Citrix ADC

Notas de lanzamiento para la versión 13.0-89.7 de Citrix ADC

December 28, 2022

Contribución de:

Este documento de notas de la versión describe las mejoras y los cambios, los problemas resueltos y conocidos que existen en la versión 13.0-89.7 de Citrix ADC.

Notas

Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.

Novedades

Las mejoras y los cambios que están disponibles en la compilación 13.0-89.7.

Dispositivo Citrix ADC SDX

Los campos «Gateway» y «Nexthop» son opcionales al aprovisionar o editar el VPX

En un servicio de administración de dispositivos Citrix ADC SDX, los campos «Gateway» y «Nexthop» ya no son obligatorios para aprovisionar, editar, realizar copias de seguridad o restaurar VPX cuando se cumplan las siguientes condiciones:
- Se cumple una de las siguientes opciones:
  - La opción «Administrar a través de la red interna» está habilitada para VPX.
  - La dirección IP VPX se encuentra en la misma subred que la dirección IP del servicio de administración.
- VPX se suministra con las versiones 13.0-88.9 o 13.1-37.8 y sus versiones superiores.
Para obtener más información, consulte Aprovisionar instancias de Citrix ADC.

[NSSVM-5307]
Mejoras para mostrar correctamente la presencia del disco

Se realizan mejoras para determinar el estado del disco en un dispositivo Citrix ADC SDX. El estado del disco ahora se muestra correctamente cuando el disco está presente.

[ NSSVM-5252 ]

Citrix Gateway

Soporte para el indicador HttpOnly en las cookies de autenticación

Ahora, el indicador HttpOnly es compatible con las cookies de autenticación de los escenarios de VPN, es decir, las cookies de NSC_Authentication, autorización y auditingC y NSC_TMAS. La cookie de autenticación NSC_TMAS se usa durante la autenticación de nFactor y las cookies de NSC_Authentication, autorización y auditingC se usan para la sesión autenticada. HttpOnlyflag de una cookie restringe el acceso a las cookies mediante la opción de cookie de documentos de JavaScript. Esto ayuda a evitar el robo de cookie debido a las secuencias de comandos entre sitios.

[ CGOP-14004 ]

Interfaz de usuario

Soporte de límite de carga de 8 MB para la API systemfile NITRO

El límite máximo de carga de la API de systemfile NITRO se ha incrementado de 2 MB a 8 MB.

[ NSCONFIG-7089 ]

Problemas resueltos

Los problemas que se abordan en la compilación 13.0-89.7.

AppFlow

Con AppFlow configurado, el dispositivo Citrix ADC restablece una conexión TCP si el dispositivo recibe una respuesta HTTP fragmentada vacía del servidor de fondo.

Este problema se produce cuando el parámetro “clientSideMeasurements” está habilitado para la acción de AppFlow relacionada.

[ NSHELP-32250 ]

Autenticación, autorización y auditoría

En una configuración GSLB de Citrix Gateway, se puede detectar un bucle de conexión proxy entre los sitios de GSLB si se cumplen las siguientes condiciones:
- No todos los sitios de GSLB tienen la misma versión.
- Citrix Gateway está configurado con autenticación avanzada.
[ NSHELP-32487 ]
Si la autenticación LDAP y SAML están configuradas en cascada, aparece una página de error durante el inicio de sesión.

[ NSHELP-32378 ]
Si se configura la autenticación SAML, es posible que tenga problemas durante el cierre de sesión.

[ NSHELP-31962 ]
La GUI de Citrix ADC no muestra las directivas de caché predeterminadas vinculadas a un servidor virtual VPN.

[ NSHELP-26874 ]

Citrix Gateway

Es posible que algunas de las sesiones de VPN se borren o eliminen del dispositivo ADC secundario tras una conmutación por error.

[NSHELP-33125]
Es posible que las aplicaciones no se inicien a través de Citrix Gateway debido al agotamiento de los puertos del dispositivo Citrix Gateway.

[ NSHELP-32418 ]
El dispositivo Citrix Gateway configurado para el acceso a la VPN sin cliente puede bloquearse al procesar una sesión ficticia.

[ NSHELP-32399 ]
El dispositivo Citrix Gateway podría bloquearse si HDX Insight está activado.

