ADC

Notes de publication pour la version 13.0-58.32 de Citrix ADC

Ce document de notes de version décrit les améliorations et modifications, les problèmes résolus et connus qui existent pour la version 13.0-58.32 de Citrix ADC.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
  • La version 58.32 remplace la version 58.30
  • Correctifs supplémentaires dans cette version : NSAUTH-8617, NSAUTH-8712

Nouveautés

Les améliorations et modifications disponibles dans la version 13.0-58.32.

Citrix Gateway

  • Améliorations apportées à l’écouteur DTLS

    L’utilisateur peut désormais configurer un serveur virtuel VPN DTLS distinct en utilisant la même adresse IP et le même numéro de port qu’un serveur virtuel VPN SSL configuré. La configuration de serveurs virtuels VPN DTLS permet à l’utilisateur de lier les chiffrements et certificats DTLS avancés. Le protocole DTLS 1.2 est également pris en charge en plus du protocole DTLS 1.0 précédemment pris en charge.

    [CGOP-11142]

Citrix Web App Firewall

  • Statistiques de gestion des robots

    L’interface graphique de gestion des robots Citrix ADC affiche désormais des statistiques sur le trafic et les violations des robots sous forme de tableau et de graphique.

    [NSWAF-5270]

  • Prise en charge par les robots de la configuration des clusters

    La gestion des robots Citrix ADC est désormais prise en charge dans une configuration en cluster.

    [NSWAF-4227]

  • Validation par CAPTCHA pour la réputation IP et les techniques de détection des empreintes digitales des appareils

    La gestion des robots Citrix ADC prend désormais en charge le CAPTCHA pour atténuer les attaques de robots. Un CAPTCHA est une validation question-réponse effectuée pour déterminer si le trafic entrant provient d’un utilisateur humain ou d’un robot automatisé. La validation permet de bloquer les bots automatisés qui causent des violations de sécurité aux applications Web. Vous pouvez configurer le CAPTCHA en tant qu’action de robot à la fois dans les techniques de réputation IP et de détection des empreintes digitales des appareils.

    [NSWAF-3982]

  • Support pour la mise à jour automatique des signatures de robots

    La gestion des robots Citrix ADC prend désormais en charge la fonctionnalité de mise à jour automatique qui communique avec la base de données AWS pour récupérer les dernières mises à jour des signatures. La mise à jour est programmée toutes les heures.

    Vous pouvez également configurer un serveur proxy pour récupérer les mises à jour depuis AWS et mettre à jour régulièrement les signatures sur l’appliance ADC. Pour la configuration du proxy, vous devez configurer l’adresse IP et le port du proxy dans les paramètres du bot.

    [NSWAF-3954]

  • Exportation et importation de règles de relaxation

    Une appliance Citrix ADC vous permet désormais d’exporter et d’importer les règles de relaxation basées sur les profils dynamiques et les règles de relaxation classiques. Vous pouvez exporter les règles depuis un environnement intermédiaire et les importer dans votre environnement de production.
    L’action « Augmenter » garantit que l’importation des règles de relaxation est additive et ne remplace pas la configuration existante.

    [NSWAF-3813]

  • Détection de pièges à robots

    La gestion des robots Citrix ADC prend désormais en charge la technique de détection des robots piégés. La technique annonce une URL piège dans la réponse du client. L’URL apparaît invisible et n’est pas accessible si le client est un utilisateur humain. Toutefois, si le client est un robot automatisé, l’URL est accessible et, lorsqu’on y accède, l’attaquant est classé dans la catégorie des robots et toute demande ultérieure émanant du bot est bloquée. La technique de détection est efficace pour bloquer les attaques de robots automatisés.

    [NSWAF-3231]

  • Intégration de règles Snort

    Vous pouvez désormais intégrer les règles Snort à une appliance Citrix ADC pour empêcher les attaques malveillantes au niveau de la couche application. Les règles sont téléchargées depuis le site Web de Snort et converties en signatures WAF. Les signatures WAF basées sur Snorf peuvent détecter des activités malveillantes telles que les attaques DOS, les dépassements de mémoire tampon, les scans furtifs des ports, les attaques CGI, les enquêtes SMB et les tentatives d’empreinte digitale du système d’exploitation. En intégrant les règles Snort, vous pouvez renforcer votre solution de sécurité au niveau de l’interface et de la couche application.

    [NSWAF-3055]

Équilibrage de charge

  • Amélioration des règles GEO afin de valider les correspondances de caractères génériques pour l’expression de politiques basées sur la localisation

    Les règles GEO prennent désormais en charge l’expression de politique basée sur la localisation afin de vérifier les correspondances avec des caractères génériques. Cette fonctionnalité vérifie si les qualificatifs génériques correspondent à n’importe quel autre qualificatif, y compris non générique ou non. La correspondance des caractères génériques est effectuée à l’aide de l’attribut MatchWildcardToAny qui est ajouté à la commande « set LocationParameter ».

    L’attribut MatchWildcardToAny peut être défini sur les valeurs suivantes :

    • Oui : les qualificatifs Wildcard correspondent à tous les autres qualificatifs.
    • Non : les qualificatifs génériques ne correspondent pas aux qualificatifs non génériques, mais à d’autres qualificatifs génériques. L’option par défaut est Non.
    • Expression : les qualificatifs génériques d’une expression correspondent à n’importe quel qualificatif d’un emplacement LDNS, mais les qualificatifs génériques de l’emplacement LDNS ne correspondent pas aux qualificatifs non génériques d’une expression.

    [NSHELP-11782]

Mise en réseau

  • Prise en charge des propriétaires de Neighbor Discovery pour les adresses IPv6 agrégées

    Dans une configuration de cluster, vous pouvez désormais configurer un nœud spécifique en tant que propriétaire de la découverte de voisins (ND) pour une adresse IPv6 entrelacée afin de déterminer l’adresse de la couche de liaison. Un client envoie un message Neighbor Sollicitation (NS) à tous les nœuds de la configuration du cluster. Le propriétaire du ND répond par un message Neighbor Advertisement (NA) contenant l’adresse de couche de liaison de l’adresse IPv6 entrelacée et diffuse le trafic.

    Vous pouvez configurer le propriétaire du ND à l’aide de la CLI en spécifiant l’ID du nœud :

    • ajouter ns ip6 -NDowner
    • set ns ip6 -NDOwner

    Dans l’interface graphique, accédez à Système > Réseau > IP > IPv6. Sélectionnez l’un des ID de nœud répertoriés dans « NDowner in Cluster » lors de l’ajout ou de la modification d’une adresse IPv6.

    [NSNET-10767]

  • Prise en charge globale de l’équilibrage de charge des serveurs sur une appliance Citrix ADC BLX

    Les appliances Citrix ADC BLX prennent désormais en charge la fonctionnalité Citrix ADC Global Server Load Balancing (GSLB).

    Remarque : les appliances Citrix ADC BLX ne prennent pas en charge la sous-fonctionnalité de synchronisation automatique GSLB.

