Citrix ADC

Notas

Este documento de notas de la versión describe las mejoras y los cambios, los problemas resueltos y conocidos que existen para la versión de Citrix ADC, compilación 13.1-21.50.

Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.

Las compilaciones 13.1-21.50 y posteriores abordan las vulnerabilidades de seguridad descritas en https://support.citrix.com/article/CTX457048.

Novedades

Las mejoras y los cambios que están disponibles en las compilaciones 13.1-21.50.

Administración de bots

Técnica de límite de velocidad de bots basada en la ubicación geográfica del usuario

La técnica de detección de límite de velocidad de bots ahora le permite limitar el bot de tráfico en función de la ubicación geográfica del usuario. En esta configuración, puede establecer un nombre de país como un valor similar al de la URL o al nombre de la cookie. De esta manera, puede aplicar una limitación de tarifa diferente para diferentes países. Anteriormente, la técnica de detección podía limitar el tráfico solo en función de la dirección IP, la sesión o la URL del cliente.

[ NSBOT-753 ]

Técnica mejorada de huellas dactilares del dispositivo (DFP) para la detección de exploradores sin cabeza

Un hacker puede acceder a los recursos del servidor a través de un explorador sin cabeza automatizando procesos como la creación de cuentas de varios usuarios, la reserva de boletos, el desguace de precios, el relleno de credenciales, los ataques de hilado de boletos, etc.

La técnica de detección de huellas dactilares del dispositivo (DFP) en un perfil de bot ahora se ha mejorado con inteligencia para detectar bots sin cabeza y controladores web. Para mitigar el tráfico de bots de exploradores sin cabeza, debe habilitar la opción Detección de explorador sin cabeza junto con la función de detección de huellas dactilares del dispositivo.

[ NSBOT-747 ]

Citrix Web App Firewall

Relajación detallada para los ataques de inyección de comandos JSON

El dispositivo Citrix ADC ahora le permite configurar una relajación detallada para los ataques de inyección de comandos JSON.

[ NSWAF-8511 ]

Relajación pormenorizada para los ataques de scripting de sitios JSON

El dispositivo Citrix ADC ahora le permite configurar una relajación detallada para los ataques de scripting de sitios JSON.

[ NSWAF-8510 ]

Relajación pormenorizada para los ataques de inyección JSON SQL

El dispositivo Citrix ADC ahora le permite configurar una relajación pormenorizada para los ataques de inyección JSON SQL.

[ NSWAF-8509 ]

Equilibrio de carga

Mensajes de error de API de estado deseado mejorados

El mensaje de error que se muestra cuando la dirección IP de un miembro del grupo de servicios ya está asociada a otras entidades de Citrix ADC, como el servidor virtual de CS, se mejora. El motivo del fallo se aclara ahora en el mensaje de error. Anteriormente, el motivo del error en el mensaje de error no estaba claro.

[ NSLB-9005 ]

La API de estado deseado admite la reutilización de direcciones IP y nombres de servidores existentes

La API de estado deseado ahora admite la vinculación de miembros del grupo de servicios a un grupo de servicios, incluso si la dirección IP de un miembro del grupo de servicios coincide con un servidor existente. La dirección IP y el nombre del servidor existente se reutilizan mientras se vincula al miembro del grupo de servicios.

Anteriormente, cuando la dirección IP coincidía, la vinculación de los miembros del grupo de servicios a un grupo de servicios no tenía éxito.

[ NSLB-9004 ]

Redes

Compatibilidad con enlaces basados en CIDR en conjuntos de datos IPv4 para ACL extendidas

La ACLS extendida ahora admite conjuntos de datos IPv4 que contienen rangos de direcciones IPv4 especificados en la notación CIDR.

[ NSNET-24452 ]

Compatibilidad de escalado del lado de recepción de software para el dispositivo Citrix ADC BLX en modo DPDK

Un dispositivo Citrix ADC BLX en modo DPDK y configurado con una mayor cantidad de motores de paquetes, no admite un puerto NIC con un número menor de colas de envío (Tx) y recepción (Rx).

Un dispositivo Citrix ADC BLX en modo DPDK no usa un puerto NIC si se cumplen las dos condiciones siguientes:

  • El dispositivo tiene un puerto NIC que admite un número limitado de colas de envío (Tx) y colas de recepción (Rx). Por ejemplo, 7.
  • El dispositivo está configurado con un número mayor de motores de paquetes. Por ejemplo, 28.

Para resolver este problema, a partir de la compilación 13.1 21.x, el dispositivo Citrix ADC BLX utiliza el ajuste de escala del lado de recepción (RSS) para distribuir de manera eficiente los paquetes recibidos en los puertos NIC en varios motores de paquetes.

El módulo RSS de software asigna un par lógico de colas Rx y Tx a cada puerto NIC. A continuación, el par de colas se mapea al motor de paquetes PE-0.

Para cada paquete en la cola Rx de un puerto NIC, el PE-0 selecciona un motor de paquetes mediante un algoritmo hash RSS. A continuación, PE-0 envía el paquete al motor de paquetes seleccionado para su procesamiento. Una vez finalizado el procesamiento del paquete, PE-0 envía el paquete a la cola Tx del puerto NIC.

