ADC

Notes de mise à jour pour la version 13.0—64.35 de Citrix ADC

Ce document de notes de mise à jour décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent pour la version 13.0—64.35 de Citrix ADC.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
  • Les versions 13.0-64.35 et ultérieures corrigent les failles de sécurité décrites dans. https://support.citrix.com/article/CTX281474

Nouveautés

Les améliorations et modifications disponibles dans les versions 13.0—64.35.

Authentification, autorisation et audit

  • Augmentation de la valeur de longueur maximale individuelle pour l’attribut SAML

    La longueur maximale individuelle des attributs SAML a été augmentée pour permettre un maximum de 40 000 octets. La taille de tous les attributs ne doit pas dépasser 40 000 octets. Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/saml-authentication/citrix-adc-saml-sp.html.

    [NSAUTH-8225]

  • Augmentation de la valeur de longueur maximale pour les attributs

    La valeur de longueur maximale pour les attributs suivants a été modifiée comme suit.

    • set samlaction <saml-action-name> -samlissuerName - 511 (new max length)
    • set samlidPProfile <saml-idp-profile-name> -samlissuerName - 511 (new max length)
    • set samlidPProfile <saml-idp-profile-name> -serviceProviderID - 511 (new max length)
    • set tm samlSSOProfile <saml-sso-profile-name> -samlissuerName - 511 (new max length)
    • set vpn samlSSOProfile <saml-sso-profile-name> -samlissuerName - 511 (new max length)
    • set oauthaction <oauth-action-name> -clientSecret - 239 (new max length)
    • set oauthaction <oauthidp_profile-name> -clientSecret - 239 (new max length)

    [NSAUTH-8180]

  • Prise en charge de la désactivation des faibles authentifications Basic, Digest et NTLM à l’échelle mondiale

    La configuration SSO est désormais plus sécurisée en désactivant globalement les méthodes d’authentification faibles suivantes.

    • Authentification basique
    • Authentification d’accès Digest
    • NTLM sans définir la clé Negotiate NTLM2 ou Negotiate Sign

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/enable-sso-for-auth-pol.html.

    [ NSAUTH-7747 ]

  • Possibilité de démarrer un flux nFactor avec un bloc de décision dans le visualiseur nFactor

    À l’aide du visualiseur nFactor, vous pouvez désormais démarrer le flux nFactor avec un bloc de décision. Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/multi-factor-nfactor-authentication/nfactor-authentication-simplification.html.

    [NSAUTH-7665]

  • Support pour client_assertion_type et client_assertion dans l’API de jetons OAuth

    La fonctionnalité OAuth prend désormais en charge les fonctionnalités suivantes dans l’API de jeton du côté de la partie de confiance (RP) et du côté IdP de Citrix Gateway et Citrix ADC.

    • Prise en charge de PKCE (Proof Key for Code Exchange)
    • Prise en charge de client_assertion

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/oauth-authentication/citrix-adc-oauth-sp.html.

    [NSAUTH-6243]

Appliance Citrix ADC SDX

  • Mise à niveau automatique de l’agent intégré sans initialisation

    À partir de Citrix ADC version 13.0 build 61.xx et versions ultérieures, l’appliance Citrix ADC SDX possède des agents intégrés dotés de la fonctionnalité ADM Service Connect. L’agent intégré Citrix ADM disponible sur l’appliance ADC SDX démarre comme un démon actif et communique avec le service ADM. Une fois la communication établie avec le service ADM, l’agent intégré se met automatiquement à niveau vers la dernière version logicielle régulièrement.

    [NSSVM-3919]

  • Fonctionnalité de connexion au service Citrix ADM pour permettre l’intégration automatique au service Citrix ADM

    La fonctionnalité de connexion au service Citrix Application Delivery Management (ADM) permet une intégration fluide des appliances Citrix ADC SDX au service Citrix ADM. Cette fonctionnalité permet à l’appliance ADC SDX de se connecter automatiquement au service ADM et d’envoyer des données système, d’utilisation et de télémétrie au service ADM. À l’aide de ces données, vous pouvez obtenir des informations et des recommandations pour votre infrastructure Citrix ADC, sur le service Citrix ADM.

    Par défaut, la fonctionnalité de connexion au service Citrix ADM est activée lorsque vous installez ou mettez à niveau l’appliance Citrix ADC SDX.

    Pour plus d’informations, consultez les rubriques suivantes :

    Remarque : La fonctionnalité de connexion au service ADM est désormais disponible sur les instances Citrix ADC et les appliances Citrix Gateway, mais la fonctionnalité correspondante sur le service Citrix ADM n’est pas encore disponible. Citrix met à jour cette note lorsque la fonctionnalité correspondante est disponible dans le service ADM afin que vous puissiez tirer pleinement parti de cette fonctionnalité.

    [NSSVM-3911]

Citrix Web App Firewall

  • Apprentissage et déploiement de règles de relaxation en cas de violation d’URL XSS

    Le Citrix Web App Firewall peut désormais détecter les violations d’URL XSS et déployer des règles de relaxation pour les scénarios de faux positifs.

    Remarque : Dans une configuration de cluster, tous les nœuds doivent être de la même version pour déployer des règles d’URL XSS.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/top-level-protections/html-cross-site-scripting-check.html%23using-the-learn-feature-with-the-html-cross-site-scripting-check.

    [NSWAF-5186]

  • Contrôle de sécurité pour bloquer les violations de la limite de taille du corps des publications HTTP. Le profil Citrix Web App Firewall prend désormais en charge « PostBodyLimitAction » en tant que contrôle de sécurité configurable pour respecter les paramètres d’erreur et bloquer les demandes (à l’exception de l’URL de redirection) si la taille du corps de publication HTTP dépasse la limite maximale autorisée. Le contrôle de sécurité s’applique également aux demandes dont l’en-tête de codage de transfert est défini comme fragmenté. Auparavant, les violations de la limite du nombre de messages entraînaient une réponse du serveur de 400.

    Le format du journal pour le paramètre « PostBodyLimitAction » est désormais identique au format du journal d’audit.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/app-firewall-profile-settings.html.

    [NSWAF-5184]

Équilibrage de charge

  • Longueur de caractères accrue pour le nom du moniteur

    Le nombre de caractères dans le nom du moniteur est désormais porté à 255 caractères.

    [NSLB-5223]

Réseau

  • Modification du schéma de numérotation des interfaces dans les appliances Citrix ADC BLX

    Le schéma de numérotation des interfaces d’une appliance Citrix ADC BLX est modifié de manière à s’aligner sur les autres plateformes Citrix ADC. Citrix vous recommande de mettre à jour tous les scripts qui dépendent de la numérotation de l’interface.

    Auparavant, les deux interfaces internes étaient numérotées en tant que première et dernière interface. Toutes les interfaces dédiées (dans une appliance Citrix ADC en mode non-DPDK ou DPDK) sont numérotées entre la première et la dernière interface interne.

    Exemple 1 : une appliance Citrix ADC BLX en mode non-DPDK avec deux interfaces dédiées :

    • Les interfaces BLX internes sont numérotées 0/1 et 0/4.
    • Les interfaces dédiées sont numérotées 0/2 et 0/3.

    Exemple 2 : une appliance Citrix ADC BLX en mode DPDK avec une interface DPDK :

    • Les interfaces BLX internes sont numérotées 0/1 et 0/3.
    • L’interface DPDK est numérotée 0/2.

