Citrix Bot Management utiliza los seis mecanismos de detección siguientes para detectar el tipo de bot y tomar una acción de mitigación.

    Las técnicas son la lista de bots permitidos, la lista de bots prohibidos, la reputación IP, la toma de huellas dactilares del dispositivo, la limitación de velocidad y las firmas estáticas.

    Reputación de la IP. Este mecanismo detecta si el tráfico entrante es un bot mediante una base de datos de direcciones IP maliciosas que se actualiza activamente.

    Huella digital del dispositivo. La toma de huellas dactilares del dispositivo inyecta JavaScript en el flujo HTTP y evalúa las propiedades devueltas por ese javascript para determinar si el tráfico entrante es un bot o no.

    Limitación de velocidad. La velocidad de la técnica de detección limita las múltiples solicitudes procedentes del mismo cliente mediante sesión, cookie o IP.

    Firmas de bots. La técnica de detección detecta y bloquea los bots basándose en más de 3500 firmas recopiladas por el equipo de investigación de amenazas de Citrix. Los bots pueden ser, por ejemplo, URL no autorizadas que extraen sitios web, inicios de sesión forzosos o aquellos que buscan vulnerabilidades

    Lista de bots permitidos. La lista blanca es una lista personalizable de URL, IP, bloques de CIDR y expresiones de directiva que incluye en la lista blanca y permite que el tráfico entrante coincida con uno de estos parámetros.

    Lista de bots prohibidos. La lista de prohibidos es una lista personalizable de URL, IP, bloques de CIDR y expresiones de directiva que incluye en la lista de prohibidos y deniega el tráfico entrante que coincida con uno de estos parámetros.

    Citrix Bot Management mitiga las amenazas automatizadas y el tráfico de bots no deseados contra sus aplicaciones públicas, API y sitios web. Si se determina que el tráfico entrante es un bot, el sistema realiza una acción asignada por el administrador del ADC y genera informes sólidos para garantizar la responsabilidad y la auditabilidad.

    La administración de bots ofrece las siguientes ventajas:

    • Defiéndete de los bots, los scripts y los kits de herramientas: la defensa basada en firmas estáticas y la toma de huellas dactilares del dispositivo mitigan las amenazas contra los bots básicos y avanzados.

    • Neutralice los ataques básicos y avanzados: evite ataques como los ataques DDoS en la capa de aplicaciones, la pulverización de contraseñas, el uso excesivo de contraseñas, la reducción de precios, la eliminación de contenido y más.

    • Proteja sus API e inversiones: proteja sus API del uso indebido, el sondeo y la filtración de datos, y proteja las inversiones en infraestructura del tráfico no deseado.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/bot-management.html.

    [ NSWAF-2900 ]

Citrix Gateway

  • Uso selectivo de protocolos de inicio de sesión antiguos o más recientes para los clientes

    Los clientes que utilizan la aplicación Workspace con Citrix Gateway ahora pueden utilizar de forma selectiva el protocolo de inicio de sesión anterior o más reciente en función de las directivas. Los clientes pueden usar protocolos de red antiguos para ciertos clientes y también permitir que los clientes utilicen la integración nativa de Intune con los clientes de Citrix Gateway mediante el protocolo heredado, principalmente la verificación de cumplimiento de Intune mediante el identificador único del dispositivo.

    [ CGOP-10879 ]

  • AlwaysON antes del inicio de sesión para Windows

    AlwaysON antes del inicio de sesión para Windows permite a los usuarios establecer un túnel VPN incluso antes de iniciar sesión en un sistema Windows. Esta conectividad VPN persistente se logra mediante el establecimiento automático de un túnel VPN a nivel de dispositivo una vez que el dispositivo se inicia.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html.

    [ CGOP-10791 ]

Citrix Web App Firewall

  • Formatos de carga de archivos permitidos

    Citrix Web App Firewall ahora le permite configurar los formatos de carga de archivos permitidos en un perfil de Citrix Web App Firewall. De este modo, restringe la carga de archivos a formatos específicos y protege el dispositivo contra las cargas malintencionadas durante el envío de varios formularios.

    Nota: La función solo funciona cuando se desactiva la opción “ExcludeFileUploadFormChecks” en el perfil WAF.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/file-upload-protection.html

    [ NSWAF-2579 ]

  • Registro detallado del patrón de infracción

    Ahora puede configurar el perfil de Web App Firewall para proporcionar un patrón de infracción detallado cuando se produce un ataque. Al configurar la opción de nivel de registro detallado, puede registrar diferentes partes de la carga útil junto con el patrón de ataque para realizar análisis forenses o solucionar problemas.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/detailed-troubleshooting-with-waf-logs.html

    [ NSWAF-2892 ]

  • Protección de contenido JSON

    Citrix Web App Firewall ahora ofrece protección JSON para los ataques de DOS, XSS y SQL. Las reglas de denegación de servicio (DoS) de JSON, SQL y XSS examinan la solicitud JSON entrante y validan si hay algún dato que coincida con las características de un ataque DoS, SQL o XSS. Si la solicitud tenía infracciones de JSON, el dispositivo bloquea la solicitud, registra los datos, envía una alerta SNMP y también muestra una página de error de JSON. El propósito de la comprobación de protección de JSON es evitar que un atacante envíe una solicitud JSON para lanzar ataques DoS, XSS o SQL en sus aplicaciones JSON o sitio web.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/json-content-protection.html

    [ NSWAF-2894 ]

  • Umbral corporal WAF POST para reducir el uso de la CPU

    El archivo de firmas del firewall de la aplicación ahora incluye el uso de la CPU, el último año aplicable y el nivel de gravedad. Puede ver el uso de la CPU, el último año y el nivel de gravedad de CVE cada vez que un archivo de firma se modifica y se carga periódicamente. Después de observar estos valores, puede decidir habilitar o inhabilitar la firma en el dispositivo.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/app-firewall-profile-settings.html

    [ NSWAF-2932 ]

  • Despliegue automático de los datos aprendidos mediante perfiles dinámicos.

    Ahora puede implementar automáticamente los datos aprendidos como reglas de relajación. En la creación de perfiles dinámicos, si Web App Firewall registra los datos aprendidos dentro de un umbral definido por el usuario, el dispositivo envía una alerta SNMP al usuario. Si el usuario no omite los datos dentro de un período de gracia, el dispositivo despliega automáticamente los datos como regla de relajación. Anteriormente, el usuario tenía que implementar manualmente los datos aprendidos como reglas de relajación.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/dynamic-profiling.html

    [ NSWAF-2895 ]

Agrupar en clústeres

  • Soporte de propietario de ARP para IP rayada

    En una configuración de clúster, ahora puede configurar un nodo específico para que responda a la solicitud ARP de una IP segmentada. El nodo configurado responderá al tráfico ARP. Se introduce un nuevo atributo “arpOwner” en los comandos de CLI “add, set and unset ip”.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/clustering/cluster-overview/cluster-config-type.html#arp-owner-support-for-striped-ip.

    [ NSNET-3050 ]

  • Borrar la captura de SNMP para que no coincida la versión del clúster

    La discrepancia entre versiones en la configuración de un clúster ahora se borra mediante un SNMP de captura transparente.

    [ NSNET-8545 ]

DNS

  • Cumplimiento del Día de la Bandera de DNS 2019

    El dispositivo Citrix ADC ahora cumple plenamente con el día de la bandera de DNS de 2019.

    [ NSLB-4275 ]

Licencias

  • Protocolos de enrutamiento dinámico en licencia estándar

    La licencia estándar de Citrix ADC ahora incluye los protocolos de enrutamiento dinámico Citrix ADC. Citrix ADC admite los siguientes protocolos dinámicos:

    • RIP (IPv4 e IPv6)

    • OSPF (IPv4 e IPv6)

    • BGP (IPv4 e IPv6)

    • IS-IS (IPv4 e IPv6)

    [ NSNET-12256 ]

  • Nuevos valores para el ancho de banda mínimo y las instancias mínimas de SDX

    Los valores mínimos de ancho de banda e instancias para los dispositivos SDX que admiten la capacidad agrupada de Citrix ADC han cambiado. Para obtener más información, consulte:

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html

    [ NSSVM-2770 ]

  • Protocolos de enrutamiento dinámico en licencia estándar

    La licencia estándar de Citrix ADC ahora incluye los protocolos de enrutamiento dinámico Citrix ADC. Citrix ADC admite los siguientes protocolos dinámicos:

    • RIP (IPv4 e IPv6)

    • OSPF (IPv4 e IPv6)

    • BGP (IPv4 e IPv6)

    • IS-IS (IPv4 e IPv6)

    [ NSPLAT-6179 ]

Equilibrio de carga

  • Soporte para monitor NTLM seguro

    Ahora puede utilizar el script nsntlm-lwp.pl para crear un monitor que supervise un servidor NTLM seguro.

    [ NSLB-4806 ]

NITRO

  • Actualice el grupo de servicios con el conjunto de miembros deseado sin problemas mediante la API Desired State

    Ahora puede usar la API de estado deseado para actualizar un grupo de servicios con el conjunto deseado de miembros del grupo de servicios. Con la API Desired State, puedes proporcionar una lista de los miembros del grupo de servicios junto con su peso y estado (opcional) en una sola solicitud PUT en el recurso “servicegroupgroupmemberlist_binding”. El dispositivo Citrix ADC compara el conjunto de miembros deseado solicitado con el conjunto de miembros configurado. A continuación, vincula automáticamente a los nuevos miembros y desvincula a los miembros que no están presentes en la solicitud.

    [ NSLB-4543 ]

  • Restringir a los usuarios del sistema a una interfaz de administración específica

    Un dispositivo Citrix ADC ahora le permite restringir el acceso de los usuarios a una interfaz de administración específica (CLI o API). Puede configurar la lista de interfaces de administración permitidas para un usuario concreto o un grupo de usuarios a nivel de usuario.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/restricted-management-interface-access.html.

    [ NSCONFIG-1376 ]

Plataforma

  • Configuración del tamaño y el tipo de anillo de recepción para una interfaz

    Ahora puede aumentar el tamaño y el tipo de anillo de recepción para las interfaces IX, F1X, F2X y F4X en las plataformas Citrix ADC MPX y SDX.

    Un mayor tamaño del anillo proporciona más amortiguación para soportar las ráfagas de tráfico, pero podría afectar al rendimiento. Las interfaces IX admiten un tamaño de anillo de hasta 8192. Las interfaces F1X, F2X y F4X admiten un tamaño de anillo de hasta 4096. El tamaño de anillo predeterminado sigue siendo 2048.