[ NSHELP-32120 ]
Los registros de errores de autenticación de Gateway Insight muestran el nombre de usuario como “anónimo” cuando NOAUTH se configura como primer factor y la autenticación de segundo factor falla debido a credenciales no válidas. Este problema solo se produce si la configuración se realiza mediante el visualizador nFactor porque el primer factor está configurado como NOAUTH, por diseño en el visualizador nFactor.

[ NSHELP-31795 ]
El complemento Citrix EPA para macOS se bloquea cuando se habilita el GSLB en un dispositivo Citrix ADC.

[CGOP-22722]
El comando “show vpn icaconnection” no muestra correctamente los números de serie de las conexiones ICA. Este problema se produce porque el número de serie se restablece arbitrariamente cuando se ejecuta el comando “show vpn icaconnection”.

[ CGOP-22205 ]

Citrix Web App Firewall

La pérdida de memoria se produce en un dispositivo Citrix ADC cuando configura cookieHijackingAction para el bloqueo, el registro o las estadísticas.

[ NSHELP-33187 ]

Equilibrio de carga

El dispositivo Citrix ADC no responde con la dirección IP de servicio correcta para la consulta de dominio GSLB si se configuran los siguientes parámetros en el servidor virtual de GSLB:
1. La opción ECS está habilitada.
2. La proximidad estática está configurada como método de equilibrio de carga.
[ NSHELP-32879 ]
Un dispositivo Citrix ADC puede bloquearse durante la configuración limpia si hay entradas de persistencia y se configura una gran cantidad de servidores virtuales de equilibrio de carga ficticios y servidores virtuales de grupo.

[ NSHELP-30051 ]

Redes

En una configuración de clúster Citrix ADC BLX, es posible que VTYSH no se inicie si se cumple la siguiente condición:
- El host de Linux se reinicia, lo que provoca un bucle de pedidos en el proceso de inyección de estado de ruta (RHI) BLX de Citrix ADC.
[ NSHELP-32473 ]
Al eliminar un servidor virtual, el dispositivo Citrix ADC establece incorrectamente el estado de RHI VIP relacionado en DOWN si se cumplen las siguientes condiciones:
- El servidor virtual tiene servidores virtuales de respaldo.
- El servidor virtual está en estado DESCONECTADO y al menos un servidor virtual de reserva está en estado CONECTADO.
[ NSHELP-29972 ]

SSL

La GUI de Citrix ADC, a la que se accede a través de una dirección IP de clúster (CLIP), no muestra los enlaces de certificados de servidor a un servidor virtual SSL.

[ NSHELP-31602 ]
La verificación de la respuesta de OCSP puede fallar durante la interceptación SSL si no hay un certificado de CA válido en el paquete de certificados predeterminado. El error se produce porque la verificación de la respuesta del OCSP se realizó de forma incorrecta utilizando el paquete de certificados predeterminado en lugar del paquete de certificados configurado.

[ NSHELP-30594 ]

Sistema

Un dispositivo Citrix ADC puede fallar cuando intenta acceder a los recursos del ICAP liberado. Esta condición ocurre cuando el ICAP está en modo de modificación de respuesta (RESPMOD).

[NSHELP-33403]
El dispositivo Citrix ADC no puede enviar datos de Logstream desde las particiones de forma coherente.

[NSHELP-33237]
El dispositivo Citrix ADC cancela la conexión cuando no puede analizar el valor fragmentado. Este problema se produce cuando el encabezado Transfer-Encoding tiene varios valores y Chunked no es el primer valor.

[NSHELP-32420]
El dispositivo Citrix ADC configurado con un servicio SSL se bloquea cuando el dispositivo recibe un paquete de control TCP FIN seguido de un paquete de control TCP RESET.

[ NSHELP-31656 ]
Un dispositivo Citrix ADC no puede rastrear una conexión ICA. El motivo de este problema es que, durante la captura de paquetes, «nstrace» excluye algunos paquetes cuando se utilizan filtros IP o PORT con «start nstrace».

[NSHELP-29009]

Interfaz de usuario

La página de licencias del Servicio de administración no actualiza la información de la licencia agrupada cuando visita el nodo de licencia ni lo actualiza. En cambio, la información de la licencia agrupada solo se actualiza al cerrar sesión y volver a iniciarla.

[ NSHELP-33203 ]
Cuando un usuario ve el enlace en una directiva de cambio de contenido, los detalles del servidor virtual de conmutación de contenido no se muestran en la misma fila en Mostrar enlaces.