    À partir de cette version, les interfaces d’une appliance Citrix ADC sont numérotées dans l’ordre séquentiel suivant :

    • Les deux interfaces internes sont numérotées en tant que première et seconde interface.
    • interfaces dédiées.
    • Interfaces DPDK (dans les appliances Citrix ADC en mode DPDK).

    Exemple 1 : une appliance Citrix ADC BLX en mode non-DPDK avec deux interfaces dédiées :

    • Les interfaces BLX internes sont numérotées 0/1 et 0/2.
    • Les interfaces dédiées sont numérotées 0/3 et 0/4.

    Exemple 2 : une appliance Citrix ADC BLX en mode DPDK avec une interface DPDK (40G) et une interface dédiée non DPDK :

    • Les interfaces BLX internes sont numérotées 0/1 et 0/2.
    • L’interface dédiée non-DPDK est numérotée 0/3.
    • L’interface DPDK (40G) est numérotée 40/1.

    [NSNET-17067]

  • Prise en charge des mots de passe autres que ceux par défaut pour l’utilisateur root sur Citrix ADC CPX

    Citrix ADC CPX prend désormais en charge les mots de passe autres que les mots de passe par défaut pour l’utilisateur root (nsroot). Lorsque vous déployez CPX, un mot de passe aléatoire est généré et attribué à l’utilisateur root. Vous pouvez également le modifier manuellement.

    [NSNET-10520]

  • Support des licences locales par abonnement pour les appliances Citrix ADC BLX

    Une licence locale est similaire à une licence perpétuelle, mais elle a une date d’expiration. L’abonnement logiciel qui constitue les licences locales est basé sur la durée et peut être installé sans nécessiter ADM en tant que serveur de licences.

    Le type de licences locales d’abonnement suivant est disponible pour les appliances Citrix ADC BLX :

    Licence locale d’abonnement basée sur la bande passante. Ce type de licence est appliqué avec un débit maximum autorisé auquel une appliance Citrix ADC BLX particulière a droit. Chaque licence locale est également liée à l’une des éditions du logiciel Citrix ADC (Standard, Enterprise ou Platinum), qui permet de débloquer l’ensemble des fonctionnalités ADC de cette édition dans une appliance Citrix ADC BLX. Le support Embedded Select est inclus avec l’achat de la licence locale par abonnement.

    Exemple :

    Un abonnement Citrix ADC BLX 10 Gbit/s Premium Edition donne droit à une appliance Citrix ADC BLX avec un débit maximum autorisé de 10 Gbit/s. Cette licence déverrouille également toutes les fonctionnalités ADC, répertoriées dans l’édition Premium, dans l’appliance Citrix ADC BLX.

    [NSNET-9189]

  • Prise en charge des cartes réseau Mellanox pour les appliances Citrix ADC BLX en mode DPDK

    Les appliances Citrix ADC BLX prennent désormais en charge les cartes réseau Mellanox dotées du pilote MLX5 pour le déploiement en mode DPDK.

    [ NSNET-8946 ]

Stratégies

  • Vérification du certificat du serveur pour l’importation de la page HTML du répondeurVous pouvez désormais utiliser la commande « import responder htmlpage » pour envoyer des réponses d’erreur HTML au client. Auparavant, aucune validation de certification du serveur n’avait lieu lors de l’importation de pages HTML. Ce problème est désormais résolu à l’aide d’un nouveau paramètre, « CAcertFile ». Vous pouvez configurer le paramètre pour vérifier l’authentification du certificat du serveur lors de l’importation d’une page HTML.
    Remarque : Si vous ne configurez pas le nom du fichier du certificat de l’autorité de certification, les certificats de l’autorité de certification racine par défaut sont utilisés pour vérifier le certificat du serveur.
    import responder htmlpage [<src>] <name> [-comment <string>] [-overwrite][-CAcertFile <string>]

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/appexpert/responder/configuring-responder-action.html%23configure-html-page-import.

    [ NSPOLICY-3620 ]

Système

  • Support pour lier le profil d’analyse à l’échelle mondialeVous pouvez désormais lier le profil d’analyse à l’échelle mondiale.
    Auparavant, vous deviez lier le profil d’analyse à chaque serveur virtuel.

    [NSBASE-11079]

  • Données statistiques pour l’inspection du contenu ICAP, IPS et IDS

    Les données statistiques sont désormais disponibles pour les fonctionnalités d’inspection du contenu ICAP, IPS et IDS.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/content-inspection-statistics-for-icap-ips-ids.html.

    [NSBASE-10447]

Interface utilisateur

  • Mise à niveau automatique des agents intégrés sans initialisation

    À partir de Citrix ADC version 13.0 build 61.xx et versions ultérieures, l’agent intégré Citrix ADM disponible sur les instances Citrix ADC communique avec le service ADM sans initialisation sur l’instance ADC correspondante. Une fois la communication avec le service ADM établie, l’agent intégré effectue régulièrement des mises à niveau automatiques vers la dernière version logicielle.

    Auparavant, vous deviez initialiser l’agent intégré sur les instances Citrix ADC à l’aide des commandes « mastools », pour établir la communication avec le service ADM et pour les mises à niveau automatiques régulières.

    [NSCONFIG-4153]

  • Fonctionnalité de connexion au service Citrix ADM pour permettre l’intégration automatique au service Citrix ADM

    La fonctionnalité de connexion au service Citrix Application Delivery Management (ADM) permet une intégration fluide des instances Citrix ADC MPX, SDX et VPX et des appliances Citrix Gateway au service Citrix ADM. Cette fonctionnalité permet à l’instance ADC ou à l’appliance Gateway de se connecter automatiquement au service ADM et d’envoyer des données système, d’utilisation et de télémétrie au service ADM. À l’aide de ces données, vous obtenez des informations et des recommandations pour votre infrastructure Citrix ADC sur le service Citrix ADM.

    Par défaut, la fonctionnalité de connexion au service Citrix ADM est activée lorsque vous installez ou mettez à niveau des instances Citrix ADC MPX, SDX et VPX ou l’appliance Citrix Gateway.

    Pour plus d’informations, consultez les rubriques suivantes :

    Remarque : La fonctionnalité de connexion au service ADM est désormais disponible sur les instances Citrix ADC et les appliances Citrix Gateway, mais la fonctionnalité correspondante sur le service Citrix ADM n’est pas encore disponible. Citrix met à jour cette note lorsque la fonctionnalité correspondante est disponible dans le service ADM afin que vous puissiez tirer pleinement parti de cette fonctionnalité.

    [NSCONFIG-4150]

  • Fonctionnalité de connexion au service Citrix ADM pour permettre l’intégration automatique au service Citrix ADM

    La fonctionnalité de connexion au service Citrix Application Delivery Management (ADM) permet une intégration fluide des instances Citrix ADC MPX, SDX et VPX et des appliances Citrix Gateway au service Citrix ADM. Cette fonctionnalité permet à l’instance ADC ou à l’appliance Gateway de se connecter automatiquement au service ADM et d’envoyer des données système, d’utilisation et de télémétrie au service ADM. À l’aide de ces données, vous obtenez des informations et des recommandations pour votre infrastructure Citrix ADC sur le service Citrix ADM.

    Par défaut, la fonctionnalité de connexion au service Citrix ADM est activée lorsque vous installez ou mettez à niveau des instances Citrix ADC MPX, SDX et VPX ou l’appliance Citrix Gateway.

