Documentación de productos
ADC
14.1 - Current Release 13.1 13.0 12.1
Ver PDF

Notas de lanzamiento para las versiones 13.0—64.35 de Citrix ADC

April 15, 2024
Contribución de: 
C

Este documento de notas de la versión describe las mejoras y los cambios, los problemas resueltos y conocidos que existen en la versión 13.0—64.35 de Citrix ADC.

Notas

  • Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.
  • Las compilaciones 13.0—64.35 y versiones posteriores solucionan las vulnerabilidades de seguridad descritas en. https://support.citrix.com/article/CTX281474

Novedades

Las mejoras y los cambios que están disponibles en las compilaciones 13.0—64.35.

Autenticación, autorización y auditoría

  • Aumento del valor de longitud máxima individual para el atributo SAML

    Se ha aumentado la longitud máxima individual de los atributos de SAML para permitir un máximo de 40 000 bytes. El tamaño de todos los atributos no debe superar los 40 000 bytes. Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/saml-authentication/citrix-adc-saml-sp.html.

    [NSAUTH-8225]

  • Aumento del valor de longitud máxima de los atributos

    El valor de longitud máxima para los siguientes atributos ha cambiado de la siguiente manera.

    • set samlaction <saml-action-name> -samlissuerName - 511 (new max length)
    • set samlidPProfile <saml-idp-profile-name> -samlissuerName - 511 (new max length)
    • set samlidPProfile <saml-idp-profile-name> -serviceProviderID - 511 (new max length)
    • set tm samlSSOProfile <saml-sso-profile-name> -samlissuerName - 511 (new max length)
    • set vpn samlSSOProfile <saml-sso-profile-name> -samlissuerName - 511 (new max length)
    • set oauthaction <oauth-action-name> -clientSecret - 239 (new max length)
    • set oauthaction <oauthidp_profile-name> -clientSecret - 239 (new max length)

    [NSAUTH-8180]

  • Soporte para inhabilitar las débiles autenticaciones Basic, Digest y NTLM a nivel mundial

    La configuración de SSO ahora es más segura al inhabilitar los siguientes métodos de autenticación débil a nivel mundial.

    • Autenticación
    • Autenticación de acceso resu
    • NTLM sin configurar Negotiate NTLM2 Key o Negotiate Sign

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/enable-sso-for-auth-pol.html.

    [ NSAUTH-7747 ]

  • Posibilidad de iniciar el flujo de nFactor con un bloque de decisión en el visualizador nFactor

    Con el visualizador nFactor, ahora puede iniciar el flujo de nFactor con un bloque de decisión. Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/multi-factor-nfactor-authentication/nfactor-authentication-simplification.html.

    [NSAUTH-7665]

  • Compatibilidad con client_assertion_type y client_assertion en la API de tokens de OAuth

    La función OAuth ahora admite las siguientes capacidades en la API de token desde el lado de la parte que confía (RP) y desde el lado del IdP de Citrix Gateway y Citrix ADC.

    • Compatibilidad con PKCE (clave de prueba para intercambio de código)
    • Soporte para client_assertion

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/oauth-authentication/citrix-adc-oauth-sp.html.

    [NSAUTH-6243]

Dispositivo Citrix ADC SDX

  • Actualización automática del agente integrado sin inicialización

    A partir de la versión ADC 13.0 de Citrix ADC, compilación 61.xx y versiones posteriores, el dispositivo Citrix ADC SDX tiene agentes integrados con la función ADM Service Connect. El agente integrado Citrix ADM disponible en el dispositivo ADC SDX se inicia como un demonio activo y se comunica con el servicio ADM. Una vez establecida la comunicación con el servicio ADM, el agente integrado se actualiza automáticamente a la última versión de software con regularidad.

    [NSSVM-3919]

  • Función de conexión al servicio Citrix ADM para habilitar la incorporación automática al servicio Citrix ADM

    La función de conexión del servicio Citrix Application Delivery Management (ADM) permite la incorporación perfecta de los dispositivos Citrix ADC SDX al servicio Citrix ADM. Esta función permite que el dispositivo ADC SDX se conecte automáticamente con el servicio ADM y envíe datos de sistema, uso y telemetría al servicio ADM. Con estos datos, puede obtener información y recomendaciones para su infraestructura Citrix ADC, en el servicio Citrix ADM.

    De forma predeterminada, la función de conexión al servicio Citrix ADM está habilitada al instalar o actualizar el dispositivo Citrix ADC SDX.

    Para obtener más información, consulte estos temas:

    Nota: La función de conexión al servicio ADM ya está disponible en las instancias Citrix ADC y en los dispositivos Citrix Gateway; sin embargo, la funcionalidad correspondiente del servicio Citrix ADM aún no está disponible. Citrix actualiza esta nota cuando la funcionalidad correspondiente esté disponible en el servicio ADM para que pueda aprovechar todas las ventajas de esta función.

    [NSSVM-3911]

Citrix Web App Firewall

  • Aprender e implementar reglas de relajación en caso de violación de URL de XSS

    El Web App Firewall de Citrix ahora puede detectar las infracciones de las URL de XSS e implementar reglas de relajación en casos de falsos positivos.

    Nota: En una configuración de clúster, todos los nodos deben ser de la misma versión para implementar las reglas de URL de XSS.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/top-level-protections/html-cross-site-scripting-check.html%23using-the-learn-feature-with-the-html-cross-site-scripting-check.

    [NSWAF-5186]

  • Verificación de seguridad para bloquear las infracciones en el límite de tamaño del cuerpo de las publicaciones HTTPEl perfil de Citrix Web App Firewall ahora admite la opción “PostBodyLimitAction” como comprobación de seguridad configurable para cumplir con la configuración de errores y bloquear las solicitudes (excepto la URL de redireccionamiento) si el tamaño del cuerpo de la publicación HTTP supera el límite máximo permitido. La comprobación de seguridad también se aplica a las solicitudes con un encabezado de codificación de transferencia configurado como fragmentado. Anteriormente, las infracciones posteriores al límite de cuerpos generaban 400 como respuesta del servidor.

    El formato de registro de la configuración “PostBodyLimitAction” ha cambiado ahora según el formato del registro de auditoría.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/app-firewall-profile-settings.html.

    [NSWAF-5184]

Equilibrio de carga

  • Mayor longitud de caracteres para el nombre del monitor

    El número de caracteres del nombre del monitor ahora se ha incrementado hasta 255 caracteres.

    [NSLB-5223]

Redes

  • Cambio en el esquema de numeración de la interfaz en los dispositivos Citrix ADC BLX

    El esquema de numeración de las interfaces de un dispositivo Citrix ADC BLX se modifica para que se alinee con otras plataformas Citrix ADC. Citrix recomienda actualizar todos los scripts que dependan de la numeración de la interfaz.

    Anteriormente, ambas interfaces internas se numeraban como primera y última interfaz. Todas las interfaces dedicadas (en un dispositivo Citrix ADC en modo que no sea DPDK o DPDK) están numeradas entre la primera y la última interfaz interna.

    Ejemplo 1: Un dispositivo Citrix ADC BLX en modo no DPDK con dos interfaces dedicadas:

    • Las interfaces BLX internas están numeradas como 0/1 y 0/4.
    • Las interfaces dedicadas se numeran como 0/2 y 0/3.

    Ejemplo 2: Un dispositivo Citrix ADC BLX en modo DPDK con una interfaz DPDK:

    • Las interfaces BLX internas están numeradas como 0/1 y 0/3.
    • La interfaz DPDK está numerada como 0/2.

    A partir de esta versión, las interfaces de un dispositivo Citrix ADC se numeran en el siguiente orden secuencial:

    • Ambas interfaces internas están numeradas como primera y segunda interfaz.
    • interfaces dedicadas.
    • Interfaces DPDK (en dispositivos Citrix ADC en modo DPDK).