[ NSHELP-33149 ]
Soporte para la opción de apagado en la API NITRO de apagado

La API de shutdown NITRO ahora admite la opción «-p now» para apagar y apagar un dispositivo Citrix ADC.

Ejemplo:

En el siguiente ejemplo de una solicitud de curl, se utiliza la API de shutdown NITRO con la opción «-p now» para apagar y apagar un dispositivo Citrix ADC que tenga la dirección IP 192.0.0.33.

curl -v -X POST -H Content-Type: application/json -u nsroot:examplepassword [http://192.0.0.33/nitro/v1/config/install?warning=yes](http://192.0.0.33/nitro/v1/config/install?warning=yes) -d '{"shutdown": {"args":"-p now"}}'

[NSHELP-32915]
Cuando un usuario vincula una directiva de tráfico a un servidor virtual de conmutación de contenido o de equilibrio de carga, los detalles de enlace no aparecen en la GUI.

[ NSHELP-32751 ]
En un dispositivo Citrix ADC con particiones de administración, la configuración del parámetro “ns” dentro de la partición se pierde tras un reinicio. Esta condición se produce debido a una configuración integrada incorrecta.

[ NSHELP-32486 ]
En la GUI de Citrix ADC, si hay un destino de captura SNMP existente en Sistema>SNMP>Traps, se produce un error al modificar ese destino y se muestra el siguiente mensaje de error:
- “Error al recuperar la captura SNMP”
[ NSHELP-31661 ]
En una configuración de alta disponibilidad, las configuraciones cifradas se pierden en el nodo secundario tras la sincronización de la configuración de alta disponibilidad.

[ NSHELP-30897 ]

Problemas conocidos

Los problemas que existen en la versión 13.0-89.7.

Autenticación, autorización y auditoría

El inicio de sesión único (SSO) falla si el SSO está habilitado para el tráfico que no tiene el token portador requerido para gestionar el SSO.

[ NSHELP-31362 ]
Los caracteres no ASCII se graban en nsvpn.log cuando la acción LDAP se configura en un FQDN en lugar de en una dirección IP.

[ NSHELP-27281 ]
En algunos casos, el comando Vincular autenticación, autorización y grupo de auditoría puede fallar si el nombre de la directiva es más largo que el nombre de la aplicación de la intranet.

[ NSHELP-25971 ]
El dispositivo Citrix ADC descarga el núcleo cuando NOAUTH se configura como primer factor y Negotiate como el factor posterior en el flujo de autenticación basado en 401.

[ NSHELP-25203 ]
Si la contraseña de administrador de los servicios LDAP, RADIUS o TACACS contiene comillas dobles («), el dispositivo Citrix ADC lo elimina durante la comprobación de «Probar conectividad», lo que provoca un error de conexión.

[ NSHELP-23630 ]
La autenticación DUO falla si la función de directiva de seguridad del contenido (CSP) está habilitada en el dispositivo Citrix ADC.

[ NSAUTH-12687 ]
Los administradores no pueden realizar un registro personalizado de los errores de autenticación que se producen debido a credenciales no válidas. Este problema se produce porque las directivas de respuesta de Citrix ADC no detectan los errores de inicio de sesión.

[ NSAUTH-11151 ]
El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando.
show adfsproxyprofile <profile name>

Solución temporal: conéctese al Citrix ADC activo principal del clúster y ejecute el comando show adfsproxyprofile <profile name>. Mostraría el estado del perfil de proxy.

[ NSAUTH-5916 ]

Dispositivo Citrix ADC SDX

Al actualizar un dispositivo Citrix ADC SDX, en raras ocasiones aparece el siguiente evento incorrecto en la GUI del servicio de administración:

«La versión SVM y la versión de hipervisor no son compatibles»

[NSHELP-32949]
En una GUI de Citrix ADC SDX, mostrar los servidores NTP puede congelar la interfaz de usuario si el archivo de configuración NTP (ntp.conf) solo tiene espacios en alguna de las líneas.

[ NSHELP-31530 ]

Citrix Gateway

Cuando los valores del registro relacionados con Citrix Secure Access superan los 1500 caracteres, el recopilador de registros no puede recopilar los registros de errores.

[NSHELP-33457]
El cliente Citrix Secure Access, versión 21.7.1.2 y posteriores, no puede actualizar a versiones posteriores para los usuarios sin privilegios administrativos. Este problema solo se aplica si la actualización del cliente Citrix Secure Access se realiza desde un dispositivo Citrix ADC.

