Documentación de productos
ADC
14.1 - Current Release 13.1 13.0 12.1
Ver PDF

Notas de lanzamiento para la versión 13.0-71.44 de Citrix ADC

May 9, 2023
Contribución de: 
C

Este documento de notas de la versión describe las mejoras y los cambios, los problemas resueltos y conocidos que existen en la versión 13.0-71.44 de Citrix ADC.

Notas

  • Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.
  • La compilación 13.0-71.44 reemplaza a la compilación 13.0-71.40.
  • Esta versión añade una mejora para eliminar la susceptibilidad a los ataques de tipo DDoS contra el DTLS, tal como se describe en https://support.citrix.com/article/CTX289674.
  • Esta compilación también incluye correcciones para los siguientes problemas que existían en la compilación anterior de la versión 13.0 de Citrix ADC: NSAUTH-9475.

Novedades

Las mejoras y los cambios que están disponibles en la compilación 13.0-71.44.

Autenticación, autorización y auditoría

  • Soporte de Azure Government para la autenticación mediante tokens en la integración de Microsoft Intune

    En el caso de integración de Citrix Gateway y Microsoft Intune, Citrix Gateway ahora admite la infraestructura gubernamental de Microsoft Azure para la autenticación mediante tokens de las bibliotecas de Active Directory (ADAL) de Microsoft. Anteriormente, solo se admitía la infraestructura comercial de Microsoft Azure.

    [NSAUTH-8246]

Dispositivo Citrix ADC SDX

  • Tras eliminar una interfaz o un canal de una instancia de ADC, es posible que no se pueda acceder a la instancia desde el Servicio de administración. Con este cambio, si su dispositivo Citrix ADC SDX ejecuta la versión 13.0, compilación 71.x y versiones posteriores, o la versión 12.1, compilación 60.x y posteriores, no puede eliminar la interfaz o el canal de una instancia de ADC del Servicio de administración.

    [NSSVM-3442]

Citrix Gateway

  • Compatibilidad con la actualización dinámica y segura de DNS en el complemento de Windows

    El complemento VPN para Windows ahora admite la actualización de DNS seguro. Esta función está inhabilitada de forma predeterminada. Para habilitarlo, cree el valor HKEY_LOCAL_MACHineSoftwareCitrixSecure Access ClientSecureDNSUpdate del tipo REG_DWORD y configúrelo en 1.

    • Al establecer el valor en 1, el plug-in de VPN intenta primero la actualización de DNS no segura. Si la actualización de DNS no segura falla, el plug-in de VPN intenta realizar la actualización de DNS segura.
    • Para probar solo la actualización segura de DNS, puede establecer el valor en 2.

    [CGOP-13788]

Citrix Web App Firewall

  • Técnica de detección de bots mediante huellas dactilares de dispositivos para aplicaciones móviles (Android) que utilizan el SDK de Bot Mobile

    El mecanismo de detección de bots que toman huellas dactilares del dispositivo ahora está mejorado para proteger las aplicaciones móviles (Android) de los ataques de bots. Para detectar bots en una aplicación móvil, la técnica de detección de huellas dactilares del dispositivo utiliza un SDK móvil para bots. El SDK está integrado con la aplicación móvil para interceptar el tráfico móvil, recopilar detalles del cliente y del dispositivo y enviar los datos al dispositivo. Por el lado del dispositivo, la técnica de detección de bots con huellas dactilares del dispositivo examina los datos y determina si la conexión proviene de un bot o de un humano.

    [NSWAF-5983]

Equilibrio de carga

  • Soporte de temporizador MEP configurable para evitar interrupciones de MEP en los sitios GSLB

    Ahora se ha añadido un nuevo parámetro, MEPKeepAliveTimeout, para configurar el temporizador MEP. De forma predeterminada, el valor del temporizador se establece en 10 segundos. Anteriormente, el temporizador tenía un valor fijo de 4 segundos.

    Si el sitio GSLB local no recibe ningún paquete nuevo (se excluyen los paquetes retransmitidos y los paquetes de confirmación duplicados) desde un sitio GSLB remoto en la conexión MEP métrica del sitio dentro del plazo especificado en el temporizador MEP, el dispositivo Citrix ADC marca la conexión como INACTIVA. Y espera 15 segundos más sin terminar la conexión. Si recibe algún paquete nuevo, se conserva la conexión MEP y el estado se marca como ACTIVADO.

    [NSLB-7342]

  • Soporte para conjuntos de patrones basados en archivos

    El dispositivo Citrix ADC ahora admite conjuntos de patrones basados en archivos.

    Puede importar un nuevo archivo de conjunto de patrones al dispositivo Citrix ADC mediante el siguiente comando:
    import patsetfile <src> <name> -overwrite -delimiter <char> -charset <ASCII | UTF_8>

    Puede actualizar un archivo de conjunto de patrones existente en el dispositivo Citrix ADC mediante el siguiente comando:
    update patsetfile <patset filename>

    Puede añadir un archivo de conjunto de patrones al motor de paquetes mediante el siguiente comando:
    add patsetfile <patset filename>

    Puede vincular patrones al archivo de conjunto de patrones mediante el siguiente comando:
    add patset <name> -patsetfile <patset filename>

    [NSLB-5823]

  • Compatibilidad con el protocolo MQTT en dispositivos Citrix ADC

    Los dispositivos Citrix ADC ahora admiten de forma nativa el protocolo de transporte de telemetría en cola de mensajes (MQTT). MQTT es un protocolo de mensajería estándar de OASIS para Internet de las cosas (IoT). Con este soporte, el dispositivo Citrix ADC se puede utilizar en implementaciones de IoT para equilibrar la carga del tráfico MQTT.

    Anteriormente, podía configurar MQTT en el dispositivo Citrix ADC mediante extensiones de protocolo. Los usuarios tenían que escribir su propio código de extensión e importar el archivo de extensión al dispositivo Citrix ADC, ya sea desde un servidor web (mediante HTTP) o desde una estación de trabajo local.

    [NSLB-5822]

Redes

  • Se agregó soporte en Citrix ADC CPX para Cilium CNI en un entorno de Kubernetes

    Citrix ADC CPX ahora admite Cilium CNI en un entorno de Kubernetes. Cilium es un CNI de código abierto que utiliza la versión extendida del filtro de paquetes de Berkeley (BPF) para mejorar la visibilidad, el rendimiento y la escalabilidad de las aplicaciones en Kubernetes.

    [NSNET-17264]

  • Configure el dispositivo Citrix ADC para obtener el tráfico de datos de Citrix ADC FreeBSD desde una dirección SNIP

    Algunas funciones de datos de Citrix ADC se ejecutan en el sistema operativo FreeBSD subyacente en lugar de en el sistema operativo Citrix ADC. Por este motivo, estas funciones envían tráfico desde la dirección IP (NSIP) de Citrix ADC en lugar de desde una dirección SNIP. No es recomendable obtener el tráfico de datos de la dirección NSIP si la configuración tiene configuraciones para separar todo el tráfico de administración y de datos.

