ADC

Notes de publication pour la version 13.0-82.45 de Citrix ADC

Ce document de notes de version décrit les améliorations et modifications, les problèmes résolus et connus qui existent pour la version 13.0-82.45 de Citrix ADC.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
  • Les versions 13.0-82.45 et ultérieures corrigent les vulnérabilités de sécurité décrites dans https://support.citrix.com/article/CTX319135.
  • La version 82.45 remplace la version 82.42.
  • Cette version inclut également des correctifs pour les problèmes suivants qui existaient dans la version 13.0 précédente de Citrix ADC : NSHELP-28098, NSCONFIG-5621, NSHELP-28341.

Nouveautés

Les améliorations et modifications disponibles dans la version 13.0-82.45.

Appliance Citrix ADC SDX

  • Sur une appliance Citrix ADC SDX, lorsque vous réinitialisez la configuration ou essayez de récupérer le mot de passe, vous devez vous connecter en utilisant le numéro de série de l’appliance comme mot de passe.

    [ NSSVM-4357 ]

Citrix Web App Firewall

  • Support pour la détection basée sur la grammaire dans Microsoft SQL (MSSQL)

    Le mécanisme de détection par injection SQL basé sur la grammaire existant a été amélioré pour prendre en charge les requêtes Microsoft SQL Server pour les applications Web.

    [NSWAF-7290]

Divers

  • La prise en charge du trafic SSH, SFTP et FTP est ajoutée dans les déploiements de proxy explicites. Auparavant, seul le trafic Web normal était pris en charge. Le trafic entrant pour ces protocoles est désormais relié au serveur principal.

    [NSSWG-1272]

Réseau

SSL

  • Nouveau paramètre pour ignorer les enregistrements MAC erronés dans une session DTLS

    Si un enregistrement MAC incorrect est reçu dans une session DTLS, l’appliance ADC met actuellement fin à la session et envoie une alerte. Par conséquent, les sessions VDA dans le cloud sont déconnectées.

    Un paramètre MaxBadMacIgnoreCount est désormais ajouté au profil DTLS pour ignorer ces enregistrements erronés. À l’aide de ce paramètre, les enregistrements erronés jusqu’à la valeur définie dans le paramètre sont ignorés. L’appliance met fin à la session uniquement après que la limite est atteinte et envoie une alerte.

    Ce paramétrage n’est effectif que lorsque le paramètre TerminateSession est activé.

    [ NSSSL-8581 ]

Système

  • Support du protocole HTTP/3 sur les serveurs virtuels

    L’appliance Citrix ADC prend désormais en charge le protocole HTTP/3 sur les serveurs virtuels (uniquement sur le front-end) pour envoyer plusieurs flux de requêtes HTTP via une seule connexion. QUIC est un protocole émergent qui utilise UDP au lieu de TCP comme transport de base. Le protocole met en œuvre une connexion fiable sur laquelle vous pouvez diffuser plusieurs requêtes HTTP. QUIC intègre également TLS en tant que composant intégré et non en tant que couche supplémentaire, comme dans HTTP/1.1 ou HTTP/2.

    Dans le cadre de la configuration HTTP/3, pour le trafic HTTP/3, l’appliance prend en charge la configuration des politiques pour les fonctionnalités suivantes.

    • Répondeur
    • Réécriture
    • Compression HTTP
    • Mise en cache intégrée
    • Pare-feu d’application Web
    • Transformation d’URL
    • SSL
    • Optimisation du front-end
    • AppQoE

    En outre, les configurations de politique de fonctionnalités suivantes ne sont pas prises en charge.

    • Politique d’authentification, d’autorisation et d’audit
    • Gestion des robots
    • AppFlow

    La configuration HTTP/3 prend également en charge la découverte de services HTTP/3 pour les serveurs virtuels afin d’annoncer la disponibilité d’un point de terminaison de service HTTP/3 à l’aide du mécanisme des services alternatifs HTTP.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/system/http3-over-quic-protocol.html

    [NSBASE 11110]

  • Expressions PI pour faire correspondre les champs tampons du protocole gRPC

    L’appliance Citrix ADC prend désormais en charge les fonctionnalités suivantes dans gRPC :

    • Accès au champ tampon du protocole GrPC. Les appels arbitraires de l’API gRPC font désormais correspondre le numéro du champ de message aux nouvelles expressions PI. Dans la configuration PI, les correspondances sont effectuées en utilisant uniquement les numéros de champ et le chemin de l’API.
    • Filtrage des en-têtes GrPC. Les paramètres « HttpProfile » de gRPC sont désormais utilisés pour ajuster le comportement par défaut de l’analyse de gRPC (y compris les expressions PI de gRPC). Les paramètres suivants sont applicables aux expressions gRPC PI :
      • Délimitation de la longueur du GRPC. Il est activé par défaut et s’attend à ce que les tampons de protocole soient présentés avec un message délimité par la longueur.
      • Limite de cholestérol GRP. La valeur par défaut est 131072. Il s’agit de la taille maximale du message tampon de protocole en octets.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/system/grpc/grpc-with-responder-policy-configuration.html%23policy-expressions-for-matching-grpc-protocol-buffer-fields

    [NSBASE-10458]

Interface utilisateur

  • Si vous mettez à niveau votre appliance Citrix ADC vers la version logicielle 13.0 build 81.6 et ultérieure, la fonctionnalité CICO 40G ne fonctionne pas comme prévu.

    [NSCONFIG-5621]

Problèmes résolus

Les problèmes résolus dans la version 13.0-82.45.

Authentification, autorisation et audit

  • La connexion aux points de terminaison Citrix Gateway à l’aide de l’URL complète mise en signet sur le navigateur de l’ordinateur de l’utilisateur échoue, si l’expression RelayStateRule est configurée dans la commande SAMLAction.

    Par exemple, si vous essayez de vous connecter à l’aide de l’URL complète mise en favori, telle que https://citrixgateway.com/citrix/storeweb, dans votre navigateur et que vous essayez de vous connecter, la connexion échoue.

    [NSHELP-28098]

  • Dans certains cas, l’authentification échoue lorsque Citrix ADC est configuré en tant qu’IdP OAuth dans un déploiement de site actif-actif GSLB.

    [NSHELP-27651]

  • Dans de rares cas, l’évaluation de l’EPA peut échouer.

