ADC

Notes de publication pour la version 13.0-76.31 de Citrix ADC

Ce document de notes de version décrit les améliorations et modifications, les problèmes résolus et connus qui existent pour la version 13.0-76.31 de Citrix ADC.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
  • La version 76.31 remplace la version 76.29
  • Correctif supplémentaire dans la version 76.31 : NSAUTH-10135
  • Problème connu supplémentaire ajouté dans les notes de version 2.0 : NSNET-21173

Nouveautés

Les améliorations et modifications disponibles dans la version 13.0-76.31.

Authentification, autorisation et audit

  • Prise en charge des politiques de réécriture pour les réponses générées par Citrix ADC et Citrix Gateway, y compris les réponses 401 et 407

    Avec la mise en œuvre de l’en-tête CSP, la prise en charge des politiques de réécriture a désormais été étendue au serveur virtuel Citrix Gateway et aux réponses générées par le serveur virtuel d’authentification, notamment les réponses 401 et 407.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/aaa-rewrite.html

    [NSAUTH-8809]

  • Prise en charge de l’en-tête CSP sécurisé par défaut et des politiques de réécriture pour les réponses générées par Citrix ADC et Citrix Gateway

    Les fonctionnalités suivantes sont désormais ajoutées au serveur virtuel Citrix Gateway et au serveur virtuel d’authentification.

    • Infrastructure pour les politiques de réécriture pour les réponses générées par Citrix ADC
    • Support de configuration pour un en-tête CSP sécurisé par défaut

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/aaa-rewrite.html

    [ NSAUTH-1421 ]

Gestion des bots

  • Gestion des robots à l’aide d’ADM StyleBooks

    Vous pouvez désormais configurer les paramètres de gestion des robots sur vos instances ADC à l’aide d’ADM StyleBooks. L’ADM vous fournit un StyleBook par défaut (« gestion des robots ») pour créer la configuration des politiques relatives aux robots. Il contient de nombreux critères qui décrivent les fonctionnalités des robots malveillants. Les instances ADC utilisent cette configuration pour identifier et bloquer ces menaces liées aux robots et au trafic malveillant.

    [NSBOT-84]

  • Expression du journal du bot

    Le profil de gestion des robots Citrix vous permet désormais de capturer des données supplémentaires sous forme de messages de journal si le trafic entrant est identifié comme étant un bot. Les données peuvent être le nom de l’utilisateur qui a demandé l’URL, l’adresse IP source et le port source à partir duquel l’utilisateur a envoyé la demande.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html

    [NSBOT-49]

  • Extraction de l’adresse IP du client pour la détection des robots

    Vous pouvez désormais configurer une expression de politique avancée dans un profil de robot pour extraire l’adresse IP du client à partir d’un en-tête de requête HTTP, d’un corps de requête HTTP ou d’une URL de requête HTTP. La valeur extraite peut être utilisée par un mécanisme de détection de robots (tel qu’une transaction par seconde (TPS), un piège à robots ou une limite de débit) pour détecter si une demande entrante est un robot.

    En ajoutant cette configuration, l’appliance Citrix ADC peut tirer parti du mécanisme de détection des robots pour renforcer la sécurité des clients et des serveurs logiciels.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html

    [NSBOT-48]

Appliance Citrix ADC SDX

  • Sur une appliance Citrix ADC SDX, l’accès administrateur par défaut (nsroot) peut être désactivé en configurant l’authentification externe et en désactivant le retour à l’accès administrateur par défaut. Toutefois, si les serveurs externes ne répondent pas, l’accès administrateur par défaut (authentification locale) est automatiquement activé pour retrouver l’accès à l’appliance.

    [NSSVM-4276]

  • Sur l’appliance Citrix ADC SDX, le serveur de licences peut être modifié pour fournir de nouveaux détails sans annuler la licence des instances ADC.

    [NSSVM-2939]

Citrix Gateway

  • Affichage de l’état des scans NFactor EPA dans les journaux Citrix ADC

    L’appliance Citrix ADC enregistre l’état des scans nFactor EPA pour la pré-authentification et la post-authentification, ainsi que l’identifiant du dossier. L’identifiant du dossier est affiché à l’utilisateur final sur la page HTML d’erreur de l’EPA. Le numéro de dossier est également enregistré dans l’appliance avec tous les scans réussis ou échoués.

    [CGOP-12110]

Citrix Web App Firewall

  • Approche basée sur la grammaire SQL pour les attaques par injection SQL

    La solution Citrix Web App Firewall de nouvelle génération est désormais améliorée pour prendre en charge les méthodes de détection SQL suivantes afin de réduire les faux positifs dans les charges utiles HTTP et JSON. Auparavant, seule l’approche basée sur les modèles était prise en charge.

    • Approche basée sur des modèles
    • Approche basée sur la grammaire

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/application-firewall/top-level-protections/sql-grammar-based-protection-for-html-and-json-payload.html

    [NSWAF-6910]

  • Code d’erreur et message de réponse personnalisés pour la configuration de l’objet d’erreur

    Si Citrix Web App Firewall (WAF) utilise un objet d’erreur pour gérer les scénarios d’erreur, le profil WAF vous permet désormais de configurer un code d’état de réponse et un message personnalisés. Vous pouvez personnaliser le code d’état de réponse et le message pour un objet d’erreur HTML, XML ou JSON dans un profil WAF. Auparavant, la réponse à l’objet d’erreur était envoyée avec le code d’état de la réponse et le message définis sur « 200 » et « OK ». L’utilisateur n’avait aucun moyen de personnaliser l’état de réponse de l’objet d’erreur. Pour maintenir la rétrocompatibilité, si le code d’état de réponse personnalisé à l’objet d’erreur et le message ne sont pas définis, les valeurs par défaut sont respectivement 200 » et « OK ».

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/application-firewall/profiles/custom-error-status-and-message-for-html-xml-json-error-object.html

    [NSWAF-6549]

  • Support pour une protection de sécurité supplémentaire

    Le compteur de relaxation dynamique du profil prend désormais en charge les contrôles de sécurité supplémentaires suivants.

    1. JSON SQL
    2. Script intersite JSON
    3. DDoS JSON
    4. Cohérence des cookies
    5. Falsification de demande intersite
    6. Format de champ

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/application-firewall/profiles/dynamic-profiling.html

    [NSWAF-6433]

  • Approche basée sur la grammaire SQL pour les attaques par injection SQL

    La solution Citrix Web App Firewall de nouvelle génération est désormais améliorée pour prendre en charge à la fois une approche basée sur des modèles et une approche basée sur la grammaire afin de détecter les attaques par injection SQL et de réduire les faux positifs dans les charges utiles HTTP et JSON. Auparavant, seule l’approche basée sur les modèles était prise en charge.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/application-firewall/top-level-protections/sql-grammar-based-protection-for-html-and-json-payload.html

    [NSWAF-5822]

Équilibrage de charge

  • Réduction du temps nécessaire à la synchronisation de la configuration GSLB entre les sites GSLB

    Le temps nécessaire à la synchronisation de la configuration GSLB entre les sites GSLB est désormais considérablement réduit en raison de la compression des fichiers synchronisés avec des sites distants.

    [ NSLB-7399 ]

  • Faire passer les services GSLB à une phase d’apprentissage afin d’éviter toute lacune sur les services GSLB

    Le paramètre SvcStateLearningTime peut désormais être utilisé pour déplacer les services GSLB locaux et enfants vers la phase d’apprentissage afin d’éviter des interruptions inutiles sur les sites GSLB distants. Lorsqu’un service est en phase d’apprentissage, les sites GSLB distants ne respectent pas l’état du site principal et les statistiques reçues via MEP pour ce service. Cependant, l’état des sites peut être appris à partir du moniteur de santé, s’il est explicitement lié.
    Vous pouvez définir SvcStateLearningTime en secondes. La valeur par défaut est 0 et la valeur maximale est 3600.
    Les services GSLB entrent dans la phase d’apprentissage dans l’un des scénarios suivants.

    • L’appliance Citrix ADC est redémarrée
    • Le basculement à haute disponibilité s’est produit
    • Le nœud propriétaire d’une configuration GSLB de cluster est modifié
    • MEP est activé sur un nœud local
    • Le site GSLB est issu d’un scénario insulaire. Un site GSLB devient un îlot lorsqu’il n’est connecté à aucun autre site.

    Dans un déploiement parent-enfant, le parent de sauvegarde (s’il est configuré) déplace de manière sélective les services GSLB du site enfant adopté vers la phase d’apprentissage lorsque le parent principal tombe en panne.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/global-server-load-balancing/configuring-metrics-exchange-protocol.html

    [NSLB-6707]

Mise en réseau

  • Contrôle de version à haute disponibilité pour les modifications de la structure des comptes

    Dans une configuration à haute disponibilité, le processus ISSU utilise le framework de communication TCP nœud à nœud pour synchroniser ou honorer les connexions existantes.

    Les appliances peuvent se bloquer pendant le processus ISSU si la taille de la structure du framework ne correspond pas aux deux nœuds.

    Avec le correctif, l’appliance Citrix ADC exécute la migration ISSU uniquement si la taille de la structure du framework est la même sur les deux nœuds.

