ADC

Notas de lanzamiento para la versión 13.0-52.24 de Citrix ADC

Este documento de notas de la versión describe las mejoras y los cambios, los problemas resueltos y conocidos que existen en la versión 13.0-52.24 de Citrix ADC.

Notas

  • Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.

Novedades

Las mejoras y los cambios que están disponibles en la compilación 13.0-52.24.

Autenticación, autorización y auditoría

Dispositivo Citrix ADC SDX

  • Habilite la función VPX siempre activa sin reiniciar la instancia

    Anteriormente, después de habilitar o inhabilitar la función Administrar a través de la red interna en una instancia VPX, la instancia se reiniciaba. Esta función permite una conectividad interna permanente e independiente entre el servicio de administración de SDX y la instancia VPX. Ahora la instancia no se reinicia después de habilitar o inhabilitar la función.

    Sin embargo, si habilitas la función Administrar a través de una red interna en una instancia VPX (versión 13.0 de cualquier compilación) aprovisionada en un dispositivo SDX que se ha actualizado a la versión 13.0 52.x, la instancia VPX se reinicia. Esto ocurre si la opción Administrar a través de la red interna ya estaba inhabilitada en la VPX antes de la actualización del SDX.

    Para obtener más información sobre la función Administrar a través de una red interna, consulte https://docs.citrix.com/en-us/sdx/13/provision-netscaler-instances.html
    [ NSSVM-2803 ]

  • Soporte para licencias de capacidad agrupada para instancias de SD-WAN

    Ahora puede aprovisionar instancias de SD-WAN cuando se configuran las licencias de capacidad agrupada en el dispositivo SDX. Para obtener más información sobre las licencias de capacidad agrupada, consulte https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html

    [ NSSVM-2737 ]

Citrix Gateway

  • Soporte del protocolo CredSSP versión 6 para el proxy RDP

    La versión 6 del protocolo CredSSP ahora es compatible con el proxy RDP.

    [ NSHELP-8732 ]

  • Soporte para Citrix Virtual Apps and Desktops 7 1912 LTSR

    Citrix Gateway ahora es compatible con Citrix Virtual Apps and Desktops 7 1912 LTSR.

    [CGOP-11796 ]

  • Compatibilidad con SSL en un proxy LAN en una configuración de proxy ICA de salida

    Si configura el proxy ICA de salida en Citrix Gateway, la aplicación Citrix Workspace ahora cifra todo el tráfico que envía al proxy LAN Citrix ADC mediante SSL. Anteriormente, solo el tráfico entre Citrix ADC LAN Proxy y Citrix Gateway se realizaba a través de SSL.

    [CGOP-9977 ]

Citrix Web App Firewall

  • El límite de cuerpo de POST está establecido en 10 GB

    El valor máximo del límite del cuerpo del poste ahora se ha cambiado de 4 GB a 10 GB.

    [ NSWAF-3815 ]

  • Integración del escáner de vulnerabilidades Appspider_7_2_83_1

    Para un análisis proactivo de vulnerabilidades, ahora se integra un dispositivo Citrix ADC con el escáner Appspider_7_2_83_1. Como resultado, ahora puede importar el informe del escáner de Appspider para evitar vulnerabilidades y generar firmas.

    [ NSWAF-2912 ]

Equilibrio de carga

  • Soporte para configurar los atributos de cookie generados por el ADC

    Para las implementaciones de Citrix ADC, ahora se agrega soporte para insertar atributos de cookie adicionales a las cookies generadas por el dispositivo Citrix ADC. Estos atributos de cookies adicionales ayudan a aplicar las directivas requeridas para las cookies generadas por ADC en función del patrón de acceso a la aplicación.

    Esta función se puede utilizar para evitar problemas que puedan surgir a causa de la actualización de Google Chrome (Google Chrome 80).

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/insert-cookie-attributes.html

    [ NSLB-6068 ]

  • SNMP OID para servidores virtuales de respaldo

    Ahora se agrega un identificador de objetos (OID) SNMP “vsvrBackupVserver” con el valor 1.3.6.1.4.1.5951.4.1.3.1.1.81 a la base de información de administración (MIB) de Citrix ADC. Este OID proporciona los detalles de los servidores virtuales de respaldo que están configurados para los servidores virtuales existentes.

    [ NSLB-5365 ]

  • Versión más ligera de Citrix ADC CPX como caché de DNS en Kubernetes

    Debido a la adopción más amplia de arquitecturas de microservicios, las tasas de solicitudes de DNS dentro de un clúster de Kubernetes están aumentando. Como resultado, el DNS de Kubernetes (kube-dns) está sobrecargado. En un clúster de Kubernetes, ahora puede implementar Citrix ADC CPX como caché de DNS en cada nodo y reenviar las solicitudes de DNS de los pods de aplicaciones del nodo a Citrix ADC CPX. Por lo tanto, puede resolver las solicitudes de DNS más rápido y reducir significativamente la carga en el DNS de Kubernetes.

    [ NSLB-5325 ]

  • Sincronización en paralelo de la configuración GSLB entre los nodos maestro y esclavo

    El rendimiento de GSLB ahora se mejora al permitir la sincronización automática en paralelo de la configuración de GSLB entre los nodos maestro y esclavo. La sincronización en paralelo reduce el tiempo total necesario para completar la sincronización GSLB. Este proceso elimina cualquier retraso en la sincronización que pueda producirse por los siguientes motivos:

    • No se puede acceder a un nodo esclavo.
    • El nodo maestro tiene una enorme configuración para sincronizarse.
    • La configuración maestra cambia con frecuencia.

    [ NSLB-4808 ]

  • Se muestran mensajes de error detallados sobre el fallo de la sonda del monitor del usuario

    Las causas de los errores del sondeo del monitor del usuario se capturan en el archivo /var/nslog/nsumond.log. Ahora puede ver las causas de los errores de la sonda del monitor ejecutando el comando “show service/service group”. Anteriormente, el resultado del comando “show service/service group” mostraba un mensaje de error genérico que decía “error en la sonda”.

    [ NSLB-4804 ]

  • Se registran los mensajes de error correctos en caso de fallo de la sonda del monitor DBS

    En el caso del error del sondeo del monitor de DBS, cuando se resuelven los nombres de dominio pero no se puede acceder a las direcciones IP, el mensaje de última respuesta ahora muestra el motivo del error de la sonda. Anteriormente, el mensaje de última respuesta mostraba incorrectamente el motivo como Nombre de dominio no resuelto.

    [ NSLB-4626 ]

  • Soporte para el protocolo MongoDB

    El dispositivo Citrix ADC ahora admite los protocolos MongoDB y MongoDB-TLS para equilibrar la carga.

    [ NSLB-4137 ]

Redes

  • Compatibilidad con la conmutación por error de conexión para las reglas del INAT

    Las configuraciones de alta disponibilidad del dispositivo Citrix ADC admiten la conmutación por error de conexión para las conexiones INAT. El nodo principal envía los mapeos del INAT y otra información de conexión relacionada con el INAT al nodo secundario a intervalos regulares. El dispositivo secundario usa esta información solo en caso de conmutación por error.

    Cuando se produce una conmutación por error, el nuevo nodo principal tiene información sobre las conexiones INAT establecidas antes de la conmutación por error y, por lo tanto, continúa prestando servicio a esas conexiones incluso después de la conmutación por error.

    Desde la perspectiva del cliente, esta conmutación por error es transparente. Durante el período de transición, el cliente y el servidor pueden experimentar una breve interrupción y retransmisiones. La conmutación por error de conexión se puede habilitar según la regla INAT.

    Para habilitar la conmutación por error de conexión en una regla de INAT, habilite el parámetro connFailover (Connection Failover) de esa regla INAT específica mediante la CLI o la GUI.

