ADC

Notas de lanzamiento para la versión 13.0-58.32 de Citrix ADC

Este documento de notas de la versión describe las mejoras y los cambios, los problemas resueltos y conocidos que existen en la versión 13.0-58.32 de Citrix ADC.

Notas

  • Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.
  • La compilación 58.32 reemplaza a la compilación 58.30
  • Correcciones adicionales en esta compilación: NSAUTH-8617, NSAUTH-8712

Novedades

Las mejoras y los cambios que están disponibles en la compilación 13.0-58.32.

Citrix Gateway

  • Mejoras en DTLS Listener

    El usuario ahora puede configurar un servidor virtual VPN DTLS independiente con la misma IP y número de puerto de un servidor virtual VPN SSL configurado. La configuración de los servidores virtuales VPN de DTLS permite al usuario vincular los cifrados y certificados DTLS avanzados. Además, se admite el protocolo DTLS 1.2, además del protocolo DTLS 1.0 admitido anteriormente.

    [CGOP-11142]

Citrix Web App Firewall

  • Estadísticas de gestión de bots

    La GUI de administración de bots de Citrix ADC ahora muestra el tráfico de bots y las estadísticas de infracciones de bots en formato tabular y gráfico.

    [ NSWAF-5270 ]

  • Soporte de bots para la configuración de clústeres

    La administración de bots de Citrix ADC ahora se admite en una configuración en clúster.

    [NSWAF-4227]

  • Validación de CAPTCHA para técnicas de reputación IP y detección de huellas dactilares de dispositivos

    La administración de bots de Citrix ADC ahora admite CAPTCHA para mitigar los ataques de bots. Un CAPTCHA es una validación de desafío-respuesta que se realiza para determinar si el tráfico entrante proviene de un usuario humano o de un bot automatizado. La validación ayuda a bloquear los bots automatizados que causan infracciones de seguridad en las aplicaciones web. Puede configurar el CAPTCHA como una acción de bot tanto en las técnicas de reputación IP como en las técnicas de detección de huellas dactilares del dispositivo.

    [NSWAF-3982]

  • Soporte para la actualización automática de firmas de bots

    La administración de bots de Citrix ADC ahora admite la función de actualización automática que se comunica con la base de datos de AWS para obtener las actualizaciones de firmas más recientes. La actualización está programada para cada hora.

    También puede configurar un servidor proxy para obtener las actualizaciones de AWS y actualizar periódicamente las firmas en el dispositivo ADC. Para la configuración del proxy, debe configurar la dirección IP y el puerto del proxy en la configuración del bot.

    [NSWAF-3954]

  • Exportación e importación de normas de relajación

    Un dispositivo Citrix ADC ahora le permite exportar e importar las reglas de relajación basadas en perfiles dinámicos y las reglas de relajación habituales. Puede exportar las reglas desde un entorno de ensayo e importarlas a su entorno de producción.
    La acción «Aumentar» garantiza que la importación de las reglas de relajación sea aditiva y no anule la configuración existente.

    [NSWAF-3813]

  • Detección de trampas de bots

    La administración de bots de Citrix ADC ahora admite la técnica de detección de trampas de bots. La técnica anuncia una URL trampa en la respuesta del cliente. La URL parece invisible y no se puede acceder a ella si el cliente es un usuario humano. Sin embargo, si el cliente es un bot automatizado, se puede acceder a la URL y, cuando se accede a él, el atacante se clasifica como bot y se bloquea cualquier solicitud posterior del bot. La técnica de detección es eficaz para bloquear los ataques de bots automatizados.

    [NSWAF-3231]

  • Integración de reglas de Snort

    Ahora puede integrar las reglas de Snort con un dispositivo Citrix ADC para evitar ataques malintencionados en la capa de aplicación. Las reglas se descargan del sitio web de Snort y se convierten en firmas WAF. Las firmas WAF basadas en el rastreo pueden detectar actividades maliciosas, como los ataques de DOS, los desbordamientos del búfer, los escaneos sigilosos de puertos, los ataques CGI, las sondas de SMB y los intentos de toma de huellas dactilares del sistema operativo. Al integrar las reglas de Snort, puede reforzar su solución de seguridad en la capa de interfaz y aplicación.

    [NSWAF-3055]

Equilibrio de carga

  • Mejora de las reglas de GEO para validar las coincidencias entre comodín para la expresión de políticas basada en la ubicación

    Ahora se ha añadido a las reglas de GEO la compatibilidad con la expresión de política basada en la ubicación a fin de comprobar las coincidencias entre comodín. Esta función comprueba si los calificadores comodín coinciden con cualquier otro calificador, incluidos los que no sean comodines o no. La coincidencia de caracteres comodín se realiza mediante el atributo matchWildcardToAny que se añade al comando «set locationParameter».

    El atributo matchWildcardToAny se puede establecer en los siguientes valores:

    • Sí: los clasificatorios comodín coinciden con cualquier otro clasificatorio.
    • No: los calificadores comodín no coinciden con los calificadores que no sean comodines, sino que coinciden con otros calificadores comodín. La opción predeterminada es No.
    • Expresión: los calificadores comodín de una expresión coinciden con cualquier calificador de una ubicación LDNS, pero los calificadores comodín de la ubicación LDNS no coinciden con los calificadores que no sean comodines de una expresión.

    [NSHELP-11782]

Redes

  • Soporte de propietario de Neighbor Discovery para direcciones IPv6 segmentadas

    En una configuración de clúster, ahora puede configurar un nodo específico como propietario de detección de vecinos (ND) para una dirección IPv6 segmentada a fin de determinar la dirección de la capa de enlaces. Un cliente envía un mensaje de solicitud de vecinos (NS) a todos los nodos de la configuración del clúster. El propietario de ND responde con un mensaje de publicidad de vecinos (NA) con la dirección de la capa de enlaces de la dirección IPv6 segmentada y envía el tráfico.

    Puede configurar el propietario del ND mediante la CLI especificando el ID del nodo:

    • agregar ns ip6 -NDowner
    • set ns ip6 - -ndowner

    En la GUI, vaya a Sistema > Red > IPs > IPv6s. Seleccione uno de los ID de nodo que aparecen en «NDowner in Cluster» al agregar o modificar una dirección IPv6.

    [NSNET-10767]

  • Soporte de equilibrio de carga de servidores globales en un dispositivo Citrix ADC BLX

    Los dispositivos Citrix ADC BLX ahora admiten la función de equilibrio de carga de servidores globales (GSLB) de Citrix ADC.

    Nota: Los dispositivos Citrix ADC BLX no admiten la subfunción de sincronización automática GSLB.

    [NSNET-9263]

Plataforma

  • Compatibilidad con la NIC Intel X722 10G en la plataforma Linux-KVM

    Una instancia de Citrix ADC VPX en la plataforma Linux-KVM ahora es compatible con las interfaces de red Intel X722 10G SR-IOV.

