Documentación de productos
ADC
14.1 - Current Release 13.1 13.0 12.1
Ver PDF

Notas de lanzamiento para la versión 13.0-47.24 de Citrix ADC

April 15, 2024
Contribución de: 
C

Este documento de notas de la versión 13.0 de Citrix ADC describe las mejoras y los cambios, enumera los problemas que se han solucionado y especifica los problemas existentes para la versión 13.0 de Citrix ADC, compilación 47.24.

Notas

  • Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.
  • La sección de problemas conocidos es acumulativa. Incluye problemas encontrados recientemente en esta versión y problemas que no se solucionaron en versiones anteriores de Citrix ADC 13.0.
  • Las etiquetas [ # XXXXXX] en las descripciones de los problemas son identificadores de seguimiento internos que utiliza el equipo de Citrix ADC.
  • La compilación 47.24 reemplaza a la compilación 47.22
  • La compilación 47.22 incluye la solución del problema del CGOP-11856.

Novedades

Las mejoras y los cambios disponibles en la compilación 47.24.

Citrix Gateway

  • Soporte para filtrar certificados de usuario

    Para filtrar los certificados utilizados para la autenticación de certificados de usuario, los administradores pueden configurar el siguiente Registro con una lista de CA separada por comas:

    “HKLMSOFTWARECitrixSecure Access ClientUserCertCaList”

    [ CGOP-11856 ]

Problemas resueltos

Los problemas que se abordan en la compilación 13.0-47.24.

AppFlow

  • En HDX Insight, el tiempo de actividad de las sesiones finalizadas muestra el tiempo de actividad real de la sesión independientemente del intervalo seleccionado.

    [ NSHELP-21380 ]

Autenticación, autorización y auditoría

  • Un dispositivo Citrix ADC omite al usuario para considerar otros grupos en las siguientes condiciones:
    • Un usuario es un miembro directo del grupo anidado.
    • Un usuario ya es miembro de grupos de niveles anteriores.

    [ NSHELP-21945 ]

  • En una configuración de clústeres y alta disponibilidad de Citrix ADC, un retraso en la liberación de espacio de memoria provoca que la memoria se acumule.

    [ NSHELP-21917 ]

  • Un dispositivo Citrix ADC puede bloquearse durante el registro de auditoría si se solicita la autenticación del usuario con una solicitud de inicio de sesión adicional, como un cambio de contraseña o una impugnación de RADIUS.

    [ NSHELP-21703 ]

  • Un dispositivo Citrix Gateway configurado como IDP de SAML para iniciar sesión en Workspace puede, en ocasiones, devolver un error HTTP 404 durante el cierre de sesión.

    [ NSHELP-21650 ]

  • Un dispositivo Citrix ADC puede fallar durante la limpieza de la conexión si se cumplen las siguientes condiciones:
    • El tráfico se enruta desde una configuración de VPN.
    • El inicio de sesión único está en curso.
    • Problema de sincronización poco frecuente al cerrar la conexión de un cliente.

    [ NSHELP-21504 ]

  • Es posible que un dispositivo Citrix ADC implementado para Kerberos multidominio no pueda realizar el SSO si el parámetro kcdAccount se configura mediante un archivo keytab.

    [ NSHELP-21406 ]

  • Un dispositivo Citrix ADC configurado como proxy de reenvío no permite la autenticación NTLM con clientes HTTP 1.0.

    [ NSHELP-21349 ]

  • En raras ocasiones, un dispositivo Citrix Gateway puede bloquearse cuando se recibe un paquete HTTP no válido.

    [ NSHELP-21342 ]

  • Un dispositivo Citrix ADC que utilice un protocolo NTLM no puede realizar el SSO para los clientes de la Interfaz de programación de aplicaciones de mensajería (MAPI).

    [ NSHELP-21270 ]

  • Un dispositivo Citrix ADC puede fallar durante la autenticación, la autorización y la auditoría cuando un motor de paquetes genera una respuesta de eliminación de sesiones duplicadas.

    [ NSHELP-21172 ]

  • En ocasiones, un dispositivo Citrix ADC implementado como SAML puede no realizar el cierre de sesión basado en SAML.

    [ NSHELP-21093 ]

  • La página nFactor Flows de la GUI de Citrix ADC no se abre con Internet Explorer.

    [ NSHELP-21065 ]

  • En raras ocasiones, el dispositivo Citrix Gateway puede fallar cuando se pide a los usuarios un código de un solo uso.

    [ NSHELP-20967 ]

  • Un dispositivo Citrix ADC puede fallar en las siguientes circunstancias:
    • Dispositivo Citrix ADC configurado con acciones de OAuth o SAML IDP, además de actualizar la información de metadatos de una fuente externa.
    • La configuración se cambia mientras se obtienen los datos de la fuente externa o si la autenticación está en curso. Se observa el mismo problema cuando se ejecuta un comando clear config.

    [ NSHELP-20646 ]

  • Cuando el cliente de sincronización activa envía una solicitud HEAD, el dispositivo Citrix ADC no autentica la respuesta 200 OK.

    [ NSHELP-20125 ]

  • El cambio de protocolo de HTTP a WebSockets falla cuando se configura el SSO en un dispositivo Citrix ADC.

    [ NSAUTH-6354 ]

  • Si modifica el servidor virtual de autenticación mediante las opciones “Prueba de inicio de sesión de extremo a extremo” o “Probar conexión de usuario final” de la página Crear servidor LDAP de autenticación de la GUI de Citrix ADC, aparece un mensaje de error.

    [ NSAUTH-6339 ]

Dispositivo Citrix ADC SDX

  • Al agregar un servidor LDAP en SDX GUI > Configuración > Sistema > Autenticación > LDAP, los caracteres especiales utilizados en el cuadro de texto de entrada del formulario no se decodifican antes de mostrarse. Además, el carácter “&” del campo DN base se sustituye por “&”.

    [ NSHELP-21488 ]

  • Tras actualizar el dispositivo SDX a la versión 13.0 de cualquier compilación, las instancias de Citrix ADC aprovisionadas sin interfaces de administración (0/1, 0/2) dejan de estar accesibles.

    [ NSHELP-21412 ]

  • Si intenta reiniciar varias instancias VPX simultáneamente, ejecutándose en un dispositivo SDX, las interfaces de canal y datos de las instancias VPX desaparecerán del Servicio de administración de SDX.

    [ NSHELP-21124 ]

  • Tras actualizar un dispositivo SDX, es posible que el Servicio de administración de SDX no muestre las interfaces Ethernet. Esto ocurre si la parte del proceso posterior a la instalación de la actualización no se realiza correctamente.

    [ NSHELP-21068 ]

  • En un dispositivo SDX, es posible que ocasionalmente vea eventos con un uso elevado de la CPU. Este aumento se debe a que la copia de seguridad del dispositivo es un proceso que consume mucha CPU. El uso elevado de la CPU es temporal.

    [ NSHELP-21063 ]

  • El dispositivo pierde los detalles de la interfaz cuando se seleccionan más de tres instancias para reiniciarlas o apagarlas.

    [ NSHELP-21040 ]

Citrix Gateway

  • El plug-in de VPN de Windows se bloquea si el idioma del cliente del complemento está configurado en chino.

    [ NSHELP-21946 ]

  • El dispositivo Citrix ADC puede bloquearse cuando se configura para una VPN sin cliente avanzada.

    [ NSHELP-21819 ]

  • Tras actualizar Citrix Gateway a la versión 13.0, compilación 47.24, se produce un error en la resolución de DNS a través del túnel VPN porque el servidor DNS local responde con un falso positivo.

    [ NSHELP-21794 ]

  • Las aplicaciones web empresariales pueden mostrar un error si las cookies se configuraron y caducan al mismo tiempo.

    [ NSHELP-21772 ]

  • La página de inicio de sesión de Citrix Gateway deja de responder si se utilizan temas personalizados basados en RfWebUI o nFactor con temas personalizados.

    [ NSHELP-21763 ]

  • Los enlaces de la aplicación de intranet al grupo de autenticación, autorización y auditoría se pierden al reiniciar el dispositivo Citrix ADC tras la actualización a la versión 13.0, compilación 47.x.

    [ NSHELP-21733 ]

  • No puede acceder a los enlaces que comiencen por 1https o 0https.

    [ NSHELP-21469 ]

  • No puede iniciar una aplicación mediante una VPN sin cliente avanzada mediante marcadores si el cuerpo POST de la aplicación VPN sin cliente contiene el código HTML ‘(comillas simples) o “(comillas dobles).

    [ NSHELP-21361 ]

  • El plug-in de VPN de Citrix Gateway puede tardar mucho en establecer un túnel hacia una máquina si no se puede acceder al archivo PAC proxy.

    [ NSHELP-21355 ]

  • En algunos casos, Citrix Gateway descarga el núcleo si se cumplen las siguientes condiciones:

    • La funcionalidad EDT Insight está habilitada para el dispositivo Citrix Gateway.
    • El dispositivo recibe un paquete CGP BINDRESP fuera de servicio del VDA.

    [ NSHELP-21296 ]

  • En algunas máquinas, los botones de la ventana de aviso de la EPA (SÍ, NO, SIEMPRE) no aparecen en la pantalla del complemento de la EPA.

    [ NSHELP-21276 ]

  • En una configuración de alta disponibilidad de Citrix Gateway, el nodo secundario se bloquea durante la sincronización de alta disponibilidad si el registro está habilitado en Citrix Web App Firewall global.

    [ NSHELP-21254 ]

  • Si ha configurado una VPN sin cliente (CVPN) en Citrix Gateway, es posible que el dispositivo se bloquee debido a una gestión de reescritura errónea.

    [ NSHELP-21244 ]

  • En una configuración de alta disponibilidad de Citrix Gateway, el nodo secundario podría bloquearse si Gateway Insight está habilitado.

    [ NSHELP-21184 ]

  • Si dos o más máquinas cliente intentan establecer una conexión de túnel VPN con la misma puerta de enlace, se produce un error en la conectividad de ping de una máquina cliente a otra máquina.

    [ NSHELP-21169 ]

  • A veces, el dispositivo Citrix ADC puede fallar durante el inicio de sesión de la transferencia.

    [ NSHELP-21134 ]

  • Los usuarios no pueden iniciar sesión en Citrix Gateway si el nombre de host del servidor virtual VPN contiene “cvpn” en su nombre.

    [ NSHELP-21119 ]

  • Si ha configurado el acceso VPN avanzado sin cliente, los marcadores de las aplicaciones SAP no se pueden ver correctamente si en las aplicaciones web empresariales se utiliza una codificación, como (‘x3a’ o ‘&%23x3a’ para ‘:’).

    [ NSHELP-21072 ]

  • Un dispositivo Citrix ADC puede fallar y volcar el núcleo si se produce un error en la asignación de memoria para los bloques de control de procesos del cliente y el servidor.

    [ NSHELP-20961 ]

  • Si la tunelización dividida inversa está habilitada, las rutas de la intranet se agregan con valores de prefijo incorrectos o no se agregan en absoluto.

    [ NSHELP-20825 ]

  • En una configuración de alta disponibilidad de Citrix Gateway, es posible que el nodo secundario se bloquee si no se configuran directivas y se actualiza el nodo de la versión 12.0 a la 13.0.

    [ NSHELP-20790 ]

  • Cuando no se puede acceder a los servidores de fondo, los clientes se quedan sin conexiones y no hay ninguna conexión nueva al back-end que funcione correctamente.

    [ NSHELP-20535 ]

  • A veces, un dispositivo Citrix Gateway configurado para ICA Proxy puede fallar.

    [ NSHELP-20478 ]

  • En algunos casos, el Citrix Gateway orientado hacia el exterior, en una implementación de doble salto con ICA Insight activado, descarga el núcleo para un patrón de tráfico de red determinado.

    [ NSHELP-19487 ]

  • Ahora puede configurar los parámetros de RFWebUI, como loginFormTimeout y Session timeout, modificando el archivo plugins.xml.

    [ NSHELP-19221 ]

  • Tras actualizar el complemento Citrix ADC y Gateway a la versión 13.0, compilación 41.20, los usuarios experimentan un error continuo de pantalla azul (BSOD) al intentar configurar el túnel VPN.

    [ CGOP-12099 ]

Citrix Web App Firewall

  • El dispositivo Citrix ADC bloquea las URL de cierre después de dos minutos si la protección de cierre de URL está habilitada.

    [ NSWAF-3292 ]

  • Un dispositivo Citrix ADC puede bloquearse si un perfil de Web App Firewall utiliza las acciones directivas APPFW_DROP y APPFW_RESET.

    [ NSHELP-21283 ]

  • Un dispositivo Citrix ADC puede fallar cuando se utilizan APPFW_DROP y APPFW_RESET como acciones de directiva de Web App Firewall.

    [ NSHELP-21220 ]

  • El dispositivo Citrix ADC podría bloquearse debido a un error de memoria si la función Citrix Web App Firewall está habilitada.

    [ NSHELP-21201 ]

  • Un dispositivo Citrix ADC puede bloquearse debido a un error en la asignación de memoria.

    [ NSHELP-21071 ]

  • Un dispositivo Citrix ADC restablece la conexión si una solicitud GWT entrante tiene una cadena de consulta en la URL.

    [ NSHELP-20564 ]

  • Tras una actualización de la compilación 12.0-58.15 a la 12.0-62.8, la función de transformación de URL no funciona para algunas URL. El problema se debe a una canonicalización incorrecta al reescribir las URL.

    [ NSHELP-20460 ]

  • Un dispositivo Citrix ADC puede fallar si utiliza un servidor FTP/HTTP lento para descargar firmas y si el tiempo de descarga es superior a 10 minutos.

    [ NSHELP-18331 ]

Equilibrio de carga

  • El dispositivo Citrix ADC puede bloquearse durante la sincronización GSLB. Este problema se produce cuando el comando “set gslb service” se ejecuta en un servicio GSLB inexistente.

    [ NSHELP-21304 ]

  • Tras la conmutación por error de conexión, cuando el dispositivo secundario se convierte en el nuevo dispositivo principal, se observa una pérdida de paquetes.

    [ NSHELP-21155 ]

  • Al ejecutar el set service <servicename> comando, aparece el siguiente mensaje de error:
    “La dirección IP no se puede configurar en un servidor basado en un dominio. “

    Este mensaje de error aparece cuando el servidor está configurado con un nombre de más de 32 caracteres.

    [ NSHELP-20939 ]

  • Para una configuración de GSLB en un clúster, al ejecutar el comando set rpcnode, la dirección IP de origen de un nodo RPC cambia a la dirección NSIP. Por lo tanto, GSLB utiliza la dirección NSIP en lugar de la dirección SNIP al iniciar una conexión MEP.

    [ NSHELP-20552 ]

  • En la configuración de un clúster, al ejecutar el comando “unset lb vserver test -redirectFromPort”, el puerto de redireccionamiento HTTP para el servidor virtual de equilibrio de carga no se borra de la base de datos.

    [ NSHELP-20518 ]

  • El dispositivo Citrix ADC puede fallar si se habilita la persistencia en la configuración de alta disponibilidad de IPv6.

    [ NSHELP-20219 ]

Otros

  • En una expresión de conjunto de URL compuesta <URL expression>.URLSET_MATCHES_ANY(URLSET1 || URLSET2), como el campo “Conjunto de URL coincidente” de un registro de appflow, refleja solo el estado del último URLSet evaluado. Por ejemplo, si la URL solicitada pertenece únicamente a URLSET1, el campo URLSet Matched se establece en 0, aunque la URL pertenece a uno de los conjuntos de URL. Como resultado, el URLSET1 cambia el campo URLSet Matched a 1, pero el URLSET2 lo vuelve a establecer en 0.

    [ NSSWG-1100 ]

  • La categorización del filtrado de URL falla si una URL entrante tiene una barra doble después del nombre de dominio. Se antepone el esquema “http://”. Por ejemplo, www.example.com//index.html

    [ NSSWG-1082 ]

  • Se observa el siguiente comportamiento en un dispositivo Citrix ADC y en Citrix Gateway:
    • Es posible que el dispositivo Citrix ADC deje de responder cuando se implementa como proxy y se habilita el SSO para las aplicaciones de fondo.
    • Se observa el mismo comportamiento en Citrix Gateway con la configuración de proxy de salida.

    [ NSHELP-21437 ]

  • El dispositivo Citrix ADC puede bloquearse de forma intermitente si el sondeo de solicitudes de vigilancia del dispositivo
    (DWR) está habilitado para la función de directivas y reglas de cobro (PCRF) y no se puede acceder a la PCRF.

    [ NSHELP-20827 ]

  • Al ejecutar el comando show techsupport -scope cluster, aparece el siguiente error en todos los dispositivos Citrix ADC SDX:

    Se trata de una instancia con poco ancho de banda

    [ NSHELP-20666 ]

Redes

  • Un dispositivo Citrix ADC BLX compatible con DPDK no se inicia y descarga el núcleo si el DPDK está mal configurado (por ejemplo, si las páginas enormes no están configuradas) en el host de Linux.

    Para obtener más información sobre la configuración de DPDK en un host de Linux para el dispositivo Citrix ADC BLX, consulte https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.html

    [ NSNET-11349 ]

  • Un dispositivo Citrix ADC BLX no se inicia debido a una mala configuración de DPDK (por ejemplo, si las páginas enormes no están configuradas) en el host de Linux. Debe ejecutar el comando start (systemctl start blx) dos veces para iniciar el dispositivo Citrix ADC BLX.

    [ NSNET-11107 ]

  • El comando de resumen sh IP BGP de la línea de comandos de VTYSH muestra incorrectamente los valores ASN de 32 bits como valores negativos.

    [ NSHELP-21234 ]

  • En un dispositivo Citrix ADC, es posible que las conexiones de administración a las direcciones IP de subred IPv6 se restablezcan al realizar la operación básica de borrado de configuración.

    [ NSHELP-21206 ]

  • Durante la operación de configuración de particiones, la memoria máxima de la partición ahora aumenta solo hasta NS_SYS_MEM_FREE (). Anteriormente, se aumentaba hasta la memoria máxima disponible para que la partición configurada no se perdiera después de reiniciar el dispositivo Citrix ADC.

    [ NSHELP-21159 ]

  • El Citrix ADC no puede instalar de sistema intermedio a sistema intermedio (IS-IS) en el siguiente salto porque falta información de autenticación (AUTH) en las PDU de estado de enlace (LSP) de gran tamaño recibidas.

    [ NSHELP-21062 ]

  • Tras el reinicio del sistema, el dispositivo Citrix ADC anuncia las rutas con una métrica reducida durante 180 segundos.

    [ NSHELP-20842 ]

  • La conexión de datos FTP en modo pasivo deja de responder durante la implementación del servidor virtual transparente en modo MAC.

    [ NSHELP-20698 ]

  • El dispositivo Citrix ADC puede omitir las reglas de rutas basadas en directivas (PBR) para los paquetes de monitor salientes de tipo UDP e ICMP.

    [ NSHELP-20545 ]

Plataforma

  • Al reiniciar en caliente el dispositivo Citrix ADC VPX, es posible que se pierdan las licencias de suscripción en las siguientes condiciones:

    • Uso de tipos de instancias de AWS basados en Elastic Network Adapter (ENA): C5, C5n, M4 y M5.
    • Habilitar la interfaz ENA en las instancias de AWS compatibles existentes.

    [ NSPLAT-13467 ]

  • Las paradas de Tx pueden producirse en los dispositivos Citrix ADC MPX que utilizan puertos IXGBE de 10 G y en los dispositivos Citrix ADC SDX que utilizan puertos IXGBEVF de 10 G.

    [ NSPLAT-13338 ]

  • Compatibilidad con las nuevas plataformas de hardware Citrix ADC SDXEsta versión ahora admite las siguientes plataformas nuevas:

    [ NSPLAT-12815 ]

  • Tras actualizar los dispositivos Citrix ADC SDX 8900 y SDX 15000 50G a la versión 11.1 63.9, las NIC de 10 G no aparecen en los dispositivos. Este problema impide que las instancias VPX se inicien. Como resultado, las instancias se vuelven inalcanzables.

    [ NSPLAT-12093 ]

  • En algunos casos, al reiniciar una o más instancias VPX en un dispositivo Citrix ADC SDX que contiene NIC de Fortville, el LACP de las interfaces puede pasar al estado “predeterminado”.

    [ NSHELP-21091, NSHELP-20769, NSHELP-23159, NSHELP-23191 ]

  • En algunos casos, es posible que el dispositivo SDX 14000 deje de responder y necesite reiniciarse.

    [ NSHELP-21017 ]

  • En la implementación de VPX en la plataforma Cisco CSP 2100, ocasionalmente se pueden perder paquetes cuando se crea más de una función virtual (VF) a partir de la tarjeta de interfaz de red física (pNIC).

    [ NSHELP-20991 ]

  • Se puede observar un estancamiento de Tx en los dispositivos que contienen interfaces de Fortville si un paquete abarca más de ocho descriptores. La parada puede provocar que la interfaz entre en estado de desactivación por error.

    [ NSHELP-20800 ]

Directivas

  • Un dispositivo Citrix ADC puede fallar si hay pocos búferes de red al reescribir datos fragmentados.

    [ NSHELP-20847 ]

SSL

  • En algunos casos, los siguientes dispositivos pueden fallar al ejecutar tráfico SSL:
    • MPX 59xx
    • MPX/SDX 89xx
    • MPX/SDX MPX 26xxx
    • MPX/SDX 26xxx-50S
    • MPX/SDX 26xxx-100G
    • MPX/SDX 15xxx-50G

    [ NSSSL-7606 ]

  • La autenticación de cliente basada en directivas con verificación obligatoria del certificado falla si la autenticación del cliente con certificado de cliente opcional también está configurada en el servidor virtual.

    [ NSHELP-21190 ]

Sistema

  • Los informes de análisis no aparecen en la GUI de Citrix ADM si:
    1. Instale ADM 12.1.52.15 o posterior.
    2. Seleccione el modo de transporte Logstream para configurar el análisis de las instancias.

    [ NSHELP-21618 ]

  • Un dispositivo Citrix ADC no restablece las transmisiones HTTP/2 en una conexión de cliente con un RST_STREAM de HTTP/2 después de un tiempo de espera de inactividad.

    [ NSHELP-21537 ]

  • La conexión de un cliente deja de responder si habilita la multiplexación en un perfil HTTP/2 en un dispositivo Citrix ADC.

    [ NSHELP-21434 ]

  • Un dispositivo Citrix ADC no reenvía una respuesta al cliente si contiene encabezados de tráiler y de longitud de contenido.

    [ NSHELP-21427 ]

  • Un dispositivo Citrix ADC puede bloquearse si se produce un error en la asignación de memoria para el monitor seguro HTTP/2.

    [ NSHELP-21400 ]

  • Un dispositivo Citrix ADC puede bloquearse si se produce un error en la acción de appQoE.

    [ NSHELP-21393 ]

  • Una transacción HTTP puede fallar si un dispositivo Citrix ADC envía una solicitud HTTP/2 con varios pares de nombre-valor de cookie al servidor de fondo.

    [ NSHELP-21373 ]

  • Un dispositivo Citrix ADC puede bloquearse si recibe una solicitud HTTP/1.1 con una versión HTTP/2.0. Para cualquier solicitud de cliente con una versión HTTP/2.0, el dispositivo la considera como una solicitud HTTP/2.0 y la procesa. Esto lleva a un accidente.

    [ NSHELP-21187 ]

  • Un dispositivo Citrix ADC podría bloquearse si las medidas del lado del cliente de Appflow están habilitadas al ofrecer respuestas HTTP de gran tamaño.

    [ NSHELP-21099 ]

  • El comando show connectiontable muestra algunas entradas que no cumplen con el filtro mencionado en las siguientes condiciones:
    • El comando se ejecuta en condiciones de mucho tráfico.
    • El comando se usa con un filtro IP o de puerto.

