ADC

Notes de publication pour la version 13.0-79.64 de Citrix ADC

Ce document de notes de version décrit les améliorations et modifications, les problèmes résolus et connus qui existent pour la version 13.0-79.64 de Citrix ADC.

Remarques

Nouveautés

Les améliorations et modifications disponibles dans la version 13.0-79.64.

Authentification, autorisation et audit

  • Prise en charge des sondages lors de l’authentification

    L’appliance Citrix ADC peut désormais être configurée pour l’interrogation lors de l’authentification multifactorielle.

    Le mécanisme d’interrogation permet à une appliance Citrix ADC de reprendre une authentification continue avec le point de terminaison sans devoir redémarrer le processus d’authentification dans un cas rare de réinitialisation de la connexion TCP au point de terminaison.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/polling-for-nfactor.html

    [NSAUTH-9043]

Gestion des bots

  • Détection de robots basée sur la dynamique de la souris et du clavier

    Le système de gestion des bots Citrix peut désormais détecter les robots en fonction des mouvements du clavier et de la souris. Contrairement aux techniques de robots classiques qui nécessitent une interaction humaine directe (par exemple, la validation par CAPTCHA), la nouvelle technique de détection des robots surveille passivement la dynamique de la souris et du clavier. L’appliance Citrix ADC collecte ensuite les données utilisateur en temps réel et les envoie au serveur Citrix ADM pour analyse par les robots.

    La technique de détection des robots utilisant la dynamique du clavier et de la souris présente les avantages suivants :

    • Permet la surveillance tout au long de la session utilisateur et élimine les points de contrôle uniques.
    • Ne nécessite aucune interaction humaine et il est totalement transparent pour les utilisateurs.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html

    [NSBOT-402]

Appliance Citrix ADC SDX

  • Sur une appliance Citrix ADC SDX, l’état d’une instance ADC indique actuellement « Hors service » lorsque les conditions suivantes sont remplies :

    • Le mot de passe de l’instance ADC est modifié directement à l’aide de l’interface de ligne de commande de l’instance.
    • Le mot de passe ne correspond pas au mot de passe du profil d’administrateur d’instance stocké dans le service de gestion.
    • La session précédente est perdue après le premier redémarrage de l’instance.

    Désormais, chaque fois que l’instance est hors service en raison d’un échec d’authentification, la couleur de l’état de l’instance passe au gris. Pour récupérer l’instance, effectuez l’une des opérations suivantes :

    • Dans l’interface de ligne de commande de l’instance, modifiez le mot de passe de l’instance pour qu’il corresponde au mot de passe du profil administrateur de l’instance. Redécouvrez ensuite l’instance à partir du service de gestion.
    • Créez un profil d’administrateur avec le même mot de passe que le mot de passe actuel de l’instance ADC. Ensuite, mettez à jour l’instance ADC avec le nouveau profil d’administrateur.

    [ NSSVM-4193 ]

Citrix Web App Firewall

  • Modes de relaxation et d’application pour gérer les attaques par injection HTML SQL

    Le pare-feu des applications Web est désormais amélioré pour fonctionner en mode relaxation et en mode application pour une protection de sécurité accrue. Selon la manière dont vous souhaitez que l’appliance gère les attaques par injection HTML SQL, vous pouvez configurer le contrôle de sécurité en mode application ou relaxation.

    En mode d’application, le contrôle de sécurité permet de contourner les attaques par injection HTML SQL, sauf si vous avez explicitement configuré le profil pour bloquer les violations en appliquant des règles d’application contraignantes.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/application-firewall/top-level-protections/relaxtion-and-deny-rules-for-html-sql-injection-attack.html

    [NSWAF-6435]

Équilibrage de charge

  • Performances de synchronisation de la configuration GSLB améliorées et temps de synchronisation réduit

    L’appliance Citrix ADC prend désormais en charge la synchronisation incrémentielle de la configuration GSLB. Dans la synchronisation incrémentielle, seule la configuration qui a changé sur le site principal entre la dernière synchronisation et l’intervalle de synchronisation suivant (10 secondes) est synchronisée sur tous les sites subordonnés. Le fait de n’envoyer que les configurations incrémentielles réduit considérablement la taille du fichier de configuration et donc le temps total nécessaire à la synchronisation. Cela améliore également les performances de synchronisation de la configuration GSLB. Si une synchronisation incrémentielle échoue, l’appliance Citrix ADC effectue automatiquement une synchronisation complète de la configuration.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/global-server-load-balancing/synchronizing-configuration-in-gslb-setup/real-time-synchronization.html

    [NSLB-7384]

  • Nouveaux algorithmes pour un hachage cohérent

    Les algorithmes Prime Re-Shuffled Assisted CARP (PRAC) et Jump Table Assisted Ring Hash (JARH) sont désormais pris en charge pour effectuer un hachage cohérent. Ces algorithmes assurent la cohérence et la distribution uniforme du trafic.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/load-balancing/load-balancing-customizing-algorithms/hashing-methods.html

    [NSLB-7028]

  • Dans de rares cas, un moniteur LDAP indique à tort que l’état du serveur LDAP est inactif, car le moniteur n’envoie pas le mot de passe correct à la sonde du serveur.

    [NSHELP-24967]

Réseau

  • Support de l’authentification BGP MD5 pour les appliances Citrix ADC BLX

    L’appliance Citrix ADC BLX prend désormais en charge l’authentification MD5 pour le protocole Border Gateway (BGP) avec des homologues IPv4.

    Lorsque l’authentification est activée, tout segment TCP BGP échangé entre les homologues BGP IPv4 est vérifié et accepté uniquement si l’authentification est réussie. Pour que l’authentification soit réussie, les homologues doivent être configurés avec le même mot de passe MD5. Si l’authentification échoue, la relation de voisinage BGP n’est pas établie.

    La prise en charge de l’authentification MD5 pour BGP dans l’appliance Citrix ADC BLX est conforme à la RFC 2385.

    [NSNET-19089]

Plateforme

  • Support de la mise à jour 1c de VMware ESX 7.0 sur l’instance Citrix ADC VPX

    L’instance Citrix ADC VPX prend désormais en charge la version 7.0 Update 1c de VMware ESX (build 1732555).