    [ NSPLAT-13197 ]

  • Configuración de un par de alta disponibilidad de Citrix ADC VPX con direcciones IP privadas en Google Cloud Platform

    Ahora puedes implementar un par VPX de alta disponibilidad en GCP mediante direcciones IP privadas. Debe deshabilitar el modo INC para configurar esta función. La IP del cliente (VIP) y la IP del servidor (SNIP) se deben configurar como direcciones IP de alias en el nodo principal. Tras la conmutación por error, tanto la dirección IP del cliente como la dirección IP del servidor se mueven al nodo secundario.

    [ NSPLAT-12516 ]

  • Soporte de escalado automático de fondo para GCP

    El dispositivo Citrix ADC VPX ahora admite la función de escalado automático de fondo de Google Cloud Platform (GCP). Esta función detecta los servidores de fondo de un grupo de instancias gestionado por GCP (MIG). GCP agrega o elimina automáticamente los servidores del grupo MIG en función de las métricas definidas por el usuario. El dispositivo VPX captura los detalles del grupo de servidores de fondo y equilibra la carga el tráfico en consecuencia.

    [NSPLAT-7715]

Directivas

  • Configuración del conjunto de datos de políticas

    El conjunto de datos de políticas ahora le permite especificar un rango para diferentes tipos de datos. Veamos un ejemplo:
    añadir el conjunto de datos ds1 ipv4
    bind dataset ds1 1.1.1.1 —EndRange 1.1.1.10

    Donde, se considera que el valor está en el conjunto de datos si es igual a un único valor enlazado al conjunto de datos o se encuentra entre el valor inferior y el valor superior (valor inferior <= valor && valor <- valor superior) de un rango enlazado al conjunto de datos.

    [ NSPOLICY-3282 ]

SSL

  • Control de tráfico SSL adaptativo

    Cuando se recibe un tráfico muy alto en el dispositivo y la capacidad de aceleración criptográfica está completa, el dispositivo comienza a poner en cola las conexiones para procesarlas más adelante. Actualmente, el tamaño de esta cola está fijado en 64 K y el dispositivo comienza a perder conexiones si se supera este valor. Con esta mejora, el dispositivo elimina las nuevas conexiones si el número de elementos de la cola supera el límite calculado de forma adaptativa y dinámica.

    Este límite se calcula en función de:

    • La capacidad real del dispositivo.
    • Valor configurado por el usuario como porcentaje de la capacidad real. El valor predeterminado es el 150%.

    Por ejemplo, si la capacidad real de un dispositivo es de 1000 operaciones/segundo en un momento dado y se configura el porcentaje predeterminado, el límite después del cual el dispositivo interrumpe las conexiones es de 1500 (150% de 1000).

    [NSSSL-7476]

  • Compatibilidad con el protocolo DTLSv1.2 en la interfaz de una plataforma Citrix ADC Cavium MPX

    El protocolo DTLS 1.2 ahora es compatible con la interfaz de una plataforma Citrix ADC para Cavium MPX. Al configurar un servidor virtual DTLS, ahora debe especificar DTLS1 o DTLS12. De forma predeterminada, DTLSv2 estará deshabilitado.

    [NSSSL-6097]

  • Soporte para la renegociación segura en el backend de un dispositivo Citrix ADC

    Ahora se admite la renegociación segura en el backend de un dispositivo Citrix ADC. Puede habilitar la renegociación segura en el perfil SSL y en los parámetros SSL globales. Para habilitar la renegociación segura, defina el parámetro «denySSLReneg» en una de las siguientes opciones:

    • NO SEGURO
    • NO
    • FRONTEND_CLIENT
    • FRONTEND_CLIENTSERVER

    Ejemplo

     set ssl profile ns_default_ssl_profile_backend -denySSLReneg NONSECURE  
     set ssl parameter -denySSLReneg NONSECURE  
     <!--NeedCopy-->
    

    [NSHELP-14944]

Sistema

  • Perfil HTTP integrado para el acceso de administración

    El dispositivo Citrix ADC ahora tiene un perfil HTTP integrado, «nshttp_default_internal_apps», para el acceso de administración. El perfil está configurado para bloquear las solicitudes HTTP/0.9 y eliminar las solicitudes no válidas de acceso de administración. La configuración del perfil es la misma que la del perfil «nshttp_default_strict_validation» existente. Sin embargo, es recomendable que no cambie la configuración del perfil como se hizo en el perfil «nshttp_default_strict_validation».

    [NSBASE-9953]

Interfaz de usuario

  • Configure un matchedID para especificar el último conjunto de URL evaluado

    Ahora se ha añadido un nuevo parámetro, «matchedID», al comando «import policy urlset». El ID puede especificar el conjunto de URL que se evaluó por última vez después de coincidir con la URL solicitada. El ID también se envía al recopilador de AppFlow, que recopila información a nivel de sesión del usuario.

    [NSUI-14674]

  • Compatibilidad de modo estricto para el estado de sincronización del clúster

    Ahora puede configurar un nodo de clúster para ver los errores al aplicar la configuración. Se introduce un nuevo parámetro, «SyncStatusStrictMode», en los comandos add y set cluster instance para rastrear el estado de cada nodo de un clúster. De forma predeterminada, el parámetro «SyncStatusStrictMode» está desactivado.

    [NSCONFIG-2796]

Problemas resueltos

Los problemas que se abordan en la compilación 13.0-58.32.

AppFlow

  • Un dispositivo Citrix ADC puede bloquearse si hay tráfico activo al habilitar la función AppFlow.

    [NSHELP-22361]

Autenticación, autorización y auditoría

  • La extracción de nombres de usuario en OnlyPassword.xml no funciona en Citrix ADC. Muestra la expresión como $ {http.req.user.name}, que idealmente debería sustituirse por un nombre de usuario.

    [NSHELP-22172]

  • Citrix ADC implementado como SAML SP puede mostrar una página de cierre de sesión local después de que el usuario inicie el proceso de cierre de sesión.

    [NSHELP-22067]

  • En algunos casos, un dispositivo Citrix ADC descarga el núcleo porque los paquetes SYN que van al servidor TACACS se rellenan con valores de partición incorrectos.

    [NSHELP-22030]

  • Un dispositivo Citrix ADC puede volcar el núcleo al recibir un comando RESET del cliente mientras el dispositivo gestiona las solicitudes de tráfico de VPN.

    [NSHELP-21817]

  • El SSO basado en formularios falla si las políticas de FORMSSO contienen un par nombre-valor vacío para DYNAMIC FORMSSO.

    [NSHELP-21753]

  • Un dispositivo Citrix ADC puede fallar con StoreFront AuthAction si se cumplen las siguientes condiciones:
    • La contraseña se cambia después de la fecha de caducidad.
    • La autenticación se intenta desde clientes VPN antiguos que no son de nFactor.

    [NSHELP-21555]

  • La etiqueta «SAML:AttributeValue» falta en la aserción SAML siempre que esté activado el mando «ns_saml_disable_comma_sep_attr_res nsapimgr».

    [NSHELP-21552]

  • Se produce un error en el inicio de sesión único a StoreFront mediante Citrix ADC si se cumplen las siguientes condiciones:
    • El dispositivo Citrix ADC está configurado para la autenticación multifactorial.
    • Se agota el tiempo de espera de la sesión de Citrix ADC antes de examinar los factores de autenticación configurados.

