ADC

Notas de lanzamiento para la versión 13.0-82.45 de Citrix ADC

Este documento de notas de la versión describe las mejoras y los cambios, los problemas resueltos y conocidos que existen en la versión 13.0-82.45 de Citrix ADC.

Notas

  • Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.
  • Las compilaciones 13.0-82.45 y posteriores solucionan las vulnerabilidades de seguridad descritas en https://support.citrix.com/article/CTX319135.
  • La compilación 82.45 reemplaza a la compilación 82.42.
  • Esta compilación también incluye correcciones para los siguientes problemas que existían en la compilación anterior de la versión 13.0 de Citrix ADC: NSHELP-28098, NSCONFIG-5621, NSHELP-28341.

Novedades

Las mejoras y los cambios que están disponibles en la compilación 13.0-82.45.

Dispositivo Citrix ADC SDX

  • En un dispositivo Citrix ADC SDX, al restablecer la configuración o intentar recuperar la contraseña, debe iniciar sesión con el número de serie del dispositivo como contraseña.

    [ NSSVM-4357 ]

Citrix Web App Firewall

  • Soporte para la detección basada en la gramática de Microsoft SQL (MSSQL)

    El mecanismo de detección de inyecciones SQL existente basado en la gramática se ha mejorado para admitir las consultas de Microsoft SQL Server para aplicaciones web.

    [ NSWAF-7290 ]

Otros

  • Se ha añadido compatibilidad con el tráfico SSH, SFTP y FTP en las implementaciones de proxy explícitas. Anteriormente, solo se admitía el tráfico web normal. El tráfico entrante de estos protocolos ahora está enlazado al back-end.

    [NSSWG-1272]

Redes

SSL

  • Nuevo parámetro para ignorar los registros MAC incorrectos en una sesión de DTLS

    Si se recibe un registro MAC incorrecto en una sesión de DTLS, actualmente el dispositivo ADC finaliza la sesión y envía una alerta. Como resultado, las sesiones de VDA en la nube se desconectan.

    Ahora se agrega el parámetro maxBadMacIgnoRecount al perfil DTLS para ignorar estos registros incorrectos. Con este parámetro, se ignoran los registros erróneos hasta el valor establecido en el parámetro. El dispositivo finaliza la sesión solo después de que se ha alcanzado el límite y envía una alerta.

    Esta configuración de parámetros solo es efectiva cuando el parámetro TerminateSession está activado.

    [ NSSSL-8581 ]

Sistema

  • Compatibilidad con el protocolo HTTP/3 en servidores virtuales

    El dispositivo Citrix ADC ahora admite el protocolo HTTP/3 en servidores virtuales (solo en la interfaz) para enviar varios flujos de solicitudes HTTP a través de una sola conexión. QUIC es un protocolo emergente que utiliza UDP en lugar de TCP como transporte base. El protocolo implementa una conexión confiable a través de la cual puede transmitir múltiples solicitudes HTTP. QUIC también incorpora TLS como componente integrado y no como capa adicional como en HTTP/1.1 o HTTP/2.

    Como parte de la configuración HTTP/3, para el tráfico HTTP/3, el dispositivo admite la configuración de directivas para las siguientes funciones.

    • Responder
    • Reescritura
    • Compresión HTTP
    • Almacenamiento en caché integrado
    • Firewall de aplicaciones web
    • Transformación de URL
    • SSL
    • Optimización del front-end
    • AppQoE

    Además, no se admiten las siguientes configuraciones de directivas de funciones.

    • Directiva de autenticación, autorización y auditoría
    • Administración de bots
    • AppFlow

    La configuración HTTP/3 también admite la detección de servicios HTTP/3 para servidores virtuales a fin de anunciar la disponibilidad de un punto final del servicio HTTP/3 mediante el mecanismo de servicios alternativos de HTTP.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/current-release/system/http3-over-quic-protocol.html

    [ NSBASE-11110 ]

  • Expresiones PI para hacer coincidir los campos del búfer del protocolo gRPC

    El dispositivo Citrix ADC ahora admite las siguientes funciones en gRPC:

    • Acceso a campo de búfer de protocolo gRPC. Las llamadas arbitrarias a la API gRPC ahora coinciden con el número de campo del mensaje con las nuevas expresiones PI. En la configuración de PI, las coincidencias se realizan utilizando únicamente los números de campo y la ruta de la API.
    • Filtrado de encabezados gRPC. Los parámetros “HttpProfile” para gRPC ahora se utilizan para ajustar el comportamiento predeterminado del análisis de gRPC (incluidas las expresiones PI de gRPC). Los siguientes parámetros son aplicables a las expresiones PI de gRPC:
      • Delimitación de longitud de GRP. Está habilitado de forma predeterminada y espera que los búferes de protocolo se presenten con un mensaje delimitado por longitud.
      • Límite de Refía de GRP. El valor predeterminado es 131072. Es el tamaño máximo del mensaje de búfer de protocolo en bytes.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/current-release/system/grpc/grpc-with-responder-policy-configuration.html%23policy-expressions-for-matching-grpc-protocol-buffer-fields

    [ NSBASE-10458 ]

Interfaz de usuario

  • Si actualiza su dispositivo Citrix ADC a la versión 13.0 de software, compilación 81.6 y versiones posteriores, la función CICO 40G no funciona como se esperaba.

    [ NSCONFIG-5621 ]

Problemas resueltos

Los problemas que se abordan en la compilación 13.0-82.45.

Autenticación, autorización y auditoría

  • No se puede iniciar sesión en los endpoints de Citrix Gateway mediante la URL completa marcada como favorita en el navegador del equipo del usuario si los dispositivos de punto final tienen la expresión RelayStateRule configurada en el comando SamlAction .

    Por ejemplo, si intentas iniciar sesión con la URL completa marcada como https://citrixgateway.com/citrix/storeweb en tu navegador e intentas iniciar sesión, el inicio de sesión fallará.

    [NSHELP-28098]

  • En algunos casos, la autenticación falla cuando Citrix ADC se configura como IdP de OAuth en una implementación de un sitio activo y activo de GSLB.

    [NSHELP-27651]

  • En raras ocasiones, la evaluación de la EPA podría fallar.

    [NSHELP-27333]

  • El dispositivo Citrix ADC configurado como IdP de OAuth se bloquea cuando un certificado no compatible se enlaza al punto final del certificado del dispositivo.

    [NSHELP-27248]

  • La validación del correo electrónico falla cuando se configura como el siguiente factor después del registro del ID de correo electrónico.

    [NSHELP-26905]

  • En raras ocasiones, un dispositivo Citrix Gateway descarga el núcleo al utilizar el método de autenticación OAuth para acceder al dispositivo.

    [NSHELP-26745]

  • El dispositivo Citrix Gateway se bloquea durante la autenticación de nFactor si se cumplen las siguientes condiciones.