    [NSHELP-26444]

SSL

  • Support pour le certificat client RSA 4096 bits

    Sur une appliance Citrix ADC VPX, l’authentification du client à l’aide d’un certificat client RSA 4096 bits est désormais prise en charge lors d’une liaison SSL.

    [ NSSSL-8194 ]

Système

Problèmes résolus

Les problèmes résolus dans la version 13.0-79.64.

Authentification, autorisation et audit

  • La personnalisation des messages d’erreur sur la page du portail pour les utilisateurs finaux échoue lorsque le paramètre « EnableEnhancedAuthFeedback » est activé à l’aide de la commande « set aaa parameter ».

    [NSHELP-26814]

  • Vous ne pouvez pas désactiver l’attribut de groupe à partir de « memberof » sur le serveur LDAP lors de la configuration via l’interface graphique Citrix ADC.

    [NSHELP-26199]

  • Le plug-in Citrix Gateway ne démarre pas si les conditions suivantes sont remplies :

    • L’appliance Citrix Gateway est configurée en tant que VPN complet uniquement.
    • La méthode d’authentification est OAuth RP.

    [NSHELP-26020]

  • Dans une appliance Citrix ADC BLX, l’authentification LDAP peut ne pas fonctionner comme prévu avec les types de sécurité SSL, TLS et texte brut.

    [NSHELP-25809]

  • Les problèmes suivants sont observés lorsque l’appliance Citrix ADC est configurée en tant que Relying Party (RP).

    • L’appliance ne parvient pas à traiter la demande d’authentification émanant de l’IdP OAuth si l’IdP utilise l’algorithme de signature RS512 pour JWT.
    • L’appliance envoie une valeur « anonyme » pour le paramètre « login_hint » à OAuth IdP.

    [NSHELP-25794]

  • Lorsque vous vous déconnectez de Citrix Gateway et si la gestion de comptes RADIUS est configurée sur la passerelle, les informations de déconnexion ne sont pas envoyées au serveur de gestion de comptes RADIUS.

    [NSHELP-25765]

  • L’authentification échoue en mode dialogue lorsque le serveur RADIUS envoie plusieurs réponses dupliquées.

    [NSHELP-25758]

  • Le plug-in Citrix Gateway ne démarre pas si les conditions suivantes sont remplies :

    • L’appliance Citrix Gateway est configurée en tant que VPN complet uniquement.
    • L’enregistrement SSPR est configuré comme dernier facteur.

    [NSHELP-25691]

  • Lors de la configuration d’une stratégie d’authentification à l’aide de l’interface graphique Citrix ADC, l’action « NO AUTH » ne peut pas être sélectionnée.

    [NSHELP-25466]

  • Dans certains cas, l’appliance Citrix ADC peut se bloquer lorsqu’un utilisateur tente de s’authentifier et si l’appliance est configurée comme suit.

    • L’appliance est configurée pour l’authentification 401
    • La politique d’authentification inclut NoAuth dans le premier facteur et l’authentification par certificat dans le second facteur

    [NSHELP-25051]

Gestion des bots

  • Vous ne pouvez pas lier plusieurs cookies de session de limite de débit à un profil de bot.

    [NSBOT-390]

Appliance Citrix ADC SDX

  • Sur une appliance Citrix ADC SDX, le service de gestion n’envoie pas de messages syslog aux serveurs syslog configurés.

    [NSHELP-27000]

  • Après avoir redémarré le service de gestion, le premier extraction d’instances ou de bande passante à partir d’un serveur de licences groupé peut échouer.

    [NSHELP-26878]

  • Sur une appliance Citrix ADC SDX exécutant la version logicielle 13.0, les instances ADC peuvent être inaccessibles depuis le service de gestion même si les instances sont accessibles directement à l’aide de l’adresse IP de l’instance.

    [NSHELP-26679]

  • Lorsque vous redémarrez le service de gestion et si certaines instances VPX sont provisionnées, le message d’erreur suivant s’affiche si vous essayez de modifier le délai d’expiration de session pour le groupe par défaut à partir de la page Système > Administration des utilisateurs > Groupes .

    L’étendue autorisée pour le groupe par défaut ne peut pas être modifiée.

    [NSHELP-26556]

  • L’inventaire n’est pas effectué conformément au cycle d’inventaire pour les instances où l’adresse IP utilisée lors du provisionnement de l’instance est modifiée ultérieurement directement depuis l’instance.

    [NSHELP-26407]

Citrix Gateway

  • L’appliance Citrix ADC peut se bloquer dans un flux SSO si Citrix Secure Web Gateway et AppFlow sont configurés.

    [NSHELP-26781]

  • L’option Override Global pour le paramètre d’ accès au réseau local dans le profil de session Citrix Gateway > Expérience client > Avancé est désactivée. Il est activé par défaut dans les versions précédentes.

    [NSHELP-26689]

  • L’appliance Citrix Gateway se bloque si le port IDENT (113) est accessible depuis un utilisateur vers le client d’un autre utilisateur via l’adresse IP de l’intranet (trafic de plug-in à plug-in) via un tunnel VPN complet.

    [NSHELP-26631]

  • Les bibliothèques EPA pour macOS sont mises à jour vers la version 1.3.4.7 (version Opswat : 4.3.1566.0)

    [NSHELP-26538]

  • L’appliance Citrix Gateway se bloque lorsqu’une connexion initiée par un serveur envoie des paquets de données après la fermeture de la connexion.

    [NSHELP-26431]

  • La page de connexion de Citrix Gateway affiche une erreur indiquant que la connexion a échoué si la séquence de conditions suivante est remplie. L’erreur apparaît même si l’utilisateur n’a pas essayé de se reconnecter.

    1. La connexion à Citrix Gateway échoue.
    2. La connexion à Citrix Gateway réussit.
    3. L’utilisateur se déconnecte.

    [NSHELP-25157]

  • Les faux échecs de lancement d’applications sont signalés dans Gateway Insight. Les échecs de lancement sont signalés lorsqu’il n’y a aucun lancement d’application ou de bureau.

    [NSHELP-23047]

  • Lors de l’ajout d’un serveur virtuel d’authentification à l’aide des assistants XenApp et XenDesktop, le test de connectivité pour ce serveur d’authentification échoue.

