ADC

Notes de publication pour la version 13.0-41.28 de Citrix ADC

Ce document de notes de version décrit les améliorations et les modifications, répertorie les problèmes résolus et spécifie les problèmes existants pour la version 13.0 Build 41.28 de Citrix ADC.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
  • La section des problèmes connus est cumulative. Il inclut les problèmes récemment détectés dans cette version et les problèmes qui n’ont pas été résolus dans les versions précédentes de Citrix ADC 13.0.
  • Les étiquettes [# XXXXXX] sous les descriptions des problèmes sont des ID de suivi internes utilisés par l’équipe Citrix ADC.
  • La version 41.28 remplace la version 41.20

  • La version 41.20 incluait des correctifs pour les problèmes suivants :
    • Problèmes connus : NSSSL-7044, NSCONFIG-2370, NSHELP-136, NSHELP-16407, NSHELP-20266
    • Problèmes résolus : CGOP-11830, NSCONFIG-2232, NSHELP-19614, NSHELP-20020, NSHELP-20522, NSNET-10968, NSNET-11916
    • Améliorations : NSCONFIG-2224, NSNET-12256

Points à noter

Quelques aspects importants à garder à l’esprit lors de l’utilisation de la version 41.28.

  • Appliance Citrix ADC VPX

    • Pour le déploiement de VPX sur Azure Stack, le redirecteur DNS d’Azure Stack doit être configuré pour prendre en charge la résolution des serveurs racines DNS.

    [NSPLAT-10838]

Nouveautés

Les améliorations et modifications disponibles dans la version 41.28.

AppFlow

  • Support pour Logstream dans les partitions d’administration

    Une appliance Citrix ADC peut désormais envoyer des enregistrements Logstream à partir de partitions d’administration.

    [NSBASE-4777]

  • Surveillance des enregistrements Logstream via l’adresse NSIP

    Une appliance Citrix ADC peut désormais se connecter à Citrix ADM à l’aide d’une adresse NSIP pour envoyer des enregistrements Logstream.

    [NSBASE-7400]

Authentification, autorisation et audit

Appliance Citrix ADC BLX

  • Support hôte Ubuntu Linux pour les appliances Citrix ADC BLX

    L’appliance Citrix ADC BLX prend désormais en charge l’exécution sur les systèmes Ubuntu Linux.

    [NSNET-9259]

  • Support du protocole de routage dynamique BGP pour les appliances Citrix ADC BLX

    Les appliances Citrix ADC BLX prennent désormais en charge les protocoles de routage dynamique BGP IPv4 et IPv6.

    [NSNET-7785]

  • Support DPDK pour les appliances Citrix ADC BLX

    Les appliances Citrix ADC BLX prennent désormais en charge le Data Plane Development Kit (DPDK), qui est un ensemble de bibliothèques Linux et de contrôleurs d’interface réseau pour de meilleures performances réseau. L’appliance Citrix ADC BLX prend en charge DPDK uniquement en mode dédié.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.html.

    [NSNET-2456]

Appliance Citrix ADC CPX

  • La valeur par défaut du paramètre MonitorConnectionClose est définie sur RESET dans la version plus légère de Citrix ADC CPX

    Pour fermer une connexion moniteur-sonde à l’aide de paramètres d’équilibrage de charge globaux, vous pouvez configurer MonitorConnectionClose sur FIN ou RESET. Lorsque vous configurez le paramètre MonitorConnectionClose pour :

    • FIN : L’appliance effectue une prise de contact TCP complète.

    • RESET : l’appliance ferme la connexion après avoir reçu le SYN-ACK du service.

    Dans la version plus légère de Citrix ADC CPX, la valeur du paramètre MonitorConnectionClose est définie sur RESET par défaut et ne peut pas être modifiée en FIN au niveau global. Vous pouvez toutefois remplacer le paramètre MonitorConnectionClose par FIN au niveau du service.

    [NSLB-4610]

Interface graphique de Citrix ADC

  • Aide à l’identification de la cause pour laquelle l’état d’un service ou d’un groupe de services est marqué comme étant INACTIF

    Vous pouvez désormais consulter les informations de la sonde de surveillance sur l’interface graphique pour les services ou les groupes de services qui sont hors service sans accéder à l’interface de liaison du moniteur.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-manage-setup/managing-services.html#identify-the-cause-for-the-service-state-marked-down-by-using-the-gui.

    [NSUI-12906]

  • Support d’optimisation frontal pour la partition d’administration

    Vous pouvez désormais activer la fonctionnalité d’optimisation frontale à partir de la page Configurer les fonctionnalités avancées en mode partition également.

    [NSUI-12800]

  • Interaction guidée pour les certificats SSL

    L’interface graphique Citrix ADC fournit désormais une interaction guidée pour certaines tâches courantes mais détaillées liées à la création, à l’importation et à la mise à jour de certificats SSL. Il vous invite à activer l’interaction guidée lorsque vous démarrez votre appliance pour la première fois. Si cette option est activée, vous pouvez la désactiver explicitement à tout moment en accédant à Système > Paramètres > Modifier les paramètres CUXIP et en décochant la case Activer CUXIP.

    Remarque : Cette fonctionnalité n’est disponible que pour les certificats SSL dans l’interface graphique de Citrix ADC.

    [NSUI-13389]

  • Aide à l’identification de la cause à laquelle l’état d’un serveur virtuel est marqué comme étant inactif

    Vous pouvez désormais consulter les informations de la sonde de surveillance sur l’interface graphique du serveur virtuel en panne sans accéder à l’interface de liaison du moniteur.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-manage-setup/managing-vserver.html#identify-the-cause-for-the-virtual-server-state-marked-down-by-using-the-gui.

    [NSUI-13255]

Appliance Citrix ADC VPX

  • Support de haute disponibilité dans Google Cloud Platform

    Vous pouvez désormais déployer des instances Citrix VPX en tant que paire HA sur Google Cloud Platform, dans différentes zones d’une même région. Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-vpx-google-cloud-ha.html.

    [NSPLAT-7714]

  • Déployez une paire VPX HA dans AWS à l’aide d’une migration IP privée

    Vous pouvez désormais déployer des instances VPX en tant que paire HA dans la même zone, en mode de configuration réseau non indépendante (INC), en utilisant la migration IP privée, qui réduit considérablement le temps de basculement. Auparavant, les nœuds VPX HA étaient déployés à l’aide de la migration par interface réseau (ENI), qui entraîne un temps de basculement plus long. Pour plus d’informations, consultez :

    https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws/how-aws-ha-works.html

    https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws/vpx-aws-ha.html

    [NSPLAT-7718]

  • Support pour le nouveau type d’instance AWS

    À partir de cette version, les types d’instances AWS suivants sont pris en charge pour le déploiement de VPX, dans les régions existantes et dans la nouvelle région de Paris.

    • C5: c5.large, c5.xlarge, c5.2xlarge, c5.4xlarge, c5.9xlarge, c5.18xlarge

    • C5n: c5n.large, c5n.xlarge, c5n.2xlarge, c5n.4xlarge, c5n.9xlarge, c5n.18xlarge

    • M5: m5.large, m5.xlarge,m5.2xlarge,m5.4xlarge, m5.12xlarge,m5.24xlarge

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws.html.

    [NSPLAT-8729]

  • Balises de service Azure pour les groupes de services d’équilibrage de charge VPX

    Pour une instance ADC Citrix VPX déployée sur Azure Cloud, vous pouvez désormais créer des groupes de services d’équilibrage de charge associés à une balise Azure. L’instance VPX surveille en permanence les machines virtuelles (VM) Azure ou les interfaces réseau (NIC), ou les deux, avec la balise correspondante et met à jour le groupe de services en conséquence. Chaque fois qu’une machine virtuelle ou une carte réseau avec le tag approprié est ajoutée ou supprimée, l’ADC détecte la modification correspondante et ajoute ou supprime automatiquement l’adresse IP de la machine virtuelle ou de la carte réseau du groupe de services.

    Vous pouvez ajouter le paramètre de balise Azure à une instance VPX à l’aide de l’interface graphique VPX.

    Pour plus d’informations sur les balises Azure, consultez le document Microsoft : https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-using-tags

    Pour plus d’informations sur les balises Azure pour le déploiement de Citrix ADC VPX, consultez https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-vpx-on-azure/tags.html.

    [NSPLAT-8768]

  • Support pour le déploiement d’AWS dans la région parisienne

    Vous pouvez désormais déployer des instances VPX sur AWS, en région parisienne.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws.html.

    [NSPLAT-8730]

Gestion des robots Citrix

  • Gestion des robots Citrix

    La détection et l’atténuation des menaces liées aux robots constituent un besoin de sécurité essentiel dans le monde d’aujourd’hui. Ceci est réalisé en utilisant un système de gestion de robots. Citrix Bot Management protège vos applications Web, vos applications et vos API contre les attaques de sécurité de base et avancées. Citrix Bot Management utilise les six mécanismes de détection suivants pour détecter le type de bot et prendre des mesures d’atténuation.

    Les techniques utilisées sont la liste blanche et la liste noire des robots, la réputation IP, les empreintes digitales des appareils, la limitation du débit et les signatures statiques.

    Réputation IP. Ce mécanisme détecte si le trafic entrant provient d’un bot grâce à une base de données d’adresses IP malveillantes activement mise à jour.

    Empreinte digitale de l’appareil L’empreinte digitale de l’appareil injecte du code JavaScript dans le flux HTTP et évalue les propriétés renvoyées par ce code JavaScript afin de déterminer si le trafic entrant est un bot ou non.

    Limitation du débit. Le taux de la technique de détection limite les demandes multiples provenant du même client via une session, un cookie ou une adresse IP.

    Signatures de robots. La technique de détection détecte et bloque les robots sur la base de plus de 3 500 signatures préparées par l’équipe de Citrix Threat Research. Les robots peuvent être, par exemple, des URL non autorisées qui piratent des sites Web, des connexions par force brute ou des sites qui recherchent des vulnérabilités

    Liste blanche des robots. La liste blanche est une liste personnalisable d’URL, d’adresses IP, de blocs CIDR et d’expressions de stratégie qui met en liste blanche et autorise le trafic entrant correspondant à l’un de ces paramètres.

    Liste noire de robots. La liste noire est une liste personnalisable d’URL, d’adresses IP, de blocs CIDR et d’expressions de stratégie qui met en liste noire et refuse le trafic entrant correspondant à l’un de ces paramètres.

    Citrix Bot Management atténue les menaces automatisées et le trafic indésirable de robots visant vos applications, API et sites Web publics. S’il est déterminé que le trafic entrant provient d’un bot, le système exécute une action assignée par l’administrateur ADC et génère des rapports fiables à des fins de responsabilité et d’auditabilité.

    La gestion des robots offre les avantages suivants :

    • Défendez-vous contre les robots, les scripts et les boîtes à outils : la défense basée sur les signatures statiques et les empreintes digitales des appareils permettent d’atténuer les menaces contre les robots de base et avancés.

    • Neutralisez les attaques de base et avancées : prévenez les attaques telles que les attaques DDoS au niveau des applications, la pulvérisation de mots de passe, le bourrage de mots de passe, les baisses de prix, les racapers de contenu, etc.

    • Protégez vos API et vos investissements : protégez vos API contre les utilisations abusives, les enquêtes et les fuites de données, et protégez les investissements en infrastructure contre le trafic indésirable.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/bot-management.html.

