Citrix ADC

Notes de publication pour la version 13.0-71.44 de Citrix ADC

Ce document de notes de version décrit les améliorations et modifications, les problèmes résolus et connus qui existent pour la version 13.0-71.44 de Citrix ADC.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
  • La version 13.0-71.44 remplace la version 13.0-71.40.
  • Cette version ajoute une amélioration visant à éliminer la vulnérabilité aux attaques de type DDoS contre le DTLS, comme décrit dans https://support.citrix.com/article/CTX289674.
  • Cette version inclut également des correctifs pour les problèmes suivants qui existaient dans la version 13.0 précédente de Citrix ADC : NSAUTH-9475.

Nouveautés

Les améliorations et modifications disponibles dans la version 13.0-71.44.

Authentification, autorisation et audit

  • Support d’Azure Government pour l’authentification par jeton dans l’intégration de Microsoft Intune

    Dans le scénario d’intégration entre Citrix Gateway et Microsoft Intune, Citrix Gateway prend désormais en charge l’infrastructure Microsoft Azure Government pour l’authentification par jeton des bibliothèques Microsoft Active Directory (ADAL). Auparavant, seule l’infrastructure commerciale Microsoft Azure était prise en charge.

    [NSAUTH-8246]

Appliance Citrix ADC SDX

  • Après avoir supprimé une interface ou un canal d’une instance ADC, l’instance peut être inaccessible depuis le service de gestion. Avec cette modification, si votre appliance Citrix ADC SDX exécute la version 13.0 build 71.x et versions ultérieures ou la version 12.1 build 60.x et versions ultérieures, vous ne pouvez pas supprimer l’interface ou le canal d’une instance ADC à partir du service de gestion.

    [NSSVM-3442]

Citrix Gateway

  • Support pour la mise à jour dynamique et sécurisée du DNS sur le plug-in Windows

    Le plug-in VPN pour Windows prend désormais en charge la mise à jour du DNS sécurisé. Cette fonction est désactivée par défaut. Pour l’activer, créez la valeur HKEY_LOCAL_MACHINESoftwareCitrixSecure Access ClientSecureDNSUpdate de type REG_DWORD et définissez-la sur 1.

    • Lorsque vous définissez la valeur sur 1, le plug-in VPN essaie d’abord la mise à jour non sécurisée du DNS. Si la mise à jour DNS non sécurisée échoue, le plug-in VPN essaie la mise à jour DNS sécurisée.
    • Pour essayer uniquement la mise à jour sécurisée du DNS, vous pouvez définir la valeur sur 2.

    [CGOP-13788]

Citrix Web App Firewall

  • Technique de détection des robots par empreinte digitale des appareils pour les applications mobiles (Android) à l’aide du SDK Bot Mobile

    Le mécanisme de détection des robots par empreinte digitale des appareils est désormais amélioré pour protéger les applications mobiles (Android) contre les attaques de robots. Pour détecter les robots dans une application mobile, la technique de détection des empreintes digitales de l’appareil utilise un SDK mobile pour robots. Le SDK est intégré à l’application mobile pour intercepter le trafic mobile, collecter des informations sur les clients et les appareils et envoyer les données à l’appliance. Du côté de l’appliance, la technique de détection des robots par empreinte digitale de l’appareil examine les données et détermine si la connexion provient d’un robot ou d’un humain.

    [NSWAF-5983]

Équilibrage de charge

  • Support de minuterie MEP configurable pour éviter les pannes MEP sur les sites GSLB

    Un nouveau paramètre, MEPKeepAliveTimeout, est désormais ajouté pour configurer le temporisateur MEP. Par défaut, la valeur du chronomètre est définie sur 10 secondes. Auparavant, le chronomètre avait une valeur fixe de 4 secondes.

    Si le site GSLB local ne reçoit aucun nouveau paquet (les paquets retransmis et les paquets d’accusé de réception dupliqués sont exclus) d’un site GSLB distant sur la connexion MEP site-métrique dans le délai spécifié dans le temporisateur MEP, l’appliance Citrix ADC marque la connexion comme étant INACTIVE. Et attend encore 15 secondes sans mettre fin à la connexion. S’il reçoit un nouveau paquet, la connexion MEP est conservée et l’état est marqué comme UP.

    [NSLB-7342]

  • Support pour les ensembles de modèles basés sur des fichiers

    L’appliance Citrix ADC prend désormais en charge les ensembles de modèles basés sur des fichiers.

    Vous pouvez importer un nouveau fichier de jeu de modèles dans l’appliance Citrix ADC à l’aide de la commande suivante :
    import patsetfile <src> <name> -overwrite -delimiter <char> -charset <ASCII | UTF_8>

    Vous pouvez mettre à jour un fichier de jeu de modèles existant sur l’appliance Citrix ADC à l’aide de la commande suivante :
    update patsetfile <patset filename>

    Vous pouvez ajouter un fichier de jeu de modèles au moteur de paquets à l’aide de la commande suivante :
    add patsetfile <patset filename>

    Vous pouvez lier des modèles au fichier de jeu de modèles à l’aide de la commande suivante :
    add patset <name> -patsetfile <patset filename>

    [NSLB-5823]

  • Support du protocole MQTT sur les appliances Citrix ADC

    Les appliances Citrix ADC prennent désormais en charge de manière native le protocole MQTT (Message Queuing Telemetry Transport). MQTT est un protocole de messagerie standard OASIS pour l’Internet des objets (IoT). Grâce à cette prise en charge, l’appliance Citrix ADC peut être utilisée dans les déploiements IoT pour équilibrer la charge du trafic MQTT.

    Auparavant, vous pouviez configurer MQTT sur l’appliance Citrix ADC à l’aide d’extensions de protocole. Les utilisateurs devaient écrire leur propre code d’extension et importer le fichier d’extension vers l’appliance Citrix ADC, à partir d’un serveur Web (via HTTP) ou d’un poste de travail local.

    [NSLB-5822]

Mise en réseau

  • Support ajouté dans Citrix ADC CPX pour Cilium CNI dans un environnement Kubernetes

    Citrix ADC CPX prend désormais en charge Cilium CNI dans un environnement Kubernetes. Cilium est un CNI open source qui utilise la version étendue du filtre de paquets Berkeley (BPF) pour améliorer la visibilité, les performances et l’évolutivité des applications sur Kubernetes.