    [CGOP-16792]

Citrix Web App Firewall

  • Dans une configuration de cluster, le moteur d’apprentissage du Web App Firewall apprend les mêmes données plusieurs fois si le caractère générique SQL correspond à un percentile (%).

    [NSWAF-7489]

  • Une appliance Citrix ADC peut se bloquer si la fermeture StartURL est activée et qu’il y a un échec d’allocation de mémoire.

    [NSHELP-27155]

  • Un problème se produit si les valeurs des cookie sont séparées par une virgule (une norme non RFC) après l’ajout de la prise en charge des cookie le même site au profil Citrix Web App Firewall.

    [NSHELP-26846]

  • Une appliance Citrix ADC peut se bloquer si la gestion des robots ne parvient pas à insérer JavaScript dans la réponse HTTP.

    [NSHELP-26730]

  • Une fuite de mémoire peut être observée lorsque certains buffers de messages utilisés pour la journalisation XSS ne sont pas libérés pour des charges utiles spécifiques.

    [NSHELP-26430]

  • Dans une configuration à haute disponibilité, si le profilage dynamique est configuré et que les alertes SNMP sont activées, une augmentation de l’utilisation de la mémoire peut être observée sur le nœud secondaire.

    [NSHELP-25580]

  • L’appliance Citrix ADC peut se bloquer en raison d’un problème de délai d’attente lors de l’ajout d’un enregistrement de violation à une longue liste d’enregistrements.

    [NSHELP-25507]

Équilibrage de charge

  • Dans un déploiement Cluster-GSLB, l’état effectif des services GSLB locaux n’est pas mis à jour sur les nœuds non propriétaires, car le nœud propriétaire GSLB n’est pas en mesure d’envoyer des mises à jour de l’état du service aux nœuds non propriétaires.

    [NSHELP-26260]

  • Une appliance Citrix ADC peut se bloquer lors du traitement d’un paquet SIP (Session Initiation Protocol) non valide.

    [NSHELP-26202]

  • Lorsqu’un serveur virtuel de commutation de contenu reçoit une requête HTTPS, le cookie le plus volumineux de la requête HTTPS entraîne un dépassement de la mémoire tampon et une corruption de la pile lorsque les conditions suivantes sont remplies :

    • Le format du cookie est incorrect.
    • La longueur du cookie est supérieure à 32 octets.

    [NSHELP-25932]

  • Lorsque vous modifiez l’adresse IP du serveur principal d’un serveur dont le nom n’est pas identique à son adresse IP, il se peut que vous ne puissiez pas enregistrer la configuration complète. Ce cas est rare et peut se produire si la mémoire de l’appliance Citrix ADC est faible.

    [NSHELP-24329]

  • Dans le cadre d’un déploiement de clusters ou de haute disponibilité d’Autoscale, une appliance Citrix ADC peut se bloquer lors de la création d’un membre du service et si les conditions suivantes sont remplies :

    • Si vous liez le membre du service à un groupe de services dans un nœud non propriétaire ou un nœud secondaire avec l’option de surveillance de l’état désactivée.

    [NSHELP-24029]

Divers

  • Dans une configuration de cluster, la propagation des commandes peut échouer en raison d’une perte de connexion avec CCO. Le problème se produit si les deux conditions suivantes sont remplies :

    • Vous effectuez une opération de propagation de commandes dans l’installation.
    • L’installation est restée inactive pendant plus de deux heures. Une configuration de cluster est considérée comme inactive s’il n’y a aucun échange de commandes CLI entre les nœuds.

    [NSHELP-26350]

Réseau

  • Dans une configuration de cluster dont le paramètre global de connexion maximale (MaxConn) est défini sur une valeur différente de zéro, les connexions CLIP peuvent échouer si l’une des conditions suivantes est remplie :

    • Mise à niveau de l’installation de la version Citrix ADC 13.0 76.x vers la version Citrix ADC 13.0 79.x.
    • Redémarrage du nœud CCO dans une configuration de cluster exécutant la version Citrix ADC 13.0 76.x.

    [ NSNET-21173 ]

  • Lorsque le nombre de fichiers de sauvegarde Newnslog augmente, cela peut entraîner une pénurie d’espace disque pour une instance Citrix ADC CPX en cours d’exécution au fil du temps. La variable d’environnement NEWNSLOG_MAX_FILENUM vous permet de contrôler le nombre de fichiers de sauvegarde. En définissant la valeur de la variable d’environnement sur 10, vous pouvez limiter le nombre maximum de fichiers de sauvegarde newnslog à 10.

    [NSNET-20261]

  • Une appliance Citrix ADC BLX prend désormais en charge la fonctionnalité de protocole de routage dynamique Citrix ADC IPv6 OSPF (OSPFv3). Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/networking/ip-routing/configuring-dynamic-routes/configuring-ipv6-ospf.html.

    [NSNET-19567]

  • Une appliance Citrix ADC peut se bloquer lorsque toutes les conditions suivantes sont remplies :

    • Le mode MAC est activé sur un serveur virtuel d’équilibrage de charge non adressable.
    • Le même serveur virtuel fait partie d’une configuration d’équilibrage de charge de liaison ou d’une configuration de routage basée sur des règles.

    Dans le cadre du correctif, l’appliance Citrix ADC affiche désormais le message d’avertissement suivant lorsque les conditions ci-dessus sont remplies :

    • Avertissement : la redirection en mode MAC ne doit pas être activée avec la configuration LLB.

    [NSNET-19485]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont réunies :

    • L’option de persistance est activée dans la configuration de l’équilibrage de charge des liens IPv6 (LLB6).
    • Certaines connexions fictives IPv6 sont créées pour cette configuration LLB6

    [NSHELP-25695]

  • Dans une configuration cloud AWS en cluster, le nœud ayant la valeur de priorité la plus élevée peut devenir le CCO. Cela se produit lorsque huit nœuds ou plus avec des valeurs de priorité différentes sont redémarrés ensemble.

    [NSHELP-25244]

Plateforme

  • Dans certains cas, une instance VPX sur une appliance Citrix SDX ne s’affiche pas si un grand nombre d’interfaces sont ajoutées à l’instance VPX.

    [NSHELP-26861]

  • Sur une appliance Citrix ADC SDX 15000-50G, en cas de brève augmentation du trafic de données non dirigé vers aucune des instances ADC VPX, le problème suivant peut se produire :

    • La liaison LACP sur les ports 10G peut se rompre par intermittence ou tomber en panne de façon permanente.