    [ NSBASE-9509 ]

Interfaz de usuario

  • La licencia de capacidad agrupada de Citrix ADC puede fallar si la latencia es alta entre ADC y ADM. Este problema se produce si la latencia es superior a 200 ms.

    El cliente de licencias Citrix ADC intenta retirar las licencias de ADM repetidamente. En una configuración de clústeres y alta disponibilidad, las configuraciones de licencias se vuelven a aplicar innecesariamente cada vez que se activa la sincronización. La propagación y la sincronización de los comandos de licencias agrupadas están inhabilitadas. Cada nodo debe tener una licencia independiente iniciando sesión en el NSIP del nodo. Solo puede ejecutar los comandos show en la IP del clúster.

    [ NSUI-14868, NSHELP-22045 ]

  • Tras la actualización a la compilación 12.1-55.x, es posible que el dispositivo se inicie sin licencia si está configurada la licencia de grupo. Como resultado, todas las funciones están inhabilitadas y cualquier configuración que dependa de la licencia no aparece en la configuración en ejecución. Realice un reinicio rápido para restaurar la licencia del grupo y la configuración.
    Precaución: No ejecute “save config” ni fuerce una conmutación por error de HA en un dispositivo sin licencia.

    [ NSUI-7869 ]

  • Se observan excepciones de KeyError si la consulta de recuento no funciona en un dispositivo Citrix ADC.

    [ NSHELP-20979 ]

  • Los detalles de las estadísticas del servidor de equilibrio de carga están desalineados en el panel de la GUI de Citrix ADC.

    [ NSHELP-20752 ]

  • Durante la implementación de una partición, un dispositivo particionado puede fallar si ejecuta los comandos “uiinternal” y, a continuación, “clear config” en la partición predeterminada.

    [ NSHELP-20247 ]

  • En algunos casos, el nombre de usuario (especificado con el carácter “%u”) de la cadena de consulta no se muestra correctamente.

    [ NSHELP-19991 ]

  • La interfaz de comandos Citrix ADC y la GUI no muestran la configuración de los parámetros de hora del sistema para algunas alarmas SNMP.

    [ NSHELP-19958 ]

  • No puede recuperar un archivo de respaldo mediante la GUI de Citrix ADC si el nombre del archivo tiene entre 61 y 63 caracteres, aunque el límite máximo sea de 63 caracteres.

    [ NSHELP-11667 ]

  • El dispositivo Citrix Gateway envía solicitudes de acceso RADIUS duplicadas al servicio de autenticación RADIUS por cada inicio de sesión en el dispositivo.

    [ NSHELP-11148 ]

Problemas conocidos

Los problemas que existen en la versión 13.0.

Appflow

  • Un dispositivo Citrix ADC puede bloquearse si se observa un problema de sincronización al eliminar la acción appflow una vez completada una transacción y antes de que se cierre la conexión.

    [ NSBASE-9345 ]

Autenticación, autorización y auditoría

  • LoginSchema de DualAuthPushOrOTP.xml no aparece correctamente en la pantalla del editor de esquemas de inicio de sesión de la GUI de Citrix ADC.

    [ NSAUTH-6106 ]

  • El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando.

    show adfsproxyprofile <profile name>

    Solución alternativa: conéctese al Citrix ADC activo principal del clúster y ejecute el show adfsproxyprofile <profile name> comando. Mostraría el estado del perfil de proxy.

    [ NSAUTH-5916 ]

  • Un dispositivo Citrix ADC no autentica los intentos de inicio de sesión con contraseñas duplicadas y evita los bloqueos de cuentas.

    [ NSHELP-563 ]

GUI de Citrix ADC

  • Si la función “Forzar el cambio de contraseña para el usuario de nsroot cuando se utiliza la contraseña de nsroot predeterminada” está habilitada y la contraseña de nsroot se cambia la primera vez que inicia sesión en el dispositivo Citrix ADC, el cambio de contraseña de nsroot no se propaga a los nodos que no sean de CCO. Por lo tanto, cuando un usuario de nsroot inicia sesión en nodos que no son de CCO, el dispositivo vuelve a solicitar el cambio de contraseña.

    [ NSCONFIG-2370 ]

Dispositivo Citrix ADC SDX

  • El servicio NTP del servicio de administración Citrix ADC SDX responde a las consultas de NTP. Sin embargo, Management Service no tiene ninguna opción para configurar restricciones para las consultas NTP.

    Solución alternativa: modifique manualmente /flash/mpsconfig/ntp.conf y, a continuación, desde el Servicio de administración, vuelva a habilitar la sincronización NTP para que el cambio se haga efectivo. Sin embargo, este cambio se pierde si se cambian las configuraciones del servidor NTP.

    [ NSHELP-12246 ]

  • Pueden aparecer los siguientes mensajes de error si configura más de 100 VLAN en la lista trunkallowedVlan de una interfaz de la instancia de Citrix ADC:

    ERROR: Se agotó el tiempo de espera de la operación

    ERROR: error de comunicación con el motor de paquetes

    [ NSNET-4312 ]

Dispositivo Citrix ADC VPX

  • Una instancia de Citrix ADC VPX implementada en AWS no se comunica a través de las direcciones IP configuradas (VIP, ADC IP, SNIP) si se cumplen las siguientes condiciones:

    • El tipo de instancia de AWS es M5/C5, que está basada en un hipervisor KVM

    • La instancia VPX tiene más de una interfaz de red.

    Se trata de una limitación de AWS, y AWS tiene previsto solucionar el problema en breve.

    Solución alternativa: configure VLAN independientes para ADC IP, VIP y SNIP. Para obtener más información sobre la configuración de las VLAN, consulte https://docs.citrix.com/en-us/citrix-adc/13/networking/interfaces/configuring-vlans.html

    [ NSPLAT-9830 ]

  • Tras degradar una instancia de Citrix ADC VPX a una versión inferior, la instancia se bloquea durante el reinicio. Este problema se produce si la instancia tiene más de un núcleo de CPU asignado.

    [ NSPLAT-12603 ]

Citrix Gateway

  • En Outlook Web App (OWA) 2013, al hacer clic en “Opciones” en el menú de configuración, aparece el cuadro de diálogo “Error crítico”. Además, la página deja de responder.

    [ CGOP-7269 ]

  • Cuando la resolución del FQDN de StoreFront tarda más de lo esperado en el cliente, Citrix Gateway utiliza la dirección IP del cliente como dirección IP de origen para enviar tráfico al servidor StoreFront.

    [ NSHELP-19476 ]

  • En una configuración de alta disponibilidad, durante la conmutación por error de Citrix ADC, el recuento de SR aumenta en lugar del recuento de conmutación por error en Citrix ADM.

    [ NSINSIGHT-2059 ]

  • El informe de Gateway Insight muestra incorrectamente el valor “Local” en lugar de “SAML” en el campo Tipo de autenticación para errores de SAML.

    [ NSINSIGHT-2108 ]

  • La conexión ICA hace que se omita el análisis durante el análisis ICA si los usuarios utilizan el receptor MAC junto con la versión 6.5 de Citrix Virtual App and Desktops (anteriormente Citrix XenApp y XenDesktop).

    Solución alternativa: actualice el receptor a la versión más reciente de la aplicación Citrix Workspace.

    [ NSINSIGHT-924 ]

Dispositivo Citrix SDX

  • Es posible que los dispositivos SDX 26000-100G 15000-50 G tarden más en actualizarse. Como resultado, el sistema podría mostrar el mensaje “El servicio de administración no pudo funcionar después de 1 hora y 20 minutos”. Póngase en contacto con el administrador”.

    Solución alternativa: Ignore el mensaje, espere un momento e inicie sesión en el dispositivo.

    [ NSSVM-3018 ]

Citrix Web App Firewall

  • Un dispositivo Citrix ADC puede bloquearse si hay un uso elevado de memoria y los valores de memoria no se liberan debido a un error de la aplicación.

    [ NSHELP-18863 ]

Conector Cloudbridge

  • El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

    Solución temporal: Configure los conectores de Cloudbridge agregando perfiles IPSec, túneles IP y reglas de PBR mediante la GUI o CLI de Citrix ADC.

    [ NSUI-13024 ]

Equilibrio de carga

  • Un dispositivo Citrix ADC VPX se reinicia varias veces después de dejar de responder.

    [ NSHELP-20435 ]

Redes

  • Cuando el dispositivo Citrix ADC esté limpiando una gran cantidad de conexiones al servidor como parte del comando remove, es posible que el proceso Pitboss se reinicie. Este reinicio de Pitboss podría provocar que el dispositivo ADC se bloquee.

    [ NSHELP-136 ]

Plataforma

  • En la plataforma Citrix ADC SDX 26000-100G, es posible que la interfaz no aparezca después de reiniciar el dispositivo.

    Solución alternativa: asegúrese de que la negociación automática esté activada. Para comprobar y modificar el estado de la negociación automática, vaya a SDX GUI > Sistema > Interfaces.

    [ NSPLAT-11985 ]

SSL

  • En una configuración de clúster, la configuración en ejecución en la dirección IP (CLIP) del clúster muestra el grupo de cifrado DEFAULT_BACKEND vinculado a entidades, mientras que falta en los nodos. Se trata de un problema de visualización.

    [ NSHELP-13466 ]

  • El comando Actualizar no está disponible para los siguientes comandos de adición:

    • agregar aplicación azure

    • add azure keyvault

    • agregar ssl certkey con la opción hsmkey

    [ NSSSL-6484, NSSSL-6379, NSSSL-6380 ]

  • El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM.

    ERROR: Actualización de crl inhabilitada

    [ NSSSL-6106 ]

  • Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo Citrix ADC no devuelve ningún error.

    [ NSSSL-6213 ]

  • No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

    [ NSSSL-6478 ]

  • La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster (esta opción no se puede inhabilitar).

    [ NSSSL-4427 ]

Sistema

  • Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.

    Solución temporal: Establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

    [ NSPOLICY-1267 ]

Web Citrix Web App Firewall

  • Un dispositivo Citrix ADC podría bloquearse si se gestionó incorrectamente un caso de error durante el proceso de verificación de la tarjeta de crédito.

    [ NSHELP-20562 ]

Novedades de las versiones anteriores de Citrix ADC 13.0

Las mejoras y cambios que estaban disponibles en las versiones 13.0 de Citrix ADC anteriores a la compilación 47.24. El número de compilación que aparece debajo de la descripción del problema indica la compilación en la que se proporcionó esta mejora o cambio.

AppFlow

  • Compatibilidad con Logstream en particiones de administración

    Un dispositivo Citrix ADC ahora puede enviar registros de Logstream desde particiones de administración.

    [De la compilación 41.28 ]

    [ NSBASE-4777 ]

  • Supervisión de los registros de Logstream a través de la dirección NSIP

    Un dispositivo Citrix ADC ahora puede conectarse a Citrix ADM mediante la dirección NSIP para enviar registros de Logstream.

    [De la compilación 41.28 ]

    [ NSBASE-7400 ]

Autenticación, autorización y auditoría

  • Función de renovación de confianza para ADFSPIP

    Ahora puede renovar la confianza de los certificados existentes que están a punto de caducar o si el certificado existente no es válido. La renovación de confianza de los certificados solo se realiza cuando se establece la confianza entre el dispositivo Citrix ADC y el servidor ADFS.

    [De la compilación 47.22 ]

    [ NSAUTH-27 ]

  • Compatibilidad con atributos nombre-valor para la autenticación de OAuth

    Ahora puede configurar los atributos de autenticación de OAuth con un nombre único junto con valores. Los nombres se configuran en el parámetro de acción OAuth y los valores se obtienen consultando los nombres. Al especificar el valor del atributo name, los administradores pueden buscar fácilmente el valor del atributo asociado al nombre del atributo. Además, los administradores ya no tienen que recordar el atributo solo por su valor.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/oauth-authentication.html#name-value-attribute-support-for-oauth-authentication.

    [De la compilación 41.28 ]

    [ NSAUTH-5563 ]

  • Soporte de referencia de clase de autenticación personalizada para SAML SP

    Ahora puede configurar el atributo de referencia de clase de autenticación personalizado en el comando de acción SAML. Con el atributo de referencia de clase de autenticación personalizada, puede personalizar los nombres de las clases en las etiquetas SAML apropiadas.

    [De la compilación 47.22 ]

    [ NSAUTH-603, NSAUTH-58, NSHELP-451 ]

  • Mejoras en nFactor Visualizer

    Se han realizado las siguientes mejoras en el visualizador nFactor:

    • Los administradores ahora pueden mover los factores que no tienen ninguna conexión arrastrándolos y soltándolos en el icono de la papelera.

    • Los flujos de nFactor ahora también se pueden ver desde la página del servidor virtual de autenticación.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/multi-factor-nfactor-authentication/nfactor-authentication-simplification.html#enhancements-to-the-nfactor-visualizer.

    [De la compilación 41.28 ]

    [ NSAUTH-6159 ]

  • Compatibilidad con la autenticación basada en certificados de cliente para el protocolo de integración de proxy del servicio de federación de Active Directory

    La autenticación basada en certificados de cliente ahora es compatible con el protocolo de integración de proxy del servicio de federación de Active Directory.

    Nota: Esta función se encuentra actualmente en la versión preliminar técnica.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/adfspip-compliance.html#client-certificate-based-authentication-on-adfs-server.

    [De la compilación 41.28 ]

    [ NSAUTH-6457 ]

  • Directiva de caché predeterminada para autenticar servidores virtuales para mejorar el rendimiento

    Un dispositivo Citrix ADC ahora puede aplicar directivas de caché predeterminadas a todos los servidores virtuales de autenticación. Estas directivas se asocian de forma predeterminada cuando se crea un servidor virtual de autenticación, autorización y auditoría. Como resultado, todas las páginas de la GUI se almacenan en caché y se sirven desde un módulo de caché Citrix ADC, lo que reduce la carga de la CPU de administración y el demonio HTTP. Además, se puede atender a más usuarios simultáneamente.

    [De la compilación 47.22 ]

    [ NSAUTH-6654 ]

  • Soporte para cifrar datos OTP y migrar los datos OTP existentes a un formulario cifrado

    Ahora puede almacenar los datos secretos de OTP en un formato cifrado en lugar de texto plano por motivos de seguridad reforzados. A partir de la versión 13.0, compilación 41.xx de Citrix ADC, los datos OTP se almacenan automáticamente en formato cifrado si se establece la configuración requerida. Sin embargo, para los datos OTP existentes en texto sin formato, puede utilizar la herramienta de cifrado OTP para migrar del texto sin formato al formato cifrado. Además, la herramienta de cifrado OTP se puede utilizar para actualizar los certificados existentes a certificados nuevos.

    La herramienta de cifrado OTP se encuentra en la “var”

    directorio “etscalerotptool”. Debe descargar la herramienta desde esta ubicación y ejecutarla con las credenciales y los requisitos previos de AD necesarios.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/native-otp-authentication/otp-encrypt-secret.html y https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/native-otp-authentication/otp-encryption-tool.html.

    [De la compilación 41.28 ]

    [ NSAUTH-74 ]

  • Soporte de URL de Assertion Consumer Service (ACS) para SAML IDP

    Un dispositivo Citrix ADC configurado como proveedor de identidad (IDP) de SAML ahora admite la indexación de ACS para procesar la solicitud del proveedor de servicios (SP) de SAML. El IDP de SAML importa la configuración de indexación de ACS desde los metadatos del SP o permite introducir información de índices de ACS manualmente.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/saml-authentication/citrix-adc-saml-idp.html#assertion-consumer-service-url-support-for-saml-idp.

    [De la compilación 41.28 ]

    [ NSHELP-20228 ]

Dispositivo Citrix ADC BLX

  • Compatibilidad con DPDK para dispositivos Citrix ADC BLX

    Los dispositivos Citrix ADC BLX ahora son compatibles con el kit de desarrollo de planos de datos (DPDK), que es un conjunto de bibliotecas de Linux y controladores de interfaz de red para mejorar el rendimiento de la red. El dispositivo Citrix ADC BLX solo admite DPDK en modo dedicado.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.html.

    [De la compilación 41.28 ]

    [ NSNET-2456 ]

  • Compatibilidad con el protocolo de enrutamiento dinámico OSPF IPv4 para dispositivos Citrix ADC BLX

    Los dispositivos Citrix ADC BLX ahora admiten el protocolo de enrutamiento dinámico IPv4 OSPF (OSPFv2).

    [De la compilación 47.22 ]

    [ NSNET-7783 ]

  • Compatibilidad con el protocolo de enrutamiento dinámico BGP para dispositivos Citrix ADC BLX

    Los dispositivos Citrix ADC BLX ahora admiten los protocolos de enrutamiento dinámico BGP IPv4 e IPv6.

    [De la compilación 41.28 ]

    [ NSNET-7785 ]

  • Soporte de host Ubuntu Linux para dispositivos Citrix ADC BLX

    El dispositivo Citrix ADC BLX ahora admite la ejecución en sistemas Ubuntu Linux.

    [De la compilación 41.28 ]

    [ NSNET-9259 ]

Dispositivo Citrix ADC CPX

  • El valor predeterminado del parámetro monitorConnectionClose se establece en RESET en una versión más ligera de Citrix ADC CPX.

Para cerrar una conexión monitor-sonda mediante parámetros de equilibrio de carga globales, puede configurar monitorConnectionClose en FIN o RESET. Al configurar el parámetro monitorConnectionClose en;

-  FIN: The appliance performs a complete TCP handshake.

-  RESET: The appliance closes the connection after receiving the SYN-ACK from the service.

In lighter version of Citrix ADC CPX, the monitorConnectionClose parameter value is set to RESET by default and cannot be changed to FIN at the global level. However, you can change the monitorConnectionClose parameter to FIN at the service level.

[From Build 41.28]

[ NSLB-4610]

GUI de Citrix ADC

  • Soporte de optimización de interfaz para la partición de administración

    Ahora también puede habilitar la función de optimización de interfaz desde la página Configurar funciones avanzadas en modo partición.

    [De la compilación 41.28 ]

    [ NSUI-12800 ]

  • Soporte para identificar la causa por la cual el estado de un servicio o grupo de servicios está marcado como NO ACTIVO

    Ahora puede ver la información del sondeo del monitor en la GUI de los servicios o grupos de servicios que están inactivos sin tener que ir a la interfaz de enlace del monitor.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-manage-setup/managing-services.html#identify-the-cause-for-the-service-state-marked-down-by-using-the-gui.

    [De la compilación 41.28 ]

    [ NSUI-12906 ]

  • Soporte para identificar la causa por la cual el estado de un servidor virtual está marcado como INACTIVO

    Ahora puede ver la información de la sonda del monitor en la GUI del servidor virtual que está INACTIVO sin tener que ir a la interfaz de enlace del monitor.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-manage-setup/managing-vserver.html#identify-the-cause-for-the-virtual-server-state-marked-down-by-using-the-gui.

    [De la compilación 41.28 ]

    [ NSUI-13255 ]

  • Interacción guiada para certificados SSL

    La GUI de Citrix ADC ahora proporciona una interacción guiada para algunas tareas comunes pero detalladas relacionadas con la creación, la importación y la actualización de certificados SSL. Le pide que habilite la interacción guiada al iniciar el dispositivo por primera vez. Si está habilitada, puede inhabilitarla explícitamente en cualquier momento. Para ello, vaya a Sistema > Configuración > Cambiar la configuración de CUXIP y desactive la casilla Habilitar CUXIP.

    Nota: Esta función solo está disponible para los certificados SSL en la GUI de Citrix ADC.

    [De la compilación 41.28 ]

    [ NSUI-13389 ]

  • Indicaciones de color para el uso del espacio en disco en la GUI de actualización

    En la pantalla Compruebe el espacio en disco de la GUI de Citrix ADC (Sistema > Información del sistema > Actualización del sistema > Compruebe el espacio en disco), se ha agregado una indicación en color para el espacio en disco utilizado actualmente.

    La GUI muestra el porcentaje actual de espacio en disco utilizado en los siguientes colores:

    • Verde, si el espacio en disco utilizado actualmente es de =< 80%

    • Rojo, si el espacio en disco utilizado actualmente es superior al 80%

    [De la compilación 47.22 ]

    [ NSUI-13699 ]

  • Registro del sistema para la administración de bots de Citrix ADC

    La página GUI del visor de registros ahora tiene una opción para filtrar las operaciones relacionadas con los bots que se registran.

    [De la compilación 47.22 ]

    [ NSUI-13722 ]

  • Soporte de GUI para estadísticas de bots

    La nueva sección de bots de la página del panel muestra las estadísticas relacionadas con los bots.

    [De la compilación 47.22 ]

    [ NSUI-13945 ]

Dispositivo Citrix ADC SDX

  • Licencia ADC Platinum con funciones SWG

    Las funciones de Citrix Secure Web Gateway (SWG) ahora están integradas con la licencia Citrix ADC Premium y SWG ya no se ofrece como una licencia de instancia independiente. Tras actualizar un dispositivo SDX a la versión 13.0 47.x, una instancia de SWG existente que se ejecuta en el dispositivo aparece como instancia de Citrix ADC en el panel del Servicio de administración de SDX.

    [De la compilación 47.22 ]

    [# NSSVM-2806 ]

Dispositivo Citrix ADC VPX

  • Métricas de Citrix ADC VPX en Azure Monitor

    Ahora puede usar las métricas del servicio de monitoreo de Azure para monitorear un conjunto de recursos de Citrix ADC VPX, como la CPU, el uso de la memoria y el rendimiento. El servicio Metrics monitorea los recursos de Citrix ADC VPX que se ejecutan en Azure, en tiempo real. Puede utilizar el Explorador de métricas para acceder a los datos recopilados.

    [De la compilación 47.22 ]

    [ NSPLAT-10104 ]

  • Un nuevo parámetro para mover la fuente del reloj maestro de la CPU0 a la CPU1

    Para una instancia de Citrix ADC VPX, ahora puede mover la fuente del reloj maestro de la CPU0 (CPU de administración) a la CPU1. Para cambiar la fuente del reloj maestro, se agrega el parámetro -masterclockcpu1 al comando “set ns vpxparam”. Este parámetro tiene las siguientes opciones:

    • SÍ: permita que la máquina virtual mueva la fuente del reloj maestro de la CPU0 a la CPU1.

    • NO: la máquina virtual usa la CPU0 como fuente del reloj maestro. De forma predeterminada, CPU0 es la fuente del reloj maestro.

    [De la compilación 47.22 ]

    [ NSPLAT-10859 ]

  • Soporte de alta disponibilidad en Google Cloud Platform

    Ahora puede implementar instancias de Citrix VPX como un par de HA en Google Cloud Platform, en todas las zonas de la misma región. Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-vpx-google-cloud-ha.html.

    [De la compilación 41.28 ]

    [ NSPLAT-7714 ]

  • Implemente un par VPX HA en AWS mediante la migración de IP privadas

    Ahora puede implementar instancias VPX como un par de HA en la misma zona, en modo de configuración de red no independiente (INC), mediante la migración de IP privadas, lo que reduce significativamente el tiempo de conmutación por error. Anteriormente, los nodos VPX HA se implementaban mediante la migración de la interfaz de red (ENI), que tenía un tiempo de conmutación por error más prolongado. Para obtener más información, consulte:

    https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws/how-aws-ha-works.html

    https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws/vpx-aws-ha.html

    [De la compilación 41.28 ]

    [ NSPLAT-7718 ]

  • Compatibilidad con el nuevo tipo de instancia de AWS

    A partir de esta versión, se admiten los siguientes tipos de instancias de AWS para la implementación de VPX, en las regiones existentes y en la región recientemente agregada de París.

    • C5: c5.large, c5.xlarge, c5.2xlarge, c5.4xlarge, c5.9xlarge, c5.18xlarge

    • C5n: c5n.large, c5n.xlarge, c5n.2xlarge, c5n.4xlarge, c5n.9xlarge, c5n.18xlarge

    • M5: m5.large, m5.xlarge,m5.2xlarge,m5.4xlarge, m5.12xlarge,m5.24xlarge

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws.html.