    [NSWAF-2900]

Citrix Gateway

  • Utilisation sélective des protocoles d’ouverture de session existants ou récents pour les clients

    Les clients qui utilisent l’application Workspace avec Citrix Gateway peuvent désormais utiliser de manière sélective le protocole d’ouverture de session existant ou le plus récent en fonction des stratégies. Les clients peuvent utiliser d’anciens protocoles réseau pour certains clients et également autoriser les clients à utiliser l’intégration native d’Intune avec les clients Citrix Gateway à l’aide du protocole existant, principalement le contrôle de conformité Intune à l’aide de l’identifiant unique de l’appareil.

    [CGOP-10879]

  • AlwaysOn avant l’ouverture de session pour Windows

    AlwaysOn avant la connexion pour Windows permet aux utilisateurs d’établir un tunnel VPN avant même qu’ils ne se connectent à un système Windows. Cette connectivité VPN persistante est obtenue par l’établissement automatique d’un tunnel VPN au niveau de l’appareil une fois que celui-ci démarre.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html.

    [CGOP-10791]

Citrix Web App Firewall

  • Formats de téléchargement de fichiers autorisés

    Citrix Web App Firewall vous permet désormais de configurer les formats de téléchargement de fichiers autorisés dans un profil Citrix Web App Firewall. Vous limitez ainsi les téléchargements de fichiers à des formats spécifiques et vous protégez l’appliance contre les téléchargements malveillants lors d’une soumission multiformulaire.

    Remarque : La fonctionnalité ne fonctionne que lorsque vous désactivez l’option « ExcludeFileUploadFormChecks » dans le profil WAF.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/file-upload-protection.html

    [NSWAF-2579]

  • Enregistrement détaillé du modèle de violation

    Vous pouvez désormais configurer le profil du Web App Firewall pour fournir un modèle de violation détaillé lorsqu’une attaque se produit. En configurant l’option Verbose Log Level, vous pouvez enregistrer différentes parties de la charge utile ainsi que le modèle d’attaque à des fins d’analyse judiciaire ou de dépannage.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/detailed-troubleshooting-with-waf-logs.html

    [NSWAF-2892]

  • Protection du contenu JSON

    Citrix Web App Firewall fournit désormais une protection JSON contre les attaques DOS, XSS et SQL. Les règles JSON de déni de service (DoS), SQL et XSS examinent la demande JSON entrante et valident si certaines données correspondent aux caractéristiques d’une attaque DoS, SQL ou XSS. Si la demande comportait des violations JSON, l’appliance bloque la demande, consigne les données, envoie une alerte SNMP et affiche également une page d’erreur JSON. L’objectif du contrôle de protection JSON est d’empêcher un attaquant d’envoyer une requête JSON pour lancer des attaques DoS, XSS ou SQL sur vos applications JSON ou votre site Web.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/json-content-protection.html

    [NSWAF-2894]

  • Seuil WAF POST pour réduire l’utilisation du processeur

    Le fichier de signature du pare-feu de l’application inclut désormais l’utilisation du processeur, la dernière année applicable et le niveau de gravité. Vous pouvez consulter l’utilisation du processeur, l’année dernière et le niveau de gravité CVE chaque fois qu’un fichier de signature est modifié et téléchargé régulièrement. Après avoir observé ces valeurs, vous pouvez décider d’activer ou de désactiver la signature sur l’appliance.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/app-firewall-profile-settings.html

    [NSWAF-2932]

  • Déploiement automatique des données apprises à l’aide de profils dynamiques.

    Vous pouvez désormais déployer automatiquement les données apprises sous forme de règles de relaxation. Dans le cadre du profilage dynamique, si le Web App Firewall enregistre les données apprises dans les limites d’un seuil défini par l’utilisateur, l’appliance envoie une alerte SNMP à l’utilisateur. Si l’utilisateur n’ignore pas les données pendant la période de grâce, l’appliance déploie automatiquement les données en tant que règle de relaxation. Auparavant, l’utilisateur devait déployer manuellement les données apprises sous forme de règles de relaxation.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/dynamic-profiling.html

    [NSWAF-2895]

Mise en cluster

  • Prise en charge des propriétaires ARP pour adresses IP Striped

    Dans une configuration de cluster, vous pouvez désormais configurer un nœud spécifique pour répondre à la demande ARP pour une adresse IP par bandes. Le nœud configuré répondra au trafic ARP. Un nouvel attribut « ARPowner » est introduit dans les commandes CLI « add, set, and unset ip ».

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/clustering/cluster-overview/cluster-config-type.html#arp-owner-support-for-striped-ip.

    [NSNET-3050]

  • Supprimer le piège SNMP pour détecter les incohérences entre les versions du cluster

    L’incompatibilité de version dans une configuration de cluster est désormais supprimée à l’aide d’un piège SNMP clair.

    [NSNET-8545]

DNS

  • Conformité au Jour du drapeau du DNS 2019

    L’appliance Citrix ADC est désormais entièrement conforme au DNS Flag Day 2019.

    [NSLB-4275]

Gestion des licences

  • Protocoles de routage dynamique sous licence standard

    La licence standard Citrix ADC inclut désormais les protocoles de routage dynamique Citrix ADC. Citrix ADC prend en charge les protocoles dynamiques suivants :

    • RIP (IPv4 et IPv6)

    • OSPF (IPv4 et IPv6)

    • BGP (IPv4 et IPv6)

    • IS-IS (IPv4 et IPv6)

    [NSNET-12256]

  • Nouvelles valeurs pour la bande passante minimale et les instances minimales SDX

    La bande passante minimale et les valeurs minimales des instances pour les appliances SDX qui prennent en charge la capacité groupée Citrix ADC ont changé. Pour plus d’informations, consultez :

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html

    [NSSVM-2770]

  • Protocoles de routage dynamique sous licence standard

    La licence standard Citrix ADC inclut désormais les protocoles de routage dynamique Citrix ADC. Citrix ADC prend en charge les protocoles dynamiques suivants :

    • RIP (IPv4 et IPv6)

    • OSPF (IPv4 et IPv6)

    • BGP (IPv4 et IPv6)

    • IS-IS (IPv4 et IPv6)

    [NSPLAT-6179]

Équilibrage de charge

  • Support pour un moniteur NTLM sécurisé

    Vous pouvez désormais utiliser le script nsntlm-lwp.pl pour créer un moniteur afin de surveiller un serveur NTLM sécurisé.

    [NSLB-4806]

NITRO

  • Mettez à jour facilement le groupe de services avec l’ensemble de membres souhaité à l’aide de l’API Desired State

    Vous pouvez désormais utiliser l’API Desired State pour mettre à jour un groupe de services avec un ensemble de membres de groupe de services souhaité. À l’aide de l’API Desired State, vous pouvez fournir une liste des membres du groupe de services ainsi que leur poids et leur état (facultatif) dans une seule requête PUT sur la ressource « servicegroup_servicegroupmemberlist_binding ». L’appliance Citrix ADC compare le jeu de membres souhaité demandé avec le jeu de membres configuré. Ensuite, il lie automatiquement les nouveaux membres et délie les membres qui ne sont pas présents dans la demande.

    [NSLB-4543]

  • Restreindre les utilisateurs du système à une interface de gestion spécifique

    Une appliance Citrix ADC vous permet désormais de restreindre l’accès des utilisateurs à une interface de gestion spécifique (CLI ou API). Vous pouvez configurer la liste des interfaces de gestion autorisées pour un utilisateur particulier ou un groupe d’utilisateurs au niveau de l’utilisateur.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/restricted-management-interface-access.html.

    [NSCONFIG-1376]

Plateforme

  • Configuration de la taille et du type de sonnerie de réception pour une interface

    Vous pouvez désormais augmenter la taille et le type de sonnerie de réception pour les interfaces IX, F1X, F2X et F4X sur les plateformes Citrix ADC MPX et SDX.

    L’augmentation de la taille de l’anneau permet de mieux gérer les pics de trafic, mais cela peut avoir un impact sur les performances. Une taille d’anneau allant jusqu’à 8192 est prise en charge sur les interfaces IX. Une taille d’anneau allant jusqu’à 4 096 est prise en charge sur les interfaces F1X, F2X et F4X. La taille de bague par défaut reste de 2048.

    Les types d’anneaux d’interface sont élastiques par défaut. Leur taille augmente ou diminue en fonction du taux d’arrivée des paquets. Vous pouvez configurer le type de sonnerie comme « fixe » afin qu’il ne change pas en fonction du débit de trafic.

    [NSPLAT-9264]

Stratégies

  • Outil nspepi amélioré pour la conversion des stratégies

    L’outil nspepi a maintenant été amélioré pour prendre en charge les éléments suivants :

    • Conversion des stratégies relatives aux tunnels et de leurs dispositions contraignantes.

    • Conversion de liaisons de stratégies classiques intégrées dans CMP, CR et Tunnel.

    • Conversion de la stratégie d’authentification et de ses liaisons vers un serveur virtuel d’authentification, mais pas pour d’autres liaisons d’entités.

    • Corrections de divers bogues.

    Remarque : si des stratégies cmd sont utilisées et que le nom de la commande est converti, toutes les stratégies cmd associées devront être modifiées manuellement.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/appexpert/policies-and-expressions/introduction-to-policies-and-exp/converting-policy-expressions-nspepi-tool.html

    [NSPOLICY-3159]

SSL

  • Prise en charge de la vérification facultative des certificats clients avec authentification client basée sur des stratégies

    Vous pouvez définir la vérification du certificat client comme facultative lorsque vous avez configuré l’authentification client basée sur des stratégies. Auparavant, l’option obligatoire était la seule option. Les options facultatives et obligatoires sont désormais disponibles et configurables.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/ssl/ssl-actions-and-policies/config-built-in-ssl-actions.html#client-certificate-verification-with-policy-based-client-authentication.

    [ NSSSL-690]

  • Support pour l’affichage des valeurs de clé RSA 3072 bits dans la commande stat ssl

    La sortie du stat ssl inclut désormais les valeurs d’échange de clés RSA 3072 bits.

    stat ssl -detail

    Déchargement SSL

    Cartes SSL présentes : 8

    Cartes SSL UP 8

    État du moteur SSL 1

    Sessions SSL (tarif) 0

    Echanges de clés

    Échanges de clés RSA 512 bits 0 0

    Échanges de clés RSA 1024 bits 0 0

    Échanges de clés RSA 2048 bits 0 0

    Échanges de clés RSA 3072 bits 0 106380

    Échanges de clés RSA 4096 bits 0 0

    Terminé

    [ NSSSL-1954]

  • Prise en charge des noms plus longs des entités SSL

    Pour aider les clients à maintenir une convention de dénomination standard pour toutes les entités ADC, l’appliance Citrix ADC prend désormais en charge un nom de certificat comportant jusqu’à 63 caractères. Auparavant, la limite était de 31 caractères.

    [NSSSL-5976]

  • Améliorations apportées au bilan de santé de la puce Intel Coleto

    Les appliances Citrix ADC dotées de la puce Intel Coleto prennent désormais en charge des contrôles de santé améliorés pour les opérations symétriques (SYM) et asymétriques (ASYM).

    [ NSSSL-6299]

  • Support pour les messages TLS fragmentés

    L’appliance Citrix ADC prend désormais en charge la fragmentation des messages de certificat du serveur et des messages de demande de certificat. La taille maximale prise en charge de ces messages dans tous les enregistrements est de 32 Ko. Auparavant, la fragmentation n’était pas prise en charge et la taille maximale prise en charge des messages était de 16 Ko.