    [NSHELP-25561]

  • Sur une appliance Citrix ADC SDX, lors du redémarrage à chaud d’une instance VPX configurée en tant que nœud de cluster, le canal LA du backplane peut passer à l’état PARTIAL-UP en raison d’une défaillance d’une commande d’interface définie.

    [NSHELP-23353]

  • Par défaut, le moniteur de haute disponibilité (HAMON) et le rythme cardiaque HA sont désactivés sur une interface de gestion configurée en tant qu’interface de gestion interne. De plus, les battements cardiaques HAMON et HA ne peuvent pas être activés sur cette interface.
    Plus tard, si la même interface est reconfigurée en tant qu’interface de gestion et que l’instance VPX est redémarrée, les options de rythme cardiaque HAMON et HA sont toujours désactivées.
    Toutefois, vous pouvez désormais activer ces options manuellement pour éviter tout problème lié à la configuration HA.

    [NSHELP-21803]

Stratégies

  • Impossible d’utiliser des variables dans l’affectation si la longueur de la variable est supérieure à 31 caractères.

    [NSHELP-26362]

  • Le problème suivant peut provoquer un basculement dans une configuration à haute disponibilité :

    Si de nombreux paquets non HTTP et non TCP sont mis en file d’attente en attente de traitement après le blocage de leur traitement.

    [NSHELP-23506]

SSL

  • Sur une appliance Citrix ADC, une fuite de mémoire est détectée si le paramètre SSL « SessionTicket » est activé.

    [NSHELP-26207]

  • Une appliance Citrix ADC peut se bloquer lors du traitement des demandes provenant de clients TLS 1.3 si les conditions suivantes sont remplies :

    • Le protocole TLS 1.3 est activé sur le serveur virtuel frontal.
    • La plate-forme matérielle sous-jacente utilise des cartes d’accélération cryptographique Intel Coleto Creek (certains modèles MPX et SDX utilisent ces puces).
    • Sur les plateformes SDX, les ressources de la carte cryptographique Intel Coleto Creek sont attribuées à l’instance ADC.

    [NSHELP-26089]

  • Des échecs de connexion dus à une mémoire insuffisante peuvent être constatés sur une appliance Citrix ADC lorsque la partition d’administration est activée. Le problème se produit lorsque les puces matérielles de chiffrement SSL sont pleines.

    [NSHELP-25981]

  • Dans une configuration de cluster, vous pouvez rencontrer les problèmes suivants :

    • Commande manquante pour la liaison de la paire de clés de certificat par défaut aux services internes SSL sur le CLIP. Toutefois, si vous effectuez une mise à niveau à partir d’une version antérieure, vous devrez peut-être lier la paire de clés de certificat par défaut aux services internes SSL concernés sur le CLIP.
    • Différence de configuration entre le CLIP et les nœuds de la commande set par défaut pour les services internes.
    • Commande de liaison de chiffrement par défaut manquante aux entités SSL dans la sortie de la commande show running config exécutée sur un nœud. L’omission n’est qu’un problème d’affichage et n’a aucun impact fonctionnel. La liaison peut être visualisée à l’aide de la commande show ssl <entity> <name>.

    [ NSHELP-25764 ]

  • L’appliance Citrix ADC cesse de répondre si les conditions suivantes sont remplies :

    • DTLS est activé.
    • Le multiplexage UDP utilise un canal DTLS et pompe le trafic à un débit élevé.

    [NSHELP-22987]

Système

  • Dans une configuration à haute disponibilité, le nœud secondaire peut se bloquer si les mesures sont activées sur l’appliance Citrix ADC à partir de Citrix ADM.

    [NSHELP-26969]

  • Lorsqu’une appliance Citrix ADC traite un paquet TCP dupliqué, les problèmes suivants sont observés sur l’appliance :

    • L’appliance génère un ACK dupliqué avec DSACK et le paquet est supprimé.
    • Si le paquet entrant comporte une mise à jour de fenêtre, l’appliance en crée une copie et simule une mise à jour de fenêtre ACK.
    • L’appliance crée la fenêtre ACK de mise à jour avec un horodatage incorrect.

    [NSHELP-26893]

  • Dans les scénarios frontal HTTP/2 et dorsal HTTP/1.1, l’utilisateur ne peut pas voir les connexions au serveur principal si le filtre IP Vserver et les paramètres activés par -link sont configurés dans la commande nstrace.

    [NSHELP-26717]

  • Pour une connexion client, une appliance Citrix ADC peut envoyer par erreur un en-tête keep-alive de connexion en réponse à l’en-tête de fermeture de connexion du client. Cet en-tête Keep-Alive de connexion incorrect retarde la fermeture de la connexion sur le client.

    [NSHELP-26474]

  • Une fois activé, le paramètre « ClientSideMeasurements » ne peut pas être désactivé dans la commande d’action AppFlow.

    [NSHELP-26464]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont respectées :

    • Si une demande client provient d’une ressource (ayant la même adresse IP et le même port) pour laquelle aucune ressource de la structure de connexion précédente du système de prévention des intrusions (IPS) n’est libérée.
    • Le module Système de prévention des intrusions (IPS) essaie d’accéder à la ressource non libérée à partir de la structure libérée.

    [NSHELP-26450]

  • Une appliance Citrix ADC peut se bloquer lorsqu’une réinitialisation est envoyée à la suite d’une demande mise en cache.

    [NSHELP-26410]

  • La méthode HTTP du correctif est bloquée lorsque le paramètre MarkHttpHeaderExtraWSError est activé dans la commande set HttpProfile.

    [NSHELP-26398]

  • Une appliance Citrix ADC peut se bloquer dans un module AppFlow lorsque la mémoire de l’appliance est sollicitée.

    [NSHELP-26367]

  • Lors d’une configuration claire, lorsqu’aucune URL n’est utilisée, une entrée du journal des erreurs correspondant à l’ensemble d’URL apparaît dans le fichier ns.log.

    [NSHELP-26242]

  • Après une mise à niveau de Citrix ADC 12.1 build 50.31 vers Citrix ADC 13.0 build 58.32, l’appliance ne réessaie pas après avoir reçu un paquet ACK pour TCP SYN erroné dans le cas de moniteurs. Par conséquent, l’appliance réinitialise la connexion TCP du moniteur et marque le service comme étant inactif.

