ADC

Notas de lanzamiento para la versión 13.0-88.16 de NetScaler ADC

Este documento de notas de la versión describe las mejoras y los cambios, los problemas resueltos y conocidos que existen en la versión 13.0-88.16 de NetScaler ADC.

Notas

  • Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.
  • Las compilaciones 13.0-88.12 y posteriores solucionan las vulnerabilidades de seguridad descritas en https://support.citrix.com/article/CTX463706.
  • La compilación 88.16 reemplaza a la compilación 88.14 y la compilación 88.12.
  • La compilación 88.16 incluye correcciones para los siguientes problemas: NSHELP-33250, NSHELP-33345 y NSHELP-33063.
  • La compilación 88.14 incluía una solución para el siguiente problema que existía en la compilación anterior de NetScaler ADC 13.0: NSHELP-32907.

Novedades

Las mejoras y los cambios que están disponibles en la compilación 13.0-88.16.

Sistema

  • Se agregó un nuevo parámetro en el perfil HTTP

    Se agrega un nuevo parámetro passProtocolUpgrade al perfil HTTP para evitar ataques a los servidores del back-end. Según el estado de este parámetro, el encabezado de actualización se pasa a la solicitud enviada al servidor de fondo o se elimina antes de enviar la solicitud.

    • Si el parámetro passProtocolUpgrade está activado, el encabezado de actualización se pasa al back-end. El servidor acepta la solicitud de actualización y la notifica en su respuesta.
    • Si este parámetro está inhabilitado, se elimina el encabezado de actualización y la solicitud restante se envía al back-end.

    El parámetro passProtocolUpgrade se agrega a los siguientes perfiles:

    • nshttp_default_profile HABILITADO de forma predeterminada
    • nshttp_default_strict_validation INHABILITADO de forma predeterminada
    • nshttp_default_internal_apps INHABILITADO de forma predeterminada
    • nshttp_default_http_quic_profile HABILITADO de forma predeterminada

    Citrix recomienda inhabilitar este parámetro de forma predeterminada. Para obtener más información, consulte la Guía de implementación segura de NetScaler ADC.

    [ NSBASE-17423 ]

Interfaz de usuario

  • Compatibilidad con licencias de grupos autogestionados

    El dispositivo NetScaler ADC ahora admite la licencia Self Managed Pool, que simplifica y automatiza la carga de archivos de licencia al servidor de licencias después de la compra. Puede usar NetScaler ADM para crear un marco de licencias que incluya un ancho de banda común o vCPU y el grupo de instancias.

    [ NSCONFIG-6592 ]

Problemas resueltos

Los problemas que se abordan en la compilación 13.0-88.16.

Autenticación, autorización y auditoría

  • El dispositivo NetScaler ADC deja de procesar las solicitudes debido a una pérdida de memoria en el módulo MEM_SSLVPN.

    [ NSHELP-32646 ]

  • La acción de autenticación NO_AUTHN no persiste después de reiniciar un dispositivo NetScaler ADC si el dispositivo tiene la licencia de edición estándar.

    [ NSHELP-32522 ]

  • La página de inicio de sesión de autenticación de NetScaler Gateway Duo no se carga con temas que no sean de RFWebUI.

    [ NSHELP-32463 ]

  • Al registrar el dispositivo en el dispositivo NetScaler Gateway, aparece el mensaje “Error en el registro push” para Citrix Secure Access (Citrix SSO).

    [ NSHELP-32461 ]

  • A veces, la autenticación en Gateway mediante la aplicación Citrix Workspace no se realiza correctamente.

    [ NSHELP-32333 ]

  • La autenticación SAML falla si la función de directiva de seguridad del contenido (CSP) está habilitada en el dispositivo NetScaler ADC.

    [ NSHELP-32203 ]

  • El dispositivo NetScaler ADC elimina el sufijo del conjunto de caracteres en el encabezado Content-Type y envía Content-Type: application/x-www-form-urlencoded si ha configurado las dos opciones siguientes.

    • Autenticación basada en formularios de SSO
    • nsapimgr knob - nsapimgr_wr.sh -ys call=ns_formsso_use_ctype_simple_enable knob

    [ NSHELP-31977 ]

  • El dispositivo NetScaler ADC se bloquea si la URL de ADFSPIP está configurada como “http://”. ADFSPIP solo admite los tipos de URL “https://”.

    [ NSHELP-29838 ]

  • El dispositivo NetScaler ADC se bloquea si se cumplen las dos condiciones siguientes.

    • La OTP de correo electrónico está configurada
    • El servidor de correo electrónico no responde o hay un problema de red con el servidor de correo electrónico

    [ NSHELP-26137, NSHELP-27824 ]

Almacenamiento en caché

  • Un dispositivo NetScaler ADC se bloquea cuando el contenido almacenado en caché se entrega a los clientes.

    [ NSHELP-31760 ]

  • Es posible que un dispositivo NetScaler ADC se bloquee si la función Almacenamiento en caché integrado está habilitada y el dispositivo tiene poca memoria.

    [ NSHELP-22942 ]

Dispositivo NetScaler ADC SDX

  • También se realizan copias de seguridad de algunos archivos de configuración del módulo de seguridad de hardware (HSM) redundantes cuando se hacen copias de seguridad de las instancias de NetScaler ADC VPX mediante SDX y ADM.

    [ NSHELP-32539 ]

  • El dispositivo NetScaler ADC SDX no envía capturas SNMP para el uso del disco del hipervisor a NetScaler ADM.

    [ NSHELP-32323 ]

  • En un dispositivo NetScaler ADC SDX, la lista de redes VLAN permitidas no se actualiza con el valor correcto para las interfaces Mellanox asignadas a una instancia de NetScaler ADC VPX.