    [NSSSL-5971]

Système

  • Implémentation du délai d’expiration des requêtes ICAP et du délai de réponse

    Pour gérer le problème de délai de réponse ICAP, vous pouvez configurer la valeur du délai d’expiration de la demande ICAP pour le paramètre « ReqTimeout » dans le profil ICAP. Vous pouvez ainsi définir une action de temporisation des demandes pour que l’appliance prenne toute mesure en cas de retard de réponse ICAP de la part du serveur ICAP. Si l’appliance ne reçoit aucune réponse ICAP dans le délai de demande configuré, elle peut effectuer l’une des actions suivantes en fonction du paramètre « ReqTimeoutAction » configuré sur le fichier Icapprofile.

    ReqTimeoutAction : les valeurs possibles sont BYPASS, RESET, DROP.

    BYPASS : Si la réponse ICAP avec des en-têtes encapsulés n’est pas reçue dans le délai imparti, la réponse du serveur ICAP distant est ignorée et la demande/réponse complète est envoyée au client/serveur

    RESET (par défaut) : Réinitialisez la connexion client en la fermant.

    DROP : Supprimer la demande sans envoyer de réponse à l’utilisateur

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/icap-for-remote-content-inspection.html

    [NSBASE-3040, NSBASE-2264]

  • Gestion des temps d’arrêt du serveur ICAP lors de l’inspection du contenu

    Pour gérer les temps d’arrêt du serveur ICAP lors de l’inspection du contenu, l’appliance Citrix ADC vous permet désormais de configurer le paramètre ifserverdown et d’attribuer les actions suivantes.

    CONTINUER : Si l’utilisateur souhaite contourner l’inspection du contenu si le serveur distant est en panne, cette action peut être choisie.

    RESET (par défaut) : Cette action répond au client en fermant la connexion avec RST.

    SUPPRIMER : Cette action supprime silencieusement les paquets sans envoyer de réponse à l’utilisateur.

    [NSBASE-4936]

  • Intégration du système de détection d’intrusion (IDS) à la connectivité L3

    Une appliance Citrix ADC est désormais intégrée à des dispositifs de sécurité passifs tels que le système de détection d’intrusion (IDS). Dans cette configuration, l’appliance envoie une copie du trafic d’origine en toute sécurité aux appareils IDS distants. Ces appareils passifs stockent des journaux et déclenchent des alertes lorsqu’ils détectent un trafic défectueux ou non conforme. Il génère également des rapports à des fins de conformité. Si l’appliance Citrix ADC est intégrée à deux appareils IDS ou plus et que le volume de trafic est élevé, l’appliance peut équilibrer la charge des appareils en clonant le trafic au niveau du serveur virtuel.

    Pour une protection de sécurité avancée, une appliance Citrix ADC est intégrée à des dispositifs de sécurité passifs tels que le système de détection d’intrusion (IDS) déployé en mode détection uniquement. Ces appareils stockent le journal et déclenchent des alertes lorsqu’ils détectent un trafic mauvais ou non conforme. Il génère également des rapports à des fins de conformité. Vous trouverez ci-dessous certains des avantages de l’intégration de Citrix ADC à un périphérique IDS.

    1. Inspection du trafic crypté — La plupart des dispositifs de sécurité contournent le trafic crypté, exposant ainsi les serveurs aux attaques. Une appliance Citrix ADC peut déchiffrer le trafic et l’envoyer aux appareils IDS afin d’améliorer la sécurité du réseau du client.

    2. Décharger les appareils IDS du traitement TLS/SSL — Le traitement TLS/SSL est coûteux et entraîne une surcharge du processeur du système sur les dispositifs de détection d’intrusion s’ils déchiffrent le trafic. Le trafic chiffré augmentant rapidement, ces systèmes ne parviennent pas à déchiffrer et à inspecter le trafic chiffré. Citrix ADC permet de décharger le trafic vers les appareils IDS du traitement TLS/SSL. Cette façon de décharger les données permet à un dispositif IDS de prendre en charge un volume élevé d’inspection du trafic.

    3. Équilibrage de charge des périphériques IDS : l’appliance Citrix ADC équilibre la charge de plusieurs périphériques IDS lorsque le volume de trafic est élevé en clonant le trafic au niveau du serveur virtuel.

    4. Réplication du trafic vers des appareils passifs : le trafic entrant dans l’appliance peut être répliqué vers d’autres appareils passifs pour générer des rapports de conformité. Par exemple, peu d’agences gouvernementales exigent que chaque transaction soit enregistrée sur certains appareils passifs.

    5. Acheminer le trafic vers plusieurs appareils passifs — Certains clients préfèrent ventiler ou répliquer le trafic entrant sur plusieurs appareils passifs.

    6. Sélection intelligente du trafic : il n’est peut-être pas nécessaire d’inspecter le contenu de chaque paquet entrant dans l’appliance, par exemple pour le téléchargement de fichiers texte. L’utilisateur peut configurer l’appliance Citrix ADC pour sélectionner un trafic spécifique (par exemple des fichiers .exe) à inspecter et envoyer le trafic aux appareils IDS pour le traitement des données.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/intrusion-detection-system-for-l3.html

    [NSBASE-6800]

  • Nouveau compteur d’entités pour le débogage des serveurs virtuels d’équilibrage de charge

    Un nouveau compteur d’entités est ajouté à des fins de débogage des serveurs virtuels et d’analyse.

    [NSBASE-8087]

  • Interruptions SNMP pour le processus de mise à niveau logicielle en service

    Le processus de mise à niveau logicielle en service (ISSU) pour une configuration à haute disponibilité prend désormais en charge l’envoi de messages d’interruption SNMP au début et à la fin de l’opération de migration ISSU.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html.

    [NSNET-9959]

  • Annulation du processus de mise à niveau logicielle en service

    Les configurations à haute disponibilité prennent désormais en charge l’annulation du processus de mise à niveau logicielle en service (ISSU). La fonction de restauration ISSU est utile si vous constatez que la configuration HA après ou pendant le processus ISSU n’est pas stable ou ne fonctionne pas de manière optimale comme prévu.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html.

    [NSNET-9958]

  • Modification des mots de passe par défaut des nœuds RPC

    Dans les déploiements HA, en cluster et GSLB, un message d’avertissement s’affiche pour la connexion nsroot et superutilisateur si le mot de passe par défaut du nœud RPC n’est pas modifié.

    [NSCONFIG-2224]

Optimisation vidéo

Problèmes résolus

Les problèmes résolus dans la version 41.28.

Partition d’administration

  • Dans une configuration à haute disponibilité avec configuration de partition d’administration, les journaux d’audit générés à partir du nœud secondaire sont envoyés au serveur SYSLOG ou NSLOG uniquement lorsque le serveur SYSLOG ou NSLOG est accessible depuis la partition d’administration.

    [ NSHELP-19399]

  • Dans une configuration partitionnée, la commande CLI « diff ns config » affiche des informations trompeuses.

    [NSHELP-19530]

AppFlow

  • Une stratégie AppFlow n’est pas déclenchée si elle est liée à un serveur virtuel d’équilibrage de charge situé derrière un serveur virtuel de commutation de contenu.

    [NSHELP-18782, NSBASE-8180]

  • L’appliance Citrix ADC se bloque si vous liez un profil d’analyse défini par l’utilisateur, autre que le profil lié en interne, à une action AppFlow.

    [NSHELP-19362]

  • Lorsque la fonctionnalité « mesures côté client » d’AppFlow est activée, l’appliance Citrix ADC analyse de manière inattendue les fichiers CSS d’une page HTML. Toute erreur lors de l’analyse CSS peut entraîner un chargement incorrect de la page HTML.

    [NSHELP-19375]

  • L’appliance Citrix ADC peut se bloquer si AppFlow est désactivé mais que l’optimisation frontale (FEO) est activée avec des mesures côté client, dans l’action FEO.

    [NSHELP-19531]

  • Une appliance Citrix ADC peut redémarrer si le collecteur AppFlow se ferme en mode de transport Logstream.

    [NSHELP-19837]

Authentification, autorisation et audit

  • Une appliance Citrix ADC peut autoriser un accès non autorisé si les conditions suivantes sont remplies :

    • Les stratégies d’autorisation appropriées ne sont pas configurées.

    • Le paramètre DefaultAuthorizationAction de la commande « set tm SessionParameter » est ALLOW par défaut.

    [NSAUTH-6013]

  • Le SNMP envoie des pièges même après la réussite de l’authentification par clé publique SSH.

    [NSHELP-18303]

  • La commande probe server fournit un message approprié lorsque le serveur TACACS ferme la connexion TCP avec des paquets FIN ou RST sans envoyer de réponse d’authentification.

    [NSHELP-18399]

  • Lors de la mise à niveau de la configuration du cluster Citrix ADC de la version 10.5 vers une version supérieure, la connexion du système à un nœud non-CCO sur la version supérieure échoue.

    [NSHELP-18511, NSAUTH-5561]

  • Une appliance Citrix ADC configurée en tant que SP SAML échoue si le serveur envoie un nom de paramètre RelayState volumineux accompagné d’une assertion.

    [NSHELP-18559]

  • Un message de déconnexion d’authentification, d’autorisation et d’audit Citrix affiche parfois un nom de serveur virtuel incorrect.

    [NSHELP-18751]

  • Une appliance Citrix ADC ne parvient pas à obtenir de tickets Kerberos via une délégation limitée, si l’une des conditions suivantes est remplie :

    • Le paramètre « domaine » de l’entreprise est configuré pour l’utilisateur.

    • Le nom de domaine dans le paramètre « keytab » est en minuscules.

    [NSHELP-18946]

  • La mémoire tampon est corrompue si les conditions suivantes sont remplies :

    • Les données de la mémoire tampon sont remplacées.

    • Le traitement des messages de cœur à cœur entraîne une condition de recyclage de la mémoire tampon.

    [NSHELP-18952]

  • Une appliance Citrix ADC ne supprime pas les demandes HTTP OPTIONS non authentifiées si User-Agent contient l’un des modèles mentionnés dans ns_aaa_activesync_useragents.

    [NSHELP-19024]

  • L’authentification WebAuth échoue après plusieurs basculements sur une appliance Citrix Gateway.

    [NSHELP-19050]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont remplies :

    • L’option de modification du mot de passe est activée dans une commande d’action LDAP.

    • L’action LDAP associée à une session d’authentification, d’autorisation et d’audit entraîne un problème de propagation de session.

    [NSHELP-19053]

  • L’utilisation de la mémoire d’une appliance Citrix ADC augmente lorsque Citrix Gateway ou un serveur virtuel de gestion du trafic utilise l’authentification Kerberos.

    [NSHELP-19085]

  • Si le paramètre MetadataURL est configuré et que l’appliance Citrix est redémarrée, la commande SAMLAction n’est pas enregistrée et la configuration est perdue.

    [NSHELP-19140]

  • Si vous définissez « URL d’importation de métadonnées » et que vous la modifiez ultérieurement en fournissant l’URL de redirection à partir de l’interface graphique Citrix ADC, l’URL de redirection est définie mais l’URL d’importation de métadonnées n’est pas désactivée. Pour cette raison, l’appliance Citrix ADC utilise l’URL des métadonnées.

    [NSHELP-19202]

  • Une appliance Citrix ADC peut se bloquer si l’entrée de l’interface graphique Citrix ou de la demande de connexion à l’API NITRO contient un nom d’utilisateur ou un mot de passe non valide.

