Documentation produit
Citrix ADC
Current Release 13.0 12.1
Voir PDF

Notes de publication pour la version 13.0-52.24 de Citrix ADC

December 28, 2022
Contributeur: 
C

Ce document de notes de version décrit les améliorations et modifications, les problèmes résolus et connus qui existent pour la version 13.0-52.24 de Citrix ADC.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.

Nouveautés

Les améliorations et modifications disponibles dans la version 13.0-52.24.

Authentification, autorisation et audit

Appliance Citrix ADC SDX

  • Activez la fonctionnalité VPX Always-On sans redémarrage de l’instance

    Auparavant, après avoir activé ou désactivé la fonctionnalité Gérer via le réseau interne sur une instance VPX, l’instance redémarrait. Cette fonctionnalité permet une connectivité interne permanente indépendante entre le service de gestion SDX et l’instance VPX. Désormais, l’instance ne redémarre pas après l’activation ou la désactivation de la fonctionnalité.

    Toutefois, si vous activez la fonctionnalité Gérer via le réseau interne sur une instance VPX (version 13.0, quelle que soit la version) provisionnée sur une appliance SDX qui a été mise à niveau 13.0 52.x, l’instance VPX redémarre. Cela se produit si l’option Gérer via le réseau interne était déjà désactivée sur le VPX avant la mise à niveau du SDX.

    Pour en savoir plus sur la fonctionnalité de gestion via le réseau interne, consultez https://docs.citrix.com/en-us/sdx/13/provision-netscaler-instances.html
    [NSSVM-2803]

  • Prise en charge des licences de capacité groupée pour les instances SD-WAN

    Vous pouvez désormais provisionner des instances SD-WAN lorsque les licences de capacité groupée sont configurées sur l’appliance SDX. Pour plus d’informations sur les licences de capacité groupée, consultez https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html

    [NSSVM-2737]

Citrix Gateway

  • Support du protocole CredSSP version 6 pour le proxy RDP

    La version 6 du protocole CredSSP est désormais prise en charge pour le proxy RDP.

    [NSHELP-8732]

  • Support pour Citrix Virtual Apps and Desktops 7 1912 LTSR

    Citrix Gateway prend désormais en charge Citrix Virtual Apps and Desktops 7 1912 LTSR.

    [COP-11796]

  • Support SSL sur un proxy LAN dans une configuration de proxy ICA sortant

    Si vous configurez un proxy ICA sortant sur Citrix Gateway, l’application Citrix Workspace chiffre désormais tout le trafic qu’elle envoie au proxy LAN Citrix ADC via SSL. Auparavant, seul le trafic entre le proxy LAN Citrix ADC et Citrix Gateway passait par SSL.

    [COP-9977]

Citrix Web App Firewall

  • La limite de corps POST est fixée à 10 Go

    La valeur maximale de la limite du corps de publication est désormais passée de 4 Go à 10 Go.

    [NSWAF-3815]

  • Intégration du scanner de vulnérabilités Appspider_7_2_83_1

    Pour une analyse proactive des vulnérabilités, une appliance Citrix ADC est désormais intégrée au scanner Appspider_7_2_83_1. Par conséquent, vous pouvez désormais importer le rapport du scanner Appspider pour éviter les vulnérabilités et générer des signatures.

    [NSWAF-2912]

Équilibrage de charge

  • Aide à la configuration des attributs des cookie générés par l’ADC

    Pour les déploiements de Citrix ADC, la prise en charge est désormais ajoutée pour insérer des attributs de cookie supplémentaires dans les cookies générés par l’appliance Citrix ADC. Ces attributs de cookies supplémentaires aident à appliquer les politiques requises pour les cookies générés par ADC en fonction du modèle d’accès à l’application.

    Cette fonctionnalité peut être utilisée pour éviter les problèmes pouvant survenir lors de la mise à niveau de Google Chrome (Google Chrome 80).

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/insert-cookie-attributes.html

    [NSLB-6068]

  • OID SNMP pour serveurs virtuels de sauvegarde

    Un identifiant d’objet SNMP (OID) « VSvrBackupVServer » de valeur 1.3.6.1.4.1.5951.4.1.3.1.1.81 est désormais ajouté à la base d’informations de gestion (MIB) Citrix ADC. Cet OID fournit les détails des serveurs virtuels de sauvegarde qui sont configurés pour les serveurs virtuels existants.

    [NSLB-5365]

  • Version allégée de Citrix ADC CPX en tant que cache DNS dans Kubernetes

    En raison de l’adoption plus large des architectures de microservices, les taux de requêtes DNS au sein d’un cluster Kubernetes augmentent. En conséquence, le DNS Kubernetes (kube-dns) est surchargé. Dans un cluster Kubernetes, vous pouvez désormais déployer Citrix ADC CPX en tant que cache DNS sur chaque nœud et transférer les demandes DNS des pods d’applications du nœud vers Citrix ADC CPX. Vous pouvez ainsi résoudre les demandes DNS plus rapidement et réduire considérablement la charge sur le DNS Kubernetes.

    [NSLB-5325]

  • Synchronisation parallèle de la configuration GSLB entre les nœuds maître et esclave

    Les performances GSLB sont désormais améliorées en activant la synchronisation automatique parallèle de la configuration GSLB entre les nœuds maître et esclave. La synchronisation parallèle réduit le temps total nécessaire pour terminer la synchronisation GSLB. Ce processus élimine tout retard de synchronisation pouvant survenir pour les raisons suivantes :

    • Un nœud esclave est inaccessible.
    • Le nœud maître a une énorme configuration à synchroniser.
    • La configuration principale change fréquemment.

    [NSLB-4808]

  • Des messages d’erreur détaillés s’affichent en cas de défaillance de la sonde du moniteur utilisateur

    Les causes des échecs de la sonde du moniteur utilisateur sont répertoriées dans le fichier /var/nslog/nsumond.log. Vous pouvez désormais visualiser les causes des échecs de la sonde de surveillance en exécutant la commande « show service/service group ». Auparavant, la sortie de la commande « show service/service group » affichait un message d’erreur générique indiquant « échec de la sonde ».

    [NSLB-4804]

  • Des messages d’erreur corrects sont enregistrés en cas de défaillance de la sonde du moniteur DBS

    En cas de défaillance de la sonde du moniteur DBS, lorsque les noms de domaine sont résolus mais que les adresses IP ne sont pas accessibles, le message de dernière réponse affiche désormais la raison de l’échec de la sonde. Auparavant, le message de dernière réponse affichait à tort la raison en tant que nom de domaine non résolu.

    [NSLB-4626]

  • Support pour le protocole MongoDB

    L’appliance Citrix ADC prend désormais en charge les protocoles MongoDB et MongoDB-TLS pour l’équilibrage de charge.

    [NSLB-4137]

Mise en réseau

  • Prise en charge du basculement des connexions pour les règles INAT

    Les configurations de haute disponibilité de l’appliance Citrix ADC prennent en charge le basculement des connexions INAT. Le nœud principal envoie des mappages INAT et d’autres informations de connexion liées à l’INAT au nœud secondaire à intervalles réguliers. L’appliance secondaire utilise ces informations uniquement en cas de basculement.

    Lorsqu’un basculement se produit, le nouveau nœud principal dispose d’informations sur les connexions INAT établies avant le basculement et continue donc à desservir ces connexions même après le basculement.

