Citrix ADC

Notas de la versión de Citrix ADC 13.1-12.51

Este documento de notas de la versión describe las mejoras y los cambios, los problemas resueltos y conocidos que existen para la versión de Citrix ADC, compilaciones 13.1-12.51.

La compilación 13.1—12.51 reemplaza a la compilación 13.1—12.50.

Esta compilación también incluye una solución para el siguiente problema: NSWAF-8668.

Notas

Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.

Novedades

Las mejoras y los cambios que están disponibles en las compilaciones 13.1-12.51.

Autenticación, autorización y auditoría

Compatibilidad con las últimas versiones de las API NAC de Intune

La compatibilidad de Citrix Gateway para el control de acceso a redes (NAC) de Intune ahora se ha mejorado para las últimas versiones de las API NAC de Intune.

[ NSAUTH-9722 ]

Compatibilidad con la implementación activa-activa de GSLB para la autenticación nFactor mediante proxy de conexión

Ahora se ha agregado compatibilidad para la implementación activa-activa de GSLB para la autenticación nFactor mediante el proxy de conexión. Esta compatibilidad se aplica tanto a Citrix Gateway como a los casos de autenticación, autorización y auditoría. Actualmente, si se configuran varios factores en la autenticación nFactor y si la puerta de enlace está configurada para GSLB, la autenticación podría romperse si la solicitud del cliente llega a diferentes sitios GSLB.

Por ejemplo, si LDAP se configura como primer factor y RADIUS se configura como segundo factor, la autenticación podría romperse en el siguiente caso.

  • La solicitud del cliente para LDAP aterriza en el sitio 1 de GSLB.
  • La solicitud de Radius llega al sitio 2 de GSLB. El proxy de conexión ahora se usa para enrutar la solicitud a los sitios GSLB correctos para completar la autenticación y servir el tráfico.

[ NSAUTH-7141 ]

Dispositivo Citrix ADC SDX

En un dispositivo Citrix ADC SDX, Management Service sondea las instancias de Citrix ADC en segundo plano en busca de operaciones, como certificados SSL, funciones de red y auditoría de configuración. Ahora puede habilitar y inhabilitar este sondeo en función de sus requisitos. La desactivación de este sondeo mejora el rendimiento de las instancias de Management Service y ADC.

[ NSSVM-4991 ]

Citrix Web App Firewall

Registro detallado para comprobaciones de seguridad JSON (SQL, CMD y XSS)

El dispositivo Citrix ADC ahora le permite configurar el parámetro de nivel de registro detallado para los detalles de las infracciones de registro, como el patrón, la carga útil del patrón y los detalles del encabezado HTTP para las comprobaciones de seguridad de JSON. Los detalles del registro se envían al servidor Citrix ADM para fines de supervisión y solución de problemas. El mensaje de registro verboso no se almacena en el archivo ns.log.

[ NSWAF-8269 ]

Directivas de registro de auditoría obsoletas de Web App Firewall Classic

Para vincular de forma global las directivas de Web App Firewall, ahora APPFW_GLOBAL se puede configurar un nuevo tipo de enlace global en los comandos bind audit syslogGlobal y bind audit nslogGlobal. Las directivas de registro de auditoría enlazadas globales se evalúan en el contexto de registro de Web App Firewall.

[ NSWAF-406 ]

Equilibrio de carga

Función de directiva de reescritura para el protocolo MQTT

La función de reescritura ahora es compatible con el protocolo MQTT. Puede configurar la directiva de reescritura para que tome medidas en función de los parámetros de las solicitudes del cliente MQTT y las respuestas del servidor.

[ NSLB-8661 ]

Orden prioritario de servicios

La función de orden de prioridad para los servicios le permite priorizar el orden de los servicios o grupos de servicios en función de las preferencias de selección de equilibrio de carga. Ahora puede configurar el orden de selección de servicios cuando vincula los servicios o grupos de servicios a los servidores virtuales LB o GSLB. Se agrega un nuevo parámetro, -order <number>, a los comandos bind para configurar la preferencia de selección de servicios.

De forma predeterminada, el número de pedido más bajo tiene la prioridad más alta. Sin embargo, puede diferir este comportamiento de selección predeterminado. Con los nuevos comandos de acción y directiva de LB, ahora puede configurar el orden de selección de servicios en función del tráfico de clientes entrante.

La función de orden de prioridad para los servicios imita el comportamiento de la funcionalidad de la cadena de servidores virtuales principal y de reserva con menos comandos de configuración.

[ NSLB-8039 ]

Redes

Inserte la dirección IP del cliente en el encabezado externo del túnel IP para configurar el equilibrio de carga sin sesión

En una configuración de equilibrio de carga sin sesión con la siguiente configuración, el dispositivo Citrix ADC encapsulador utiliza una dirección SNIP en lugar de la dirección IP del cliente como IP de origen en el encabezado externo del túnel IP.

  • Servidor virtual de equilibrio de carga:

  • modo de redirección (m): túnel IP
  • sin sesión: habilitado

  • Parámetro global del túnel IP:

  • usar la dirección IP de origen del cliente (useClientSourceIP): habilitado

Sin embargo, en algunos casos, el desencapsulador de túnel (un Citrix ADC back-end o un servidor back-end) debe conocer la dirección IP del cliente.