    En cas de différence de taille de structure, l’appliance Citrix ADC n’exécute pas l’opération de migration ISSU et affiche un message d’erreur.

    [NSNET-15370]

Plateforme

  • Prise en charge des configurations Citrix ADC VPX lors du premier démarrage de l’appliance Citrix ADC sur les clouds Azure, GCP et AWS

    Vous pouvez désormais appliquer les configurations Citrix ADC VPX lors du premier démarrage de l’appliance Citrix ADC dans un environnement cloud. Dans certains cas, tels que les licences groupées Citrix ADC, cette fonctionnalité permet d’activer l’instance VPX beaucoup plus rapidement. Vous pouvez utiliser cette fonctionnalité en fournissant un script, des métadonnées ou des données utilisateur à l’instance cloud au format XML. Cette fonctionnalité est disponible dans Microsoft Azure, Google Cloud Platform et AWS Clouds.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/apply-vpx-config-at-preboot.html

    [NSPLAT-14774]

  • Prise en charge de la mise en réseau accélérée Azure sur l’instance Citrix ADC VPX

    L’instance Citrix ADC VPX prend désormais en charge la mise en réseau accélérée Azure. La mise en réseau accélérée permet de connecter une carte réseau à fonction virtuelle (VF) à racine unique (SR-IOV) à une machine virtuelle, ce qui améliore les performances du réseau. Vous pouvez utiliser cette fonctionnalité avec des charges de travail lourdes qui doivent envoyer ou recevoir des données à un débit supérieur avec un streaming fiable et une utilisation réduite du processeur.

    Lorsqu’une carte réseau accélérée est activée, Azure associe l’interface para-virtualisée (PV) existante de la carte réseau à une interface VF SR-IOV. La prise en charge de l’interface SR-IOV VF permet et améliore le débit de l’instance Citrix ADC VPX.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/deploy-vpx-on-azure/configure-vpx-to-use-azure-accelerated-networking.html

    [ NSPLAT-13235 ]

System

  • Parsing Proxy Protocol après la prise de contact TLS pour le trafic SSL et SSL-TCP

    Selon la RFC, le protocole proxy est analysé après l’ACK final lors d’une prise de contact TCP. Toutefois, la fonctionnalité est désormais améliorée pour analyser le protocole proxy après la prise de contact TLS pour détecter le trafic SSL et SSL-TCP. En analysant les données après la prise de contact TLS, les données du protocole proxy sont cryptées en TLS et plus sécurisées. Pour effectuer cette analyse, vous devez activer le paramètre « ProxyProtocolAfterTLShandshake » dans le profil réseau. Lorsque vous activez le paramètre, l’appliance analyse le protocole proxy après la prise de contact TLS et non après le FINAL ACK de la liaison TCP.

    Configurez le protocole proxy après l’établissement de contacts TLS à l’aide de l’interface de commande :

    À l’invite de commande, tapez :
    add netprofile <name> -proxyProtocolAfterTLSHandshake ENABLED Où les paramètres ProxyProtocol et ProxyProtocolAfterTLShandshake s’excluent mutuellement.

    [ NSBASE-12491 ]

  • Déploiement d’un pont QUIC pour le trafic HTTP/QUIC

    L’appliance Citrix ADC prend désormais en charge la configuration du pont QUIC pour le trafic QUIC HTTP3. Le déploiement vous permet d’avoir des connexions QUIC persistantes entre le client et le serveur dans le cas d’une reliaison NAT ou d’une migration de connexion.

    Avantages de la configuration du pont QUIC :

    • Pas d’opérations de crypto coûteuses.
    • Routage sans état possible (pas d’équilibrage de charge basé sur 4 tuples).

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/system/quic.html

    [ NSBASE-10636 ]

  • Support pour la publicité d’adresses supplémentaires (ADD_ADDR)

    Dans un déploiement MPTCP, si un serveur virtuel est lié à un ensemble d’adresses IP supplémentaires de serveur virtuel, la fonctionnalité d’annonce d’adresse supplémentaire (ADD_ADDR) annonce l’adresse IP des serveurs virtuels liés à l’ensemble d’adresses IP. Cet ensemble d’adresses IP est celui sur lequel le client peut initier les nouveaux sous-flux MP-JOIN.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/system/tcp-configurations.html

    [NSBASE-9076]

Interface utilisateur

  • Vous ne pouvez pas utiliser l’interface graphique pour lier un répondeur OCSP externe à un certificat racine si un répondeur OCSP interne est ajouté pour le même certificat racine.

    [NSUI-1145]

Problèmes résolus

Les problèmes résolus dans la version 13.0-76.31.

Authentification, autorisation et audit

  • Dans de rares cas, l’authentification OAuth échoue si une appliance Citrix ADC configurée en tant qu’IdP OAuth n’envoie pas de jeton JWT au format spécifié.

    [NSHELP-26323]

  • Si un utilisateur se connecte avec un horodatage expiré, l’appliance Citrix ADC envoie une URL de retour non valide pour se reconnecter.

    [NSHELP-26285]

  • Dans certains cas, l’ajout de plusieurs politiques d’authentification liées à l’EPA entraîne une gestion élevée du processeur.

    [NSHELP-26281]

  • Dans certains cas, une appliance Citrix ADC se bloque parce qu’une action par défaut est liée à une politique qui ne comporte aucun schéma de connexion.

    [NSHELP-26192]

  • Dans certains cas, l’appliance Citrix ADC peut ne plus répondre si les informations d’authentification utilisateur ne sont pas disponibles.

    [NSHELP-26113]

  • Dans certains cas, les attributs tels que « Sécurisé » et « Domaine » présents dans le cookie Samesite ne sont pas séparés par une virgule mais sont affichés sous la forme d’un seul attribut.

    [NSHELP-25825]

  • Dans certains cas, une appliance Citrix ADC peut se bloquer lorsqu’un utilisateur essaie de configurer un schéma de connexion EULA personnalisé.

    [NSHELP-25570]

  • Les questions définies par le système dans le schéma de connexion de KBA Registration sont affichées uniquement en anglais et aucune assistance en matière de localisation linguistique n’est disponible pour ces questions.

    [NSHELP-25484]

  • L’appliance Citrix ADC supprime certaines demandes valides lorsqu’elle agit en tant que proxy ADFS.

    [NSHELP-25427]

  • Si une appliance Citrix ADC est configurée pour l’authentification nFactor et est mise à niveau vers la version 13.0, le point de terminaison (par exemple un iPad) utilisé pour accéder à l’appliance Citrix ADC reçoit une authentification basée sur 401 au lieu d’une authentification basée sur un formulaire.

    [NSHELP-25309]

  • L’appliance Citrix ADC se bloque lorsque le certificat FIPS est configuré pour usercertdata.

    [NSHELP-25264]

  • Une appliance Citrix ADC peut se bloquer si les problèmes suivants sont observés :

    • Allocation de mémoire non valide.
    • Le Web App Firewall est configuré avec une authentification SSO basée sur un formulaire.

    [NSHELP-24551]

  • Lorsqu’une appliance Citrix ADC ou Citrix Gateway utilise l’authentification Kerberos suivie d’une opération de recherche utilisateur LDAP, l’authentification échoue dans le scénario suivant.
    Le nom d’utilisateur principal (UPN) LDAP est différent du nom d’utilisateur fourni par un ticket Kerberos.

    [NSHELP-24384]

  • Dans certains cas, l’authentification SAML est interrompue lorsque les conditions suivantes sont remplies :

    • L’appliance Citrix ADC est configurée en tant que SP SAML.
    • La « liste déroulante du domaine » est configurée en tant que facteur sur l’appliance Citrix ADC.
    • Les politiques SAML sont évaluées en fonction des entrées du facteur « Liste déroulante du domaine ».

    [ NSAUTH-10135 ]

  • Une appliance Citrix ADC répond par un code d’erreur 400 lorsque la taille de l’en-tête d’une demande liée à l’interface utilisateur Citrix Gateway dépasse 1 024 caractères.

    [NSAUTH-9475]

Gestion des bots

  • Nouvelles actions des robots pour la technique de détection des listes bloquées

    « Aucune » et « Redirection » sont ajoutés à la liste des actions pouvant être sélectionnées pour la technique de détection des robots par liste noire.

    [NSBOT-397]

  • La fonctionnalité de transaction par seconde (TPS) du bot ne fonctionne pas comme prévu.

    [NSBOT-353]

  • Lorsque vous modifiez ou mettez à jour les signatures de robots dans une configuration de cluster Citrix ADC, l’appliance Citrix ADC affiche l’erreur suivante :

    « La mise à jour de la signature a échoué - La mise à jour de la ressource a échoué »

    [NSBOT-345]

  • L’URL des pièges à robots est insérée dans toutes les demandes, y compris les URL qui ne sont pas définies dans la liste des URL d’insertion des pièges.

    [NSBOT-316]

  • Le processus d’atténuation des CAPTCHA n’est pas réinitialisé pour répondre aux demandes des clients après la période de silence.

    [NSBOT-224]

  • Les journaux d’URL des robots piégés ne fonctionnent pas comme prévu pour les actions de « suppression », de « réinitialisation » et de « redirection » des robots.