    [NSHELP-27333]

  • L’appliance Citrix ADC configurée en tant qu’IdP OAuth se bloque lorsqu’un certificat non pris en charge est lié au point de terminaison de certification de l’appliance.

    [NSHELP-27248]

  • La validation par e-mail échoue lorsqu’elle est configurée comme facteur suivant après l’enregistrement de l’identifiant e-mail.

    [NSHELP-26905]

  • Dans de rares cas, une appliance Citrix Gateway vide le cœur lorsqu’elle utilise la méthode d’authentification OAuth pour accéder à l’appliance.

    [NSHELP-26745]

  • L’appliance Citrix Gateway se bloque lors de l’authentification nFactor si les conditions suivantes sont remplies.

    • WebView est utilisé pour accéder à l’appliance Citrix Gateway.
    • Les expressions de blocage sont configurées dans la politique de session VPN.

    [NSHELP-26433]

  • Le paramètre « timeout » de la commande EmailAction est obsolète. La valeur par défaut du délai d’attente est de 180 secondes.

    [NSHELP-26424]

  • L’authentification à partir de l’application Citrix Workspace échoue lorsque Citrix ADC est configuré avec l’authentification SAML et RelayStateRule. La connexion basée sur le navigateur n’est pas affectée.

    [ NSAUTH-10517 ]

Gestion des bots

  • Les valeurs des actions de réinitialisation et de redirection sont conservées dans le même fichier de signature et ne sont pas propagées vers le nouveau fichier après la mise à jour automatique de la signature du bot.

    [NSBOT-579]

  • Les informations relatives à l’URL HTTP sont manquantes dans le message de journal généré pour les types de violation HOST, GEOLOCATION et SOURCE IP lors de la détection du BOT TPS.

    [NSBOT-575]

  • Le format de journal des bots par défaut est modifié si la journalisation au format d’événement commun (CEF) est activée dans les paramètres du Web App Firewall.

    [NSBOT-562]

  • Dans les journaux de violations des robots, les URL des requêtes SSL sont affichées sous la forme « http ://» au lieu de « https ://».

    [NSBOT-537]

Appliance Citrix ADC SDX

  • Sur une appliance Citrix ADC SDX, la mise à niveau automatique et l’enregistrement à l’aide de « mastools » dans le service de gestion échouent en raison d’une bibliothèque de modules Python manquante.

    [NSSVM-4697]

  • La ligne de commande du service de gestion est interrompue et l’erreur suivante s’affiche :

    ERREUR : champ de propriété non valide

    [NSSVM-4551]

  • Sur une appliance Citrix ADC SDX, l’adresse IP (NSIP) d’une instance ADC peut ne pas s’afficher si le débit en rafale est configuré sur cette instance.

    [NSHELP-27133]

Citrix Gateway

  • Les utilisateurs finaux peuvent contourner les scans EPA et se connecter à l’appliance Citrix ADC à l’aide d’un script malveillant. Une correction pour le contournement de la politique de certification des appareils de l’EPA est ajoutée. Le correctif est ajouté sous le bouton « nsapimgr » « sslvpn_toggle_devicecert_epa_validate », qui est désactivé par défaut. Les utilisateurs finaux doivent activer ce bouton dans ADC pour arrêter le contournement par un script malveillant.

    [NSHELP-27573]

  • Dans certains cas, le plug-in EPA ferme la connexion si le scan EPA ne se termine pas dans le délai imparti (environ 25 secondes).

    [NSHELP-27241]

  • L’appliance Citrix Gateway peut se bloquer si ForwardSession est configuré pour un sous-réseau principal et qu’un serveur du même sous-réseau est accessible via le tunnel VPN.

    [NSHELP-27037]

  • L’appliance Citrix Gateway peut se bloquer lorsqu’une appliance multicœur reçoit la demande « /broker URL » pour les raisons suivantes :

    • La requête atterrit sur un noyau différent de celui sur lequel la session VPN est créée.
    • Un nouveau cookie d’authentification, d’autorisation et d’audit est utilisé et une session fictive est créée.

    [NSHELP-27008]

  • Certains fichiers journaux liés à Citrix Gateway ne font pas l’objet d’une rotation, ce qui entraîne une augmentation de la taille des journaux.

    [NSHELP-26767]

  • L’appliance Citrix Gateway affiche les noms de politique de session endommagés dans les journaux SSLVPN NONHTTP_RESOURCEACCESS_DENIED.

    [NSHELP-26610]

  • Si le nom de l’application comporte plus de 20 caractères, il apparaît tronqué lors de la connexion via Citrix Gateway.

    [NSHELP-26604]

  • L’URL de téléchargement de Citrix Receiver (fichier receiver.exe) ne se télécharge pas après authentification.

    [NSHELP-26600]

  • L’appliance Citrix Gateway peut ne plus répondre si elle est configurée avec une adresse IPV6 et si la passerelle est utilisée pour le protocole EDT (Enlightened Data Transport) par proxy.

    [NSHELP-26357]

  • L’appliance Citrix ADC peut se bloquer si un nom de domaine complet est utilisé dans la configuration de l’action syslog.

    Dans ce cas, vous pouvez utiliser l’adresse IP du serveur Syslog au lieu du FQDN.

    [NSHELP-26355]

  • La page de détection du client RFWebUI affiche le bouton Installer au lieu du bouton Détecter si un serveur virtuel de commutation de contenu est configuré.

    [NSHELP-26138]

  • Vous remarquerez peut-être une différence dans le nombre total de connexions TCP établies si Enlightened Data Transport (EDT) est activé.

    [NSHELP-25841]

  • Le lancement d’une application depuis StoreFront via Citrix Gateway peut échouer si la taille du fichier ICA généré par StoreFront dépasse 2 048 octets.

    [NSHELP-25838]

  • La page de connexion de Citrix Gateway ne se charge pas lors de la suppression d’une partition d’administration, si elle est configurée.

    [NSHELP-25538]

  • L’appliance Citrix ADC peut se bloquer lors de la déconnexion d’une session d’authentification, d’autorisation et d’audit si l’utilisateur se connecte depuis Citrix Workspace.

    [NSHELP-23623]

  • Les fonctionnalités suivantes sont obsolètes.

    • WionNS : sites utilisant l’interface Web de Citrix ADC pour accéder aux applications Citrix Virtual Apps and Desktops.
    • WebFront : Citrix ADC WebFront pour accéder à StoreFront.