[ NSNET-23133 ]

Configurar el servicio GUI HTTP interno mediante la GUI de Citrix ADC, la CLI de Citrix ADC o las API de Citrix ADC NITRO

En un dispositivo Citrix ADC, /etc/httpd.conf es el archivo de configuración para el servicio GUI HTTP interno que administra las conexiones a la GUI de Citrix ADC.

En lugar de usar el archivo httpd.conf para configurar el servicio GUI HTTP interno, ahora puede usar la GUI de Citrix ADC, la CLI de Citrix ADC o las API de Citrix ADC NITRO. Por ejemplo, puede usar la CLI de Citrix ADC para modificar la cantidad máxima de clientes que pueden conectarse al servicio HTTP interno a la vez.

El servicio GUI HTTP interno tiene el siguiente formato de nombre: nshttpd-gui-<loop back IP address>-80

Use las operaciones de comandos del servicio Citrix ADC para configurar el servicio GUI HTTP interno.

[ NSNET-20350 ]

Plataforma

Compatibilidad con la plataforma Citrix ADC MPX 9100

Esta versión admite la plataforma Citrix ADC MPX 9100. Incluye los modelos MPX 9110, MPX 9120 y MPX9130. Para obtener más información, consulte Citrix ADC MPX 9100.

[ NSPLAT-23308 ]

Compatibilidad con la plataforma Citrix ADC SDX 9100

Esta versión admite la plataforma Citrix ADC SDX 9100. Incluye los modelos SDX 9120 y SDX 9130. Para obtener más información, consulte Citrix ADC SDX 9100.

[ NSPLAT-23299 ]

Mejore el rendimiento de SSL-TPS en las nubes de AWS y GCP

Puede obtener un mejor rendimiento de SSL-TPS en las nubes de AWS y GCP si distribuye los pesos del motor de paquetes (PE) por igual. Para hacerlo, ejecute el siguiente comando en la CLI de Citrix ADC para establecer el modo PE:

set cpuparam pemode [CPUBOUND | Default]

En una nube de Azure, los pesos de PE se distribuyen equitativamente de forma predeterminada. Esta función no mejora el rendimiento de las instancias de Azure.

[ NSPLAT-22570 ]

Compatibilidad con la actualización 3c de VMware ESXi 7.0 en la instancia de Citrix ADC VPX

La instancia de Citrix ADC VPX ahora admite la actualización 3c de la versión 7.0 de VMware ESXi (compilación 19193900).

[ NSPLAT-22468 ]

SSL

Ver detalles de la utilización de chips SSL en plataformas Citrix ADC

A partir de la versión 13.1 compilación 21.x, se agregan contadores para ver más detalles sobre la utilización de chips SSL en plataformas MPX y SDX que se suministran con chips Intel Coleto y plataforma MPX 9100 (Lewisburg). En plataformas no compatibles, estos contadores muestran un valor de 0.0.

Para obtener más información, consulte Compatibilidad con plataformas basadas en chips SSL Intel Coleto y Lewisberg.

[ NSSSL-10996 ]

Compatibilidad con certificados y cifrados ECDSA con DTLS

Los certificados y cifrados ECDSA ahora se pueden usar en entidades DTLS, como servidores y servicios virtuales.

[ NSSSL-9535 ]

Sistema

Mejoras relacionadas con el envío de detalles del cliente en el encabezado de opción TCP

  • El dispositivo Citrix ADC ahora inserta la dirección IP del cliente en el paquete ACK final del apretón de manos de tres vías además del primer paquete de datos. Anteriormente, el dispositivo enviaba la dirección IP del cliente solo en el primer paquete de datos.
  • El dispositivo Citrix ADC ahora admite el envío de puertos de cliente en la opción TCP para la configuración del modo de inserción. Se ha introducido un parámetro Send Client Port in Tcp Option (sendClientPortInTcpOption) en el perfil TCP para habilitar o inhabilitar esta función.

[ NSBASE-15635 ]

Problemas resueltos

Los problemas que se abordan en la compilación 13.1-21.50.

Autenticación, autorización y auditoría

El dispositivo Citrix ADC puede bloquearse si se produce un error al actualizar el par de claves de certificado SSL que se utiliza en la configuración de SAML. Para solucionar este problema, puede desvincular el certificado, actualizarlo y volver a vincularlo.

[ NSHELP-30270 ]

Los usuarios no pueden iniciar sesión en el dispositivo Citrix ADC si la solicitud de inicio de sesión que utiliza SAML contiene caracteres de espacio en blanco distintos de ‘’ (comillas simples). Con esta corrección, se permiten todos los caracteres de espacio en blanco.

[ NSHELP-29773 ]

Al enviar una solicitud AS_REQ para un usuario delegado, que forma parte del SSO de KCD, el dispositivo Citrix ADC selecciona un tipo de cifrado con la siguiente prioridad cuando el controlador de dominio (DC) publica todos los tipos de cifrado.

  1. ETYPE_ARCFOUR_HMAC_MD5
  2. ETYPE_AES128_CTS_HMAC_SHA1_96
  3. ETYPE_AES256_CTS_HMAC_SHA1_96En lugar de
  4. ETYPE_AES256_CTS_HMAC_SHA1_96
  5. ETYPE_AES128_CTS_HMAC_SHA1_96
  6. ETYPE_ARCFOUR_HMAC_MD5

[ NSHELP-28681 ]

A veces, la autenticación puede fallar cuando se utilizan Autenticación, autorización y auditing.login.Password.