    [NSHELP-19254]

  • L’appliance Citrix peut se bloquer si une stratégie de schéma de connexion d’authentification est définie sur noschema.

    [NSHELP-19292]

  • Une appliance Citrix ADC échoue parfois si un paramètre DefaultAuthenticationGroup est configuré dans une commande SamLidpProfile.

    [NSHELP-19301]

  • La connexion utilisateur du système à partir de l’interface graphique Citrix ou de l’API NITRO à l’aide de l’authentification RBA échoue lorsque la gestion de Citrix ADC est accessible via un serveur virtuel d’équilibrage de charge et un service d’équilibrage de charge.

    [NSHELP-19385]

  • Active Directory Federation Services (ADFS) ne parvient pas à importer les métadonnées générées par le fournisseur de services SAML (SP) Citrix ADC.

    [NSHELP-19390]

  • Le décodage en base64 échoue si une signature numérique contient des caractères codés par une entité HTML.

    [NSHELP-19410]

  • Une appliance Citrix ADC configurée pour le fournisseur d’identité SAML (IdP) ne parvient pas à authentifier la demande d’authentification entrante pour certaines applications.

    [NSHELP-19443]

  • Si un cookie de dialogue intégré à la demande du client est traité avant de vérifier la présence de sessions existantes, une appliance Citrix ADC envoie une page de modification du mot de passe au client.

    [NSHELP-19528]

  • Si l’URL contient le caractère spécial « ; », le cookie TASS code la redirection d’URL au moment de la connexion.

    [NSHELP-19634]

  • Si l’extraction du groupe d’utilisateurs est effectuée lors de la connexion d’un administrateur, l’utilisation de la mémoire de Citrix ADC AAA augmente progressivement.

    [NSHELP-19671]

  • L’authentification peut échouer lorsqu’une appliance Citrix ADC configurée en tant que SAML avec le protocole WS-Feed contient un caractère spécial « & » dans le mot de passe.

    [NSHELP-19740]

  • Un message d’erreur 500 s’affiche si les conditions suivantes sont remplies :

    • Le serveur virtuel de gestion du trafic activé par l’authentification, l’autorisation et l’audit reçoit une demande de publication sans cookie.

    • Le corps du message contient des caractères de fin de ligne.

    [NSHELP-19852]

  • Une appliance Citrix ADC traite les demandes HTTP non authentifiées avec la méthode OPTIONS reçues du serveur virtuel de gestion du trafic d’authentification, d’autorisation et d’audit. À ce stade, l’appliance répond par un message d’erreur HTTP 401 correspondant.

    [NSHELP-19916]

  • Une appliance Citrix ADC envoie une valeur négative si la valeur d’âge maximale de l’en-tête HSTS est définie au-dessus de 2 147 483 647.

    [NSHELP-19945]

  • La valeur d’attribut SAML dans la réponse SAML inclut plusieurs lignes SAML AttributeValue, au lieu d’une seule.

    [ NSHELP-19961]

  • Dans un mécanisme OpenID-Connect, OAuth Relying Party (RP) n’encode pas les propriétés du nom d’utilisateur ou du mot de passe lors d’un appel d’API d’attribution de mot de passe.

    [ NSHELP-19987]

  • Une appliance Citrix ADC configurée en tant que fournisseur d’identité SAML (IdP) tronque relaystate à partir du fournisseur de services (SP) s’il contient des guillemets.

    [NSHELP-20131]

  • Une appliance Citrix Gateway peut échouer si les conditions suivantes sont remplies :

    • Lorsqu’un utilisateur se déconnecte d’une session.

    • L’appliance est déployée sur une plate-forme HDX.

    • L’authentification SAML est utilisée dans Citrix Gateway.

    [NSHELP-20206]

  • Une appliance Citrix ADC peut se bloquer lorsque vous utilisez un IdP SAML sur une appliance FIPS.

    [NSHELP-20282]

  • Une appliance Citrix Gateway peut parfois échouer si les utilisateurs essaient de se connecter lors de la prise d’un instantané VPX.

    [NSHELP-20292]

  • Une appliance Citrix ADC configurée en tant que fournisseur de services (SP) SAML sur un serveur virtuel de gestion du trafic n’envoie pas de réponse au corps du message au serveur principal après la connexion SAML.

    [NSHELP-20348]

  • Le comportement suivant est observé dans l’interface graphique de Citrix ADC :

    • Vous ne pouvez pas modifier les stratégies OAuth.

    • Vous ne pouvez modifier que les actions OAuth.

    • L’option Stratégies OAuth ne doit figurer que dans Stratégies avancées et non dans Stratégies de base.

    [NSHELP-2131]

  • Parfois, une appliance Citrix Gateway peut échouer lorsqu’elle reçoit une requête /vpns/services.html d’un client.

    [NSHELP-8513]

CPXCPX-Infra

  • Fonctionnalité : Citrix ADC CPX

    Les profils TCP par défaut suivants n’ont pas été automatiquement définis avec la taille maximale de segment (MSS) TCP :

    • nstcp_default_profile

    • nstcp_internal_apps

    [NSNET-11916]

Appliance Citrix ADC BLX

  • Sur une appliance Citrix ADC BLX, vous ne pouvez pas lier l’interface 0/1 à un VLAN car cette interface est utilisée pour la communication interne entre l’appliance BLX et les applications hôtes Linux.

    [NSNET-10014]

  • Les fonctionnalités d’interface (par exemple, Rx, Tx, GRO, GSO et LRO) sont désactivées pour les interfaces (hôte Linux) allouées à l’appliance Citrix ADC BLX. Ces fonctionnalités restent désactivées même après la libération de ces interfaces BLX dans l’espace de noms par défaut à l’arrêt de l’appliance BLX.

    [NSNET-9697]

CLI Citrix ADC

  • Lorsque vous êtes connecté en tant qu’utilisateur nsrecover, les commandes nscli -U génèrent une erreur.

    [NSCONFIG-1414]

  • Une appliance Citrix ADC ne répond plus si elle atteint le nombre maximum de sessions utilisateur (environ 1 000 sessions) et si l’interface de gestion cesse de répondre.

    [NSHELP-19212, NSCONFIG-1369]

Citrix ADC CPX

  • La version allégée de l’instance CPX Citrix ADC n’était pas enregistrée sur Citrix ADM.

    [NSCONFIG-2232]

  • Vous ne pouvez pas configurer un NSIP avec un masque de sous-réseau /32 bits pour Citrix ADC CPX.

    [NSNET-10968]

Interface graphique de Citrix ADC

  • Un message d’erreur, « Impossible de lire la propriété ‘get’ de undefined. » apparaît lorsque vous cliquez sur Action dans la page d’interface graphique des identifiants de flux.

    [NSHELP-19369]

  • Le message d’erreur suivant s’affiche une fois que vous avez effectué les étapes 1 à 4.

    « Valeur d’argument ambiguë [] »

    1. Créez un profil SSL avec des valeurs par défaut.

    2. Liez le profil à un serveur virtuel SSL.

    3. Modifiez les paramètres SSL, mais ne modifiez aucune valeur.

    4. Sélectionnez OK pour fermer la boîte de dialogue des paramètres SSL.

    [NSHELP-19402]

  • En raison de certains problèmes techniques liés à l’infrastructure, tous les groupes de services ne sont pas affichés dans l’interface graphique de l’ADC.

    [NSUI-13754]

Appliance Citrix ADC SDX

  • Le nombre maximum de cœurs que vous pouvez configurer maintenant sur une instance VPX dépend des cœurs disponibles sur la plate-forme SDX particulière. Auparavant, vous pouviez configurer un maximum de cinq cœurs, même si davantage de cœurs étaient disponibles.

    Pour plus d’informations sur le nombre maximum de cœurs que vous pouvez attribuer à une instance VPX, consultez https://docs.citrix.com/en-us/sdx/13/provision-netscaler-instances.html

    [NSHELP-18632]

  • Après la restauration d’une appliance SDX, les MAC de partition à partir du fichier de sauvegarde n’ont pas été restaurés sur les instances VPX respectives exécutées sur l’appliance SDX.

    [NSHELP-19008]

  • Dans une configuration VPX HA exécutée sur des appliances SDX, lorsque l’un des commutateurs du canal de port virtuel (VPC) tombe en panne, toutes les interfaces faisant partie du LACP se bloquent. Cela déclenche le basculement HA.

    [NSHELP-19095]

  • Les appliances SDX 8900 peuvent se bloquer lorsque vous appliquez la configuration SSL pour définir la vérification du certificat client comme facultative avec une authentification client basée sur des stratégies.

    [NSHELP-19297]

  • Après la mise à niveau d’une appliance SDX, le canal LA et la configuration VLAN de l’appliance peuvent être perdus.

    [NSHELP-19392, NSHELP-19610]

  • Lors de la configuration des licences groupées dans l’appliance FIPS SDX 14000, le nombre minimum d’instances que vous pouviez récupérer était de 25. Avec ce correctif, le nombre minimum d’instances que vous pouvez récupérer est de deux. Pour plus d’informations, consultez le document sur la capacité groupée Citrix ADC :

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html.

    [NSHELP-20305]

  • Après une opération de réinitialisation, le taux de transmission diminue.

    [NSPLAT-7792]

  • Sur les plateformes SDX 26000 et SDX 15000, l’accès de gestion via SSH à DOM0 peut s’arrêter lorsque les conditions suivantes sont remplies :

    • Plusieurs instances VPX sont redémarrées simultanément.

    • Des interfaces 100 GE ou 50 GE sont attribuées aux instances VPX.

    [NSPLAT-9185]

  • Une appliance SDX peut se bloquer à la fin de son cycle de redémarrage lorsque toutes les conditions suivantes sont remplies :

    • L’appliance SDX est en cours de démarrage.

    • Toutes les instances VPX exécutées sur l’appliance SDX ne sont pas encore disponibles.

    • Les commandes de redémarrage à chaud sont exécutées sur l’appliance SDX.

    Sur la console de l’hyperviseur Citrix, l’appliance SDX est donc régulièrement nettoyée et s’arrête à la ligne « Étape finale atteinte ».

    [NSPLAT-9417]

  • Une fois que vous avez configuré un VLAN à partir de la liste des VLAN autorisés (AVL) sur une instance VPX exécutée sur un dispositif SDX, l’instance ne redémarre pas automatiquement. Par conséquent, la communication entre l’instance VPX et AVL s’arrête.

    [NSSVM-135]

Appliance Citrix ADC VPX

  • Il se peut que vous ne puissiez pas accéder à une instance VPX à l’aide de l’adresse IP de gestion si l’instance possède une licence vCPU. Le problème se produit dans toutes les instances VPX, sur site et dans le cloud. Si l’instance VPX s’exécute sur une appliance SDX, vous pouvez accéder à l’instance à partir de l’interface graphique du service de gestion SDX.

    [NSPLAT-10710]

  • Si vous définissez la taille du MTU via l’interface graphique de Citrix ADC VPX, le message d’erreur « Opération non prise en charge » s’affiche.

    [NSPLAT-9594]

Citrix Gateway

  • Les applications intranet Citrix Gateway prennent désormais en charge les noms d’hôte séparés par des virgules pour le tunneling basé sur le FQDN.

    [CGOP-10855]

  • Si le plug-in Citrix Gateway pour macOS n’est pas installé et si l’utilisateur essaie d’accéder au VPN depuis Safari, un message d’erreur s’affiche.

    [CGOP-11240]

  • Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

    [CGOP-11830]

  • Les paquets ESP (Encapsulating Security Payload) en transit sont supprimés si la configuration LSN n’est pas activée sur l’appliance Citrix ADC.