    [De la compilación 41.28 ]

    [ NSPLAT-8729 ]

  • Soporte para la implementación de AWS en la región de París

    Ahora puede implementar instancias VPX en AWS, en la región de París.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws.html.

    [De la compilación 41.28 ]

    [ NSPLAT-8730 ]

  • Etiquetas de servicio de Azure para grupos de servicios de equilibrio de carga VPX

    Para una instancia de ADC Citrix VPX implementada en Azure Cloud, ahora puede crear grupos de servicios de equilibrio de carga asociados a una etiqueta de Azure. La instancia VPX monitorea constantemente las máquinas virtuales (VM) o las interfaces de red (NIC) de Azure, o ambas, con la etiqueta correspondiente y actualiza el grupo de servicios en consecuencia. Siempre que se agrega o elimina una máquina virtual o NIC con la etiqueta correspondiente, el ADC detecta el cambio respectivo y agrega o elimina automáticamente la dirección IP de la máquina virtual o NIC del grupo de servicios.

    Puede agregar la configuración de etiqueta de Azure a una instancia VPX mediante la GUI de VPX.

    Para obtener más información sobre las etiquetas de Azure, consulte el documento de Microsoft: https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-using-tags

    Para obtener más información sobre las etiquetas de Azure para la implementación de Citrix ADC VPX, consulte https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-vpx-on-azure/tags.html.

    [De la compilación 41.28 ]

    [ NSPLAT-8768 ]

  • Nuevas ofertas basadas en suscripciones para Citrix ADC VPX en GCP

    Para Google Cloud Platform (GCP), ya están disponibles las siguientes ofertas basadas en suscripciones:

    • Licencia Citrix ADC VPX Express

    • Ediciones Citrix ADC VPX de 10 Mbps (estándar/avanzado/Premium)

    [De la compilación 47.22 ]

    [ NSPLAT-8772 ]

  • Soporte para la implementación de AWS en la región de Hong Kong

    Ahora puede implementar instancias VPX en AWS, en la región de Hong Kong.

    [De la compilación 47.22 ]

    [ NSPLAT-9166 ]

Administración de bots de Citrix

  • Administración de bots de Citrix

    Detectar y mitigar las amenazas de los robots es una necesidad de seguridad fundamental en el mundo actual. Esto se logra mediante el uso de un sistema de gestión de bots. Citrix Bot Management protege sus aplicaciones web, aplicaciones y API de los ataques de seguridad básicos y avanzados. Citrix Bot Management utiliza los seis mecanismos de detección siguientes para detectar el tipo de bot y tomar una acción de mitigación.

    Las técnicas son la lista de bots permitidos, la lista de bots prohibidos, la reputación IP, la toma de huellas dactilares del dispositivo, la limitación de velocidad y las firmas estáticas.

    Reputación de la IP. Este mecanismo detecta si el tráfico entrante es un bot mediante una base de datos de direcciones IP maliciosas que se actualiza activamente.

    Huella digital del dispositivo. La toma de huellas dactilares del dispositivo inyecta JavaScript en el flujo HTTP y evalúa las propiedades devueltas por ese javascript para determinar si el tráfico entrante es un bot o no.

    Limitación de velocidad. La velocidad de la técnica de detección limita las múltiples solicitudes procedentes del mismo cliente mediante sesión, cookie o IP.

    Firmas de bots. La técnica de detección detecta y bloquea los bots basándose en más de 3500 firmas recopiladas por el equipo de investigación de amenazas de Citrix. Los bots pueden ser, por ejemplo, URL no autorizadas que extraen sitios web, inicios de sesión forzosos o aquellos que buscan vulnerabilidades

    Lista de bots permitidos. La lista blanca es una lista personalizable de URL, IP, bloques de CIDR y expresiones de directiva que incluye en la lista blanca y permite que el tráfico entrante coincida con uno de estos parámetros.

    Lista de bots prohibidos. La lista de prohibidos es una lista personalizable de URL, IP, bloques de CIDR y expresiones de directiva que incluye en la lista de prohibidos y deniega el tráfico entrante que coincida con uno de estos parámetros.

    Citrix Bot Management mitiga las amenazas automatizadas y el tráfico de bots no deseados contra sus aplicaciones públicas, API y sitios web. Si se determina que el tráfico entrante es un bot, el sistema realiza una acción asignada por el administrador del ADC y genera informes sólidos para garantizar la responsabilidad y la auditabilidad.

    La administración de bots ofrece las siguientes ventajas:

    • Defiéndete de los bots, los scripts y los kits de herramientas: la defensa basada en firmas estáticas y la toma de huellas dactilares del dispositivo mitigan las amenazas contra los bots básicos y avanzados.

    • Neutralice los ataques básicos y avanzados: evite ataques como los ataques DDoS en la capa de aplicaciones, la pulverización de contraseñas, el uso excesivo de contraseñas, la reducción de precios, la eliminación de contenido y más.

    • Proteja sus API e inversiones: proteja sus API del uso indebido, el sondeo y la filtración de datos, y proteja las inversiones en infraestructura del tráfico no deseado.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/bot-management.html.

    [De la compilación 41.28 ]

    [ NSWAF-2900 ]

Citrix Gateway

  • AlwaysON antes del inicio de sesión para Windows

    AlwaysON antes del inicio de sesión para Windows permite a los usuarios establecer un túnel VPN incluso antes de iniciar sesión en un sistema Windows. Esta conectividad VPN persistente se logra mediante el establecimiento automático de un túnel VPN a nivel de dispositivo una vez que el dispositivo se inicia.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html.

    [De la compilación 41.28 ]

    [ CGOP-10791 ]

  • Uso selectivo de protocolos de inicio de sesión antiguos o más recientes para los clientes

    Los clientes que utilizan la aplicación Workspace con Citrix Gateway ahora pueden utilizar de forma selectiva el protocolo de inicio de sesión anterior o más reciente en función de las directivas. Los clientes pueden usar protocolos de red antiguos para ciertos clientes y también permitir que los clientes utilicen la integración nativa de Intune con los clientes de Citrix Gateway mediante el protocolo heredado, principalmente la verificación de cumplimiento de Intune mediante el identificador único del dispositivo.

    [De la compilación 41.28 ]

    [ CGOP-10879 ]

  • Soporte de cliente VPN en Ubuntu 18.04 LTS

    Los clientes VPN ahora son compatibles con Ubuntu 18.04 LTS.

    [De la compilación 47.22 ]

    [ CGOP-11067 ]

Citrix Web App Firewall

  • Formatos de carga de archivos permitidos

    Citrix Web App Firewall ahora le permite configurar los formatos de carga de archivos permitidos en un perfil de Citrix Web App Firewall. De este modo, restringe la carga de archivos a formatos específicos y protege el dispositivo contra las cargas malintencionadas durante el envío de varios formularios.

    Nota: La función solo funciona cuando se desactiva la opción “ExcludeFileUploadFormChecks” en el perfil WAF.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/file-upload-protection.html

    [De la compilación 41.28 ]

    [ NSWAF-2579 ]

  • Registro detallado del patrón de infracción

    Ahora puede configurar el perfil de Web App Firewall para proporcionar un patrón de infracción detallado cuando se produce un ataque. Al configurar la opción de nivel de registro detallado, puede registrar diferentes partes de la carga útil junto con el patrón de ataque para realizar análisis forenses o solucionar problemas.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/detailed-troubleshooting-with-waf-logs.html

    [De la compilación 41.28 ]

    [ NSWAF-2892 ]

  • Protección de contenido JSON

    Citrix Web App Firewall ahora ofrece protección JSON para los ataques de DOS, XSS y SQL. Las reglas de denegación de servicio (DoS) de JSON, SQL y XSS examinan la solicitud JSON entrante y validan si hay algún dato que coincida con las características de un ataque DoS, SQL o XSS. Si la solicitud tenía infracciones de JSON, el dispositivo bloquea la solicitud, registra los datos, envía una alerta SNMP y también muestra una página de error de JSON. El propósito de la comprobación de protección de JSON es evitar que un atacante envíe una solicitud JSON para lanzar ataques DoS, XSS o SQL en sus aplicaciones JSON o sitio web.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/json-content-protection.html

    [De la compilación 41.28 ]

    [ NSWAF-2894 ]

  • Despliegue automático de los datos aprendidos mediante perfiles dinámicos.

    Ahora puede implementar automáticamente los datos aprendidos como reglas de relajación. En la creación de perfiles dinámicos, si Web App Firewall registra los datos aprendidos dentro de un umbral definido por el usuario, el dispositivo envía una alerta SNMP al usuario. Si el usuario no omite los datos dentro de un período de gracia, el dispositivo despliega automáticamente los datos como regla de relajación. Anteriormente, el usuario tenía que implementar manualmente los datos aprendidos como reglas de relajación.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/dynamic-profiling.html

    [De la compilación 41.28 ]

    [ NSWAF-2895 ]

  • Umbral corporal WAF POST para reducir el uso de la CPU

    El archivo de firmas del firewall de la aplicación ahora incluye el uso de la CPU, el último año aplicable y el nivel de gravedad. Puede ver el uso de la CPU, el último año y el nivel de gravedad de CVE cada vez que un archivo de firma se modifica y se carga periódicamente. Después de observar estos valores, puede decidir habilitar o inhabilitar la firma en el dispositivo.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/app-firewall-profile-settings.html

    [De la compilación 41.28 ]

    [ NSWAF-2932 ]

  • Enmascarar datos confidenciales mediante un patrón de expresiones regulares

    La función de directiva avanzada REGEX_REPLACE en la expresión de registro vinculada a un perfil Web Citrix Web App Firewall (WAF) permite enmascarar datos confidenciales en los registros de WAF.

    [De la compilación 47.22 ]

    [ NSWAF-3816 ]

  • Nombres de categorías de reputación IP fáciles y legibles

    Los nombres de las categorías de detección de bots de reputación IP ahora están disponibles como nombres legibles.

    [De la compilación 47.22 ]

    [ NSWAF-3824 ]

  • Creación de perfiles dinámicos para aprender las URL de inicio

    La creación de perfiles dinámicos ya está disponible para iniciar la comprobación de seguridad de URL para detectar y aprender nuevas URL.

    [De la compilación 47.22 ]

    [ NSWAF-3934 ]

Agrupar en clústeres

  • Vista operativa basada en la interfaz del panel posterior

    En una configuración de clúster, ahora puede lograr una vista operativa basada en los mensajes de latidos recibidos únicamente en la interfaz de la placa base.

    Considere un ejemplo de un clúster de dos nodos, formado por el nodo 1 y el nodo 2. Los dos nodos se envían y reciben mensajes de latidos desde y hacia el otro en todas las interfaces que están habilitadas. Cuando la vista basada en el plano posterior está habilitada, la vista operativa se basa en los latidos recibidos únicamente en la interfaz del plano posterior. Si el nodo 1 no recibe los mensajes de latidos del nodo 2 en la interfaz del plano posterior, el nodo 1 o el nodo 2 quedan inactivos desde el punto de vista operativo, incluso si el nodo 1 recibe los latidos del nodo 2 a través de la interfaz de datos. De forma predeterminada, la vista basada en el plano posterior está inhabilitada. Cuando esta opción está inhabilitada, un nodo no depende de la recepción de los latidos únicamente en el plano posterior.

    [De la compilación 47.22 ]

    [ NSHELP-15871 ]

  • Soporte de propietario de ARP para IP rayada

    En una configuración de clúster, ahora puede configurar un nodo específico para que responda a la solicitud ARP de una IP segmentada. El nodo configurado responderá al tráfico ARP. Se introduce un nuevo atributo “arpOwner” en los comandos de CLI “add, set and unset ip”.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/clustering/cluster-overview/cluster-config-type.html#arp-owner-support-for-striped-ip.

    [De la compilación 41.28 ]

    [ NSNET-3050 ]

  • Borrar la captura de SNMP para que no coincida la versión del clúster

    La discrepancia entre versiones en la configuración de un clúster ahora se borra mediante un SNMP de captura transparente.

    [De la compilación 41.28 ]

    [ NSNET-8545 ]

DNS

  • Cumplimiento del Día de la Bandera de DNS 2019

    El dispositivo Citrix ADC ahora cumple plenamente con el día de la bandera de DNS de 2019.

    [De la compilación 41.28 ]

    [ NSLB-4275 ]

GSLB

  • Asociar una expresión de servidor virtual de destino a una acción de conmutación de contenido de GSLB

    Ahora se ha agregado soporte para asociar una expresión de servidor virtual de destino a una acción de conmutación de contenido de GSLB. Esto permite que el servidor virtual de conmutación de contenido de GSLB utilice expresiones de directiva para componer el nombre del servidor virtual GSLB de destino mientras procesa las solicitudes de DNS.

    [De la compilación 47.22 ]

    [ NSLB-4751 ]

  • Compatible con GSLB para el dominio comodín

    Ahora se ha agregado soporte para vincular un dominio DNS comodín a un servidor virtual GSLB. Los usuarios que acceden a las aplicaciones detrás de un dominio comodín se dirigen al mejor centro de datos óptimo, que aloja esas aplicaciones. El dominio comodín gestiona las solicitudes de dominios y subdominios inexistentes. En una zona, puede redirigir las consultas de todos los dominios o subdominios inexistentes a un servidor determinado mediante los dominios comodín. No es necesario crear un registro de recursos (RR) independiente para cada uno de esos dominios.

    [De la compilación 47.22 ]

    [ NSLB-4792 ]

  • Determine el servicio GSLB de mejor rendimiento mediante el método API

    Ahora se admite el método GSLB basado en API para las implementaciones de GSLB para seleccionar el servicio GSLB con mejor rendimiento. En este método, cuando GSLB recibe una solicitud de DNS de un cliente, GSLB activa una solicitud de API REST HTTP (S) al servidor API configurado. Según la respuesta de la API, GSLB envía una respuesta de DNS que contiene la dirección IP del servicio GSLB con mejor rendimiento.

    [De la compilación 47.22 ]

    [ NSLB-5194 ]

Licencias

  • Protocolos de enrutamiento dinámico en licencia estándar

    La licencia estándar de Citrix ADC ahora incluye los protocolos de enrutamiento dinámico Citrix ADC. Citrix ADC admite los siguientes protocolos dinámicos:

    • RIP (IPv4 e IPv6)

    • OSPF (IPv4 e IPv6)

    • BGP (IPv4 e IPv6)

    • IS-IS (IPv4 e IPv6)

    [De la compilación 41.28 ]

    [ NSNET-12256 ]

  • Protocolos de enrutamiento dinámico en licencia estándar

    La licencia estándar de Citrix ADC ahora incluye los protocolos de enrutamiento dinámico Citrix ADC. Citrix ADC admite los siguientes protocolos dinámicos:

    • RIP (IPv4 e IPv6)

    • OSPF (IPv4 e IPv6)

    • BGP (IPv4 e IPv6)

    • IS-IS (IPv4 e IPv6)

    [De la compilación 41.28 ]

    [ NSPLAT-6179 ]

  • Nuevos valores para el ancho de banda mínimo y las instancias mínimas de SDX

    Los valores mínimos de ancho de banda e instancias para los dispositivos SDX que admiten la capacidad agrupada de Citrix ADC han cambiado. Para obtener más información, consulte:

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html

    [De la compilación 41.28 ]

    [ NSSVM-2770 ]

Equilibrio de carga

  • Soporte para monitor NTLM seguro

    Ahora puede utilizar el script nsntlm-lwp.pl para crear un monitor que supervise un servidor NTLM seguro.

    [De la compilación 41.28 ]

    [ NSLB-4806 ]

  • Compatibilidad con la API de escalado automático

    Puede configurar el grupo de servicios desde el tipo de API de estado deseado (DSA) sin escalabilidad automática hasta el tipo de API de estado deseado (DSA), si coinciden todas las condiciones proporcionadas. Para esta configuración, utilice el argumento de la API autoscale del comando “set serviceGroup”.

    [De la compilación 47.22 ]

    [ NSLB-5311 ]

  • Limitar el número de solicitudes simultáneas en una conexión de cliente

    Ahora puede limitar el número de solicitudes simultáneas en una única conexión de cliente. Puede proteger los servidores de las vulnerabilidades de seguridad limitando el número de solicitudes simultáneas. Cuando la conexión del cliente alcanza el límite máximo especificado, el dispositivo Citrix ADC descarta las solicitudes posteriores de la conexión hasta que el recuento de solicitudes pendientes sea inferior al límite.

    [De la compilación 47.22 ]

    [ NSLB-5315 ]

NITRO

  • Restringir a los usuarios del sistema a una interfaz de administración específica

    Un dispositivo Citrix ADC ahora le permite restringir el acceso de los usuarios a una interfaz de administración específica (CLI o API). Puede configurar la lista de interfaces de administración permitidas para un usuario concreto o un grupo de usuarios a nivel de usuario.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/restricted-management-interface-access.html.

    [De la compilación 41.28 ]

    [ NSCONFIG-1376 ]

  • Actualice el grupo de servicios con el conjunto de miembros deseado sin problemas mediante la API Desired State

    Ahora puede usar la API de estado deseado para actualizar un grupo de servicios con el conjunto deseado de miembros del grupo de servicios. Con la API Desired State, puedes proporcionar una lista de los miembros del grupo de servicios junto con su peso y estado (opcional) en una sola solicitud PUT en el recurso “servicegroupgroupmemberlist_binding”. El dispositivo Citrix ADC compara el conjunto de miembros deseado solicitado con el conjunto de miembros configurado. A continuación, vincula automáticamente a los nuevos miembros y desvincula a los miembros que no están presentes en la solicitud.

    [De la compilación 41.28 ]

    [ NSLB-4543 ]

Redes

  • Soporte de estadísticas de ISSU

    Ahora puede ver las estadísticas para monitorear el proceso ISSU actual en una configuración de alta disponibilidad. Las estadísticas de ISSU muestran la siguiente información:

    • Estado actual de la operación de migración de ISSU

    • Hora de inicio de la operación de migración de ISSU

    • Hora de finalización de la operación de migración de ISSU

    • Hora de inicio de la operación de reversión de ISSU

    [De la compilación 47.22 ]

    [ NSNET-11457 ]

  • Soporte de conmutación por error de conexión para conexiones FTP desde un puerto aleatorio del servidor FTP

    La conmutación por error de conexión permite que el nodo principal duplique la información de conexión y persistencia en el nodo secundario en una configuración de alta disponibilidad. La información de estado de la conexión se comparte con el nodo secundario de forma regular cuando se habilita la duplicación de la conexión.

    La configuración de alta disponibilidad del dispositivo Citrix ADC admite la conmutación por error de conexión para una conexión FTP para la que el servidor FTP utilice un puerto de datos aleatorio.

    El nodo principal envía la información de conexión relacionada con el FTP al nodo secundario a intervalos regulares. El dispositivo secundario usa esta información solo en caso de conmutación por error.

    Para habilitar la conmutación por error de conexión en una configuración de equilibrio de carga de tipo FTP, habilite el parámetro connFailover (Connection Failover) del servidor virtual de equilibrio de carga mediante la CLI o la GUI.

    Además, para permitir que el dispositivo Citrix ADC procese una conexión FTP para la que el servidor FTP utilice un puerto aleatorio, debe habilitar el parámetro global Citrix ADC: aftpAllowRandomSourcePort (habilita la selección de puertos de origen aleatorios para el FTP activo).

    [De la compilación 47.22 ]

    [ NSNET-7685, NSNET-9529 ]

  • Soporte para reservar el puerto de origen para las conexiones RNAT a los servidores

    Para una solicitud que llega a una configuración de RNAT que tiene una o más direcciones IP RNAT y el parámetro Usar puerto proxy inhabilitado, el dispositivo Citrix ADC utiliza una de las direcciones IP RNAT y el puerto de origen de la solicitud RNAT para conectarse a los servidores.

    Antes de esta versión, la conexión de RNAT (mediante el puerto de origen del cliente RNAT) con el servidor fallaba si ya se utilizaba el mismo puerto de origen en otras conexiones.

    • Puerto de origen inferior a 1024. De forma predeterminada, el dispositivo Citrix ADC reserva los primeros 1024 puertos de cualquier dirección IP propiedad de Citrix ADC (incluidas las direcciones IP RNAT). Antes de esta versión, la conexión de RNAT (mediante el puerto de origen del cliente RNAT) con el servidor fallaba si el puerto de origen de la solicitud de RNAT era inferior o igual a 1024. Con estas versiones, la conexión de RNAT (mediante el puerto de origen del cliente RNAT) al servidor se realizará correctamente si el puerto de origen de la solicitud de RNAT es inferior o igual a 1024.

    • Puerto de origen superior a 1024. Antes de esta versión, la conexión de RNAT (mediante el puerto de origen del cliente RNAT) con el servidor fallaba si ya se utilizaba el mismo puerto de origen en otras conexiones. Con esta versión, puede especificar un rango de puertos de origen de clientes RNAT en el parámetro Retain Source Port range como parte de una configuración de RNAT. El dispositivo Citrix ADC reserva estos puertos de origen de cliente RNAT en la dirección IP RNAT para que se utilicen únicamente para la conexión RNAT a los servidores.

    [De la compilación 47.22 ]

    [ NSNET-9797 ]

Plataforma

  • Configuración del tamaño y el tipo de anillo de recepción para una interfaz

    Ahora puede aumentar el tamaño y el tipo de anillo de recepción para las interfaces IX, F1X, F2X y F4X en las plataformas Citrix ADC MPX y SDX.

    Un mayor tamaño del anillo proporciona más amortiguación para soportar las ráfagas de tráfico, pero podría afectar al rendimiento. Las interfaces IX admiten un tamaño de anillo de hasta 8192. Las interfaces F1X, F2X y F4X admiten un tamaño de anillo de hasta 4096. El tamaño de anillo predeterminado sigue siendo 2048.

    Los tipos de anillos de interfaz son elásticos de forma predeterminada. Aumentan o disminuyen de tamaño en función de la velocidad de llegada de paquetes. Puede configurar el tipo de anillo como “fijo” para que no cambie en función de la velocidad de tráfico.

    [De la compilación 41.28 ]

    [ NSPLAT-9264 ]

Directivas

  • Nueva expresión de directiva para mostrar la hora GMT en la zona horaria local

    Ahora está disponible una nueva expresión de directiva “SYS.TIME.TO_LOCAL” para mostrar la hora GMT en la zona horaria local.

    [De la compilación 47.22 ]

    [ NSHELP-16098, NSPOLICY-58 ]

  • Agregar encabezados personalizados en la acción respondwithhtmlpage responder

    Un dispositivo Citrix ADC ahora puede responder con un encabezado personalizado en la acción responsewithhtmlpage. Puede configurar hasta ocho encabezados personalizados. Anteriormente, el dispositivo solo respondía con encabezados estáticos como Content-type:text/html y Content-Length:<value>.

    Nota: Al configurar los encabezados personalizados, puede sobrescribir el valor del encabezado “Tipo de contenido”.

    [De la compilación 47.22 ]

    [ NSPOLICY-2329 ]

  • Herramienta nspepi mejorada para la conversión de directivas

    La herramienta nspepi ahora se ha mejorado para admitir lo siguiente:

    • Conversión de las directivas de túneles y sus vinculaciones.

    • Conversión de enlaces de directivas clásicos integrados en CMP, CR y Tunnel.

    • Conversión de la directiva de autenticación y sus enlaces en un servidor virtual de autenticación, pero no para los enlaces de otras entidades.

    • Correcciones para varios errores.