    Ejemplo 1: Un dispositivo Citrix ADC BLX en modo no DPDK con dos interfaces dedicadas:

    • Las interfaces BLX internas están numeradas como 0/1 y 0/2.
    • Las interfaces dedicadas se numeran como 0/3 y 0/4.

    Ejemplo 2: Un dispositivo Citrix ADC BLX en modo DPDK con una interfaz DPDK (40 G) y una interfaz dedicada que no es de DPDK:

    • Las interfaces BLX internas están numeradas como 0/1 y 0/2.
    • La interfaz dedicada que no es de DPDK está numerada como 0/3.
    • La interfaz DPDK (40G) está numerada 40/1.

    [NSNET-17067]

  • Compatibilidad con contraseñas no predeterminadas para el usuario raíz en Citrix ADC CPX

    Citrix ADC CPX ahora admite contraseñas no predeterminadas para el usuario raíz (nsroot). Al implementar CPX, se genera y asigna una contraseña aleatoria para el usuario raíz. También puede cambiarlo manualmente.

    [NSNET-10520]

  • Soporte de licencias locales por suscripción para dispositivos Citrix ADC BLX

    Una licencia local es similar a una licencia perpetua, sin embargo, tienen una fecha de caducidad. La suscripción de software que conforma las licencias locales se basa en términos y se puede instalar sin necesidad de ADM como servidor de licencias.

    Los siguientes tipos de licencias locales de suscripción están disponibles para los dispositivos Citrix ADC BLX:

    Licencia local de suscripción basada en ancho de banda. Este tipo de licencia se aplica con un rendimiento máximo permitido al que tiene derecho un dispositivo Citrix ADC BLX en particular. Cada licencia local también está vinculada a una de las ediciones del software Citrix ADC (Standard, Enterprise o Platinum), que desbloquea el conjunto de funciones ADC de esta edición en un dispositivo Citrix ADC BLX. La compatibilidad con Embedded Select se incluye con la compra de licencia local de suscripción

    Ejemplo:

    Una suscripción a Citrix ADC BLX Premium Edition de 10 Gbps: da derecho a un dispositivo Citrix ADC BLX con un rendimiento máximo permitido de 10 Gbps. Esta licencia también desbloquea todas las funciones de ADC, enumeradas en la edición Premium, en el dispositivo Citrix ADC BLX.

    [NSNET-9189]

  • Las NIC Mellanox son compatibles con los dispositivos Citrix ADC BLX en modo DPDK

    Los dispositivos Citrix ADC BLX ahora admiten las NIC Mellanox con el controlador MLX5 para su implementación en modo DPDK.

    [ NSNET-8946 ]

Directivas

  • Verificación del certificado de servidor para importar la página HTML del respondedorAhora puede usar el comando “import responder htmlpage” para enviar respuestas de error HTML al cliente. Anteriormente, no se realizaba ninguna validación de la certificación del servidor durante la importación de páginas HTML. Este problema ahora se ha resuelto mediante el uso de un nuevo parámetro, “CAcertFile”. Puede configurar el parámetro para verificar la autenticación del certificado del servidor al importar una página HTML.
    Nota: Si no configura el nombre del archivo del certificado de CA, se utilizan los certificados de CA raíz predeterminados para verificar el certificado del servidor.
    import responder htmlpage [<src>] <name> [-comment <string>] [-overwrite][-CAcertFile <string>]

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/appexpert/responder/configuring-responder-action.html%23configure-html-page-import.

    [ NSPOLICY-3620 ]

Sistema

  • Soporte para vincular el perfil de análisis globalmenteAhora puede vincular el perfil de análisis globalmente.
    Anteriormente, había que vincular el perfil de análisis a cada servidor virtual.

    [ NSBASE-11079 ]

  • Datos estadísticos para la inspección de contenido de ICAP, IPS e IDS

    Los datos estadísticos ya están disponibles para las funciones de inspección de contenido de ICAP, IPS e IDS.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/content-inspection-statistics-for-icap-ips-ids.html.

    [ NSBASE-10447 ]

Interfaz de usuario

  • Actualización automática de los agentes integrados sin inicialización

    A partir de la versión 13.0 de Citrix ADC, compilación 61.xx y versiones posteriores, el agente integrado Citrix ADM disponible en las instancias de Citrix ADC se comunica con el servicio ADM sin inicializarlo en la instancia de ADC correspondiente. Una vez establecida la comunicación con el servicio ADM, el agente integrado se actualiza automáticamente a la última versión del software con regularidad.

    Anteriormente, había que inicializar el agente integrado en las instancias de Citrix ADC mediante los comandos “mastools”, para establecer la comunicación con el servicio ADM y para realizar actualizaciones automáticas periódicas.

    [NSCONFIG-4153]

  • Función de conexión al servicio Citrix ADM para habilitar la incorporación automática al servicio Citrix ADM

    La función de conexión del servicio Citrix Application Delivery Management (ADM) permite incorporar sin problemas las instancias MPX, SDX y VPX de Citrix ADC y los dispositivos Citrix Gateway en el servicio Citrix ADM. Esta función permite que la instancia de ADC o el dispositivo Gateway se conecten automáticamente con el servicio ADM y envíen datos del sistema, el uso y la telemetría al servicio ADM. Con estos datos, obtiene información y recomendaciones para su infraestructura Citrix ADC en el servicio Citrix ADM.

    De forma predeterminada, la función de conexión al servicio Citrix ADM está habilitada al instalar o actualizar las instancias MPX, SDX y VPX de Citrix ADC o el dispositivo Citrix Gateway.

    Para obtener más información, consulte estos temas:

    Nota: La función de conexión al servicio ADM ya está disponible en las instancias Citrix ADC y en los dispositivos Citrix Gateway; sin embargo, la funcionalidad correspondiente del servicio Citrix ADM aún no está disponible. Citrix actualiza esta nota cuando la funcionalidad correspondiente esté disponible en el servicio ADM para que pueda aprovechar todas las ventajas de esta función.

    [ NSCONFIG-4150 ]

  • Función de conexión al servicio Citrix ADM para habilitar la incorporación automática al servicio Citrix ADM

    La función de conexión del servicio Citrix Application Delivery Management (ADM) permite incorporar sin problemas las instancias MPX, SDX y VPX de Citrix ADC y los dispositivos Citrix Gateway en el servicio Citrix ADM. Esta función permite que la instancia de ADC o el dispositivo Gateway se conecten automáticamente con el servicio ADM y envíen datos del sistema, el uso y la telemetría al servicio ADM. Con estos datos, obtiene información y recomendaciones para su infraestructura Citrix ADC en el servicio Citrix ADM.

    De forma predeterminada, la función de conexión al servicio Citrix ADM está habilitada al instalar o actualizar las instancias MPX, SDX y VPX de Citrix ADC o el dispositivo Citrix Gateway.

    Para obtener más información, consulte estos temas:

    Nota: La función de conexión al servicio ADM ya está disponible en las instancias Citrix ADC y en los dispositivos Citrix Gateway; sin embargo, la funcionalidad correspondiente del servicio Citrix ADM aún no está disponible. Citrix actualiza esta nota cuando la funcionalidad correspondiente esté disponible en el servicio ADM para que pueda aprovechar todas las ventajas de esta función.

    [ NSCONFIG-3793 ]

Problemas resueltos

Los problemas que se abordan en las compilaciones 13.0—64.35.

Autenticación, autorización y auditoría

  • Si se configura un dispositivo Citrix ADC para el inicio de sesión OTP y el campo OTP se deja en blanco, se produce un error en la autenticación. En tal caso, el dispositivo registra la contraseña del usuario en ns.log, lo que genera un problema de seguridad.

    [NSHELP-24027]

  • En algunos casos, la aserción SAML se interrumpe cuando los valores de los atributos tienen etiquetas XML. Esto provoca un error en la extracción de atributos.