    [NSNET-17264]

  • Configurer l’appliance Citrix ADC pour générer le trafic de données Citrix ADC FreeBSD à partir d’une adresse SNIP

    Certaines fonctionnalités de données de Citrix ADC s’exécutent sur le système d’exploitation FreeBSD sous-jacent plutôt que sur le système d’exploitation Citrix ADC. Pour cette raison, ces fonctionnalités envoient du trafic provenant de l’adresse IP Citrix ADC (NSIP) plutôt que d’une adresse SNIP. L’approvisionnement du trafic de données à partir de l’adresse NSIP n’est pas souhaitable si votre configuration comporte des configurations permettant de séparer l’ensemble du trafic de gestion et du trafic de données.

    Les fonctionnalités de données Citrix ADC suivantes s’exécutent sur le système d’exploitation FreeBSD sous-jacent et envoient du trafic provenant de l’adresse IP Citrix ADC (NSIP) :

    • Moniteurs scriptables d’équilibrage de charge
    • Synchronisation automatique GSLB

    Pour résoudre ce problème, un paramètre global de couche 2 « UsenetProfileBSDTraffic » a été introduit. Lorsque ce paramètre est activé, les fonctionnalités de Citrix ADC envoient du trafic provenant de l’une des adresses SNIP d’un profil réseau associé à la fonctionnalité.

    Actuellement, le paramètre global de couche 2 « UsenetProfileBSDTraffic » n’est pris en charge que pour les moniteurs scriptables d’équilibrage de charge.

    Pour configurer l’appliance Citrix ADC afin de générer du trafic de synchronisation automatique GSLB à partir d’une adresse SNIP, vous pouvez utiliser des règles ACL et RNAT étendues comme solution de contournement.

    [ NSNET-16274 ]

  • ACL étendues basées sur un jeu de données

    Une entreprise a besoin d’un grand nombre d’ACL. La configuration et la gestion d’un grand nombre d’ACL sont très difficiles et fastidieuses lorsqu’elles nécessitent des modifications fréquentes.

    Une appliance Citrix ADC prend désormais en charge les ensembles de données dans les ACL étendues. Le jeu de données est une fonctionnalité existante d’une appliance Citrix ADC. Un jeu de données est un tableau de modèles indexés de types : nombre (entier), adresse IPv4 ou adresse IPv6.

    La prise en charge des jeux de données dans les listes ACL étendues est utile pour créer plusieurs règles ACL, qui nécessitent des paramètres ACL communs. Lors de la création d’une règle ACL, au lieu de spécifier les paramètres communs, vous pouvez spécifier un ensemble de données qui inclut ces paramètres communs.

    Toutes les modifications apportées au jeu de données sont automatiquement reflétées dans les règles ACL qui utilisent ce jeu de données. Les listes de contrôle d’accès avec jeux de données sont plus faciles à configurer et à gérer. Ils sont également plus petits et plus faciles à lire que les ACL classiques.

    Actuellement, l’appliance Citrix ADC prend uniquement en charge le jeu de données de type d’adresse IPv4 pour les ACL étendues.

    [ NSNET-8252 ]

Plateforme

  • Support de VMware ESX 7.0 sur l’instance Citrix ADC VPX

    L’instance Citrix ADC VPX prend désormais en charge l’hyperviseur VMware ESX 7.0 build 1632494.

    [ NSPLAT-16902 ]

  • La prise en charge de la région AWS Top Secret (C2S) a été étendue à toutes les éditions de Citrix ADC

    La région AWS Top Secret (C2S) prend désormais en charge toutes les éditions suivantes de Citrix ADC, ainsi que la licence Bring Your Own License (BYOL) :

    • Édition Standard
    • Édition Advanced
    • Édition Premium

    Auparavant, la région AWS Top Secret ne prenait en charge que l’abonnement BYOL.
    La région AWS Top Secret est facilement accessible dans le cadre du contrat de services cloud commerciaux (C2S) conclu avec AWS.

    [NSPLAT-9195]

Stratégies

  • Prise en charge des expressions dynamiques dans la fonction CONTAINS pour optimiser l’utilisation des politiques avancées

    Les arguments des méthodes suivantes sont statiques :

    • contains()
    • after_str ()
    • before_str ()
    • substance (),
    • strip_end_chars ()
    • strip_chars ()
    • strip_start_chars ()

    [ NSPOLICY-3545 ]

SSL

  • Prise en charge du transfert des opérations de chiffrement vers les puces cryptographiques Intel Coleto dans le cadre de connexions TLS 1.3

    Dans les connexions TLS 1.3, la prise en charge est désormais ajoutée pour transférer les opérations de chiffrement vers les puces de chiffrement Intel Coleto sur des plateformes Citrix ADC MPX spécifiques.

    Les appliances suivantes équipées de puces Intel Coleto sont prises en charge :

    • MPX 5900
    • MPX/SDX 8900
    • MPX/SDX 15000
    • MPX/SDX 15000-50G
    • MPX/SDX 26000
    • MPX/SDX 26000-50S
    • MPX/SDX 26000-100 G

    La prise en charge logicielle uniquement du protocole TLSv1.3 est disponible sur toutes les autres appliances Citrix ADC MPX et SDX, à l’exception des appliances Citrix ADC FIPS.

    [NSSSL-7453]

  • Toutes les valeurs du nom alternatif du sujet (SAN) sont désormais affichées dans un certificat

    Une appliance Citrix ADC affiche désormais toutes les valeurs du SAN lorsque les détails d’un certificat sont affichés.

    [NSSSL-5978]

  • Prise en charge des politiques pour le protocole TLSv1.3

    Lorsque le protocole TLSv1.3 est négocié pour une connexion, les règles de politique qui inspectent les données TLS reçues du client déclenchent désormais l’action configurée.
    Par exemple, si la règle de politique suivante renvoie la valeur true, le trafic est transféré vers le serveur virtuel défini dans l’action.
    ajouter une action SSL action1 -forward vserver2
    ajouter une politique SSL pol1 -rule client.ssl.client_hello.sni.contains (xyz) -action action1

    [NSSSL-869]

System

  • Afficher l’utilisation du processeur (en parties par millier) pour un serveur virtuel d’équilibrage de charge

    Un nouveau compteur, « CPU-PM », affiche désormais les données statistiques relatives à l’utilisation du processeur en pour mille (parties pour mille). Par exemple, 500 doit être lu comme 500/1000, ce qui équivaut à 50 pour cent.