[ NSHELP-32793 ]
Cuando los usuarios hacen clic en la ficha Página principal de la pantalla de Citrix Secure Access para Windows, la página muestra el error de denegación de conexión.

[ NSHELP-32510 ]
En un dispositivo Mac que usa Chrome, la extensión VPN se bloquea al acceder a dos FQDN.

[ NSHELP-32144 ]
El control del registro de depuraciones para el cliente Citrix Secure Access ahora es independiente de Citrix Gateway y se puede habilitar o inhabilitar desde la interfaz de usuario del complemento tanto para la máquina como para el túnel de usuario.

[ NSHELP-31968 ]
A veces, el inicio de sesión automático de Windows no funciona cuando un usuario inicia sesión en la máquina con Windows en un modo de servicio siempre activo. El túnel de la máquina no pasa al túnel de usuario y aparece el mensaje “Conectando… “aparece en la interfaz de usuario del complemento VPN.

[ NSHELP-31357, CGOP-21192 ]
Cuando se configura AlwaysOn, se produce un error en el túnel de usuario debido al número de versión incorrecto (1.1.1.1) en el archivo aoservice.exe.

[ NSHELP-30662 ]
Los usuarios no pueden conectarse al dispositivo Citrix Gateway después de cambiar el parámetro “networkAccessOnVPNFailure” siempre en el perfil de “fullAccess” a “onlyToGateway”.

[ NSHELP-30236 ]
La página principal de la puerta de enlace no se muestra inmediatamente después de que el plug-in de puerta de enlace establezca el túnel VPN correctamente. Para solucionar este problema, se introduce el siguiente valor de registro.

HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
Tipo: DWORD

De forma predeterminada, este valor de registro no se establece ni se agrega. Cuando el valor de “SecureChannelResetTimeoutSeconds” es 0 o no se agrega, la solución para gestionar la demora no funciona, que es el comportamiento predeterminado. El administrador debe configurar este registro en el cliente para habilitar la corrección (es decir, mostrar la página de inicio inmediatamente después de que el plug-in de puerta de enlace establezca correctamente el túnel VPN).

[ NSHELP-30189 ]
El cliente VPN de Windows no respeta la alerta de “notificación de cierre SSL” del servidor y envía la solicitud de inicio de sesión de transferencia en la misma conexión.

[ NSHELP-29675 ]
La autenticación de certificados de cliente falla para Citrix SSO para macOS si no hay certificados de cliente en el llavero de macOS.

[ NSHELP-28551 ]
A veces, se desactiva la sesión de un usuario en Citrix Gateway en unos segundos cuando se establece el tiempo de espera por inactividad del cliente.

[ NSHELP-28404 ]
Es posible que el dispositivo Citrix Gateway se bloquee al procesar el tráfico UDP iniciado por el servidor.

[ NSHELP-27611 ]
El dispositivo Citrix Gateway puede bloquearse si se bloquea la sincronización y se modifica la configuración de la directiva de conmutación de contenido.

[ NSHELP-27570 ]
El dispositivo Citrix Gateway puede bloquearse si se establece una opción de cliente VPN desconocida en la directiva de sesión.

[ NSHELP-27380 ]
Al crear un perfil de cliente RDP mediante la GUI de Citrix ADC, aparece un mensaje de error cuando se cumplen las siguientes condiciones:
- Se ha configurado una clave previamente compartida (PSK) predeterminada.
- Intenta modificar el temporizador de validez de la cookie de RDP en el campo Validez de cookies de RDP (segundos).
[ NSHELP-25694 ]
El plug-in de EPA para Windows no utiliza el proxy configurado del equipo local y se conecta directamente al servidor de puerta de enlace.

[ NSHELP-24848 ]
Gateway Insight no muestra información precisa sobre los usuarios de VPN.

[ NSHELP-23937 ]
El resultado del comando «show tunnel global» incluye nombres de políticas avanzados. Anteriormente, el resultado no mostraba los nombres de directivas avanzadas.