    [ NSNET-11168 ]

  • Soporte de conmutación por error de conexión para conexiones FTP desde un puerto aleatorio del servidor FTP

    La conmutación por error de conexión permite que el nodo principal duplique la información de conexión y persistencia en el nodo secundario en una configuración de alta disponibilidad. La información de estado de la conexión se comparte con el nodo secundario de forma regular cuando se habilita la duplicación de la conexión.

    La configuración de alta disponibilidad del dispositivo Citrix ADC admite la conmutación por error de conexión para una conexión FTP para la que el servidor FTP utilice un puerto de datos aleatorio.

    El nodo principal envía la información de conexión relacionada con el FTP al nodo secundario a intervalos regulares. El dispositivo secundario usa esta información solo en caso de conmutación por error.

    Para habilitar la conmutación por error de conexión en una configuración de equilibrio de carga de tipo FTP, habilite el parámetro connFailover (Connection Failover) del servidor virtual de equilibrio de carga mediante la CLI o la GUI.

    Además, para permitir que el dispositivo Citrix ADC procese una conexión FTP para la que el servidor FTP utilice un puerto aleatorio, debe habilitar el parámetro global Citrix ADC: aftpAllowRandomSourcePort (habilita la selección de puertos de origen aleatorios para el FTP activo).

    [ NSNET-7685 ]

  • Compatibilidad con el estándar IEEE LLDP MIB

    El dispositivo Citrix ADC ahora incluye LLDP SNMP MIB que cumple con el estándar IEEE.

    [ NSNET-6213 ]

Plataforma

  • Configurar una sonda de estado TCP para servidores virtuales UDP

    El dispositivo Citrix ADC admite la comprobación de estado externa basada en TCP para un servidor virtual UDP. Esta función introduce un detector TCP en el VIP del servidor virtual y el puerto configurado. Este detector TCP refleja el estado del servidor virtual.

    Para lograr lo anterior, se agrega el parámetro tcpProbePort a los siguientes tipos de servidores virtuales:

    • Servidor virtual de equilibrio de carga
    • Servidor virtual de redirección de caché
    • Servidor virtual de conmutación de contenido

    Esta función solo se admite en servidores virtuales a los que se les asigne una dirección IP o un conjunto de direcciones IP.

    [ NSPLAT-12345 ]

  • Opción para habilitar o inhabilitar el acceso a dom0

    Ahora puede habilitar o inhabilitar el acceso al dominio de control SDX (dom0). Con el acceso dom0, el usuario puede acceder directamente al dispositivo SDX y también cambiar la configuración. Anteriormente, el acceso dom0 estaba habilitado de forma predeterminada. Al actualizar a la versión 12.1 56/13.0 xx desde la versión anterior, se inhabilitará el acceso a dom0.
    Para habilitar el acceso dom0, desde la GUI del SDX, vaya a Sistema > Configuración de red. En Compatibilidad con dispositivos, marque la casilla Configurar la compatibilidad del dispositivo.

    [ NSPLAT-11065 ]

  • Implemente instancias VPX en Microsoft Azure Stack

    Ahora puede implementar instancias VPX en Azure Stack.

    [ NSPLAT-9737 ]

Directivas

  • Soporte para proporcionar comentarios para entradas de valores clave enlazadas a un mapa de cadenas

    El comando “bind policy stringmap” ahora le permite proporcionar comentarios para cada entrada clave-valor enlazada a un mapa de cadenas.
    Comando de CLI:
    bind policy stringmap [-comment]
    Donde,
    Comment proporciona comentarios sobre las entradas clave-valor de un mapa de cadenas

    [ NSPOLICY-3297 ]

  • Soporte para caracteres binarios en una cadena o literales de caracteres

    Un dispositivo Citrix ADC ahora admite valores ASCII y binarios en una cadena o literales de caracteres para el juego de caracteres ASCII (predeterminado).
    Ejemplo
    CLIENT.TCP.PAYLOAD(100).CONTAINS(“xffx02”)

    [ NSPOLICY-3283 ]

SSL

  • Nueva alarma SNMP para el tipo de cambio del ECDHE

    El intercambio de claves basado en el ECDHE puede provocar que se cancelen las transacciones por segundo en el dispositivo. Ahora puede configurar una alarma SNMP para transacciones basadas en ECDHE. En esta alarma, puede establecer el umbral y los límites normales para el tipo de cambio del ECDHE. Se agrega un contador nsssl_tot_sslInfo_ECDHE_Tx nuevo. Este contador es la suma de todos los contadores de transacciones basados en ECDHE en el front-end y el back-end del dispositivo. Cuando el intercambio de claves basado en ECDHE cruza los límites configurados, se envía una captura SNMP. Se envía otra trampa cuando el valor vuelve al valor normal configurado.

    [ NSSSL-7450 ]

  • Compatibilidad con el protocolo DTLSv1.2 en la interfaz de los dispositivos Citrix ADC que contienen chips SSL Intel Coleto

    El protocolo DTLS 1.2 ahora es compatible con la interfaz de los dispositivos Citrix ADC que contienen chips SSL Intel Coleto. Al configurar un servidor virtual DTLS, ahora debe especificar DTLS1 o DTLS12.
    Los siguientes dispositivos vienen con chips Intel Coleto:

    • MPX 59xx
    • MPX/SDX 89xx
    • MPX/SDX MPX 26xxx
    • MPX/SDX 26xxx-50S
    • MPX/SDX 26xxx-100G
    • MPX/SDX 15xxx-50G

    [ NSSSL-7189 ]

  • Soporte para gestionar las respuestas de OCSP con un ID de certificado basado en SHA2

    El dispositivo Citrix ADC ahora puede procesar las respuestas de OCSP que contengan el ID de certificado basado en SHA2 o sus variantes (SHA-224, SHA-256, SHA-384, SHA-512). Anteriormente, se agotaba el tiempo de espera de las solicitudes de OCSP si la respuesta de OCSP correspondiente se recibía con un identificador de certificado basado en SHA2 porque el ID del certificado de respuesta no coincidía con el ID de certificado basado en SHA1 utilizado al enviar la solicitud de OCSP. Como resultado, el protocolo de enlace SSL falló según el estado de la autenticación del cliente y de la comprobación de OCSP configurados en el servidor virtual.

    [ NSHELP-20399 ]

Sistema

  • Configuración del límite máximo para marcos HTTP/2

    Ahora puede modificar la configuración predeterminada del número máximo de fotogramas (como PING, RESET, SETTING y EMPTY) recibidos en una conexión HTTP/2. Si el dispositivo recibe más fotogramas que el límite máximo, cierra la conexión de forma silenciosa.

    [ NSBASE-9447 ]

  • Solicitar un reintento para el tráfico de ADC Ingress

    Cuando un cliente envía una solicitud HTTP o HTTPS y si el servidor de fondo restablece la conexión TCP, la función de reintento de solicitud permite al dispositivo Citrix ADC elegir el siguiente servicio disponible y reenviar la solicitud, en lugar de enviar un restablecimiento al cliente. Al volver a intentarlo, el cliente guarda el RTT cuando el dispositivo inicia la misma solicitud para el siguiente servicio disponible.
    La función de reintento de solicitud se aplica al siguiente caso de error:

    • RESTABLECE desde un servidor de fondo cuando un dispositivo envía un paquete de datos de solicitud.

    Nota: Actualmente, el reintento de solicitud solo se aplica a los protocolos HTTP y SSL.

