ADC

Notes de publication pour la version 13.0-47.24 de Citrix ADC

Ce document de notes de version décrit les améliorations et les modifications, répertorie les problèmes résolus et spécifie les problèmes existants pour la version 13.0 Build 47.24 de Citrix ADC.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
  • La section des problèmes connus est cumulative. Il inclut les problèmes récemment détectés dans cette version et les problèmes qui n’ont pas été résolus dans les versions précédentes de Citrix ADC 13.0.
  • Les étiquettes [# XXXXXX] sous les descriptions des problèmes sont des ID de suivi internes utilisés par l’équipe Citrix ADC.
  • La version 47.24 remplace la version 47.22
  • La version 47.22 inclut le correctif du problème CGOP-11856.

Nouveautés

Les améliorations et modifications disponibles dans la version 47.24.

Citrix Gateway

  • Support pour filtrer les certificats utilisateur

    Pour filtrer les certificats utilisés pour l’authentification des certificats utilisateur, les administrateurs peuvent configurer le registre suivant avec une liste d’autorités de certification séparées par des virgules :

    « Liste des certificats utilisateur du client Citrix Secure Access de HKLM Software »

    [CGOP-11856]

Problèmes résolus

Les problèmes résolus dans la version 13.0-47.24.

AppFlow

  • Dans HDX Insight, le temps de disponibilité des sessions interrompues affiche le temps de disponibilité réel de la session quel que soit l’intervalle sélectionné.

    [NSHELP-21380]

Authentification, autorisation et audit

  • Une appliance Citrix ADC évite à l’utilisateur de prendre en compte d’autres groupes dans les conditions suivantes :
    • Un utilisateur est un membre direct du groupe imbriqué.
    • Un utilisateur est déjà membre des groupes de niveaux précédents.

    [NSHELP-21945]

  • Dans une configuration de cluster et de haute disponibilité de Citrix ADC, tout retard dans la libération de l’espace mémoire entraîne une accumulation de mémoire.

    [NSHELP-21917]

  • Une appliance Citrix ADC peut se bloquer pendant la journalisation des audits si l’authentification de l’utilisateur est demandée par une demande de connexion supplémentaire, telle qu’un changement de mot de passe ou un défi RADIUS.

    [NSHELP-21703]

  • Une appliance Citrix Gateway configurée en tant qu’IdP SAML pour la connexion à Workspace peut parfois renvoyer une erreur HTTP 404 lors de la déconnexion.

    [NSHELP-21650]

  • Une appliance Citrix ADC peut se bloquer lors du nettoyage de la connexion si les conditions suivantes sont remplies :
    • Le trafic est acheminé à partir d’une configuration VPN.
    • Le SSO est en cours.
    • Rare problème de synchronisation lors de la fermeture d’une connexion client.

    [NSHELP-21504]

  • Une appliance Citrix ADC déployée pour Kerberos interdomaines peut ne pas exécuter l’authentification unique si le paramètre KCDAccount est configuré à l’aide d’un fichier keytab.

    [NSHELP-21406]

  • Une appliance Citrix ADC configurée en tant que proxy de transfert n’autorise pas l’authentification NTLM avec les clients HTTP 1.0.

    [NSHELP-21349]

  • Dans de rares cas, une appliance Citrix Gateway peut se bloquer lorsqu’un paquet HTTP non valide est reçu.

    [NSHELP-21342]

  • Une appliance Citrix ADC utilisant un protocole NTLM ne peut pas effectuer d’authentification unique pour les clients MAPI (Messaging Application Programming Interface).

    [NSHELP-21270]

  • Une appliance Citrix ADC peut se bloquer lors de l’authentification, de l’autorisation et de l’audit lorsqu’un moteur de paquets génère une réponse de suppression de session dupliquée.

    [NSHELP-21172]

  • Une appliance Citrix ADC déployée en tant que SAML peut parfois ne pas effectuer de déconnexion basée sur SAML.

    [NSHELP-21093]

  • La page nFactor Flows de l’interface graphique de Citrix ADC ne s’ouvre pas avec Internet Explorer.

    [NSHELP-21065]

  • Dans de rares cas, l’appliance Citrix Gateway peut échouer lorsque les utilisateurs sont invités à saisir un code unique.

    [NSHELP-20967]

  • Une appliance Citrix ADC peut échouer dans les cas suivants :
    • L’appliance Citrix ADC est configurée avec des actions IdP OAuth ou SAML et actualise les informations de métadonnées à partir d’une source externe.
    • La configuration est modifiée lorsque les données sont extraites de la source externe ou si l’authentification est en cours. Le même problème se produit lorsque vous exécutez une commande de configuration claire.

    [NSHELP-20646]

  • Lorsque le client de synchronisation actif envoie une demande HEAD, l’appliance Citrix ADC n’authentifie pas la réponse 200 OK.

    [NSHELP-20125]

  • Le passage du protocole HTTP aux WebSockets échoue lorsque l’authentification unique est configurée sur une appliance Citrix ADC.

    [NSAUTH-6354]

  • Si vous modifiez le serveur virtuel d’authentification à l’aide des options « Test de connexion de bout en bout » ou « Test de connexion utilisateur final » de la page Créer un serveur LDAP d’authentification de l’interface graphique de Citrix ADC, un message d’erreur s’affiche.

    [NSAUTH-6339]

Appliance Citrix ADC SDX

  • Lorsque vous ajoutez un serveur LDAP sous SDX GUI > Configuration > Système > Authentification > LDAP, les caractères spéciaux utilisés dans la zone de texte de saisie du formulaire ne sont pas décodés avant d’être affichés. De plus, le caractère « & » dans le champ Base DN est remplacé par « & ».

    [NSHELP-21488]

  • Après la mise à niveau de l’appliance SDX vers la version 13.0, quelle que soit la version, les instances Citrix ADC provisionnées sans interfaces de gestion (0/1, 0/2) deviennent inaccessibles.

    [NSHELP-21412]

  • Si vous essayez de redémarrer plusieurs instances VPX simultanément, exécutées sur une appliance SDX, le canal et les interfaces de données des instances VPX disparaissent du service de gestion SDX.

    [NSHELP-21124]

  • Après la mise à niveau d’une appliance SDX, le service de gestion SDX peut ne pas répertorier les interfaces Ethernet. Cela se produit si la partie du processus de post-installation de la mise à niveau échoue.

    [NSHELP-21068]

  • Sur une appliance SDX, vous pouvez parfois assister à des événements impliquant une utilisation élevée du processeur. Ce pic est dû au fait que la sauvegarde de l’appliance est un processus gourmand en processeur. L’utilisation élevée du processeur est temporaire.

    [NSHELP-21063]

  • L’appliance perd les détails de l’interface lorsque plus de trois instances sont sélectionnées pour un redémarrage ou un arrêt.

    [NSHELP-21040]

Citrix Gateway

  • Le plug-in VPN Windows se bloque si la langue du client du plug-in est définie sur chinois.

    [NSHELP-21946]

  • L’appliance Citrix ADC peut se bloquer lorsqu’elle est configurée pour le VPN sans client avancé.

    [NSHELP-21819]

  • Après une mise à niveau de Citrix Gateway vers la version 13.0 build 47.24, la résolution DNS via le tunnel VPN échoue car le serveur DNS local répond par un faux positif.

    [NSHELP-21794]

  • Les applications Web d’entreprise peuvent afficher un message d’erreur si les cookies ont été définis et expirent en même temps.

    [NSHELP-21772]

  • La page de connexion de Citrix Gateway ne répond plus si des thèmes personnalisés basés sur RFWebUI ou nFactor avec des thèmes personnalisés sont utilisés.

    [NSHELP-21763]

  • Les liaisons de l’application intranet au groupe d’authentification, d’autorisation et d’audit sont perdues lorsque vous redémarrez l’appliance Citrix ADC après la mise à niveau vers la version 13.0 build 47.x.

    [NSHELP-21733]

  • Vous ne pouvez pas accéder aux liens qui commencent par 1https ou 0https.

    [NSHELP-21469]

  • Vous ne pouvez pas lancer une application à l’aide d’un VPN sans client avancé via des signets si le corps POST de l’application VPN sans client contient un code HTML ‘ (guillemets simples) ou “ (guillemets doubles).

    [NSHELP-21361]

  • Le plug-in VPN Citrix Gateway peut prendre beaucoup de temps pour établir un tunnel vers une machine si le fichier PAC du proxy n’est pas accessible.

    [NSHELP-21355]

  • Dans certains cas, Citrix Gateway vide le noyau si les conditions suivantes sont remplies :

    • La fonctionnalité EDT Insight est activée pour l’appliance Citrix Gateway.
    • L’appliance reçoit un paquet CGP BINDRESP hors service de la part du VDA.

    [NSHELP-21296]

  • Sur certaines machines, les boutons de la fenêtre d’invite EPA (OUI, NON, TOUJOURS) n’apparaissent pas sur l’écran du plug-in EPA.

    [NSHELP-21276]

  • Dans une configuration haute disponibilité de Citrix Gateway, le nœud secondaire se bloque lors de la synchronisation de haute disponibilité si la journalisation est activée sur Citrix Web App Firewall global.

    [NSHELP-21254]

  • Si vous avez configuré un VPN sans client (CVPN) sur Citrix Gateway, l’appliance risque de se bloquer en raison d’une gestion de réécriture erronée.

    [NSHELP-21244]

  • Dans une configuration haute disponibilité Citrix Gateway, le nœud secondaire peut se bloquer si Gateway Insight est activé.

    [NSHELP-21184]

  • Si deux machines clientes ou plus tentent d’établir une connexion par tunnel VPN vers la même passerelle, la connectivité ping d’une machine cliente à une autre échoue.

    [NSHELP-21169]

  • Parfois, l’appliance Citrix ADC peut se bloquer lors de la connexion au transfert.

    [NSHELP-21134]

  • Les utilisateurs ne peuvent pas se connecter à Citrix Gateway si le nom d’hôte du serveur virtuel VPN contient « cvpn » dans son nom.

    [NSHELP-21119]

  • Si vous avez configuré un accès VPN sans client avancé, les signets des applications SAP ne peuvent pas être affichés correctement si un codage, tel que (« x3a » ou « &%23x3a » pour « : »), est utilisé dans les applications Web d’entreprise.

    [NSHELP-21072]

  • Une appliance Citrix ADC peut tomber en panne et vider le cœur si l’allocation de mémoire pour les blocs de contrôle des processus client et serveur échoue.

    [NSHELP-20961]

  • Si le tunneling inversé est activé, les routes intranet sont soit ajoutées avec des valeurs de préfixe incorrectes, soit elles ne sont pas ajoutées du tout.

    [NSHELP-20825]

  • Dans une configuration haute disponibilité de Citrix Gateway, le nœud secondaire peut se bloquer si aucune stratégie n’est configurée et que vous mettez à niveau le nœud de la version 12.0 vers la version 13.0.

    [NSHELP-20790]

  • Lorsque les serveurs principaux ne sont pas accessibles, les clients n’ont plus de connexions et aucune nouvelle connexion au serveur principal n’aboutit.

    [NSHELP-20535]

  • Une appliance Citrix Gateway configurée pour le proxy ICA peut parfois se bloquer.

    [NSHELP-20478]

  • Dans certains cas, dans le cadre d’un déploiement à double saut avec ICA Insight activé, la passerelle Citrix Gateway externe vide le cœur d’un modèle de trafic réseau particulier.

    [NSHELP-19487]

  • Vous pouvez désormais configurer les paramètres RFWebUI tels que LogInformTimeout et Session timeout en modifiant le fichier plugins.xml.

    [NSHELP-19221]

  • Après une mise à niveau de Citrix ADC et du plug-in de passerelle vers la version 13.0 build 41.20, les utilisateurs rencontrent une erreur BSOD (Continuous Blue Screen of Death) lorsqu’ils tentent de configurer le tunnel VPN.

    [CGOP-12099]

Citrix Web App Firewall

  • L’appliance Citrix ADC bloque les URL de fermeture au bout de deux minutes si la protection contre la fermeture des URL est activée.

    [NSWAF-3292]

  • Une appliance Citrix ADC peut se bloquer si un profil de Web App Firewall utilise les actions de stratégie APPFW_DROP et APPFW_RESET.

    [NSHELP-21283]

  • Une appliance Citrix ADC peut se bloquer lorsque APPFW_DROP et APPFW_RESET sont utilisés comme actions de stratégie du Web App Firewall.

    [NSHELP-21220]

  • L’appliance Citrix ADC peut se bloquer en raison d’une défaillance de la mémoire si la fonctionnalité Citrix Web App Firewall est activée.

    [NSHELP-21201]

  • Une appliance Citrix ADC peut se bloquer en raison d’un échec d’allocation de mémoire.

    [NSHELP-21071]

  • Une appliance Citrix ADC réinitialise la connexion si l’URL d’une demande GWT entrante contient une chaîne de requête.

    [NSHELP-20564]

  • Après une mise à niveau de la version 12.0-58.15 vers la version 12.0-62.8, la fonctionnalité de transformation d’URL ne fonctionne pas pour certaines URL. Le problème est dû à une canonisation incorrecte lors de la réécriture d’URL.

    [NSHELP-20460]

  • Une appliance Citrix ADC peut se bloquer si vous utilisez un serveur FTP/HTTP lent pour télécharger des signatures et si le temps de téléchargement est supérieur à 10 minutes.

    [NSHELP-18331]

Équilibrage de charge

  • L’appliance Citrix ADC peut se bloquer lors de la synchronisation GSLB. Ce problème se produit lorsque la commande « set gslb service » est exécutée sur un service GSLB inexistant.

    [NSHELP-21304]

  • Après le basculement de la connexion, lorsque l’appliance secondaire devient la nouvelle appliance principale, une perte de paquets est observée.

    [NSHELP-21155]

  • Lorsque vous exécutez la commande set service <servicename>, le message d’erreur suivant s’affiche :
    « L’adresse IP ne peut pas être définie sur un serveur basé sur un domaine. »

    Ce message d’erreur s’affiche lorsque le serveur est configuré avec un nom de plus de 32 caractères.

    [NSHELP-20939]

  • Pour une configuration GSLB dans un cluster, lorsque vous exécutez la commande set rpcnode, l’adresse IP source d’un nœud RPC devient l’adresse NSIP. Par conséquent, GSLB utilise l’adresse NSIP au lieu de l’adresse SNIP lors de l’établissement d’une connexion MEP.

    [NSHELP-20552]

  • Dans une configuration de cluster, lorsque vous exécutez la commande « unset lb vserver test -RedirectFromPort », le port de redirection HTTP pour le serveur virtuel d’équilibrage de charge n’est pas effacé de la base de données.

    [NSHELP-20518]

  • L’appliance Citrix ADC peut se bloquer lorsque la persistance est activée dans la configuration de haute disponibilité IPv6.

    [NSHELP-20219]

Divers

  • Dans une expression d’ensemble d’URL composée <URL expression>.URLSET_MATCHES_ANY(URLSET1 || URLSET2), telle que le champ « Urlset Matched » d’un enregistrement appflow reflète uniquement l’état du dernier ensemble d’URL évalué. Par exemple, si l’URL demandée appartient uniquement à URLSET1, le champ URLSet Matched est défini sur 0, bien que l’URL appartienne à l’un des ensembles d’URL. Par conséquent, le champ URLSET1 remplace le champ URLSet Matched par 1, mais le URLSET2 le remet à 0

    [NSSWG-1100]

  • La catégorisation par filtrage des URL échoue si une URL entrante comporte une double barre oblique après le nom de domaine. Le schéma “http://” est ajouté au début. Par exemple, www.example.com//index.html

    [NSSWG-1082]

  • Le comportement suivant est observé dans une appliance Citrix ADC et Citrix Gateway :
    • L’appliance Citrix ADC peut ne plus répondre lorsqu’elle est déployée en tant que proxy et que l’authentification unique est activée pour les applications principales.
    • Le même comportement est observé dans Citrix Gateway avec la configuration du proxy sortant.

    [NSHELP-21437]

  • L’appliance Citrix ADC peut se bloquer par intermittence si la fonction PCRF
    (Device Watchdog Request) est activée pour la fonction Policy and Charging Rules (PCRF) et que la PCRF devient inaccessible.

    [NSHELP-20827]

  • Lorsque vous exécutez la commande show techsupport -scope cluster, l’erreur suivante s’affiche pour toutes les appliances Citrix ADC SDX :

    Il s’agit d’une instance à faible bande passante

    [NSHELP-20666]

Mise en réseau

  • Une appliance Citrix ADC BLX prenant en charge DPDK ne démarre pas et vide le noyau si DPDK est mal configuré (par exemple, si les pages volumineuses ne sont pas configurées) sur l’hôte Linux.

    Pour plus d’informations sur la configuration de DPDK sur un hôte Linux pour l’appliance Citrix ADC BLX, consultez https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.html

    [NSNET-11349]

  • Une appliance Citrix ADC BLX ne démarre pas en raison d’une mauvaise configuration DPDK (par exemple, si de grandes pages ne sont pas configurées) sur l’hôte Linux. Vous devez exécuter la commande start (systemctl start blx) deux fois pour démarrer l’appliance Citrix ADC BLX.

    [NSNET-11107]

  • La commande sh IP BGP summary sur la ligne de commande VTYSH affiche de manière incorrecte les valeurs ASN 32 bits en tant que valeurs négatives.

    [NSHELP-21234]

  • Sur une appliance Citrix ADC, les connexions de gestion aux adresses IP de sous-réseau IPv6 peuvent être réinitialisées lorsque vous effectuez l’opération de base de configuration claire.

    [NSHELP-21206]

  • Pendant l’opération de définition de la partition, la mémoire maximale de la partition est désormais augmentée jusqu’à NS_SYS_MEM_FREE () uniquement. Auparavant, elle avait été augmentée jusqu’à la mémoire maximale disponible afin que la partition configurée ne soit pas perdue après le redémarrage de l’appliance Citrix ADC.

    [NSHELP-21159]

  • Le Citrix ADC ne parvient pas à installer le saut suivant entre systèmes intermédiaires (IS-IS) en raison de l’absence d’informations d’authentification (AUTH) sur les PDU (LSP) volumineux reçus.

    [NSHELP-21062]

  • Après le redémarrage du système, l’appliance Citrix ADC annonce les itinéraires avec une métrique réduite pendant 180 secondes.

    [NSHELP-20842]

  • La connexion de données FTP en mode passif ne répond plus lors du déploiement d’un serveur virtuel transparent en mode MAC.

    [NSHELP-20698]

  • L’appliance Citrix ADC peut ignorer les règles d’itinéraires basés sur des stratégies (PBR) pour les paquets de surveillance sortants de type UDP et ICMP.

    [NSHELP-20545]

Plateforme

  • Lorsque vous redémarrez à chaud l’appliance Citrix ADC VPX, les licences d’abonnement peuvent être perdues dans les conditions suivantes :

    • Utilisation des types d’instances AWS basés sur Elastic Network Adapter (ENA) : C5, C5n, M4 et M5.
    • Activation de l’interface ENA sur les instances AWS prises en charge existantes.

    [ NSPLAT-13467 ]

  • Des blocages Tx peuvent survenir sur les appliances Citrix ADC MPX qui utilisent des ports 10G IXGBE et sur les appliances Citrix ADC SDX qui utilisent des ports 10G IXGBEVF.

    [ NSPLAT-13338 ]

  • Prise en charge des nouvelles plateformes matérielles Citrix ADC SDXCette version prend désormais en charge les nouvelles plateformes suivantes :

    [NSPLAT-12815]

  • Après la mise à niveau des appliances Citrix ADC SDX 8900 et SDX 15000 50G vers la version 11.1 63.9, les cartes réseau 10G n’apparaissent pas sur les appliances. Ce problème empêche le démarrage des instances VPX. Par conséquent, les instances deviennent inaccessibles.

    [ NSPLAT-12093 ]

  • Dans certains cas, lorsque vous redémarrez une ou plusieurs instances VPX sur une appliance Citrix ADC SDX contenant des cartes réseau Fortville, le LACP des interfaces peut passer à l’état « par défaut ».

    [NSHELP-21091, NSHELP-20769, NSHELP-23159, NSHELP-23191]

  • Dans certains cas, l’appliance SDX 14000 peut ne plus répondre et doit être redémarrée.

    [NSHELP-21017]

  • Lors du déploiement VPX sur la plate-forme Cisco CSP 2100, des paquets peuvent parfois être perdus lorsque plusieurs fonctions virtuelles (VF) sont créées à partir de la carte d’interface réseau physique (PNIC).

    [NSHELP-20991]

  • Un blocage de la vitesse peut être observé sur les appliances contenant des interfaces Fortville si un paquet couvre plus de huit descripteurs. Le blocage peut entraîner la désactivation de l’interface en cas d’erreur.

    [NSHELP-20800]

Stratégies

  • Une appliance Citrix ADC peut se bloquer s’il existe peu de mémoires tampon réseau lors de la réécriture de données fragmentées.

    [NSHELP-20847]

SSL

  • Dans certains cas, les appliances suivantes peuvent se bloquer lors de l’exécution du trafic SSL :
    • MPX 59xx
    • MPX/SDX 89xx
    • MPX/SDX MPX 26xxx
    • MPX/SDX 26xxx-50S
    • MPX/SDX 26xxx-100 g
    • MPX/SDX 15xxx-50G

    [NSSSL-7606]

  • L’authentification client basée sur des règles avec vérification obligatoire du certificat échoue si l’authentification du client avec un certificat client facultatif est également configurée sur le serveur virtuel.

    [NSHELP-21190]

Système

  • Les rapports d’analyse n’apparaissent pas sur l’interface graphique de Citrix ADM si vous :
    1. Installez ADM 12.1.52.15 ou version ultérieure.
    2. Sélectionnez le mode de transport Logstream pour configurer les analyses sur les instances.

    [NSHELP-21618]

  • Une appliance Citrix ADC ne réinitialise pas les flux HTTP/2 sur une connexion client avec un RST_STREAM HTTP/2 après un délai d’inactivité.

    [NSHELP-21537]

  • Une connexion client ne répond plus si vous activez le multiplexage dans un profil HTTP/2 sur une appliance Citrix ADC.

    [NSHELP-21434]

  • Une appliance Citrix ADC ne transmet pas de réponse au client si elle contient à la fois des en-têtes de bande-annonce et de longueur de contenu.

    [NSHELP-21427]

  • Une appliance Citrix ADC peut se bloquer en cas d’échec d’allocation de mémoire pour le moniteur sécurisé HTTP/2.

    [NSHELP-21400]

  • Une appliance Citrix ADC peut se bloquer en cas d’échec de l’action AppQoE.

    [NSHELP-21393]

  • Une transaction HTTP peut échouer si une appliance Citrix ADC envoie une requête HTTP/2 contenant plusieurs paires nom-valeur de cookie au serveur principal.

    [NSHELP-21373]

  • Une appliance Citrix ADC peut se bloquer si elle reçoit une requête HTTP/1.1 contenant une version HTTP/2.0. Pour toute demande client avec une version HTTP/2.0, l’appliance la considère comme une demande HTTP/2.0 et la traite. Cela conduit à un crash.

    [NSHELP-21187]

  • Une appliance Citrix ADC peut se bloquer si Appflow Client-Side Measurements est activé lors de la diffusion de réponses HTTP volumineuses.

    [NSHELP-21099]

  • La commande show connectiontable affiche quelques entrées qui ne satisfont pas au filtre mentionné dans les conditions suivantes :
    • La commande est exécutée dans des conditions de trafic élevé.
    • La commande est utilisée avec un filtre IP ou de port.