Para cumplir con este requisito, el dispositivo Citrix ADC encapsulador ahora usa la dirección IP del cliente como la IP de origen en el encabezado externo del túnel IP.

Para obtener más información, consulte Configurar el equilibrio de carga en modo DSR mediante IP sobre IP.

[ NSNET-21804 ]

Platform

La imagen de VMware ESXi se inicia hasta la versión 13 de hardware virtual

Cuando implementa una instancia de Citrix ADC VPX desde la imagen de VMware ESXi (12.1 en adelante), de forma predeterminada, la máquina virtual presenta la versión de hardware 13.

[ NSPLAT-21416 ]

Compatibilidad con el controlador Intel Ethernet series X710 y XL710 en Citrix Hypervisor

Ahora puede configurar una instancia de Citrix ADC VPX que se ejecute en Citrix Hypervisor mediante la virtualización de E/S de raíz única (SR-IOV) con las siguientes NIC:

  • Intel X710 10G
  • Intel XL710 40G

[ NSPLAT-21410 ]

Implemente un par de alta disponibilidad VPX mediante direcciones IP privadas con una VPC compartida de AWS

Ahora puede implementar un par de alta disponibilidad VPX con direcciones IP privadas en diferentes zonas de AWS con nubes privadas virtuales (VPC) compartidas de AWS. El uso compartido de VPC permite que varias cuentas de AWS creen sus recursos de aplicaciones en VPC compartidas y administradas de forma centralizada. Puede crear instancias de Citrix ADC VPX en una VPC compartida de AWS. La VPC compartida reduce la cantidad de VPC que se crean y administran, a la vez que se usan cuentas separadas para la facturación y el control de acceso.

[ NSPLAT-21401 ]

SSL

Nueva expresión para detectar malware basado en la huella digital SSL JA3

Se agrega una nueva expresión SSL, CLIENT.SSL.JA3_FINGERPRINT, que ayuda a identificar cualquier solicitud maliciosa al comparar la solicitud con la huella digital JA3 configurada.

Ejemplo: add ssl policy ja3_pol -rule "CLIENT.SSL.JA3_FINGERPRINT.EQ(bb4c15a90e93a25ddc16274395bce4c6)" -action reset

[ NSSSL-10156 ]

Compatibilidad con paquetes de certificados en clúster

Los paquetes de certificados ahora se admiten en una configuración de clúster.

[ NSSSL-9854 ]

Compatibilidad con el paquete de certificados SSL

La función de paquete de certificados se ha mejorado para tratar el paquete como una entidad. Por lo tanto, no es necesario crear archivos para cada certificado intermedio. Ahora, dos paquetes de certificados pueden compartir parte de la cadena de certificados intermedia. También puede agregar un par de claves de certificado con el mismo certificado y clave de servidor que también forma parte de un paquete de certificados. La eliminación del paquete de certificados también se simplifica.

Anteriormente, al agregar un paquete de certificados, se agregaron varios comandos en la configuración. No puede agregar otro paquete de certificados si dos paquetes comparten un certificado intermedio común. La eliminación también era un proceso manual.

[ NSSSL-9425 ]

Sistema

Los comandos relacionados con la inyección html se eliminaron en la versión 13.1. Este cambio elimina todo el código de backend.

[ NSBASE-14742 ]

Problemas resueltos

Los problemas que se abordan en la compilación 13.1-12.51.

Autenticación, autorización y auditoría

El dispositivo Citrix ADC se bloquea si se configura la OTP de correo electrónico.

[ NSHELP-29312 ]

La herramienta de cifrado OTP nativa no permite caracteres especiales en el nombre del dispositivo.

[ NSHELP-28795 ]

Cuando inicia sesión en el dispositivo Citrix ADC, aparece un campo de contraseña en blanco cuando se cumplen las dos condiciones siguientes.

  • Se configura la autenticación de dos factores Duo
  • Se utiliza el tema del portal RFwebUI

[ NSHELP-27868 ]

Se deniega el acceso a un servicio si se cumplen las siguientes condiciones:

  • El servicio está enlazado a un servidor virtual de autenticación.
  • La autenticación 401 se configura en el servicio y en el servidor virtual al que está enlazado el servicio.

[ NSHELP-26903 ]

En un caso poco frecuente, el nodo secundario en una configuración de alta disponibilidad puede bloquearse si se cumple la siguiente condición.

  • aaa groups y/o aaa users están configurados en el dispositivo Citrix ADC.

[ NSHELP-26732 ]

Si la contraseña de administrador para los servicios LDAP, RADIUS o TACACS contiene el carácter de comillas dobles (“), el dispositivo Citrix ADC lo elimina durante la comprobación de Test Connectivity, lo que provoca un error de conexión.

[ NSHELP-23630 ]

Dispositivo Citrix ADC SDX

En las plataformas Citrix ADC SDX 14000-40G, 15000 y 15000-50G, se produce un error al configurar la velocidad de la interfaz mediante la CLI.