    Dans l’interface graphique, accédez à Gestion du trafic > Serveurs virtuels > Équilibrage de charge > Statistiques

    [NSBASE-11304]

  • Assistance pour une nouvelle tentative après expiration du délai

    Une nouvelle tentative de demande est désormais disponible pour un autre scénario dans lequel, si un serveur principal met plus de temps à répondre aux demandes, l’appliance effectue un équilibrage de charge après expiration du délai et transmet la demande au serveur disponible suivant. Auparavant, l’appliance attendait la réponse du serveur, ce qui entraînait une augmentation du RTT.
    Pour effectuer un délai d’attente, un nouveau paramètre RetryOnTimeout est configurable dans appqoe action. Valeur minimale : 30 millissecondes Valeur
    maximale : 2000.

    Pour configurer la nouvelle tentative de demande après expiration du délai à l’aide de l’interface de ligne de commande :
    add appqoe action <name> -retryOnTimeout <msecs>

    Exemple
    « add appqoe action appact1 -RetryOnTimeout 35”

    [NSBASE-10914]

  • Traitement local et maintien de la prise en charge des connexions pour les déploiements de clusters MPTCP

    Les connexions MPTCP prennent désormais en charge les fonctionnalités « Process Local » et « Retain Connections » dans le cloud et les déploiements de clusters Citrix ADC sur site.

    [NSBASE-10734]

  • Informations relatives à la réponse du répondeur dans les enregistrements AppFlow

    Les enregistrements AppFlow générés par l’appliance Citrix ADC incluent désormais les informations relatives à la réponse du répondeur.

    [NSBASE-10634]

  • Prise en charge d’une taille d’en-tête HTTP plus grande

    L’appliance Citrix ADC peut désormais gérer des requêtes HTTP de grande taille d’en-tête pour répondre à la demande d’application L7. La taille de l’en-tête d’une requête HTTP est augmentée à 128 Ko.

    [NSBASE-7957]

Problèmes résolus

Les problèmes résolus dans la version 13.0-71.44.

Authentification, autorisation et audit

  • Dans certains cas, une fois le mot de passe utilisateur modifié, le message d’erreur suivant s’affiche : Impossible de terminer votre demande.

    L’erreur se produit car le mot de passe modifié est endommagé après le chiffrement.

    [NSHELP-25437]

  • Dans certains cas, une appliance Citrix ADC peut se bloquer si le client ferme la connexion TCP avant d’avoir terminé l’authentification OTP par e-mail.

    [NSHELP-25154]

  • Dans certains cas, une appliance Citrix ADC se bloque lors de la suppression de la session d’authentification, d’autorisation et d’audit Citrix ADC sur le nœud secondaire.

    [NSHELP-25075]

  • Dans certains cas, lorsque Citrix ADC est utilisé comme IdP pour Citrix Cloud, l’authentification, l’autorisation et l’auditingD se bloquent lors de l’exécution d’une activité d’extraction de groupes imbriqués dans AD en raison d’un débordement de la mémoire tampon.

    [NSHELP-24884]

  • L’authentification LDAP échoue dans une appliance Citrix ADC lorsque la longueur du groupe d’un utilisateur dépasse la limite définie.

    [NSHELP-24373]

  • Lorsqu’il essaie de se connecter à l’appliance Citrix Gateway, l’utilisateur ne voit pas de réponse en cas d’échec de la tentative de connexion.

    [NSHELP-23155]

  • Une appliance Citrix ADC répond par un code d’erreur 400 lorsque la taille de l’en-tête d’une demande liée à l’interface utilisateur Citrix Gateway dépasse 1 024 caractères.

    [NSAUTH-9475]

  • La configuration du serveur virtuel d’authentification non adressable n’est pas restaurée après un redémarrage si les conditions suivantes sont remplies :

    • L’appliance Citrix ADC dispose d’une licence d’édition standard
    • L’appliance est configurée pour l’authentification nFactor à l’aide de Citrix Gateway.

    [NSAUTH-9263]

Gestion des bots

  • Une demande de robot identifiée comme étant un robot malveillant par une signature de robot est réinitialisée si la condition suivante est respectée :

    • Les actions du terminal du bot, telles que la suppression, la redirection ou la réinitialisation de la signature correspondante, sont définies sur « False ».

    [NSBOT-222]

Mise en cache

  • Une appliance Citrix ADC peut se bloquer de manière aléatoire si les conditions suivantes sont respectées :

    • La fonctionnalité de mise en cache intégrée est activée.
    • 100 Go de mémoire ou plus sont alloués à la mise en cache intégrée.

    [NSHELP-20854]

CallHome

  • Sur la plate-forme Citrix AC MPX 22000, la commande show techsupport indique de manière incorrecte que le disque dur n’est pas monté.

    [NSHELP-24223]

Appliance Citrix ADC SDX

  • La mise à niveau de l’appliance Citrix ADC SDX échoue si Citrix Hypervisor occupe plus de 90 % de l’espace disque.

    [NSHELP-24873]

  • Sur les plateformes Citrix ADC SDX 8900, SDX 15000 et SDX 15000-50G, une utilisation élevée du processeur peut être constatée sur les instances ADC après la mise à niveau de l’appliance SDX de la version 11.1 à la version 12.1, ou de la version 11.1 à la version 13.0.

    [NSHELP-24031]

Citrix Gateway

  • Dans de rares cas, l’appliance Citrix Gateway peut se bloquer lors de la synchronisation de session avec l’appliance secondaire ou lors de l’attribution de l’adresse IP de l’intranet.

    [NSHELP-25221]

  • Le paramètre URLName est ajouté à la session et à d’autres liaisons de politique lorsqu’une URL VPN classique est également liée, ce qui entraîne l’ajout d’une configuration lors de l’enregistrement et du redémarrage.

    [NSHELP-25072]

  • L’enregistrement IIP de Citrix Gateway échoue si le DNS partagé est défini sur « Les deux » ou « Local ».

    [NSHELP-24928]

  • Si la politique intelligente ICA est activée et qu’il existe une configuration AppFlow résiduelle, vous pouvez observer une connexion à latence élevée.

    [NSHELP-24908]

  • L’appliance Citrix ADC peut se bloquer lorsque l’audio UDP est activé et que l’appel système malloc interne renvoie une erreur.

    [NSHELP-24890]

  • Dans de rares cas, une appliance Citrix Gateway se bloque lorsque le type de transport Syslog est modifié en raison d’une corruption de la mémoire.

    [NSHELP-24794]

  • L’appliance Citrix Gateway n’extrait pas le nom commun des certificats de périphérique codés en UTF8String.

    [NSHELP-24741]

  • L’appliance Citrix Gateway se bloque lors de la suppression d’une application intranet dont la valeur du nom d’hôte dépasse 160 caractères.