[ NSHELP-28101 ]

El dispositivo Citrix ADC podría entrar en un bucle SSO con el servidor backend y provocar la acumulación de memoria si se cumplen las dos condiciones siguientes.

  • El dispositivo ADC realiza una negociación y autenticaciones de SSO NTLM con el servidor backend.
  • El servidor backend no puede realizar ambas autenticaciones.

[ NSHELP-27757 ]

El dispositivo Citrix ADC puede bloquearse cuando la sincronización de la sesión y la configuración de la clave se produce entre la tarjeta controladora principal y la secundaria.

[ NSHELP-26891 ]

Dispositivo Citrix ADC SDX

Aparece un mensaje incorrecto cuando la instalación limpia falla porque la partición de fábrica no tiene suficiente espacio.

[ NSHELP-30136 ]

El campo plano anterior de la página Agregar nodo de clúster ya no es obligatorio a menos que se cumpla una de las siguientes condiciones:

  • El grupo de nodos ya existe para los clústeres de capa 3.
  • Es un clúster de capa 2.

[ NSHELP-29701 ]

Citrix Gateway

Los usuarios del cliente VPN no pueden cerrar sesión correctamente si SAML y EPA están configurados como los factores sucesivos en una autenticación nFactor. Con esta corrección, los usuarios pueden cerrar sesión sin ningún problema.

[ NSHELP-30193 ]

En una configuración de VPN SSL y GSLB de Citrix ADC, se observa una pérdida de memoria mientras se maneja una conexión ICA DTLS. Como resultado, la conexión se cae y la memoria se acumula.

[ NSHELP-30182 ]

El inicio de PCoIP Apps and Desktops falla cuando se inicia desde un explorador y VMware client missing se muestra el mensaje de error. Este problema se produce porque el protocolo vmware-view no se agrega a la lista de protocolos permitidos.

[ NSHELP-30062 ]

La exploración de la EPA para verificar el último análisis completo del sistema del antivirus falla en macOS.

[ NSHELP-29571 ]

El túnel completo de Citrix Gateway VPN no funciona como se esperaba si la respuesta binaria está habilitada. Como resultado, la cookie de la NSAAC está dañada. Con esta corrección, la respuesta binaria funciona en los plug-ins VPN anteriores. Sin embargo, Citrix recomienda usar el último complemento de VPN que sea compatible con la respuesta JSON.

[ NSHELP-28729 ]

Equilibrio de carga

Un dispositivo Citrix ADC con particiones puede volcar el núcleo mientras procesa un paquete de solicitud DNS con un encabezado adicional (EDNS).

[ NSHELP-30796 ]

En una implementación de DNS con escalabilidad automática, los miembros en el estado TROFS no detectan ni responden a los errores de verificación de estado.

[ NSHELP-29628 ]

El dispositivo Citrix ADC podría bloquearse al vincular la directiva de reescritura al servidor virtual de equilibrio de carga si se cumplen las siguientes condiciones:

  1. La evaluación de la segunda expresión sobrescribe las variables de estado de la directiva de la primera expresión que está en curso.
  2. Las variables de estado de la directiva DETERMINE_SERVICES se sobrescriben mediante la regla definida por el servidor virtual de equilibrio de carga.

[ NSHELP-29449 ]

El tiempo de respuesta del monitor que se muestra al ejecutar el comando show service a veces es incorrecto.

[ NSHELP-28994 ]

Los mensajes de reintento de SMPP se envían a todos los nodos de un clúster incluso cuando la solicitud se realiza correctamente. Este caso provoca un alto consumo de memoria en el dispositivo Citrix ADC.

[ NSHELP-28332 ]

Redes

Al actualizar un dispositivo Citrix ADC BLX a la versión 13.1 compilación 17.x, es posible que el dispositivo no se inicie.

[ NSNET-25002 ]

La instalación de un dispositivo Citrix ADC BLX en un host Linux basado en RHEL falla si el módulo python jsonschema está ausente en el host.

[ NSNET-24638 ]

La actualización de un dispositivo Citrix ADC BLX con DPDK falla si se cumplen todas las condiciones siguientes:

  • El dispositivo Citrix ADC BLX se ejecuta en un host Linux basado en Debian
  • La actualización se realiza desde Citrix ADC versión 13.0 compilación 82.x o anterior a la versión 13.1 compilación 17.x.

[ NSNET-24622 ]

Al configurar una regla de ACL de ICMP después de configurar una regla de ACL de TCP con la configuración del puerto, se puede observar el siguiente problema:

  • El dispositivo Citrix ADC agrega incorrectamente la misma configuración de puerto de la ACL TCP a la ACL ICMP también.

[ NSHELP-31114 ]

La modificación de una dirección IP privada en una regla INAT mediante la GUI falla si se cumple la siguiente condición:

  • La conmutación por error de conexión está habilitada en la regla INAT.

[ NSHELP-30792 ]

En la consola serie de un dispositivo Citrix ADC, es posible que el indicador VTYSH o el símbolo del shell no muestren ningún resultado.