    Un avertissement s’affiche lorsque vous exécutez des commandes pour ces fonctionnalités.

    Citrix recommande d’utiliser StoreFront pour mettre à disposition les applications Citrix Virtual Apps and Desktops.

    [CGOP-17707]

Citrix Web App Firewall

  • L’expression du journal du Web App Firewall ne fonctionne pas pour les contrôles de sécurité XML.

    [NSWAF-7705]

  • Dans une configuration de cluster, le processus « aslearn » se bloque par intermittence sur les nœuds coordinateurs qui ne sont pas des nœuds de configuration.

    [NSWAF-7619]

  • Les données apprises par aslearn ne sont pas ignorées si les données apprises par le pare-feu de l’application contiennent des caractères spéciaux.

    [NSWAF-7584]

  • Une appliance Citrix ADC peut se bloquer si la fonctionnalité de réputation IP est activée et que des expressions de politique sont configurées.

    [NSHELP-26983]

  • Dans le module Citrix Web App Firewall, les entrées DHT (Distributed Hash Table) ne sont pas libérées sur le nœud principal. Ce problème se produit si les sessions de pare-feu des applications ont un délai d’expiration plus court et sont créées à un rythme plus élevé.

    [NSHELP-26570]

  • Un échec d’allocation de mémoire est observé si les conditions suivantes sont remplies :

    • Dans le profil Web App Firewall, la fermeture de l’URL de démarrage est activée et configurée.
    • Les réponses HTTP qui sont traitées en permanence contiennent des milliers d’URL uniques.

    [NSHELP-26435]

  • Une appliance Citrix ADC peut se bloquer si un grand nombre de règles de relaxation du Web App Firewall sont présentes dans le système.

    [NSHELP-26074]

  • Certaines demandes présentant des violations de sécurité ne sont pas bloquées par le contrôle de sécurité des scripts intersites HTML.

    [NSHELP-24762]

  • Configurer les paramètres du proxy pour la mise à jour automatique des signatures

    Si le trafic sortant passe par un périphérique proxy (tel que bluecoat ou Squid), vous pouvez désormais configurer les paramètres de proxy pour les mises à jour automatiques des signatures.

    Commande CLI :

    set appfw settings -proxyServer <IP> -proxyPort <port>

    Exemple :

    définir les paramètres appfw -ProxyServer 10.10.10 -ProxyPort 8080

    [NSHELP-17494]

Équilibrage de charge

  • La synchronisation complète du GSLB échoue si les conditions suivantes sont remplies :

    • Vous ajoutez un service GSLB avec un serveur basé sur une adresse IP, dont l’adresse IP publique et le port public sont utilisés par un autre service GSLB.
    • Vous exécutez la commande « add gslb service ». Dans ce cas, la commande échoue mais le serveur basé sur l’adresse IP fait toujours partie de la configuration GSLB en cours d’exécution.

    [NSHELP-26949]

  • L’appliance Citrix ADC peut se bloquer si les conditions suivantes sont remplies :

    • La taille du tableau de données est impaire, par exemple 3, 5, 7, 9, etc.
    • La variable locale de la fonction statique n’est pas définie sur zéro avant d’être utilisée comme identifiant de session.

    [NSHELP-26312]

  • Dans de rares cas, l’appliance Citrix ADC peut se bloquer lors du traitement de paquets ACK simples reçus d’un site distant GSLB.

    [NSHELP-25886]

Divers

  • Sur une appliance Citrix ADC SDX, un nouvel échec d’établissement de session SSL basé sur RSA est détecté sur une ou plusieurs instances VPX si les conditions suivantes sont remplies :

    • Les instances VPX exécutent la version 12.x ou 13.0 du logiciel ADC.
    • Le service de gestion est mis à niveau vers la version 13.0 du logiciel ADC.

    [SDX-486]

  • Dans une configuration de cluster, les problèmes suivants sont observés après le redémarrage ou la mise à niveau vers la version 13.0 build 82.42 d’un nœud de cluster dont le canal LA est défini comme fond de panier :

    • La configuration du canal LA est perdue, ce qui rend le nœud inactif si le canal a été créé à l’aide de LACP et qu’un MTU jumbo a été défini pour le canal.
    • La configuration du MTU du canal LA est perdue, ce qui entraîne la perte par le nœud de paquets de taille normale si un MTU non jumbo a été défini pour le canal.

    [NSHELP-28341]

  • Les URL HTTP ne sont pas détectées par la politique du répondeur dans le cadre du processus de mise en correspondance des ensembles d’URL.

    [NSHELP-27504]

  • L’appliance Citrix ADC peut se bloquer lorsqu’elle tente de déréférencer une structure non allouée lors de l’inspection du contenu. Le crash se produit parce que l’allocation de mémoire a échoué pour cette ressource/structure.

    [NSHELP-27358]

  • Une appliance Citrix ADC peut se bloquer en raison d’une erreur de point nul.

    [NSHELP-27021]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont remplies :

    • Modification de l’expression de politique basée sur les demandes avant la réception de la réponse.
    • L’inspection du contenu ne gère pas le cas de sous-définition.

    [NSHELP-26980]

Réseau

  • Lorsque vous déployez Citrix ADC CPX avec Citrix Metrics Exporter en tant que side-car dans un cluster Kubernetes, la METRICS_EXPORTER_PORT=<port-number> environment variable doit être exposée. Le numéro de port doit être le même que celui spécifié pour l’argument « –port » de l’exportateur de métriques.

    [NSNET-21213]

  • En mode CGNAT-NAT44, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • Le module LSN ne remet pas à zéro le nombre de références IP associées aux abonnés lorsqu’il supprime les données relatives à l’abonné de l’appliance.

    [NSHELP-27332]

  • Dans une appliance Citrix ADC, la neighbor <IPv6 neighbor> shutdown commande BGP n’est pas efficace si le voisin fait partie d’un groupe pair.

    En raison de ce problème, tout voisin BGP IPv6, qui a été arrêté à l’aide de la neighbor <IPv6 neighbor> shutdown commande, est en état UP après le redémarrage ou la mise à niveau de l’appliance.

    [NSHELP-26957]

  • Les deux nœuds d’une configuration haute disponibilité prétendent être le nœud principal, si la condition suivante est remplie :

    • Aucune des interfaces n’est activée dans les 3 secondes qui suivent le redémarrage à chaud du nœud principal. Ce problème est dû au fait qu’aucun temps d’apprentissage du commutateur n’est défini pour un module HA INIT interne.