    Pour plus d’informations, consultez les rubriques suivantes :

    Remarque : La fonctionnalité de connexion au service ADM est désormais disponible sur les instances Citrix ADC et les appliances Citrix Gateway, mais la fonctionnalité correspondante sur le service Citrix ADM n’est pas encore disponible. Citrix met à jour cette note lorsque la fonctionnalité correspondante est disponible dans le service ADM afin que vous puissiez tirer pleinement parti de cette fonctionnalité.

    [NSCONFIG-3793]

Problèmes résolus

Les problèmes qui sont résolus dans la version 13.0—64.35.

Authentification, autorisation et audit

  • Si une appliance Citrix ADC est configurée pour la connexion OTP et que le champ OTP est laissé vide, l’authentification échoue. Dans un tel scénario, l’appliance enregistre le mot de passe utilisateur dans le fichier ns.log, ce qui pose un problème de sécurité.

    [NSHELP-24027]

  • Dans certains cas, l’assertion SAML est interrompue lorsque les valeurs d’attribut comportent des balises XML. Cela entraîne l’échec de l’extraction des attributs.

    [NSHELP-23940]

  • Une appliance Citrix ADC configurée en tant que fournisseur d’identité (IdP) pour Citrix Workspace peut se bloquer lorsque les utilisateurs font partie d’un grand nombre de groupes Active Directory.

    [NSHELP-23899]

  • L’utilisateur ne reçoit pas d’invite d’authentification 401 car l’appliance Citrix ADC demande la configuration d’authentification à partir d’une structure de serveur virtuel incorrecte.

    [NSHELP-23892]

  • La connexion à Citrix Workspace échoue lorsqu’une appliance Citrix ADC est configurée en tant que fournisseur d’identité (IdP) pour Citrix Workspace et qu’une erreur d’extraction d’attributs personnalisés se produit.

    [NSHELP-23843]

  • Dans certains cas, le fichier « ns.log » de l’appliance Citrix ADC est incorrectement inondé avec les messages de journal suivants « réclamations autorisées dans le schéma de connexion actuel ».

    [NSHELP-23593]

  • Les politiques de session VPN liées à un utilisateur ou à un groupe d’authentification, d’autorisation et d’audit ne sont pas appliquées si l’appliance Citrix ADC est accessible par un client VPN à l’aide de la méthode d’authentification Webview nFactor.

    [NSHELP-23526]

  • L’interface graphique de Citrix ADC située sur la page « System Global Authentication Policy Binding » contient les erreurs suivantes :

    • Le champ Goto Expression affiche incorrectement « FIN » au lieu de « SUIVANT ».
    • La politique du facteur suivant lié n’est pas reflétée dans le champ « Facteur suivant ».

    [NSHELP-23474]

  • Dans de rares cas, le nom d’utilisateur de la session apparaît à tort comme « anonyme » au lieu du nom commun du certificat de l’appareil si les deux conditions suivantes sont remplies.

    • Une appliance Citrix ADC est configurée pour l’authentification nFactor.
    • Le certificat de périphérique est configuré comme le seul facteur d’une configuration nFactor.

    [NSHELP-23243]

  • L’authentification SAML pour le dernier facteur échoue lorsque les deux conditions suivantes sont remplies :

    • L’appliance Citrix ADC est configurée en tant que SP SAML.
    • L’EPA est activé sur le serveur virtuel VPN en tant que politique de pré-authentification et le thème RFWebUI est lié au serveur.

    [NSHELP-22932, NSHELP-22819]

  • L’établissement de la session échoue lors de l’accès à partir de l’application Citrix Workspace à l’aide de Webview si l’EPA de préauthentification est configurée en même temps que l’authentification nFactor.

    [NSHELP-22845]

  • La page de connexion d’une appliance Citrix ADC ne s’affiche pas correctement lorsque LDAP et SAML sont configurés comme mécanisme d’authentification principal.

    [NSHELP-22713]

  • Lorsque vous ouvrez une session sur l’appliance Citrix Gateway, une page blanche s’affiche si les conditions suivantes sont remplies :

    • L’appliance Citrix Gateway est configurée pour l’authentification nFactor avec SAML comme prochain facteur de licence de licence.
    • Vous cliquez sur la flèche de retour pour revenir à la page précédente pendant le processus d’ouverture de session.

    [NSHELP-22604]

  • Dans certains cas, une appliance Citrix ADC se bloque en raison de la corruption de la mémoire provoquée par le remplacement de la mémoire tampon pour la liste des périphériques OTP.

    [NSHELP-22478]

  • Parfois, l’authentification SSO basée sur un formulaire échoue pour la première fois si un Set-Cookie est contenu dans l’en-tête de réponse HTTP du formulaire HTML.

    [NSHELP-21740]

Gestion des bots

  • Une interruption de service peut survenir lors de l’exécution si la technique de détection TPS de gestion des robots est configurée avec l’action « atténuation ».

    [NSBOT-124]

  • Lors d’une mise à niveau, une appliance Citrix ADC peut se bloquer si le fichier de signature du bot contient de longues chaînes.

    [NSBOT-37]

  • Une appliance Citrix ADC peut se bloquer si vous modifiez le profil de gestion des bots lors du traitement du trafic.

    [NSBOT-4, NSHELP-25196]

Appliance Citrix ADC SDX

  • Une chaîne de modèle de plate-forme incorrecte s’affiche lorsque vous configurez des licences groupées sur les appliances Citrix ADC SDX 8400, 8600 ou 8015.

    [NSHELP-24234]

  • Si vous effectuez une sauvegarde d’une appliance SDX, la restauration des instances sur une autre appliance SDX échoue.

    [NSHELP-23947]

  • Sur une appliance Citrix ADC SDX 8900, le nombre d’instances disponibles pour le provisionnement est réduit après la mise à niveau de l’appliance.

    [NSHELP-23808]

  • La mise à niveau d’une appliance Citrix ADC SDX vers la version 12.1 build 57.x peut échouer car un processus du service de gestion ne répond pas.

    [NSHELP-23612]

  • Sur l’appliance Citrix ADC SDX, un utilisateur disposant d’autorisations en lecture seule peut transférer des fichiers vers le service de gestion à l’aide d’un utilitaire de transfert de fichiers, tel que SCP ou SFTP.

    [NSHELP-22638]

Citrix Gateway

  • L’appliance Citrix Gateway peut se bloquer lors de l’ajout d’un code JavaScript cookie_watch alors qu’il gère du trafic VPN sans client.

    [NSHELP-24096]

  • Vous ne pouvez pas désactiver le plug-in Citrix Gateway EPA depuis l’interface graphique après la mise à niveau vers la version 13.0 build 58.30.

    [NSHELP-24016]

  • Le plug-in VPN ne peut pas charger la page de connexion Citrix Gateway si un numéro de port est spécifié lors de la connexion. Ce problème se produit uniquement si l’authentification nFactor est configurée pour le serveur virtuel de l’appliance.

    [NSHELP-23925]

  • Lorsqu’un tunnel VPN est actif, les utilisateurs ne peuvent pas accéder à un portail si les conditions suivantes sont remplies :

    • Les applications intranet basées sur le nom d’hôte sont configurées avec un tunnel partagé inversé.
    • Le nom d’hôte du portail correspond au nom d’une application intranet.