    [NSHELP-21466]

  • La VPN completa no funciona si se cumplen las siguientes condiciones:

    • Un dispositivo Citrix ADC está configurado para la autenticación nFactor, siendo la autenticación SAML el último factor de autenticación.
    • El dispositivo está enlazado al tema del portal RFWebUi.

    [NSHELP-21157]

  • Durante la creación de una sesión de IdP en un servidor virtual de autenticación, no se respetará ninguna configuración realizada en el perfil del esquema de inicio de sesión asociado al primer factor de autenticación. Si el perfil del esquema de inicio de sesión está configurado para usar las credenciales del primer factor para la funcionalidad de SSO, no se respetará la configuración.

    [NSAUTH-8712]

  • Un dispositivo Citrix Gateway descarga el núcleo si se cumplen las siguientes condiciones:
    • Se accede al dispositivo Citrix Gateway mediante la aplicación Citrix Workspace.
    • El dispositivo Citrix Gateway está configurado para la implementación de nFactor con autenticación avanzada.

    [NSAUTH-8617]

Almacenamiento en caché

  • En una configuración de clúster, un dispositivo Citrix ADC puede bloquearse cuando:
    • Actualización de la configuración de la compilación Citrix ADC 13.0 47.x o 13.0 52.x a una compilación posterior
    • Actualización de la configuración a la compilación Citrix ADC 13.0 47.x o 13.0 52.x

    Durante el proceso de actualización, lleve a cabo los siguientes pasos:

    • Desactive todos los nodos del clúster y, a continuación, actualice cada nodo del clúster
    • Habilite todos los nodos del clúster después de actualizar todos los nodos

    [NSHELP-21754]

Dispositivo Citrix ADC SDX

  • En algunos casos, la actualización de un dispositivo Citrix ADC SDX a la versión 13.0 puede fallar debido a un error interno.

    [NSSVM-3377]

  • En un dispositivo Citrix ADC SDX, la actualización de la versión 12.1, compilación 56.22, a la versión 13.0, compilación 52.24, podría fallar.

    [NSSVM-3159]

  • La instancia no se inicia al ir a Citrix ADC > Instances y hacer clic en la dirección IP de la instancia en la GUI de SDX. El problema solo se observa después de actualizar a la versión 13.0, compilación 47.x.

    [NSHELP-22152]

  • La actualización de un dispositivo Citrix ADC SDX puede fallar si se configura el servidor de licencias agrupadas.

    [NSHELP-22064]

  • No puede modificar el nombre de la instancia de VPX en las siguientes plataformas cuando la cantidad de núcleos asignados a esa VPX sea mayor que la cantidad de núcleos libres disponibles en el dispositivo.
    • SDX 8900
    • SDX 14xxx-40 g
    • SDX 14xxx-40
    • SDX 14xxx FIPS
    • SDX 15 x 25 g
    • SDX 15xxx-50G
    • SDX 25xxx
    • XXX XXX
    • SDX 26xxX-50
    • SDX 26xxx-100 g

    [NSHELP-22048]

  • En las plataformas Citrix ADC SDX 15xxx y SDX 26xxx, no puede aprovisionar varias instancias VPX en modo L2.

    [NSHELP-21367]

  • Tras actualizar a las versiones 11.1 y 12.1 del software, el dispositivo podría enviar trampas de NSNotifyRestart.

    [NSHELP-18308]

Citrix Gateway

  • El dispositivo Citrix Gateway puede bloquearse al copiar la información de la sesión entre las CPU en una configuración de VPN.

    [NSHELP-22665]

  • El dispositivo Citrix Gateway se bloquea al gestionar una conexión iniciada por el servidor debido a un error en la vinculación de la conexión.

    [NSHELP-22598]

  • El dispositivo Citrix Gateway puede bloquearse de forma intermitente si se cumplen las siguientes condiciones.
    • Si se asigna a un usuario una conexión UDP iniciada por un servidor a una dirección IP de intranet.
    • El servidor no envía paquetes UDP durante mucho tiempo después del envío del primer paquete.

    [NSHELP-22583]

  • Durante un inicio de sesión de transferencia, el dispositivo Citrix Gateway puede bloquearse al intentar almacenar una conexión no válida y, a continuación, desreferenciar la conexión no válida.

    [NSHELP-22568]

  • El dispositivo Citrix ADC puede fallar cuando se configura para la VPN clásica sin cliente.

    [NSHELP-22559]

  • En raras ocasiones, el contador del parámetro «vpnusers» con el valor 0 se reduce incorrectamente. Esta disminución restablece el contador a un valor muy alto, lo que provoca un error en la comprobación de la licencia.

    [NSHELP-22558]

  • A veces, Citrix Gateway permite a los clientes de macOS acceder a los recursos internos incluso si el análisis de la EPA falla en el equipo cliente.
    Este problema solo se produce en máquinas de n núcleos que contienen la siguiente configuración:
    • Se crea una política de sesión con el parámetro «ClientSecurityGroup».
    • Se crea una política de respuesta para realizar alguna acción en los usuarios que forman parte de este grupo de seguridad de clientes.

    [NSHELP-22262]

  • El dispositivo Citrix Gateway podría bloquearse si intenta imprimir a través del túnel VPN completo cuando se asigna la dirección IP de la intranet.
    Este problema se observa en las impresoras HP que utilizan los protocolos hp-status y WSDAPI.

    [NSHELP-22191]

  • Si la autenticación SAML está configurada en Citrix Gateway y un usuario intenta iniciar sesión mediante el complemento VPN, el navegador muestra una pantalla en blanco.

    [NSHELP-22185]

  • En la GUI del dispositivo Citrix ADC, no puede desvincular un enlace de política de autorización de un grupo de autenticación, autorización y auditoría.

    [NSHELP-22167]

  • Al implementar un nuevo dispositivo Citrix ADC VPX mediante una imagen XVA en un Citrix Hypervisor o cualquier otro servidor, los paquetes de complementos de Citrix Gateway para Windows no se encuentran en la ubicación correspondiente.

    [NSHELP-22157]

  • En una configuración de túnel completo y en la autenticación clásica con certificado de cliente con RFWebUi, el dispositivo responde con una página en blanco o con un error de «El cliente no es compatible» tras iniciar sesión.

    [NSHELP-22084]

  • A veces, es posible que la aplicación PCoIP o el escritorio no se puedan iniciar.

    [NSHELP-22041]

  • En una configuración de alta disponibilidad de Citrix Gateway, el nodo secundario puede bloquearse durante la comunicación de núcleo a núcleo.

    [NSHELP-21991]

  • Si el servidor Citrix Gateway busca una dirección IP diferente dentro de la red de la empresa en comparación con una red externa, la itinerancia de la red externa a la interna o viceversa falla de forma intermitente. Como resultado, la función Always on with Windows no funciona.

    [NSHELP-21956]

  • El cliente VPN de Linux se bloquea si la configuración del proxy está configurada en la política de sesión.

    [NSHELP-21955]

  • Cuando EPA se configura en modo nFactor, los mensajes relacionados con la instalación del complemento EPA no se muestran en la ventana del complemento VPN.