    [ NSBASE-8288 ]

  • Compatibilidad con el protocolo Proxy

    Un dispositivo Citrix ADC ahora usa el protocolo Proxy para transportar de forma segura la información de conexión del cliente al servidor a través de todos los dispositivos de la capa proxy. El dispositivo agrega un encabezado de protocolo proxy que inserta los detalles de la conexión del cliente y los reenvía a otros dispositivos y, a continuación, al servidor de fondo. A continuación se muestran algunos de los casos de uso de un protocolo proxy en un dispositivo Citrix ADC.

    • Conocer la dirección IP original del cliente
    • Seleccionar un idioma para un sitio web
    • Incluir en la lista de prohibidos las direcciones IP seleccionadas
    • Registrar y recopilar estadísticas

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/proxy-protocol.html

    [ NSBASE-4984 ]

Interfaz de usuario

  • Los enlaces de SCOM no están disponibles actualmente en la página de descargas de la GUI de Citrix ADC.

[ NSUI-14323 ]

  • Dirección IP del cliente en una opción TCP

    La página GUI del perfil TCP ahora le permite configurar los parámetros clientiptcpoption y clientiptcpoptionnumber para enviar la dirección IP del cliente al servidor de fondo.

    [ NSUI-13991 ]

Problemas resueltos

Los problemas que se abordan en la compilación 13.0-52.24.

AppFlow

  • En HDX Insight, el tiempo de actividad de las sesiones finalizadas muestra el tiempo de actividad real de la sesión independientemente del intervalo seleccionado.

    [ NSHELP-21380 ]

Autenticación, autorización y auditoría

  • Un dispositivo Citrix ADC omite al usuario para considerar otros grupos en las siguientes condiciones:
    • Un usuario es un miembro directo del grupo anidado.
    • Un usuario ya es miembro de grupos de niveles anteriores.

    [ NSHELP-21945 ]

  • En una configuración de clústeres y alta disponibilidad de Citrix ADC, un retraso en la liberación de espacio de memoria provoca que la memoria se acumule.

    [ NSHELP-21917 ]

  • Un dispositivo Citrix ADC puede bloquearse durante el registro de auditoría si se solicita la autenticación del usuario con una solicitud de inicio de sesión adicional, como un cambio de contraseña o una impugnación de RADIUS.

    [ NSHELP-21703 ]

  • Un dispositivo Citrix Gateway configurado como IDP de SAML para iniciar sesión en Workspace puede, en ocasiones, devolver un error HTTP 404 durante el cierre de sesión.

    [ NSHELP-21650 ]

  • Un dispositivo Citrix ADC puede fallar durante la limpieza de la conexión si se cumplen las siguientes condiciones:
    • El tráfico se enruta desde una configuración de VPN.
    • El inicio de sesión único está en curso.
    • Problema de sincronización poco frecuente al cerrar la conexión de un cliente.

    [ NSHELP-21504 ]

  • Es posible que un dispositivo Citrix ADC implementado para Kerberos multidominio no pueda realizar el SSO si el parámetro kcdAccount se configura mediante un archivo keytab.

    [ NSHELP-21406 ]

  • Un dispositivo Citrix ADC configurado como proxy de reenvío no permite la autenticación NTLM con clientes HTTP 1.0.

    [ NSHELP-21349 ]

  • En raras ocasiones, un dispositivo Citrix Gateway puede bloquearse cuando se recibe un paquete HTTP no válido.

    [ NSHELP-21342 ]

  • Un dispositivo Citrix ADC que utilice un protocolo NTLM no puede realizar el SSO para los clientes de la Interfaz de programación de aplicaciones de mensajería (MAPI).

    [ NSHELP-21270 ]

  • Un dispositivo Citrix ADC puede fallar durante la autenticación, la autorización y la auditoría cuando un motor de paquetes genera una respuesta de eliminación de sesiones duplicadas.

    [ NSHELP-21172 ]

  • Si Citrix ADC está configurado para el SSO basado en formularios y se especifican los pares nombre-valor en la configuración, estos valores se ignoran si los valores están ausentes en el formulario.

    [ NSHELP-21139 ]

  • En raras ocasiones, se produce un error al iniciar sesión en nFactor si se cumplen las dos condiciones siguientes:
    • El dispositivo Citrix ADC está configurado para la autenticación por certificados con una alternativa a LDAP.
    • Se produce un error en la autenticación del certificado.

    [ NSHELP-21118 ]

  • En ocasiones, un dispositivo Citrix ADC implementado como SAML puede no realizar el cierre de sesión basado en SAML.

    [ NSHELP-21093 ]

  • La página nFactor Flows de la GUI de Citrix ADC no se abre con Internet Explorer.

    [ NSHELP-21065 ]

  • El parámetro SAML metadataURL no funciona después de reiniciar un dispositivo Citrix ADC.

    [ NSHELP-21006 ]

  • En raras ocasiones, el dispositivo Citrix Gateway puede fallar cuando se pide a los usuarios un código de un solo uso.

    [ NSHELP-20967 ]

  • Un SSO de Kerberos puede fallar cuando un dispositivo Citrix ADC se implementa en un entorno multidominio (dominio principal-secundario) y los usuarios se encuentran en el dominio principal y los servicios en el dominio secundario.

    [ NSHELP-20910 ]

  • Un dispositivo Citrix ADC puede fallar en las siguientes circunstancias:
    • Dispositivo Citrix ADC configurado con acciones de OAuth o SAML IDP, además de actualizar la información de metadatos de una fuente externa.
    • La configuración se cambia mientras se obtienen los datos de la fuente externa o si la autenticación está en curso. Se observa el mismo problema cuando se ejecuta el comando “clear config”.

    [ NSHELP-20646 ]

  • En raras ocasiones, la autenticación falla si la conexión al servidor LDAP se realiza a través de HTTPS.

    [ NSHELP-20181 ]

  • Cuando el cliente de sincronización activa envía una solicitud HEAD, el dispositivo Citrix ADC no autentica la respuesta 200 OK.

    [ NSHELP-20125 ]

  • El acceso del RBA a los nodos del clúster se interrumpe debido a un problema de funcionamiento del DHT. Se agregan contadores adicionales para gestionar este caso.

    [ NSHELP-20028 ]

  • En casos aislados, se produce un daño en la memoria que provoca un volcado del núcleo y, al mismo tiempo, borra una entrada de sesión de autenticación, autorización y auditoría de una VPN SSL dañada una vez transcurrido el tiempo de espera.

    [ NSHELP-19775 ]

  • El atributo LDAP DN obtenido del dispositivo AD al dispositivo Citrix ADC se trunca si la longitud del atributo es superior a 128 bytes.

    [ NSAUTH-7210 ]

  • En una configuración de clústeres y alta disponibilidad de Citrix ADC, es posible que el dispositivo se bloquee al actualizar el dispositivo de la versión 12.1, compilación 55.13, a la versión 12.1, compilación 55.18. El bloqueo se produce si Citrix Gateway o las funciones de autenticación, autorización y auditoría están habilitadas en el dispositivo.

    [ NSAUTH-7153 ]

  • El cambio de protocolo de HTTP a WebSockets falla cuando se configura el SSO en un dispositivo Citrix ADC.

    [ NSAUTH-6354 ]

  • Si edita el servidor virtual de autenticación mediante las opciones “Prueba de inicio de sesión de extremo a extremo” o “Probar conexión de usuario final” de la página Crear servidor LDAP de autenticación de la GUI de Citrix ADC, aparece un mensaje de error.

    [ NSAUTH-6339 ]

Dispositivo Citrix ADC SDX

  • Al agregar un servidor LDAP en SDX GUI > Configuración > Sistema > Autenticación > LDAP, los caracteres especiales utilizados en el cuadro de texto de entrada del formulario no se decodifican antes de mostrarse. Además, el carácter “&” del campo DN base se sustituye por “&”.