    • WebView se usa para acceder al dispositivo Citrix Gateway.
    • Las expresiones de bloqueo se configuran en la directiva de sesión de VPN.

    [NSHELP-26433]

  • El parámetro “timeout” del comando EmailAction está en desuso. El valor predeterminado del tiempo de espera es de 180 segundos.

    [NSHELP-26424]

  • La autenticación desde la aplicación Citrix Workspace falla cuando Citrix ADC está configurado con la autenticación SAML y RelayStateRule. El inicio de sesión basado en el navegador no se ve afectado.

    [ NSAUTH-10517 ]

Administración de bots

  • Los valores de las acciones de restablecimiento y redireccionamiento se conservan en el mismo archivo de firma y no se propagan al nuevo archivo después de la actualización automática de la firma del bot.

    [ NSBOT-579 ]

  • Falta la información de la URL HTTP en el mensaje de registro generado para los tipos de infracción HOST, GEOLOCALATION y SOURCE IP durante la detección de BOT TPS.

    [ NSBOT-575 ]

  • El formato de registro de bots predeterminado se cambia si el registro del formato de eventos común (CEF) está habilitado en la configuración del Web App Firewall.

    [ NSBOT-562 ]

  • En los registros de infracciones de bots, las URL de las solicitudes de SSL se muestran como “http://” en lugar de “https://”.

    [ NSBOT-537 ]

Dispositivo Citrix ADC SDX

  • En un dispositivo Citrix ADC SDX, la actualización automática y el registro mediante “mastools” en el Servicio de administración fallan porque falta una biblioteca de módulos de Python.

    [NSSVM-4697]

  • La línea de comandos del Servicio de administración está rota y aparece el siguiente error:

    ERROR: campo de propiedad no válido

    [ NSSVM-4551 ]

  • En un dispositivo Citrix ADC SDX, es posible que no se muestre la dirección IP (NSIP) de una instancia de ADC si está configurado el rendimiento por ráfagas en esa instancia.

    [NSHELP-27133]

Citrix Gateway

  • Los usuarios finales pueden omitir los escaneos de la EPA e iniciar sesión en el dispositivo Citrix ADC mediante un script malintencionado. Se agregó una solución para la omisión de la directiva de certificados de dispositivos de la EPA. La solución se añade bajo el mando “nsapimgr” “sslvpn_toggle_devicecert_epa_validate”, que está inhabilitado de forma predeterminada. Los usuarios finales deben habilitar este botón en ADC para detener la elusión mediante un script malintencionado.

    [NSHELP-27573]

  • En algunos casos, el complemento EPA cierra la conexión si el escaneo de la EPA no se completa en el tiempo estipulado (unos 25 segundos).

    [NSHELP-27241]

  • El dispositivo Citrix Gateway podría bloquearse si ForwardSession está configurado para una subred de fondo y se accede a un servidor de la misma subred a través del túnel VPN.

    [NSHELP-27037]

  • El dispositivo Citrix Gateway puede bloquearse cuando un dispositivo multinúcleo recibe la solicitud “/broker URL” por los siguientes motivos:

    • La solicitud aterriza en un núcleo diferente del núcleo en el que se creó la sesión VPN.
    • Se utiliza una nueva cookie de autenticación, autorización y auditoría y se crea una sesión ficticia.

    [NSHELP-27008]

  • Algunos archivos de registro relacionados con Citrix Gateway no se rotan, lo que aumenta el tamaño del registro.

    [NSHELP-26767]

  • El dispositivo Citrix Gateway muestra los nombres de las directivas de sesión dañados en los registros SSLVPN NONHTTP_RESOURCEACCESS_DENIED.

    [NSHELP-26610]

  • Si el nombre de la aplicación tiene más de 20 caracteres, aparecerá truncado al conectarse a través de Citrix Gateway.

    [NSHELP-26604]

  • La URL de descarga de Citrix Receiver (archivo receiver.exe) no se descarga después de la autenticación.

    [NSHELP-26600]

  • Es posible que el dispositivo Citrix Gateway deje de responder si está configurado con una dirección IPV6 y la puerta de enlace se utiliza para proxidar el protocolo Enlightened Data Transport (EDT).

    [NSHELP-26357]

  • El dispositivo Citrix ADC puede bloquearse si se utiliza un FQDN en la configuración de acciones de syslog.

    En este caso, puede utilizar la dirección IP del servidor syslog en lugar del FQDN.

    [NSHELP-26355]

  • La página de detección del cliente RFWebUi muestra el botón Instalar en lugar del botón Detectar si está configurado un servidor virtual de conmutación de contenido.

    [NSHELP-26138]

  • Es posible que observe una discrepancia en el número total de conexiones TCP establecidas si está activado el Enlightened Data Transport (EDT).

    [NSHELP-25841]

  • El lanzamiento de una aplicación desde StoreFront a través de Citrix Gateway puede fallar si el archivo ICA generado por StoreFront supera los 2048 bytes de tamaño.

    [NSHELP-25838]

  • La página de inicio de sesión de Citrix Gateway no se carga al eliminar una partición de administración, si está configurada.

    [NSHELP-25538]

  • El dispositivo Citrix ADC puede bloquearse durante el cierre de sesión de autenticación, autorización y auditoría si el usuario inicia sesión desde Citrix Workspace.

    [NSHELP-23623]

  • Las funciones siguientes están obsoletas.

    • WinNNS: sitios que utilizan la interfaz web de Citrix ADC para acceder a las aplicaciones de Citrix Virtual Apps and Desktops.
    • WebFront: WebFront de NetScaler para acceder a StoreFront.

    Aparece una advertencia al ejecutar cualquier comando para estas funciones.

    Citrix recomienda usar StoreFront para entregar las aplicaciones Citrix Virtual Apps and Desktops.

    [CGOP-17707]

Citrix Web App Firewall

  • La expresión de registro de Web App Firewall no funciona para las comprobaciones de seguridad de XML.

    [ NSWAF-7705 ]

  • En la configuración de un clúster, el proceso “aslearn” se bloquea de forma intermitente en los nodos que no son coordinadores de configuración.

    [ NSWAF-7619 ]

  • Los datos aprendidos de aslearn no se omiten si hay caracteres especiales en los datos aprendidos del firewall de la aplicación.

    [ NSWAF-7584 ]

  • Un dispositivo Citrix ADC puede fallar si la función de reputación IP está habilitada y las expresiones de directiva están configuradas.

    [NSHELP-26983]

  • En el módulo Citrix Web App Firewall, las entradas de la tabla hash distribuida (DHT) no se liberan en el nodo principal. Este problema se produce si las sesiones del firewall de aplicaciones tienen un tiempo de espera más corto y se crean a una velocidad mayor.