    Los tipos de anillos de interfaz son elásticos de forma predeterminada. Aumentan o disminuyen de tamaño en función de la velocidad de llegada de paquetes. Puede configurar el tipo de anillo como “fijo” para que no cambie en función de la velocidad de tráfico.

    [ NSPLAT-9264 ]

Directivas

  • Herramienta nspepi mejorada para la conversión de directivas

    La herramienta nspepi ahora se ha mejorado para admitir lo siguiente:

    • Conversión de las directivas de túneles y sus vinculaciones.

    • Conversión de enlaces de directivas clásicos integrados en CMP, CR y Tunnel.

    • Conversión de la directiva de autenticación y sus enlaces en un servidor virtual de autenticación, pero no para los enlaces de otras entidades.

    • Correcciones para varios errores.

    Nota: si se utilizan directivas de cmd y se convierte el nombre del comando, las directivas de cmd asociadas deberán cambiarse manualmente.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/appexpert/policies-and-expressions/introduction-to-policies-and-exp/converting-policy-expressions-nspepi-tool.html

    [ NSPOLICY-3159 ]

SSL

  • Soporte para la verificación opcional de certificados de cliente con autenticación de cliente basada en directivas

    Puede configurar la verificación del certificado de cliente como opcional cuando haya configurado la autenticación de cliente basada en directivas. Anteriormente, lo obligatorio era la única opción. Ahora las opciones opcionales y obligatorias están disponibles y son configurables.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/ssl/ssl-actions-and-policies/config-built-in-ssl-actions.html#client-certificate-verification-with-policy-based-client-authentication.

    [ NSSSL-690 ]

  • Soporte para mostrar valores clave de RSA de 3072 bits en el comando stat ssl

    La salida del stat ssl ahora incluye los valores de intercambio de claves de RSA de 3072 bits.

    stat ssl -detail

    Descarga SSL

    Tarjetas SSL presentes (8)

    Tarjetas SSL hasta 8

    Estado del motor SSL 1

    Sesiones SSL (velocidad) 0

    Intercambios de claves

    Intercambios de claves RSA de 512 bits 0 0

    Intercambios de claves RSA de 1024 bits 0 0

    Intercambios de claves RSA de 2048 bits 0 0

    Intercambios de claves RSA 3072 bits 0 106380

    Intercambios de claves RSA de 4096 bits 0 0

    Listo

    [ NSSSL-1954 ]

  • Soporte para nombres más largos de entidades SSL

    Para ayudar a los clientes a mantener una convención de nomenclatura estándar en todas las entidades ADC, el dispositivo Citrix ADC ahora admite un nombre de certificado de hasta 63 caracteres. Anteriormente, el límite era de 31 caracteres.

    [ NSSSL-5976 ]

  • Mejoras en la comprobación del estado del chip Intel Coleto

    Los dispositivos Citrix ADC con el chip Intel Coleto ahora admiten comprobaciones de estado mejoradas para operaciones simétricas (SYM) y asimétricas (ASYM).

    [ NSSSL-6299 ]

  • Soporte para mensajes TLS fragmentados

    El dispositivo Citrix ADC ahora admite la fragmentación de los mensajes de certificado del servidor y los mensajes de solicitud de certificado. El tamaño máximo admitido de estos mensajes en todos los registros es de 32 KB. Anteriormente, no se admitía la fragmentación y el tamaño máximo admitido de los mensajes era de 16 KB.

    [ NSSSL-5971 ]

Sistema

  • Implementación del tiempo de espera de las solicitudes y del tiempo de respuesta del ICAP

    Para gestionar el problema del tiempo de espera de la respuesta de ICAP, puede configurar el valor de tiempo de espera de la solicitud de ICAP para el parámetro “reqTimeout” en el perfil de ICAP. De este modo, puede establecer una acción de tiempo de espera de solicitud para que el dispositivo realice cualquier acción cuando se retrase la respuesta ICAP del servidor ICAP. Si el dispositivo no recibe ninguna respuesta de ICAP dentro del tiempo de espera de la solicitud configurado, puede realizar una de las siguientes acciones de acuerdo con el parámetro “ReqTimeoutAction” configurado en el Icapprofile.

    ReqTimeoutAction: Los valores posibles son BYPASS, RESET, DROP.

    BYPASS: Si la respuesta ICAP con encabezados encapsulados no se recibe dentro del valor de tiempo de espera, se ignora la respuesta del servidor ICAP remoto y se envía la solicitud/respuesta completa al cliente/servidor

    RESET (predeterminado): Para restablecer la conexión del cliente, ciérrela.

    DROP: descarta la solicitud sin enviar una respuesta al usuario

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/icap-for-remote-content-inspection.html

    [ NSBASE-3040, NSBASE-2264 ]

  • Gestión del tiempo de inactividad del servidor ICAP durante la inspección del contenido

    Para gestionar el tiempo de inactividad del servidor ICAP durante la inspección del contenido, el dispositivo Citrix ADC ahora le permite configurar el parámetro ifserverdown y asignar las siguientes acciones.

    CONTINUAR: Si el usuario quiere omitir la inspección de contenido si el servidor remoto está inactivo, puede elegir esta acción.

    RESET (predeterminado): esta acción responde al cliente cerrando la conexión con RST.

    DROP: Esta acción elimina los paquetes de forma silenciosa sin enviar una respuesta al usuario.

    [ NSBASE-4936 ]

  • Integración del sistema de detección de intrusos (IDS) con conectividad L3

    Un dispositivo Citrix ADC ahora está integrado con dispositivos de seguridad pasivos, como el Sistema de detección de intrusos (IDS). En esta configuración, el dispositivo envía una copia del tráfico original de forma segura a los dispositivos IDS remotos. Estos dispositivos pasivos almacenan registros y activan alertas cuando detectan un tráfico incorrecto o no conforme. También genera informes con fines de cumplimiento. Si el dispositivo Citrix ADC está integrado con dos o más dispositivos IDS y hay un gran volumen de tráfico, el dispositivo puede equilibrar la carga de los dispositivos clonando el tráfico a nivel de servidor virtual.

    Para una protección de seguridad avanzada, un dispositivo Citrix ADC está integrado con dispositivos de seguridad pasivos, como el Sistema de detección de intrusos (IDS), que se implementan en modo de solo detección. Estos dispositivos almacenan registros y activan alertas cuando detectan un tráfico incorrecto o que no cumple con las normas. También genera informes con fines de cumplimiento. Los siguientes son algunos de los beneficios de integrar Citrix ADC con un dispositivo IDS.

    1. Inspección del tráfico cifrado: la mayoría de los dispositivos de seguridad evitan el tráfico cifrado, lo que hace que los servidores sean vulnerables a los ataques. Un dispositivo Citrix ADC puede descifrar el tráfico y enviarlo a los dispositivos IDS para mejorar la seguridad de la red del cliente.

    2. Descargar los dispositivos IDS del procesamiento de TLS/SSL: el procesamiento de TLS/SSL es caro y, si descifran el tráfico, los dispositivos de detección de intrusos tienen un alto nivel de CPU del sistema. A medida que el tráfico cifrado crece a un ritmo acelerado, estos sistemas no pueden descifrar ni inspeccionar el tráfico cifrado. Citrix ADC ayuda a descargar el tráfico a los dispositivos IDS desde el procesamiento TLS/SSL. Esta forma de descargar datos da como resultado que un dispositivo IDS admita un alto volumen de inspección de tráfico.

    3. Dispositivos IDS de equilibrio de carga: el dispositivo Citrix ADC equilibra la carga de varios dispositivos IDS cuando hay un gran volumen de tráfico mediante la clonación del tráfico a nivel de servidor virtual.

    4. Replicación del tráfico en dispositivos pasivos: el tráfico que entra en el dispositivo se puede replicar en otros dispositivos pasivos para generar informes de cumplimiento. Por ejemplo, pocas agencias gubernamentales exigen que todas las transacciones se registren en algunos dispositivos pasivos.

    5. Abanicar el tráfico a varios dispositivos pasivos: algunos clientes prefieren distribuir o replicar el tráfico entrante en varios dispositivos pasivos.

    6. Selección inteligente del tráfico: es posible que no sea necesario inspeccionar el contenido de cada paquete que llegue al dispositivo, por ejemplo, la descarga de archivos de texto. El usuario puede configurar el dispositivo Citrix ADC para seleccionar tráfico específico (por ejemplo, archivos.exe) para su inspección y enviar el tráfico a los dispositivos IDS para procesar los datos.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/intrusion-detection-system-for-l3.html

    [ NSBASE-6800 ]

  • Nuevo contador de entidades para depurar servidores virtuales de equilibrio de carga

    Se agrega un nuevo contador de entidades para depurar servidores virtuales y realizar análisis.

    [ NSBASE-8087 ]

  • Capturas SNMP para el proceso de actualización de software en servicio

    El proceso de actualización del software en servicio (ISSU) para una configuración de alta disponibilidad ahora admite el envío de mensajes de captura de SNMP al principio y al final de la operación de migración de ISSU.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html.

    [ NSNET-9959 ]

  • Reversión del proceso de actualización del software en servicio

    Las configuraciones de alta disponibilidad ahora admiten la reversión del proceso de actualización del software en servicio (ISSU). La función de reversión de ISSU es útil si observa que la configuración de HA después o durante el proceso de ISSU no es estable o no funciona al nivel óptimo esperado.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html.

    [ NSNET-9958 ]

  • Cambiar las contraseñas predeterminadas de los nodos RPC

    En las implementaciones de HA, clúster y GSLB, aparece un mensaje de advertencia para el inicio de sesión de nsroot y el superusuario si no se cambia la contraseña predeterminada del nodo RPC.

    [ NSCONFIG-2224 ]

Optimización de vídeo

Problemas resueltos

Problemas que se abordan en la compilación 41.28.

Partición de administración

  • En una configuración de alta disponibilidad con configuración de partición de administración, los registros de auditoría generados desde el nodo secundario se envían al servidor SYSLOG o NSLOG solo cuando se puede acceder al servidor SYSLOG o NSLOG desde la partición de administración.

    [ NSHELP-19399 ]

  • En una configuración particionada, el comando CLI “diff ns config” muestra información engañosa.

    [ NSHELP-19530 ]

AppFlow

  • Una directiva de AppFlow no se activa si está enlazada a un servidor virtual de equilibrio de carga que se encuentra detrás de un servidor virtual de conmutación de contenido.