    [NSNET-9263]

Plateforme

  • Support pour la carte réseau Intel X722 10G sur la plate-forme Linux-KVM

    Une instance Citrix ADC VPX sur la plate-forme Linux-KVM prend désormais en charge les interfaces réseau Intel X722 10G SR-IOV.

    [ NSPLAT-13197 ]

  • Configuration d’une paire haute disponibilité Citrix ADC VPX avec des adresses IP privées sur Google Cloud Platform

    Vous pouvez désormais déployer une paire VPX à haute disponibilité sur GCP à l’aide d’adresses IP privées. Vous devez désactiver le mode INC pour configurer cette fonctionnalité. L’adresse IP du client (VIP) et l’adresse IP du serveur (SNIP) doivent être configurées en tant qu’adresses IP d’alias sur le nœud principal. Lors du basculement, l’adresse IP du client et l’adresse IP du serveur sont déplacées vers le nœud secondaire.

    [NSPLAT-12516]

  • Support de mise à l’échelle automatique en arrière-plan pour GCP

    L’appliance Citrix ADC VPX prend désormais en charge la fonctionnalité de mise à l’échelle automatique principale de Google Cloud Platform (GCP). Cette fonctionnalité détecte les serveurs principaux d’un groupe d’instances géré (MIG) GCP. GCP ajoute ou supprime automatiquement des serveurs du pool MIG, en fonction de mesures définies par l’utilisateur. L’appliance VPX capture les détails du pool de serveurs principaux et équilibre la charge du trafic en conséquence.

    [NSPLAT-7715]

Stratégies

  • Configuration du jeu de données de politiques

    Le jeu de données de règles vous permet désormais de spécifier une plage pour différents types de données. Prenons un exemple,
    ajoutez le jeu de données ds1 ipv4
    bind dataset ds1 1.1.1.1 —EndRange 1.1.1.10

    Où, la valeur est considérée comme faisant partie de l’ensemble de données si elle est égale à une valeur unique liée à l’ensemble de données ou si elle se situe entre la valeur inférieure et la valeur supérieure (valeur inférieure <= valeur && valeur <- valeur supérieure) d’une plage liée à l’ensemble de données.

    [ NSPOLICY-3282 ]

SSL

  • Contrôle du trafic SSL adaptatif

    Lorsqu’un trafic très élevé est reçu sur l’appliance et que la capacité d’accélération cryptographique est pleine, l’appliance commence à mettre en file d’attente les connexions pour les traiter ultérieurement. Actuellement, la taille de cette file d’attente est fixée à 64 Ko et l’appliance commence à interrompre les connexions si cette valeur est dépassée. Grâce à cette amélioration, l’appliance supprime les nouvelles connexions si le nombre d’éléments dans la file d’attente est supérieur à la limite calculée de manière adaptative et dynamique.

    Cette limite est calculée en fonction de :

    • Capacité réelle de l’appareil.
    • Valeur configurée par l’utilisateur en pourcentage de la capacité réelle. La valeur par défaut est 150 %.

    Par exemple, si la capacité réelle d’un appareil est de 1 000 opérations/seconde à un moment donné et que le pourcentage par défaut est configuré, la limite après laquelle l’appliance abandonne les connexions est de 1 500 (150 % sur 1 000).

    [NSSSL-7476]

  • Support du protocole DTLSv1.2 sur le front-end d’une plate-forme Citrix ADC Cavium MPX

    Le protocole DTLS 1.2 est désormais pris en charge sur le front-end d’une plate-forme Citrix ADC pour Cavium MPX. Lors de la configuration d’un serveur virtuel DTLS, vous devez désormais spécifier DTLS1 ou DTLS12. Par défaut, DTLSv12 sera désactivé.

    [NSSL-6097]

  • Prise en charge de la renégociation sécurisée sur le backend d’une appliance Citrix ADC

    La renégociation sécurisée est désormais prise en charge sur le backend d’une appliance Citrix ADC. Vous pouvez activer la renégociation sécurisée dans le profil SSL et dans les paramètres SSL globaux. Pour activer la renégociation sécurisée, définissez le paramètre « DenySSLReneg » sur l’une des options suivantes :

    • NON SÉCURISÉ
    • NON
    • FRONTEND_CLIENT
    • FRONTEND_CLIENTSERVER

    Exemple

     set ssl profile ns_default_ssl_profile_backend -denySSLReneg NONSECURE  
     set ssl parameter -denySSLReneg NONSECURE  
     <!--NeedCopy-->
    

    [NSHELP-14944]

System

  • Profil HTTP intégré pour l’accès à la gestion

    L’appliance Citrix ADC dispose désormais d’un profil HTTP intégré, « nshttp_default_internal_apps » pour l’accès de gestion. Le profil est configuré pour bloquer les demandes HTTP/0.9 et pour supprimer les demandes d’accès à la gestion non valides. Les paramètres du profil sont les mêmes que ceux du profil « nshttp_default_strict_validation » existant. Toutefois, il est conseillé de ne pas modifier les paramètres du profil comme dans le profil « nshttp_default_strict_validation ».

    [NSBASE-9953]

Interface utilisateur

  • Configurer un MatcheDid pour spécifier le dernier ensemble d’URL évalué

    Un nouveau paramètre, « MatchedID », est désormais ajouté à la commande « import policy urlset ». L’ID peut spécifier le jeu d’URL qui a été évalué pour la dernière fois après avoir correspondu à l’URL demandée. L’ID est également envoyé au collecteur AppFlow qui collecte des informations au niveau de la session utilisateur.

    [NSUI-14674]

  • Prise en charge du mode strict pour l’état de synchronisation du cluster

    Vous pouvez désormais configurer un nœud de cluster pour afficher les erreurs lors de l’application de la configuration. Un nouveau paramètre, « SyncStatusStrictMode », est introduit à la fois dans les commandes add et set cluster instance pour suivre l’état de chaque nœud d’un cluster. Par défaut, le paramètre « SyncStatusStrictMode » est désactivé.

    [NSCONFIG-2796]

Problèmes résolus

Les problèmes résolus dans la version 13.0-58.32.

AppFlow

  • Une appliance Citrix ADC peut se bloquer en cas de trafic actif lors de l’activation de la fonctionnalité AppFlow.

    [NSHELP-22361]

Authentification, autorisation et audit

  • L’extraction du nom d’utilisateur dans OnlyPassword.xml ne fonctionne pas dans Citrix ADC. Il affiche l’expression sous la forme $ {http.req.user.name} qui devrait idéalement être remplacée par le nom d’utilisateur.

    [NSHELP-22172]

  • Citrix ADC déployé en tant que SP SAML peut afficher une page de déconnexion locale une fois que l’utilisateur a lancé le processus de déconnexion.

    [NSHELP-22067]

  • Dans certains cas, une appliance Citrix ADC vide le noyau car les paquets SYN destinés au serveur TACACS sont remplis de valeurs de partition incorrectes.

    [NSHELP-22030]

  • Une appliance Citrix ADC peut vider le noyau lorsqu’elle reçoit une commande RESET du client alors que l’appliance gère les demandes de trafic VPN.

