ADC

Notes de publication pour la version 13.0-87.9 de Citrix ADC

Ce document de notes de version décrit les améliorations et modifications, les problèmes résolus et connus qui existent pour la version 13.0-87.9 de Citrix ADC.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.

Nouveautés

Les améliorations et modifications disponibles dans la version 13.0-87.9.

Authentification, autorisation et audit

Équilibrage de charge

  • Prise en charge des arguments de script sécurisés pour les moniteurs utilisateur

    Un nouveau paramètre, -secureargs, est ajouté à la commande « add lb monitor ». Ce paramètre stocke les arguments du script dans un format chiffré au lieu d’un format de texte brut. Vous pouvez sécuriser les données sensibles liées aux scripts du moniteur utilisateur à l’aide de ce paramètre, par exemple, le nom d’utilisateur et le mot de passe. Citrix vous recommande d’utiliser un paramètre -secureargs au lieu du paramètre -scriptargs pour toutes les données sensibles liées aux scripts. Si vous choisissez d’utiliser les deux paramètres ensemble, le script spécifié dans -scriptname doit accepter les arguments dans l’ordre : <scriptargs> <secureargs>. En d’autres termes, vous devez spécifier les premiers paramètres dans <scriptargs> et le reste des paramètres dans <secureargs> en conservant l’ordre défini pour les arguments. Les arguments sécurisés ne s’appliquent qu’au répartiteur interne.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-custom-monitors/configure-user-monitor.html.

    [NSLB-7310]

Réseau

  • Améliorations pour inclure le niveau de gravité lors de l’envoi de messages d’interruption SNMP

    L’appliance Citrix ADC VPX inclut désormais le niveau de gravité dans les messages d’interruption SNMP en tant que liaison de variable. Utilisez la commande suivante avec l’option SeverityInfoIntrap  :

    • set snmp option -severityInfoInTrap ENABLED

    Lorsque cette option est activée, le niveau de gravité de l’interruption est inclus dans le message d’interruption SNMP.

    [ NSNET-21603 ]

Système

  • Configuration du paramètre de seuil de démarrage lent

    L’appliance Citrix ADC prend désormais en charge la configuration du paramètre de seuil de démarrage lent qui résout les problèmes suivants.

    • Le temps d’aller-retour dynamique (RTT) est élevé pour le trafic TCP traité par l’appliance Citrix ADC.
    • La variante du protocole de contrôle de congestion TCP, Nile, qui prend en compte le RTT pour le contrôle de la congestion ne fonctionne pas. La fenêtre de congestion configurée est beaucoup plus longue et elle est mappée au seuil de démarrage lent de Nile.

    Pour plus d’informations, consultez la section Configurations TCP.

    [NSBASE-16509]

Problèmes résolus

Les problèmes résolus dans la version 13.0-87.9.

Authentification, autorisation et audit

  • L’appliance Citrix ADC peut se bloquer si l’URL des métadonnées SAML dans la configuration ne se termine pas par ou contient une barre oblique inverse (/).

    [NSHELP-31937]

  • Si vous avez configuré un serveur Syslog, vous pouvez voir un seul journal lié à SAML sur deux lignes.

    [NSHELP-31750]

  • Des problèmes peuvent survenir lors de la réécriture des applications lors de l’application de politiques de réécriture pour la politique de sécurité du contenu (CSP) sur un serveur virtuel d’authentification.

    [NSHELP-31583]

  • L’appliance Citrix ADC peut se bloquer lorsque la synchronisation de la session et de la configuration des clés se produit entre la carte contrôleur principale et la carte contrôleur secondaire.

    [ NSHELP-26891 ]

Citrix Gateway

  • Dans certains cas, une appliance Citrix ADC peut se bloquer lors de l’attribution d’une adresse IP intranet à un client.

    [NSHELP-31712]

  • Lorsque la stratégie EPA classique et l’authentification nFactor sont configurées, les événements Gateway Insight pour une authentification réussie ne sont pas envoyés à Citrix Application Delivery Management.

    [NSHELP-30901]

  • Vous ne pouvez pas dissocier une stratégie d’autorisation classique à l’aide de l’interface graphique. Toutefois, vous pouvez utiliser l’interface de ligne de commande pour dissocier la stratégie d’autorisation d’authentification, d’autorisation et d’audit.