[ NSHELP-30446 ]

La modificación de un perfil de red que ya tiene un conjunto de IP vinculado a él puede fallar con el siguiente error:

  • IP set is already bound to the network profile

[ NSHELP-29363 ]

En una configuración NAT44 a gran escala, el dispositivo Citrix ADC puede bloquearse mientras recibe tráfico SIP por el siguiente motivo:

  • Los recuentos de referencia de filtrado y mapeo son distintos de cero para el módulo LSN del dispositivo.

[ NSHELP-28842 ]

Plataforma

No se puede acceder a la consola serie de una instancia de Citrix ADC VPX alojada en la nube de Azure cuando la máquina virtual se encuentra en las primeras etapas del arranque.

[ NSPLAT-23010 ]

Durante la conmutación por error de alta disponibilidad de Citrix ADC VPX, el movimiento de la dirección IP elástica en la nube de AWS falla si configura un IPset sin vincular el IPset a ninguna dirección IP.

[ NSHELP-29425 ]

SSL

El conjunto de cifrado RC4 falla durante un protocolo de enlace SSL con un mensaje Illegal parameter error.

[ NSSSL-11463 ]

El dispositivo Citrix ADC se bloquea cuando la interceptación SSL está habilitada y hay varias solicitudes paralelas para acceder a un servidor backend con un certificado caducado.

[ NSHELP-29520 ]

En una configuración de clúster, es posible que se observen los siguientes problemas:

  • Falta el comando para el par de claves de certificado predeterminado vinculado a los servicios internos SSL del CLIP. Sin embargo, si actualiza desde una versión anterior, es posible que tenga que vincular el par de claves de certificado predeterminado a los servicios internos SSL afectados en el CLIP.
  • Discrepancia de configuración entre el CLIP y los nodos del comando set predeterminado para los servicios internos.
  • Falta el comando default cipher bind para las entidades SSL en el resultado del comando show running config ejecutado en un nodo. La omisión es solo un problema de visualización y no tiene ningún impacto funcional. El enlace se puede ver con el comando show ssl <entity> <name>.

[ NSHELP-25764 ]

Sistema

El dispositivo Citrix ADC se bloquea si se produce alguna de las siguientes condiciones:

  • La acción syslog se configura con el nombre de dominio y usted borra la configuración mediante la GUI o la CLI.
  • La sincronización de alta disponibilidad se produce en el nodo secundario. [ NSHELP-30987, NSHELP-28121, NSHELP-29843 ]

Todos los paquetes de datos reenviados desde un dispositivo Citrix ADC no tienen el valor TTL configurado, sino que tienen el valor enviado por el cliente o el servidor.

[ NSHELP-30683 ]

El dispositivo Citrix ADC no puede reenviar algunos de los paquetes de datos no HTTP a los servidores back-end.

[ NSHELP-30192 ]

En ciertos casos, el dispositivo Citrix ADC no reenvía algunos paquetes HTTP al servidor back-end, si se cumple la siguiente condición:

  • Si una función Citrix ADC clona internamente paquetes HTTP.

[ NSHELP-29958 ]

El dispositivo Citrix ADC puede agregar incorrectamente una dirección IPv4 a un registro de AppFlow relacionado con una transacción IPv6.

[ NSHELP-29261 ]

Un dispositivo Citrix ADC podría bloquearse al reproducir una respuesta fragmentada del módulo ICAP al cliente.

[ NSHELP-28788 ]

La falla de Pitboss ocurre cuando se hace un bucle de una gran cantidad de paquetes en la cola de retransmisión.

[ NSHELP-26071 ]

Algunos mensajes SYSLOG se eliminan al iniciar sesión en un servidor SYSLOG externo mediante el protocolo TCP.

[ NSHELP-24522 ]

En ciertos casos, la captura de paquetes nstrace pierde todos los paquetes si aplica el filtro basado en dirección IP.

[ NSHELP-23483 ]

Interfaz de usuario

Es posible que el filtrado de caché no funcione según lo esperado en la GUI de Citrix ADC.

[ NSHELP-30392 ]

Cuando se configura un dispositivo Citrix ADC para usar un servidor de autenticación externo, puede haber un retraso en la ejecución de los comandos stat, independientemente del parámetro RBAOnResponse configurado para inhabilitarse globalmente. El parámetro se puede inhabilitar desde la GUI o la CLI.

[ NSHELP-30289 ]

La GUI de Citrix ADC no procesa las llamadas RAPI, lo que hace que algunos componentes de la GUI dejen de responder.

[ NSHELP-30231 ]

En algunos casos, es posible que no pueda cargar claves SSL desde la ficha Claves SSL en la GUI de Citrix ADC.

[ NSHELP-28870 ]

La respuesta de la API para una solicitud GET de NITRO con un filtro puede contener información adicional aunque no se mencione en el filtro.

[ NSHELP-28598 ]

La carga y adición de un archivo de lista de revocación de certificados (CRL) produce un error en la configuración de una partición de administración.

[ NSHELP-20988 ]

Problemas conocidos

Los problemas que existen en la versión 13.1-21.50.

AppFlow

HDX Insight no informa de un error de inicio de aplicación causado por un usuario que intenta iniciar una aplicación o un escritorio a los que el usuario no tiene acceso.

[ NSINSIGHT-943 ]

Autenticación, autorización y auditoría

Un dispositivo Citrix ADC no autentica los intentos de inicio de sesión con contraseñas duplicadas y evita los bloqueos de cuentas.