    [NSBOT-184]

Mise en cache

  • Lors de la configuration du groupe de contenu du cache, des espaces larges non valides sont observés dans la valeur d’âge maximum de l’en-tête de contrôle du cache.

    [NSHELP-2006]

Appliance Citrix ADC SDX

  • Sur la plate-forme Citrix ADC SDX 8400/8600, la surveillance de l’état de santé peut afficher des erreurs de chiffrement.

    [NSHELP-26500]

  • Sur une appliance Citrix ADC SDX, les détails « geodb » des instances ADC ne sont pas collectés lorsque vous effectuez une sauvegarde de l’appliance.

    [NSHELP-26190]

  • Si vous lancez la suppression d’une instance Citrix ADC alors que l’instance est en cours de provisionnement, l’entrée de partition FIPS pour l’instance supprimée est peut-être toujours présente dans la base de données.

    [NSHELP-25909]

  • Sur une appliance Citrix ADC SDX, il se peut qu’il y ait une incompatibilité de mot de passe entre le service de gestion et une instance VPX, si les conditions suivantes se produisent simultanément :

    • Le mot de passe du service de gestion est modifié.
    • L’instance VPX est modifiée en fonction de tout changement, tel que la mémoire, le processeur et le profil.

    [NSHELP-25709]

  • Sur une appliance Citrix ADC SDX, le provisionnement ou la restauration d’un VPX peut échouer si la liste des VLAN autorisés sur une interface ou un canal comporte plus de 100 caractères.

    [NSHELP-25702]

  • Lorsqu’une appliance Citrix ADC SDX est redémarrée et que le service de gestion apparaît avant une instance ADC, le service de gestion suppose que l’état de l’instance est INTERROMPU. Par conséquent, le service de gestion n’ajoute pas les entrées de route pour l’instance et l’état de l’instance passe à la position DOWN.

    [NSHELP-25674]

  • Si vous effectuez une réinitialisation d’usine sur une appliance Citrix ADC SDX, l’ID d’hôte de l’appliance change pour la première fois. La modification se produit si l’une des conditions suivantes est remplie :
    1. Vous restaurez un dispositif sur lequel un canal d’agrégation de liens est configuré sur une interface de gestion.
    2. Le canal d’agrégation de liens sur une interface de gestion est supprimé.

    [NSHELP-25670]

  • Sur une appliance Citrix ADC SDX, le service de gestion déclenche un événement si l’utilisation de la mémoire au-delà du seuil persiste pendant plus de 15 minutes.

    [NSHELP-25668]

  • Sur une appliance Citrix ADC SDX, l’ID d’hôte du service de gestion peut changer si vous supprimez l’agrégation de liens des interfaces de gestion. Par conséquent, les licences de l’appliance peuvent être affectées.

    [NSHELP-25636]

Citrix Gateway

  • Parfois, l’analyse des terminaux à l’aide du plug-in EPA pour macOS échoue car le plug-in expire au bout de 5 secondes et, par conséquent, l’analyse s’arrête avant d’être terminée.

    [NSHELP-26305]

  • Parfois, l’appliance Citrix ADC se bloque lorsqu’une trace est lancée à partir de l’interface graphique ou de l’interface de ligne de commande.

    [NSHELP-26249]

  • L’appliance Citrix ADC peut se bloquer si la taille de l’attribut « RDPLinkAttribute » est supérieure à 64 caractères.

    [NSHELP-26068]

  • Le plug-in Citrix Gateway ne parvient pas à établir un tunnel complet et affiche le contenu du lecteur local après avoir saisi les informations d’identification.

    [NSHELP-25899]

  • Le moteur de paquets se bloque lors de la récupération d’une entrée de connexion ICA lorsque vous exécutez la commande show icaconnection. Ce blocage se produit car les informations de connexion ICA figurant dans la liste des connexions ICA sont périmées.

    [NSHELP-25420]

  • Dans l’interface graphique de Citrix ADC, l’onglet Ajouter présent dans la page Groupes d’authentification, d’autorisation et d’audit ne permet pas de modifier le champ Pondérations .

    [NSHELP-25200]

  • Si un nom de domaine complet est utilisé pour configurer WiHome ou StoreFront via une connexion SSL, les chiffrements ECDHE ne sont pas négociés lors du processus de démarrage.

    [NSHELP-25144]

  • La redirection vers ShareFile échoue lorsque Citrix Gateway est configuré pour le thème RFWebUI.

    [NSHELP-25133]

  • Citrix Gateway se bloque lors du décodage du paquet CVPNv2 en raison d’une terminaison de chaîne incorrecte.

    [NSHELP-24718]

  • Dans de rares cas, la page de connexion de Citrix Gateway se charge lentement si le répertoire « nshttp_profile_ids » remplit l’espace de stockage.

    [NSHELP-24705]

  • Une appliance Citrix ADC se bloque par intermittence si les conditions suivantes sont remplies :

    • Un certificat CA est ajouté à un serveur virtuel VPN.
    • La vérification OCSP du certificat CA est définie comme obligatoire sur le serveur virtuel SSL.

    [NSHELP-24676]

  • Un retard dans la réponse des serveurs StoreFront peut ralentir les opérations liées à l’interface graphique Citrix Gateway ou provoquer des messages d’erreur « timeout at dispatch_netsvc ».

    [NSHELP-24437]

  • La commande « show audit messages » affiche les journaux de tous les niveaux de journalisation au lieu du niveau de journalisation configuré après l’exécution de la commande clear config.

    [NSHELP-24237]

  • Citrix ADM affiche une bande passante incorrecte utilisée par les utilisateurs lorsqu’ils sont connectés au VPN.

    [NSHELP-23855]

  • Les données HDX Insight ne sont pas observées dans Director pour les sessions individuelles. Le problème se produit lorsque des sessions Citrix ADC App Experience (NSAP) sont établies.

    [NSHELP-23834]

  • Dans Analytics > Gateway Insight, sous Authentification, un type d’authentification incorrect s’affiche. Ce problème se produit lorsque vous configurez l’action NO_AUTHN dans l’instance ADC.

    [NSHELP-2017]

  • Une fuite de mémoire est observée si HDX Insight avec chiffrement avancé est activé.

    [CGOP-15689]

Citrix Web App Firewall

  • Code de réponse d’erreur pour les requêtes HTML, XML et JSON

    Dans une configuration de cluster, le code de réponse d’erreur pour les requêtes HTML, XML et JSON est défini sur « 0 » au lieu de « 200 » si le profil est configuré comme avancé ou basique par défaut.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/application-firewall/top-level-protections/profiles/custom-error-status-and-message-for-html-xml-json-error-object.html

    [NSWAF-7275]

  • Lors d’une mise à niveau du cluster, une appliance Citrix ADC peut se bloquer si la taille de la clé de session n’est pas celle attendue.

    [NSWAF-7080]

  • Une erreur d’audit est observée dans Stylebook si le paramètre de cohérence des champs sans session est défini sur « Postonly ».

    [NSWAF-6894]

  • L’URL de signature est modifiée après la mise à niveau de la configuration du cluster Citrix ADC.

    [NSWAF-6844]

  • Le processus aslearn ne démarre pas automatiquement après la panne de l’appliance Citrix ADC.

    [NSWAF-6766]

  • Dans une appliance Citrix ADC, les règles de relaxation du téléchargement de fichiers pour plusieurs types de fichiers ne fonctionnent pas comme prévu.

    [NSHELP-26313]

  • Les services SSL d’équilibrage de charge et de commutation de contenu ne répondent pas en raison de l’utilisation élevée de la mémoire sur une appliance Citrix ADC.

    [NSHELP-25587]

  • Un appel GET de l’API Nitro qui extrait des données d’apprentissage pour XMLWSICheck renvoie des données nulles dans la réponse.

    [NSHELP-2550]

  • Le moteur d’apprentissage de Citrix Web App Firewall peut apprendre par erreur les valeurs nulles pour les paramètres « Type de valeur » et « Valeur » si les protections « CheckRequestHeaders » et « HTML SQLi » sont activées.

    [NSHELP-25549]

  • La validation de l’enveloppe SOAP peut échouer pour les données XML.

    [NSHELP-24412]

Équilibrage de charge

  • La limite de mémoire pour les identifiants de session SSL est augmentée pour tenir compte du nombre maximal d’entrées de persistance des identifiants de session SSL de 1,66 million par moteur de paquets. Auparavant, le nombre d’entrées d’identifiant de session SSL était limité à 1,06 million en raison de la limite de mémoire.

    [NSLB-7796]

  • Une appliance Citrix ADC peut se bloquer lors de l’affichage des liaisons de la politique de commutation de contenu, si les conditions suivantes sont remplies :

    • La persistance des cookies est activée sur le serveur virtuel de commutation de contenu.
    • Le serveur virtuel cible est de type VPN.

    [NSHELP-25652]

  • Lorsqu’une réponse tronquée est reçue dans la réponse à une sonde de surveillance DNS, la sonde de surveillance DNS suivante n’est pas envoyée à un serveur de noms TCP.

    [NSHELP-25527]

  • Une appliance Citrix ADC peut se bloquer lors de la mise à jour des membres Autoscale du groupe de services GSLB si des groupes de services GSLB et non GSLB sont configurés.