    [NSHELP-26570]

  • Se observa un error en la asignación de memoria si se cumplen las siguientes condiciones:

    • El perfil Web App Firewall tiene habilitado y configurado el cierre de URL de inicio.
    • Las respuestas HTTP que se procesan constantemente contienen miles de URL únicas.

    [NSHELP-26435]

  • Un dispositivo Citrix ADC puede fallar si hay una gran cantidad de reglas de relajación de Web App Firewall en el sistema.

    [NSHELP-26074]

  • Algunas solicitudes con infracciones de seguridad no se bloquean mediante la comprobación de seguridad mediante secuencias de comandos HTML entre sitios.

    [NSHELP-24762]

  • Configurar los ajustes de proxy para la actualización automática de firmas

    Si el tráfico saliente se realiza a través de un dispositivo proxy (como bluecoat o Squid), ahora puedes configurar los ajustes de proxy para las actualizaciones automáticas de firmas.

    Comando CLI:

    set appfw settings -proxyServer <IP> -proxyPort <port>

    Ejemplo:

    establecer la configuración de appfw -ProxyServer 10.10.10.10 -ProxyPort 8080

    [NSHELP-17494]

Equilibrio de carga

  • La sincronización completa de GSLB falla si se cumplen las siguientes condiciones:

    • Agrega un servicio GSLB con un servidor basado en direcciones IP, cuya dirección IP pública y puerto públicos son utilizados por otro servicio de GSLB.
    • Ejecuta el comando “agregar servicio gslb”. En este caso, el comando falla, pero el servidor basado en direcciones IP sigue formando parte de la configuración de GSLB en ejecución.

    [NSHELP-26949]

  • El dispositivo Citrix ADC podría bloquearse si se cumplen las siguientes condiciones:

    • El tamaño de la matriz de datos es impar, por ejemplo, 3, 5, 7, 9, etc.
    • La variable local de la función estática no se establece en cero antes de utilizarla como identificador de sesión.

    [NSHELP-26312]

  • En raras ocasiones, el dispositivo Citrix ADC puede fallar al procesar paquetes ACK simples que se reciben de un sitio remoto de GSLB.

    [NSHELP-25886]

Otros

  • En un dispositivo Citrix ADC SDX, se observa un nuevo error de establecimiento de sesión SSL basado en RSA en una o más instancias de VPX si se cumplen las siguientes condiciones:

    • Las instancias VPX ejecutan la versión 12.x o 13.0 del software ADC.
    • El servicio de administración se ha actualizado a la versión 13.0 del software ADC.

    [SX-486]

  • En la configuración de un clúster, se observan los siguientes problemas después de reiniciar o actualizar un nodo de clúster, que tiene un canal LA configurado como plano base, a la versión 13.0, compilación 82.42:

    • La configuración del canal LA se pierde, lo que hace que el nodo quede inactivo si el canal se creó mediante LACP y se configuró una MTU gigante para el canal.
    • La configuración de MTU del canal LA se pierde, lo que hace que el nodo pierda los paquetes de tamaño completo si se configuró una MTU no gigante para el canal.

    [NSHELP-28341]

  • La directiva de respuesta no detecta las URL HTTP como parte del proceso de coincidencia de conjuntos de URL.

    [NSHELP-27504]

  • El dispositivo Citrix ADC puede bloquearse cuando intenta desreferenciar una estructura no asignada durante la inspección del contenido. El bloqueo se produce porque falló la asignación de memoria para ese recurso/estructura.

    [NSHELP-27358]

  • Un dispositivo Citrix ADC puede bloquearse debido a un error de punto nulo.

    [NSHELP-27021]

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen las siguientes condiciones:

    • Cambio en la expresión de directiva basada en solicitudes antes de recibir la respuesta.
    • Content Inspection no gestiona las mayúsculas y minúsculas.

    [NSHELP-26980]

Redes

  • Cuando implementa Citrix ADC CPX con Citrix Metrics Exporter como barra lateral en un clúster de Kubernetes, es necesario que la variable METRICS_EXPORTER_PORT=<port-number> environment esté expuesta. El número de puerto debe ser el mismo número de puerto que el especificado para el argumento “–port” del exportador de métricas.

    [ NSNET-21213 ]

  • En el modo CGNAT-NAT44, el dispositivo Citrix ADC podría bloquearse al recibir tráfico SIP por el siguiente motivo:

    • El módulo LSN no restablece el recuento de referencias IP emparejadas del suscriptor a cero mientras elimina los datos relacionados con el suscriptor del dispositivo.

    [NSHELP-27332]

  • En un dispositivo Citrix ADC, el comando neighbor <IPv6 neighbor> shutdown BGP no es efectivo si el vecino forma parte de un grupo de pares.

    Debido a este problema, cualquier vecino de BGP de IPv6 que se haya cerrado mediante el comando neighbor <IPv6 neighbor> shutdown se encuentra en estado activo después de reiniciar o actualizar el dispositivo.

    [NSHELP-26957]

  • Ambos nodos de una configuración de alta disponibilidad afirman ser el nodo principal si se cumple la siguiente condición:

    • Ninguna de las interfaces se encuentra en estado activo en un plazo de 3 segundos después de que el nodo principal se haya reiniciado en caliente. Este problema se debe a que no se ha establecido un tiempo de aprendizaje del conmutador para un módulo HA INIT interno.

    [NSHELP-26288]

  • En una configuración de alta disponibilidad, el nodo secundario puede bloquearse después de un reinicio si se cumplen las siguientes condiciones:

    • Hay un gran número de sesiones LSN activas en el nodo principal.
    • El proceso Pitboss reinicia los motores de paquetes al sincronizar una gran cantidad de sesiones de LSN en el nodo secundario.

    [NSHELP-26257]

Plataforma

  • El acceso de administración a la instancia de Citrix ADC VPX se pierde si ejecuta Citrix ADC VPX para AWS en tipos de instancias con una NIC del adaptador de red elástico (ENA) que se ha reiniciado en caliente.

    [ NSPLAT-20296 ]

  • En la plataforma Citrix ADC SDX 8900, la versión LOM se actualiza de 4.5x a 4.61. En las plataformas Citrix ADC SDX 15000 y SDX 26000, la versión LOM se ha actualizado de la 5.03 a la 5.56. Tras la actualización, la contraseña predeterminada de la LOM se restablece al número de serie del dispositivo para las plataformas recién fabricadas. Esta actualización corrige la vulnerabilidad descrita como CVE-2013-4786. Para obtener más información, consulte [https://support.citrix.com/article/CTX234367](https://support.citrix.com/article/CTX234367).

    [ NSPLAT-19327 ]

  • En la plataforma FIPS Citrix ADC MPX 14000, con licencias de capacidad agrupada, las cifras de rendimiento del ECC son inferiores a las publicadas cuando está habilitado el modo ECC híbrido.