    [ NSHELP-31849 ]

  • Al actualizar un dispositivo Citrix SDX, aunque la versión del hipervisor sea la misma para la versión actual y la actualizada de SDX, se notifica el siguiente suceso incorrecto en la GUI de Management Service:

    No coinciden las versiones del SVM y el hipervisor

    [ NSHELP-31769 ]

  • La instalación de un certificado SSL en un dispositivo NetScaler ADC SDX falla si el nombre del certificado o el nombre de la clave contienen algún espacio.

    [ NSHELP-31711 ]

  • A veces, se produce un error al cargar el archivo de script posterior a la instalación (postinst.sh) al hipervisor Citrix durante la actualización de la plataforma, al actualizar el firmware del dispositivo NetScaler ADC SDX de la 13.0 a la 13.1.

    [ NSHELP-31125 ]

Citrix Gateway

  • El dispositivo NetScaler ADC se bloquea si se habilitan una de las funciones de Gateway Insight y Web Insight o ambas.

    [ NSHELP-33345 ]

  • A veces, el proxy RDP no funciona en presencia de un agente de conexiones.

    [ NSHELP-33063 ]

  • El dispositivo NetScaler Gateway podría bloquearse si HDX Insight está activado y el usuario inicia sesión en StoreFront inmediatamente después de cerrar sesión.

    [ NSHELP-32907, NSHELP-33079, NSHELP-33289 ]

  • El escaneo EPA de direcciones MAC basado en patentes no funciona junto con el escaneo del certificado del dispositivo en el mismo factor.

    [ NSHELP-32760 ]

  • El cuadro de diálogo “Transferir inicio de sesión” no muestra el botón Transferir.

    [ NSHELP-32614 ]

  • El dispositivo NetScaler ADC se bloquea al gestionar la solicitud de cierre de sesión POST /CitrixAuthService/AuthService.asmx del servidor StoreFront cuando la URL de devolución de llamada está configurada en StoreFront.

    [ NSHELP-32207 ]

  • En una configuración de clúster, el dispositivo NetScaler ADC se bloquea al enviar la solicitud CGP_FINISH_REQUEST al cliente.

    [ NSHELP-32029 ]

  • Cuando se inician las sesiones UDP, parecen existir conexiones obsoletas incluso después de cerrar las sesiones. Sin embargo, estas no son conexiones obsoletas en realidad, sino de un problema con el contador.

    [ NSHELP-32009 ]

  • Cuando un usuario inicia sesión en el dispositivo NetScaler ADC y no está instalado Citrix Workspace, el enlace para descargar Citrix Workspace apunta incorrectamente a Citrix Receiver.

    [ NSHELP-31877 ]

  • En un dispositivo NetScaler Gateway, los parámetros de VPN globales no se aplican si los parámetros de VPN no están configurados en el nivel de acción de la sesión.

    Antes de actualizar la configuración de alta disponibilidad, asegúrese de inhabilitar manualmente la sincronización HA en el dispositivo secundario. Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/current-release/upgrade-downgrade-citrix-adc-appliance/upgrade-downgrade-ha-pair.html

    [ NSHELP-31478, CGOP-21737 ]

  • Las directivas de redirección por directivas (PBR) no tienen efecto para el tráfico DNS a través de VPN.

    [ NSHELP-31123 ]

  • El lanzamiento de la aplicación ICA falla en las siguientes condiciones:

    • La función Directiva de seguridad de contenido (CSP) está habilitada.
    • El usuario inicia sesión desde un explorador, pero usa la aplicación Citrix Workspace para iniciar la aplicación.

    [ NSHELP-30534 ]

  • El título de la página de inicio de sesión de NetScaler Gateway y los temas del portal no se muestran correctamente.

    [ NSHELP-29202 ]

  • Al configurar el grupo de IIP (dirección IP y máscara), si la dirección IP no coincide con la primera dirección IP del rango, la CLI y la GUI de NetScaler ADC muestran solo un bloque y no todos.

    Ejemplo:
    bind vpn vserver vpn_ssl -intranetIP 172.168.1.1 255.255.255.0
    bind vpn vserver vpn_ssl -intranetIP 172.168.2.1 255.255.255.0

    En este caso, la CLI o la GUI, al mostrar vpn vserver vpn_ssl, solo muestra 172.168.2.1 pool y no 172.168.2.2.

    [ NSHELP-29084 ]

  • El dispositivo NetScaler ADC podría bloquearse si se configura la EPA y no hay suficiente memoria disponible.

    [ NSHELP-28329 ]

  • Gateway Insight no muestra información precisa sobre los usuarios de VPN.

    [ NSHELP-23937 ]

Citrix Web App Firewall

  • Un dispositivo NetScaler ADC independiente o el modo secundario de una configuración de HA pueden fallar si configura un objeto de firma para Citrix Web App Firewall en las siguientes versiones de software:
    • 13.0 build 88.5 y versiones posteriores
    • 13.1 versión 33.41 y versiones posteriores

    [ NSHELP-33250 ]

  • En Citrix Web App Firewall, cuando proporciona un protocolo al encabezado del tipo de contenido (application/pkcs7-signature), analiza el encabezado de forma incorrecta. Como resultado, el firewall bloquea las solicitudes válidas.

    [ NSHELP-32844 ]

  • Algunas de las reglas de relajación no se importan al restaurar un perfil WAF.

    [ NSHELP-32729 ]

  • Se produce un error en la actualización de la firma WAF cuando se configuran un servidor proxy y un puerto proxy. Durante el proceso de actualización automática de firmas que se ejecuta cada hora, el dispositivo ADC se pone en contacto con el host de la actualización automática para descargar los archivos actualizados en lugar de pasar por el servidor proxy y el puerto proxy configurados. Como resultado, se produce un error de actualización cuando no se puede acceder al host de actualización automática.

    [ NSHELP-32613 ]

  • El dispositivo NetScaler ADC podría bloquearse si se cumplen las siguientes condiciones:

    • Hay una carga elevada en el dispositivo.
    • Se están realizando cambios en la configuración.
    • La eliminación de firmas lleva mucho tiempo.