    [NSHELP-24524]

  • Si la détection de localisation est activée, le tunnel au niveau de la machine du VPN Always On met beaucoup de temps à s’établir après le redémarrage de la machine cliente.

    [NSHELP-24508]

  • L’appliance Citrix ADC peut se bloquer lorsqu’elle est configurée pour un VPN sans client.

    [NSHELP-24430]

  • L’appliance Citrix Gateway peut redémarrer si l’adresse IP RDP n’est pas configurée sur le profil de serveur RDP lié au serveur virtuel VPN et si le même port est utilisé par le profil de serveur RDP et le serveur virtuel VPN.

    [NSHELP-2419]

  • Un nouveau jeu de modèles optimisé, « ns_cvpn_v2_fast_regex_light_ver », est introduit pour les alertes de processeur élevées. Si un pic de CPU est observé par intermittence avec le modèle défini par défaut « ns_cvpn_v2_fast_regex », vous pouvez passer au nouveau jeu de modèles.

    [NSHELP-24085]

  • L’appliance Citrix Gateway peut tomber en panne lors d’un déploiement de proxy EDT si la commande « kill icaconnection » est exécutée alors qu’une connexion EDT est en cours d’établissement.

    [NSHELP-23882]

  • Le plug-in Windows affiche le message Gateway not reachable si la machine cliente possède plusieurs instances des adaptateurs virtuels d’accès direct Hyper-V et WiFi.

    [NSHELP-23794]

  • Une appliance Citrix Gateway peut se bloquer lors de la tentative d’analyse d’un paquet entrant.

    [NSHELP-23747]

  • L’appliance Citrix Gateway se bloque lors de l’utilisation de l’audio UDP lors de l’accès au bureau virtuel.

    [NSHELP-23514]

  • Les refus de politique d’autorisation basés sur UDP/ICMP/DNS pour le VPN n’apparaissent pas dans le fichier ns.log.

    [NSHELP-23410]

  • L’appliance Citrix ADC peut se bloquer lors du basculement si l’audio UDP est activé.

    [NSHELP-22850]

Citrix Web App Firewall

  • Des erreurs de communication sont observées dans aslearn lorsque vous réinitialisez les données d’apprentissage du Citrix Web App Firewall dans une configuration de cluster.

    [NSWAF-6768]

  • Dans une configuration de cluster, la valeur de contrôle d’interopérabilité des services Web (WSI) avec espace est considérée comme une entrée non valide, bien qu’elle soit valide dans une appliance principale Citrix ADC.

    [NSWAF-6745]

  • Les détails de configuration du nom de carte de crédit par défaut pour les profils de base ou avancés du Web App Firewall sont absents dans un déploiement de cluster.

    [NSWAF-6675]

  • La liaison DOS XML par défaut pour le profil avancé par défaut du Web App Firewall est manquante dans un déploiement de cluster.

    [NSWAF-6672]

  • Dans une configuration de cluster, impossible de lier la règle « safeobject » à une longueur d’expression « safeobject » de plus de 255 caractères.

    [NSWAF-6670]

  • La valeur par défaut pour la configuration « FileUploadTypesAction » pour le profil de base ou avancé du Web App Firewall est manquante dans un déploiement de cluster.

    [NSWAF-6669]

  • Une configuration « CmdInjectionAction » par défaut incorrecte est observée pour le profil de base ou avancé du Web App Firewall dans un déploiement en cluster.

    [NSWAF-6668]

  • La configuration d’un cluster Citrix ADC peut se bloquer en cas d’erreurs de transport DHT entre les nœuds du cluster et si la fonctionnalité de protection de la cohérence des champs est activée.

    [NSWAF-6560]

  • Le contrôle de cohérence des cookies du Citrix Web App Firewall supprime l’attribut de cookie SameSite dans la réponse envoyée par le serveur principal.

    [NSHELP-24313]

Équilibrage de charge

  • Lorsqu’un déploiement GSLB utilise la méthode RTT (aller-retour) pour l’équilibrage de charge, l’appliance Citrix ADC peut échouer si vous supprimez ou dissociez un service GSLB pendant le flux de trafic.

    [NSHELP-24425]

  • L’appliance Citrix ADC peut se bloquer si l’association entre l’entrée DHT (Distributed Hash Table) et la session de persistance est supprimée lors de la libération de la session de persistance.

    [NSHELP-24213]

  • Si un port générique (port *) est attribué à un membre du groupe de services, les détails du moniteur pour ce membre du groupe de services peuvent être consultés sur la page Détails du moniteur.

    [NSHELP-9409]

Mise en réseau

  • Dans une appliance Citrix ADC BLX ou Citrix ADC CPX, l’installation de routes OSPF ou BGP vers la table de routage de l’appliance peut échouer.

    [NSNET-18707]

  • Le RNAT avec « useproxyport » désactivé peut ne pas fonctionner comme prévu pour les ports source dont le numéro est inférieur à 1024.

    [NSHELP-25162]

  • Dans une configuration haute disponibilité avec le mode INC, toute règle RNAT dont l’adresse VIP est définie comme adresse IP NAT est supprimée lors de la synchronisation HA.

    [NSHELP-24893]

  • Le chargement de la MIB SNMP Citrix ADC vers un gestionnaire SNMP peut échouer en raison de la présence d’un nom d’objet dupliqué « URLFiltDBUpdateStatus » dans la MIB SNMP. Le même nom d’objet « URLFiltDBUpdateStatus » est utilisé pour une liaison à une variable d’interruption SNMP et à une variable d’interruption SNMP.

    Avec ce correctif, la liaison de la variable piège SNMP « URLFiltDBUpdateStatus » est remplacée par « URLFilterDBUpdateStatus ».

    [NSHELP-24778]

  • Une appliance Citrix ADC peut se bloquer en raison d’un problème de synchronisation de la mémoire interne dans le module LSN.

    [NSHELP-24623]

  • L’itinéraire d’équilibrage de charge des liens ajouté dans un domaine de trafic autre que celui par défaut est déplacé vers le domaine de trafic par défaut une fois que vous avez enregistré et redémarré l’appliance.

    • ajouter lb route 0.0.0.0 -td 1

    [NSHELP-24067]

  • Les itinéraires basés sur des politiques IPv6 (PBR6) sur une appliance Citrix AC peuvent ne pas fonctionner comme prévu.

    [NSHELP-23161]

  • Dans une configuration à haute disponibilité, l’une des appliances Citrix ADC peut se bloquer si vous effectuez une mise à niveau logicielle en service (ISSU) à partir de la version 13.0 47.24 ou antérieure du logiciel Citrix ADC vers une version ultérieure.