[ NSHELP-563 ]

LoginSchema de DualAuthPushOrOTP.xml no aparece correctamente en la pantalla del editor de esquemas de inicio de sesión de la GUI de Citrix ADC.

[ NSAUTH-6106 ]

El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando. show adfsproxyprofile <profile name>

Solución temporal:

Conéctese al Citrix ADC activo principal del clúster y ejecute el comando show adfsproxyprofile <profile name>. Mostraría el estado del perfil de proxy.

[ NSAUTH-5916 ]

La página Configurar servidor LDAP de autenticación de la GUI de Citrix ADC deja de responder si sigue los pasos siguientes:

  • Se abre la opción Probar accesibilidad LDAP.
  • Las credenciales de inicio de sesión no válidas se rellenan y envían.
  • Las credenciales de inicio de sesión válidas se rellenan y envían.

Solución temporal:

Cierre y abra la opción Probar accesibilidad de LDAP.

[ NSAUTH-2147 ]

Almacenamiento en caché

Es posible que un dispositivo Citrix ADC se bloquee si la función Almacenamiento en caché integrado está habilitada y el dispositivo tiene poca memoria.

[ NSHELP-22942 ]

Dispositivo Citrix ADC SDX

En un dispositivo Citrix ADC SDX, si el CLAG se crea en una NIC Mellanox, la MAC de CLAG cambia cuando se reinicia la instancia VPX. El tráfico a la instancia VPX se detiene tras el reinicio porque la tabla MAC tiene la antigua entrada MAC de CLAG.

[ NSSVM-4333 ]

En un dispositivo Citrix ADC SDX con NIC Mellanox, modificar el rendimiento de una instancia VPX que tiene NIC Mellanox reinicia la instancia VPX.

[ NSHELP-31305 ]

En un dispositivo Citrix ADC SDX, las instancias de ADC no alcanzan su capacidad máxima al configurar el modo de asignación de rendimiento en ráfagas.

[ NSHELP-27477 ]

Las caídas de paquetes se observan en una instancia VPX alojada en un dispositivo Citrix ADC SDX si se cumplen las siguientes condiciones:

  • El modo de asignación de rendimiento está en ráfaga.
  • Existe una gran diferencia entre el rendimiento y la capacidad máxima de ráfaga.

[ NSHELP-21992 ]

Después de actualizar un dispositivo Citrix ADC SDX a la versión 13.1 compilación 21.50 o posterior, el descifrado SSL y la comparación de MAC pueden fallar. Como resultado, es posible que vea fallas de protocolo de enlace SSL, inestabilidad del estado de VPX, falta de disponibilidad de la GUI de la instancia VPX y caídas de aplicaciones y servidores virtuales.

Nota: Este problema se observa en las plataformas SDX 8900, SDX 15000, SDX 15000-50G, SDX 26000 y SDX 26000-50S.

[ NSHELP-31672 ]

Citrix Gateway

En algunos casos, Citrix Secure Access para macOS interrumpe las conexiones debido a problemas con algunos protocolos no DNS que utilizan el puerto 53, como STUN.

[ NSHELP-31004 ]

Cuando se configura AlwaysOn, se produce un error en el túnel de usuario debido al número de versión incorrecto (1.1.1.1) en el archivo aoservice.exe.

[ NSHELP-30662 ]

Los usuarios no pueden conectarse al dispositivo Citrix Gateway después de cambiar el parámetro “networkAccessOnVPNFailure” siempre en el perfil de “fullAccess” a “onlyToGateway”.

[ NSHELP-30236 ]

El cliente VPN de Windows no respeta la alerta de “notificación de cierre SSL” del servidor y envía la solicitud de inicio de sesión de transferencia en la misma conexión.

[ NSHELP-29675 ]

En algunos casos, el código de validación del servidor falla cuando se confía en el certificado del servidor. Como resultado, los usuarios finales no pueden acceder a la puerta de enlace.

[ NSHELP-28942 ]

La autenticación de certificados de cliente falla para Citrix SSO para macOS si no hay certificados de cliente en el llavero de macOS.

[ NSHELP-28551 ]

A veces, se desactiva la sesión de un usuario en Citrix Gateway en unos segundos cuando se establece el tiempo de espera por inactividad del cliente.

[ NSHELP-28404 ]

No se puede desvincular una directiva de autorización clásica mediante la interfaz gráfica de usuario. Sin embargo, puede usar la CLI para desvincular la directiva Autenticación, autorización y autorización de auditoría.

Con esta corrección, ahora puede desvincular la directiva de autorización mediante la interfaz gráfica de usuario.

[ NSHELP-27064 ]

En una configuración de alta disponibilidad, las sesiones de usuario VPN se desconectan si se cumple la siguiente condición:

  • Si se realizan dos o más operaciones de failover manual de alta disponibilidad sucesivas cuando la sincronización de alta disponibilidad está en curso.

Solución temporal:

Realice una conmutación por error manual de alta disponibilidad sucesiva solo después de que se haya completado la sincronización de alta disponibilidad (ambos nodos están en estado de sincronización correcta).

[ NSHELP-25598 ]

El complemento EPA para Windows no utiliza el proxy configurado del equipo local y se conecta directamente al servidor de puerta de enlace.

