Documentación de productos
Citrix ADC
Current Release 13.0 12.1
Ver PDF

Notas de lanzamiento para la versión 13.0-64.35 de Citrix ADC

December 28, 2022
Contribución de: 
C

Este documento de notas de la versión describe las mejoras y los cambios, los problemas resueltos y conocidos que existen en la versión 13.0-64.35 de Citrix ADC.

Notas

  • Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.
  • Las compilaciones 13.0-64.35 y posteriores solucionan las vulnerabilidades de seguridad descritas en CTX281474.

Novedades

Las mejoras y los cambios que están disponibles en la compilación 13.0-64.35.

Autenticación, autorización y auditoría

  • Aumento del valor de longitud máxima de los atributos

    El valor de longitud máxima para los siguientes atributos ha cambiado de la siguiente manera.

    • set samlaction <saml-action-name> -samlissuerName - 511 (new max length)
    • set samlidPProfile <saml-idp-profile-name> -samlissuerName - 511 (new max length)
    • set samlidPProfile <saml-idp-profile-name> -serviceProviderID - 511 (new max length)
    • set tm samlSSOProfile <saml-sso-profile-name> -samlissuerName - 511 (new max length)
    • set vpn samlSSOProfile <saml-sso-profile-name> -samlissuerName - 511 (new max length)
    • set oauthaction <oauth-action-name> -clientSecret - 239 (new max length)
    • set oauthaction <oauthidp_profile-name> -clientSecret - 239 (new max length)

    [NSAUTH-8180]

  • Soporte para deshabilitar las débiles autenticaciones Basic, Digest y NTLM a nivel mundial

    La configuración del SSO ahora es más segura al deshabilitar los siguientes métodos de autenticación débil a nivel mundial.

    • Autenticación
    • Autenticación de acceso resu
    • NTLM sin configurar Negotiate NTLM2 Key o Negotiate Sign

    Para obtener más información, consultehttps://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/enable-sso-for-auth-pol.html.

    [ NSAUTH-7747 ]

  • Posibilidad de iniciar el flujo de nFactor con un bloque de decisión en el visualizador nFactor

    Con el visualizador nFactor, ahora puede iniciar el flujo de nFactor con un bloque de decisión. Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/multi-factor-nfactor-authentication/nfactor-authentication-simplification.html.

    [NSAUTH-7665]

  • Compatibilidad con client_assertion_type y client_assertion en la API de tokens de OAuth

    La función OAuth ahora admite las siguientes capacidades en la API de token desde el lado de la parte que confía (RP) y desde el lado del IdP de Citrix Gateway y Citrix ADC.

    • Compatibilidad con PKCE (clave de prueba para intercambio de código)
    • Soporte para client_assertion

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/oauth-authentication/citrix-adc-oauth-sp.html.

    [NSAUTH-6243]

Dispositivo Citrix ADC SDX

  • Función de conexión al servicio Citrix ADM para habilitar la incorporación automática al servicio Citrix ADM

    La función de conexión del servicio Citrix Application Delivery Management (ADM) permite la incorporación perfecta de los dispositivos Citrix ADC SDX al servicio Citrix ADM. Esta función permite que el dispositivo ADC SDX se conecte automáticamente con el servicio ADM y envíe datos de sistema, uso y telemetría al servicio ADM. Con estos datos, puede obtener información y recomendaciones para su infraestructura Citrix ADC, en el servicio Citrix ADM.

    De forma predeterminada, la función de conexión al servicio Citrix ADM está habilitada al instalar o actualizar el dispositivo Citrix ADC SDX.

    Para obtener más información, consulte estos temas:

    Nota: La función de conexión al servicio ADM ya está disponible en las instancias Citrix ADC y en los dispositivos Citrix Gateway; sin embargo, la funcionalidad correspondiente del servicio Citrix ADM aún no está disponible. Citrix actualizará esta nota cuando la funcionalidad correspondiente esté disponible en el servicio ADM para que pueda aprovechar todas las ventajas de esta función.

    [NSSVM-3911]

Citrix Web App Firewall

  • Aprender e implementar reglas de relajación en caso de violación de URL de XSS

    El Web App Firewall de Citrix ahora puede detectar las infracciones de las URL de XSS e implementar reglas de relajación en casos de falsos positivos.

    Nota: En una configuración de clúster, todos los nodos deben ser de la misma versión para implementar las reglas de URL de XSS.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/top-level-protections/html-cross-site-scripting-check.html%23using-the-learn-feature-with-the-html-cross-site-scripting-check.

    [NSWAF-5186]

  • Verificación de seguridad para bloquear las infracciones en el límite de tamaño del cuerpo de las publicaciones HTTP

    El perfil Citrix Web App Firewall ahora admite «PostBodyLimitAction» como comprobación de seguridad configurable para cumplir con la configuración de errores y bloquear las solicitudes (excepto la URL de redireccionamiento) si el tamaño del cuerpo de la publicación HTTP supera el límite máximo permitido. La comprobación de seguridad también se aplica a las solicitudes con un encabezado de codificación de transferencia establecido como fragmentado. Anteriormente, las infracciones del límite de cuerpos de las publicaciones generaban 400 como respuesta del servidor.

    El formato de registro para la PostBodyLimitAction configuración ahora es el mismo que el formato del registro de auditoría.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/app-firewall-profile-settings.html.