    [ NSHELP-18782, NSBASE-8180 ]

  • El dispositivo Citrix ADC se bloquea si enlaza un perfil de análisis definido por el usuario, que no sea el perfil enlazado internamente, a una acción de AppFlow.

    [ NSHELP-19362 ]

  • Cuando la función “mediciones del lado del cliente” de AppFlow está habilitada, el dispositivo Citrix ADC analiza inesperadamente los archivos CSS de una página HTML. Cualquier error durante el análisis de CSS puede provocar que la página HTML se cargue incorrectamente.

    [ NSHELP-19375 ]

  • El dispositivo Citrix ADC puede fallar si AppFlow está inhabilitado, pero la optimización de interfaz (FEO) está habilitada con mediciones del lado del cliente, en la acción FEO.

    [ NSHELP-19531 ]

  • Un dispositivo Citrix ADC puede reiniciarse si el recopilador AppFlow se cierra en el modo de transporte Logstream.

    [ NSHELP-19837 ]

Autenticación, autorización y auditoría

  • Un dispositivo Citrix ADC puede permitir el acceso no autorizado si se cumplen las siguientes condiciones:

    • Las directivas de autorización adecuadas no están configuradas.

    • El parámetro defaultAuthorizationAction del comando “set tm sessionParameter” es ALLOW de forma predeterminada.

    [ NSAUTH-6013 ]

  • El SNMP envía trampas incluso después de que la autenticación de clave pública SSH se haya realizado correctamente.

    [ NSHELP-18303 ]

  • El comando probe server proporciona un mensaje apropiado cuando el servidor TACACS cierra la conexión TCP con los paquetes FIN o RST sin enviar una respuesta de autenticación.

    [ NSHELP-18399 ]

  • Al actualizar la configuración del clúster Citrix ADC de la versión 10.5 a una versión superior, se produce un error al iniciar sesión del sistema en un nodo que no sea de CCO de la versión superior.

    [ NSHELP-18511, NSAUTH-5561 ]

  • Un dispositivo Citrix ADC configurado como SAML SP falla si el servidor envía un nombre de parámetro RelayState grande junto con la afirmación.

    [ NSHELP-18559 ]

  • En ocasiones, un mensaje de cierre de sesión de autenticación, autorización y auditoría de Citrix muestra un nombre de servidor virtual incorrecto.

    [ NSHELP-18751 ]

  • Un dispositivo Citrix ADC no puede obtener los tickets de Kerberos mediante una delegación restringida si se cumple una de las siguientes condiciones:

    • El parámetro “reino” empresarial está configurado para el usuario.

    • El nombre de dominio del parámetro “keytab” está en minúsculas.

    [ NSHELP-18946 ]

  • El búfer se corrompe si se cumplen las siguientes condiciones:

    • Los datos del búfer se sobrescriben.

    • El procesamiento de mensajes de núcleo a núcleo da como resultado una condición de reciclaje del búfer.

    [ NSHELP-18952 ]

  • Un dispositivo Citrix ADC no descarta las solicitudes HTTP OPTIONS no autenticadas si User-Agent contiene uno de los patrones mencionados en ns_aaa_activesync_useragents.

    [ NSHELP-19024 ]

  • La autenticación WebAuth falla después de varias conmutaciones por error en un dispositivo Citrix Gateway.

    [ NSHELP-19050 ]

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen las siguientes condiciones:

    • La opción de cambio de contraseña está habilitada en un comando de acción de LDAP.

    • La acción LDAP con sesión de autenticación, autorización y auditoría se produce con un problema de propagación de la sesión.

    [ NSHELP-19053 ]

  • El uso de memoria de un dispositivo Citrix ADC aumenta cuando Citrix Gateway o el servidor virtual de administración del tráfico utilizan la autenticación Kerberos.

    [ NSHELP-19085 ]

  • Si se configura el parámetro metadataURL y se reinicia el dispositivo Citrix, el comando samlAction no se guarda y la configuración se pierde.

    [ NSHELP-19140 ]

  • Si configura la “URL de importación de metadatos” y luego la modifica proporcionando la URL de redireccionamiento desde la GUI de Citrix ADC, se establece la URL de redireccionamiento, pero la URL de importación de metadatos no se desactiva. Por ello, el dispositivo Citrix ADC utiliza la URL de los metadatos.

    [ NSHELP-19202 ]

  • Un dispositivo Citrix ADC puede bloquearse si la entrada a la GUI de Citrix o a la solicitud de inicio de sesión de la API de NITRO tiene un valor de nombre de usuario o contraseña no válido.

    [ NSHELP-19254 ]

  • El dispositivo Citrix puede bloquearse si una directiva de esquema de inicio de sesión de autenticación está configurada en noschema.

    [ NSHELP-19292 ]

  • En ocasiones, un dispositivo Citrix ADC falla si se configura un parámetro defaultAuthenticationGroup en un comando samlIdPProfile.

    [ NSHELP-19301 ]

  • El inicio de sesión de los usuarios del sistema desde la GUI de Citrix o la API de NITRO mediante la autenticación de acceso basado en roles (RBA) no se produce cuando se accede a la administración de Citrix ADC a través del servidor virtual de equilibrio de carga y el servicio de equilibrio de carga.

    [ NSHELP-19385 ]

  • Los servicios de federación de Active Directory (ADFS) no pueden importar los metadatos generados por el proveedor de servicios SAML (SP) de Citrix ADC.

    [ NSHELP-19390 ]

  • La decodificación en base64 falla si una firma digital tiene caracteres codificados en una entidad HTML.

    [ NSHELP-19410 ]

  • Un dispositivo Citrix ADC configurado para el proveedor de identidad (IDP) de SAML no autentica la solicitud de autenticación entrante para determinadas aplicaciones.

    [ NSHELP-19443 ]

  • Si se procesa una cookie de diálogo en la solicitud del cliente antes de comprobar si hay sesiones existentes, un dispositivo Citrix ADC envía una página de cambio de contraseña al cliente.

    [ NSHELP-19528 ]

  • Si la URL contiene el carácter especial “;”, la cookie de TASS codifica la redirección URL en el momento del inicio de sesión.

    [ NSHELP-19634 ]

  • Si la extracción del grupo de usuarios se realiza durante el inicio de sesión de un administrador, el uso de memoria de Citrix ADC AAA aumenta gradualmente.

    [ NSHELP-19671 ]

  • La autenticación puede fallar cuando un dispositivo Citrix ADC configurado como SAML con el protocolo WS-FED contiene un carácter especial “&” en la contraseña.

    [ NSHELP-19740 ]

  • Se observa un mensaje de error 500 si se cumplen las siguientes condiciones:

    • El servidor virtual de administración del tráfico habilitado para la autenticación, la autorización y la auditoría recibe una solicitud posterior sin la cookie.

    • El cuerpo de la publicación contiene caracteres de nueva línea.

    [ NSHELP-19852 ]

  • Un dispositivo Citrix ADC procesa las solicitudes HTTP no autenticadas con el método OPTIONS recibidas del servidor virtual de administración del tráfico de autenticación, autorización y auditoría. En este punto, el dispositivo responde con el mensaje de error HTTP 401 correspondiente.

    [ NSHELP-19916 ]

  • Un dispositivo Citrix ADC envía un valor negativo si el valor máximo de antigüedad del encabezado HSTS se establece por encima de 2.147.483.647.

    [ NSHELP-19945 ]

  • El valor del atributo SAML de la respuesta de SAML incluye varias líneas de AttributeValue de SAML, en lugar de una.

    [ NSHELP-19961 ]

  • En un mecanismo de conexión con OpenID-Connect, OAuth Rely Party (RP) no codifica las propiedades del nombre de usuario o la contraseña al realizar una llamada a la API de concesión de contraseñas.

    [ NSHELP-19987 ]

  • Un dispositivo Citrix ADC configurado como proveedor de identidad (IDP) SAML trunca el estado de retransmisión del proveedor de servicios (SP) si contiene comillas.

    [ NSHELP-20131 ]

  • Un dispositivo Citrix Gateway puede fallar si se cumplen las siguientes condiciones:

    • Cuando un usuario cierra sesión.

    • El dispositivo se implementa en una plataforma HDX.

    • La autenticación SAML se utiliza en Citrix Gateway.

    [ NSHELP-20206 ]

  • Un dispositivo Citrix ADC puede bloquearse al utilizar un IDP de SAML en un dispositivo FIPS.

    [ NSHELP-20282 ]

  • En ocasiones, un dispositivo Citrix Gateway puede fallar si los usuarios intentan iniciar sesión al tomar una instantánea de VPX.

    [ NSHELP-20292 ]

  • Un dispositivo Citrix ADC configurado como proveedor de servicios (SP) de SAML en el servidor virtual de administración del tráfico no envía una respuesta posterior al servidor de fondo después del inicio de sesión con SAML.

    [ NSHELP-20348 ]

  • Se observa el siguiente comportamiento en la GUI de Citrix ADC:

    • No puede modificar las directivas de OAuth.

    • Solo puede modificar las acciones de OAuth.

    • La opción Directivas de OAuth solo debe estar en Directivas avanzadas, no en Directivas básicas.

    [ NSHELP-2131 ]

  • Ocasionalmente, un dispositivo Citrix Gateway puede fallar al recibir la solicitud /vpns/services.html de un cliente.

    [ NSHELP-8513 ]

CPXCPX-Infra

  • Función: Citrix ADC CPX

    Los siguientes perfiles TCP predeterminados no se configuraron automáticamente con el tamaño máximo de segmento (MSS) de TCP:

    • nstcp_default_profile

    • nstcp_internal_apps

    [ NSNET-11916 ]

Dispositivo Citrix ADC BLX

  • En un dispositivo Citrix ADC BLX, no puede vincular la interfaz 0/1 a una VLAN porque esta interfaz se utiliza para la comunicación interna entre el dispositivo BLX y las aplicaciones host de Linux.

    [ NSNET-10014 ]

  • Las funciones de interfaz (por ejemplo, Rx, Tx, GRO, GSO y LRO) están inhabilitadas para las interfaces (host de Linux) asignadas al dispositivo Citrix ADC BLX. Estas funciones permanecen inhabilitadas incluso después de que estas interfaces BLX se publiquen en el espacio de nombres predeterminado cuando se detiene el dispositivo BLX.

    [ NSNET-9697 ]

CLI de Citrix ADC

  • Al iniciar sesión como usuario de nsrecover, los comandos nscli -U arrojan un error.

    [ NSCONFIG-1414 ]

  • Un dispositivo Citrix ADC deja de responder si alcanza el número máximo de sesiones de usuario (aproximadamente 1000 sesiones) y si la interfaz de administración deja de responder.