    [NSHELP-18502]

  • Dans une configuration à haute disponibilité, le nœud secondaire peut se bloquer si le protocole SAML est configuré.

    [NSHELP-18691]

  • Si un profil de serveur RDP est défini sur le même numéro de port et la même adresse IP que ceux du serveur virtuel de commutation de contenu, la configuration de commutation de contenu est perdue après le redémarrage.

    [NSHELP-18818]

  • Dans certains cas, lors de l’accès à l’appliance Citrix Gateway à l’aide d’un navigateur IE, la page de connexion Citrix Gateway n’apparaît qu’après une actualisation.

    [NSHELP-18938]

  • Dans Citrix ADM, la page Analytics > Gateway Insight signale les sessions VPN interrompues de manière incorrecte.

    [NSHELP-19037]

  • Dans une configuration à haute disponibilité, le nœud secondaire se bloque si les informations utilisateur supprimées ne sont pas synchronisées avec le nœud.

    [NSHELP-19065]

  • La boîte de dialogue Serveur occupé s’affiche dans la fenêtre du plug-in VPN de la machine cliente si la machine reste inactive pendant plus de deux heures.

    [NSHELP-19072]

  • Les stratégies d’autorisation UDP, DNS et ICMP ne sont pas appliquées aux connexions entre un client du réseau interne et un client VPN (connexions initiées par le serveur).

    [NSHELP-19142]

  • Dans certains cas, le script de connexion configuré sur le serveur Citrix Gateway ne s’exécute pas sur les machines clientes.

    [NSHELP-19163]

  • L’analyse EPA (Advanced Endpoint Analysis) échoue pour les appareils macOS.

    [NSHELP-19328]

  • Dans certains cas, une appliance Citrix ADC vide le cœur si les conditions suivantes sont remplies.

    • L’authentification à deux facteurs est activée pour le client VMware Horizon natif.

    • Radius est configuré comme premier facteur d’authentification.

    • Le serveur Radius répond avec les noms des groupes une fois l’authentification réussie.

    [NSHELP-19333]

  • Dans certains cas, la déconnexion du plug-in VPN Windows prend plus de temps que prévu.

    [NSHELP-19394]

  • Dans certains cas, l’appliance Citrix Gateway définit un cookie non valide lors du traitement des demandes non authentifiées.

    [NSHELP-19403]

  • Dans certains cas, une appliance Citrix Gateway vide le noyau, si le profil de serveur virtuel PCOIP est défini sur un serveur virtuel VPN mais que le profil PCOIPprofile n’est pas défini dans le cadre d’une action de session.

    [NSHELP-19412]

  • Dans certains cas, l’appliance Citrix Gateway vide le noyau si l’on accède à l’appliance dans

    le mode tunnel VPN complet.

    [NSHELP-19444]

  • Le plug-in Citrix Gateway pour macOS ne peut pas résoudre les noms d’hôtes internes si l’option Local LAN Access est activée sur une appliance Citrix ADC.

    [NSHELP-19543]

  • Le service DTLS sur un serveur virtuel VPN fonctionne avec un ensemble de chiffrements par défaut qui ne peuvent pas être modifiés via les commandes de chiffrement de liaison ou de dissociation à l’aide de l’interface de ligne de commande.

    [NSHELP-19561]

  • La clarté audio des appels Skype est affectée négativement lorsque plusieurs applications/connexions sont tunnelisées via le VPN. Cela se produit en raison d’une mauvaise gestion de la mémoire.

    [NSHELP-19630]

  • Citrix Gateway ne reconnaît pas la stratégie d’expression d’ouverture de session dans un plug-in Windows lors de l’authentification nFactor.

    [NSHELP-19640]

  • La fonctionnalité « détection basée sur la localisation » ne fonctionne pas sur les machines clientes lorsque la machine est transférée dans une zone connectée au réseau [Internet ou intranet] depuis une zone sans réseau.

    [NSHELP-19657]

  • Si un facteur d’authentification hébergé dans Azure est utilisé dans Citrix MFA, la connexion à Citrix Gateway à l’aide du plug-in Windows échoue. Cela se produit car la valeur du délai d’expiration HTTP MFA est inférieure à la valeur du délai d’expiration du plug-in Citrix Gateway Windows.

    Avec ce correctif, la valeur du délai d’expiration du plug-in Citrix Gateway Windows est augmentée afin d’éviter tout échec de connexion. De plus, la valeur du délai d’expiration HTTP peut désormais être configurée en définissant la valeur de registre ci-dessous (en secondes) :

    OrdinateurHKEY_LOCAL_MACHINESOFTWARECitrixSecure Access ClientHttpTimeout

    [NSHELP-19848]

  • Dans certains cas, le scan EPA échoue sur les machines Windows.

    [NSHELP-19865]

  • Dans de rares cas, les appliances Citrix ADC déployées dans une configuration haute disponibilité (HA) peuvent se bloquer et entraîner de fréquents basculements HA, si les deux conditions suivantes sont remplies :

    • Gateway Insight est activé.

    • L’authentification unique échoue.

    [NSHELP-19922]

  • La vérification d’inscription à Windows Intune ne peut pas être désactivée sur les machines clientes. La vérification est activée par défaut.

    Ce correctif permet de désactiver la vérification de l’inscription à Windows Intune.

    Pour désactiver la vérification, définissez l’entrée de registre suivante sur 1 :

    Ordinateur HKEY_LOCAL_MACHINES Le client Citrix Secure Access est désactivé dans l’inscription des appareils TuneDevice

    [NSHELP-19942]

  • La clarté audio des applications VoIP est affectée négativement lorsque plusieurs applications ou connexions sont tunnelisées via le VPN.

    [NSHELP-20097]

  • La recherche d’URL à réécrire pour un traitement VPN avancé sans client entraîne une utilisation élevée du processeur. Par conséquent, le système ralentit.

    [NSHELP-20122]

  • Une machine cliente ne parvient pas à se reconnecter à une appliance Citrix Gateway car l’appliance envoie un ticket STA incorrect lors de l’actualisation de la STA.

    [NSHELP-20285]

  • Lorsque vous ajoutez des domaines pour un profil d’accès sans client, une barre de défilement horizontale apparaît lorsque le FQDN est long.

    [NSHELP-20341]

  • Dans une configuration haute disponibilité, l’appliance Citrix ADC secondaire peut se bloquer si la fiabilité de session dans une configuration haute disponibilité est activée.

    [NSHELP-5257, NSINSIGHT-1208, NSHELP-3807, NSHELP-3808, NSHELP-5414, NSHELP-5417, NSHELP-5428, NSHELP-17883, NSHELP-17894, NSHELP-17904]

  • Une page de connexion à un serveur virtuel d’authentification, d’autorisation et d’audit affiche un numéro de code d’erreur au lieu d’un message d’erreur significatif.

    [NSHELP-7872]

  • Dans certains cas, une appliance Citrix Gateway vide le cœur car les opérations d’actualisation STA en attente s’accumulent à l’infini.

    [NSHELP-8684]

Citrix Web App Firewall

  • Les paramètres d’origine du Citrix Web App Firewall sont remplacés par défaut.

    Par exemple, si vous avez sélectionné l’option « activer » pour certaines signatures, le paramètre est remplacé par « désactiver » lors de l’opération de fusion des signatures.

    [NSHELP-17841]

  • Une perte de configuration est observée lorsque vous redémarrez une configuration de haute disponibilité ou de cluster avec l’option rfcprofile activée dans la configuration en cours.

    [NSHELP-18856]

  • Une appliance Citrix ADC peut se bloquer si les modifications de configuration du Citrix Web App Firewall ne sont pas gérées correctement dans une configuration de cluster.

    [NSHELP-18870]

  • Une fois que vous avez ajouté une règle de relaxation, les URL similaires ne sont pas supprimées de la liste des règles apprises.

    [NSHELP-19298]

  • Une appliance Citrix ADC peut se bloquer lors du traitement de corps de formulaire volumineux et si le paramètre de cohérence des champs est activé sur le profil Citrix Web App Firewall.

    [NSHELP-19299]

  • Une appliance Citrix ADC peut réinitialiser les connexions client en cas de trafic XML élevé.

    [NSHELP-19314]

  • Si vous activez la stratégie de transformation d’URL et si la réponse d’une valeur d’attribut de corps contient des caractères spéciaux, le ContentSwitching d’un déchargement SSL peut remplacer les caractères spéciaux en tant que valeurs codées par entité.

    [NSHELP-19356]

  • Une appliance Citrix ADC peut se bloquer lors de la réception de demandes CONNECT. Le problème se produit si vous définissez les paramètres de profil par défaut sur une valeur autre que APPFW_BYPASS, APPFW_RESET, APPFW_DROP, APPFW_BLOCK.

    [NSHELP-19603]

  • Les requêtes Web comportant de nombreux paramètres de requête peuvent ne pas recevoir de réponse si le paramètre de protection de la cohérence des champs est activé.

    [NSHELP-19811]

  • Une appliance Citrix ADC échoue si les conditions suivantes sont respectées :

    • Les stratégies du Web App Firewall utilisent une règle basée sur le corps HTTP, par exemple HTTP.REQ.BODY(..)),

    • La fonctionnalité Web App Firewall est désactivée.

    [NSHELP-19879]

  • Nouvelle option pour limiter le nombre d’octets du corps de publication inspectés par signature

    Après la mise à niveau de votre appliance vers Citrix ADC version 13.0, vous pouvez désormais voir une nouvelle option de profil, « Signature Post Body Limit (Bytes) » avec une valeur par défaut de 8 192 octets. La mise à niveau de votre appliance rétablira la valeur par défaut de l’option. Vous pouvez modifier cette option pour limiter la charge utile de la demande (en octets) inspectée à la recherche de signatures à l’emplacement spécifié comme « HTTP_POST_BODY ».

    Auparavant, Web Citrix Web App Firewall ne disposait d’aucune option permettant de limiter l’inspection de la charge utile et de contrôler le processeur.

    Navigation : Configuration > Sécurité > Citrix Web App Firewall > Profils > Paramètres du profil.

    [NSWAF-2887, NSUI-13251]

Mise en cluster

  • Dans une configuration de cluster avec une configuration ACL6, les paquets d’erreur ICMPv6 circulent en boucle entre les nœuds, ce qui entraîne une utilisation élevée du processeur.

    [NSHELP-19535]

  • Dans une configuration de cluster, la propagation du cluster peut échouer si l’une des conditions suivantes est remplie :

    • La connexion entre le démon du cluster et le démon de configuration échoue.

    • Augmentation de l’utilisation de la mémoire dans le démon du cluster.

    [NSHELP-19771]

  • Dans une configuration de cluster, l’interface graphique Citrix ADC ne parvient pas à charger un certificat SSL dans les conditions suivantes :

    • Les commandes sont exécutées à partir du CLIP.

    • La commande « sh partition » répond par une réponse non valide.

    [NSHELP-19905]

  • Dans une configuration de cluster, vous pouvez observer des journaux d’échec continus qui indiquent un échec de connexion entre le démon IMI de routage dynamique ZEBOS et le démon interne du cluster. Ce problème se produit lorsque le démon IMI de routage dynamique ZEBOS ou le démon du cluster interne est redémarré.

    [NSNET-10655]

  • Le comportement suivant est observé dans une configuration de cluster :

    • Il existe une incompatibilité de configuration si vous exécutez la commande activer/désactiver servicegroupmember, service group et server.