    [NSBASE-9509]

Interface utilisateur

  • La licence de capacité groupée Citrix ADC peut échouer si la latence est élevée entre ADC et ADM. Ce problème se produit si la latence est supérieure à 200 ms.

    Le client de licences Citrix ADC tente à plusieurs reprises de récupérer les licences auprès d’ADM. Dans une configuration à haute disponibilité et en cluster, les configurations de licences sont inutilement réappliquées chaque fois que la synchronisation est déclenchée. La propagation et la synchronisation des commandes de licences groupées sont désactivées. Chaque nœud doit disposer d’une licence indépendante en se connectant au NSIP du nœud. Vous ne pouvez exécuter que les commandes show sur l’adresse IP du cluster.

    [NSUI-14868, NSHELP-22045]

  • Après la mise à niveau vers la version 12.1-55.x, l’appliance peut démarrer sans licence si les licences de pool sont configurées. Par conséquent, toutes les fonctionnalités sont désactivées et toute configuration dépendant de la licence est absente de la configuration en cours. Effectuez un redémarrage à chaud pour restaurer la licence du pool et la configuration.
    Attention : n’exécutez pas la commande « Enregistrer la configuration » et ne forcez pas un basculement HA sur une appliance sans licence.

    [NSUI-7869]

  • Des exceptions KeyError sont observées si la requête de comptage ne fonctionne pas dans une appliance Citrix ADC.

    [NSHELP-20979]

  • Les statistiques du serveur d’équilibrage de charge sont mal alignées dans le tableau de bord de l’interface graphique Citrix ADC.

    [ NSHELP-20752 ]

  • Lors du déploiement d’une partition, un dispositif partitionné peut se bloquer si vous exécutez les commandes « uiinternal » puis « clear config » dans la partition par défaut.

    [NSHELP-20247]

  • Dans certains scénarios, le nom d’utilisateur (spécifié par un caractère « %u ») dans la chaîne d’invite ne s’affiche pas correctement.

    [NSHELP-19991]

  • L’interface de commande Citrix ADC et l’interface graphique n’affichent pas le paramètre d’heure du système pour certaines alarmes SNMP.

    [NSHELP-19958]

  • Vous ne pouvez pas récupérer un fichier de sauvegarde à l’aide de l’interface graphique de Citrix ADC si le nom du fichier comporte entre 61 et 63 caractères, même si la limite maximale est de 63 caractères.

    [NSHELP-11667]

  • L’appliance Citrix Gateway envoie des demandes d’accès RADIUS dupliquées au service d’authentification RADIUS pour chaque connexion à l’appliance.

    [NSHELP-11148]

Problèmes connus

Les problèmes qui existent dans la version 13.0.

Flux d’applications

  • Une appliance Citrix ADC peut se bloquer si un problème de synchronisation est observé lorsque l’action Appflow est supprimée après la fin d’une transaction et avant la fermeture d’une connexion.

    [NSBASE-9345]

Authentification, autorisation et audit

  • Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

    [NSAUTH-6106]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.

    show adfsproxyprofile <profile name>

    Solution : connectez-vous au principal Citrix ADC actif du cluster et émettez une show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.

    [NSAUTH-5916]

  • Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

    [NSHELP-563]

Interface graphique de Citrix ADC

  • Si la fonctionnalité « Forcer la modification du mot de passe de l’utilisateur nsroot lorsque le mot de passe nsroot par défaut est utilisé » est activée et que le mot de passe nsroot est modifié lors de la première connexion à l’appliance Citrix ADC, la modification du mot de passe nsroot n’est pas propagée aux nœuds autres que CCO. Par conséquent, lorsqu’un utilisateur nsroot se connecte à des nœuds non-CCO, l’appliance demande à nouveau de modifier son mot de passe.

    [NSCONFIG-2370]

Appliance Citrix ADC SDX

  • Le service NTP du service de gestion Citrix ADC SDX répond aux requêtes NTP. Toutefois, le service de gestion ne dispose d’aucune option permettant de configurer des restrictions pour les requêtes NTP.

    Solution : modifiez manuellement /flash/mpsconfig/ntp.conf, puis réactivez la synchronisation NTP à partir du service de gestion pour que la modification soit effective. Toutefois, cette modification est perdue si les configurations du serveur NTP sont modifiées.

    [NSHELP-12246]

  • Les messages d’erreur suivants peuvent s’afficher si vous configurez plus de 100 VLAN dans la liste TrunkAllowedVLAN sur une interface de l’instance Citrix ADC :

    ERREUR : le délai de l’opération a expiré

    ERREUR : erreur de communication avec le moteur de paquets

    [NSNET-4312]

Appliance Citrix ADC VPX

  • Une instance Citrix ADC VPX déployée sur AWS ne parvient pas à communiquer via les adresses IP configurées (VIP, ADC IP, SNIP) si les conditions suivantes sont remplies :

    • Le type d’instance AWS est M5/C5, qui est basé sur un hyperviseur KVM

    • L’instance VPX possède plusieurs interfaces réseau

    Il s’agit d’une limitation d’AWS, et AWS prévoit de résoudre le problème prochainement.

    Solution : configurez des VLAN distincts pour ADC IP, VIP et SNIP. Pour plus d’informations sur la configuration des VLAN, consultez https://docs.citrix.com/en-us/citrix-adc/13/networking/interfaces/configuring-vlans.html

    [NSPLAT-9830]

  • Après avoir rétrogradé une instance Citrix ADC VPX vers une version inférieure, l’instance est bloquée lors du redémarrage. Ce problème se produit si plusieurs cœurs de processeur sont attribués à votre instance.

    [NSPLAT-12603]

Citrix Gateway

  • Dans Outlook Web App (OWA) 2013, cliquez sur « Options » dans le menu Paramètres pour afficher une boîte de dialogue « Erreur critique ». De plus, la page ne répond plus.

    [CGOP-7269]

  • Lorsque la résolution du FQDN StoreFront prend plus de temps que prévu sur le client, Citrix Gateway utilise l’adresse IP du client comme adresse IP source pour envoyer le trafic vers le serveur StoreFront.

    [NSHELP-19476]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [NSINSIGHT-2059]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [NSINSIGHT-2108]

  • La connexion ICA entraîne un saut d’analyse lors de l’analyse ICA si les utilisateurs utilisent le récepteur MAC avec la version 6.5 de Citrix Virtual App and Desktops (anciennement Citrix XenApp et XenDesktop).

    Solution : mettez à niveau le récepteur vers la dernière version de l’application Citrix Workspace.

    [NSINSIGHT-924]

Appliance Citrix SDX

  • La mise à niveau des appliances SDX 26000-100G 15000-50 G peut prendre plus de temps. Par conséquent, le système peut afficher le message « Le service de gestion n’a pas pu apparaître après 1 heure et 20 minutes. Contactez l’administrateur. »

    Solution : ignorez le message, attendez un certain temps et connectez-vous à l’appliance.

    [NSSVM-3018]

Citrix Web App Firewall

  • Une appliance Citrix ADC peut se bloquer en cas d’utilisation élevée de la mémoire et si les valeurs de mémoire ne sont pas libérées en raison d’une défaillance de l’application.

    [NSHELP-18863]

Connecteur Cloudbridge

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

Équilibrage de charge

  • Une appliance Citrix ADC VPX redémarre plusieurs fois après avoir cessé de répondre.

    [NSHELP-20435]

Mise en réseau

  • Lorsque l’appliance Citrix ADC nettoie un grand nombre de connexions au serveur dans le cadre de la commande de suppression, le processus Pitboss peut redémarrer. Ce redémarrage de Pitboss peut provoquer le blocage de l’appliance ADC.

    [NSHELP-136]

Plateforme

  • Sur la plate-forme Citrix ADC SDX 26000-100G, l’interface peut ne pas s’afficher après le redémarrage de l’appliance.

    Solution : assurez-vous que la négociation automatique est activée. Pour vérifier et modifier l’état de la négociation automatique, accédez à SDX GUI > Système > Interfaces.

    [NSPLAT-11985]

SSL

  • Dans une configuration de cluster, la configuration en cours sur l’adresse IP du cluster (CLIP) indique le groupe de chiffrement DEFAULT_BACKEND lié à des entités, alors qu’il est absent sur les nœuds. Il s’agit d’un problème d’affichage.

    [NSHELP-13466]

  • La commande Mettre à jour n’est pas disponible pour les commandes d’ajout suivantes :

    • add azure application

    • add azure keyvault

    • add ssl certkey with hsmkey option

    [NSSSL-6484, NSSSL-6379, NSSSL-6380]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.

    ERREUR : actualisation des CRL désactivée

    [NSSSL-6106]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

Système

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [NSPOLICY-1267]

Web Citrix Web App Firewall

  • Une appliance Citrix ADC peut se bloquer si un cas d’erreur n’a pas été traité correctement lors du processus de vérification des cartes de crédit.

    [NSHELP-20562]

Nouveautés des versions précédentes de Citrix ADC 13.0

Améliorations et modifications disponibles dans les versions 13.0 de Citrix ADC antérieures à la version 47.24. Le numéro de version indiqué sous la description du problème indique la version dans laquelle cette amélioration ou modification a été apportée.

AppFlow

  • Support pour Logstream dans les partitions d’administration

    Une appliance Citrix ADC peut désormais envoyer des enregistrements Logstream à partir de partitions d’administration.

    [À partir de la version 41.28]

    [NSBASE-4777]

  • Surveillance des enregistrements Logstream via l’adresse NSIP

    Une appliance Citrix ADC peut désormais se connecter à Citrix ADM à l’aide d’une adresse NSIP pour envoyer des enregistrements Logstream.

    [À partir de la version 41.28]

    [NSBASE-7400]

Authentification, autorisation et audit

  • Soutien au renouvellement de confiance pour ADFSPIP

    Vous pouvez désormais renouveler la confiance des certificats existants qui sont sur le point d’expirer ou si le certificat existant n’est pas valide. Le renouvellement de confiance des certificats est effectué uniquement lorsque la confiance est établie entre l’appliance Citrix ADC et le serveur ADFS.

    [À partir de la version 47.22]

    [NSAUTH-27]

  • Prise en charge des attributs nom-valeur pour l’authentification OAuth

    Vous pouvez désormais configurer les attributs d’authentification OAuth avec un nom unique et des valeurs. Les noms sont configurés dans le paramètre d’action OAuth et les valeurs sont obtenues en recherchant les noms. En spécifiant la valeur d’attribut name, les administrateurs peuvent facilement rechercher la valeur d’attribut associée au nom d’attribut. De plus, les administrateurs n’ont plus besoin de se souvenir de l’attribut uniquement par sa valeur.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/oauth-authentication.html#name-value-attribute-support-for-oauth-authentication.

    [À partir de la version 41.28]

    [NSAUTH-5563]

  • Prise en charge de référence de classe d’authentification personnalisée pour SP SAML

    Vous pouvez désormais configurer un attribut de référence de classe d’authentification personnalisé dans la commande d’action SAML. À l’aide de l’attribut de référence de classe d’authentification personnalisé, vous pouvez personnaliser les noms de classe dans les balises SAML appropriées.

    [À partir de la version 47.22]

    [NSAUTH-603, NSAUTH-58, NSAUTH-451]

  • Améliorations apportées à nFactor Visualizer

    Les améliorations suivantes ont été apportées au visualiseur nFactor :

    • Les administrateurs peuvent désormais déplacer les facteurs qui n’ont aucun lien en les faisant glisser et en les déposant dans l’icône de la corbeille.

    • Les flux nFactor peuvent désormais également être consultés à partir de la page Serveur virtuel d’authentification.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/multi-factor-nfactor-authentication/nfactor-authentication-simplification.html#enhancements-to-the-nfactor-visualizer.

    [À partir de la version 41.28]

    [NSAUTH-6159]

  • Prise en charge de l’authentification basée sur un certificat client pour le protocole d’intégration du proxy Active Directory Federation Service

    L’authentification basée sur un certificat client est désormais prise en charge pour le protocole Active Directory Federation Service Proxy Integration.

    Remarque : cette fonctionnalité est actuellement en version préliminaire technique.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/adfspip-compliance.html#client-certificate-based-authentication-on-adfs-server.

    [À partir de la version 41.28]

    [NSAUTH-6457]

  • Stratégie de cache par défaut pour authentifier les serveurs virtuels afin d’améliorer les performances

    Une appliance Citrix ADC peut désormais appliquer des stratégies de cache par défaut à tous les serveurs virtuels d’authentification. Ces stratégies sont associées par défaut lorsqu’un serveur virtuel d’authentification, d’autorisation et d’audit est créé. Par conséquent, toutes les pages de l’interface graphique sont mises en cache et servies à partir d’un module de cache Citrix ADC, ce qui réduit la charge sur le processeur de gestion et le démon HTTP. De plus, un plus grand nombre d’utilisateurs peuvent être servis simultanément.

    [À partir de la version 47.22]

    [NSAUTH-6654]

  • Prise en charge du chiffrement des données OTP et de la migration des données OTP existantes sous une forme cryptée

    Vous pouvez désormais stocker les données secrètes OTP dans un format crypté plutôt qu’en texte brut pour des raisons de sécurité renforcées. À partir de la version 13.0 build 41.xx de Citrix ADC, les données OTP sont automatiquement stockées dans un format crypté si la configuration requise est définie. Toutefois, pour les données OTP existantes en texte brut, vous pouvez utiliser l’outil de cryptage OTP pour passer du format texte brut au format crypté. L’outil de cryptage OTP peut également être utilisé pour mettre à jour les certificats existants vers de nouveaux certificats.

    L’outil de cryptage OTP se trouve dans le « var »

    répertoire « etscalerotptool ». Vous devez télécharger l’outil depuis cet emplacement et l’exécuter avec les informations d’identification AD et les prérequis requis.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/native-otp-authentication/otp-encrypt-secret.html et https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/native-otp-authentication/otp-encryption-tool.html.

    [À partir de la version 41.28]

    [NSAUTH-74]

  • Support des URL Assertion Consumer Service (ACS) pour l’IdP SAML

    Une appliance Citrix ADC configurée en tant que fournisseur d’identité SAML (IdP) prend désormais en charge l’indexation ACS pour traiter les demandes du fournisseur de services (SP) SAML. L’IdP SAML importe la configuration d’indexation ACS à partir des métadonnées du fournisseur de services ou permet la saisie manuelle des informations d’index ACS.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/saml-authentication/citrix-adc-saml-idp.html#assertion-consumer-service-url-support-for-saml-idp.

    [À partir de la version 41.28]

    [NSHELP-20228]

Appliance Citrix ADC BLX

  • Support DPDK pour les appliances Citrix ADC BLX

    Les appliances Citrix ADC BLX prennent désormais en charge le Data Plane Development Kit (DPDK), qui est un ensemble de bibliothèques Linux et de contrôleurs d’interface réseau pour de meilleures performances réseau. L’appliance Citrix ADC BLX prend en charge DPDK uniquement en mode dédié.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.html.

    [À partir de la version 41.28]

    [NSNET-2456]

  • Support du protocole de routage dynamique IPv4 OSPF pour les appliances Citrix ADC BLX

    Les appliances Citrix ADC BLX prennent désormais en charge le protocole de routage dynamique IPv4 OSPF (OSPFv2).

    [À partir de la version 47.22]

    [NSNET-7783]

  • Support du protocole de routage dynamique BGP pour les appliances Citrix ADC BLX

    Les appliances Citrix ADC BLX prennent désormais en charge les protocoles de routage dynamique BGP IPv4 et IPv6.

    [À partir de la version 41.28]

    [NSNET-7785]

  • Support hôte Ubuntu Linux pour les appliances Citrix ADC BLX

    L’appliance Citrix ADC BLX prend désormais en charge l’exécution sur les systèmes Ubuntu Linux.

    [À partir de la version 41.28]

    [NSNET-9259]

Appliance Citrix ADC CPX

  • La valeur par défaut du paramètre MonitorConnectionClose est définie sur RESET dans la version plus légère de Citrix ADC CPX

Pour fermer une connexion moniteur-sonde à l’aide de paramètres d’équilibrage de charge globaux, vous pouvez configurer MonitorConnectionClose sur FIN ou RESET. Lorsque vous configurez le paramètre MonitorConnectionClose sur :

-  FIN: The appliance performs a complete TCP handshake.

-  RESET: The appliance closes the connection after receiving the SYN-ACK from the service.

In lighter version of Citrix ADC CPX, the monitorConnectionClose parameter value is set to RESET by default and cannot be changed to FIN at the global level. However, you can change the monitorConnectionClose parameter to FIN at the service level.

[From Build 41.28]

[ NSLB-4610]

Interface graphique de Citrix ADC

  • Support d’optimisation frontal pour la partition d’administration

    Vous pouvez désormais activer la fonctionnalité d’optimisation frontale à partir de la page Configurer les fonctionnalités avancées en mode partition également.

    [À partir de la version 41.28]

    [NSUI-12800]

  • Aide à l’identification de la cause pour laquelle l’état d’un service ou d’un groupe de services est marqué comme étant INACTIF

    Vous pouvez désormais consulter les informations de la sonde de surveillance sur l’interface graphique pour les services ou les groupes de services qui sont hors service sans accéder à l’interface de liaison du moniteur.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-manage-setup/managing-services.html#identify-the-cause-for-the-service-state-marked-down-by-using-the-gui.

    [À partir de la version 41.28]

    [NSUI-12906]

  • Aide à l’identification de la cause à laquelle l’état d’un serveur virtuel est marqué comme étant inactif

    Vous pouvez désormais consulter les informations de la sonde de surveillance sur l’interface graphique du serveur virtuel en panne sans accéder à l’interface de liaison du moniteur.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-manage-setup/managing-vserver.html#identify-the-cause-for-the-virtual-server-state-marked-down-by-using-the-gui.

    [À partir de la version 41.28]

    [NSUI-13255]

  • Interaction guidée pour les certificats SSL

    L’interface graphique Citrix ADC fournit désormais une interaction guidée pour certaines tâches courantes mais détaillées liées à la création, à l’importation et à la mise à jour de certificats SSL. Il vous invite à activer l’interaction guidée lorsque vous démarrez votre appliance pour la première fois. Si cette option est activée, vous pouvez la désactiver explicitement à tout moment en accédant à Système > Paramètres > Modifier les paramètres CUXIP et en décochant la case Activer CUXIP.

    Remarque : Cette fonctionnalité n’est disponible que pour les certificats SSL dans l’interface graphique de Citrix ADC.

    [À partir de la version 41.28]

    [NSUI-13389]

  • Indications de couleur pour l’utilisation de l’espace disque sur l’interface graphique de mise à niveau

    Sur l’écran Vérifier l’espace disque de l’interface graphique Citrix ADC (Système > Informations système > Mise à niveau du système > Vérifier l’espace disque), une indication de couleur a été ajoutée pour l’espace disque actuellement utilisé.

    L’interface graphique affiche le pourcentage d’espace disque actuellement utilisé dans les couleurs suivantes :

    • Vert, si l’espace disque actuellement utilisé est inférieur à 80 %

    • Rouge, si l’espace disque actuellement utilisé est supérieur à 80 %

    [À partir de la version 47.22]

    [NSUI-13699]

  • Journal système pour la gestion des robots Citrix ADC

    La page GUI de la visionneuse de journaux dispose désormais d’une option permettant de filtrer les opérations liées aux robots qui sont enregistrées.

    [À partir de la version 47.22]

    [NSUI-13722]

  • Support graphique pour les statistiques des robots

    La nouvelle section Bot de la page Tableau de bord affiche les statistiques relatives aux robots.

    [À partir de la version 47.22]

    [NSUI-13945]

Appliance Citrix ADC SDX

  • Licence ADC Platinum avec fonctionnalités SWG

    Les fonctionnalités de Citrix Secure Web Gateway (SWG) sont désormais intégrées à la licence Citrix ADC Premium et SWG n’est plus proposé en tant que licence d’instance distincte. Après la mise à niveau d’une appliance SDX vers la version 13.0 47.x, une instance SWG existante exécutée sur l’appliance apparaît en tant qu’instance Citrix ADC dans le tableau de bord du service de gestion SDX.

    [À partir de la version 47.22]

    [# NSSVM-2806]

Appliance Citrix ADC VPX

  • Métriques Citrix ADC VPX dans Azure Monitor

    Vous pouvez désormais utiliser les mesures du service de surveillance Azure pour surveiller un ensemble de ressources Citrix ADC VPX telles que le processeur, l’utilisation de la mémoire et le débit. Le service Metrics surveille les ressources Citrix ADC VPX qui s’exécutent sur Azure, en temps réel. Vous pouvez utiliser l’ Explorateur de mesures pour accéder aux données collectées.

    [À partir de la version 47.22]

    [NSPLAT-10104]

  • Un nouveau paramètre pour déplacer la source d’horloge principale de CPU0 vers CPU1

    Pour une instance Citrix ADC VPX, vous pouvez désormais déplacer la source d’horloge principale de CPU0 (processeur de gestion) vers CPU1. Pour modifier la source de l’horloge principale, le paramètre -masterclockcpu1 est ajouté à la commande « set ns vpxparam ». Ce paramètre a les options suivantes :

    • OUI : autorise la machine virtuelle à déplacer la source d’horloge principale de CPU0 vers CPU1.

    • NON — La machine virtuelle utilise CPU0 comme source d’horloge principale. Par défaut, CPU0 est la source d’horloge principale.

    [À partir de la version 47.22]

    [NSPLAT-10859]

  • Support de haute disponibilité dans Google Cloud Platform

    Vous pouvez désormais déployer des instances Citrix VPX en tant que paire HA sur Google Cloud Platform, dans différentes zones d’une même région. Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-vpx-google-cloud-ha.html.

    [À partir de la version 41.28]

    [NSPLAT-7714]

  • Déployez une paire VPX HA dans AWS à l’aide d’une migration IP privée

    Vous pouvez désormais déployer des instances VPX en tant que paire HA dans la même zone, en mode de configuration réseau non indépendante (INC), en utilisant la migration IP privée, qui réduit considérablement le temps de basculement. Auparavant, les nœuds VPX HA étaient déployés à l’aide de la migration par interface réseau (ENI), qui entraîne un temps de basculement plus long. Pour plus d’informations, consultez :

    https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws/how-aws-ha-works.html

    https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws/vpx-aws-ha.html

    [À partir de la version 41.28]

    [NSPLAT-7718]

  • Support pour le nouveau type d’instance AWS

    À partir de cette version, les types d’instances AWS suivants sont pris en charge pour le déploiement de VPX, dans les régions existantes et dans la nouvelle région de Paris.

    • C5: c5.large, c5.xlarge, c5.2xlarge, c5.4xlarge, c5.9xlarge, c5.18xlarge

    • C5n: c5n.large, c5n.xlarge, c5n.2xlarge, c5n.4xlarge, c5n.9xlarge, c5n.18xlarge

    • M5: m5.large, m5.xlarge,m5.2xlarge,m5.4xlarge, m5.12xlarge,m5.24xlarge

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws.html.

    [À partir de la version 41.28]

    [NSPLAT-8729]

  • Support pour le déploiement d’AWS dans la région parisienne

    Vous pouvez désormais déployer des instances VPX sur AWS, en région parisienne.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws.html.

    [À partir de la version 41.28]

    [NSPLAT-8730]

  • Balises de service Azure pour les groupes de services d’équilibrage de charge VPX

    Pour une instance ADC Citrix VPX déployée sur Azure Cloud, vous pouvez désormais créer des groupes de services d’équilibrage de charge associés à une balise Azure. L’instance VPX surveille en permanence les machines virtuelles (VM) Azure ou les interfaces réseau (NIC), ou les deux, avec la balise correspondante et met à jour le groupe de services en conséquence. Chaque fois qu’une machine virtuelle ou une carte réseau avec le tag approprié est ajoutée ou supprimée, l’ADC détecte la modification correspondante et ajoute ou supprime automatiquement l’adresse IP de la machine virtuelle ou de la carte réseau du groupe de services.