    [ NSHELP-19212, NSCONFIG-1369 ]

Citrix ADC CPX

  • La versión más ligera de la instancia CPX de Citrix ADC no se registraba en Citrix ADM.

    [ NSCONFIG-2232 ]

  • No puede configurar un NSIP con máscara de subred de /32 bits para Citrix ADC CPX.

    [ NSNET-10968 ]

GUI de Citrix ADC

  • Un mensaje de error: “No se puede leer la propiedad ‘get’ de undefined. “aparece al hacer clic en Acción en la página GUI de Stream Identifiers.

    [ NSHELP-19369 ]

  • Aparece el siguiente mensaje de error después de realizar los pasos 1 a 4.

    “Valor de argumento ambiguo []”

    1. Cree un perfil SSL con valores predeterminados.

    2. Enlazar el perfil a un servidor virtual SSL.

    3. Modifique los parámetros SSL, pero no cambie ningún valor.

    4. Seleccione Aceptar para cerrar el cuadro de diálogo de parámetros SSL.

    [ NSHELP-19402 ]

  • Debido a algunos problemas técnicos en el marco, no se muestran todos los grupos de servicios en la GUI del ADC.

    [ NSUI-13754 ]

Dispositivo Citrix ADC SDX

  • La cantidad máxima de núcleos que puede configurar ahora en una instancia VPX depende de los núcleos disponibles en la plataforma SDX en particular. Anteriormente, podía configurar un máximo de solo cinco núcleos, incluso si había más núcleos disponibles.

    Para obtener información sobre la cantidad máxima de núcleos que puede asignar a una instancia VPX, consulte https://docs.citrix.com/en-us/sdx/13/provision-netscaler-instances.html

    [ NSHELP-18632 ]

  • Tras restaurar un dispositivo SDX, las MAC de partición del archivo de respaldo no se restauraron en las instancias VPX respectivas que se ejecutaban en el dispositivo SDX.

    [ NSHELP-19008 ]

  • En una configuración VPX HA que se ejecuta en dispositivos SDX, cuando uno de los conmutadores del canal de puerto virtual (VPC) deja de funcionar, todas las interfaces que forman parte del LACP fallan. Esto activa la conmutación por error de HA.

    [ NSHELP-19095 ]

  • Los dispositivos SDX 8900 pueden fallar al aplicar la configuración SSL para configurar la verificación de certificados de cliente como opcional con la autenticación de cliente basada en directivas.

    [ NSHELP-19297 ]

  • Tras actualizar un dispositivo SDX, es posible que se pierdan el canal LA y la configuración de VLAN del dispositivo.

    [ NSHELP-19392, NSHELP-19610 ]

  • Al configurar las licencias agrupadas en el dispositivo FIPS SDX 14000, las instancias mínimas que podía retirar eran 25. Con esta corrección, el mínimo de instancias que puedes retirar son dos. Para obtener más información, consulte el documento de capacidad agrupada de Citrix ADC:

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html.

    [ NSHELP-20305 ]

  • Tras una operación de reinicio, la velocidad de transmisión disminuye.

    [ NSPLAT-7792 ]

  • En las plataformas SDX 26000 y SDX 15000, el acceso de la administración a través de SSH a DOM0 puede interrumpirse cuando se cumplan las siguientes condiciones:

    • Se reinicia más de una instancia VPX simultáneamente.

    • Se asignan interfaces de 100 GE o 50 GE a las instancias VPX.

    [ NSPLAT-9185 ]

  • Un dispositivo SDX puede bloquearse al final de su ciclo de reinicio si se cumplen todas las condiciones siguientes:

    • El dispositivo SDX se está iniciando.

    • Todas las instancias VPX que se ejecutan en el dispositivo SDX aún no se han creado.

    • Los comandos de reinicio en caliente se ejecutan en el dispositivo SDX.

    Como resultado, en la consola del hipervisor Citrix, el dispositivo SDX realiza una limpieza periódica y se detiene en la línea “Se alcanzó el último paso del objetivo”.

    [ NSPLAT-9417 ]

  • Tras configurar una VLAN desde la lista de VLAN permitidas (AVL) en una instancia VPX que se ejecuta en un dispositivo SDX, la instancia no se reinicia automáticamente. Como resultado, se detiene la comunicación entre la instancia VPX y AVL.

    [ NSSVM-135 ]

Dispositivo Citrix ADC VPX

  • Es posible que no puedas acceder a una instancia VPX mediante la IP de administración si la instancia tiene una licencia de vCPU. El problema se observa en todas las instancias de VPX, tanto locales como en la nube. Si la instancia VPX se ejecuta en un dispositivo SDX, puede acceder a la instancia desde la GUI del Servicio de administración de SDX.

    [ NSPLAT-10710 ]

  • Si configura el tamaño de la MTU a través de la GUI de Citrix ADC VPX, aparece el mensaje de error “Operación no compatible”.

    [ NSPLAT-9594 ]

Citrix Gateway

  • Las aplicaciones de intranet de Citrix Gateway ahora admiten nombres de host separados por comas para la tunelización basada en FQDN.

    [ CGOP-10855 ]

  • Si el complemento Citrix Gateway para macOS no está instalado y el usuario intenta acceder a la VPN desde Safari, aparece un mensaje de error.

    [ CGOP-11240 ]

  • Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de Citrix ADC.

    [ CGOP-11830 ]

  • Los paquetes de carga útil de seguridad (ESP) de encapsulación en tránsito se descartan si la configuración de LSN no está habilitada en el dispositivo Citrix ADC.

    [ NSHELP-18502 ]

  • En una configuración de alta disponibilidad, el nodo secundario puede fallar si se configura SAML.

    [ NSHELP-18691 ]

  • Si un perfil de servidor RDP se establece con el mismo número de puerto y dirección IP que el servidor virtual de conmutación de contenido, la configuración de conmutación de contenido se pierde tras el reinicio.

    [ NSHELP-18818 ]

  • En algunos casos, al acceder al dispositivo Citrix Gateway mediante un explorador web IE, la página de inicio de sesión de Citrix Gateway solo aparece después de una actualización.

    [ NSHELP-18938 ]

  • En Citrix ADM, la página Analytics > Gateway Insight informa de forma incorrecta sobre las sesiones de VPN finalizadas.

    [ NSHELP-19037 ]

  • En una configuración de alta disponibilidad, el nodo secundario se bloquea si la información de usuario eliminada no se sincroniza con el nodo.

    [ NSHELP-19065 ]

  • El cuadro de diálogo Servidor ocupado aparece en la ventana del plug-in de VPN de la máquina cliente si la máquina permanece inactiva durante más de dos horas.

    [ NSHELP-19072 ]

  • Las directivas de autorización UDP, DNS e ICMP no se aplican a las conexiones entre un cliente de la red interna y un cliente VPN (conexiones iniciadas por el servidor).

    [ NSHELP-19142 ]

  • En algunos casos, el script de inicio de sesión configurado en el servidor Citrix Gateway no se ejecuta en los equipos cliente.

    [ NSHELP-19163 ]

  • El análisis avanzado de puntos finales (EPA) no funciona en los dispositivos macOS.

    [ NSHELP-19328 ]

  • En algunos casos, un dispositivo Citrix ADC descarga el núcleo si se cumplen las siguientes condiciones.

    • La autenticación de dos factores está habilitada para el cliente nativo de VMware Horizon.

    • Radius se configura como el primer factor de autenticación.

    • El servidor Radius responde con los nombres de los grupos cuando la autenticación se realiza correctamente.

    [ NSHELP-19333 ]

  • En algunos casos, cerrar sesión en el plug-in de VPN de Windows tarda más de lo esperado.

    [ NSHELP-19394 ]

  • En algunos casos, el dispositivo Citrix Gateway establece una cookie no válida al procesar las solicitudes no autenticadas.

    [ NSHELP-19403 ]

  • En algunos casos, un dispositivo Citrix Gateway descarga el núcleo si el perfil de servidor virtual PCOIP está configurado en un servidor virtual VPN, pero pcoipProfile no está configurado en la acción de sesión.

    [ NSHELP-19412 ]

  • En algunos casos, el dispositivo Citrix Gateway descarga el núcleo si se accede al dispositivo en

    el modo túnel VPN completo.

    [ NSHELP-19444 ]

  • El complemento Citrix Gateway para macOS no puede resolver los nombres de host internos si la opción de acceso a LAN local está habilitada en un dispositivo Citrix ADC.

    [ NSHELP-19543 ]

  • El servicio DTLS de un servidor virtual VPN funciona con un conjunto predeterminado de cifrados que no se pueden modificar mediante los comandos de cifrado de enlace o desenlace mediante la CLI.

    [ NSHELP-19561 ]

  • La claridad del audio de las llamadas de Skype se ve afectada negativamente cuando se conectan varias aplicaciones o conexiones a través de la VPN. Esto ocurre debido a una administración de memoria inadecuada.

    [ NSHELP-19630 ]

  • Un Citrix Gateway no reconoce la directiva de expresiones de inicio de sesión en un complemento de Windows durante la autenticación de nFactor.

    [ NSHELP-19640 ]

  • La función “reconocimiento basado en la ubicación” no funciona en los equipos cliente cuando el equipo entra en una zona conectada a la red [Internet o intranet] desde una zona sin red.

    [ NSHELP-19657 ]

  • Si se utiliza un factor de autenticación alojado en Azure en Citrix MFA, se produce un error al iniciar sesión en Citrix Gateway mediante el complemento de Windows. Esto ocurre porque el valor de tiempo de espera HTTP de MFA es inferior al valor de tiempo de espera del complemento Citrix Gateway para Windows.

    Con esta solución, se aumenta el valor del tiempo de espera del complemento Windows de Citrix Gateway para evitar errores de inicio de sesión. Además, el valor de tiempo de espera de HTTP ahora se puede configurar configurando el siguiente valor de Registro (en segundos):

    ComputerHKEY_LOCAL_MACHINESOFTWARECitrixSecure Access ClientHttpTimeout

    [ NSHELP-19848 ]

  • En algunos casos, el escaneo EPA falla en máquinas con Windows.

    [ NSHELP-19865 ]

  • En raras ocasiones, los dispositivos Citrix ADC implementados en una configuración de alta disponibilidad (HA) pueden fallar y provocar una conmutación por error de HA frecuente si se cumplen las dos condiciones siguientes:

    • Gateway Insight está activado.

    • El SSO falla.