    • La commande unset ne réinitialise pas le profil réseau pour le service/groupe de services.

    [NSNET-9599]

DNS

  • Les appliances Citrix ADC peuvent se bloquer lors du remplissage d’une réponse négative mise en cache pour une requête DNS ANY pour une zone faisant autorité.

    [NSHELP-19496]

  • Vous pouvez ajouter un domaine générique pour la zone que vous possédez.

    [NSHELP-19498]

  • Une instance Citrix ADC VPX exécutée sur une appliance SDX peut se bloquer si une demande DNS non valide est reçue sur une interface compatible Jumbo.

    [NSHELP-19854]

GSLB

  • La configuration de la liste parent de sauvegarde du site GSLB est perdue si les deux conditions suivantes sont remplies :

    • L’option TriggerMonitor est définie sur MEPDOWN ou MEPDOWN_SVCDOWN.

    • L’appliance Citrix ADC est redémarrée.

    [NSCONFIG-1760]

  • Dans une configuration de cluster GSLB, la connexion MEP peut être interrompue, ce qui entraîne un effondrement MEP lorsqu’un nœud rejoint le cluster.

    [NSHELP-19532]

Gestion des licences

  • Après la mise à niveau d’une licence perpétuelle MPX vers une licence Pooled Capacity, l’interface graphique ADM vous invite à enregistrer la configuration et à redémarrer l’instance. Avec ce correctif, l’interface graphique invite uniquement à redémarrer l’instance.

    [NSHELP-20137]

Équilibrage de charge

  • Lorsque le LRTM est activé sur un moniteur lié à un groupe de services, le temps de réponse n’est pas affiché.

    [NSHELP-12689]

  • Dans de rares cas, une appliance Citrix ADC peut échouer lorsque le service est marqué comme inactif avant la réception de la session SSL en provenance du serveur doté de la configuration suivante.

    • Un serveur virtuel d’équilibrage de charge de type SSL_BRIDGE

    • Le type de persistance est défini sur SSLSESSION ID

    • Le type de persistance de la sauvegarde est défini sur SOURCEIP

    [NSHELP-18482]

  • Le numéro de services inactifs d’un serveur virtuel d’équilibrage de charge peut renvoyer une valeur élevée pendant quelques secondes après que certains services ou membres de groupes de services se soient détachés du serveur virtuel d’équilibrage de charge. Il s’agit d’un problème d’affichage qui n’a aucune incidence sur les fonctionnalités.

    [NSHELP-19400]

  • Une appliance Citrix ADC se bloque si le serveur virtuel est de type ANY et que la persistance des débordements est activée sur le serveur virtuel.

    [NSHELP-19540]

  • Dans une configuration haute disponibilité en mode INC, l’interface graphique et l’interface de ligne de commande du nœud secondaire affichent de manière incorrecte le message d’état suivant pour certains moniteurs d’équilibrage de charge :

    « Sonde ignorée, nœud secondaire »

    [NSHELP-19617]

  • Il se peut que vous manquiez d’espace disque sur une appliance Citrix ADC VPX car l’appliance génère plusieurs fichiers temporaires. Lorsqu’une opération rsync se produit pour un fichier d’emplacement particulier, un fichier temporaire est créé pour ce fichier d’emplacement. Ces fichiers remplissent le répertoire /var.

    [NSHELP-20020]

  • La surveillance des chemins pour les groupes de services Autoscale n’est pas prise en charge dans le cadre d’un déploiement en cluster.

    [NSLB-4660]

NITRO

  • L’appliance Citrix ADC répond par un message d’erreur interne pour l’appel d’API show routerdynamicrouting NITRO.

    [NSCONFIG-1325]

Mise en réseau

  • Dans une configuration à haute disponibilité avec un routage dynamique OSPF configuré, le nouveau nœud principal ne génère pas le numéro de séquence OSPF MD5 dans un ordre croissant après un basculement.

    Ce problème a été résolu. Pour que le correctif fonctionne correctement, vous devez synchroniser l’heure entre les nœuds principal et secondaire manuellement ou à l’aide du protocole NTP.

    [NSHELP-18958]

  • Lorsqu’une règle PBR dont le paramètre next hop est défini sur NULL est ajoutée pour un service d’équilibrage de charge ou un moniteur, l’appliance Citrix ADC peut ne plus répondre.

    [NSHELP-19245]

  • Une appliance Citrix ADC peut créer une boucle de paquets SYN+ACK, qui à son tour entraîne une utilisation élevée du processeur, lorsque toutes les conditions suivantes sont réunies :

    • Si une connexion de sonde RNAT en suspens à une adresse IP, qui n’est pas actuellement une adresse IP appartenant à Citrix ADC, est présente dans l’appliance ADC.

    • Si vous définissez cette adresse IP en tant qu’adresse IP appartenant à l’ADC dans le cadre de la configuration de l’ADC. Par exemple, ajouter un serveur virtuel d’équilibrage de charge avec cette adresse IP.

    [NSHELP-19376]

  • L’appliance Citrix ADC permet la configuration via les API NITRO avant même que les modules de protocole ne soient complètement initialisés. Pour cette raison, la commande write memory échoue avec le message d’erreur suivant :

    « Enregistrer la configuration refusé — les modules ne sont pas prêts »

    [NSHELP-19431]

  • Dans de rares cas, dans une configuration à haute disponibilité, le nœud secondaire peut établir une session BGP via l’adresse IP Citrix ADC (NSIP).

    [NSHELP-19720]

  • Le processus BGP peut échouer en raison d’une corruption de la mémoire s’il reçoit des mises à jour BGP contenant plusieurs numéros AS à 4 octets dans le chemin.

    [NSHELP-19860]

  • Dans le cas d’une règle RNAT dont le paramètre useproxyport est désactivé et que les clients RNAT accèdent à l’adresse IP publique INAT, l’appliance Citrix ADC peut allouer/déallouer de manière incorrecte des ports pour les sessions liées à la règle RNAT. Cette attribution/désallocation incorrecte des ports entraîne une fuite de ports.

    [NSNET-10089]

  • Sur l’interface graphique de Citrix ADC, lorsque vous accédez à Configuration > Réseau > Interfaces et que vous cliquez sur Statistiques de l’interface, le résumé de l’interface ne s’affiche pas et le message d’erreur « Valeur non valide [arg] » apparaît.

    [NSUI-13043]

Optimisation

  • Le mode Lazy Loading ne charge pas les images d’une simple page Web situées au-dessus de la ligne de flottaison sans aucun attribut tel que la hauteur ou la largeur.

    [NSHELP-19193]

  • Une appliance Citrix ADC redémarre d’elle-même si les conditions suivantes sont respectées :

    • La fonctionnalité d’optimisation frontale est activée.

    • Les objets mis en cache sont réoptimisés.

    [NSHELP-19428]

Plateforme

  • L’appliance FIPS SDX 14000 peut se bloquer et redémarrer lors de la configuration d’une partition FIPS HSM.

    [NSHELP-18503]

Stratégies

  • Dans une appliance Citrix ADC, si vous dissociez les stratégies globales avancées par défaut et enregistrez la configuration, les modifications ne seront pas répercutées lors du prochain redémarrage.

    [NSHELP-19867]

  • Une appliance Citrix ADC peut se bloquer si la configuration comporte une action de répondeur avec respondwithhtmlpage comme type d’action.

    [NSHELP-5821]

  • Une appliance Citrix ADC peut se bloquer si vous utilisez une action de répondeur de type action de redirection.

    [NSPOLICY-3196]

  • Les fonctionnalités et fonctionnalités classiques basées sur des règles sont obsolètes à partir de Citrix ADC 12.0 build 56.20. Comme alternative, Citrix vous recommande d’utiliser l’infrastructure de stratégie avancée.

    Ces fonctionnalités ne seront plus disponibles à partir de la version 13.1 de Citrix ADC en 2020. De plus, d’autres fonctionnalités plus petites seront obsolètes.

    [NSPOLICY-3228]

SNMP

  • Après une mise à niveau dans une configuration de haute disponibilité de la version 12.1 build 49.23 vers la version 12.1 build 49.37, le nœud principal n’envoie pas de message d’interruption de démarrage à froid SNMP lors d’un redémarrage.

    [NSHELP-18631]

SSL

  • L’appliance ADC peut parfois envoyer des données supplémentaires au client si les deux conditions suivantes sont remplies :

    • L’appliance est connectée au serveur principal via SSL.

    • La taille des données reçues du serveur est supérieure à 9 Ko.

    [NSHELP-11183]

  • Vous ne pouvez pas créer de clé RSA à l’aide de l’interface graphique si l’algorithme PEM est DES ou DES3.

    [NSHELP-13018]

  • Le répertoire Safenet est absent lorsque vous installez une instance VPX sur une plate-forme Citrix XenServer, VMware ESX ou Linux-KVM.

    [NSHELP-14582]

  • Une appliance Citrix ADC peut se bloquer lorsque vous exécutez une action de message de journal d’audit basée sur l’expression « ssl.origin.server_cert ». L’action de journalisation est liée à une stratégie de répondeur.

    [NSHELP-19014]

  • Si les certificats client et CA ont un encodage différent, le certificat client est rejeté par erreur lorsque -ClientAuthUseBoundCachain est activé, même si les certificats client et serveur sont émis par la même autorité de certification.

    [NSHELP-19077]

  • Une appliance Citrix ADC peut se bloquer lors de l’exécution de l’action SSL « ClientCertFingerprint » pour insérer l’empreinte du certificat client dans l’en-tête HTTP de la demande à envoyer au serveur, si les deux conditions suivantes sont remplies :

    • Le ticket de session est activé.

    • La stratégie SSL est liée au point de liaison de la demande.

    [NSHELP-19331]

  • Un serveur virtuel SSL peut réinitialiser la connexion avec le code de réinitialisation 9820 au lieu de fragmenter l’enregistrement en plusieurs paquets TCP comme prévu, si les conditions suivantes sont remplies :

    • Un serveur virtuel compatible TLSv1.3 chiffre les données d’application provenant du serveur d’applications principal pour les envoyer à un client TLSv1.3.

    • La longueur de l’enregistrement crypté qui en résulte est exactement supérieure d’un octet à la taille de segment maximale du TCP.

    [NSHELP-19466]

  • La prise de contact échoue sur une appliance Citrix ADC SDX dotée de puces N2, car les chiffrements ECDSA ne sont pas pris en charge sur cette plate-forme. Avec ce correctif, les chiffrements ECDSA ne sont pas annoncés sur cette plate-forme.

    [NSHELP-19614, NSHELP-20630]

  • L’actualisation de la CRL prend l’ancienne adresse IP au lieu de la nouvelle, si l’URL passe d’une adresse IP à une adresse basée sur un nom de domaine.

    [NSHELP-19648]

  • Le compteur ssl_tot_enc_bytes signale des octets de texte brut incorrects à chiffrer.

    [NSHELP-19830]

  • Les appliances suivantes peuvent se bloquer si elles reçoivent le message « ChangeCipherSpec » d’un client mais pas le message « Terminé » :

    • MPX 5900/8900

    • MPX 15000-50G

    • MPX 26000-100G

    [NSHELP-19856]

  • Si vous ajoutez un certificat avec une extension AIA sur une adresse IP de cluster (CLIP), le message d’erreur suivant s’affiche lorsque vous essayez de supprimer le certificat du CLIP :

    « Erreur interne ».