    [NSHELP-21701]

Plateforme

  • La plate-forme Citrix ADC MPX 8000-1G prend en charge les licences groupées.

    [NSPLAT-17354]

  • Une instance Citrix ADC VPX, sur laquelle le NSVLAN et deux canaux d’agrégation de liens (LA) sont configurés, n’est pas accessible lorsque les conditions suivantes sont remplies :

    • Le premier canal LA est désactivé.
    • L’instance VPX est redémarrée.

    [NSPLAT-16082]

  • Si une instance Citrix ADC utilise des licences basées sur ADM, les licences Citrix ADC peuvent ne pas fonctionner lorsque la version ADM est inférieure à la version ADC. Par conséquent, lorsque vous mettez à niveau la version ADC, assurez-vous que la version ADM correspondante est identique ou supérieure à la version ADC actuelle.

    [NSPLAT-15184]

  • Lors de la mise à niveau d’une appliance Citrix ADC SDX, si un SSD tombe en panne lors de l’un des nombreux redémarrages, le volume de paire RAID correspondant devient inactif après le redémarrage de l’appliance. Vous pouvez observer ce qui suit :
    Le volume apparaît comme « non créé » dans l’interface graphique.
    L’emplacement SSD défaillant est signalé comme « absent ». «
    Le VPX-SR correspondant apparaît également comme dégradé.
    Par conséquent, les instances ADC résidant sur le VPX-SR peuvent ne pas démarrer ou rester dans un état d’arrêt.

    [NSHELP-24751]

  • Lorsque plusieurs canaux LA sont configurés sur une appliance SDX sans aucune interface de gestion (0/1, 0/2) et si le premier canal LA est désactivé via l’interface de ligne de commande VPX, l’appliance VPX peut être inaccessible.

    [NSHELP-21889]

  • Sur les appliances ADC SDX 14000 et 15000, une perte de trafic pouvant atteindre 9 secondes est observée si les conditions suivantes sont remplies :

    • Les ports 10G sont connectés via le canal LA à deux commutateurs Cisco configurés dans la configuration VPC en tant qu’actifs ou passifs.
    • Le lien vers le commutateur Cisco actif ou principal rebondit.

    [NSHELP-21875]

Stratégies

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont remplies :

    • Utilisation de nstrace avec une expression de filtre.
    • Fonctionnalité d’authentification, d’autorisation et d’audit activée.

    [ NSPOLICY-3844 ]

  • Une appliance Citrix ADC peut se bloquer si des variables d’étendue globales sont utilisées dans des requêtes HTTP non valides.

    [NSHELP-25369]

SSL

  • Sur les plateformes Citrix ADC SDX suivantes, la carte SSL peut tomber en panne si le client externe utilise la courbe ECDSA P224/521 pour la signature lors de l’établissement de contacts SSL pour l’authentification du client :

    • SDX 11515/11520/11530/11540/11542
    • SDX 22040/22060/22080/22100/22120
    • SDX 24100/24150
    • SDX 14000
    • SDX 14000-40S
    • SDX 14000-40G
    • SDX 14000 FIPS
    • SEXE 2500
    • SDX 25000A

    [NSSSL-9324]

  • Une appliance Citrix ADC ne propose pas de chiffrements ECDHE dans le message d’accueil du client après le redémarrage de l’appliance et si les conditions suivantes sont remplies :

    • Le profil par défaut est désactivé.
    • Un moniteur sécurisé est lié à un service non SSL.

    [NSHELP-24706]

  • La prise de contact SSL sur le serveur principal échoue lorsque le serveur principal envoie un seul enregistrement SSL contenant les messages suivants : « Server Hello », « Server Certificate », « Server Key Exchange » et « Server Hello Done ».

    [NSHELP-24615]

  • Une appliance Citrix ADC ferme une session DTLS en envoyant une alerte si le délai maximal de nouvelle tentative est atteint.

    [NSHELP-24560]

  • Une appliance FIPS Citrix ADC MPX/SDX 11542, MPX/SDX 14000, MPX 22000/24000/25000 ou MPX/SDX 14000 peut se bloquer si les conditions suivantes sont remplies :

    • Le modèle hybride ECDHE/ECDSA est activé.
    • Le trafic DTLS est reçu lorsque l’utilisation du processeur est déjà élevée.

    [NSHELP-24405]

  • Une appliance Citrix ADC peut ne pas proposer de chiffrements ECDHE dans le message d’accueil du client si les conditions suivantes sont remplies :

    • La synchronisation HA est en cours.
    • Les sondes de surveillance sont envoyées avant la fin de la synchronisation.

    [NSHELP-24355]

  • L’appliance Citrix ADC se bloque si des chiffrements NULL ou RC2 sont utilisés par le service de backend SSL sur les plateformes suivantes :

    • MPX 5900
    • MPX 8900
    • MPX 15000
    • MPX 15000-50G
    • MPX 26000
    • MPX 26000-50S
    • MPX 26000-100G

    [NSHELP-24308]

  • Une appliance Citrix ADC peut se bloquer lors de la configuration d’un serveur virtuel DTLS si l’espace disque de l’appliance est insuffisant.

    [NSHELP-24201]

  • Une appliance Citrix ADC ne propose pas de chiffrements ECDHE dans le message d’accueil du client après le redémarrage de l’appliance et si les conditions suivantes sont remplies :

    • Le profil par défaut est activé.
    • Un moniteur sécurisé est lié à un service non SSL.

    [NSHELP-24037]

  • Dans une configuration de cluster, une commande « bind ssl certkey » non valide est ajoutée au fichier ns.conf lorsque vous enregistrez la configuration. La commande non valide est ajoutée si une extension de point de distribution CRL fait partie d’un certificat sur l’appliance Citrix ADC.

    [NSHELP-23963]

System

  • Une instance CPX légère peut se bloquer si vous utilisez un profil d’analyse sans définir le collecteur.

    [NSHELP-25239]

  • Configurer la taille de la fenêtre de connexion initiale HTTP/2

    Conformément à la RFC 7540, la fenêtre de contrôle de flux pour le flux et la connexion HTTP2 doit être initialisée à 64 Ko (65 535) octets, et toute modification de cette valeur doit être communiquée à l’homologue. L’appliance ADC communique la modification de la taille de la fenêtre de contrôle de flux comme suit :

    • Utilisation du cadre SETTINGS pour la fenêtre de contrôle du débit au niveau du flux.
    • Utilisation du cadre WINDOW_UPDATE pour la fenêtre de contrôle du flux au niveau de la connexion.