    [ NSHELP-32454 ]

  • Las cookies legítimas se colocan en el registro y muestran registros de infracción cookie duplicados.

    [ NSHELP-32369 ]

Equilibrio de carga

  • En raras ocasiones, un dispositivo NetScaler ADC puede fallar y generar un volcado de núcleo cuando la persistencia basada en el ID de sesión SSL y el procesamiento basado en tickets de sesión SSL están habilitados en un servidor virtual de conmutación de contenido.

    [ NSHELP-32228 ]

Otros

  • Es posible que la función Lua math.random () no devuelva un número aleatorio.

    [NSHELP-32447]

  • Un nodo de clúster entra en un bucle de paquetes cuando se cumplen las siguientes condiciones:

    • Se envía un paquete UDP con una dirección IP de destino como CLIP a un nodo del clúster.
    • El CCO ha cambiado de un nodo a otro durante la vida útil de la instancia de clúster.

    [ NSHELP-30804 ]

Redes

  • Con ECMP configurado en un dispositivo NetScaler ADC, se puede observar el siguiente problema en una conexión de equilibrio de carga SSH:

    • El dispositivo NetScaler ADC envía el primer paquete a través de una ruta diferente a la del resto de los paquetes del mismo flujo.

    [ NSHELP-32089 ]

  • El dispositivo NetScaler ADC puede bloquearse en algunos casos si se cumplen las siguientes condiciones:

    • El dispositivo NetScaler ADC recibe varios primeros fragmentos con diferentes desplazamientos.
    • El dispositivo NetScaler ADC no vuelve a ensamblar los fragmentos.

    [ NSHELP-32084 ]

  • En una configuración de equilibrio de carga con la opción “sin sesión” habilitada en el servidor virtual y ECMP en el servidor, se puede observar el siguiente problema:

    • El dispositivo NetScaler ADC envía los paquetes a un servidor siempre a través de la misma ruta.

    [ NSHELP-32061 ]

Plataforma

  • En un dispositivo NetScaler ADC SDX, el tamaño del anillo aumenta de 1024 a 2048 entradas para las interfaces de Mellanox.

    [ NSPLAT-24539 ]

  • Una instancia de NetScaler ADC VPX se bloquea al pasar de la versión 13.1 del software a la versión 13.0, compilación 88.x y compilaciones anteriores, si se cumplen las siguientes condiciones:

    • No se puede acceder al Servicio de metadatos de instancias de AWS (IMDS) desde la máquina virtual.
    • Las instancias basadas en el adaptador de red elástico (ENA) se utilizan en AWS.

    [NSHELP-32906]

Directivas

  • Un dispositivo NetScaler ADC puede bloquearse durante la adición de una directiva con un patset cuando se cumple la siguiente condición:

    • El indicador asociado a NSB está configurado en el orden incorrecto para el caso Rewrite TCP.

    [ NSHELP-31064 ]

SSL

  • Un dispositivo NetScaler ADC se bloquea si se cumplen las siguientes condiciones:

    • Un cliente envía un saludo a otro cliente antes de que finalice el apretón de manos.
    • La solicitud contiene un conjunto especial de cifrados en el primer saludo del cliente.

    [ NSHELP-32422 ]

  • En las plataformas NetScaler ADC MPX y SDX con hardware de criptoaceleración compatible con Intel QAT, el tipo de persistencia SOURCEIP se aplica de manera incoherente a las solicitudes enviadas a servidores virtuales a través de conexiones TLS 1.3. Es decir, las solicitudes enviadas desde una única dirección IP de origen pueden distribuirse a varios servidores de fondo diferentes.

    [ NSHELP-32410, NSHELP-32895, NSHELP-32572, NSHELP-32688 ]

  • Un dispositivo NetScaler ADC que contenga una tarjeta SSL Cavium podría bloquearse al enviar un mensaje DTLS ALERT al cliente.

    [ NSHELP-32031 ]

  • Un protocolo de enlace SSL puede fallar si se cumple la siguiente secuencia de condiciones:

    1. Hello Verify Request (HVR) está habilitada en DTLS.
    2. El dispositivo NetScaler ADC envía una HVR al cliente.
    3. El cliente no recibe la HVR.
    4. El cliente intenta retransmitir el primer saludo del cliente en lugar de responder al HVR con una cookie de sesión.

    Nota: En respuesta al mensaje de saludo del cliente retransmitido, el dispositivo ADC envía el HVR al cliente un máximo de tres veces. Si no se recibe una respuesta adecuada, el dispositivo no supera el protocolo de enlace.

    [ NSHELP-31808 ]

  • Un dispositivo NetScaler ADC podría bloquearse si la regla de autenticación de certificados se evalúa y se activa dos veces en la misma solicitud.

    [ NSHELP-31785 ]

  • Si la interceptación SSL está habilitada y los servidores DNS no devuelven una respuesta DNS válida, se bloquea el acceso al sitio web.

    [ NSHELP-30201 ]

  • Es posible que un dispositivo NetScaler ADC se bloquee al procesar el tráfico SSL en modo software.

    [ NSHELP-29996 ]

Sistema

  • Cuando un servidor NetScaler ADM recibe un gran tráfico HTTP con URL únicas, consume mucha memoria. Como resultado, el servidor NetScaler ADM deja de ser accesible.

    [ NSHELP-32922 ]

  • En un dispositivo NetScaler ADC, el marco de modificación de encabezados provoca daños en la memoria. Esta condición se produce cuando las cookies que va a consumir el dispositivo NetScaler ADC se eliminan en una secuencia determinada antes de reenviarlas.

    .

    [ NSHELP-32799 ]

  • Puede habilitar la función AppFlow en la partición de administración solo después de habilitar el modo ULFD en la partición predeterminada.