    [NSHELP-25813]

  • La configuration RNAT ne fonctionne pas avec les connexions HTTP/2 si l’appliance utilise l’adresse IP RNAT pour les connexions côté serveur (http2 et http1.1).

    [NSHELP-23783]

  • La validation du CAPTCHA ne fonctionne pas comme prévu si une valeur TTL élevée est définie sur 255 pour tous les paquets.

    [ NSBASE-13966 ]

  • Une erreur dans la logique de gestion des fenêtres HTTP/2 et TCP peut entraîner un problème de fenêtre HTTP/2 et TCP lors de la connexion au serveur. Cela empêche la mise en cache complète de l’objet. Le problème se produit si les conditions suivantes sont remplies :

    • La fonctionnalité de mise en cache intégrée est activée et la réponse est mise en cache.
    • Dans la condition précédente, le client HTTP/2 envoie brusquement un paquet de flux de réinitialisation ou le client HTTP/1.1 envoie un TCP RST sur la connexion.

    [NSBASE-13878]

  • Une appliance Citrix ADC peut échouer lors de la génération d’enregistrements AppFlow pour certaines réponses HTTP générées par le VPN. Le problème se produit lorsque Gateway Insight est activé.

    [NSBASE-13698]

  • La mise à jour de la fenêtre TCP annoncée (ADV_WND) ne correspond pas aux attentes lors de la réception d’un paquet de données si la fonctionnalité de mise en mémoire tampon dynamique (DRB) est activée. Par conséquent, les chargements sont plus lents que lorsque la fonction DRB est désactivée.

    [NSBASE 13100]

Interface utilisateur

  • L’interface graphique Citrix ADC affiche un VIP incorrect lorsque vous modifiez le serveur virtuel de commutation de contenu une fois qu’il est lié à une politique.

    [NSHELP-26853]

  • Dans une appliance Citrix ADC BLX, le délai d’expiration d’une licence locale peut ne pas diminuer comme prévu.

    En guise de solution, le délai d’expiration d’une licence locale diminue désormais d’une fois toutes les 24 heures.

    [NSHELP-26554]

  • Dans une configuration à haute disponibilité des appliances Citrix ADC BLX, la synchronisation des configurations peut parfois échouer.

    [NSHELP-26495]

  • Après le redémarrage d’une appliance Citrix ADC, l’état de licence de l’appliance passe en état de grâce si le serveur de licences n’est pas accessible depuis l’appliance. L’état de licence reste en état de grâce même si le serveur de licences est accessible.

    [NSHELP-26468]

  • La commande switch partition permet une exécution forcée (option f ou force). Il peut permettre aux utilisateurs de passer à une nouvelle partition sans demander la configuration de sauvegarde et la configuration n’est pas enregistrée. Le changement forcé se produira sans invite et la configuration est enregistrée. Cela se produit lorsque vous utilisez l’indicateur -save.

    [NSHELP-2622]

  • Une vue de persistance du serveur virtuel d’équilibrage de charge n’affiche pas tous les paramètres lorsque vous modifiez une configuration de persistance de serveur virtuel existante.

    [NSHELP-25965]

  • La commande show partition peut provoquer le blocage du démon « nsconfigd » si les conditions suivantes sont remplies :
    • Le jeton de session d’API est de courte durée.
    • Le jeton de session a expiré avant que la commande show partition ne soit terminée.

    [NSHELP-25880]

  • Dans une configuration de cluster, lorsque vous accédez à l’interface graphique Citrix ADC depuis CLIP, vous pouvez constater que les politiques d’audit Syslog ne sont pas liées globalement. Le même problème n’est pas observé lorsque vous accédez à l’interface graphique Citrix ADC à partir du NSIP.

    [NSHELP-24631]

  • Le bouton Actualiser ne fonctionne pas lorsque vous vérifiez les sessions de streaming (AppExpert > Action Analytics > Stream Identifier) dans l’interface graphique.

    [NSHELP-24195]

  • Une appliance Citrix ADC ne prend pas en charge l’ajout de fichiers CRL supérieurs à 2 Mo à l’aide des API NITRO.

    [NSHELP-20821]

  • Dans une appliance Citrix ADC BLX, l’onglet « Rapports » de l’interface graphique peut ne pas fonctionner comme prévu.

    [NSCONFIG-4877]

  • La connexion entre l’instance ADC et le service ADM est perdue lorsque les conditions suivantes sont remplies :

    • L’instance est ajoutée au service ADM à l’aide d’un agent intégré.
    • L’instance est mise à niveau à l’aide de l’option -Y ou à partir de l’interface graphique ADM. Dans les deux cas, l’agent intégré ne redémarre pas. L’option -Y fournit la réponse Oui à toutes les questions relatives à la mise à niveau qui apparaissent sur l’interface de ligne de commande ou l’interface graphique.

    [NSCONFIG-4368]

Optimisation vidéo

  • Une appliance Citrix ADC peut se bloquer si une demande entrante n’est pas conforme aux règles de grammaire du FQDN pour l’évaluation des politiques. Parmi les exemples de FQDN non valides, citons le SNI et le nom d’hôte commençant par un point («. »).

    [NSHELP-25564]

Problèmes connus

Les problèmes qui existent dans la version 13.0-79.64.

Authentification, autorisation et audit

  • Dans certains cas, une requête HTTP POST adressée à un serveur virtuel d’authentification, d’autorisation et d’audit TM n’est pas traitée correctement si la demande ne contient pas de cookie d’authentification. Le corps POST est perdu pendant le traitement.

    [ NSHELP-27227 ]

  • L’appliance Citrix ADC se bloque fréquemment lors du traitement du trafic Authentication, Authorization, and Auditing-TM et 401 LB.

    [ NSHELP-27094 ]

  • Dans certains cas, une appliance Citrix ADC se bloque lors de l’authentification des utilisateurs pour Citrix Gateway et de l’authentification, de l’autorisation et de l’audit - déploiement géré du trafic.

    [ NSHELP-26555 ]

  • Le nom de domaine SSO incorrect est renseigné pour l’utilisateur connecté si Authentication, autorisation et auditing.USER.DOMAIN est utilisé dans l’expression.