    [ NSHELP-19922 ]

  • La comprobación de inscripción de Windows Intune no se puede inhabilitar en los equipos cliente. La comprobación está habilitada de forma predeterminada.

    Con esta solución, se puede inhabilitar la comprobación de inscripción de Windows Intune.

    Para inhabilitar la comprobación, defina la siguiente entrada del Registro en 1:

    ComputerHKEY_LOCAL_MACHINESOFTWARECitrixSecure Access ClientDisableIntuneDeviceEnrollment

    [ NSHELP-19942 ]

  • La claridad del audio de las aplicaciones VOIP se ve afectada negativamente cuando se tunelizan varias aplicaciones o conexiones a través de la VPN.

    [ NSHELP-20097 ]

  • La búsqueda de URL para reescribirlas para un procesamiento avanzado de VPN sin cliente da como resultado un uso elevado de la CPU. Como resultado, el sistema se ralentiza.

    [ NSHELP-20122 ]

  • Un equipo cliente no puede volver a conectarse a un dispositivo Citrix Gateway porque el dispositivo envía un ticket STA incorrecto al actualizar la STA.

    [ NSHELP-20285 ]

  • Al agregar dominios para el perfil de acceso sin cliente, aparece una barra de desplazamiento horizontal cuando el FQDN es largo.

    [ NSHELP-20341 ]

  • En una configuración de alta disponibilidad, el dispositivo Citrix ADC secundario puede fallar si está habilitada la confiabilidad de la sesión en una configuración de alta disponibilidad.

    [ NSHELP-5257, NSINSIGHT-1208, NSHELP-3807, NSHELP-3808, NSHELP-5414, NSHELP-5417, NSHELP-5428, NSHELP-17883, NSHELP-17894, NSHELP-17904 ]

  • Una página de inicio de sesión del servidor virtual de autenticación, autorización y auditoría muestra un número de código de error en lugar de un mensaje de error significativo.

    [ NSHELP-7872 ]

  • En algunos casos, un dispositivo Citrix Gateway descarga el núcleo porque las operaciones de actualización de STA pendientes se acumulan de forma infinita.

    [ NSHELP-8684 ]

Citrix Web App Firewall

  • La configuración original de Citrix Web App Firewall se anula por defecto.

    Por ejemplo, si ha seleccionado la opción “habilitar” para algunas firmas, la configuración pasa a ser “inhabilitada” durante la operación de combinación de firmas.

    [ NSHELP-17841 ]

  • Se observa una pérdida de configuración al reiniciar una configuración de clúster o de alta disponibilidad con la opción rfcprofile habilitada en la configuración en ejecución.

    [ NSHELP-18856 ]

  • Un dispositivo Citrix ADC puede bloquearse si los cambios de configuración de Citrix Web App Firewall no se gestionan correctamente en la configuración de un clúster.

    [ NSHELP-18870 ]

  • Después de agregar una regla de relajación, las URL similares no se eliminarán de la lista de reglas aprendidas.

    [ NSHELP-19298 ]

  • Un dispositivo Citrix ADC puede fallar al procesar cuerpos de formularios grandes y si el parámetro de coherencia de campos está habilitado en el perfil Citrix Web App Firewall.

    [ NSHELP-19299 ]

  • Un dispositivo Citrix ADC puede restablecer las conexiones del cliente cuando hay un tráfico XML elevado.

    [ NSHELP-19314 ]

  • Si habilitas la directiva de transformación de URL y si la respuesta de un valor de atributo corporal contiene caracteres especiales, el ContentSwitching en una descarga de SSL podría reemplazar los caracteres especiales como valores codificados por entidades.

    [ NSHELP-19356 ]

  • Un dispositivo Citrix ADC puede bloquearse cuando se reciben solicitudes CONNECT. El problema se produce si se establece la configuración del perfil predeterminada en cualquier valor que no sea APPFW_BYPASS, APPFW_RESET, APPFW_DROP o APPFW_BLOCK.

    [ NSHELP-19603 ]

  • Es posible que las solicitudes web con muchos parámetros de consulta no reciban respuesta si el parámetro de protección de coherencia de campos está activado.

    [ NSHELP-19811 ]

  • Se produce un error en un dispositivo Citrix ADC si se cumplen las siguientes condiciones:

    • Las directivas de Web App Firewall utilizan una regla basada en el cuerpo de HTTP, por ejemplo, HTTP.REQ.BODY(..)),

    • La función Web App Firewall está inhabilitada.

    [ NSHELP-19879 ]

  • Nueva opción para limitar los bytes del cuerpo de la publicación inspeccionados por la firma

    Tras actualizar su dispositivo a la versión 13.0 de Citrix ADC, ahora podrá ver una nueva opción de perfil, “Signature Post Body Limit (bytes)”, con un valor predeterminado de 8192 bytes. La actualización de su dispositivo establecerá la opción en el valor predeterminado. Puede cambiar esta opción para limitar la carga útil de la solicitud (en bytes) inspeccionada en busca de firmas con la ubicación especificada como “HTTP_POST_BODY”.

    Anteriormente, Web Citrix Web App Firewall no tenía la opción de limitar la inspección de la carga útil y mantener la CPU bajo control.

    Navegación: Configuración > Seguridad > Citrix Web App Firewall > Perfiles > Configuración del perfil.

    [ NSWAF-2887, NSUI-13251 ]

Agrupar en clústeres

  • En una configuración de clúster con configuración ACL6, los paquetes de error ICMPv6 se repiten entre los nodos, lo que provoca un uso elevado de la CPU.

    [ NSHELP-19535 ]

  • En la configuración de un clúster, la propagación del clúster puede fallar si se cumple una de las siguientes condiciones:

    • Se produce un error en la conexión entre el demonio del clúster y el demonio de configuración.

    • Aumento del uso de memoria en el demonio del clúster.

    [ NSHELP-19771 ]

  • En una configuración de clúster, la GUI de Citrix ADC no puede cargar un certificado SSL en las siguientes condiciones:

    • Los comandos se ejecutan desde el CLIP.

    • El comando “sh partition” responde con una respuesta no válida.

    [ NSHELP-19905 ]

  • En la configuración de un clúster, puede observar registros de errores continuos que indican un error de conexión entre el daemon IMI de enrutamiento dinámico de ZebOS y el demonio del clúster interno. Este problema se produce cuando se reinicia el daemon IMI de enrutamiento dinámico de ZebOS o el demonio del clúster interno.

    [ NSNET-10655 ]

  • Se observa el siguiente comportamiento en la configuración de un clúster:

    • La configuración no coincide si ejecuta los comandos enable/disable servicegroupmember, service group y server.

    • El comando unset no restablece el perfil de red del servicio/grupo de servicios.

    [ NSNET-9599 ]

DNS

  • Los dispositivos Citrix ADC pueden fallar al completar la respuesta negativa almacenada en caché para una consulta DNS ANY para una zona autorizada.

    [ NSHELP-19496 ]

  • Puedes agregar un dominio comodín para la zona de tu propiedad.

    [ NSHELP-19498 ]

  • Una instancia de Citrix ADC VPX que se ejecuta en un dispositivo SDX podría bloquearse si se recibe una solicitud de DNS no válida en una interfaz habilitada para Jumbo.

    [ NSHELP-19854 ]

GSLB

  • La configuración de la lista principal de copias de seguridad del sitio GSLB se pierde si se cumplen las dos condiciones siguientes:

    • La opción triggerMonitor está configurada en MEPDOWN o MEPDOWN_SVCDOWN.

    • Se reinicia el dispositivo Citrix ADC.

    [ NSCONFIG-1760 ]

  • En una configuración de clúster GSLB, la conexión MEP puede interrumpirse y provocar una interrupción de MEP cuando un nodo se une al clúster.

    [ NSHELP-19532 ]

Licencias

  • Tras actualizar una licencia perpetua de MPX a una licencia de capacidad agrupada, la GUI de ADM solicita guardar la configuración y reiniciar la instancia. Con esta corrección, la GUI solo solicita que se reinicie la instancia.

    [ NSHELP-20137 ]

Equilibrio de carga

  • Cuando el LRTM está activado en un monitor enlazado a un grupo de servicios, no se muestra el tiempo de respuesta.

    [ NSHELP-12689 ]

  • En raras ocasiones, un dispositivo Citrix ADC puede fallar si el servicio está marcado como INACTIVO antes de recibir la sesión SSL del servidor que tiene la siguiente configuración.

    • Un servidor virtual de equilibrio de carga de tipo SSL_BRIDGE

    • El tipo de persistencia se establece en SSLSESSION ID

    • El tipo de persistencia de la copia de seguridad está establecido en SOURCEIP

    [ NSHELP-18482 ]

  • El número de servicios inactivos de un servidor virtual de equilibrio de carga puede devolver un valor grande durante unos segundos después de que algunos servicios o miembros de grupos de servicios se hayan separado del servidor virtual de equilibrio de carga. Se trata de un problema de visualización y no afecta a ninguna funcionalidad.

    [ NSHELP-19400 ]

  • Un dispositivo Citrix ADC se bloquea si el servidor virtual es de tipo ANY y la persistencia indirecta está habilitada en el servidor virtual.

    [ NSHELP-19540 ]

  • En una configuración de alta disponibilidad en modo INC, la GUI y la CLI del nodo secundario muestran incorrectamente el siguiente mensaje de estado en algunos monitores de equilibrio de carga:

    “Sonda omitida: nodo secundario”

    [ NSHELP-19617 ]

  • Es posible que se quede sin espacio en disco en un dispositivo Citrix ADC VPX porque el dispositivo genera varios archivos temporales. Cuando se produce una operación de rsync para un archivo de ubicación determinado, se crea un archivo temporal para ese archivo de ubicación. Estos archivos llenan el directorio /var.

    [ NSHELP-20020 ]

  • La implementación de un clúster no admite la supervisión de rutas para grupos de servicios de escalado automático.

    [ NSLB-4660 ]

NITRO

  • El dispositivo Citrix ADC responde con un mensaje de error interno para la llamada a la API de NITRO show routerdynamicrouting.

    [ NSCONFIG-1325 ]

Redes

  • En una configuración de alta disponibilidad con el enrutamiento dinámico de OSPF configurado, el nuevo nodo principal no genera el número de secuencia MD5 de OSPF en orden creciente después de una conmutación por error.

    Se ha solucionado este problema. Para que la solución funcione correctamente, debe sincronizar la hora entre los nodos principal y secundario de forma manual o mediante NTP.