    [NSWAF-5184]

Equilibrio de carga

  • Mayor longitud de caracteres para el nombre del monitor

    El número de caracteres del nombre del monitor ahora se ha incrementado hasta 255 caracteres.

    [NSLB-5223]

Redes

  • Cambio en el esquema de numeración de la interfaz en los dispositivos Citrix ADC BLX

    El esquema de numeración de las interfaces de un dispositivo Citrix ADC BLX se modifica para que se alinee con otras plataformas Citrix ADC. Citrix recomienda actualizar todos los scripts que dependan de la numeración de la interfaz.

    Anteriormente, ambas interfaces internas se numeraban como primera y última interfaz. Todas las interfaces dedicadas (en un dispositivo Citrix ADC en modo que no sea DPDK o DPDK) están numeradas entre la primera y la última interfaz interna.

    Ejemplo 1: Un dispositivo Citrix ADC BLX en modo no DPDK con dos interfaces dedicadas:

    • Las interfaces BLX internas están numeradas como 0/1 y 0/4.
    • Las interfaces dedicadas se numeran como 0/2 y 0/3.

    Ejemplo 2: Un dispositivo Citrix ADC BLX en modo DPDK con una interfaz DPDK:

    • Las interfaces BLX internas están numeradas como 0/1 y 0/3.
    • La interfaz DPDK está numerada como 0/2.

    A partir de esta versión, las interfaces de un dispositivo Citrix ADC se numeran en el siguiente orden secuencial:

    • Ambas interfaces internas están numeradas como primera y segunda interfaz.
    • interfaces dedicadas.
    • Interfaces DPDK (en dispositivos Citrix ADC en modo DPDK).

    Ejemplo 1: Un dispositivo Citrix ADC BLX en modo no DPDK con dos interfaces dedicadas:

    • Las interfaces BLX internas están numeradas como 0/1 y 0/2.
    • Las interfaces dedicadas se numeran como 0/3 y 0/4.

    Ejemplo 2: Un dispositivo Citrix ADC BLX en modo DPDK con una interfaz DPDK (40 G) y una interfaz dedicada que no es de DPDK:

    • Las interfaces BLX internas están numeradas como 0/1 y 0/2.
    • La interfaz dedicada que no es de DPDK está numerada como 0/3.
    • La interfaz DPDK (40G) está numerada 40/1.

    [NSNET-17067]

  • Compatibilidad con contraseñas no predeterminadas para el usuario raíz en Citrix ADC CPX

    Citrix ADC CPX ahora admite contraseñas no predeterminadas para el usuario raíz (nsroot). Al implementar CPX, se genera y asigna una contraseña aleatoria para el usuario raíz. También puede cambiarlo manualmente.

    [NSNET-10520]

  • Soporte de licencias locales por suscripción para dispositivos Citrix ADC BLX

    Una licencia local es similar a una licencia perpetua, sin embargo, tienen una fecha de caducidad. La suscripción de software que conforma las licencias locales se basa en términos y se puede instalar sin necesidad de ADM como servidor de licencias.

    Los siguientes tipos de licencias locales de suscripción están disponibles para los dispositivos Citrix ADC BLX:

    Licencia local de suscripción basada en ancho de banda. Este tipo de licencia se aplica con un rendimiento máximo permitido al que tiene derecho un dispositivo Citrix ADC BLX en particular. Cada licencia local también está vinculada a una de las ediciones del software Citrix ADC (Standard, Enterprise o Platinum), que desbloquea el conjunto de funciones ADC de esta edición en un dispositivo Citrix ADC BLX. La compatibilidad con Embedded Select se incluye con la compra de licencia local de suscripción

    Ejemplo:

    Una suscripción a Citrix ADC BLX Premium Edition de 10 Gbps: da derecho a un dispositivo Citrix ADC BLX con un rendimiento máximo permitido de 10 Gbps. Esta licencia también desbloquea todas las funciones de ADC, enumeradas en la edición Premium, en el dispositivo Citrix ADC BLX.

    [NSNET-9189]

  • Las NIC Mellanox son compatibles con los dispositivos Citrix ADC BLX en modo DPDK

    Los dispositivos Citrix ADC BLX ahora admiten las NIC Mellanox con el controlador MLX5 para su implementación en modo DPDK.

    [ NSNET-8946 ]

Directivas

  • Verificación del certificado de servidor para importar la página HTML del respondedor

    Ahora puede utilizar el comando «import responder htmlpage» para enviar respuestas de error HTML al cliente. Anteriormente, no se validaba la certificación del servidor durante la importación de páginas HTML. Este problema ahora se ha resuelto mediante el uso de un nuevo parámetro, «CAcertFile». Puede configurar el parámetro para verificar la autenticación del certificado del servidor al importar una página HTML.
    Nota: Si no configura el nombre del archivo del certificado de CA, se utilizan los certificados de CA raíz predeterminados para verificar el certificado del servidor.
    import responder htmlpage&%2391;<src>&%2393;<name>&%2391;-comment <string>&%2393;&%2391;-overwrite&%2393;&%2391;-CAcertFile <string>&%2393;

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/appexpert/responder/configuring-responder-action.html%23configure-html-page-import.

    [ NSPOLICY-3620 ]

Sistema

  • Soporte para vincular el perfil de análisis a nivel mundial

    Ahora puede vincular el perfil de análisis de forma global.
    Anteriormente, había que vincular el perfil de análisis a cada servidor virtual.