    Du point de vue du client, ce basculement est transparent. Pendant la période de transition, le client et le serveur peuvent subir une brève interruption et des retransmissions. Le basculement de connexion peut être activé conformément à la règle INAT.

    Pour activer le basculement de connexion sur une règle INAT, vous devez activer le paramètre connFailover (Connection Failover) de cette règle INAT spécifique à l’aide de l’interface de ligne de commande ou de l’interface graphique.

    [NSNET-11168]

  • Prise en charge du basculement de connexion pour les connexions FTP à partir d’un port aléatoire du serveur FTP

    Le basculement de connexion permet au nœud principal de dupliquer les informations de connexion et de persistance vers le nœud secondaire dans une configuration à haute disponibilité. Les informations d’état de la connexion sont partagées régulièrement avec le nœud secondaire lorsque la mise en miroir des connexions est activée.

    La configuration haute disponibilité d’une appliance Citrix ADC prend en charge le basculement de connexion pour une connexion FTP pour laquelle le serveur FTP utilise un port de données aléatoire.

    Le nœud principal envoie les informations de connexion FTP au nœud secondaire à intervalles réguliers. L’appliance secondaire utilise ces informations uniquement en cas de basculement.

    Pour activer le basculement de connexion sur une configuration d’équilibrage de charge de type FTP, vous activez le paramètre connFailover (Connection Failover) du serveur virtuel d’équilibrage de charge à l’aide de l’interface de ligne de commande ou de l’interface graphique.

    De plus, pour permettre à l’appliance Citrix ADC de traiter une connexion FTP pour laquelle le serveur FTP utilise un port aléatoire, vous devez activer le paramètre global Citrix ADC : AFTPAlowRandomSourcePort (Activer la sélection aléatoire du port source pour Active FTP).

    [NSNET-7685]

  • Support de la norme IEEE LLDP MIB

    L’appliance Citrix ADC inclut désormais une MIB SNMP LLDP conforme à la norme IEEE.

    [NSNET-6213]

Plateforme

  • Configuration d’une sonde de santé TCP pour les serveurs virtuels UDP

    L’appliance Citrix ADC prend en charge le contrôle de santé externe basé sur le protocole TCP pour un serveur virtuel UDP. Cette fonctionnalité introduit un écouteur TCP sur le VIP du serveur virtuel et le port configuré. Cet écouteur TCP reflète l’état du serveur virtuel.

    Pour réaliser ce qui précède, le paramètre TCPProbePort est ajouté aux types de vserver suivants :

    • Serveur virtuel d’équilibrage de charge
    • Serveur virtuel de redirection de cache
    • Serveur virtuel de commutation de contenu

    Cette fonctionnalité n’est prise en charge que pour les serveurs virtuels dotés d’une adresse IP ou d’un ipset.

    [NSPLAT-12345]

  • Option pour activer ou désactiver l’accès à dom0

    Vous pouvez désormais activer ou désactiver l’accès au domaine de contrôle SDX (dom0). Avec l’accès dom0, un utilisateur peut accéder directement à l’appliance SDX et également modifier la configuration. Auparavant, l’accès dom0 était activé par défaut. Lors de la mise à niveau vers la version 12.1 56/13.0 xx à partir de la version précédente, l’accès dom0 sera désactivé.
    Pour activer l’accès à dom0, depuis l’interface graphique SDX, accédez à Système > Configuration réseau. Sous Supportabilité de l’appliance, cochez la case Configurer la prise en charge de l’appliance.

    [NSPLAT-11065]

  • Déployez des instances VPX sur Microsoft Azure Stack

    Vous pouvez désormais déployer des instances VPX sur Azure Stack.

    [NSPLAT-9737]

Stratégies

  • Support permettant de fournir des commentaires pour les entrées clé-valeur liées à une carte de chaînes

    La commande « bind policy stringmap » vous permet désormais de fournir des commentaires pour chaque entrée clé-valeur liée à une carte de chaînes.
    Commande CLI :
    bind policy stringmap [-comment]
    Où,
    Comment, fournissez des commentaires sur les entrées clé-valeur dans une chaîne

    [ NSPOLICY-3297 ]

  • Supporte les caractères binaires dans une chaîne ou les caractères littéraux

    Une appliance Citrix ADC prend désormais en charge les valeurs ASCII et binaires dans une chaîne ou des caractères littéraux pour le jeu de caractères ASCII (par défaut).
    Exemple
    CLIENT.TCP.PAYLOAD (100) .CONTAINS (« xffx02”)

    [ NSPOLICY-3283 ]

SSL

  • Nouvelle alarme SNMP pour le taux de change ECDHE

    L’échange de clés basé sur l’ECDHE peut entraîner une baisse des transactions par seconde sur l’appliance. Vous pouvez désormais configurer une alarme SNMP pour les transactions basées sur l’ECDHE. Dans cette alarme, vous pouvez définir le seuil et les limites normales du taux de change ECDHE. Un nouveau compteur nsssl_tot_sslInfo_ECDHE_Tx est ajouté. Ce compteur est la somme de tous les compteurs de transactions basés sur l’ECDHE situés sur le front-end et le back-end de l’appliance. Lorsque l’échange de clés basé sur l’ECDHE dépasse les limites configurées, une interruption SNMP est envoyée. Un autre piège est envoyé lorsque la valeur revient à la valeur normale configurée.

    [NSSSL-7450]

  • Support du protocole DTLSv1.2 sur le front-end des appliances Citrix ADC contenant des puces SSL Intel Coleto

    Le protocole DTLS 1.2 est désormais pris en charge sur le front-end des appliances Citrix ADC contenant des puces SSL Intel Coleto. Lors de la configuration d’un serveur virtuel DTLS, vous devez désormais spécifier DTLS1 ou DTLS12.
    Les appliances suivantes sont livrées avec des puces Intel Coleto :

    • MPX 59xx
    • MPX/SDX 89xx
    • MPX/SDX MPX 26xxx
    • MPX/SDX 26xxx-50S
    • MPX/SDX 26xxx-100 g
    • MPX/SDX 15xxx-50G

    [ NSSSL-7189 ]

  • Prise en charge de la gestion des réponses OCSP avec un identifiant de certificat basé sur SHA2

    L’appliance Citrix ADC peut désormais traiter les réponses OCSP contenant un identifiant de certificat basé sur SHA2 ou ses variantes (SHA-224, SHA-256, SHA-384, SHA-512). Auparavant, les demandes OCSP expiraient si la réponse OCSP correspondante était reçue avec un identifiant de certificat SHA2, car l’identifiant du certificat de réponse ne correspondait pas à l’identifiant de certificat SHA1 utilisé lors de l’envoi de la demande OCSP. Par conséquent, l’établissement de liaison SSL a échoué en fonction de l’état de l’authentification du client et de la vérification OCSP définie sur le serveur virtuel.

    [NSHELP-20399]

System

  • Configuration de la limite maximale pour les trames HTTP/2

    Vous pouvez désormais modifier la configuration par défaut du nombre maximum de trames (telles que PING, RESET, SETTING et EMPTY) reçues dans une connexion HTTP/2. Si l’appliance reçoit un nombre d’images supérieur à la limite maximale, elle ferme la connexion en silence.