[ NSHELP-29388 ]

Cuando cambia el perfil en una instancia de ADC alojada en la plataforma Citrix ADC SDX, es posible que observe algunas entradas adicionales para el comando save config en el archivo de registros.

[ NSHELP-29343 ]

En un dispositivo Citrix ADC SDX, un agente SNMP que se ejecuta en Management Service devuelve un código de error incorrecto para los OID inexistentes.

[ NSHELP-29209 ]

Los datos de la tabla de eventos ADC ahora se pueden ordenar en las páginas si el número total de registros de datos es inferior a 5000.

[ NSHELP-29170 ]

Citrix Gateway

El dispositivo Citrix ADC podría bloquearse si se configura la EPA y no hay suficiente memoria disponible.

[ NSHELP-28329 ]

El directorio /var/NetScaler/logon/LogonPoint/custom/ no se crea después de una actualización si el directorio no estaba presente inicialmente.

[ NSHELP-28223 ]

Es posible que vea una línea adicional para los registros NS_AUDITLOG_STR* en el archivo ns_aaa_json.c.

[ NSHELP-28160 ]

El registro de DNS no funciona después de que se establece la conexión VPN.

Para solucionar este problema, debe habilitar la perilla nsapimgr, nsapimgr_wr.sh -ys call=toggle_vpn_configured_dns_disable_override.

[ NSHELP-27760 ]

A veces, durante el inicio de sesión de transferencia, las subredes IP de intranet se muestran incorrectamente en el lado del cliente.

[ NSHELP-26904 ]

La latencia ICA de una sesión se registra incorrectamente como 64 000 ms en Citrix Director cuando la latencia L7 está habilitada. La latencia L7 se activa cuando el mando de nsapimgr enable_ica_l7_latency está ajustado a 1.

[ NSHELP-23459 ]

El archivo de registros de Gateway Insight se inunda con el siguiente mensaje cuando los usuarios inician sesión en el dispositivo Citrix Gateway y acceden a las aplicaciones ICA.

GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero Oct 25 23:01:31 <local0.err> 10.217.24.1Oct 25 23:01:31 <local0.err> 10.217.24.101 10/26/2021:06:01:31 GMT NSGWTHDR 0-PPE-0 : default SSLVPN Message 10491736 0 : GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero

[ CGOP-19685 ]

La función de marcadores empresariales del portal de Citrix Gateway solo admite los siguientes protocolos. Todos los demás marcadores están bloqueados. http://, https://, rdp:// y ftp://.

[ CGOP-19543 ]

Citrix Web App Firewall

Si utiliza firmas WAF, después de actualizar la compilación, debe actualizar todas las firmas WAF, incluidas las firmas predeterminadas, a la versión más reciente. A continuación, vuelva a habilitar las reglas de firma requeridas.

[ NSWAF-8668 ]

En algunos casos, un dispositivo Citrix ADC puede bloquearse cuando las URL de captura se generan automáticamente en el sistema de administración de bots.

[ NSHELP-29339 ]

Equilibrio de carga

El grupo de servicios GSLB no puede gestionar las actualizaciones del monitor debido a la falta de un valor ENUM en los comandos fallidos.

[ NSHELP-29050 ]

El dispositivo Citrix ADC se bloquea al intentar liberar memoria asignada en una partición diferente de la que se está liberando.

[ NSHELP-29038 ]

Si hay un registro DNS de tipo ZONE disponible para el dominio principal, la consulta del dominio secundario con un registro NS existente da como resultado un registro SOA del dominio principal en lugar del registro NS del dominio secundario.

[ NSHELP-28793 ]

Es posible que el dispositivo Citrix ADC no responda a una consulta de dominio GSLB con una dirección IP de servicio GSLB esperada, si el servidor virtual GSLB se configura de la siguiente manera: Tipo de persistencia: Dirección IP de origen Algoritmo de equilibrio de carga: Proximidad estática Método de equilibrio de carga de seguridad: Tiempo de ida y vuelta (RTT)

[ NSHELP-28668 ]

El estado del grupo de servicios de Autoscale basado en dominio GSLB o equilibrio de carga permanece INACTIVO si usa un puerto comodín.

[ NSHELP-28548 ]

El último mensaje de respuesta se muestra incorrectamente para los monitores enlazados a grupos de servicios GSLB.

[ NSHELP-28393 ]

El valor cookieTimeout se establece incorrectamente durante la operación GET, lo que provoca un error en la operación de actualización del servidor virtual de CS.

[ NSHELP-27979 ]

Un dispositivo Citrix ADC puede fallar al manejar la sonda de monitor para el tipo de monitor mysql, lo que eventualmente lleva a un reinicio del sistema.

[ NSHELP-27953 ]

Otros

La instancia CPX de Citrix ADC, que se ejecuta en un sistema Linux con arquitectura de 64 bits y 1 TB de almacenamiento de archivos, puede cargar archivos de certificados y claves ahora.

[ NSHELP-28986 ]

La coincidencia del patrón del conjunto de URL falla para los dominios estándar IDNA2008.