    [ NSBASE-11079 ]

  • Datos estadísticos para la inspección de contenido de ICAP, IPS e IDS

    Los datos estadísticos ya están disponibles para las funciones de inspección de contenido de ICAP, IPS e IDS.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/content-inspection-statistics-for-icap-ips-ids.html.

    [ NSBASE-10447 ]

Interfaz de usuario

  • Función de conexión al servicio Citrix ADM para habilitar la incorporación automática al servicio Citrix ADM

    La función de conexión del servicio Citrix Application Delivery Management (ADM) permite incorporar sin problemas las instancias MPX, SDX y VPX de Citrix ADC y los dispositivos Citrix Gateway en el servicio Citrix ADM. Esta función permite que la instancia de ADC o el dispositivo Gateway se conecten automáticamente con el servicio ADM y envíen datos del sistema, el uso y la telemetría al servicio ADM. Con estos datos, obtiene información y recomendaciones para su infraestructura Citrix ADC en el servicio Citrix ADM.

    De forma predeterminada, la función de conexión al servicio Citrix ADM está habilitada al instalar o actualizar las instancias MPX, SDX y VPX de Citrix ADC o el dispositivo Citrix Gateway.

    Para obtener más información, consulte estos temas:

    Nota: La función de conexión al servicio ADM ya está disponible en las instancias Citrix ADC y en los dispositivos Citrix Gateway; sin embargo, la funcionalidad correspondiente del servicio Citrix ADM aún no está disponible. Citrix actualizará esta nota cuando la funcionalidad correspondiente esté disponible en el servicio ADM para que pueda aprovechar todas las ventajas de esta función.

    [ NSCONFIG-4150 ]

  • Función de conexión al servicio Citrix ADM para habilitar la incorporación automática al servicio Citrix ADM

    La función de conexión del servicio Citrix Application Delivery Management (ADM) permite incorporar sin problemas las instancias MPX, SDX y VPX de Citrix ADC y los dispositivos Citrix Gateway en el servicio Citrix ADM. Esta función permite que la instancia de ADC o el dispositivo Gateway se conecten automáticamente con el servicio ADM y envíen datos del sistema, el uso y la telemetría al servicio ADM. Con estos datos, obtiene información y recomendaciones para su infraestructura Citrix ADC en el servicio Citrix ADM.

    De forma predeterminada, la función de conexión al servicio Citrix ADM está habilitada al instalar o actualizar las instancias MPX, SDX y VPX de Citrix ADC o el dispositivo Citrix Gateway.

    Para obtener más información, consulte estos temas:

    Nota: La función de conexión al servicio ADM ya está disponible en las instancias Citrix ADC y en los dispositivos Citrix Gateway; sin embargo, la funcionalidad correspondiente del servicio Citrix ADM aún no está disponible. Citrix actualizará esta nota cuando la funcionalidad correspondiente esté disponible en el servicio ADM para que pueda aprovechar todas las ventajas de esta función.

    [ NSCONFIG-3793 ]

Problemas resueltos

Los problemas que se abordan en la compilación 13.0-64.35.

Autenticación, autorización y auditoría

  • Si se configura un dispositivo Citrix ADC para el inicio de sesión OTP y el campo OTP se deja en blanco, se produce un error en la autenticación. En tal caso, el dispositivo registra la contraseña del usuario en ns.log, lo que genera un problema de seguridad.

    [NSHELP-24027]

  • En algunos casos, la aserción SAML se interrumpe cuando los valores de los atributos tienen etiquetas XML. Esto provoca un error en la extracción de atributos.

    [NSHELP-23940]

  • Un dispositivo Citrix ADC configurado como proveedor de identidad (IdP) para Citrix Workspace puede fallar cuando los usuarios forman parte de una gran cantidad de grupos de Active Directory.

    [NSHELP-23899]

  • El usuario no recibe una solicitud de autenticación 401 porque el dispositivo Citrix ADC solicita la configuración de autenticación desde una estructura de servidor virtual incorrecta.

    [NSHELP-23892]

  • El inicio de sesión de Citrix Workspace no se produce cuando un dispositivo Citrix ADC está configurado como proveedor de identidad (IdP) para Citrix Workspace y se produce un error de extracción de atributos personalizados.

    [NSHELP-23843]

  • En algunos casos, el archivo “ns.log” del dispositivo Citrix ADC se inunda incorrectamente con los siguientes mensajes de registro «reclamaciones permitidas en el esquema de inicio de sesión actual».

    [NSHELP-23593]

  • Las políticas de sesión de VPN vinculadas a un usuario o grupo de autenticación, autorización y auditoría no se aplican si el cliente VPN accede al dispositivo Citrix ADC mediante el método de autenticación nFactor de webview.

    [NSHELP-23526]

  • La GUI de Citrix ADC, en la página «Vinculación de políticas de autenticación global del sistema», contiene los siguientes errores:

    • El campo Goto Expresión muestra incorrectamente «Finalizar» en lugar de «SIGUIENTE».
    • La política vinculada al siguiente factor no se refleja en el campo «Siguiente factor».

    [NSHELP-23474]

  • En raras ocasiones, el nombre de usuario de la sesión se muestra incorrectamente como «anónimo» en lugar del nombre común del certificado del dispositivo si se cumplen las dos condiciones siguientes.

    • Un dispositivo Citrix ADC está configurado para la autenticación nFactor.
    • El certificado de dispositivo se configura como el único factor en una configuración de nFactor.