    [NSHELP-21939]

  • Si utiliza McAfee LiveSafe, la comprobación de la EPA no se realiza correctamente. Como resultado, la detección de nombres de productos chinos no funciona para OPSWAT. Sin embargo, para otros idiomas, funciona según lo previsto.

    [NSHELP-21938]

  • Es posible que la función de interfaz web no funcione según lo previsto después de actualizar el dispositivo Citrix ADC.

    [NSHELP-21899]

  • El dispositivo Citrix Gateway puede bloquearse si hay varios núcleos y la dirección IP de la intranet está habilitada con el tema RFWebUi.

    [NSHELP-21722]

  • Un dispositivo Citrix ADC puede bloquearse cuando intenta acceder a la información corrupta del recopilador.

    [NSHELP-21653]

  • El servicio Always On no puede establecer un túnel VPN si el parámetro Force Cache Cleanup está activado para Cache.

    [NSHELP-21645]

  • Es posible que aparezca de forma intermitente un error 403 de acceso prohibido para los archivos del portal.

    [NSHELP-21620]

  • El rendimiento de las aplicaciones UDP puede verse afectado en ocasiones debido a la congestión del tráfico.

    [NSHELP-21599]

  • En un Citrix Gateway con autenticación nFactor, el EPA como factor a veces puede fallar.

    [NSHELP-21557]

  • A veces, el dispositivo Citrix ADC puede fallar al gestionar la conexión iniciada por el servidor.

    [NSHELP-21532]

  • El complemento VPN conserva los sufijos DNS que se añaden al adaptador Wi-Fi o Ethernet mientras está conectado a la VPN.

    [NSHELP-21492]

  • El dispositivo Citrix Gateway configurado para el equilibrio de carga global del servidor no funciona según lo previsto en una topología principal e secundaria.

    [NSHELP-21381]

  • La enumeración de aplicaciones no se produce si la cantidad de escritorios es inferior a la cantidad de aplicaciones.

    [NSHELP-21377]

  • En una configuración de procesador multinúcleo, el dispositivo Citrix Gateway se bloquea si la función Gateway Insight está habilitada y se recibe una solicitud en un núcleo que no es propietario.

    [NSHELP-21089]

  • El dispositivo Citrix Gateway puede bloquearse si se cumplen las siguientes condiciones:
    • La conexión de cliente o servidor tiene un puntero colgante en lugar de un enlace.
    • La conexión enlazada ya está liberada.
    • El dispositivo intenta vaciar la conexión para liberar el enlace.

    [NSHELP-20901]

  • El dispositivo Citrix ADC podría bloquearse si utiliza políticas clásicas en la configuración de la puerta de enlace.

    [NSHELP-20070]

  • El dispositivo Citrix ADC puede bloquearse cuando se agrega un perfil de red a un servicio.

    [NSHELP-19569]

  • El parámetro DTLS está configurado en ON de forma predeterminada para un servidor virtual de conmutación de contenido creado mediante un asistente de Unified Gateway.

    [CGOP-13213]

  • Los temas personalizados de RFWebUi no funcionan después de actualizar el dispositivo Citrix Gateway a la versión 13.0.

    [CGOP-12740]

Citrix Web App Firewall

  • El restablecimiento de la conexión se produce si habilita la opción de reutilización de sesiones SSL en sus servidores virtuales de gateway de entrada con TLS 1.3 habilitado en el dispositivo.

    [ NSWAF-5268 ]

  • NITRO no permite a los clientes del SDK configurar WAF si la opción de verificación de seguridad XML «xmlmaxnodescheck» está habilitada.

    [NSHELP-22111]

  • Se observa una pérdida de memoria en un dispositivo Citrix ADC si se habilita la comprobación de protección StartURL Closure.

    [NSHELP-21472]

  • Tras una actualización, es posible que un dispositivo Citrix ADC se bloquee debido a un uso elevado de memoria.

    [NSHELP-21410]

  • En la administración de bots de Citrix ADC, la URL de captura y el Javascript no se insertan correctamente para los datos fragmentados y terminados en FIN.

    [NSHELP-21289]

  • La validación XML falla si el contenido XML tiene una referencia anidada al parámetro «APPFW_XML_VALIDATION_ERR_INVALID_ELEMENT».

    [NSHELP-21128]

  • Un dispositivo Citrix ADC podría bloquearse si se gestionó incorrectamente un caso de error durante el proceso de verificación de la tarjeta de crédito.

    [NSHELP-20562]

  • Un dispositivo Citrix ADC podría bloquearse si habilita el modo de registro de comprobación de protección XML Wellformedness.

    [NSHELP-18737]

Equilibrio de carga

  • En una configuración de alta disponibilidad, el nodo principal se bloquea al obtener la PCB del servidor de un grupo de reutilización de servidores. El bloqueo se produce porque el bucle ya existe y eso da como resultado un bucle cerrado.

    [NSHELP-22149]

  • Los motores de paquetes (NSPPE) pueden fallar cuando reciben el primer paquete de datos RTSP con un encabezado incompleto, seguido de un ACK antes de recibir el encabezado completo.

    [NSHELP-22099]

  • En una configuración de partición de administración, al ejecutar el comando «stat gslb site», el estado de Metric Exchange o Network Metric Exchange entre dos sitios GSLB aparece como INACTIVO. Esto es solo un problema de visualización y no afecta a la funcionalidad.

    [NSHELP-21895]

  • Durante la sincronización de alta disponibilidad, es posible que se pierda la conectividad con un dispositivo secundario al configurar la licencia agrupada.

    [NSHELP-21556]

  • En una configuración de clúster, la configuración de la identidad del diámetro se pierde cuando se actualiza un nodo a una versión más reciente.

    [NSHELP-21444]

  • Para las solicitudes de clientes compatibles con NAT, el dispositivo Citrix ADC puede bloquearse si la sección multimedia de la carga útil del Protocolo de descripción de sesiones (SDP) contiene la dirección IP de NAT.

    [NSHELP-21438]

  • En una API de NITRO, el campo «tickssincelaststatechange» de un grupo de servicios no se actualiza correctamente cuando cambia el estado del grupo de servicios.

    [NSHELP-21425]

  • En una configuración de alta disponibilidad, el nodo principal no puede encontrar un PUERTO relevante después de un máximo de intentos de establecer la conexión con un núcleo específico en un nodo secundario. Por lo tanto, la tabla de conexiones secundaria no está completamente sincronizada con la tabla de conexiones principal.

    [NSHELP-21420]

  • En una configuración de GSLB con implementación de puerta de enlace, es posible que el dispositivo Citrix ADC no pueda resolver el nombre de dominio de un servicio GSLB en las siguientes condiciones:
    cuando el servidor virtual de equilibrio de carga principal está INACTIVO, incluso si el servidor virtual de equilibrio de carga de respaldo está ACTIVO.

    [NSHELP-21061]

  • Tras actualizar el dispositivo Citrix ADC de la versión 11.1, compilación 56.19 a la versión 12.1, compilación 53.12, el estado efectivo del servicio GSLB se establece en INACTIVO aunque el servidor virtual de equilibrio de carga esté ACTIVO.