    [NSHELP-2628]

  • Dans une configuration à haute disponibilité, le nœud secondaire peut se bloquer après un redémarrage si les conditions suivantes sont remplies :

    • Un grand nombre de sessions LSN actives sont présentes dans le nœud principal.
    • Le processus Pitboss redémarre les moteurs de paquets lors de la synchronisation d’un grand nombre de sessions LSN dans le nœud secondaire.

    [NSHELP-26257]

Plateforme

  • L’accès de gestion à l’instance Citrix ADC VPX est perdu si vous exécutez Citrix ADC VPX pour AWS sur des types d’instance dotés d’une carte réseau Elastic Network Adapter (ENA) redémarrée à chaud.

    [NSPLAT-20296]

  • Sur la plate-forme Citrix ADC SDX 8900, la version LOM est mise à niveau de 4.5x à 4.61. Sur les plateformes Citrix ADC SDX 15000 et SDX 26000, la version LOM est mise à niveau de 5.03 à 5.56. Après la mise à niveau, le mot de passe par défaut du LOM est réinitialisé au numéro de série de l’appliance pour les plateformes nouvellement fabriquées. Cette mise à niveau corrige la vulnérabilité décrite CVE-2013-4786. Pour plus d’informations, consultez [https://support.citrix.com/article/CTX234367](https://support.citrix.com/article/CTX234367).

    [ NSPLAT-19327 ]

  • Sur la plate-forme FIPS Citrix ADC MPX 14000, avec des licences de capacité groupée, les chiffres de performances ECC sont inférieurs aux chiffres publiés lorsque le mode ECC hybride est activé.

    [NSHELP-27482]

  • Si vous modifiez la somme de contrôle du noyau fournie par Citrix, puis que vous installez le noyau, vous pouvez rencontrer l’un des problèmes suivants :

    • La commande installns s’exécute. Après le redémarrage de l’appliance, elle indique que l’installation du noyau n’a pas pu être terminée et que le processus de démarrage s’arrête. Vous devez ensuite charger un autre noyau pour faire apparaître la boîte.
    • La commande installns détecte l’incompatibilité et arrête l’installation. Un message d’erreur s’affiche.

    [NSHELP-27420]

  • Lors du redémarrage de l’instance Citrix ADC VPX pour AWS, si vous ajoutez des routes statiques vers des serveurs DNS à l’aide d’une passerelle autre que la passerelle par défaut, les événements suivants se produisent :

    • Les routes statiques ajoutées aux serveurs DNS sont supprimées.
    • De nouvelles routes statiques sont ajoutées à l’aide de la passerelle par défaut.

    [NSHELP-27116]

  • Si vous souhaitez configurer les nœuds du cluster de manière à ce qu’ils soient productifs, vous devez effectuer les configurations supplémentaires suivantes sur CCO :

    • Si un cluster est formé, tous les nœuds affichent la valeur Yield=Default.
    • Si un cluster est formé à l’aide des nœuds déjà définis sur Yield=YES, les nœuds sont ajoutés au cluster en utilisant DEFAULT yield.

    Remarque : Si vous souhaitez définir les nœuds du cluster sur Yield=YES, vous ne pouvez effectuer les configurations appropriées qu’après avoir formé le cluster, mais pas avant qu’il ne soit formé.

    [NSHELP-27091]

  • Sur la plate-forme Citrix ADC SDX, l’état du cluster peut changer lorsqu’un nœud rejoint un cluster. Le battement se produit lorsqu’une réinitialisation implicite de l’interface est déclenchée, ce qui a un impact sur la santé du cluster.

    [NSHELP-27081]

Stratégies

  • Une appliance Citrix ADC peut se bloquer si l’expression MATCHES () est utilisée dans le protocole non basé sur TCP.

    [ NSHELP-26062 ]

  • L’appliance Citrix Gateway peut se bloquer si toutes les conditions suivantes sont remplies.

    • nstrace est activé avec une expression de filtre
    • La journalisation des audits de débogage sur un serveur d’audit ADC externe est activée
    • Une politique d’authentification avec une expression de règle avancée est configurée

    [NSHELP-26045]

  • Le problème suivant se produit si deux variables de politique sont configurées avec un délai d’expiration différent :

    • La suppression de la valeur expirée pour la variable dont le délai d’expiration est le plus court peut être retardée jusqu’à la suppression de la valeur expirée dont le délai d’expiration est le plus long.

    [NSHELP-25786]

SSL

  • Si plusieurs politiques SSL sont liées au point de liaison Client hello à un seul serveur virtuel et qu’une politique ALPN ou SNI est la première liée, la condition d’erreur suivante peut se produire :

    Si le client n’envoie pas de demande ALPN ou SNI, les autres politiques liées au serveur virtuel ne sont pas évaluées.

    [NSSSL-9865]

  • Les compteurs SSL affichés dans la sortie de la commande « stat ssl » ne sont pas effacés.

    [NSHELP-20966]

Système

  • Une appliance Citrix ADC ferme une connexion au serveur environ 40 millisecondes après la fermeture de la connexion client alors que le multiplexage des connexions est désactivé.

    [NSHELP-26968]

  • Une mesure du temps aller-retour (RTT) étendue peut ralentir les déploiements de la 5G. Le problème se produit lors de l’inclusion du délai de mise en file d’attente induit par la couche de stimulation à partir d’une mesure RTT.

    [NSHELP-26755]

  • Une appliance Citrix ADC peut se bloquer si elle reçoit un signal MPTCP MP-FAIL partiellement reconnu sur une session MPTCP déjà fermée. Le crash s’applique aux serveurs virtuels sur lesquels MPTCP est activé dans le profil TCP.

    [NSHELP-26594]

  • Lorsque l’appliance Citrix ADC réécrit des options TCP non prises en charge avec l’option NOOP, certains appareils IoT ou intégrés peuvent rejeter les connexions TCP depuis l’appliance.

    [NSHELP-25767]

  • Une appliance Citrix ADC peut échouer lors d’une configuration claire si les conditions suivantes sont remplies :

    • L’adresse IP d’un service est modifiée lorsque le service est lié à un serveur virtuel.
    • Le même serveur virtuel est utilisé comme collecteur dans un profil d’analyse.