    [NSHELP-21817]

  • L’authentification unique basée sur un formulaire échoue si les politiques FORMSSO contiennent une paire nom-valeur vide pour DYNAMIC FORMSSO.

    [NSHELP-21753]

  • Une appliance Citrix ADC peut se bloquer avec StoreFront AuthAction si les conditions suivantes sont remplies :
    • Le mot de passe est modifié après la date d’expiration.
    • L’authentification est tentée à partir d’anciens clients VPN autres que NFactor.

    [NSHELP-21555]

  • La balise « SAML:AttributeValue » est absente de l’assertion SAML chaque fois que le bouton « ns_saml_disable_comma_sep_attr_res nsapimgr » est activé.

    [NSHELP-21552]

  • L’authentification unique vers StoreFront à l’aide de Citrix ADC échoue si les conditions suivantes sont remplies :
    • L’appliance Citrix ADC est configurée pour l’authentification multifactorielle.
    • La session Citrix ADC expire avant l’examen des facteurs d’authentification configurés.

    [NSHELP-21466]

  • Le VPN complet ne fonctionne pas si les conditions suivantes sont remplies :

    • Une appliance Citrix ADC est configurée pour l’authentification nFactor, l’authentification SAML étant le dernier facteur d’authentification.
    • L’appliance est liée au thème du portail RFWebUI.

    [NSHELP-21157]

  • Lors de la création d’une session IdP sur un serveur virtuel d’authentification, toute configuration apportée au profil de schéma de connexion associé au premier facteur d’authentification n’est pas prise en compte. Si le profil du schéma de connexion est configuré pour utiliser les informations d’identification du premier facteur pour la fonctionnalité SSO, la configuration n’est pas respectée.

    [NSAUTH-8712]

  • Une appliance Citrix Gateway vide le cœur si les conditions suivantes sont remplies :
    • L’appliance Citrix Gateway est accessible via l’application Citrix Workspace.
    • L’appliance Citrix Gateway est configurée pour le déploiement de nFactor avec une authentification avancée.

    [NSAUTH-8617]

Mise en cache

  • Dans une configuration de cluster, une appliance Citrix ADC peut se bloquer lorsque :
    • Mise à niveau de l’installation depuis la version 13.0 47.x ou 13.0 52.x de Citrix ADC vers une version ultérieure
    • Mise à niveau de l’installation vers la version 13.0 47.x ou 13.0 52.x

    Au cours du processus de mise à niveau, effectuez les opérations suivantes :

    • Désactiver tous les nœuds du cluster, puis mettre à niveau chaque nœud du cluster
    • Activer tous les nœuds du cluster après la mise à niveau de tous les nœuds

    [NSHELP-21754]

Appliance Citrix ADC SDX

  • Dans certains cas, la mise à niveau d’une appliance Citrix ADC SDX vers la version 13.0 peut échouer en raison d’une erreur interne.

    [NSSVM-3377]

  • Sur une appliance Citrix ADC SDX, la mise à niveau de la version 12.1 build 56.22 vers la version 13.0 build 52.24 peut échouer.

    [NSSVM-3159]

  • L’instance n’est pas lancée lorsque vous accédez à Citrix ADC > Instances et que vous cliquez sur l’adresse IP de l’instance dans l’interface graphique SDX. Le problème n’est observé qu’après la mise à niveau vers la version 13.0 build 47.x.

    [NSHELP-22152]

  • La mise à niveau sur une appliance Citrix ADC SDX peut échouer si un serveur de licences groupé est configuré.

    [NSHELP-22064]

  • Vous ne pouvez pas modifier le nom de l’instance VPX sur les plateformes suivantes lorsque le nombre de cœurs attribués à ce VPX est supérieur au nombre de cœurs libres disponibles sur l’appliance.
    • SDX 8900
    • SDX 14 x 40 G
    • SDX 14xX-40S
    • SDX 14xxx FIPS
    • SDX 15 x 25 G
    • SDX 15 x 50 g
    • SDX 25xxx
    • SDX 26xxx
    • SDX 26xX-50S
    • SDX 26XXX-100 g

    [NSHELP-22048]

  • Sur les plateformes Citrix ADC SDX 15xxx et SDX 26xxx, vous ne pouvez pas provisionner plusieurs instances VPX en mode L2.

    [NSHELP-21367]

  • Après la mise à niveau vers les versions logicielles 11.1 et 12.1, l’appliance peut envoyer des pièges NSNotifyRestart.

    [NSHELP-18308]

Citrix Gateway

  • L’appliance Citrix Gateway peut se bloquer lors de la copie des informations de session entre les processeurs dans une configuration VPN.

    [NSHELP-22665]

  • L’appliance Citrix Gateway se bloque lors de la gestion d’une connexion initiée par le serveur en raison d’une erreur dans la liaison des connexions.

    [NSHELP-22598]

  • L’appliance Citrix Gateway peut se bloquer par intermittence si les conditions suivantes sont remplies.
    • Si un serveur a initié une connexion UDP à un intranet, une adresse IP est attribuée à un utilisateur.
    • Le serveur n’envoie pas de paquets UDP pendant une longue période après l’envoi du premier paquet.

    [NSHELP-22583]

  • Lors d’une ouverture de session de transfert, l’appliance Citrix Gateway peut se bloquer lorsqu’elle essaie de stocker une connexion non valide, puis de déréférencer la connexion non valide.

    [NSHELP-22568]

  • L’appliance Citrix ADC peut se bloquer lorsqu’elle est configurée pour un VPN sans client classique.

    [NSHELP-22559]

  • Dans de rares cas, le compteur du paramètre « vpnusers » ayant la valeur 0 n’est pas correctement décrémenté. Cette décrémentation réinitialise le compteur à une valeur très élevée, ce qui entraîne l’échec de la vérification de licence.

    [NSHELP-22558]

  • Citrix Gateway permet parfois aux clients macOS d’accéder à des ressources internes même si le scan EPA échoue sur la machine cliente.
    Ce problème se produit uniquement sur les machines n-core contenant la configuration suivante :
    • Une politique de session est créée avec le paramètre « ClientSecurityGroup ».
    • Une politique de répondeur est créée pour effectuer certaines actions sur les utilisateurs faisant partie de ce groupe de sécurité client.

    [NSHELP-22262]

  • L’appliance Citrix Gateway peut se bloquer si vous tentez d’imprimer via un tunnel VPN complet lorsque l’adresse IP de l’intranet est attribuée.
    Ce problème est observé sur les imprimantes HP qui utilisent les protocoles hp-status et WSDAPI.

    [NSHELP-22191]

  • Si l’authentification SAML est configurée sur Citrix Gateway et qu’un utilisateur essaie de se connecter via le plug-in VPN, le navigateur affiche un écran vide.

    [NSHELP-22185]

  • Dans l’interface graphique de l’appliance Citrix ADC, vous ne pouvez pas dissocier une liaison de politique d’autorisation d’un groupe d’authentification, d’autorisation et d’audit.