    [NSHELP-23940]

  • Un dispositivo Citrix ADC configurado como proveedor de identidad (IdP) para Citrix Workspace puede fallar cuando los usuarios forman parte de una gran cantidad de grupos de Active Directory.

    [NSHELP-23899]

  • El usuario no recibe una solicitud de autenticación 401 porque el dispositivo Citrix ADC solicita la configuración de autenticación desde una estructura de servidor virtual incorrecta.

    [NSHELP-23892]

  • El inicio de sesión de Citrix Workspace falla cuando un dispositivo Citrix ADC está configurado como proveedor de identidad (IdP) para Citrix Workspace y se produce un error de extracción de atributos personalizados.

    [NSHELP-23843]

  • En algunos casos, el archivo “ns.log” del dispositivo Citrix ADC se inunda incorrectamente con los siguientes mensajes de registro “reclamaciones permitidas en el esquema de inicio de sesión actual”.

    [NSHELP-23593]

  • Las directivas de sesión de VPN vinculadas a un usuario o grupo de autenticación, autorización y auditoría no se aplican si el cliente VPN accede al dispositivo Citrix ADC mediante el método de autenticación nFactor de webview.

    [NSHELP-23526]

  • La GUI de Citrix ADC, en la página “Vinculación de directivas de autenticación global del sistema”, contiene los siguientes errores:

    • El campo Goto Expression muestra incorrectamente “FIN” en lugar de “SIGUIENTE”.
    • La directiva vinculada al siguiente factor no se refleja en el campo “Siguiente factor”.

    [NSHELP-23474]

  • En raras ocasiones, el nombre de usuario de la sesión se muestra incorrectamente como “anónimo” en lugar del nombre común del certificado del dispositivo si se cumplen las dos condiciones siguientes.

    • Un dispositivo Citrix ADC está configurado para la autenticación nFactor.
    • El certificado de dispositivo se configura como el único factor en una configuración de nFactor.

    [NSHELP-23243]

  • La autenticación SAML para el último factor falla cuando se cumplen las dos condiciones siguientes:

    • El dispositivo Citrix ADC está configurado como SAML SP.
    • La EPA está habilitada en el servidor virtual VPN como directiva de autenticación previa y el tema RFWebUi está enlazado al servidor.

    [NSHELP-22932, NSHELP-22819]

  • Se produce un error al establecer la sesión cuando se accede a ella desde la aplicación Citrix Workspace mediante Webview si la autenticación previa EPA está configurada junto con la autenticación nFactor.

    [NSHELP-22845]

  • La página de inicio de sesión de un dispositivo Citrix ADC no se muestra correctamente cuando LDAP y SAML están configurados como el mecanismo de autenticación principal.

    [NSHELP-22713]

  • Al iniciar sesión en el dispositivo Citrix Gateway, se muestra una página en blanco si se cumplen las siguientes condiciones:

    • El dispositivo Citrix Gateway está configurado para la autenticación nFactor con SAML como EULA del siguiente factor.
    • Haga clic en la flecha hacia atrás para ir a la página anterior durante el proceso de inicio de sesión.

    [NSHELP-22604]

  • En algunos casos, un dispositivo Citrix ADC se bloquea debido a la corrupción de la memoria provocada por la sobrescritura del búfer de la lista de dispositivos OTP.

    [NSHELP-22478]

  • A veces, la autenticación SSO basada en formularios falla por primera vez si hay un Set-Cookie en el encabezado de respuesta HTTP del formulario HTML.

    [NSHELP-21740]

Administración de bots

  • La interrupción del servicio puede producirse en tiempo de ejecución si la técnica de detección de TPS de administración de bots está configurada con la acción de “mitigación”.

    [NSBOT-124]

  • Durante una actualización, un dispositivo Citrix ADC puede bloquearse si el archivo de firma del bot contiene cadenas largas.

    [ NSBOT-37 ]

  • Un dispositivo Citrix ADC puede bloquearse si modifica el perfil de administración de bots cuando se procesa el tráfico.

    [NSBOT-4, NSHELP-25196]

Dispositivo Citrix ADC SDX

  • Se muestra una cadena de modelo de plataforma incorrecta al configurar las licencias agrupadas en los dispositivos Citrix ADC SDX 8400, 8600 u 8015.

    [NSHELP-24234]

  • Si realiza una copia de seguridad de un dispositivo SDX, se produce un error al restaurar las instancias en otro dispositivo SDX.

    [NSHELP-23947]

  • En un dispositivo Citrix ADC SDX 8900, la cantidad de instancias disponibles para el aprovisionamiento se reduce después de actualizar el dispositivo.

    [NSHELP-23808]

  • La actualización de un dispositivo Citrix ADC SDX a la versión 12.1, compilación 57.x, puede fallar porque un proceso del Servicio de administración no responde.

    [NSHELP-23612]

  • En el dispositivo Citrix ADC SDX, un usuario con permisos de solo lectura puede transferir archivos al Servicio de administración mediante una utilidad de transferencia de archivos, como SCP o SFTP.

    [NSHELP-22638]

Citrix Gateway

  • Es posible que el dispositivo Citrix Gateway se bloquee al añadir un JavaScript de cookie_watch mientras suministra tráfico de VPN sin cliente.

    [NSHELP-24096]

  • No puede inhabilitar el complemento EPA de Citrix Gateway desde la GUI después de actualizar a la versión 13.0, compilación 58.30.

    [NSHELP-24016]

  • El complemento VPN no puede cargar la página de inicio de sesión de Citrix Gateway si se especifica un número de puerto durante el inicio de sesión. Este problema solo se produce si la autenticación nFactor está configurada para el servidor virtual del dispositivo.

    [NSHELP-23925]

  • Cuando un túnel VPN está activo, los usuarios no pueden acceder a un portal si se cumplen las siguientes condiciones:

    • Las aplicaciones de intranet basadas en nombres de host se configuran junto con el túnel de división inversa.
    • El nombre de host del portal coincide con el nombre de una aplicación de intranet.

    [NSHELP-23912]

  • En la página del servidor virtual VPN, el resumen de temas, directivas y perfiles configurados del portal no aparece en la parte izquierda de la página.

    [NSHELP-23903]

  • En raras ocasiones, un dispositivo Citrix Gateway puede fallar al gestionar las solicitudes de transferencia de inicio o cierre de sesión.

    [NSHELP-23863]

  • El complemento de Windows no puede realizar un inicio de sesión de transferencia sin problemas en el modo de servicio Always On si el tema del portal RFWebUi está enlazado al servidor virtual Citrix ADC.

    [NSHELP-23837]

  • Al actualizar el complemento VPN a la versión 13.0, las consultas DNS se envían a los servidores DNS locales y remotos si el túnel dividido está desactivado.

    [NSHELP-23826]

  • Las consultas DNS locales a través del complemento VPN, si se especifican para un servidor DNS determinado, no se aceptan porque las consultas se envían a servidores DNS seleccionados al azar en el cliente.

    [NSHELP-23743]

  • La pantalla de credenciales de Windows no se actualiza cuando la red vuelve a funcionar.

    [NSHELP-23594]

  • Las carpetas de SAP no funcionan según lo previsto cuando se accede a ellas a través de una VPN avanzada sin cliente.

    [NSHELP-23561]

  • En el modo de servicio Always On de Citrix Gateway, cuando se reinicia la máquina, el túnel no se establece si se configura una dirección IP de la intranet.

    [NSHELP-23304]

  • El dispositivo Citrix ADC se bloquea si el comando “show vpn storeinfo” se ejecuta repetidamente.

    [NSHELP-23144]

  • Se produce un error al iniciar la aplicación ICA Proxy a través del canal SOCKS.

    [NSHELP-23111]

  • Los usuarios no pueden acceder a los recursos a través de la VPN cuando las máquinas se reanudan desde el estado de suspensión o hibernación.