    [NSHELP-23912]

  • Sur la page du serveur virtuel VPN, le résumé des thèmes, des politiques et des profils du portail configurés n’apparaît pas sur le côté gauche de la page.

    [NSHELP-23903]

  • Dans de rares cas, une appliance Citrix Gateway peut se bloquer lors du traitement des demandes de transfert, d’ouverture de session ou de déconnexion.

    [NSHELP-23863]

  • Le plug-in Windows ne peut pas effectuer une connexion de transfert fluide en mode de service Always On si le thème du portail RFWebUI est lié au serveur virtuel Citrix ADC.

    [NSHELP-23837]

  • Lorsque vous mettez à niveau votre plug-in VPN vers la version 13.0, des requêtes DNS sont envoyées aux serveurs DNS locaux et distants si le tunnel partagé est défini sur OFF.

    [NSHELP-23826]

  • Les requêtes DNS locales via le plug-in VPN si elles sont spécifiées pour un serveur DNS particulier ne sont pas prises en compte car les requêtes sont envoyées à des serveurs DNS sélectionnés de manière aléatoire sur le client.

    [NSHELP-23743]

  • L’écran d’identification Windows ne s’actualise pas une fois le réseau rétabli.

    [NSHELP-23594]

  • Les dossiers SAP ne fonctionnent pas comme prévu lorsqu’ils sont accessibles via un VPN sans client avancé.

    [NSHELP-23561]

  • En mode de service Citrix Gateway Always On, lorsque la machine est redémarrée, le tunnel n’est pas établi si une adresse IP intranet est configurée.

    [NSHELP-23304]

  • L’appliance Citrix ADC se bloque si la commande « show vpn storeinfo » est exécutée à plusieurs reprises.

    [NSHELP-23144]

  • Le lancement de l’application ICA Proxy via le canal SOCKS échoue.

    [NSHELP-23111]

  • Les utilisateurs ne peuvent pas accéder aux ressources via le VPN lorsque les machines sortent de l’état de veille ou d’hibernation.

    [NSHELP-23024]

  • Le plug-in VPN ne peut pas établir de session fluide après le redémarrage de l’appliance Citrix Gateway, car la configuration est remplacée lorsque Always On est activé.

    [NSHELP-22674]

  • Dans de rares cas, l’appliance Citrix ADC peut ne plus répondre si l’appliance est configurée pour l’EDT et que HDX Insight est activé pour les sessions EDT.

    [NSHELP-22640]

  • L’appliance Citrix Gateway se bloque lors de l’accès à la configuration du serveur DNS si le proxy RDP est configuré et que la résolution DNS est tentée après la résolution WINS.

    [NSHELP-22577]

  • Dans une configuration haute disponibilité à double saut de Citrix Gateway, la connexion ICA peut être perdue après un basculement HA.

    [NSHELP-22444]

  • L’appliance Citrix Gateway peut se bloquer car certaines commandes ne sont pas exécutées.

    [NSHELP-22371]

  • L’appliance Citrix Gateway peut se bloquer par intermittence si une politique Syslog est configurée.

    [NSHELP-22304]

Citrix Web App Firewall

  • Une appliance Citrix ADC peut se bloquer si le côté réponse ou les contrôles de sécurité XML sont activés et que les expressions de journal sont configurées dans un profil de Web App Firewall.

    [NSWAF-6466]

  • Dans une configuration de cluster, la commande unbind permettant de configurer une règle de relaxation de vérification par script HTML intersite avec l’emplacement comme URL échoue.

    [NSWAF-6463]

  • Dans une configuration de cluster, l’agrégation de données aslearn du Citrix Web App Firewall sur le nœud coordinateur du cluster (CCO) échoue lorsque les nœuds RPC sont sécurisés.

    [NSWAF-6460]

  • Après une mise à niveau, les valeurs « BufferOverflowMaxQueryLength » et « BufferOverflowMaxHeaderLength » d’un profil Citrix Web App Firewall existant peuvent ne pas être adaptées au déploiement. Par conséquent, il se peut que vous deviez modifier les valeurs si elles sont incorrectes.

    [NSWAF-6346]

  • Une appliance Citrix ADC peut se bloquer si la signature du bot est activée avec la configuration d’un serveur DNS externe.

    [NSHELP-24190]

  • Les requêtes POST dont le type de contenu est « application/octet-stream » ne sont pas traitées si le streaming est activé sans signature définie.

    [NSHELP-22668]

  • Dans une configuration à haute disponibilité, la session Web App Firewall sur le nœud secondaire est une session obsolète.

    [NSHELP-20288]

Équilibrage de charge

  • La synchronisation en temps réel de la configuration GSLB du site principal vers les sites subordonnés peut échouer si l’option sécurisée est activée pour le nœud RPC du site distant.

    [NSHELP-24178]

  • Une appliance Citrix ADC peut se bloquer lorsque vous essayez d’évaluer les politiques d’abonnement et que GXSessionReporting est activé.

    [NSHELP-24159]

  • L’appliance Citrix ADC se bloque si le paramètre StoreDB est activé dans le moniteur MYSQL-ECV.

    [NSHELP-23983]

  • Lorsque vous ajoutez deux groupes de services avec la même valeur pour le paramètre « devno » de manière explicite à l’aide de la CLI, l’ajout du second groupe de services échoue. Cela est dû au fait que le même devno est déjà attribué au premier groupe de services. Il est recommandé de ne pas fournir le devno explicitement à partir de la CLI car il est automatiquement renseigné.

    [NSHELP-23817]

  • Si l’option de vérification de l’état est activée pour l’interface Gx et que le serveur Gx ne répond pas, aucune session TTL négative n’est créée.

    [NSHELP-23355]

  • Pour les demandes DNS UDP, la session d’abonné doit être créée en fonction de l’adresse IP de destination plutôt que de l’adresse IP source, si une expression d’abonné et une expression DNS sont utilisées dans la même politique.

    [NSHELP-22521]

  • Dans une configuration de cluster, les règles ACL avec les paramètres VLAN ne prennent pas effet, ce qui fait que les paquets entrent en contact avec d’autres règles ACL.

    Ce problème se produit lorsque vous supprimez un serveur virtuel dans la configuration du cluster, ce qui empêche les nœuds du cluster d’ajouter des informations VLAN sur les paquets dirigés.

    [NSHELP-22103]

  • Dans une configuration haute disponibilité (HA), lorsque le nœud secondaire redémarre, le nœud principal peut se bloquer lors de la mise en miroir des sessions vers le nœud secondaire.

    [NSHELP-21715, NSHELP-34301]

Divers

  • Certaines commandes présentes dans le fichier rc.netscaler ne sont pas appliquées correctement après le redémarrage d’une appliance Citrix ADC, ce qui peut empêcher l’appliance de fonctionner comme prévu.

    [NSHELP-22507]

Réseau

  • Le script nstcpdump.sh ne s’exécute pas sur l’interface de ligne de commande Citrix ADC BLX connectée via SSH et connectée à l’aide des informations d’identification d’administrateur par défaut (nsroot). Le script échoue car l’administrateur par défaut (nsroot) n’est pas autorisé à accéder à certains fichiers et ressources réseau.

    [ NSNET-16816 ]

  • Dans une configuration de haute disponibilité avec la mise en miroir des connexions activée pour le trafic FTP, le nœud secondaire peut se bloquer si la condition suivante est vraie.