    Avec ce correctif, vous pouvez désormais dissocier la stratégie d’autorisation à l’aide de l’interface graphique.

    [NSHELP-27064]

  • Le lancement de l’application échoue après avoir saisi vos informations d’identification si le profil de session contient le nom de domaine complet de Storefront. L’erreur suivante s’affiche.

    « Erreur interne du serveur Http/1.1 43531 »

    Avec ce correctif, les clients peuvent saisir le nom de domaine complet au lieu de l’adresse WI du profil de session sur IP.

    [NSHELP-26671]

Citrix Web App Firewall

  • Les journaux « Aucune action d’en-tête d’agent utilisateur » et « action d’en-tête multi-agent utilisateur » peuvent utiliser de manière incorrecte le message du journal relatif à la vérification de la réputation IP.

    [ NSHELP-31935 ]

  • Une appliance Citrix ADC peut se bloquer lors du traitement des recherches de signatures BOT avec des serveurs DNS lents.

    [NSHELP-31642]

Équilibrage de charge

  • Dans une configuration haute disponibilité (HA), les routes sont abandonnées sur le nouveau nœud principal et ne sont pas réapprises lorsque la condition suivante est remplie.

    • La suppression dynamique de route et le basculement HA se produisent en même temps en raison d’une défaillance critique de l’interface.

    [NSHELP-32264]

  • Une appliance Citrix ADC peut se bloquer et vider le cœur si le script de surveillance de l’utilisateur renvoie une réponse de plus de 1 024 octets.

    [NSHELP-32097]

  • Dans de rares cas, une appliance Citrix ADC peut se bloquer et vider le cœur si le traitement DNSSEC est activé et que la configuration de la zone DNS est présente.

    [ NSHELP-31993 ]

  • Dans certains cas, l’état du service n’est pas synchronisé avec l’état du moniteur.

    [NSHELP-31747]

  • Dans un déploiement DNS à mise à l’échelle automatique, les membres dans l’état TROFS ne détectent pas et ne réagissent pas à l’échec du contrôle de santé.

    [ NSHELP-29628 ]

  • Lorsqu’un membre du groupe de services DNS de type Autoscale est dans l’état TROFS et si le même membre est à nouveau ajouté au groupe, l’état de ce membre n’est pas propagé.

    [NSHELP-29493]

  • La synchronisation incrémentielle échoue pour les commandes « Ajouter une action DNS » et « Ajouter un emplacement » avec des expressions de politique contenant des caractères génériques.

    [NSHELP-29301]

  • L’état du groupe de service Autoscale basé sur l’équilibrage de charge ou le domaine GSLB reste INACTIF si vous utilisez un port générique.

    [ NSHELP-28548 ]

Divers

  • Dans une appliance Citrix ADC, lorsqu’un disque dur supplémentaire est ajouté à l’appliance, un lien vers le fichier « /var/nslog » est créé dans le dossier de crash « /var/crash/nslog ». Les fichiers « newnslog » disponibles dans le dossier de crash ne sont pas collectés dans le dossier collecteur généré par le support technique.

    [NSHELP-31354]

  • Dans une configuration de cluster Citrix ADC avec authentification système à clé publique configurée, le problème suivant est observé :

    • VTYSH n’affiche pas les informations de tous les nœuds du cluster sur le coordinateur de configuration du cluster (CCO).

    [NSHELP-28762]

Plateforme

  • La rotation des journaux échoue pour les fichiers stockés dans le dossier /var/log/waagent et occupe plus d’espace disque. Cet échec se produit lorsque vous appliquez une configuration de sauvegarde issue d’une instance Citrix ADC VPX sur une autre instance ADC VPX hébergée sur le cloud Azure à l’aide de la fonctionnalité de restauration.

    [NSHELP-31599]

Stratégies

  • Dans une appliance Citrix ADC, les points suivants sont observés.
    • Problèmes liés à la comptabilité de la mémoire dans certains cas inhabituels.
    • Problèmes liés à l’allocation/désallocation de mémoire de certaines entités.

    De plus, le suivi de l’allocation/de la délocation de certaines entités a été ajouté/amélioré.