    [NSBASE-9447]

  • Demander une nouvelle tentative pour le trafic d’entrée ADC

    Lorsqu’un client envoie une requête HTTP ou HTTPS et que le serveur principal réinitialise la connexion TCP, la fonctionnalité de nouvelle tentative de demande permet à l’appliance Citrix ADC de choisir le prochain service disponible et de transmettre la demande, au lieu d’envoyer une réinitialisation au client. En réessayant, le client enregistre le RTT lorsque l’appliance lance la même demande au prochain service disponible.
    La fonctionnalité de nouvelle tentative de demande s’applique au scénario d’erreur suivant :

    • RÉINITIALISEZ à partir d’un serveur principal lorsqu’une appliance envoie un paquet de données de demande.

    Remarque : Actuellement, la nouvelle tentative de demande s’applique uniquement aux protocoles HTTP et SSL.

    [ NSBASE-8288 ]

  • Support pour le protocole proxy

    Une appliance Citrix ADC utilise désormais le protocole proxy pour transporter en toute sécurité les informations de connexion du client au serveur sur toutes les appliances de la couche proxy. L’appliance ajoute un en-tête de protocole proxy qui insère les détails de connexion du client et les transmet à d’autres appliances, puis au serveur principal. Vous trouverez ci-dessous certains des scénarios d’utilisation d’un protocole proxy dans une appliance Citrix ADC.

    • Découvrez l’adresse IP d’origine du client
    • Sélectionnez la langue d’un site Web
    • Mettre sur liste noire les adresses IP sélectionnées
    • Enregistrez et collectez des statistiques

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/proxy-protocol.html

    [NSBASE-4984]

Interface utilisateur

  • Les liens SCOM ne sont actuellement pas disponibles sur la page de téléchargement de l’interface graphique Citrix ADC.

[NSUI-14323]

  • Adresse IP du client dans une option TCP

    La page d’interface graphique du profil TCP vous permet désormais de configurer les paramètres clientiptcpoption et clientiptcpoptionnumber pour envoyer l’adresse IP du client au serveur principal.

    [NSUI-13991]

Problèmes résolus

Les problèmes résolus dans la version 13.0-52.24.

AppFlow

  • Dans HDX Insight, le temps de disponibilité des sessions interrompues affiche le temps de disponibilité réel de la session quel que soit l’intervalle sélectionné.

    [NSHELP-21380]

Authentification, autorisation et audit

  • Une appliance Citrix ADC évite à l’utilisateur de prendre en compte d’autres groupes dans les conditions suivantes :
    • Un utilisateur est un membre direct du groupe imbriqué.
    • Un utilisateur est déjà membre des groupes de niveaux précédents.

    [NSHELP-21945]

  • Dans une configuration de cluster et de haute disponibilité de Citrix ADC, tout retard dans la libération de l’espace mémoire entraîne une accumulation de mémoire.

    [NSHELP-21917]

  • Une appliance Citrix ADC peut se bloquer pendant la journalisation des audits si l’authentification de l’utilisateur est demandée par une demande de connexion supplémentaire, telle qu’un changement de mot de passe ou un défi RADIUS.

    [NSHELP-21703]

  • Une appliance Citrix Gateway configurée en tant qu’IdP SAML pour la connexion à Workspace peut parfois renvoyer une erreur HTTP 404 lors de la déconnexion.

    [NSHELP-21650]

  • Une appliance Citrix ADC peut se bloquer lors du nettoyage de la connexion si les conditions suivantes sont remplies :
    • Le trafic est acheminé à partir d’une configuration VPN.
    • Le SSO est en cours.
    • Rare problème de synchronisation lors de la fermeture d’une connexion client.

    [NSHELP-21504]

  • Une appliance Citrix ADC déployée pour Kerberos interdomaines peut ne pas exécuter l’authentification unique si le paramètre KCDAccount est configuré à l’aide d’un fichier keytab.

    [NSHELP-21406]

  • Une appliance Citrix ADC configurée en tant que proxy de transfert n’autorise pas l’authentification NTLM avec les clients HTTP 1.0.

    [NSHELP-21349]

  • Dans de rares cas, une appliance Citrix Gateway peut se bloquer lorsqu’un paquet HTTP non valide est reçu.

    [NSHELP-21342]

  • Une appliance Citrix ADC utilisant un protocole NTLM ne peut pas effectuer d’authentification unique pour les clients MAPI (Messaging Application Programming Interface).

    [NSHELP-21270]

  • Une appliance Citrix ADC peut se bloquer lors de l’authentification, de l’autorisation et de l’audit lorsqu’un moteur de paquets génère une réponse de suppression de session dupliquée.

    [NSHELP-21172]

  • Si Citrix ADC est configuré pour l’authentification unique basée sur des formulaires et que des paires nom-valeur sont spécifiées dans la configuration, ces valeurs sont ignorées si elles sont absentes du formulaire.

    [NSHELP-21139]

  • Dans de rares cas, la connexion à nFactor échoue si les deux conditions suivantes sont remplies :
    • L’appliance Citrix ADC est configurée pour l’authentification par certificat avec une solution de secours vers LDAP.
    • L’authentification du certificat échoue.

    [NSHELP-21118]

  • Une appliance Citrix ADC déployée en tant que SAML peut parfois ne pas effectuer de déconnexion basée sur SAML.

    [NSHELP-21093]

  • La page nFactor Flows de l’interface graphique de Citrix ADC ne s’ouvre pas avec Internet Explorer.

    [NSHELP-21065]

  • Le paramètre SAML MetadataURL ne fonctionne pas après le redémarrage d’une appliance Citrix ADC.

    [NSHELP-21006]

  • Dans de rares cas, l’appliance Citrix Gateway peut échouer lorsque les utilisateurs sont invités à saisir un code unique.

    [NSHELP-20967]

  • Un SSO Kerberos peut échouer lorsqu’une appliance Citrix ADC est déployée dans un environnement multidomaine (domaine parent-enfant) et que les utilisateurs se trouvent dans le domaine parent et les services dans le domaine enfant.

    [NSHELP-20910]

  • Une appliance Citrix ADC peut échouer dans les cas suivants :
    • L’appliance Citrix ADC est configurée avec des actions IdP OAuth ou SAML et actualise les informations de métadonnées à partir d’une source externe.
    • La configuration est modifiée lorsque les données sont extraites de la source externe ou si l’authentification est en cours. Le même problème se produit lorsque vous exécutez une commande « clear config ».

    [NSHELP-20646]

  • Dans de rares cas, l’authentification échoue si la connexion au serveur LDAP se fait via HTTPS.

    [NSHELP-20181]

  • Lorsque le client de synchronisation actif envoie une demande HEAD, l’appliance Citrix ADC n’authentifie pas la réponse 200 OK.

    [NSHELP-20125]

  • L’accès RBA aux nœuds du cluster est interrompu en raison d’un problème de fonctionnement DHT. Des compteurs supplémentaires sont ajoutés pour gérer ce scénario.

    [NSHELP-20028]

  • Dans des cas isolés, une corruption de la mémoire provoque un vidage du cœur lors de l’effacement d’une entrée de session d’authentification, d’autorisation et d’audit VPN SSL après le délai imparti.

    [NSHELP-19775]

  • L’attribut LDAP DN extrait de l’AD vers l’appliance Citrix ADC est tronqué si la longueur de l’attribut est supérieure à 128 octets.