    [NSHELP-23024]

  • El complemento VPN no puede establecer una sesión perfecta después de reiniciar el dispositivo Citrix Gateway porque la configuración se sobrescribe cuando está habilitada la opción Always On.

    [NSHELP-22674]

  • En raras ocasiones, el dispositivo Citrix ADC puede dejar de responder si está configurado para EDT y HDX Insight está habilitado para las sesiones EDT.

    [NSHELP-22640]

  • El dispositivo Citrix Gateway se bloquea al acceder a la configuración del servidor DNS si está configurado el proxy RDP y se intenta resolver el DNS después de la resolución WINS.

    [NSHELP-22577]

  • En una configuración de alta disponibilidad de doble salto de Citrix Gateway, es posible que la conexión ICA se pierda tras una conmutación por error de HA.

    [ NSHELP-22444 ]

  • El dispositivo Citrix Gateway puede bloquearse porque algunos comandos no se ejecutan.

    [NSHELP-22371]

  • El dispositivo Citrix Gateway puede bloquearse de forma intermitente si se configura una directiva de syslog.

    [ NSHELP-22304 ]

Citrix Web App Firewall

  • Un dispositivo Citrix ADC puede bloquearse si las comprobaciones de seguridad XML o del lado de respuesta están habilitadas y las expresiones de registro están configuradas en un perfil de Web App Firewall.

    [NSWAF-6466]

  • En una configuración de clúster, el comando unbind para configurar una regla de relajación de comprobación de secuencias de comandos multisitios HTML con la ubicación como URL no funciona correctamente.

    [NSWAF-6463]

  • En una configuración de clúster, la agregación de datos ASLearn de Citrix Web App Firewall en el nodo coordinador del clúster (CCO) falla cuando los nodos RPC están protegidos.

    [ NSWAF-6460 ]

  • Tras una actualización, es posible que los valores “BufferOverflowMaxQueryLength” y “BufferOverflowMaxHeaderLength” de un perfil de Citrix Web App Firewall existente no sean adecuados para la implementación. Como resultado, es posible que tenga que modificar los valores si son incorrectos.

    [NSWAF-6346]

  • Un dispositivo Citrix ADC puede bloquearse si la firma del bot está habilitada en la configuración del servidor DNS externo.

    [NSHELP-24190]

  • Las solicitudes POST con el tipo de contenido “application/octet-stream” no se procesan si la transmisión está habilitada sin un conjunto de firmas.

    [NSHELP-22668]

  • En una configuración de alta disponibilidad, la sesión de Web App Firewall en el nodo secundario es una sesión obsoleta.

    [NSHELP-20288]

Equilibrio de carga

  • La sincronización en tiempo real de la configuración de GSLB desde el sitio maestro a los sitios subordinados puede fallar si la opción segura está habilitada para el nodo RPC del sitio remoto.

    [NSHELP-24178]

  • Un dispositivo Citrix ADC puede fallar al intentar evaluar las directivas de los suscriptores y GXSessionReporting está activado.

    [NSHELP-24159]

  • El dispositivo Citrix ADC se bloquea si el parámetro StoreDB está habilitado en el monitor MYSQL-ECV.

    [NSHELP-23983]

  • Cuando agrega dos grupos de servicios con el mismo valor para el parámetro “devno” de forma explícita mediante la CLI, se produce un error al agregar el segundo grupo de servicios. Esto se debe a que el mismo devno ya está asignado al primer grupo de servicios. Se recomienda no proporcionar el devno de forma explícita desde la CLI, ya que se rellena automáticamente.

    [NSHELP-23817]

  • Si la opción de comprobación de estado está habilitada para la interfaz Gx y el servidor Gx no responde, no se crean sesiones TTL negativas.

    [NSHELP-23355]

  • En el caso de las solicitudes UDP de DNS, la sesión del suscriptor se cree en función de la dirección IP de destino en lugar de en la dirección IP de origen, si se utilizan tanto una expresión de suscriptor como una expresión de DNS en la misma directiva.

    [NSHELP-22521]

  • En una configuración de clúster, las reglas de ACL con la configuración de VLAN no surten efecto, lo que hace que los paquetes afecten a otras reglas de ACL.

    Este problema se produce cuando se elimina un servidor virtual en la configuración del clúster, lo que hace que los nodos del clúster no agreguen información de VLAN a los paquetes dirigidos.

    [NSHELP-22103]

  • En una configuración de alta disponibilidad (HA), cuando se reinicia el nodo secundario, es posible que el nodo principal se bloquee durante la duplicación de la conexión de las sesiones con el nodo secundario.

    [NSHELP-21715, NSHELP-34301]

Otros

  • Algunos comandos presentes en el archivo rc.netscaler no se aplican correctamente después de reiniciar un dispositivo Citrix ADC, por lo que es posible que el dispositivo no funcione según lo previsto.

    [NSHELP-22507]

Redes

  • El script nstcpdump.sh no se ejecuta en la CLI Citrix ADC BLX conectada a través de SSH e iniciada sesión con las credenciales de administrador (nsroot) predeterminadas. El script falla porque el administrador predeterminado (nsroot) no tiene permiso para acceder a ciertos archivos y recursos de red.

    [ NSNET-16816 ]

  • En una configuración de alta disponibilidad con la duplicación de conexiones habilitada para el tráfico FTP, el nodo secundario podría bloquearse si se cumple la siguiente condición.

    • la conexión de datos se propaga al nodo secundario antes de la conexión de control

    [NSHELP-24088]

  • Cuando el modo L2 está habilitado, el dispositivo Citrix ADC reenvía los paquetes de transmisión DHCP recibidos en la partición predeterminada.

    [NSHELP-23957]

  • El dispositivo Citrix ADC puede fallar durante la traducción a NAT64 de un paquete de solicitud IPv6 recibido si se cumple la siguiente condición:

    Los últimos 32 bits de la dirección IPv6 de destino, que es la dirección IPv4 de destino traducida, son superiores a 240.0.0.0 (se encuentran dentro del rango de IP reservadas).

    [NSHELP-22742, NSHELP-25331]

  • Es posible que observe un uso elevado de la CPU en un dispositivo Citrix ADC cuando envía paquetes IPv6 fragmentados.

    [NSHELP-22699]

  • Un paquete con una dirección MAC virtual no válida como dirección de destino se clasifica erróneamente como un paquete con la dirección MAC propiedad de Citrix ADC.

    [NSHELP-22697]

Plataforma

  • En la plataforma Citrix ADC SDX 24000, se genera una alerta crítica en las unidades lógicas después de actualizar el dispositivo a la versión 13.0 del software. Se trata de un falso positivo.

    [NSHELP-23505]

  • En algunos casos, en un dispositivo Citrix ADC SDX, la configuración de algunas instancias virtuales con interfaces Mellanox de 50 G y 100 G agota la memoria.

    [NSHELP-23394]

  • Debe reiniciar un dispositivo Citrix ADC SDX para restablecer e inicializar una tarjeta SSL cuando la tarjeta devuelva un error. Con esta solución, no es necesario reiniciar.

    [NSHELP-22725]

Directivas

  • Un Citrix ADC puede fallar al evaluar una gran cantidad de expresiones incrustadas en una página HTML.

    [ NSPOLICY-1462 ]

SSL

  • El dispositivo Citrix ADC podría bloquearse si se cumplen las siguientes condiciones:

    • El procesamiento inicial de datos de TLS 1.3 está habilitado en un perfil SSL de una partición de administración no predeterminada.
    • El procesamiento inicial de datos de TLS 1.3 está inhabilitado en todos los perfiles SSL de la partición de administración predeterminada.

    [NSHELP-23607]

  • En un dispositivo Citrix ADC, ejecutar el comando “forzar la conmutación por error” o el comando “clear config” puede provocar un bloqueo si las particiones de administración están configuradas con una de las siguientes entidades:

    • Servidores virtuales transparentes.
    • Servicios dinámicos.