    [NSHELP-22167]

  • Lorsque vous déployez une nouvelle appliance Citrix ADC VPX à l’aide d’une image XVA sur un Citrix Hypervisor ou tout autre serveur, les packages de plug-ins Citrix Gateway pour Windows ne se trouvent pas à l’emplacement correspondant.

    [NSHELP-22157]

  • Dans le cadre d’une configuration complète du tunnel et d’une authentification classique par certificat client avec RFWebUI, l’appliance répond par une page blanche ou un message d’erreur « Client non compatible » après la connexion.

    [NSHELP-22084]

  • Parfois, le lancement de l’application PCoIP ou de l’ordinateur de bureau peut échouer.

    [NSHELP-22041]

  • Dans une configuration haute disponibilité de Citrix Gateway, le nœud secondaire peut se bloquer lors d’une communication cœur à cœur.

    [NSHELP-21991]

  • Si le serveur Citrix Gateway renvoie une adresse IP différente au sein du réseau de l’entreprise par rapport à un réseau externe, l’itinérance du réseau externe vers le réseau interne ou vice versa échoue par intermittence. Par conséquent, la fonctionnalité Toujours activé avec Windows ne fonctionne pas.

    [NSHELP-21956]

  • Le client VPN Linux se bloque si les paramètres du proxy sont configurés dans la politique de session.

    [NSHELP-21955]

  • Lorsque l’EPA est configuré en mode nFactor, les messages relatifs à l’installation du plug-in EPA ne s’affichent pas dans la fenêtre du plug-in VPN.

    [NSHELP-21939]

  • Si vous utilisez McAfee LiveSafe, le contrôle EPA échoue. Par conséquent, la détection des noms de produits chinois ne fonctionne pas pour OPSWAT. Cependant, pour les autres langues, cela fonctionne comme prévu.

    [NSHELP-21938]

  • La fonctionnalité d’interface Web peut ne pas fonctionner comme prévu après la mise à niveau de l’appliance Citrix ADC.

    [NSHELP-21899]

  • L’appliance Citrix Gateway peut se bloquer s’il existe plusieurs cœurs et si l’adresse IP de l’intranet est activée avec le thème RFWebUI.

    [NSHELP-21722]

  • Une appliance Citrix ADC peut se bloquer lorsqu’elle tente d’accéder aux informations du collecteur corrompues.

    [NSHELP-21653]

  • Le service Always On ne parvient pas à établir de tunnel VPN si le paramètre Force Cache Cleanup est activé pour le cache.

    [NSHELP-21645]

  • Il se peut que vous voyiez apparaître par intermittence une erreur 403 d’accès interdit pour les fichiers du portail.

    [NSHELP-21620]

  • Les performances des applications UDP peuvent parfois être affectées en raison de la congestion du trafic.

    [NSHELP-21599]

  • Dans un Citrix Gateway avec authentification nFactor, l’EPA en tant que facteur peut parfois échouer.

    [NSHELP-21557]

  • Parfois, l’appliance Citrix ADC peut se bloquer lors de la gestion de la connexion initiée par le serveur.

    [NSHELP-21532]

  • Le plug-in VPN conserve les suffixes DNS ajoutés à l’adaptateur Wi-Fi ou Ethernet lors de la connexion VPN.

    [NSHELP-21492]

  • L’appliance Citrix Gateway configurée pour l’équilibrage de charge global du serveur ne fonctionne pas comme prévu dans une topologie parent-enfant.

    [NSHELP-21381]

  • L’énumération des applications n’a pas lieu si le nombre de postes de travail est inférieur au nombre d’applications.

    [NSHELP-21377]

  • Dans une configuration de processeur multicœur, l’appliance Citrix Gateway se bloque si la fonctionnalité Gateway Insight est activée et qu’une demande est reçue sur un cœur non propriétaire.

    [NSHELP-21089]

  • L’appliance Citrix Gateway peut se bloquer si les conditions suivantes sont remplies :
    • La connexion client ou serveur comporte un pointeur suspendu au lieu d’un lien.
    • La connexion liée est déjà libérée.
    • L’appliance essaie de vider la connexion pour libérer le lien.

    [NSHELP-20901]

  • L’appliance Citrix ADC peut se bloquer si vous utilisez des politiques classiques dans la configuration de votre passerelle.

    [NSHELP-20070]

  • L’appliance Citrix ADC peut se bloquer lorsqu’un profil réseau est ajouté à un service.

    [NSHELP-19569]

  • Le paramètre DTLS est défini sur ON par défaut pour un serveur virtuel de commutation de contenu créé via un assistant Unified Gateway.

    [CGOP-13213]

  • Les thèmes personnalisés RFWebUI ne fonctionnent pas après la mise à niveau de votre appliance Citrix Gateway vers la version 13.0.

    [CGOP-12740]

Citrix Web App Firewall

  • La réinitialisation de la connexion se produit si vous activez l’option de réutilisation des sessions SSL sur vos serveurs virtuels de passerelle frontale avec TLS 1.3 activé sur l’appliance.

    [NSWAF-5268]

  • NITRO n’autorise pas les clients du SDK à configurer le WAF si l’option de contrôle de sécurité XML « xmlmaxnodescheck » est activée.

    [NSHELP-22111]

  • Une fuite de mémoire est observée sur une appliance Citrix ADC si vous activez la vérification de protection contre la fermeture StartURL.

    [NSHELP-21472]

  • Après une mise à niveau, une appliance Citrix ADC peut se bloquer en raison d’une utilisation élevée de la mémoire.

    [NSHELP-21410]

  • Dans la gestion des robots Citrix ADC, l’URL piège et le code JavaScript ne sont pas correctement insérés pour les données fragmentées et terminées par FIN.

    [NSHELP-21289]

  • La validation XML échoue si le contenu XML comporte une référence imbriquée au paramètre « APPFW_XML_VALIDATION_ERR_INVALID_ELEMENT ».

    [NSHELP-21128]

  • Une appliance Citrix ADC peut se bloquer si un cas d’erreur n’a pas été traité correctement lors du processus de vérification des cartes de crédit.

    [NSHELP-20562]

  • Une appliance Citrix ADC peut se bloquer si vous activez la vérification de la protection XML Wellformmedness en mode journal.

    [NSHELP-18737]

Équilibrage de charge

  • Dans une configuration à haute disponibilité, le nœud principal se bloque lors de la récupération du PCB du serveur depuis un pool de réutilisation de serveurs. Le crash se produit parce que la boucle existe déjà, ce qui entraîne une boucle étroite.

    [NSHELP-22149]

  • Les moteurs de paquets (NSPPE) peuvent se bloquer lorsqu’ils reçoivent le premier paquet de données RTSP avec un en-tête incomplet, suivi d’un ACK avant de recevoir l’en-tête complet.

    [NSHELP-22099]

  • Dans la configuration d’une partition d’administration, lorsque vous exécutez la commande « stat gslb site », l’état Metric Exchange ou Network Metric Exchange entre deux sites GSLB est affiché comme étant inactif. Il ne s’agit que d’un problème d’affichage et il n’y a aucun impact sur la fonctionnalité.