[ NSHELP-28902 ]

Cuando el reenvío basado en Mac (MBF) está habilitado para VXLAN, no se establecía la sesión TCP con estado.

[ NSHELP-27125 ]

Redes

La actualización de un dispositivo Citrix ADC que tiene particiones de administración puede provocar alguna pérdida de configuración si se cumple la siguiente condición:

  • Si toda la memoria del sistema disponible se asigna a particiones de administración.

[ NSNET-23031 ]

LIMITACIONES -

La VLAN ID 2 está reservada para uso interno

VLAN ID 2 está reservado para uso interno para implementaciones en el modo puente y ninguno. Citrix ADC CPX vincula todas las interfaces, excepto la 0/1, a la VLAN ID 2 y la MTU (unidades máximas de transmisión) de la VLAN ID 2 se establece igual a la MTU de la interfaz eth0. Si quiere configurar la VLAN y vincular la interfaz con ella, establezca la MTU en la VLAN como la MTU de la interfaz configurada en Linux, si la MTU de la interfaz es inferior a 1500 bytes.

[ NSNET-22807 ]

Un dispositivo Citrix ADC BLX en modo DPDK podría bloquearse si se configura un perfil de Firewall de aplicaciones web con comprobaciones de protección de seguridad avanzadas.

[ NSNET-22654 ]

El dispositivo Citrix ADC puede bloquearse al crear una sonda de monitor para el servicio relacionado si se cumplen las siguientes condiciones:

  • Un perfil de red con un conjunto de IP que tiene al menos una dirección IPv4 y ninguna dirección IPv6. El perfil de red está enlazado a un monitor, que se establece en un servicio IPv6.
  • Un perfil de red con un conjunto de IP que tiene al menos una dirección IPv6 y ninguna dirección IPv4. El perfil de red está enlazado a un monitor, que se establece en un servicio IPv4.

[ NSHELP-29382 ]

En un dispositivo Citrix ADC, las conexiones de datos FTP pasivas pueden perderse después de un error de asignación de memoria.

[ NSHELP-26522 ]

Platform

Las instancias de Citrix ADC VPX que usan el controlador VMXNET3 pueden bloquearse de forma aleatoria si la instancia se ejecuta en una de las siguientes compilaciones de Citrix ADC:

  • Citrix ADC 13.1 compilación 4.x
  • Citrix ADC 13.1 compilación 9.x

[ NSHELP-29120 ]

Directivas

Un dispositivo Citrix ADC puede bloquearse con las siguientes condiciones:

  • Una acción de mensaje de auditoría se configura con la expresión del generador de cadenas con una o más funciones REGEX aplicadas al cuerpo de una solicitud.
  • Un perfil de Application Firewall configurado con la opción Streaming habilitada.

Por ejemplo: HTTP.REQ.BODY(10000000).REGEX_SELECT(re/name=[^\r\n]*[\r\n]+/).

[ NSHELP-27895 ]

SSL

Un dispositivo Citrix ADC se bloquea al procesar una solicitud HTTP si la acción de directiva se establece en Forward para una directiva que ya está enlazada en el punto de enlace de la solicitud.

[ NSHELP-29115 ]

Un dispositivo Citrix ADC se bloquea si se siguen los siguientes pasos:

  1. Se agrega un monitor de tipo SSL.
  2. Un par de claves de certificado está vinculado al monitor.
  3. Se quita el monitor.
  4. Se agrega otro monitor con el mismo nombre.
  5. Se actualiza el par de claves de certificado.

[ NSHELP-28666 ]

Ahora se muestran todas las direcciones IP de un certificado SAN. Anteriormente, solo se mostraba la última dirección IP de SAN de todas las direcciones IP del certificado de SAN.

[ NSHELP-27336 ]

El protocolo de enlace SSL falla si utiliza cifrados DH con un HSM externo.

[ NSHELP-25307 ]

Sistema

Cuando un dispositivo Citrix ADC recibe una trama GOWAY HTTP/2 de un cliente, restablece incorrectamente todas las transmisiones con un ID de transmisión mayor que el ID prometido (último identificador de transmisión iniciado por el par).

[ NSHELP-29328 ]

En Citrix ADM, el agente ADM puede informar de un uso elevado de memoria debido a un problema en el agente ADM.

[ NSHELP-29285 ]

El dispositivo Citrix ADC se bloquea cuando se cumplen todas las condiciones siguientes:

  • Una acción de inspección de contenido, con una dirección IP de servidor, utiliza los datos internos de un servicio si ya está configurado.
  • Como resultado, los datos internos del servicio también se eliminan cuando se elimina la acción de CI.
  • Cuando se elimina el servicio real, el dispositivo Citrix ADC intenta acceder y eliminar los datos internos ya eliminados.

[ NSHELP-28293 ]

En un dispositivo Citrix ADC con particiones de administración, es posible que la utilidad nstrace no se ejecute correctamente en una partición no predeterminada

[ NSBASE-15738 ]

En una configuración de clúster, un nodo con prioridad de CCO se desconecta de Open vSwitch (OVS) debido a problemas de red. Cuando el nodo se vuelve a unir a la configuración del clúster, no recibe la cookie SYN más reciente.