    [NSHELP-21025]

  • Un dispositivo Citrix ADC puede mostrar picos en el uso de memoria si se configura un monitor HTTP seguro y el tamaño de la respuesta es grande.

    [NSHELP-20712]

Redes

  • Tras reiniciar el dispositivo Citrix ADC, es posible que el servicio de capa de transporte interno deje de registrarse. Como resultado, se produce un error en cualquier solicitud de servicio de protocolo de transporte del dispositivo.

    [NSNET-15252]

  • En una topología de clústeres, al actualizar o degradar un nodo, se produce un error en el comando «set snmp mib» para los nodos que no son de cco. Esto provoca una pérdida de configuración.

    [NSNET-14562]

  • Se observa un problema si se establece la opción GUI como solo segura en CLIP mientras que el problema no se observa en la dirección NSIP.
    El problema solo se observa cuando se activa la configuración «set ns ip gui».

    [NSNET-14364]

  • El dispositivo Citrix ADC procesa cualquier paquete recibido, con las siguientes propiedades, para una conexión de datos FTP activa:
    • Protocolo = TCP
    • Dirección IP de destino = Citrix ADC IP (NSIP)
    • Puerto de origen = 20

    Como resultado, el dispositivo Citrix ADC envía el paquete al módulo de administración interno en lugar del módulo del motor de paquetes para su procesamiento, lo que a su vez provoca un procesamiento inesperado del paquete.

    [NSHELP-22637]

  • En una configuración de alta disponibilidad con el modo de capa 2 activado en una partición no predeterminada, el nodo secundario podría reenviar los paquetes DHCP que recibe y provocar un bucle en la red.

    [NSHELP-22140]

  • En una configuración de clúster Citrix ADC con configuraciones de dirección de plano posterior (PBS) basadas en políticas (PBS) de IPv4 e IPv6, los paquetes de error ICMPv6 pueden circular entre los nodos del clúster cuando se cumplen todas las condiciones siguientes:

    • Los paquetes IP internos de los paquetes de error ICMPv6 tienen la misma tupla IP que en una de las sesiones TCP activas.
    • Hay una dirección IPv4 mapeada diferente en cada nodo del clúster para la misma dirección IPv6.

    [NSHELP-21815]

  • Para las particiones de administración sin límite, la comprobación de memoria durante la asignación está deshabilitada.

    [NSHELP-21775]

  • En una configuración de alta disponibilidad en modo INC, tras una conmutación por error, es posible que el nuevo nodo secundario no retire la ruta predeterminada (aprendida de otros pares de BGP) que anunciaba cuando funcionaba como principal. Debido a este problema, el tráfico de datos también puede llegar al nuevo nodo secundario.

    [NSHELP-21720]

  • En un OpenStack, la propagación del comando puede fallar en las siguientes condiciones:

    Cuando eliminas un nodo del clúster de 3 nodos, si recibes un latido más antiguo del nodo eliminado.

    [NSHELP-21432]

  • Si se agrega una regla INAT para una dirección VIP, el dispositivo Citrix ADC permite agregar incorrectamente una configuración de equilibrio de carga en la que el servidor virtual sea de tipo ANY y esté configurado con la misma dirección VIP.

    [NSHELP-21288]

  • Al reiniciar el dispositivo Citrix ADC, la ruta predeterminada se origina antes de que se complete la dirección IP de la interfaz. Debido a este problema, el siguiente salto de una ruta se establece en NULL, lo que provoca un error marciano.

    [NSHELP-16407]

NSSWG

  • Se observa un error de administración de memoria en las configuraciones agrupadas y de alta disponibilidad que impiden el acceso HTTPS a la GUI de Citrix ADC y los registros de filtrado de URL de Appflow nulos.

    [NSSWG-1220]

  • Los archivos de categorías URL no incluyen las actualizaciones más recientes de la base de datos de NetStar.

    [ NSSWG-1205 ]

Plataforma

  • En un dispositivo Citrix ADC SDX, puede observar que Tx se detiene en una instancia VPX que ejecuta una versión de software anterior a la 13.0, compilación 58.x, cuando se cumplen las siguientes condiciones:

    • El dispositivo SDX contiene NIC de 10 G, 25 G o 40 G.
    • El dispositivo SDX ejecuta la versión 13.0, compilación 58.x o posterior.

    Citrix recomienda actualizar la versión de software de la instancia VPX a 13.0-58.x antes de actualizar el software SDX a la versión 13.0-58.x.

    [ NSPLAT-14422 ]

  • Los scripts de borrado de configuraciones fallan en algunas plataformas Citrix ADC. Con esta corrección, el código de fecha de los scripts se actualiza al 14 de enero de 2020 y es compatible con todas las plataformas.

    [ NSPLAT-13498 ]

  • En las plataformas SDX 8200/8400/8600, el dispositivo SDX se bloquea en la consola Citrix Hypervisor si el dispositivo SDX o las instancias VPX que se ejecutan en él se reinician varias veces. Cuando el dispositivo se bloquea, aparece el mensaje «INFO: rcu_sched detected stalls on CPUs/tasks».

    • Reinicie el dispositivo SDX pulsando el botón NMI en la parte posterior.
    • Desde la GUI de LOM, utilice NMI para reiniciar el dispositivo.
    • Utilice LOM para reiniciar el dispositivo SDX.

    [NSPLAT-9155]

  • Es posible que el dispositivo SDX no pueda reconstruir el par RAID si reemplaza una de las unidades SSD en las ranuras 1 y 2 del par RAID de arranque.

    [NSHELP-22470]

  • Durante el tráfico intenso, es posible que Tx deje de funcionar en las plataformas Citrix ADC que contienen interfaces de 50 G.

    [NSHELP-22221]

  • En algunos casos, el aprovisionamiento de una instancia VPX en un dispositivo Citrix ADC SDX que contenga chips Intel Coleto puede fallar porque falló la inicialización del chip SSL Coleto.

    [NSHELP-22033]

  • Cuando se configuran varios canales LA en un dispositivo SDX sin ninguna interfaz de administración (0/1, 0/2) y si el primer canal LA está deshabilitado a través de la CLI VPX, es posible que no se pueda acceder al dispositivo VPX.

    [NSHELP-21889]

  • En los dispositivos ADC SDX 14000 y 15000, se observa una pérdida de tráfico de hasta 9 segundos si se cumplen las siguientes condiciones:
    • Los puertos 10G se conectan mediante el canal LA a dos switches Cisco que están configurados en la configuración de VPC como activos o pasivos.
    • El enlace al switch Cisco activo o principal rebota.

    [NSHELP-21875]

  • En los dispositivos SDX que ejecutan las versiones 13.0 de la actualización de un solo paquete, las CPU pueden superponerse para diferentes instancias de VPX, aunque a las instancias se les asignen núcleos dedicados.

    [NSHELP-21729]

  • En la plataforma Citrix ADC MPX, un puerto 50G que forma parte de un grupo de agregación de enlaces sigue inactivo si se realizan las siguientes acciones:

    1. El puerto 50G está desactivado.
    2. El puerto del conmutador homólogo está desactivado.
    3. El puerto del conmutador homólogo está activado.
    4. El puerto 50G está activado.