    Vous pouvez ajouter le paramètre de balise Azure à une instance VPX à l’aide de l’interface graphique VPX.

    Pour plus d’informations sur les balises Azure, consultez le document Microsoft : https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-using-tags

    Pour plus d’informations sur les balises Azure pour le déploiement de Citrix ADC VPX, consultez https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-vpx-on-azure/tags.html.

    [À partir de la version 41.28]

    [NSPLAT-8768]

  • Nouvelles offres par abonnement pour Citrix ADC VPX sur GCP

    Pour Google Cloud Platform (GCP), les offres par abonnement suivantes sont désormais disponibles :

    • Licence Citrix ADC VPX Express

    • Éditions Citrix ADC VPX 10 Mbit/s (Standard/Advanced/ Premium)

    [À partir de la version 47.22]

    [NSPLAT-8772]

  • Support pour le déploiement d’AWS dans la région de Hong Kong

    Vous pouvez désormais déployer des instances VPX sur AWS, dans la région de Hong Kong.

    [À partir de la version 47.22]

    [NSPLAT-9166]

Gestion des robots Citrix

  • Gestion des robots Citrix

    La détection et l’atténuation des menaces liées aux robots constituent un besoin de sécurité essentiel dans le monde d’aujourd’hui. Ceci est réalisé en utilisant un système de gestion de robots. Citrix Bot Management protège vos applications Web, vos applications et vos API contre les attaques de sécurité de base et avancées. Citrix Bot Management utilise les six mécanismes de détection suivants pour détecter le type de bot et prendre des mesures d’atténuation.

    Les techniques utilisées sont la liste blanche et la liste noire des robots, la réputation IP, les empreintes digitales des appareils, la limitation du débit et les signatures statiques.

    Réputation IP. Ce mécanisme détecte si le trafic entrant provient d’un bot grâce à une base de données d’adresses IP malveillantes activement mise à jour.

    Empreinte digitale de l’appareil L’empreinte digitale de l’appareil injecte du code JavaScript dans le flux HTTP et évalue les propriétés renvoyées par ce code JavaScript afin de déterminer si le trafic entrant est un bot ou non.

    Limitation du débit. Le taux de la technique de détection limite les demandes multiples provenant du même client via une session, un cookie ou une adresse IP.

    Signatures de robots. La technique de détection détecte et bloque les robots sur la base de plus de 3 500 signatures préparées par l’équipe de Citrix Threat Research. Les robots peuvent être, par exemple, des URL non autorisées qui piratent des sites Web, des connexions par force brute ou des sites qui recherchent des vulnérabilités

    Liste blanche des robots. La liste blanche est une liste personnalisable d’URL, d’adresses IP, de blocs CIDR et d’expressions de stratégie qui met en liste blanche et autorise le trafic entrant correspondant à l’un de ces paramètres.

    Liste noire de robots. La liste noire est une liste personnalisable d’URL, d’adresses IP, de blocs CIDR et d’expressions de stratégie qui met en liste noire et refuse le trafic entrant correspondant à l’un de ces paramètres.

    Citrix Bot Management atténue les menaces automatisées et le trafic indésirable de robots visant vos applications, API et sites Web publics. S’il est déterminé que le trafic entrant provient d’un bot, le système exécute une action assignée par l’administrateur ADC et génère des rapports fiables à des fins de responsabilité et d’auditabilité.

    La gestion des robots offre les avantages suivants :

    • Défendez-vous contre les robots, les scripts et les boîtes à outils : la défense basée sur les signatures statiques et les empreintes digitales des appareils permettent d’atténuer les menaces contre les robots de base et avancés.

    • Neutralisez les attaques de base et avancées : prévenez les attaques telles que les attaques DDoS au niveau des applications, la pulvérisation de mots de passe, le bourrage de mots de passe, les baisses de prix, les racapers de contenu, etc.

    • Protégez vos API et vos investissements : protégez vos API contre les utilisations abusives, les enquêtes et les fuites de données, et protégez les investissements en infrastructure contre le trafic indésirable.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/bot-management.html.

    [À partir de la version 41.28]

    [NSWAF-2900]

Citrix Gateway

  • AlwaysOn avant l’ouverture de session pour Windows

    AlwaysOn avant la connexion pour Windows permet aux utilisateurs d’établir un tunnel VPN avant même qu’ils ne se connectent à un système Windows. Cette connectivité VPN persistante est obtenue par l’établissement automatique d’un tunnel VPN au niveau de l’appareil une fois que celui-ci démarre.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html.

    [À partir de la version 41.28]

    [CGOP-10791]

  • Utilisation sélective des protocoles d’ouverture de session existants ou récents pour les clients

    Les clients qui utilisent l’application Workspace avec Citrix Gateway peuvent désormais utiliser de manière sélective le protocole d’ouverture de session existant ou le plus récent en fonction des stratégies. Les clients peuvent utiliser d’anciens protocoles réseau pour certains clients et également autoriser les clients à utiliser l’intégration native d’Intune avec les clients Citrix Gateway à l’aide du protocole existant, principalement le contrôle de conformité Intune à l’aide de l’identifiant unique de l’appareil.

    [À partir de la version 41.28]

    [CGOP-10879]

  • Support client VPN sur Ubuntu 18.04 LTS

    Les clients VPN sont désormais pris en charge sur Ubuntu 18.04 LTS.

    [À partir de la version 47.22]

    [CGOP-11067]

Citrix Web App Firewall

  • Formats de téléchargement de fichiers autorisés

    Citrix Web App Firewall vous permet désormais de configurer les formats de téléchargement de fichiers autorisés dans un profil Citrix Web App Firewall. Vous limitez ainsi les téléchargements de fichiers à des formats spécifiques et vous protégez l’appliance contre les téléchargements malveillants lors d’une soumission multiformulaire.

    Remarque : La fonctionnalité ne fonctionne que lorsque vous désactivez l’option « ExcludeFileUploadFormChecks » dans le profil WAF.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/file-upload-protection.html

    [À partir de la version 41.28]

    [NSWAF-2579]

  • Enregistrement détaillé du modèle de violation

    Vous pouvez désormais configurer le profil du Web App Firewall pour fournir un modèle de violation détaillé lorsqu’une attaque se produit. En configurant l’option Verbose Log Level, vous pouvez enregistrer différentes parties de la charge utile ainsi que le modèle d’attaque à des fins d’analyse judiciaire ou de dépannage.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/detailed-troubleshooting-with-waf-logs.html

    [À partir de la version 41.28]

    [NSWAF-2892]

  • Protection du contenu JSON

    Citrix Web App Firewall fournit désormais une protection JSON contre les attaques DOS, XSS et SQL. Les règles JSON de déni de service (DoS), SQL et XSS examinent la demande JSON entrante et valident si certaines données correspondent aux caractéristiques d’une attaque DoS, SQL ou XSS. Si la demande comportait des violations JSON, l’appliance bloque la demande, consigne les données, envoie une alerte SNMP et affiche également une page d’erreur JSON. L’objectif du contrôle de protection JSON est d’empêcher un attaquant d’envoyer une requête JSON pour lancer des attaques DoS, XSS ou SQL sur vos applications JSON ou votre site Web.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/json-content-protection.html

    [À partir de la version 41.28]

    [NSWAF-2894]

  • Déploiement automatique des données apprises à l’aide de profils dynamiques.

    Vous pouvez désormais déployer automatiquement les données apprises sous forme de règles de relaxation. Dans le cadre du profilage dynamique, si le Web App Firewall enregistre les données apprises dans les limites d’un seuil défini par l’utilisateur, l’appliance envoie une alerte SNMP à l’utilisateur. Si l’utilisateur n’ignore pas les données pendant la période de grâce, l’appliance déploie automatiquement les données en tant que règle de relaxation. Auparavant, l’utilisateur devait déployer manuellement les données apprises sous forme de règles de relaxation.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/dynamic-profiling.html

    [À partir de la version 41.28]

    [NSWAF-2895]

  • Seuil WAF POST pour réduire l’utilisation du processeur

    Le fichier de signature du pare-feu de l’application inclut désormais l’utilisation du processeur, la dernière année applicable et le niveau de gravité. Vous pouvez consulter l’utilisation du processeur, l’année dernière et le niveau de gravité CVE chaque fois qu’un fichier de signature est modifié et téléchargé régulièrement. Après avoir observé ces valeurs, vous pouvez décider d’activer ou de désactiver la signature sur l’appliance.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/app-firewall-profile-settings.html

    [À partir de la version 41.28]

    [NSWAF-2932]

  • Masquage de données sensibles à l’aide d’un modèle regex

    La fonction de stratégie avancée REGEX_REPLACE dans une expression de journal liée à un profil Web Citrix Web App Firewall (WAF) vous permet de masquer les données sensibles dans les journaux WAF.

    [À partir de la version 47.22]

    [NSWAF-3816]

  • Noms de catégories de réputation de propriété intellectuelle simples et lisibles

    Les noms des catégories de détection des robots de réputation IP sont désormais disponibles sous forme de noms lisibles.

    [À partir de la version 47.22]

    [NSWAF-3824]

  • Profilage dynamique pour apprendre les URL de démarrage

    Le profilage dynamique est désormais disponible pour le contrôle de sécurité Start URL afin de détecter et d’apprendre de nouvelles URL.

    [À partir de la version 47.22]

    [NSWAF-3934]

Mise en cluster

  • Vue opérationnelle basée sur l’interface du fond de panier

    Dans une configuration en cluster, vous pouvez désormais obtenir une vue opérationnelle basée sur les messages de pulsation reçus uniquement sur l’interface du backplane.

    Prenons l’exemple d’un cluster à deux nœuds, composé du nœud 1 et du nœud 2. Les deux nœuds s’envoient et reçoivent des messages de pulsation l’un vers l’autre et en provenance de l’autre sur toutes les interfaces activées. Lorsque la vue basée sur le fond de plan est activée, la vue opérationnelle est basée sur les battements de cœur reçus uniquement sur l’interface du fond de plan. Si le nœud 1 ne reçoit pas les messages de rythme cardiaque du nœud 2 sur l’interface de fond de plan, le nœud 1 ou le nœud 2 est rendu inactif sur le plan opérationnel, même si le nœud 1 reçoit le rythme cardiaque du nœud 2 via l’interface de données. Par défaut, la vue basée sur le backplane est désactivée. Lorsque cette option est désactivée, un nœud ne dépend pas de la réception du rythme cardiaque uniquement sur le fond de plan.

    [À partir de la version 47.22]

    [NSHELP-15871]

  • Prise en charge des propriétaires ARP pour adresses IP Striped

    Dans une configuration de cluster, vous pouvez désormais configurer un nœud spécifique pour répondre à la demande ARP pour une adresse IP par bandes. Le nœud configuré répondra au trafic ARP. Un nouvel attribut « ARPowner » est introduit dans les commandes CLI « add, set, and unset ip ».

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/clustering/cluster-overview/cluster-config-type.html#arp-owner-support-for-striped-ip.

    [À partir de la version 41.28]

    [NSNET-3050]

  • Supprimer le piège SNMP pour détecter les incohérences entre les versions du cluster

    L’incompatibilité de version dans une configuration de cluster est désormais supprimée à l’aide d’un piège SNMP clair.

    [À partir de la version 41.28]

    [NSNET-8545]

DNS

  • Conformité au Jour du drapeau du DNS 2019

    L’appliance Citrix ADC est désormais entièrement conforme au DNS Flag Day 2019.

    [À partir de la version 41.28]

    [NSLB-4275]

GSLB

  • Associer une expression de serveur virtuel cible à une action de commutation de contenu GSLB

    La prise en charge est désormais ajoutée pour associer une expression de serveur virtuel cible à une action de commutation de contenu GSLB. Cela permet au serveur virtuel de commutation de contenu GSLB d’utiliser des expressions de stratégie pour composer le nom du serveur virtuel GSLB cible lors du traitement des demandes DNS.

    [À partir de la version 47.22]

    [NSLB-4751]

  • Supporte le GSLB pour les domaines génériques

    La prise en charge est désormais ajoutée pour lier un domaine DNS générique à un serveur virtuel GSLB. Les utilisateurs qui accèdent aux applications derrière un domaine générique sont acheminés vers le meilleur centre de données optimal, qui héberge ces applications. Le domaine générique gère les demandes de domaines et de sous-domaines inexistants. Dans une zone, vous pouvez rediriger les requêtes relatives à tous les domaines ou sous-domaines inexistants vers un serveur spécifique en utilisant les domaines génériques. Il n’est pas nécessaire de créer un enregistrement de ressource (RR) distinct pour chacun de ces domaines.

    [À partir de la version 47.22]

    [NSLB-4792]

  • Déterminez le service GSLB le plus performant à l’aide de la méthode API

    La méthode GSLB basée sur une API est désormais prise en charge pour les déploiements GSLB afin de sélectionner le service GSLB le plus performant. Dans cette méthode, lorsque GSLB reçoit une demande DNS d’un client, GSLB déclenche une demande d’API REST HTTP (S) vers le serveur d’API configuré. Sur la base de la réponse de l’API, GSLB envoie une réponse DNS contenant l’adresse IP du service GSLB le plus performant.

    [À partir de la version 47.22]

    [NSLB-5194]

Gestion des licences

  • Protocoles de routage dynamique sous licence standard

    La licence standard Citrix ADC inclut désormais les protocoles de routage dynamique Citrix ADC. Citrix ADC prend en charge les protocoles dynamiques suivants :

    • RIP (IPv4 et IPv6)

    • OSPF (IPv4 et IPv6)

    • BGP (IPv4 et IPv6)

    • IS-IS (IPv4 et IPv6)

    [À partir de la version 41.28]

    [NSNET-12256]

  • Protocoles de routage dynamique sous licence standard

    La licence standard Citrix ADC inclut désormais les protocoles de routage dynamique Citrix ADC. Citrix ADC prend en charge les protocoles dynamiques suivants :

    • RIP (IPv4 et IPv6)

    • OSPF (IPv4 et IPv6)

    • BGP (IPv4 et IPv6)

    • IS-IS (IPv4 et IPv6)

    [À partir de la version 41.28]

    [NSPLAT-6179]

  • Nouvelles valeurs pour la bande passante minimale et les instances minimales SDX

    La bande passante minimale et les valeurs minimales des instances pour les appliances SDX qui prennent en charge la capacité groupée Citrix ADC ont changé. Pour plus d’informations, consultez :

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html

    [À partir de la version 41.28]

    [NSSVM-2770]

Équilibrage de charge

  • Support pour un moniteur NTLM sécurisé

    Vous pouvez désormais utiliser le script nsntlm-lwp.pl pour créer un moniteur afin de surveiller un serveur NTLM sécurisé.

    [À partir de la version 41.28]

    [NSLB-4806]

  • Support pour l’API Autoscale

    Vous pouvez définir le groupe de services du type non automatique au type de mise à l’échelle automatique de l’API d’état souhaitée (DSA), si toutes les conditions fournies correspondent. Pour cette configuration, utilisez l’argument d’API autoscale dans la commande « set ServiceGroup ».

    [À partir de la version 47.22]

    [NSLB-5311]

  • Limiter le nombre de demandes simultanées sur une connexion client

    Vous pouvez désormais limiter le nombre de demandes simultanées sur une seule connexion client. Vous pouvez protéger les serveurs contre les failles de sécurité en limitant le nombre de demandes simultanées. Lorsque la connexion client atteint la limite maximale spécifiée, l’appliance Citrix ADC abandonne les demandes suivantes sur la connexion jusqu’à ce que le nombre de demandes en suspens soit inférieur à la limite.

    [À partir de la version 47.22]

    [NSLB-5315]

NITRO

  • Restreindre les utilisateurs du système à une interface de gestion spécifique

    Une appliance Citrix ADC vous permet désormais de restreindre l’accès des utilisateurs à une interface de gestion spécifique (CLI ou API). Vous pouvez configurer la liste des interfaces de gestion autorisées pour un utilisateur particulier ou un groupe d’utilisateurs au niveau de l’utilisateur.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/restricted-management-interface-access.html.

    [À partir de la version 41.28]

    [NSCONFIG-1376]

  • Mettez à jour facilement le groupe de services avec l’ensemble de membres souhaité à l’aide de l’API Desired State

    Vous pouvez désormais utiliser l’API Desired State pour mettre à jour un groupe de services avec un ensemble de membres de groupe de services souhaité. À l’aide de l’API Desired State, vous pouvez fournir une liste des membres du groupe de services ainsi que leur poids et leur état (facultatif) dans une seule requête PUT sur la ressource « servicegroup_servicegroupmemberlist_binding ». L’appliance Citrix ADC compare le jeu de membres souhaité demandé avec le jeu de membres configuré. Ensuite, il lie automatiquement les nouveaux membres et délie les membres qui ne sont pas présents dans la demande.

    [À partir de la version 41.28]

    [NSLB-4543]

Mise en réseau

  • Support statistique ISSU

    Vous pouvez désormais consulter les statistiques permettant de surveiller le processus ISSU actuel dans une configuration à haute disponibilité. Les statistiques ISSU affichent les informations suivantes :

    • État actuel de l’opération de migration ISSU

    • Heure de début de l’opération de migration ISSU

    • Heure de fin de l’opération de migration ISSU

    • Heure de début de l’opération de restauration d’ISSU

    [À partir de la version 47.22]

    [NSNET-11457]

  • Prise en charge du basculement de connexion pour les connexions FTP à partir d’un port aléatoire du serveur FTP

    Le basculement de connexion permet au nœud principal de dupliquer les informations de connexion et de persistance vers le nœud secondaire dans une configuration à haute disponibilité. Les informations d’état de la connexion sont partagées régulièrement avec le nœud secondaire lorsque la mise en miroir des connexions est activée.

    La configuration haute disponibilité d’une appliance Citrix ADC prend en charge le basculement de connexion pour une connexion FTP pour laquelle le serveur FTP utilise un port de données aléatoire.

    Le nœud principal envoie les informations de connexion FTP au nœud secondaire à intervalles réguliers. L’appliance secondaire utilise ces informations uniquement en cas de basculement.

    Pour activer le basculement de connexion sur une configuration d’équilibrage de charge de type FTP, vous activez le paramètre connFailover (Connection Failover) du serveur virtuel d’équilibrage de charge à l’aide de l’interface de ligne de commande ou de l’interface graphique.

    De plus, pour permettre à l’appliance Citrix ADC de traiter une connexion FTP pour laquelle le serveur FTP utilise un port aléatoire, vous devez activer le paramètre global Citrix ADC : AFTPAlowRandomSourcePort (Activer la sélection aléatoire du port source pour Active FTP).

    [À partir de la version 47.22]

    [NSNET-7685, NSNET-9529]

  • Prise en charge de la réservation du port source pour les connexions RNAT aux serveurs

    Pour une demande atteignant une configuration RNAT dont une ou plusieurs adresses IP RNAT et le paramètre Utiliser le port proxy est désactivé, l’appliance Citrix ADC utilise l’une des adresses IP RNAT et le port source de la demande RNAT pour se connecter aux serveurs.

    Avant cette version, la connexion RNAT (utilisant le port source du client RNAT) au serveur échouait si le même port source était déjà utilisé dans d’autres connexions.

    • Port source inférieur à 1024. Par défaut, l’appliance Citrix ADC réserve les 1024 premiers ports de toute adresse IP appartenant à Citrix ADC (y compris les adresses IP RNAT). Avant cette version, la connexion RNAT (utilisant le port source du client RNAT) au serveur échouait si le port source de la demande RNAT est inférieur ou égal à 1024. Avec ces versions, la connexion RNAT (utilisant le port source du client RNAT) au serveur sera réussie si le port source de la demande RNAT est inférieur ou égal à 1024.

    • Port source supérieur à 1024. Avant cette version, la connexion RNAT (utilisant le port source du client RNAT) au serveur échouait si le même port source était déjà utilisé dans d’autres connexions. Dans cette version, vous pouvez spécifier une plage de ports source client RNAT dans le paramètre Retain Source Port Range dans le cadre d’une configuration RNAT. L’appliance Citrix ADC réserve ces ports source client RNAT sur l’adresse IP RNAT pour être utilisés uniquement pour la connexion RNAT aux serveurs.

    [À partir de la version 47.22]

    [NSNET-9797]

Plateforme

  • Configuration de la taille et du type de sonnerie de réception pour une interface

    Vous pouvez désormais augmenter la taille et le type de sonnerie de réception pour les interfaces IX, F1X, F2X et F4X sur les plateformes Citrix ADC MPX et SDX.

    L’augmentation de la taille de l’anneau permet de mieux gérer les pics de trafic, mais cela peut avoir un impact sur les performances. Une taille d’anneau allant jusqu’à 8192 est prise en charge sur les interfaces IX. Une taille d’anneau allant jusqu’à 4 096 est prise en charge sur les interfaces F1X, F2X et F4X. La taille de bague par défaut reste de 2048.

    Les types d’anneaux d’interface sont élastiques par défaut. Leur taille augmente ou diminue en fonction du taux d’arrivée des paquets. Vous pouvez configurer le type de sonnerie comme « fixe » afin qu’il ne change pas en fonction du débit de trafic.

    [À partir de la version 41.28]

    [NSPLAT-9264]

Stratégies

  • Nouvelle expression de stratégie pour afficher l’heure GMT dans le fuseau horaire local

    Une nouvelle expression de stratégie « SYS.TIME.TO_LOCAL » est désormais disponible pour afficher l’heure GMT dans le fuseau horaire local.

    [À partir de la version 47.22]

    [NSHELP-16098, NSPOLICY-58]

  • Ajouter des en-têtes personnalisés en réponse à l’action du répondeur de page HTML

    Une appliance Citrix ADC peut désormais répondre avec un en-tête personnalisé dans l’action responsewithhtmlpage responder. Vous pouvez configurer jusqu’à huit en-têtes personnalisés. Auparavant, l’appliance répondait uniquement avec des en-têtes statiques tels que Content-type:text/html et Content-Length:<value>.

    Remarque : Lorsque vous configurez des en-têtes personnalisés, vous pouvez remplacer la valeur de l’en-tête « Content-Type ».

    [À partir de la version 47.22]

    [NSPOLICY-2329]

  • Outil nspepi amélioré pour la conversion des stratégies

    L’outil nspepi a maintenant été amélioré pour prendre en charge les éléments suivants :

    • Conversion des stratégies relatives aux tunnels et de leurs dispositions contraignantes.

    • Conversion de liaisons de stratégies classiques intégrées dans CMP, CR et Tunnel.

    • Conversion de la stratégie d’authentification et de ses liaisons vers un serveur virtuel d’authentification, mais pas pour d’autres liaisons d’entités.

    • Corrections de divers bogues.

    Remarque : si des stratégies cmd sont utilisées et que le nom de la commande est converti, toutes les stratégies cmd associées devront être modifiées manuellement.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/appexpert/policies-and-expressions/introduction-to-policies-and-exp/converting-policy-expressions-nspepi-tool.html

    [À partir de la version 41.28]

    [NSPOLICY-3159]

  • Générez des valeurs de clé HMAC aléatoires et uniques similaires à EncryptionParams

    Vous pouvez désormais générer automatiquement un chiffrement aléatoire ou une clé HMAC.

    add ns encryptionKey <name> -method <method> -keyValue AUTO

    add ns hmacKey <name> -digest <digest> -keyValue AUTO

    La valeur de clé « AUTO » peut être utilisée dans les commandes set pour générer de nouvelles clés pour les objets EncrytionKey et HMacKey existants.