[ NSBASE-14419 ]

Interfaz de usuario

Las instancias de ADC en un modo de clúster configuradas con capacidad agrupada disminuyen. Este problema ocurre cuando se configura un nombre de host en los nodos del clúster y si los nodos tardan más en conectarse al servidor de licencias ADM durante el arranque.

[ NSHELP-28613 ]

La GUI de Citrix ADC puede generar incorrectamente un paquete de asistencia técnica en clúster de un solo nodo en lugar de todos los nodos del clúster.

[ NSHELP-28606 ]

La generación de un paquete de asistencia técnica en clúster mediante la GUI de Citrix ADC puede fallar con un error.

[ NSHELP-28586 ]

En una interfaz CLI de Citrix ADC, las opciones para vincular comandos no se completan automáticamente si presiona la tecla <Tab> mientras escribe el comando en el símbolo del sistema.

Por ejemplo, escriba el siguiente comando y, al usar la tecla <Tab>, los objetos no se rellenan automáticamente.

bind authentication vserver <authvservername> -policy <Tab>.

En este caso, el servidor virtual de autenticación se puede vincular a varios tipos de objetos, como la directiva de radio, la directiva de Idappolicy, la directiva de certificados, la directiva de TACAS, la directiva de autenticación avanzada, etc.

[ NSCONFIG-6340 ]

Problemas conocidos

Los problemas que existen en las versiones 13.1-12.51.

AppFlow

HDX Insight no informa de un error de inicio de aplicación causado por un usuario que intenta iniciar una aplicación o un escritorio a los que el usuario no tiene acceso.

[ NSINSIGHT-943 ]

Autenticación, autorización y auditoría

En algunos casos, se observa una pérdida de memoria en un dispositivo Citrix ADC si la funcionalidad SSO se usa con un servidor proxy.

[ NSHELP-27744 ]

Un dispositivo Citrix ADC no autentica los intentos de inicio de sesión con contraseñas duplicadas y evita los bloqueos de cuentas.

[ NSHELP-563 ]

LoginSchema DualAuthPushOrOTP.xml no aparece correctamente en la pantalla del editor de esquemas de inicio de sesión de la GUI de Citrix ADC.

[ NSAUTH-6106 ]

El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando. show adfsproxyprofile <profile name>

Solución:

Conéctese al Citrix ADC activo principal del clúster y ejecute el comando show adfsproxyprofile <profile name>. Mostraría el estado del perfil de proxy.

[ NSAUTH-5916 ]

La página Configurar servidor LDAP de autenticación de la GUI de Citrix ADC deja de responder si sigue los pasos siguientes:

  • Se abre la opción Probar accesibilidad LDAP.
  • Las credenciales de inicio de sesión no válidas se rellenan y envían.
  • Las credenciales de inicio de sesión válidas se rellenan y envían.

Solución:

Cierre y abra la opción Probar accesibilidad de LDAP.

[ NSAUTH-2147 ]

Almacenamiento en caché

Es posible que un dispositivo Citrix ADC se bloquee si la función Almacenamiento en caché integrado está habilitada y el dispositivo tiene poca memoria.

[ NSHELP-22942 ]

Dispositivo Citrix ADC SDX

En un dispositivo Citrix ADC SDX, si el CLAG se crea en una NIC Mellanox, la MAC de CLAG cambia cuando se reinicia la instancia VPX. El tráfico a la instancia VPX se detiene tras el reinicio porque la tabla MAC tiene la antigua entrada MAC de CLAG.

[ NSSVM-4333 ]

En un dispositivo Citrix ADC SDX, las instancias de ADC no alcanzan su capacidad máxima al configurar el modo de asignación de rendimiento en ráfagas.

[ NSHELP-27477 ]

Las caídas de paquetes se observan en una instancia VPX alojada en un dispositivo Citrix ADC SDX si se cumplen las siguientes condiciones:

  • El modo de asignación de rendimiento está en ráfaga.
  • Existe una gran diferencia entre el rendimiento y la capacidad máxima de ráfaga.

[ NSHELP-21992 ]

Citrix Gateway

En algunos casos, el código de validación del servidor falla cuando se confía en el certificado del servidor. Como resultado, los usuarios finales no pueden acceder a la puerta de enlace.

[ NSHELP-28942 ]

A veces, después de desconectar la VPN, el solucionador de DNS no resuelve los nombres de host porque los sufijos DNS se eliminan durante la desconexión de la VPN.

[ NSHELP-28848 ]

La autenticación de certificados de cliente falla para Citrix SSO para macOS si no hay certificados de cliente en el llavero de macOS.

[ NSHELP-28551 ]

A veces, se desactiva la sesión de un usuario en Citrix Gateway en unos segundos cuando se establece el tiempo de espera de inactividad del cliente.

[ NSHELP-28404 ]

Es posible que el complemento de Windows se bloquee durante la autenticación.

[ NSHELP-28394 ]

El complemento EPA para Windows no utiliza el proxy configurado del equipo local y se conecta directamente al servidor de puerta de enlace.