    Las siguientes funciones de datos de Citrix ADC se ejecutan en el sistema operativo FreeBSD subyacente y envían tráfico procedente de la dirección IP (NSIP) de Citrix ADC:

    • Monitores programables de equilibrio de carga
    • Sincronización automática GSLB

    Para resolver este problema, se introdujo el parámetro global de capa 2 “UsenetProfileBSDTraffic”. Cuando este parámetro está habilitado, las funciones Citrix ADC envían tráfico procedente de una de las direcciones SNIP de un perfil de red asociado a la función.

    Actualmente, el parámetro global de capa 2 “UsenetProfileBSDTraffic” solo se admite en los monitores programables de equilibrio de carga.

    Para configurar el dispositivo Citrix ADC para que obtenga tráfico de sincronización automática GSLB desde una dirección SNIP, puede utilizar las reglas de ACL y RNAT ampliadas como solución alternativa.

    [ NSNET-16274 ]

  • ACL extendidas basadas en conjunto de datos

    Se requiere una gran cantidad de ACL en una empresa. Configurar y administrar una gran cantidad de ACL es muy difícil y engorroso cuando requieren cambios frecuentes.

    Un dispositivo Citrix ADC ahora admite conjuntos de datos en ACL extendidas. El conjunto de datos es una función existente de un dispositivo Citrix ADC. Un conjunto de datos es una matriz de tipos de patrones indexados: número (entero), dirección IPv4 o dirección IPv6.

    La compatibilidad con conjuntos de datos en las ACL ampliadas resulta útil para crear varias reglas de ACL, que requieren parámetros de ACL comunes. Al crear una regla de ACL, en lugar de especificar los parámetros comunes, puede especificar un conjunto de datos que incluya estos parámetros comunes.

    Cualquier cambio realizado en el conjunto de datos se refleja automáticamente en las reglas de ACL que utilizan este conjunto de datos. Las ACL con conjuntos de datos son más fáciles de configurar y administrar. También son más pequeños y fáciles de leer que los ACL convencionales.

    Actualmente, el dispositivo Citrix ADC solo admite el conjunto de datos de tipos de direcciones IPv4 para las ACL extendidas.

    [ NSNET-8252 ]

Plataforma

  • Compatibilidad con VMware ESX 7.0 en la instancia Citrix ADC VPX

    La instancia Citrix ADC VPX ahora es compatible con la compilación 1632494 del hipervisor VMware ESX 7.0.

    [ NSPLAT-16902 ]

  • Se amplió el soporte regional AWS Top Secret (C2S) a todas las ediciones de Citrix ADC

    La región AWS Top Secret (C2S) ahora admite las siguientes ediciones de Citrix ADC, junto con Bring Your Own License (BYOL):

    • Standard Edition
    • Advanced Edition
    • Premium Edition

    Anteriormente, la región Top Secret de AWS solo admitía la suscripción BYOL.
    La región Top Secret de AWS está disponible fácilmente a través del contrato de servicios comerciales en la nube (C2S) con AWS.

    [NSPLAT-9195]

Directivas

  • Compatibilidad con expresiones dinámicas en la función CONTAINS para optimizar el uso avanzado de directivas

    Los argumentos de los siguientes métodos son estáticos:

    • contains()
    • after_str ()
    • ante_str ()
    • substr (),
    • strip_end_chars ()
    • strip_chars ()
    • strip_start_chars ()

    [ NSPOLICY-3545 ]

SSL

  • Soporte para transferir operaciones criptográficas a los chips criptográficos Intel Coleto en conexiones TLS 1.3

    En las conexiones TLS 1.3, ahora se añade soporte para transferir las operaciones criptográficas a los chips criptográficos Intel Coleto en plataformas Citrix ADC MPX específicas.

    Se admiten los siguientes dispositivos que se suministran con chips Intel Coleto:

    • MPX 5900
    • MPX/SDX 8900
    • MPX/SDX 15000
    • MPX/SDX 15000-50G
    • MPX/SDX 26000
    • MPX/SDX 26000-50
    • MPX/SDX 26000-100G

    La compatibilidad solo con software para el protocolo TLSv1.3 está disponible en todos los demás dispositivos Citrix ADC MPX y SDX, excepto en los dispositivos Citrix ADC FIPS.

    [NSSSL-7453]

  • Todos los valores del nombre alternativo (SAN) del sujeto ahora se muestran en un certificado

    Un dispositivo Citrix ADC ahora muestra todos los valores de SAN cuando se muestran los detalles de un certificado.

    [ NSSSL-5978 ]

  • Soporte de directivas para el protocolo TLSv1.3

    Cuando se negocia el protocolo TLSv1.3 para una conexión, las reglas de directiva que inspeccionan los datos TLS recibidos del cliente ahora activan la acción configurada.
    Por ejemplo, si la siguiente regla de directiva devuelve el valor true, el tráfico se reenvía al servidor virtual definido en la acción.
    add ssl action action1 -forward vserver2
    add ssl policy pol1 -rule client.ssl.client_hello.sni.contains (xyz) -action action1

    [NSSSL-869]

Sistema

  • Muestra el uso de la CPU (en partes por mil) para un servidor virtual de equilibrio de carga

    Un nuevo contador, “CPU-PM”, ahora muestra los datos estadísticos del uso de la CPU en mille (partes por mil). Por ejemplo, 500 debe leerse como 500/1000, lo que equivale al 50 por ciento.

    En la GUI, vaya a Administración del tráfico > Servidores virtuales > Equilibrio de carga > Estadísticas

    [ NSBASE-11304 ]

  • Soporte para el reintento de solicitud cuando se agota el tiempo de espera

    El reintento de solicitudes ahora está disponible para otro caso en el que, si un servidor de fondo tarda más en responder a las solicitudes, el dispositivo equilibra la recarga cuando se agota el tiempo de espera y reenvía la solicitud al siguiente servidor disponible. Anteriormente, el dispositivo seguía esperando la respuesta del servidor, lo que provocaba un aumento del RTT.
    Para ejecutar el tiempo de espera, se puede configurar un nuevo parámetro RetryOnTimeout en appqoe action. Valor mínimo: 30 milisegundos Valor
    máximo: 2000.

    Para configurar el reintento de solicitud cuando se agote el tiempo de espera mediante la CLI:
    add appqoe action <name> -retryOnTimeout <msecs>

    Ejemplo
    “agregar la acción appqoe appact1 -RetryOnTimeout 35”

    [NSBASE-10914]

  • Soporte de procesamiento local y retención de conexiones para implementaciones de clústeres MPTCP

    Las conexiones MPTCP ahora admiten las funciones “Procesa local” y “Retener conexiones” en las implementaciones de clústeres Citrix ADC locales y en la nube.

    [NSBASE-10734]

  • Información relacionada con la respuesta del respondedor en los registros de AppFlow

    Los registros de AppFlow generados por el dispositivo Citrix ADC ahora incluyen la información relacionada con la respuesta del respondedor.

    [NSBASE-10634]

  • Soporte para encabezados HTTP de mayor tamaño

    El dispositivo Citrix ADC ahora puede gestionar solicitudes HTTP de gran tamaño de encabezado para adaptarse a la solicitud de la aplicación L7. El tamaño del encabezado de una solicitud HTTP aumenta a 128 KB.