[ NSHELP-24848 ]

Gateway Insight no muestra información precisa sobre los usuarios de VPN.

[ NSHELP-23937 ]

El complemento VPN no establece un túnel después del inicio de sesión de Windows si se cumplen las siguientes condiciones:

  • El dispositivo Citrix Gateway está configurado para la función Always On
  • El dispositivo está configurado para la autenticación basada en certificados con autenticación de dos factores off

[ NSHELP-23584 ]

A veces, al navegar por los esquemas, aparece el mensaje de error Cannot read property 'type' of undefined.

[ NSHELP-21897 ]

Si quiere utilizar la funcionalidad Always On VPN antes de iniciar sesión en Windows, se recomienda actualizar a Citrix Gateway 13.0 o posterior. Esto le permite aprovechar las mejoras adicionales introducidas en la versión 13.0 que no están disponibles en la versión 12.1.

[ CGOP-19355 ]

El error de inicio de la aplicación debido a un tíquet de STA no válido no se informa en Gateway Insight.

[ CGOP-13621 ]

El informe Gateway Insight muestra incorrectamente el valor Local en lugar de SAML en el campo Tipo de autenticación para los errores de SAML.

[ CGOP-13584 ]

En una configuración de alta disponibilidad, durante una conmutación por error de Citrix ADC, el recuento de SR aumenta en lugar del recuento de fallas en Citrix ADM.

[ CGOP-13511 ]

Cuando se inicia una conexión ICA desde un receptor MAC versión 19.6.0.32 o Citrix Virtual Apps and Desktops versión 7.18, la función HDX Insight se inhabilita.

[ CGOP-13494 ]

Cuando la función EDT Insight está habilitada, a veces los canales de audio pueden fallar durante una discrepancia de red.

[ CGOP-13493 ]

Al aceptar conexiones de host locales desde el explorador, el cuadro de diálogo Aceptar conexión para macOS muestra el contenido en inglés, independientemente del idioma seleccionado.

[ CGOP-13050 ]

El texto Home Page de la aplicación Citrix SSO > Página de inicio se corta en algunos idiomas.

[ CGOP-13049 ]

Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de Citrix ADC.

[ CGOP-11830 ]

En Outlook Web App (OWA) 2013, al hacer clic en Opciones en el menú Configuración, se muestra un cuadro de diálogo Error crítico. Además, la página deja de responder.

[ CGOP-7269 ]

Equilibrio de carga

En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.

[ NSLB-7679 ]

El formato serviceGroupName de la captura entityofs del grupo de servicios es el siguiente: <service(group)name>?<ip/DBS>?<port>

En el formato de captura, el grupo de servicios se identifica mediante una dirección IP o un nombre y puerto de DBS. El signo de interrogación (?) se utiliza como separador. Citrix ADC envía la captura con el signo de interrogación (?). El formato aparece igual en la GUI de Citrix ADM. Este es el comportamiento esperado.

[ NSHELP-28080 ]

Otros

Cuando se produce una sincronización forzada en una configuración de alta disponibilidad, el dispositivo ejecuta el comando set urlfiltering parameter en el nodo secundario. Como resultado, el nodo secundario omite cualquier actualización programada hasta la siguiente hora programada mencionada en el parámetro TimeOfDayToUpdateDB.

[ NSSWG-849 ]

Un dispositivo Citrix ADC puede reiniciarse debido al estancamiento de la CPU de administración si se produce un problema de conectividad con el proveedor externo de filtrado de URL.

[ NSHELP-22409 ]

Redes

En un dispositivo Citrix ADC BLX compatible con DPDK, las VLAN etiquetadas no son compatibles con los puertos NIC DPDK Intel i350. Esto se observa, ya que es un problema conocido presente en el controlador DPDK.

[ NSNET-25299 ]

Es posible que un dispositivo Citrix ADC BLX con DPDK no se reinicie si se cumplen todas las condiciones siguientes:

  • El dispositivo Citrix ADC BLX se asigna con un número bajo de hugepages. Por ejemplo, 1G.
  • El dispositivo Citrix ADC BLX se asigna con una gran cantidad de procesos de trabajo. Por ejemplo, 28.

El problema se registra como un mensaje de error en /var/log/ns.log:

  • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

Nota: x es un número <= número de procesos de trabajo.

Solución temporal:

Asigne un número elevado de hugepages y, a continuación, reinicie el dispositivo.

[ NSNET-25173 ]

Es posible que un dispositivo Citrix ADC BLX con DPDK no se reinicie si se cumple la siguiente condición:

  • Al dispositivo Citrix ADC BLX se le asigna una gran cantidad de hugepages. Por ejemplo, 16 GB.

El problema se registra como un mensaje de error en /var/log/ns.log:

  • EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

Solución temporal:

Use una de las siguientes soluciones para este problema:

  • Aumente el límite de archivos abiertos en el host Linux mediante el uso del comando ulimit o la modificación del archivo limits.conf.
  • Reduzca el número de hugepages asignadas.

[ NSNET-24727 ]

Un dispositivo Citrix ADC BLX en modo DPDK puede tardar un poco más en reiniciarse debido a la funcionalidad de facilidad de DPDK.