[ NSHELP-24848 ]

Gateway Insight no muestra información precisa sobre los usuarios de VPN.

[ NSHELP-23937 ]

El complemento VPN no establece un túnel después del inicio de sesión de Windows si se cumplen las siguientes condiciones:

  • El dispositivo Citrix Gateway está configurado para la función Always On
  • El dispositivo está configurado para la autenticación basada en certificados con autenticación de dos factores off

[ NSHELP-23584 ]

A veces, al navegar por los esquemas, aparece el mensaje de error Cannot read property 'type' of undefined.

[ NSHELP-21897 ]

Si quiere utilizar la funcionalidad Always On VPN antes de iniciar sesión en Windows, se recomienda actualizar a Citrix Gateway 13.0 o posterior. Esto le permite aprovechar las mejoras adicionales introducidas en la versión 13.0 que no están disponibles en la versión 12.1.

[ CGOP-19355 ]

El error de inicio de la aplicación debido a un tíquet STA no válido no se informa en Gateway Insight.

[ CGOP-13621 ]

El informe Gateway Insight muestra incorrectamente el valor en Local lugar de SAML en el campo Tipo de autenticación para los errores de SAML.

[ CGOP-13584 ]

En una configuración de alta disponibilidad, durante la conmutación por error de Citrix ADC, el recuento de SR aumenta en lugar del recuento de conmutación por error en Citrix ADM.

[ CGOP-13511 ]

Al aceptar conexiones de host locales desde el explorador, el cuadro de diálogo Aceptar conexión para macOS muestra el contenido en inglés, independientemente del idioma seleccionado.

[ CGOP-13050 ]

El texto Home Page de la página de inicio de la aplicación Citrix SSO se trunca en algunos idiomas.

[ CGOP-13049 ]

Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de Citrix ADC.

[ CGOP-11830 ]

En Outlook Web App (OWA) 2013, al hacer clic en Opciones en el menú Configuración, se muestra un cuadro de diálogo Error crítico. Además, la página deja de responder.

[ CGOP-7269 ]

En una implementación de clúster, si ejecuta un comando force cluster sync en un nodo que no es de CCO, el archivo ns.log contiene entradas de registro duplicadas.

[ CGOP-6794 ]

Equilibrio de carga

En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.

[ NSLB-7679 ]

El formato serviceGroupName de la captura entityofs del grupo de servicios es el siguiente: <service(group)name>?<ip/DBS>?<port>

En el formato de captura, el grupo de servicios se identifica mediante una dirección IP o un nombre y puerto de DBS. El signo de interrogación (?) se utiliza como separador. Citrix ADC envía la captura con el signo de interrogación (?). El formato aparece igual en la GUI de Citrix ADM. Este es el comportamiento esperado.

[ NSHELP-28080 ]

Otros

Cuando se produce una sincronización forzada en una configuración de alta disponibilidad, el dispositivo ejecuta el comando set urlfiltering parameter en el nodo secundario. Como resultado, el nodo secundario omite cualquier actualización programada hasta la siguiente hora programada mencionada en el parámetro TimeOfDayToUpdateDB.

[ NSSWG-849 ]

Un dispositivo Citrix ADC puede reiniciarse debido al estancamiento de la CPU de administración si se produce un problema de conectividad con el proveedor externo de filtrado de URL.

[ NSHELP-22409 ]

Redes

Tras una actualización de la versión 13.0 61.x del dispositivo Citrix ADC BLX a la versión 13.0 64.x, se pierde la configuración del archivo de configuración BLX. El archivo de configuración de BLX se restablece a los valores predeterminados.

[ NSNET-17625 ]

Las siguientes operaciones de interfaz no son compatibles con las interfaces X710 10G (i40e) de Intel en un dispositivo Citrix ADC BLX con DPDK:

  • Disable
  • Enable
  • Restablecer

[ NSNET-16559 ]

En un host Linux basado en Debian (Ubuntu versión 18 y posteriores), un dispositivo Citrix ADC BLX siempre se implementa en modo compartido independientemente de la configuración del archivo de configuración BLX()/etc/blx/blx.conf. Este problema se produce porque mawk, que está presente de forma predeterminada en los sistemas Linux basados en Debian, no ejecuta algunos de los comandos awk presentes en el archivo blx.conf.

Solución:

Instale gawk antes de instalar un dispositivo Citrix ADC BLX. Puede ejecutar el siguiente comando en la CLI del host de Linux para instalar gawk:

  • apt-get install gawk

[ NSNET-14603 ]

La instalación de un dispositivo Citrix ADC BLX podría fallar en un host Linux basado en Debian (versión 18 y posteriores de Ubuntu) con el siguiente error de dependencia:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Solución:

Ejecute los siguientes comandos en la CLI del host Linux antes de instalar un dispositivo Citrix ADC BLX:

  • dpkg — agregar arquitectura i386
  • actualización apt-get
  • apt-get dist-upgrade
  • apt-get install libc6:i386

[ NSNET-14602 ]

En algunos casos de conexiones de datos FTP, el dispositivo Citrix ADC solo realiza operaciones NAT y no procesamiento TCP en los paquetes para la negociación TCP MSS. Como resultado, la MTU de interfaz óptima no está configurada para la conexión. Esta configuración de MTU incorrecta provoca la fragmentación de los paquetes y afecta al rendimiento de la CPU.