    [NSBASE-7957]

Problemas resueltos

Los problemas que se abordan en la compilación 13.0-71.44.

Autenticación, autorización y auditoría

  • En algunos casos, después de cambiar la contraseña del usuario, aparece el siguiente mensaje de error: No se puede completar la solicitud.

    El error se produce porque la contraseña modificada está dañada tras el cifrado.

    [NSHELP-25437]

  • En algunos casos, un dispositivo Citrix ADC puede bloquearse si el cliente cierra la conexión TCP antes de finalizar la autenticación OTP por correo electrónico.

    [NSHELP-25154]

  • En algunos casos, un dispositivo Citrix ADC se bloquea durante la eliminación de la sesión de autenticación, autorización y auditoría de Citrix ADC en el nodo secundario.

    [NSHELP-25075]

  • En algunos casos, cuando se usa Citrix ADC como IdP en Citrix Cloud, la autenticación, la autorización y la auditoría se bloquean al realizar una actividad de extracción de grupos anidados en AD debido al desbordamiento del búfer de memoria.

    [NSHELP-24884]

  • La autenticación LDAP falla en un dispositivo Citrix ADC cuando la longitud del grupo de un usuario supera el límite definido.

    [NSHELP-24373]

  • Al intentar iniciar sesión en el dispositivo Citrix Gateway, el usuario no ve ninguna respuesta si se produce un error en el intento de inicio de sesión.

    [NSHELP-23155]

  • Un dispositivo Citrix ADC responde con un código de error 400 cuando el tamaño del encabezado de una solicitud relacionada con la interfaz de usuario de Citrix Gateway supera los 1024 caracteres.

    [NSAUTH-9475]

  • La configuración del servidor virtual de autenticación no direccionable no se restaura después de un reinicio si se cumplen las siguientes condiciones:

    • El dispositivo Citrix ADC tiene una licencia de edición estándar
    • El dispositivo está configurado para la autenticación nFactor mediante Citrix Gateway.

    [NSAUTH-9263]

Administración de bots

  • Una solicitud de bot que se identifique como un bot defectuoso mediante una firma de bot se restablece si se cumple la siguiente condición:

    • La acción del terminal del bot, como eliminar, redirigir o restablecer la firma correspondiente, se establece como “Falsa”.

    [ NSBOT-222 ]

Almacenamiento en caché

  • Un dispositivo Citrix ADC puede bloquearse de forma aleatoria si se cumplen las siguientes condiciones:

    • La función de almacenamiento en caché integrada está habilitada.
    • Se asignan 100 GB o más de memoria para el almacenamiento en caché integrado.

    [NSHELP-20854]

Llamar a casa

  • En la plataforma Citrix AC MPX 22000, el comando show techsupport muestra incorrectamente que el disco duro no está montado.

    [NSHELP-24223]

Dispositivo Citrix ADC SDX

  • La actualización del dispositivo Citrix ADC SDX falla si el Citrix Hypervisor consume más del 90% del espacio en disco.

    [NSHELP-24873]

  • En las plataformas Citrix ADC SDX 8900, SDX 15000 y SDX 15000-50G, se puede observar un uso elevado de la CPU en las instancias de ADC tras actualizar el dispositivo SDX de la versión 11.1 a la 12.1 o de la versión 11.1 a la 13.0.

    [NSHELP-24031]

Citrix Gateway

  • En raras ocasiones, el dispositivo Citrix Gateway puede bloquearse durante la sincronización de la sesión con el dispositivo secundario o durante la asignación de IP de la intranet.

    [NSHELP-25221]

  • El parámetro URLName se añade a la sesión y a otros enlaces de directivas cuando la URL de VPN clásica también está enlazada, lo que permite añadir la configuración al guardar y reiniciar.

    [NSHELP-25072]

  • El registro de IIP de Citrix Gateway no funciona si el DNS dividido está configurado en “Ambos” o “Local”.

    [NSHELP-24928]

  • Si la directiva inteligente de ICA está habilitada y hay alguna configuración residual de AppFlow, es posible que observe una conexión de alta latencia.

    [NSHELP-24908]

  • El dispositivo Citrix ADC puede bloquearse cuando se habilita el audio UDP y la llamada interna al sistema malloc devuelva un error.

    [NSHELP-24890]

  • En raras ocasiones, un dispositivo Citrix Gateway se bloquea cuando se modifica el tipo de transporte de syslog debido a un daño en la memoria.

    [NSHELP-24794]

  • El dispositivo Citrix Gateway no extrae el nombre común de los certificados de dispositivo codificados en UTF8.

    [NSHELP-24741]

  • El dispositivo Citrix Gateway se bloquea al eliminar una aplicación de intranet cuyo valor de nombre de host supera los 160 caracteres.

    [NSHELP-24524]

  • Si la detección de ubicación está habilitada, el túnel a nivel de máquina de Always On VPN tarda mucho en establecerse después de reiniciar la máquina cliente.

    [NSHELP-24508]

  • El dispositivo Citrix ADC puede fallar cuando se configura para una VPN sin cliente.

    [NSHELP-24430]

  • El dispositivo Citrix Gateway podría reiniciarse si el perfil del servidor RDP enlazado al servidor virtual VPN no tiene configurada la dirección IP RDP y el perfil del servidor RDP y el servidor virtual VPN utilizan el mismo puerto.

    [NSHELP-24199]

  • Se presenta un nuevo conjunto de patrones optimizado, “ns_cvpn_v2_fast_regex_light_ver”, para las alertas de CPU con niveles altos. Si se observa un pico en la CPU de forma intermitente con el conjunto de patrones predeterminado “ns_cvpn_v2_fast_regex”, puede cambiar al nuevo conjunto de patrones.

    [NSHELP-24085]

  • El dispositivo Citrix Gateway podría dejar de funcionar en una implementación de proxy de EDT si se ejecuta el comando “kill icaconnection” mientras se está estableciendo una conexión EDT.

    [NSHELP-23882]

  • El complemento de Windows muestra el mensaje No se puede acceder a la puerta de enlace si la máquina cliente tiene varias instancias de los adaptadores virtuales de acceso directo WiFi y Hyper-V.

    [NSHELP-23794]

  • Un dispositivo Citrix Gateway puede fallar al intentar analizar un paquete entrante.

    [NSHELP-23747]

  • El dispositivo Citrix Gateway se bloquea al utilizar audio UDP al acceder al escritorio virtual.

    [NSHELP-23514]

  • Las denegaciones de directivas de autorización basadas en UDP/ICMP/DNS para VPN no aparecen en el archivo ns.log.

    [NSHELP-23410]

  • El dispositivo Citrix ADC puede bloquearse durante la conmutación por error si el audio UDP está habilitado.

    [NSHELP-22850]

Citrix Web App Firewall

  • Se observan errores de comunicación en aslearn al restablecer los datos de aprendizaje de Citrix Web App Firewall en una configuración de clúster.