    La génération automatique de clés est utile si l’appliance Citrix ADC chiffre et déchiffre des données à l’aide de la clé, ou génère et vérifie une clé HMAC.

    Remarque : étant donné que la valeur de clé elle-même est déjà chiffrée lorsqu’elle est affichée, vous ne pouvez pas récupérer la valeur de clé générée pour une utilisation par un tiers.

    [À partir de la version 47.22]

    [NSPOLICY-3287]

  • Option permettant de fournir des commentaires pour les modèles liés à un ensemble de modèles ou à un ensemble de données.

    La commande « bind policy patset » vous permet désormais de fournir des commentaires pour les modèles liés à un ensemble de modèles.

    bind policy patset <name> <string> [-index <positive_integer>]

    [-charset ( ASCII | UTF_8 )] [-comment <string>]

    Où,

    Commentaire. Fournissez des commentaires sur les modèles liés à un ensemble de modèles.

    La commande « bind policy dataset » vous permet désormais de fournir des commentaires pour les modèles liés à un ensemble de données.

    bind policy dataset <name> <value> [-index <positive_integer>] [-comment <string>]

    Où,

    Commentaire. Fournissez des commentaires sur les modèles liés à un ensemble de données.

    [À partir de la version 47.22]

    [NSPOLICY-3298]

  • Autoriser des fonctions SYS inoffensives

    Les fonctions SYS telles que SYS.TIME, SYS.RANDOM, SYS.NSIP, SYS.UUID, etc. sont désormais autorisées dans l’évaluateur d’expressions ainsi que dans d’autres emplacements qui ne les autorisaient pas auparavant.

    Toutefois, certaines fonctions SYS ne sont toujours pas autorisées dans l’évaluateur d’expressions et dans d’autres emplacements qui ne les autorisaient pas auparavant. SYS.HTTP_CALLOUT en est un exemple.

    [À partir de la version 47.22]

    [NSPOLICY-3302]

  • Convertir les commandes de filtre classiques en commandes de filtrage avancées

    L’outil nspepi peut désormais convertir des commandes basées sur des actions de filtrage classiques telles que l’ajout, la liaison, etc. en commandes de filtrage avancées.

    Toutefois, l’outil nepepi ne prend pas en charge les commandes de filtre suivantes.

    • add filter action <action Name> FORWARD <service name>

    • add filter action <action name> ADD prebody

    • add filter action <action name> ADD postbody

    Remarque :

    • S’il existe des fonctionnalités de réécriture ou de réponse dans ns.conf et que leurs stratégies sont liées globalement à l’expression GOTO telle que END ou USER_INVOCATION_RESULT et que le type de liaison est REQ_X ou RES_X, l’outil convertit partiellement les commandes de filtre de liaison et les commente. Un avertissement s’affichera pour vous inciter à effectuer un effort manuel.

    • S’il existe des fonctionnalités de réécriture ou de réponse et que leurs stratégies sont liées à des serveurs virtuels (par exemple, équilibrage de charge, commutation de contenu ou redirection du cache) de type HTTPS avec GOTO - END ou USER_INVOCATION_RESULT, l’outil convertit partiellement les commandes de filtre de liaison, puis les commente. Un avertissement s’affichera pour vous inciter à effectuer un effort manuel.

    [À partir de la version 47.22]

    [NSPOLICY-509]

SSL

  • Support pour l’affichage des valeurs de clé RSA 3072 bits dans la commande stat ssl

    La sortie du stat ssl inclut désormais les valeurs d’échange de clés RSA 3072 bits.

    stat ssl -detail

    Déchargement SSL

    Cartes SSL présentes : 8

    Cartes SSL UP 8

    État du moteur SSL 1

    Sessions SSL (tarif) 0

    Echanges de clés

    Échanges de clés RSA 512 bits 0 0

    Échanges de clés RSA 1024 bits 0 0

    Échanges de clés RSA 2048 bits 0 0

    Échanges de clés RSA 3072 bits 0 106380

    Échanges de clés RSA 4096 bits 0 0

    Terminé

    [À partir de la version 41.28]

    [ NSSSL-1954]

  • Support pour les messages TLS fragmentés

    L’appliance Citrix ADC prend désormais en charge la fragmentation des messages de certificat du serveur et des messages de demande de certificat. La taille maximale prise en charge de ces messages dans tous les enregistrements est de 32 Ko. Auparavant, la fragmentation n’était pas prise en charge et la taille maximale prise en charge des messages était de 16 Ko.

    [À partir de la version 41.28]

    [NSSSL-5971]

  • Titre SSL : Afficher l’utilisation de la puce SSL sur les appliances Citrix ADC utilisant des puces Intel Coleto Vous pouvez désormais consulter l’utilisation de la puce SSL sur les appliances Citrix ADC MPX suivantes. Ces appareils contiennent la puce Intel Coleto. - MPX 5900 - MPX 8900 - MPX 15000-50G - MPX 26000 - MPX 26000-50S - MPX 26000-100G Pour voir l’utilisation de la puce, à l’invite de commande, tapez : stat ssl.

    [À partir de la version 47.22]

    [NSSSL-5975]

  • Prise en charge des noms plus longs des entités SSL

    Pour aider les clients à maintenir une convention de dénomination standard pour toutes les entités ADC, l’appliance Citrix ADC prend désormais en charge un nom de certificat comportant jusqu’à 63 caractères. Auparavant, la limite était de 31 caractères.

    [À partir de la version 41.28]

    [NSSSL-5976]

  • Améliorations apportées au bilan de santé de la puce Intel Coleto

    Les appliances Citrix ADC dotées de la puce Intel Coleto prennent désormais en charge des contrôles de santé améliorés pour les opérations symétriques (SYM) et asymétriques (ASYM).

    [À partir de la version 41.28]

    [ NSSSL-6299]

  • Prise en charge de la vérification facultative des certificats clients avec authentification client basée sur des stratégies

    Vous pouvez définir la vérification du certificat client comme facultative lorsque vous avez configuré l’authentification client basée sur des stratégies. Auparavant, l’option obligatoire était la seule option. Les options facultatives et obligatoires sont désormais disponibles et configurables.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/ssl/ssl-actions-and-policies/config-built-in-ssl-actions.html#client-certificate-verification-with-policy-based-client-authentication.

    [À partir de la version 41.28]

    [ NSSSL-690]

  • Prise en charge des déploiements de clusters hétérogènes sur différentes plateformes

    Vous pouvez désormais créer un déploiement en cluster hétérogène d’appliances Citrix ADC MPX avec un nombre différent de moteurs de paquets en définissant le paramètre SSL « Heterogeneous SSL HW » sur ENABLED. Par exemple, pour former un cluster d’appliances basées sur des puces Cavium (MPX 14000 ou similaire) et d’appliances basées sur des puces Intel Coleto (MPX 15000 ou similaire), activez le paramètre SSL « Heterogeneous SSL HW ». Pour former un cluster de plates-formes utilisant la même puce, conservez la valeur par défaut (DISABLED) pour ce paramètre.

    La fonctionnalité n’est pas prise en charge sur les instances VPX hébergées sur des appliances Citrix ADC SDX.

    Pour plus d’informations sur les plateformes prises en charge pour la formation d’un cluster hétérogène, voir

    https://docs.citrix.com/en-us/citrix-adc/13/clustering/support-for-heterogeneous-cluster.html.

    [À partir de la version 47.22]

    [NSSSL-7149]

  • Support du protocole DTLSv1.2 sur le front-end d’une appliance Citrix ADC VPX

    Le protocole DTLS 1.2 est désormais pris en charge sur le front-end d’une appliance Citrix ADC VPX. Lors de la configuration d’un serveur virtuel DTLS, vous devez désormais spécifier DTLS1 ou DTLS12.

    [À partir de la version 47.22]

    [NSSSL-7188]

  • Liaison automatique des certificats

    La liaison des certificats SSL est désormais automatisée. En d’autres termes, si les certificats CA intermédiaires et le certificat racine sont présents sur l’appliance, vous n’avez plus à lier manuellement chaque certificat à son émetteur.

    Si tous les certificats sont disponibles sur l’appliance et que vous cliquez sur le bouton « Lien » dans le certificat de l’utilisateur final, la chaîne potentielle apparaît. Dans la chaîne, cliquez sur « Lier le certificat » pour lier tous les certificats.

    [À partir de la version 47.22]

    [NSSSL-7190, NSUI-12903]

Système

  • Prise en charge d’une stratégie avancée en matière de journaux d’audit

    Vous pouvez désormais lier une stratégie de journal d’audit avancée à un serveur virtuel d’équilibrage de charge.

    [À partir de la version 47.22]

    [CGOP-6824]

  • Implémentation du délai d’expiration des requêtes ICAP et du délai de réponse

    Pour gérer le problème de délai de réponse ICAP, vous pouvez configurer la valeur du délai d’expiration de la demande ICAP pour le paramètre « ReqTimeout » dans le profil ICAP. Vous pouvez ainsi définir une action de temporisation des demandes pour que l’appliance prenne toute mesure en cas de retard de réponse ICAP de la part du serveur ICAP. Si l’appliance ne reçoit aucune réponse ICAP dans le délai de demande configuré, elle peut effectuer l’une des actions suivantes en fonction du paramètre « ReqTimeoutAction » configuré sur le fichier Icapprofile.

    ReqTimeoutAction : les valeurs possibles sont BYPASS, RESET, DROP.

    BYPASS : Si la réponse ICAP avec des en-têtes encapsulés n’est pas reçue dans le délai imparti, la réponse du serveur ICAP distant est ignorée et la demande/réponse complète est envoyée au client/serveur

    RESET (par défaut) : Réinitialisez la connexion client en la fermant.

    DROP : Supprimer la demande sans envoyer de réponse à l’utilisateur

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/icap-for-remote-content-inspection.html

    [À partir de la version 41.28]

    [NSBASE-3040, NSBASE-2264]

  • Gestion des temps d’arrêt du serveur ICAP lors de l’inspection du contenu

    Pour gérer les temps d’arrêt du serveur ICAP lors de l’inspection du contenu, l’appliance Citrix ADC vous permet désormais de configurer le paramètre ifserverdown et d’attribuer les actions suivantes.

    CONTINUER : Si l’utilisateur souhaite contourner l’inspection du contenu si le serveur distant est en panne, cette action peut être choisie.

    RESET (par défaut) : Cette action répond au client en fermant la connexion avec RST.

    SUPPRIMER : Cette action supprime silencieusement les paquets sans envoyer de réponse à l’utilisateur.

    [À partir de la version 41.28]

    [NSBASE-4936]

  • Réécriture de la prise en charge des expressions de stratégie pour les opérations supprimées du protocole proxy

    L’opération supprimée dans le protocole proxy utilise désormais des expressions de stratégie de réécriture pour ajouter des détails sur le client tels que l’adresse IP source, l’adresse IP de destination, le port source et le port de destination dans l’en-tête HTTP. La stratégie de réécriture évalue l’expression et si elle est « vraie », l’action de stratégie de réécriture correspondante est déclenchée et les détails du client sont transmis au serveur principal dans l’en-tête HTTP.

    [À partir de la version 47.22]

    [NSBASE-4988]

  • Adresse IP du client dans une option TCP

    Citrix ADC utilise désormais la configuration des options TCP pour envoyer l’adresse IP du client au serveur principal. L’appliance ajoute un numéro d’option TCP qui insère l’adresse IP du client dans le premier paquet de données et le transmet au serveur principal. La configuration de l’option TCP peut être utilisée dans les scénarios suivants.

    • connaître l’adresse IP d’origine du client

    • sélectionner une langue pour un site Web

    • mettre sur liste noire les adresses IP sélectionnées

    [À partir de la version 47.22]

    [NSBASE-6553, NSUI-14692]

  • Intégration du système de détection d’intrusion (IDS) à la connectivité L3

    Une appliance Citrix ADC est désormais intégrée à des dispositifs de sécurité passifs tels que le système de détection d’intrusion (IDS). Dans cette configuration, l’appliance envoie une copie du trafic d’origine en toute sécurité aux appareils IDS distants. Ces appareils passifs stockent des journaux et déclenchent des alertes lorsqu’ils détectent un trafic défectueux ou non conforme. Il génère également des rapports à des fins de conformité. Si l’appliance Citrix ADC est intégrée à deux appareils IDS ou plus et que le volume de trafic est élevé, l’appliance peut équilibrer la charge des appareils en clonant le trafic au niveau du serveur virtuel.

    Pour une protection de sécurité avancée, une appliance Citrix ADC est intégrée à des dispositifs de sécurité passifs tels que le système de détection d’intrusion (IDS) déployé en mode détection uniquement. Ces appareils stockent le journal et déclenchent des alertes lorsqu’ils détectent un trafic mauvais ou non conforme. Il génère également des rapports à des fins de conformité. Vous trouverez ci-dessous certains des avantages de l’intégration de Citrix ADC à un périphérique IDS.

    1. Inspection du trafic crypté — La plupart des dispositifs de sécurité contournent le trafic crypté, exposant ainsi les serveurs aux attaques. Une appliance Citrix ADC peut déchiffrer le trafic et l’envoyer aux appareils IDS afin d’améliorer la sécurité du réseau du client.

    2. Décharger les appareils IDS du traitement TLS/SSL — Le traitement TLS/SSL est coûteux et entraîne une surcharge du processeur du système sur les dispositifs de détection d’intrusion s’ils déchiffrent le trafic. Le trafic chiffré augmentant rapidement, ces systèmes ne parviennent pas à déchiffrer et à inspecter le trafic chiffré. Citrix ADC permet de décharger le trafic vers les appareils IDS du traitement TLS/SSL. Cette façon de décharger les données permet à un dispositif IDS de prendre en charge un volume élevé d’inspection du trafic.

    3. Équilibrage de charge des périphériques IDS : l’appliance Citrix ADC équilibre la charge de plusieurs périphériques IDS lorsque le volume de trafic est élevé en clonant le trafic au niveau du serveur virtuel.

    4. Réplication du trafic vers des appareils passifs : le trafic entrant dans l’appliance peut être répliqué vers d’autres appareils passifs pour générer des rapports de conformité. Par exemple, peu d’agences gouvernementales exigent que chaque transaction soit enregistrée sur certains appareils passifs.

    5. Acheminer le trafic vers plusieurs appareils passifs — Certains clients préfèrent ventiler ou répliquer le trafic entrant sur plusieurs appareils passifs.

    6. Sélection intelligente du trafic : il n’est peut-être pas nécessaire d’inspecter le contenu de chaque paquet entrant dans l’appliance, par exemple pour le téléchargement de fichiers texte. L’utilisateur peut configurer l’appliance Citrix ADC pour sélectionner un trafic spécifique (par exemple des fichiers .exe) à inspecter et envoyer le trafic aux appareils IDS pour le traitement des données.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/intrusion-detection-system-for-l3.html

    [À partir de la version 41.28]

    [NSBASE-6800]

  • Nouveau compteur d’entités pour le débogage des serveurs virtuels d’équilibrage de charge

    Un nouveau compteur d’entités est ajouté à des fins de débogage des serveurs virtuels et d’analyse.

    [À partir de la version 41.28]

    [NSBASE-8087]

  • Mise à jour de l’adresse IP du serveur de licences

    Vous pouvez désormais mettre à jour l’adresse IP du serveur de licences dans une instance VPX sans aucun impact sur la bande passante de licence allouée et la perte de données. Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-vpx-check-in-check-out.html#update-a-licensing-server-ip-address

    [À partir de la version 47.22]

    [NSCONFIG-1974]

  • Modification des mots de passe par défaut des nœuds RPC

    Dans les déploiements HA, en cluster et GSLB, un message d’avertissement s’affiche pour la connexion nsroot et superutilisateur si le mot de passe par défaut du nœud RPC n’est pas modifié.

    [À partir de la version 41.28]

    [NSCONFIG-2224]

  • Annulation du processus de mise à niveau logicielle en service

    Les configurations à haute disponibilité prennent désormais en charge l’annulation du processus de mise à niveau logicielle en service (ISSU). La fonction de restauration ISSU est utile si vous constatez que la configuration HA après ou pendant le processus ISSU n’est pas stable ou ne fonctionne pas de manière optimale comme prévu.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html.

    [À partir de la version 41.28]

    [NSNET-9958]

  • Interruptions SNMP pour le processus de mise à niveau logicielle en service

    Le processus de mise à niveau logicielle en service (ISSU) pour une configuration à haute disponibilité prend désormais en charge l’envoi de messages d’interruption SNMP au début et à la fin de l’opération de migration ISSU.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html.

    [À partir de la version 41.28]

    [NSNET-9959]

Optimisation vidéo

Problèmes résolus dans les versions précédentes de Citrix ADC 13.0

Les problèmes qui ont été résolus dans les versions 13.0 de Citrix ADC antérieures à la version 47.24. Le numéro de version indiqué sous la description du problème indique la version dans laquelle ce problème a été résolu.

Partition d’administration

  • La commande « stat system memory » peut afficher une valeur incorrecte pour le champ « Mémoire libre (Mo) », chaque fois que l’appliance Citrix ADC atteint 100 % d’utilisation de la mémoire dans la partition par défaut.

    [À partir de la version 47.22]

    [NSHELP-19239]

  • Dans une configuration à haute disponibilité avec configuration de partition d’administration, les journaux d’audit générés à partir du nœud secondaire sont envoyés au serveur SYSLOG ou NSLOG uniquement lorsque le serveur SYSLOG ou NSLOG est accessible depuis la partition d’administration.

    [À partir de la version 41.28]

    [ NSHELP-19399]

  • Dans une configuration partitionnée, la commande CLI « diff ns config » affiche des informations trompeuses.

    [À partir de la version 41.28]

    [NSHELP-19530]

  • L’appliance Citrix ADC peut ne pas ajouter les informations d’identification du moteur de paquets (PE) dans les messages d’interruption SNMP liés à la partition d’administration.

    [À partir de la version 47.22]

    [NSHELP-19966]

  • Dans une configuration partitionnée, le DNS ralentit et expire après la création d’une partition d’administration.

    [À partir de la version 47.22]

    [NSHELP-19996]

AppFlow

  • Une stratégie AppFlow n’est pas déclenchée si elle est liée à un serveur virtuel d’équilibrage de charge situé derrière un serveur virtuel de commutation de contenu.

    [À partir de la version 41.28]

    [NSHELP-18782, NSBASE-8180]

  • L’appliance Citrix ADC se bloque si vous liez un profil d’analyse défini par l’utilisateur, autre que le profil lié en interne, à une action AppFlow.

    [À partir de la version 41.28]

    [NSHELP-19362]

  • Lorsque la fonctionnalité « mesures côté client » d’AppFlow est activée, l’appliance Citrix ADC analyse de manière inattendue les fichiers CSS d’une page HTML. Toute erreur lors de l’analyse CSS peut entraîner un chargement incorrect de la page HTML.

    [À partir de la version 41.28]

    [NSHELP-19375]

  • L’appliance Citrix ADC peut se bloquer si AppFlow est désactivé mais que l’optimisation frontale (FEO) est activée avec des mesures côté client, dans l’action FEO.

    [À partir de la version 41.28]

    [NSHELP-19531]

  • Une appliance Citrix ADC peut redémarrer si le collecteur AppFlow se ferme en mode de transport Logstream.

    [À partir de la version 41.28]

    [NSHELP-19837]

  • L’appliance Citrix ADC risque de ne plus répondre si vous supprimez l’action AppFlow alors que le trafic transite par l’appliance.

    [À partir de la version 47.22]

    [NSHELP-20523, NSHELP-21692]

Authentification, autorisation et audit

  • Une appliance Citrix ADC peut autoriser un accès non autorisé si les conditions suivantes sont remplies :

    • Les stratégies d’autorisation appropriées ne sont pas configurées.

    • Le paramètre DefaultAuthorizationAction de la commande « set tm SessionParameter » est ALLOW par défaut.

    [À partir de la version 41.28]

    [NSAUTH-6013]

  • L’attribut LDAP DN extrait de l’AD vers l’appliance Citrix ADC est tronqué si la longueur de l’attribut est supérieure à 128 octets.

    [À partir de la version 47.22]

    [NSAUTH-7210]

  • Le SNMP envoie des pièges même après la réussite de l’authentification par clé publique SSH.

    [À partir de la version 41.28]

    [NSHELP-18303]

  • La commande probe server fournit un message approprié lorsque le serveur TACACS ferme la connexion TCP avec des paquets FIN ou RST sans envoyer de réponse d’authentification.

    [À partir de la version 41.28]

    [NSHELP-18399]

  • Lors de la mise à niveau de la configuration du cluster Citrix ADC de la version 10.5 vers une version supérieure, la connexion du système à un nœud non-CCO sur la version supérieure échoue.

    [À partir de la version 41.28]

    [NSHELP-18511, NSAUTH-5561]

  • Une appliance Citrix ADC configurée en tant que SP SAML échoue si le serveur envoie un nom de paramètre RelayState volumineux accompagné d’une assertion.

    [À partir de la version 41.28]

    [NSHELP-18559]

  • Un message de déconnexion d’authentification, d’autorisation et d’audit Citrix affiche parfois un nom de serveur virtuel incorrect.

    [À partir de la version 41.28]

    [NSHELP-18751]

  • Une appliance Citrix ADC ne parvient pas à obtenir de tickets Kerberos via une délégation limitée, si l’une des conditions suivantes est remplie :

    • Le paramètre « domaine » de l’entreprise est configuré pour l’utilisateur.

    • Le nom de domaine dans le paramètre « keytab » est en minuscules.

    [À partir de la version 47.22]

    [NSHELP-18946]

  • Une appliance Citrix ADC ne parvient pas à obtenir de tickets Kerberos via une délégation limitée, si l’une des conditions suivantes est remplie :

    • Le paramètre « domaine » de l’entreprise est configuré pour l’utilisateur.

    • Le nom de domaine dans le paramètre « keytab » est en minuscules.

    [À partir de la version 41.28]

    [NSHELP-18946]

  • La mémoire tampon est corrompue si les conditions suivantes sont remplies :

    • Les données de la mémoire tampon sont remplacées.

    • Le traitement des messages de cœur à cœur entraîne une condition de recyclage de la mémoire tampon.

    [À partir de la version 41.28]

    [NSHELP-18952]

  • Une appliance Citrix ADC ne supprime pas les demandes HTTP OPTIONS non authentifiées si User-Agent contient l’un des modèles mentionnés dans ns_aaa_activesync_useragents.

    [À partir de la version 41.28]

    [NSHELP-19024]

  • L’authentification WebAuth échoue après plusieurs basculements sur une appliance Citrix Gateway.

    [À partir de la version 41.28]

    [NSHELP-19050]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont remplies :

    • L’option de modification du mot de passe est activée dans une commande d’action LDAP.

    • L’action LDAP associée à une session d’authentification, d’autorisation et d’audit entraîne un problème de propagation de session.

    [À partir de la version 41.28]

    [NSHELP-19053]

  • L’utilisation de la mémoire d’une appliance Citrix ADC augmente lorsque Citrix Gateway ou un serveur virtuel de gestion du trafic utilise l’authentification Kerberos.

    [À partir de la version 41.28]

    [NSHELP-19085]

  • Si le nombre de sessions d’authentification, d’autorisation et d’audit est élevé, la fermeture d’une session utilisateur prend plus de temps.

    [À partir de la version 47.22]

    [NSHELP-19131]

  • Si le paramètre MetadataURL est configuré et que l’appliance Citrix est redémarrée, la commande SAMLAction n’est pas enregistrée et la configuration est perdue.