Ejemplo:

Nueva salida:

nombre
de la política global show tunnel: ns_tunnel_nocmp Prioridad: 0

Nombre de la política: ns_adv_tunnel_nocmp Tipo: Política avanzada
Prioridad: 1 Punto de
enlace global: REQ_DEFAULT

Nombre de la política: ns_adv_tunnel_msdocs Tipo: Política avanzada
Prioridad: 100 Punto de enlace
global: RES_DEFAULT
Listo

Salida anterior:

nombre
de la política global show tunnel: ns_tunnel_nocmp Prioridad: 0 Deshabilitada

Directivas avanzadas:

Punto de enlace global: REQ_DEFAULT
Número de políticas vinculadas: 1

Completado

[ NSHELP-23496 ]
A veces, al navegar por los esquemas, aparece el mensaje de error “No se puede leer la propiedad ‘tipo’ indefinida”.

[ NSHELP-21897 ]
La opción del sistema operativo Windows no aparece en la lista desplegable del Editor de expresiones para las políticas de autenticación previa y las acciones de autenticación en la GUI de Citrix ADC. Sin embargo, si ya configuró el escaneo del sistema operativo Widows en una compilación anterior de Citrix ADC mediante la GUI o la CLI, la actualización no afectará a la funcionalidad. Puede utilizar la CLI para realizar cambios, si es necesario.

Solución temporal:

Utilice los comandos de la CLI para la configuración.
- Para configurar la acción EPA avanzada en la autenticación nFactor, utilice el siguiente comando.
  agregar autenticación EPAAction adv_win_scan -csecexpr «sys.client_expr («sys_0_win-os_name_anyof_win-10 [COMENTARIO: sistema operativo Windows]»)»
- Para configurar una acción de autenticación previa clásica, utilice los siguientes comandos.
  add aaa preauthenticationaction win_scan_action PERMITIR
  agregar aaa preauthenticationpolicy win_scan_policy «CLIENT.SYSTEM (‘win-OS_NAME_ANYOF_WIN-10 [COMENTARIO: SISTEMA OPERATIVO Windows] ‘) EXISTE» win_scan_action
[CGOP-22966]
En una configuración de clúster de Citrix ADC, HDX Insight y Gateway Insight no se pueden habilitar simultáneamente.

[ CGOP-22849 ]
El error de inicio de la aplicación debido a un tíquet STA no válido no se informa en Gateway Insight.

[ CGOP-13621 ]
El informe de Gateway Insight muestra incorrectamente el valor “Local” en lugar de “SAML” en el campo Tipo de autenticación para errores de SAML.

[ CGOP-13584 ]
En una configuración de alta disponibilidad, durante la conmutación por error de Citrix ADC, el recuento de SR aumenta en lugar del recuento de conmutación por error en Citrix ADM.

[ CGOP-13511 ]
Al aceptar conexiones de host local desde el explorador web, el cuadro de diálogo Aceptar conexión para macOS muestra el contenido en inglés independientemente del idioma seleccionado.

[ CGOP-13050 ]
El texto “Página principal” de la aplicación Citrix SSO > Página principal está cortado en algunos idiomas.

[ CGOP-13049 ]
Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de Citrix ADC.

[ CGOP-11830 ]
En Outlook Web App (OWA) 2013, al hacer clic en Opciones en el menú Configuración, aparece un cuadro de diálogo Error crítico. Además, la página deja de responder.

[ CGOP-7269 ]

Equilibrio de carga

En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.

[ NSLB-7679 ]
En algunos casos, los servidores enlazados a un grupo de servicios muestran un valor de cookies no válido. Puede ver el valor correcto de la cookie en los registros de seguimiento.

[ NSHELP-21196 ]
En una configuración de clúster, la dirección IP del servicio GSLB no se muestra en la GUI cuando se accede a ella a través de enlaces de servidores virtuales GSLB. Esto es solo un problema de visualización y no afecta a la funcionalidad.

[ NSHELP-20406 ]

Otros

El dispositivo Citrix ADC establece el tamaño del búfer de la función de registro del servidor web en un valor predeterminado incorrecto de 3 MB en lugar de 16 MB.

[ NSHELP-32429 ]
El registro de la lista AlwaysOnAllow no funciona como se esperaba si el valor del registro es superior a 2000 bytes.

[ NSHELP-31836 ]
La instancia CPX de Citrix ADC, que se ejecuta en un sistema Linux con arquitectura de 64 bits y 1 TB de almacenamiento de archivos, puede cargar archivos de certificados y claves ahora.

[ NSHELP-28986 ]

Redes

En un dispositivo Citrix ADC BLX, es posible que la NSVLAN enlazada con interfaces etiquetadas que no sean de dpdk no funcione como se esperaba. La NSVLAN enlazada con interfaces no dpdk sin etiquetar funciona bien.