    [ NSWAF-6768 ]

  • En una configuración de clúster, el valor de verificación de interoperabilidad de servicios web (WSI) con espacio se considera una entrada no válida, aunque es válido en un dispositivo principal Citrix ADC.

    [ NSWAF-6745 ]

  • Faltan los detalles de configuración del nombre de la tarjeta de crédito predeterminados para los perfiles de Web App Firewall básicos o avanzados en la implementación de un clúster.

    [NSWAF-6675]

  • Falta el enlace XML DOS predeterminado para el perfil avanzado predeterminado de Web App Firewall en la implementación de un clúster.

    [NSWAF-6672]

  • En una configuración de clúster, no se puede vincular la regla “safeobject” con una longitud de expresión “safeobject” de más de 255 caracteres.

    [ NSWAF-6670 ]

  • Falta el valor predeterminado para la configuración “FileUploadTypesAction” para el perfil de Web App Firewall básico o avanzado en la implementación de un clúster.

    [ NSWAF-6669 ]

  • Se observa una configuración de “cmdInjectionAction” predeterminada incorrecta para el perfil básico o avanzado de Web App Firewall en una implementación de clúster.

    [ NSWAF-6668 ]

  • La configuración de un clúster de Citrix ADC puede fallar si hay errores de transporte de DHT entre los nodos del clúster y la función de protección de la coherencia de los campos está habilitada.

    [ NSWAF-6560 ]

  • La comprobación de coherencia de las cookies de Citrix Web App Firewall elimina el atributo de cookie SameSite de la respuesta enviada por el servidor de fondo.

    [NSHELP-24313]

Equilibrio de carga

  • Cuando una implementación de GSLB utiliza el método de tiempo de ida y vuelta (RTT) para equilibrar la carga, el dispositivo Citrix ADC puede fallar si elimina o desvincula un servicio GSLB durante el flujo de tráfico.

    [NSHELP-24425]

  • El dispositivo Citrix ADC podría bloquearse si se elimina la asociación entre la entrada de la tabla de hash distribuida (DHT) y la sesión de persistencia y, al mismo tiempo, se libera la sesión de persistencia.

    [NSHELP-24213]

  • Si a un miembro del grupo de servicios se le asigna un puerto comodín (puerto *), los detalles del monitor de ese miembro del grupo de servicios se pueden ver en la página Detalles del monitor.

    [NSHELP-9409]

Redes

  • En un dispositivo Citrix ADC BLX o Citrix ADC CPX, puede fallar la instalación de las rutas OSPF o BGP en la tabla de enrutamiento del dispositivo.

    [NSNET-18707]

  • Es posible que el RNAT con “useproxyport” desactivado no funcione como se esperaba para los puertos de origen con números inferiores a 1024.

    [NSHELP-25162]

  • En una configuración de alta disponibilidad con modo INC, cualquier regla de RNAT que tenga una dirección VIP establecida como dirección IP de NAT se elimina durante la sincronización de HA.

    [NSHELP-24893]

  • Es posible que no se pueda cargar la MIB SNMP de Citrix ADC en un administrador de SNMP debido a la presencia de un nombre de objeto duplicado “URLFiltDBUpdateStatus” en la MIB de SNMP. Se utiliza el mismo nombre de objeto “URLFiltDBUpdateStatus” para una captura SNMP y un enlace de variables de captura SNMP.

    Con la solución, el enlace de la variable de captura SNMP “URLFiltDBUpdateStatus” se cambia a “URLFilterDBUpdateStatus”.

    [NSHELP-24778]

  • Es posible que un dispositivo Citrix ADC se bloquee debido a un problema de sincronización de la memoria interna en el módulo LSN.

    [NSHELP-24623]

  • La siguiente ruta de equilibrio de carga de enlaces agregada en un dominio de tráfico no predeterminado se mueve al dominio de tráfico predeterminado después de guardar y reiniciar el dispositivo.

    • añadir lb route 0.0.0.0 -td 1

    [NSHELP-24067]

  • Es posible que las rutas basadas en directivas IPv6 (PBR6) de un dispositivo Citrix AC no funcionen según lo esperado.

    [NSHELP-23161]

  • En una configuración de alta disponibilidad, uno de los dispositivos Citrix ADC podría bloquearse si realiza la actualización del software en servicio (ISSU) desde la versión 13.0 47.24 o anterior del software Citrix ADC a una versión posterior.

    [ NSHELP-21701 ]

Plataforma

  • La plataforma Citrix ADC MPX 8000-1G admite licencias agrupadas.

    [ NSPLAT-17354 ]

  • No se puede acceder a una instancia de Citrix ADC VPX, en la que se configuran NSVLAN y dos canales de agregación de enlaces (LA) cuando se cumplen las siguientes condiciones:

    • El primer canal LA está desactivado.
    • La instancia VPX se reinicia.

    [ NSPLAT-16082 ]

  • Si una instancia de Citrix ADC utiliza licencias basadas en ADM, es posible que las licencias de Citrix ADC no funcionen cuando la versión ADM sea inferior a la versión ADC. Por lo tanto, cuando actualice la versión del ADC, asegúrese de que la versión ADM correspondiente sea igual o superior a la versión actual del ADC.

    [ NSPLAT-15184 ]

  • Al actualizar un dispositivo Citrix ADC SDX, si se produce un error en una SSD durante uno de los muchos reinicios, el volumen del par RAID correspondiente queda inactivo una vez que se reinicia el dispositivo. Puede observar lo siguiente:
    el volumen aparece como “no creado” en la GUI.
    La ranura SSD defectuosa aparece como “no presente”. “
    El VPX-SR correspondiente también aparece como degradado.
    Como resultado, es posible que las instancias de ADC que residen en el VPX-SR no se inicien o permanezcan detenidas.

    [NSHELP-24751]

  • Cuando se configuran varios canales LA en un dispositivo SDX sin ninguna interfaz de administración (0/1, 0/2) y si el primer canal LA está inhabilitado a través de la CLI VPX, es posible que no se pueda acceder al dispositivo VPX.

    [NSHELP-21889]

  • En los dispositivos ADC SDX 14000 y 15000, se observa una pérdida de tráfico de hasta 9 segundos si se cumplen las siguientes condiciones:

    • Los puertos 10G se conectan mediante el canal LA a dos switches Cisco que están configurados en la configuración de VPC como activos o pasivos.
    • El enlace al switch Cisco activo o principal rebota.

    [NSHELP-21875]

Directivas

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen las siguientes condiciones:

    • Uso de nstrace con una expresión de filtro.
    • Función de autenticación, autorización y auditoría habilitada.

    [ NSPOLICY-3844 ]

  • Un dispositivo Citrix ADC puede fallar si se utilizan variables de ámbito global en solicitudes HTTP no válidas.