    [NSHELP-25361]

  • Les entrées de localisation personnalisées peuvent être supprimées lorsque vous exécutez les commandes add locationfile ou add locationfile6” dans une configuration à haute disponibilité.

    [NSHELP-23775]

  • Une appliance Citrix ADC peut se bloquer lorsque la journalisation DNS est activée et qu’une requête DNS mal formée est reçue.

    [NSHELP-21959]

Mise en réseau

  • Dans une configuration NAT déterministe à grande échelle (LSN), le problème suivant se produit après la mise à niveau de l’appliance Citrix ADC de la version 11.1 vers la version 12.1 ou la version 13.0.

    Les adresses IP NAT et les blocs de ports sont alloués sur la base de la politique d’allocation « IPADDRS » au lieu de la politique d’allocation « PORTS ».

    Le type « PORTS » était la seule politique d’allocation déterministe présente par défaut dans la version 11.1 sans aucune option de configuration.

    Le type « IPADDRS » est défini comme politique d’allocation déterministe par défaut dans la version 12.1 ou la version 13.0.

    Ainsi, une configuration LSN déterministe avec une politique d’allocation « PORTS » est convertie en politique d’allocation « IPADDRS » lors du processus de mise à niveau de Citrix ADC.

    Dans le cadre de ce correctif, la politique d’allocation déterministe par défaut est désormais définie sur « PORTS » dans les versions suivantes :

    • Version 12.1 build 61.18 et versions ultérieures
    • Version 13.0 build 76.x et versions ultérieures

    [NSNET-19469]

  • La jonction d’un nœud à une configuration de cluster peut échouer si toutes les conditions suivantes sont remplies :

    • L’adresse CLIP et l’adresse NSIP du nœud à joindre sont des réseaux différents.
    • Une adresse SNIP présente dans le nœud, à joindre, possède la même adresse réseau que l’adresse CLIP.
    • Lors de la connexion du nœud à la configuration du cluster, la connexion est initiée avec SNIP comme adresse IP source et CLIP comme adresse IP de destination.
    • L’adresse CLIP réinitialise la connexion.

    [NSNET-18438]

  • Une appliance Citrix ADC BLX dotée de plusieurs moteurs de paquets peut ne pas générer de messages d’interruption SNMP.

    [ NSNET-11296 ]

  • Dans une configuration à haute disponibilité, le nœud secondaire peut ne pas être en mesure d’accéder aux adresses IP du nœud principal lorsque la condition suivante est remplie :

    • Adresse VMAC utilisant une interface via laquelle le nœud principal communique avec le nœud secondaire.

    [NSHELP-25747]

  • La configuration d’équilibrage de charge FTP et SFTP avec l’USIP activé peut ne pas fonctionner correctement dans une appliance Citrix ADC pour la raison suivante :

    Les indicateurs internes ne sont pas définis dans les informations de session côté client, ce qui entraîne des fuites de ports sur des adresses IP fictives pour les sessions d’équilibrage de charge FTP et SFTP.

    [NSHELP-25569]

  • Dans une configuration de cluster, les configurations RNAT pour le trafic de données FTP peuvent échouer par intermittence.

    [NSHELP-25566]

  • L’appliance Citrix ADC peut se bloquer en raison d’un problème de synchronisation de la mémoire interne dans le module LSN.

    [NSHELP-25105]

  • Dans une configuration à haute disponibilité, le nœud secondaire peut se bloquer après un redémarrage si les conditions suivantes sont remplies :

    • Un grand nombre de sessions LSN actives sont présentes dans le nœud principal
    • Le processus Pitboss se bloque et redémarre pendant le processus de synchronisation de ces nombreuses sessions LSN dans le nœud secondaire

    [NSHELP-25068]

  • Dans une configuration CLAG en cluster, vous pouvez rencontrer les problèmes suivants lorsque la sonde de surveillance du nouveau nœud actif (passif à actif) envoie du ND6 avant que le CLAG ne soit actif :

    • La demande ND6 provenant du nouveau nœud actif échoue continuellement.
    • Certains des services appartenant au nouveau nœud actif sont indisponibles.

    [NSHELP-25010]

  • Pour une règle PBR6 sans route directe vers le saut suivant, l’appliance Citrix ADC peut supprimer de manière incorrecte les paquets traités par RNAT6 avec une erreur.

    [NSHELP-24632]

  • Dans une configuration à haute disponibilité, le module SNMP peut se bloquer à plusieurs reprises en raison d’une mauvaise gestion des données par les moteurs de paquets et les modules réseau internes.
    Cette panne répétée du module SNMP déclenche le basculement HA.

    [NSHELP-24434]

Plateforme

  • Une instance Citrix ADC VPX se bloque lorsque des ruptures de liens fréquentes sont observées sur les interfaces 50G et 100G.

    [ NSPLAT-16852 ]

  • Support pour les nouvelles plateformes matérielles Citrix ADC SDX

    Cette version prend désormais en charge les nouvelles plateformes suivantes :

    [NSPLAT-12815]

  • Sur une appliance Citrix ADC SDX, le trafic vers l’instance ADC peut être interrompu lorsque le lien d’interface s’arrête et que la réinitialisation de l’interface se produit simultanément.

    [NSHELP-26307]

  • La liaison d’un VLAN à un canal d’agrégation de liens échoue lorsque le VLAN est associé à plus de 40 adresses MAC de partition.

    [NSHELP-25308]

  • Sur les plateformes Citrix ADC SDX 14000 et SDX 25000, aucun vidage de base n’est généré via le bouton d’interruption non masquable (NMI) de gestion des lumières éteintes.

    [NSHELP-25091]

  • La mise à niveau d’une appliance Citrix ADC SDX peut échouer si la partition /var/sdx n’est pas montée dans Citrix Hypervisor.

    [NSHELP-24847]

Stratégies

  • La carte de chaînes de règles risque de ne pas fonctionner si des caractères UTF-8 sont utilisés dans le texte clé.

    [NSHELP-25357]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont respectées :

    • La longueur d’en-tête maximale d’un profil HTTP est fixée à 61 440 octets.
    • L’expression de politique « HTTP.REQ.URL » est traitée lors d’une demande dont la longueur d’URL est supérieure à 61 440 octets.

    [NSHELP-24476]

  • Une appliance Citrix ADC peut se bloquer lors de la restauration ASYNC lorsque vous essayez de lier une stratégie à une étiquette ayant une priorité à laquelle une autre stratégie est déjà liée.

    [NSHELP-18493]

SSL

  • Dans une configuration de cluster, certains nœuds du cluster peuvent ne pas honorer la demande de réutilisation d’un ticket de session, mais la prise de contact complète SSL aboutit.

    [NSSSL-3161]

  • Une appliance Citrix ADC peut vider le cœur si les conditions suivantes sont remplies :

    • La mémoire de l’appliance est insuffisante.
    • DTLS est activé.
    • Le journal des niveaux DEBUG est activé.

    [NSHELP-26114]

  • Si l’option de mot de passe fort est activée sur une appliance Citrix ADC, les paires de clés de certificat protégées par mot de passe risquent de ne pas être ajoutées. Grâce à ce correctif, les paires de clés de certificat protégées par mot de passe sont toujours ajoutées avec succès. Toutefois, la rétrogradation vers une version antérieure entraîne la perte de la configuration de la clé de certificat.
    De plus, dans la réponse de l’API NITRO pour les paires de clés de certificat, la variable passplain est envoyée au lieu de la variable passcrypt.

    [NSHELP-25675]

  • Lors de l’utilisation du transfert SSL sur une connexion MPTCP, les compteurs suivants affichent une valeur élevée :

    • Compteur de sessions MPTCP sur le serveur virtuel transféré.
    • Compteur de connexions client actuel sur le serveur virtuel d’origine.

    Lorsque la connexion est transférée du serveur virtuel d’origine vers le serveur virtuel transféré, le compteur de sessions MPTCP sur le serveur virtuel transféré n’est pas incrémenté. Toutefois, lorsque la connexion MPTCP est libérée, le compteur est décrémenté. Par conséquent, la valeur du compteur devient négative.

    Lorsque la connexion est transférée du serveur virtuel d’origine vers le serveur virtuel transféré, le compteur de connexions client actuel sur le serveur virtuel d’origine est incorrectement décrémenté. Par conséquent, la valeur du compteur devient négative.

    Les valeurs du compteur sont désormais calculées comme suit :

    Compteur : connexions client actuelles

    • Valeur sur le serveur virtuel d’origine : connexions TCP régulières et sous-flux MPTCP quel que soit l’état
    • Valeur sur le serveur virtuel transféré (transfert SSL) : connexions TCP régulières, quel que soit leur état

    Compteur : Connexions de test du client en cours

    • Valeur sur le serveur virtuel d’origine : connexions TCP régulières et connexions de sous-flux MPTCP à l’état établi
    • Valeur sur le serveur virtuel transféré (transfert SSL) : connexions TCP régulières dans l’état établi

    Compteur : sous-flux TCP multipath actuels

    • Valeur sur le serveur virtuel d’origine : connexions de sous-flux MPTCP uniquement
    • Valeur sur le serveur virtuel transféré (transfert SSL) : 0 (les sous-flux sont interrompus sur le serveur virtuel d’origine)

    Compteur : sessions TCP Multipath en cours

    • Valeur sur le serveur virtuel d’origine : sessions MPTCP uniquement
    • Valeur sur le serveur virtuel transféré (transfert SSL) : sessions MPTCP transférées (décrémentées sur le serveur virtuel d’origine et incrémentées ici)

    [NSHELP-25555]

  • Après avoir ajouté un serveur virtuel SSL_TCP et y avoir associé un profil SSL, le paramètre « RedirectPortrewrite » peut être activé par erreur. Par conséquent, il se peut qu’il y ait une perte de configuration lors d’une future mise à niveau.