    [NSHELP-21895]

  • Lors de la synchronisation à haute disponibilité, la connectivité à un périphérique secondaire peut être perdue lors de la configuration d’une licence groupée.

    [NSHELP-21556]

  • Dans une configuration de cluster, la configuration de l’identité du diamètre est perdue lorsqu’un nœud est mis à niveau vers une version plus récente.

    [NSHELP-21444]

  • Pour les demandes provenant de clients compatibles NAT, l’appliance Citrix ADC peut se bloquer lorsque la section multimédia de la charge utile du protocole de description de session (SDP) contient l’adresse IP NAT.

    [NSHELP-21438]

  • Dans une API NITRO, le champ « tickssincelaststatechange » d’un groupe de services n’est pas correctement mis à jour lorsque l’état du groupe de services change.

    [NSHELP-21425]

  • Dans une configuration à haute disponibilité, le nœud principal ne trouve pas de PORT approprié après un maximum de tentatives d’établissement de connexion à un cœur spécifique sur un nœud secondaire. Par conséquent, la table de connexion secondaire n’est pas entièrement synchronisée avec la table de connexion principale.

    [NSHELP-21420]

  • Dans une configuration GSLB avec déploiement de passerelle, l’appliance Citrix ADC peut ne pas réussir à résoudre le nom de domaine d’un service GSLB dans les conditions suivantes :
    lorsque le serveur virtuel d’équilibrage de charge principal est en panne, même si le serveur virtuel d’équilibrage de charge de sauvegarde est actif.

    [NSHELP-21061]

  • Après la mise à niveau de l’appliance Citrix ADC de la version 11.1 build 56.19 vers la version 12.1 build 53.12, l’état effectif du service GSLB est défini sur DOWN même si le serveur virtuel d’équilibrage de charge est actif.

    [NSHELP-21025]

  • Une appliance Citrix ADC peut présenter des pics d’utilisation de la mémoire si un moniteur HTTP sécurisé est configuré et que la taille de réponse est importante.

    [NSHELP-20712]

Mise en réseau

  • Après avoir redémarré l’appliance Citrix ADC, le service de couche de transport interne peut ne pas être enregistré. Par conséquent, toute demande de service de protocole de transport sur l’appliance échoue.

    [NSNET-15252]

  • Dans une topologie de cluster, lors de la mise à niveau ou de la rétrogradation d’un nœud, la commande « set snmp mib » pour les nœuds non-cco échoue. Cela entraîne une perte de configuration.

    [NSNET-14562]

  • Un problème se produit si vous définissez l’option GUI sur Secureonly sur CLIP alors que le problème n’est pas observé sur l’adresse NSIP.
    Le problème se produit uniquement lorsque vous déclenchez la configuration « set ns ip gui ».

    [NSNET-14364]

  • L’appliance Citrix ADC traite tout paquet reçu, avec les propriétés suivantes, pour une connexion de données FTP active :
    • Protocole = TCP
    • Adresse IP de destination = IP Citrix ADC (NSIP)
    • Port source = 20

    Par conséquent, l’appliance Citrix ADC envoie le paquet au module de gestion interne plutôt qu’au module moteur de paquets pour traitement, ce qui entraîne un traitement inattendu du paquet.

    [NSHELP-22637]

  • Dans une configuration à haute disponibilité avec le mode couche 2 activé sur une partition autre que la partition par défaut, le nœud secondaire peut transmettre les paquets DHCP qu’il reçoit, provoquant une boucle dans le réseau.

    [NSHELP-22140]

  • Dans une configuration de cluster Citrix ADC avec des configurations de backplane (PBS) IPv4 et IPv6 basées sur des règles, des paquets d’erreur ICMPv6 peuvent circuler en boucle entre les nœuds du cluster lorsque toutes les conditions suivantes sont réunies :

    • Les paquets IP internes des paquets d’erreur ICMPv6 ont le même tuple IP que dans l’une des sessions TCP actives.
    • Une adresse mappée IPv4 différente est présente sur chaque nœud du cluster pour la même adresse IPv6.

    [NSHELP-21815]

  • Pour les partitions d’administration illimitées, la vérification de la mémoire lors de l’allocation est désactivée.

    [NSHELP-21775]

  • Dans une configuration à haute disponibilité en mode INC, après un basculement, le nouveau nœud secondaire peut ne pas supprimer l’itinéraire par défaut (appris auprès d’autres homologues BGP) qu’il avait annoncé lorsqu’il fonctionnait en tant que nœud principal. En raison de ce problème, le trafic de données peut également arriver sur le nouveau nœud secondaire.

    [NSHELP-21720]

  • Dans un OpenStack, la propagation de la commande peut échouer dans les conditions suivantes :

    Lorsque vous supprimez un nœud du cluster à 3 nœuds, si vous obtenez un battement de cœur plus ancien provenant du nœud supprimé.

    [NSHELP-21432]

  • Si une règle INAT est ajoutée pour une adresse VIP, l’appliance Citrix ADC autorise à tort l’ajout d’une configuration d’équilibrage de charge dans laquelle le serveur virtuel est de type ANY et est défini avec la même adresse VIP.

    [NSHELP-21288]

  • Lors du redémarrage de l’appliance Citrix ADC, l’itinéraire par défaut est créé avant que l’adresse IP de l’interface ne soit renseignée. En raison de ce problème, le prochain saut d’un itinéraire est défini sur NULL, ce qui entraîne une erreur martienne.

    [NSHELP-16407]

NSSWG

  • Une erreur de gestion de la mémoire est observée sur les configurations en cluster et à haute disponibilité qui interrompent l’accès HTTPS à l’interface graphique Citrix ADC et les enregistrements de filtrage des URL d’Appflow nuls.

    [NSSWG-1220]

  • Les fichiers de catégories d’URL n’incluent pas les dernières mises à jour de la base de données NetStar.

    [NSSWG-1205]

Plateforme

  • Sur une appliance Citrix ADC SDX, vous pouvez observer des blocages de Tx sur une instance VPX exécutant une version logicielle antérieure à 13.0 build 58.x, lorsque les conditions suivantes sont remplies :

    • L’appliance SDX contient des cartes réseau 10G, 25G ou 40G.
    • L’appliance SDX exécute la version 13.0 build 58.x ou ultérieure.

    Citrix vous recommande de mettre à niveau la version logicielle de l’instance VPX vers la version 13.0-58.x avant de mettre à niveau le logiciel SDX vers la version 13.0-58.x.

    [NSPLAT-14422]

  • Les scripts d’effacement de configuration échouent sur certaines plateformes Citrix ADC. Avec ce correctif, le code de date des scripts est mis à jour au 14/01/20 et toutes les plateformes sont prises en charge.

    [ NSPLAT-13498 ]

  • Sur les plateformes SDX 8200/8400/8600, l’appliance SDX se bloque sur la console Citrix Hypervisor si l’appliance SDX ou les instances VPX qui s’y exécutent sont redémarrées plusieurs fois. Lorsque l’appliance se bloque, le message « INFO : rcu_sched detected stalls on CPU/Tasks » s’affiche.