    [NSHELP-23321]

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen las siguientes condiciones:

    • Se añade un par de claves de certificado con la opción de monitor de caducidad habilitada.
    • La fecha del certificado es anterior al 01/01/1970.

    [NSHELP-22934]

  • En una configuración de clúster, una consulta de la API NITRO para obtener enlaces de directivas SSL se realiza correctamente desde la dirección CLIP, pero la consulta falla si se ejecuta desde un nodo de clúster.

    [NSHELP-22853]

  • Un dispositivo Citrix ADC puede fallar si hay una gran cantidad de entradas en caché de OCSP y ejecuta el comando clear config.

    [NSHELP-22695]

  • La configuración de CRL vacías para actualizaciones frecuentes agota la memoria asignada compartida en el dispositivo Citrix ADC.

    [NSHELP-22166]

  • Es posible que un dispositivo Citrix ADC particionado no responda como se esperaba si realiza las siguientes acciones:

    1. Cree dos respondedores de OCSP en particiones diferentes.
    2. Borra la configuración en una partición.
    3. Elimine el respondedor OCSP de la otra partición.

    [NSHELP-20861]

Sistema

  • Es posible que un dispositivo Citrix ADC no optimice ni comprima objetos grandes, como Javascript o CSS, si la optimización de interfaz está habilitada.

    [NSHELP-24041]

  • Si la duplicación de la conexión no sincroniza los parámetros de la PCB, podría provocar la pérdida de opciones de TCP, como el tamaño máximo de segmento (MSS) y el escalado de ventanas.

    [NSHELP-23990]

  • En el caso del protocolo de reutilización de sesiones TLS v1.2, se observa el siguiente comportamiento en el dispositivo Citrix ADC:

    • La información de categorización se guarda en la PCB del servidor y la información del dominio se guarda en la PCB del cliente.
    • Los datos se envían a AppFlow solo desde la PCB del cliente, por lo que en los casos de reutilización de sesiones, la información de categorización se envía como nula.

    [NSHELP-23542]

  • Si un servicio, que representa un dispositivo en línea, está inactivo cuando se inspecciona el tráfico, un recurso no se libera correctamente. El dispositivo Citrix ADC se bloquea cuando se vuelve a acceder a este recurso liberado.

    [NSHELP-23145]

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen las siguientes condiciones:

    • La memoria caché flash está habilitada.
    • Se restablece la conexión del cliente.
    • Solicitud del cliente en la cola para ser atendida como parte del proceso de almacenamiento en caché.

    [ NSHELP-21872 ]

  • Para la generación de trampas de sincronización, si no restablece los valores de varbinding, el dispositivo utilizará los valores de varbinding de captura antiguos en lugar de los valores actuales y de umbral.

    [NSHELP-20653, NSHELP-20401, NSHELP-24490]

  • En el TCP multiruta (MPTCP), los contadores SI_CUR_Clients y SI_CUR_CLNT_ConnopEnest se incrementan dos veces.

    [NSHELP-19896]

  • A veces, los datos de análisis no se rellenan en el servicio ADM.

    [ NSBASE-11508 ]

Interfaz de usuario

  • El inicio de sesión multifactorial (nFactor) no funciona con la GUI de Citrix ADC. Tras el inicio de sesión del primer factor, la siguiente entrada de inicio de sesión del factor no funciona.

    [NSHELP-24078]

  • Un dispositivo Citrix ADC puede bloquearse cuando un proceso interno se reinicia un número máximo de veces.

    [NSHELP-23378]

  • Solo los tres últimos dígitos del año aparecen en la línea “Activo desde (Local)” del comando “stat system”.

    [NSHELP-22960]

  • Agregar directamente a un miembro del grupo de servicios se ha realizado correctamente. Sin embargo, la operación fallará si realiza los siguientes pasos:

    1. Vaya a Administración del tráfico > Equilibrio de carga > Grupos de servicios.

    2. Seleccione un grupo de servicios y haga clic en Miembros del grupo de servicios.

    3. Haga clic con el botón derecho en una de las entradas y seleccione Agregar.

    4. En Crear miembro del grupo de servicios, cambie la dirección IP y haga clic en Crear.

    [NSHELP-21925]

  • La API NITRO (routerdynamicrouting) para obtener la configuración en ejecución de ZeBOS no obtiene el resultado completo para configuraciones grandes (más de 25 líneas).

    [ NSCONFIG-3535 ]

Problemas conocidos

Los problemas que existen en la versión 13.0-64.35.

Autenticación, autorización y auditoría

  • En algunos dispositivos Citrix ADC que tienen habilitado el GSLB, se produce un error en la redirección del servidor virtual de autenticación al servidor virtual de equilibrio de carga debido a un cálculo de URL no válido.

    [NSHELP-33459]

  • El dispositivo Citrix ADC puede bloquearse cuando el servidor virtual de autenticación se utiliza en una partición no predeterminada.

    [NSHELP-32054]

  • El inicio de sesión único (SSO) falla si el SSO está habilitado para el tráfico que no tiene el token portador requerido para gestionar el SSO.

    [NSHELP-31362, NSHELP-33814]

  • Los caracteres no ASCII se graban en nsvpn.log cuando la acción LDAP se configura en un FQDN en lugar de en una dirección IP.

    [ NSHELP-27281 ]

  • En algunos casos, el comando Vincular autenticación, autorización y grupo de auditoría puede fallar si el nombre de la directiva es más largo que el nombre de la aplicación de la intranet.

    [NSHELP-25971]

  • El dispositivo Citrix ADC descarga el núcleo cuando NOAUTH se configura como primer factor y Negotiate como el factor posterior en el flujo de autenticación basado en 401.

    [ NSHELP-25203 ]

  • Si la contraseña de administrador de los servicios LDAP, RADIUS o TACACS contiene comillas dobles (“), el dispositivo Citrix ADC lo elimina durante la comprobación de “Probar conectividad”, lo que provoca un error de conexión.

    [ NSHELP-23630 ]

  • Los administradores no pueden realizar un registro personalizado de los errores de autenticación que se producen debido a credenciales no válidas. Este problema se produce porque las directivas de respuesta de Citrix ADC no detectan los errores de inicio de sesión.

    [ NSAUTH-11151 ]

  • El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando.
    show adfsproxyprofile <profile name>

    Solución temporal: Conéctese al Citrix ADC activo principal del clúster y ejecute el comando show adfsproxyprofile <profile name>. Mostraría el estado del perfil de proxy.

    [ NSAUTH-5916 ]

Dispositivo Citrix ADC SDX

  • Al actualizar un dispositivo Citrix ADC SDX, en raras ocasiones aparece el siguiente evento incorrecto en la GUI del servicio de administración:

    “La versión SVM y la versión de Hypervisor no son compatibles”

    [ NSHELP-32949 ]

  • En una GUI de Citrix ADC SDX, mostrar los servidores NTP puede congelar la interfaz de usuario si el archivo de configuración NTP (ntp.conf) solo tiene espacios en alguna de las líneas.

    [ NSHELP-31530 ]

Citrix Gateway

  • No se puede acceder a los recursos de la intranet que se superpongan con un rango de direcciones IP falsificado si el túnel dividido está desactivado en el cliente de Citrix Secure Access.

    [NSHELP-34334]

  • La conexión VPN siempre activa falla de forma intermitente al iniciarse debido a la accesibilidad del servidor Gateway.

    [NSHELP-33500]

  • Si los valores del Registro relacionados con Citrix Secure Access superan los 1500 caracteres, el recopilador de registros no puede recopilar los registros de errores.

    [ NSHELP-33457 ]

  • El dispositivo Citrix Gateway podría bloquearse si HDX Insight está activado y el usuario inicia sesión en StoreFront inmediatamente después de cerrar sesión.