    Nota: si se utilizan directivas de cmd y se convierte el nombre del comando, las directivas de cmd asociadas deberán cambiarse manualmente.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/appexpert/policies-and-expressions/introduction-to-policies-and-exp/converting-policy-expressions-nspepi-tool.html

    [De la compilación 41.28 ]

    [ NSPOLICY-3159 ]

  • Generar valores de clave HMAC aleatorios y únicos similares a encryptionParams

    Ahora puede generar automáticamente un cifrado aleatorio o una clave HMAC.

    add ns encryptionKey <name> -method <method> -keyValue AUTO

    add ns hmacKey <name> -digest <digest> -keyValue AUTO

    El valor de clave “AUTO” se puede utilizar en los comandos set para generar nuevas claves para los objetos encryptionKey y hmacKey existentes.

    La generación automática de claves es útil si el dispositivo Citrix ADC cifra y descifra datos con la clave o genera y verifica una clave HMAC.

    Nota: Dado que el valor de la clave en sí ya está cifrado cuando se muestra, no puede recuperar el valor de clave generado para que lo utilice ninguna otra persona.

    [De la compilación 47.22 ]

    [ NSPOLICY-3287 ]

  • Opción para proporcionar comentarios sobre patrones enlazados a un conjunto de patrones o a un conjunto de datos.

    El comando “bind policy patset” ahora le permite proporcionar comentarios sobre los patrones que están enlazados a un conjunto de patrones.

    bind policy patset <name> <string> [-index <positive_integer>]

    [-charset ( ASCII | UTF_8 )] [-comment <string>]

    Donde:

    Comment. Proporcione comentarios sobre los patrones enlazados a un conjunto de patrones.

    El comando “vincular conjunto de datos de directivas” ahora le permite proporcionar comentarios sobre los patrones que están enlazados a un conjunto de datos.

    bind policy dataset <name> <value> [-index <positive_integer>] [-comment <string>]

    Donde:

    Comment. Proporcione comentarios sobre los patrones enlazados a un conjunto de datos.

    [De la compilación 47.22 ]

    [ NSPOLICY-3298 ]

  • Permitir funciones SYS inocuas

    Las funciones SYS como SYS.TIME, SYS.RANDOM, SYS.NSIP, SYS.UUID, etc. ahora están permitidas en el evaluador de expresiones y también en otros lugares que antes no las permitían.

    Sin embargo, algunas funciones SYS aún no están permitidas en el evaluador de expresiones y en otros lugares que no las permitían anteriormente. Un ejemplo es SYS.HTTP_CALLOUT.

    [De la compilación 47.22 ]

    [ NSPOLICY-3302 ]

  • Convertir comandos de filtro clásicos en comandos de filtro avanzados

    La herramienta nspepi ahora puede convertir los comandos basados en acciones de filtrado clásicas, como agregar, vincular, etc., en comandos de filtrado avanzados.

    Sin embargo, la herramienta nepepi no admite los siguientes comandos de filtrado.

    • add filter action <action Name> FORWARD <service name>

    • add filter action <action name> ADD prebody

    • add filter action <action name> ADD postbody

    Nota:

    • Si existen funciones de reescritura o respuesta en ns.conf y sus directivas están enlazadas globalmente con la expresión GOTO como END o USER_INVOCATION_RESULT y el tipo de enlace es REQ_X o RES_X, la herramienta convierte parcialmente los comandos de filtro de enlace y los comenta. Se mostrará una advertencia para indicar el esfuerzo manual.

    • Si existen funciones de reescritura o respuesta y sus directivas están vinculadas a servidores virtuales (por ejemplo, equilibrio de carga, cambio de contenido o redireccionamiento de caché) de tipo HTTPS con GOTO - END o USER_INVOCATION_RESULT, la herramienta convierte parcialmente los comandos de filtro de enlace y, a continuación, los comenta. Se mostrará una advertencia para indicar el esfuerzo manual.

    [De la compilación 47.22 ]

    [ NSPOLICY-509 ]

SSL

  • Soporte para mostrar valores clave de RSA de 3072 bits en el comando stat ssl

    La salida del stat ssl ahora incluye los valores de intercambio de claves de RSA de 3072 bits.

    stat ssl -detail

    Descarga SSL

    Tarjetas SSL presentes (8)

    Tarjetas SSL hasta 8

    Estado del motor SSL 1

    Sesiones SSL (velocidad) 0

    Intercambios de claves

    Intercambios de claves RSA de 512 bits 0 0

    Intercambios de claves RSA de 1024 bits 0 0

    Intercambios de claves RSA de 2048 bits 0 0

    Intercambios de claves RSA 3072 bits 0 106380

    Intercambios de claves RSA de 4096 bits 0 0

    Listo

    [De la compilación 41.28 ]

    [ NSSSL-1954 ]

  • Soporte para mensajes TLS fragmentados

    El dispositivo Citrix ADC ahora admite la fragmentación de los mensajes de certificado del servidor y los mensajes de solicitud de certificado. El tamaño máximo admitido de estos mensajes en todos los registros es de 32 KB. Anteriormente, no se admitía la fragmentación y el tamaño máximo admitido de los mensajes era de 16 KB.

    [De la compilación 41.28 ]

    [ NSSSL-5971 ]

  • Título SSL: Vea el uso del chip SSL en los dispositivos Citrix ADC que utilizan chips Intel Coleto Ahora puede ver el uso del chip SSL en los siguientes dispositivos Citrix ADC MPX. Estos dispositivos contienen el chip Intel Coleto. - MPX 5900 - MPX 8900 - MPX 15000-50G - MPX 26000 - MPX 26000-50S - MPX 26000-100G Para ver el uso del chip, en la línea de comandos, escriba: stat ssl.

    [De la compilación 47.22 ]

    [ NSSSL-5975 ]

  • Soporte para nombres más largos de entidades SSL

    Para ayudar a los clientes a mantener una convención de nomenclatura estándar en todas las entidades ADC, el dispositivo Citrix ADC ahora admite un nombre de certificado de hasta 63 caracteres. Anteriormente, el límite era de 31 caracteres.

    [De la compilación 41.28 ]

    [ NSSSL-5976 ]

  • Mejoras en la comprobación del estado del chip Intel Coleto

    Los dispositivos Citrix ADC con el chip Intel Coleto ahora admiten comprobaciones de estado mejoradas para operaciones simétricas (SYM) y asimétricas (ASYM).

    [De la compilación 41.28 ]

    [ NSSSL-6299 ]

  • Soporte para la verificación opcional de certificados de cliente con autenticación de cliente basada en directivas

    Puede configurar la verificación del certificado de cliente como opcional cuando haya configurado la autenticación de cliente basada en directivas. Anteriormente, lo obligatorio era la única opción. Ahora las opciones opcionales y obligatorias están disponibles y son configurables.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/ssl/ssl-actions-and-policies/config-built-in-ssl-actions.html#client-certificate-verification-with-policy-based-client-authentication.

    [De la compilación 41.28 ]

    [ NSSSL-690 ]

  • Soporte para implementaciones de clústeres heterogéneos con diferentes plataformas

    Ahora puede crear una implementación de clústeres heterogéneos de dispositivos Citrix ADC MPX con diferentes números de motores de paquetes configurando el parámetro SSL “HW SSL heterogéneo” en ENABLED. Por ejemplo, para formar un clúster de dispositivos basados en chips Cavium (MPX 14000 o similar) y dispositivos basados en chips Intel Coleto (MPX 15000 o similar), habilite el parámetro SSL “HW SSL heterogéneo”. Para formar un clúster de plataformas con el mismo chip, mantenga el valor predeterminado (DISABLED) para este parámetro.

    La función no se admite en las instancias VPX alojadas en dispositivos Citrix ADC SDX.

    Para obtener información sobre las plataformas compatibles en la formación de un clúster heterogéneo, consulte

    https://docs.citrix.com/en-us/citrix-adc/13/clustering/support-for-heterogeneous-cluster.html.

    [De la compilación 47.22 ]

    [ NSSSL-7149 ]

  • Compatibilidad con el protocolo DTLSv1.2 en la interfaz de un dispositivo Citrix ADC VPX

    El protocolo DTLS 1.2 ahora se admite en la interfaz de un dispositivo Citrix ADC VPX. Al configurar un servidor virtual DTLS, ahora debe especificar DTLS1 o DTLS12.

    [De la compilación 47.22 ]

    [ NSSSL-7188 ]

  • Vinculación automática de certificados

    La vinculación de certificados SSL ahora está automatizada. Es decir, si los certificados de CA intermedios y el certificado raíz están presentes en el dispositivo, ya no tendrá que vincular manualmente cada certificado a su emisor.

    Si todos los certificados están disponibles en el dispositivo y hace clic en el botón “Enlazar” del certificado de usuario final, aparece la cadena potencial. En la cadena, haga clic en “Vincular certificado” para vincular todos los certificados.

    [De la compilación 47.22 ]

    [ NSSSL-7190, NSUI-12903 ]

Sistema

  • Compatibilidad con una directiva de registro de auditoría avanzada

    Ahora puede vincular una directiva de registro de auditoría avanzada a un servidor virtual de equilibrio de carga.

    [De la compilación 47.22 ]

    [ CGOP-6824 ]

  • Implementación del tiempo de espera de las solicitudes y del tiempo de respuesta del ICAP

    Para gestionar el problema del tiempo de espera de la respuesta de ICAP, puede configurar el valor de tiempo de espera de la solicitud de ICAP para el parámetro “reqTimeout” en el perfil de ICAP. De este modo, puede establecer una acción de tiempo de espera de solicitud para que el dispositivo realice cualquier acción cuando se retrase la respuesta ICAP del servidor ICAP. Si el dispositivo no recibe ninguna respuesta de ICAP dentro del tiempo de espera de la solicitud configurado, puede realizar una de las siguientes acciones de acuerdo con el parámetro “ReqTimeoutAction” configurado en el Icapprofile.

    ReqTimeoutAction: Los valores posibles son BYPASS, RESET, DROP.

    BYPASS: Si la respuesta ICAP con encabezados encapsulados no se recibe dentro del valor de tiempo de espera, se ignora la respuesta del servidor ICAP remoto y se envía la solicitud/respuesta completa al cliente/servidor

    RESET (predeterminado): Para restablecer la conexión del cliente, ciérrela.

    DROP: descarta la solicitud sin enviar una respuesta al usuario

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/icap-for-remote-content-inspection.html

    [De la compilación 41.28 ]

    [ NSBASE-3040, NSBASE-2264 ]

  • Gestión del tiempo de inactividad del servidor ICAP durante la inspección del contenido

    Para gestionar el tiempo de inactividad del servidor ICAP durante la inspección del contenido, el dispositivo Citrix ADC ahora le permite configurar el parámetro ifserverdown y asignar las siguientes acciones.

    CONTINUAR: Si el usuario quiere omitir la inspección de contenido si el servidor remoto está inactivo, puede elegir esta acción.

    RESET (predeterminado): esta acción responde al cliente cerrando la conexión con RST.

    DROP: Esta acción elimina los paquetes de forma silenciosa sin enviar una respuesta al usuario.

    [De la compilación 41.28 ]

    [ NSBASE-4936 ]

  • Soporte de expresiones directivas de reescritura para la operación de eliminación del protocolo proxy

    La operación de eliminación del protocolo proxy ahora utiliza expresiones de directiva de reescritura para agregar detalles del cliente, como la dirección IP de origen, la dirección IP de destino, el puerto de origen y el puerto de destino, al encabezado HTTP. La directiva de reescritura evalúa la expresión y, si es “verdadera”, se activa la acción de directiva de reescritura correspondiente y los detalles del cliente se reenvían al servidor de fondo en el encabezado HTTP.

    [De la compilación 47.22 ]

    [ NSBASE-4988 ]

  • Dirección IP del cliente en una opción TCP

    Citrix ADC ahora usa la configuración de opciones TCP para enviar la dirección IP del cliente al servidor de fondo. El dispositivo agrega un número de opción TCP que inserta la dirección IP del cliente en el primer paquete de datos y la reenvía al servidor de fondo. La configuración de la opción TCP se puede utilizar en los siguientes casos.

    • Conocer la dirección IP original del cliente

    • Seleccionar un idioma para un sitio web

    • Incluir en la lista de prohibidos las direcciones IP seleccionadas

    [De la compilación 47.22 ]

    [ NSBASE-6553, NSUI-14692 ]

  • Integración del sistema de detección de intrusos (IDS) con conectividad L3

    Un dispositivo Citrix ADC ahora está integrado con dispositivos de seguridad pasivos, como el Sistema de detección de intrusos (IDS). En esta configuración, el dispositivo envía una copia del tráfico original de forma segura a los dispositivos IDS remotos. Estos dispositivos pasivos almacenan registros y activan alertas cuando detectan un tráfico incorrecto o no conforme. También genera informes con fines de cumplimiento. Si el dispositivo Citrix ADC está integrado con dos o más dispositivos IDS y hay un gran volumen de tráfico, el dispositivo puede equilibrar la carga de los dispositivos clonando el tráfico a nivel de servidor virtual.

    Para una protección de seguridad avanzada, un dispositivo Citrix ADC está integrado con dispositivos de seguridad pasivos, como el Sistema de detección de intrusos (IDS), que se implementan en modo de solo detección. Estos dispositivos almacenan registros y activan alertas cuando detectan un tráfico incorrecto o que no cumple con las normas. También genera informes con fines de cumplimiento. Los siguientes son algunos de los beneficios de integrar Citrix ADC con un dispositivo IDS.

    1. Inspección del tráfico cifrado: la mayoría de los dispositivos de seguridad evitan el tráfico cifrado, lo que hace que los servidores sean vulnerables a los ataques. Un dispositivo Citrix ADC puede descifrar el tráfico y enviarlo a los dispositivos IDS para mejorar la seguridad de la red del cliente.

    2. Descargar los dispositivos IDS del procesamiento de TLS/SSL: el procesamiento de TLS/SSL es caro y, si descifran el tráfico, los dispositivos de detección de intrusos tienen un alto nivel de CPU del sistema. A medida que el tráfico cifrado crece a un ritmo acelerado, estos sistemas no pueden descifrar ni inspeccionar el tráfico cifrado. Citrix ADC ayuda a descargar el tráfico a los dispositivos IDS desde el procesamiento TLS/SSL. Esta forma de descargar datos da como resultado que un dispositivo IDS admita un alto volumen de inspección de tráfico.

    3. Dispositivos IDS de equilibrio de carga: el dispositivo Citrix ADC equilibra la carga de varios dispositivos IDS cuando hay un gran volumen de tráfico mediante la clonación del tráfico a nivel de servidor virtual.

    4. Replicación del tráfico en dispositivos pasivos: el tráfico que entra en el dispositivo se puede replicar en otros dispositivos pasivos para generar informes de cumplimiento. Por ejemplo, pocas agencias gubernamentales exigen que todas las transacciones se registren en algunos dispositivos pasivos.

    5. Abanicar el tráfico a varios dispositivos pasivos: algunos clientes prefieren distribuir o replicar el tráfico entrante en varios dispositivos pasivos.

    6. Selección inteligente del tráfico: es posible que no sea necesario inspeccionar el contenido de cada paquete que llegue al dispositivo, por ejemplo, la descarga de archivos de texto. El usuario puede configurar el dispositivo Citrix ADC para seleccionar tráfico específico (por ejemplo, archivos.exe) para su inspección y enviar el tráfico a los dispositivos IDS para procesar los datos.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/intrusion-detection-system-for-l3.html

    [De la compilación 41.28 ]

    [ NSBASE-6800 ]

  • Nuevo contador de entidades para depurar servidores virtuales de equilibrio de carga

    Se agrega un nuevo contador de entidades para depurar servidores virtuales y realizar análisis.

    [De la compilación 41.28 ]

    [ NSBASE-8087 ]

  • Actualización de la dirección IP del servidor de licencias

    Ahora puede actualizar la dirección IP del servidor de licencias en una instancia VPX sin que ello afecte al ancho de banda de licencias asignado ni a la pérdida de datos. Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-vpx-check-in-check-out.html#update-a-licensing-server-ip-address

    [De la compilación 47.22 ]

    [ NSCONFIG-1974 ]

  • Cambiar las contraseñas predeterminadas de los nodos RPC

    En las implementaciones de HA, clúster y GSLB, aparece un mensaje de advertencia para el inicio de sesión de nsroot y el superusuario si no se cambia la contraseña predeterminada del nodo RPC.

    [De la compilación 41.28 ]

    [ NSCONFIG-2224 ]

  • Reversión del proceso de actualización del software en servicio

    Las configuraciones de alta disponibilidad ahora admiten la reversión del proceso de actualización del software en servicio (ISSU). La función de reversión de ISSU es útil si observa que la configuración de HA después o durante el proceso de ISSU no es estable o no funciona al nivel óptimo esperado.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html.

    [De la compilación 41.28 ]

    [ NSNET-9958 ]

  • Capturas SNMP para el proceso de actualización de software en servicio

    El proceso de actualización del software en servicio (ISSU) para una configuración de alta disponibilidad ahora admite el envío de mensajes de captura de SNMP al principio y al final de la operación de migración de ISSU.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html.

    [De la compilación 41.28 ]

    [ NSNET-9959 ]

Optimización de vídeo

Problemas resueltos en versiones anteriores de Citrix ADC 13.0

Los problemas que se solucionaron en las versiones 13.0 de Citrix ADC anteriores a la compilación 47.24. El número de compilación que aparece debajo de la descripción del problema indica la compilación en la que se solucionó este problema.

Partición de administración

  • El comando “stat system memory” puede mostrar un valor incorrecto para el campo “Memoria libre (MB)” siempre que el dispositivo Citrix ADC alcance el 100% de uso de memoria en la partición predeterminada.

    [De la compilación 47.22 ]

    [ NSHELP-19239 ]

  • En una configuración de alta disponibilidad con configuración de partición de administración, los registros de auditoría generados desde el nodo secundario se envían al servidor SYSLOG o NSLOG solo cuando se puede acceder al servidor SYSLOG o NSLOG desde la partición de administración.

    [De la compilación 41.28 ]

    [ NSHELP-19399 ]

  • En una configuración particionada, el comando CLI “diff ns config” muestra información engañosa.

    [De la compilación 41.28 ]

    [ NSHELP-19530 ]

  • Es posible que el dispositivo Citrix ADC no agregue la información de ID del motor de paquetes (PE) en los mensajes de captura SNMP relacionados con la partición de administración.

    [De la compilación 47.22 ]

    [ NSHELP-19966 ]

  • En una configuración particionada, el DNS se ralentiza y se agota el tiempo de espera después de crear una partición de administración.

    [De la compilación 47.22 ]

    [ NSHELP-19996 ]

AppFlow

  • Una directiva de AppFlow no se activa si está enlazada a un servidor virtual de equilibrio de carga que se encuentra detrás de un servidor virtual de conmutación de contenido.

    [De la compilación 41.28 ]

    [ NSHELP-18782, NSBASE-8180 ]

  • El dispositivo Citrix ADC se bloquea si enlaza un perfil de análisis definido por el usuario, que no sea el perfil enlazado internamente, a una acción de AppFlow.

    [De la compilación 41.28 ]

    [ NSHELP-19362 ]

  • Cuando la función “mediciones del lado del cliente” de AppFlow está habilitada, el dispositivo Citrix ADC analiza inesperadamente los archivos CSS de una página HTML. Cualquier error durante el análisis de CSS puede provocar que la página HTML se cargue incorrectamente.

    [De la compilación 41.28 ]

    [ NSHELP-19375 ]

  • El dispositivo Citrix ADC puede fallar si AppFlow está inhabilitado, pero la optimización de interfaz (FEO) está habilitada con mediciones del lado del cliente, en la acción FEO.

    [De la compilación 41.28 ]

    [ NSHELP-19531 ]

  • Un dispositivo Citrix ADC puede reiniciarse si el recopilador AppFlow se cierra en el modo de transporte Logstream.

    [De la compilación 41.28 ]

    [ NSHELP-19837 ]

  • Es posible que el dispositivo Citrix ADC deje de responder si elimina la acción AppFlow mientras el tráfico fluye por el dispositivo.

    [De la compilación 47.22 ]

    [ NSHELP-20523, NSHELP-21692 ]

Autenticación, autorización y auditoría

  • Un dispositivo Citrix ADC puede permitir el acceso no autorizado si se cumplen las siguientes condiciones:

    • Las directivas de autorización adecuadas no están configuradas.

    • El parámetro defaultAuthorizationAction del comando “set tm sessionParameter” es ALLOW de forma predeterminada.

    [De la compilación 41.28 ]

    [ NSAUTH-6013 ]

  • El atributo LDAP DN obtenido del dispositivo AD al dispositivo Citrix ADC se trunca si la longitud del atributo es superior a 128 bytes.

    [De la compilación 47.22 ]

    [ NSAUTH-7210 ]

  • El SNMP envía trampas incluso después de que la autenticación de clave pública SSH se haya realizado correctamente.

    [De la compilación 41.28 ]

    [ NSHELP-18303 ]

  • El comando probe server proporciona un mensaje apropiado cuando el servidor TACACS cierra la conexión TCP con los paquetes FIN o RST sin enviar una respuesta de autenticación.

    [De la compilación 41.28 ]

    [ NSHELP-18399 ]

  • Al actualizar la configuración del clúster Citrix ADC de la versión 10.5 a una versión superior, se produce un error al iniciar sesión del sistema en un nodo que no sea de CCO de la versión superior.

    [De la compilación 41.28 ]

    [ NSHELP-18511, NSAUTH-5561 ]

  • Un dispositivo Citrix ADC configurado como SAML SP falla si el servidor envía un nombre de parámetro RelayState grande junto con la afirmación.

    [De la compilación 41.28 ]

    [ NSHELP-18559 ]

  • En ocasiones, un mensaje de cierre de sesión de autenticación, autorización y auditoría de Citrix muestra un nombre de servidor virtual incorrecto.

    [De la compilación 41.28 ]

    [ NSHELP-18751 ]

  • Un dispositivo Citrix ADC no puede obtener los tickets de Kerberos mediante una delegación restringida si se cumple una de las siguientes condiciones:

    • El parámetro “reino” empresarial está configurado para el usuario.

    • El nombre de dominio del parámetro “keytab” está en minúsculas.

    [De la compilación 47.22 ]

    [ NSHELP-18946 ]

  • Un dispositivo Citrix ADC no puede obtener los tickets de Kerberos mediante una delegación restringida si se cumple una de las siguientes condiciones:

    • El parámetro “reino” empresarial está configurado para el usuario.

    • El nombre de dominio del parámetro “keytab” está en minúsculas.

    [De la compilación 41.28 ]

    [ NSHELP-18946 ]

  • El búfer se corrompe si se cumplen las siguientes condiciones:

    • Los datos del búfer se sobrescriben.

    • El procesamiento de mensajes de núcleo a núcleo da como resultado una condición de reciclaje del búfer.

    [De la compilación 41.28 ]

    [ NSHELP-18952 ]

  • Un dispositivo Citrix ADC no descarta las solicitudes HTTP OPTIONS no autenticadas si User-Agent contiene uno de los patrones mencionados en ns_aaa_activesync_useragents.

    [De la compilación 41.28 ]

    [ NSHELP-19024 ]

  • La autenticación WebAuth falla después de varias conmutaciones por error en un dispositivo Citrix Gateway.

    [De la compilación 41.28 ]

    [ NSHELP-19050 ]

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen las siguientes condiciones:

    • La opción de cambio de contraseña está habilitada en un comando de acción de LDAP.

    • La acción LDAP con sesión de autenticación, autorización y auditoría se produce con un problema de propagación de la sesión.

    [De la compilación 41.28 ]

    [ NSHELP-19053 ]

  • El uso de memoria de un dispositivo Citrix ADC aumenta cuando Citrix Gateway o el servidor virtual de administración del tráfico utilizan la autenticación Kerberos.

    [De la compilación 41.28 ]

    [ NSHELP-19085 ]

  • Si el número de sesiones de autenticación, autorización y auditoría es elevado, se tarda más en finalizar una sesión de usuario.

    [De la compilación 47.22 ]

    [ NSHELP-19131 ]

  • Si se configura el parámetro metadataURL y se reinicia el dispositivo Citrix, el comando samlAction no se guarda y la configuración se pierde.