    El puerto 50G no aparece incluso después de estar activado. Como resultado, el tráfico no puede pasar por el puerto 50G.

    [NSHELP-20529]

  • Un dispositivo Citrix ADC puede bloquearse cuando se queda sin memoria.

    [NSHELP-20130]

Directivas

  • Los contadores «Conexiones actuales del cliente est» y «Conexiones de cliente actuales» de un servidor virtual de equilibrio de carga muestran valores incorrectos si la llamada HTTP está configurada en ese servidor virtual.

    [NSHELP-22491]

SSL

  • En las plataformas FIPS Citrix ADC MPX 14000, todos los servidores virtuales SSL aparecen como INACTIVOS en las CPU que no son de administración.

    [NSSSL-8015]

  • En algunos casos, un dispositivo Citrix ADC puede fallar al procesar el tráfico DTLS en condiciones de poca memoria.

    [NSHELP-22611]

  • El dispositivo Citrix ADC puede bloquearse en caso de tráfico intenso si tanto el syslogging como el DTLS están habilitados en un servidor virtual VPN.

    [NSHELP-22195]

  • El dispositivo Citrix ADC puede bloquearse si el SNI dinámico está configurado en el back-end y la licencia correcta no está disponible en el dispositivo.

    [NSHELP-22081]

  • La acción SSL apunta al servidor virtual antiguo incluso después de cambiarle el nombre.

    [NSHELP-21584]

  • La información sobre el perfil SSL enlazado a un monitor de equilibrio de carga se pierde si el perfil SSL predeterminado está habilitado y el dispositivo se reinicia.

    [NSHELP-21321]

  • El dispositivo Citrix ADC podría bloquearse si se cumplen las siguientes condiciones:
    1. Se configuran dos respondedores de OCSP con el mismo nombre de host.
    2. Ambos respondedores están enlazados al mismo par de claves de certificado raíz.
    3. La solicitud falla con el socorrista.
    4. El dispositivo intenta enviar la solicitud al segundo respondedor y el nombre del host no se ha resuelto.

    [NSHELP-21278]

  • Los cifrados incorrectos exportados desde el dispositivo Citrix ADC hacen que Citrix ADM muestre la misma información de cifrado incorrecta.

    [NSHELP-21177]

  • Hay una discrepancia en la asignación de memoria en los dispositivos Citrix ADC MPX particionados que contienen chips Intel Coleto.

    [NSHELP-20853]

Sistema

  • Un dispositivo Citrix ADC puede fallar al detectar retransmisiones TCP duplicadas. El dispositivo se bloquea debido a la operación de división por cero del algoritmo de control de congestión TCP.

    [NSHELP-22693]

  • Un dispositivo Citrix ADC puede bloquearse si la configuración de AppFlow se elimina en medio de una conexión de cliente.

    [NSHELP-22389]

  • En una configuración agrupada, un dispositivo Citrix ADC puede fallar si se cumplen las siguientes condiciones:
    • La conexión se dirige desde el procesador de flujo al receptor de flujo.
    • Los paquetes TCP desordenados se procesan en estado de espera.

    [NSHELP-21792]

  • Un dispositivo Citrix ADC puede bloquearse si:
    • Un cliente HTTP/2 envía un restablecimiento de la conexión en medio de una descarga con la memoria caché habilitada.
    • El servidor de fondo cierra la conexión con la terminación FIN.

    [NSHELP-21605]

  • No se aplica una política de AppFlow vinculada a un servidor virtual VPN que esté detrás de un servidor virtual de conmutación de contenido.

    [NSHELP-20816]

  • En la implementación del clúster MPTCP, el bucle de paquetes entre los nodos del clúster provoca un uso elevado del ancho de banda.

    [NSHELP-20675]

  • En una configuración de clúster, si la marca de tiempo está habilitada, es posible que se descarten algunas de las solicitudes enviadas al servidor.

    [NSHELP-20394]

  • En una configuración de clúster, es posible que un dispositivo Citrix ADC se reinicie si el flujo de registro está habilitado.

    [NSHELP-20008]

  • Un dispositivo Citrix ADC con encadenamiento de conexiones y SSL habilitado podría enviar más datos de MTU.

    [NSHELP-9411]

  • Un dispositivo Citrix ADC envía una respuesta HTTP/2 incorrecta en una conexión de cliente HTTP/1.1 si el dispositivo recibe:
    • una respuesta HTTP/2 de tipo «100% continuo» del servidor de fondo.
    • otra respuesta HTTP/2 en el mismo flujo HTTP/2.

    [ NSBASE-10419 ]

  • Un dispositivo Citrix ADC podría bloquearse si utiliza pitboss para monitorear el recopilador de métricas.

    [NSBASE-9743]

  • El dispositivo Citrix ADC atiende la solicitud de conexión solo en la primera transmisión y no procesa las solicitudes posteriores en otras transmisiones si se cumplen las siguientes condiciones en el dispositivo:
    • Se reciben varias solicitudes HTTP en una única conexión HTTP/2 en diferentes flujos.
    • HTTP/2 está deshabilitado en el servidor de fondo.

    [NSBASE-9510]

  • Un dispositivo Citrix ADC podría bloquearse debido a un error de asignación de memoria en un escenario de marca de hora de TCP. Como resultado, el dispositivo restablece la conexión del cliente.

    [ BASE 9297]

  • El parámetro «observationPointId» del comando «set appflow param» no cambia aunque se cambie la dirección NSIP mediante el comando «set ns config». Como resultado, los datos no se transmiten al servidor Citrix ADM.

    [ NSBASE-8622 ]

Interfaz de usuario

  • Cuando un usuario del sistema intenta bloquear o desbloquear un dispositivo, la GUI de Citrix ADC muestra un mensaje de error: «El usuario no existe».

    [NSUI-14999]

  • El LB Visualizer no muestra los servicios enlazados al servidor virtual si los servicios forman parte del grupo de servicios. Sin embargo, si el servicio está enlazado de forma individual, se muestra en el LB Visualizer.

    [NSHELP-22436]

  • Al modificar un parámetro, distinto del tamaño del anillo (por ejemplo, dúplex, velocidad o HaMon) desde la GUI, aparece el siguiente mensaje de error: No se permite el cambio de
    tamaño de anillo en este tipo de NIC

    [NSHELP-21934]

  • En la configuración de un clúster, aparecen los siguientes problemas porque no se admite VXLAN:
    • La página GUI «Crear vecino IPv6» muestra el siguiente mensaje de error al intentar crear un vecino IPv6:

    «No se admite la operación en el clúster»

    • En la página GUI «Crear ruta IPv6», el botón Crear no responde.

    [NSHELP-19451]

  • Los datos con varios valores de argumentos no se almacenan correctamente en la base de datos de configuración de Citrix ADC.

    [NSHELP-18633]

Problemas conocidos

Los problemas que existen en la versión 13.0-58.32.

Autenticación, autorización y auditoría

  • Un dispositivo Citrix ADC no autentica los intentos de inicio de sesión con contraseñas duplicadas y evita los bloqueos de cuentas.