    [À partir de la version 41.28]

    [NSHELP-19140]

  • Si vous définissez « URL d’importation de métadonnées » et que vous la modifiez ultérieurement en fournissant l’URL de redirection à partir de l’interface graphique Citrix ADC, l’URL de redirection est définie mais l’URL d’importation de métadonnées n’est pas désactivée. Pour cette raison, l’appliance Citrix ADC utilise l’URL des métadonnées.

    [À partir de la version 41.28]

    [NSHELP-19202]

  • Une appliance Citrix ADC peut se bloquer si l’entrée de l’interface graphique Citrix ou de la demande de connexion à l’API NITRO contient un nom d’utilisateur ou un mot de passe non valide.

    [À partir de la version 41.28]

    [NSHELP-19254]

  • L’appliance Citrix peut se bloquer si une stratégie de schéma de connexion d’authentification est définie sur noschema.

    [À partir de la version 41.28]

    [NSHELP-19292]

  • Une appliance Citrix ADC échoue parfois si un paramètre DefaultAuthenticationGroup est configuré dans une commande SamLidpProfile.

    [À partir de la version 41.28]

    [NSHELP-19301]

  • La connexion utilisateur du système à partir de l’interface graphique Citrix ou de l’API NITRO à l’aide de l’authentification RBA échoue lorsque la gestion de Citrix ADC est accessible via un serveur virtuel d’équilibrage de charge et un service d’équilibrage de charge.

    [À partir de la version 41.28]

    [NSHELP-19385]

  • Active Directory Federation Services (ADFS) ne parvient pas à importer les métadonnées générées par le fournisseur de services SAML (SP) Citrix ADC.

    [À partir de la version 41.28]

    [NSHELP-19390]

  • Le décodage en base64 échoue si une signature numérique contient des caractères codés par une entité HTML.

    [À partir de la version 41.28]

    [NSHELP-19410]

  • Une appliance Citrix ADC configurée pour le fournisseur d’identité SAML (IdP) ne parvient pas à authentifier la demande d’authentification entrante pour certaines applications.

    [À partir de la version 41.28]

    [NSHELP-19443]

  • Si un cookie de dialogue intégré à la demande du client est traité avant de vérifier la présence de sessions existantes, une appliance Citrix ADC envoie une page de modification du mot de passe au client.

    [À partir de la version 47.22]

    [NSHELP-19528]

  • Si un cookie de dialogue intégré à la demande du client est traité avant de vérifier la présence de sessions existantes, une appliance Citrix ADC envoie une page de modification du mot de passe au client.

    [À partir de la version 41.28]

    [NSHELP-19528]

  • Si l’URL contient le caractère spécial « ; », le cookie TASS code la redirection d’URL au moment de la connexion.

    [À partir de la version 41.28]

    [NSHELP-19634]

  • Si l’extraction du groupe d’utilisateurs est effectuée lors de la connexion d’un administrateur, l’utilisation de la mémoire de Citrix ADC AAA augmente progressivement.

    [À partir de la version 41.28]

    [NSHELP-19671]

  • Dans de rares cas, des problèmes de fuite de mémoire peuvent survenir lors de la gestion des sessions d’authentification, d’autorisation et d’audit.

    [À partir de la version 47.22]

    [NSHELP-19703]

  • L’authentification peut échouer lorsqu’une appliance Citrix ADC configurée en tant que SAML avec le protocole WS-Feed contient un caractère spécial « & » dans le mot de passe.

    [À partir de la version 41.28]

    [NSHELP-19740]

  • Une appliance Citrix ADC peut se bloquer dans le flux de gestion OTP si les conditions suivantes sont remplies :

    • Le schéma de connexion OTP est utilisé comme premier facteur.

    • L’authentification par e-mail est utilisée comme deuxième facteur.

    [À partir de la version 47.22]

    [NSHELP-19759]

  • Dans certains cas, une appliance Citrix ADC vide le noyau lorsque la commande « show aaa group -LoggedIn » est émise.

    [À partir de la version 47.22]

    [NSHELP-19793]

  • Un message d’erreur 500 s’affiche si les conditions suivantes sont remplies :

    • Le serveur virtuel de gestion du trafic activé par l’authentification, l’autorisation et l’audit reçoit une demande de publication sans cookie.

    • Le corps du message contient des caractères de fin de ligne.

    [À partir de la version 41.28]

    [NSHELP-19852]

  • Une appliance Citrix ADC traite les demandes HTTP non authentifiées avec la méthode OPTIONS reçues du serveur virtuel de gestion du trafic d’authentification, d’autorisation et d’audit. À ce stade, l’appliance répond par un message d’erreur HTTP 401 correspondant.

    [À partir de la version 41.28]

    [NSHELP-19916]

  • Une appliance Citrix ADC envoie une valeur négative si la valeur d’âge maximale de l’en-tête HSTS est définie au-dessus de 2 147 483 647.

    [À partir de la version 41.28]

    [NSHELP-19945]

  • La valeur d’attribut SAML dans la réponse SAML inclut plusieurs lignes SAML AttributeValue, au lieu d’une seule.

    [À partir de la version 47.22]

    [ NSHELP-19961]

  • La valeur d’attribut SAML dans la réponse SAML inclut plusieurs lignes SAML AttributeValue, au lieu d’une seule.

    [À partir de la version 41.28]

    [ NSHELP-19961]

  • Dans un mécanisme OpenID-Connect, OAuth Relying Party (RP) n’encode pas les propriétés du nom d’utilisateur ou du mot de passe lors d’un appel d’API d’attribution de mot de passe.

    [À partir de la version 41.28]

    [ NSHELP-19987]

  • La page AAA Group de l’interface graphique de Citrix ADC n’affiche pas l’adresse IP dans le champ Adresse IP de l’intranet.

    [À partir de la version 47.22]

    [NSHELP-20068]

  • Une appliance Citrix ADC configurée en tant que fournisseur d’identité SAML (IdP) tronque relaystate à partir du fournisseur de services (SP) s’il contient des guillemets.

    [À partir de la version 47.22]

    [NSHELP-20131]

  • Une appliance Citrix ADC configurée en tant que fournisseur d’identité SAML (IdP) tronque relaystate à partir du fournisseur de services (SP) s’il contient des guillemets.

    [À partir de la version 41.28]

    [NSHELP-20131]

  • Si vous ne configurez pas le thème du portail RFWebUI sur une appliance Citrix ADC, vous remarquerez peut-être les modifications suivantes :

    • Les pages de gestion OTP affichées s’affichent différemment ou la gestion OTP risque de ne pas fonctionner.

    • L’appliance présente un comportement inattendu.

    [À partir de la version 47.22]

    [NSHELP-20144]

  • Dans de rares cas, l’authentification échoue si la connexion au serveur LDAP se fait via HTTPS.

    [À partir de la version 47.22]

    [NSHELP-20181]

  • Une appliance Citrix Gateway peut échouer si les conditions suivantes sont remplies :

    • Lorsqu’un utilisateur se déconnecte d’une session.

    • L’appliance est déployée sur une plate-forme HDX.

    • L’authentification SAML est utilisée dans Citrix Gateway.

    [À partir de la version 41.28]

    [NSHELP-20206]

  • Une appliance Citrix Gateway peut échouer si les conditions suivantes sont remplies :

    • Lorsqu’un utilisateur se déconnecte d’une session.

    • L’appliance est déployée sur une plate-forme HDX.

    • L’authentification SAML est utilisée dans Citrix Gateway.

    [À partir de la version 47.22]

    [NSHELP-20206]

  • Le profil de schéma de connexion du nœud secondaire n’affiche pas correctement les étiquettes sur la page Configurer l’interface graphique du schéma de connexion d’authentification.

    [À partir de la version 47.22]

    [NSHELP-20234]

  • Une appliance Citrix ADC peut se bloquer lorsque vous utilisez un IdP SAML sur une appliance FIPS.

    [À partir de la version 41.28]

    [NSHELP-20282]

  • Une appliance Citrix ADC peut se bloquer lorsque vous utilisez un IdP SAML sur une appliance FIPS.

    [À partir de la version 47.22]

    [NSHELP-20282]

  • Une appliance Citrix Gateway peut parfois échouer si les utilisateurs essaient de se connecter lors de la prise d’un instantané VPX.

    [À partir de la version 41.28]

    [NSHELP-20292]

  • Une appliance Citrix Gateway peut parfois échouer si les utilisateurs essaient de se connecter lors de la prise d’un instantané VPX.

    [À partir de la version 47.22]

    [NSHELP-20292]

  • Vous ne pouvez pas dissocier une stratégie d’autorisation à l’aide de l’interface graphique Citrix ADC.

    [À partir de la version 47.22]

    [NSHELP-20298]

  • Une appliance Citrix ADC configurée en tant que fournisseur de services SAML (SP) peut ne pas valider les assertions envoyées par certains IdP si l’espace de noms SAML n’est pas complètement défini.

    [À partir de la version 47.22]

    [NSHELP-20307]

  • Une appliance Citrix ADC configurée en tant que fournisseur de services (SP) SAML sur un serveur virtuel de gestion du trafic n’envoie pas de réponse au corps du message au serveur principal après la connexion SAML.

    [À partir de la version 47.22]

    [NSHELP-20348]

  • Une appliance Citrix ADC configurée en tant que fournisseur de services (SP) SAML sur un serveur virtuel de gestion du trafic n’envoie pas de réponse au corps du message au serveur principal après la connexion SAML.

    [À partir de la version 41.28]

    [NSHELP-20348]

  • Une fuite de mémoire est observée dans une appliance Citrix ADC si les conditions suivantes sont remplies :

    • Un second facteur est configuré comme un facteur de transmission.

    • La mémoire tampon n’est pas libérée.

    [À partir de la version 47.22]

    [NSHELP-20390]

  • L’appliance Citrix ADC se bloque après une mise à niveau vers la version 13.0 en raison d’une situation de débordement de la mémoire tampon.

    [À partir de la version 47.22]

    [NSHELP-20416, NSAUTH-6770]

  • Un nom de domaine complet figurant dans le certificat SSL peut se bloquer dans une appliance Citrix ADC en raison d’un débordement de la mémoire tampon.

    [À partir de la version 47.22]

    [NSHELP-20476]

  • Vous ne pouvez pas dissocier plusieurs certificats à l’aide de l’interface graphique Citrix ADC.

    [À partir de la version 47.22]

    [NSHELP-20598]

  • Une appliance Citrix Gateway peut échouer lorsque Gateway est configuré en tant qu’IdP SAML avec un chaînage d’IdP.

    [À partir de la version 47.22]

    [NSHELP-20667]

  • Une appliance Citrix ADC peut se bloquer si le paramètre SAMLSigningCertName n’est pas configuré dans une commande SAMLAction.

    [À partir de la version 47.22]

    [NSHELP-20674]

  • Une appliance Citrix ADC peut ne pas authentifier les utilisateurs de Microsoft Outlook 2016 si le mot de passe contient des caractères Umlaut.

    [À partir de la version 47.22]

    [NSHELP-20682]

  • Un SSO Kerberos peut échouer lorsqu’une appliance Citrix ADC est déployée dans un environnement multidomaine (domaine parent-enfant) et que les utilisateurs se trouvent dans le domaine parent et les services dans le domaine enfant.

    [À partir de la version 47.22]

    [NSHELP-20910]

  • Le paramètre SAML MetadataURL ne fonctionne pas après le redémarrage d’une appliance Citrix ADC.

    [À partir de la version 47.22]

    [NSHELP-21006]

  • Dans de rares cas, la connexion à nFactor échoue si les deux conditions suivantes sont remplies :

    • L’appliance Citrix ADC est configurée pour l’authentification par certificat avec une solution de secours vers LDAP.

    • L’authentification du certificat échoue.

    [À partir de la version 47.22]

    [NSHELP-21118]

  • Si Citrix ADC est configuré pour l’authentification unique basée sur des formulaires et que des paires nom-valeur sont spécifiées dans la configuration, ces valeurs sont ignorées si elles sont absentes du formulaire.

    [À partir de la version 47.22]

    [NSHELP-21139]

  • Le comportement suivant est observé dans l’interface graphique de Citrix ADC :

    • Vous ne pouvez pas modifier les stratégies OAuth.

    • Vous ne pouvez modifier que les actions OAuth.

    • L’option Stratégies OAuth ne doit figurer que dans Stratégies avancées et non dans Stratégies de base.

    [À partir de la version 41.28]

    [NSHELP-2131]

  • Si vous liez une stratégie IDP SAML à un serveur virtuel d’authentification, d’autorisation et d’audit à l’aide de l’interface graphique Citrix ADC, vous ne pouvez pas modifier l’action suivante.

    [À partir de la version 47.22]

    [NSHELP-479]

  • Parfois, une appliance Citrix Gateway peut échouer lorsqu’elle reçoit une requête /vpns/services.html d’un client.

    [À partir de la version 41.28]

    [NSHELP-8513]

Cluster de base

  • Dans une configuration de cluster, si l’horodatage est activé, certaines des demandes envoyées au serveur peuvent être abandonnées.

    [À partir de la version 47.22]

    [NSHELP-20394]

CPXCPX-Infra

  • Citrix ADC CPX

    Les profils TCP par défaut suivants n’ont pas été automatiquement définis avec la taille maximale de segment (MSS) TCP :

    • nstcp_default_profile

    • nstcp_internal_apps

    [À partir de la version 41.28]

    [NSNET-11916]

Appliance Citrix ADC BLX

  • Sur une appliance Citrix ADC BLX déployée en mode partagé, l’interface graphique Citrix ADC et le service NITRO ne sont plus disponibles si vous modifiez le port HTTP de gestion BLX (mghttpport) ou le port HTTPS (mghttpport) à l’aide de l’utilitaire de ligne de commande Citrix ADC (cli_script.sh set ns param).

    [À partir de la version 47.22]

    [NSNET-10005]

  • Sur une appliance Citrix ADC BLX, vous ne pouvez pas lier l’interface 0/1 à un VLAN car cette interface est utilisée pour la communication interne entre l’appliance BLX et les applications hôtes Linux.

    [À partir de la version 41.28]

    [NSNET-10014]

  • Les appliances Citrix ADC BLX ne prennent pas en charge les canaux LA statiques. L’ajout d’un canal LA statique sur une appliance Citrix ADC BLX peut provoquer le blocage de l’appliance.

    [À partir de la version 47.22]

    [NSNET-11929]

  • Les fonctionnalités d’interface (par exemple, Rx, Tx, GRO, GSO et LRO) sont désactivées pour les interfaces (hôte Linux) allouées à l’appliance Citrix ADC BLX. Ces fonctionnalités restent désactivées même après la libération de ces interfaces BLX dans l’espace de noms par défaut à l’arrêt de l’appliance BLX.

    [À partir de la version 41.28]

    [NSNET-9697]

CLI Citrix ADC

  • Lorsque vous êtes connecté en tant qu’utilisateur nsrecover, les commandes nscli -U génèrent une erreur.

    [À partir de la version 41.28]

    [NSCONFIG-1414]

  • Une appliance Citrix ADC ne répond plus si elle atteint le nombre maximum de sessions utilisateur (environ 1 000 sessions) et si l’interface de gestion cesse de répondre.

    [À partir de la version 41.28]

    [NSHELP-19212, NSCONFIG-1369]

Citrix ADC CPX

  • La version allégée de l’instance CPX Citrix ADC n’était pas enregistrée sur Citrix ADM.

    [À partir de la version 41.28]

    [NSCONFIG-2232]

  • Vous ne pouvez pas configurer un NSIP avec un masque de sous-réseau /32 bits pour Citrix ADC CPX.

    [À partir de la version 41.28]

    [NSNET-10968]

  • Vous ne pouvez pas configurer un NSIP avec un masque de sous-réseau /32 bits pour Citrix ADC CPX.

    [À partir de la version 47.22]

    [NSNET-10968]

  • Les profils TCP par défaut suivants n’ont pas été automatiquement définis avec la taille maximale de segment (MSS) TCP :

    • nstcp_default_profile

    • nstcp_internal_apps

    [À partir de la version 47.22]

    [NSNET-11916]

Interface graphique de Citrix ADC

  • Dans une configuration de cluster, lorsque vous démarrez un nouveau suivi (Système > Diagnostics > Démarrer un nouveau suivi), l’opération de démarrage du suivi aboutit. Mais l’interface graphique affiche incorrectement l’erreur suivante :

    « Le traçage n’a pas commencé »

    [À partir de la version 47.22]

    [NSHELP-18566]

  • Un message d’erreur, « Impossible de lire la propriété ‘get’ de undefined. » apparaît lorsque vous cliquez sur Action dans la page d’interface graphique des identifiants de flux.

    [À partir de la version 41.28]

    [NSHELP-19369]

  • Le message d’erreur suivant s’affiche une fois que vous avez effectué les étapes 1 à 4.

    « Valeur d’argument ambiguë [] »

    1. Créez un profil SSL avec des valeurs par défaut.

    2. Liez le profil à un serveur virtuel SSL.

    3. Modifiez les paramètres SSL, mais ne modifiez aucune valeur.

    4. Sélectionnez OK pour fermer la boîte de dialogue des paramètres SSL.

    [À partir de la version 41.28]

    [NSHELP-19402]

  • Dans une configuration de cluster, si vous ajoutez un groupe de chiffrement à partir de paramètres avancés à l’aide de l’interface graphique, le groupe de chiffrement n’apparaît pas sur la page principale.

    [À partir de la version 47.22]

    [NSHELP-19704]

  • L’authentification de l’utilisateur auprès de l’interface graphique Citrix ADC échoue si un problème est observé dans le mécanisme de transfert de fichiers VAR.

    [À partir de la version 47.22]

    [NSHELP-20229]

  • Vous ne pouvez pas rechercher une entité à l’aide du filtre de recherche de l’interface graphique ADC si le nom de l’entité contient un espace.

    [À partir de la version 47.22]

    [NSHELP-20506]

  • Si vous accédez à la page d’interface graphique de Syslog, le message d’erreur suivant s’affiche : « Impossible de lire la propriété ‘0’ si elle n’est pas définie ».

    [À partir de la version 47.22]

    [NSHELP-20574]

  • Après une mise à niveau, la page d’accueil de l’interface graphique Citrix ADC ne se charge pas pour les administrateurs disposant d’autorisations de groupe de superutilisateurs.

    [À partir de la version 47.22]

    [NSHELP-20638]

  • Vous pouvez désormais définir l’authentification du client comme facultative, dans les paramètres SSL d’un serveur virtuel, à l’aide de l’interface graphique. Auparavant, l’authentification du client était devenue obligatoire si vous utilisiez l’interface graphique pour modifier des paramètres SSL.

    [À partir de la version 47.22]

    [NSHELP-21060]

  • En raison de certains problèmes techniques liés à l’infrastructure, tous les groupes de services ne sont pas affichés dans l’interface graphique de l’ADC.

    [À partir de la version 47.22]

    [NSUI-13754]

  • En raison de certains problèmes techniques liés à l’infrastructure, tous les groupes de services ne sont pas affichés dans l’interface graphique de l’ADC.

    [À partir de la version 41.28]

    [NSUI-13754]

Appliance Citrix ADC SDX

  • Le nombre maximum de cœurs que vous pouvez configurer maintenant sur une instance VPX dépend des cœurs disponibles sur la plate-forme SDX particulière. Auparavant, vous pouviez configurer un maximum de cinq cœurs, même si davantage de cœurs étaient disponibles.

    Pour plus d’informations sur le nombre maximum de cœurs que vous pouvez attribuer à une instance VPX, consultez https://docs.citrix.com/en-us/sdx/13/provision-netscaler-instances.html

    [À partir de la version 41.28]

    [NSHELP-18632]

  • Après la restauration d’une appliance SDX, les MAC de partition à partir du fichier de sauvegarde n’ont pas été restaurés sur les instances VPX respectives exécutées sur l’appliance SDX.

    [À partir de la version 41.28]

    [NSHELP-19008]

  • Dans une configuration VPX HA exécutée sur des appliances SDX, lorsque l’un des commutateurs du canal de port virtuel (VPC) tombe en panne, toutes les interfaces faisant partie du LACP se bloquent. Cela déclenche le basculement HA.

    [À partir de la version 47.22]

    [NSHELP-19095]

  • Dans une configuration VPX HA exécutée sur des appliances SDX, lorsque l’un des commutateurs du canal de port virtuel (VPC) tombe en panne, toutes les interfaces faisant partie du LACP se bloquent. Cela déclenche le basculement HA.

    [À partir de la version 41.28]

    [NSHELP-19095]

  • Les appliances SDX 8900 peuvent se bloquer lorsque vous appliquez la configuration SSL pour définir la vérification du certificat client comme facultative avec une authentification client basée sur des stratégies.

    [À partir de la version 41.28]

    [NSHELP-19297]

  • Après la mise à niveau d’une appliance SDX, le canal LA et la configuration VLAN de l’appliance peuvent être perdus.

    [À partir de la version 41.28]

    [NSHELP-19392, NSHELP-19610]

  • Sur les appliances SDX 22XXX et 24XXX, lors de la surveillance de l’état du système, le service de gestion SDX émet de fausses alertes.

    [À partir de la version 47.22]

    [NSHELP-19795]

  • Si le nom du fichier de sauvegarde comporte un caractère spécial, la restauration de l’appliance SDX vers cette sauvegarde échoue. Avec le correctif, un message d’erreur s’affiche si le fichier de sauvegarde contient un caractère spécial.

    [À partir de la version 47.22]

    [NSHELP-19951]

  • Sur une appliance SDX, lorsque vous restaurez une instance VPX provisionnée avec un débit en rafale, la restauration peut échouer.

    [À partir de la version 47.22]

    [NSHELP-20013]

  • Sur une appliance SDX, le message d’erreur « Aucun MAC supplémentaire disponible pour les membres de l’interface 10/1 » s’affiche lorsque toutes les conditions suivantes sont remplies :

    1. Vous instanciez 19 instances VPX sur l’appliance SDX, toutes avec la même interface réseau

    2. Ajoutez ensuite des adresses MAC à la 20e instance VPX qui utilise la même interface réseau que les instances précédentes.

    3. Le nombre d’adresses MAC sur la 20e instance VPX est deux fois plus élevé que le nombre d’adresses MAC ajoutées à la première instance VPX

    [À partir de la version 47.22]

    [NSHELP-20158]

  • Lors de la configuration des licences groupées dans l’appliance FIPS SDX 14000, le nombre minimum d’instances que vous pouviez récupérer était de 25. Avec ce correctif, le nombre minimum d’instances que vous pouvez récupérer est de deux. Pour plus d’informations, consultez le document sur la capacité groupée Citrix ADC :

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html.

    [À partir de la version 41.28]

    [NSHELP-20305]

  • Lors de la configuration des licences groupées dans l’appliance FIPS SDX 14000, le nombre minimum d’instances que vous pouviez récupérer était de 25. Avec ce correctif, le nombre minimum d’instances que vous pouvez récupérer est de deux. Pour plus d’informations, consultez le document sur la capacité groupée Citrix ADC :

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html.

    [À partir de la version 47.22]

    [NSHELP-20305]

  • Après une opération de réinitialisation, le taux de transmission diminue.

    [À partir de la version 41.28]

    [NSPLAT-7792]

  • Sur les plateformes SDX 26000 et SDX 15000, l’accès de gestion via SSH à DOM0 peut s’arrêter lorsque les conditions suivantes sont remplies :

    • Plusieurs instances VPX sont redémarrées simultanément.

    • Des interfaces 100 GE ou 50 GE sont attribuées aux instances VPX.

    [À partir de la version 47.22]

    [NSPLAT-9185]

  • Sur les plateformes SDX 26000 et SDX 15000, l’accès de gestion via SSH à DOM0 peut s’arrêter lorsque les conditions suivantes sont remplies :

    • Plusieurs instances VPX sont redémarrées simultanément.