    [NSHELP-26443]

  • Lors de la saisie d’un OTP incorrect, un message d’erreur « Email Auth a échoué » s’affiche. Aucune autre action pour continuer » s’affiche.

    [ NSHELP-26400 ]

  • Dans certains scénarios, la commande de groupe d’authentification, d’autorisation et d’audit de liaison peut échouer si le nom de la stratégie est plus long que le nom de l’application intranet.

    [ NSHELP-25971 ]

  • Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

    [NSHELP-563]

  • La vérification du test de connectivité réseau échoue en raison d’un problème de déchiffrement du mot de passe. Toutefois, la fonctionnalité d’authentification fonctionne correctement.

    [ NSAUTH-10216 ]

  • Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

    [ NSAUTH-6106 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    show adfsproxyprofile <profile name>

    Solution : connectez-vous au Citrix ADC actif principal du cluster et exécutez la show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

Mise en cache

  • Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

    [ NSHELP-22942 ]

Appliance Citrix ADC SDX

  • La ligne de commande du service de gestion est interrompue et l’erreur suivante s’affiche :

    ERREUR : champ de propriété non valide

    [NSSVM-4551]

  • Sur une appliance Citrix ADC SDX, si le CLAG est créé sur une carte réseau Mellanox, la MAC CLAG est modifiée lorsque l’instance VPX est redémarrée. Le trafic vers l’instance VPX s’arrête après le redémarrage car la table MAC contient l’ancienne entrée MAC CLAG.

    [ NSSVM-4333 ]

  • Sur une appliance Citrix ADC SDX, l’adresse IP (NSIP) d’une instance ADC peut ne pas s’afficher si le débit en rafale est configuré sur cette instance.

    [NSHELP-27133]

Citrix Gateway

  • Le dispositif Citrix Gateway se bloque lorsqu’une stratégie Syslog est liée à un serveur virtuel et que l’action Syslog correspondante est modifiée.

    [ NSHELP-27171 ]

  • L’appliance Citrix Gateway redémarre de manière inattendue en raison de l’inondation des messages de journal VPN SSL dans le fichier ns.log local lorsque Gateway Insight est activé.

    [NSHELP-27040]

  • L’appliance Citrix Gateway peut se bloquer si ForwardSession est configuré pour un sous-réseau principal et qu’un serveur du même sous-réseau est accessible via le tunnel VPN.

    [NSHELP-27037]

  • Certains fichiers journaux liés à Citrix Gateway ne font pas l’objet d’une rotation, ce qui entraîne une augmentation de la taille des journaux.

    [NSHELP-26767]

  • Les journaux Citrix ADC peuvent être inondés du message de journal « Gwinsight : func=NS_SSLVPN_SEND_APP_LAUNCH_FAIL_RECORD L’évaluation de la politique Appflow a échoué » lorsque Gateway Insight est activé.

    [ NSHELP-26750 ]

  • Lorsque vous entrez le nom de domaine complet en tant que proxy sur la page Créer un profil de trafic Citrix Gateway, le message « Valeur de proxy non valide » s’affiche.

    [ NSHELP-26613 ]

  • L’appliance Citrix Gateway affiche les noms de politique de session endommagés dans les journaux SSLVPN NONHTTP_RESOURCEACCESS_DENIED.

    [NSHELP-26610]

  • Si le nom de l’application comporte plus de 20 caractères, il apparaît tronqué lors de la connexion via Citrix Gateway.

    [NSHELP-26604]

  • Le plug-in VPN pour Windows affiche des informations incorrectes sur l’écran d’identification Windows lorsque le réseau change.

    [NSHELP-26562]

  • La page de détection du client RFWebUI affiche le bouton Installer au lieu du bouton Détecter si un serveur virtuel de commutation de contenu est configuré.

    [NSHELP-26138]

  • L’appliance Citrix ADC se bloque si l’une des conditions suivantes se produit :

    • L’action Syslog est configurée avec le nom de domaine et vous effacez la configuration à l’aide de l’interface graphique ou de l’interface de ligne de commande.
    • La synchronisation haute disponibilité se produit sur le nœud secondaire.

    Solution :

    Créez une action Syslog avec l’adresse IP du serveur Syslog au lieu du nom de domaine du serveur Syslog.

    [ NSHELP-25944 ]

  • Vous remarquerez peut-être une différence dans le nombre total de connexions TCP établies si Enlightened Data Transport (EDT) est activé.

    [NSHELP-25841]

  • Lors de la création d’un profil client RDP à l’aide de l’interface graphique Citrix ADC, un message d’erreur apparaît lorsque les conditions suivantes sont remplies :

    • Une clé pré-partagée (PSK) par défaut est configurée.
    • Vous essayez de modifier le minuteur de validité du cookie RDP dans le champ Validité du cookie RDP (secondes).

    [ NSHELP-25694 ]

  • Le plug-in de passerelle VPN Windows ne parvient pas à supprimer les paquets DNS IPv6, ce qui entraîne des problèmes de résolution DNS.

    [NSHELP-25684]

  • La page de connexion de Citrix Gateway ne se charge pas lors de la suppression d’une partition d’administration, si elle est configurée.

    [NSHELP-25538]

  • L’appliance Citric ADC se bloque lorsque plusieurs clients de plug-in VPN utilisent des certificats X.509 d’une taille de 1 800 octets ou plus pour configurer un tunnel.

    [ NSHELP-25195 ]

  • La sortie de la commande « show tunnel global » inclut des noms de stratégies avancés. Auparavant, la sortie n’affichait pas les noms de stratégie avancés.

    Exemple :

    Nouvelle sortie :

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    Sortie précédente :

    
     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [ NSHELP-23496 ]

  • La latence ICA d’une session est enregistrée de manière incorrecte à 64 000 ms dans Citrix Director lorsque la latence L7 est activée. La latence L7 est activée lorsque le bouton « nsapimgr » « enable_ica_l7_latency » est défini sur 1.

    Solution : définissez la fréquence de latence L7 sur 5 à l’aide de l’interface de ligne de commande ou de l’interface graphique.

    [NSHELP-23459]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.