    [NSHELP-23243]

  • La autenticación SAML para el último factor falla cuando se cumplen las dos condiciones siguientes:

    • El dispositivo Citrix ADC está configurado como SAML SP.
    • La EPA está habilitada en el servidor virtual VPN como política de autenticación previa y el tema RFWebUi está enlazado al servidor.

    [NSHELP-22932]

  • Se produce un error al establecer la sesión cuando se accede a ella desde la aplicación Citrix Workspace mediante Webview si la autenticación previa EPA está configurada junto con la autenticación nFactor.

    [NSHELP-22845]

  • La página de inicio de sesión de un dispositivo Citrix ADC no se muestra correctamente cuando LDAP y SAML están configurados como el mecanismo de autenticación principal.

    [NSHELP-22713]

  • Al iniciar sesión en el dispositivo Citrix Gateway, se muestra una página en blanco si se cumplen las siguientes condiciones:

    • El dispositivo Citrix Gateway está configurado para la autenticación nFactor con saml como EULA del siguiente factor.
    • Haga clic en la flecha hacia atrás para ir a la página anterior durante el proceso de inicio de sesión.

    [NSHELP-22604]

  • En algunos casos, un dispositivo Citrix ADC se bloquea debido a la corrupción de la memoria provocada por la sobrescritura del búfer de la lista de dispositivos OTP.

    [NSHELP-22478]

  • A veces, la autenticación SSO basada en formularios falla por primera vez si hay un Set-Cookie en el encabezado de respuesta HTTP del formulario HTML.

    [NSHELP-21740]

Dispositivo Citrix ADC SDX

  • Se muestra una cadena de modelo de plataforma incorrecta al configurar las licencias agrupadas en los dispositivos Citrix ADC SDX 8400, 8600 u 8015.

    [NSHELP-24234]

  • Si realiza una copia de seguridad de un dispositivo SDX, se produce un error al restaurar las instancias en otro dispositivo SDX.

    [NSHELP-23947]

  • En un dispositivo Citrix ADC SDX 8900, la cantidad de instancias disponibles para el aprovisionamiento se reduce después de actualizar el dispositivo.

    [NSHELP-23808]

  • La actualización de un dispositivo Citrix ADC SDX a la versión 12.1, compilación 57.x, puede fallar porque un proceso del Servicio de administración no responde.

    [NSHELP-23612]

  • En el dispositivo Citrix ADC SDX, un usuario con permisos de solo lectura puede transferir archivos al Servicio de administración mediante una utilidad de transferencia de archivos, como SCP o SFTP.

    [NSHELP-22638]

Citrix Gateway

  • Es posible que el dispositivo Citrix Gateway se bloquee al añadir un JavaScript de cookie_watch mientras suministra tráfico de VPN sin cliente.

    [NSHELP-24096]

  • No puede deshabilitar el complemento EPA de Citrix Gateway desde la GUI después de actualizar a la versión 13.0, compilación 58.30.

    [NSHELP-24016]

  • El complemento VPN no puede cargar la página de inicio de sesión de Citrix Gateway si se especifica un número de puerto durante el inicio de sesión. Este problema solo se produce si la autenticación nFactor está configurada para el servidor virtual del dispositivo.

    [NSHELP-23925]

  • Cuando el túnel VPN está activo, los usuarios no pueden acceder a un portal si se cumplen las siguientes condiciones:
    • Las aplicaciones de intranet basadas en nombres de host se configuran junto con el túnel de división inversa.
    • El nombre de host del portal coincide con el nombre de una aplicación de intranet.

    [NSHELP-23912]

  • En la página del servidor virtual VPN, el resumen de temas, políticas y perfiles configurados del portal no aparece en la parte izquierda de la página.

    [NSHELP-23903]

  • En raras ocasiones, un dispositivo Citrix Gateway puede fallar al gestionar las solicitudes de transferencia de inicio o cierre de sesión.

    [NSHELP-23863]

  • El complemento de Windows no puede realizar un inicio de sesión de transferencia sin problemas en el modo de servicio Always On si el tema del portal RFWebUi está enlazado al servidor virtual Citrix ADC.

    [NSHELP-23837]

  • Al actualizar el complemento VPN a la versión 13.0, las consultas DNS se envían a los servidores DNS locales y remotos si el túnel dividido está desactivado.

    [NSHELP-23826]

  • Las consultas DNS locales a través del complemento VPN, si se especifican para un servidor DNS determinado, no se aceptan porque las consultas se envían a servidores DNS seleccionados al azar en el cliente.

    [NSHELP-23743]

  • La pantalla de credenciales de Windows no se actualiza cuando la red vuelve a funcionar.

    [NSHELP-23594]

  • Las carpetas de SAP no funcionan según lo previsto cuando se accede a ellas a través de una VPN avanzada sin cliente.

    [NSHELP-23561]

  • En el modo de servicio Always On de Citrix Gateway, cuando se reinicia la máquina, el túnel no se establece si se configura una dirección IP de la intranet.

    [NSHELP-23304]

  • El dispositivo Citrix ADC se bloquea si el comando «show vpn storeinfo» se ejecuta repetidamente.

    [NSHELP-23144]

  • Se produce un error al iniciar la aplicación ICA Proxy a través del canal SOCKS.

    [NSHELP-23111]

  • Los usuarios no pueden acceder a los recursos a través de la VPN cuando las máquinas se reanudan desde el estado de suspensión o hibernación.