[ NSNET-5233 ]

En una configuración de alta disponibilidad, en el caso de que la versión de alta disponibilidad no coincida entre ambos nodos, las rutas dinámicas no se sincronizan con el nodo secundario. No se puede acceder al nodo secundario si su accesibilidad depende de las rutas dinámicas.

Como solución, las rutas dinámicas se sincronizan con el nodo secundario incluso en caso de que la versión de alta disponibilidad no coincida.

[ NSHELP-28326 ]

Cuando se cambia un límite de memoria de la partición de administración en el dispositivo Citrix ADC, el límite de memoria intermedia TCP se establece automáticamente en el nuevo límite de memoria de la partición de administración.

[ NSHELP-21082 ]

Platform

La conmutación por error de alta disponibilidad no funciona en las nubes de AWS y GCP. La CPU de administración puede alcanzar su capacidad del 100% en las nubes de AWS y GCP, y en Citrix ADC VPX en las instalaciones. Ambos problemas se producen cuando se cumplen las siguientes condiciones:

  1. Durante el primer arranque del dispositivo Citrix ADC, no guarda la contraseña solicitada.
  2. Posteriormente, reinicie el dispositivo Citrix ADC.

[ NSPLAT-22013 ]

Cuando actualiza de compilaciones 13.0/12.1/11.1 a una versión 13.1 o baja de una compilación 13.1 a 13.0/12.1/11.1, algunos paquetes python no se instalan en los dispositivos Citrix ADC. Este problema se ha solucionado en las siguientes versiones de Citrix ADC:

  • 13.1-4.x
  • 13.0-82.31 y posteriores
  • 12.1-62.21 y posteriores

Los paquetes python no se instalan cuando se degrada la versión de Citrix ADC de la versión 13.1-4.x a cualquiera de las siguientes versiones:

  • Cualquier compilación 11.1
  • 12.1-62.21 y anteriores
  • 13.0-81.x y anteriores

[ NSPLAT-21691 ]

El aprovisionamiento de una instancia VPX con la versión 12.0 XVA falla en un dispositivo Citrix ADC SDX que ejecuta la versión 13.1.

Solo se admiten las versiones 12.1 y posteriores de VPX. Actualice la versión VPX antes de actualizar el SBI a la versión 13.1.

[ NSPLAT-21442 ]

En una configuración de clúster en un dispositivo Citrix ADC SDX, hay una discordancia de CLAG MAC en el segundo nodo y CLIP si se cumplen las siguientes condiciones:

  • El CLAG se crea en una NIC Mellanox.
  • Agrega otra instancia VPX al clúster y a la configuración de CLAG.

Como resultado, el tráfico a la instancia VPX se detiene.

[ NSPLAT-21049 ]

En una configuración de clúster en un dispositivo Citrix ADC SDX, el primer nodo se cae debido a una discordancia de direcciones MAC en la tabla CLIP y MAC, si se cumplen las siguientes condiciones:

  • El CLAG se crea en una NIC Mellanox.
  • Quita el segundo nodo del clúster.

[ NSPLAT-21042 ]

Al eliminar una configuración de escalabilidad automática o un conjunto de escalas de VM de un grupo de recursos de Azure, elimine la configuración del perfil de nube correspondiente de la instancia de Citrix ADC. Utilice el comando rm cloudprofile para borrar el perfil.

[ NSPLAT-4520 ]

En una configuración de alta disponibilidad en Azure, al iniciar sesión en el nodo secundario a través de la GUI, aparece la pantalla de usuario por primera vez (FTU) para la configuración del perfil de nube de escalabilidad automática. Solución alternativa: omita la pantalla e inicie sesión en el nodo principal para crear el perfil de nube. El perfil de la nube siempre debe configurarse en el nodo principal.

[ NSPLAT-4451 ]

Directivas

Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es mayor que el tamaño de búfer TCP predeterminado configurado.Solución alternativa: establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

[ NSPOLICY-1267 ]

SSL

En un clúster heterogéneo de dispositivos Citrix ADC SDX 22000 y Citrix ADC SDX 26000, se produce una pérdida de configuración de entidades SSL si se reinicia el dispositivo SDX 26000.

Solución:

  1. En el CLIP, inhabilite SSLv3 en todas las entidades SSL nuevas y existentes, como servidores virtuales, servicios, grupos de servicios y servicios internos. Por ejemplo, set ssl vserver <name> -SSL3 DISABLED.
  2. Guarde la configuración.

[ NSSSL-9572 ]

El comando Actualizar no está disponible para los siguientes comandos de adición:

  • agregar aplicación azure
  • add azure keyvault
  • agregar ssl certkey con la opción hsmkey

[ NSSSL-6484 ]

No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

[ NSSSL-6478 ]

Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo Citrix ADC no devuelve ningún error.