[ NSNET-18586 ]
Las siguientes operaciones de interfaz no son compatibles con las interfaces X710 10G (i40e) de Intel en un dispositivo Citrix ADC BLX con DPDK:
- Disable
- Enable
- Reset
[ NSNET-16559 ]
En un host Linux basado en Debian (Ubuntu versión 18 y versiones posteriores), un dispositivo Citrix ADC BLX siempre se implementa en modo compartido, independientemente de la configuración del archivo de configuración de BLX («/etc/blx/blx.conf»). Este problema se debe a que «mawk», que está presente de forma predeterminada en los sistemas Linux basados en Debian, no ejecuta algunos de los comandos awk presentes en el archivo «blx.conf».

Solución alternativa: instale «gawk» antes de instalar un dispositivo Citrix ADC BLX. Puede ejecutar el siguiente comando en la CLI del host de Linux para instalar «gawk»:
- apt-get install gawk
[ NSNET-14603 ]
La instalación de un dispositivo Citrix ADC BLX podría fallar en un host Linux basado en Debian (versión 18 y posteriores de Ubuntu) con el siguiente error de dependencia:

“Los siguientes paquetes tienen dependencias incumplidas: blx-core-libs:i386: PreDepends: libc6:i386 (>= 2.19) pero no se puede instalar”

Solución temporal: ejecute los siguientes comandos en la CLI del host de Linux antes de instalar un dispositivo Citrix ADC BLX:
- dpkg — agregar arquitectura i386
- actualización apt-get
- apt-get install libc6:i386
[ NSNET-14602 ]
En una configuración NAT44 a gran escala, el dispositivo Citrix ADC puede bloquearse mientras recibe tráfico SIP por el siguiente motivo:
- El módulo LSN no encuentra el servicio mientras disminuye el recuento de referencias o elimina el servicio.
[ NSHELP-29134 ]
En una configuración NAT44 a gran escala, el dispositivo Citrix ADC puede bloquearse mientras recibe tráfico SIP por el siguiente motivo:
- Debido a la entrada de filtrado obsoleta.
[ NSHELP-28895 ]
En una implementación NAT44 a gran escala, el dispositivo Citrix ADC puede bloquearse al recibir tráfico SIP por el siguiente motivo:
- El módulo LSN accedió a la ubicación de memoria de un servicio ya eliminado.
[ NSHELP-28815 ]
En una configuración de alta disponibilidad, la dirección SNIP habilitada para el enrutamiento dinámico no se expone a VTYSH al reiniciar si se cumple la siguiente condición:
- Una dirección SNIP habilitada para el enrutamiento dinámico está enlazada a la VLAN compartida en una partición no predeterminada.
Como parte de la corrección, el dispositivo Citrix ADC ahora no permite vincular una dirección SNIP habilitada para el enrutamiento dinámico a la VLAN compartida en la partición no predeterminada

[ NSHELP-24000 ]

Plataforma

La conmutación por error de alta disponibilidad no funciona en las nubes de AWS y GCP. La CPU de administración puede alcanzar su capacidad del 100% en las nubes de AWS y GCP, y en Citrix ADC VPX en las instalaciones. Ambos problemas se producen cuando se cumplen las siguientes condiciones:
1. Durante el primer arranque del dispositivo Citrix ADC, no guarda la contraseña solicitada.
2. Posteriormente, reinicie el dispositivo Citrix ADC.
[ NSPLAT-22013 ]
Algunos paquetes de Python no se instalan al cambiar el dispositivo Citrix ADC de la versión 13.1 a 4.x y versiones superiores a cualquiera de las siguientes versiones:
- Cualquier compilación 11.1
- 12.1-62.21 y anteriores
- 13.0-81.x y anteriores
[ NSPLAT-21691 ]
En la plataforma Citrix ADC SDX 8015/8400/8600, es posible que observe un aumento en el consumo de memoria en el servidor Xen.
Solución temporal: ejecute el siguiente comando en Xen Server y, a continuación, reinicie el dispositivo.
/opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

[ NSHELP-32260 ]
Durante la conmutación por error de alta disponibilidad de Citrix ADC VPX, el movimiento de la dirección IP elástica en la nube de AWS falla si configura un IPset sin vincular el IPset a ninguna dirección IP.

[ NSHELP-29425 ]
La conmutación por error de alta disponibilidad para la instancia de Citrix ADC VPX en la nube de GCP y AWS falla cuando la contraseña de un nodo RPC contiene un carácter especial.