    [De la compilación 41.28 ]

    [ NSHELP-19140 ]

  • Si configura la “URL de importación de metadatos” y luego la modifica proporcionando la URL de redireccionamiento desde la GUI de Citrix ADC, se establece la URL de redireccionamiento, pero la URL de importación de metadatos no se desactiva. Por ello, el dispositivo Citrix ADC utiliza la URL de los metadatos.

    [De la compilación 41.28 ]

    [ NSHELP-19202 ]

  • Un dispositivo Citrix ADC puede bloquearse si la entrada a la GUI de Citrix o a la solicitud de inicio de sesión de la API de NITRO tiene un valor de nombre de usuario o contraseña no válido.

    [De la compilación 41.28 ]

    [ NSHELP-19254 ]

  • El dispositivo Citrix puede bloquearse si una directiva de esquema de inicio de sesión de autenticación está configurada en noschema.

    [De la compilación 41.28 ]

    [ NSHELP-19292 ]

  • En ocasiones, un dispositivo Citrix ADC falla si se configura un parámetro defaultAuthenticationGroup en un comando samlIdPProfile.

    [De la compilación 41.28 ]

    [ NSHELP-19301 ]

  • El inicio de sesión de los usuarios del sistema desde la GUI de Citrix o la API de NITRO mediante la autenticación de acceso basado en roles (RBA) no se produce cuando se accede a la administración de Citrix ADC a través del servidor virtual de equilibrio de carga y el servicio de equilibrio de carga.

    [De la compilación 41.28 ]

    [ NSHELP-19385 ]

  • Los servicios de federación de Active Directory (ADFS) no pueden importar los metadatos generados por el proveedor de servicios SAML (SP) de Citrix ADC.

    [De la compilación 41.28 ]

    [ NSHELP-19390 ]

  • La decodificación en base64 falla si una firma digital tiene caracteres codificados en una entidad HTML.

    [De la compilación 41.28 ]

    [ NSHELP-19410 ]

  • Un dispositivo Citrix ADC configurado para el proveedor de identidad (IDP) de SAML no autentica la solicitud de autenticación entrante para determinadas aplicaciones.

    [De la compilación 41.28 ]

    [ NSHELP-19443 ]

  • Si se procesa una cookie de diálogo en la solicitud del cliente antes de comprobar si hay sesiones existentes, un dispositivo Citrix ADC envía una página de cambio de contraseña al cliente.

    [De la compilación 47.22 ]

    [ NSHELP-19528 ]

  • Si se procesa una cookie de diálogo en la solicitud del cliente antes de comprobar si hay sesiones existentes, un dispositivo Citrix ADC envía una página de cambio de contraseña al cliente.

    [De la compilación 41.28 ]

    [ NSHELP-19528 ]

  • Si la URL contiene el carácter especial “;”, la cookie de TASS codifica la redirección URL en el momento del inicio de sesión.

    [De la compilación 41.28 ]

    [ NSHELP-19634 ]

  • Si la extracción del grupo de usuarios se realiza durante el inicio de sesión de un administrador, el uso de memoria de Citrix ADC AAA aumenta gradualmente.

    [De la compilación 41.28 ]

    [ NSHELP-19671 ]

  • En raras ocasiones, puede haber problemas de pérdida de memoria al gestionar las sesiones de autenticación, autorización y auditoría.

    [De la compilación 47.22 ]

    [ NSHELP-19703 ]

  • La autenticación puede fallar cuando un dispositivo Citrix ADC configurado como SAML con el protocolo WS-FED contiene un carácter especial “&” en la contraseña.

    [De la compilación 41.28 ]

    [ NSHELP-19740 ]

  • Un dispositivo Citrix ADC puede bloquearse en el flujo de administración de OTP si se cumplen las siguientes condiciones:

    • El esquema de inicio de sesión OTP se utiliza como primer factor.

    • La autenticación del correo electrónico se utiliza como segundo factor.

    [De la compilación 47.22 ]

    [ NSHELP-19759 ]

  • En algunos casos, un dispositivo Citrix ADC descarga el núcleo cuando se emite el comando “show aaa group -loggedIn”.

    [De la compilación 47.22 ]

    [ NSHELP-19793 ]

  • Se observa un mensaje de error 500 si se cumplen las siguientes condiciones:

    • El servidor virtual de administración del tráfico habilitado para la autenticación, la autorización y la auditoría recibe una solicitud posterior sin la cookie.

    • El cuerpo de la publicación contiene caracteres de nueva línea.

    [De la compilación 41.28 ]

    [ NSHELP-19852 ]

  • Un dispositivo Citrix ADC procesa las solicitudes HTTP no autenticadas con el método OPTIONS recibidas del servidor virtual de administración del tráfico de autenticación, autorización y auditoría. En este punto, el dispositivo responde con el mensaje de error HTTP 401 correspondiente.

    [De la compilación 41.28 ]

    [ NSHELP-19916 ]

  • Un dispositivo Citrix ADC envía un valor negativo si el valor máximo de antigüedad del encabezado HSTS se establece por encima de 2.147.483.647.

    [De la compilación 41.28 ]

    [ NSHELP-19945 ]

  • El valor del atributo SAML de la respuesta de SAML incluye varias líneas de AttributeValue de SAML, en lugar de una.

    [De la compilación 47.22 ]

    [ NSHELP-19961 ]

  • El valor del atributo SAML de la respuesta de SAML incluye varias líneas de AttributeValue de SAML, en lugar de una.

    [De la compilación 41.28 ]

    [ NSHELP-19961 ]

  • En un mecanismo de conexión con OpenID-Connect, OAuth Rely Party (RP) no codifica las propiedades del nombre de usuario o la contraseña al realizar una llamada a la API de concesión de contraseñas.

    [De la compilación 41.28 ]

    [ NSHELP-19987 ]

  • La página del grupo AAA de la GUI de Citrix ADC no muestra la dirección IP en el campo Dirección IP de la intranet.

    [De la compilación 47.22 ]

    [ NSHELP-20068 ]

  • Un dispositivo Citrix ADC configurado como proveedor de identidad (IDP) SAML trunca el estado de retransmisión del proveedor de servicios (SP) si contiene comillas.

    [De la compilación 47.22 ]

    [ NSHELP-20131 ]

  • Un dispositivo Citrix ADC configurado como proveedor de identidad (IDP) SAML trunca el estado de retransmisión del proveedor de servicios (SP) si contiene comillas.

    [De la compilación 41.28 ]

    [ NSHELP-20131 ]

  • Si no configura el tema del portal RfWebUI en un dispositivo Citrix ADC, es posible que observe los siguientes cambios:

    • Las páginas de administración de OTP que se muestran tienen un aspecto diferente o es posible que la administración de OTP no funcione.

    • El dispositivo muestra un comportamiento inesperado.

    [De la compilación 47.22 ]

    [ NSHELP-20144 ]

  • En raras ocasiones, la autenticación falla si la conexión al servidor LDAP se realiza a través de HTTPS.

    [De la compilación 47.22 ]

    [ NSHELP-20181 ]

  • Un dispositivo Citrix Gateway puede fallar si se cumplen las siguientes condiciones:

    • Cuando un usuario cierra sesión.

    • El dispositivo se implementa en una plataforma HDX.

    • La autenticación SAML se utiliza en Citrix Gateway.

    [De la compilación 41.28 ]

    [ NSHELP-20206 ]

  • Un dispositivo Citrix Gateway puede fallar si se cumplen las siguientes condiciones:

    • Cuando un usuario cierra sesión.

    • El dispositivo se implementa en una plataforma HDX.

    • La autenticación SAML se utiliza en Citrix Gateway.

    [De la compilación 47.22 ]

    [ NSHELP-20206 ]

  • El perfil del esquema de inicio de sesión del nodo secundario no muestra correctamente las etiquetas de la página GUI para configurar el esquema de inicio de sesión de autenticación.

    [De la compilación 47.22 ]

    [ NSHELP-20234 ]

  • Un dispositivo Citrix ADC puede bloquearse al utilizar un IDP de SAML en un dispositivo FIPS.

    [De la compilación 41.28 ]

    [ NSHELP-20282 ]

  • Un dispositivo Citrix ADC puede bloquearse al utilizar un IDP de SAML en un dispositivo FIPS.

    [De la compilación 47.22 ]

    [ NSHELP-20282 ]

  • En ocasiones, un dispositivo Citrix Gateway puede fallar si los usuarios intentan iniciar sesión al tomar una instantánea de VPX.

    [De la compilación 41.28 ]

    [ NSHELP-20292 ]

  • En ocasiones, un dispositivo Citrix Gateway puede fallar si los usuarios intentan iniciar sesión al tomar una instantánea de VPX.

    [De la compilación 47.22 ]

    [ NSHELP-20292 ]

  • No puede desvincular una directiva de autorización mediante la interfaz GUI de Citrix ADC.

    [De la compilación 47.22 ]

    [ NSHELP-20298 ]

  • Es posible que un dispositivo Citrix ADC configurado como proveedor de servicios (SP) de SAML no pueda validar las afirmaciones enviadas por ciertos IDP si el espacio de nombres de SAML no está definido por completo.

    [De la compilación 47.22 ]

    [ NSHELP-20307 ]

  • Un dispositivo Citrix ADC configurado como proveedor de servicios (SP) de SAML en el servidor virtual de administración del tráfico no envía una respuesta posterior al servidor de fondo después del inicio de sesión con SAML.

    [De la compilación 47.22 ]

    [ NSHELP-20348 ]

  • Un dispositivo Citrix ADC configurado como proveedor de servicios (SP) de SAML en el servidor virtual de administración del tráfico no envía una respuesta posterior al servidor de fondo después del inicio de sesión con SAML.

    [De la compilación 41.28 ]

    [ NSHELP-20348 ]

  • Se observa una pérdida de memoria en un dispositivo Citrix ADC si se cumplen las siguientes condiciones:

    • Un segundo factor se configura como transferencia.

    • El búfer no está liberado.

    [De la compilación 47.22 ]

    [ NSHELP-20390 ]

  • El dispositivo Citrix ADC se bloquea tras una actualización a la versión 13.0 debido a una condición de desbordamiento del búfer.

    [De la compilación 47.22 ]

    [ NSHELP-20416, NSAUTH-6770 ]

  • Un FQDN del certificado SSL puede bloquearse en un dispositivo Citrix ADC debido a un desbordamiento del búfer.

    [De la compilación 47.22 ]

    [ NSHELP-20476 ]

  • No puede desvincular varios certificados mediante la interfaz GUI de Citrix ADC.

    [De la compilación 47.22 ]

    [ NSHELP-20598 ]

  • Un dispositivo Citrix Gateway puede fallar cuando Gateway está configurado como IDP de SAML junto con el encadenamiento de IDP.

    [De la compilación 47.22 ]

    [ NSHELP-20667 ]

  • Un dispositivo Citrix ADC puede bloquearse si el parámetro samlSigningCertName no está configurado en un comando samlAction.

    [De la compilación 47.22 ]

    [ NSHELP-20674 ]

  • Es posible que un dispositivo Citrix ADC no pueda autenticar a los usuarios de Microsoft Outlook 2016 si la contraseña contiene caracteres de diéresis.

    [De la compilación 47.22 ]

    [ NSHELP-20682 ]

  • Un SSO de Kerberos puede fallar cuando un dispositivo Citrix ADC se implementa en un entorno multidominio (dominio principal-secundario) y los usuarios se encuentran en el dominio principal y los servicios en el dominio secundario.

    [De la compilación 47.22 ]

    [ NSHELP-20910 ]

  • El parámetro SAML metadataURL no funciona después de reiniciar un dispositivo Citrix ADC.

    [De la compilación 47.22 ]

    [ NSHELP-21006 ]

  • En raras ocasiones, se produce un error al iniciar sesión en nFactor si se cumplen las dos condiciones siguientes:

    • El dispositivo Citrix ADC está configurado para la autenticación por certificados con una alternativa a LDAP.

    • Se produce un error en la autenticación del certificado.

    [De la compilación 47.22 ]

    [ NSHELP-21118 ]

  • Si Citrix ADC está configurado para el SSO basado en formularios y se especifican los pares nombre-valor en la configuración, estos valores se ignoran si los valores están ausentes en el formulario.

    [De la compilación 47.22 ]

    [ NSHELP-21139 ]

  • Se observa el siguiente comportamiento en la GUI de Citrix ADC:

    • No puede modificar las directivas de OAuth.

    • Solo puede modificar las acciones de OAuth.

    • La opción Directivas de OAuth solo debe estar en Directivas avanzadas, no en Directivas básicas.

    [De la compilación 41.28 ]

    [ NSHELP-2131 ]

  • Si vincula una directiva de IDP de SAML al servidor virtual de autenticación, autorización y auditoría mediante la GUI de Citrix ADC, no puede modificar la siguiente acción.

    [De la compilación 47.22 ]

    [ NSHELP-479 ]

  • Ocasionalmente, un dispositivo Citrix Gateway puede fallar al recibir la solicitud /vpns/services.html de un cliente.

    [De la compilación 41.28 ]

    [ NSHELP-8513 ]

BaseCluster

  • Agrupación en clústeres En una configuración de clústeres, si la marca de tiempo está habilitada, es posible que se descarten algunas de las solicitudes enviadas al servidor.

    [De la compilación 47.22 ]

    [ NSHELP-20394 ]

CPXCPX-Infra

  • Citrix ADC CPX

    Los siguientes perfiles TCP predeterminados no se configuraron automáticamente con el tamaño máximo de segmento (MSS) de TCP:

    • nstcp_default_profile

    • nstcp_internal_apps

    [De la compilación 41.28 ]

    [ NSNET-11916 ]

Dispositivo Citrix ADC BLX

  • En un dispositivo Citrix ADC BLX implementado en modo compartido, la GUI de Citrix ADC y el servicio NITRO dejan de estar disponibles si cambia el puerto HTTP de administración de BLX (mghttpport) o el puerto HTTPS (mghttpport) mediante la utilidad de línea de comandos Citrix ADC (cli_script.sh set ns param).

    [De la compilación 47.22 ]

    [ NSNET-10005 ]

  • En un dispositivo Citrix ADC BLX, no puede vincular la interfaz 0/1 a una VLAN porque esta interfaz se utiliza para la comunicación interna entre el dispositivo BLX y las aplicaciones host de Linux.

    [De la compilación 41.28 ]

    [ NSNET-10014 ]

  • Los dispositivos Citrix ADC BLX no admiten canales LA estáticos. Agregar un canal LA estático a un dispositivo Citrix ADC BLX puede provocar que el dispositivo se bloquee.

    [De la compilación 47.22 ]

    [ NSNET-11929 ]

  • Las funciones de interfaz (por ejemplo, Rx, Tx, GRO, GSO y LRO) están inhabilitadas para las interfaces (host de Linux) asignadas al dispositivo Citrix ADC BLX. Estas funciones permanecen inhabilitadas incluso después de que estas interfaces BLX se publiquen en el espacio de nombres predeterminado cuando se detiene el dispositivo BLX.

    [De la compilación 41.28 ]

    [ NSNET-9697 ]

CLI de Citrix ADC

  • Al iniciar sesión como usuario de nsrecover, los comandos nscli -U arrojan un error.

    [De la compilación 41.28 ]

    [ NSCONFIG-1414 ]

  • Un dispositivo Citrix ADC deja de responder si alcanza el número máximo de sesiones de usuario (aproximadamente 1000 sesiones) y si la interfaz de administración deja de responder.

    [De la compilación 41.28 ]

    [ NSHELP-19212, NSCONFIG-1369 ]

Citrix ADC CPX

  • La versión más ligera de la instancia CPX de Citrix ADC no se registraba en Citrix ADM.

    [De la compilación 41.28 ]

    [ NSCONFIG-2232 ]

  • No puede configurar un NSIP con máscara de subred de /32 bits para Citrix ADC CPX.

    [De la compilación 41.28 ]

    [ NSNET-10968 ]

  • No puede configurar un NSIP con máscara de subred de /32 bits para Citrix ADC CPX.

    [De la compilación 47.22 ]

    [ NSNET-10968 ]

  • Los siguientes perfiles TCP predeterminados no se configuraron automáticamente con el tamaño máximo de segmento (MSS) de TCP:

    • nstcp_default_profile

    • nstcp_internal_apps

    [De la compilación 47.22 ]

    [ NSNET-11916 ]

GUI de Citrix ADC

  • En una configuración de clúster, cuando se inicia un nuevo rastreo (Sistema > Diagnóstico > Iniciar un nuevo rastreo), la operación de inicio del rastreo se realiza correctamente. Sin embargo, la GUI muestra incorrectamente el siguiente error:

    “El rastreo no se ha iniciado”

    [De la compilación 47.22 ]

    [ NSHELP-18566 ]

  • Un mensaje de error: “No se puede leer la propiedad ‘get’ de undefined. “aparece al hacer clic en Acción en la página GUI de Stream Identifiers.

    [De la compilación 41.28 ]

    [ NSHELP-19369 ]

  • Aparece el siguiente mensaje de error después de realizar los pasos 1 a 4.

    “Valor de argumento ambiguo []”

    1. Cree un perfil SSL con valores predeterminados.

    2. Enlazar el perfil a un servidor virtual SSL.

    3. Modifique los parámetros SSL, pero no cambie ningún valor.

    4. Seleccione Aceptar para cerrar el cuadro de diálogo de parámetros SSL.

    [De la compilación 41.28 ]

    [ NSHELP-19402 ]

  • En una configuración de clúster, si agrega un grupo de cifrado desde la configuración avanzada mediante la interfaz gráfica de usuario, el grupo de cifrado no aparece en la página principal.

    [De la compilación 47.22 ]

    [ NSHELP-19704 ]

  • La autenticación de usuario en la GUI de Citrix ADC falla si se observa un problema en el mecanismo de transferencia de archivos VAR.

    [De la compilación 47.22 ]

    [ NSHELP-20229 ]

  • No puede buscar una entidad mediante el filtro de búsqueda de la GUI de ADC si el nombre de la entidad contiene un espacio.

    [De la compilación 47.22 ]

    [ NSHELP-20506 ]

  • Si accede a la página de la GUI de Syslog, aparece el siguiente mensaje de error: “No se puede leer la propiedad ‘0’ de undefined”.

    [De la compilación 47.22 ]

    [ NSHELP-20574 ]

  • Tras una actualización, la página principal de la GUI de Citrix ADC no se carga para los administradores con permiso de grupo de superusuarios.

    [De la compilación 47.22 ]

    [ NSHELP-20638 ]

  • Ahora puede configurar la autenticación del cliente como opcional, en los parámetros SSL de un servidor virtual, mediante la interfaz gráfica de usuario. Anteriormente, la autenticación del cliente pasó a ser obligatoria si utilizaba la GUI para cambiar cualquier parámetro de SSL.

    [De la compilación 47.22 ]

    [ NSHELP-21060 ]

  • Debido a algunos problemas técnicos en el marco, no se muestran todos los grupos de servicios en la GUI del ADC.

    [De la compilación 47.22 ]

    [ NSUI-13754 ]

  • Debido a algunos problemas técnicos en el marco, no se muestran todos los grupos de servicios en la GUI del ADC.

    [De la compilación 41.28 ]

    [ NSUI-13754 ]

Dispositivo Citrix ADC SDX

  • La cantidad máxima de núcleos que puede configurar ahora en una instancia VPX depende de los núcleos disponibles en la plataforma SDX en particular. Anteriormente, podía configurar un máximo de solo cinco núcleos, incluso si había más núcleos disponibles.

    Para obtener información sobre la cantidad máxima de núcleos que puede asignar a una instancia VPX, consulte https://docs.citrix.com/en-us/sdx/13/provision-netscaler-instances.html

    [De la compilación 41.28 ]

    [ NSHELP-18632 ]

  • Tras restaurar un dispositivo SDX, las MAC de partición del archivo de respaldo no se restauraron en las instancias VPX respectivas que se ejecutaban en el dispositivo SDX.

    [De la compilación 41.28 ]

    [ NSHELP-19008 ]

  • En una configuración VPX HA que se ejecuta en dispositivos SDX, cuando uno de los conmutadores del canal de puerto virtual (VPC) deja de funcionar, todas las interfaces que forman parte del LACP fallan. Esto activa la conmutación por error de HA.

    [De la compilación 47.22 ]

    [ NSHELP-19095 ]

  • En una configuración VPX HA que se ejecuta en dispositivos SDX, cuando uno de los conmutadores del canal de puerto virtual (VPC) deja de funcionar, todas las interfaces que forman parte del LACP fallan. Esto activa la conmutación por error de HA.

    [De la compilación 41.28 ]

    [ NSHELP-19095 ]

  • Los dispositivos SDX 8900 pueden fallar al aplicar la configuración SSL para configurar la verificación de certificados de cliente como opcional con la autenticación de cliente basada en directivas.

    [De la compilación 41.28 ]

    [ NSHELP-19297 ]

  • Tras actualizar un dispositivo SDX, es posible que se pierdan el canal LA y la configuración de VLAN del dispositivo.

    [De la compilación 41.28 ]

    [ NSHELP-19392, NSHELP-19610 ]

  • En los dispositivos SDX 22XXX y 24XXX, durante la supervisión del estado del sistema, el Servicio de administración del SDX emite alertas falsas.

    [De la compilación 47.22 ]

    [ NSHELP-19795 ]

  • Si el nombre del archivo de respaldo tiene algún carácter especial, se produce un error al restaurar el dispositivo SDX a esa copia de seguridad. Con la solución, aparece un mensaje de error si el archivo de copia de seguridad tiene algún carácter especial.

    [De la compilación 47.22 ]

    [ NSHELP-19951 ]

  • En un dispositivo SDX, al restaurar una instancia VPX aprovisionada con un rendimiento en ráfagas, es posible que la restauración falle.

    [De la compilación 47.22 ]

    [ NSHELP-20013 ]

  • En un dispositivo SDX, aparece el mensaje de error “No hay más MAC disponibles para los miembros de la interfaz 10/1” cuando se cumplen todas las condiciones siguientes:

    1. Crea una instancia de 19 instancias VPX en el dispositivo SDX, todas con la misma interfaz de red

    2. A continuación, agregue direcciones MAC a la vigésima instancia de VPX que utilice la misma interfaz de red que las instancias anteriores.

    3. La cantidad de direcciones MAC en la vigésima instancia de VPX es dos veces mayor que la de las direcciones MAC agregadas a la primera VPX.

    [De la compilación 47.22 ]

    [ NSHELP-20158 ]

  • Al configurar las licencias agrupadas en el dispositivo FIPS SDX 14000, las instancias mínimas que podía retirar eran 25. Con esta corrección, el mínimo de instancias que puedes retirar son dos. Para obtener más información, consulte el documento de capacidad agrupada de Citrix ADC:

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html.

    [De la compilación 41.28 ]

    [ NSHELP-20305 ]

  • Al configurar las licencias agrupadas en el dispositivo FIPS SDX 14000, las instancias mínimas que podía retirar eran 25. Con esta corrección, el mínimo de instancias que puedes retirar son dos. Para obtener más información, consulte el documento de capacidad agrupada de Citrix ADC:

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html.

    [De la compilación 47.22 ]

    [ NSHELP-20305 ]

  • Tras una operación de reinicio, la velocidad de transmisión disminuye.

    [De la compilación 41.28 ]

    [ NSPLAT-7792 ]

  • En las plataformas SDX 26000 y SDX 15000, el acceso de la administración a través de SSH a DOM0 puede interrumpirse cuando se cumplan las siguientes condiciones:

    • Se reinicia más de una instancia VPX simultáneamente.

    • Se asignan interfaces de 100 GE o 50 GE a las instancias VPX.

    [De la compilación 47.22 ]

    [ NSPLAT-9185 ]

  • En las plataformas SDX 26000 y SDX 15000, el acceso de la administración a través de SSH a DOM0 puede interrumpirse cuando se cumplan las siguientes condiciones:

    • Se reinicia más de una instancia VPX simultáneamente.