    [ NSHELP-21488 ]

  • Tras actualizar el dispositivo SDX a la versión 13.0 de cualquier compilación, las instancias de Citrix ADC aprovisionadas sin interfaces de administración (0/1, 0/2) dejan de estar accesibles.

    [ NSHELP-21412 ]

  • Si intenta reiniciar varias instancias VPX simultáneamente, ejecutándose en un dispositivo SDX, las interfaces de canal y datos de las instancias VPX desaparecerán del Servicio de administración de SDX.

    [ NSHELP-21124 ]

  • Tras actualizar un dispositivo SDX, es posible que el Servicio de administración de SDX no muestre las interfaces Ethernet. Esto ocurre si la parte del proceso posterior a la instalación de la actualización no se realiza correctamente.

    [ NSHELP-21068 ]

  • En un dispositivo SDX, es posible que ocasionalmente vea eventos con un uso elevado de la CPU. Este aumento se debe a que la copia de seguridad del dispositivo es un proceso que consume mucha CPU. El uso elevado de la CPU es temporal.

    [ NSHELP-21063 ]

  • El dispositivo pierde los detalles de la interfaz cuando se seleccionan más de tres instancias para reiniciarlas o apagarlas.

    [ NSHELP-21040 ]

Citrix Gateway

  • El plug-in de VPN de Windows se bloquea si el idioma del cliente del complemento está configurado en chino.

    [ NSHELP-21946 ]

  • El dispositivo Citrix ADC puede bloquearse cuando se configura para una VPN sin cliente avanzada.

    [ NSHELP-21819 ]

  • Tras actualizar Citrix Gateway a la versión 13.0, compilación 47.24, se produce un error en la resolución de DNS a través del túnel VPN porque el servidor DNS local responde con un falso positivo.

    [ NSHELP-21794 ]

  • Las aplicaciones web empresariales pueden mostrar un error si las cookies se configuraron y caducan al mismo tiempo.

    [ NSHELP-21772 ]

  • La página de inicio de sesión de Citrix Gateway deja de responder si se utilizan temas personalizados basados en RfWebUI o nFactor con temas personalizados.

    [ NSHELP-21763 ]

  • Los enlaces de la aplicación de intranet al grupo de autenticación, autorización y auditoría se pierden al reiniciar el dispositivo Citrix ADC tras la actualización a la versión 13.0, compilación 47.x.

    [ NSHELP-21733 ]

  • No puede acceder a los enlaces que comiencen por “1https” o “0https”.

    [ NSHELP-21469 ]

  • No puede iniciar una aplicación mediante una VPN sin cliente avanzada mediante marcadores si el cuerpo POST de la aplicación VPN sin cliente contiene el código HTML ‘(comillas simples) o “(comillas dobles).

    [ NSHELP-21361 ]

  • El plug-in de VPN de Citrix Gateway puede tardar mucho en establecer un túnel hacia una máquina si no se puede acceder al archivo PAC proxy.

    [ NSHELP-21355 ]

  • En algunos casos, Citrix Gateway descarga el núcleo si se cumplen las siguientes condiciones:

    • La funcionalidad EDT Insight está habilitada para el dispositivo Citrix Gateway.
    • El dispositivo recibe un paquete CGP BINDRESP fuera de servicio del VDA.

    [ NSHELP-21296 ]

  • En algunas máquinas, los botones de la ventana de aviso de la EPA (SÍ, NO, SIEMPRE) no aparecen en la pantalla del complemento de la EPA.

    [ NSHELP-21276 ]

  • En una configuración de alta disponibilidad de Citrix Gateway, el nodo secundario se bloquea durante la sincronización de alta disponibilidad si el registro está habilitado en Citrix Web App Firewall global.

    [ NSHELP-21254 ]

  • Si ha configurado una VPN sin cliente (CVPN) en Citrix Gateway, es posible que el dispositivo se bloquee debido a una gestión de reescritura errónea.

    [ NSHELP-21244 ]

  • En una configuración de alta disponibilidad de Citrix Gateway, el nodo secundario podría bloquearse si Gateway Insight está habilitado.

    [ NSHELP-21184 ]

  • Si dos o más máquinas cliente intentan establecer una conexión de túnel VPN con la misma puerta de enlace, se produce un error en la conectividad de ping de una máquina cliente a otra máquina.

    [ NSHELP-21169 ]

  • A veces, el dispositivo Citrix ADC puede fallar durante el inicio de sesión de la transferencia.

    [ NSHELP-21134 ]

  • Los usuarios no pueden iniciar sesión en Citrix Gateway si el nombre de host del servidor virtual VPN contiene “cvpn” en su nombre.

    [ NSHELP-21119 ]

  • Si ha configurado el acceso VPN avanzado sin cliente, los marcadores de las aplicaciones SAP no se pueden ver correctamente si en las aplicaciones web empresariales se utiliza codificación, como (‘x3a’ o ‘&x3a’ para ‘:’).

    [ NSHELP-21072 ]

  • Un dispositivo Citrix ADC puede fallar y volcar el núcleo si se produce un error en la asignación de memoria para los bloques de control de procesos del cliente y el servidor.

    [ NSHELP-20961 ]

  • El servicio AlwaysOn con personalidad de usuario no puede establecer un túnel de usuario si hay varios certificados de dispositivo en el almacén de dispositivos.

    [ NSHELP-20897 ]

  • Los usuarios no pueden acceder a los recursos internos aunque la VPN esté conectada correctamente, pero los servidores DNS no están configurados correctamente para el adaptador virtual de Citrix.

    [ NSHELP-20892 ]

  • Las aplicaciones configuradas en StoreFront no aparecen en la página principal de Citrix Gateway si se cumplen todas las condiciones siguientes:
    • WiHome está configurado.
    • Se habilita el acceso avanzado a la VPN sin cliente.
    • El usuario inicia sesión desde Internet Explorer o Firefox.

    [ NSHELP-20888 ]

  • La autenticación de nFactor falla si el Protocolo de estado del certificado en línea (OCSP) está habilitado para comprobar el certificado del dispositivo.

    [ NSHELP-20855 ]

  • Si la tunelización dividida inversa está habilitada, las rutas de la intranet se agregan con valores de prefijo incorrectos o no se agregan en absoluto.

    [ NSHELP-20825 ]

  • En una configuración de alta disponibilidad de Citrix Gateway, es posible que el nodo secundario se bloquee si no se configuran directivas y se actualiza el nodo de la versión 12.0 a la 13.0.

    [ NSHELP-20790 ]

  • Aparece una pantalla en blanco y las aplicaciones de StoreFront no se enumeran durante el inicio de sesión de la transferencia si se cumplen las dos condiciones siguientes:
    • SplitTunnel está activado.
    • La opción de grupo de direcciones IP (IP de intranet) está configurada en NoSpillOver.

    [ NSHELP-20584 ]

  • En una configuración de alta disponibilidad, durante la conmutación por error de Citrix ADC, los iconos de algunas de las aplicaciones de la carpeta /var/netscaler/logon.

    [ NSHELP-20573 ]

  • Cuando no se puede acceder a los servidores de fondo, los clientes se quedan sin conexiones y no hay ninguna conexión nueva al back-end que funcione correctamente.

    [ NSHELP-20535 ]

  • En una configuración de alta disponibilidad, el nodo secundario se bloquea cada vez que se propaga al nodo principal una sesión de autenticación, autorización y auditoría o una sesión de VPN que contenga información relacionada con SAML.

    [ NSHELP-20230 ]

  • En algunos casos, el Citrix Gateway orientado hacia el exterior, en una implementación de doble salto con ICA Insight activado, descarga el núcleo para un patrón de tráfico de red determinado.

    [ NSHELP-19487 ]

  • Ahora puede configurar los parámetros de RFWebUI, como loginFormTimeout y Session timeout, modificando el archivo plugins.xml.