    [NSHELP-23024]

  • El complemento VPN no puede establecer una sesión perfecta después de reiniciar el dispositivo Citrix Gateway porque la configuración se sobrescribe cuando está habilitada la opción Always On.

    [NSHELP-22674]

  • En raras ocasiones, el dispositivo Citrix ADC puede dejar de responder si está configurado para EDT y HDX Insight está habilitado para las sesiones EDT.

    [NSHELP-22640]

  • El dispositivo Citrix Gateway se bloquea al acceder a la configuración del servidor DNS si está configurado el proxy RDP y se intenta resolver el DNS después de la resolución WINS.

    [NSHELP-22577]

  • En una configuración de alta disponibilidad de doble salto de Citrix Gateway, es posible que la conexión ICA se pierda tras una conmutación por error de HA.

    [NSHELP-22444]

  • En una configuración de alta disponibilidad de Citrix Gateway, el nodo secundario puede bloquearse durante una conmutación por error si está configurado syslog.

    [NSHELP-22438]

  • Citrix Gateway
    El dispositivo Citrix Gateway puede bloquearse porque algunos comandos no se ejecutan.

    [NSHELP-22371]

  • El dispositivo Citrix Gateway puede bloquearse de forma intermitente si se configura una política de syslog.

    [NSHELP-22304]

Citrix Web App Firewall

  • Un dispositivo Citrix ADC puede bloquearse si las comprobaciones de seguridad XML o del lado de respuesta están habilitadas y las expresiones de registro están configuradas en un perfil de Web App Firewall.

    [NSWAF-6466]

  • En una configuración de clúster, el comando unbind para configurar una regla de relajación de comprobación de secuencias de comandos multisitios HTML con la ubicación como URL no funciona correctamente.

    [NSWAF-6463]

  • En una configuración de clúster, la agregación de datos ASLearn de Citrix Web App Firewall en el nodo coordinador del clúster (CCO) falla cuando los nodos RPC están protegidos.

    [ NSWAF-6460 ]

  • Tras una actualización, es posible que los valores «BufferOverflowMaxQueryLength» y «BufferOverflowMaxHeaderLength» de un perfil de Citrix Web App Firewall existente no sean adecuados para la implementación. Como resultado, es posible que tenga que modificar los valores si son incorrectos.

    [NSWAF-6346]

  • Un dispositivo Citrix ADC puede bloquearse si la firma del bot está habilitada en la configuración del servidor DNS externo.

    [NSHELP-24190]

  • Las solicitudes POST con el tipo de contenido «application/octet-stream» no se procesan si la transmisión está habilitada sin un conjunto de firmas.

    [NSHELP-22668]

  • En una configuración de alta disponibilidad, la sesión de Web App Firewall en el nodo secundario es una sesión obsoleta.

    [NSHELP-20288]

Equilibrio de carga

  • La sincronización en tiempo real de la configuración de GSLB desde el sitio maestro a los sitios subordinados puede fallar si la opción segura está habilitada para el nodo RPC del sitio remoto.

    [NSHELP-24178]

  • Un dispositivo Citrix ADC puede fallar al intentar evaluar las políticas de los suscriptores y GXSessionReporting está activado.

    [NSHELP-24159]

  • Si la duplicación de la conexión no sincroniza los parámetros de la PCB, podría provocar la pérdida de opciones de TCP, como el tamaño máximo de segmento (MSS) y el escalado de ventanas.

    [NSHELP-23990]

  • El dispositivo Citrix ADC se bloquea si el parámetro StoreDB está habilitado en el monitor MYSQL-ECV.

    [NSHELP-23983]

  • Cuando agrega dos grupos de servicios con el mismo valor para el parámetro «devno» de forma explícita mediante la CLI, se produce un error al agregar el segundo grupo de servicios. Esto se debe a que el mismo devno ya está asignado al primer grupo de servicios. Se recomienda no proporcionar el devno de forma explícita desde la CLI, ya que se rellena automáticamente.

    [NSHELP-23817]

  • Si la opción de comprobación de estado está habilitada para la interfaz Gx y el servidor Gx no responde, no se crean sesiones TTL negativas.

    [NSHELP-23355]

  • Las estadísticas de un identificador de flujo no muestran ningún gráfico.

    [NSHELP-22753]

  • Para las solicitudes UDP de DNS, la sesión del suscriptor se crea en función de la dirección IP de destino en lugar de en la dirección IP de origen, si se utilizan tanto una expresión de suscriptor como una expresión de DNS en la misma política.

    [NSHELP-22521]

  • Agrupar en clústeres

    En una configuración de clúster, las reglas de ACL con la configuración de VLAN no surten efecto, lo que hace que los paquetes afecten a otras reglas de ACL.

    Este problema se produce cuando se elimina un servidor virtual en la configuración del clúster, lo que hace que los nodos del clúster no agreguen información de VLAN a los paquetes dirigidos.

    [NSHELP-22103]

  • Alta disponibilidad

    En una configuración de alta disponibilidad (HA), cuando se reinicia el nodo secundario, es posible que el nodo principal se bloquee durante la duplicación de la conexión de las sesiones con el nodo secundario.

    [NSHELP-21715]

Otros

  • Algunos comandos presentes en el archivo rc.netscaler no se aplican correctamente después de reiniciar un dispositivo Citrix ADC, por lo que es posible que el dispositivo no funcione según lo previsto.