    [NSAUTH-7210]

  • Dans une configuration de cluster et de haute disponibilité de Citrix ADC, l’appliance peut se bloquer lorsque vous la mettez à niveau de la version 12.1 build 55.13 vers la version 12.1 build 55.18. Le blocage se produit si Citrix Gateway ou les fonctionnalités d’authentification, d’autorisation et d’audit sont activées sur l’appliance.

    [NSAUTH-7153]

  • Le passage du protocole HTTP aux WebSockets échoue lorsque l’authentification unique est configurée sur une appliance Citrix ADC.

    [NSAUTH-6354]

  • Si vous modifiez le serveur virtuel d’authentification à l’aide des options « Test de connexion de bout en bout » ou « Test de connexion utilisateur final » de la page Créer un serveur LDAP d’authentification de l’interface graphique de Citrix ADC, un message d’erreur s’affiche.

    [NSAUTH-6339]

Appliance Citrix ADC SDX

  • Lorsque vous ajoutez un serveur LDAP sous SDX GUI > Configuration > Système > Authentification > LDAP, les caractères spéciaux utilisés dans la zone de texte de saisie du formulaire ne sont pas décodés avant d’être affichés. De plus, le caractère « & » dans le champ Base DN est remplacé par « & ».

    [NSHELP-21488]

  • Après la mise à niveau de l’appliance SDX vers la version 13.0, quelle que soit la version, les instances Citrix ADC provisionnées sans interfaces de gestion (0/1, 0/2) deviennent inaccessibles.

    [NSHELP-21412]

  • Si vous essayez de redémarrer plusieurs instances VPX simultanément, exécutées sur une appliance SDX, le canal et les interfaces de données des instances VPX disparaissent du service de gestion SDX.

    [NSHELP-21124]

  • Après la mise à niveau d’une appliance SDX, le service de gestion SDX peut ne pas répertorier les interfaces Ethernet. Cela se produit si la partie du processus de post-installation de la mise à niveau échoue.

    [NSHELP-21068]

  • Sur une appliance SDX, vous pouvez parfois assister à des événements impliquant une utilisation élevée du processeur. Ce pic est dû au fait que la sauvegarde de l’appliance est un processus gourmand en processeur. L’utilisation élevée du processeur est temporaire.

    [NSHELP-21063]

  • L’appliance perd les détails de l’interface lorsque plus de trois instances sont sélectionnées pour un redémarrage ou un arrêt.

    [NSHELP-21040]

Citrix Gateway

  • Le plug-in VPN Windows se bloque si la langue du client du plug-in est définie sur chinois.

    [NSHELP-21946]

  • L’appliance Citrix ADC peut se bloquer lorsqu’elle est configurée pour le VPN sans client avancé.

    [NSHELP-21819]

  • Après une mise à niveau de Citrix Gateway vers la version 13.0 build 47.24, la résolution DNS via le tunnel VPN échoue car le serveur DNS local répond par un faux positif.

    [NSHELP-21794]

  • Les applications Web d’entreprise peuvent afficher un message d’erreur si les cookies ont été définis et expirent en même temps.

    [NSHELP-21772]

  • La page de connexion de Citrix Gateway ne répond plus si des thèmes personnalisés basés sur RFWebUI ou nFactor avec des thèmes personnalisés sont utilisés.

    [NSHELP-21763]

  • Les liaisons de l’application intranet au groupe d’authentification, d’autorisation et d’audit sont perdues lorsque vous redémarrez l’appliance Citrix ADC après la mise à niveau vers la version 13.0 build 47.x.

    [NSHELP-21733]

  • Vous ne pouvez pas accéder aux liens qui commencent par « 1https » ou « 0https ».

    [NSHELP-21469]

  • Vous ne pouvez pas lancer une application à l’aide d’un VPN sans client avancé via des signets si le corps POST de l’application VPN sans client contient un code HTML « (guillemets simples) ou « (guillemets doubles).

    [NSHELP-21361]

  • Le plug-in VPN Citrix Gateway peut prendre beaucoup de temps pour établir un tunnel vers une machine si le fichier PAC du proxy n’est pas accessible.

    [NSHELP-21355]

  • Dans certains cas, Citrix Gateway vide le noyau si les conditions suivantes sont remplies :

    • La fonctionnalité EDT Insight est activée pour l’appliance Citrix Gateway.
    • L’appliance reçoit un paquet CGP BINDRESP hors service de la part du VDA.

    [NSHELP-21296]

  • Sur certaines machines, les boutons de la fenêtre d’invite EPA (OUI, NON, TOUJOURS) n’apparaissent pas sur l’écran du plug-in EPA.

    [NSHELP-21276]

  • Dans une configuration haute disponibilité de Citrix Gateway, le nœud secondaire se bloque lors de la synchronisation de haute disponibilité si la journalisation est activée sur Citrix Web App Firewall global.

    [NSHELP-21254]

  • Si vous avez configuré un VPN sans client (CVPN) sur Citrix Gateway, l’appliance risque de se bloquer en raison d’une gestion de réécriture erronée.

    [NSHELP-21244]

  • Dans une configuration haute disponibilité Citrix Gateway, le nœud secondaire peut se bloquer si Gateway Insight est activé.

    [NSHELP-21184]

  • Si deux machines clientes ou plus tentent d’établir une connexion par tunnel VPN vers la même passerelle, la connectivité ping d’une machine cliente à une autre échoue.

    [NSHELP-21169]

  • Parfois, l’appliance Citrix ADC peut se bloquer lors de la connexion au transfert.

    [NSHELP-21134]

  • Les utilisateurs ne peuvent pas se connecter à Citrix Gateway si le nom d’hôte du serveur virtuel VPN contient « cvpn » dans son nom.

    [NSHELP-21119]

  • Si vous avez configuré un accès VPN sans client avancé, les signets des applications SAP ne peuvent pas être affichés correctement si un codage, tel que (« x3a » ou « &x3a » pour « : »), est utilisé dans les applications Web d’entreprise.

    [NSHELP-21072]

  • Une appliance Citrix ADC peut tomber en panne et vider le cœur si l’allocation de mémoire pour les blocs de contrôle des processus client et serveur échoue.

    [NSHELP-20961]

  • Le service AlwaysOn avec personnage d’utilisateur ne parvient pas à établir de tunnel utilisateur s’il existe plusieurs certificats d’appareils dans le magasin d’appareils.

    [NSHELP-20897]

  • Les utilisateurs ne peuvent pas accéder aux ressources internes même si le VPN est correctement connecté, mais les serveurs DNS ne sont pas correctement configurés pour l’adaptateur virtuel Citrix.

    [NSHELP-20892]

  • Les applications configurées sur StoreFront n’apparaissent pas sur la page d’accueil de Citrix Gateway si toutes les conditions suivantes sont remplies :
    • WiHome est configuré.
    • L’accès VPN avancé sans client est activé.
    • L’utilisateur ouvre une session à partir d’Internet Explorer ou de Firefox.

    [NSHELP-20888]

  • L’authentification nFactor échoue si le protocole OCSP (Online Certificate Status Protocol) est activé pour la vérification du certificat de l’appareil.

    [NSHELP-2085]

  • Si le tunneling inversé est activé, les routes intranet sont soit ajoutées avec des valeurs de préfixe incorrectes, soit elles ne sont pas ajoutées du tout.