    [NSHELP-25369]

SSL

  • En las siguientes plataformas Citrix ADC SDX, la tarjeta SSL puede dejar de funcionar si el cliente externo utiliza la curva ECDSA P224/521 como firma durante el protocolo de enlace SSL para la autenticación del cliente:

    • SDX 11515/11520/11530/11540/11542
    • SDX 22040/22060/22080/22100/22120
    • SDX 24100/24150
    • SDX 14000
    • SDX 14000-40S
    • SDX 14000-40G
    • SDX 14000 FIPS
    • SEXO 2500
    • SDX 25000A

    [ NSSSL-9324 ]

  • Un dispositivo Citrix ADC no propone cifrados ECDHE en el mensaje de saludo del cliente después de reiniciar el dispositivo y si se cumplen las siguientes condiciones:

    • El perfil predeterminado está desactivado.
    • Un monitor seguro está vinculado a un servicio que no es SSL.

    [NSHELP-24706]

  • El protocolo de enlace SSL del back-end falla cuando el servidor de fondo envía un único registro SSL que contiene los siguientes mensajes: “Hola al servidor”, “Certificado de servidor”, “Intercambio de claves de servidor” y “Saludo al servidor hecho”.

    [NSHELP-24615]

  • Un dispositivo Citrix ADC cierra una sesión de DTLS enviando una alerta si se alcanza el valor máximo de tiempo de espera para los reintentos.

    [NSHELP-24560]

  • Un dispositivo FIPS Citrix ADC MPX/SDX 11542, MPX/SDX 14000, MPX 22000/24000/25000 o MPX/SDX 14000 podría bloquearse si se cumplen las siguientes condiciones:

    • El modelo híbrido ECDHE/ECDSA está activado.
    • El tráfico DTLS se recibe cuando la utilización de la CPU ya es alta.

    [NSHELP-24405]

  • Es posible que un dispositivo Citrix ADC no proponga cifrados ECDHE en el mensaje de saludo del cliente si se cumplen las siguientes condiciones:

    • La sincronización HA está en curso.
    • Las sondas del monitor se envían antes de que se complete la sincronización.

    [NSHELP-24355]

  • El dispositivo Citrix ADC se bloquea si el servicio de backend SSL utiliza cifrados NULL o RC2 en las siguientes plataformas:

    • MPX 5900
    • MPX 8900
    • MPX 15000
    • MPX 15000-50G
    • MPX 26000
    • MPX 26000-50S
    • MPX 26000-100G

    [NSHELP-24308]

  • Un dispositivo Citrix ADC puede fallar al configurar un servidor virtual DTLS si el dispositivo tiene poco espacio en disco.

    [NSHELP-24201]

  • Un dispositivo Citrix ADC no propone cifrados ECDHE en el mensaje de saludo del cliente después de reiniciar el dispositivo y si se cumplen las siguientes condiciones:

    • El perfil predeterminado está activado.
    • Un monitor seguro está vinculado a un servicio que no es SSL.

    [NSHELP-24037]

  • En la configuración de un clúster, se agrega un comando “bind ssl certkey” no válido al archivo ns.conf al guardar la configuración. El comando no válido se agrega si una extensión de punto de distribución CRL forma parte de un certificado en el dispositivo Citrix ADC.

    [NSHELP-23963]

Sistema

  • Una instancia de CPX ligera podría fallar si usas un perfil de análisis sin configurar el recopilador.

    [NSHELP-25239]

  • Configurar el tamaño de la ventana de conexión inicial de HTTP/2

    Según el RFC 7540, la ventana de control de flujo para la transmisión y la conexión de HTTP2 debe inicializarse en 64 K (65535) octetos y cualquier cambio en este valor debe comunicarse al par. El dispositivo ADC comunica el cambio en el tamaño de la ventana de control de flujo de la siguiente manera:

    • Uso del marco SETTINGS para la ventana de control de flujo a nivel de flujo.
    • Uso del marco WINDOW_UPDATE para la ventana de control de flujo del nivel de conexión.

    En un perfil HTTP, puede configurar el parámetro HTTP2InitialWindowSize para establecer el tamaño inicial de la ventana a nivel de transmisión.

    Debido a un error interno del sistema, el dispositivo ADC inicializa la ventana de control de flujo de la conexión también con el valor configurado para “Http2InitialWindowSize”. Cuando se produce un cambio en la ventana de control de flujo configurada para la transmisión, el dispositivo ADC se comunica con el par mediante el marco SETTINGS. Sin embargo, el dispositivo ADC no comunica el cambio en la ventana de control de flujo de la conexión mediante el marco WINDOW_UPDATE. Esto lleva a una congelación de la conexión.

    Para solucionar este problema, ahora se ha añadido el parámetro HTTP2InitialConnWindowSize (en bytes) para controlar la ventana de control de flujo del nivel de conexión. Al utilizar parámetros configurables independientes, a saber, “Http2InitialWindowSize” y “Http2InitialConnWindowSize”, ahora puede configurar el tamaño de la ventana de control de flujo tanto a nivel de transmisión como de conexión.

    Configure el parámetro de tamaño de la ventana de control de flujo a nivel de conexión inicial de HTTP/2 mediante la CLI

    En la línea de comandos, escriba:

    set httpprofile p1 -http2InitialConnWindowSize <window-size>

    Donde, Http2InitialConnWindowSize es el tamaño inicial de la ventana para el control de flujo del nivel de conexión, en bytes.
    Valor predeterminado: 65535 Valor
    mínimo: 65535 Valor máximo: 67108864

    [NSHELP-25155]

  • Un dispositivo Citrix ADC puede bloquearse debido a daños en la memoria cuando la función HTTP/2 está habilitada.

    [NSHELP-25005]

  • En una configuración de clúster, la validación de los valores predeterminados de la protección contra sobretensiones se gestiona de forma diferente en la base de datos y en el motor de paquetes.

    [NSHELP-24455]

  • Los registros de análisis no se envían al Citrix ADM si se cumplen las siguientes condiciones:

    • El recopilador IPFIX está configurado en la partición de administración del dispositivo Citrix ADC.

    • El recopilador está en una subred que no es la dirección SNIP.

    [NSHELP-24283]

  • Se observa un uso elevado de la CPU en el cliente de registro web (NSWL) Citrix ADC que se ejecuta en una plataforma Linux si el intervalo de sondeo no está configurado correctamente.

    [NSHELP-24266]

  • Al habilitar Appflow en una instancia de ADC, el ADM no muestra el HDX Insight de esa instancia. Este problema se produce porque ADM no procesa los datos de Logstream recibidos de la instancia.

    [NSHELP-24227]

  • La eliminación de un perfil TCP enlazado a un servidor virtual de conmutación de contenido provoca una incoherencia de configuración en la base de datos del clúster.

    [NSHELP-24004]

  • Un dispositivo Citrix ADC puede fallar al borrar la configuración cuando intenta acceder a los detalles del servidor ICAP. La información de detalles del servidor no se elimina de la lista de monitores cuando se borra la configuración de inspección de contenido de ICAP.

    [NSHELP-23945]

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen las siguientes condiciones:

    • HTTP/2 activado en el perfil HTTP vinculado a un servidor virtual de equilibrio de carga de tipo HTTP/SSL o servicio.
    • La opción de multiplexación de conexiones está inhabilitada en el perfil HTTP vinculado al servidor o servicio virtual de equilibrio de carga.