    [ NSHELP-18958 ]

  • Cuando se agrega una regla PBR con el parámetro de siguiente salto establecido en NULL para un servicio de equilibrio de carga o un monitor, es posible que el dispositivo Citrix ADC deje de responder.

    [ NSHELP-19245 ]

  • Un dispositivo Citrix ADC puede crear un bucle de paquetes SYN+ACK, lo que a su vez provoca un uso elevado de la CPU, cuando se cumplen las siguientes condiciones:

    • Si hay una conexión de sonda RNAT pendiente a una dirección IP, que actualmente no es la dirección IP propiedad de Citrix ADC, en el dispositivo ADC.

    • Si establece esta dirección IP como dirección IP propiedad del ADC como parte de la configuración del ADC. Por ejemplo, agregar un servidor virtual de equilibrio de carga con esta dirección IP.

    [ NSHELP-19376 ]

  • El dispositivo Citrix ADC permite la configuración a través de las API de NITRO incluso antes de que los módulos de protocolo no estén completamente inicializados. Por este motivo, se produce un error en el comando write memory y aparece el siguiente mensaje de error:

    “se denegó guardar la configuración; los módulos no están listos”

    [ NSHELP-19431 ]

  • En algunos casos excepcionales, en una configuración de alta disponibilidad, el nodo secundario puede establecer una sesión de BGP a través de la dirección IP (NSIP) de Citrix ADC.

    [ NSHELP-19720 ]

  • El proceso de BGP puede fallar debido a daños en la memoria si recibe actualizaciones de bgp con varios números AS de 4 bytes en la ruta.

    [ NSHELP-19860 ]

  • En el caso de una regla de RNAT con el parámetro useproxyport inhabilitado y de que los clientes de RNAT accedan a la dirección IP pública de INAT, el dispositivo Citrix ADC podría asignar o desasignar puertos de forma incorrecta para las sesiones relacionadas con la regla RNAT. Esta asignación o desasignación incorrecta de puertos provoca una fuga de puertos.

    [ NSNET-10089 ]

  • En la GUI de Citrix ADC, al ir a Configuración > Red > Interfaces y hacer clic en Estadísticas de la interfaz, no aparece el resumen de la interfaz y aparece el mensaje de error “Valor no válido [arg]”.

    [ NSUI-13043 ]

Optimización

  • El modo de carga diferida no carga las imágenes de una página web sencilla que estén en la parte superior de la página sin atributos como la altura o el ancho.

    [ NSHELP-19193 ]

  • Un dispositivo Citrix ADC se reinicia solo si se cumplen las siguientes condiciones:

    • La función de optimización de la interfaz está habilitada.

    • Los objetos en caché se vuelven a optimizar.

    [ NSHELP-19428 ]

Plataforma

  • El dispositivo FIPS SDX 14000 podría bloquearse y reiniciarse al configurar una partición FIPS HSM.

    [ NSHELP-18503 ]

Directivas

  • En un dispositivo Citrix ADC, si desvincula las directivas globales avanzadas predeterminadas y guarda la configuración, los cambios no se reflejan en el siguiente reinicio.

    [ NSHELP-19867 ]

  • Un dispositivo Citrix ADC podría bloquearse si la configuración tiene una acción de respuesta con respondwithhtmlpage como tipo de acción.

    [ NSHELP-5821 ]

  • Un dispositivo Citrix ADC puede bloquearse si utiliza una acción de respuesta del tipo de acción de redireccionamiento.

    [ NSPOLICY-3196 ]

  • Las funciones y funciones clásicas basadas en directivas están en desuso a partir de la compilación 56.20 de Citrix ADC 12.0. Como alternativa, Citrix recomienda utilizar la infraestructura de directivas avanzada.

    Estas características y funcionalidades dejarán de estar disponibles en la versión 13.1 de Citrix ADC en 2020. Además, otras funciones más pequeñas quedarán en desuso.

    [ NSPOLICY-3228 ]

SNMP

  • Tras una actualización en una configuración de alta disponibilidad configurada desde la versión 12.1, compilación 49.23, hasta la versión 12.1, compilación 49.37, el nodo principal no envía un mensaje de captura de arranque en frío de SNMP durante un reinicio.

    [ NSHELP-18631 ]

SSL

  • En ocasiones, el dispositivo ADC puede enviar datos adicionales al cliente si se cumplen las dos condiciones siguientes:

    • El dispositivo está conectado al servidor de fondo mediante SSL.

    • El tamaño de los datos recibidos del servidor supera los 9000.

    [ NSHELP-11183 ]

  • No puede crear una clave RSA mediante la interfaz gráfica de usuario si el algoritmo PEM es DES o DES3.

    [ NSHELP-13018 ]

  • Falta el directorio Safenet al instalar una instancia VPX en la plataforma Citrix XenServer, VMware ESX o Linux-KVM.

    [ NSHELP-14582 ]

  • Un dispositivo Citrix ADC puede bloquearse al ejecutar una acción de mensaje de registro de auditoría basada en la expresión “ssl.origin.server_cert”. La acción de registro está vinculada a una directiva de respuesta.

    [ NSHELP-19014 ]

  • Si los certificados de cliente y CA tienen una codificación diferente, el certificado de cliente se rechaza de forma incorrecta cuando -clientAuthUseBoundCAChain está ACTIVADO, aunque los certificados de cliente y servidor los haya emitido la misma CA.

    [ NSHELP-19077 ]

  • Un dispositivo Citrix ADC puede fallar al ejecutar la acción SSL “clientcertFingerprint” para insertar la huella digital del certificado de cliente en el encabezado HTTP de la solicitud que se enviará al servidor, si se cumplen las dos condiciones siguientes:

    • El ticket de sesión está activado.

    • La directiva SSL está vinculada en el punto de enlace de la solicitud.

    [ NSHELP-19331 ]

  • Un servidor virtual SSL puede restablecer la conexión con el código de restablecimiento 9820 en lugar de fragmentar el registro en varios paquetes TCP como se esperaba, si se cumplen las siguientes condiciones:

    • Un servidor virtual habilitado para TLSv1.3 cifra los datos de la aplicación del servidor de aplicaciones de fondo para enviarlos a un cliente de TLSv1.3.

    • La longitud del registro cifrado resultante es exactamente un byte mayor que el tamaño máximo del segmento TCP.

    [ NSHELP-19466 ]

  • El protocolo de enlace falla en un dispositivo Citrix ADC SDX con chips N2 porque esta plataforma no admite los cifrados ECDSA. Con esta corrección, los cifrados ECDSA no se anuncian en esta plataforma.

    [ NSHELP-19614, NSHELP-20630 ]

  • La actualización de CRL toma la dirección IP antigua en lugar de la nueva, si la URL se cambia de una dirección basada en IP a una dirección basada en nombres de dominio.

    [ NSHELP-19648 ]

  • El contador ssl_tot_enc_bytes informa que los bytes de texto plano incorrectos deben cifrarse.

    [ NSHELP-19830 ]

  • Los siguientes dispositivos pueden fallar si reciben el mensaje “ChangeCipherSpec” de un cliente, pero no el mensaje “Finalizado”:

    • MPX 5900/8900

    • MPX 15000-50G

    • MPX 26000-100G

    [ NSHELP-19856 ]

  • Si agrega un certificado con una extensión AIA a la dirección IP de un clúster (CLIP), aparece el siguiente mensaje de error al intentar eliminar el certificado del CLIP:

    “Error interno”.

    [ NSHELP-19924 ]

  • Cuando tanto TLS 1.3 como SNI están habilitados en un servidor virtual de front-end, el dispositivo se bloquea durante el protocolo de enlace de TLS si se produce la siguiente secuencia de eventos:

    1. Un cliente TLS 1.3 incluye la extensión server_name en su mensaje inicial de ClientHello.

    2. El servidor responde con un mensaje HelloRetryRequest.

    3. El cliente responde con un mensaje ClientHello ilegal que omite la extensión server_name.

    [ NSHELP-20245 ]

  • Aparece el mensaje de error “Error: el archivo es demasiado grande” en los dos casos siguientes:

    • Primero, actualice el software Citrix ADC a la versión 13.0 y, a continuación, actualice el firmware FIPS.

    [ NSHELP-20522 ]

  • El protocolo de enlace SSL falla en las siguientes plataformas si los mensajes Client Key Exchange y Client Verify vienen en un solo registro.

    • MPX 59xx

    • MPX/SDX 89xx

    • MPX/SDX 261xx-100G

    • MPX/SDX 15xxx-50G

    [ NSSSL-3359, NSSSL-1608 ]

  • Los enlaces de TLS y DTLS con intercambio de claves basado en RSA fallan en la interfaz de los dispositivos Citrix ADC MPX y SDX basados en N3 cuando se cumplen las siguientes condiciones.

    1. El protocolo de enlace de TLS falla cuando el mensaje de saludo del cliente TLS contiene TLSv1.2 como versión del protocolo, pero TLSv1.2 está inhabilitado en el dispositivo Citrix ADC. Por lo tanto, el dispositivo negocia una versión inferior (TLSv1.1, TLSv1.0 o SSLv3.0)

    2. El protocolo de enlace de DTLS falla cuando el mensaje de saludo del cliente DTLS contiene DTLSv1.2 como versión de protocolo, pero el dispositivo Citrix ADC negocia DTLSv1.0.

    Utilice el comando “show hardware” para identificar si el dispositivo tiene chips N3.

    [ NSSSL-6630 ]

  • En una llamada de NITRO para un servidor virtual que tiene un perfil vinculado a él, también se muestran algunas entidades del servidor virtual, como HSTS y OCSP_Stapling, que forman parte del perfil.

    [ NSSSL-6673 ]

Filtrado de URL de SWG

  • Durante el filtrado de contenido, se produce una rara condición racial entre la evaluación de la directiva y la ofuscación de un conjunto de URL privadas. Este problema genera un registro de AppFlow que contiene la URL como texto sin cifrar y no como “ILEGAL”.

    [ NSSWG-890 ]

Sistema

  • Un dispositivo Citrix ADC se bloquea si los valores current_tcp_profile y current_adtcp_profile no están configurados.

    [ NSHELP-18889 ]

  • Se produce un problema de memoria en un dispositivo Citrix ADC si las conexiones cerradas no se vacían por completo.

    [ NSHELP-18891 ]

  • En un caso de esquina, un dispositivo Citrix ADC termina las conexiones zombi sin restablecerlas. Cuando las conexiones homólogas envían paquetes si están activas y el dispositivo restablece la conexión al procesarlos.