    [NSBASE-11511]

Interface utilisateur

  • Les liaisons de politique de compression au niveau HTTP par défaut échouent après la configuration du protocole HTTP_QUIC.

    [NSUI-17729]

  • La configuration d’optimisation frontale (FEO) sur l’interface graphique de Citrix ADC ne prend pas en charge le trafic HTTP/3 sur QUIC. Toutefois, la configuration fonctionne correctement sur l’interface de commande Citrix ADC.

    [NSUI-17616]

  • Dans une configuration à haute disponibilité, les configurations comportant plusieurs mots de passe peuvent échouer sur le nœud secondaire lors d’un processus de synchronisation à haute disponibilité pour les raisons suivantes :

    Si l’un des mots de passe de la séquence est ignoré, le déchiffrement du mot de passe suivant échoue sur le nœud secondaire. Le déchiffrement échoue car il recherche la clé clé locale du serveur principal, qui n’est pas présente dans le nœud secondaire.

    [NSHELP-27797]

  • La synchronisation de la configuration GSLB peut ne pas réussir à synchroniser les commandes avec des identificateurs utilisateur (UID) longs.

    [NSHELP-27328]

  • Dans une configuration à haute disponibilité, la propagation HA peut échouer si toutes les conditions suivantes sont remplies :

    • L’option Valider le certificat (validatecert) du nœud RPC est définie sur OUI, puis sur NON.
    • Le certificat CA n’est pas configuré

    [NSHELP-27315]

  • La synchronisation incrémentielle GSLB échoue lorsque vous exécutez la commande « enable gslb servicegroup » ou « disable gslb servicegroup ». Par conséquent, la synchronisation complète de la configuration GSLB est lancée.

    [NSHELP-27079]

  • L’importation d’un certificat dans une partition d’administration peut échouer de manière incorrecte avec le message suivant :

    ERREUR : L’utilisateur n’est pas autorisé à accéder au chemin de destination donné

    [NSHELP-26918]

  • Dans une configuration de cluster Citrix ADC BLX, la commande « synchroniser les fichiers du cluster » peut échouer en raison d’une erreur interne.

    [NSCONFIG-4968]

Optimisation vidéo

  • Une appliance Citrix ADC peut se bloquer si toutes les conditions suivantes sont remplies :

    • L’interface GX est configurée.
    • Les rapports de session GX sont configurés.
    • La commande « effacer les sessions des abonnés » est déclenchée lorsqu’un message CCA est en attente de réception du serveur GX.

    [NSHELP-27474]

Problèmes connus

Les problèmes qui existent dans la version 13.0-82.45.

Authentification, autorisation et audit

  • Lorsque vous liez un moniteur LDAP à un service, le moniteur tombe en panne car l’appliance Citrix ADC envoie un mot de passe incorrect à Active Directory.

    [ NSHELP-27961 ]

  • Dans un AD à cascade multiple, le compte d’un utilisateur n’est pas verrouillé si un utilisateur n’est pas trouvé dans la dernière cascade.

    [ NSHELP-27948 ]

  • Lorsqu’une appliance Citrix ADC est configurée pour l’authentification SAML, l’appliance vide le cœur à l’aide d’un certificat autre que RSA.

    [ NSHELP-27813 ]

  • Les attributs de cookie SameSite ne sont pas ajoutés aux cookies d’authentification si une appliance Citrix ADC est configurée pour l’authentification basée sur 401.

    [NSHELP-27764]

  • Le profil Web App Firewall ne fonctionne pas comme prévu en raison d’une défaillance de dépendance à SQLite dans Citrix ADC version 13.0 build 67.x et versions ultérieures.

    [NSHELP-27458]

  • Dans certains cas, une requête HTTP POST adressée à un serveur virtuel d’authentification, d’autorisation et d’audit TM n’est pas traitée correctement si la demande ne contient pas de cookie d’authentification. Le corps POST est perdu pendant le traitement.

    [ NSHELP-27227 ]

  • Le nom de domaine SSO incorrect est renseigné pour l’utilisateur connecté si Authentication, autorisation et auditing.USER.DOMAIN est utilisé dans l’expression.

    [NSHELP-26443]

  • Dans certains scénarios, la commande de groupe d’authentification, d’autorisation et d’audit de liaison peut échouer si le nom de la stratégie est plus long que le nom de l’application intranet.

    [ NSHELP-25971 ]

  • Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

    [NSHELP-563]

  • La vérification du test de connectivité réseau échoue en raison d’un problème de déchiffrement du mot de passe. Toutefois, la fonctionnalité d’authentification fonctionne correctement.

    [ NSAUTH-10216 ]

  • Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

    [ NSAUTH-6106 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    show adfsproxyprofile <profile name>

    Solution : connectez-vous au Citrix ADC actif principal du cluster et exécutez la show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

Mise en cache

  • Des informations d’en-tête supplémentaires sont envoyées dans la réponse du cache si le paramètre « InsertAge » est activé dans la commande « set cache ContentGroup ».

    [NSHELP-27772]

  • Une appliance Citrix ADC peut se bloquer si les valeurs des paramètres « Max_age » et « s_maxage » ne sont pas définies de manière dynamique dans le bloc de contrôle du cache.

    [NSHELP-27758]

  • Dans une configuration haute disponibilité, le nœud principal se bloque après avoir accédé à un pointeur NULL au lieu d’un objet mis en cache.

    [ NSHELP-26967 ]

  • Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

    [ NSHELP-22942 ]

Appliance Citrix ADC SDX

  • Sur une appliance Citrix ADC SDX, si le CLAG est créé sur une carte réseau Mellanox, la MAC CLAG est modifiée lorsque l’instance VPX est redémarrée. Le trafic vers l’instance VPX s’arrête après le redémarrage car la table MAC contient l’ancienne entrée MAC CLAG.

    [ NSSVM-4333 ]

  • Sur une appliance Citrix ADC SDX, la valeur par défaut pour déclencher l’alarme « Utilisation élevée du disque de l’hyperviseur » est augmentée à 98 %.

    [ NSHELP-27854 ]

  • Sur une appliance Citrix ADC SDX, le service de gestion peut signaler une utilisation élevée de la mémoire d’environ 80 % en raison de l’augmentation des tâches et des planificateurs exécutés dans l’inventaire.