    [ CGOP-13621 ]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [ CGOP-13511 ]

  • Lors de l’acceptation des connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

    [ CGOP-13050 ]

  • Le texte « Page d’accueil » dans l’ application Citrix SSO > Page d’accueil est tronqué pour certaines langues.

    [ CGOP-13049 ]

  • Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, le fait de cliquer sur Options dans le menu Paramètres affiche une boîte de dialogue Erreur critique . De plus, la page ne répond plus.

    [ CGOP-7269 ]

Citrix Web App Firewall

  • Les données apprises par aslearn ne sont pas ignorées si les données apprises par le pare-feu de l’application contiennent des caractères spéciaux.

    [NSWAF-7584]

  • La fonctionnalité de piratage de cookie ne prend en charge que de manière limitée le navigateur Internet Explorer (IE), car les navigateurs IE ne réutilisent pas les connexions SSL. En raison de cette limitation, plusieurs redirections sont envoyées pour une demande, ce qui entraîne finalement une erreur « NOMBRE MAXIMUM DE REDIRECTIONS DÉPASSÉES » dans le navigateur IE.

    [ NSHELP-27193 ]

  • Après une mise à niveau vers Citrix ADC version 13.0 build 76.29 et avec la fonctionnalité de téléchargement de fichiers activée sur l’appliance, le problème suivant est observé :

    • Les contrôles de protection SQL et XSS bloquent le processus de téléchargement de fichiers pour toutes les applications Web.

    [ NSHELP-27140 ]

  • Dans le module Citrix Web App Firewall, les entrées DHT (Distributed Hash Table) ne sont pas libérées sur le nœud principal. Ce problème se produit si les sessions de pare-feu des applications ont un délai d’expiration plus court et sont créées à un rythme plus élevé.

    [NSHELP-26570]

  • Certaines demandes présentant des violations de sécurité ne sont pas bloquées par le contrôle de sécurité des scripts intersites HTML.

    [NSHELP-24762]

  • Configurer les paramètres du proxy pour la mise à jour automatique des signatures

    Si le trafic sortant passe par un périphérique proxy (tel que bluecoat ou Squid), vous pouvez désormais configurer les paramètres de proxy pour les mises à jour automatiques des signatures.

    Commande CLI :

    set appfw settings -proxyServer <IP> -proxyPort <port>

    Exemple :

    définir les paramètres appfw -ProxyServer 10.10.10 -ProxyPort 8080

    [NSHELP-17494]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • La configuration GSLB peut être partiellement perdue si les conditions suivantes sont remplies :

    • L’appliance Citrix ADC est redémarrée.
    • Le service ADNS est configuré avec la même adresse IP que celle du site GSLB distant.

    [ NSHELP-26816 ]

  • Dans une configuration de cluster, l’adresse IP du service GSLB n’est pas affichée dans l’interface graphique lorsqu’on y accède via des liaisons de serveurs virtuels GSLB. Il ne s’agit que d’un problème d’affichage et il n’y a aucun impact sur la fonctionnalité.

    [ NSHELP-20406 ]

Divers

  • Lorsque vous envoyez des configurations aux instances du cluster à l’aide d’un StyleBook, les commandes échouent avec le message d’erreur « La propagation des commandes a échoué ».

    En cas de défaillance successive, le cluster conserve la configuration partielle.

    Solution :

    1. Identifiez les commandes qui ont échoué dans le journal.
    2. Appliquez manuellement les commandes de récupération aux commandes qui ont échoué.

    [NSHELP-24910]

Réseau

  • Dans une appliance Citrix ADC BLX, le NSVLAN lié à des interfaces non dpdk balisées peut ne pas fonctionner comme prévu. Le NSVLAN lié à des interfaces non dpdk non balisées fonctionne correctement.

    [NSNET-18586]

  • Après une mise à niveau de l’appliance Citrix ADC BLX 13.0 61.x vers la version 13.0 64.x, les paramètres du fichier de configuration BLX sont perdus. Le fichier de configuration BLX est ensuite réinitialisé par défaut.

    [ NSNET-17625 ]

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :

    • Désactiver
    • Activer
    • Réinitialiser

    [ NSNET-16559 ]

  • Sur un hôte Linux basé sur Debian (Ubuntu version 18 et versions ultérieures), une appliance Citrix ADC BLX est toujours déployée en mode partagé, quels que soient les paramètres du fichier de configuration BLX (« /etc/blx/blx.conf »). Ce problème se produit car « mawk », qui est présent par défaut sur les systèmes Linux basés sur Debian, n’exécute pas certaines des commandes awk présentes dans le fichier « blx.conf ».

    Solution : installez « gawk » avant d’installer une appliance Citrix ADC BLX. Vous pouvez exécuter la commande suivante dans la CLI de l’hôte Linux pour installer « gawk » :

    • apt-get install gawk

    [ NSNET-14603 ]

  • L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • Dans une appliance Citrix ADC, la neighbor <IPv6 neighbor> shutdown commande BGP n’est pas efficace si le voisin fait partie d’un groupe pair.

    En raison de ce problème, tout voisin BGP IPv6, qui a été arrêté à l’aide de la neighbor <IPv6 neighbor> shutdown commande, est en état UP après le redémarrage ou la mise à niveau de l’appliance.

    [NSHELP-26957]

  • Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

    • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

    Solution : effectuez un basculement HA manuel successif uniquement une fois la synchronisation HA terminée (les deux nœuds sont en état de réussite de la synchronisation).

    [ NSHELP-25598 ]

  • Pour les services SSL internes sur un port HTTPS autre que le port par défaut, les liaisons de certificats SSL peuvent revenir au paramètre par défaut après le redémarrage de l’appliance.

    [NSHELP-24034]

Plateforme

  • Sur la plate-forme Citrix ADC SDX 8900, la version LOM est mise à niveau de 4.5x à 4.61. Sur les plateformes Citrix ADC SDX 15000 et SDX 26000, la version LOM est mise à niveau de 5.03 à 5.56. Après la mise à niveau, le mot de passe par défaut du LOM est réinitialisé au numéro de série de l’appliance pour les plateformes nouvellement fabriquées. Cette mise à niveau corrige la vulnérabilité décrite CVE-2013-4786. Pour plus d’informations, consultez [https://support.citrix.com/article/CTX234367](https://support.citrix.com/article/CTX234367).