    [NSHELP-20825]

  • Dans une configuration haute disponibilité de Citrix Gateway, le nœud secondaire peut se bloquer si aucune politique n’est configurée et que vous mettez à niveau le nœud de la version 12.0 vers la version 13.0.

    [NSHELP-20790]

  • Un écran vide apparaît et les applications StoreFront ne sont pas énumérées lors de la connexion au transfert si les deux conditions suivantes sont remplies :
    • SplitTunnel est réglé sur ON.
    • L’option pool d’adresses IP (IP Intranet) est définie sur NoSpillover.

    [NSHELP-20584]

  • Dans une configuration à haute disponibilité, lors du basculement de Citrix ADC, les icônes de certaines applications du dossier /var/netscaler/logon ne sont pas visibles.

    [NSHELP-20573]

  • Lorsque les serveurs principaux ne sont pas accessibles, les clients n’ont plus de connexions et aucune nouvelle connexion au serveur principal n’aboutit.

    [NSHELP-20535]

  • Dans une configuration à haute disponibilité, le nœud secondaire se bloque chaque fois qu’une session d’authentification, d’autorisation et d’audit ou une session VPN contenant des informations relatives au SAML est propagée vers le nœud principal.

    [NSHELP-20230]

  • Dans certains cas, dans le cadre d’un déploiement à double saut avec ICA Insight activé, la passerelle Citrix Gateway externe vide le cœur d’un modèle de trafic réseau particulier.

    [NSHELP-19487]

  • Vous pouvez désormais configurer les paramètres RFWebUI tels que LogInformTimeout et Session timeout en modifiant le fichier plugins.xml.

    [NSHELP-19221]

  • Si le nombre de sessions d’authentification, d’autorisation et d’audit est élevé, la fermeture d’une session utilisateur prend plus de temps.

    [NSHELP-19131]

  • Après une mise à niveau de Citrix ADC et du plug-in de passerelle vers la version 13.0 build 41.20, les utilisateurs rencontrent une erreur BSOD (Continuous Blue Screen of Death) lorsqu’ils tentent de configurer le tunnel VPN.

    [CGOP-12099]

Citrix Web App Firewall

  • L’appliance Citrix ADC bloque les URL de fermeture au bout de deux minutes si la protection contre la fermeture des URL est activée.

    [NSWAF-3292]

  • Une appliance Citrix ADC peut se bloquer si un profil de Web App Firewall utilise les actions de politique APPFW_DROP et APPFW_RESET.

    [NSHELP-21283]

  • Une appliance Citrix ADC peut se bloquer lorsque APPFW_DROP et APPFW_RESET sont utilisés comme actions de politique du Web App Firewall.

    [NSHELP-21220]

  • L’appliance Citrix ADC peut se bloquer en raison d’une défaillance de la mémoire si la fonctionnalité Citrix Web App Firewall est activée.

    [NSHELP-21201]

  • Une appliance Citrix ADC peut se bloquer en raison d’un échec d’allocation de mémoire.

    [NSHELP-21071]

  • Une appliance Citrix ADC peut se bloquer si la fonctionnalité de signature est activée et qu’un modèle de demande spécifique est détecté.

    [NSHELP-20884]

  • Une appliance Citrix ADC réinitialise la connexion si l’URL d’une demande GWT entrante contient une chaîne de requête.

    [NSHELP-20564]

  • Après une mise à niveau de la version 12.0-58.15 vers la version 12.0-62.8, la fonctionnalité de transformation d’URL ne fonctionne pas pour certaines URL. Le problème est dû à une canonisation incorrecte lors de la réécriture d’URL.

    [NSHELP-20460]

  • Dans une configuration à haute disponibilité, l’activation de la fonctionnalité de réputation IP peut entraîner des échecs de propagation des commandes de haute disponibilité.

    [NSHELP-2010]

  • Une appliance Citrix ADC peut se bloquer si vous utilisez un serveur FTP/HTTP lent pour télécharger des signatures et si le temps de téléchargement est supérieur à 10 minutes.

    [NSHELP-18331]

Mise en cluster

  • Lorsque vous exécutez la commande show techsupport -scope cluster, l’erreur suivante s’affiche pour toutes les appliances Citrix ADC SDX :

    « Il s’agit d’une instance à faible bande passante »

    [NSHELP-20666]

Équilibrage de charge

  • L’appliance Citrix ADC peut se bloquer lors de la synchronisation GSLB. Ce problème se produit lorsque la commande « set gslb service » est exécutée sur un service GSLB inexistant.

    [NSHELP-21304]

  • Après le basculement de la connexion, lorsque l’appliance secondaire devient la nouvelle appliance principale, une perte de paquets est observée.

    [NSHELP-21155]

  • Lorsque vous exécutez la commande « set service », le message d’erreur suivant s’affiche :
    « L’adresse IP ne peut pas être définie sur un serveur basé sur un domaine. «

    Ce message d’erreur s’affiche lorsque le serveur est configuré avec un nom de plus de 32 caractères.

    [NSHELP-20939]

  • L’appliance Citrix ADC peut se bloquer par intermittence si la fonction PCRF
    (Device Watchdog Request) est activée pour la fonction Policy and Charging Rules (PCRF) et que la PCRF devient inaccessible.

    [NSHELP-20827]

  • Pour une configuration GSLB dans un cluster, lorsque vous exécutez la commande « set rpcnode », l’adresse IP source d’un nœud RPC devient l’adresse NSIP. Par conséquent, GSLB utilise l’adresse NSIP au lieu de l’adresse SNIP lors de l’établissement d’une connexion MEP.

    [NSHELP-20552]

  • Dans une configuration de cluster, lorsque vous exécutez la commande « unset lb vserver test -RedirectFromPort », le port de redirection HTTP pour le serveur virtuel d’équilibrage de charge n’est pas effacé de la base de données.

    [NSHELP-20518]

  • L’appliance Citrix ADC peut se bloquer lorsque la persistance est activée dans la configuration de haute disponibilité IPv6.

    [NSHELP-20219]

Mise en réseau

  • La CLI d’une appliance Citrix ADC affiche des messages de débogage indésirables lorsque l’appliance traite des paquets fragmentés IPv6.

    [NSNET-12704]

  • Une appliance Citrix ADC BLX prenant en charge DPDK ne démarre pas et vide le noyau si DPDK est mal configuré (par exemple, si les pages volumineuses ne sont pas configurées) sur l’hôte Linux.

    Pour plus d’informations sur la configuration de DPDK sur un hôte Linux pour l’appliance Citrix ADC BLX, consultez https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx-dpdk.html

    [NSNET-11349]

  • Une appliance Citrix ADC BLX ne démarre pas en raison d’une mauvaise configuration DPDK (par exemple, si de grandes pages ne sont pas configurées) sur l’hôte Linux. Vous devez exécuter la commande start (systemctl start blx) deux fois pour démarrer l’appliance Citrix ADC BLX.

    [NSNET-11107]

  • La commande « sh IP BGP summary » sur la ligne de commande VTYSH affiche de manière incorrecte les valeurs ASN 32 bits en tant que valeurs négatives.

    [NSHELP-21234]

  • Sur une appliance Citrix ADC, les connexions de gestion aux adresses IP de sous-réseau IPv6 peuvent être réinitialisées lorsque vous effectuez l’opération de base de configuration claire.