    [NSHELP-29215]

  • Une appliance Citrix ADC peut se bloquer si vous configurez la fonction MATCHES_LOCATION () dans une expression de politique et que vous démarrez nstrace à l’aide d’une expression de filtre.

    [NSHELP-22687]

SSL

  • Une appliance Citrix ADC peut se bloquer dans les scénarios suivants :

    • Un moniteur d’équilibrage de charge de type SSL et un service SSL portent le même nom
    • Un service SSL est renommé
    • Un moniteur d’équilibrage de charge est supprimé

    [NSHELP-30445]

  • Une appliance Citrix ADC se bloque lorsque toutes les conditions suivantes se produisent :

    • Une paire de clés de certificat RSA par défaut est liée à un service interne.
    • Une paire de clés de certificat non RSA est liée au même service.
    • La synchronisation HA se produit.

    [NSHELP-30084]

Système

  • Dans une appliance Citrix ADC, la valeur par défaut du paramètre « MaxHeaderFieldLen » dans le profil HTTP entraîne le problème suivant.

    • Échec du trafic après la mise à niveau vers la version 13.0

    [NSHELP-32079]

  • Dans une appliance Citrix ADC, le problème suivant se produit lors de l’activation de la configuration HTTP/2 pour une adresse IP virtuelle (VIP) de commutation de contenu ou d’équilibrage de charge.

    • Une augmentation de la latence pouvant atteindre 100 ms lors du transfert de l’en-tête HTTP/2 et des trames de données vers le site Web via l’appliance Citrix ADC.

    [NSHELP-30094]

  • Dans une appliance Citrix ADC, si vous dissociez les stratégies globales avancées par défaut et enregistrez la configuration, les modifications ne seront pas répercutées lors du prochain redémarrage.

    [NSHELP-19867]

Interface utilisateur

  • L’exception suivante apparaît dans le SDK de l’API Python lors de la tentative de suppression d’une liaison de paire de clés de certificat et de serveur virtuel SSL.
    TypeError : impossible de concaténer les objets « str » et « bool »

    [NSHELP-31746]

  • Vous ne pouvez pas dissocier les membres des groupes de services d’équilibrage de charge à l’aide de l’interface graphique de la version 13.0 de Citrix ADC version 85.15.

    [NSHELP-31474]

  • Le chargement et l’ajout d’un fichier de liste de révocation de certificats (CRL) échouent dans la configuration d’une partition d’administration.

    [ NSHELP-20988 ]

  • Les statistiques du serveur d’équilibrage de charge sont mal alignées dans le tableau de bord de l’interface graphique Citrix ADC.

    [ NSHELP-20752 ]

Problèmes connus

Les problèmes qui existent dans la version 13.0-87.9.

Authentification, autorisation et audit

  • L’appliance Citrix ADC se bloque si l’URL ADFSPIP est définie sur « http ://». ADFSPIP ne prend en charge que les types d’URL « https ://».

    [NSHELP-29838]

  • Les caractères non-ASCII sont enregistrés dans nsvpn.log lorsque l’action LDAP est configurée sur un nom de domaine complet au lieu d’une adresse IP.

    [NSHELP-27281]

  • Dans certains cas, le message d’erreur « informations d’identification non valides » s’affiche pendant le processus d’authentification RADIUS. L’erreur s’affiche lorsque l’on accède à l’appliance Citrix ADC à partir d’un appareil client à l’aide du navigateur Google Chrome.

    [ NSHELP-27113 ]

  • L’interface graphique de Citrix ADC n’affiche pas les stratégies de cache par défaut liées à un serveur virtuel VPN.

    [NSHELP-26874]

  • Dans certains scénarios, la commande de groupe d’authentification, d’autorisation et d’audit de liaison peut échouer si le nom de la stratégie est plus long que le nom de l’application intranet.

    [ NSHELP-25971 ]

  • L’appliance Citrix ADC vide le cœur lorsque NOAUTH est configuré comme premier facteur et Negotiate comme facteur suivant dans le flux d’authentification basé sur 401.

    [NSHELP-25203]

  • Si le mot de passe administrateur des services LDAP, RADIUS ou TACACS contient le caractère entre guillemets (“), l’appliance Citrix ADC le supprime lors de la vérification « Test de connectivité », ce qui entraîne un échec de connexion.