    Le paramètre RedirectPortrewrite n’est valide que pour un serveur virtuel HTTP.

    [NSHELP-22984]

  • Lorsque l’action SSL « transférer » est déclenchée, le compteur « _Connexions actuelles du client_est » affiche à tort une valeur élevée dans la sortie des statistiques du serveur virtuel vers lequel le trafic est transféré.

    [NSHELP-22825]

  • La synchronisation de l’état des fonctionnalités SSL et de l’état matériel SSL entraîne des incohérences avec les partitions.

    [NSHELP-21193]

System

  • Si un collecteur AppFlow de type Rest est utilisé dans un profil d’analyse, l’appliance Citrix ADC risque de tomber en panne lors de la suppression du profil.

    [NSHELP-26299]

  • Après une mise à niveau vers Citrix ADC 13.0 version 71.40, le client de weblogging (NSWL) 32 bits et l’appliance Citrix ADC 64 bits présentent un décalage de 4 octets, ce qui entraîne des valeurs incorrectes dans les journaux générés.

    [NSHELP-26241]

  • Lorsque vous ajoutez une paire haute disponibilité ADC au serveur ADM, le serveur secondaire se connecte à ADM en utilisant le SNIP comme adresse source. Par conséquent, des problèmes de réseau se produisent sur les périphériques de liaison montante. Par exemple, le pare-feu trouve deux adresses MAC pour un SNIP sur ses interfaces.

    [NSHELP-26010]

  • Une appliance Citrix ADC peut se bloquer lorsque le collecteur AppFlow se trouve dans un sous-réseau différent de celui du SNIP.

    [NSHELP-26008]

  • Lorsqu’une appliance Citrix ADC établit une connexion au serveur principal pour les demandes « CONNECT » envoyées à un débit élevé, les conditions suivantes sont respectées :

    • Le serveur principal envoie un ACK incorrect à l’appliance.
    • L’appliance ne tente pas à nouveau d’établir la connexion.
    • Les connexions client ne répondent plus.

    [NSHELP-25925]

  • Un serveur virtuel de commutation de contenu affiche un nombre d’octets de demande et de réponse incorrect avec le trafic MPTCP.

    [NSHELP-25731]

  • Toute tentative de suppression du collecteur AppFlow échoue après l’exécution de la commande « set appflow action ».

    [NSHELP-25392]

  • Après une liaison SSL, si l’appliance Citrix ADC envoie des trames SETTINGS et SETTINGS-ACK après la négociation H2, les problèmes suivants sont observés :

    • Un problème de latence de 100 ms (par défaut) est observé au niveau de la couche SSL lors du chiffrement de données inférieures à 8 Ko.
    • L’indicateur TCP PUSH n’est pas défini sur ces cadres.

    [NSHELP-25148]

  • Dans un scénario sans analyse, la valeur MSS apprise par le service de passerelle liée est utilisée par toutes les transactions suivantes jusqu’au redémarrage de l’appareil, ce qui entraîne les erreurs suivantes :
    • Une fréquence élevée de la valeur MSS 1330 indépendamment de la modification de la valeur MSS configurée sur le profil TCP.
    • Fragmentations incorrectes dans le réseau.

    [NSHELP-25043]

  • Une mauvaise gestion de l’indicateur HTTP/2 réduit quelques compteurs TCP à une valeur négative pour les flux HTTP/2 et non HTTP/2.

    [NSHELP-25031]

  • Une appliance Citrix ADC n’est pas en mesure de gérer les connexions côté serveur et ne peut pas enregistrer les enregistrements AppFlow corrects si les conditions suivantes sont respectées :

    • Le nom de domaine qui correspond à un ensemble d’URL privé n’est pas correctement masqué dans les enregistrements AppFlow.
    • Les champs Responder Action, Policy Matched et Matched ID ne sont pas correctement renseignés dans les enregistrements AppFlow.

    [NSHELP-24824]

  • La page HTML risque de ne pas se charger lorsque les fonctionnalités de mesure et de réécriture côté client d’AppFlow sont activées.

    [NSHELP-24043]

  • Des erreurs de segmentation ou l’absence de doublons peuvent provoquer le blocage d’une appliance Citrix ADC si les conditions suivantes sont remplies :

    • Dans le profil HTTP lié à un service de backend, HTTP2 est activé et HTTP2 direct est désactivé.
    • Plusieurs requêtes HTTP CONNECT sont envoyées par le client via des flux HTTP/2 à un serveur virtuel de type HTTP.

    [NSBASE-13582]

  • Lorsque Citrix ADC CPX est déployé en tant que sidecar et si la variable d’environnement MGMT_HTTP_PORT n’est pas définie, les appels d’API NITRO ne fonctionnent pas

    [ NSBASE-12800 ]

  • Certains enregistrements AppFlow contenant des informations IPFIX peuvent être anormaux.

    [NSBASE-11686]

Interface utilisateur

  • La modification de la signature du bot échoue avec un message d’erreur « Le fichier n’existe pas » si la signature est importée depuis l’interface de ligne de commande ou une URL.

    [NSUI-17261]

  • Le lien pour télécharger la MIB SNMP est rompu.

    [NSHELP-26107]

  • Une ou plusieurs commandes figurant dans une demande d’API NITRO adressée à une appliance Citrix ADC peuvent échouer, entraînant les problèmes suivants dans l’appliance :

    • Corruption de la mémoire
    • Panne du processus HTTPD

    [NSHELP-25997]

  • Une erreur indiquant l’absence de vérification de l’URL de démarrage s’affiche en bas de la page de l’interface graphique de Citrix ADC lorsque vous essayez de modifier ou de supprimer la règle StartURL dans la section Règles de relaxation.

    [NSHELP-25977]

  • Lorsque vous configurez la réputation IP à l’aide d’expressions de politique avancées, la catégorie de menace « TOR_PROXY » est absente de l’interface graphique de l’éditeur d’expressions.

    [NSHELP-25654]

  • Le démon HTTPD peut se bloquer et générer des fichiers principaux lors de l’exécution du scan de vulnérabilité authentifié par Qualys.

    [NSHELP-25000]

  • Toutes les cases à cocher sont automatiquement effacées lorsque vous essayez de modifier un contrôle de sécurité sur la page de profil de Citrix Web App Firewall. Le problème intermittent se produit de manière aléatoire sur l’interface graphique.

    [NSHELP-24409]

  • Dans une appliance Citrix ADC BLX, la fonctionnalité de saisie semi-automatique peut ne pas fonctionner comme prévu.

    [NSCONFIG-4338]

Optimisation vidéo

  • L’horodatage de l’interface Gx contenant les enregistrements AppFlow est incorrect lors de la réception de messages de diamètre CCA-T. Le problème peut se produire si les conditions suivantes sont remplies :

    • Le paramètre IdleTTL de la commande set subscriber parameter est défini sur une valeur différente de zéro.
    • Le paramètre GXSessionReporting de la commande set appflow param est activé.

    [NSHELP-24099]

Problèmes connus

Les problèmes qui existent dans la version 13.0-76.31.

Authentification, autorisation et audit

  • Dans certains cas, une appliance Citrix ADC se bloque lors de l’authentification des utilisateurs pour Citrix Gateway et de l’authentification, de l’autorisation et de l’audit - déploiement géré du trafic.

    [ NSHELP-26555 ]

  • Le nom de domaine SSO incorrect est renseigné pour l’utilisateur connecté si Authentication, autorisation et auditing.USER.DOMAIN est utilisé dans l’expression.

    [NSHELP-26443]

  • L’appliance Citrix Gateway se bloque lors de l’authentification nFactor si les conditions suivantes sont remplies.

    • WebView est utilisé pour accéder à l’appliance Citrix Gateway.
    • Les expressions de blocage sont configurées dans la politique de session VPN.

    [NSHELP-26433]

  • Lors de la saisie d’un OTP incorrect, un message d’erreur « Email Auth a échoué » s’affiche. Aucune autre action pour continuer » s’affiche.

    [ NSHELP-26400 ]

  • Vous ne pouvez pas désactiver l’attribut de groupe à partir de « memberof » sur le serveur LDAP lors de la configuration via l’interface graphique Citrix ADC.

    [NSHELP-2619]

  • Dans certains scénarios, la commande de groupe d’authentification, d’autorisation et d’audit de liaison peut échouer si le nom de la stratégie est plus long que le nom de l’application intranet.

    [ NSHELP-25971 ]

  • Dans une appliance Citrix ADC BLX, l’authentification LDAP peut ne pas fonctionner comme prévu avec les types de sécurité SSL, TLS et texte brut.

    [NSHELP-25809]

  • Les problèmes suivants sont observés lorsque l’appliance Citrix ADC est configurée en tant que Relying Party (RP).