    [NSHELP-27482]

  • Si modifica la suma de comprobación del núcleo proporcionada por Citrix y, a continuación, instala el núcleo, es posible que observe uno de los siguientes problemas:

    • Se completa el comando installns. Una vez reiniciado el dispositivo, informa de que no se pudo completar la instalación del núcleo y que el proceso de arranque se detiene. A continuación, debe cargar un núcleo diferente para que aparezca la caja.
    • El comando installns detecta la discordancia y detiene la instalación. Aparece un mensaje de error.

    [NSHELP-27420]

  • Al reiniciar la instancia de Citrix ADC VPX para AWS, si agrega rutas estáticas a los servidores DNS mediante una puerta de enlace que no sea la puerta de enlace predeterminada, se producen los siguientes eventos:

    • Se eliminan las rutas estáticas agregadas a los servidores DNS.
    • Las nuevas rutas estáticas se añaden mediante la puerta de enlace predeterminada.

    [NSHELP-27116]

  • Si desea configurar los nodos del clúster para que rindan, debe realizar las siguientes configuraciones adicionales en CCO:

    • Si se forma un clúster, todos los nodos muestran yield=default.
    • Si se forma un clúster con los nodos que ya están configurados en YIELD=YES, los nodos se agregan al clúster con el rendimiento DEFAULT.

    Nota: Si desea configurar los nodos del clúster en yield=YES, puede realizar las configuraciones adecuadas solo después de formar el clúster, pero no antes de que se forme el clúster.

    [NSHELP-27091]

  • En la plataforma Citrix ADC SDX, el estado del clúster puede cambiar cuando un nodo se une a un clúster. La inestabilidad se produce cuando se activa un restablecimiento implícito de la interfaz que afecta al estado del clúster.

    [NSHELP-27081]

Directivas

  • Un dispositivo Citrix ADC puede bloquearse si la expresión MATCHES() se usa en el protocolo no basado en TCP.

    [ NSHELP-26062 ]

  • El dispositivo Citrix Gateway puede bloquearse si se cumplen todas las condiciones siguientes.

    • nstrace está habilitado con una expresión de filtro
    • El registro de auditoría de depuración en un servidor de auditoría ADC externo está activado
    • Se configura una directiva de autenticación con una expresión de regla avanzada.

    [NSHELP-26045]

  • Se observa el siguiente problema si se configuran dos variables de directiva con un tiempo de caducidad diferente:

    • La eliminación del valor caducado de la variable con el tiempo de caducidad más corto podría retrasarse hasta la eliminación del valor caducado con un tiempo de caducidad más largo.

    [NSHELP-25786]

SSL

  • Si hay varias directivas SSL enlazadas en el punto de enlace Client Hello a un único servidor virtual y una directiva de ALPN o SNI es la primera directiva vinculada a la directiva, puede producirse la siguiente condición de error:

    Si el cliente no envía una solicitud de ALPN o SNI, las demás directivas vinculadas al servidor virtual no se evalúan.

    [ NSSSL-9865 ]

  • Los contadores SSL que aparecen en el resultado del comando “stat ssl” no se borran.

    [NSHELP-20966]

Sistema

  • Un dispositivo Citrix ADC cierra la conexión de un servidor aproximadamente 40 milisegundos después de cerrar la conexión del cliente con la multiplexación de conexiones inhabilitada.

    [NSHELP-26968]

  • Una medición ampliada del tiempo de ida y vuelta (RTT) podría provocar lentitud en las implementaciones de 5G. El problema se produce cuando se incluye el retraso en la cola inducido por la capa de estimulación a partir de una medición de RTT.

    [NSHELP-26755]

  • Un dispositivo Citrix ADC puede bloquearse si recibe una señal MP-FAIL de MPTCP reconocida parcialmente en una sesión MPTCP ya cerrada. El bloqueo se aplica a los servidores virtuales que tienen MPTCP activado en el perfil TCP.

    [NSHELP-26594]

  • Cuando el dispositivo Citrix ADC reescribe las opciones TCP no compatibles con la opción NOOP, algunos dispositivos de IoT o integrados pueden rechazar las conexiones TCP del dispositivo.

    [NSHELP-25767]

  • Un dispositivo Citrix ADC puede fallar durante la configuración clara si se cumplen las siguientes condiciones:

    • La dirección IP de un servicio se cambia cuando el servicio está enlazado a un servidor virtual.
    • El mismo servidor virtual se utiliza como recopilador en un perfil de análisis.

    [ NSBASE-11511 ]

Interfaz de usuario

  • Los enlaces predeterminados de la directiva de compresión de nivel HTTP fallan tras configurar el protocolo HTTP_QUIC.

    [NSUI-17729]

  • La configuración de optimización de interfaz (FEO) de la GUI de Citrix ADC no admite HTTP/3 sobre tráfico QUIC. Sin embargo, la configuración funciona bien en la interfaz de comandos Citrix ADC.

    [ NSUI-17616 ]

  • En una configuración de alta disponibilidad, las configuraciones con varias contraseñas pueden fallar en el nodo secundario durante un proceso de sincronización de alta disponibilidad por el siguiente motivo:

    Si se omite alguna de las contraseñas de la secuencia, se produce un error en el siguiente descifrado de la contraseña en el nodo secundario. El descifrado falla porque busca la KEK local del primario, que no está presente en el nodo secundario.

    [NSHELP-27797]

  • Es posible que la sincronización de la configuración de GSLB no sincronice los comandos con identificadores de usuario (UID) largos.

    [NSHELP-27328]

  • En una configuración de alta disponibilidad, la propagación del HA puede fallar si se cumplen todas las condiciones siguientes:

    • La opción Validar certificado (validatecert) del nodo RPC se establece en SÍ y, a continuación, en NO.
    • El certificado CA no está configurado

    [NSHELP-27315]

  • La sincronización incremental de GSLB falla al ejecutar los comandos “enable gslb servicegroup” o “disable gslb servicegroup”. Como resultado, se inicia la sincronización de la configuración completa de GSLB.

    [NSHELP-27079]

  • La importación de un certificado en una partición de administración puede fallar de forma incorrecta y mostrar el siguiente mensaje:

    ERROR: El usuario no tiene permiso para una ruta de destino determinada

    [NSHELP-26918]

  • En la configuración de un clúster Citrix ADC BLX, el comando “sincronizar archivos del clúster” puede fallar debido a un error interno.

    [ NSCONFIG-4968 ]

Optimización de vídeo

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen todas las condiciones siguientes:

    • La interfaz GX está configurada.
    • Los informes de sesiones de GX están configurados.
    • El comando “borrar sesiones de suscriptor” se activa cuando hay un mensaje de CCA pendiente de recibir del servidor GX.