    [NSHELP-22507]

Redes

  • El script nstcpdump.sh no se ejecuta en la CLI Citrix ADC BLX conectada a través de SSH e iniciada sesión con las credenciales de administrador (nsroot) predeterminadas. El script falla porque el administrador predeterminado (nsroot) no tiene permiso para acceder a ciertos archivos y recursos de red.

    [ NSNET-16816 ]

  • En una configuración de alta disponibilidad con la duplicación de conexiones habilitada para el tráfico FTP, el nodo secundario podría bloquearse si se cumple la siguiente condición.

    • la conexión de datos se propaga al nodo secundario antes de la conexión de control

    [NSHELP-24088]

  • Cuando el modo L2 está habilitado, el dispositivo Citrix ADC reenvía los paquetes de transmisión DHCP recibidos en la partición predeterminada.

    [NSHELP-23957]

  • El dispositivo Citrix ADC puede fallar durante la traducción a NAT64 de un paquete de solicitud IPv6 recibido si se cumple la siguiente condición:

    Los últimos 32 bits de la dirección IPv6 de destino, que es la dirección IPv4 de destino traducida, son superiores a 240.0.0.0 (se encuentran dentro del rango de IP reservadas).

    Agregue una ACL para denegar dichos paquetes.

    [NSHELP-22742]

  • Es posible que observe un uso elevado de la CPU en un dispositivo Citrix ADC cuando envía paquetes IPv6 fragmentados.

    [NSHELP-22699]

  • Un paquete con una dirección MAC virtual no válida como dirección de destino se clasifica erróneamente como un paquete con la dirección MAC propiedad de Citrix ADC.

    [NSHELP-22697]

Plataforma

  • En la plataforma Citrix ADC SDX 24000, se genera una alerta crítica en las unidades lógicas después de actualizar el dispositivo a la versión 13.0 del software. Se trata de un falso positivo.
    cp /opt/Citrix/System_Config/NSSDX-22000 /opt/Citrix/System_Config/NSSDX-22000T

    [NSHELP-23505]

  • En algunos casos, en un dispositivo Citrix ADC SDX, la configuración de algunas instancias virtuales con interfaces Mellanox de 50 G y 100 G agota la memoria.

    [NSHELP-23394]

  • Debe reiniciar un dispositivo Citrix ADC SDX para restablecer e inicializar una tarjeta SSL cuando la tarjeta devuelva un error. Con esta solución, no es necesario reiniciar.

    [NSHELP-22725]

Directivas

  • Un Citrix ADC puede fallar al evaluar una gran cantidad de expresiones incrustadas en una página HTML.

    [ NSPOLICY-1462 ]

SSL

  • El dispositivo Citrix ADC podría bloquearse si se cumplen las siguientes condiciones:

    • El procesamiento inicial de datos de TLS 1.3 está habilitado en un perfil SSL de una partición de administración no predeterminada.
    • El procesamiento inicial de datos de TLS 1.3 está deshabilitado en todos los perfiles SSL de la partición de administración predeterminada.

    [NSHELP-23607]

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen las siguientes condiciones:

    • Se añade un par de claves de certificado con la opción de monitor de caducidad habilitada.
    • La fecha del certificado es anterior al 01/01/1970.

    [NSHELP-22934]

  • En una configuración de clúster, una consulta de la API NITRO para obtener enlaces de políticas SSL se realiza correctamente desde la dirección CLIP, pero la consulta falla si se ejecuta desde un nodo de clúster.

    [NSHELP-22853]

  • Un dispositivo Citrix ADC puede fallar si hay una gran cantidad de entradas en caché de OCSP y ejecuta el comando clear config.

    [NSHELP-22695]

  • La configuración de CRL vacías para actualizaciones frecuentes agota la memoria asignada compartida en el dispositivo Citrix ADC.

    [NSHELP-22166]

  • SSL Es posible que
    un dispositivo Citrix ADC particionado no responda como se esperaba si realiza las siguientes acciones:
    1) Cree dos respondedores de OCSP en particiones diferentes.
    1) Borra la configuración en una partición.
    1) Elimine el respondedor OCSP de la otra partición.

    [NSHELP-20861]

Sistema

  • Es posible que un dispositivo Citrix ADC no optimice ni comprima objetos grandes, como Javascript o CSS, si la optimización de interfaz está habilitada.

    [NSHELP-24041]

  • En el caso del protocolo de reutilización de sesiones TLS v1.2, se observa el siguiente comportamiento en el dispositivo Citrix ADC:

    • La información de categorización se guarda en la PCB del servidor y la información del dominio se guarda en la PCB del cliente.
    • Los datos se envían a AppFlow solo desde la PCB del cliente, por lo que en los casos de reutilización de sesiones, la información de categorización se envía como nula.

    [NSHELP-23542]

  • Si un servicio, que representa un dispositivo en línea, está inactivo cuando se inspecciona el tráfico, un recurso no se libera correctamente. El dispositivo Citrix ADC se bloquea cuando se vuelve a acceder a este recurso liberado.

    [NSHELP-23145]

  • Sistema
    Para la generación de trampas de sincronización, si no restablece los valores de varbinding, el dispositivo utilizará los valores de varbinding de captura antiguos en lugar de los valores actuales y de umbral.

    [NSHELP-20653]

  • Sistema
    En el TCP multiruta (MPTCP), los contadores SI_CUR_Clients y SI_CUR_CLNT_ConnopEnest se incrementan dos veces.