    • Redémarrez l’appliance SDX en appuyant sur le bouton NMI situé à l’arrière.
    • À partir de l’interface graphique LOM, utilisez NMI pour redémarrer l’appliance.
    • Utilisez LOM pour redémarrer l’appliance SDX.

    [NSPLAT-9155]

  • L’appliance SDX risque de ne pas être en mesure de reconstruire la paire RAID si vous remplacez l’un des disques SSD dans les emplacements 1 et 2 de la paire RAID de démarrage.

    [NSHELP-22470]

  • En cas de trafic intense, Tx peut cesser de fonctionner sur les plateformes Citrix ADC contenant des interfaces 50G.

    [NSHELP-22221]

  • Dans certains cas, le provisionnement d’une instance VPX sur une appliance Citrix ADC SDX contenant des puces Intel Coleto peut échouer en raison de l’échec de l’initialisation de la puce SSL Coleto.

    [NSHELP-22033]

  • Lorsque plusieurs canaux LA sont configurés sur une appliance SDX sans aucune interface de gestion (0/1, 0/2) et si le premier canal LA est désactivé via l’interface de ligne de commande VPX, l’appliance VPX peut être inaccessible.

    [NSHELP-21889]

  • Sur les appliances ADC SDX 14000 et 15000, une perte de trafic pouvant atteindre 9 secondes est observée si les conditions suivantes sont remplies :
    • Les ports 10G sont connectés via le canal LA à deux commutateurs Cisco configurés dans la configuration VPC en tant qu’actifs ou passifs.
    • Le lien vers le commutateur Cisco actif ou principal rebondit.

    [NSHELP-21875]

  • Sur les appliances SDX exécutant des versions 13.0 d’une mise à niveau groupée unique, les processeurs peuvent se chevaucher pour différentes instances VPX, même si des cœurs dédiés sont attribués à ces instances.

    [NSHELP-21729]

  • Sur la plate-forme Citrix ADC MPX, un port 50G membre d’un groupe d’agrégation de liens continue d’être INACTIF si les actions suivantes sont effectuées :

    1. Le port 50G est désactivé.
    2. Le port du commutateur homologue est désactivé.
    3. Le port du commutateur homologue est activé.
    4. Le port 50G est activé.

    Le port 50G ne s’affiche pas même après son activation. Par conséquent, le trafic ne peut pas passer par le port 50G.

    [NSHELP-20529]

  • Une appliance Citrix ADC peut se bloquer lorsqu’elle manque de mémoire.

    [NSHELP-20130]

Stratégies

  • Les compteurs « Connexions client Est actuelles » et « Connexions client actuelles » d’un serveur virtuel d’équilibrage de charge affichent des valeurs incorrectes si la légende HTTP est configurée sur ce serveur virtuel.

    [NSHELP-22491]

SSL

  • Sur les plateformes FIPS Citrix ADC MPX 14000, tous les serveurs virtuels SSL apparaissent comme étant INACTIFS sur les processeurs non destinés à la gestion.

    [NSSL-8015]

  • Dans certains cas, une appliance Citrix ADC peut se bloquer lors du traitement du trafic DTLS dans des conditions de mémoire insuffisante.

    [NSHELP-22611]

  • L’appliance Citrix ADC peut se bloquer en cas de trafic intense si syslogging et DTLS sont activés sur un serveur virtuel VPN.

    [NSHELP-22195]

  • L’appliance Citrix ADC peut se bloquer si le SNI dynamique est configuré sur le backend et que la licence appropriée n’est pas disponible sur l’appliance.

    [NSHELP-22081]

  • L’action SSL pointe vers l’ancien serveur virtuel même après le renommage du serveur virtuel.

    [NSHELP-21584]

  • Les informations relatives au profil SSL lié à un moniteur d’équilibrage de charge sont perdues si le profil SSL par défaut est activé et que l’appliance redémarre.

    [NSHELP-21321]

  • L’appliance Citrix ADC peut se bloquer si les conditions suivantes sont remplies :
    1. Deux répondeurs OCSP sont configurés avec le même nom d’hôte.
    2. Les deux répondeurs sont liés à la même paire de clés de certificat racine.
    3. La demande échoue avec le premier intervenant.
    4. L’appliance tente d’envoyer la demande au second répondeur et le nom d’hôte n’est pas résolu.

    [NSHELP-21278]

  • Les chiffrements incorrects exportés depuis l’appliance Citrix ADC font en sorte que Citrix ADM affiche les mêmes informations de chiffrement incorrectes.

    [NSHELP-21177]

  • Il existe une différence dans l’allocation de mémoire sur les appliances Citrix ADC MPX partitionnées contenant des puces Intel Coleto.

    [NSHELP-20853]

System

  • Une appliance Citrix ADC peut se bloquer lors de la détection de retransmissions TCP dupliquées. L’appliance se bloque en raison de l’opération de division par zéro dans l’algorithme de contrôle de congestion TCP.

    [NSHELP-22693]

  • Une appliance Citrix ADC peut se bloquer si la configuration AppFlow est supprimée au milieu d’une connexion client.

    [NSHELP-22389]

  • Dans une configuration en cluster, une appliance Citrix ADC peut se bloquer si les conditions suivantes sont respectées :
    • La connexion est dirigée du processeur de débit vers le récepteur de débit.
    • Les paquets TCP hors service sont traités dans l’état Time-Wait.

    [NSHELP-21792]

  • Une appliance Citrix ADC peut se bloquer si :
    • Un client HTTP/2 envoie une réinitialisation de connexion au milieu d’un téléchargement avec le cache activé.
    • Le serveur principal ferme la connexion avec la terminaison FIN.

    [NSHELP-21605]

  • Une politique AppFlow liée à un serveur virtuel VPN situé derrière un serveur virtuel de commutation de contenu n’est pas appliquée.

    [NSHELP-20816]

  • Dans le déploiement d’un cluster MPTCP, la boucle de paquets entre les nœuds du cluster entraîne une utilisation élevée de la bande passante.

    [NSHELP-20675]

  • Dans une configuration de cluster, si l’horodatage est activé, certaines des demandes envoyées au serveur peuvent être abandonnées.

    [NSHELP-20394]

  • Dans une configuration de cluster, une appliance Citrix ADC peut redémarrer si le flux de données est activé.

    [NSHELP-2008]

  • Une appliance Citrix ADC dont le chaînage des connexions et le protocole SSL sont activés peut envoyer davantage de données MTU.

    [NSHELP-9411]

  • Une appliance Citrix ADC envoie une réponse HTTP/2 incorrecte sur une connexion client HTTP/1.1 si l’appliance reçoit :
    • une réponse HTTP/2 « 100 Continue » du serveur principal.
    • une autre réponse HTTP/2 sur le même flux HTTP/2.

    [NSBASE-10419]

  • Une appliance Citrix ADC peut se bloquer si vous utilisez pitboss pour surveiller le métrics-collector.