    [NSHELP-27474]

Problemas conocidos

Los problemas que existen en la versión 13.0-82.45.

Autenticación, autorización y auditoría

  • Al enlazar un monitor LDAP a un servicio, el monitor se desactiva porque el dispositivo Citrix ADC envía una contraseña incorrecta al active directory.

    [ NSHELP-27961 ]

  • En un AD de varias cascadas, la cuenta de un usuario no se bloquea si no se encuentra a un usuario en la última cascada.

    [ NSHELP-27948 ]

  • Cuando se configura un dispositivo Citrix ADC para la autenticación SAML, el dispositivo vuelca el núcleo al utilizar un certificado que no sea RSA.

    [ NSHELP-27813 ]

  • Los atributos de cookie de SameSite no se agregan a las cookies de autenticación si un dispositivo Citrix ADC está configurado para la autenticación basada en 401.

    [ NSHELP-27764 ]

  • El perfil Web App Firewall no funciona como se esperaba debido a un error de dependencia de SQLite en Citrix ADC versión 13.0, compilación 67.x y versiones posteriores.

    [NSHELP-27458]

  • En algunos casos, una solicitud HTTP POST a un servidor virtual de autenticación, autorización y auditing-TM se procesa de forma incorrecta si la solicitud no tiene una cookie de autenticación. El cuerpo POST se pierde durante el procesamiento.

    [ NSHELP-27227 ]

  • Se rellena un nombre de dominio SSO incorrecto para el usuario que inició sesión si se usa Autenticación, autorización y auditoría.USUARIO.DOMINIO en la expresión.

    [ NSHELP-26443 ]

  • En algunos casos, el comando Vincular autenticación, autorización y grupo de auditoría puede fallar si el nombre de la directiva es más largo que el nombre de la aplicación de la intranet.

    [NSHELP-25971]

  • Un dispositivo Citrix ADC no autentica los intentos de inicio de sesión con contraseñas duplicadas y evita los bloqueos de cuentas.

    [ NSHELP-563 ]

  • La comprobación de conectividad de red falla debido a un problema de descifrado de contraseñas. Sin embargo, la funcionalidad de autenticación funciona bien.

    [ NSAUTH-10216 ]

  • LoginSchema de DualAuthPushOrOTP.xml no aparece correctamente en la pantalla del editor de esquemas de inicio de sesión de la GUI de Citrix ADC.

    [ NSAUTH-6106 ]

  • El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando.
    show adfsproxyprofile <profile name>

    Solución temporal: Conéctese al Citrix ADC activo principal del clúster y ejecute el comando show adfsproxyprofile <profile name>. Mostraría el estado del perfil de proxy.

    [ NSAUTH-5916 ]

Almacenamiento en caché

  • Se envía una información de encabezado adicional en la respuesta de caché si el parámetro ‘insertAge’ está activado en el comando ‘set cache contentGroup’.

    [ NSHELP-27772 ]

  • Un dispositivo Citrix ADC podría bloquearse si los valores de los parámetros “max_age” y “s_maxage” no están configurados de forma dinámica en el bloque de control de la caché.

    [ NSHELP-27758 ]

  • En una configuración de alta disponibilidad, el nodo principal se bloquea después de acceder a un puntero NULL en lugar de a un objeto almacenado en caché.

    [ NSHELP-26967 ]

  • Es posible que un dispositivo Citrix ADC se bloquee si la función Almacenamiento en caché integrado está habilitada y el dispositivo tiene poca memoria.

    [ NSHELP-22942 ]

Dispositivo Citrix ADC SDX

  • En un dispositivo Citrix ADC SDX, si el CLAG se crea en una NIC Mellanox, la MAC de CLAG cambia cuando se reinicia la instancia VPX. El tráfico a la instancia VPX se detiene tras el reinicio porque la tabla MAC tiene la antigua entrada MAC de CLAG.

    [ NSSVM-4333 ]

  • En un dispositivo Citrix ADC SDX, el valor predeterminado para activar la alarma en caso de “Uso elevado del disco del hipervisor” aumenta al 98%.

    [ NSHELP-27854 ]

  • En un dispositivo Citrix ADC SDX, Management Service puede reportar un uso elevado de memoria de alrededor del 80% debido al aumento de los trabajos y programadores que se ejecutan en el inventario.

    [ NSHELP-27805 ]

  • En un dispositivo Citrix ADC SDX, se muestra una interfaz que forma parte de un canal de administración junto con el canal de administración si se cumple esta secuencia de condiciones:

    1. La instancia VPX forma parte de un clúster.
    2. Se crea el canal de gestión.

    [ NSHELP-27487 ]

  • En un dispositivo Citrix ADC SDX, Management Service puede reportar un uso elevado de memoria de alrededor del 80% debido al aumento de los trabajos y programadores que se ejecutan en el inventario.

    [ NSHELP-27396 ]

Citrix Gateway

  • El dispositivo Citrix ADC se bloquea al procesar el tráfico de carga útil de seguridad encapsulante (ESP) entrante y no se encuentra la asociación de seguridad (SA).

    [ NSHELP-27991 ]

  • Si se produce un error de JavaScript durante el inicio de sesión debido a un error de red, los intentos de inicio de sesión posteriores fallan con el mismo error de JavaScript.

    [NSHELP-27912]

  • Tras el establecimiento del túnel, en lugar de agregar rutas del servidor DNS con la dirección IP de la puerta de enlace anterior, el plug-in de Windows agrega las rutas con la dirección de puerta de enlace predeterminada.

    [NSHELP-27850]

  • En casos excepcionales, la página del portal de Citrix Gateway no muestra el botón Descargar para el complemento EPA en el explorador Internet Explorer.

    [ NSHELP-27849 ]

  • Al acceder al dispositivo Citrix Gateway mediante la VPN sin cliente, es posible que se genere un volcado de memoria.

    [ NSHELP-27653 ]

  • El dispositivo Citrix Gateway puede bloquearse si se bloquea la sincronización y se modifica la configuración de la directiva de conmutación de contenido.

    [ NSHELP-27570 ]

  • Un dispositivo Citrix ADC puede bloquearse mientras procesa el tráfico UDP.

    [ NSHELP-27536 ]

  • El archivo de marcadores personales de los usuarios no se puede copiar de un dispositivo Citrix Gateway a otro dispositivo.

    [ NSHELP-27389 ]

  • El dispositivo Citrix Gateway se reinicia de forma inesperada debido a la inundación de mensajes de registro SSL VPN en el archivo local ns.log cuando se habilita Gateway Insight.

    [ NSHELP-27040 ]

  • Los registros de Citrix ADC pueden aparecer inundados con el mensaje de registro “GWINsight: FUNC=NS_SSLVPN_SEND_APP_Launch_Fail_Record La evaluación de la directiva de Appflow ha fallado” cuando Gateway Insight está habilitado.