    [ NSHELP-18998 ]

  • La evaluación de la directiva podría fallar si se cumplen las siguientes condiciones:

    • 256 expresiones de directiva hacen referencia a un mismo encabezado personalizado.

    • El contador de referencia de encabezado personalizado se reduce a 0 (contador de 8 bits).

    [ NSHELP-19082 ]

  • Se produce una pérdida de configuración cada vez que se produce una sincronización de la configuración de alta disponibilidad junto con un error de alta disponibilidad.

    [ NSHELP-19210 ]

  • El nodo principal no puede leer la respuesta del secundario, lo que hace que la conexión se restablezca. Como resultado, la conexión se cierra en el nodo secundario.

    [ NSHELP-19432 ]

  • Un dispositivo Citrix ADC se bloquea si establece el valor del perfil TCP en NULL.

    [ NSHELP-19555 ]

  • La validación de contraseñas seguras se realiza en las contraseñas de MONITOR creadas para servidores externos. Al habilitar la configuración de contraseña segura (sistema > configuración global) en un dispositivo Citrix ADC, no permite que el dispositivo configure una contraseña débil para el monitor LDAP.

    [ NSHELP-19582 ]

  • La alarma SNMP en el dispositivo SDX no funciona para los parámetros de disco, memoria o temperatura, sino que solo funciona para la CPU.

    [ NSHELP-19713 ]

  • En algunos casos, se producirá un retraso o un tiempo de espera al conectarse al servidor de fondo. Esto ocurre porque el dispositivo liberó la conexión y liberó el puerto. Cuando el dispositivo vuelve a utilizar el mismo puerto para establecer una nueva conexión con el servidor, se produce un retraso o se agota el tiempo de espera porque la conexión está en estado TIME_WAIT en el servidor.

    [ NSHELP-19772 ]

  • En raras ocasiones, un nodo de clúster puede fallar cuando un cliente o servidor envía un paquete desordenado seguido de un paquete secuencial con el mensaje FIN.

    [ NSHELP-19824 ]

  • El dispositivo Citrix ADC puede fallar cuando se recibe un segmento TCP retransmitido en una interfaz con una MTU superior a 1500 bytes como:

    • marcos Jumbo, o

    • Conjunto de fragmentos de IP

    [ NSHELP-19920, NSHELP-20273 ]

  • Se observa un retraso en las transacciones TCP si un dispositivo Citrix ADC no puede utilizar la conexión TCP para conectarse al servidor de fondo. En este caso, el dispositivo abre una nueva conexión para reenviar las solicitudes del cliente al servidor de fondo tras un período de espera. El período de espera oscila entre 400 ms y 600 ms.

    [ NSHELP-9118 ]

  • Las opciones Encuadernación global y Mostrar enlace no funcionan en la página GUI de la directiva de inspección de contenido. Como alternativa, puede configurar estos parámetros a través de la interfaz de comandos.

    [ NSUI-13193, NSUI-11561 ]

Telco

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen las dos condiciones siguientes:

    • El dispositivo recibe dos solicitudes HTTP al recuperar la información del suscriptor.

    • Se ha realizado una operación incorrecta para reanudar el flujo normal de tráfico.

    [ NSHELP-18955 ]

Problemas conocidos

Los problemas que existen en la versión 13.0.

Autenticación, autorización y auditoría

  • El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando.

    show adfsproxyprofile <profile name>

    Solución alternativa: conéctese al Citrix ADC activo principal del clúster y ejecute el show adfsproxyprofile <profile name> comando. Mostraría el estado del perfil de proxy.

    [ NSAUTH-5916 ]

  • LoginSchema de DualAuthPushOrOTP.xml no aparece correctamente en la pantalla del editor de esquemas de inicio de sesión de la GUI de Citrix ADC.

    [ NSAUTH-6106 ]

  • El cambio de protocolo de HTTP a WebSockets falla cuando se configura el SSO en un dispositivo Citrix ADC.

    [ NSAUTH-6354 ]

  • En raras ocasiones, la autenticación falla si la conexión al servidor LDAP se realiza a través de HTTPS.

    [ NSHELP-20181 ]

  • El dispositivo Citrix ADC se bloquea tras una actualización a la versión 13.0 debido a una condición de desbordamiento del búfer.

    [ NSHELP-20416, NSAUTH-6770 ]

  • Un dispositivo Citrix ADC no autentica los intentos de inicio de sesión con contraseñas duplicadas y evita los bloqueos de cuentas.

    [ NSHELP-563 ]

Dispositivo Citrix ADC BLX

  • Un dispositivo Citrix ADC BLX no se inicia debido a una mala configuración de DPDK (por ejemplo, si las páginas enormes no están configuradas) en el host de Linux. Debe ejecutar el comando start (systemctl start blx) dos veces para iniciar el dispositivo Citrix ADC BLX.

    [ NSNET-11107 ]

  • Un dispositivo Citrix ADC BLX compatible con DPDK no se inicia y descarga el núcleo si el DPDK está mal configurado (por ejemplo, si las páginas enormes no están configuradas) en el host de Linux.

    Para obtener más información sobre la configuración de DPDK en un host de Linux para el dispositivo Citrix ADC BLX, consulte https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.html.

    [ NSNET-11349 ]

GUI de Citrix ADC

  • Si la función “Forzar el cambio de contraseña para el usuario de nsroot cuando se utiliza la contraseña de nsroot predeterminada” está habilitada y la contraseña de nsroot se cambia la primera vez que inicia sesión en el dispositivo Citrix ADC, el cambio de contraseña de nsroot no se propaga a los nodos que no sean de CCO. Por lo tanto, cuando un usuario de nsroot inicia sesión en nodos que no son de CCO, el dispositivo vuelve a solicitar el cambio de contraseña.

    [ NSCONFIG-2370 ]

  • No puede buscar una entidad mediante el filtro de búsqueda de la GUI de ADC si el nombre de la entidad contiene un espacio.

    [ NSHELP-20506 ]

  • Si accede a la página de la GUI de Syslog, aparece el siguiente mensaje de error: “No se puede leer la propiedad ‘0’ de undefined”.

    [ NSHELP-20574 ]

  • Con la GUI, no puede modificar ni anular el TTL o el servidor de nombres de un enlace una vez que un servidor de servicios basados en dominios (DBS) esté enlazado a un grupo de servicios y se hayan resuelto los nombres de los servidores.

    [ NSUI-13060 ]

  • Desde la GUI de Citrix ADM, al ir a Sistema > Diagnóstico > Unidades guardadas en ejecución, no se muestran datos. Esto ocurre si el tamaño del archivo ns. conf es superior a 10 MB.

    Solución alternativa: utilice la CLI para comprobar los datos guardados y los datos en ejecución, mediante el comando “diff ns config”.

    [ NSUI-13242 ]

Dispositivo Citrix ADC SDX

  • En los dispositivos SDX 22XXX y 24XXX, durante la supervisión del estado del sistema, el Servicio de administración del SDX emite alertas falsas.

    [ NSHELP-19795 ]

  • Si el nombre del archivo de respaldo tiene algún carácter especial, se produce un error al restaurar el dispositivo SDX a esa copia de seguridad. Con la solución, aparece un mensaje de error si el archivo de copia de seguridad tiene algún carácter especial.

    [ NSHELP-19951 ]

  • Pueden aparecer los siguientes mensajes de error si configura más de 100 VLAN en la lista trunkallowedVlan de una interfaz de la instancia de Citrix ADC:

    ERROR: Se agotó el tiempo de espera de la operación

    ERROR: error de comunicación con el motor de paquetes

    [ NSNET-4312 ]

  • La alarma de supervisión de estado tergiversa la numeración de la PSU. Cuando el cable de la fuente de alimentación se desconecta de la PSU #1, la monitorización del estado envía una alarma incorrecta de que la PSU #2 ha fallado.

    [ NSPLAT-4985 ]

  • En las plataformas SDX 8200/8400/8600, el dispositivo SDX se bloquea en la consola Citrix Hypervisor si el dispositivo SDX o las instancias VPX que se ejecutan en él se reinician varias veces. Cuando el dispositivo se bloquea, aparece el mensaje “INFO: rcu_sched detected stalls on CPUs/tasks”. Solución alternativa: - Reinicie el dispositivo SDX pulsando el botón NMI de la parte posterior.

    • From the LOM GUI, use NMI to restart the appliance.

    • Use LOM to restart the SDX appliance.

    [ NSPLAT-9155]

Dispositivo Citrix ADC VPX

  • Al intentar iniciar sesión en una instancia de Citrix ADC VPX inmediatamente después de aprovisionarla en Azure, es posible que el nombre de usuario y la contraseña no funcionen. Este problema se debe a que, después de aprovisionar una instancia de Citrix ADC VPX, las credenciales proporcionadas por el usuario (nombre de usuario y contraseña) pueden tardar hasta un minuto en activarse en el primer arranque.

    Solución alternativa: espere un minuto y vuelva a iniciar sesión.

    [ NSPLAT-10962 ]

  • Una instancia de Citrix ADC VPX implementada en AWS no se comunica a través de las direcciones IP configuradas (VIP, ADC IP, SNIP) si se cumplen las siguientes condiciones:

    • El tipo de instancia de AWS es M5/C5, que está basada en un hipervisor KVM

    • La instancia VPX tiene más de una interfaz de red.

    Se trata de una limitación de AWS, y AWS tiene previsto solucionar el problema en breve.

    Solución alternativa: configure VLAN independientes para ADC IP, VIP y SNIP. Para obtener más información sobre la configuración de las VLAN, consulte https://docs.citrix.com/en-us/citrix-adc/13/networking/interfaces/configuring-vlans.html

    [ NSPLAT-9830 ]

Administración de bots de Citrix

  • La técnica de toma de huellas dactilares del dispositivo para detectar el tráfico de bots no funciona para las respuestas XML.

    [ NSDOC-1047 ]

Citrix Gateway

  • En Outlook Web App (OWA) 2013, al hacer clic en “Opciones” en el menú de configuración, aparece el cuadro de diálogo “Error crítico”. Además, la página deja de responder.

    [ CGOP-7269 ]

  • No se puede acceder al servidor StoreFront porque el dispositivo Citrix Gateway utiliza la dirección IP de la máquina cliente en lugar de utilizar el SNIP para enviar tráfico al servidor StoreFront.

    [ NSHELP-19476 ]

  • En algunos casos, el Citrix Gateway orientado hacia el exterior, en una implementación de doble salto con ICA Insight activado, descarga el núcleo para un patrón de tráfico de red determinado.