    [NSHELP-19896]

  • Análisis

    A veces, los datos de análisis no se rellenan en el servicio ADM.

    [ NSBASE-11508 ]

Interfaz de usuario

  • El inicio de sesión multifactorial (nFactor) no funciona con la GUI de Citrix ADC. Tras el inicio de sesión del primer factor, la siguiente entrada de inicio de sesión del factor no funciona.

    [NSHELP-24078]

  • Un dispositivo Citrix ADC puede bloquearse cuando un proceso interno se reinicia un número máximo de veces.

    [NSHELP-23378]

  • Solo los tres últimos dígitos del año aparecen en la línea «Activo desde (Local)» del comando «stat system».

    [NSHELP-22960]

  • Agregar directamente a un miembro del grupo de servicios se ha realizado correctamente. Sin embargo, la operación fallará si realiza los siguientes pasos:

    1. Vaya a Administración del tráfico > Equilibrio de carga > Grupos de servicios.

    2. Seleccione un grupo de servicios y haga clic en Miembros del grupo de servicios.

    3. Haga clic con el botón derecho en una de las entradas y seleccione Agregar.

    4. En Crear miembro del grupo de servicios, cambie la dirección IP y haga clic en Crear.

    [NSHELP-21925]

  • La API NITRO (routerdynamicrouting) para obtener la configuración en ejecución de ZeBOS no obtiene el resultado completo para configuraciones grandes (más de 25 líneas).

    [ NSCONFIG-3535 ]

  • Tras actualizar el dispositivo Citrix ADC a la versión 13.0, compilación 64.x, la opción segura para todos los nodos RPC se activa de forma predeterminada. Esta opción protege la comunicación entre los nodos ADC de las implementaciones de alta disponibilidad, clúster y GSLB, que utilizan el número de puerto 3008. Si el firewall entre los nodos ADC bloquea el puerto número 3008, desbloquéelo y continúe. De lo contrario, la sincronización y la propagación de la configuración podrían fallar. Puede cambiar esta opción en cualquier momento mediante la CLI o la GUI.

    [ NSCONFIG-2702 ]

Problemas conocidos

Los problemas que existen en la versión 13.0-64.35.

Autenticación, autorización y auditoría

  • Autenticación, autorización y auditoría-TM
    Un dispositivo Citrix ADC no autentica los intentos duplicados de inicio de sesión con contraseña y evita el bloqueo de cuentas.

    [ NSHELP-563 ]

  • Autenticación, autorización y auditoría

    LoginSchema de DualAuthPushOrOTP.xml no aparece correctamente en la pantalla del editor de esquemas de inicio de sesión de la GUI de Citrix ADC.

    [ NSAUTH-6106 ]

  • Autenticación, autorización y auditoría

    El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando.
    show adfsproxyprofile <profile name>

    Conéctese al Citrix ADC activo principal del clúster y ejecute el comando show adfsproxyprofile <profile name>. Mostraría el estado del perfil de proxy.

    [ NSAUTH-5916 ]

  • Autenticación, autorización y auditoría Es
    posible que vea el mensaje No existe tal política en la página nFactor Flow de nFactor Visualizer cuando intente desvincular una política de un factor. La opción de desvincular funciona como se esperaba.

    [NSAUTH-5821]

Almacenamiento en caché

  • Es posible que un dispositivo Citrix ADC se bloquee si la función Almacenamiento en caché integrado está habilitada y el dispositivo tiene poca memoria.

    [ NSHELP-22942 ]

Citrix Gateway

  • El plug-in de EPA para Windows no utiliza el proxy configurado del equipo local y se conecta directamente al servidor de puerta de enlace.

    [ NSHELP-24848 ]

  • Gateway Insight no muestra información precisa sobre los usuarios de VPN.

    [ NSHELP-23937 ]

  • Es posible que tenga problemas al editar documentos con las aplicaciones de oficina basadas en la web vinculadas a SharePoint si se accede a estas aplicaciones a través de la VPN avanzada sin cliente.

    [NSHELP-23364]

  • A veces, al navegar por los esquemas, aparece el mensaje de error “No se puede leer la propiedad ‘tipo’ indefinida”.

    [ NSHELP-21897 ]

  • El inicio de sesión de transferencia no funciona si se cumplen las dos condiciones siguientes:

    • La autenticación nFactor está configurada.
    • El tema Citrix ADC está configurado como Predeterminado.

    [CGOP-14092]

  • Citrix Gateway
    El informe Gateway Insight muestra incorrectamente el valor «Local» en lugar de «SAML» en el campo Tipo de autenticación para los errores de SAML.

    [ CGOP-13584 ]

  • Citrix Gateway
    En una configuración de alta disponibilidad, durante la conmutación por error de Citrix ADC, el recuento de SR aumenta en lugar del recuento de conmutaciones por error en Citrix ADM.

    [ CGOP-13511 ]

  • Al aceptar conexiones de host local desde el explorador web, el cuadro de diálogo Aceptar conexión para macOS muestra el contenido en inglés independientemente del idioma seleccionado.

    [ CGOP-13050 ]

  • El texto “Página principal” de la aplicación Citrix SSO > Página principal está cortado en algunos idiomas.

    [ CGOP-13049 ]

  • Citrix Gateway Aparece
    un mensaje de error al agregar o editar una política de sesión desde la GUI de Citrix ADC.

    [ CGOP-11830 ]

  • En Outlook Web App (OWA) 2013, al hacer clic en «Opciones» en el menú de configuración, aparece el cuadro de diálogo «Error crítico». Además, la página deja de responder.