    [ NSHELP-32907, NSHELP-33079, NSHELP-33289 ]

  • El cliente Citrix Secure Access, versión 21.7.1.2 y posteriores, no puede actualizar a versiones posteriores para los usuarios sin privilegios administrativos. Este problema solo se aplica si la actualización del cliente Citrix Secure Access se realiza desde un dispositivo Citrix ADC.

    [ NSHELP-32793 ]

  • Cuando los usuarios hacen clic en la ficha Página principal de la pantalla de Citrix Secure Access para Windows, la página muestra el error de denegación de conexión.

    [ NSHELP-32510 ]

  • En un dispositivo Mac que usa Chrome, la extensión VPN se bloquea al acceder a dos FQDN.

    [ NSHELP-32144 ]

  • A veces, el inicio de sesión automático de Windows no funciona cuando un usuario inicia sesión en la máquina con Windows en un modo de servicio siempre activo. El túnel de la máquina no pasa al túnel de usuario y aparece el mensaje “Conectando… “aparece en la interfaz de usuario del plug-in de VPN.

    [NSHELP-31357, CGOP-21192, NSHELP-34211]

  • Cuando se configura AlwaysOn, se produce un error en el túnel de usuario debido al número de versión incorrecto (1.1.1.1) en el archivo aoservice.exe.

    [ NSHELP-30662 ]

  • Los usuarios no pueden conectarse al dispositivo Citrix Gateway después de cambiar el parámetro “networkAccessOnVPNFailure” siempre en el perfil de “fullAccess” a “onlyToGateway”.

    [ NSHELP-30236 ]

  • La página principal de la puerta de enlace no se muestra inmediatamente después de que el plug-in de puerta de enlace establezca el túnel VPN correctamente. Para solucionar este problema, se introduce el siguiente valor de Registro.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Tipo: DWORD

    De forma predeterminada, este valor de Registro no se establece ni se agrega. Cuando el valor de “SecureChannelResetTimeoutSeconds” es 0 o no se agrega, la solución para gestionar la demora no funciona, que es el comportamiento predeterminado. El administrador debe configurar este Registro en el cliente para habilitar la corrección (es decir, mostrar la página de inicio inmediatamente después de que el plug-in de puerta de enlace establezca correctamente el túnel VPN).

    [ NSHELP-30189 ]

  • El cliente VPN de Windows no respeta la alerta de “notificación de cierre SSL” del servidor y envía la solicitud de inicio de sesión de transferencia en la misma conexión.

    [ NSHELP-29675 ]

  • La autenticación de certificados de cliente falla para Citrix SSO para macOS si no hay certificados de cliente en el llavero de macOS.

    [ NSHELP-28551 ]

  • A veces, se desactiva la sesión de un usuario en Citrix Gateway en unos segundos cuando se establece el tiempo de espera por inactividad del cliente.

    [ NSHELP-28404 ]

  • Es posible que el dispositivo Citrix Gateway se bloquee al procesar el tráfico UDP iniciado por el servidor.

    [ NSHELP-27611 ]

  • El dispositivo Citrix Gateway puede bloquearse si se bloquea la sincronización y se modifica la configuración de la directiva de conmutación de contenido.

    [ NSHELP-27570 ]

  • El dispositivo Citrix Gateway puede bloquearse si se establece una opción de cliente VPN desconocida en la directiva de sesión.

    [ NSHELP-27380 ]

  • Al crear un perfil de cliente RDP mediante la GUI de Citrix ADC, aparece un mensaje de error cuando se cumplen las siguientes condiciones:

    • Se ha configurado una clave previamente compartida (PSK) predeterminada.
    • Intenta modificar el temporizador de validez de la cookie de RDP en el campo Validez de cookies de RDP (segundos).

    [ NSHELP-25694 ]

  • El resultado del comando “show tunnel global” incluye nombres de directivas avanzados. Anteriormente, el resultado no mostraba los nombres de directivas avanzadas.

    Ejemplo:

    Nuevo resultado:

    show tunnel global
    Policy Name: ns_tunnel_nocmp Priority: 0

    Nombre de la directiva: ns_adv_tunnel_nocmp Tipo: Directiva avanzada
    Prioridad: 1
    Punto de enlace global: REQ_DEFAULT

    Nombre de la directiva: ns_adv_tunnel_msdocs Tipo: Directiva avanzada
    Prioridad: 100
    Punto de enlace global: RES_DEFAULT
    Listo

    Resultado anterior:

    show tunnel global
    Nombre de la directiva: ns_tunnel_nocmp Prioridad: 0 Inhabilitado

    Directivas avanzadas:

    Punto de enlace global: REQ_DEFAULT
    Número de directivas vinculadas: 1

    Listo

    [ NSHELP-23496 ]

  • A veces, al navegar por los esquemas, aparece el mensaje de error “No se puede leer la propiedad ‘tipo’ indefinida”.

    [ NSHELP-21897 ]

  • En una configuración de clúster de Citrix ADC, HDX Insight y Gateway Insight no se pueden habilitar simultáneamente.

    [CGOP-23570]

  • La opción del sistema operativo Windows no aparece en la lista desplegable del Editor de expresiones para las directivas de autenticación previa y las acciones de autenticación en la GUI de Citrix ADC. Sin embargo, si ya configuró el escaneo del sistema operativo Widows en una compilación anterior de Citrix ADC mediante la GUI o la CLI, la actualización no afectará a la funcionalidad. Puede utilizar la CLI para realizar cambios, si es necesario.

    Solución temporal:

    Utilice los comandos de la CLI para la configuración.

    • Para configurar la acción EPA avanzada en la autenticación nFactor, utilice el siguiente comando.
      add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
    • Para configurar una acción de autenticación previa clásica, utilice los siguientes comandos.
      add aaa preauthenticationaction win_scan_action ALLOW add aaa preauthenticationpolicy win_scan_policy "CLIENT.SYSTEM('WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]') EXISTS" win_scan_action

    [CGOP-22966 ]

  • El informe de Gateway Insight muestra incorrectamente el valor “Local” en lugar de “SAML” en el campo Tipo de autenticación para errores de SAML.

    [ CGOP-13584 ]

  • En una configuración de alta disponibilidad, durante la conmutación por error de Citrix ADC, el recuento de SR aumenta en lugar del recuento de conmutación por error en Citrix ADM.

    [ CGOP-13511 ]

  • Al aceptar conexiones de host local desde el explorador web, el cuadro de diálogo Aceptar conexión para macOS muestra el contenido en inglés independientemente del idioma seleccionado.

    [ CGOP-13050 ]

  • El texto “Página de inicio” de la Aplicación Citrix SSO > Página de inicio aparece cortado en algunos idiomas.

    [ CGOP-13049 ]

  • Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de Citrix ADC.

    [ CGOP-11830 ]

  • En Outlook Web App (OWA) 2013, al hacer clic en Opciones en el menú Configuración, aparece un cuadro de diálogo Error crítico. Además, la página deja de responder.

    [ CGOP-7269 ]

Citrix Web App Firewall

  • Cuando se actualiza la directiva de Web App Firewall en el servidor virtual, se observan los siguientes problemas:

    • La GUI y la CLI de Citrix ADC no respondieron o tardaron más de lo habitual.
    • La utilización de la CPU por paquetes ha aumentado al 100%
    • Se ha aumentado el número de sesiones de persistencia.

    [NSHELP-33975]

Equilibrio de carga

  • En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.

    [ NSLB-7679 ]

  • En una configuración de HA, el dispositivo Citrix ADC se bloquea cuando se elimina el grupo de servicios que está enlazado a varios servidores virtuales.

    [NSHELP-34029]

  • Durante la duplicación de la conexión, el dispositivo Citrix ADC se bloquea cuando la directiva de reescritura supera los 30 bytes.