    [ NSHELP-563 ]

  • Durante la creación de una sesión de IdP en un servidor virtual de autenticación, no se respetará ninguna configuración realizada en el perfil del esquema de inicio de sesión asociado al primer factor de autenticación. Si el perfil del esquema de inicio de sesión está configurado para usar las credenciales del primer factor para la funcionalidad de SSO, no se respetará la configuración.

    [NSAUTH-8712]

  • LoginSchema de DualAuthPushOrOTP.xml no aparece correctamente en la pantalla del editor de esquemas de inicio de sesión de la GUI de Citrix ADC.

    [ NSAUTH-6106 ]

  • El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando.
    «mostrar el perfil de adfsproxy»

    Solución alternativa: conéctese al Citrix ADC activo principal del clúster y ejecute el comando «show adfsproxyprofile». Mostraría el estado del perfil de proxy.

    [ NSAUTH-5916 ]

Almacenamiento en caché

  • Es posible que un dispositivo Citrix ADC se bloquee si la función Almacenamiento en caché integrado está habilitada y el dispositivo tiene poca memoria.

    [ NSHELP-22942 ]

Dispositivo Citrix ADC SDX

  • Si la dirección IP de un dispositivo Citrix ADC SDX que está configurado mediante licencias agrupadas se cambia en SDX, el Citrix ADM que administra el dispositivo SDX seguirá mostrando la dirección IP SDX anterior.

    [NSHELP-23490]

  • La actualización de un dispositivo Citrix ADC SDX a la versión 12.1, compilación 56.x, podría agotar el tiempo de espera debido a una latencia en la comunicación entre procesos.

    [NSHELP-22644]

  • En el dispositivo Citrix ADC SDX, un usuario con permisos de solo lectura puede transferir archivos al Servicio de administración mediante una utilidad de transferencia de archivos, como SCP o SFTP.

    [NSHELP-22638]

  • Es posible que no se pueda acceder a la interfaz de usuario de Citrix ADC SDX después de intentar actualizar a la versión 13.0-58.30.
    Solución alternativa:

    1. Envíe SSH a la dirección IP del SVM mediante las credenciales «nsrecover».
    2. En la línea de comandos, escriba «svmd stop» para detener todos los procesos de SVM.
    3. Para comprobar que todos los procesos de SVM se han detenido, escriba ps -ax | grep svm. Para eliminar cualquier proceso de SVM en ejecución, escriba kill -9.
    4. Edite el archivo /var/mps/mps_featurelist.conf.bak con el editor vi. Añada «DisableMetricCollection» al final del archivo y guárdelo.
    5. Escriba «svmd start» para reiniciar los procesos de SVM. La actualización continúa y la interfaz de usuario del SDX se inicia después de aproximadamente 30 minutos.

    [NSHELP-23904]

Citrix Gateway

  • Es posible que tenga problemas al editar documentos con las aplicaciones de oficina basadas en la web vinculadas a SharePoint si se accede a estas aplicaciones a través de la VPN avanzada sin cliente.

    [NSHELP-23364]

  • Cuando se utiliza la aplicación Citrix Workspace para conectarse a Citrix Gateway, es posible que no se pueda establecer la sesión si la política de sesión está vinculada al servidor virtual VPN.

    La solución alternativa es vincular la política de sesión al usuario o grupo de usuarios.

    [NSHELP-23148]

  • En raras ocasiones, el dispositivo Citrix ADC puede dejar de responder si está configurado para EDT y HDX Insight está habilitado para las sesiones EDT.

    [NSHELP-22640]

  • En una configuración de alta disponibilidad de doble salto de Citrix Gateway, es posible que la conexión ICA se pierda tras una conmutación por error de HA.
    Solución alternativa: cambie el FQDN por la dirección IP del servidor del siguiente salto.

    [NSHELP-22444]

  • En una configuración de alta disponibilidad de Citrix Gateway, el nodo secundario puede bloquearse durante una conmutación por error si está configurado syslog.

    [NSHELP-22438]

  • El dispositivo Citrix Gateway puede bloquearse porque algunos comandos no se ejecutan.

    [NSHELP-22371]

  • El dispositivo Citrix Gateway puede bloquearse de forma intermitente si se configura una política de syslog.

    [NSHELP-22304]

  • A veces, al navegar por los esquemas, aparece el mensaje de error “No se puede leer la propiedad ‘tipo’ indefinida”.

    [ NSHELP-21897 ]

  • Cuando el servidor syslog se configura mediante TCP, algunos registros no se envían de forma intermitente al servidor syslog.

    [NSHELP-21624]

  • En caso de que un dispositivo Citrix ADC esté configurado para la autenticación nFactor, si se produce un error de autenticación RADIUS, el dispositivo Citrix ADM muestra incorrectamente el tipo de autenticación fallido como «LDAP».

    [NSHELP-20440]

  • Al actualizar su entorno de Unified Gateway a la versión 13.0, compilación 58.x o posterior, el mando DTLS se deshabilita en el servidor virtual de conmutación de contenido que está configurado antes que la puerta de enlace o el servidor virtual VPN. Debe habilitar manualmente el mando DTLS en el servidor virtual de conmutación de contenido después de la actualización. No habilite el mando DTLS si utiliza el asistente de configuración.

    [CGOP-13972]

  • El informe de Gateway Insight muestra incorrectamente el valor “Local” en lugar de “SAML” en el campo Tipo de autenticación para errores de SAML.

    [ CGOP-13584 ]

  • La conexión ICA hace que se omita el análisis durante el análisis ICA si los usuarios utilizan el receptor MAC junto con la versión 6.5 de Citrix Virtual App and Desktops (anteriormente Citrix XenApp y XenDesktop).
    Solución alternativa: actualice el receptor a la versión más reciente de la aplicación Citrix Workspace.

    [CGOP-13532]

  • En una configuración de alta disponibilidad, durante la conmutación por error de Citrix ADC, el recuento de SR aumenta en lugar del recuento de conmutación por error en Citrix ADM.

    [ CGOP-13511 ]

  • En Outlook Web App (OWA) 2013, al hacer clic en «Opciones» en el menú de configuración, aparece el cuadro de diálogo «Error crítico». Además, la página deja de responder.

    [ CGOP-7269 ]

Equilibrio de carga

  • En una configuración de clúster, las reglas de ACL con la configuración de VLAN no surten efecto, lo que hace que los paquetes afecten a otras reglas de ACL.

    Este problema se produce cuando se elimina un servidor virtual en la configuración del clúster, lo que hace que los nodos del clúster no agreguen información de VLAN a los paquetes dirigidos.

    [NSHELP-22103]

  • En una configuración de alta disponibilidad (HA), cuando se reinicia el nodo secundario, es posible que el nodo principal se bloquee durante la duplicación de la conexión de las sesiones con el nodo secundario.

    [NSHELP-21715]

  • El dispositivo Citrix ADC puede quedarse sin memoria cuando un cliente envía paquetes a intervalos regulares, pero el primer paquete está bloqueado en el dispositivo. Como resultado, los paquetes se ponen en cola y el dispositivo se queda sin memoria para almacenarlos.