    [NSHELP-23630]

  • Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

    [NSHELP-563]

  • Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

    [ NSAUTH-6106 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    show adfsproxyprofile <profile name>

    Solution : connectez-vous au Citrix ADC actif principal du cluster et exécutez la show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

Mise en cache

  • Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

    [ NSHELP-22942 ]

Appliance Citrix ADC SDX

  • Sur une appliance Citrix ADC SDX, si le CLAG est créé sur une carte réseau Mellanox, la MAC CLAG est modifiée lorsque l’instance VPX est redémarrée. Le trafic vers l’instance VPX s’arrête après le redémarrage car la table MAC contient l’ancienne entrée MAC CLAG.

    [ NSSVM-4333 ]

  • Sur une interface graphique Citrix ADC SDX, l’affichage des serveurs NTP peut geler l’interface utilisateur si le fichier de configuration NTP (ntp.conf) ne contient que des espaces dans l’une des lignes.

    [NSHELP-31530]

Citrix Gateway

  • Lorsque Always on est configuré, le tunnel utilisateur échoue en raison du numéro de version incorrect (1.1.1.1) dans le fichier aoservice.exe.

    [ NSHELP-30662 ]

  • Le lancement de l’application ICA échoue dans les conditions suivantes :

    • La fonctionnalité de stratégie de sécurité du contenu (CSP) est activée.
    • L’utilisateur se connecte à partir d’un navigateur, mais utilise l’application Citrix Workspace pour lancer l’application.

    [NSHELP-30534]

  • Les utilisateurs ne peuvent pas se connecter à l’appliance Citrix Gateway après avoir changé le paramètre de profil « NetworkAccessonVPNFailure » de « FullAccess » à « OnlyToGateway ».

    [NSHELP-30236]

  • La page d’accueil de la passerelle ne s’affiche pas immédiatement après que le plug-in de passerelle a réussi à établir le tunnel VPN. Pour résoudre ce problème, la valeur de registre suivante est introduite.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Type: DWORD

    Par défaut, cette valeur de registre n’est ni définie ni ajoutée. Lorsque la valeur de « SecureChannelResetTimeoutSeconds » est 0 ou n’est pas ajoutée, le correctif pour gérer le délai ne fonctionne pas, ce qui est le comportement par défaut. L’administrateur doit définir ce registre sur le client pour activer le correctif (c’est-à-dire afficher la page d’accueil immédiatement après que le plug-in de passerelle ait établi le tunnel VPN avec succès).

    [NSHELP-30189]

  • Parfois, l’agent Citrix Secure Access en mode tunnel machine uniquement n’établit pas automatiquement le tunnel machine une fois que la machine sort du mode veille.

    [NSHELP-30110]

  • Le client VPN Windows n’honore pas l’alerte « Notification de fermeture SSL » du serveur et envoie la demande de connexion de transfert sur la même connexion.

    [NSHELP-29675]

  • L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

    [ NSHELP-28551 ]

  • Parfois, un utilisateur est déconnecté de Citrix Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

    [ NSHELP-28404 ]

  • L’appliance Citrix ADC peut se bloquer si l’EPA est configuré et si la mémoire n’est pas disponible en quantité suffisante.

    [NSHELP-28329]

  • L’appliance Citrix Gateway peut se bloquer lors du traitement du trafic UDP initié par le serveur.

    [ NSHELP-27611 ]

  • L’appliance Citrix Gateway peut se bloquer si l’async est bloquée et que vous modifiez la configuration de la stratégie de commutation de contenu.

    [NSHELP-27570]

  • L’appliance Citrix Gateway peut se bloquer si une option de client VPN inconnue est définie dans la stratégie de session.

    [NSHELP-27380]

  • Lors de la création d’un profil client RDP à l’aide de l’interface graphique Citrix ADC, un message d’erreur apparaît lorsque les conditions suivantes sont remplies :

    • Une clé pré-partagée (PSK) par défaut est configurée.
    • Vous essayez de modifier le minuteur de validité du cookie RDP dans le champ Validité du cookie RDP (secondes).

    [ NSHELP-25694 ]

  • Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.

    [ NSHELP-23937 ]

  • La sortie de la commande « show tunnel global » inclut des noms de stratégies avancés. Auparavant, la sortie n’affichait pas les noms de stratégie avancés.