    [NSHELP-21202]

  • Un dispositivo Citrix ADC con encadenamiento de conexiones y SSL habilitado podría enviar más datos de MTU.

    [NSHELP-9411]

  • Tras una actualización a la versión 12.1 de Citrix ADC, compilación 61.x, el dispositivo podría bloquearse si está registrado en el servidor ADM.

    [ NSBASE-13031 ]

  • Es posible que no se pueda habilitar el recopilador de métricas en la partición predeterminada si ya está habilitado en la configuración de la partición de administración.

    [ NSBASE-12623 ]

  • En una configuración de clúster, habilitar el soporte local del proceso para las conexiones MPTCP reduce la dirección entre nodos.

    [ NSBASE-10587 ]

Interfaz de usuario

  • El comando diff ns config muestra un ERROR: No se pudo obtener el UID del comando: aplique el mensaje de error ns pbr6. Ocurre cuando el comando apply ns pbr6 se guarda en los archivos ns.conf o running-config.

    [NSHELP-25373]

  • En una configuración de clúster, la configuración de enlace adicional no deseada se guarda en el archivo ns.conf.

    [NSHELP-24636]

  • Se observan las siguientes condiciones de error en la GUI de Citrix Gateway:

    • Cuando una directiva está vinculada a la autenticación principal en el servidor virtual VPN, la GUI muestra incorrectamente que la directiva está enlazada a la autenticación secundaria y a la autenticación de grupo.
    • Cuando el servidor virtual VPN está enlazado a un certificado de servidor, la GUI del servidor muestra incorrectamente que el servidor virtual VPN también está enlazado a un certificado de CA.

    [NSHELP-24494]

  • En una plataforma Citrix ADC SDX, aparece el siguiente mensaje de error al cargar la GUI: El dispositivo no admite la
    operación [No se admiten las licencias agrupadas en esta plataforma]

    [NSHELP-24474]

  • En la GUI de Citrix ADC, no puede ver los “Informes personalizados” creados para una partición específica.

    [NSHELP-24370]

  • Los siguientes archivos temporales presentes en la carpeta /var/tmp de un dispositivo Citrix ADC provocan que la memoria se llene.

    • sh.runn.audit.<pid> archivo creado por la herramienta nsconfigaudit.
    • tmp_ns.conf.<pid> archivo creado por el comando show run para la partición.

    [NSHELP-24092]

  • Para una solicitud de API NITRO “routerdynamicrouting”, el dispositivo Citrix ADC puede devolver datos JSON con errores de formato si el tamaño de la respuesta es grande.

    [NSHELP-19913]

  • Un dispositivo Citrix ADC se vuelve inestable si utiliza el parámetro -outfilename en el comando diffnsconfig. Como resultado, la salida de diffnsconfig es grande y ocupa completamente el disco raíz.

    [NSHELP-19345]

Problemas conocidos

Los problemas que existen en la versión 13.0-71.44.

Autenticación, autorización y auditoría

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen las siguientes condiciones.

    1. El dispositivo está bajo presión de memoria.
    2. SAML se configura como uno de los métodos de autenticación.

    [ NSHELP-28855 ]

  • En un caso poco frecuente, el nodo secundario en una configuración de alta disponibilidad puede bloquearse si se cumple la siguiente condición.

    • Los “grupos aaa” y/o los “usuarios aaa” se configuran en el dispositivo Citrix ADC.

    [ NSHELP-26732 ]

  • En algunos casos, el comando Vincular autenticación, autorización y grupo de auditoría puede fallar si el nombre de la directiva es más largo que el nombre de la aplicación de la intranet.

    [NSHELP-25971]

  • Un dispositivo Citrix ADC no autentica los intentos de inicio de sesión con contraseñas duplicadas y evita los bloqueos de cuentas.

    [ NSHELP-563 ]

  • LoginSchema de DualAuthPushOrOTP.xml no aparece correctamente en la pantalla del editor de esquemas de inicio de sesión de la GUI de Citrix ADC.

    [ NSAUTH-6106 ]

  • El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando.
    show adfsproxyprofile <profile name>

    Solución temporal: Conéctese al Citrix ADC activo principal del clúster y ejecute el comando show adfsproxyprofile <profile name>. Mostraría el estado del perfil de proxy.

    [ NSAUTH-5916 ]

Almacenamiento en caché

  • Es posible que un dispositivo Citrix ADC se bloquee si la función Almacenamiento en caché integrado está habilitada y el dispositivo tiene poca memoria.

    [ NSHELP-22942 ]

Dispositivo Citrix ADC SDX

  • En un dispositivo Citrix ADC SDX, si el CLAG se crea en una NIC Mellanox, la MAC de CLAG cambia cuando se reinicia la instancia VPX. El tráfico a la instancia VPX se detiene tras el reinicio porque la tabla MAC tiene la antigua entrada MAC de CLAG.

    [ NSSVM-4333 ]

Citrix Gateway

  • La autenticación de certificados de cliente falla para Citrix SSO para macOS si no hay certificados de cliente en el llavero de macOS.

    [ NSHELP-28551 ]

  • A veces, se desactiva la sesión de un usuario en Citrix Gateway en unos segundos cuando se establece el tiempo de espera por inactividad del cliente.

    [ NSHELP-28404 ]

  • Es posible que el dispositivo Citrix Gateway se bloquee al procesar el tráfico UDP iniciado por el servidor.

    [ NSHELP-27611 ]

  • El dispositivo Citrix Gateway puede bloquearse si se bloquea la sincronización y se modifica la configuración de la directiva de conmutación de contenido.

    [ NSHELP-27570 ]

  • El dispositivo Citrix Gateway puede bloquearse si se establece una opción de cliente VPN desconocida en la directiva de sesión.

    [ NSHELP-27380 ]

  • Al introducir el FQDN como proxy en la página Crear perfil de tráfico de Citrix Gateway, aparece el mensaje “Valor de proxy no válido”.

    [ NSHELP-26613 ]

  • El dispositivo Citrix ADC se bloquea si se produce alguna de las siguientes condiciones:

    • La acción syslog se configura con el nombre de dominio y usted borra la configuración mediante la GUI o la CLI.
    • La sincronización de alta disponibilidad se produce en el nodo secundario.

    Solución temporal:

    Cree una acción syslog con la dirección IP del servidor syslog en lugar del nombre de dominio del servidor syslog.

    [ NSHELP-25944 ]

  • Al crear un perfil de cliente RDP mediante la GUI de Citrix ADC, aparece un mensaje de error cuando se cumplen las siguientes condiciones:

    • Se ha configurado una clave previamente compartida (PSK) predeterminada.
    • Intenta modificar el temporizador de validez de la cookie de RDP en el campo Validez de cookies de RDP (segundos).

    [ NSHELP-25694 ]

  • Gateway Insight no muestra información precisa sobre los usuarios de VPN.

    [ NSHELP-23937 ]

  • El resultado del comando “show tunnel global” incluye nombres de directivas avanzados. Anteriormente, el resultado no mostraba los nombres de directivas avanzadas.