    [NSHELP-20871]

Redes

  • Pueden aparecer los siguientes mensajes de error si configura más de 100 VLAN en la lista TrunkAllowedVLAN de una interfaz de la instancia de Citrix ADC:
    ERROR: Se agotó el tiempo de espera de la operación
    ERROR: Error de comunicación con el motor de paquetes

    [NSNET-4312]

  • El dispositivo Citrix ADC puede fallar durante la traducción a NAT64 de un paquete de solicitud IPv6 recibido si se cumple la siguiente condición:

    Los últimos 32 bits de la dirección IPv6 de destino, que es la dirección IPv4 de destino traducida, son superiores a 240.0.0.0 (se encuentran dentro del rango de IP reservadas).

    Solución alternativa: agregue una ACL para denegar dichos paquetes.

    [NSHELP-22742]

  • Un dispositivo Citrix ADC puede bloquearse durante la implementación si se cumplen las siguientes condiciones:
    • El TCP multiruta (MPTCP) está habilitado con MBF y PMTUD
    • Se recibe el tráfico MPTCP y la respuesta provoca el error ICMP Fragmentation Needed.

    [NSHELP-22418]

  • En una configuración de alta disponibilidad, uno de los dispositivos Citrix ADC podría bloquearse si realiza la actualización del software en servicio (ISSU) desde la versión 13.0 47.24 o anterior del software Citrix ADC a una versión posterior.

    [NSHELP-21701]

  • En una configuración de clúster con la opción RetainConnectionsOnCluster habilitada, un nodo del clúster puede bloquearse al recibir paquetes fragmentados seguidos de paquetes no fragmentados.

    [NSHELP-21674]

  • Cuando el dispositivo Citrix ADC esté limpiando una gran cantidad de conexiones al servidor como parte del comando remove, es posible que el proceso Pitboss se reinicie. Este reinicio de Pitboss podría provocar que el dispositivo ADC se bloquee.

    [NSHELP-136]

Directivas

  • Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.

    Solución temporal: establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

    [ NSPOLICY-1267 ]

  • Es posible que la acción de reescritura del tipo insert_after no funcione con una respuesta HTTP fragmentada o finalizada con FIN.

    [NSHELP-22743]

SSL

  • El comando Actualizar no está disponible para los siguientes comandos de adición:
    • agregar aplicación azure
    • add azure keyvault
    • agregar ssl certkey con la opción hsmkey

    [ NSSSL-6484 ]

  • No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

    [ NSSSL-6478 ]

  • Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo Citrix ADC no devuelve ningún error.

    [ NSSSL-6213 ]

  • El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM.
    ERROR: actualización de crl inhabilitada

    [ NSSSL-6106 ]

  • La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster. (Esta opción no se puede desactivar).

    [ NSSSL-4427 ]

  • Si intenta cambiar el protocolo SSL o el cifrado del perfil SSL, aparece un mensaje de advertencia incorrecto, titulado “Advertencia: no hay cifrados utilizables configurados en el servidor o servicio SSL”.

    [ NSSSL-4001 ]

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen las siguientes condiciones:
    • Se añade un par de claves de certificado con la opción de monitor de caducidad habilitada.
    • La fecha del certificado es anterior al 01/01/1970.

    [NSHELP-22934]

  • El dispositivo Citrix ADC podría bloquearse durante un protocolo de enlace TLS 1.3 abreviado (reanudado) si se aplican todas las siguientes configuraciones a un perfil SSL:

    • SniHttpHostMatch está configurado en CERT
    • TLSv1.3 está activado
    • El ticket de sesión está activado.

    Solución alternativa: defina sniHttpHostMatch en STRICT o NO.

    [NSHELP-22126]

  • Es posible que un dispositivo Citrix ADC particionado no responda como se esperaba si realiza las siguientes acciones:
    1) Cree dos respondedores de OCSP en particiones diferentes.
    2) Borra la configuración en una partición.
    3) Elimine el respondedor OCSP de la otra partición.

    [NSHELP-20861]

  • En una configuración de clúster, la configuración en ejecución en la dirección IP (CLIP) del clúster muestra el grupo de cifrado DEFAULT_BACKEND vinculado a entidades, mientras que falta en los nodos. Se trata de un problema de visualización.

    [NSHELP-13466]

Sistema

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen las siguientes condiciones:
    • HTTP/2 activado en el perfil HTTP vinculado a un servidor virtual de equilibrio de carga de tipo HTTP/SSL o servicio.
    • La opción de multiplexación de conexiones está deshabilitada en el perfil HTTP vinculado al servidor o servicio virtual de equilibrio de carga.

    [NSHELP-21202]

  • Para la generación de trampas de sincronización, si no restablece los valores de varbinding, el dispositivo utilizará los valores de varbinding de captura antiguos en lugar de los valores actuales y de umbral.

    [NSHELP-20653]

  • En el TCP multiruta (MPTCP), los contadores SI_CUR_Clients y SI_CUR_CLNT_ConnopEnest se incrementan dos veces.

    [NSHELP-19896]

Interfaz de usuario

  • El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

    Solución temporal: Configure los conectores de Cloudbridge agregando perfiles IPSec, túneles IP y reglas de PBR mediante la GUI o CLI de Citrix ADC.

    [ NSUI-13024 ]

  • Solo los tres últimos dígitos del año aparecen en la línea «Activo desde (Local)» del comando «stat system».

    [NSHELP-22960]

  • Al utilizar la barra de desplazamiento del panel de control de Syslog de la GUI de Citrix ADC, la página se desplaza rápidamente o muestra espacios en blanco.

    [NSHELP-21267]

  • Si usted (administrador del sistema) realiza todos los pasos siguientes en un dispositivo Citrix ADC, es posible que los usuarios del sistema no inicien sesión en el dispositivo Citrix ADC degradado.

    1. Actualice el dispositivo Citrix ADC a una de las compilaciones:

      • 13.0 52.24 compilación
      • 12.1 57,18 compilación
    2. Agregar un usuario del sistema o cambiar la contraseña de un usuario del sistema existente y guardar la configuración, y
    3. Rebaja la versión del dispositivo Citrix ADC a cualquier versión anterior.

    Para mostrar la lista de estos usuarios del sistema mediante la CLI:
    En la línea de comandos, escriba:

    query ns config -changedpassword [-config ]

    Solución alternativa:

    Para solucionar este problema, utilice una de las siguientes opciones independientes:

    • Si el dispositivo Citrix ADC aún no se ha rebajado (paso 3 de los pasos mencionados anteriormente), revierta la versión del dispositivo Citrix ADC con un archivo de configuración del que se ha creado previamente una copia de seguridad (ns.conf) de la misma compilación de la versión.

    • Cualquier administrador del sistema cuya contraseña no se haya cambiado en la compilación actualizada puede iniciar sesión en la compilación degradada y actualizar las contraseñas de otros usuarios del sistema.

    • Si ninguna de las opciones anteriores funciona, el administrador del sistema puede restablecer las contraseñas de usuario del sistema. Para obtener más información, consulte: https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [ NSCONFIG-3188 ]

Notas de lanzamiento para la versión 13.0-58.32 de Citrix ADC