    [ NSHELP-26750 ]

  • La GUI de Citrix Gateway muestra el mensaje “IP o puerto no válidos” al editar un perfil de sesión de VPN.

    [ NSHELP-26722 ]

  • Al introducir el FQDN como proxy en la página Crear perfil de tráfico de Citrix Gateway, aparece el mensaje “Valor de proxy no válido”.

    [ NSHELP-26613 ]

  • El complemento VPN para Windows muestra información incorrecta en la pantalla de credenciales de Windows cuando la red cambia.

    [NSHELP-26562]

  • El dispositivo Citrix ADC se bloquea si se produce alguna de las siguientes condiciones:

    • La acción syslog se configura con el nombre de dominio y usted borra la configuración mediante la GUI o la CLI.
    • La sincronización de alta disponibilidad se produce en el nodo secundario.

    Solución temporal:

    Cree una acción syslog con la dirección IP del servidor syslog en lugar del nombre de dominio del servidor syslog.

    [ NSHELP-25944 ]

  • Al crear un perfil de cliente RDP mediante la GUI de Citrix ADC, aparece un mensaje de error cuando se cumplen las siguientes condiciones:

    • Se ha configurado una clave previamente compartida (PSK) predeterminada.
    • Intenta modificar el temporizador de validez de la cookie de RDP en el campo Validez de cookies de RDP (segundos).

    [ NSHELP-25694 ]

  • El plug-in de puerta de enlace VPN de Windows no descarta los paquetes DNS IPv6, lo que da lugar a problemas con la resolución de DNS.

    [NSHELP-25684]

  • El OID de SNMP envía un conjunto incorrecto de conexiones actuales al servidor virtual VPN.

    [ NSHELP-25596 ]

  • El dispositivo Citric ADC se bloquea cuando varios clientes de complementos de VPN utilizan certificados X.509 de un tamaño de 1800 bytes o más para configurar un túnel.

    [ NSHELP-25195 ]

  • Gateway Insight no muestra información precisa sobre los usuarios de VPN.

    [ NSHELP-23937 ]

  • El resultado del comando “show tunnel global” incluye nombres de directivas avanzados. Anteriormente, el resultado no mostraba los nombres de directivas avanzadas.

    Ejemplo:

    Nuevo resultado:

    
     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    Resultado anterior:

    
     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [ NSHELP-23496 ]

  • La latencia ICA de una sesión se registra incorrectamente como 64 000 ms en Citrix Director cuando la latencia L7 está habilitada. La latencia L7 se habilita cuando el mando “nsapimgr” “enable_ica_l7_latency” está configurado en 1.

    Solución alternativa: defina la frecuencia de latencia L7 en 5 mediante la CLI o la GUI.

    [ NSHELP-23459 ]

  • Si ha configurado la contabilidad RADIUS para el evento de inicio/parada de ICA, el ID de sesión en la solicitud de cuenta RADIUS para el inicio de ICA se muestra con ceros.

    [ NSHELP-22576 ]

  • A veces, al navegar por los esquemas, aparece el mensaje de error “No se puede leer la propiedad ‘tipo’ indefinida”.

    [ NSHELP-21897 ]

  • La salida “mostrar mensajes de auditoría” no muestra los registros más recientes si se modifica el servidor syslog en los parámetros globales de syslog.

    [ NSHELP-19430 ]

Citrix Web App Firewall

  • En una configuración de clúster de Citrix ADC, uno de los nodos se bloquea si uno o más nodos se actualizan desde la versión 12.0, 12.1 o 13.0 compilación 52.x o versiones anteriores de Citrix ADC. El bloqueo se produce debido a una incompatibilidad en el formato y el tamaño de las cookie de Web App Firewall.

    [ NSWAF-7689 ]

  • El motor de aprendizaje de Citrix Web App Firewall aprende las reglas de formato de campo solo cuando se observa una infracción.

    [ NSWAF-7677 ]

  • La función de secuestro de cookie tiene un soporte limitado para el navegador Internet Explorer (IE) porque los navegadores IE no reutilizan las conexiones SSL. Debido a esta limitación, se envían varios redireccionamientos para una solicitud, lo que finalmente provoca el error “SE HA SUPERADO EL MÁXIMO DE REDIRECCIONAMIENTOS” en el navegador IE.

    [ NSHELP-27193 ]

  • Tras una actualización a Citrix ADC versión 13.0 compilación 76.29 y con la función Carga de archivos habilitada en el dispositivo, se observa el siguiente problema:

    • Las comprobaciones de protección de SQL y XSS bloquean el proceso de carga de archivos para todas las aplicaciones web.

    [ NSHELP-27140 ]

Equilibrio de carga

  • En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.

    [ NSLB-7679 ]

  • En una configuración de GSLB, el estado de los servicios remotos no se actualiza una vez que se borran las estadísticas en el sitio de GSLB. Como solución alternativa, vuelva a borrar las estadísticas en el mismo sitio de GSLB. A continuación, se actualiza el estado de los servicios remotos.

    [ NSHELP-28169 ]

  • El valor cookieTimeout se establece incorrectamente durante la operación GET, lo que provoca un error en la operación de actualización del servidor virtual de CS.

    [ NSHELP-27979 ]

  • En algunos casos, un dispositivo Citrix ADC puede bloquearse cuando se emite el comando show running configuration.

    [ NSHELP-27815 ]

  • En una configuración de clúster, cuando uno o más nodos pasan al estado “INACTIVO”, es posible que el nodo de respaldo no pueda unirse al grupo de nodos del clúster. Este error provoca que algunas funciones de Citrix ADC fallen.

    [ NSHELP-27664 ]

  • Un dispositivo Citrix ADC puede no insertar un identificador de paquete adecuado en las respuestas cuando se reciben solicitudes de radio canalizadas. Debido a este problema, el cliente recibe una respuesta no válida.

    [ NSHELP-27391 ]

  • En una configuración de alta disponibilidad, el nodo secundario podría bloquearse si se cumplen las siguientes condiciones:

    • La cantidad de memoria física de ambos nodos es diferente entre sí.
    • Las sesiones de datos no se sincronizan correctamente.

    Solución alternativa:
    mantenga la misma cantidad y al menos 4 GB de memoria física en ambos nodos de HA.

    [ NSHELP-26503 ]

  • En una configuración de clúster, la dirección IP del servicio GSLB no se muestra en la GUI cuando se accede a ella a través de enlaces de servidores virtuales GSLB. Esto es solo un problema de visualización y no afecta a la funcionalidad.

    [ NSHELP-20406 ]

Redes

  • Después de actualizar un dispositivo Citrix ADC BLX a la versión 13.1 compilación 4.x, es posible que el firewall de aplicaciones web bloquee incorrectamente una solicitud que no tiene encabezado de tipo de contenido.