    • L’appliance ne parvient pas à traiter la demande d’authentification émanant de l’IdP OAuth si l’IdP utilise l’algorithme de signature RS512 pour JWT.
    • L’appliance envoie une valeur « anonyme » pour le paramètre « login_hint » à OAuth IdP.

    [NSHELP-25794]

  • L’authentification échoue en mode dialogue lorsque le serveur RADIUS envoie plusieurs réponses dupliquées.

    [NSHELP-25758]

  • Lors de la configuration d’une stratégie d’authentification à l’aide de l’interface graphique Citrix ADC, l’action « NO AUTH » ne peut pas être sélectionnée.

    [NSHELP-25466]

  • Dans certains cas, l’appliance Citrix ADC peut se bloquer lorsqu’un utilisateur tente de s’authentifier et si l’appliance est configurée comme suit.

    • L’appliance est configurée pour l’authentification 401
    • La politique d’authentification comporte NoAuth dans le premier facteur et l’authentification par certificat dans le second facteur

    Solution :

    • Supprimer la politique NoAuth de la configuration
    • Passer à l’authentification basée sur les formulaires

    [NSHELP-25051]

  • Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

    [NSHELP-563]

  • Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

    [ NSAUTH-6106 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    show adfsproxyprofile <profile name>

    Solution : connectez-vous au Citrix ADC actif principal du cluster et exécutez la show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

  • Vous pouvez voir un message Aucune politique de ce type n’existe sur la page nFactor Flow dans nFactor Visualizer lorsque vous essayez de dissocier une politique d’un facteur. L’option de dissociation fonctionne comme prévu.

    [NSAUTH-5821]

Gestion des bots

  • Vous ne pouvez pas lier plusieurs cookies de session de limite de débit à un profil de bot.

    [NSBOT-390]

Mise en cache

  • Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

    [ NSHELP-22942 ]

Appliance Citrix ADC SDX

  • Sur une appliance Citrix ADC SDX, si le CLAG est créé sur une carte réseau Mellanox, la MAC CLAG est modifiée lorsque l’instance VPX est redémarrée. Le trafic vers l’instance VPX s’arrête après le redémarrage car la table MAC contient l’ancienne entrée MAC CLAG.

    [ NSSVM-4333 ]

  • L’inventaire n’est pas effectué conformément au cycle d’inventaire pour les instances où l’adresse IP utilisée lors du provisionnement de l’instance est modifiée ultérieurement directement depuis l’instance.

    [NSHELP-26407]

Citrix Gateway

  • Lorsque vous entrez le nom de domaine complet en tant que proxy sur la page Créer un profil de trafic Citrix Gateway, le message « Valeur de proxy non valide » s’affiche.

    [ NSHELP-26613 ]

  • Si le nom de l’application comporte plus de 20 caractères, il apparaît tronqué lors de la connexion via Citrix Gateway.

    [NSHELP-26604]

  • Le plug-in de passerelle VPN Windows bloque l’utilisation de « CTRL+P » et « CTRL+O » sur le tunnel VPN.

    [NSHELP-26602]

  • Le plug-in VPN pour Windows affiche des informations incorrectes sur l’écran d’identification Windows lorsque le réseau change.

    [NSHELP-26562]

  • Les bibliothèques EPA pour macOS sont mises à jour vers la version 1.3.4.7 (version Opswat : 4.3.1566.0)

    [NSHELP-26538]

  • L’appliance Citrix Gateway se bloque lorsqu’une connexion initiée par un serveur envoie des paquets de données après la fermeture de la connexion.

    [NSHELP-26431]

  • L’appliance Citrix Gateway peut ne plus répondre si elle est configurée avec une adresse IPV6 et si la passerelle est utilisée pour le protocole EDT (Enlightened Data Transport) par proxy.

    [NSHELP-26357]

  • La page de détection du client RFWebUI affiche le bouton Installer au lieu du bouton Détecter si un serveur virtuel de commutation de contenu est configuré.

    [NSHELP-26138]

  • L’appliance Citrix ADC se bloque si l’une des conditions suivantes se produit :

    • L’action Syslog est configurée avec le nom de domaine et vous effacez la configuration à l’aide de l’interface graphique ou de l’interface de ligne de commande.
    • La synchronisation haute disponibilité se produit sur le nœud secondaire.

    Solution :

    Créez une action Syslog avec l’adresse IP du serveur Syslog au lieu du nom de domaine du serveur Syslog.

    [ NSHELP-25944 ]

  • Lors de la création d’un profil client RDP à l’aide de l’interface graphique Citrix ADC, un message d’erreur apparaît lorsque les conditions suivantes sont remplies :

    • Une clé pré-partagée (PSK) par défaut est configurée.
    • Vous essayez de modifier le minuteur de validité du cookie RDP dans le champ Validité du cookie RDP (secondes).

    [ NSHELP-25694 ]

  • L’appliance Citric ADC se bloque lorsque plusieurs clients de plug-in VPN utilisent des certificats X.509 d’une taille de 1 800 octets ou plus pour configurer un tunnel.

    [ NSHELP-25195 ]

  • La page de connexion de Citrix Gateway affiche une erreur indiquant que la connexion a échoué si la séquence de conditions suivante est remplie. L’erreur apparaît même si l’utilisateur n’a pas essayé de se reconnecter.

    1. La connexion à Citrix Gateway échoue.
    2. La connexion à Citrix Gateway réussit.
    3. L’utilisateur se déconnecte.

    [NSHELP-25157]

  • Si vous renommez un serveur virtuel VPN lié à un serveur STA, l’état du serveur STA apparaît en panne lorsque vous exécutez la commande show.

    [ NSHELP-24714 ]

  • Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.

    [ NSHELP-23937 ]

  • La sortie de la commande « show tunnel global » inclut des noms de politiques avancés. Auparavant, la sortie n’affichait pas les noms de stratégie avancés.

    Exemple :

    Nouvelle sortie :

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     <!--NeedCopy-->
    

    Sortie précédente :

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [ NSHELP-23496 ]

  • Les faux échecs de lancement d’applications sont signalés dans Gateway Insight. Les échecs de lancement sont signalés lorsqu’il n’y a aucun lancement d’application ou de bureau.

    [NSHELP-23047]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • Lors de l’ajout d’un serveur virtuel d’authentification à l’aide des assistants XenApp et XenDesktop, le test de connectivité pour ce serveur d’authentification échoue.

    [CGOP-16792]

  • L’ouverture de session de transfert ne fonctionne pas si les deux conditions suivantes sont remplies :

    • L’authentification NFactor est configurée.
    • Le thème Citrix ADC est défini sur Par défaut.

    [CGOP-14092]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [ CGOP-13511 ]

  • Lors de l’acceptation des connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

    [ CGOP-13050 ]

  • Le texte « Page d’accueil » dans l’ application Citrix SSO > Page d’accueil est tronqué dans certaines langues.

    [ CGOP-13049 ]

  • Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, le fait de cliquer sur Options dans le menu Paramètres affiche une boîte de dialogue Erreur critique . De plus, la page ne répond plus.

    [ CGOP-7269 ]

Citrix Web App Firewall

  • Dans le module Citrix Web App Firewall, les entrées DHT (Distributed Hash Table) ne sont pas libérées sur le nœud principal. Ce problème se produit si les sessions de pare-feu des applications ont un délai d’expiration plus court et sont créées à un rythme plus élevé.

    [NSHELP-26570]

  • Dans une configuration à haute disponibilité, si le profilage dynamique est configuré et que les alertes SNMP sont activées, une augmentation de l’utilisation de la mémoire peut être observée sur le nœud secondaire.

    [NSHELP-25580]

  • L’appliance Citrix ADC peut se bloquer en raison d’un problème de délai d’attente lors de l’ajout d’un enregistrement de violation à une longue liste d’enregistrements.

    [NSHELP-25507]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • Dans une configuration haute disponibilité, le nœud secondaire peut se bloquer si les conditions suivantes sont remplies :

    • La quantité de mémoire physique sur les deux nœuds est différente l’une de l’autre.
    • Les sessions de données ne sont pas correctement synchronisées.

    Solution :
    conservez la même quantité et au moins 4 Go de mémoire physique sur les deux nœuds HA.

    [ NSHELP-26503 ]

  • Dans un déploiement Cluster-GSLB, l’état effectif des services GSLB locaux n’est pas mis à jour sur les nœuds non propriétaires, car le nœud propriétaire GSLB n’est pas en mesure d’envoyer des mises à jour de l’état du service aux nœuds non propriétaires.

    [NSHELP-26260]

  • Une appliance Citrix ADC peut se bloquer lors du traitement d’un paquet SIP (Session Initiation Protocol) non valide.

    [NSHELP-26202]

  • Lorsqu’un serveur virtuel de commutation de contenu reçoit une requête HTTPS, le cookie le plus volumineux de la requête HTTPS entraîne un dépassement de la mémoire tampon et une corruption de la pile lorsque les conditions suivantes sont remplies :

    • Le format du cookie est incorrect.
    • La longueur du cookie est supérieure à 32 octets.

    [NSHELP-25932]

  • Lorsque vous modifiez l’adresse IP du serveur principal d’un serveur dont le nom n’est pas identique à son adresse IP, il se peut que vous ne puissiez pas enregistrer la configuration complète. Ce cas est rare et peut se produire si la mémoire de l’appliance Citrix ADC est faible.