    [ NSHELP-32670 ]

  • El dispositivo NetScaler ADC puede tratar una solicitud HTTP como una solicitud no válida cuando hay un método de solicitud HTTP parcial en un segmento TCP entrante.

    [ NSHELP-32462 ]

  • Un dispositivo NetScaler ADC podría bloquearse si se cumple la siguiente condición:

    • Durante las combinaciones de HTTP2 y SSL con un uso elevado de memoria, el dispositivo NetScaler ADC no puede asignar memoria.

    [ NSHELP-32255 ]

  • Un dispositivo NetScaler ADC se bloquea en el flujo de configuración de acciones de syslog. Este bloqueo se observa durante la sincronización de alta disponibilidad en el nodo secundario.

    [ NSHELP-32254, NSHELP-32397 ]

  • Un cliente de gRPC no puede analizar el encabezado de estado de gRPC cuando se cumple la siguiente condición:

    • El encabezado de estado de gRPC se agrega tanto en el encabezado inicial como en el encabezado final en lugar de agregarse solo en el encabezado final.

    [ NSHELP-31640 ]

  • Al utilizar la función de inspección de contenido, es posible que la inserción del encabezado de reescritura con carga útil no funcione correctamente.

    [ NSHELP-30088 ]

  • Con SACK habilitado, el dispositivo NetScaler ADC no retransmite el último segmento TCP de un byte de la lista de retransmisión por el siguiente motivo: el dispositivo utiliza el último segmento TCP de un byte como segmento ficticio para marcar el final de la lista de retransmisión.

    [ NSHELP-28778 ]

Interfaz de usuario

  • No puede vincular un servicio GSLB a un servidor virtual de GSLB mediante la GUI de NetScaler ADC, ya que la lista de servicios GSLB en Vinculación de grupos de servicios GSLB > Vinculación de servicios GSLB > Servicios GSLB aparece vacía.

    [ NSHELP-32236 ]

  • En la versión 13.0 de NetScaler ADC, el botón OK de la página Configurar el servicio de servidor virtual de equilibrio de carga prioritario aparece en gris.

    [ NSHELP-32007 ]

  • La GUI del dispositivo NetScaler ADC no muestra el recuento correcto de las directivas de IDP de SAML y OAuth configuradas.

    [ NSHELP-31480 ]

  • En un dispositivo NetScaler ADC, al utilizar la interfaz GUI, aparece el siguiente problema en la página de directivas de respuesta:

    • Las directivas de respuesta creadas a medida pueden mostrarse debajo de las directivas de respuesta integradas.

    [ NSHELP-31428 ]

  • En una configuración de NetScaler ADC HA, se observa el siguiente problema en la GUI de NetScaler ADC después de guardar una configuración y hacer clic en el botón de actualización:

    • La GUI muestra incorrectamente el punto naranja en el botón Guardar, incluso cuando no hay cambios de configuración sin guardar en el dispositivo.

    [ NSHELP-30031 ]

  • Un dispositivo NetScaler ADC que ha retirado licencias de NetScaler ADM pasa al período de gracia cuando el dispositivo se desconecta de ADM. El dispositivo aparece sin licencia en ADM y continúa en el período de gracia incluso después de volver a conectarse a ADM.

    [ NSCONFIG-7098 ]

Problemas conocidos

Los problemas que existen en la versión 13.0-88.16.

Autenticación, autorización y auditoría

  • Si se configura la autenticación SAML, es posible que tenga problemas durante el cierre de sesión.

    [ NSHELP-31962 ]

  • El inicio de sesión único (SSO) falla si el SSO está habilitado para el tráfico que no tiene el token portador requerido para gestionar el SSO.

    [ NSHELP-31362 ]

  • Los caracteres no ASCII se graban en nsvpn.log cuando la acción LDAP se configura en un FQDN en lugar de en una dirección IP.

    [ NSHELP-27281 ]

  • En algunos casos, aparece el mensaje de error “credenciales no válidas” durante el proceso de autenticación RADIUS. El error aparece cuando se accede al dispositivo NetScaler ADC desde un dispositivo cliente mediante el explorador Google Chrome.

    [ NSHELP-27113 ]

  • En algunos casos, el comando Vincular autenticación, autorización y grupo de auditoría puede fallar si el nombre de la directiva es más largo que el nombre de la aplicación de la intranet.

    [ NSHELP-25971 ]

  • El dispositivo NetScaler ADC descarga el núcleo cuando NOAUTH se configura como primer factor y Negotiate como el factor posterior en el flujo de autenticación basado en 401.

    [ NSHELP-25203 ]

  • Si la contraseña de administrador de los servicios LDAP, RADIUS o TACACS contiene comillas dobles (“), el dispositivo NetScaler ADC lo elimina durante la comprobación de “Probar conectividad”, lo que provoca un error de conexión.

    [ NSHELP-23630 ]

  • Un dispositivo NetScaler ADC no autentica los intentos de inicio de sesión con contraseñas duplicadas y evita los bloqueos de cuentas.

    [ NSHELP-563 ]

  • La autenticación DUO falla si la función de directiva de seguridad del contenido (CSP) está habilitada en el dispositivo NetScaler ADC.

    [ NSAUTH-12687 ]

  • El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando.

    show adfsproxyprofile <profile name>

    Solución temporal: Conéctese al NetScaler ADC activo principal del clúster y ejecute el comando show adfsproxyprofile <profile name>. Mostraría el estado del perfil de proxy.

    [ NSAUTH-5916 ]

Dispositivo NetScaler ADC SDX

  • En un dispositivo NetScaler ADC SDX, si el CLAG se crea en una NIC Mellanox, la MAC de CLAG cambia cuando se reinicia la instancia VPX. El tráfico a la instancia VPX se detiene tras el reinicio porque la tabla MAC tiene la antigua entrada MAC de CLAG.