    Ejemplo:

    Nuevo resultado:

     > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0

 Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
 Priority: 1  
 Global bindpoint: REQ_DEFAULT

 Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
 Priority: 100  
 Global bindpoint: RES_DEFAULT  
 Done  
 >
 <!--NeedCopy-->

    Resultado anterior:

     > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

 Advanced Policies:

 Global bindpoint: REQ_DEFAULT  
 Number of bound policies: 1

 Done
 <!--NeedCopy-->

    [ NSHELP-23496 ]

  • A veces, al navegar por los esquemas, aparece el mensaje de error “No se puede leer la propiedad ‘tipo’ indefinida”.

    [ NSHELP-21897 ]

  • El error de inicio de la aplicación debido a un tíquet STA no válido no se informa en Gateway Insight.

    [ CGOP-13621 ]

  • El informe de Gateway Insight muestra incorrectamente el valor “Local” en lugar de “SAML” en el campo Tipo de autenticación para errores de SAML.

    [ CGOP-13584 ]

  • En una configuración de alta disponibilidad, durante la conmutación por error de Citrix ADC, el recuento de SR aumenta en lugar del recuento de conmutación por error en Citrix ADM.

    [ CGOP-13511 ]

  • Al aceptar conexiones de host local desde el explorador web, el cuadro de diálogo Aceptar conexión para macOS muestra el contenido en inglés independientemente del idioma seleccionado.

    [ CGOP-13050 ]

  • El texto “Página de inicio” de la Aplicación Citrix SSO > Página de inicio aparece cortado en algunos idiomas.

    [ CGOP-13049 ]

  • Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de Citrix ADC.

    [ CGOP-11830 ]

  • En Outlook Web App (OWA) 2013, al hacer clic en Opciones en el menú Configuración, aparece un cuadro de diálogo Error crítico. Además, la página deja de responder.

    [ CGOP-7269 ]

Equilibrio de carga

  • En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.

    [ NSLB-7679 ]

  • En una configuración de clúster, la dirección IP del servicio GSLB no se muestra en la GUI cuando se accede a ella a través de enlaces de servidores virtuales GSLB. Esto es solo un problema de visualización y no afecta a la funcionalidad.

    [ NSHELP-20406 ]

Redes

  • Un dispositivo Citrix ADC BLX en modo DPDK podría bloquearse si se configura un perfil de Firewall de aplicaciones web con comprobaciones de protección de seguridad avanzadas.

    Solución alternativa: elimine la configuración de protección de seguridad avanzada para WAF.

    [ NSNET-22654 ]

  • En un dispositivo Citrix ADC BLX, es posible que la NSVLAN enlazada con interfaces etiquetadas que no sean de dpdk no funcione como se esperaba. La NSVLAN enlazada con interfaces no dpdk sin etiquetar funciona bien.

    [ NSNET-18586 ]

  • Tras una actualización de la versión 13.0 61.x del dispositivo Citrix ADC BLX a la versión 13.0 64.x, se pierde la configuración del archivo de configuración BLX. El archivo de configuración de BLX se restablece a los valores predeterminados.

    [ NSNET-17625 ]

  • Las siguientes operaciones de interfaz no son compatibles con las interfaces X710 10G (i40e) de Intel en un dispositivo Citrix ADC BLX con DPDK:

    • Disable
    • Enable
    • Restablecer

    [ NSNET-16559 ]

  • En un host Linux basado en Debian (Ubuntu versión 18 y versiones posteriores), un dispositivo Citrix ADC BLX siempre se implementa en modo compartido, independientemente de la configuración del archivo de configuración de BLX (“/etc/blx/blx.conf”). Este problema se debe a que “mawk”, que está presente de forma predeterminada en los sistemas Linux basados en Debian, no ejecuta algunos de los comandos awk presentes en el archivo “blx.conf”.

    Solución alternativa: instale “gawk” antes de instalar un dispositivo Citrix ADC BLX. Puede ejecutar el siguiente comando en la CLI del host de Linux para instalar “gawk”:

    • apt-get install gawk

    [ NSNET-14603 ]

  • La instalación de un dispositivo Citrix ADC BLX podría fallar en un host Linux basado en Debian (versión 18 y posteriores de Ubuntu) con el siguiente error de dependencia:

    “Los siguientes paquetes tienen dependencias incumplidas: blx-core-libs:i386: PreDepends: libc6:i386 (>= 2.19) pero no se puede instalar”

    Solución temporal: ejecute los siguientes comandos en la CLI del host de Linux antes de instalar un dispositivo Citrix ADC BLX:

    • dpkg — agregar arquitectura i386
    • actualización apt-get
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [ NSNET-14602 ]

  • En una configuración de alta disponibilidad, las sesiones de usuario VPN se desconectan si se cumple la siguiente condición:

    • Si se realizan dos o más operaciones de failover manual de alta disponibilidad sucesivas cuando la sincronización de alta disponibilidad está en curso.

    Solución temporal: Realice sucesivas conmutaciones por error de HA manuales solo después de que se haya completado la sincronización de HA (ambos nodos se encuentran en el estado de sincronización correcta).

    [ NSHELP-25598 ]

  • En una configuración de alta disponibilidad, la dirección SNIP habilitada para el enrutamiento dinámico no se expone a vtysh al reiniciar si se cumple la siguiente condición:

    • Una dirección SNIP habilitada para el enrutamiento dinámico está enlazada a la VLAN compartida en una partición no predeterminada.

    Como parte de la corrección, el dispositivo Citrix ADC ahora no permite vincular una dirección SNIP habilitada para el enrutamiento dinámico a la VLAN compartida en la partición no predeterminada

    [ NSHELP-24000 ]

Plataforma

  • Cuando actualiza de compilaciones 13.0/12.1/11.1 a una versión 13.1 o baja de una compilación 13.1 a 13.0/12.1/11.1, algunos paquetes python no se instalan en los dispositivos Citrix ADC. Este problema se ha solucionado en las siguientes versiones de Citrix ADC:

    • 13.1-4.x
    • 13.0-82.31 y posteriores
    • 12.1-62.21 y posteriores

    Los paquetes python no se instalan cuando se degrada la versión de Citrix ADC de la versión 13.1-4.x a cualquiera de las siguientes versiones:

    • Cualquier compilación 11.1
    • 12.1-62.21 y anteriores
    • 13.0-81.x y anteriores

    [ NSPLAT-21691 ]

Directivas

  • Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.

    Solución temporal: Establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

    [ NSPOLICY-1267 ]

SSL

  • En un clúster heterogéneo de dispositivos Citrix ADC SDX 22000 y Citrix ADC SDX 26000, se produce una pérdida de configuración de entidades SSL si se reinicia el dispositivo SDX 26000.

    Solución temporal:

    1. En el CLIP, inhabilite SSLv3 en todas las entidades SSL nuevas y existentes, como servidores virtuales, servicios, grupos de servicios y servicios internos. Por ejemplo: set ssl vserver <name> -SSL3 DISABLED.
    2. Guarde la configuración.

    [ NSSSL-9572 ]

  • El comando Actualizar no está disponible para los siguientes comandos de adición:

    • agregar aplicación azure
    • add azure keyvault
    • agregar ssl certkey con la opción hsmkey

    [ NSSSL-6484 ]

  • No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

    [ NSSSL-6478 ]

  • Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo Citrix ADC no devuelve ningún error.