    [NSHELP-19924]

  • Lorsque TLS 1.3 et SNI sont tous deux activés sur un serveur virtuel frontal, l’appliance se bloque lors de la liaison TLS si la séquence d’événements suivante se produit :

    1. Un client TLS 1.3 inclut l’extension server_name dans son message ClientHello initial.

    2. Le serveur répond par un message HelloRetryRequest.

    3. Le client répond par un message ClientHello illégal qui omet l’extension server_name.

    [NSHELP-20245]

  • Un message d’erreur « Erreur : fichier trop volumineux » s’affiche dans les deux cas suivants :

    • Vous devez d’abord mettre à niveau le logiciel Citrix ADC vers la version 13.0, puis vous mettez à niveau le microprogramme FIPS.

    [NSHELP-20522]

  • La connexion SSL échoue sur les plateformes suivantes si les messages Client Key Exchange et Client Verify se trouvent dans un seul enregistrement.

    • MPX 59xx

    • MPX/SDX 89xx

    • MPX/SDX 261xx-100G

    • MPX/SDX 15xxx-50G

    [NSSSL-3359, NSSSL-1608]

  • Les prises de contact TLS et DTLS avec échange de clés basé sur RSA échouent sur le front-end des appliances Citrix ADC MPX et SDX basées sur N3 lorsque les conditions suivantes sont remplies.

    1. L’établissement de liaison TLS échoue lorsque le message TLS Client Hello contient TLSv1.2 comme version du protocole, mais que TLSv1.2 est désactivé sur l’appliance Citrix ADC. Par conséquent, l’appliance négocie une version inférieure (TLSv1.1, TLSv1.0 ou SSLv3.0)

    2. L’établissement de liaison DTLS échoue lorsque le message DTLS Client Hello contient DTLSv1.2 comme version du protocole, mais que l’appliance Citrix ADC négocie DTLSv1.0.

    Utilisez la commande « show hardware » pour déterminer si votre appliance possède des puces N3.

    [NSSSL-6630]

  • Lors d’un appel NITRO pour un serveur virtuel auquel un profil est lié, certaines entités du serveur virtuel, telles que HSTS et OCSP_Stapling qui font partie du profil, sont également affichées.

    [NSSSL-6673]

Filtrage d’URL SWG

  • Lors du filtrage du contenu, une rare condition de course se produit entre l’évaluation des règles et le masquage d’un ensemble d’URL privées. Ce problème génère un enregistrement AppFlow qui contient l’URL sous forme de texte clair et non comme « ILLÉGAL ».

    [NSSWG-890]

Système

  • Une appliance Citrix ADC se bloque si les paramètres current_tcp_profile et current_adtcp_profile ne sont pas définis.

    [NSHELP-18889]

  • Un problème de mémoire se produit dans une appliance Citrix ADC si les connexions fermées ne sont pas complètement vidées.

    [NSHELP-18891]

  • Dans un cas isolé, une appliance Citrix ADC met fin aux connexions zombies sans réinitialisation. Lorsque les connexions côté pair envoient des paquets s’ils sont actifs et que l’appliance réinitialise la connexion lors de leur traitement.

    [NSHELP-18998]

  • L’évaluation de la stratégie peut échouer si les conditions suivantes sont remplies :

    • 256 expressions de stratégie font référence à un même en-tête personnalisé.

    • Le compteur de référence d’en-tête personnalisé passe à 0 (compteur 8 bits).

    [NSHELP-19082]

  • Une perte de configuration se produit chaque fois qu’une synchronisation de configuration de haute disponibilité se produit en même temps qu’un échec de haute disponibilité.

    [NSHELP-19210]

  • Le nœud principal ne peut pas lire la réponse du nœud secondaire, ce qui entraîne la réinitialisation de la connexion. Par conséquent, la connexion se ferme sur le nœud secondaire.

    [NSHELP-19432]

  • Une appliance Citrix ADC se bloque si vous définissez la valeur du profil TCP sur NULL.

    [NSHELP-19555]

  • La validation sécurisée des mots de passe est effectuée sur les mots de passe MONITOR créés pour des serveurs externes. Lorsque vous activez la configuration de mots de passe forts (système > paramètre global) sur une appliance Citrix ADC, vous n’autorisez pas l’appliance à configurer un mot de passe faible pour le moniteur LDAP.

    [NSHELP-19582]

  • L’alarme SNMP sur le périphérique SDX ne fonctionne pas pour les paramètres de disque, de mémoire ou de température, mais ne fonctionne que pour le processeur.

    [NSHELP-19713]

  • Dans certains cas, vous constaterez un délai ou un délai d’attente lors de la connexion au serveur principal. Cela se produit parce que l’appliance a libéré la connexion et libéré le port. Lorsque l’appliance réutilise le même port pour établir une nouvelle connexion avec le serveur, il y a un délai ou un délai d’expiration car la connexion est à l’état TIME_WAIT sur le serveur.

    [NSHELP-19772]

  • Dans de rares cas, un nœud de cluster peut se bloquer lorsqu’un client ou un serveur envoie un paquet hors ordre suivi d’un paquet séquentiel contenant le message FIN.

    [NSHELP-19824]

  • L’appliance Citrix ADC peut se bloquer lorsqu’un segment TCP retransmis est reçu sur une interface dont le MTU est supérieur à 1 500 octets sous la forme suivante :

    • cadres Jumbo, ou

    • Ensemble de fragments IP

    [NSHELP-19920, NSHELP-20273]

  • Un retard de transaction TCP est observé si une appliance Citrix ADC ne parvient pas à utiliser la connexion TCP pour se connecter au serveur principal. Dans ce cas, l’appliance ouvre une nouvelle connexion pour transmettre les demandes des clients au serveur principal après une certaine période d’attente. La période d’attente varie de 400 ms à 600 ms.

    [NSHELP-9118]

  • Les options Global Binding et Afficher la liaison ne fonctionnent pas sur la page GUI de la stratégie d’inspection du contenu. Vous pouvez également configurer ces paramètres via l’interface de commande.

    [NSUI-13193, NSUI-11561]

Telco

  • Une appliance Citrix ADC peut se bloquer si les deux conditions suivantes sont remplies :

    • L’appliance reçoit deux requêtes HTTP lors de la récupération des informations sur les abonnés.

    • Une opération incorrecte a été effectuée pour rétablir le flux de trafic normal.

    [NSHELP-18955]

Problèmes connus

Les problèmes qui existent dans la version 13.0.

Authentification, autorisation et audit

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.

    show adfsproxyprofile <profile name>

    Solution : connectez-vous au principal Citrix ADC actif du cluster et émettez une show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.

    [NSAUTH-5916]

  • Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

    [NSAUTH-6106]

  • Le passage du protocole HTTP aux WebSockets échoue lorsque l’authentification unique est configurée sur une appliance Citrix ADC.

    [NSAUTH-6354]

  • Dans de rares cas, l’authentification échoue si la connexion au serveur LDAP se fait via HTTPS.

    [NSHELP-20181]

  • L’appliance Citrix ADC se bloque après une mise à niveau vers la version 13.0 en raison d’une situation de débordement de la mémoire tampon.

    [NSHELP-20416, NSAUTH-6770]

  • Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

    [NSHELP-563]

Appliance Citrix ADC BLX

  • Une appliance Citrix ADC BLX ne démarre pas en raison d’une mauvaise configuration DPDK (par exemple, si de grandes pages ne sont pas configurées) sur l’hôte Linux. Vous devez exécuter la commande start (systemctl start blx) deux fois pour démarrer l’appliance Citrix ADC BLX.

    [NSNET-11107]

  • Une appliance Citrix ADC BLX prenant en charge DPDK ne démarre pas et vide le noyau si DPDK est mal configuré (par exemple, si les pages volumineuses ne sont pas configurées) sur l’hôte Linux.

    Pour plus d’informations sur la configuration de DPDK sur un hôte Linux pour l’appliance Citrix ADC BLX, consultez https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.html.

    [NSNET-11349]

Interface graphique de Citrix ADC

  • Si la fonctionnalité « Forcer la modification du mot de passe de l’utilisateur nsroot lorsque le mot de passe nsroot par défaut est utilisé » est activée et que le mot de passe nsroot est modifié lors de la première connexion à l’appliance Citrix ADC, la modification du mot de passe nsroot n’est pas propagée aux nœuds autres que CCO. Par conséquent, lorsqu’un utilisateur nsroot se connecte à des nœuds non-CCO, l’appliance demande à nouveau de modifier son mot de passe.

    [NSCONFIG-2370]

  • Vous ne pouvez pas rechercher une entité à l’aide du filtre de recherche de l’interface graphique ADC si le nom de l’entité contient un espace.

    [NSHELP-20506]

  • Si vous accédez à la page d’interface graphique de Syslog, le message d’erreur suivant s’affiche : « Impossible de lire la propriété ‘0’ si elle n’est pas définie ».

    [NSHELP-20574]

  • À l’aide de l’interface graphique, vous ne pouvez pas modifier ou désactiver le TTL ou le serveur de noms d’une liaison une fois qu’un serveur de service basé sur le domaine (DBS) est lié à un groupe de services et que les noms de serveurs sont résolus.

    [NSUI-13060]

  • Dans l’interface graphique de Citrix ADM, lorsque vous accédez à Système > Diagnostic > Saved v/s Running, aucune donnée n’est affichée. Cela se produit si la taille du fichier ns. conf est supérieure à 10 Mo.

    Solution : utilisez la CLI pour comparer les données enregistrées et les données en cours d’exécution, à l’aide de la commande « diff ns config ».

    [NSUI-13242]

Appliance Citrix ADC SDX

  • Sur les appliances SDX 22XXX et 24XXX, lors de la surveillance de l’état du système, le service de gestion SDX émet de fausses alertes.

    [NSHELP-19795]

  • Si le nom du fichier de sauvegarde comporte un caractère spécial, la restauration de l’appliance SDX vers cette sauvegarde échoue. Avec le correctif, un message d’erreur s’affiche si le fichier de sauvegarde contient un caractère spécial.

    [NSHELP-19951]

  • Les messages d’erreur suivants peuvent s’afficher si vous configurez plus de 100 VLAN dans la liste TrunkAllowedVLAN sur une interface de l’instance Citrix ADC :

    ERREUR : le délai de l’opération a expiré

    ERREUR : erreur de communication avec le moteur de paquets

    [NSNET-4312]

  • L’alarme Health Monitoring déforme la numérotation des PSU. Lorsque le câble d’alimentation est déconnecté du PSU #1, la surveillance de l’état envoie une alarme incorrecte indiquant que le PSU #2 est en panne.

    [NSPLAT-4985]

  • Sur les plateformes SDX 8200/8400/8600, l’appliance SDX se bloque sur la console Citrix Hypervisor si l’appliance SDX ou les instances VPX qui s’y exécutent sont redémarrées plusieurs fois. Lorsque l’appliance se bloque, le message « INFO : rcu_sched detected stalls on CPU/Tasks » s’affiche. Solution : - Redémarrez l’appliance SDX en appuyant sur le bouton NMI situé à l’arrière.

    • From the LOM GUI, use NMI to restart the appliance.

    • Use LOM to restart the SDX appliance.

    [ NSPLAT-9155]

Appliance Citrix ADC VPX

  • Lorsque vous essayez de vous connecter à une instance Citrix ADC VPX immédiatement après l’avoir mise en service sur Azure, le nom d’utilisateur et le mot de passe peuvent ne pas fonctionner. Ce problème se produit car, après le provisionnement d’une instance Citrix ADC VPX, l’activation des informations d’identification fournies par l’utilisateur (nom d’utilisateur et mot de passe) au premier démarrage peut prendre jusqu’à une minute.