[ NSSSL-6213 ]

El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM. ERROR: actualización de crl inhabilitada

[ NSSSL-6106 ]

La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster. (Esta opción no se puede desactivar).

[ NSSSL-4427 ]

Aparece Warning: No usable ciphers configured on the SSL vserver/service,, un mensaje de advertencia incorrecto, si intenta cambiar el protocolo o el cifrado SSL en el perfil SSL.

[ NSSSL-4001 ]

Un tíquet de sesión caducado se respeta en un nodo que no es de CCO y en un nodo de alta disponibilidad después de una conmutación por error de alta disponibilidad.

[ NSSSL-3184 ]

Sistema

El valor MAX_CONCURRENT_STREAMS se establece en 100 de forma predeterminada si el dispositivo no recibe la trama de configuración max_concurrent_stream del cliente.

[ NSHELP-21240 ]

Los contadores mptcp_cur_session_without_subflow disminuyen incorrectamente a un valor negativo en lugar de cero.

[ NSHELP-10972 ]

Al procesar grandes flujos de tráfico de gRPC, la ventana anunciada por TCP aumenta exponencialmente, lo que lleva a un uso elevado de memoria.

[ NSBASE-15447 ]

La IP del cliente y la IP del servidor se invierten en el registro SkipFlow de HDX Insight cuando el tipo de transporte LogStream se configura para Insight.

[ NSBASE-8506 ]

Compatibilidad con ICAP para Citrix ADC

Un dispositivo Citrix ADC ahora admite el Protocolo de adaptación de contenido de Internet (ICAP) para el servicio de transformación de contenido en el tráfico HTTP y HTTPS. El dispositivo actúa como cliente ICAP e interactúa con servidores ICAP de terceros, como antimalware y Prevención de fugas de datos (DLP). Los servidores ICAP realizan una transformación del contenido de los mensajes HTTP y HTTPS y responden al dispositivo como mensajes modificados. Los mensajes adaptados son una respuesta o solicitud HTTP o HTTPS. Para obtener más información, consulte https://docs.citrix.com/en-us/netscaler/12-1/security/icap-for-remote-content-inspection.html

[ NSBASE-825 ]

Interfaz de usuario

Para la función Reescritura de MQTT, no puede eliminar una expresión mediante el Editor de expresiones en la GUI.

Solución:

Use el comando add or edit action de tipo MQTT a través de la CLI.

[ NSUI-18049 ]

En la GUI de Citrix ADC, el enlace Help presente debajo de la ficha Dashboard no funciona.

[ NSUI-14752 ]

El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

Solución:

Configure los conectores de cloudbridge agregando perfiles IPSec, túneles IP y reglas PBR mediante la GUI o la CLI de Citrix ADC.

[ NSUI-13024 ]

Si crea una clave ECDSA mediante la interfaz gráfica de usuario, no se muestra el tipo de curva.

[ NSUI-6838 ]

En una configuración de alta disponibilidad, las sesiones de usuario VPN se desconectan si se cumple la siguiente condición:

  • Si se realizan dos o más operaciones de failover manual de alta disponibilidad sucesivas cuando la sincronización de alta disponibilidad está en curso.

Solución:

Realice una conmutación por error manual de alta disponibilidad sucesiva solo después de que se haya completado la sincronización de alta disponibilidad (ambos nodos están en estado de sincronización correcta).

[ NSHELP-25598 ]

Al cambiar una versión 13.0-71.x de un dispositivo Citrix ADC a una versión anterior, es posible que algunas API de Nitro no funcionen debido a los cambios en los permisos del archivo.

Solución:

Cambie el permiso de /nsconfig/ns.conf a 644.

[ NSCONFIG-4628 ]

Si usted (administrador del sistema) realiza todos los pasos siguientes en un dispositivo Citrix ADC, es posible que los usuarios del sistema no inicien sesión en el dispositivo Citrix ADC degradado.

  1. Actualice el dispositivo Citrix ADC a una de las compilaciones:
  • 13.0 52.24 compilación
  • 12.1 57,18 compilación
  • 11.1 65.10 compilación
  1. Agregar un usuario del sistema o cambiar la contraseña de un usuario del sistema existente y guardar la configuración, y
  2. Rebaja la versión del dispositivo Citrix ADC a cualquier versión anterior.

Para mostrar la lista de estos usuarios del sistema mediante la CLI: En el símbolo del sistema, escriba:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Solución:

Para solucionar este problema, utilice una de las siguientes opciones independientes:

  • Si el dispositivo Citrix ADC aún no se ha rebajado (paso 3 de los pasos mencionados anteriormente), revierta la versión del dispositivo Citrix ADC con un archivo de configuración del que se ha creado previamente una copia de seguridad (ns.conf) de la misma compilación de la versión.
  • Cualquier administrador del sistema cuya contraseña no se haya cambiado en la compilación actualizada puede iniciar sesión en la compilación degradada y actualizar las contraseñas de otros usuarios del sistema.
  • Si ninguna de las opciones anteriores funciona, el administrador del sistema puede restablecer las contraseñas de usuario del sistema.

Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

[ NSCONFIG-3188 ]

Notas de la versión de Citrix ADC 13.1-12.51