    [ NSHELP-27805 ]

  • Sur une appliance Citrix ADC SDX, une interface faisant partie d’un canal de gestion s’affiche avec le canal de gestion si la séquence de conditions suivante est remplie :

    1. L’instance VPX fait partie d’un cluster.
    2. Le canal de gestion est créé.

    [NSHELP-27487]

  • Sur une appliance Citrix ADC SDX, le service de gestion peut signaler une utilisation élevée de la mémoire d’environ 80 % en raison de l’augmentation des tâches et des planificateurs exécutés dans l’inventaire.

    [ NSHELP-27396 ]

Citrix Gateway

  • L’appliance Citrix ADC se bloque lors du traitement du trafic ESP (Encapsulating Security Payload) entrant et l’association de sécurité (SA) est introuvable.

    [NSHELP-27991]

  • Si une erreur JavaScript se produit lors de la connexion en raison d’une erreur réseau, les tentatives de connexion suivantes échouent avec la même erreur JavaScript.

    [NSHELP-27912]

  • Après l’établissement du tunnel, au lieu d’ajouter des routes de serveur DNS avec l’adresse IP de la passerelle précédente, le plug-in Windows ajoute les routes avec l’adresse de passerelle par défaut.

    [NSHELP-27850]

  • Dans de rares cas, la page du portail Citrix Gateway n’affiche pas le bouton Télécharger pour le plug-in EPA sur le navigateur Internet Explorer.

    [ NSHELP-27849 ]

  • Lorsque vous accédez à l’appliance Citrix Gateway à l’aide du VPN sans client, un vidage de mémoire peut être généré.

    [ NSHELP-27653 ]

  • L’appliance Citrix Gateway peut se bloquer si l’async est bloquée et que vous modifiez la configuration de la stratégie de commutation de contenu.

    [NSHELP-27570]

  • Une appliance Citrix ADC peut se bloquer lors du traitement du trafic UDP.

    [ NSHELP-27536 ]

  • Le fichier de signets personnels des utilisateurs ne peut pas être copié d’une appliance Citrix Gateway vers une autre appliance.

    [NSHELP-27389]

  • L’appliance Citrix Gateway redémarre de manière inattendue en raison de l’inondation des messages de journal VPN SSL dans le fichier ns.log local lorsque Gateway Insight est activé.

    [NSHELP-27040]

  • Les journaux Citrix ADC peuvent être inondés du message de journal « Gwinsight : func=NS_SSLVPN_SEND_APP_LAUNCH_FAIL_RECORD L’évaluation de la politique Appflow a échoué » lorsque Gateway Insight est activé.

    [ NSHELP-26750 ]

  • L’interface graphique de Citrix Gateway affiche le message « IP ou port non valide » lors de la modification d’un profil de session VPN.

    [NSHELP-26722]

  • Lorsque vous entrez le nom de domaine complet en tant que proxy sur la page Créer un profil de trafic Citrix Gateway, le message « Valeur de proxy non valide » s’affiche.

    [ NSHELP-26613 ]

  • Le plug-in VPN pour Windows affiche des informations incorrectes sur l’écran d’identification Windows lorsque le réseau change.

    [NSHELP-26562]

  • L’appliance Citrix ADC se bloque si l’une des conditions suivantes se produit :

    • L’action Syslog est configurée avec le nom de domaine et vous effacez la configuration à l’aide de l’interface graphique ou de l’interface de ligne de commande.
    • La synchronisation haute disponibilité se produit sur le nœud secondaire.

    Solution :

    Créez une action Syslog avec l’adresse IP du serveur Syslog au lieu du nom de domaine du serveur Syslog.

    [ NSHELP-25944 ]

  • Lors de la création d’un profil client RDP à l’aide de l’interface graphique Citrix ADC, un message d’erreur apparaît lorsque les conditions suivantes sont remplies :

    • Une clé pré-partagée (PSK) par défaut est configurée.
    • Vous essayez de modifier le minuteur de validité du cookie RDP dans le champ Validité du cookie RDP (secondes).

    [ NSHELP-25694 ]

  • Le plug-in de passerelle VPN Windows ne parvient pas à supprimer les paquets DNS IPv6, ce qui entraîne des problèmes de résolution DNS.

    [NSHELP-25684]

  • L’OID SNMP envoie un ensemble incorrect de connexions actuelles au serveur virtuel VPN.

    [ NSHELP-25596 ]

  • L’appliance Citric ADC se bloque lorsque plusieurs clients de plug-in VPN utilisent des certificats X.509 d’une taille de 1 800 octets ou plus pour configurer un tunnel.

    [ NSHELP-25195 ]

  • Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.

    [ NSHELP-23937 ]

  • La sortie de la commande « show tunnel global » inclut des noms de stratégies avancés. Auparavant, la sortie n’affichait pas les noms de stratégie avancés.

    Exemple :

    Nouvelle sortie :

    
     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    Sortie précédente :

    
     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [ NSHELP-23496 ]

  • La latence ICA d’une session est enregistrée de manière incorrecte à 64 000 ms dans Citrix Director lorsque la latence L7 est activée. La latence L7 est activée lorsque le bouton « nsapimgr » « enable_ica_l7_latency » est défini sur 1.

    Solution : définissez la fréquence de latence L7 sur 5 à l’aide de l’interface de ligne de commande ou de l’interface graphique.

    [NSHELP-23459]

  • Si vous avez configuré la comptabilité RADIUS pour l’événement de démarrage/arrêt ICA, l’ID de session dans la demande de comptabilité RADIUS pour le démarrage d’ICA est affiché sous forme de zéros.

    [ NSHELP-22576 ]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • La sortie « Afficher les messages d’audit » n’affiche pas les derniers journaux si vous modifiez le serveur syslog dans les paramètres syslog globaux.

    [NSHELP-19430]

Citrix Web App Firewall

  • Dans une configuration de cluster Citrix ADC, l’un des nœuds se bloque si un ou plusieurs nœuds sont mis à niveau à partir de Citrix ADC version 12.0, 12.1 ou 13.0 build 52.x ou antérieure. Le blocage se produit en raison d’une incompatibilité du format et de la taille des cookie du Web App Firewall.

    [NSWAF-7689]

  • Le moteur d’apprentissage Citrix Web App Firewall apprend les règles de format de champ uniquement lorsqu’une violation est constatée.