    • la connexion de données se propage au nœud secondaire avant la connexion de contrôle

    [NSHELP-24088]

  • Lorsque le mode L2 est activé, l’appliance Citrix ADC transmet les paquets de diffusion DHCP reçus dans la partition par défaut.

    [NSHELP-23957]

  • L’appliance Citrix ADC peut échouer lors d’une traduction NAT64 d’un paquet de demande IPv6 reçu si la condition suivante est vraie :

    Les 32 derniers bits de l’adresse IPv6 de destination, qui est l’adresse IPv4 de destination traduite, sont supérieurs à 240.0.0.0 (appartient à la plage IP réservée).

    [NSHELP-22742, NSHELP-25331]

  • Vous pouvez observer une utilisation élevée du processeur sur une appliance Citrix ADC lorsqu’elle envoie des paquets IPv6 fragmentés.

    [NSHELP-22699]

  • Un paquet dont l’adresse MAC virtuelle n’est pas valide comme adresse de destination est classé à tort comme un paquet dont l’adresse MAC appartient à Citrix ADC.

    [NSHELP-22697]

Plateforme

  • Sur la plate-forme Citrix ADC SDX 24000, une alerte critique sur les lecteurs logiques est générée après la mise à niveau de l’appliance vers la version logicielle 13.0. Il s’agit d’un faux positif.

    [NSHELP-23505]

  • Dans certains cas, sur une appliance Citrix ADC SDX, la configuration de certaines instances virtuelles avec des interfaces Mellanox 50G et 100G épuise la mémoire.

    [NSHELP-23394]

  • Vous devez redémarrer une appliance Citrix ADC SDX pour réinitialiser et initialiser une carte SSL lorsque celle-ci renvoie une erreur. Avec ce correctif, le redémarrage n’est pas nécessaire.

    [NSHELP-22725]

Stratégies

  • Un Citrix ADC peut se bloquer lors de l’évaluation d’un grand nombre d’expressions incorporées dans une page HTML.

    [ NSPOLICY-1462 ]

SSL

  • L’appliance Citrix ADC peut se bloquer si les conditions suivantes sont remplies :

    • Le traitement précoce des données TLS 1.3 est activé dans le profil SSL d’une partition d’administration autre que la partition par défaut.
    • Le traitement anticipé des données TLS 1.3 est désactivé dans tous les profils SSL de la partition d’administration par défaut.

    [NSHELP-23607]

  • Sur une appliance Citrix ADC, l’exécution de la commande « force failover » ou de la commande « clear config » peut provoquer un blocage si les partitions d’administration sont configurées avec l’une des entités suivantes :

    • Serveurs virtuels transparents.
    • Des services dynamiques.

    [NSHELP-23321]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont remplies :

    • Une paire de clés de certificat est ajoutée avec l’option de surveillance d’expiration activée.
    • La date du certificat est antérieure au 01/01/1970.

    [NSHELP-22934]

  • Dans une configuration de cluster, une requête de l’API NITRO visant à récupérer les liaisons de politique SSL est un succès à partir de l’adresse CLIP, mais la requête échoue si elle est exécutée à partir d’un nœud de cluster.

    [NSHELP-22853]

  • Une appliance Citrix ADC peut se bloquer s’il existe un grand nombre d’entrées OCSP mises en cache et si vous exécutez la commande clear config.

    [NSHELP-22695]

  • La configuration de CRL vides pour des mises à jour fréquentes épuise la mémoire partagée allouée sur l’appliance Citrix ADC.

    [NSHELP-22166]

  • Une appliance Citrix ADC partitionnée risque de ne pas répondre comme prévu si vous effectuez les actions suivantes :

    1. Créez deux répondeurs OCSP dans des partitions différentes.
    2. Effacez la configuration dans une partition.
    3. Supprimez le répondeur OCSP dans l’autre partition.

    [NSHELP-20861]

Système

  • Une appliance Citrix ADC risque de ne pas optimiser et de compresser des objets volumineux tels que Javascript ou CSS si l’optimisation frontale est activée.

    [NSHELP-24041]

  • Si la mise en miroir des connexions ne synchronise pas les paramètres du circuit imprimé, cela peut entraîner la perte d’options TCP telles que la taille maximale des segments (MSS) et la mise à l’échelle de la fenêtre.

    [NSHELP-23990]

  • Dans le cas du protocole de réutilisation de sessions TLS v1.2, le comportement suivant est observé dans l’appliance Citrix ADC :

    • Les informations de catégorisation sont enregistrées sur le PCB du serveur et les informations de domaine sont enregistrées sur le PCB client.
    • Les données sont envoyées à AppFlow uniquement à partir du PCB client. Par conséquent, dans les cas de réutilisation de sessions, les informations de catégorisation sont envoyées sous la forme de valeurs nulles.

    [NSHELP-23542]

  • Si un service, représentant un appareil en ligne, est en panne lorsque le trafic est inspecté, une ressource n’est pas libérée correctement. L’appliance Citrix ADC se bloque lorsque vous accédez à nouveau à cette ressource libérée.

    [NSHELP-23145]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont respectées :

    • Flash Cache est activé.
    • La connexion client est réinitialisée.
    • Demande du client dans la file d’attente à traiter dans le cadre du processus de mise en cache.

    [NSHELP-21872]

  • Pour la génération de pièges synflood, si vous ne réinitialisez pas les valeurs de liaison aux varbinding, l’appliance utilise les anciennes valeurs de liaison aux varbinding au lieu des valeurs actuelles et des valeurs seuils.

    [NSHELP-20653, NSHELP-20401, NSHELP-24490]

  • Dans le protocole TCP à chemins multiples (MPTCP), les compteurs SI_CUR_Clients et SI_CUR_CLNT_ConnOpenest sont incrémentés deux fois.

    [NSHELP-19896]

  • Parfois, les données d’analyse ne sont pas renseignées dans le service ADM.

    [NSBASE-11508]

Interface utilisateur

  • La connexion multifactorielle (nFactor) ne fonctionne pas à l’aide de l’interface graphique Citrix ADC. Après la connexion au premier facteur, la saisie de connexion au facteur suivant ne fonctionne pas.

    [NSHELP-24078]

  • Une appliance Citrix ADC peut se bloquer lorsqu’un processus interne redémarre un nombre maximal de fois.

    [NSHELP-23378]

  • Seuls les trois derniers chiffres de l’année sont affichés dans la ligne « Up since (Local) » de la commande « stat system ».

    [NSHELP-22960]

  • L’ajout direct d’un membre du groupe de services est réussi. Toutefois, l’opération échoue si vous effectuez les opérations suivantes :

    1. Accédez à Gestion du trafic > Équilibrage de charge > Groupes de services.

    2. Sélectionnez un groupe de services et cliquez sur Membres du groupe de services.

    3. Cliquez avec le bouton droit sur l’une des entrées et sélectionnez Ajouter.

    4. Dans le champ Créer un membre du groupe de services, modifiez l’adresse IP et cliquez sur Créer.

    [NSHELP-21925]

  • L’API NITRO (routerdynamicrouting) pour récupérer la configuration en cours d’exécution de ZEBOS ne récupère pas la sortie complète pour les configurations volumineuses (plus de 25 lignes).

    [NSCONFIG-3535]

Problèmes connus

Les problèmes qui existent dans la version 13.0-64.35.

Authentification, autorisation et audit

  • Sur certaines appliances Citrix ADC sur lesquelles le GSLB est activé, la redirection du serveur virtuel d’authentification vers le serveur virtuel d’équilibrage de charge échoue en raison d’un calcul d’URL non valide.