    [ NSHELP-19221 ]

  • Si el número de sesiones de autenticación, autorización y auditoría es elevado, se tarda más en finalizar una sesión de usuario.

    [ NSHELP-19131 ]

  • Tras actualizar el complemento Citrix ADC y Gateway a la versión 13.0, compilación 41.20, los usuarios experimentan un error continuo de pantalla azul (BSOD) al intentar configurar el túnel VPN.

    [ CGOP-12099 ]

Citrix Web App Firewall

  • El dispositivo Citrix ADC bloquea las URL de cierre después de dos minutos si la protección de cierre de URL está habilitada.

    [ NSWAF-3292 ]

  • Un dispositivo Citrix ADC puede bloquearse si un perfil de Web App Firewall utiliza las acciones directivas APPFW_DROP y APPFW_RESET.

    [ NSHELP-21283 ]

  • Un dispositivo Citrix ADC puede fallar cuando se utilizan APPFW_DROP y APPFW_RESET como acciones de directiva de Web App Firewall.

    [ NSHELP-21220 ]

  • El dispositivo Citrix ADC podría bloquearse debido a un error de memoria si la función Citrix Web App Firewall está habilitada.

    [ NSHELP-21201 ]

  • Un dispositivo Citrix ADC puede bloquearse debido a un error en la asignación de memoria.

    [ NSHELP-21071 ]

  • Un dispositivo Citrix ADC puede bloquearse si la función de firma está habilitada y se detecta un patrón de solicitud específico.

    [ NSHELP-20884 ]

  • Un dispositivo Citrix ADC restablece la conexión si una solicitud GWT entrante tiene una cadena de consulta en la URL.

    [ NSHELP-20564 ]

  • Tras una actualización de la compilación 12.0-58.15 a la 12.0-62.8, la función de transformación de URL no funciona para algunas URL. El problema se debe a una canonicalización incorrecta al reescribir las URL.

    [ NSHELP-20460 ]

  • En una configuración de alta disponibilidad, habilitar la función de reputación IP puede provocar errores en la propagación de comandos de alta disponibilidad.

    [ NSHELP-20010 ]

  • Un dispositivo Citrix ADC puede fallar si utiliza un servidor FTP/HTTP lento para descargar firmas y si el tiempo de descarga es superior a 10 minutos.

    [ NSHELP-18331 ]

Agrupar en clústeres

  • Al ejecutar el comando show techsupport -scope cluster, aparece el siguiente error en todos los dispositivos Citrix ADC SDX:

    “Se trata de una instancia con poco ancho de banda”

    [ NSHELP-20666 ]

Equilibrio de carga

  • El dispositivo Citrix ADC puede bloquearse durante la sincronización GSLB. Este problema se produce cuando el comando “set gslb service” se ejecuta en un servicio GSLB inexistente.

    [ NSHELP-21304 ]

  • Tras la conmutación por error de conexión, cuando el dispositivo secundario se convierte en el nuevo dispositivo principal, se observa una pérdida de paquetes.

    [ NSHELP-21155 ]

  • Al ejecutar el comando “set service”, aparece el siguiente mensaje de error:
    “La dirección IP no se puede configurar en un servidor basado en un dominio. “

    Este mensaje de error aparece cuando el servidor está configurado con un nombre de más de 32 caracteres.

    [ NSHELP-20939 ]

  • El dispositivo Citrix ADC puede bloquearse de forma intermitente si el sondeo de solicitudes de vigilancia del dispositivo
    (DWR) está habilitado para la función de directivas y reglas de cobro (PCRF) y no se puede acceder a la PCRF.

    [ NSHELP-20827 ]

  • Para una configuración de GSLB en un clúster, al ejecutar el comando “set rpcnode”, la dirección IP de origen de un nodo RPC cambia a la dirección NSIP. Por lo tanto, GSLB utiliza la dirección NSIP en lugar de la dirección SNIP al iniciar una conexión MEP.

    [ NSHELP-20552 ]

  • En la configuración de un clúster, al ejecutar el comando “unset lb vserver test -redirectFromPort”, el puerto de redireccionamiento HTTP para el servidor virtual de equilibrio de carga no se borra de la base de datos.

    [ NSHELP-20518 ]

  • El dispositivo Citrix ADC puede fallar si se habilita la persistencia en la configuración de alta disponibilidad de IPv6.

    [ NSHELP-20219 ]

Redes

  • La CLI de un dispositivo Citrix ADC muestra mensajes de depuración no deseados cuando el dispositivo procesa paquetes fragmentados de IPv6.

    [ NSNET-12704 ]

  • Un dispositivo Citrix ADC BLX compatible con DPDK no se inicia y descarga el núcleo si el DPDK está mal configurado (por ejemplo, si las páginas enormes no están configuradas) en el host de Linux.

    Para obtener más información sobre la configuración de DPDK en un host de Linux para el dispositivo Citrix ADC BLX, consulte https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.html.

    [ NSNET-11349 ]

  • Un dispositivo Citrix ADC BLX no se inicia debido a una mala configuración de DPDK (por ejemplo, si las páginas enormes no están configuradas) en el host de Linux. Debe ejecutar el comando start (systemctl start blx) dos veces para iniciar el dispositivo Citrix ADC BLX.

    [ NSNET-11107 ]

  • El comando “sh IP BGP summary” de la línea de comandos de VTYSH muestra incorrectamente los valores ASN de 32 bits como valores negativos.

    [ NSHELP-21234 ]

  • En un dispositivo Citrix ADC, es posible que las conexiones de administración a las direcciones IP de subred IPv6 se restablezcan al realizar la operación básica de borrado de configuración.

    [ NSHELP-21206 ]

  • Durante la operación de configuración de particiones, la memoria máxima de la partición ahora aumenta solo hasta NS_SYS_MEM_FREE (). Anteriormente, se aumentaba hasta la memoria máxima disponible para que la partición configurada no se perdiera después de reiniciar el dispositivo Citrix ADC.

    [ NSHELP-21159 ]

  • El Citrix ADC no puede instalar de sistema intermedio a sistema intermedio (IS-IS) en el siguiente salto porque falta información de autenticación (AUTH) en las PDU de estado de enlace (LSP) de gran tamaño recibidas.

    [ NSHELP-21062 ]

  • El daemon BGP puede mostrar mensajes de advertencia duplicados para una ruta eliminada de la tabla de enrutamiento de Citrix ADC.

    [ NSHELP-20906 ]

  • Tras el reinicio del sistema, el dispositivo Citrix ADC anuncia las rutas con una métrica reducida durante 180 segundos.

    [ NSHELP-20842 ]

  • Es posible que el dispositivo Citrix ADC no actualice correctamente las rutas ECMP cuando varias
    sesiones de BGP pasen al estado “INACTIVO” simultáneamente.

    [ NSHELP-20664 ]

  • El dispositivo Citrix ADC puede omitir las reglas de rutas basadas en directivas (PBR) para los paquetes de monitor salientes de tipo UDP e ICMP.

    [ NSHELP-20545 ]

NSSWG

  • En una expresión de URLSet compuesta, como .URLSET_MATCHES_ANY(URLSET1 || URLSET2), el campo “Urlset Matched” de un registro de appflow refleja solo el estado del último URLSet evaluado. Por ejemplo, si la URL solicitada pertenece únicamente a URLSET1, el campo URLSet Matched se establece en 0, aunque la URL pertenece a uno de los conjuntos de URL. Como resultado, el URLSET1 cambia el campo URLSet Matched a 1, pero el URLSET2 lo vuelve a establecer en 0.