    [NSHELP-21206]

  • Pendant l’opération de définition de la partition, la mémoire maximale de la partition est désormais augmentée jusqu’à NS_SYS_MEM_FREE () uniquement. Auparavant, elle avait été augmentée jusqu’à la mémoire maximale disponible afin que la partition configurée ne soit pas perdue après le redémarrage de l’appliance Citrix ADC.

    [NSHELP-21159]

  • Le Citrix ADC ne parvient pas à installer le saut suivant entre systèmes intermédiaires (IS-IS) en raison de l’absence d’informations d’authentification (AUTH) sur les PDU (LSP) volumineux reçus.

    [NSHELP-21062]

  • Le démon BGP peut afficher des messages d’avertissement dupliqués pour une route supprimée de la table de routage Citrix ADC.

    [NSHELP-20906]

  • Après le redémarrage du système, l’appliance Citrix ADC annonce les itinéraires avec une métrique réduite pendant 180 secondes.

    [NSHELP-20842]

  • L’appliance Citrix ADC peut ne pas mettre à jour correctement les itinéraires ECMP lorsque plusieurs
    sessions BGP passent simultanément à l’état « DOWN ».

    [NSHELP-20664]

  • L’appliance Citrix ADC peut ignorer les règles d’itinéraires basés sur des politiques (PBR) pour les paquets de surveillance sortants de type UDP et ICMP.

    [NSHELP-20545]

NSSWG

  • Dans une expression d’ensemble d’URL composée telle que .URLSET_MATCHES_ANY (URLSET1 || URLSET2), le champ « Urlset Matched » d’un enregistrement appflow reflète uniquement l’état du dernier ensemble d’URL évalué. Par exemple, si l’URL demandée appartient uniquement à URLSET1, le champ URLSet Matched est défini sur 0, bien que l’URL appartienne à l’un des ensembles d’URL. Par conséquent, le champ URLSET1 remplace le champ URLSet Matched par 1, mais le URLSET2 le remet à 0

    [NSSWG-1100]

  • La catégorisation par filtrage des URL échoue si une URL entrante comporte une double barre oblique après le nom de domaine. Le schéma « http ://» est ajouté au début. Par exemple, www.example.com//index.html

    [NSSWG-1082]

  • Le comportement suivant est observé dans une appliance Citrix ADC et Citrix Gateway :

    • L’appliance Citrix ADC peut ne plus répondre lorsqu’elle est déployée en tant que proxy et que l’authentification unique est activée pour les applications principales.
    • Le même comportement est observé dans Citrix Gateway avec la configuration du proxy sortant.

    [NSHELP-21437]

Plateforme

  • Lorsque vous redémarrez à chaud l’appliance Citrix ADC VPX, les licences d’abonnement peuvent être perdues dans les conditions suivantes :

    • Utilisation des types d’instances AWS basés sur Elastic Network Adapter (ENA) : C5, C5n, M4 et M5.
    • Activation de l’interface ENA sur les instances AWS prises en charge existantes.

    [ NSPLAT-13467 ]

  • Des blocages Tx peuvent survenir sur les appliances Citrix ADC MPX qui utilisent des ports 10G IXGBE et sur les appliances Citrix ADC SDX qui utilisent des ports 10G IXGBEVF.

    [ NSPLAT-13338 ]

  • Prise en charge des nouvelles plateformes matérielles Citrix ADC SDX
    Cette version prend désormais en charge les nouvelles plateformes suivantes :

    [NSPLAT-12815]

  • Après la mise à niveau des appliances Citrix ADC SDX 8900 et SDX 15000 50G vers la version 11.1 63.9, les cartes réseau 10G n’apparaissent pas sur les appliances. Ce problème empêche le démarrage des instances VPX. Par conséquent, les instances deviennent inaccessibles.

    [ NSPLAT-12093 ]

  • Dans une configuration en cluster, lorsque le port 50G d’une appliance MPX 15000 est configuré dans le cadre du backplane, le MTU du port 50G est défini sur zéro au lieu de 1578.

    [NSHELP-21113]

  • Dans certains cas, lorsque vous redémarrez une ou plusieurs instances VPX sur une appliance Citrix ADC SDX contenant des cartes réseau Fortville, le LACP des interfaces peut passer à l’état « par défaut ».

    [NSHELP-21091]

  • Dans certains cas, l’appliance SDX 14000 peut ne plus répondre et doit être redémarrée.

    [NSHELP-21017]

  • Lors du déploiement VPX sur la plate-forme Cisco CSP 2100, des paquets peuvent parfois être perdus lorsque plusieurs fonctions virtuelles (VF) sont créées à partir de la carte d’interface réseau physique (PNIC).

    [NSHELP-20991]

  • Un blocage de la vitesse peut être observé sur les appliances contenant des interfaces Fortville si un paquet couvre plus de huit descripteurs. Le blocage peut entraîner la désactivation de l’interface en cas d’erreur.

    [NSHELP-20800]

Stratégies

  • L’appliance Citrix ADC autorise désormais toutes les chaînes et tous les caractères littéraux qui incluent des caractères binaires. Cependant, les jeux de caractères UTF-8 nécessitent toujours que la chaîne et les littéraux de caractères soient un UTF-8 valide.

    Auparavant, l’appliance n’autorisait que les chaînes et caractères UTF-8 littéraux valides. Cela était vrai à la fois pour les jeux de caractères UTF-8 et binaires (ASCII). Cependant, cela n’autorisait pas certaines chaînes binaires et certains caractères littéraux, ce qui signifiait que certaines expressions valides liées au contenu binaire ne pouvaient pas être écrites.
    Exemple :

    CLIENT.TCP.PAYLOAD(100).CONTAINS(“xffx02”)

    [NSPOLICY-2362]

  • Une appliance Citrix ADC peut se bloquer s’il existe peu de mémoires tampon réseau lors de la réécriture de données fragmentées.

    [NSHELP-20847]

SSL

  • Dans certains cas, les appliances suivantes peuvent se bloquer lors de l’exécution du trafic SSL :
    • MPX 59xx
    • MPX/SDX 89xx
    • MPX/SDX MPX 26xxx
    • MPX/SDX 26xxx-50S
    • MPX/SDX 26xxx-100 g
    • MPX/SDX 15xxx-50G

    [NSSSL-7606]

  • L’authentification client basée sur des règles avec vérification obligatoire du certificat échoue si l’authentification du client avec un certificat client facultatif est également configurée sur le serveur virtuel.

    [NSHELP-21190]

  • Pour les sessions compatibles SNI, l’appliance ADC peut contrôler la manière dont l’en-tête de l’hôte est validé. Un nouveau paramètre SNIHttpHostMatch est ajouté au profil SSL et aux paramètres globaux SSL afin de mieux contrôler cette validation. Ce paramètre peut prendre trois valeurs : CERT, STRICT et NONE. Le SNI doit être activé sur le serveur virtuel SSL ou le profil lié au serveur virtuel, et la demande HTTP doit contenir l’en-tête de l’hôte.

    [NSHELP-13370]

System

  • Les rapports d’analyse n’apparaissent pas sur l’interface graphique de Citrix ADM si vous :
    1. Installez ADM 12.1.52.15 ou version ultérieure.
    2. Sélectionnez le mode de transport Logstream pour configurer les analyses sur les instances.