[ NSHELP-28600 ]

Directivas

Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.

Solución temporal: establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

[ NSPOLICY-1267 ]

SSL

Cuando un servidor virtual recibe un registro TLS 1.3 con un relleno no válido, envía una alerta de “decode_error” fatal en lugar de una alerta de “mensaje inesperado”.

[ NSSSL-11890 ]
En un clúster heterogéneo de dispositivos Citrix ADC SDX 22000 y Citrix ADC SDX 26000, se produce una pérdida de configuración de entidades SSL si se reinicia el dispositivo SDX 26000.

Solución temporal:
1. En el CLIP, inhabilite SSLv3 en todas las entidades SSL nuevas y existentes, como servidores virtuales, servicios, grupos de servicios y servicios internos. Por ejemplo: set ssl vserver <name> -SSL3 DISABLED.
2. Guarde la configuración.
[ NSSSL-9572 ]
No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

[ NSSSL-6478 ]
Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo Citrix ADC no devuelve ningún error.

[ NSSSL-6213 ]
El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM.
ERROR: actualización de crl inhabilitada

[ NSSSL-6106 ]
La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster. (Esta opción no se puede desactivar).

[ NSSSL-4427 ]
Si intenta cambiar el protocolo SSL o el cifrado del perfil SSL, aparece un mensaje de advertencia incorrecto, titulado “Advertencia: no hay cifrados utilizables configurados en el servidor o servicio SSL”.

[ NSSSL-4001 ]

Sistema

En un dispositivo Citrix ADC, el valor predeterminado del parámetro “maxHeaderFieldLen” del perfil HTTP provoca el siguiente problema.
- Fallo de tráfico tras actualizar a la compilación 13.0.
[ NSHELP-32079 ]
Se observa un RTT alto en una conexión TCP si se cumple la siguiente condición:
- se establece una ventana de congestión máxima alta (>4 MB)
- El algoritmo TCP NILE está activado
Para que un dispositivo Citrix ADC utilice el algoritmo NILE para el control de la congestión, las condiciones deben superar el umbral de inicio lento, que se combina con la ventana de congestión máxima

Por lo tanto, hasta que se alcance la ventana de congestión máxima configurada, el Citrix ADC sigue aceptando datos y termina con un RTT alto.

[ NSHELP-31548 ]
Un dispositivo Citrix ADC puede bloquearse cuando se cumple la siguiente condición:
- Tanto el perfil de análisis como la política de AppFlow están enlazados y el perfil tiene habilitada la opción «HttpAllHDRS».
[ NSHELP-30628 ]
El dispositivo Citrix ADC informa de una falsa alarma SNMP en los contadores de inundación SYN del servicio.

[ NSHELP-28710, NSHELP-28713 ]
El aumento de las retransmisiones de paquetes se observa en las implementaciones de clúster MPTCP en la nube pública si el conjunto de enlaces está inhabilitado.

[ NSHELP-27410 ]
Un dispositivo Citrix ADC podría enviar un paquete TCP no válido junto con opciones TCP como bloques SACK, marca de tiempo y ACK de datos MPTCP en conexiones MPTCP.

[ NSHELP-27179 ]
Se observa una discrepancia en los registros de Logstream en el dispositivo Citrix ADC y en el cargador de datos.

[ NSHELP-25796 ]
En ciertos casos, la captura de paquetes nstrace pierde todos los paquetes si aplica el filtro basado en dirección IP.

[ NSHELP-23483 ]
Cuando instala Citrix ADM en un clúster de Kubernetes, no funciona según lo esperado porque es posible que los procesos necesarios no aparezcan.

Solución temporal: reinicie el pod de administración.

[ NSBASE-15556 ]
En una configuración de clúster, un nodo con prioridad de CCO se desconecta de Open vSwitch (OVS) debido a problemas de red. Cuando el nodo se vuelve a unir a la configuración del clúster, no recibe la cookie SYN más reciente.

[ NSBASE-14419 ]

Interfaz de usuario

El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

Solución temporal: Configure los conectores de Cloudbridge agregando perfiles IPSec, túneles IP y reglas de PBR mediante la GUI o CLI de Citrix ADC.