    [NSHELP-33459]

  • L’appliance Citrix ADC peut se bloquer lorsque le serveur virtuel d’authentification est utilisé dans une partition autre que celle par défaut.

    [NSHELP-32054]

  • L’authentification unique (SSO) échoue si l’authentification unique est activée pour le trafic qui ne possède pas le jeton porteur requis pour gérer l’authentification unique.

    [NSHELP-31362, NSHELP-33814]

  • Les caractères non-ASCII sont enregistrés dans nsvpn.log lorsque l’action LDAP est configurée sur un nom de domaine complet au lieu d’une adresse IP.

    [NSHELP-27281]

  • Dans certains scénarios, la commande de groupe d’authentification, d’autorisation et d’audit de liaison peut échouer si le nom de la stratégie est plus long que le nom de l’application intranet.

    [ NSHELP-25971 ]

  • L’appliance Citrix ADC vide le cœur lorsque NOAUTH est configuré comme premier facteur et Negotiate comme facteur suivant dans le flux d’authentification basé sur 401.

    [NSHELP-25203]

  • Si le mot de passe administrateur des services LDAP, RADIUS ou TACACS contient le caractère entre guillemets (“), l’appliance Citrix ADC le supprime lors de la vérification « Test de connectivité », ce qui entraîne un échec de connexion.

    [NSHELP-23630]

  • Les administrateurs ne peuvent pas effectuer de journalisation personnalisée des échecs d’authentification dus à des informations d’identification non valides. Ce problème se produit car les stratégies de réponse Citrix ADC ne détectent pas les erreurs liées aux échecs de connexion.

    [ NSAUTH-11151 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    show adfsproxyprofile <profile name>

    Solution : connectez-vous au Citrix ADC actif principal du cluster et exécutez la show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

Appliance Citrix ADC SDX

  • Lorsque vous mettez à niveau une appliance Citrix ADC SDX, dans de rares cas, l’événement incorrect suivant apparaît dans l’interface graphique du service de gestion :

    « La version SVM et la version Hypervisor ne sont pas compatibles »

    [NSHELP-32949]

  • Sur une interface graphique Citrix ADC SDX, l’affichage des serveurs NTP peut geler l’interface utilisateur si le fichier de configuration NTP (ntp.conf) ne contient que des espaces dans l’une des lignes.

    [NSHELP-31530]

Citrix Gateway

  • Les ressources de l’intranet qui se chevauchent avec une plage d’adresses IP usurpée ne sont pas accessibles lorsque le tunnel partagé est défini sur OFF sur le client Citrix Secure Access.

    [NSHELP-34334]

  • La connexion VPN permanente échoue par intermittence au démarrage en raison de l’accessibilité du serveur Gateway.

    [NSHELP-33500]

  • Si les valeurs de registre associées à Citrix Secure Access sont supérieures à 1 500 caractères, le collecteur de journaux ne parvient pas à recueillir les journaux d’erreurs.

    [NSHELP-33457]

  • L’appliance Citrix Gateway peut se bloquer si HDX Insight est activé et si un utilisateur se connecte à StoreFront immédiatement après s’être déconnecté.

    [NSHELP-32907, NSHELP-33079, NSHELP-33289]

  • Le client Citrix Secure Access, version 21.7.1.2 et versions ultérieures, ne parvient pas à effectuer la mise à niveau vers des versions ultérieures pour les utilisateurs ne disposant pas de droits d’administration. Ce problème ne s’applique que si la mise à niveau du client Citrix Secure Access est effectuée à partir d’une appliance Citrix ADC.

    [NSHELP-32793]

  • Lorsque les utilisateurs cliquent sur l’onglet Page d’accueil de l’écran Citrix Secure Access pour Windows, la page affiche l’erreur de refus de connexion.

    [NSHELP-32510]

  • Sur un appareil Mac utilisant Chrome, l’extension VPN se bloque lors de l’accès à deux noms de domaine complets.

    [NSHELP-32144]

  • Parfois, l’ouverture de session automatique de Windows ne fonctionne pas lorsqu’un utilisateur se connecte à l’ordinateur Windows en mode de service permanent. Le tunnel de la machine ne passe pas au tunnel utilisateur et au message « Connexion… » s’affiche dans l’interface utilisateur du plug-in VPN.

    [NSHELP-31357, CGOP-21192, NSHELP-34211]

  • Lorsque Always on est configuré, le tunnel utilisateur échoue en raison du numéro de version incorrect (1.1.1.1) dans le fichier aoservice.exe.

    [ NSHELP-30662 ]

  • Les utilisateurs ne peuvent pas se connecter à l’appliance Citrix Gateway après avoir changé le paramètre de profil « NetworkAccessonVPNFailure » de « FullAccess » à « OnlyToGateway ».

    [NSHELP-30236]

  • La page d’accueil de la passerelle ne s’affiche pas immédiatement après que le plug-in de passerelle a réussi à établir le tunnel VPN. Pour résoudre ce problème, la valeur de registre suivante est introduite.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Type: DWORD

    Par défaut, cette valeur de registre n’est ni définie ni ajoutée. Lorsque la valeur de « SecureChannelResetTimeoutSeconds » est 0 ou n’est pas ajoutée, le correctif pour gérer le délai ne fonctionne pas, ce qui est le comportement par défaut. L’administrateur doit définir ce registre sur le client pour activer le correctif (c’est-à-dire afficher la page d’accueil immédiatement après que le plug-in de passerelle ait établi le tunnel VPN avec succès).

    [NSHELP-30189]

  • Le client VPN Windows n’honore pas l’alerte « Notification de fermeture SSL » du serveur et envoie la demande de connexion de transfert sur la même connexion.

    [NSHELP-29675]

  • L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

    [ NSHELP-28551 ]

  • Parfois, un utilisateur est déconnecté de Citrix Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

    [ NSHELP-28404 ]

  • L’appliance Citrix Gateway peut se bloquer lors du traitement du trafic UDP initié par le serveur.

    [ NSHELP-27611 ]

  • L’appliance Citrix Gateway peut se bloquer si l’async est bloquée et que vous modifiez la configuration de la stratégie de commutation de contenu.

    [NSHELP-27570]

  • L’appliance Citrix Gateway peut se bloquer si une option de client VPN inconnue est définie dans la stratégie de session.

    [NSHELP-27380]

  • Lors de la création d’un profil client RDP à l’aide de l’interface graphique Citrix ADC, un message d’erreur apparaît lorsque les conditions suivantes sont remplies :

    • Une clé pré-partagée (PSK) par défaut est configurée.
    • Vous essayez de modifier le minuteur de validité du cookie RDP dans le champ Validité du cookie RDP (secondes).

    [ NSHELP-25694 ]

  • La sortie de la commande « show tunnel global » inclut des noms de stratégies avancés. Auparavant, la sortie n’affichait pas les noms de stratégie avancés.

    Exemple :

    Nouvelle sortie :

    show tunnel global
    Policy Name: ns_tunnel_nocmp Priority: 0

    Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy
    Priority: 1
    Global bindpoint: REQ_DEFAULT

    Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy
    Priority: 100
    Global bindpoint: RES_DEFAULT
    Done

    Sortie précédente :

    show tunnel global
    Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

    Stratégies avancées :

    Global bindpoint: REQ_DEFAULT
    Number of bound policies: 1

    Terminé

    [ NSHELP-23496 ]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • Dans une configuration de cluster Citrix ADC, HDX Insight et Gateway Insight ne peuvent pas être activés simultanément.