    [NSWAF-7677]

  • La fonctionnalité de piratage de cookie ne prend en charge que de manière limitée le navigateur Internet Explorer (IE), car les navigateurs IE ne réutilisent pas les connexions SSL. En raison de cette limitation, plusieurs redirections sont envoyées pour une demande, ce qui entraîne finalement une erreur « NOMBRE MAXIMUM DE REDIRECTIONS DÉPASSÉES » dans le navigateur IE.

    [ NSHELP-27193 ]

  • Après une mise à niveau vers Citrix ADC version 13.0 build 76.29 et avec la fonctionnalité de téléchargement de fichiers activée sur l’appliance, le problème suivant est observé :

    • Les contrôles de protection SQL et XSS bloquent le processus de téléchargement de fichiers pour toutes les applications Web.

    [ NSHELP-27140 ]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • Dans une configuration GSLB, l’état des services distants n’est pas mis à jour une fois les statistiques effacées sur le site GSLB. Pour contourner le problème, effacez à nouveau les statistiques sur le même site GSLB. L’état des services distants est ensuite mis à jour.

    [ NSHELP-28169 ]

  • La valeur CookieTimeout n’est pas correctement définie pendant l’opération GET, ce qui entraîne l’échec de l’opération de mise à jour du serveur virtuel CS.

    [ NSHELP-27979 ]

  • Dans certains cas, une appliance Citrix ADC peut se bloquer lorsque la commande show running configuration est émise.

    [ NSHELP-27815 ]

  • Dans une configuration de cluster, lorsqu’un ou plusieurs nœuds passent à l’état « DOWN », le nœud de sauvegarde peut ne pas rejoindre le groupe de nœuds du cluster. Cet échec entraîne l’échec de certaines fonctionnalités Citrix ADC.

    [ NSHELP-27664 ]

  • Une appliance Citrix ADC peut ne pas insérer d’identifiant de paquet approprié dans les réponses, lorsque des demandes Radius en pipeline sont reçues. En raison de ce problème, le client reçoit une réponse non valide.

    [NSHELP-27391]

  • Dans une configuration haute disponibilité, le nœud secondaire peut se bloquer si les conditions suivantes sont remplies :

    • La quantité de mémoire physique sur les deux nœuds est différente l’une de l’autre.
    • Les sessions de données ne sont pas correctement synchronisées.

    Solution :
    conservez la même quantité et au moins 4 Go de mémoire physique sur les deux nœuds HA.

    [ NSHELP-26503 ]

  • Dans une configuration de cluster, l’adresse IP du service GSLB n’est pas affichée dans l’interface graphique lorsqu’on y accède via des liaisons de serveurs virtuels GSLB. Il ne s’agit que d’un problème d’affichage et il n’y a aucun impact sur la fonctionnalité.

    [ NSHELP-20406 ]

Réseau

  • Après la mise à niveau d’une appliance Citrix ADC BLX vers la version 13.1 build 4.x, le pare-feu d’application Web peut bloquer de manière incorrecte une demande sans en-tête de type de contenu.

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande Citrix ADC BLX :

    • « ajouter appfw JsonContentType « ^application/json$ » -IsRegex REGEX »
    • « add appfw URLEncodedFormContentType « application/x-www-form-urlencoded » -IsRegex NOTREGEX »
    • « ajouter appfw URLEncodedFormContentType « application/x-www-form-urlencoded. * » - Est-ce que Regex est REGEX »
    • « ajouter appfw MultiPartFormContentType « multipart/form-data » -IsRegex NOTREGEX »
    • « ajouter appfw MultiPartFormContentType « multipart/form-data. * » - Est-ce que Regex est REGEX »
    • « ajouter appfw XMLContentType ». */xml » -IsRegex REGEX »
    • « ajouter appfw XMLContentType « ./. +xml » -IsRegex REGEX »
    • « ajouter appfw XMLContentType ». /xml-. « - Est-ce que Regex est REGEX »

    [NSNET-21415]

  • Dans une appliance Citrix ADC BLX, le NSVLAN lié à des interfaces non dpdk balisées peut ne pas fonctionner comme prévu. Le NSVLAN lié à des interfaces non dpdk non balisées fonctionne correctement.

    [NSNET-18586]

  • Après une mise à niveau de l’appliance Citrix ADC BLX 13.0 61.x vers la version 13.0 64.x, les paramètres du fichier de configuration BLX sont perdus. Le fichier de configuration BLX est ensuite réinitialisé par défaut.

    [ NSNET-17625 ]

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :

    • Désactiver
    • Activer
    • Réinitialiser

    [ NSNET-16559 ]

  • Sur un hôte Linux basé sur Debian (Ubuntu version 18 et versions ultérieures), une appliance Citrix ADC BLX est toujours déployée en mode partagé, quels que soient les paramètres du fichier de configuration BLX (« /etc/blx/blx.conf »). Ce problème se produit car « mawk », qui est présent par défaut sur les systèmes Linux basés sur Debian, n’exécute pas certaines des commandes awk présentes dans le fichier « blx.conf ».

    Solution : installez « gawk » avant d’installer une appliance Citrix ADC BLX. Vous pouvez exécuter la commande suivante dans la CLI de l’hôte Linux pour installer « gawk » :

    • apt-get install gawk

    [ NSNET-14603 ]

  • L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • Dans une appliance Citrix ADC, la couche de pilote interne peut utiliser un tampon de données incorrect entraînant une corruption des données, ce qui entraîne le blocage de l’appliance.

    [ NSHELP-27858 ]

  • L’instance Citrix ADC VPX peut se bloquer lorsque les conditions suivantes sont remplies :

    • Un grand nombre de connexions de données FTP sont présentes.
    • Un basculement se produit sur l’appliance Citrix ADC.
    • Une connexion NATPCB côté client ou serveur est effacée.

    [ NSHELP-27816 ]

  • Problème résolu :

    Citrix ADC CPX déployé en tant que sidecar et connecté à plusieurs réseaux n’a pas pu choisir l’adresse IP source correcte pour le sous-réseau de destination.

    [ NSHELP-27810 ]

  • Dans une configuration haute disponibilité, la synchronisation HA peut échouer pour les configurations de profil WAF et de fichier d’emplacement.

    [ NSHELP-27546 ]

  • Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

    • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

    Solution : effectuez un basculement HA manuel successif uniquement une fois la synchronisation HA terminée (les deux nœuds sont en état de réussite de la synchronisation).