    [NSBASE-9743]

  • L’appliance Citrix ADC traite la demande de connexion uniquement sur le premier flux et ne traite pas les demandes suivantes sur les autres flux si les conditions suivantes sont respectées sur l’appliance :
    • Plusieurs requêtes HTTP sont reçues dans une seule connexion HTTP/2 sur différents flux.
    • HTTP/2 est désactivé sur le serveur principal.

    [NSBASE-9510]

  • Une appliance Citrix ADC peut se bloquer en raison d’un échec d’allocation de mémoire dans un scénario d’horodatage TCP. Par conséquent, l’appliance réinitialise la connexion client.

    [NSBASE-9297]

  • Le paramètre « ObservationPointID » de la commande « set appflow param » ne change pas même lorsque vous modifiez l’adresse NSIP à l’aide de la commande « set ns config ». Par conséquent, les données ne sont pas transmises au serveur Citrix ADM.

    [NSBASE-8622]

Interface utilisateur

  • Lorsqu’un utilisateur du système essaie de verrouiller ou de déverrouiller une appliance, l’interface graphique de Citrix ADC affiche un message d’erreur « L’utilisateur n’existe pas ».

    [NSUI-14999]

  • Le visualiseur LB n’affiche pas les services liés au serveur virtuel s’ils font partie du groupe de services. Toutefois, si le service est lié individuellement, il est affiché dans le visualiseur LB.

    [NSHELP-22436]

  • Lorsque vous modifiez un paramètre autre que la taille de la sonnerie (par exemple duplex, vitesse, HAMon) à partir de l’interface graphique, le message d’erreur suivant s’affiche : La modification de la
    taille de la sonnerie n’est pas autorisée sur ce type de carte réseau

    [NSHELP-21934]

  • Dans une configuration de cluster, vous pouvez rencontrer les problèmes suivants car le VXLAN n’est pas pris en charge :
    • La page d’interface graphique « Créer un voisin IPv6 » affiche le message d’erreur suivant lorsque vous essayez de créer un voisin IPv6 :

    « Opération non prise en charge dans le cluster »

    • Sur la page d’interface graphique « Créer une route IPv6 », le bouton Créer ne répond pas.

    [NSHELP-19451]

  • Les données comportant plusieurs valeurs d’argument ne sont pas correctement stockées dans la base de données de configuration Citrix ADC.

    [NSHELP-18633]

Problèmes connus

Les problèmes qui existent dans la version 13.0-58.32.

Authentification, autorisation et audit

  • Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

    [NSHELP-563]

  • Lors de la création d’une session IdP sur un serveur virtuel d’authentification, toute configuration apportée au profil de schéma de connexion associé au premier facteur d’authentification n’est pas prise en compte. Si le profil du schéma de connexion est configuré pour utiliser les informations d’identification du premier facteur pour la fonctionnalité SSO, la configuration n’est pas respectée.

    [NSAUTH-8712]

  • Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

    [ NSAUTH-6106 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    « Afficher le profil de proxy adfs »

    Solution : connectez-vous au principal Citrix ADC actif du cluster et exécutez la commande « show adfsproxyprofile ». Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

Mise en cache

  • Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

    [ NSHELP-22942 ]

Appliance Citrix ADC SDX

  • Si l’adresse IP d’une appliance Citrix ADC SDX configurée à l’aide de licences groupées est modifiée dans SDX, Citrix ADM qui gère l’appliance SDX continue d’afficher l’ancienne adresse IP SDX.

    [NSHELP-23490]

  • La mise à niveau d’une appliance Citrix ADC SDX vers la version 12.1 build 56.x peut expirer en raison d’une latence dans la communication entre processus.

    [NSHELP-22644]

  • Sur l’appliance Citrix ADC SDX, un utilisateur disposant d’autorisations en lecture seule peut transférer des fichiers vers le service de gestion à l’aide d’un utilitaire de transfert de fichiers, tel que SCP ou SFTP.

    [NSHELP-22638]

  • L’interface utilisateur Citrix ADC SDX est peut-être inaccessible après avoir essayé de passer à la version 13.0-58.30.
    Solution :

    1. Connectez-vous via SSH à l’adresse IP de la SVM à l’aide des informations d’identification « nsrecover ».
    2. À l’invite du shell, tapez « svmd stop » pour arrêter tous les processus SVM.
    3. Pour vérifier que tous les processus de la SVM sont arrêtés, tapez ps -ax | grep svm. Pour arrêter tout processus SVM en cours d’exécution, tapez kill -9.
    4. Modifiez le fichier /var/mps/mps_featurelist.conf.bak à l’aide de l’éditeur vi. Ajoutez « DisableMetricCollection » à la fin du fichier et enregistrez le fichier.
    5. Tapez « svmd start » pour relancer les processus de la SVM. La mise à niveau se poursuit et l’interface utilisateur SDX est lancée après environ 30 minutes.

    [NSHELP-23904]

Citrix Gateway

  • Vous pouvez rencontrer des problèmes lors de la modification de documents à l’aide des applications bureautiques Web liées à SharePoint lorsque ces applications sont accessibles via le VPN sans client avancé.

    [NSHELP-23364]

  • Lorsque l’application Citrix Workspace est utilisée pour se connecter à Citrix Gateway, l’établissement de session peut échouer si la politique de session est liée au serveur virtuel VPN.

    Solution : Liez la politique de session à l’utilisateur ou au groupe d’utilisateurs.

    [NSHELP-23148]

  • Dans de rares cas, l’appliance Citrix ADC peut ne plus répondre si l’appliance est configurée pour l’EDT et que HDX Insight est activé pour les sessions EDT.

    [NSHELP-22640]

  • Dans une configuration haute disponibilité à double saut de Citrix Gateway, la connexion ICA peut être perdue après un basculement HA.
    Solution : remplacez le nom de domaine complet par l’adresse IP du serveur de saut suivant.

    [NSHELP-22444]

  • Dans une configuration haute disponibilité de Citrix Gateway, le nœud secondaire peut se bloquer lors d’un basculement si Syslog est configuré.

    [NSHELP-22438]

  • L’appliance Citrix Gateway peut se bloquer car certaines commandes ne sont pas exécutées.

    [NSHELP-22371]

  • L’appliance Citrix Gateway peut se bloquer par intermittence si une politique Syslog est configurée.

    [NSHELP-22304]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • Lorsque le serveur Syslog est configuré via TCP, certains journaux ne sont pas envoyés par intermittence au serveur Syslog.

    [NSHELP-21624]

  • Si une appliance Citrix ADC est configurée pour l’authentification nFactor, en cas d’échec de l’authentification RADIUS, l’appliance Citrix ADM affiche incorrectement le type d’authentification ayant échoué en tant que « LDAP ».

    [NSHELP-20440]

  • Lorsque vous mettez à niveau votre environnement Unified Gateway vers la version 13.0 build 58.x ou ultérieure, le bouton DTLS est désactivé sur le serveur virtuel de commutation de contenu configuré avant la passerelle ou le serveur virtuel VPN. Vous devez activer manuellement le bouton DTLS sur le serveur virtuel de commutation de contenu après la mise à niveau. N’activez pas le potentiomètre DTLS si vous utilisez l’assistant pour la configuration.