    [ NSSVM-4333 ]

  • En una GUI de NetScaler ADC SDX, mostrar los servidores NTP puede congelar la interfaz de usuario si el archivo de configuración NTP (ntp.conf) solo tiene espacios en alguna de las líneas.

    [ NSHELP-31530 ]

Citrix Gateway

  • El escaneo EPA basado en comprobaciones de Windows Update no funciona en la versión 22H2 de Windows 11.

    [NSHELP-33068]

  • El cliente Citrix Secure Access, versión 21.7.1.2 y posteriores, no puede actualizar a versiones posteriores para los usuarios sin privilegios administrativos.

    Esto solo se aplica si la actualización del cliente de Citrix Secure Access se realiza desde un dispositivo NetScaler ADC.

    [ NSHELP-32793 ]

  • Cuando los usuarios hacen clic en la ficha Página principal de la pantalla de Citrix Secure Access para Windows, la página muestra el error de denegación de conexión.

    [ NSHELP-32510 ]

  • En un dispositivo Mac que usa Chrome, la extensión VPN se bloquea al acceder a dos FQDN.

    [ NSHELP-32144 ]

  • El control del registro de depuraciones para el cliente de Citrix Secure Access ahora es independiente de NetScaler Gateway y se puede habilitar o inhabilitar desde la interfaz de usuario del complemento tanto para la máquina como para el túnel de usuario.

    [ NSHELP-31357, CGOP-21192 ]

  • Cuando se configura AlwaysOn, se produce un error en el túnel de usuario debido al número de versión incorrecto (1.1.1.1) en el archivo aoservice.exe.

    [ NSHELP-30662 ]

  • Los usuarios no pueden conectarse al dispositivo NetScaler Gateway después de cambiar el parámetro “networkAccessOnVPNFailure” siempre en el perfil de “fullAccess” a “onlyToGateway”.

    [ NSHELP-30236 ]

  • La página principal de la puerta de enlace no se muestra inmediatamente después de que el plug-in de puerta de enlace establezca el túnel VPN correctamente. Para solucionar este problema, se introduce el siguiente valor de Registro.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Tipo: DWORD

    De forma predeterminada, este valor de Registro no se establece ni se agrega. Cuando el valor de “SecureChannelResetTimeoutSeconds” es 0 o no se agrega, la solución para gestionar la demora no funciona, que es el comportamiento predeterminado. El administrador debe configurar este Registro en el cliente para habilitar la corrección (es decir, mostrar la página de inicio inmediatamente después de que el plug-in de puerta de enlace establezca correctamente el túnel VPN).

    [ NSHELP-30189 ]

  • El cliente VPN de Windows no respeta la alerta de “notificación de cierre SSL” del servidor y envía la solicitud de inicio de sesión de transferencia en la misma conexión.

    [ NSHELP-29675 ]

  • La autenticación de certificados de cliente falla para Citrix SSO para macOS si no hay certificados de cliente en el llavero de macOS.

    [ NSHELP-28551 ]

  • A veces, se desactiva la sesión de un usuario en NetScaler Gateway en unos segundos cuando se establece el tiempo de espera por inactividad del cliente.

    [ NSHELP-28404 ]

  • Es posible que el dispositivo NetScaler Gateway se bloquee al procesar el tráfico UDP iniciado por el servidor.

    [ NSHELP-27611 ]

  • El dispositivo NetScaler Gateway puede bloquearse si se bloquea la sincronización y se modifica la configuración de la directiva de conmutación de contenido.

    [ NSHELP-27570 ]

  • El dispositivo NetScaler Gateway puede bloquearse si se establece una opción de cliente VPN desconocida en la directiva de sesión.

    [ NSHELP-27380 ]

  • Al crear un perfil de cliente RDP mediante la GUI de NetScaler ADC, aparece un mensaje de error cuando se cumplen las siguientes condiciones:

    • Se ha configurado una clave previamente compartida (PSK) predeterminada.
    • Intenta modificar el temporizador de validez de la cookie de RDP en el campo Validez de cookies de RDP (segundos).

    [ NSHELP-25694 ]

  • El resultado del comando “show tunnel global” incluye nombres de directivas avanzados. Anteriormente, el resultado no mostraba los nombres de directivas avanzadas.

    Ejemplo:

    Nuevo resultado:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    Resultado anterior:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [ NSHELP-23496 ]

  • A veces, al navegar por los esquemas, aparece el mensaje de error “No se puede leer la propiedad ‘tipo’ indefinida”.

    [ NSHELP-21897 ]

  • El error de inicio de la aplicación debido a un tíquet STA no válido no se informa en Gateway Insight.

    [ CGOP-13621 ]

  • El informe de Gateway Insight muestra incorrectamente el valor “Local” en lugar de “SAML” en el campo Tipo de autenticación para errores de SAML.

    [ CGOP-13584 ]

  • En una configuración de alta disponibilidad, durante la conmutación por error de NetScaler ADC, el recuento de SR aumenta en lugar del recuento de conmutación por error en NetScaler ADM.

    [ CGOP-13511 ]

  • Al aceptar conexiones de host local desde el navegador, el cuadro de diálogo Aceptar conexión para macOS muestra el contenido en inglés, independientemente del idioma seleccionado.

    [ CGOP-13050 ]

  • El texto “Página de inicio” de la Aplicación Citrix SSO > Página de inicio aparece cortado en algunos idiomas.

    [ CGOP-13049 ]

  • Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de NetScaler ADC.

    [ CGOP-11830 ]

  • En Outlook Web App (OWA) 2013, al hacer clic en Opciones del menú Configuración, aparece un cuadro de diálogo de error crítico. Además, la página deja de responder.

    [ CGOP-7269 ]

Equilibrio de carga

  • En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.