    [ NSHELP-25598 ]

Plateforme

  • L’appliance Citrix ADC génère des alertes de limite de débit de faux paquets par seconde (PPS) avant même que l’appliance Citrix ADC n’atteigne sa limite PPS pour la licence.

    [ NSHELP-26935 ]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

SSL

  • Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • La commande Mettre à jour n’est pas disponible pour les commandes d’ajout suivantes :

    • add azure application
    • add azure keyvault
    • add ssl certkey with hsmkey option

    [NSSSL-6484]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation de la CRL désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Dans une configuration haute disponibilité, l’actualisation automatique des LCR échoue par intermittence si les deux conditions suivantes sont remplies :

    • Les fichiers sont synchronisés entre le nœud principal et le nœud secondaire.
    • Le fichier CRL est en cours de téléchargement à partir du serveur CRL en même temps.

    [ NSHELP-27435 ]

  • Le nom du certificat d’autorité de certification qui a émis la CRL est tronqué à 32 caractères, même si le nom d’une clé de certificat peut comporter jusqu’à 64 caractères. Ce problème se produit car le champ CRL est limité à 32 caractères.

    [NSHELP-26986]

Système

  • Si la taille d’en-tête reçue est supérieure à la taille maximale de la table d’en-tête, l’appliance réinitialise la taille de la table à zéro. Par conséquent, les requêtes HTTP2 échouent après quelques demandes.

    Solution : configurez la taille du tableau d’en-têtes pour qu’elle soit supérieure ou égale à la taille d’en-tête maximale.

    [ NSHELP-27977 ]

  • Si ADM a des transactions en attente dans la file d’attente, il signale aléatoirement une alerte critique en cas d’utilisation élevée de la mémoire.

    [ NSHELP-27913 ]

  • Une appliance Citrix ADC peut tomber en panne avec une réponse ICAP OPTIONS. Le problème se produit lorsque la valeur d’en-tête autorisée contient une valeur autre que 204.

    [ NSHELP-27879 ]

  • Dans AppFlow, le nombre d’octets de couche 4 pour les enregistrements de flux ne correspond pas aux transactions du serveur virtuel HTTP. La valeur de comptage est inférieure à la valeur du nombre d’octets du serveur virtuel de couche 7.

    [ NSHELP-27495 ]

  • Le compteur TCPCurClientConn affiche une valeur élevée si l’appliance Citrix ADC est enregistrée sur Citrix ADM.

    [ NSHELP-27463 ]

  • Une augmentation des retransmissions de paquets est observée dans les déploiements de clusters MPTCP dans le cloud public si le jeu de liens est désactivé.

    [NSHELP-27410]

  • Une appliance Citrix ADC peut envoyer un paquet TCP non valide avec des options TCP telles que des blocs SACK, un horodatage et un ACK de données MPTCP sur les connexions MPTCP.

    [ NSHELP-27179 ]

  • Une incompatibilité entre les enregistrements Logstream est observée dans l’appliance Citrix ADC et le chargeur de données.

    [ NSHELP-25796 ]

Interface utilisateur

  • Dans l’interface graphique du Gestionnaire de stratégies de compression, impossible de lier une stratégie de compression à un protocole HTTP en spécifiant un point de liaison et un type de connexion appropriés.

    [NSUI-17682]

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

  • Il peut y avoir une perte de configuration si une instance VPX sur AWS, configurée avec KEK, est mise à niveau vers Citrix ADC version 13.0 build 76.x ou ultérieure. Toutes les données sensibles chiffrées à l’aide de KEK échouent si la configuration est chargée après un redémarrage.

    [ NSHELP-28010 ]

  • Après la mise à niveau d’une installation haute disponibilité ou d’une configuration de cluster vers la version 13.0 build 74.14 ou ultérieure, la synchronisation de la configuration peut échouer pour la raison suivante :

    • La paire de clés privée et publique « ssh_host_rsa_key » est incorrecte.

    Solution : régénérez « ssh_host_rsa_key ». Pour de plus amples informations, consultez l’article https://support.citrix.com/article/CTX322863.

    [ NSHELP-27834 ]

  • Une barre oblique inverse supplémentaire n’est pas correctement introduite si des caractères spéciaux sont utilisés dans les arguments de certaines commandes SSL, telles que « create ssl rsakey » et « create ssl cert ».

    [NSHELP-27378]

  • Dans une configuration haute disponibilité, la synchronisation HA ou la propagation HA peut échouer si l’une des conditions suivantes est remplie :

    • Le mot de passe du nœud RPC comporte des caractères spéciaux.
    • Le mot de passe du nœud RPC comporte 127 caractères (nombre maximal de caractères autorisés).

    [ NSHELP-27375 ]

  • Dans un dispositif Citrix ADC VPX, une opération de définition de la capacité peut échouer après l’ajout d’un serveur de licences. Le problème se produit car les composants liés à Flexera prennent plus de temps à initialiser en raison du grand nombre de licences prises en charge de type check-in and check-out (CICO)

    [NSHELP-23310]

  • Le chargement et l’ajout d’un fichier de liste de révocation de certificats (CRL) échouent dans la configuration d’une partition d’administration.

    [ NSHELP-20988 ]

  • Si une appliance Citrix ADC BLX est concédée sous licence à l’aide de Citrix ADM, la licence peut échouer après la mise à niveau de l’appliance vers la version 13.0 build 83.x.

    Solution : effectuez d’abord la mise à niveau de Citrix ADM vers la version 13.0 build 83.x ou ultérieure avant de mettre à niveau l’appliance Citrix ADC BLX.

    [NSCONFIG-4834]

  • Lorsque vous rétrogradez une appliance Citrix ADC version 13.0-71.x vers une version antérieure, certaines API Nitro peuvent ne pas fonctionner en raison des modifications des autorisations de fichiers.

    Solution : remplacez l’autorisation pour « /nsconfig/ns.conf » par 644.

    [NSCONFIG-4628]

  • La synchronisation des signatures du pare-feu d’application avec des nœuds non CCO peut parfois prendre beaucoup de temps. Par conséquent, les commandes utilisant ces fichiers peuvent échouer.

    [NSCONFIG-4330]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

    1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions suivantes :

      • 13.0 52.24 build
      • 12.1 57.18 build
      • 11.1 65.10 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système à l’aide de l’interface de ligne de commande :
    À l’invite de commandes, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution :

    Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Notes de publication pour la version 13.0-82.45 de Citrix ADC