[ NSNET-24449 ]

Las siguientes operaciones de interfaz no son compatibles con las interfaces X710 10G (i40e) de Intel en un dispositivo Citrix ADC BLX con DPDK:

  • Disable
  • Enable
  • Reset

[ NSNET-16559 ]

La instalación de un dispositivo Citrix ADC BLX podría fallar en un host Linux basado en Debian (versión 18 y posteriores de Ubuntu) con el siguiente error de dependencia:

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Solución temporal:

Ejecute los siguientes comandos en la CLI del host Linux antes de instalar un dispositivo Citrix ADC BLX:

  • dpkg — agregar arquitectura i386
  • actualización apt-get
  • apt-get dist-upgrade
  • apt-get install libc6:i386

[ NSNET-14602 ]

En algunos casos de conexiones de datos FTP, el dispositivo Citrix ADC solo realiza operaciones NAT y no procesamiento TCP en los paquetes para la negociación TCP MSS. Como resultado, la MTU de interfaz óptima no está configurada para la conexión. Esta configuración de MTU incorrecta provoca la fragmentación de los paquetes y afecta al rendimiento de la CPU.

[ NSNET-5233 ]

Cuando se cambia el límite de memoria de una partición de administración en el dispositivo Citrix ADC, el límite de memoria de almacenamiento en búfer TCP se establece automáticamente en el límite de memoria nueva de la partición de administración.

[ NSHELP-21082 ]

Plataforma

La conmutación por error de alta disponibilidad no funciona en las nubes de AWS y GCP. La CPU de administración puede alcanzar su capacidad del 100% en las nubes de AWS y GCP, y en Citrix ADC VPX en las instalaciones. Ambos problemas se producen cuando se cumplen las siguientes condiciones:

  1. Durante el primer arranque del dispositivo Citrix ADC, no guarda la contraseña solicitada.
  2. Posteriormente, reinicie el dispositivo Citrix ADC.

[ NSPLAT-22013 ]

Cuando actualiza de compilaciones 13.0/12.1/11.1 a una versión 13.1 o baja de una compilación 13.1 a 13.0/12.1/11.1, algunos paquetes python no se instalan en los dispositivos Citrix ADC. Este problema se ha solucionado en las siguientes versiones de Citrix ADC:

  • 13.1-4.x
  • 13.0—82.31 y posteriores
  • 12.1—62.21 y posteriores

Los paquetes python no se instalan cuando se degrada la versión de Citrix ADC de la versión 13.1-4.x a cualquiera de las siguientes versiones:

  • Cualquier compilación 11.1
  • 12.1—62.21 y anteriores
  • 13.0-81.x y anteriores

[ NSPLAT-21691 ]

En una configuración de clúster en un dispositivo Citrix ADC SDX, hay una discordancia de CLAG MAC en el segundo nodo y CLIP si se cumplen las siguientes condiciones:

  • El CLAG se crea en una NIC Mellanox.
  • Agrega otra instancia VPX al clúster y a la configuración de CLAG.

Como resultado, el tráfico a la instancia VPX se detiene.

[ NSPLAT-21049 ]

En una configuración de clúster en un dispositivo Citrix ADC SDX, el primer nodo se apaga debido a una falta de coincidencia de direcciones MAC en la tabla CLIP y MAC, si se cumplen las siguientes condiciones:

  • El CLAG se crea en una NIC Mellanox.
  • Quita el segundo nodo del clúster.

[ NSPLAT-21042 ]

Al eliminar una configuración de escalabilidad automática o un conjunto de escalas de VM de un grupo de recursos de Azure, elimine la configuración del perfil de nube correspondiente de la instancia de Citrix ADC. Utilice el comando rm cloudprofile para borrar el perfil.

[ NSPLAT-4520 ]

En una configuración de alta disponibilidad en Azure, al iniciar sesión en el nodo secundario a través de la GUI, aparece la pantalla de usuario por primera vez (FTU) para la configuración del perfil de nube de escalabilidad automática. Solución alternativa: omita la pantalla e inicie sesión en el nodo principal para crear el perfil de nube. El perfil de nube debe estar siempre configurado en el nodo principal.

[ NSPLAT-4451 ]

A partir de la versión 13.1 de Citrix ADC, el dispositivo Citrix ADC no se inicia en un hipervisor ESXi con más de 8 interfaces de red VMXNET3.

[ NSHELP-31266 ]

Directivas

Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es mayor que el tamaño de búfer TCP predeterminado configurado.Solución alternativa: establezca el tamaño del búfer TCP en un tamaño máximo de datos que deben procesarse.

[ NSPOLICY-1267 ]

En algunos casos, un dispositivo Citrix ADC puede bloquearse cuando se utiliza una acción de asignación con la operación de borrado de una variable de AppExpert.

[ NSHELP-29766 ]

SSL

En un clúster heterogéneo de dispositivos Citrix ADC SDX 22000 y Citrix ADC SDX 26000, se produce una pérdida de configuración de entidades SSL si se reinicia el dispositivo SDX 26000.

Solución temporal:

  1. En el CLIP, inhabilite SSLv3 en todas las entidades SSL nuevas y existentes, como servidores virtuales, servicios, grupos de servicios y servicios internos. Por ejemplo, set ssl vserver <name> -SSL3 DISABLED.
  2. Guarde la configuración.