    [ NSLB-7679 ]

  • En algunos casos, los servidores enlazados a un grupo de servicios muestran un valor de cookies no válido. Puede ver el valor correcto de la cookie en los registros de seguimiento.

    [ NSHELP-21196 ]

  • En una configuración de clúster, la dirección IP del servicio GSLB no se muestra en la GUI cuando se accede a ella a través de enlaces de servidores virtuales GSLB. Esto es solo un problema de visualización y no afecta a la funcionalidad.

    [ NSHELP-20406 ]

Otros

  • El dispositivo NetScaler ADC establece el tamaño del búfer de la función de registro del servidor web en un valor predeterminado incorrecto de 3 MB en lugar de 16 MB.

    [ NSHELP-32429 ]

  • El Registro de la lista AlwaysOnAllow no funciona como se esperaba si el valor del registro es superior a 2000 bytes.

    [ NSHELP-31836 ]

  • La instancia CPX de NetScaler ADC, que se ejecuta en un sistema Linux con arquitectura de 64 bits y 1 TB de almacenamiento de archivos, puede cargar archivos de certificados y claves ahora.

    [ NSHELP-28986 ]

Redes

  • En un dispositivo NetScaler ADC BLX, es posible que la NSVLAN enlazada con interfaces etiquetadas que no sean de dpdk no funcione como se esperaba. La NSVLAN enlazada con interfaces no dpdk sin etiquetar funciona bien.

    [ NSNET-18586 ]

  • Las siguientes operaciones de interfaz no son compatibles con las interfaces X710 10G (i40e) de Intel en un dispositivo NetScaler ADC BLX con DPDK:

    • Disable
    • Enable
    • Restablecer

    [ NSNET-16559 ]

  • En un host Linux basado en Debian (Ubuntu versión 18 y versiones posteriores), un dispositivo NetScaler ADC BLX siempre se implementa en modo compartido, independientemente de la configuración del archivo de configuración de BLX (“/etc/blx/blx.conf”). Este problema se debe a que “mawk”, que está presente de forma predeterminada en los sistemas Linux basados en Debian, no ejecuta algunos de los comandos awk presentes en el archivo “blx.conf”.

    Solución alternativa: instale “gawk” antes de instalar un dispositivo NetScaler ADC BLX. Puede ejecutar el siguiente comando en la CLI del host de Linux para instalar “gawk”:

    • apt-get install gawk

    [ NSNET-14603 ]

  • La instalación de un dispositivo NetScaler ADC BLX podría fallar en un host Linux basado en Debian (versión 18 y posteriores de Ubuntu) con el siguiente error de dependencia:

    “Los siguientes paquetes tienen dependencias incumplidas: blx-core-libs:i386: PreDepends: libc6:i386 (>= 2.19) pero no se puede instalar”

    Solución temporal: ejecute los siguientes comandos en la CLI del host de Linux antes de instalar un dispositivo NetScaler ADC BLX:

    • dpkg — agregar arquitectura i386
    • actualización apt-get
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [ NSNET-14602 ]

  • Al eliminar un servidor virtual, el dispositivo NetScaler ADC establece incorrectamente el estado de RHI VIP relacionado en DOWN si se cumplen las siguientes condiciones:

    • El servidor virtual tiene servidores virtuales de respaldo.
    • El servidor virtual está en estado DESCONECTADO y al menos un servidor virtual de reserva está en estado CONECTADO.

    [ NSHELP-29972 ]

  • En una configuración NAT44 a gran escala, el dispositivo NetScaler ADC puede bloquearse mientras recibe tráfico SIP por el siguiente motivo:

    • El módulo LSN no encuentra el servicio mientras disminuye el recuento de referencias o elimina el servicio.

    [ NSHELP-29134 ]

  • En una configuración NAT44 a gran escala, el dispositivo NetScaler ADC puede bloquearse mientras recibe tráfico SIP por el siguiente motivo:

    • Debido a la entrada de filtrado obsoleta.

    [ NSHELP-28895 ]

  • En una implementación NAT44 a gran escala, el dispositivo NetScaler ADC puede bloquearse al recibir tráfico SIP por el siguiente motivo:

    • El módulo LSN accedió a la ubicación de memoria de un servicio ya eliminado.

    [ NSHELP-28815 ]

  • En una configuración de alta disponibilidad, la dirección SNIP habilitada para el enrutamiento dinámico no se expone a VTYSH al reiniciar si se cumple la siguiente condición:

    • Una dirección SNIP habilitada para el enrutamiento dinámico está enlazada a la VLAN compartida en una partición no predeterminada.

    Como parte de la corrección, el dispositivo NetScaler ADC ahora no permite vincular una dirección SNIP habilitada para el enrutamiento dinámico a la VLAN compartida en la partición no predeterminada

    [ NSHELP-24000 ]

Plataforma

  • La conmutación por error de alta disponibilidad no funciona en las nubes de AWS y GCP. La CPU de administración puede alcanzar su capacidad del 100% en las nubes de AWS y GCP, y en NetScaler ADC VPX en las instalaciones. Ambos problemas se producen cuando se cumplen las siguientes condiciones:

    1. Durante el primer arranque del dispositivo NetScaler ADC, no guarda la contraseña solicitada.
    2. Posteriormente, reinicie el dispositivo NetScaler ADC.

    [ NSPLAT-22013 ]

  • Cuando actualiza de compilaciones 13.0/12.1/11.1 a una versión 13.1 o baja de una compilación 13.1 a 13.0/12.1/11.1, algunos paquetes python no se instalan en los dispositivos NetScaler ADC. Este problema se ha solucionado en las siguientes versiones de NetScaler ADC:

    • 13.1-4.x
    • 13.0-82.31 y posteriores
    • 12.1-62.21 y posteriores

    Los paquetes python no se instalan cuando se degrada la versión de NetScaler ADC de la versión 13.1-4.x a cualquiera de las siguientes versiones:

    • Cualquier compilación 11.1
    • 12.1-62.21 y anteriores
    • 13.0-81.x y anteriores

    [ NSPLAT-21691 ]

  • En una configuración de clúster en un dispositivo NetScaler ADC SDX, hay una discordancia de CLAG MAC en el segundo nodo y CLIP si se cumplen las siguientes condiciones:

    • El CLAG se crea en una NIC Mellanox.
    • Agrega otra instancia VPX al clúster y a la configuración de CLAG.