    Dans un profil HTTP, vous pouvez configurer le paramètre Http2InitialWindowSize pour définir la taille initiale de la fenêtre au niveau du flux.

    En raison d’une erreur système interne, l’appliance ADC initialise la fenêtre de contrôle de flux pour la connexion également avec la valeur configurée pour « Http2InitialWindowSize ». En cas de modification de la fenêtre de contrôle de flux configurée pour le flux, l’appliance ADC communique avec l’homologue à l’aide de la trame SETTINGS. Mais l’appliance ADC ne parvient pas à communiquer la modification dans la fenêtre de contrôle de flux pour la connexion à l’aide du cadre WINDOW_UPDATE. Cela entraîne un gel de la connexion.

    Pour résoudre ce problème, le paramètre Http2InitialConnWindowSize (en octets) est désormais ajouté pour contrôler la fenêtre de contrôle de flux au niveau de la connexion. En utilisant des paramètres configurables distincts, à savoir « Http2InitialWindowSize » et « Http2InitialConnWindowSize », vous pouvez désormais configurer la taille de la fenêtre de contrôle de flux au niveau du flux et de la connexion.

    Configurer le paramètre de taille de la fenêtre de contrôle de flux au niveau de la connexion initiale HTTP/2 à l’aide de l’interface de ligne de commande

    À l’invite de commandes, tapez :

    set httpprofile p1 -http2InitialConnWindowSize <window-size>

    Où Http2InitialConnWindowSize est la taille de fenêtre initiale pour le contrôle du flux au niveau de la connexion, en octets.
    Valeur par défaut : 65535 Valeur
    minimale : 65535 Valeur
    maximale : 67108864

    [NSHELP-25155]

  • Une appliance Citrix ADC peut se bloquer en raison d’une corruption de la mémoire lorsque la fonctionnalité HTTP/2 est activée.

    [NSHELP-25005]

  • Dans une configuration en cluster, la validation des valeurs par défaut de la protection contre les surtensions est gérée différemment dans la base de données et dans le moteur de paquets.

    [NSHELP-24455]

  • Les enregistrements d’analyse ne sont pas envoyés à Citrix ADM si les conditions suivantes sont respectées :

    • Le collecteur IPFIX est configuré dans la partition d’administration de l’appliance Citrix ADC.

    • Le collecteur se trouve dans un sous-réseau autre qu’une adresse SNIP.

    [NSHELP-24283]

  • Une utilisation élevée du processeur est observée dans le client de journalisation Web Citrix ADC (NSWL) exécuté sur une plate-forme Linux si l’intervalle d’interrogation n’est pas correctement défini.

    [NSHELP-24266]

  • Lorsque vous activez Appflow sur une instance ADC, l’ADM n’affiche pas HDX Insight de cette instance. Ce problème se produit car ADM ne parvient pas à traiter les données Logstream reçues de l’instance.

    [NSHELP-24227]

  • La suppression d’un profil TCP lié à un serveur virtuel de commutation de contenu entraîne une incohérence de configuration dans la base de données du cluster.

    [NSHELP-24004]

  • Une appliance Citrix ADC peut se bloquer lors de l’effacement de la configuration lorsqu’elle tente d’accéder aux détails du serveur ICAP. Les informations détaillées sur le serveur ne sont pas supprimées de la liste de surveillance lorsque la configuration d’inspection du contenu ICAP est effacée.

    [NSHELP-23945]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont respectées :

    • HTTP/2 activé dans le profil HTTP lié à un serveur virtuel d’équilibrage de charge de type HTTP/SSL ou service.
    • Option de multiplexage des connexions désactivée dans le profil HTTP lié au serveur ou au service virtuel d’équilibrage de charge.

    [NSHELP-21202]

  • Une appliance Citrix ADC dont le chaînage des connexions et le protocole SSL sont activés peut envoyer davantage de données MTU.

    [NSHELP-9411]

  • Après une mise à niveau vers Citrix ADC version 12.1 build 61.x, l’appliance peut se bloquer si elle est enregistrée sur le serveur ADM.

    [NSBASE 13031]

  • L’activation du collecteur de métriques dans la partition par défaut peut échouer s’il est déjà activé dans la configuration de la partition d’administration.

    [NSBASE-12623]

  • Dans une configuration en cluster, l’activation de la prise en charge locale des processus pour les connexions MPTCP réduit le pilotage entre nœuds.

    [NSBASE-10587]

Interface utilisateur

  • La commande diff ns config affiche un message d’erreur ERREUR : Impossible d’obtenir l’UID pour la commande : apply ns pbr6. Cela se produit lorsque la commande apply ns pbr6 est enregistrée dans les fichiers ns.conf ou running-config.

    [NSHELP-25373]

  • Dans une configuration de cluster, la configuration de liaison supplémentaire indésirable est enregistrée dans le fichier ns.conf.

    [NSHELP-24636]

  • Les conditions d’erreur suivantes sont observées dans l’interface graphique de Citrix Gateway :

    • Lorsqu’une politique est liée à l’authentification principale sur le serveur virtuel VPN, l’interface graphique indique de manière incorrecte que la politique est liée à l’authentification secondaire et à l’authentification de groupe.
    • Lorsque le serveur virtuel VPN est lié à un certificat de serveur, l’interface graphique du serveur indique de manière incorrecte que le serveur virtuel VPN est également lié au certificat CA.

    [NSHELP-24494]

  • Sur une plate-forme Citrix ADC SDX, le message d’erreur suivant s’affiche lors du chargement de l’interface graphique :
    Opération non prise en charge par l’appareil [Les licences groupées ne sont pas prises en charge sur cette plate-forme]

    [NSHELP-24474]

  • Sur l’interface graphique de Citrix ADC, vous ne pouvez pas afficher les « rapports personnalisés » créés pour une partition spécifique.

    [NSHELP-24370]

  • Les fichiers temporaires suivants présents dans le dossier /var/tmp d’une appliance Citrix ADC entraînent un état de saturation de la mémoire.

    • sh.runn.audit.<pid> fichier créé par l’outil nsconfigaudit.
    • tmp_ns.conf.<pid> fichier créé par la commande show run pour la partition.

    [NSHELP-24092]

  • Pour une demande d’API NITRO « routerdynamicrouting », l’appliance Citrix ADC peut renvoyer des données JSON avec des erreurs de mise en forme si la taille de la réponse est importante.