    [NSHELP-21618]

  • Une appliance Citrix ADC ne réinitialise pas les flux HTTP/2 sur une connexion client avec un RST_STREAM HTTP/2 après un délai d’inactivité.

    [NSHELP-21537]

  • Une connexion client ne répond plus si vous activez le multiplexage dans un profil HTTP/2 sur une appliance Citrix ADC.

    [NSHELP-21434]

  • Une appliance Citrix ADC ne transmet pas de réponse au client si elle contient à la fois des en-têtes de bande-annonce et de longueur de contenu.

    [NSHELP-21427]

  • Une appliance Citrix ADC peut se bloquer en cas d’échec d’allocation de mémoire pour le moniteur sécurisé HTTP/2.

    [NSHELP-21400]

  • Une appliance Citrix ADC peut se bloquer en cas d’échec de l’action AppQoE.

    [NSHELP-21393]

  • Une transaction HTTP peut échouer si une appliance Citrix ADC envoie une requête HTTP/2 contenant plusieurs paires nom-valeur de cookie au serveur principal.

    [NSHELP-21373]

  • Une appliance Citrix ADC peut se bloquer si elle reçoit une requête HTTP/1.1 contenant une version HTTP/2.0. Pour toute demande client avec une version HTTP/2.0, l’appliance la considère comme une demande HTTP/2.0 et la traite. Cela conduit à un crash.

    [NSHELP-21187]

  • Une appliance Citrix ADC peut se bloquer si Appflow Client-Side Measurements est activé lors de la diffusion de réponses HTTP volumineuses.

    [NSHELP-21099]

  • Dans une configuration de cluster, l’appliance Citrix ADC peut se bloquer lors d’une nouvelle connexion MPTCP, si les 4 tuples sont réutilisés avec une clé MPTCP différente avant l’expiration du délai de connexion d’origine sur l’appliance Citrix ADC.

    [NSHELP-20844]

  • La connexion de données FTP en mode passif ne répond plus lors du déploiement d’un serveur virtuel transparent en mode MAC.

    [NSHELP-20698]

  • L’utilisation de la mémoire augmente si vous activez le protocole proxy et si la retransmission se produit en raison de la congestion du réseau.

    [NSHELP-20613]

  • La commande show connectiontable affiche quelques entrées qui ne satisfont pas au filtre mentionné dans les conditions suivantes :
    • La commande est exécutée dans des conditions de trafic élevé.
    • La commande est utilisée avec un filtre IP ou de port.

    [NSBASE-9509]

Interface utilisateur

  • La licence de capacité groupée Citrix ADC peut échouer si la latence est élevée entre ADC et ADM. Ce problème se produit si la latence est supérieure à 200 ms.

    Le client de licences Citrix ADC tente à plusieurs reprises de récupérer les licences auprès d’ADM. Dans une configuration à haute disponibilité et en cluster, les configurations de licences sont inutilement réappliquées chaque fois que la synchronisation est déclenchée. La propagation et la synchronisation des commandes de licences groupées sont désactivées. Chaque nœud doit disposer d’une licence indépendante en se connectant au NSIP du nœud. Vous ne pouvez exécuter que les commandes show sur l’adresse IP du cluster.

    [NSUI-14868]

  • Après la mise à niveau vers la version 12.1-55.x, l’appliance peut démarrer sans licence si les licences de pool sont configurées. Par conséquent, toutes les fonctionnalités sont désactivées et toute configuration dépendant de la licence est absente de la configuration en cours. Effectuez un redémarrage à chaud pour restaurer la licence du pool et la configuration.
    Attention : n’exécutez pas la commande « Enregistrer la configuration » et ne forcez pas un basculement HA sur une appliance sans licence.

    [NSUI-7869]

  • Vous pouvez désormais définir l’authentification du client comme facultative, dans les paramètres SSL d’un serveur virtuel, à l’aide de l’interface graphique. Auparavant, l’authentification du client était devenue obligatoire si vous utilisiez l’interface graphique pour modifier des paramètres SSL.

    [NSHELP-21060]

  • Des exceptions KeyError sont observées si la requête de comptage ne fonctionne pas dans une appliance Citrix ADC.

    [NSHELP-20979]

  • Vous ne pouvez pas rechercher une entité à l’aide du filtre de recherche de l’interface graphique ADC si le nom de l’entité contient un espace.

    [NSHELP-20506]

  • L’authentification basée sur les rôles (RBA) n’autorise pas les noms de groupe à commencer par le caractère « # ».

    [NSHELP-20266]

  • Lors du déploiement d’une partition, un dispositif partitionné peut se bloquer si vous exécutez les commandes « uiinternal » puis « clear config » dans la partition par défaut.

    [NSHELP-20247]

  • Dans certains scénarios, le nom d’utilisateur (spécifié par un caractère « %u ») dans la chaîne d’invite ne s’affiche pas correctement.

    [NSHELP-1991]

  • L’interface de commande Citrix ADC et l’interface graphique n’affichent pas le paramètre d’heure du système pour certaines alarmes SNMP.

    [NSHELP-1958]

  • Vous ne pouvez pas récupérer un fichier de sauvegarde à l’aide de l’interface graphique de NetScaler si le nom du fichier comporte entre 61 et 63 caractères, même si la limite maximale est de 63 caractères.

    [NSHELP-11667]

  • L’appliance Citrix Gateway envoie des demandes d’accès RADIUS dupliquées au service d’authentification RADIUS pour chaque connexion à l’appliance.

    [NSHELP-11148]

Problèmes connus

Les problèmes qui existent dans la version 13.0-52.24.

Authentification, autorisation et audit

  • Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

    [NSHELP-563]

  • Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

    [ NSAUTH-6106 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    Solution « show
    adfsproxyprofile » : connectez-vous au principal Citrix ADC actif du cluster et exécutez la commande « show adfsproxyprofile ». Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

Citrix Gateway

  • Dans une configuration haute disponibilité à double saut de Citrix Gateway, la connexion ICA peut être perdue après un basculement HA.
    Solution : remplacez le nom de domaine complet par l’adresse IP du serveur de saut suivant.

    [NSHELP-22444]

  • Dans une configuration haute disponibilité de Citrix Gateway, le nœud secondaire peut se bloquer lors d’un basculement si Syslog est configuré.

    [NSHELP-22438]

  • L’appliance Citrix Gateway peut se bloquer par intermittence si une politique Syslog est configurée.

    [NSHELP-22304]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • Si une appliance Citrix ADC est configurée pour l’authentification nFactor, en cas d’échec de l’authentification RADIUS, l’appliance Citrix ADM affiche incorrectement le type d’authentification ayant échoué en tant que « LDAP ».

    [NSHELP-20440]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • La connexion ICA entraîne un saut d’analyse lors de l’analyse ICA si les utilisateurs utilisent le récepteur MAC avec la version 6.5 de Citrix Virtual App and Desktops (anciennement Citrix XenApp et XenDesktop).
    Solution : mettez à niveau le récepteur vers la dernière version de l’application Citrix Workspace.

    [CGOP-13532]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [ CGOP-13511 ]

  • Dans Outlook Web App (OWA) 2013, cliquez sur « Options » dans le menu Paramètres pour afficher une boîte de dialogue « Erreur critique ». De plus, la page ne répond plus.