    [ NSPLAT-19327 ]

  • Lors du redémarrage de l’instance Citrix ADC VPX pour AWS, si vous ajoutez des routes statiques vers des serveurs DNS à l’aide d’une passerelle autre que la passerelle par défaut, les événements suivants se produisent :

    • Les routes statiques ajoutées aux serveurs DNS sont supprimées.
    • De nouvelles routes statiques sont ajoutées à l’aide de la passerelle par défaut.

    [NSHELP-27116]

  • Si vous souhaitez configurer les nœuds du cluster de manière à ce qu’ils soient productifs, vous devez effectuer les configurations supplémentaires suivantes sur CCO :

    • Si un cluster est formé, tous les nœuds affichent la valeur Yield=Default.
    • Si un cluster est formé à l’aide des nœuds déjà définis sur Yield=YES, les nœuds sont ajoutés au cluster en utilisant DEFAULT yield.

    Remarque : Si vous souhaitez définir les nœuds du cluster sur Yield=YES, vous ne pouvez effectuer les configurations appropriées qu’après avoir formé le cluster, mais pas avant qu’il ne soit formé.

    [NSHELP-27091]

  • Sur la plate-forme Citrix ADC SDX, l’état du cluster peut changer lorsqu’un nœud rejoint un cluster. Le battement se produit lorsqu’une réinitialisation implicite de l’interface est déclenchée, ce qui a un impact sur la santé du cluster.

    [NSHELP-27081]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

  • La variable NS avec une portée globale ne fonctionne pas pour le trafic HTTP/2.

    [ NSHELP-27095 ]

  • L’appliance Citrix Gateway peut se bloquer si toutes les conditions suivantes sont remplies.

    • nstrace est activé avec une expression de filtre
    • La journalisation des audits de débogage sur un serveur d’audit ADC externe est activée
    • Une politique d’authentification avec une expression de règle avancée est configurée

    [NSHELP-26045]

  • Le problème suivant se produit si deux variables de politique sont configurées avec un délai d’expiration différent :

    • La suppression de la valeur expirée pour la variable dont le délai d’expiration est le plus court peut être retardée jusqu’à la suppression de la valeur expirée dont le délai d’expiration est le plus long.

    [NSHELP-25786]

SSL

  • Si plusieurs politiques SSL sont liées au point de liaison Client hello à un seul serveur virtuel et qu’une politique ALPN ou SNI est la première liée, la condition d’erreur suivante peut se produire :

    Si le client n’envoie pas de demande ALPN ou SNI, les autres politiques liées au serveur virtuel ne sont pas évaluées.

    [NSSSL-9865]

  • Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • La commande Mettre à jour n’est pas disponible pour les commandes d’ajout suivantes :

    • add azure application
    • add azure keyvault
    • add ssl certkey with hsmkey option

    [NSSSL-6484]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation de la CRL désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Le nom du certificat d’autorité de certification qui a émis la CRL est tronqué à 32 caractères, même si le nom d’une clé de certificat peut comporter jusqu’à 64 caractères. Ce problème se produit car le champ CRL est limité à 32 caractères.

    [NSHELP-26986]

  • L’appliance Citrix ADC se bloque lors du redémarrage si vous modifiez le nom du certificat intégré (« ns-server-certificate ») dans le fichier de configuration.

    [ NSHELP-26858 ]

Système

  • Une appliance Citrix ADC peut envoyer un paquet TCP non valide avec des options TCP telles que des blocs SACK, un horodatage et un ACK de données MPTCP sur les connexions MPTCP.

    [ NSHELP-27179 ]

  • Une incompatibilité entre les enregistrements Logstream est observée dans l’appliance Citrix ADC et le chargeur de données.

    [ NSHELP-25796 ]

  • Une appliance Citrix ADC peut échouer lors d’une configuration claire si les conditions suivantes sont remplies :

    • L’adresse IP d’un service est modifiée lorsque le service est lié à un serveur virtuel.
    • Le même serveur virtuel est utilisé comme collecteur dans un profil d’analyse.

    [NSBASE-11511]

Interface utilisateur

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

  • L’importation d’un certificat dans une partition d’administration peut échouer de manière incorrecte avec le message suivant :

    ERREUR : L’utilisateur n’est pas autorisé à accéder au chemin de destination donné

    [NSHELP-26918]

  • Dans un dispositif Citrix ADC VPX, une opération de définition de la capacité peut échouer après l’ajout d’un serveur de licences. Le problème se produit car les composants liés à Flexera prennent plus de temps à initialiser en raison du grand nombre de licences prises en charge de type check-in and check-out (CICO)

    [NSHELP-23310]

  • Le chargement et l’ajout d’un fichier de liste de révocation de certificats (CRL) échouent dans la configuration d’une partition d’administration.

    [ NSHELP-20988 ]

  • Dans une configuration de cluster Citrix ADC BLX, la commande « synchroniser les fichiers du cluster » peut échouer en raison d’une erreur interne.

    Solution : redémarrez le processus « nsclfsyncd ».

    [NSCONFIG-4968]

  • Si une appliance Citrix ADC BLX est concédée sous licence à l’aide de Citrix ADM, la licence peut échouer après la mise à niveau de l’appliance vers la version 13.0 build 83.x.

    Solution : effectuez d’abord la mise à niveau de Citrix ADM vers la version 13.0 build 83.x ou ultérieure avant de mettre à niveau l’appliance Citrix ADC BLX.

    [NSCONFIG-4834]

  • Lorsque vous rétrogradez une appliance Citrix ADC version 13.0-71.x vers une version antérieure, certaines API Nitro peuvent ne pas fonctionner en raison des modifications des autorisations de fichiers.

    Solution : remplacez l’autorisation pour « /nsconfig/ns.conf » par 644.

    [NSCONFIG-4628]

  • La synchronisation des signatures du pare-feu d’application avec des nœuds non CCO peut parfois prendre beaucoup de temps. Par conséquent, les commandes utilisant ces fichiers peuvent échouer.

    [NSCONFIG-4330]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

    1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions suivantes :

      • 13.0 52.24 build
      • 12.1 57.18 build
      • 11.1 65.10 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système à l’aide de l’interface de ligne de commande :
    À l’invite de commandes, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution :

    Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Notes de publication pour la version 13.0-79.64 de Citrix ADC