    [NSHELP-19913]

  • Une appliance Citrix ADC devient instable si vous utilisez le paramètre -outfilename dans la commande diffnsconfig. Par conséquent, la sortie diffnsconfig est volumineuse pour remplir complètement le disque racine.

    [NSHELP-19345]

Problèmes connus

Les problèmes qui existent dans la version 13.0-71.44.

Authentification, autorisation et audit

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont remplies.

    1. L’appareil est soumis à une pression de mémoire.
    2. SAML est configuré comme l’une des méthodes d’authentification.

    [NSHELP-28855]

  • Dans de rares cas, le nœud secondaire d’une configuration haute disponibilité peut se bloquer si la condition suivante est remplie.

    • Les « groupes aaa » et/ou les « utilisateurs aaa » sont configurés sur l’appliance Citrix ADC.

    [ NSHELP-26732 ]

  • Dans certains scénarios, la commande de groupe d’authentification, d’autorisation et d’audit de liaison peut échouer si le nom de la stratégie est plus long que le nom de l’application intranet.

    [ NSHELP-25971 ]

  • Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

    [NSHELP-563]

  • Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

    [ NSAUTH-6106 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    show adfsproxyprofile <profile name>

    Solution : connectez-vous au Citrix ADC actif principal du cluster et exécutez la show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

Mise en cache

  • Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

    [ NSHELP-22942 ]

Appliance Citrix ADC SDX

  • Sur une appliance Citrix ADC SDX, si le CLAG est créé sur une carte réseau Mellanox, la MAC CLAG est modifiée lorsque l’instance VPX est redémarrée. Le trafic vers l’instance VPX s’arrête après le redémarrage car la table MAC contient l’ancienne entrée MAC CLAG.

    [ NSSVM-4333 ]

Citrix Gateway

  • L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

    [ NSHELP-28551 ]

  • Parfois, un utilisateur est déconnecté de Citrix Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

    [ NSHELP-28404 ]

  • L’appliance Citrix Gateway peut se bloquer lors du traitement du trafic UDP initié par le serveur.

    [ NSHELP-27611 ]

  • L’appliance Citrix Gateway peut se bloquer si l’async est bloquée et que vous modifiez la configuration de la stratégie de commutation de contenu.

    [NSHELP-27570]

  • L’appliance Citrix Gateway peut se bloquer si une option de client VPN inconnue est définie dans la stratégie de session.

    [NSHELP-27380]

  • Lorsque vous entrez le nom de domaine complet en tant que proxy sur la page Créer un profil de trafic Citrix Gateway, le message « Valeur de proxy non valide » s’affiche.

    [ NSHELP-26613 ]

  • L’appliance Citrix ADC se bloque si l’une des conditions suivantes se produit :

    • L’action Syslog est configurée avec le nom de domaine et vous effacez la configuration à l’aide de l’interface graphique ou de l’interface de ligne de commande.
    • La synchronisation haute disponibilité se produit sur le nœud secondaire.

    Solution :

    Créez une action Syslog avec l’adresse IP du serveur Syslog au lieu du nom de domaine du serveur Syslog.

    [ NSHELP-25944 ]

  • Lors de la création d’un profil client RDP à l’aide de l’interface graphique Citrix ADC, un message d’erreur apparaît lorsque les conditions suivantes sont remplies :

    • Une clé pré-partagée (PSK) par défaut est configurée.
    • Vous essayez de modifier le minuteur de validité du cookie RDP dans le champ Validité du cookie RDP (secondes).

    [ NSHELP-25694 ]

  • Le plug-in EPA pour Windows n’utilise pas le proxy configuré de la machine locale et se connecte directement au serveur de passerelle.

    [ NSHELP-24848 ]

  • Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.

    [ NSHELP-23937 ]

  • La sortie de la commande « show tunnel global » inclut des noms de politiques avancés. Auparavant, la sortie n’affichait pas les noms de stratégie avancés.

    Exemple :

    Nouvelle sortie :

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    Sortie précédente :

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [ NSHELP-23496 ]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.

    [ CGOP-13621 ]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [ CGOP-13511 ]

  • Lors de l’acceptation des connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

    [ CGOP-13050 ]

  • Le texte « Page d’accueil » dans l’ application Citrix SSO > Page d’accueil est tronqué dans certaines langues.

    [ CGOP-13049 ]

  • Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, le fait de cliquer sur Options dans le menu Paramètres affiche une boîte de dialogue Erreur critique . De plus, la page ne répond plus.

    [ CGOP-7269 ]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • Dans une configuration de cluster, l’adresse IP du service GSLB n’est pas affichée dans l’interface graphique lorsqu’on y accède via des liaisons de serveurs virtuels GSLB. Il ne s’agit que d’un problème d’affichage et il n’y a aucun impact sur la fonctionnalité.

    [ NSHELP-20406 ]

Mise en réseau

  • Une appliance Citrix ADC BLX en mode DPDK peut se bloquer si un profil de pare-feu d’application Web est configuré avec des contrôles de protection de sécurité avancés.

    Solution : supprimez la configuration de protection de sécurité avancée pour WAF.

    [NSNET-22654]

  • Dans une appliance Citrix ADC BLX, le NSVLAN lié à des interfaces non dpdk balisées peut ne pas fonctionner comme prévu. Le NSVLAN lié à des interfaces non dpdk non balisées fonctionne correctement.

    [NSNET-18586]

  • Après une mise à niveau de l’appliance Citrix ADC BLX 13.0 61.x vers la version 13.0 64.x, les paramètres du fichier de configuration BLX sont perdus. Le fichier de configuration BLX est ensuite réinitialisé par défaut.

    [ NSNET-17625 ]

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :

    • Désactiver
    • Activer
    • Réinitialiser

    [ NSNET-16559 ]

  • Sur un hôte Linux basé sur Debian (Ubuntu version 18 et versions ultérieures), une appliance Citrix ADC BLX est toujours déployée en mode partagé, quels que soient les paramètres du fichier de configuration BLX (« /etc/blx/blx.conf »). Ce problème se produit car « mawk », qui est présent par défaut sur les systèmes Linux basés sur Debian, n’exécute pas certaines des commandes awk présentes dans le fichier « blx.conf ».

    Solution : installez « gawk » avant d’installer une appliance Citrix ADC BLX. Vous pouvez exécuter la commande suivante dans la CLI de l’hôte Linux pour installer « gawk » :

    • apt-get install gawk

    [ NSNET-14603 ]

  • L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

    • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

    Solution : effectuez un basculement HA manuel successif uniquement une fois la synchronisation HA terminée (les deux nœuds sont en état de réussite de la synchronisation).