[ NSSSL-9572 ]

No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

[ NSSSL-6478 ]

Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo Citrix ADC no devuelve ningún error.

[ NSSSL-6213 ]

El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM. ERROR: Actualización de crl inhabilitada

[ NSSSL-6106 ]

La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster. (Esta opción no se puede desactivar).

[ NSSSL-4427 ]

Aparece Warning: No usable ciphers configured on the SSL vserver/service,, un mensaje de advertencia incorrecto, si intenta cambiar el protocolo o el cifrado SSL en el perfil SSL.

[ NSSSL-4001 ]

Un tíquet de sesión caducado se respeta en un nodo que no es de CCO y en un nodo de alta disponibilidad después de una conmutación por error de alta disponibilidad.

[ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]

En los dispositivos con certificación FIPS MPX 8900 y MPX 15000, la ejecución del tráfico ECDHE puede provocar una pérdida de memoria.

[ NSHELP-30744 ]

Sistema

La instancia de Citrix ADC VPX puede bloquearse si se configuran las directivas de respuesta y se agregan algunas directivas de reescritura que provocan daños en el encabezado.

Solución temporal:

Elimine la directiva de respuesta.

[ NSHELP-28512, NSHELP-30415 ]

El valor MAX_CONCURRENT_STREAMS se establece en 100 de forma predeterminada si el dispositivo no recibe el marco de configuración max_concurrent_stream del cliente.

[ NSHELP-21240 ]

Los contadores mptcp_cur_session_without_subflow disminuyen incorrectamente a un valor negativo en lugar de cero.

[ NSHELP-10972 ]

En una implementación de clúster, si ejecuta el comando force cluster sync en un nodo que no es de CCO, el archivo ns.log contiene entradas de registro duplicadas. [ NSBASE-16304, NSGI-1293 ]

Cuando instala Citrix ADM en un clúster de Kubernetes, no funciona según lo esperado porque es posible que los procesos necesarios no aparezcan.

Solución alternativa: reinicie el pod de administración.

[ NSBASE-15556 ]

La IP del cliente y la IP del servidor se invierten en el registro HDX Insight SkipFlow cuando el tipo de transporte de LogStream está configurado para Insight.

[ NSBASE-8506 ]

El dispositivo Citrix ADC descarta paquetes que contienen encabezados HTTP personalizados con un punto (“. “) en el campo del nombre del encabezado. Esta acción se produce porque el parámetro allowOnlyWordCharactersAndHyphen está habilitado de forma predeterminada en el perfil HTTP predeterminado.

Solución temporal: Inhabilite allowOnlyWordCharactersAndHyphen en el perfil HTTP predeterminado. Sin embargo, Citrix recomienda mantenerla habilitada.

[ NSBASE-16722 ]

Interfaz de usuario

Para la función Reescritura de MQTT, no puede eliminar una expresión mediante el Editor de expresiones en la GUI.

Solución temporal:

Use el comando de acción add o edit de tipo MQTT a través de la CLI.

[ NSUI-18049 ]

En la GUI de Citrix ADC, el enlace Help presente debajo de la ficha Dashboard no funciona.

[ NSUI-14752 ]

El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

Solución temporal:

Configure los conectores de cloudbridge agregando perfiles IPSec, túneles IP y reglas PBR mediante la GUI o la CLI de Citrix ADC.

[ NSUI-13024 ]

Si crea una clave ECDSA mediante la interfaz gráfica de usuario, no se muestra el tipo de curva.

[ NSUI-6838 ]

En una configuración de alta disponibilidad de los dispositivos Citrix ADC BLX, es posible que el nodo principal deje de responder bloqueando cualquier solicitud de CLI o API.

Solución temporal:

Reinicie el nodo principal.

[ NSCONFIG-6601 ]

Si usted (administrador del sistema) realiza todos los pasos siguientes en un dispositivo Citrix ADC, es posible que los usuarios del sistema no inicien sesión en el dispositivo Citrix ADC degradado.

  1. Actualice el dispositivo Citrix ADC a una de las compilaciones:
  • 13.0 52.24 compilación
  • 12.1 57,18 compilación
  • 11.1 65.10 compilación
  1. Agregar un usuario del sistema o cambiar la contraseña de un usuario del sistema existente y guardar la configuración, y
  2. Rebaja la versión del dispositivo Citrix ADC a cualquier versión anterior.

Para mostrar la lista de estos usuarios del sistema mediante la CLI: En el símbolo del sistema, escriba:

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Solución temporal:

Para solucionar este problema, utilice una de las siguientes opciones independientes:

  • Si el dispositivo Citrix ADC aún no se ha degradado (paso 3 de los pasos mencionados anteriormente), degrade el dispositivo Citrix ADC mediante un archivo de configuración del que se realizó una copia de reserva (ns.conf) de la misma versión.
  • Cualquier administrador del sistema cuya contraseña no se haya cambiado en la compilación actualizada puede iniciar sesión en la compilación degradada y actualizar las contraseñas de otros usuarios del sistema.
  • Si ninguna de las opciones anteriores funciona, el administrador del sistema puede restablecer las contraseñas de usuario del sistema.

Para obtener más información, consulte Cómo restablecer la contraseña del administrador raíz (nsroot).

[ NSCONFIG-3188 ]

Notas