    Solución alternativa: ejecute los siguientes comandos en la CLI de Citrix ADC BLX:

    • “agregar appfw JsonContentType “^application/json$” -isRegex REGEX”
    • “add appfw URLEncodedFormContentType “application/x-www-form-urlencoded” -isRegex NOTREGEX”
    • “add appfw URLEncodedFormContentType “application/x-www-form-urlencoded. *” -es Regex REGEX”
    • “agregar appfw multipartFormContentType “multipart/form-data” -isRegex NOTREGEX”
    • “add appfw multipartFormContentType “multipart/form-data. *” -es Regex REGEX”
    • “agregar appfw XmlContentType”. */xml” -isRegex REGEX”
    • “agregar appfw xmlContentType “./. +xml” -isRegex REGEX”
    • “agregar appfw XmlContentType”. /xml-. “-es Regex REGEX”

    [ NSNET-21415 ]

  • En un dispositivo Citrix ADC BLX, es posible que la NSVLAN enlazada con interfaces etiquetadas que no sean de dpdk no funcione como se esperaba. La NSVLAN enlazada con interfaces no dpdk sin etiquetar funciona bien.

    [ NSNET-18586 ]

  • Tras una actualización de la versión 13.0 61.x del dispositivo Citrix ADC BLX a la versión 13.0 64.x, se pierde la configuración del archivo de configuración BLX. El archivo de configuración de BLX se restablece a los valores predeterminados.

    [ NSNET-17625 ]

  • Las siguientes operaciones de interfaz no son compatibles con las interfaces X710 10G (i40e) de Intel en un dispositivo Citrix ADC BLX con DPDK:

    • Disable
    • Enable
    • Restablecer

    [ NSNET-16559 ]

  • En un host Linux basado en Debian (Ubuntu versión 18 y versiones posteriores), un dispositivo Citrix ADC BLX siempre se implementa en modo compartido, independientemente de la configuración del archivo de configuración de BLX (“/etc/blx/blx.conf”). Este problema se debe a que “mawk”, que está presente de forma predeterminada en los sistemas Linux basados en Debian, no ejecuta algunos de los comandos awk presentes en el archivo “blx.conf”.

    Solución alternativa: instale “gawk” antes de instalar un dispositivo Citrix ADC BLX. Puede ejecutar el siguiente comando en la CLI del host de Linux para instalar “gawk”:

    • apt-get install gawk

    [ NSNET-14603 ]

  • La instalación de un dispositivo Citrix ADC BLX podría fallar en un host Linux basado en Debian (versión 18 y posteriores de Ubuntu) con el siguiente error de dependencia:

    “Los siguientes paquetes tienen dependencias incumplidas: blx-core-libs:i386: PreDepends: libc6:i386 (>= 2.19) pero no se puede instalar”

    Solución temporal: ejecute los siguientes comandos en la CLI del host de Linux antes de instalar un dispositivo Citrix ADC BLX:

    • dpkg — agregar arquitectura i386
    • actualización apt-get
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [ NSNET-14602 ]

  • En un dispositivo Citrix ADC, la capa de controladores internos puede utilizar un búfer de datos incorrecto que provoque daños en los datos, lo que a su vez provoca que el dispositivo se bloquee.

    [ NSHELP-27858 ]

  • La instancia de Citrix ADC VPX puede bloquearse si se cumplen las siguientes condiciones:

    • Hay un número elevado de conexiones de datos FTP.
    • Se produce una conmutación por error en el dispositivo Citrix ADC.
    • Se borra una conexión NATPCB del lado del cliente o del servidor.

    [ NSHELP-27816 ]

  • Problema solucionado:

    Citrix ADC CPX implementado como sidecar y conectado a varias redes no pudo elegir la dirección IP de origen correcta para la subred de destino.

    [ NSHELP-27810 ]

  • En una configuración de alta disponibilidad, la sincronización de alta disponibilidad puede fallar en las configuraciones del perfil WAF y del archivo de ubicación.

    [ NSHELP-27546 ]

  • En una configuración de alta disponibilidad, las sesiones de usuario VPN se desconectan si se cumple la siguiente condición:

    • Si se realizan dos o más operaciones de failover manual de alta disponibilidad sucesivas cuando la sincronización de alta disponibilidad está en curso.

    Solución temporal: Realice sucesivas conmutaciones por error de HA manuales solo después de que se haya completado la sincronización de HA (ambos nodos se encuentran en el estado de sincronización correcta).

    [ NSHELP-25598 ]

Plataforma

  • El dispositivo Citrix ADC genera alertas de límite de velocidad de paquetes falsos por segundo (PPS) incluso antes de que el dispositivo Citrix ADC alcance su límite de PPS para la licencia.

    [ NSHELP-26935 ]

Directivas

  • Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.

    Solución temporal: Establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

    [ NSPOLICY-1267 ]

SSL

  • En un clúster heterogéneo de dispositivos Citrix ADC SDX 22000 y Citrix ADC SDX 26000, se produce una pérdida de configuración de entidades SSL si se reinicia el dispositivo SDX 26000.

    Solución temporal:

    1. En el CLIP, inhabilite SSLv3 en todas las entidades SSL nuevas y existentes, como servidores virtuales, servicios, grupos de servicios y servicios internos. Por ejemplo: set ssl vserver <name> -SSL3 DISABLED.
    2. Guarde la configuración.

    [ NSSSL-9572 ]

  • El comando Actualizar no está disponible para los siguientes comandos de adición:

    • agregar aplicación azure
    • add azure keyvault
    • agregar ssl certkey con la opción hsmkey

    [ NSSSL-6484 ]

  • No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

    [ NSSSL-6478 ]

  • Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo Citrix ADC no devuelve ningún error.

    [ NSSSL-6213 ]

  • El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM.
    ERROR: actualización de crl inhabilitada

    [ NSSSL-6106 ]

  • La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster (esta opción no se puede inhabilitar).

    [ NSSSL-4427 ]

  • Si intenta cambiar el protocolo SSL o el cifrado del perfil SSL, aparece un mensaje de advertencia incorrecto, titulado “Advertencia: no hay cifrados utilizables configurados en el servidor o servicio SSL”.

    [ NSSSL-4001 ]

  • En una configuración de alta disponibilidad, la actualización automática de CRL falla de forma intermitente si se cumplen las dos condiciones siguientes:

    • Los archivos se sincronizan del nodo principal al nodo secundario.
    • El archivo CRL se está descargando del servidor CRL al mismo tiempo.

    [ NSHELP-27435 ]

  • El nombre del certificado de CA que emitió la CRL se corta en 32 caracteres, aunque el nombre de la clave de certificado puede tener hasta 64 caracteres. Este problema se produce porque el campo CRL tiene un límite de 32 caracteres.