    [NSHELP-32902]

  • El dispositivo Citrix ADC activa una alerta SNMP incorrecta para una conexión de servidor alta debido a un cálculo incorrecto de la cantidad de servidores.

    [NSHELP-31582]

  • En una configuración GSLB, falta el certificado SSL en los sitios subordinados. Este problema se produce cuando la opción de sincronización automática está habilitada y los sitios subordinados tienen certificados SSL que no están disponibles en el sitio maestro.

    [NSHELP-29309]

  • En algunos casos, los servidores enlazados a un grupo de servicios muestran un valor de cookies no válido. Puede ver el valor correcto de la cookie en los registros de seguimiento.

    [ NSHELP-21196 ]

  • En una configuración de clúster, la dirección IP del servicio GSLB no se muestra en la GUI cuando se accede a ella a través de enlaces de servidores virtuales GSLB. Esto es solo un problema de visualización y no afecta a la funcionalidad.

    [ NSHELP-20406 ]

Otros

  • Al ejecutar el script “ns_hw_err.bash” en el dispositivo Citrix ADC, aparece el siguiente mensaje de error:
    “error: no se puede abrir el archivo ‘ns_hw_plugins.py’: [Errno 2] No existe ese archivo o directorio”

    [NSHELP-32991]

  • El dispositivo Citrix ADC establece el tamaño del búfer de la función de registro del servidor web en un valor predeterminado incorrecto de 3 MB en lugar de 16 MB.

    [ NSHELP-32429 ]

  • El Registro de la lista AlwaysOnAllow no funciona como se esperaba si el valor del registro es superior a 2000 bytes.

    [ NSHELP-31836 ]

  • La instancia CPX de Citrix ADC, que se ejecuta en un sistema Linux con arquitectura de 64 bits y 1 TB de almacenamiento de archivos, puede cargar archivos de certificados y claves ahora.

    [ NSHELP-28986 ]

Redes

  • En un dispositivo Citrix ADC BLX, es posible que la NSVLAN enlazada con interfaces etiquetadas que no sean de dpdk no funcione como se esperaba. La NSVLAN enlazada con interfaces no dpdk sin etiquetar funciona bien.

    [ NSNET-18586 ]

  • Las siguientes operaciones de interfaz no son compatibles con las interfaces X710 10G (i40e) de Intel en un dispositivo Citrix ADC BLX con DPDK:

    • Disable
    • Enable
    • Restablecer

    [ NSNET-16559 ]

  • En un host Linux basado en Debian (Ubuntu versión 18 y versiones posteriores), un dispositivo Citrix ADC BLX siempre se implementa en modo compartido, independientemente de la configuración del archivo de configuración de BLX (“/etc/blx/blx.conf”). Este problema se debe a que “mawk”, que está presente de forma predeterminada en los sistemas Linux basados en Debian, no ejecuta algunos de los comandos awk presentes en el archivo “blx.conf”.

    Solución alternativa: instale “gawk” antes de instalar un dispositivo Citrix ADC BLX. Puede ejecutar el siguiente comando en la CLI del host de Linux para instalar “gawk”:

    • apt-get install gawk

    [ NSNET-14603 ]

  • La instalación de un dispositivo Citrix ADC BLX podría fallar en un host Linux basado en Debian (versión 18 y posteriores de Ubuntu) con el siguiente error de dependencia:

    “Los siguientes paquetes tienen dependencias incumplidas: blx-core-libs:i386: PreDepends: libc6:i386 (>= 2.19) pero no se puede instalar”

    Solución temporal: ejecute los siguientes comandos en la CLI del host de Linux antes de instalar un dispositivo Citrix ADC BLX:

    • dpkg — agregar arquitectura i386
    • actualización apt-get
    • apt-get install libc6:i386

    [ NSNET-14602 ]

  • En una configuración NAT44 a gran escala, el dispositivo Citrix ADC puede bloquearse mientras recibe tráfico SIP por el siguiente motivo:

    • El módulo LSN no encuentra el servicio mientras disminuye el recuento de referencias o elimina el servicio.

    [ NSHELP-29134 ]

  • En una configuración NAT44 a gran escala, el dispositivo Citrix ADC puede bloquearse mientras recibe tráfico SIP por el siguiente motivo:

    • Debido a la entrada de filtrado obsoleta.

    [ NSHELP-28895 ]

  • En una implementación NAT44 a gran escala, el dispositivo Citrix ADC puede bloquearse al recibir tráfico SIP por el siguiente motivo:

    • El módulo LSN accedió a la ubicación de memoria de un servicio ya eliminado.

    [ NSHELP-28815 ]

  • Es posible que el dispositivo Citrix ADC no genere mensajes de captura SNMP “coldStart” después de un reinicio en frío.

    [ NSHELP-27917 ]

  • En una configuración de alta disponibilidad, la dirección SNIP habilitada para el enrutamiento dinámico no se expone a VTYSH al reiniciar si se cumple la siguiente condición:

    • Una dirección SNIP habilitada para el enrutamiento dinámico está enlazada a la VLAN compartida en una partición no predeterminada.

    Como parte de la corrección, el dispositivo Citrix ADC ahora no permite vincular una dirección SNIP habilitada para el enrutamiento dinámico a la VLAN compartida en la partición no predeterminada

    [ NSHELP-24000 ]

Plataforma

  • La conmutación por error de alta disponibilidad no funciona en las nubes de AWS y GCP. La CPU de administración puede alcanzar su capacidad del 100% en las nubes de AWS y GCP, y en Citrix ADC VPX en las instalaciones. Ambos problemas se producen cuando se cumplen las siguientes condiciones:

    1. Durante el primer arranque del dispositivo Citrix ADC, no guarda la contraseña solicitada.
    2. Posteriormente, reinicie el dispositivo Citrix ADC.

    [NSPLAT-22013, NSHELP-34441]

  • Algunos paquetes de Python no se instalan al cambiar el dispositivo Citrix ADC de la versión 13.1 a 4.x y versiones superiores a cualquiera de las siguientes versiones:

    • Cualquier compilación 11.1
    • 12.1—62.21 y anteriores
    • 13.0-81.x y anteriores

    [ NSPLAT-21691 ]

  • En la plataforma Citrix ADC SDX 8015/8400/8600, es posible que observe un aumento en el consumo de memoria en el servidor Xen.
    Solución temporal: ejecute el siguiente comando en Xen Server y, a continuación, reinicie el dispositivo.
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [ NSHELP-32260 ]

  • Durante la conmutación por error de alta disponibilidad de Citrix ADC VPX, el movimiento de la dirección IP elástica en la nube de AWS falla si configura un IPset sin vincular el IPset a ninguna dirección IP.

    [ NSHELP-29425 ]

  • La conmutación por error de alta disponibilidad para la instancia de Citrix ADC VPX en la nube de GCP y AWS falla cuando la contraseña de un nodo RPC contiene un carácter especial.

    [ NSHELP-28600 ]

Directivas

  • En la GUI de Citrix ADC, solo puede ver las acciones de reescritura al hacer clic en Mostrar acción de reescritura integrada en AppExpert > ReescribirAcciones.

    [ NSPOLICY-4843 ]

  • Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.

    Solución temporal: Establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

    [ NSPOLICY-1267 ]

SSL

  • Cuando un servidor virtual recibe un registro TLS 1.3 con un relleno no válido, envía una alerta de “decode_error” fatal en lugar de una alerta de “mensaje inesperado”.

    [ NSSSL-11890 ]

  • En un clúster heterogéneo de dispositivos Citrix ADC SDX 22000 y Citrix ADC SDX 26000, se produce una pérdida de configuración de entidades SSL si se reinicia el dispositivo SDX 26000.

    Solución temporal:

    1. En el CLIP, inhabilite SSLv3 en todas las entidades SSL nuevas y existentes, como servidores virtuales, servicios, grupos de servicios y servicios internos. Por ejemplo: set ssl vserver <name> -SSL3 DISABLED.
    2. Guarde la configuración.