    [ NSSWG-1100 ]

  • La categorización del filtrado de URL falla si una URL entrante tiene una barra doble después del nombre de dominio. Se antepone el esquema “http://”. Por ejemplo, www.example.com//index.html

    [ NSSWG-1082 ]

  • Se observa el siguiente comportamiento en un dispositivo Citrix ADC y en Citrix Gateway:

    • Es posible que el dispositivo Citrix ADC deje de responder cuando se implementa como proxy y se habilita el SSO para las aplicaciones de fondo.
    • Se observa el mismo comportamiento en Citrix Gateway con la configuración de proxy de salida.

    [ NSHELP-21437 ]

Plataforma

  • Al reiniciar en caliente el dispositivo Citrix ADC VPX, es posible que se pierdan las licencias de suscripción en las siguientes condiciones:

    • Uso de tipos de instancias de AWS basados en Elastic Network Adapter (ENA): C5, C5n, M4 y M5.
    • Habilitar la interfaz ENA en las instancias de AWS compatibles existentes.

    [ NSPLAT-13467 ]

  • Las paradas de Tx pueden producirse en los dispositivos Citrix ADC MPX que utilizan puertos IXGBE de 10 G y en los dispositivos Citrix ADC SDX que utilizan puertos IXGBEVF de 10 G.

    [ NSPLAT-13338 ]

  • Compatibilidad con las nuevas plataformas de hardware Citrix ADC SDX
    Esta versión ahora admite las siguientes plataformas nuevas:

    [ NSPLAT-12815 ]

  • Tras actualizar los dispositivos Citrix ADC SDX 8900 y SDX 15000 50G a la versión 11.1 63.9, las NIC de 10 G no aparecen en los dispositivos. Este problema impide que las instancias VPX se inicien. Como resultado, las instancias se vuelven inalcanzables.

    [ NSPLAT-12093 ]

  • En una configuración de clúster, cuando el puerto 50G de un dispositivo MPX 15000 se configura como parte de la placa base, la MTU del puerto 50G se establece en cero en lugar de 1578.

    [ NSHELP-21113 ]

  • En algunos casos, al reiniciar una o más instancias VPX en un dispositivo Citrix ADC SDX que contiene NIC de Fortville, el LACP de las interfaces puede pasar al estado “predeterminado”.

    [ NSHELP-21091 ]

  • En algunos casos, es posible que el dispositivo SDX 14000 deje de responder y necesite reiniciarse.

    [ NSHELP-21017 ]

  • En la implementación de VPX en la plataforma Cisco CSP 2100, ocasionalmente se pueden perder paquetes cuando se crea más de una función virtual (VF) a partir de la tarjeta de interfaz de red física (pNIC).

    [ NSHELP-20991 ]

  • Se puede observar un estancamiento de Tx en los dispositivos que contienen interfaces de Fortville si un paquete abarca más de ocho descriptores. La parada puede provocar que la interfaz entre en estado de desactivación por error.

    [ NSHELP-20800 ]

Directivas

  • El dispositivo Citrix ADC ahora permite todos los literales de cadenas y caracteres que incluyan caracteres binarios. Sin embargo, los conjuntos de caracteres UTF-8 siguen requiriendo que la cadena y los literales de caracteres sean un UTF-8 válido.

    Anteriormente, el dispositivo solo permitía literales de caracteres y cadenas UTF-8 válidos. Esto era cierto tanto para los conjuntos de caracteres UTF-8 como para los binarios (ASCII). Sin embargo, esto no permitía algunos literales binarios de cadenas y caracteres, lo que significaba que no se podían escribir algunas expresiones válidas relacionadas con el contenido binario.
    Ejemplo:

    CLIENT.TCP.PAYLOAD(100).CONTAINS(“xffx02”)

    [ NSPOLICY-2362 ]

  • Un dispositivo Citrix ADC puede fallar si hay pocos búferes de red al reescribir datos fragmentados.

    [ NSHELP-20847 ]

SSL

  • En algunos casos, los siguientes dispositivos pueden fallar al ejecutar tráfico SSL:
    • MPX 59xx
    • MPX/SDX 89xx
    • MPX/SDX MPX 26xxx
    • MPX/SDX 26xxx-50S
    • MPX/SDX 26xxx-100G
    • MPX/SDX 15xxx-50G

    [ NSSSL-7606 ]

  • La autenticación de cliente basada en directivas con verificación obligatoria del certificado falla si la autenticación del cliente con certificado de cliente opcional también está configurada en el servidor virtual.

    [ NSHELP-21190 ]

  • Para las sesiones habilitadas para el SNI, el dispositivo ADC puede controlar la forma en que se valida el encabezado del host. Se agrega un nuevo parámetro SNIHTTPHostMatch al perfil SSL y a los parámetros globales de SSL para tener un mejor control de esta validación. Este parámetro puede tomar tres valores: CERT, STRICT y NONE. El SNI debe estar habilitado en el servidor virtual SSL o en el perfil enlazado al servidor virtual, y la solicitud HTTP debe contener el encabezado del host.

    [ NSHELP-13370 ]

Sistema

  • Los informes de análisis no aparecen en la GUI de Citrix ADM si:
    1. Instale ADM 12.1.52.15 o posterior.
    2. Seleccione el modo de transporte Logstream para configurar el análisis de las instancias.

    [ NSHELP-21618 ]

  • Un dispositivo Citrix ADC no restablece las transmisiones HTTP/2 en una conexión de cliente con un RST_STREAM de HTTP/2 después de un tiempo de espera de inactividad.

    [ NSHELP-21537 ]

  • La conexión de un cliente deja de responder si habilita la multiplexación en un perfil HTTP/2 en un dispositivo Citrix ADC.

    [ NSHELP-21434 ]

  • Un dispositivo Citrix ADC no reenvía una respuesta al cliente si contiene encabezados de tráiler y de longitud de contenido.

    [ NSHELP-21427 ]

  • Un dispositivo Citrix ADC puede bloquearse si se produce un error en la asignación de memoria para el monitor seguro HTTP/2.

    [ NSHELP-21400 ]

  • Un dispositivo Citrix ADC puede bloquearse si se produce un error en la acción de appQoE.

    [ NSHELP-21393 ]

  • Una transacción HTTP puede fallar si un dispositivo Citrix ADC envía una solicitud HTTP/2 con varios pares de nombre-valor de cookie al servidor de fondo.

    [ NSHELP-21373 ]

  • Un dispositivo Citrix ADC puede bloquearse si recibe una solicitud HTTP/1.1 con una versión HTTP/2.0. Para cualquier solicitud de cliente con una versión HTTP/2.0, el dispositivo la considera como una solicitud HTTP/2.0 y la procesa. Esto lleva a un accidente.

    [ NSHELP-21187 ]

  • Un dispositivo Citrix ADC podría bloquearse si las medidas del lado del cliente de Appflow están habilitadas al ofrecer respuestas HTTP de gran tamaño.

    [ NSHELP-21099 ]

  • En una configuración de clúster, el dispositivo Citrix ADC puede fallar al iniciar una nueva conexión MPTCP si las 4 tuplas se reutilizan con una clave MPTCP diferente antes de que se agote el tiempo de espera de la conexión original en el dispositivo Citrix ADC.

    [ NSHELP-20844 ]

  • La conexión de datos FTP en modo pasivo deja de responder durante la implementación del servidor virtual transparente en modo MAC.

    [ NSHELP-20698 ]

  • El uso de memoria aumenta si se habilita el protocolo proxy y si la retransmisión se produce debido a la congestión de la red.

    [ NSHELP-20613 ]

  • El comando show connectiontable muestra algunas entradas que no cumplen con el filtro mencionado en las siguientes condiciones:
    • El comando se ejecuta en condiciones de mucho tráfico.
    • El comando se usa con un filtro IP o de puerto.