    [ NSHELP-25598 ]

  • Dans une configuration à haute disponibilité, l’adresse SNIP activée par le routage dynamique n’est pas exposée à vtysh au redémarrage si la condition suivante est remplie :

    • Une adresse SNIP activée pour le routage dynamique est liée au VLAN partagé dans une partition autre que celle par défaut.

    Dans le cadre du correctif, l’appliance Citrix ADC n’autorise plus la liaison d’une adresse SNIP activée pour le routage dynamique au VLAN partagé dans une partition autre que par défaut

    [NSHELP-24000]

Plateforme

  • Lorsque vous effectuez une mise à niveau de versions 13.0/12.1/11.1 vers une version 13.1 ou que vous passez d’une version 13.1 à une version 13.0/12.1/11.1, certains packages python ne sont pas installés sur les appliances Citrix ADC. Ce problème est résolu pour les versions Citrix ADC suivantes :

    • 13.1-4.x
    • 13.0-82.31 et versions ultérieures
    • 12.1-62.21 et versions ultérieures

    Les packages python ne sont pas installés lorsque vous rétrogradez les versions de Citrix ADC de 13.1-4.x vers l’une des versions suivantes :

    • Toute version 11.1
    • 12.1-62.21 et versions antérieures
    • 13.0-81.x et versions antérieures

    [NSPLAT-21691]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

SSL

  • Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • La commande Mettre à jour n’est pas disponible pour les commandes d’ajout suivantes :

    • add azure application
    • add azure keyvault
    • add ssl certkey with hsmkey option

    [NSSSL-6484]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation de la CRL désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Une appliance Citrix ADC se bloque lors du traitement d’une requête HTTP si l’action de stratégie est définie sur « Transférer » pour une stratégie déjà liée au point de liaison de la demande.

    [ NSHELP-29115 ]

  • Dans une configuration de cluster, lorsque deux certificats installés sont les émetteurs d’un certificat de serveur doté de l’extension OCSP AIA, l’appliance devient inaccessible si vous supprimez le certificat de serveur.

    [ NSHELP-28058 ]

  • Dans une configuration haute disponibilité, l’actualisation automatique des LCR échoue par intermittence si les deux conditions suivantes sont remplies :

    • Les fichiers sont synchronisés entre le nœud principal et le nœud secondaire.
    • Le fichier CRL est en cours de téléchargement à partir du serveur CRL en même temps.

    [ NSHELP-27435 ]

  • Le nom du certificat d’autorité de certification qui a émis la CRL est tronqué à 32 caractères, même si le nom d’une clé de certificat peut comporter jusqu’à 64 caractères. Ce problème se produit car le champ CRL est limité à 32 caractères.

    [NSHELP-26986]

System

  • L’option TCP de chaînage de connexion est ajoutée aux connexions RPC Citrix ADC. Le problème entraîne un problème d’interopérabilité avec la communication des sites GSLB.

    [NSHELP-27417]

  • Une augmentation des retransmissions de paquets est observée dans les déploiements de clusters MPTCP dans le cloud public si le jeu de liens est désactivé.

    [NSHELP-27410]

  • Une appliance Citrix ADC peut envoyer un paquet TCP non valide avec des options TCP telles que des blocs SACK, un horodatage et un ACK de données MPTCP sur les connexions MPTCP.

    [ NSHELP-27179 ]

  • Une incompatibilité entre les enregistrements Logstream est observée dans l’appliance Citrix ADC et le chargeur de données.

    [ NSHELP-25796 ]

  • Dans de rares cas, une appliance Citrix ADC peut envoyer des numéros de séquence TCP SACK incorrects au client lors du transfert depuis le serveur principal. Le problème se produit si l’option TCP Selective ACK (SACK) est activée dans un profil TCP.

    [ NSHELP-24875 ]

  • Dans une configuration de cluster, la commande « set ratecontrol » ne fonctionne qu’après le redémarrage de l’appliance Citrix ADC.

    Solution : utilisez la nsapimgr_wr.sh -ys icmp_rate_threshold=<new value> commande.

    [NSHELP-21811]

  • Lors du traitement de grands flux de trafic gRPC, la fenêtre annoncée par TCP augmente de façon exponentielle, entraînant une utilisation élevée de la mémoire.

    [ NSBASE-15447 ]

Interface utilisateur

  • Dans l’interface graphique du Gestionnaire de stratégies de compression, impossible de lier une stratégie de compression à un protocole HTTP en spécifiant un point de liaison et un type de connexion appropriés.

    [NSUI-17682]

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPSec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

  • Après la mise à niveau d’une installation haute disponibilité ou d’une configuration de cluster vers la version 13.0 build 74.14 ou ultérieure, la synchronisation de la configuration peut échouer pour la raison suivante :

    • La paire de clés privée et publique « ssh_host_rsa_key » est incorrecte.

    Solution : régénérez « ssh_host_rsa_key ». Pour de plus amples informations, consultez l’article https://support.citrix.com/article/CTX322863.

    [ NSHELP-27834 ]

  • Vous ne pouvez pas lier un service ou un groupe de services à un serveur virtuel d’équilibrage de charge prioritaire à l’aide de l’interface graphique Citrix ADC.

    [ NSHELP-27252 ]

  • Dans un dispositif Citrix ADC VPX, une opération de définition de la capacité peut échouer après l’ajout d’un serveur de licences. Le problème se produit car les composants liés à Flexera prennent plus de temps à initialiser en raison du grand nombre de licences prises en charge de type check-in and check-out (CICO)

    [NSHELP-23310]

  • Le chargement et l’ajout d’un fichier de liste de révocation de certificats (CRL) échouent dans la configuration d’une partition d’administration.

    [ NSHELP-20988 ]

  • Lorsque vous rétrogradez une appliance Citrix ADC version 13.0-71.x vers une version antérieure, certaines API Nitro peuvent ne pas fonctionner en raison des modifications des autorisations de fichiers.

    Solution : remplacez l’autorisation pour « /nsconfig/ns.conf » par 644.

    [NSCONFIG-4628]

  • La synchronisation des signatures du pare-feu d’application avec des nœuds non CCO peut parfois prendre beaucoup de temps. Par conséquent, les commandes utilisant ces fichiers peuvent échouer.

    [NSCONFIG-4330]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

    1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions suivantes :

      • 13.0 52.24 build
      • 12.1 57.18 build
      • 11.1 65.10 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système
    à l’aide de l’interface de ligne de commande, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution :

    Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Notes de publication pour la version 13.0-71.44 de Citrix ADC