    [NSHELP-24329]

  • Dans le cadre d’un déploiement de clusters ou de haute disponibilité d’Autoscale, une appliance Citrix ADC peut se bloquer lors de la création d’un membre du service et si les conditions suivantes sont remplies :

    • Si vous liez le membre du service à un groupe de services dans un nœud non propriétaire ou un nœud secondaire avec l’option de surveillance de l’état désactivée.

    [NSHELP-24029]

Divers

  • Sur une appliance Citrix ADC SDX, un nouvel échec d’établissement de session SSL basé sur RSA est détecté sur une ou plusieurs instances VPX si les conditions suivantes sont remplies :

    • Les instances VPX exécutent la version 12.x ou 13.0 du logiciel ADC.
    • Le service de gestion est mis à niveau vers la version 13.0 du logiciel ADC.

    [SDX-486]

  • Lorsque vous envoyez des configurations aux instances de cluster à l’aide d’un Stylebook, les commandes échouent et le message d’erreur « La propagation de la commande a échoué ».

    En cas de défaillance successive, le cluster conserve la configuration partielle.

    Solution :

    1. Identifiez les commandes qui ont échoué dans le journal.
    2. Appliquez manuellement les commandes de récupération aux commandes qui ont échoué.

    [NSHELP-24910]

Mise en réseau

  • Dans une configuration de cluster dont le paramètre global de connexion maximale (MaxConn) est défini sur une valeur différente de zéro, les connexions CLIP peuvent échouer si l’une des conditions suivantes est remplie :

    • Mise à niveau de l’installation de la version Citrix ADC 13.0 76.x vers la version Citrix ADC 13.0 79.x.
    • Redémarrage du nœud CCO dans une configuration de cluster exécutant la version Citrix ADC 13.0 76.x.

    Solutions :

    • Avant de mettre à niveau une configuration de cluster de la version Citrix ADC 13.0 76.x vers la version Citrix ADC 13.0 79.x, le paramètre global de connexion maximale (MaxConn) doit être défini sur zéro. Après la mise à niveau de la configuration, vous pouvez définir le paramètre MaxConn sur la valeur souhaitée, puis enregistrer la configuration.
    • La version Citrix ADC 13.0 76.x n’est pas adaptée aux configurations de cluster. Citrix recommande de ne pas utiliser la version Citrix ADC 13.0 76.x pour une configuration de cluster.

    [ NSNET-21173 ]

  • Lorsque le nombre de fichiers de sauvegarde Newnslog augmente, cela peut entraîner une pénurie d’espace disque pour une instance Citrix ADC CPX en cours d’exécution au fil du temps. La variable d’environnement NEWNSLOG_MAX_FILENUM vous permet de contrôler le nombre de fichiers de sauvegarde. En définissant la valeur de la variable d’environnement sur 10, vous pouvez limiter le nombre maximum de fichiers de sauvegarde newnslog à 10.

    [NSNET-20261]

  • Une appliance Citrix ADC BLX prend désormais en charge la fonctionnalité de protocole de routage dynamique Citrix ADC IPv6 OSPF (OSPFv3). Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/networking/ip-routing/configuring-dynamic-routes/configuring-ipv6-ospf.html.

    [NSNET-19567]

  • Une appliance Citrix ADC peut se bloquer lorsque toutes les conditions suivantes sont remplies :

    • Le mode MAC est activé sur un serveur virtuel d’équilibrage de charge non adressable.
    • Le même serveur virtuel fait partie d’une configuration d’équilibrage de charge de liaison ou d’une configuration de routage basée sur des règles.

    Dans le cadre du correctif, l’appliance Citrix ADC affiche désormais le message d’avertissement suivant lorsque les conditions ci-dessus sont remplies :

    • Avertissement : la redirection en mode MAC ne doit pas être activée avec la configuration LLB.

    [NSNET-19485]

  • Dans une appliance Citrix ADC BLX, le NSVLAN lié à des interfaces non dpdk balisées peut ne pas fonctionner comme prévu. Le NSVLAN lié à des interfaces non dpdk non balisées fonctionne correctement.

    [NSNET-18586]

  • Après une mise à niveau de l’appliance Citrix ADC BLX 13.0 61.x vers la version 13.0 64.x, les paramètres du fichier de configuration BLX sont perdus. Le fichier de configuration BLX est ensuite réinitialisé par défaut.

    [ NSNET-17625 ]

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :

    • Désactiver
    • Activer
    • Réinitialiser

    [ NSNET-16559 ]

  • Sur un hôte Linux basé sur Debian (Ubuntu version 18 et versions ultérieures), une appliance Citrix ADC BLX est toujours déployée en mode partagé, quels que soient les paramètres du fichier de configuration BLX (« /etc/blx/blx.conf »). Ce problème se produit car « mawk », qui est présent par défaut sur les systèmes Linux basés sur Debian, n’exécute pas certaines des commandes awk présentes dans le fichier « blx.conf ».

    Solution : installez « gawk » avant d’installer une appliance Citrix ADC BLX. Vous pouvez exécuter la commande suivante dans la CLI de l’hôte Linux pour installer « gawk » :

    • apt-get install gawk

    [ NSNET-14603 ]

  • L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont réunies :

    • L’option de persistance est activée dans la configuration de l’équilibrage de charge des liens IPv6 (LLB6).
    • Certaines connexions fictives IPv6 sont créées pour cette configuration LLB6

    [NSHELP-25695]

  • Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

    • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

    Solution : effectuez un basculement HA manuel successif uniquement une fois la synchronisation HA terminée (les deux nœuds sont en état de réussite de la synchronisation).

    [ NSHELP-25598 ]

Plateforme

  • Sur la plate-forme Citrix ADC SDX 8900, la version LOM est mise à niveau de 4.5x à 4.61. Sur les plateformes Citrix ADC SDX 15000 et SDX 26000, la version LOM est mise à niveau de 5.03 à 5.56. Après la mise à niveau, le mot de passe par défaut du LOM est réinitialisé au numéro de série de l’appliance pour les plateformes nouvellement fabriquées. Cette mise à niveau corrige la vulnérabilité décrite CVE-2013-4786. Pour plus d’informations, consultez [https://support.citrix.com/article/CTX234367](https://support.citrix.com/article/CTX234367).

    [ NSPLAT-19327 ]

  • Sur une appliance Citrix ADC SDX 15000-50G, en cas de brève augmentation du trafic de données non dirigé vers aucune des instances ADC VPX, le problème suivant peut se produire :

    • La liaison LACP sur les ports 10G peut se rompre par intermittence ou tomber en panne de façon permanente.

    Solution :

    1. Découvrez le port ethX interne correspondant au port 10G
    2. Exécutez la commande suivante sur l’invite de commande Citrix Hypervisor : ethtool -G ethX rx 4096 tx 512
    3. Passez en revue le profil de trafic pour bloquer le trafic indésirable côté commutateur

    [NSHELP-25561]

  • Sur une appliance Citrix ADC SDX, lors du redémarrage à chaud d’une instance VPX configurée en tant que nœud de cluster, le canal LA du backplane peut passer à l’état PARTIAL-UP en raison d’une défaillance d’une commande d’interface définie.

    [NSHELP-23353]

  • Par défaut, le moniteur de haute disponibilité (HAMON) et le rythme cardiaque HA sont désactivés sur une interface de gestion configurée en tant qu’interface de gestion interne. De plus, les battements cardiaques HAMON et HA ne peuvent pas être activés sur cette interface.
    Plus tard, si la même interface est reconfigurée en tant qu’interface de gestion et que l’instance VPX est redémarrée, les options de rythme cardiaque HAMON et HA sont toujours désactivées.
    Toutefois, vous pouvez désormais activer ces options manuellement pour éviter tout problème lié à la configuration HA.

    [NSHELP-21803]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

  • Impossible d’utiliser des variables dans l’affectation si la longueur de la variable est supérieure à 31 caractères.

    [NSHELP-26362]

  • L’appliance Citrix Gateway peut se bloquer si toutes les conditions suivantes sont remplies.

    • nstrace est activé avec une expression de filtre
    • La journalisation des audits de débogage sur un serveur d’audit ADC externe est activée
    • Une politique d’authentification avec une expression de règle avancée est configurée

    [NSHELP-26045]

  • Le problème suivant se produit si deux variables de politique sont configurées avec des délais d’expiration différents :

    • La suppression de la valeur expirée pour la variable dont le délai d’expiration est le plus court peut être retardée jusqu’à la suppression de la valeur expirée dont le délai d’expiration est le plus long.

    [NSHELP-25786]

  • Le problème suivant peut provoquer un basculement dans une configuration à haute disponibilité :

    Si de nombreux paquets non HTTP et non TCP sont mis en file d’attente en attente de traitement après le blocage de leur traitement.

    [NSHELP-23506]

SSL

  • Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • La commande Mettre à jour n’est pas disponible pour les commandes d’ajout suivantes :

    • add azure application
    • add azure keyvault
    • add ssl certkey with hsmkey option

    [NSSSL-6484]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation de la CRL désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Sur une appliance Citrix ADC, une fuite de mémoire est détectée si le paramètre SSL « SessionTicket » est activé.