    [ NSBASE-9509 ]

Interfaz de usuario

  • La licencia de capacidad agrupada de Citrix ADC puede fallar si la latencia es alta entre ADC y ADM. Este problema se produce si la latencia es superior a 200 ms.

    El cliente de licencias Citrix ADC intenta retirar las licencias de ADM repetidamente. En una configuración de clústeres y alta disponibilidad, las configuraciones de licencias se vuelven a aplicar innecesariamente cada vez que se activa la sincronización. La propagación y la sincronización de los comandos de licencias agrupadas están inhabilitadas. Cada nodo debe tener una licencia independiente iniciando sesión en el NSIP del nodo. Solo puede ejecutar los comandos show en la IP del clúster.

    [ NSUI-14868 ]

  • Tras la actualización a la compilación 12.1-55.x, es posible que el dispositivo se inicie sin licencia si está configurada la licencia de grupo. Como resultado, todas las funciones están inhabilitadas y cualquier configuración que dependa de la licencia no aparece en la configuración en ejecución. Realice un reinicio rápido para restaurar la licencia del grupo y la configuración.
    Precaución: No ejecute “save config” ni fuerce una conmutación por error de HA en un dispositivo sin licencia.

    [ NSUI-7869 ]

  • Ahora puede configurar la autenticación del cliente como opcional, en los parámetros SSL de un servidor virtual, mediante la interfaz gráfica de usuario. Anteriormente, la autenticación del cliente pasó a ser obligatoria si utilizaba la GUI para cambiar cualquier parámetro de SSL.

    [ NSHELP-21060 ]

  • Se observan excepciones de KeyError si la consulta de recuento no funciona en un dispositivo Citrix ADC.

    [ NSHELP-20979 ]

  • No puede buscar una entidad mediante el filtro de búsqueda de la GUI de ADC si el nombre de la entidad contiene un espacio.

    [ NSHELP-20506 ]

  • La autenticación basada en roles (RBA) no permite que los nombres de los grupos comiencen por el carácter “#”.

    [ NSHELP-20266 ]

  • Durante la implementación de una partición, un dispositivo particionado puede fallar si ejecuta los comandos “uiinternal” y, a continuación, “clear config” en la partición predeterminada.

    [ NSHELP-20247 ]

  • En algunos casos, el nombre de usuario (especificado con el carácter “%u”) de la cadena de consulta no se muestra correctamente.

    [ NSHELP-19991 ]

  • La interfaz de comandos Citrix ADC y la GUI no muestran la configuración de los parámetros de hora del sistema para algunas alarmas SNMP.

    [ NSHELP-19958 ]

  • No puede recuperar un archivo de respaldo mediante la GUI de NetScaler si el nombre del archivo tiene entre 61 y 63 caracteres, aunque el límite máximo sea de 63 caracteres.

    [ NSHELP-11667 ]

  • El dispositivo Citrix Gateway envía solicitudes de acceso RADIUS duplicadas al servicio de autenticación RADIUS por cada inicio de sesión en el dispositivo.

    [ NSHELP-11148 ]

Problemas conocidos

Los problemas que existen en la versión 13.0-52.24.

Autenticación, autorización y auditoría

  • Un dispositivo Citrix ADC no autentica los intentos de inicio de sesión con contraseñas duplicadas y evita los bloqueos de cuentas.

    [ NSHELP-563 ]

  • LoginSchema de DualAuthPushOrOTP.xml no aparece correctamente en la pantalla del editor de esquemas de inicio de sesión de la GUI de Citrix ADC.

    [ NSAUTH-6106 ]

  • El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando.
    Solución alternativa “show adfsproxyprofile
    “: conéctese al Citrix ADC activo principal del clúster y ejecute el comando “show adfsproxyprofile”. Mostraría el estado del perfil de proxy.

    [ NSAUTH-5916 ]

Citrix Gateway

  • En una configuración de alta disponibilidad de doble salto de Citrix Gateway, es posible que la conexión ICA se pierda tras una conmutación por error de HA.
    Solución alternativa: cambie el FQDN por la dirección IP del servidor del siguiente salto.

    [ NSHELP-22444 ]

  • En una configuración de alta disponibilidad de Citrix Gateway, el nodo secundario puede bloquearse durante una conmutación por error si está configurado syslog.

    [ NSHELP-22438 ]

  • El dispositivo Citrix Gateway puede bloquearse de forma intermitente si se configura una directiva de syslog.

    [ NSHELP-22304 ]

  • A veces, al navegar por los esquemas, aparece el mensaje de error “No se puede leer la propiedad ‘tipo’ indefinida”.

    [ NSHELP-21897 ]

  • En caso de que un dispositivo Citrix ADC esté configurado para la autenticación nFactor, si se produce un error de autenticación RADIUS, el dispositivo Citrix ADM muestra incorrectamente el tipo de autenticación fallido como “LDAP”.

    [ NSHELP-20440 ]

  • El informe de Gateway Insight muestra incorrectamente el valor “Local” en lugar de “SAML” en el campo Tipo de autenticación para errores de SAML.

    [ CGOP-13584 ]

  • La conexión ICA hace que se omita el análisis durante el análisis ICA si los usuarios utilizan el receptor MAC junto con la versión 6.5 de Citrix Virtual App and Desktops (anteriormente Citrix XenApp y XenDesktop).
    Solución alternativa: actualice el receptor a la versión más reciente de la aplicación Citrix Workspace.

    [CGOP-13532 ]

  • En una configuración de alta disponibilidad, durante la conmutación por error de Citrix ADC, el recuento de SR aumenta en lugar del recuento de conmutación por error en Citrix ADM.

    [ CGOP-13511 ]

  • En Outlook Web App (OWA) 2013, al hacer clic en “Opciones” en el menú de configuración, aparece el cuadro de diálogo “Error crítico”. Además, la página deja de responder.

    [ CGOP-7269 ]

Redes

  • Tras reiniciar el dispositivo Citrix ADC, es posible que el servicio de capa de transporte interno deje de registrarse. Como resultado, se produce un error en cualquier solicitud de servicio de protocolo de transporte del dispositivo.

    [ NSNET-15252 ]

  • Pueden aparecer los siguientes mensajes de error si configura más de 100 VLAN en la lista trunkallowedVlan de una interfaz de la instancia de Citrix ADC:
    ERROR: Se agotó el tiempo de espera de la operación
    ERROR: Error de comunicación con el motor de paquetes

    [ NSNET-4312 ]

  • En una configuración de alta disponibilidad, uno de los dispositivos Citrix ADC podría bloquearse si realiza la actualización del software en servicio (ISSU) desde la versión 13.0 47.24 o anterior del software Citrix ADC a una versión posterior.

    [ NSHELP-21701 ]

  • En una configuración de clúster con la opción retainConnectionsOnCluster habilitada, un nodo del clúster puede bloquearse al recibir paquetes fragmentados seguidos de paquetes no fragmentados.

    [ NSHELP-21674 ]

  • Cuando el dispositivo Citrix ADC esté limpiando una gran cantidad de conexiones al servidor como parte del comando remove, es posible que el proceso Pitboss se reinicie. Este reinicio de Pitboss podría provocar que el dispositivo ADC se bloquee.

    [ NSHELP-136 ]

Plataforma

  • La alarma de supervisión de estado tergiversa la numeración de la PSU. Cuando el cable de la fuente de alimentación se desconecta de la PSU - 1, la monitorización del estado envía una alarma incorrecta de que la PSU - 2 ha fallado.

    [ NSPLAT-4985 ]

Directivas

  • Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.
    Solución alternativa: cambie el FQDN por la dirección IP del servidor del siguiente salto.

    [ NSHELP-22444 ]

  • En una configuración de alta disponibilidad de Citrix Gateway, el nodo secundario puede bloquearse durante una conmutación por error si está configurado syslog.