    • Se asignan interfaces de 100 GE o 50 GE a las instancias VPX.

    [De la compilación 41.28 ]

    [ NSPLAT-9185 ]

  • Un dispositivo SDX puede bloquearse al final de su ciclo de reinicio si se cumplen todas las condiciones siguientes:

    • El dispositivo SDX se está iniciando.

    • Todas las instancias VPX que se ejecutan en el dispositivo SDX aún no se han creado.

    • Los comandos de reinicio en caliente se ejecutan en el dispositivo SDX.

    Como resultado, en la consola del hipervisor Citrix, el dispositivo SDX realiza una limpieza periódica y se detiene en la línea “Se alcanzó el último paso del objetivo”.

    [De la compilación 41.28 ]

    [ NSPLAT-9417 ]

  • Tras configurar una VLAN desde la lista de VLAN permitidas (AVL) en una instancia VPX que se ejecuta en un dispositivo SDX, la instancia no se reinicia automáticamente. Como resultado, se detiene la comunicación entre la instancia VPX y AVL.

    [De la compilación 41.28 ]

    [ NSSVM-135 ]

Dispositivo Citrix ADC VPX

  • Es posible que no puedas acceder a una instancia VPX mediante la IP de administración si la instancia tiene una licencia de vCPU. El problema se observa en todas las instancias de VPX, tanto locales como en la nube. Si la instancia VPX se ejecuta en un dispositivo SDX, puede acceder a la instancia desde la GUI del Servicio de administración de SDX.

    [De la compilación 41.28 ]

    [ NSPLAT-10710 ]

  • Es posible que no puedas acceder a una instancia VPX mediante la IP de administración si la instancia tiene una licencia de vCPU. El problema se observa en todas las instancias de VPX, tanto locales como en la nube. Si la instancia VPX se ejecuta en un dispositivo SDX, puede acceder a la instancia desde la GUI del Servicio de administración de SDX.

    [De la compilación 47.22 ]

    [ NSPLAT-10710 ]

  • Debido a una limitación de Azure Stack, no se admite el tráfico que utilice direcciones MAC transformadas. Por lo tanto, en una implementación de Azure Stack ADC, se debe inhabilitar el modo de reenvío basado en MAC (MBF).

    [De la compilación 47.22 ]

    [ NSPLAT-11778 ]

  • Si configura el tamaño de la MTU a través de la GUI de Citrix ADC VPX, aparece el mensaje de error “Operación no compatible”.

    [De la compilación 41.28 ]

    [ NSPLAT-9594 ]

Citrix Gateway

  • Las aplicaciones de intranet de Citrix Gateway ahora admiten nombres de host separados por comas para la tunelización basada en FQDN.

    [De la compilación 41.28 ]

    [ CGOP-10855 ]

  • Si el complemento Citrix Gateway para macOS no está instalado y el usuario intenta acceder a la VPN desde Safari, aparece un mensaje de error.

    [De la compilación 41.28 ]

    [ CGOP-11240 ]

  • Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de Citrix ADC.

    [De la compilación 41.28 ]

    [ CGOP-11830 ]

  • Tras actualizar el complemento Citrix ADC y Gateway a la versión 13.0, compilación 41.20, los usuarios experimentan un error continuo de pantalla azul (BSOD) al intentar configurar el túnel VPN.

    [De la compilación 47.22 ]

    [ CGOP-12099 ]

  • En la configuración de un clúster de Citrix Gateway, el dispositivo Citrix ADC puede bloquearse durante la actualización del clúster debido a algunos cambios en las estructuras de datos internas.

    [De la compilación 47.22 ]

    [ NSAUTH-7153 ]

  • Los paquetes de carga útil de seguridad (ESP) de encapsulación en tránsito se descartan si la configuración de LSN no está habilitada en el dispositivo Citrix ADC.

    [De la compilación 41.28 ]

    [ NSHELP-18502 ]

  • En una configuración de alta disponibilidad, el nodo secundario puede fallar si se configura SAML.

    [De la compilación 41.28 ]

    [ NSHELP-18691 ]

  • Si un perfil de servidor RDP se establece con el mismo número de puerto y dirección IP que el servidor virtual de conmutación de contenido, la configuración de conmutación de contenido se pierde tras el reinicio.

    [De la compilación 41.28 ]

    [ NSHELP-18818 ]

  • En algunos casos, al acceder al dispositivo Citrix Gateway mediante un explorador web IE, la página de inicio de sesión de Citrix Gateway solo aparece después de una actualización.

    [De la compilación 41.28 ]

    [ NSHELP-18938 ]

  • En Citrix ADM, la página Analytics > Gateway Insight informa de forma incorrecta sobre las sesiones de VPN finalizadas.

    [De la compilación 41.28 ]

    [ NSHELP-19037 ]

  • En una configuración de alta disponibilidad, el nodo secundario se bloquea si la información de usuario eliminada no se sincroniza con el nodo.

    [De la compilación 41.28 ]

    [ NSHELP-19065 ]

  • El cuadro de diálogo Servidor ocupado aparece en la ventana del plug-in de VPN de la máquina cliente si la máquina permanece inactiva durante más de dos horas.

    [De la compilación 41.28 ]

    [ NSHELP-19072 ]

  • Las directivas de autorización UDP, DNS e ICMP no se aplican a las conexiones entre un cliente de la red interna y un cliente VPN (conexiones iniciadas por el servidor).

    [De la compilación 41.28 ]

    [ NSHELP-19142 ]

  • En algunos casos, el script de inicio de sesión configurado en el servidor Citrix Gateway no se ejecuta en los equipos cliente.

    [De la compilación 41.28 ]

    [ NSHELP-19163 ]

  • El análisis avanzado de puntos finales (EPA) no funciona en los dispositivos macOS.

    [De la compilación 41.28 ]

    [ NSHELP-19328 ]

  • En algunos casos, un dispositivo Citrix ADC descarga el núcleo si se cumplen las siguientes condiciones.

    • La autenticación de dos factores está habilitada para el cliente nativo de VMware Horizon.

    • Radius se configura como el primer factor de autenticación.

    • El servidor Radius responde con los nombres de los grupos cuando la autenticación se realiza correctamente.

    [De la compilación 41.28 ]

    [ NSHELP-19333 ]

  • El siguiente mensaje aparece de forma incorrecta cuando se accede a Citrix Gateway desde el explorador web Microsoft Edge y no se utiliza EPA o VPN.

    “La VPN completa y la EPA no son compatibles con el explorador web Edge. Utilice un explorador web diferente para una mejor experiencia. “

    [De la compilación 47.22 ]

    [ NSHELP-19367 ]

  • En algunos casos, cerrar sesión en el plug-in de VPN de Windows tarda más de lo esperado.

    [De la compilación 41.28 ]

    [ NSHELP-19394 ]

  • En algunos casos, el dispositivo Citrix Gateway establece una cookie no válida al procesar las solicitudes no autenticadas.

    [De la compilación 47.22 ]

    [ NSHELP-19403 ]

  • En algunos casos, el dispositivo Citrix Gateway establece una cookie no válida al procesar las solicitudes no autenticadas.

    [De la compilación 41.28 ]

    [ NSHELP-19403 ]

  • En algunos casos, un dispositivo Citrix Gateway descarga el núcleo si el perfil de servidor virtual PCOIP está configurado en un servidor virtual VPN, pero pcoipProfile no está configurado en la acción de sesión.

    [De la compilación 41.28 ]

    [ NSHELP-19412 ]

  • En algunos casos, el dispositivo Citrix Gateway descarga el núcleo si se accede al dispositivo en

    el modo túnel VPN completo.

    [De la compilación 41.28 ]

    [ NSHELP-19444 ]

  • El complemento Citrix Gateway para macOS no puede resolver los nombres de host internos si la opción de acceso a LAN local está habilitada en un dispositivo Citrix ADC.

    [De la compilación 41.28 ]

    [ NSHELP-19543 ]

  • El complemento Citrix Gateway para macOS no puede resolver los nombres de host internos si la opción de acceso a LAN local está habilitada en un dispositivo Citrix ADC.

    [De la compilación 47.22 ]

    [ NSHELP-19543 ]

  • En algunos casos, la EPA falla en las máquinas virtuales que se ejecutan en el sistema operativo Ubuntu.

    [De la compilación 47.22 ]

    [ NSHELP-19556 ]

  • En una configuración de pares HA, las sesiones persistentes del nodo principal no se borran debido a un problema con el código de sincronización de sesiones en el servidor VPN.

    [De la compilación 47.22 ]

    [ NSHELP-19557 ]

  • El servicio DTLS de un servidor virtual VPN funciona con un conjunto predeterminado de cifrados que no se pueden modificar mediante los comandos de cifrado de enlace o desenlace mediante la CLI.

    [De la compilación 47.22 ]

    [ NSHELP-19561 ]

  • El servicio DTLS de un servidor virtual VPN funciona con un conjunto predeterminado de cifrados que no se pueden modificar mediante los comandos de cifrado de enlace o desenlace mediante la CLI.

    [De la compilación 41.28 ]

    [ NSHELP-19561 ]

  • La claridad del audio de las llamadas de Skype se ve afectada negativamente cuando se conectan varias aplicaciones o conexiones a través de la VPN. Esto ocurre debido a una administración de memoria inadecuada.

    [De la compilación 41.28 ]

    [ NSHELP-19630 ]

  • Un Citrix Gateway no reconoce la directiva de expresiones de inicio de sesión en un complemento de Windows durante la autenticación de nFactor.

    [De la compilación 41.28 ]

    [ NSHELP-19640 ]

  • La función “reconocimiento basado en la ubicación” no funciona en los equipos cliente cuando el equipo entra en una zona conectada a la red [Internet o intranet] desde una zona sin red.

    [De la compilación 41.28 ]

    [ NSHELP-19657 ]

  • El escaneo de Endpoint Analysis (EPA) no pudo validar el certificado del dispositivo con clave de 4096 bits.

    [De la compilación 47.22 ]

    [ NSHELP-19697 ]

  • El problema se debe a los receptores de Linux, donde el módulo de cifrado (ICA_MODULE_PD) no se recibe de Receiver en PACKET_INIT_RESPONSE durante el apretón de manos de ICA y, por lo tanto, hay un controlador de cifrado nulo en ADC que provoca un bloqueo. El ADC para omitir bloquea la conexión cuando no se reciben parámetros de cifrado de Receiver.

    [De la compilación 47.22 ]

    [ NSHELP-19758 ]

  • En casos aislados, se produce un daño en la memoria que provoca un volcado del núcleo y, al mismo tiempo, borra una entrada de sesión de autenticación, autorización y auditoría de una VPN SSL dañada una vez transcurrido el tiempo de espera.

    [De la compilación 47.22 ]

    [ NSHELP-19775 ]

  • Si se utiliza un factor de autenticación alojado en Azure en Citrix MFA, se produce un error al iniciar sesión en Citrix Gateway mediante el complemento de Windows. Esto ocurre porque el valor de tiempo de espera HTTP de MFA es inferior al valor de tiempo de espera del complemento Citrix Gateway para Windows.

    Con esta solución, se aumenta el valor del tiempo de espera del complemento Windows de Citrix Gateway para evitar errores de inicio de sesión. Además, el valor de tiempo de espera de HTTP ahora se puede configurar configurando el siguiente valor de Registro (en segundos):

    ComputerHKEY_LOCAL_MACHINESOFTWARECitrixSecure Access ClientHttpTimeout

    [De la compilación 41.28 ]

    [ NSHELP-19848 ]

  • La página de transferencia de inicio de sesión de un usuario existente no funciona en otros idiomas que no sean el inglés.

    [De la compilación 47.22 ]

    [ NSHELP-19859 ]

  • En algunos casos, el escaneo EPA falla en máquinas con Windows.

    [De la compilación 41.28 ]

    [ NSHELP-19865 ]

  • En raras ocasiones, los dispositivos Citrix ADC implementados en una configuración de alta disponibilidad (HA) pueden fallar y provocar una conmutación por error de HA frecuente si se cumplen las dos condiciones siguientes:

    • Gateway Insight está activado.

    • El SSO falla.

    [De la compilación 47.22 ]

    [ NSHELP-19922 ]

  • En raras ocasiones, los dispositivos Citrix ADC implementados en una configuración de alta disponibilidad (HA) pueden fallar y provocar una conmutación por error de HA frecuente si se cumplen las dos condiciones siguientes:

    • Gateway Insight está activado.

    • El SSO falla.

    [De la compilación 41.28 ]

    [ NSHELP-19922 ]

  • Si ICA Insight está habilitada para las sesiones de EDT, es posible que la pantalla se bloquee o se retrase las operaciones de la pantalla de la aplicación.

    [De la compilación 47.22 ]

    [ NSHELP-19934 ]

  • La comprobación de inscripción de Windows Intune no se puede inhabilitar en los equipos cliente. La comprobación está habilitada de forma predeterminada.

    Con esta solución, se puede inhabilitar la comprobación de inscripción de Windows Intune.

    Para inhabilitar la comprobación, defina la siguiente entrada del Registro en 1:

    ComputerHKEY_LOCAL_MACHINESOFTWARECitrixSecure Access ClientDisableIntuneDeviceEnrollment

    [De la compilación 41.28 ]

    [ NSHELP-19942 ]

  • En raras ocasiones, Citrix Gateway se bloquea mientras GSLB actualiza las estadísticas de los servicios VPN.

    [De la compilación 47.22 ]

    [ NSHELP-19992 ]

  • La claridad del audio de las aplicaciones VOIP se ve afectada negativamente cuando se tunelizan varias aplicaciones o conexiones a través de la VPN.

    [De la compilación 41.28 ]

    [ NSHELP-20097 ]

  • La claridad del audio de las aplicaciones VOIP se ve afectada negativamente cuando se tunelizan varias aplicaciones o conexiones a través de la VPN.

    [De la compilación 47.22 ]

    [ NSHELP-20097 ]

  • La búsqueda de URL para reescribirlas para un procesamiento avanzado de VPN sin cliente da como resultado un uso elevado de la CPU. Como resultado, el sistema se ralentiza.

    [De la compilación 41.28 ]

    [ NSHELP-20122 ]

  • La búsqueda de URL para reescribirlas para un procesamiento avanzado de VPN sin cliente da como resultado un uso elevado de la CPU. Como resultado, el sistema se ralentiza.

    [De la compilación 47.22 ]

    [ NSHELP-20122 ]

  • En una configuración de alta disponibilidad, el nodo secundario se bloquea cada vez que se propaga al nodo principal una sesión de autenticación, autorización y auditoría o una sesión de VPN que contenga información relacionada con SAML.

    [De la compilación 47.22 ]

    [ NSHELP-20230 ]

  • Es posible que el dispositivo Citrix ADC deje de responder si HDX Insight está habilitado.

    [De la compilación 47.22 ]

    [ NSHELP-20280 ]

  • Un equipo cliente no puede volver a conectarse a un dispositivo Citrix Gateway porque el dispositivo envía un ticket STA incorrecto al actualizar la STA.

    [De la compilación 41.28 ]

    [ NSHELP-20285 ]

  • Un equipo cliente no puede volver a conectarse a un dispositivo Citrix Gateway porque el dispositivo envía un ticket STA incorrecto al actualizar la STA.

    [De la compilación 47.22 ]

    [ NSHELP-20285 ]

  • Las exploraciones de la EPA no se completan y dejan de responder.

    [De la compilación 47.22 ]

    [ NSHELP-20319 ]

  • Los usuarios no pueden agregar directivas de acceso sin cliente desde el administrador de directivas mediante la GUI de Citrix Gateway.

    [De la compilación 47.22 ]

    [ NSHELP-20333 ]

  • Al agregar dominios para el perfil de acceso sin cliente, aparece una barra de desplazamiento horizontal cuando el FQDN es largo.

    [De la compilación 41.28 ]

    [ NSHELP-20341 ]

  • Al agregar dominios para el perfil de acceso sin cliente, aparece una barra de desplazamiento horizontal cuando el FQDN es largo.

    [De la compilación 47.22 ]

    [ NSHELP-20341 ]

  • El plug-in de VPN desbloquea todo el tráfico TCP hasta la autenticación del portal cautivo si se cumplen las dos condiciones siguientes:

    • El equipo cliente está configurado para el modo AlwaysOn, onlyToGateway.

    • El equipo cliente está conectado a una red de portales cautivos.

    [De la compilación 47.22 ]

    [ NSHELP-20360 ]

  • El servicio AlwaysON no puede establecer un túnel VPN de forma intermitente cuando el parámetro networkAccessONVPNFailure está configurado en “Solo para Gateway”.

    [De la compilación 47.22 ]

    [ NSHELP-20369 ]

  • Si la DTSL está habilitada, es posible que experimente un retraso en las respuestas del teclado y el ratón a sus acciones en un escritorio iniciado.

    [De la compilación 47.22 ]

    [ NSHELP-20447 ]

  • El servicio de autenticación a nivel de red (NLA) se reinicia cada vez que un usuario inicia o cierra sesión. Esto ocurre porque no se respetan las configuraciones configuradas mediante los botones nsapimgr.

    [De la compilación 47.22 ]

    [ NSHELP-20494 ]

  • El complemento Citrix Windows no puede conectarse a Citrix Gateway mediante Mozilla Firefox 68.0.

    [De la compilación 47.22 ]

    [ NSHELP-20503 ]

  • En una configuración de alta disponibilidad, durante la conmutación por error de Citrix ADC, los iconos de algunas de las aplicaciones de la carpeta /var/netscaler/logon.

    [De la compilación 47.22 ]

    [ NSHELP-20573 ]

  • Aparece una pantalla en blanco y las aplicaciones de StoreFront no se enumeran durante el inicio de sesión de la transferencia si se cumplen las dos condiciones siguientes:

    • SplitTunnel está activado.

    • La opción de grupo de direcciones IP (IP de intranet) está configurada en NoSpillOver.

    [De la compilación 47.22 ]

    [ NSHELP-20584 ]

  • Un dispositivo Citrix ADC no puede decodificar las URL reescritas para una VPN sin cliente si las URL contienen “%2E” en el FQDN.

    [De la compilación 47.22 ]

    [ NSHELP-20603 ]

  • Los usuarios no pueden acceder a los documentos de Microsoft Office desde SharePoint mediante un acceso VPN avanzado sin cliente.

    [De la compilación 47.22 ]

    [ NSHELP-20611 ]

  • Tras actualizar el dispositivo Citrix ADC a la versión 12.1, compilación 54.13 y versiones posteriores, puede aparecer el siguiente mensaje al acceder a los recursos de RDP.

    “error: no es un usuario privilegiado”

    [De la compilación 47.22 ]

    [ NSHELP-20678 ]

  • Es posible que el dispositivo Citrix ADC deje de responder si HDX Insight está habilitado y hay poca memoria.

    [De la compilación 47.22 ]

    [ NSHELP-20707 ]

  • El adaptador virtual Citrix permanece conectado incluso cuando la máquina VPN está en modo de suspensión y se activa un cierre de sesión. Los usuarios deben cerrar la aplicación o reiniciar la máquina VPN para obtener acceso a la red.

    [De la compilación 47.22 ]

    [ NSHELP-20755 ]

  • Es posible que el dispositivo Citrix ADC deje de responder si está configurado para conexiones EDT de proxy y hay un estado de memoria baja.

    [De la compilación 47.22 ]

    [ NSHELP-20761 ]

  • La autenticación de nFactor falla si el Protocolo de estado del certificado en línea (OCSP) está habilitado para comprobar el certificado del dispositivo.

    [De la compilación 47.22 ]

    [ NSHELP-20855 ]

  • Las aplicaciones configuradas en StoreFront no aparecen en la página principal de Citrix Gateway si se cumplen todas las condiciones siguientes:

    • WiHome está configurado.

    • Se habilita el acceso avanzado a la VPN sin cliente.

    • El usuario inicia sesión desde Internet Explorer o Firefox.

    [De la compilación 47.22 ]

    [ NSHELP-20888 ]

  • Los usuarios no pueden acceder a los recursos internos aunque la VPN esté conectada correctamente, pero los servidores DNS no están configurados correctamente para el adaptador virtual de Citrix.

    [De la compilación 47.22 ]

    [ NSHELP-20892 ]

  • Los usuarios reciben de forma intermitente el mensaje de error “Error 403 Acceso denegado” al cargar una URL de Citrix Gateway con el tema RfWebUI.

    [De la compilación 47.22 ]

    [ NSHELP-20895 ]

  • El servicio AlwaysOn con personalidad de usuario no puede establecer un túnel de usuario si hay varios certificados de dispositivo en el almacén de dispositivos.

    [De la compilación 47.22 ]

    [ NSHELP-20897, NSHELP-21583 ]

  • En una configuración de alta disponibilidad, el dispositivo Citrix ADC secundario puede fallar si está habilitada la confiabilidad de la sesión en una configuración de alta disponibilidad.

    [De la compilación 41.28 ]

    [ NSHELP-5257, NSINSIGHT-1208, NSHELP-3807, NSHELP-3808, NSHELP-5414, NSHELP-5417, NSHELP-5428, NSHELP-17883, NSHELP-17894, NSHELP-17904 ]

  • Una página de inicio de sesión del servidor virtual de autenticación, autorización y auditoría muestra un número de código de error en lugar de un mensaje de error significativo.

    [De la compilación 41.28 ]

    [ NSHELP-7872 ]

  • Una página de inicio de sesión del servidor virtual de autenticación, autorización y auditoría muestra un número de código de error en lugar de un mensaje de error significativo.

    [De la compilación 47.22 ]

    [ NSHELP-7872 ]

  • En algunos casos, un dispositivo Citrix Gateway descarga el núcleo porque las operaciones de actualización de STA pendientes se acumulan de forma infinita.

    [De la compilación 41.28 ]

    [ NSHELP-8684 ]

Citrix Web App Firewall

  • La configuración original de Citrix Web App Firewall se anula por defecto.

    Por ejemplo, si ha seleccionado la opción “habilitar” para algunas firmas, la configuración pasa a ser “inhabilitada” durante la operación de combinación de firmas.

    [De la compilación 41.28 ]

    [ NSHELP-17841 ]

  • Se observa una pérdida de configuración al reiniciar una configuración de clúster o de alta disponibilidad con la opción rfcprofile habilitada en la configuración en ejecución.

    [De la compilación 41.28 ]

    [ NSHELP-18856 ]

  • Un dispositivo Citrix ADC puede bloquearse si se habilitan las siguientes funciones en el perfil de Web App Firewall.

    • Procesamiento de XML.

    • Información sobre seguridad.

    [De la compilación 47.22 ]

    [ NSHELP-18869, NSHELP-21691 ]

  • Un dispositivo Citrix ADC puede bloquearse si los cambios de configuración de Citrix Web App Firewall no se gestionan correctamente en la configuración de un clúster.

    [De la compilación 41.28 ]

    [ NSHELP-18870 ]

  • Después de agregar una regla de relajación, las URL similares no se eliminarán de la lista de reglas aprendidas.

    [De la compilación 41.28 ]

    [ NSHELP-19298 ]

  • Después de agregar una regla de relajación, las URL similares no se eliminarán de la lista de reglas aprendidas.

    [De la compilación 47.22 ]

    [ NSHELP-19298 ]

  • Un dispositivo Citrix ADC puede fallar al procesar cuerpos de formularios grandes y si el parámetro de coherencia de campos está habilitado en el perfil Citrix Web App Firewall.

    [De la compilación 41.28 ]

    [ NSHELP-19299 ]

  • Un dispositivo Citrix ADC puede restablecer las conexiones del cliente cuando hay un tráfico XML elevado.

    [De la compilación 41.28 ]

    [ NSHELP-19314 ]

  • Si habilitas la directiva de transformación de URL y si la respuesta de un valor de atributo corporal contiene caracteres especiales, el ContentSwitching en una descarga de SSL podría reemplazar los caracteres especiales como valores codificados por entidades.