    [ NSSSL-9572 ]

  • No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

    [ NSSSL-6478 ]

  • Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo Citrix ADC no devuelve ningún error.

    [ NSSSL-6213 ]

  • El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM.
    ERROR: actualización de crl inhabilitada

    [ NSSSL-6106 ]

  • La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster (esta opción no se puede inhabilitar).

    [ NSSSL-4427 ]

  • Si intenta cambiar el protocolo SSL o el cifrado del perfil SSL, aparece un mensaje de advertencia incorrecto, titulado “Advertencia: no hay cifrados utilizables configurados en el servidor o servicio SSL”.

    [ NSSSL-4001 ]

Sistema

  • Se observa un RTT alto en una conexión TCP si se cumple la siguiente condición:

    • se establece una ventana de congestión máxima alta (>4 MB)
    • El algoritmo TCP NILE está activado

    Para que un dispositivo Citrix ADC utilice el algoritmo NILE para el control de la congestión, las condiciones deben superar el umbral de inicio lento, que se combina con la ventana de congestión máxima

    Por lo tanto, hasta que se alcance la ventana de congestión máxima configurada, el Citrix ADC sigue aceptando datos y termina con un RTT alto.

    [ NSHELP-31548 ]

  • Un dispositivo Citrix ADC puede bloquearse cuando se cumple la siguiente condición:

    • Tanto el perfil de análisis como la directiva de AppFlow están enlazados y el perfil tiene habilitada la opción “httpAllHdrs”.

    [ NSHELP-30628 ]

  • El dispositivo Citrix ADC informa de una falsa alarma SNMP en los contadores de inundación SYN del servicio.

    [ NSHELP-28710, NSHELP-28713 ]

  • El aumento de las retransmisiones de paquetes se observa en las implementaciones de clúster MPTCP en la nube pública si el conjunto de enlaces está inhabilitado.

    [ NSHELP-27410 ]

  • Un dispositivo Citrix ADC podría enviar un paquete TCP no válido junto con opciones TCP como bloques SACK, marca de tiempo y ACK de datos MPTCP en conexiones MPTCP.

    [ NSHELP-27179 ]

  • Se observa una discrepancia en los registros de Logstream en el dispositivo Citrix ADC y en el cargador de datos.

    [ NSHELP-25796 ]

  • Cuando instala Citrix ADM en un clúster de Kubernetes, no funciona según lo esperado porque es posible que los procesos necesarios no aparezcan.

    Solución temporal: reinicie el pod de administración.

    [ NSBASE-15556 ]

  • En una configuración de clúster, un nodo con prioridad de CCO se desconecta de Open vSwitch (OVS) debido a problemas de red. Cuando el nodo se vuelve a unir a la configuración del clúster, no recibe la cookie SYN más reciente.

    [ NSBASE-14419 ]

Interfaz de usuario

  • El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

    Solución alternativa: configure los conectores de cloudbridge añadiendo perfiles IPSec, túneles IP y reglas PBR mediante la GUI o la CLI de Citrix ADC.

    [ NSUI-13024 ]

  • Al vincular el perfil AppFW a la expresión de registro, el parámetro de estado se establece como activado de forma predeterminada. Sin embargo, cuando se actualiza el sistema, el parámetro se restablece a inhabilitado.

    [NSHELP-34187]

  • La modificación de una ruta estática mediante la GUI de Citrix ADC (sistema > red > rutas) podría fallar incorrectamente y mostrar el siguiente mensaje de error:

    • “Falta un argumento necesario [puerta de enlace]”

    [ NSHELP-32024 ]

  • En una configuración de HA o clúster, la sincronización de la configuración falla si ha configurado claves SSH distintas de RSA. Por ejemplo, las claves ECDSA o DSA.

    [ NSHELP-31675 ]

  • En un dispositivo Citrix ADC, el enlace de la directiva de caché para anular el global o el global predeterminado mediante la interfaz GUI falla con el siguiente error:

    • Falta el argumento obligatorio.

    Este error no se ve al vincular la directiva de caché mediante la interfaz CLI.

    [ NSHELP-30826 ]

  • Debido a una secuencia de instalación de actualización incorrecta, se produce el siguiente problema en el dispositivo Citrix ADC.

    • La imagen del núcleo se actualiza primero y, tras unos pocos pasos, se copian las claves de cifrado. Entre estos pasos, se produce una falla y el dispositivo ADC presenta una nueva imagen. Las claves de cifrado que faltan en la nueva imagen provocan un error de descifrado y una falta de configuración.

    [ NSHELP-30755 ]

  • La GUI de Citrix ADC puede generar incorrectamente un paquete de asistencia técnica en clúster de un solo nodo en lugar de todos los nodos del clúster.

    [ NSHELP-28606 ]

  • La generación de un paquete de asistencia técnica en clúster mediante la GUI de Citrix ADC puede fallar con un error.

    [ NSHELP-28586 ]

  • Después de actualizar una configuración de alta disponibilidad o una configuración de clúster a la versión 13.0 compilación 74.14 o posterior, la sincronización de la configuración podría fallar por la siguiente razón:

    • Las claves privadas y públicas “ssh_host_rsa_key” son un par incorrecto.

    Solución alternativa: vuelva a generar “ssh_host_rsa_key”. Para obtener más información, consulte https://support.citrix.com/article/CTX322863.

    [ NSHELP-27834 ]

  • No se puede enlazar un servicio o un grupo de servicios a un servidor virtual de equilibrio de carga prioritario mediante la GUI de Citrix ADC.

    [ NSHELP-27252 ]

  • En la GUI de Citrix ADC, la pantalla de configuración entre guardado y ejecución (Sistema > Diagnóstico) muestra incorrectamente las etiquetas HTML en lugar de mostrar texto sin formato.

    [NSHELP-27169]

  • Al ver las directivas vinculadas a una etiqueta de directiva de cambio de contenido en la GUI de Citrix ADC, solo se muestran 25 directivas, aunque hay más directivas vinculadas a esa etiqueta de directiva.

    [NSHELP-23428]

  • A veces, las firmas del firewall de la aplicación tardan mucho en sincronizarse con los nodos que no son de CCO. Como resultado, los comandos que utilizan estos archivos pueden fallar.

    [ NSCONFIG-4330 ]

  • Si usted (administrador del sistema) realiza todos los pasos siguientes en un dispositivo Citrix ADC, es posible que los usuarios del sistema no inicien sesión en el dispositivo Citrix ADC degradado.

    1. Actualice el dispositivo Citrix ADC a una de las compilaciones
      • 13.0 52.24 compilación
      • 12.1 57,18 compilación
      • 11.1 65.10 compilación
    2. Agregar un usuario del sistema o cambiar la contraseña de un usuario del sistema existente y guardar la configuración, y
    3. Rebaja la versión del dispositivo Citrix ADC a cualquier versión anterior.

    Para mostrar la lista de estos usuarios del sistema mediante la CLI:
    En la línea de comandos, escriba:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solución temporal: Para corregir este problema, utilice una de las siguientes opciones independientes:

    • Si el dispositivo Citrix ADC aún no se ha rebajado (paso 3 de los pasos mencionados anteriormente), revierta la versión del dispositivo Citrix ADC con un archivo de configuración del que se ha creado previamente una copia de seguridad (ns.conf) de la misma compilación de la versión.
    • Cualquier administrador del sistema cuya contraseña no se haya cambiado en la compilación actualizada puede iniciar sesión en la compilación degradada y actualizar las contraseñas de otros usuarios del sistema.
    • Si ninguna de las opciones anteriores funciona, el administrador del sistema puede restablecer las contraseñas de usuario del sistema.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

    [ NSCONFIG-3188 ]

Notas de lanzamiento para las versiones 13.0—64.35 de Citrix ADC
April 15, 2024
Contribución de: 
C
April 15, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.