    Como resultado, el tráfico a la instancia VPX se detiene.

    [ NSPLAT-21049 ]

  • En una configuración de clúster en un dispositivo NetScaler ADC SDX, el primer nodo se cae debido a una discordancia de direcciones MAC en la tabla CLIP y MAC, si se cumplen las siguientes condiciones:

    • El CLAG se crea en una NIC Mellanox.
    • Quita el segundo nodo del clúster.

    [ NSPLAT-21042 ]

  • En la plataforma NetScaler ADC SDX 8015/8400/8600, es posible que observe un aumento en el consumo de memoria en el servidor Xen.
    Solución temporal: ejecute el siguiente comando en Xen Server y, a continuación, reinicie el dispositivo.
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [ NSHELP-32260 ]

  • Durante la conmutación por error de alta disponibilidad de NetScaler ADC VPX, el movimiento de la dirección IP elástica en la nube de AWS falla si configura un IPset sin vincular el IPset a ninguna dirección IP.

    [ NSHELP-29425 ]

  • La conmutación por error de alta disponibilidad para la instancia de NetScaler ADC VPX en la nube de GCP y AWS falla cuando la contraseña de un nodo RPC contiene un carácter especial.

    [ NSHELP-28600 ]

Directivas

  • Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.

    Solución temporal: Establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

    [ NSPOLICY-1267 ]

  • En un dispositivo NetScaler ADC, es posible que las directivas de cambio de contenido que se migran de directivas clásicas a directivas avanzadas mediante la herramienta NSPEPI no funcionen si se cumplen las siguientes condiciones:

    • Las directivas están vinculadas al vserver de conmutación de contenido.
    • El parámetro “caseSensitive” está desactivado.

    [ NSHELP-31951 ]

SSL

  • Cuando un servidor virtual recibe un registro TLS 1.3 con un relleno no válido, envía una alerta de “decode_error” fatal en lugar de una alerta de “mensaje inesperado”.

    [ NSSSL-11890 ]

  • En un clúster heterogéneo de dispositivos NetScaler ADC SDX 22000 y NetScaler ADC SDX 26000, se produce una pérdida de configuración de entidades SSL si se reinicia el dispositivo SDX 26000.

    Solución temporal:

    1. En el CLIP, inhabilite SSLv3 en todas las entidades SSL nuevas y existentes, como servidores virtuales, servicios, grupos de servicios y servicios internos. Por ejemplo: set ssl vserver <name> -SSL3 DISABLED.
    2. Guarde la configuración.

    [ NSSSL-9572 ]

  • No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

    [ NSSSL-6478 ]

  • Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo NetScaler ADC no devuelve ningún error.

    [ NSSSL-6213 ]

  • El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM.
    ERROR: actualización de crl inhabilitada

    [ NSSSL-6106 ]

  • La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster (esta opción no se puede inhabilitar).

    [ NSSSL-4427 ]

  • Si intenta cambiar el protocolo SSL o el cifrado del perfil SSL, aparece un mensaje de advertencia incorrecto, titulado “Advertencia: no hay cifrados utilizables configurados en el servidor o servicio SSL”.

    [ NSSSL-4001 ]

Sistema

  • En un dispositivo NetScaler ADC, el valor predeterminado del parámetro “maxHeaderFieldLen” del perfil HTTP provoca el siguiente problema.

    • Fallo de tráfico tras actualizar a la compilación 13.0.

    [ NSHELP-32079 ]

  • El dispositivo NetScaler ADC con la configuración SSL del tipo de servicio de servidor virtual se bloquea cuando el dispositivo NetScaler ADC recibe el paquete de control TCP FIN seguido del paquete de control TCP RESET.

    [ NSHELP-31656 ]

  • Se observa un RTT alto en una conexión TCP si se cumple la siguiente condición:

    • se establece una ventana de congestión máxima alta (>4 MB)
    • El algoritmo TCP NILE está activado

    Para que un dispositivo NetScaler ADC utilice el algoritmo NILE para el control de la congestión, las condiciones deben superar el umbral de inicio lento, que se combina con la ventana de congestión máxima

    Por lo tanto, hasta que se alcance la ventana de congestión máxima configurada, el NetScaler ADC sigue aceptando datos y termina con un RTT alto.

    [ NSHELP-31548 ]

  • Un dispositivo NetScaler ADC puede bloquearse cuando se cumple la siguiente condición:

    • Tanto el perfil de análisis como la directiva de AppFlow están enlazados y el perfil tiene habilitada la opción “httpAllHdrs”.

    [ NSHELP-30628 ]

  • El dispositivo NetScaler ADC informa de una falsa alarma SNMP en los contadores de inundación SYN del servicio.

    [ NSHELP-28710, NSHELP-28713 ]

  • El aumento de las retransmisiones de paquetes se observa en las implementaciones de clúster MPTCP en la nube pública si el conjunto de enlaces está inhabilitado.

    [ NSHELP-27410 ]

  • Un dispositivo NetScaler ADC podría enviar un paquete TCP no válido junto con opciones TCP como bloques SACK, marca de tiempo y ACK de datos MPTCP en conexiones MPTCP.

    [ NSHELP-27179 ]

  • Se observa una discrepancia en los registros de Logstream en el dispositivo NetScaler ADC y en el cargador de datos.

    [ NSHELP-25796 ]

  • Algunos mensajes SYSLOG se eliminan al iniciar sesión en un servidor SYSLOG externo mediante el protocolo TCP.