    [ NSHELP-19487 ]

  • En casos aislados, se produce un daño en la memoria que provoca un volcado del núcleo y, al mismo tiempo, borra una entrada de sesión de autenticación, autorización y auditoría de una VPN SSL dañada una vez transcurrido el tiempo de espera.

    [ NSHELP-19775 ]

  • Al hacer clic en “Recuperar almacén” en el asistente de XenApp y XenDesktop, aparece el siguiente mensaje de error. “No se pudo obtener StorePath desde el FQDN de StoreFront”.

    Solución temporal: Introduzca manualmente el almacén en “Receiver for Web Path”.

    [ NSHELP-20249 ]

  • Si la tunelización dividida inversa está habilitada, las rutas de la intranet se agregan con valores de prefijo incorrectos o no se agregan en absoluto.

    [ NSHELP-20825 ]

  • Tras actualizar el complemento Citrix ADC y Gateway a la versión 13.0, compilación 41.20, los usuarios experimentan un error continuo de pantalla azul (BSOD) al intentar configurar el túnel VPN.

    [ NSHELP-20832 ]

  • En el servicio AlwaysOn con personalidad de usuario, el túnel de la máquina se interrumpe de forma intermitente cuando el usuario cierra sesión.

    [ NSHELP-21163 ]

  • En el caso del comando “add vpn intranetApplication”, la descripción del parámetro “protocol” se muestra incorrectamente en la página del manual. La descripción tiene “BOTH” como valor posible en lugar de “ANY”. Sin embargo, la página del manual muestra correctamente los posibles valores necesarios para la configuración.

    [ NSHELP-8392 ]

  • En una configuración de alta disponibilidad, durante la conmutación por error de Citrix ADC, el recuento de SR aumenta en lugar del recuento de conmutación por error en Citrix ADM.

    [ NSINSIGHT-2059 ]

  • El informe de Gateway Insight muestra incorrectamente el valor “Local” en lugar de “SAML” en el campo Tipo de autenticación para errores de SAML.

    [ NSINSIGHT-2108 ]

  • La conexión ICA hace que se omita el análisis durante el análisis ICA si los usuarios utilizan el receptor MAC junto con la versión 6.5 de Citrix Virtual App and Desktops (anteriormente Citrix XenApp y XenDesktop).

    Solución alternativa: actualice el receptor a la versión más reciente de la aplicación Citrix Workspace.

    [ NSINSIGHT-924 ]

Dispositivo Citrix SDX

  • Es posible que los dispositivos SDX 26000-100G 15000-50 G tarden más en actualizarse. Como resultado, el sistema podría mostrar el mensaje “El servicio de administración no pudo funcionar después de 1 hora y 20 minutos”. Póngase en contacto con el administrador”.

    Solución alternativa: Ignore el mensaje, espere un momento e inicie sesión en el dispositivo.

    [ NSSVM-3018 ]

Citrix Web App Firewall

  • Al implementar una regla de relajación mediante el visualizador de reglas aprendidas, se muestra un mensaje de error que indica que la regla ya está agregada.

    [ NSHELP-18582 ]

  • Un dispositivo Citrix ADC puede bloquearse si hay un uso elevado de memoria y los valores de memoria no se liberan debido a un error de la aplicación.

    [ NSHELP-18863 ]

  • En una configuración de alta disponibilidad, habilitar la función de reputación IP puede provocar errores en la propagación de comandos de alta disponibilidad.

    [ NSHELP-20010 ]

Conector Cloudbridge

  • El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

    Solución temporal: Configure los conectores de Cloudbridge agregando perfiles IPSec, túneles IP y reglas de PBR mediante la GUI o CLI de Citrix ADC.

    [ NSUI-13024 ]

Agrupar en clústeres

  • Se observa un uso elevado de la CPU en un dispositivo Citrix ADC o en una configuración de clúster si el comando “show ns ip” muestra muchas direcciones IP.

    [ NSHELP-11193 ]

  • En la configuración de un clúster Citrix ADC, el nodo del procesador de flujo puede encontrar el rechazo de la cookie SYN para una conexión TCP en las siguientes condiciones:

    • La cookie SYN está habilitada

    • La protección contra suplantación de SYN está inhabilitada

    El nodo procesador de flujo procesa los nuevos paquetes de flujo TCP como paquetes dispersos y responde con un restablecimiento de la conexión.

    [ NSHELP-20098 ]

GSLB

  • El dispositivo Citrix ADC puede bloquearse cuando un servidor de fondo está INACTIVO y el dispositivo, al seleccionar un nuevo servidor de fondo, intenta recopilar información del servidor, como RTT.

    [ NSHELP-11969 ]

Equilibrio de carga

  • Se produce un error al redirigir una URL de HTTPS si la URL contiene el carácter especial%.

    [ NSHELP-19993 ]

  • Un dispositivo Citrix ADC VPX se reinicia varias veces después de dejar de responder.

    [ NSHELP-20435 ]

Redes

  • Cuando el dispositivo Citrix ADC esté limpiando una gran cantidad de conexiones al servidor como parte del comando remove, es posible que el proceso Pitboss se reinicie. Este reinicio de Pitboss podría provocar que el dispositivo ADC se bloquee.

    [ NSHELP-136 ]

  • Si se agrega un servidor virtual estático con la misma dirección IP que un servidor virtual dinámico (RNAT) existente, el dispositivo ADC podría bloquearse durante una operación de búsqueda de nombres en la tabla de hash.

    [ NSHELP-15851 ]

  • Al reiniciar el dispositivo Citrix ADC, la ruta predeterminada se origina antes de que se complete la dirección IP de la interfaz. Debido a este problema, el siguiente salto de una ruta se establece en NULL, lo que provoca un error marciano.

    [ NSHELP-16407 ]

Plataforma

  • En la plataforma Citrix ADC SDX 26000-100G, es posible que la interfaz no aparezca después de reiniciar el dispositivo.

    Solución alternativa: asegúrese de que la negociación automática esté activada. Para comprobar y modificar el estado de la negociación automática, vaya a SDX GUI > Sistema > Interfaces.

    [ NSPLAT-11985 ]

  • Es posible que los siguientes dispositivos Citrix ADC SDX no se inicien correctamente con la versión 13.0-41.x de VPX. Actualice a la versión 13.0-47.x de VPX o versiones posteriores.

    • SDX 11xxx

    • SDX 14xxx

    • SDX 14xxx-40

    • SDX 14xxx-40 g

    • SDX 14xxx FIPS

    • SDX 22xxx

    • SDX 24xxx

    • SDX 25xxx

    [ NSSSL-7044 ]

SSL

  • En una configuración de clúster, la configuración en ejecución en la dirección IP (CLIP) del clúster muestra el grupo de cifrado DEFAULT_BACKEND vinculado a entidades, mientras que falta en los nodos. Se trata de un problema de visualización.

    [ NSHELP-13466 ]

  • El monitor HTTPS-ECV falla durante un protocolo de enlace SSL si se cumplen todas las condiciones siguientes:

    • El monitor está enlazado a un perfil SSL.

    • La reutilización de sesiones está habilitada en el perfil SSL.

    • El monitor está enlazado a dos o más servidores de fondo.

    • En los servidores se ejecutan diferentes versiones de protocolo (por ejemplo, TLS1.0 y TLS1.2).

    [ NSHELP-18384 ]

  • Si su dispositivo ADC está integrado con una versión no compatible de Thales HSM, el dispositivo se bloquea tras generar la clave de HSM y el certificado, instalar el par de claves de certificado en el dispositivo y vincularlo al servidor virtual SSL. Con esta solución, el dispositivo informa de un error en lugar de bloquearse.

    [ NSHELP-20352 ]

  • La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster (esta opción no se puede inhabilitar).

    [ NSSSL-4427 ]

  • El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM.

    ERROR: Actualización de crl inhabilitada

    [ NSSSL-6106 ]

  • Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo Citrix ADC no devuelve ningún error.

    [ NSSSL-6213 ]

  • No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

    [ NSSSL-6478 ]

  • El comando Actualizar no está disponible para los siguientes comandos de adición:

    • agregar aplicación azure

    • add azure keyvault

    • agregar ssl certkey con la opción hsmkey

    [ NSSSL-6484, NSSSL-6379, NSSSL-6380 ]

Sistema

  • Durante una configuración clara, la aplicación metricscollector que se ejecuta en un dispositivo Citrix ADC no responde, pero es posible que el módulo PITBOSS la reinicie.

    [ NSBASE-7846 ]

  • Un dispositivo Citrix ADC puede generar una trampa falsa de entidades de inundación SNMP SYN si algunas conexiones internas provocan una discordancia entre la cantidad de TCP SYN recibidas y la cantidad de conexiones TCP establecidas.

    [ NSHELP-18671 ]

  • La autenticación basada en roles (RBA) no permite que los nombres de los grupos comiencen por el carácter “#”.

    [ NSHELP-20266 ]

  • El uso de memoria aumenta si se habilita el protocolo proxy y si la retransmisión se produce debido a la congestión de la red.

    [ NSHELP-20613 ]

  • Un dispositivo Citrix ADC restablece los subflujos de MPTCP si un subflujo está vivo y activo durante más tiempo que el período de tiempo de espera de inactividad.

    [ NSHELP-20648 ]

  • Un dispositivo Citrix ADC restablece un subflujo MPTCP si recibe un acuse de recibo simple antes de que el subflujo se confirme como MTPCP.

    [ NSHELP-20649 ]

  • Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.

    Solución temporal: Establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

    [ NSPOLICY-1267 ]

Filtrado de URL

  • En una expresión de conjunto de URL compuesta <URL expression>. URLSET_MATCHES_ANY(URLSET1 || URLSET2), como el campo “Conjunto de URL coincidente” de un registro de appflow, refleja solo el estado del último URLSet evaluado. Por ejemplo, si la URL solicitada pertenece únicamente a URLSET1, el campo “Conjunto de URL coincidente” se establece en 0, aunque la URL pertenece a uno de los conjuntos de URL. Como resultado, el URLSET1 cambia el campo “URLSet Matched” a 1, pero el URLSET2 lo vuelve a establecer en 0.

    [ NSSWG-1100 ]

Optimización de vídeo

  • En ciertos casos, al habilitar la detección de vídeo en una configuración de clúster, es posible que se produzca un aumento gradual en la utilización de la memoria de Citrix ADC. Sin embargo, el aumento es lo suficientemente bajo como para no afectar a las operaciones normales del sistema.

    [ NSVIDEOOPT-921 ]

Notas de lanzamiento para la versión 13.0-41.28 de Citrix ADC