    [ NSHELP-26986 ]

Sistema

  • Si el tamaño del encabezado recibido es mayor que el tamaño máximo de la tabla de encabezados, el dispositivo restablece el tamaño de la tabla como cero. Como resultado, las solicitudes HTTP2 fallan después de algunas solicitudes.

    Solución alternativa: configure el tamaño de la tabla de encabezados para que sea mayor o igual al tamaño máximo del encabezado.

    [ NSHELP-27977 ]

  • Si ADM tiene transacciones pendientes en la cola, informa aleatoriamente de una alerta crítica para el uso elevado de memoria.

    [ NSHELP-27913 ]

  • Es posible que un dispositivo Citrix ADC se bloquee con una respuesta ICAP OPTIONS. El problema se produce cuando el valor de encabezado permitido contiene un valor distinto de 204.

    [ NSHELP-27879 ]

  • En AppFlow, el recuento de bytes de capa 4 para los registros de flujo no coincide con las transacciones del servidor virtual HTTP. El valor de recuento es inferior al valor de recuento de bytes del servidor virtual de capa 7.

    [ NSHELP-27495 ]

  • El contador tcpCurClientConn muestra un valor alto si el dispositivo Citrix ADC está registrado en Citrix ADM.

    [ NSHELP-27463 ]

  • El aumento de las retransmisiones de paquetes se observa en las implementaciones de clúster MPTCP en la nube pública si el conjunto de enlaces está inhabilitado.

    [ NSHELP-27410 ]

  • Un dispositivo Citrix ADC podría enviar un paquete TCP no válido junto con opciones TCP como bloques SACK, marca de tiempo y ACK de datos MPTCP en conexiones MPTCP.

    [ NSHELP-27179 ]

  • Se observa una discrepancia en los registros de Logstream en el dispositivo Citrix ADC y en el cargador de datos.

    [ NSHELP-25796 ]

Interfaz de usuario

  • En la GUI de Compression Policy Manager, no se puede enlazar una directiva de compresión a un protocolo HTTP especificando un punto de enlace y un tipo de conexión pertinentes.

    [ NSUI-17682 ]

  • El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

    Solución temporal: Configure los conectores de Cloudbridge agregando perfiles IPSec, túneles IP y reglas de PBR mediante la GUI o CLI de Citrix ADC.

    [ NSUI-13024 ]

  • Es posible que se pierda la configuración si una instancia VPX en AWS, configurada con KEK, se actualiza a Citrix ADC versión 13.0 compilación 76.x o posterior. Todos los datos confidenciales cifrados mediante KEK fallan si la configuración se carga después de reiniciar.

    [ NSHELP-28010 ]

  • Después de actualizar una configuración de alta disponibilidad o una configuración de clúster a la versión 13.0 compilación 74.14 o posterior, la sincronización de la configuración podría fallar por la siguiente razón:

    • Las claves privadas y públicas “ssh_host_rsa_key” son un par incorrecto.

    Solución alternativa: vuelva a generar “ssh_host_rsa_key”. Para obtener más información, consulte https://support.citrix.com/article/CTX322863.

    [ NSHELP-27834 ]

  • Se introduce incorrectamente un carácter de barra invertida adicional si se utilizan caracteres especiales dentro de los argumentos de algunos comandos SSL, como “create ssl rsakey” y “create ssl cert”.

    [ NSHELP-27378 ]

  • En una configuración de alta disponibilidad, la sincronización de alta disponibilidad o la propagación de alta disponibilidad pueden fallar si se cumple alguna de las siguientes condiciones:

    • La contraseña del nodo RPC tiene caracteres especiales.
    • La contraseña del nodo RPC tiene 127 caracteres (caracteres máximos permitidos).

    [ NSHELP-27375 ]

  • En un dispositivo Citrix ADC VPX, una operación de configuración de capacidad puede fallar tras agregar un servidor de licencias. El problema se produce porque los componentes relacionados con Flexera tardan más en inicializarse debido al gran número de licencias admitidas de tipo check-in y check-out (CICO)

    [ NSHELP-23310 ]

  • La carga y adición de un archivo de lista de revocación de certificados (CRL) produce un error en la configuración de una partición de administración.

    [ NSHELP-20988 ]

  • Si un dispositivo Citrix ADC BLX tiene licencia mediante Citrix ADM, es posible que se produzca un error en las licencias tras actualizar el dispositivo a la versión 13.0 compilación 83.x.

    Solución alternativa: actualice primero Citrix ADM a la versión 13.0, compilación 83.x o posterior, antes de actualizar el dispositivo Citrix ADC BLX.

    [ NSCONFIG-4834 ]

  • Al cambiar una versión 13.0-71.x de un dispositivo Citrix ADC a una versión anterior, es posible que algunas API de Nitro no funcionen debido a los cambios en los permisos del archivo.

    Solución alternativa: cambie el permiso de “/nsconfig/ns.conf” a 644.

    [ NSCONFIG-4628 ]

  • A veces, las firmas del firewall de la aplicación tardan mucho en sincronizarse con los nodos que no son de CCO. Como resultado, los comandos que utilizan estos archivos pueden fallar.

    [ NSCONFIG-4330 ]

  • Si usted (administrador del sistema) realiza todos los pasos siguientes en un dispositivo Citrix ADC, es posible que los usuarios del sistema no inicien sesión en el dispositivo Citrix ADC degradado.

    1. Actualice el dispositivo Citrix ADC a una de las compilaciones:

      • 13.0 52.24 compilación
      • 12.1 57,18 compilación
      • 11.1 65.10 compilación
    2. Agregar un usuario del sistema o cambiar la contraseña de un usuario del sistema existente y guardar la configuración, y
    3. Rebaja la versión del dispositivo Citrix ADC a cualquier versión anterior.

    Para mostrar la lista de estos usuarios del sistema mediante la CLI:
    En la línea de comandos, escriba:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solución temporal:

    Para solucionar este problema, utilice una de las siguientes opciones independientes:

    • Si el dispositivo Citrix ADC aún no se ha rebajado (paso 3 de los pasos mencionados anteriormente), revierta la versión del dispositivo Citrix ADC con un archivo de configuración del que se ha creado previamente una copia de seguridad (ns.conf) de la misma compilación de la versión.
    • Cualquier administrador del sistema cuya contraseña no se haya cambiado en la compilación actualizada puede iniciar sesión en la compilación degradada y actualizar las contraseñas de otros usuarios del sistema.
    • Si ninguna de las opciones anteriores funciona, el administrador del sistema puede restablecer las contraseñas de usuario del sistema.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [ NSCONFIG-3188 ]

Notas de lanzamiento para la versión 13.0-82.45 de Citrix ADC