    • Des interfaces 100 GE ou 50 GE sont attribuées aux instances VPX.

    [À partir de la version 41.28]

    [NSPLAT-9185]

  • Une appliance SDX peut se bloquer à la fin de son cycle de redémarrage lorsque toutes les conditions suivantes sont remplies :

    • L’appliance SDX est en cours de démarrage.

    • Toutes les instances VPX exécutées sur l’appliance SDX ne sont pas encore disponibles.

    • Les commandes de redémarrage à chaud sont exécutées sur l’appliance SDX.

    Sur la console de l’hyperviseur Citrix, l’appliance SDX est donc régulièrement nettoyée et s’arrête à la ligne « Étape finale atteinte ».

    [À partir de la version 41.28]

    [NSPLAT-9417]

  • Une fois que vous avez configuré un VLAN à partir de la liste des VLAN autorisés (AVL) sur une instance VPX exécutée sur un dispositif SDX, l’instance ne redémarre pas automatiquement. Par conséquent, la communication entre l’instance VPX et AVL s’arrête.

    [À partir de la version 41.28]

    [NSSVM-135]

Appliance Citrix ADC VPX

  • Il se peut que vous ne puissiez pas accéder à une instance VPX à l’aide de l’adresse IP de gestion si l’instance possède une licence vCPU. Le problème se produit dans toutes les instances VPX, sur site et dans le cloud. Si l’instance VPX s’exécute sur une appliance SDX, vous pouvez accéder à l’instance à partir de l’interface graphique du service de gestion SDX.

    [À partir de la version 41.28]

    [NSPLAT-10710]

  • Il se peut que vous ne puissiez pas accéder à une instance VPX à l’aide de l’adresse IP de gestion si l’instance possède une licence vCPU. Le problème se produit dans toutes les instances VPX, sur site et dans le cloud. Si l’instance VPX s’exécute sur une appliance SDX, vous pouvez accéder à l’instance à partir de l’interface graphique du service de gestion SDX.

    [À partir de la version 47.22]

    [NSPLAT-10710]

  • En raison d’une limitation de la pile Azure, le trafic utilisant une adresse MAC morphée n’est pas pris en charge. Par conséquent, dans un déploiement Azure Stack ADC, le mode de transfert basé sur Mac (MBF) doit être désactivé.

    [À partir de la version 47.22]

    [NSPLAT-11778]

  • Si vous définissez la taille du MTU via l’interface graphique de Citrix ADC VPX, le message d’erreur « Opération non prise en charge » s’affiche.

    [À partir de la version 41.28]

    [NSPLAT-9594]

Citrix Gateway

  • Les applications intranet Citrix Gateway prennent désormais en charge les noms d’hôte séparés par des virgules pour le tunneling basé sur le FQDN.

    [À partir de la version 41.28]

    [CGOP-10855]

  • Si le plug-in Citrix Gateway pour macOS n’est pas installé et si l’utilisateur essaie d’accéder au VPN depuis Safari, un message d’erreur s’affiche.

    [À partir de la version 41.28]

    [CGOP-11240]

  • Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

    [À partir de la version 41.28]

    [CGOP-11830]

  • Après une mise à niveau de Citrix ADC et du plug-in de passerelle vers la version 13.0 build 41.20, les utilisateurs rencontrent une erreur BSOD (Continuous Blue Screen of Death) lorsqu’ils tentent de configurer le tunnel VPN.

    [À partir de la version 47.22]

    [CGOP-12099]

  • Dans une configuration de cluster Citrix Gateway, l’appliance Citrix ADC peut se bloquer lors de la mise à niveau du cluster en raison de certaines modifications des structures de données internes.

    [À partir de la version 47.22]

    [NSAUTH-7153]

  • Les paquets ESP (Encapsulating Security Payload) en transit sont supprimés si la configuration LSN n’est pas activée sur l’appliance Citrix ADC.

    [À partir de la version 41.28]

    [NSHELP-18502]

  • Dans une configuration à haute disponibilité, le nœud secondaire peut se bloquer si le protocole SAML est configuré.

    [À partir de la version 41.28]

    [NSHELP-18691]

  • Si un profil de serveur RDP est défini sur le même numéro de port et la même adresse IP que ceux du serveur virtuel de commutation de contenu, la configuration de commutation de contenu est perdue après le redémarrage.

    [À partir de la version 41.28]

    [NSHELP-18818]

  • Dans certains cas, lors de l’accès à l’appliance Citrix Gateway à l’aide d’un navigateur IE, la page de connexion Citrix Gateway n’apparaît qu’après une actualisation.

    [À partir de la version 41.28]

    [NSHELP-18938]

  • Dans Citrix ADM, la page Analytics > Gateway Insight signale les sessions VPN interrompues de manière incorrecte.

    [À partir de la version 41.28]

    [NSHELP-19037]

  • Dans une configuration à haute disponibilité, le nœud secondaire se bloque si les informations utilisateur supprimées ne sont pas synchronisées avec le nœud.

    [À partir de la version 41.28]

    [NSHELP-19065]

  • La boîte de dialogue Serveur occupé s’affiche dans la fenêtre du plug-in VPN de la machine cliente si la machine reste inactive pendant plus de deux heures.

    [À partir de la version 41.28]

    [NSHELP-19072]

  • Les stratégies d’autorisation UDP, DNS et ICMP ne sont pas appliquées aux connexions entre un client du réseau interne et un client VPN (connexions initiées par le serveur).

    [À partir de la version 41.28]

    [NSHELP-19142]

  • Dans certains cas, le script de connexion configuré sur le serveur Citrix Gateway ne s’exécute pas sur les machines clientes.

    [À partir de la version 41.28]

    [NSHELP-19163]

  • L’analyse EPA (Advanced Endpoint Analysis) échoue pour les appareils macOS.

    [À partir de la version 41.28]

    [NSHELP-19328]

  • Dans certains cas, une appliance Citrix ADC vide le cœur si les conditions suivantes sont remplies.

    • L’authentification à deux facteurs est activée pour le client VMware Horizon natif.

    • Radius est configuré comme premier facteur d’authentification.

    • Le serveur Radius répond avec les noms des groupes une fois l’authentification réussie.

    [À partir de la version 41.28]

    [NSHELP-19333]

  • Le message suivant s’affiche de manière incorrecte lorsque vous accédez à Citrix Gateway à partir du navigateur Microsoft Edge et que l’EPA ou le VPN n’est pas utilisé.

    « Le VPN complet et l’EPA ne sont pas pris en charge dans le navigateur Edge. Veuillez utiliser un autre navigateur pour une meilleure expérience. »

    [À partir de la version 47.22]

    [NSHELP-19367]

  • Dans certains cas, la déconnexion du plug-in VPN Windows prend plus de temps que prévu.

    [À partir de la version 41.28]

    [NSHELP-19394]

  • Dans certains cas, l’appliance Citrix Gateway définit un cookie non valide lors du traitement des demandes non authentifiées.

    [À partir de la version 47.22]

    [NSHELP-19403]

  • Dans certains cas, l’appliance Citrix Gateway définit un cookie non valide lors du traitement des demandes non authentifiées.

    [À partir de la version 41.28]

    [NSHELP-19403]

  • Dans certains cas, une appliance Citrix Gateway vide le noyau, si le profil de serveur virtuel PCOIP est défini sur un serveur virtuel VPN mais que le profil PCOIPprofile n’est pas défini dans le cadre d’une action de session.

    [À partir de la version 41.28]

    [NSHELP-19412]

  • Dans certains cas, l’appliance Citrix Gateway vide le noyau si l’on accède à l’appliance dans

    le mode tunnel VPN complet.

    [À partir de la version 41.28]

    [NSHELP-19444]

  • Le plug-in Citrix Gateway pour macOS ne peut pas résoudre les noms d’hôtes internes si l’option Local LAN Access est activée sur une appliance Citrix ADC.

    [À partir de la version 41.28]

    [NSHELP-19543]

  • Le plug-in Citrix Gateway pour macOS ne peut pas résoudre les noms d’hôtes internes si l’option Local LAN Access est activée sur une appliance Citrix ADC.

    [À partir de la version 47.22]

    [NSHELP-19543]

  • Dans certains cas, l’EPA échoue pour les machines virtuelles s’exécutant sur le système d’exploitation Ubuntu.

    [À partir de la version 47.22]

    [NSHELP-19556]

  • Dans une configuration de paire HA, les sessions persistantes sur le nœud principal ne sont pas effacées en raison d’un problème lié au code de synchronisation des sessions sur le serveur VPN.

    [À partir de la version 47.22]

    [NSHELP-19557]

  • Le service DTLS sur un serveur virtuel VPN fonctionne avec un ensemble de chiffrements par défaut qui ne peuvent pas être modifiés via les commandes de chiffrement de liaison ou de dissociation à l’aide de l’interface de ligne de commande.

    [À partir de la version 47.22]

    [NSHELP-19561]

  • Le service DTLS sur un serveur virtuel VPN fonctionne avec un ensemble de chiffrements par défaut qui ne peuvent pas être modifiés via les commandes de chiffrement de liaison ou de dissociation à l’aide de l’interface de ligne de commande.

    [À partir de la version 41.28]

    [NSHELP-19561]

  • La clarté audio des appels Skype est affectée négativement lorsque plusieurs applications/connexions sont tunnelisées via le VPN. Cela se produit en raison d’une mauvaise gestion de la mémoire.

    [À partir de la version 41.28]

    [NSHELP-19630]

  • Citrix Gateway ne reconnaît pas la stratégie d’expression d’ouverture de session dans un plug-in Windows lors de l’authentification nFactor.

    [À partir de la version 41.28]

    [NSHELP-19640]

  • La fonctionnalité « détection basée sur la localisation » ne fonctionne pas sur les machines clientes lorsque la machine est transférée dans une zone connectée au réseau [Internet ou intranet] depuis une zone sans réseau.

    [À partir de la version 41.28]

    [NSHELP-19657]

  • L’analyse Endpoint Analysis (EPA) n’a pas réussi à valider le certificat du périphérique à clé 4096 bits.

    [À partir de la version 47.22]

    [NSHELP-19697]

  • Le problème provient des récepteurs Linux, où le module de chiffrement (ICA_MODULE_DP) n’est pas reçu de Receiver dans PACKET_INIT_RESPONSE lors de la prise de contact ICA. Il existe donc un gestionnaire de chiffrement nul dans ADC, ce qui entraîne un blocage. L’ADC à ignorer analyse la connexion lorsqu’aucun paramètre de cryptage n’est reçu de Receiver.

    [À partir de la version 47.22]

    [NSHELP-19758]

  • Dans des cas isolés, une corruption de la mémoire provoque un vidage du cœur lors de l’effacement d’une entrée de session d’authentification, d’autorisation et d’audit VPN SSL après le délai imparti.

    [À partir de la version 47.22]

    [NSHELP-19775]

  • Si un facteur d’authentification hébergé dans Azure est utilisé dans Citrix MFA, la connexion à Citrix Gateway à l’aide du plug-in Windows échoue. Cela se produit car la valeur du délai d’expiration HTTP MFA est inférieure à la valeur du délai d’expiration du plug-in Citrix Gateway Windows.

    Avec ce correctif, la valeur du délai d’expiration du plug-in Citrix Gateway Windows est augmentée afin d’éviter tout échec de connexion. De plus, la valeur du délai d’expiration HTTP peut désormais être configurée en définissant la valeur de registre ci-dessous (en secondes) :

    OrdinateurHKEY_LOCAL_MACHINESOFTWARECitrixSecure Access ClientHttpTimeout

    [À partir de la version 41.28]

    [NSHELP-19848]

  • La page de transfert de connexion pour un utilisateur existant ne fonctionne pas dans d’autres langues que l’anglais.

    [À partir de la version 47.22]

    [NSHELP-19859]

  • Dans certains cas, le scan EPA échoue sur les machines Windows.

    [À partir de la version 41.28]

    [NSHELP-19865]

  • Dans de rares cas, les appliances Citrix ADC déployées dans une configuration haute disponibilité (HA) peuvent se bloquer et entraîner de fréquents basculements HA, si les deux conditions suivantes sont remplies :

    • Gateway Insight est activé.

    • L’authentification unique échoue.

    [À partir de la version 47.22]

    [NSHELP-19922]

  • Dans de rares cas, les appliances Citrix ADC déployées dans une configuration haute disponibilité (HA) peuvent se bloquer et entraîner de fréquents basculements HA, si les deux conditions suivantes sont remplies :

    • Gateway Insight est activé.

    • L’authentification unique échoue.

    [À partir de la version 41.28]

    [NSHELP-19922]

  • Si ICA Insight est activé pour les sessions EDT, vous risquez de rencontrer un écran bloqué ou un retard dans les opérations de l’écran de l’application.

    [À partir de la version 47.22]

    [NSHELP-19934]

  • La vérification d’inscription à Windows Intune ne peut pas être désactivée sur les machines clientes. La vérification est activée par défaut.

    Ce correctif permet de désactiver la vérification de l’inscription à Windows Intune.

    Pour désactiver la vérification, définissez l’entrée de registre suivante sur 1 :

    Ordinateur HKEY_LOCAL_MACHINES Le client Citrix Secure Access est désactivé dans l’inscription des appareils TuneDevice

    [À partir de la version 41.28]

    [NSHELP-19942]

  • Dans de rares cas, Citrix Gateway se bloque pendant que GSLB met à jour les statistiques des services VPN.

    [À partir de la version 47.22]

    [NSHELP-19992]

  • La clarté audio des applications VoIP est affectée négativement lorsque plusieurs applications ou connexions sont tunnelisées via le VPN.

    [À partir de la version 41.28]

    [NSHELP-20097]

  • La clarté audio des applications VoIP est affectée négativement lorsque plusieurs applications ou connexions sont tunnelisées via le VPN.

    [À partir de la version 47.22]

    [NSHELP-20097]

  • La recherche d’URL à réécrire pour un traitement VPN avancé sans client entraîne une utilisation élevée du processeur. Par conséquent, le système ralentit.

    [À partir de la version 41.28]

    [NSHELP-20122]

  • La recherche d’URL à réécrire pour un traitement VPN avancé sans client entraîne une utilisation élevée du processeur. Par conséquent, le système ralentit.

    [À partir de la version 47.22]

    [NSHELP-20122]

  • Dans une configuration à haute disponibilité, le nœud secondaire se bloque chaque fois qu’une session d’authentification, d’autorisation et d’audit ou une session VPN contenant des informations relatives au SAML est propagée vers le nœud principal.

    [À partir de la version 47.22]

    [NSHELP-20230]

  • L’appliance Citrix ADC peut ne plus répondre si HDX Insight est activé.

    [À partir de la version 47.22]

    [NSHELP-20280]

  • Une machine cliente ne parvient pas à se reconnecter à une appliance Citrix Gateway car l’appliance envoie un ticket STA incorrect lors de l’actualisation de la STA.

    [À partir de la version 41.28]

    [NSHELP-20285]

  • Une machine cliente ne parvient pas à se reconnecter à une appliance Citrix Gateway car l’appliance envoie un ticket STA incorrect lors de l’actualisation de la STA.

    [À partir de la version 47.22]

    [NSHELP-20285]

  • Les scans EPA ne sont pas terminés et ne répondent plus.

    [À partir de la version 47.22]

    [NSHELP-20319]

  • Les utilisateurs ne peuvent pas ajouter de stratégies d’accès sans client à partir du gestionnaire de stratégies à l’aide de l’interface graphique de Citrix Gateway.

    [À partir de la version 47.22]

    [NSHELP-20333]

  • Lorsque vous ajoutez des domaines pour un profil d’accès sans client, une barre de défilement horizontale apparaît lorsque le FQDN est long.

    [À partir de la version 41.28]

    [NSHELP-20341]

  • Lorsque vous ajoutez des domaines pour un profil d’accès sans client, une barre de défilement horizontale apparaît lorsque le FQDN est long.

    [À partir de la version 47.22]

    [NSHELP-20341]

  • Le plug-in VPN débloque tout le trafic TCP jusqu’à l’authentification du portail captif si les deux conditions suivantes sont remplies :

    • La machine cliente est configurée pour le mode AlwaysOn, OnlyToGateway.

    • La machine cliente est connectée à un réseau de portails captifs.

    [À partir de la version 47.22]

    [NSHELP-20360]

  • Le service AlwaysOn échoue par intermittence à établir un tunnel VPN lorsque le paramètre NetworkAccessOnVPNFailure est défini sur « Uniquement vers la passerelle ».

    [À partir de la version 47.22]

    [NSHELP-20369]

  • Vous risquez de rencontrer un retard dans les réponses du clavier et de la souris à vos actions sur un poste de travail lancé si le DTSL est activé.

    [À partir de la version 47.22]

    [NSHELP-20447]

  • Le service d’authentification au niveau du réseau (NLA) est redémarré chaque fois qu’un utilisateur se connecte ou se déconnecte. Cela se produit parce que les paramètres configurés à l’aide des boutons nsapimgr ne sont pas respectés.

    [À partir de la version 47.22]

    [NSHELP-20494]

  • Le plug-in Citrix Windows ne peut pas se connecter à Citrix Gateway à l’aide de Mozilla Firefox 68.0.

    [À partir de la version 47.22]

    [NSHELP-20503]

  • Dans une configuration à haute disponibilité, lors du basculement de Citrix ADC, les icônes de certaines applications du dossier /var/netscaler/logon ne sont pas visibles.

    [À partir de la version 47.22]

    [NSHELP-20573]

  • Un écran vide apparaît et les applications StoreFront ne sont pas énumérées lors de la connexion au transfert si les deux conditions suivantes sont remplies :

    • SplitTunnel est réglé sur ON.

    • L’option pool d’adresses IP (IP Intranet) est définie sur NoSpillover.

    [À partir de la version 47.22]

    [NSHELP-20584]

  • Une appliance Citrix ADC ne parvient pas à décoder les URL réécrites pour un VPN sans client si les URL contiennent « %2E » dans le nom de domaine complet.

    [À partir de la version 47.22]

    [NSHELP-20603]

  • Les utilisateurs ne peuvent pas accéder aux documents Microsoft Office depuis SharePoint via un accès VPN sans client avancé.

    [À partir de la version 47.22]

    [NSHELP-20611]

  • Après la mise à niveau de l’appliance Citrix ADC vers la version 12.1 build 54.13 et versions ultérieures, le message suivant peut s’afficher lors de l’accès aux ressources RDP.

    « erreur : utilisateur non privilégié »

    [À partir de la version 47.22]

    [NSHELP-20678]

  • L’appliance Citrix ADC peut ne plus répondre si HDX Insight est activé et que la mémoire est insuffisante.

    [À partir de la version 47.22]

    [NSHELP-20707]

  • L’adaptateur virtuel Citrix reste connecté même lorsque la machine VPN est en mode veille et qu’une déconnexion est déclenchée. Les utilisateurs doivent mettre fin à l’application ou redémarrer la machine VPN pour accéder au réseau.

    [À partir de la version 47.22]

    [NSHELP-20755]

  • L’appliance Citrix ADC peut ne plus répondre si l’appliance est configurée pour des connexions EDT par proxy et que la mémoire est insuffisante.

    [À partir de la version 47.22]

    [NSHELP-20761]

  • L’authentification nFactor échoue si le protocole OCSP (Online Certificate Status Protocol) est activé pour la vérification du certificat de l’appareil.

    [À partir de la version 47.22]

    [NSHELP-20855]

  • Les applications configurées sur StoreFront n’apparaissent pas sur la page d’accueil de Citrix Gateway si toutes les conditions suivantes sont remplies :

    • WiHome est configuré.

    • L’accès VPN avancé sans client est activé.

    • L’utilisateur ouvre une session à partir d’Internet Explorer ou de Firefox.

    [À partir de la version 47.22]

    [NSHELP-20888]

  • Les utilisateurs ne peuvent pas accéder aux ressources internes même si le VPN est correctement connecté, mais les serveurs DNS ne sont pas correctement configurés pour l’adaptateur virtuel Citrix.

    [À partir de la version 47.22]

    [NSHELP-20892]

  • Les utilisateurs reçoivent par intermittence le message d’erreur « Error 403 Access Denied » lorsqu’ils chargent une URL Citrix Gateway avec le thème RFWebUI.

    [À partir de la version 47.22]

    [NSHELP-20895]

  • Le service AlwaysOn avec personnage d’utilisateur ne parvient pas à établir de tunnel utilisateur s’il existe plusieurs certificats d’appareils dans le magasin d’appareils.

    [À partir de la version 47.22]

    [NSHELP-20897, NSHELP-21583]

  • Dans une configuration haute disponibilité, l’appliance Citrix ADC secondaire peut se bloquer si la fiabilité de session dans une configuration haute disponibilité est activée.

    [À partir de la version 41.28]

    [NSHELP-5257, NSINSIGHT-1208, NSHELP-3807, NSHELP-3808, NSHELP-5414, NSHELP-5417, NSHELP-5428, NSHELP-17883, NSHELP-17894, NSHELP-17904]

  • Une page de connexion à un serveur virtuel d’authentification, d’autorisation et d’audit affiche un numéro de code d’erreur au lieu d’un message d’erreur significatif.

    [À partir de la version 41.28]

    [NSHELP-7872]

  • Une page de connexion à un serveur virtuel d’authentification, d’autorisation et d’audit affiche un numéro de code d’erreur au lieu d’un message d’erreur significatif.

    [À partir de la version 47.22]

    [NSHELP-7872]

  • Dans certains cas, une appliance Citrix Gateway vide le cœur car les opérations d’actualisation STA en attente s’accumulent à l’infini.

    [À partir de la version 41.28]

    [NSHELP-8684]

Citrix Web App Firewall

  • Les paramètres d’origine du Citrix Web App Firewall sont remplacés par défaut.

    Par exemple, si vous avez sélectionné l’option « activer » pour certaines signatures, le paramètre est remplacé par « désactiver » lors de l’opération de fusion des signatures.

    [À partir de la version 41.28]

    [NSHELP-17841]

  • Une perte de configuration est observée lorsque vous redémarrez une configuration de haute disponibilité ou de cluster avec l’option rfcprofile activée dans la configuration en cours.

    [À partir de la version 41.28]

    [NSHELP-18856]

  • Une appliance Citrix ADC peut se bloquer si les fonctionnalités suivantes sont activées dans le profil Web App Firewall.

    • Traitement XML.

    • Informations sur la sécurité.

    [À partir de la version 47.22]

    [NSHELP-18869, NSHELP-21691]

  • Une appliance Citrix ADC peut se bloquer si les modifications de configuration du Citrix Web App Firewall ne sont pas gérées correctement dans une configuration de cluster.

    [À partir de la version 41.28]

    [NSHELP-18870]

  • Une fois que vous avez ajouté une règle de relaxation, les URL similaires ne sont pas supprimées de la liste des règles apprises.

    [À partir de la version 41.28]

    [NSHELP-19298]

  • Une fois que vous avez ajouté une règle de relaxation, les URL similaires ne sont pas supprimées de la liste des règles apprises.

    [À partir de la version 47.22]

    [NSHELP-19298]

  • Une appliance Citrix ADC peut se bloquer lors du traitement de corps de formulaire volumineux et si le paramètre de cohérence des champs est activé sur le profil Citrix Web App Firewall.

    [À partir de la version 41.28]

    [NSHELP-19299]

  • Une appliance Citrix ADC peut réinitialiser les connexions client en cas de trafic XML élevé.

    [À partir de la version 41.28]

    [NSHELP-19314]

  • Si vous activez la stratégie de transformation d’URL et si la réponse d’une valeur d’attribut de corps contient des caractères spéciaux, le ContentSwitching d’un déchargement SSL peut remplacer les caractères spéciaux en tant que valeurs codées par entité.