    Solution : attendez une minute et reconnectez-vous.

    [NSPLAT-10962]

  • Une instance Citrix ADC VPX déployée sur AWS ne parvient pas à communiquer via les adresses IP configurées (VIP, ADC IP, SNIP) si les conditions suivantes sont remplies :

    • Le type d’instance AWS est M5/C5, qui est basé sur un hyperviseur KVM

    • L’instance VPX possède plusieurs interfaces réseau

    Il s’agit d’une limitation d’AWS, et AWS prévoit de résoudre le problème prochainement.

    Solution : configurez des VLAN distincts pour ADC IP, VIP et SNIP. Pour plus d’informations sur la configuration des VLAN, consultez https://docs.citrix.com/en-us/citrix-adc/13/networking/interfaces/configuring-vlans.html

    [NSPLAT-9830]

Gestion des robots Citrix

  • La technique d’empreinte digitale de l’appareil pour détecter le trafic des robots ne fonctionne pas pour les réponses XML.

    [NSDOC-1047]

Citrix Gateway

  • Dans Outlook Web App (OWA) 2013, cliquez sur « Options » dans le menu Paramètres pour afficher une boîte de dialogue « Erreur critique ». De plus, la page ne répond plus.

    [CGOP-7269]

  • Le serveur StoreFront n’est pas accessible car l’appliance Citrix Gateway utilise l’adresse IP de la machine cliente au lieu d’utiliser le SNIP pour envoyer du trafic vers le serveur StoreFront.

    [NSHELP-19476]

  • Dans certains cas, dans le cadre d’un déploiement à double saut avec ICA Insight activé, la passerelle Citrix Gateway externe vide le cœur d’un modèle de trafic réseau particulier.

    [NSHELP-19487]

  • Dans des cas isolés, une corruption de la mémoire provoque un vidage du cœur lors de l’effacement d’une entrée de session d’authentification, d’autorisation et d’audit VPN SSL après le délai imparti.

    [NSHELP-19775]

  • Lorsque vous cliquez sur « Retrieve Store » dans l’assistant XenApp et XenDesktop, le message d’erreur suivant s’affiche. « Impossible de récupérer StorePath à partir du nom de domaine complet de StoreFront. »

    Solution : saisissez manuellement le magasin dans « Receiver for Web Path . »

    [NSHELP-20249]

  • Si le tunneling inversé est activé, les routes intranet sont soit ajoutées avec des valeurs de préfixe incorrectes, soit elles ne sont pas ajoutées du tout.

    [NSHELP-20825]

  • Après une mise à niveau de Citrix ADC et du plug-in de passerelle vers la version 13.0 build 41.20, les utilisateurs rencontrent une erreur BSOD (Continuous Blue Screen of Death) lorsqu’ils tentent de configurer le tunnel VPN.

    [NSHELP-20832]

  • Dans le service AlwaysOn avec utilisateur persona, le tunnel de la machine tombe en panne par intermittence lorsque l’utilisateur se déconnecte.

    [NSHELP-21163]

  • Pour la commande « add vpn IntranetApplication », la description du paramètre « protocole » ne s’affiche pas correctement dans la page de manuel. La description contient « BOTH » comme valeur possible au lieu de « ANY ». Toutefois, la page de manuel affiche correctement les valeurs possibles requises pour la configuration.

    [NSHELP-8392]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [NSINSIGHT-2059]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [NSINSIGHT-2108]

  • La connexion ICA entraîne un saut d’analyse lors de l’analyse ICA si les utilisateurs utilisent le récepteur MAC avec la version 6.5 de Citrix Virtual App and Desktops (anciennement Citrix XenApp et XenDesktop).

    Solution : mettez à niveau le récepteur vers la dernière version de l’application Citrix Workspace.

    [NSINSIGHT-924]

Appliance Citrix SDX

  • La mise à niveau des appliances SDX 26000-100G 15000-50 G peut prendre plus de temps. Par conséquent, le système peut afficher le message « Le service de gestion n’a pas pu apparaître après 1 heure et 20 minutes. Contactez l’administrateur. »

    Solution : ignorez le message, attendez un certain temps et connectez-vous à l’appliance.

    [NSSVM-3018]

Citrix Web App Firewall

  • Le déploiement d’une règle de relaxation à l’aide du visualiseur de règles apprises affiche un message d’erreur indiquant que la règle a déjà été ajoutée.

    [NSHELP-18582]

  • Une appliance Citrix ADC peut se bloquer en cas d’utilisation élevée de la mémoire et si les valeurs de mémoire ne sont pas libérées en raison d’une défaillance de l’application.

    [NSHELP-18863]

  • Dans une configuration à haute disponibilité, l’activation de la fonctionnalité de réputation IP peut entraîner des échecs de propagation des commandes de haute disponibilité.

    [NSHELP-20010]

Connecteur Cloudbridge

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

Mise en cluster

  • Une utilisation élevée du processeur est observée sur une appliance Citrix ADC ou dans une configuration de cluster si la commande « show ns ip » affiche de nombreuses adresses IP.

    [NSHELP-11193]

  • Dans une configuration de cluster Citrix ADC, le nœud du processeur de flux peut rencontrer le rejet du cookie SYN pour une connexion TCP dans les conditions suivantes :

    • Le cookie SYN est activé

    • La protection contre l’usurpation SYN est désactivée

    Le nœud de traitement de flux traite les nouveaux paquets de flux TCP en tant que paquets parasites et répond par une réinitialisation de la connexion.

    [NSHELP-20098]

GSLB

  • L’appliance Citrix ADC peut se bloquer lorsqu’un serveur principal est hors service et que l’appliance, tout en sélectionnant un nouveau serveur principal, essaie de collecter des informations sur le serveur telles que le RTT.

    [NSHELP-11969]

Équilibrage de charge

  • La redirection d’une URL HTTPS échoue si l’URL contient le caractère spécial %.

    [NSHELP-19993]

  • Une appliance Citrix ADC VPX redémarre plusieurs fois après avoir cessé de répondre.

    [NSHELP-20435]

Mise en réseau

  • Lorsque l’appliance Citrix ADC nettoie un grand nombre de connexions au serveur dans le cadre de la commande de suppression, le processus Pitboss peut redémarrer. Ce redémarrage de Pitboss peut provoquer le blocage de l’appliance ADC.

    [NSHELP-136]

  • Si un serveur virtuel statique est ajouté avec la même adresse IP qu’un serveur virtuel dynamique (RNAT) existant, l’appliance ADC risque de se bloquer lors d’une opération de recherche de nom dans la table de hachage.

    [NSHELP-15851]

  • Lors du redémarrage de l’appliance Citrix ADC, l’itinéraire par défaut est créé avant que l’adresse IP de l’interface ne soit renseignée. En raison de ce problème, le prochain saut d’un itinéraire est défini sur NULL, ce qui entraîne une erreur martienne.

    [NSHELP-16407]

Plateforme

  • Sur la plate-forme Citrix ADC SDX 26000-100G, l’interface peut ne pas s’afficher après le redémarrage de l’appliance.

    Solution : assurez-vous que la négociation automatique est activée. Pour vérifier et modifier l’état de la négociation automatique, accédez à SDX GUI > Système > Interfaces.

    [NSPLAT-11985]

  • Les appliances Citrix ADC SDX suivantes peuvent ne pas démarrer correctement avec la version 13.0-41.x de VPX. Passez à la version 13.0-47.x de VPX ou à des versions ultérieures.

    • SDX 11xxx

    • SDX 14xxx

    • SDX 14xxx-40S

    • SDX 14xxx-40G

    • SDX 14xxx FIPS

    • SDX 22xxx

    • SDX 24xxx

    • SDX 25xxx

    [NSSSL-7044]

SSL

  • Dans une configuration de cluster, la configuration en cours sur l’adresse IP du cluster (CLIP) indique le groupe de chiffrement DEFAULT_BACKEND lié à des entités, alors qu’il est absent sur les nœuds. Il s’agit d’un problème d’affichage.

    [NSHELP-13466]

  • Le moniteur HTTPS-ECV échoue lors d’une liaison SSL si toutes les conditions suivantes sont remplies :

    • Le moniteur est lié à un profil SSL.

    • La réutilisation des sessions est activée sur le profil SSL.

    • Le moniteur est lié à au moins deux serveurs principaux.

    • Différentes versions de protocoles (par exemple, TLS1.0 et TLS1.2) s’exécutent sur les serveurs.

    [NSHELP-18384]

  • Si votre appliance ADC est intégrée à une version non prise en charge de Thales HSM, l’appliance se bloque après avoir généré la clé HSM et le certificat, installé la paire de clés de certificat sur l’appliance et l’avoir liée au serveur virtuel SSL. Grâce à ce correctif, l’appliance signale une erreur au lieu de se bloquer.

    [NSHELP-20352]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.

    ERREUR : actualisation des CRL désactivée

    [NSSSL-6106]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • La commande Mettre à jour n’est pas disponible pour les commandes d’ajout suivantes :

    • add azure application

    • add azure keyvault

    • add ssl certkey with hsmkey option

    [NSSSL-6484, NSSSL-6379, NSSSL-6380]

Système

  • Lors d’une configuration claire, l’application metricscollector exécutée sur une appliance Citrix ADC ne répond pas, mais elle peut être redémarrée par le module PITBOSS.

    [NSBASE-7846]

  • Une appliance Citrix ADC peut générer un faux piège à entités SNMP SYN Flood si certaines connexions internes entraînent une inadéquation entre le nombre de connexions TCP SYN reçues et le nombre de connexions TCP établies.

    [NSHELP-18671]

  • L’authentification basée sur les rôles (RBA) n’autorise pas les noms de groupe à commencer par le caractère « # ».

    [NSHELP-20266]

  • L’utilisation de la mémoire augmente si vous activez le protocole proxy et si la retransmission se produit en raison de la congestion du réseau.

    [NSHELP-20613]

  • Une appliance Citrix ADC réinitialise les sous-flux MPTCP si un sous-flux est actif et actif pendant une durée supérieure au délai d’inactivité.

    [NSHELP-20648]

  • Une appliance Citrix ADC réinitialise un sous-flux MPTCP si elle reçoit un accusé de réception clair avant que le sous-flux ne soit confirmé comme étant MTPCP.

    [NSHELP-20649]

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [NSPOLICY-1267]

filtrage d’URL

  • Dans une expression d’ensemble d’URL composée <URL expression>. URLSET_MATCHES_ANY(URLSET1 || URLSET2), telle que le champ « Urlset Matched » d’un enregistrement appflow reflète uniquement l’état du dernier ensemble d’URL évalué. Par exemple, si l’URL demandée appartient uniquement à URLSET1, le champ « URLSet Matched » est défini sur 0, bien que l’URL appartienne à l’un des ensembles d’URL. Par conséquent, l’URLSET1 remplace le champ « URLSet Matched » par 1, mais le URLSET2 le remet à 0.

    [NSSWG-1100]

Optimisation vidéo

  • Dans certains scénarios, lorsque vous activez la détection vidéo dans une configuration de cluster, l’utilisation de la mémoire Citrix ADC peut augmenter progressivement. Mais l’augmentation est suffisamment faible pour ne pas affecter le fonctionnement normal du système.

    [NSVIDEOOPT-921]

Notes de publication pour la version 13.0-41.28 de Citrix ADC