    [ NSSSL-6213 ]

  • El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM.
    ERROR: actualización de crl inhabilitada

    [ NSSSL-6106 ]

  • La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster (esta opción no se puede inhabilitar).

    [ NSSSL-4427 ]

  • Si intenta cambiar el protocolo SSL o el cifrado del perfil SSL, aparece un mensaje de advertencia incorrecto, titulado “Advertencia: no hay cifrados utilizables configurados en el servidor o servicio SSL”.

    [ NSSSL-4001 ]

  • Un dispositivo Citrix ADC se bloquea al procesar una solicitud HTTP si la acción de la directiva está configurada en “Reenviar” para una directiva que ya está enlazada en el punto de enlace de la solicitud.

    [ NSHELP-29115 ]

  • En una configuración de clúster, cuando dos certificados instalados son emisores de un certificado de servidor que tiene la extensión AIA de OCSP, el dispositivo deja de estar disponible si quita el certificado del servidor.

    [ NSHELP-28058 ]

  • En una configuración de alta disponibilidad, la actualización automática de CRL falla de forma intermitente si se cumplen las dos condiciones siguientes:

    • Los archivos se sincronizan del nodo principal al nodo secundario.
    • El archivo CRL se está descargando del servidor CRL al mismo tiempo.

    [ NSHELP-27435 ]

  • El nombre del certificado de CA que emitió la CRL se corta en 32 caracteres, aunque el nombre de la clave de certificado puede tener hasta 64 caracteres. Este problema se produce porque el campo CRL tiene un límite de 32 caracteres.

    [ NSHELP-26986 ]

Sistema

  • La opción TCP de encadenamiento de conexiones se agrega a las conexiones RPC de Citrix ADC. El problema provoca un problema de interoperabilidad con la comunicación de los sitios GSLB.

    [ NSHELP-27417 ]

  • El aumento de las retransmisiones de paquetes se observa en las implementaciones de clúster MPTCP en la nube pública si el conjunto de enlaces está inhabilitado.

    [ NSHELP-27410 ]

  • Un dispositivo Citrix ADC podría enviar un paquete TCP no válido junto con opciones TCP como bloques SACK, marca de tiempo y ACK de datos MPTCP en conexiones MPTCP.

    [ NSHELP-27179 ]

  • Se observa una discrepancia en los registros de Logstream en el dispositivo Citrix ADC y en el cargador de datos.

    [ NSHELP-25796 ]

  • En raras ocasiones, un dispositivo Citrix ADC podría enviar números de secuencia TCP SACK incorrectos al cliente al reenviarlo desde el servidor backend. El problema se produce si la opción ACK selectiva de TCP (SACK) está habilitada en un perfil TCP.

    [ NSHELP-24875 ]

  • En la configuración de un clúster, el comando “set ratecontrol” solo funciona después de reiniciar el dispositivo Citrix ADC.

    Solución alternativa: utilice el comando nsapimgr_wr.sh -ys icmp_rate_threshold=<new value>.

    [ NSHELP-21811 ]

  • Al procesar grandes flujos de tráfico de gRPC, la ventana anunciada por TCP aumenta exponencialmente, lo que lleva a un uso elevado de memoria.

    [ NSBASE-15447 ]

Interfaz de usuario

  • En la GUI de Compression Policy Manager, no se puede enlazar una directiva de compresión a un protocolo HTTP especificando un punto de enlace y un tipo de conexión pertinentes.

    [ NSUI-17682 ]

  • El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

    Solución temporal: Configure los conectores de Cloudbridge agregando perfiles IPSec, túneles IP y reglas de PBR mediante la GUI o CLI de Citrix ADC.

    [ NSUI-13024 ]

  • Después de actualizar una configuración de alta disponibilidad o una configuración de clúster a la versión 13.0 compilación 74.14 o posterior, la sincronización de la configuración podría fallar por la siguiente razón:

    • Las claves privadas y públicas “ssh_host_rsa_key” son un par incorrecto.

    Solución alternativa: vuelva a generar “ssh_host_rsa_key”. Para obtener más información, consulte https://support.citrix.com/article/CTX322863.

    [ NSHELP-27834 ]

  • No se puede enlazar un servicio o un grupo de servicios a un servidor virtual de equilibrio de carga prioritario mediante la GUI de Citrix ADC.

    [ NSHELP-27252 ]

  • En un dispositivo Citrix ADC VPX, una operación de configuración de capacidad puede fallar tras agregar un servidor de licencias. El problema se produce porque los componentes relacionados con Flexera tardan más en inicializarse debido al gran número de licencias admitidas de tipo check-in y check-out (CICO)

    [ NSHELP-23310 ]

  • La carga y adición de un archivo de lista de revocación de certificados (CRL) produce un error en la configuración de una partición de administración.

    [ NSHELP-20988 ]

  • Al cambiar una versión 13.0-71.x de un dispositivo Citrix ADC a una versión anterior, es posible que algunas API de Nitro no funcionen debido a los cambios en los permisos del archivo.

    Solución alternativa: cambie el permiso de “/nsconfig/ns.conf” a 644.

    [ NSCONFIG-4628 ]

  • A veces, las firmas del firewall de la aplicación tardan mucho en sincronizarse con los nodos que no son de CCO. Como resultado, los comandos que utilizan estos archivos pueden fallar.

    [ NSCONFIG-4330 ]

  • Si usted (administrador del sistema) realiza todos los pasos siguientes en un dispositivo Citrix ADC, es posible que los usuarios del sistema no inicien sesión en el dispositivo Citrix ADC degradado.

    1. Actualice el dispositivo Citrix ADC a una de las compilaciones:

      • 13.0 52.24 compilación
      • 12.1 57,18 compilación
      • 11.1 65.10 compilación
    2. Agregar un usuario del sistema o cambiar la contraseña de un usuario del sistema existente y guardar la configuración, y
    3. Rebaja la versión del dispositivo Citrix ADC a cualquier versión anterior.

    Para mostrar la lista de estos usuarios del sistema mediante la CLI:
    En la línea de comandos, escriba:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solución temporal:

    Para solucionar este problema, utilice una de las siguientes opciones independientes:

    • Si el dispositivo Citrix ADC aún no se ha rebajado (paso 3 de los pasos mencionados anteriormente), revierta la versión del dispositivo Citrix ADC con un archivo de configuración del que se ha creado previamente una copia de seguridad (ns.conf) de la misma compilación de la versión.
    • Cualquier administrador del sistema cuya contraseña no se haya cambiado en la compilación actualizada puede iniciar sesión en la compilación degradada y actualizar las contraseñas de otros usuarios del sistema.
    • Si ninguna de las opciones anteriores funciona, el administrador del sistema puede restablecer las contraseñas de usuario del sistema.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [ NSCONFIG-3188 ]

Notas de lanzamiento para la versión 13.0-71.44 de Citrix ADC
May 9, 2023
Contribución de: 
C
May 9, 2023
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.