    [CGOP-23570]

  • L’option du système d’exploitation Windows n’est pas répertoriée dans la liste déroulante Expression Editor pour les stratégies de pré-authentification et les actions d’authentification sur l’interface graphique de Citrix ADC. Toutefois, si vous avez déjà configuré le scan du système d’exploitation Windows sur une version précédente de Citrix ADC à l’aide de l’interface graphique ou de l’interface de ligne de commande, la mise à niveau n’a aucun impact sur les fonctionnalités. Vous pouvez utiliser l’interface de ligne de commande pour apporter des modifications, si nécessaire.

    Solution :

    Utilisez les commandes CLI pour la configuration.

    • Pour configurer l’action EPA avancée dans l’authentification nFactor, utilisez la commande suivante.
      add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
    • Pour configurer une action de pré-authentification classique, utilisez les commandes suivantes.
      add aaa preauthenticationaction win_scan_action ALLOW add aaa preauthenticationpolicy win_scan_policy "CLIENT.SYSTEM('WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]') EXISTS" win_scan_action

    [CGOP-22966]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [ CGOP-13511 ]

  • Lors de l’acceptation des connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

    [ CGOP-13050 ]

  • Le texte « Page d’accueil » dans l’ application Citrix SSO > Page d’accueil est tronqué pour certaines langues.

    [ CGOP-13049 ]

  • Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, le fait de cliquer sur Options dans le menu Paramètres affiche une boîte de dialogue Erreur critique . De plus, la page ne répond plus.

    [ CGOP-7269 ]

Citrix Web App Firewall

  • Lorsque la politique du Web App Firewall est mise à jour sur le serveur virtuel, les problèmes suivants sont observés :

    • L’interface graphique et la CLI de Citrix ADC n’ont pas répondu ou ont pris plus de temps que d’habitude.
    • L’utilisation du processeur par paquets est passée à 100 %
    • Le nombre de sessions de persistance a été augmenté.

    [NSHELP-33975]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • Dans une configuration HA, l’appliance Citrix ADC se bloque lorsque le groupe de services lié à plusieurs serveurs virtuels est supprimé.

    [NSHELP-34029]

  • Lors de la mise en miroir des connexions, l’appliance Citrix ADC se bloque lorsque la politique de réécriture est supérieure à 30 octets.

    [NSHELP-32902]

  • L’appliance Citrix ADC déclenche une alerte SNMP incorrecte en cas de connexion serveur élevée en raison d’un calcul erroné du nombre de serveurs.

    [NSHELP-31582]

  • Dans une configuration GSLB, le certificat SSL est absent des sites subordonnés. Ce problème se produit lorsque l’option de synchronisation automatique est activée et que les sites subordonnés possèdent des certificats SSL qui ne sont pas disponibles sur le site principal.

    [NSHELP-29309]

  • Dans certains scénarios, les serveurs liés à un groupe de services affichent une valeur de cookie non valide. Vous pouvez voir la valeur de cookie correcte dans les journaux de suivi.

    [NSHELP-21196]

  • Dans une configuration de cluster, l’adresse IP du service GSLB n’est pas affichée dans l’interface graphique lorsqu’on y accède via des liaisons de serveurs virtuels GSLB. Il ne s’agit que d’un problème d’affichage et il n’y a aucun impact sur la fonctionnalité.

    [ NSHELP-20406 ]

Divers

  • Lorsque vous exécutez le script « ns_hw_err.bash » sur l’appliance Citrix ADC, le message d’erreur suivant s’affiche :
    « erreur : impossible d’ouvrir le fichier ‘ns_hw_plugins.py’ : [Errno 2] Aucun fichier ou répertoire de ce type »

    [NSHELP-32991]

  • L’appliance Citrix ADC définit la taille de la mémoire tampon pour la fonctionnalité de journalisation du serveur Web sur une valeur par défaut incorrecte de 3 Mo au lieu de 16 Mo.

    [NSHELP-32429]

  • Le registre de liste AlwaysOnAllow ne fonctionne pas comme prévu si la valeur du registre est supérieure à 2000 octets.

    [NSHELP-31836]

  • L’instance Citrix ADC CPX, exécutée sur un système Linux avec une architecture 64 bits et 1 To de stockage de fichiers, peut maintenant charger des fichiers de certificat et de clé.

    [NSHELP-28986]

Réseau

  • Dans une appliance Citrix ADC BLX, le NSVLAN lié à des interfaces non dpdk balisées peut ne pas fonctionner comme prévu. Le NSVLAN lié à des interfaces non dpdk non balisées fonctionne correctement.

    [NSNET-18586]

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :

    • Désactiver
    • Activer
    • Réinitialiser

    [ NSNET-16559 ]

  • Sur un hôte Linux basé sur Debian (Ubuntu version 18 et versions ultérieures), une appliance Citrix ADC BLX est toujours déployée en mode partagé, quels que soient les paramètres du fichier de configuration BLX (« /etc/blx/blx.conf »). Ce problème se produit car « mawk », qui est présent par défaut sur les systèmes Linux basés sur Debian, n’exécute pas certaines des commandes awk présentes dans le fichier « blx.conf ».

    Solution : installez « gawk » avant d’installer une appliance Citrix ADC BLX. Vous pouvez exécuter la commande suivante dans la CLI de l’hôte Linux pour installer « gawk » :

    • apt-get install gawk

    [ NSNET-14603 ]

  • L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get install libc6:i386

    [NSNET-14602]

  • Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • Le module LSN ne trouve pas le service lors de la décrémentation du nombre de références ou de la suppression du service.

    [NSHELP-29134]

  • Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • En raison d’une entrée de filtrage obsolète.

    [NSHELP-28895]

  • Dans un déploiement NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • Le module LSN a accédé à l’emplacement mémoire d’un service déjà supprimé.

    [NSHELP-28815]

  • L’appliance Citrix ADC peut ne pas générer de messages d’interruption SNMP « ColdStart » après un redémarrage à froid.

    [NSHELP-27917]

  • Dans une configuration haute disponibilité, l’adresse SNIP activée pour le routage dynamique n’est pas exposée à VTYSH au redémarrage si la condition suivante est remplie :

    • Une adresse SNIP activée pour le routage dynamique est liée au VLAN partagé dans une partition autre que celle par défaut.

    Dans le cadre du correctif, l’appliance Citrix ADC n’autorise plus la liaison d’une adresse SNIP activée pour le routage dynamique au VLAN partagé dans une partition autre que par défaut

    [NSHELP-24000]

Plateforme

  • Le basculement haute disponibilité ne fonctionne pas dans les clouds AWS et GCP. Le processeur de gestion peut atteindre sa capacité de 100 % dans les clouds AWS et GCP, et Citrix ADC VPX sur site. Ces deux problèmes sont provoqués lorsque les conditions suivantes sont remplies :

    1. Lors du premier démarrage de l’appliance Citrix ADC, vous n’enregistrez pas le mot de passe demandé.
    2. Par la suite, vous redémarrez l’appliance Citrix ADC.