    [De la compilación 41.28 ]

    [ NSHELP-19356 ]

  • Un dispositivo Citrix ADC puede bloquearse cuando se reciben solicitudes CONNECT. El problema se produce si se establece la configuración del perfil predeterminada en cualquier valor que no sea APPFW_BYPASS, APPFW_RESET, APPFW_DROP o APPFW_BLOCK.

    [De la compilación 41.28 ]

    [ NSHELP-19603 ]

  • Es posible que las solicitudes web con muchos parámetros de consulta no reciban respuesta si el parámetro de protección de coherencia de campos está activado.

    [De la compilación 41.28 ]

    [ NSHELP-19811 ]

  • Es posible que las solicitudes web con muchos parámetros de consulta no reciban respuesta si el parámetro de protección de coherencia de campos está activado.

    [De la compilación 47.22 ]

    [ NSHELP-19811 ]

  • Se produce un error en un dispositivo Citrix ADC si se cumplen las siguientes condiciones:

    • Las directivas de Web App Firewall utilizan una regla basada en el cuerpo de HTTP, por ejemplo, HTTP.REQ.BODY(..)),

    • La función Web App Firewall está inhabilitada.

    [De la compilación 41.28 ]

    [ NSHELP-19879 ]

  • En una configuración de alta disponibilidad, habilitar la función de reputación IP puede provocar errores en la propagación de comandos de alta disponibilidad.

    [De la compilación 47.22 ]

    [ NSHELP-20010 ]

  • En un dispositivo Citrix ADC SDX, una instancia de Citrix ADC VPX podría bloquearse debido a un problema interno en el módulo WAF.

    [De la compilación 47.22 ]

    [ NSHELP-20096 ]

  • Un dispositivo Citrix ADC puede bloquearse si se produce un error de comunicación interna con la biblioteca sqlite.

    [De la compilación 47.22 ]

    [ NSHELP-20173 ]

  • Tras una actualización, si vincula una firma al perfil de Web App Firewall, el dispositivo descarta silenciosamente una solicitud entrante.

    [De la compilación 47.22 ]

    [ NSHELP-20201, NSWAF-3427, NSHELP-20599 ]

  • Un dispositivo Citrix ADC puede fallar al procesar los patrones de expresiones regulares de archivos de firmas y si Bigstack no está disponible.

    [De la compilación 47.22 ]

    [ NSHELP-20359 ]

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen las siguientes condiciones:

    • La expresión de directiva de reputación IP se utiliza en un servidor virtual de equilibrio de carga de tipo TCP.

    • Security Insight está activado.

    [De la compilación 47.22 ]

    [ NSHELP-20410 ]

  • Un dispositivo Citrix ADC puede bloquearse si la función de firma está habilitada y se detecta un patrón de solicitud específico.

    [De la compilación 47.22 ]

    [ NSHELP-20884, NSHELP-19583 ]

  • Nueva opción para limitar los bytes del cuerpo de la publicación inspeccionados por la firma

    Tras actualizar su dispositivo a la versión 13.0 de Citrix ADC, ahora podrá ver una nueva opción de perfil, “Signature Post Body Limit (bytes)”, con un valor predeterminado de 8192 bytes. La actualización de su dispositivo establecerá la opción en el valor predeterminado. Puede cambiar esta opción para limitar la carga útil de la solicitud (en bytes) inspeccionada en busca de firmas con la ubicación especificada como “HTTP_POST_BODY”.

    Anteriormente, Web Citrix Web App Firewall no tenía la opción de limitar la inspección de la carga útil y mantener la CPU bajo control.

    Navegación: Configuración > Seguridad > Citrix Web App Firewall > Perfiles > Configuración del perfil.

    [De la compilación 41.28 ]

    [ NSWAF-2887, NSUI-13251 ]

  • Las solicitudes procedentes de las direcciones IP del proxy de Tor no están bloqueadas por la categoría de proxy de Tor de reputación IP mediante la expresión de directiva CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (PROXY).

    [De la compilación 47.22 ]

    [ NSWAF-3611 ]

Cliente AG-EE

  • Citrix Gateway Un grupo de equipos no puede acceder a los recursos internos y externos cuando se conectan únicamente a través de una VPN y la IP de la intranet está configurada.

    [De la compilación 47.22 ]

    [ NSHELP-20011 ]

Agrupar en clústeres

  • Se observa un uso elevado de la CPU en un dispositivo Citrix ADC o en una configuración de clúster si el comando “show ns ip” muestra muchas direcciones IP.

    [De la compilación 47.22 ]

    [ NSHELP-11193 ]

  • Se agrega una interfaz o canal miembro del conjunto de enlaces como parte de una nueva entrada ND6 estática al dispositivo Citrix ADC. Para que el dispositivo Citrix ADC acepte la nueva entrada ND6 estática, debe proporcionar la VLAN del conjunto de enlaces.

    [De la compilación 47.22 ]

    [ NSHELP-19453 ]

  • En una configuración de clúster con configuración ACL6, los paquetes de error ICMPv6 se repiten entre los nodos, lo que provoca un uso elevado de la CPU.

    [De la compilación 41.28 ]

    [ NSHELP-19535 ]

  • En la configuración de un clúster, la propagación del clúster puede fallar si se cumple una de las siguientes condiciones:

    • Se produce un error en la conexión entre el demonio del clúster y el demonio de configuración.

    • Aumento del uso de memoria en el demonio del clúster.

    [De la compilación 41.28 ]

    [ NSHELP-19771 ]

  • En una configuración de clúster, la GUI de Citrix ADC no puede cargar un certificado SSL en las siguientes condiciones:

    • Los comandos se ejecutan desde el CLIP.

    • El comando “sh partition” responde con una respuesta no válida.

    [De la compilación 41.28 ]

    [ NSHELP-19905 ]

  • En un clúster de un solo nodo, a veces no se puede usar SSH a CLIP en las siguientes condiciones:

    • El modo USIP está activado.

    • El estado del nodo del clúster se establece en pasivo.

    [De la compilación 47.22 ]

    [ NSHELP-20210 ]

  • En una configuración de clúster de nivel 3, el grupo de nodos local envía por error las solicitudes del Protocolo de resolución gratuita de direcciones (GARP) a las direcciones IP que pertenecen al grupo de nodos homólogos. Esto da como resultado un bucle de paquetes de latidos en clúster.

    [De la compilación 47.22 ]

    [ NSHELP-20366 ]

  • La lista ACL6 de tipo DFD puede dañarse al agregar las ACL en orden descendente y eliminar cualquiera de las entradas de ACL6.

    [De la compilación 47.22 ]

    [ NSHELP-20587 ]

  • En una configuración de clúster, el dispositivo Citrix ADC puede fallar al iniciar una nueva conexión MPTCP si las 4 tuplas se reutilizan con una clave MPTCP diferente antes de que se agote el tiempo de espera de la conexión original en el dispositivo Citrix ADC.

    [De la compilación 47.22 ]

    [ NSHELP-20844, NSHELP-20726 ]

  • En la configuración de un clúster, puede observar registros de errores continuos que indican un error de conexión entre el daemon IMI de enrutamiento dinámico de ZebOS y el demonio del clúster interno. Este problema se produce cuando se reinicia el daemon IMI de enrutamiento dinámico de ZebOS o el demonio del clúster interno.

    [De la compilación 41.28 ]

    [ NSNET-10655 ]

  • Se observa el siguiente comportamiento en la configuración de un clúster:

    • La configuración no coincide si ejecuta los comandos enable/disable servicegroupmember, service group y server.

    • El comando unset no restablece el perfil de red del servicio/grupo de servicios.

    [De la compilación 41.28 ]

    [ NSNET-9599 ]

DNS

  • DNS Un dispositivo Citrix ADC podría bloquearse si el registro de DNS está habilitado y el dispositivo recibe una respuesta de DNS grande.?

    [De la compilación 47.22 ]

    [ NSHELP-18926 ]

  • Los dispositivos Citrix ADC pueden fallar al completar la respuesta negativa almacenada en caché para una consulta DNS ANY para una zona autorizada.

    [De la compilación 41.28 ]

    [ NSHELP-19496 ]

  • Puedes agregar un dominio comodín para la zona de tu propiedad.

    [De la compilación 41.28 ]

    [ NSHELP-19498 ]

  • Una instancia de Citrix ADC VPX que se ejecuta en un dispositivo SDX podría bloquearse si se recibe una solicitud de DNS no válida en una interfaz habilitada para Jumbo.

    [De la compilación 41.28 ]

    [ NSHELP-19854 ]

GSLB

  • La configuración de la lista principal de copias de seguridad del sitio GSLB se pierde si se cumplen las dos condiciones siguientes:

    • La opción triggerMonitor está configurada en MEPDOWN o MEPDOWN_SVCDOWN.

    • Se reinicia el dispositivo Citrix ADC.

    [De la compilación 41.28 ]

    [ NSCONFIG-1760 ]

  • La configuración de la lista principal de copias de seguridad del sitio GSLB se pierde si se cumplen las dos condiciones siguientes:

    • La opción triggerMonitor está configurada en MEPDOWN o MEPDOWN_SVCDOWN.

    • Se reinicia el dispositivo Citrix ADC.

    [De la compilación 47.22 ]

    [ NSCONFIG-1760 ]

  • Un dispositivo Citrix ADC puede fallar cuando se cumplen todas las condiciones siguientes:

    • Un servidor de fondo está INACTIVO.

    • Un dispositivo ADC recopila información sobre el servidor, como el RTT y la proximidad, para seleccionar un nuevo backend.

    [De la compilación 47.22 ]

    [ NSHELP-11969 ]

  • En una configuración de clúster GSLB, la conexión MEP puede interrumpirse y provocar una interrupción de MEP cuando un nodo se une al clúster.

    [De la compilación 47.22 ]

    [ NSHELP-19532 ]

  • En una configuración de clúster GSLB, la conexión MEP puede interrumpirse y provocar una interrupción de MEP cuando un nodo se une al clúster.

    [De la compilación 41.28 ]

    [ NSHELP-19532 ]

  • Un dispositivo Citrix ADC se bloquea cuando se emite un comando set en un servicio GSLB basado en CNAME.

    [De la compilación 47.22 ]

    [ NSLB-5433, NSLB-5562 ]

Gateway

  • Citrix Gateway En raras ocasiones, el dispositivo Citrix Gateway se bloquea si se transfiere una sesión de usuario AAA y se habilita la IP de la intranet.

    [De la compilación 47.22 ]

    [ NSHELP-20680 ]

Gateway Insight

  • En una configuración de alta disponibilidad (HA), el nodo principal puede bloquearse si AppFlow está activado y se produce una conmutación por error.

    [De la compilación 47.22 ]

    [ NSHELP-19363 ]

  • Los dispositivos Citrix ADC implementados en una configuración de alta disponibilidad (HA) se bloquean si se cumplen las dos condiciones siguientes:

    • AppFlow está activado

    • Se ha producido un error de sincronización de alta disponibilidad.

    [De la compilación 47.22 ]

    [ NSHELP-19490 ]

Licencias

  • Si el dispositivo SDX se encuentra en período de gracia para las licencias agrupadas, el período de gracia restante muestra cero días en lugar de 30.

    [De la compilación 47.22 ]

    [ NSHELP-19615 ]

  • Tras actualizar una licencia perpetua de MPX a una licencia de capacidad agrupada, la GUI de ADM solicita guardar la configuración y reiniciar la instancia. Con esta corrección, la GUI solo solicita que se reinicie la instancia.

    [De la compilación 47.22 ]

    [ NSHELP-20137 ]

  • Tras actualizar una licencia perpetua de MPX a una licencia de capacidad agrupada, la GUI de ADM solicita guardar la configuración y reiniciar la instancia. Con esta corrección, la GUI solo solicita que se reinicie la instancia.

    [De la compilación 41.28 ]

    [ NSHELP-20137 ]

Equilibrio de carga

  • Cuando el LRTM está activado en un monitor enlazado a un grupo de servicios, no se muestra el tiempo de respuesta.

    [De la compilación 41.28 ]

    [ NSHELP-12689 ]

  • En raras ocasiones, un dispositivo Citrix ADC puede fallar si el servicio está marcado como INACTIVO antes de recibir la sesión SSL del servidor que tiene la siguiente configuración.

    • Un servidor virtual de equilibrio de carga de tipo SSL_BRIDGE

    • El tipo de persistencia se establece en SSLSESSION ID

    • El tipo de persistencia de la copia de seguridad está establecido en SOURCEIP

    [De la compilación 41.28 ]

    [ NSHELP-18482 ]

  • El número de servicios inactivos de un servidor virtual de equilibrio de carga puede devolver un valor grande durante unos segundos después de que algunos servicios o miembros de grupos de servicios se hayan separado del servidor virtual de equilibrio de carga. Se trata de un problema de visualización y no afecta a ninguna funcionalidad.

    [De la compilación 41.28 ]

    [ NSHELP-19400 ]

  • Un dispositivo Citrix ADC se bloquea si el servidor virtual es de tipo ANY y la persistencia indirecta está habilitada en el servidor virtual.

    [De la compilación 47.22 ]

    [ NSHELP-19540 ]

  • Un dispositivo Citrix ADC se bloquea si el servidor virtual es de tipo ANY y la persistencia indirecta está habilitada en el servidor virtual.

    [De la compilación 41.28 ]

    [ NSHELP-19540 ]

  • En una configuración de alta disponibilidad en modo INC, la GUI y la CLI del nodo secundario muestran incorrectamente el siguiente mensaje de estado en algunos monitores de equilibrio de carga:

    “Sonda omitida: nodo secundario”

    [De la compilación 41.28 ]

    [ NSHELP-19617 ]

  • Se produce un error al redirigir una URL de HTTPS si la URL contiene el carácter especial%.

    [De la compilación 47.22 ]

    [ NSHELP-19993 ]

  • Es posible que se quede sin espacio en disco en un dispositivo Citrix ADC VPX porque el dispositivo genera varios archivos temporales. Cuando se produce una operación de rsync para un archivo de ubicación determinado, se crea un archivo temporal para ese archivo de ubicación. Estos archivos llenan el directorio /var.

    [De la compilación 47.22 ]

    [ NSHELP-20020 ]

  • Es posible que se quede sin espacio en disco en un dispositivo Citrix ADC VPX porque el dispositivo genera varios archivos temporales. Cuando se produce una operación de rsync para un archivo de ubicación determinado, se crea un archivo temporal para ese archivo de ubicación. Estos archivos llenan el directorio /var.

    [De la compilación 41.28 ]

    [ NSHELP-20020 ]

  • Un dispositivo Citrix ADC puede fallar si el dominio de tráfico está configurado en un servidor virtual de equilibrio de carga de tipo SIP.

    [De la compilación 47.22 ]

    [ NSHELP-20286 ]

  • El dispositivo Citrix ADC puede bloquearse si se cumplen las dos condiciones siguientes:

    • La persistencia basada en reglas se configura en el dispositivo.

    • Varios servidores IPv6 responden con los mismos valores para los parámetros configurados en la persistencia basada en reglas.

    [De la compilación 47.22 ]

    [ NSHELP-20490 ]

  • La implementación de un clúster no admite la supervisión de rutas para grupos de servicios de escalado automático.

    [De la compilación 41.28 ]

    [ NSLB-4660 ]

NITRO

  • El dispositivo Citrix ADC responde con un mensaje de error interno para la llamada a la API de NITRO show routerdynamicrouting.

    [De la compilación 41.28 ]

    [ NSCONFIG-1325 ]

  • El dispositivo Citrix ADC responde con un mensaje de error interno para la llamada a la API de NITRO show routerdynamicrouting.

    [De la compilación 47.22 ]

    [ NSCONFIG-1325 ]

  • El daemon HTTP de un dispositivo Citrix ADC puede bloquearse si se cumplen todas las condiciones siguientes:

    • El dispositivo recibe una solicitud idempotente de la API de NITRO para agregar un recurso al dispositivo.

    • la solicitud idempotente de la API de NITRO no tiene ninguna propiedad configurable.

    • el recurso ya existe en el dispositivo Citrix ADC.

    [De la compilación 47.22 ]

    [ NSCONFIG-2298 ]

  • El primer inicio de sesión con la API de NITRO falla para un usuario de partición. Sin embargo, el inicio de sesión posterior se realiza correctamente.

    [De la compilación 47.22 ]

    [ NSHELP-20159, NSCONFIG-2054 ]

Redes

  • En una configuración de alta disponibilidad con el enrutamiento dinámico de OSPF configurado, el nuevo nodo principal no genera el número de secuencia MD5 de OSPF en orden creciente después de una conmutación por error.

    Se ha solucionado este problema. Para que la solución funcione correctamente, debe sincronizar la hora entre los nodos principal y secundario de forma manual o mediante NTP.

    [De la compilación 41.28 ]

    [ NSHELP-18958 ]

  • Cuando se agrega una regla PBR con el parámetro de siguiente salto establecido en NULL para un servicio de equilibrio de carga o un monitor, es posible que el dispositivo Citrix ADC deje de responder.

    [De la compilación 41.28 ]

    [ NSHELP-19245 ]

  • Un dispositivo Citrix ADC puede crear un bucle de paquetes SYN+ACK, lo que a su vez provoca un uso elevado de la CPU, cuando se cumplen las siguientes condiciones:

    • Si hay una conexión de sonda RNAT pendiente a una dirección IP, que actualmente no es la dirección IP propiedad de Citrix ADC, en el dispositivo ADC.

    • Si establece esta dirección IP como dirección IP propiedad del ADC como parte de la configuración del ADC. Por ejemplo, agregar un servidor virtual de equilibrio de carga con esta dirección IP.

    [De la compilación 41.28 ]

    [ NSHELP-19376 ]

  • El dispositivo Citrix ADC permite la configuración a través de las API de NITRO incluso antes de que los módulos de protocolo no estén completamente inicializados. Por este motivo, se produce un error en el comando write memory y aparece el siguiente mensaje de error:

    “se denegó guardar la configuración; los módulos no están listos”

    [De la compilación 41.28 ]

    [ NSHELP-19431 ]

  • En algunos casos excepcionales, en una configuración de alta disponibilidad, el nodo secundario puede establecer una sesión de BGP a través de la dirección IP (NSIP) de Citrix ADC.

    [De la compilación 41.28 ]

    [ NSHELP-19720 ]

  • El proceso de BGP puede fallar debido a daños en la memoria si recibe actualizaciones de bgp con varios números AS de 4 bytes en la ruta.

    [De la compilación 41.28 ]

    [ NSHELP-19860 ]

  • Es posible que el dispositivo ADC no actualice las rutas ECMP de forma optimizada si se inhabilita una interfaz asociada o se elimina una dirección IP asociada.

    [De la compilación 47.22 ]

    [ NSHELP-19891 ]

  • Es posible que el daemon BGP de un dispositivo Citrix ADC instale incorrectamente las rutas aprendidas con los siguientes saltos como 0.0.0.0/0.

    [De la compilación 47.22 ]

    [ NSHELP-19900 ]

  • El dispositivo Citrix ADC podría bloquearse si agrega una directiva de escucha que dependa de una determinada búsqueda interna de servicios FTP.

    [De la compilación 47.22 ]

    [ NSHELP-20002 ]

  • Para el tráfico que accede a una configuración de equilibrio de carga a través de una Access Gateway de enlace Citrix ADC, el dispositivo Citrix ADC puede aplicar el reenvío basado en MAC (MBF) a este tráfico incluso sin agregar correctamente la información de capa 2 a la entrada de la tabla de conexiones.

    [De la compilación 47.22 ]

    [ NSHELP-20064 ]

  • El dispositivo Citrix ADC puede omitir las reglas de rutas basadas en directivas (PBR) para los paquetes de monitor salientes de tipo UDP e ICMP.

    [De la compilación 47.22 ]

    [ NSHELP-20112 ]

  • Al reiniciarse, el dispositivo Citrix ADC establece una sesión de BGP con los dispositivos homólogos antes de asignar una dirección IP de subred (SNIP) en la interfaz, lo que provoca un error de validación en el siguiente salto. Debido a este problema, es posible que el dispositivo Citrix ADC no aprenda las rutas anunciadas desde estos dispositivos homólogos.

    [De la compilación 47.22 ]

    [ NSHELP-20211 ]

  • Un dispositivo Citrix ADC, que actúa como servidor proxy, puede aplicar una regla PBR basada en la información de capa 2 a un tráfico aunque el tráfico no coincida con la regla PBR.

    [De la compilación 47.22 ]

    [ NSHELP-20317 ]

  • Aparece el mensaje de error “Una ruta existente depende de la presencia de esta subred” si se dan todas las condiciones siguientes:

    • Se agregan dos o más direcciones SNIP con un primer octeto superior a 127

    • Se agrega una ruta para las direcciones SNIP en esa red.

    • Intenta eliminar cualquiera de las direcciones SNIP agregadas

    [De la compilación 47.22 ]

    [ NSHELP-20492 ]

  • Los valores ASN de 32 bits aparecen como valores negativos en la salida del comando “sh ip bgp summary”.

    [De la compilación 47.22 ]

    [ NSHELP-20540 ]

  • Un dispositivo Citrix ADC puede bloquearse si recibe tráfico IPv6 que cumple las dos condiciones siguientes:

    • La dirección MAC de origen del tráfico IPv6 coincide con la dirección MAC de un servicio vinculado a un servidor virtual con el tipo ANY y el modo de redireccionamiento configurado en reenvío basado en MAC (-m MAC)

    • El tráfico IPv6 coincide con una regla de RNAT6 con la opción de proxy TCP habilitada.

    [De la compilación 47.22 ]

    [ NSHELP-20548 ]

  • Es posible que el dispositivo Citrix ADC no actualice correctamente las rutas ECMP cuando hay varios BGP

    las sesiones pasan al estado “INACTIVO” simultáneamente.

    [De la compilación 47.22 ]

    [ NSHELP-20664 ]

  • El daemon BGP puede mostrar mensajes de advertencia duplicados para una ruta eliminada de la tabla de enrutamiento de Citrix ADC.

    [De la compilación 47.22 ]

    [ NSHELP-20906 ]

  • En el caso de una regla de RNAT con el parámetro useproxyport inhabilitado y de que los clientes de RNAT accedan a la dirección IP pública de INAT, el dispositivo Citrix ADC podría asignar o desasignar puertos de forma incorrecta para las sesiones relacionadas con la regla RNAT. Esta asignación o desasignación incorrecta de puertos provoca una fuga de puertos.

    [De la compilación 41.28 ]

    [ NSNET-10089 ]

  • En la GUI de Citrix ADC, al ir a Configuración > Red > Interfaces y hacer clic en Estadísticas de la interfaz, no aparece el resumen de la interfaz y aparece el mensaje de error “Valor no válido [arg]”.

    [De la compilación 41.28 ]

    [ NSUI-13043 ]

Optimización

  • El modo de carga diferida no carga las imágenes de una página web sencilla que estén en la parte superior de la página sin atributos como la altura o el ancho.

    [De la compilación 41.28 ]

    [ NSHELP-19193 ]

  • Un dispositivo Citrix ADC se reinicia solo si se cumplen las siguientes condiciones:

    • La función de optimización de la interfaz está habilitada.

    • Los objetos en caché se vuelven a optimizar.

    [De la compilación 41.28 ]

    [ NSHELP-19428 ]

Plataforma

  • El dispositivo FIPS SDX 14000 podría bloquearse y reiniciarse al configurar una partición FIPS HSM.

    [De la compilación 41.28 ]

    [ NSHELP-18503 ]

  • En las siguientes plataformas Citrix ADC SDX, la conectividad a una instancia VPX puede fallar si recibe un tráfico intenso de multidifusión cuando no hay un puerto de administración asignado a una instancia VPX y la administración de instancias se realiza a través de los puertos de datos.