    [ CGOP-7269 ]

Mise en réseau

  • Après avoir redémarré l’appliance Citrix ADC, le service de couche de transport interne peut ne pas être enregistré. Par conséquent, toute demande de service de protocole de transport sur l’appliance échoue.

    [NSNET-15252]

  • Les messages d’erreur suivants peuvent s’afficher si vous configurez plus de 100 VLAN dans la liste TrunkAllowedVLAN sur une interface de l’instance Citrix ADC :
    ERREUR : expiration du délai d’exécution
    ERREUR : erreur de communication avec le moteur de paquets

    [NSNET-4312]

  • Dans une configuration à haute disponibilité, l’une des appliances Citrix ADC peut se bloquer si vous effectuez une mise à niveau logicielle en service (ISSU) à partir de la version 13.0 47.24 ou antérieure du logiciel Citrix ADC vers une version ultérieure.

    [NSHELP-21701]

  • Dans une configuration de cluster avec l’option RetainConnectionsOnCluster activée, un nœud de cluster peut se bloquer lorsqu’il reçoit des paquets fragmentés suivis de paquets non fragmentés.

    [NSHELP-21674]

  • Lorsque l’appliance Citrix ADC nettoie un grand nombre de connexions au serveur dans le cadre de la commande de suppression, le processus Pitboss peut redémarrer. Ce redémarrage de Pitboss peut provoquer le blocage de l’appliance ADC.

    [NSHELP-136]

Plateforme

  • L’alarme Health Monitoring déforme la numérotation des PSU. Lorsque le câble d’alimentation est déconnecté du PSU - 1, la surveillance de l’état envoie une alarme incorrecte indiquant que le PSU - 2 est en panne.

    [NSPLAT-4985]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.
    Solution : remplacez le nom de domaine complet par l’adresse IP du serveur de saut suivant.

    [NSHELP-22444]

  • Dans une configuration haute disponibilité de Citrix Gateway, le nœud secondaire peut se bloquer lors d’un basculement si Syslog est configuré.

    [NSHELP-22438]

  • L’appliance Citrix Gateway peut se bloquer par intermittence si une politique Syslog est configurée.

    [NSHELP-22304]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • Si une appliance Citrix ADC est configurée pour l’authentification nFactor, en cas d’échec de l’authentification RADIUS, l’appliance Citrix ADM affiche incorrectement le type d’authentification ayant échoué en tant que « LDAP ».

    [NSHELP-20440]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • La connexion ICA entraîne un saut d’analyse lors de l’analyse ICA si les utilisateurs utilisent le récepteur MAC avec la version 6.5 de Citrix Virtual App and Desktops (anciennement Citrix XenApp et XenDesktop).
    Solution : mettez à niveau le récepteur vers la dernière version de l’application Citrix Workspace.

    [CGOP-13532]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [ CGOP-13511 ]

  • Dans Outlook Web App (OWA) 2013, cliquez sur « Options » dans le menu Paramètres pour afficher une boîte de dialogue « Erreur critique ». De plus, la page ne répond plus.

    [ CGOP-7269 ]

Mise en réseau

  • Après avoir redémarré l’appliance Citrix ADC, le service de couche de transport interne peut ne pas être enregistré. Par conséquent, toute demande de service de protocole de transport sur l’appliance échoue.

    [NSNET-15252]

  • Les messages d’erreur suivants peuvent s’afficher si vous configurez plus de 100 VLAN dans la liste TrunkAllowedVLAN sur une interface de l’instance Citrix ADC :
    ERREUR : expiration du délai d’exécution
    ERREUR : erreur de communication avec le moteur de paquets

    [NSNET-4312]

  • Dans une configuration à haute disponibilité, l’une des appliances Citrix ADC peut se bloquer si vous effectuez une mise à niveau logicielle en service (ISSU) à partir de la version 13.0 47.24 ou antérieure du logiciel Citrix ADC vers une version ultérieure.

    [NSHELP-21701]

  • Dans une configuration de cluster avec l’option RetainConnectionsOnCluster activée, un nœud de cluster peut se bloquer lorsqu’il reçoit des paquets fragmentés suivis de paquets non fragmentés.

    [NSHELP-21674]

  • Lorsque l’appliance Citrix ADC nettoie un grand nombre de connexions au serveur dans le cadre de la commande de suppression, le processus Pitboss peut redémarrer. Ce redémarrage de Pitboss peut provoquer le blocage de l’appliance ADC.

    [NSHELP-136]

Plateforme

  • L’alarme Health Monitoring déforme la numérotation des PSU. Lorsque le câble d’alimentation est déconnecté du PSU - 1, la surveillance de l’état envoie une alarme incorrecte indiquant que le PSU - 2 est en panne.

    [NSPLAT-4985]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

  • L’action de réécriture du type insert_after peut ne pas fonctionner avec une réponse HTTP fragmentée ou terminée par FIN.

    [NSHELP-22743]

SSL

  • La commande Mettre à jour n’est pas disponible pour les commandes d’ajout suivantes :
    • add azure application
    • add azure keyvault
    • add ssl certkey with hsmkey option

    [NSSSL-6484]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation de la CRL désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Dans de rares cas, l’appliance Citrix ADC peut se bloquer en raison de battements de cœur manqués.

    [NSHELP-21593]

  • Dans une configuration de cluster, la configuration en cours sur l’adresse IP du cluster (CLIP) indique le groupe de chiffrement DEFAULT_BACKEND lié à des entités, alors qu’il est absent sur les nœuds. Il s’agit d’un problème d’affichage.

    [NSHELP-13466]

System

  • Une appliance Citrix ADC peut se bloquer pendant le déploiement si les conditions suivantes sont respectées :
    • Le protocole TCP multichemin (MPTCP) est activé avec MBF et PMTUD
    • Le trafic MPTCP est reçu et la réponse provoque l’erreur ICMP Fragmentation Needed.

    [NSHELP-22418]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont respectées :
    • Flash Cache est activé.
    • La connexion client est réinitialisée.
    • Demande du client dans la file d’attente à traiter dans le cadre du processus de mise en cache.

    [NSHELP-21872]

  • Une utilisation élevée de la mémoire est observée si vous activez la fonctionnalité HTTP/2 et en cas de téléchargement de fichiers volumineux (si la taille du fichier est supérieure ou égale à un Go). Le problème se produit avec les clients lents si les données téléchargées se mettent en mémoire tampon et entraînent une utilisation excessive des ressources.

    [NSHELP-20531]

Interface utilisateur

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPSec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

  • Lorsque vous utilisez la barre de défilement du tableau de bord Syslog dans l’interface graphique de Citrix ADC, la page défile rapidement ou affiche des espaces blancs.

    [NSHELP-21267]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

    1. Mettez à niveau l’appliance Citrix ADC vers la version 13.0 52.24,
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système à l’aide de l’interface de ligne de commande :
    À l’invite de commande, tapez :

    query ns config -changedpassword [-config]

    Solution :

    Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.

    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.

    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système. Pour plus d’informations, consultez : https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Notes de publication pour la version 13.0-52.24 de Citrix ADC
December 28, 2022
Contributeur: 
C
December 28, 2022
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement
© 1999- Cloud Software Group, Inc. All rights reserved.