    [NSHELP-26207]

  • Une appliance Citrix ADC peut se bloquer lors du traitement des demandes provenant de clients TLS 1.3 si les conditions suivantes sont remplies :

    • Le protocole TLS 1.3 est activé sur le serveur virtuel frontal.
    • La plate-forme matérielle sous-jacente utilise des cartes d’accélération cryptographique Intel Coleto Creek (certains modèles MPX et SDX utilisent ces puces).
    • Sur les plateformes SDX, les ressources de la carte cryptographique Intel Coleto Creek sont attribuées à l’instance ADC.

    [NSHELP-26089]

  • Des échecs de connexion dus à une mémoire insuffisante peuvent être constatés sur une appliance Citrix ADC lorsque la partition d’administration est activée. Le problème se produit lorsque les puces matérielles de chiffrement SSL sont pleines.

    [NSHELP-25981]

  • Dans une configuration de cluster, vous pouvez rencontrer les problèmes suivants :

    • Commande manquante pour la liaison de la paire de clés de certificat par défaut aux services internes SSL sur le CLIP. Toutefois, si vous effectuez une mise à niveau à partir d’une version antérieure, vous devrez peut-être lier la paire de clés de certificat par défaut aux services internes SSL concernés sur le CLIP.
    • Différence de configuration entre le CLIP et les nœuds de la commande set par défaut pour les services internes.
    • Commande de liaison de chiffrement par défaut manquante aux entités SSL dans la sortie de la commande show running config exécutée sur un nœud. L’omission n’est qu’un problème d’affichage et n’a aucun impact fonctionnel. La liaison peut être visualisée à l’aide de la commande show ssl <entity> <name>.

    [ NSHELP-25764 ]

  • L’appliance Citrix ADC cesse de répondre si les conditions suivantes sont remplies :

    • DTLS est activé.
    • Le multiplexage UDP utilise un canal DTLS et pompe le trafic à un débit élevé.

    [NSHELP-22987]

System

  • Pour une connexion client, une appliance Citrix ADC peut envoyer par erreur un en-tête keep-alive de connexion en réponse à l’en-tête de fermeture de connexion du client. Cet en-tête Keep-Alive de connexion incorrect retarde la fermeture de la connexion sur le client.

    [NSHELP-26474]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont respectées :

    • Si une demande client provient d’une ressource (ayant la même adresse IP et le même port) pour laquelle aucune ressource de la structure de connexion précédente du système de prévention des intrusions (IPS) n’est libérée.
    • Le module Système de prévention des intrusions (IPS) essaie d’accéder à la ressource non libérée à partir de la structure libérée.

    [NSHELP-26450]

  • La méthode HTTP du correctif est bloquée lorsque le paramètre MarkHttpHeaderExtraWSError est activé dans la commande set HttpProfile.

    [NSHELP-26398]

  • Une appliance Citrix ADC peut se bloquer dans un module AppFlow lorsque la mémoire de l’appliance est sollicitée.

    [NSHELP-26367]

  • Lors d’une configuration claire, lorsqu’aucune URL n’est utilisée, une entrée du journal des erreurs correspondant à l’ensemble d’URL apparaît dans le fichier ns.log.

    [NSHELP-26242]

  • Après une mise à niveau de Citrix ADC 12.1 build 50.31 vers Citrix ADC 13.0 build 58.32, l’appliance ne réessaie pas après avoir reçu un paquet ACK pour TCP SYN erroné dans le cas de moniteurs. Par conséquent, l’appliance réinitialise la connexion TCP du moniteur et marque le service comme étant inactif.

    [NSHELP-25813]

  • Une incompatibilité entre les enregistrements Logstream est observée dans l’appliance Citrix ADC et le chargeur de données.

    [ NSHELP-25796 ]

  • Une erreur dans la logique de gestion des fenêtres HTTP/2 et TCP peut entraîner un problème de fenêtre HTTP/2 et TCP lors de la connexion au serveur. Cela empêche la mise en cache complète de l’objet. Le problème se produit si les conditions suivantes sont remplies :

    • La fonctionnalité de mise en cache intégrée est activée et la réponse est mise en cache.
    • Dans la condition précédente, le client HTTP/2 envoie brusquement un paquet de flux de réinitialisation ou le client HTTP/1.1 envoie un TCP RST sur la connexion.

    [NSBASE-13878]

  • Une appliance Citrix ADC peut échouer lors de la génération d’enregistrements AppFlow pour certaines réponses HTTP générées par le VPN. Le problème se produit lorsque Gateway Insight est activé.

    [NSBASE-13698]

  • Une appliance Citrix ADC peut échouer lors d’une configuration claire si les conditions suivantes sont remplies :

    • L’adresse IP d’un service est modifiée lorsque le service est lié à un serveur virtuel.
    • Le même serveur virtuel est utilisé comme collecteur dans un profil d’analyse.

    [NSBASE-11511]

Interface utilisateur

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPSec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

  • Dans une appliance Citrix ADC BLX, le délai d’expiration d’une licence locale peut ne pas diminuer comme prévu.

    En guise de solution, le délai d’expiration d’une licence locale diminue désormais d’une fois toutes les 24 heures.

    [NSHELP-26554]

  • Dans une configuration à haute disponibilité des appliances Citrix ADC BLX, la synchronisation des configurations peut parfois échouer.

    [NSHELP-26495]

  • Une vue de persistance du serveur virtuel d’équilibrage de charge n’affiche pas tous les paramètres lorsque vous modifiez une configuration de persistance de serveur virtuel existante.

    [NSHELP-25965]

  • Un message d’erreur s’affiche lorsque vous essayez de dissocier un certificat d’un serveur virtuel SSL à l’aide de l’interface graphique Citrix ADC.

    [NSHELP-25087]

  • Le bouton Actualiser ne fonctionne pas lorsque vous vérifiez les sessions de streaming (AppExpert > Action Analytics > Stream Identifier) dans l’interface graphique.

    [NSHELP-24195]

  • Dans un dispositif Citrix ADC VPX, une opération de définition de la capacité peut échouer après l’ajout d’un serveur de licences. Le problème se produit car les composants liés à Flexera prennent plus de temps à initialiser en raison du grand nombre de licences prises en charge de type check-in and check-out (CICO)

    [NSHELP-23310]

  • Le chargement et l’ajout d’un fichier de liste de révocation de certificats (CRL) échouent dans la configuration d’une partition d’administration.

    [ NSHELP-20988 ]

  • Une appliance Citrix ADC ne prend pas en charge l’ajout de fichiers CRL supérieurs à 2 Mo à l’aide des API NITRO.

    [NSHELP-20821]

  • Dans une appliance Citrix ADC BLX, l’onglet « Rapports » de l’interface graphique peut ne pas fonctionner comme prévu.

    [NSCONFIG-4877]

  • Si une appliance Citrix ADC BLX est concédée sous licence à l’aide de Citrix ADM, la licence peut échouer après la mise à niveau de l’appliance vers la version 13.0 build 83.x.

    Solution : effectuez d’abord la mise à niveau de Citrix ADM vers la version 13.0 build 83.x ou ultérieure avant de mettre à niveau l’appliance Citrix ADC BLX.

    [NSCONFIG-4834]

  • Lorsque vous rétrogradez une appliance Citrix ADC version 13.0-71.x vers une version antérieure, certaines API Nitro peuvent ne pas fonctionner en raison des modifications des autorisations de fichiers.

    Solution : remplacez l’autorisation pour « /nsconfig/ns.conf » par 644.

    [NSCONFIG-4628]

  • La connexion entre l’instance ADC et le service ADM est perdue lorsque les conditions suivantes sont remplies :

    • L’instance est ajoutée au service ADM à l’aide d’un agent intégré.
    • L’instance est mise à niveau à l’aide de l’option -Y ou à partir de l’interface graphique ADM. Dans les deux cas, l’agent intégré ne redémarre pas. L’option -Y fournit la réponse Oui à toutes les questions relatives à la mise à niveau qui apparaissent sur l’interface de ligne de commande ou l’interface graphique.

    [NSCONFIG-4368]

  • La synchronisation des signatures du pare-feu d’application avec des nœuds non CCO peut parfois prendre beaucoup de temps. Par conséquent, les commandes utilisant ces fichiers peuvent échouer.

    [NSCONFIG-4330]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

    1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions suivantes :

      • 13.0 52.24 build
      • 12.1 57.18 build
      • 11.1 65.10 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système
    à l’aide de l’interface de ligne de commande, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution :

    Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Optimisation vidéo

  • Une appliance Citrix ADC peut se bloquer si une demande entrante n’est pas conforme aux règles de grammaire du FQDN pour l’évaluation des politiques. Parmi les exemples de FQDN non valides, citons le SNI et le nom d’hôte commençant par un point («. »).

    [NSHELP-25564]

Une fois AppFlow configuré, l’appliance Citrix ADC réinitialise une connexion TCP si l’appliance reçoit une réponse HTTP fractionnée vide du serveur principal.

Ce problème se produit lorsque le clientSideMeasurements paramètre est activé pour l’action AppFlow associée.

Notes de publication pour la version 13.0-76.31 de Citrix ADC