    [ NSHELP-22438 ]

  • El dispositivo Citrix Gateway puede bloquearse de forma intermitente si se configura una directiva de syslog.

    [ NSHELP-22304 ]

  • A veces, al navegar por los esquemas, aparece el mensaje de error “No se puede leer la propiedad ‘tipo’ indefinida”.

    [ NSHELP-21897 ]

  • En caso de que un dispositivo Citrix ADC esté configurado para la autenticación nFactor, si se produce un error de autenticación RADIUS, el dispositivo Citrix ADM muestra incorrectamente el tipo de autenticación fallido como “LDAP”.

    [ NSHELP-20440 ]

  • El informe de Gateway Insight muestra incorrectamente el valor “Local” en lugar de “SAML” en el campo Tipo de autenticación para errores de SAML.

    [ CGOP-13584 ]

  • La conexión ICA hace que se omita el análisis durante el análisis ICA si los usuarios utilizan el receptor MAC junto con la versión 6.5 de Citrix Virtual App and Desktops (anteriormente Citrix XenApp y XenDesktop).
    Solución alternativa: actualice el receptor a la versión más reciente de la aplicación Citrix Workspace.

    [CGOP-13532 ]

  • En una configuración de alta disponibilidad, durante la conmutación por error de Citrix ADC, el recuento de SR aumenta en lugar del recuento de conmutación por error en Citrix ADM.

    [ CGOP-13511 ]

  • En Outlook Web App (OWA) 2013, al hacer clic en “Opciones” en el menú de configuración, aparece el cuadro de diálogo “Error crítico”. Además, la página deja de responder.

    [ CGOP-7269 ]

Redes

  • Tras reiniciar el dispositivo Citrix ADC, es posible que el servicio de capa de transporte interno deje de registrarse. Como resultado, se produce un error en cualquier solicitud de servicio de protocolo de transporte del dispositivo.

    [ NSNET-15252 ]

  • Pueden aparecer los siguientes mensajes de error si configura más de 100 VLAN en la lista TrunkAllowedVLAN de una interfaz de la instancia de Citrix ADC:
    ERROR: Se agotó el tiempo de espera de la operación
    ERROR: Error de comunicación con el motor de paquetes

    [ NSNET-4312 ]

  • En una configuración de alta disponibilidad, uno de los dispositivos Citrix ADC podría bloquearse si realiza la actualización del software en servicio (ISSU) desde la versión 13.0 47.24 o anterior del software Citrix ADC a una versión posterior.

    [ NSHELP-21701 ]

  • En una configuración de clúster con la opción retainConnectionsOnCluster habilitada, un nodo del clúster puede bloquearse al recibir paquetes fragmentados seguidos de paquetes no fragmentados.

    [ NSHELP-21674 ]

  • Cuando el dispositivo Citrix ADC esté limpiando una gran cantidad de conexiones al servidor como parte del comando remove, es posible que el proceso Pitboss se reinicie. Este reinicio de Pitboss podría provocar que el dispositivo ADC se bloquee.

    [ NSHELP-136 ]

Plataforma

  • La alarma de supervisión de estado tergiversa la numeración de la PSU. Cuando el cable de la fuente de alimentación se desconecta de la PSU - 1, la monitorización del estado envía una alarma incorrecta de que la PSU - 2 ha fallado.

    [ NSPLAT-4985 ]

Directivas

  • Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.

    Solución temporal: Establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

    [ NSPOLICY-1267 ]

  • Es posible que la acción de reescritura del tipo insert_after no funcione con una respuesta HTTP fragmentada o finalizada con FIN.

    [ NSHELP-22743 ]

SSL

  • El comando Actualizar no está disponible para los siguientes comandos de adición:
    • agregar aplicación azure
    • add azure keyvault
    • agregar ssl certkey con la opción hsmkey

    [ NSSSL-6484 ]

  • No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

    [ NSSSL-6478 ]

  • Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo Citrix ADC no devuelve ningún error.

    [ NSSSL-6213 ]

  • El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM.
    ERROR: Actualización de crl inhabilitada

    [ NSSSL-6106 ]

  • La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster (esta opción no se puede inhabilitar).

    [ NSSSL-4427 ]

  • Si intenta cambiar el protocolo SSL o el cifrado del perfil SSL, aparece un mensaje de advertencia incorrecto, titulado “Advertencia: no hay cifrados utilizables configurados en el servidor o servicio SSL”.

    [ NSSSL-4001 ]

  • En raras ocasiones, el dispositivo Citrix ADC puede fallar debido a la falta de latidos cardíacos.

    [ NSHELP-21593 ]

  • En una configuración de clúster, la configuración en ejecución en la dirección IP (CLIP) del clúster muestra el grupo de cifrado DEFAULT_BACKEND vinculado a entidades, mientras que falta en los nodos. Se trata de un problema de visualización.

    [ NSHELP-13466 ]

Sistema

  • Un dispositivo Citrix ADC puede bloquearse durante la implementación si se cumplen las siguientes condiciones:
    • El TCP multiruta (MPTCP) está habilitado con MBF y PMTUD
    • Se recibe el tráfico MPTCP y la respuesta provoca el error ICMP Fragmentation Needed.

    [ NSHELP-22418 ]

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen las siguientes condiciones:
    • La memoria caché flash está habilitada.
    • Se restablece la conexión del cliente.
    • Solicitud del cliente en la cola para ser atendida como parte del proceso de almacenamiento en caché.

    [ NSHELP-21872 ]

  • Se observa un uso elevado de memoria si se habilita la función HTTP/2 y si se descarga un archivo grande (si el tamaño del archivo es superior o igual a un GB). El problema se produce con clientes lentos si los datos descargados se almacenan en búferes, lo que provoca una utilización excesiva de los recursos.

    [ NSHELP-20531 ]

Interfaz de usuario

  • El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

    Solución temporal: Configure los conectores de Cloudbridge agregando perfiles IPSec, túneles IP y reglas de PBR mediante la GUI o CLI de Citrix ADC.

    [ NSUI-13024 ]

  • Al utilizar la barra de desplazamiento del panel de control de Syslog de la GUI de Citrix ADC, la página se desplaza rápidamente o muestra espacios en blanco.

    [ NSHELP-21267 ]

  • Si usted (administrador del sistema) realiza todos los pasos siguientes en un dispositivo Citrix ADC, es posible que los usuarios del sistema no inicien sesión en el dispositivo Citrix ADC degradado.

    1. Actualice el dispositivo Citrix ADC a la versión 13.0 52.24,
    2. Agregar un usuario del sistema o cambiar la contraseña de un usuario del sistema existente y guardar la configuración, y
    3. Rebaja la versión del dispositivo Citrix ADC a cualquier versión anterior.

    Para mostrar la lista de estos usuarios del sistema mediante la CLI:
    En la línea de comandos, escriba:

    query ns config -changedpassword [-config ]

    Solución temporal:

    Para solucionar este problema, utilice una de las siguientes opciones independientes:

    • Si el dispositivo Citrix ADC aún no se ha rebajado (paso 3 de los pasos mencionados anteriormente), revierta la versión del dispositivo Citrix ADC con un archivo de configuración del que se ha creado previamente una copia de seguridad (ns.conf) de la misma compilación de la versión.

    • Cualquier administrador del sistema cuya contraseña no se haya cambiado en la compilación actualizada puede iniciar sesión en la compilación degradada y actualizar las contraseñas de otros usuarios del sistema.

    • Si ninguna de las opciones anteriores funciona, el administrador del sistema puede restablecer las contraseñas de usuario del sistema. Para obtener más información, consulte: https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [ NSCONFIG-3188 ]

Notas de lanzamiento para la versión 13.0-52.24 de Citrix ADC