    • SDX 8900

    • SDX 14000-40G

    • SDX 14000-40S

    • SDX 15000-50G

    • SDX 25000-40G

    • SDX 25000T

    • SDX 25000T-40G

    [De la compilación 47.22 ]

    [ NSHELP-19861 ]

  • En las plataformas SDX con interfaces Fortville, las interfaces Fortville de 10 G y 40 G pueden funcionar sin conexión TX cuando Jumbo está activado en ellas.

    [De la compilación 47.22 ]

    [ NSHELP-20605 ]

Directivas

  • Tras una actualización, la directiva de reescritura no funciona para CVPN homepage2.html

    [De la compilación 47.22 ]

    [ NSHELP-19481 ]

  • En un dispositivo Citrix ADC, si desvincula las directivas globales avanzadas predeterminadas y guarda la configuración, los cambios no se reflejan en el siguiente reinicio.

    [De la compilación 47.22 ]

    [ NSHELP-19867 ]

  • En un dispositivo Citrix ADC, si desvincula las directivas globales avanzadas predeterminadas y guarda la configuración, los cambios no se reflejan en el siguiente reinicio.

    [De la compilación 41.28 ]

    [ NSHELP-19867 ]

  • Al convertir directivas de clásicas a avanzadas con la herramienta nspepi, se observan errores de sintaxis en los puertos y las máscaras de red.

    [De la compilación 47.22 ]

    [ NSHELP-20720 ]

  • Un dispositivo Citrix ADC podría bloquearse si la configuración tiene una acción de respuesta con respondwithhtmlpage como tipo de acción.

    [De la compilación 41.28 ]

    [ NSHELP-5821 ]

  • Un dispositivo Citrix ADC puede bloquearse si utiliza una acción de respuesta del tipo de acción de redireccionamiento.

    [De la compilación 41.28 ]

    [ NSPOLICY-3196 ]

  • Las funciones y funciones clásicas basadas en directivas están en desuso a partir de la compilación 56.20 de Citrix ADC 12.0. Como alternativa, Citrix recomienda utilizar la infraestructura de directivas avanzada.

    Estas características y funcionalidades dejarán de estar disponibles en la versión 13.1 de Citrix ADC en 2020. Además, otras funciones más pequeñas quedarán en desuso.

    [De la compilación 41.28 ]

    [ NSPOLICY-3228 ]

Portal

  • A los usuarios de Citrix Gateway se les pide incorrectamente que introduzcan el nombre de usuario y la contraseña cuando el formulario de inicio de sesión de nFactor está personalizado para mostrar el menú de tipos de inicio de sesión dinámicos y se selecciona OAuth de la lista.

    [De la compilación 47.22 ]

    [ NSHELP-20300 ]

SNMP

  • Tras una actualización en una configuración de alta disponibilidad configurada desde la versión 12.1, compilación 49.23, hasta la versión 12.1, compilación 49.37, el nodo principal no envía un mensaje de captura de arranque en frío de SNMP durante un reinicio.

    [De la compilación 41.28 ]

    [ NSHELP-18631 ]

SSL

  • En ocasiones, el dispositivo ADC puede enviar datos adicionales al cliente si se cumplen las dos condiciones siguientes:

    • El dispositivo está conectado al servidor de fondo mediante SSL.

    • El tamaño de los datos recibidos del servidor supera los 9000.

    [De la compilación 41.28 ]

    [ NSHELP-11183 ]

  • No puede crear una clave RSA mediante la interfaz gráfica de usuario si el algoritmo PEM es DES o DES3.

    [De la compilación 47.22 ]

    [ NSHELP-13018 ]

  • No puede crear una clave RSA mediante la interfaz gráfica de usuario si el algoritmo PEM es DES o DES3.

    [De la compilación 41.28 ]

    [ NSHELP-13018 ]

  • Para las sesiones habilitadas para el SNI, el dispositivo ADC puede controlar la forma en que se valida el encabezado del host. Se ha agregado un nuevo parámetro “SNIHTTPHostMatch” al perfil SSL y a los parámetros globales de SSL para tener un mejor control de esta validación. Este parámetro puede tomar tres valores: CERT, STRICT y NONE. El SNI debe estar habilitado en el servidor virtual SSL o en el perfil enlazado al servidor virtual, y la solicitud HTTP debe contener el encabezado del host.

    [De la compilación 47.22 ]

    [ NSHELP-13370 ]

  • Falta el directorio Safenet al instalar una instancia VPX en la plataforma Citrix XenServer, VMware ESX o Linux-KVM.

    [De la compilación 41.28 ]

    [ NSHELP-14582 ]

  • El protocolo de enlace DTLS puede fallar si los registros DTLS de diferentes tipos de mensajes se reciben desordenados. Por ejemplo, se recibe el mensaje “Saludo al servidor hecho” antes que el mensaje “Saludo al servidor”.

    [De la compilación 47.22 ]

    [ NSHELP-18512 ]

  • Un dispositivo Citrix ADC puede bloquearse al ejecutar una acción de mensaje de registro de auditoría basada en la expresión “ssl.origin.server_cert”. La acción de registro está vinculada a una directiva de respuesta.

    [De la compilación 41.28 ]

    [ NSHELP-19014 ]

  • Si los certificados de cliente y CA tienen una codificación diferente, el certificado de cliente se rechaza de forma incorrecta cuando -clientAuthUseBoundCAChain está ACTIVADO, aunque los certificados de cliente y servidor los haya emitido la misma CA.

    [De la compilación 41.28 ]

    [ NSHELP-19077 ]

  • Un dispositivo Citrix ADC puede bloquearse de forma intermitente si se cumplen las dos condiciones siguientes:

    • La comprobación de OCSP y la interceptación SSL están habilitadas en un perfil SSL.

    • El perfil SSL está enlazado a un servidor virtual de conmutación de contenido de tipo PROXY.

    [De la compilación 47.22 ]

    [ NSHELP-19194 ]

  • Un dispositivo Citrix ADC puede fallar al ejecutar la acción SSL “clientcertFingerprint” para insertar la huella digital del certificado de cliente en el encabezado HTTP de la solicitud que se enviará al servidor, si se cumplen las dos condiciones siguientes:

    • El ticket de sesión está activado.

    • La directiva SSL está vinculada en el punto de enlace de la solicitud.

    [De la compilación 41.28 ]

    [ NSHELP-19331 ]

  • Un servidor virtual SSL puede restablecer la conexión con el código de restablecimiento 9820 en lugar de fragmentar el registro en varios paquetes TCP como se esperaba, si se cumplen las siguientes condiciones:

    • Un servidor virtual habilitado para TLSv1.3 cifra los datos de la aplicación del servidor de aplicaciones de fondo para enviarlos a un cliente de TLSv1.3.

    • La longitud del registro cifrado resultante es exactamente un byte mayor que el tamaño máximo del segmento TCP.

    [De la compilación 41.28 ]

    [ NSHELP-19466 ]

  • El protocolo de enlace falla en un dispositivo Citrix ADC SDX con chips N2 porque esta plataforma no admite los cifrados ECDSA. Con esta corrección, los cifrados ECDSA no se anuncian en esta plataforma.

    [De la compilación 41.28 ]

    [ NSHELP-19614, NSHELP-20630 ]

  • La actualización de CRL toma la dirección IP antigua en lugar de la nueva, si la URL se cambia de una dirección basada en IP a una dirección basada en nombres de dominio.

    [De la compilación 41.28 ]

    [ NSHELP-19648 ]

  • El estado del servicio SSL interno aparece ACTIVADO incluso después de desvincular el certificado del servicio.

    [De la compilación 47.22 ]

    [ NSHELP-19752 ]

  • El contador ssl_tot_enc_bytes informa que los bytes de texto plano incorrectos deben cifrarse.

    [De la compilación 41.28 ]

    [ NSHELP-19830 ]

  • Aparece un mensaje de error al asignar un archivo de parámetros DH a un perfil SSL en una configuración de partición de administración.

    [De la compilación 47.22 ]

    [ NSHELP-19838 ]

  • Los siguientes dispositivos pueden fallar si reciben el mensaje “ChangeCipherSpec” de un cliente, pero no el mensaje “Finalizado”:

    • MPX 5900/8900

    • MPX 15000-50G

    • MPX 26000-100G

    [De la compilación 41.28 ]

    [ NSHELP-19856 ]

  • Si agrega un certificado con una extensión AIA a la dirección IP de un clúster (CLIP), aparece el siguiente mensaje de error al intentar eliminar el certificado del CLIP:

    “Error interno”.

    [De la compilación 41.28 ]

    [ NSHELP-19924 ]

  • Cuando tanto TLS 1.3 como SNI están habilitados en un servidor virtual de front-end, el dispositivo se bloquea durante el protocolo de enlace de TLS si se produce la siguiente secuencia de eventos:

    1. Un cliente TLS 1.3 incluye la extensión server_name en su mensaje inicial de ClientHello.

    2. El servidor responde con un mensaje HelloRetryRequest.

    3. El cliente responde con un mensaje ClientHello ilegal que omite la extensión server_name.

    [De la compilación 47.22 ]

    [ NSHELP-20245 ]

  • Cuando tanto TLS 1.3 como SNI están habilitados en un servidor virtual de front-end, el dispositivo se bloquea durante el protocolo de enlace de TLS si se produce la siguiente secuencia de eventos:

    1. Un cliente TLS 1.3 incluye la extensión server_name en su mensaje inicial de ClientHello.

    2. El servidor responde con un mensaje HelloRetryRequest.

    3. El cliente responde con un mensaje ClientHello ilegal que omite la extensión server_name.

    [De la compilación 41.28 ]

    [ NSHELP-20245 ]

  • Si el perfil SSL predeterminado está activado y enlazado a un grupo de servicios SSL, aparece un mensaje de advertencia al desvincular un cifrado del perfil SSL y vincular un servicio a este grupo de servicios. El servicio tampoco está vinculado al grupo de servicios.

    [De la compilación 47.22 ]

    [ NSHELP-20332 ]

  • Un dispositivo Citrix ADC puede mostrar diferentes perfiles en la dirección IP (CLIP) del clúster y en la dirección IP (NSIP) de Citrix ADC si un perfil SSL antiguo está enlazado a entidades SSL y, posteriormente, se habilita el perfil SSL predeterminado (mejorado).

    [De la compilación 47.22 ]

    [ NSHELP-20335 ]

  • Si su dispositivo ADC está integrado con una versión no compatible de Thales HSM, el dispositivo se bloquea tras generar la clave de HSM y el certificado, instalar el par de claves de certificado en el dispositivo y vincularlo al servidor virtual SSL. Con esta solución, el dispositivo informa de un error en lugar de bloquearse.

    [De la compilación 47.22 ]

    [ NSHELP-20352 ]

  • Aparece el mensaje de error “Error: el archivo es demasiado grande” en los dos casos siguientes:

    • Primero, actualice el software Citrix ADC a la versión 13.0 y, a continuación, actualice el firmware FIPS.

    [De la compilación 47.22 ]

    [ NSHELP-20522 ]

  • Aparece el mensaje de error “Error: el archivo es demasiado grande” en los dos casos siguientes:

    • Primero, actualice el software Citrix ADC a la versión 13.0 y, a continuación, actualice el firmware FIPS.

    [De la compilación 41.28 ]

    [ NSHELP-20522 ]

  • Un dispositivo Citrix ADC VPX puede fallar si se utiliza el cifrado ChaChaPoly y el cliente envía un registro truncado al dispositivo.

    [De la compilación 47.22 ]

    [ NSHELP-20684 ]

  • El protocolo de enlace de DTLS puede fallar si los fragmentos del registro DTLS se reciben desordenados.

    [De la compilación 47.22 ]

    [ NSHELP-20703 ]

  • El protocolo de enlace SSL falla en las siguientes plataformas si los mensajes Client Key Exchange y Client Verify vienen en un solo registro.

    • MPX 59xx

    • MPX/SDX 89xx

    • MPX/SDX 261xx-100G

    • MPX/SDX 15xxx-50G

    [De la compilación 41.28 ]

    [ NSSSL-3359, NSSSL-1608 ]

  • Los enlaces de TLS y DTLS con intercambio de claves basado en RSA fallan en la interfaz de los dispositivos Citrix ADC MPX y SDX basados en N3 cuando se cumplen las siguientes condiciones.

    1. El protocolo de enlace de TLS falla cuando el mensaje de saludo del cliente TLS contiene TLSv1.2 como versión del protocolo, pero TLSv1.2 está inhabilitado en el dispositivo Citrix ADC. Por lo tanto, el dispositivo negocia una versión inferior (TLSv1.1, TLSv1.0 o SSLv3.0)

    2. El protocolo de enlace de DTLS falla cuando el mensaje de saludo del cliente DTLS contiene DTLSv1.2 como versión de protocolo, pero el dispositivo Citrix ADC negocia DTLSv1.0.

    Utilice el comando “show hardware” para identificar si el dispositivo tiene chips N3.

    [De la compilación 41.28 ]

    [ NSSSL-6630 ]

  • En una llamada de NITRO para un servidor virtual que tiene un perfil vinculado a él, también se muestran algunas entidades del servidor virtual, como HSTS y OCSP_Stapling, que forman parte del perfil.

    [De la compilación 41.28 ]

    [ NSSSL-6673 ]

  • El dispositivo Citrix ADC puede bloquearse al ejecutar la acción de reenvío de SSL en el punto de enlace REQUEST. Con esta corrección, no puede vincular una directiva con el tipo de acción FORWARD al punto de enlace REQUEST.

    [De la compilación 47.22 ]

    [ NSSSL-6688 ]

  • El dispositivo Citrix ADC puede bloquearse y volcar el núcleo cuando intenta acceder al perfil DTLS predeterminado eliminado al configurar un nuevo servidor o servicio virtual de DTLS.

    [De la compilación 47.22 ]

    [ NSSSL-6886 ]

  • La acción de reenvío de la directiva SSL no permitía el servidor virtual de tipo SSL_TCP. Con esta corrección, puede reenviar el tráfico SSL basado en la directiva SSL a un servidor virtual SSL_TCP. Esta función ayuda a los clientes que desean descargar SSL pero no desean analizar los datos de la aplicación para la conexión reenviada.

    [De la compilación 47.22 ]

    [ NSSSL-7133 ]

Filtrado de URL de SWG

  • Durante el filtrado de contenido, se produce una rara condición racial entre la evaluación de la directiva y la ofuscación de un conjunto de URL privadas. Este problema genera un registro de AppFlow que contiene la URL como texto sin cifrar y no como “ILEGAL”.

    [De la compilación 41.28 ]

    [ NSSWG-890 ]

Sistema

  • Se produce un problema de memoria alta en el dispositivo Citrix ADC particionado.

    [De la compilación 47.22 ]

    [ NSBASE-8780, NSBASE-8763 ]

  • En la inserción del encabezado IP del cliente (por ejemplo, -x-Forwarded-for), si la dirección IP que se va a insertar no es tan larga como el búfer, el encabezado rellena los espacios al final de la dirección IP del cliente.

    [De la compilación 47.22 ]

    [ NSHELP-10079 ]

  • Muestra el estado real del proceso de sincronización de alta disponibilidad

    En una configuración de alta disponibilidad, de forma predeterminada, el estado de la sincronización de HA se muestra SUCCESS incluso si algunos comandos fallan en el nodo secundario como parte del proceso de sincronización de HA.

    Por ejemplo, un comando relacionado con la vinculación de una interfaz a una VLAN falla si la interfaz con el mismo número no está presente en el nodo secundario.

    Puede configurar la configuración de alta disponibilidad para indicar el estado real del proceso de sincronización de HA.

    Al habilitar el parámetro Strict Synchronization mode en ambos nodos de un conjunto de alta disponibilidad, el estado de la sincronización de alta disponibilidad se muestra como Partial Success si uno o más comandos fallaran en el nodo secundario como parte del proceso de sincronización de HA.

    Nota: El parámetro Strict Synchronization mode de ambos nodos debe estar configurado en la misma opción, es decir, estar activado o inhabilitado en ambos nodos. La configuración de alta disponibilidad no muestra el estado correcto de la sincronización de alta disponibilidad si el parámetro del modo de sincronización estricta está activado en un nodo y desactivado en otro.

    [De la compilación 47.22 ]

    [ NSHELP-11953 ]

  • La aplicación SNMPwalk falla si un usuario de SNMPv3 vinculado a un destino de captura de SNMPv3 presenta un error de autenticación (contraseña, comunidad o clave incorrectas).

    [De la compilación 47.22 ]

    [ NSHELP-18541, NSHELP-19313 ]

  • Un dispositivo Citrix ADC se bloquea si los valores current_tcp_profile y current_adtcp_profile no están configurados.

    [De la compilación 41.28 ]

    [ NSHELP-18889 ]

  • Se produce un problema de memoria en un dispositivo Citrix ADC si las conexiones cerradas no se vacían por completo.

    [De la compilación 41.28 ]

    [ NSHELP-18891 ]

  • Se produce un problema de memoria en un dispositivo Citrix ADC si las conexiones cerradas no se vacían por completo.

    [De la compilación 47.22 ]

    [ NSHELP-18891, NSHELP-20778 ]

  • En un caso de esquina, un dispositivo Citrix ADC termina las conexiones zombi sin restablecerlas. Cuando las conexiones homólogas envían paquetes si están activas y el dispositivo restablece la conexión al procesarlos.

    [De la compilación 41.28 ]

    [ NSHELP-18998 ]

  • La evaluación de la directiva podría fallar si se cumplen las siguientes condiciones:

    • 256 expresiones de directiva hacen referencia a un mismo encabezado personalizado.

    • El contador de referencia de encabezado personalizado se reduce a 0 (contador de 8 bits).

    [De la compilación 41.28 ]

    [ NSHELP-19082 ]

  • En un dispositivo Citrix ADC, la configuración de la zona horaria falla si hay un cambio en el horario de verano (DST).

    [De la compilación 47.22 ]

    [ NSHELP-19128 ]

  • Se produce una pérdida de configuración cada vez que se produce una sincronización de la configuración de alta disponibilidad junto con un error de alta disponibilidad.

    [De la compilación 41.28 ]

    [ NSHELP-19210 ]

  • Las consultas SNMPv3 funcionan solo durante unos minutos después de cambiar la contraseña.

    [De la compilación 47.22 ]

    [ NSHELP-19313 ]

  • El nodo principal no puede leer la respuesta del secundario, lo que hace que la conexión se restablezca. Como resultado, la conexión se cierra en el nodo secundario.

    [De la compilación 41.28 ]

    [ NSHELP-19432 ]

  • Un dispositivo Citrix ADC se bloquea si establece el valor del perfil TCP en NULL.

    [De la compilación 41.28 ]

    [ NSHELP-19555 ]

  • La validación de contraseñas seguras se realiza en las contraseñas de MONITOR creadas para servidores externos. Al habilitar la configuración de contraseña segura (sistema > configuración global) en un dispositivo Citrix ADC, no permite que el dispositivo configure una contraseña débil para el monitor LDAP.

    [De la compilación 41.28 ]

    [ NSHELP-19582 ]

  • La alarma SNMP en el dispositivo SDX no funciona para los parámetros de disco, memoria o temperatura, sino que solo funciona para la CPU.

    [De la compilación 41.28 ]

    [ NSHELP-19713 ]

  • En algunos casos, se producirá un retraso o un tiempo de espera al conectarse al servidor de fondo. Esto ocurre porque el dispositivo liberó la conexión y liberó el puerto. Cuando el dispositivo vuelve a utilizar el mismo puerto para establecer una nueva conexión con el servidor, se produce un retraso o se agota el tiempo de espera porque la conexión está en estado TIME_WAIT en el servidor.

    [De la compilación 41.28 ]

    [ NSHELP-19772 ]

  • En algunos casos, se producirá un retraso o un tiempo de espera al conectarse al servidor de fondo. Esto ocurre porque el dispositivo liberó la conexión y liberó el puerto. Cuando el dispositivo vuelve a utilizar el mismo puerto para establecer una nueva conexión con el servidor, se produce un retraso o se agota el tiempo de espera porque la conexión está en estado TIME_WAIT en el servidor.

    [De la compilación 47.22 ]

    [ NSHELP-19772 ]

  • En raras ocasiones, un nodo de clúster puede fallar cuando un cliente o servidor envía un paquete desordenado seguido de un paquete secuencial con el mensaje FIN.

    [De la compilación 41.28 ]

    [ NSHELP-19824 ]

  • El dispositivo Citrix ADC podría bloquearse si se recibe un segmento TCP retransmitido en una interfaz con una MTU superior a 1500 bytes de la siguiente manera:

    • Marcos Jumbo o

    • Conjunto de fragmentos de IP.

    [De la compilación 47.22 ]

    [ NSHELP-19920, NSHELP-20273 ]

  • El dispositivo Citrix ADC puede fallar cuando se recibe un segmento TCP retransmitido en una interfaz con una MTU superior a 1500 bytes como:

    • marcos Jumbo, o

    • Conjunto de fragmentos de IP

    [De la compilación 41.28 ]

    [ NSHELP-19920, NSHELP-20273 ]

  • SNMPWalk obtiene la respuesta a la consulta de una dirección IP de subred (SNIP) incluso si la función SNMP está inhabilitada.

    [De la compilación 47.22 ]

    [ NSHELP-20254 ]

  • La autenticación basada en roles (RBA) no permite que los nombres de los grupos comiencen por el carácter “#”.

    [De la compilación 47.22 ]

    [ NSHELP-20266 ]

  • Un dispositivo Citrix ADC inicia una conexión HTTP/1.1 en lugar de una conexión HTTP/2 si no se recibe el cuerpo completo de la solicitud de una solicitud POST.

    [De la compilación 47.22 ]

    [ NSHELP-20289 ]

  • En raras ocasiones, el proceso Call Home puede fallar y provocar que el dispositivo se reinicie. El problema se produce si un subproceso de Call Home usa el mismo identificador de proceso interno (PID) del subproceso anterior.

    [De la compilación 47.22 ]

    [ NSHELP-20334 ]

  • El uso de memoria aumenta si se habilita el protocolo proxy y si la retransmisión se produce debido a la congestión de la red.

    [De la compilación 47.22 ]

    [ NSHELP-20613 ]

  • Un dispositivo Citrix ADC restablece los subflujos de MPTCP si un subflujo está vivo y activo durante más tiempo que el período de tiempo de espera de inactividad.

    [De la compilación 47.22 ]

    [ NSHELP-20648 ]

  • Un dispositivo Citrix ADC restablece un subflujo MPTCP si recibe un acuse de recibo simple antes de que el subflujo se confirme como MTPCP.

    [De la compilación 47.22 ]

    [ NSHELP-20649 ]

  • La pérdida de configuración se detecta si vincula tanto la directiva clásica como la directiva avanzada a un usuario aaa y a un grupo de usuarios aaa.

    [De la compilación 47.22 ]

    [ NSHELP-20744 ]

  • Se observa un retraso en las transacciones TCP si un dispositivo Citrix ADC no puede utilizar la conexión TCP para conectarse al servidor de fondo. En este caso, el dispositivo abre una nueva conexión para reenviar las solicitudes del cliente al servidor de fondo tras un período de espera. El período de espera oscila entre 400 ms y 600 ms.

    [De la compilación 41.28 ]

    [ NSHELP-9118 ]

  • Las opciones Encuadernación global y Mostrar enlace no funcionan en la página GUI de la directiva de inspección de contenido. Como alternativa, puede configurar estos parámetros a través de la interfaz de comandos.

    [De la compilación 41.28 ]

    [ NSUI-13193, NSUI-11561 ]

Telco

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen las dos condiciones siguientes:

    • El dispositivo recibe dos solicitudes HTTP al recuperar la información del suscriptor.

    • Se ha realizado una operación incorrecta para reanudar el flujo normal de tráfico.

    [De la compilación 41.28 ]

    [ NSHELP-18955 ]

Notas de lanzamiento para la versión 13.0-47.24 de Citrix ADC
April 15, 2024
Contribución de: 
C
April 15, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.