    [ NSHELP-24522 ]

  • En ciertos casos, la captura de paquetes nstrace pierde todos los paquetes si aplica el filtro basado en dirección IP.

    [ NSHELP-23483 ]

  • Cuando instala NetScaler ADM en un clúster de Kubernetes, no funciona según lo esperado porque es posible que los procesos necesarios no aparezcan.

    Solución temporal: reinicie el pod de administración.

    [ NSBASE-15556 ]

  • En una configuración de clúster, un nodo con prioridad de CCO se desconecta de Open vSwitch (OVS) debido a problemas de red. Cuando el nodo se vuelve a unir a la configuración del clúster, no recibe la cookie SYN más reciente.

    [ NSBASE-14419 ]

Interfaz de usuario

  • El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

    Solución temporal: Configure los conectores de Cloudbridge agregando perfiles IPSec, túneles IP y reglas de PBR mediante la GUI o CLI de NetScaler ADC.

    [ NSUI-13024 ]

  • Tras crear un perfil para Citrix Web App Firewall e intentar generar el informe de configuración del firewall de aplicaciones en Sistema > Informes, aparece el siguiente error:

    “No se pudo cargar el documento PDF”.

    [ NSHELP-32469 ]

  • La modificación de una ruta estática mediante la GUI de NetScaler ADC (sistema > red > rutas) podría fallar incorrectamente y mostrar el siguiente mensaje de error:

    • “Falta un argumento necesario [puerta de enlace ]”

    [ NSHELP-32024 ]

  • En una configuración de HA o clúster, la sincronización de la configuración falla si ha configurado claves SSH distintas de RSA. Por ejemplo, las claves ECDSA o DSA.

    [ NSHELP-31675 ]

  • En un dispositivo NetScaler ADC, el enlace de la directiva de caché para anular el global o el global predeterminado mediante la interfaz GUI falla con el siguiente error:

    • Falta el argumento obligatorio.

    Este error no se ve al vincular la directiva de caché mediante la interfaz CLI.

    [ NSHELP-30826 ]

  • Debido a una secuencia de instalación de actualización incorrecta, se produce el siguiente problema en el dispositivo NetScaler ADC.

    • La imagen del núcleo se actualiza primero y, tras unos pocos pasos, se copian las claves de cifrado. Entre estos pasos, se produce una falla y el dispositivo ADC presenta una nueva imagen. Las claves de cifrado que faltan en la nueva imagen provocan un error de descifrado y una falta de configuración.

    [ NSHELP-30755 ]

  • La GUI de NetScaler ADC puede generar incorrectamente un paquete de asistencia técnica en clúster de un solo nodo en lugar de todos los nodos del clúster.

    [ NSHELP-28606 ]

  • La generación de un paquete de asistencia técnica en clúster mediante la GUI de NetScaler ADC puede fallar con un error.

    [ NSHELP-28586 ]

  • Después de actualizar una configuración de alta disponibilidad o una configuración de clúster a la versión 13.0 compilación 74.14 o posterior, la sincronización de la configuración podría fallar por la siguiente razón:

    • Las claves privadas y públicas “ssh_host_rsa_key” son un par incorrecto.

    Solución alternativa: vuelva a generar “ssh_host_rsa_key”. Para obtener más información, consulte https://support.citrix.com/article/CTX322863.

    [ NSHELP-27834 ]

  • No se puede enlazar un servicio o un grupo de servicios a un servidor virtual de equilibrio de carga prioritario mediante la GUI de NetScaler ADC.

    [ NSHELP-27252 ]

  • En una configuración de alta disponibilidad, las sesiones de usuario VPN se desconectan si se cumple la siguiente condición:

    • Si se realizan dos o más operaciones de failover manual de alta disponibilidad sucesivas cuando la sincronización de alta disponibilidad está en curso.

    Solución temporal: Realice sucesivas conmutaciones por error de HA manuales solo después de que se haya completado la sincronización de HA (ambos nodos se encuentran en el estado de sincronización correcta).

    [ NSHELP-25598 ]

  • A veces, las firmas del firewall de la aplicación tardan mucho en sincronizarse con los nodos que no son de CCO. Como resultado, los comandos que utilizan estos archivos pueden fallar.

    [ NSCONFIG-4330 ]

  • Si usted (administrador del sistema) realiza todos los pasos siguientes en un dispositivo NetScaler ADC, es posible que los usuarios del sistema no inicien sesión en el dispositivo NetScaler ADC degradado.

    1. Actualice el dispositivo NetScaler ADC a una de las compilaciones
      • 13.0 52.24 compilación
      • 12.1 57,18 compilación
      • 11.1 65.10 compilación
    2. Agregar un usuario del sistema o cambiar la contraseña de un usuario del sistema existente y guardar la configuración, y
    3. Rebaja la versión del dispositivo NetScaler ADC a cualquier versión anterior.

    Para mostrar la lista de estos usuarios del sistema mediante la CLI:
    En la línea de comandos, escriba:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solución temporal: Para corregir este problema, utilice una de las siguientes opciones independientes:

    • Si el dispositivo NetScaler ADC aún no se ha rebajado (paso 3 de los pasos mencionados anteriormente), revierta la versión del dispositivo NetScaler ADC con un archivo de configuración del que se ha creado previamente una copia de seguridad (ns.conf) de la misma compilación de la versión.
    • Cualquier administrador del sistema cuya contraseña no se haya cambiado en la compilación actualizada puede iniciar sesión en la compilación degradada y actualizar las contraseñas de otros usuarios del sistema.
    • Si ninguna de las opciones anteriores funciona, el administrador del sistema puede restablecer las contraseñas de usuario del sistema.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

    [ NSCONFIG-3188 ]

Notas de lanzamiento para la versión 13.0-88.16 de NetScaler ADC