    [ CGOP-7269 ]

Equilibrio de carga

  • En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.

    [ NSLB-7679 ]

  • La generación de alarmas SNMP puede retrasarse si se produce un error en la sincronización de la configuración del sitio maestro con los sitios subordinados.

    [ NSHELP-23391 ]

Redes

  • Al enviar configuraciones a las instancias del clúster mediante un libro de estilo, los comandos fallan y aparecen el mensaje de error «Falló la propagación del comando».
    En caso de errores sucesivos, el clúster conserva la configuración parcial.

    1. Identifique los comandos fallidos en el registro.
    2. Aplique manualmente los comandos de recuperación a los comandos fallidos.

    [NSHELP-24910]

Directivas

- Las conexiones del sistema pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño predeterminado del búfer TCP configurado.

Establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

[ NSPOLICY-1267 ]

SSL

  • El comando SSL
    Update no está disponible para los siguientes comandos de adición:

    • agregar aplicación azure
    • add azure keyvault
    • agregar ssl certkey con la opción hsmkey

    [ NSSSL-6484 ]

  • SSL No
    puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

    [ NSSSL-6478 ]

  • SSL
    Puede crear varias entidades de aplicaciones de Azure con el mismo ID de cliente y el mismo secreto de cliente. El dispositivo Citrix ADC no devuelve ningún error.

    [ NSSSL-6213 ]

  • SSL
    El siguiente mensaje de error incorrecto aparece al eliminar una clave de HSM sin especificar KEYVAULT como tipo de HSM.
    ERROR: actualización de crl inhabilitada

    [ NSSSL-6106 ]

  • La actualización automática
    de la clave de sesión SSL aparece incorrectamente como deshabilitada en la dirección IP de un clúster. (Esta opción no se puede desactivar).

    [ NSSSL-4427 ]

    SSL Si intenta cambiar el protocolo SSL o el cifrado en el perfil SSL, aparece un mensaje de advertencia incorrecto, «Advertencia: no hay cifrados utilizables configurados en el servidor o servicio SSL».

    [ NSSSL-4001 ]

  • Si la opción de contraseña segura está habilitada en un dispositivo Citrix ADC, es posible que no se agreguen pares de claves de certificado protegidos con contraseña. Con esta corrección, los pares de claves de certificado protegidos por contraseña siempre se añaden correctamente. Sin embargo, si se pasa a una versión anterior, se pierde la configuración de la clave del certificado.
    Además, en la respuesta de la API NITRO para los pares de claves de certificado, se envía la variable passplain en lugar de la variable passcrypt.

    [NSHELP-25675]

  • En una configuración de clúster, no se permiten cambios en la configuración del certificado si se elimina algún archivo de certificado o clave.

    [NSHELP-24913]

Interfaz de usuario

  • Conector Cloudbridge

    El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

    Configure los conectores de cloudbridge agregando perfiles IPSec, túneles IP y reglas PBR mediante la GUI o la CLI de Citrix ADC.

    [ NSUI-13024 ]

  • El botón Actualizar no funciona al comprobar las sesiones de transmisión (AppExpert > Action Analytics > Stream Identifier) en la GUI.

    [NSHELP-24195]

  • La carga y adición de un archivo de lista de revocación de certificados (CRL) produce un error en la configuración de una partición de administración.

    [ NSHELP-20988 ]

  • A veces, las firmas del firewall de la aplicación tardan mucho en sincronizarse con los nodos que no son de CCO. Como resultado, los comandos que utilizan estos archivos pueden fallar.

    [ NSCONFIG-4330 ]

  • Si usted (administrador del sistema) realiza todos los pasos siguientes en un dispositivo Citrix ADC, es posible que los usuarios del sistema no inicien sesión en el dispositivo Citrix ADC degradado.

    1. Actualice el dispositivo Citrix ADC a una de las compilaciones:

      • 13.0 52.24 compilación
      • 12.1 57,18 compilación
      • 11.1 65.10 compilación
    2. Agregar un usuario del sistema o cambiar la contraseña de un usuario del sistema existente y guardar la configuración, y
    3. Rebaja la versión del dispositivo Citrix ADC a cualquier versión anterior.

    Para mostrar la lista de estos usuarios del sistema mediante la CLI:
    En la línea de comandos, escriba:

    query ns config -changedpassword &%2391;-config <full path of the configuration file (ns.conf)>&%2393;

    Para solucionar este problema, utilice una de las siguientes opciones independientes:

    • Si el dispositivo Citrix ADC aún no se ha rebajado (paso 3 de los pasos mencionados anteriormente), revierta la versión del dispositivo Citrix ADC con un archivo de configuración del que se ha creado previamente una copia de seguridad (ns.conf) de la misma compilación de la versión.
    • Cualquier administrador del sistema cuya contraseña no se haya cambiado en la compilación actualizada puede iniciar sesión en la compilación degradada y actualizar las contraseñas de otros usuarios del sistema.
    • Si ninguna de las opciones anteriores funciona, el administrador del sistema puede restablecer las contraseñas de usuario del sistema.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [ NSCONFIG-3188 ]

Notas de lanzamiento para la versión 13.0-64.35 de Citrix ADC
December 28, 2022
Contribución de: 
C
December 28, 2022
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento
© 1999- Cloud Software Group, Inc. All rights reserved.