    [À partir de la version 41.28]

    [NSHELP-19356]

  • Une appliance Citrix ADC peut se bloquer lors de la réception de demandes CONNECT. Le problème se produit si vous définissez les paramètres de profil par défaut sur une valeur autre que APPFW_BYPASS, APPFW_RESET, APPFW_DROP, APPFW_BLOCK.

    [À partir de la version 41.28]

    [NSHELP-19603]

  • Les requêtes Web comportant de nombreux paramètres de requête peuvent ne pas recevoir de réponse si le paramètre de protection de la cohérence des champs est activé.

    [À partir de la version 41.28]

    [NSHELP-19811]

  • Les requêtes Web comportant de nombreux paramètres de requête peuvent ne pas recevoir de réponse si le paramètre de protection de la cohérence des champs est activé.

    [À partir de la version 47.22]

    [NSHELP-19811]

  • Une appliance Citrix ADC échoue si les conditions suivantes sont respectées :

    • Les stratégies du Web App Firewall utilisent une règle basée sur le corps HTTP, par exemple HTTP.REQ.BODY(..)),

    • La fonctionnalité Web App Firewall est désactivée.

    [À partir de la version 41.28]

    [NSHELP-19879]

  • Dans une configuration à haute disponibilité, l’activation de la fonctionnalité de réputation IP peut entraîner des échecs de propagation des commandes de haute disponibilité.

    [À partir de la version 47.22]

    [NSHELP-20010]

  • Sur une appliance Citrix ADC SDX, une instance Citrix ADC VPX peut se bloquer en raison d’un problème interne dans le module WAF.

    [À partir de la version 47.22]

    [NSHELP-20096]

  • Une appliance Citrix ADC peut se bloquer en cas d’erreur de communication interne avec la bibliothèque sqlite.

    [À partir de la version 47.22]

    [NSHELP-20173]

  • Après une mise à niveau, si vous liez une signature au profil Web App Firewall, l’appliance supprime silencieusement une demande entrante.

    [À partir de la version 47.22]

    [NSHELP-20201, NSWAF-3427, NSHELP-20599]

  • Une appliance Citrix ADC peut se bloquer lors du traitement des modèles regex des fichiers de signatures et si bigstack n’est pas disponible.

    [À partir de la version 47.22]

    [NSHELP-20359]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont respectées :

    • L’expression de la stratégie de réputation IP est utilisée dans un serveur virtuel d’équilibrage de charge de type TCP.

    • Security Insight est activé.

    [À partir de la version 47.22]

    [NSHELP-20410]

  • Une appliance Citrix ADC peut se bloquer si la fonctionnalité de signature est activée et qu’un modèle de demande spécifique est détecté.

    [À partir de la version 47.22]

    [NSHELP-20884, NSHELP-19583]

  • Nouvelle option pour limiter le nombre d’octets du corps de publication inspectés par signature

    Après la mise à niveau de votre appliance vers Citrix ADC version 13.0, vous pouvez désormais voir une nouvelle option de profil, « Signature Post Body Limit (Bytes) » avec une valeur par défaut de 8 192 octets. La mise à niveau de votre appliance rétablira la valeur par défaut de l’option. Vous pouvez modifier cette option pour limiter la charge utile de la demande (en octets) inspectée à la recherche de signatures à l’emplacement spécifié comme « HTTP_POST_BODY ».

    Auparavant, Web Citrix Web App Firewall ne disposait d’aucune option permettant de limiter l’inspection de la charge utile et de contrôler le processeur.

    Navigation : Configuration > Sécurité > Citrix Web App Firewall > Profils > Paramètres du profil.

    [À partir de la version 41.28]

    [NSWAF-2887, NSUI-13251]

  • Les demandes provenant d’adresses IP de proxy Tor ne sont pas bloquées par la réputation IP de la catégorie proxy Tor utilisant l’expression de stratégie CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (PROXY).

    [À partir de la version 47.22]

    [NSWAF-3611]

Client AG-EE

  • Citrix Gateway Un groupe d’ordinateurs ne peut pas accéder aux ressources internes et externes lorsqu’ils sont connectés via un VPN uniquement et que l’adresse IP de l’intranet est configurée.

    [À partir de la version 47.22]

    [NSHELP-20011]

Mise en cluster

  • Une utilisation élevée du processeur est observée sur une appliance Citrix ADC ou dans une configuration de cluster si la commande « show ns ip » affiche de nombreuses adresses IP.

    [À partir de la version 47.22]

    [NSHELP-11193]

  • Une interface ou un canal membre du jeu de liens est ajouté dans le cadre d’une nouvelle entrée ND6 statique à l’appliance Citrix ADC. Pour que l’appliance Citrix ADC accepte la nouvelle entrée ND6 statique, vous devez fournir le VLAN du jeu de liens.

    [À partir de la version 47.22]

    [NSHELP-19453]

  • Dans une configuration de cluster avec une configuration ACL6, les paquets d’erreur ICMPv6 circulent en boucle entre les nœuds, ce qui entraîne une utilisation élevée du processeur.

    [À partir de la version 41.28]

    [NSHELP-19535]

  • Dans une configuration de cluster, la propagation du cluster peut échouer si l’une des conditions suivantes est remplie :

    • La connexion entre le démon du cluster et le démon de configuration échoue.

    • Augmentation de l’utilisation de la mémoire dans le démon du cluster.

    [À partir de la version 41.28]

    [NSHELP-19771]

  • Dans une configuration de cluster, l’interface graphique Citrix ADC ne parvient pas à charger un certificat SSL dans les conditions suivantes :

    • Les commandes sont exécutées à partir du CLIP.

    • La commande « sh partition » répond par une réponse non valide.

    [À partir de la version 41.28]

    [NSHELP-19905]

  • Dans un cluster à nœud unique, vous ne pouvez parfois pas accéder à CLIP via SSH dans les conditions suivantes :

    • Le mode USIP est activé.

    • L’état du nœud du cluster est défini sur passif.

    [À partir de la version 47.22]

    [NSHELP-20210]

  • Dans une configuration de cluster L3, le groupe de nœuds local envoie par erreur les requêtes GARP (Gratuitous Address Resolution Protocol) aux adresses IP appartenant au groupe de nœuds homologue. Il en résulte une boucle de paquets de pulsations cardiaques en cluster.

    [À partir de la version 47.22]

    [NSHELP-20366]

  • La liste ACL6 de type DFD peut être corrompue lorsque vous ajoutez des ACL par ordre décroissant et que vous supprimez l’une des entrées ACL6.

    [À partir de la version 47.22]

    [NSHELP-20587]

  • Dans une configuration de cluster, l’appliance Citrix ADC peut se bloquer lors d’une nouvelle connexion MPTCP, si les 4 tuples sont réutilisés avec une clé MPTCP différente avant l’expiration du délai de connexion d’origine sur l’appliance Citrix ADC.

    [À partir de la version 47.22]

    [NSHELP-20844, NSHELP-20726]

  • Dans une configuration de cluster, vous pouvez observer des journaux d’échec continus qui indiquent un échec de connexion entre le démon IMI de routage dynamique ZEBOS et le démon interne du cluster. Ce problème se produit lorsque le démon IMI de routage dynamique ZEBOS ou le démon du cluster interne est redémarré.

    [À partir de la version 41.28]

    [NSNET-10655]

  • Le comportement suivant est observé dans une configuration de cluster :

    • Il existe une incompatibilité de configuration si vous exécutez la commande activer/désactiver servicegroupmember, service group et server.

    • La commande unset ne réinitialise pas le profil réseau pour le service/groupe de services.

    [À partir de la version 41.28]

    [NSNET-9599]

DNS

  • DNS Une appliance Citrix ADC peut se bloquer si la journalisation DNS est activée et que l’appliance reçoit une réponse DNS volumineuse. ?

    [À partir de la version 47.22]

    [NSHELP-18926]

  • Les appliances Citrix ADC peuvent se bloquer lors du remplissage d’une réponse négative mise en cache pour une requête DNS ANY pour une zone faisant autorité.

    [À partir de la version 41.28]

    [NSHELP-19496]

  • Vous pouvez ajouter un domaine générique pour la zone que vous possédez.

    [À partir de la version 41.28]

    [NSHELP-19498]

  • Une instance Citrix ADC VPX exécutée sur une appliance SDX peut se bloquer si une demande DNS non valide est reçue sur une interface compatible Jumbo.

    [À partir de la version 41.28]

    [NSHELP-19854]

GSLB

  • La configuration de la liste parent de sauvegarde du site GSLB est perdue si les deux conditions suivantes sont remplies :

    • L’option TriggerMonitor est définie sur MEPDOWN ou MEPDOWN_SVCDOWN.

    • L’appliance Citrix ADC est redémarrée.

    [À partir de la version 41.28]

    [NSCONFIG-1760]

  • La configuration de la liste parent de sauvegarde du site GSLB est perdue si les deux conditions suivantes sont remplies :

    • L’option TriggerMonitor est définie sur MEPDOWN ou MEPDOWN_SVCDOWN.

    • L’appliance Citrix ADC est redémarrée.

    [À partir de la version 47.22]

    [NSCONFIG-1760]

  • Une appliance Citrix ADC peut se bloquer lorsque toutes les conditions suivantes sont remplies :

    • Un serveur principal est en panne.

    • Une appliance ADC collecte des informations sur le serveur, telles que le RTT et la proximité, pour sélectionner un nouveau backend.

    [À partir de la version 47.22]

    [NSHELP-11969]

  • Dans une configuration de cluster GSLB, la connexion MEP peut être interrompue, ce qui entraîne un effondrement MEP lorsqu’un nœud rejoint le cluster.

    [À partir de la version 47.22]

    [NSHELP-19532]

  • Dans une configuration de cluster GSLB, la connexion MEP peut être interrompue, ce qui entraîne un effondrement MEP lorsqu’un nœud rejoint le cluster.

    [À partir de la version 41.28]

    [NSHELP-19532]

  • Une appliance Citrix ADC se bloque lorsqu’une commande set est émise sur un service GSLB basé sur CNAME.

    [À partir de la version 47.22]

    [NSLB-5433, NSLB-5562]

Passerelle

  • Citrix Gateway Dans de rares cas, l’appliance Citrix Gateway se bloque si une session utilisateur AAA est transférée et que l’adresse IP de l’intranet est activée.

    [À partir de la version 47.22]

    [NSHELP-20680]

Gateway Insight

  • Dans une configuration à haute disponibilité (HA), le nœud principal peut se bloquer si AppFlow est activé et qu’il y a un basculement.

    [À partir de la version 47.22]

    [NSHELP-19363]

  • Les appliances Citrix ADC déployées lors d’un crash d’installation à haute disponibilité (HA) si les deux conditions suivantes sont remplies :

    • AppFlow est activé

    • Un échec de synchronisation de haute disponibilité s’est produit.

    [À partir de la version 47.22]

    [NSHELP-19490]

Gestion des licences

  • Si l’appliance SDX est en période de grâce pour les licences groupées, la période de grâce restante indique zéro au lieu de 30 jours.

    [À partir de la version 47.22]

    [NSHELP-19615]

  • Après la mise à niveau d’une licence perpétuelle MPX vers une licence Pooled Capacity, l’interface graphique ADM vous invite à enregistrer la configuration et à redémarrer l’instance. Avec ce correctif, l’interface graphique invite uniquement à redémarrer l’instance.

    [À partir de la version 47.22]

    [NSHELP-20137]

  • Après la mise à niveau d’une licence perpétuelle MPX vers une licence Pooled Capacity, l’interface graphique ADM vous invite à enregistrer la configuration et à redémarrer l’instance. Avec ce correctif, l’interface graphique invite uniquement à redémarrer l’instance.

    [À partir de la version 41.28]

    [NSHELP-20137]

Équilibrage de charge

  • Lorsque le LRTM est activé sur un moniteur lié à un groupe de services, le temps de réponse n’est pas affiché.

    [À partir de la version 41.28]

    [NSHELP-12689]

  • Dans de rares cas, une appliance Citrix ADC peut échouer lorsque le service est marqué comme inactif avant la réception de la session SSL en provenance du serveur doté de la configuration suivante.

    • Un serveur virtuel d’équilibrage de charge de type SSL_BRIDGE

    • Le type de persistance est défini sur SSLSESSION ID

    • Le type de persistance de la sauvegarde est défini sur SOURCEIP

    [À partir de la version 41.28]

    [NSHELP-18482]

  • Le numéro de services inactifs d’un serveur virtuel d’équilibrage de charge peut renvoyer une valeur élevée pendant quelques secondes après que certains services ou membres de groupes de services se soient détachés du serveur virtuel d’équilibrage de charge. Il s’agit d’un problème d’affichage qui n’a aucune incidence sur les fonctionnalités.

    [À partir de la version 41.28]

    [NSHELP-19400]

  • Une appliance Citrix ADC se bloque si le serveur virtuel est de type ANY et que la persistance des débordements est activée sur le serveur virtuel.

    [À partir de la version 47.22]

    [NSHELP-19540]

  • Une appliance Citrix ADC se bloque si le serveur virtuel est de type ANY et que la persistance des débordements est activée sur le serveur virtuel.

    [À partir de la version 41.28]

    [NSHELP-19540]

  • Dans une configuration haute disponibilité en mode INC, l’interface graphique et l’interface de ligne de commande du nœud secondaire affichent de manière incorrecte le message d’état suivant pour certains moniteurs d’équilibrage de charge :

    « Sonde ignorée, nœud secondaire »

    [À partir de la version 41.28]

    [NSHELP-19617]

  • La redirection d’une URL HTTPS échoue si l’URL contient le caractère spécial %.

    [À partir de la version 47.22]

    [NSHELP-19993]

  • Il se peut que vous manquiez d’espace disque sur une appliance Citrix ADC VPX car l’appliance génère plusieurs fichiers temporaires. Lorsqu’une opération rsync se produit pour un fichier d’emplacement particulier, un fichier temporaire est créé pour ce fichier d’emplacement. Ces fichiers remplissent le répertoire /var.

    [À partir de la version 47.22]

    [NSHELP-20020]

  • Il se peut que vous manquiez d’espace disque sur une appliance Citrix ADC VPX car l’appliance génère plusieurs fichiers temporaires. Lorsqu’une opération rsync se produit pour un fichier d’emplacement particulier, un fichier temporaire est créé pour ce fichier d’emplacement. Ces fichiers remplissent le répertoire /var.

    [À partir de la version 41.28]

    [NSHELP-20020]

  • Une appliance Citrix ADC peut se bloquer si le domaine de trafic est configuré sur un serveur virtuel d’équilibrage de charge de type SIP.

    [À partir de la version 47.22]

    [NSHELP-20286]

  • L’appliance Citrix ADC peut se bloquer lorsque les deux conditions suivantes sont remplies :

    • La persistance basée sur des règles est configurée sur l’appliance.

    • Plusieurs serveurs IPv6 répondent avec les mêmes valeurs pour les paramètres configurés dans le cadre de la persistance basée sur des règles.

    [À partir de la version 47.22]

    [NSHELP-20490]

  • La surveillance des chemins pour les groupes de services Autoscale n’est pas prise en charge dans le cadre d’un déploiement en cluster.

    [À partir de la version 41.28]

    [NSLB-4660]

NITRO

  • L’appliance Citrix ADC répond par un message d’erreur interne pour l’appel d’API show routerdynamicrouting NITRO.

    [À partir de la version 41.28]

    [NSCONFIG-1325]

  • L’appliance Citrix ADC répond par un message d’erreur interne pour l’appel d’API show routerdynamicrouting NITRO.

    [À partir de la version 47.22]

    [NSCONFIG-1325]

  • Le démon HTTP d’une appliance Citrix ADC peut se bloquer si toutes les conditions suivantes sont remplies :

    • L’appliance reçoit une demande d’API NITRO idempotente pour ajouter une ressource sur l’appliance.

    • la demande d’API NITRO idempotente ne possède aucune propriété paramétrable.

    • la ressource existe déjà sur l’appliance Citrix ADC.

    [À partir de la version 47.22]

    [NSCONFIG-2298]

  • La première connexion à l’aide de l’API NITRO échoue pour un utilisateur de partition. Cependant, la connexion suivante réussit.

    [À partir de la version 47.22]

    [NSHELP-20159, NSCONFIG-2054]

Mise en réseau

  • Dans une configuration à haute disponibilité avec un routage dynamique OSPF configuré, le nouveau nœud principal ne génère pas le numéro de séquence OSPF MD5 dans un ordre croissant après un basculement.

    Ce problème a été résolu. Pour que le correctif fonctionne correctement, vous devez synchroniser l’heure entre les nœuds principal et secondaire manuellement ou à l’aide du protocole NTP.

    [À partir de la version 41.28]

    [NSHELP-18958]

  • Lorsqu’une règle PBR dont le paramètre next hop est défini sur NULL est ajoutée pour un service d’équilibrage de charge ou un moniteur, l’appliance Citrix ADC peut ne plus répondre.

    [À partir de la version 41.28]

    [NSHELP-19245]

  • Une appliance Citrix ADC peut créer une boucle de paquets SYN+ACK, qui à son tour entraîne une utilisation élevée du processeur, lorsque toutes les conditions suivantes sont réunies :

    • Si une connexion de sonde RNAT en suspens à une adresse IP, qui n’est pas actuellement une adresse IP appartenant à Citrix ADC, est présente dans l’appliance ADC.

    • Si vous définissez cette adresse IP en tant qu’adresse IP appartenant à l’ADC dans le cadre de la configuration de l’ADC. Par exemple, ajouter un serveur virtuel d’équilibrage de charge avec cette adresse IP.

    [À partir de la version 41.28]

    [NSHELP-19376]

  • L’appliance Citrix ADC permet la configuration via les API NITRO avant même que les modules de protocole ne soient complètement initialisés. Pour cette raison, la commande write memory échoue avec le message d’erreur suivant :

    « Enregistrer la configuration refusé — les modules ne sont pas prêts »

    [À partir de la version 41.28]

    [NSHELP-19431]

  • Dans de rares cas, dans une configuration à haute disponibilité, le nœud secondaire peut établir une session BGP via l’adresse IP Citrix ADC (NSIP).

    [À partir de la version 41.28]

    [NSHELP-19720]

  • Le processus BGP peut échouer en raison d’une corruption de la mémoire s’il reçoit des mises à jour BGP contenant plusieurs numéros AS à 4 octets dans le chemin.

    [À partir de la version 41.28]

    [NSHELP-19860]

  • L’appliance ADC peut ne pas mettre à jour les itinéraires ECMP de manière optimisée lorsqu’une interface associée est désactivée ou qu’une adresse IP associée est supprimée.

    [À partir de la version 47.22]

    [NSHELP-19891]

  • Le démon BGP d’une appliance Citrix ADC peut installer de manière incorrecte des itinéraires appris avec des sauts suivants sous la forme 0.0.0.0/0.

    [À partir de la version 47.22]

    [NSHELP-19900]

  • L’appliance Citrix ADC peut se bloquer si vous ajoutez une stratégie d’écoute qui dépend d’une certaine recherche de service FTP interne.

    [À partir de la version 47.22]

    [NSHELP-20002]

  • Pour le trafic accédant à une configuration d’équilibrage de charge via une Access Gateway Citrix ADC, l’appliance Citrix ADC peut appliquer le transfert basé sur MAC (MBF) à ce trafic même sans ajouter correctement les informations de couche 2 à l’entrée de la table de connexion.

    [À partir de la version 47.22]

    [NSHELP-20064]

  • L’appliance Citrix ADC peut ignorer les règles d’itinéraires basés sur des stratégies (PBR) pour les paquets de surveillance sortants de type UDP et ICMP.

    [À partir de la version 47.22]

    [NSHELP-20112]

  • Au redémarrage, l’appliance Citrix ADC établit une session BGP avec les appareils homologues avant d’attribuer une adresse IP de sous-réseau (SNIP) sur l’interface, ce qui entraîne l’échec de la validation du saut suivant. En raison de ce problème, l’appliance Citrix ADC risque de ne pas connaître les itinéraires annoncés à partir de ces appareils homologues.

    [À partir de la version 47.22]

    [NSHELP-20211]

  • Une appliance Citrix ADC, agissant en tant que serveur proxy, peut appliquer une règle PBR basée sur les informations de couche 2 à un trafic même si le trafic ne correspond pas à la règle PBR.

    [À partir de la version 47.22]

    [NSHELP-20317]

  • Le message d’erreur « Une route existante dépend de la présence de ce sous-réseau » s’affiche si toutes les conditions ci-dessous se produisent :

    • Deux adresses SNIP ou plus dont le premier octet est supérieur à 127 sont ajoutées.

    • Une route pour les adresses SNIP est ajoutée sur ce réseau

    • Vous essayez de supprimer l’une des adresses SNIP ajoutées

    [À partir de la version 47.22]

    [NSHELP-20492]

  • Les valeurs ASN 32 bits apparaissent sous forme de valeurs négatives dans la sortie de la commande « sh ip bgp summary ».

    [À partir de la version 47.22]

    [NSHELP-20540]

  • Une appliance Citrix ADC peut se bloquer si elle reçoit du trafic IPv6 répondant aux deux conditions suivantes :

    • L’adresse MAC source du trafic IPv6 correspond à l’adresse MAC d’un service lié à un serveur virtuel de type ANY et dont le mode de redirection est défini sur le transfert basé sur MAC (-m MAC)

    • Le trafic IPv6 correspond à une règle RNAT6 avec l’option de proxy TCP activée

    [À partir de la version 47.22]

    [NSHELP-20548]

  • L’appliance Citrix ADC peut ne pas mettre à jour correctement les itinéraires ECMP en cas de multiples BGP

    les sessions passent simultanément à l’état « DOWN ».

    [À partir de la version 47.22]

    [NSHELP-20664]

  • Le démon BGP peut afficher des messages d’avertissement dupliqués pour une route supprimée de la table de routage Citrix ADC.

    [À partir de la version 47.22]

    [NSHELP-20906]

  • Dans le cas d’une règle RNAT dont le paramètre useproxyport est désactivé et que les clients RNAT accèdent à l’adresse IP publique INAT, l’appliance Citrix ADC peut allouer/déallouer de manière incorrecte des ports pour les sessions liées à la règle RNAT. Cette attribution/désallocation incorrecte des ports entraîne une fuite de ports.

    [À partir de la version 41.28]

    [NSNET-10089]

  • Sur l’interface graphique de Citrix ADC, lorsque vous accédez à Configuration > Réseau > Interfaces et que vous cliquez sur Statistiques de l’interface, le résumé de l’interface ne s’affiche pas et le message d’erreur « Valeur non valide [arg] » apparaît.

    [À partir de la version 41.28]

    [NSUI-13043]

Optimisation

  • Le mode Lazy Loading ne charge pas les images d’une simple page Web situées au-dessus de la ligne de flottaison sans aucun attribut tel que la hauteur ou la largeur.

    [À partir de la version 41.28]

    [NSHELP-19193]

  • Une appliance Citrix ADC redémarre d’elle-même si les conditions suivantes sont respectées :

    • La fonctionnalité d’optimisation frontale est activée.

    • Les objets mis en cache sont réoptimisés.

    [À partir de la version 41.28]

    [NSHELP-19428]

Plateforme

  • L’appliance FIPS SDX 14000 peut se bloquer et redémarrer lors de la configuration d’une partition FIPS HSM.

    [À partir de la version 41.28]

    [NSHELP-18503]

  • Sur les plateformes Citrix ADC SDX suivantes, la connectivité à une instance VPX peut échouer si elle reçoit un trafic de multidiffusion important lorsqu’aucun port de gestion n’est attribué à une instance VPX et que la gestion de l’instance s’effectue via les ports de données.