    [CGOP-13972]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • La connexion ICA entraîne un saut d’analyse lors de l’analyse ICA si les utilisateurs utilisent le récepteur MAC avec la version 6.5 de Citrix Virtual App and Desktops (anciennement Citrix XenApp et XenDesktop).
    Solution : mettez à niveau le récepteur vers la dernière version de l’application Citrix Workspace.

    [CGOP-13532]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [ CGOP-13511 ]

  • Dans Outlook Web App (OWA) 2013, cliquez sur « Options » dans le menu Paramètres pour afficher une boîte de dialogue « Erreur critique ». De plus, la page ne répond plus.

    [ CGOP-7269 ]

Équilibrage de charge

  • Dans une configuration de cluster, les règles ACL avec les paramètres VLAN ne prennent pas effet, ce qui fait que les paquets entrent en contact avec d’autres règles ACL.

    Ce problème se produit lorsque vous supprimez un serveur virtuel dans la configuration du cluster, ce qui empêche les nœuds du cluster d’ajouter des informations VLAN sur les paquets dirigés.

    [NSHELP-22103]

  • Dans une configuration haute disponibilité (HA), lorsque le nœud secondaire redémarre, le nœud principal peut se bloquer lors de la mise en miroir des sessions vers le nœud secondaire.

    [NSHELP-21715]

  • L’appliance Citrix ADC peut manquer de mémoire lorsqu’un client envoie des paquets à intervalles réguliers mais que le premier paquet est bloqué dans l’appliance. Par conséquent, les paquets sont mis en file d’attente et l’appliance manque de mémoire pour stocker les paquets.

    [NSHELP-20871]

Mise en réseau

  • Les messages d’erreur suivants peuvent s’afficher si vous configurez plus de 100 VLAN dans la liste TrunkAllowedVLAN sur une interface de l’instance Citrix ADC :
    ERREUR : expiration du délai d’exécution
    ERREUR : erreur de communication avec le moteur de paquets

    [NSNET-4312]

  • L’appliance Citrix ADC peut échouer lors d’une traduction NAT64 d’un paquet de demande IPv6 reçu si la condition suivante est vraie :

    Les 32 derniers bits de l’adresse IPv6 de destination, qui est l’adresse IPv4 de destination traduite, sont supérieurs à 240.0.0.0 (appartient à la plage IP réservée).

    Solution : ajoutez une ACL pour refuser de tels paquets.

    [NSHELP-22742]

  • Une appliance Citrix ADC peut se bloquer pendant le déploiement si les conditions suivantes sont respectées :
    • Le protocole TCP multichemin (MPTCP) est activé avec MBF et PMTUD
    • Le trafic MPTCP est reçu et la réponse provoque l’erreur ICMP Fragmentation Needed.

    [NSHELP-22418]

  • Dans une configuration à haute disponibilité, l’une des appliances Citrix ADC peut se bloquer si vous effectuez une mise à niveau logicielle en service (ISSU) à partir de la version 13.0 47.24 ou antérieure du logiciel Citrix ADC vers une version ultérieure.

    [NSHELP-21701]

  • Dans une configuration de cluster avec l’option RetainConnectionsOnCluster activée, un nœud de cluster peut se bloquer lorsqu’il reçoit des paquets fragmentés suivis de paquets non fragmentés.

    [NSHELP-21674]

  • Lorsque l’appliance Citrix ADC nettoie un grand nombre de connexions au serveur dans le cadre de la commande de suppression, le processus Pitboss peut redémarrer. Ce redémarrage de Pitboss peut provoquer le blocage de l’appliance ADC.

    [NSHELP-136]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

  • L’action de réécriture du type insert_after peut ne pas fonctionner avec une réponse HTTP fragmentée ou terminée par FIN.

    [NSHELP-22743]

SSL

  • La commande Mettre à jour n’est pas disponible pour les commandes d’ajout suivantes :
    • add azure application
    • add azure keyvault
    • add ssl certkey with hsmkey option

    [NSSSL-6484]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation de la CRL désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont remplies :
    • Une paire de clés de certificat est ajoutée avec l’option de surveillance d’expiration activée.
    • La date du certificat est antérieure au 01/01/1970.

    [NSHELP-22934]

  • L’appliance Citrix ADC peut se bloquer lors d’une liaison TLS 1.3 abrégée (reprise) si tous les paramètres suivants sont appliqués à un profil SSL :

    • SNIHttpHostMatch est défini sur CERT
    • TLSv1.3 est activé
    • Le ticket de session est activé.

    Solution : définissez SNIHttpHostMatch sur STRICT ou NO.

    [NSHELP-22126]

  • Une appliance Citrix ADC partitionnée risque de ne pas répondre comme prévu si vous effectuez les actions suivantes :
    1) Créez deux répondeurs OCSP dans des partitions différentes.
    2) Effacez la configuration dans une partition.
    3) Supprimez le répondeur OCSP dans l’autre partition.

    [NSHELP-20861]

  • Dans une configuration de cluster, la configuration en cours sur l’adresse IP du cluster (CLIP) indique le groupe de chiffrement DEFAULT_BACKEND lié à des entités, alors qu’il est absent sur les nœuds. Il s’agit d’un problème d’affichage.

    [NSHELP-13466]

System

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont respectées :
    • HTTP/2 activé dans le profil HTTP lié à un serveur virtuel d’équilibrage de charge de type HTTP/SSL ou service.
    • Option de multiplexage des connexions désactivée dans le profil HTTP lié au serveur ou au service virtuel d’équilibrage de charge.

    [NSHELP-21202]

  • Pour la génération de pièges synflood, si vous ne réinitialisez pas les valeurs de liaison aux varbinding, l’appliance utilise les anciennes valeurs de liaison aux varbinding au lieu des valeurs actuelles et des valeurs seuils.

    [NSHELP-20653]

  • Dans le protocole TCP à chemins multiples (MPTCP), les compteurs SI_CUR_Clients et SI_CUR_CLNT_ConnOpenest sont incrémentés deux fois.

    [NSHELP-19896]

Interface utilisateur

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPSec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

  • Seuls les trois derniers chiffres de l’année sont affichés dans la ligne « Up since (Local) » de la commande « stat system ».

    [NSHELP-22960]

  • Lorsque vous utilisez la barre de défilement du tableau de bord Syslog dans l’interface graphique de Citrix ADC, la page défile rapidement ou affiche des espaces blancs.

    [NSHELP-21267]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

    1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions suivantes :

      • 13.0 52.24 build
      • 12.1 57.18 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système à l’aide de l’interface de ligne de commande :
    À l’invite de commande, tapez :

    query ns config -changedpassword [-config ]

    Solution :

    Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.

    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.

    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système. Pour plus d’informations, consultez : https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Notes de publication pour la version 13.0-58.32 de Citrix ADC