    [NSPLAT-2013, NSHELP-3441]

  • Certains packages Python ne sont pas installés lorsque vous rétrogradez l’appliance Citrix ADC de la version 13.1-4.x et des versions supérieures vers l’une des versions suivantes :

    • Toute version 11.1
    • 12.1-62.21 et versions antérieures
    • 13.0-81.x et versions antérieures

    [NSPLAT-21691]

  • Sur la plate-forme Citrix ADC SDX 8015/8400/8600, vous pouvez constater une augmentation de la consommation de mémoire sur Xen Server.
    Solution : exécutez la commande suivante sur Xen Server, puis redémarrez l’appliance.
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [NSHELP-32260]

  • Lors du basculement Citrix ADC VPX HA, le mouvement d’adresse IP Elastic dans le cloud AWS échoue si vous configurez un IPset sans lier l’IPset à une adresse IP.

    [ NSHELP-29425 ]

  • Le basculement HA pour l’instance Citrix ADC VPX sur le cloud GCP et AWS échoue lorsque le mot de passe d’un nœud RPC contient un caractère spécial.

    [ NSHELP-28600 ]

Stratégies

  • Dans l’interface graphique de Citrix ADC, vous pouvez voir les actions de réécriture uniquement lorsque vous cliquez sur Afficher l’action de réécriture intégrée dans AppExpert > RéécrireActions.

    [ NSPOLICY-4843 ]

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

SSL

  • Lorsqu’un serveur virtuel reçoit un enregistrement TLS 1.3 dont le remplissage n’est pas valide, il envoie une alerte fatale « decode_error » au lieu d’une alerte « message inattendu ».

    [NSSSL-11890]

  • Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation de la CRL désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

Système

  • Un RTT élevé est observé pour une connexion TCP si la condition suivante est remplie :

    • une fenêtre de congestion maximale élevée (> 4 Mo) est définie
    • L’algorithme TCP NILE est activé

    Pour qu’une appliance Citrix ADC utilise l’algorithme NILE pour contrôler la congestion, les conditions doivent dépasser le seuil de démarrage lent, associé à la fenêtre de congestion maximale

    Ainsi, jusqu’à ce que la fenêtre de congestion maximale configurée soit atteinte, Citrix ADC continue d’accepter les données et se retrouve avec un RTT élevé.

    [NSHELP-31548]

  • Une appliance Citrix ADC peut se bloquer lorsque la condition suivante est remplie :

    • Le profil d’analyse et la stratégie AppFlow sont liés, et l’option « httpAllHdrs » est activée dans le profil.

    [NSHELP-30628]

  • L’appliance Citrix ADC signale une fausse alarme SNMP sur les compteurs d’inondation SYN de service.

    [NSHELP-28710, NSHELP-28713]

  • Une augmentation des retransmissions de paquets est observée dans les déploiements de clusters MPTCP dans le cloud public si le jeu de liens est désactivé.

    [NSHELP-27410]

  • Une appliance Citrix ADC peut envoyer un paquet TCP non valide avec des options TCP telles que des blocs SACK, un horodatage et un ACK de données MPTCP sur les connexions MPTCP.

    [ NSHELP-27179 ]

  • Une incompatibilité entre les enregistrements Logstream est observée dans l’appliance Citrix ADC et le chargeur de données.

    [ NSHELP-25796 ]

  • Lorsque vous installez Citrix ADM sur un cluster Kubernetes, il ne fonctionne pas comme prévu car les processus requis peuvent ne pas s’exécuter.

    Solution : redémarrez le module Gestion.

    [ NSBASE-15556 ]

  • Dans une configuration de cluster, un nœud avec la priorité CCO est déconnecté d’Open vSwitch (OVS) en raison de problèmes de réseau. Une fois que le nœud a rejoint la configuration du cluster, il ne reçoit pas le dernier cookie SYN.

    [NSBASE-14419]

Interface utilisateur

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de la CLI Citrix ADC.

    [NSUI-13024]

  • Lors de la liaison du profil AppFW à l’expression du journal, le paramètre state est défini sur activé par défaut. Toutefois, lorsque le système est mis à niveau, le paramètre est réinitialisé sur désactivé.

    [NSHELP-34187]

  • La modification d’un itinéraire statique à l’aide de l’interface graphique Citrix ADC (système > réseau > routes) peut échouer de manière incorrecte avec le message d’erreur suivant :

    • « Argument requis manquant [passerelle] »

    [NSHELP-32024]

  • Dans une configuration HA/Cluster, la synchronisation de la configuration échoue si vous avez configuré des clés SSH autres que RSA. Par exemple, les clés ECDSA ou DSA.

    [NSHELP-31675]

  • Dans une appliance Citrix ADC, la liaison de la stratégie de cache pour remplacer globale ou globale par défaut à l’aide de l’interface utilisateur graphique échoue avec l’erreur suivante :

    • Argument obligatoire manquant.

    Cette erreur n’apparaît pas lors de la liaison de la stratégie de cache à l’aide de l’interface CLI.

    [ NSHELP-30826 ]

  • En raison d’une séquence d’installation de mise à niveau incorrecte, le problème suivant se produit dans l’appliance Citrix ADC.

    • L’image du noyau est d’abord mise à jour et après quelques étapes, les clés de chiffrement sont copiées. Entre ces étapes, une défaillance se produit et l’appliance ADC affiche une nouvelle image. Les clés de chiffrement manquantes dans la nouvelle image entraînent un échec du déchiffrement et une configuration manquante.

    [NSHELP-30755]

  • L’interface graphique Citrix ADC peut générer de manière incorrecte un ensemble de support technique de cluster d’un seul nœud au lieu de tous les nœuds du cluster.

    [NSHELP-28606]

  • La génération d’un bundle de support technique de cluster à l’aide de l’interface graphique Citrix ADC peut échouer avec une erreur.

    [NSHELP-28586]

  • Après la mise à niveau d’une installation haute disponibilité ou d’une configuration de cluster vers la version 13.0 build 74.14 ou ultérieure, la synchronisation de la configuration peut échouer pour la raison suivante :

    • La paire de clés privée et publique « ssh_host_rsa_key » est incorrecte.

    Solution : régénérez « ssh_host_rsa_key ». Pour de plus amples informations, consultez l’article https://support.citrix.com/article/CTX322863.

    [ NSHELP-27834 ]

  • Vous ne pouvez pas lier un service ou un groupe de services à un serveur virtuel d’équilibrage de charge prioritaire à l’aide de l’interface graphique Citrix ADC.

    [ NSHELP-27252 ]

  • Sur l’interface graphique de Citrix ADC, l’écran de configuration enregistré ou en cours d’exécution (Système > Diagnostics) affiche de manière incorrecte les balises HTML au lieu d’afficher du texte brut.

    [NSHELP-27169]

  • Lors de l’affichage des stratégies liées à une étiquette de stratégie de changement de contenu dans l’interface graphique de Citrix ADC, seules 25 stratégies sont affichées, même si d’autres stratégies sont liées à cette étiquette de stratégie.

    [NSHELP-23428]

  • La synchronisation des signatures du pare-feu d’application avec des nœuds non CCO peut parfois prendre beaucoup de temps. Par conséquent, les commandes utilisant ces fichiers peuvent échouer.

    [NSCONFIG-4330]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

    1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions
      • 13.0 52.24 build
      • 12.1 57.18 build
      • 11.1 65.10 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système à l’aide de l’interface de ligne de commande :
    À l’invite de commandes, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution : Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

    [NSCONFIG-3188]

Notes de mise à jour pour la version 13.0—64.35 de Citrix ADC