    • SDX 8900

    • SDX 14000-40G

    • SDX 14000-40S

    • SDX 15000-50G

    • SDX 25000-40G

    • SDX 25000T

    • SDX 25000T-40G

    [À partir de la version 47.22]

    [NSHELP-19861]

  • Sur les plateformes SDX dotées d’interfaces Fortville, les interfaces Fortville 10G et 40G peuvent se heurter à des blocages TX lorsque Jumbo est activé sur celles-ci.

    [À partir de la version 47.22]

    [NSHELP-20605]

Stratégies

  • Après une mise à niveau, la stratégie de réécriture ne fonctionne pas pour CVPN homepage2.html

    [À partir de la version 47.22]

    [NSHELP-19481]

  • Dans une appliance Citrix ADC, si vous dissociez les stratégies globales avancées par défaut et enregistrez la configuration, les modifications ne seront pas répercutées lors du prochain redémarrage.

    [À partir de la version 47.22]

    [NSHELP-19867]

  • Dans une appliance Citrix ADC, si vous dissociez les stratégies globales avancées par défaut et enregistrez la configuration, les modifications ne seront pas répercutées lors du prochain redémarrage.

    [À partir de la version 41.28]

    [NSHELP-19867]

  • Lorsque vous convertissez des stratégies classiques en stratégies avancées à l’aide de l’outil nspepi, des erreurs de syntaxe sont observées pour les masques de port et de réseau.

    [À partir de la version 47.22]

    [NSHELP-20720]

  • Une appliance Citrix ADC peut se bloquer si la configuration comporte une action de répondeur avec respondwithhtmlpage comme type d’action.

    [À partir de la version 41.28]

    [NSHELP-5821]

  • Une appliance Citrix ADC peut se bloquer si vous utilisez une action de répondeur de type action de redirection.

    [À partir de la version 41.28]

    [NSPOLICY-3196]

  • Les fonctionnalités et fonctionnalités classiques basées sur des règles sont obsolètes à partir de Citrix ADC 12.0 build 56.20. Comme alternative, Citrix vous recommande d’utiliser l’infrastructure de stratégie avancée.

    Ces fonctionnalités ne seront plus disponibles à partir de la version 13.1 de Citrix ADC en 2020. De plus, d’autres fonctionnalités plus petites seront obsolètes.

    [À partir de la version 41.28]

    [NSPOLICY-3228]

libre-service

  • Les utilisateurs de Citrix Gateway sont invités par erreur à saisir le nom d’utilisateur et le mot de passe lorsque le formulaire nFactor Logon est personnalisé pour afficher le menu dynamique du type d’ouverture de session et que OAuth est sélectionné dans la liste.

    [À partir de la version 47.22]

    [NSHELP-20300]

SNMP

  • Après une mise à niveau dans une configuration de haute disponibilité de la version 12.1 build 49.23 vers la version 12.1 build 49.37, le nœud principal n’envoie pas de message d’interruption de démarrage à froid SNMP lors d’un redémarrage.

    [À partir de la version 41.28]

    [NSHELP-18631]

SSL

  • L’appliance ADC peut parfois envoyer des données supplémentaires au client si les deux conditions suivantes sont remplies :

    • L’appliance est connectée au serveur principal via SSL.

    • La taille des données reçues du serveur est supérieure à 9 Ko.

    [À partir de la version 41.28]

    [NSHELP-11183]

  • Vous ne pouvez pas créer de clé RSA à l’aide de l’interface graphique si l’algorithme PEM est DES ou DES3.

    [À partir de la version 47.22]

    [NSHELP-13018]

  • Vous ne pouvez pas créer de clé RSA à l’aide de l’interface graphique si l’algorithme PEM est DES ou DES3.

    [À partir de la version 41.28]

    [NSHELP-13018]

  • Pour les sessions compatibles SNI, l’appliance ADC peut contrôler la manière dont l’en-tête de l’hôte est validé. Un nouveau paramètre « SNIHttpHostMatch » est ajouté au profil SSL et aux paramètres globaux SSL pour mieux contrôler cette validation. Ce paramètre peut prendre trois valeurs : CERT, STRICT et NONE. Le SNI doit être activé sur le serveur virtuel SSL ou le profil lié au serveur virtuel, et la demande HTTP doit contenir l’en-tête de l’hôte.

    [À partir de la version 47.22]

    [NSHELP-13370]

  • Le répertoire Safenet est absent lorsque vous installez une instance VPX sur une plate-forme Citrix XenServer, VMware ESX ou Linux-KVM.

    [À partir de la version 41.28]

    [NSHELP-14582]

  • L’établissement de liaison DTLS peut échouer si des enregistrements DTLS de différents types de messages sont reçus dans le mauvais ordre. Par exemple, un message « Server Hello Done » est reçu avant un message « Server Hello ».

    [À partir de la version 47.22]

    [NSHELP-18512]

  • Une appliance Citrix ADC peut se bloquer lorsque vous exécutez une action de message de journal d’audit basée sur l’expression « ssl.origin.server_cert ». L’action de journalisation est liée à une stratégie de répondeur.

    [À partir de la version 41.28]

    [NSHELP-19014]

  • Si les certificats client et CA ont un encodage différent, le certificat client est rejeté par erreur lorsque -ClientAuthUseBoundCachain est activé, même si les certificats client et serveur sont émis par la même autorité de certification.

    [À partir de la version 41.28]

    [NSHELP-19077]

  • Une appliance Citrix ADC peut se bloquer par intermittence si les deux conditions suivantes sont remplies :

    • La vérification OCSP et l’interception SSL sont activées sur un profil SSL.

    • Le profil SSL est lié à un serveur virtuel de commutation de contenu de type PROXY.

    [À partir de la version 47.22]

    [NSHELP-19194]

  • Une appliance Citrix ADC peut se bloquer lors de l’exécution de l’action SSL « ClientCertFingerprint » pour insérer l’empreinte du certificat client dans l’en-tête HTTP de la demande à envoyer au serveur, si les deux conditions suivantes sont remplies :

    • Le ticket de session est activé.

    • La stratégie SSL est liée au point de liaison de la demande.

    [À partir de la version 41.28]

    [NSHELP-19331]

  • Un serveur virtuel SSL peut réinitialiser la connexion avec le code de réinitialisation 9820 au lieu de fragmenter l’enregistrement en plusieurs paquets TCP comme prévu, si les conditions suivantes sont remplies :

    • Un serveur virtuel compatible TLSv1.3 chiffre les données d’application provenant du serveur d’applications principal pour les envoyer à un client TLSv1.3.

    • La longueur de l’enregistrement crypté qui en résulte est exactement supérieure d’un octet à la taille de segment maximale du TCP.

    [À partir de la version 41.28]

    [NSHELP-19466]

  • La prise de contact échoue sur une appliance Citrix ADC SDX dotée de puces N2, car les chiffrements ECDSA ne sont pas pris en charge sur cette plate-forme. Avec ce correctif, les chiffrements ECDSA ne sont pas annoncés sur cette plate-forme.

    [À partir de la version 41.28]

    [NSHELP-19614, NSHELP-20630]

  • L’actualisation de la CRL prend l’ancienne adresse IP au lieu de la nouvelle, si l’URL passe d’une adresse IP à une adresse basée sur un nom de domaine.

    [À partir de la version 41.28]

    [NSHELP-19648]

  • L’état du service SSL interne apparaît actif même après avoir dissocié le certificat du service.

    [À partir de la version 47.22]

    [NSHELP-19752]

  • Le compteur ssl_tot_enc_bytes signale des octets de texte brut incorrects à chiffrer.

    [À partir de la version 41.28]

    [NSHELP-19830]

  • Un message d’erreur s’affiche lorsque vous attribuez un fichier de paramètres DH à un profil SSL dans la configuration d’une partition d’administration.

    [À partir de la version 47.22]

    [NSHELP-19838]

  • Les appliances suivantes peuvent se bloquer si elles reçoivent le message « ChangeCipherSpec » d’un client mais pas le message « Terminé » :

    • MPX 5900/8900

    • MPX 15000-50G

    • MPX 26000-100G

    [À partir de la version 41.28]

    [NSHELP-19856]

  • Si vous ajoutez un certificat avec une extension AIA sur une adresse IP de cluster (CLIP), le message d’erreur suivant s’affiche lorsque vous essayez de supprimer le certificat du CLIP :

    « Erreur interne ».

    [À partir de la version 41.28]

    [NSHELP-19924]

  • Lorsque TLS 1.3 et SNI sont tous deux activés sur un serveur virtuel frontal, l’appliance se bloque lors de la liaison TLS si la séquence d’événements suivante se produit :

    1. Un client TLS 1.3 inclut l’extension server_name dans son message ClientHello initial.

    2. Le serveur répond par un message HelloRetryRequest.

    3. Le client répond par un message ClientHello illégal qui omet l’extension server_name.

    [À partir de la version 47.22]

    [NSHELP-20245]

  • Lorsque TLS 1.3 et SNI sont tous deux activés sur un serveur virtuel frontal, l’appliance se bloque lors de la liaison TLS si la séquence d’événements suivante se produit :

    1. Un client TLS 1.3 inclut l’extension server_name dans son message ClientHello initial.

    2. Le serveur répond par un message HelloRetryRequest.

    3. Le client répond par un message ClientHello illégal qui omet l’extension server_name.

    [À partir de la version 41.28]

    [NSHELP-20245]

  • Si le profil SSL par défaut est activé et lié à un groupe de services SSL, un message d’avertissement s’affiche lorsque vous dissociez un chiffrement du profil SSL et liez un service à ce groupe de services. Le service n’est pas non plus lié au groupe de services.

    [À partir de la version 47.22]

    [NSHELP-20332]

  • Une appliance Citrix ADC peut afficher des profils différents sur l’adresse IP du cluster (CLIP) et l’adresse IP Citrix ADC (NSIP) si un profil SSL existant est lié à des entités SSL et que le profil SSL par défaut (amélioré) est activé ultérieurement.

    [À partir de la version 47.22]

    [NSHELP-20335]

  • Si votre appliance ADC est intégrée à une version non prise en charge de Thales HSM, l’appliance se bloque après avoir généré la clé HSM et le certificat, installé la paire de clés de certificat sur l’appliance et l’avoir liée au serveur virtuel SSL. Grâce à ce correctif, l’appliance signale une erreur au lieu de se bloquer.

    [À partir de la version 47.22]

    [NSHELP-20352]

  • Un message d’erreur « Erreur : fichier trop volumineux » s’affiche dans les deux cas suivants :

    • Vous devez d’abord mettre à niveau le logiciel Citrix ADC vers la version 13.0, puis vous mettez à niveau le microprogramme FIPS.

    [À partir de la version 47.22]

    [NSHELP-20522]

  • Un message d’erreur « Erreur : fichier trop volumineux » s’affiche dans les deux cas suivants :

    • Vous devez d’abord mettre à niveau le logiciel Citrix ADC vers la version 13.0, puis vous mettez à niveau le microprogramme FIPS.

    [À partir de la version 41.28]

    [NSHELP-20522]

  • Une appliance Citrix ADC VPX peut se bloquer si le chiffrement ChaChapoly est utilisé et que le client envoie un enregistrement tronqué à l’appliance.

    [À partir de la version 47.22]

    [NSHELP-20684]

  • La prise de contact DTLS peut échouer si des fragments d’enregistrement DTLS ne sont pas reçus dans le bon ordre.

    [À partir de la version 47.22]

    [NSHELP-20703]

  • La connexion SSL échoue sur les plateformes suivantes si les messages Client Key Exchange et Client Verify se trouvent dans un seul enregistrement.

    • MPX 59xx

    • MPX/SDX 89xx

    • MPX/SDX 261xx-100G

    • MPX/SDX 15xxx-50G

    [À partir de la version 41.28]

    [NSSSL-3359, NSSSL-1608]

  • Les prises de contact TLS et DTLS avec échange de clés basé sur RSA échouent sur le front-end des appliances Citrix ADC MPX et SDX basées sur N3 lorsque les conditions suivantes sont remplies.

    1. L’établissement de liaison TLS échoue lorsque le message TLS Client Hello contient TLSv1.2 comme version du protocole, mais que TLSv1.2 est désactivé sur l’appliance Citrix ADC. Par conséquent, l’appliance négocie une version inférieure (TLSv1.1, TLSv1.0 ou SSLv3.0)

    2. L’établissement de liaison DTLS échoue lorsque le message DTLS Client Hello contient DTLSv1.2 comme version du protocole, mais que l’appliance Citrix ADC négocie DTLSv1.0.

    Utilisez la commande « show hardware » pour déterminer si votre appliance possède des puces N3.

    [À partir de la version 41.28]

    [NSSSL-6630]

  • Lors d’un appel NITRO pour un serveur virtuel auquel un profil est lié, certaines entités du serveur virtuel, telles que HSTS et OCSP_Stapling qui font partie du profil, sont également affichées.

    [À partir de la version 41.28]

    [NSSSL-6673]

  • L’appliance Citrix ADC peut se bloquer lors de l’exécution de l’action de transfert SSL au point de liaison REQUEST. Avec ce correctif, vous ne pouvez pas lier une stratégie dont le type d’action est FORWARD à REQUEST bind point.

    [À partir de la version 47.22]

    [NSSSL-6688]

  • L’appliance Citrix ADC peut se bloquer et vider le cœur lorsqu’elle tente d’accéder au profil DTLS par défaut supprimé lors de la configuration d’un nouveau serveur ou service DTLS virtuel.

    [À partir de la version 47.22]

    [NSSSL-6886]

  • L’action de transfert dans la stratégie SSL n’autorisait pas le serveur virtuel de type SSL_TCP. Avec ce correctif, vous pouvez transférer le trafic SSL en fonction de la stratégie SSL vers un serveur virtuel SSL_TCP. Cette fonctionnalité aide les clients qui souhaitent un déchargement SSL mais ne souhaitent pas analyser les données de l’application pour la connexion transférée.

    [À partir de la version 47.22]

    [NSSSL-7133]

Filtrage d’URL SWG

  • Lors du filtrage du contenu, une rare condition de course se produit entre l’évaluation des règles et le masquage d’un ensemble d’URL privées. Ce problème génère un enregistrement AppFlow qui contient l’URL sous forme de texte clair et non comme « ILLÉGAL ».

    [À partir de la version 41.28]

    [NSSWG-890]

Système

  • Un problème de mémoire élevée se produit dans l’appliance Citrix ADC partitionnée.

    [À partir de la version 47.22]

    [NSBASE-8780, NSBASE-8763]

  • Lors de l’insertion de l’en-tête IP du client (par exemple, -X-Forwarded-for), si l’adresse IP à insérer n’est pas aussi longue que la mémoire tampon, l’en-tête comble des espaces à la fin de l’adresse IP du client.

    [À partir de la version 47.22]

    [NSHELP-10079]

  • Afficher l’état réel du processus de synchronisation de haute disponibilité

    Dans une configuration de haute disponibilité, par défaut, l’état de la synchronisation HA est affiché SUCCESS même si certaines commandes échouent sur le nœud secondaire dans le cadre du processus de synchronisation HA.

    Par exemple, une commande liée à la liaison d’une interface à un VLAN échoue si l’interface portant le même numéro n’est pas présente sur le nœud secondaire.

    Vous pouvez configurer la configuration de haute disponibilité pour indiquer l’état réel du processus de synchronisation HA.

    Lorsque vous activez le Strict Synchronization mode paramètre sur les deux nœuds d’un ensemble de haute disponibilité, l’état de la synchronisation HA s’affiche comme Partial Success si une ou plusieurs commandes échouaient sur le nœud secondaire dans le cadre du processus de synchronisation HA.

    Remarque : Le Strict Synchronization mode paramètre des deux nœuds doit être défini sur la même option, c’est-à-dire activé ou désactivé sur les deux nœuds. La configuration de haute disponibilité n’affiche pas l’état correct de la synchronisation HA si le paramètre du mode de synchronisation stricte est activé sur un nœud et désactivé sur un autre.

    [À partir de la version 47.22]

    [NSHELP-11953]

  • L’application SNMPwalk échoue si un utilisateur SNMPv3 lié à une destination piège SNMPv3 rencontre un échec d’authentification (mot de passe, communauté ou clé incorrects).

    [À partir de la version 47.22]

    [NSHELP-18541, NSHELP-19313]

  • Une appliance Citrix ADC se bloque si les paramètres current_tcp_profile et current_adtcp_profile ne sont pas définis.

    [À partir de la version 41.28]

    [NSHELP-18889]

  • Un problème de mémoire se produit dans une appliance Citrix ADC si les connexions fermées ne sont pas complètement vidées.

    [À partir de la version 41.28]

    [NSHELP-18891]

  • Un problème de mémoire se produit dans une appliance Citrix ADC si les connexions fermées ne sont pas complètement vidées.

    [À partir de la version 47.22]

    [NSHELP-18891, NSHELP-20778]

  • Dans un cas isolé, une appliance Citrix ADC met fin aux connexions zombies sans réinitialisation. Lorsque les connexions côté pair envoient des paquets s’ils sont actifs et que l’appliance réinitialise la connexion lors de leur traitement.

    [À partir de la version 41.28]

    [NSHELP-18998]

  • L’évaluation de la stratégie peut échouer si les conditions suivantes sont remplies :

    • 256 expressions de stratégie font référence à un même en-tête personnalisé.

    • Le compteur de référence d’en-tête personnalisé passe à 0 (compteur 8 bits).

    [À partir de la version 41.28]

    [NSHELP-19082]

  • Dans une appliance Citrix ADC, la configuration du fuseau horaire échoue en cas de modification de l’heure d’été (DST).

    [À partir de la version 47.22]

    [NSHELP-19128]

  • Une perte de configuration se produit chaque fois qu’une synchronisation de configuration de haute disponibilité se produit en même temps qu’un échec de haute disponibilité.

    [À partir de la version 41.28]

    [NSHELP-19210]

  • Les requêtes SNMPv3 ne fonctionnent que quelques minutes après la modification du mot de passe.

    [À partir de la version 47.22]

    [NSHELP-19313]

  • Le nœud principal ne peut pas lire la réponse du nœud secondaire, ce qui entraîne la réinitialisation de la connexion. Par conséquent, la connexion se ferme sur le nœud secondaire.

    [À partir de la version 41.28]

    [NSHELP-19432]

  • Une appliance Citrix ADC se bloque si vous définissez la valeur du profil TCP sur NULL.

    [À partir de la version 41.28]

    [NSHELP-19555]

  • La validation sécurisée des mots de passe est effectuée sur les mots de passe MONITOR créés pour des serveurs externes. Lorsque vous activez la configuration de mots de passe forts (système > paramètre global) sur une appliance Citrix ADC, vous n’autorisez pas l’appliance à configurer un mot de passe faible pour le moniteur LDAP.

    [À partir de la version 41.28]

    [NSHELP-19582]

  • L’alarme SNMP sur le périphérique SDX ne fonctionne pas pour les paramètres de disque, de mémoire ou de température, mais ne fonctionne que pour le processeur.

    [À partir de la version 41.28]

    [NSHELP-19713]

  • Dans certains cas, vous constaterez un délai ou un délai d’attente lors de la connexion au serveur principal. Cela se produit parce que l’appliance a libéré la connexion et libéré le port. Lorsque l’appliance réutilise le même port pour établir une nouvelle connexion avec le serveur, il y a un délai ou un délai d’expiration car la connexion est à l’état TIME_WAIT sur le serveur.

    [À partir de la version 41.28]

    [NSHELP-19772]

  • Dans certains cas, vous constaterez un délai ou un délai d’attente lors de la connexion au serveur principal. Cela se produit parce que l’appliance a libéré la connexion et libéré le port. Lorsque l’appliance réutilise le même port pour établir une nouvelle connexion avec le serveur, il y a un délai ou un délai d’expiration car la connexion est à l’état TIME_WAIT sur le serveur.

    [À partir de la version 47.22]

    [NSHELP-19772]

  • Dans de rares cas, un nœud de cluster peut se bloquer lorsqu’un client ou un serveur envoie un paquet hors ordre suivi d’un paquet séquentiel contenant le message FIN.

    [À partir de la version 41.28]

    [NSHELP-19824]

  • L’appliance Citrix ADC peut se bloquer si un segment TCP retransmis est reçu sur une interface dont le MTU est supérieur à 1 500 octets sous la forme suivante :

    • cadres Jumbo ou

    • Ensemble de fragments IP.

    [À partir de la version 47.22]

    [NSHELP-19920, NSHELP-20273]

  • L’appliance Citrix ADC peut se bloquer lorsqu’un segment TCP retransmis est reçu sur une interface dont le MTU est supérieur à 1 500 octets sous la forme suivante :

    • cadres Jumbo, ou

    • Ensemble de fragments IP

    [À partir de la version 41.28]

    [NSHELP-19920, NSHELP-20273]

  • SNMPwalk obtient une réponse à une requête à partir d’une adresse IP de sous-réseau (SNIP) même si la fonctionnalité SNMP est désactivée.

    [À partir de la version 47.22]

    [NSHELP-20254]

  • L’authentification basée sur les rôles (RBA) n’autorise pas les noms de groupe à commencer par le caractère « # ».

    [À partir de la version 47.22]

    [NSHELP-20266]

  • Une appliance Citrix ADC initie une connexion HTTP/1.1 au lieu d’une connexion HTTP/2 si le corps complet de la demande n’est pas reçu pour une requête POST.

    [À partir de la version 47.22]

    [NSHELP-20289]

  • Dans de rares cas, le processus Call Home peut se bloquer et entraîner le redémarrage de l’appliance. Le problème se produit si un sous-processus Call Home utilise le même identifiant de processus interne (PID) que le sous-processus précédent.

    [À partir de la version 47.22]

    [NSHELP-20334]

  • L’utilisation de la mémoire augmente si vous activez le protocole proxy et si la retransmission se produit en raison de la congestion du réseau.

    [À partir de la version 47.22]

    [NSHELP-20613]

  • Une appliance Citrix ADC réinitialise les sous-flux MPTCP si un sous-flux est actif et actif pendant une durée supérieure au délai d’inactivité.

    [À partir de la version 47.22]

    [NSHELP-20648]

  • Une appliance Citrix ADC réinitialise un sous-flux MPTCP si elle reçoit un accusé de réception clair avant que le sous-flux ne soit confirmé comme étant MTPCP.

    [À partir de la version 47.22]

    [NSHELP-20649]

  • Une perte de configuration est détectée si vous liez à la fois une stratégie classique et une stratégie avancée à un utilisateur aaa et à un groupe d’utilisateurs aaa.

    [À partir de la version 47.22]

    [NSHELP-20744]

  • Un retard de transaction TCP est observé si une appliance Citrix ADC ne parvient pas à utiliser la connexion TCP pour se connecter au serveur principal. Dans ce cas, l’appliance ouvre une nouvelle connexion pour transmettre les demandes des clients au serveur principal après une certaine période d’attente. La période d’attente varie de 400 ms à 600 ms.

    [À partir de la version 41.28]

    [NSHELP-9118]

  • Les options Global Binding et Afficher la liaison ne fonctionnent pas sur la page GUI de la stratégie d’inspection du contenu. Vous pouvez également configurer ces paramètres via l’interface de commande.

    [À partir de la version 41.28]

    [NSUI-13193, NSUI-11561]

Telco

  • Une appliance Citrix ADC peut se bloquer si les deux conditions suivantes sont remplies :

    • L’appliance reçoit deux requêtes HTTP lors de la récupération des informations sur les abonnés.

    • Une opération incorrecte a été effectuée pour rétablir le flux de trafic normal.

    [À partir de la version 41.28]

    [NSHELP-18955]

Notes de publication pour la version 13.0-47.24 de Citrix ADC