[ NSUI-13024 ]
La modificación de una ruta estática mediante la GUI de Citrix ADC (sistema > red > rutas) podría fallar incorrectamente y mostrar el siguiente mensaje de error:
- “Falta un argumento necesario [puerta de enlace]”
[ NSHELP-32024 ]
En una configuración de HA o clúster, la sincronización de la configuración falla si ha configurado claves SSH distintas de RSA. Por ejemplo, las claves ECDSA o DSA.

[ NSHELP-31675 ]
En un dispositivo Citrix ADC, el enlace de la directiva de caché para anular el global o el global predeterminado mediante la interfaz GUI falla con el siguiente error:
- Falta el argumento obligatorio.
Este error no se ve al vincular la directiva de caché mediante la interfaz CLI.

[ NSHELP-30826 ]
Debido a una secuencia de instalación de actualización incorrecta, se produce el siguiente problema en el dispositivo Citrix ADC.
- La imagen del núcleo se actualiza primero y, tras unos pocos pasos, se copian las claves de cifrado. Entre estos pasos, se produce una falla y el dispositivo ADC presenta una nueva imagen. Las claves de cifrado que faltan en la nueva imagen provocan un error de descifrado y una falta de configuración.
[ NSHELP-30755 ]
La GUI de Citrix ADC puede generar incorrectamente un paquete de asistencia técnica en clúster de un solo nodo en lugar de todos los nodos del clúster.

[ NSHELP-28606 ]
La generación de un paquete de asistencia técnica en clúster mediante la GUI de Citrix ADC puede fallar con un error.

[ NSHELP-28586 ]
Después de actualizar una configuración de alta disponibilidad o una configuración de clúster a la versión 13.0 compilación 74.14 o posterior, la sincronización de la configuración podría fallar por la siguiente razón:
- Las claves privadas y públicas «ssh_host_rsa_key» son un par incorrecto.
Solución alternativa: vuelva a generar «ssh_host_rsa_key». Para obtener más información, consulte https://support.citrix.com/article/CTX322863.

[ NSHELP-27834 ]
No se puede enlazar un servicio o un grupo de servicios a un servidor virtual de equilibrio de carga prioritario mediante la GUI de Citrix ADC.

[ NSHELP-27252 ]
En una configuración de alta disponibilidad, las sesiones de usuario VPN se desconectan si se cumple la siguiente condición:
- Si se realizan dos o más operaciones de failover manual de alta disponibilidad sucesivas cuando la sincronización de alta disponibilidad está en curso.
Solución temporal: Realice sucesivas conmutaciones por error de HA manuales solo después de que se haya completado la sincronización de HA (ambos nodos se encuentran en el estado de sincronización correcta).

[ NSHELP-25598 ]
A veces, las firmas del firewall de la aplicación tardan mucho en sincronizarse con los nodos que no son de CCO. Como resultado, los comandos que utilizan estos archivos pueden fallar.

[ NSCONFIG-4330 ]
Si usted (administrador del sistema) realiza todos los pasos siguientes en un dispositivo Citrix ADC, es posible que los usuarios del sistema no inicien sesión en el dispositivo Citrix ADC degradado.
1. Actualice el dispositivo Citrix ADC a una de las compilaciones
  - 13.0 52.24 compilación
  - 12.1 57,18 compilación
  - 11.1 65.10 compilación
2. Agregar un usuario del sistema o cambiar la contraseña de un usuario del sistema existente y guardar la configuración, y
3. Rebaja la versión del dispositivo Citrix ADC a cualquier versión anterior.
Para mostrar la lista de estos usuarios del sistema mediante la CLI:
En la línea de comandos, escriba:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Solución temporal: Para corregir este problema, utilice una de las siguientes opciones independientes:
- Si el dispositivo Citrix ADC aún no se ha rebajado (paso 3 de los pasos mencionados anteriormente), revierta la versión del dispositivo Citrix ADC con un archivo de configuración del que se ha creado previamente una copia de seguridad (ns.conf) de la misma compilación de la versión.
- Cualquier administrador del sistema cuya contraseña no se haya cambiado en la compilación actualizada puede iniciar sesión en la compilación degradada y actualizar las contraseñas de otros usuarios del sistema.
- Si ninguna de las opciones anteriores funciona, el administrador del sistema puede restablecer las contraseñas de usuario del sistema.
Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

[ NSCONFIG-3188 ]

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Notas de lanzamiento para la versión 13.0-89.7 de Citrix ADC

December 28, 2022

Contribución de:

December 28, 2022

Contribución de:

¿Le ha resultado útil?