    Exemple :

    Nouvelle sortie :

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    Sortie précédente :

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [ NSHELP-23496 ]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.

    [ CGOP-13621 ]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [ CGOP-13511 ]

  • Lors de l’acceptation des connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

    [ CGOP-13050 ]

  • Le texte « Page d’accueil » dans l’ application Citrix SSO > Page d’accueil est tronqué pour certaines langues.

    [ CGOP-13049 ]

  • Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, le fait de cliquer sur Options dans le menu Paramètres affiche une boîte de dialogue Erreur critique . De plus, la page ne répond plus.

    [ CGOP-7269 ]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • Dans certains scénarios, les serveurs liés à un groupe de services affichent une valeur de cookie non valide. Vous pouvez voir la valeur de cookie correcte dans les journaux de suivi.

    [NSHELP-21196]

  • Dans une configuration de cluster, l’adresse IP du service GSLB n’est pas affichée dans l’interface graphique lorsqu’on y accède via des liaisons de serveurs virtuels GSLB. Il ne s’agit que d’un problème d’affichage et il n’y a aucun impact sur la fonctionnalité.

    [ NSHELP-20406 ]

Divers

  • Le registre de liste AlwaysOnAllow ne fonctionne pas comme prévu si la valeur du registre est supérieure à 2000 octets.

    [NSHELP-31836]

  • L’instance Citrix ADC CPX, exécutée sur un système Linux avec une architecture 64 bits et 1 To de stockage de fichiers, peut maintenant charger des fichiers de certificat et de clé.

    [NSHELP-28986]

Réseau

  • Dans une appliance Citrix ADC BLX, le NSVLAN lié à des interfaces non dpdk balisées peut ne pas fonctionner comme prévu. Le NSVLAN lié à des interfaces non dpdk non balisées fonctionne correctement.

    [NSNET-18586]

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :

    • Désactiver
    • Activer
    • Réinitialiser

    [ NSNET-16559 ]

  • Sur un hôte Linux basé sur Debian (Ubuntu version 18 et versions ultérieures), une appliance Citrix ADC BLX est toujours déployée en mode partagé, quels que soient les paramètres du fichier de configuration BLX (« /etc/blx/blx.conf »). Ce problème se produit car « mawk », qui est présent par défaut sur les systèmes Linux basés sur Debian, n’exécute pas certaines des commandes awk présentes dans le fichier « blx.conf ».

    Solution : installez « gawk » avant d’installer une appliance Citrix ADC BLX. Vous pouvez exécuter la commande suivante dans la CLI de l’hôte Linux pour installer « gawk » :

    • apt-get install gawk

    [ NSNET-14603 ]

  • L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • Le module LSN ne trouve pas le service lors de la décrémentation du nombre de références ou de la suppression du service.

    [NSHELP-29134]

  • Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • En raison d’une entrée de filtrage obsolète.

    [NSHELP-28895]

  • Dans un déploiement NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • Le module LSN a accédé à l’emplacement mémoire d’un service déjà supprimé.

    [NSHELP-28815]

  • Dans une configuration haute disponibilité, l’adresse SNIP activée pour le routage dynamique n’est pas exposée à VTYSH au redémarrage si la condition suivante est remplie :

    • Une adresse SNIP activée pour le routage dynamique est liée au VLAN partagé dans une partition autre que celle par défaut.

    Dans le cadre du correctif, l’appliance Citrix ADC n’autorise plus la liaison d’une adresse SNIP activée pour le routage dynamique au VLAN partagé dans une partition autre que par défaut

    [NSHELP-24000]

Plateforme

  • Le basculement haute disponibilité ne fonctionne pas dans les clouds AWS et GCP. Le processeur de gestion peut atteindre sa capacité de 100 % dans les clouds AWS et GCP, et Citrix ADC VPX sur site. Ces deux problèmes sont provoqués lorsque les conditions suivantes sont remplies :

    1. Lors du premier démarrage de l’appliance Citrix ADC, vous n’enregistrez pas le mot de passe demandé.
    2. Par la suite, vous redémarrez l’appliance Citrix ADC.

    [NSPLAT-22013]

  • Lorsque vous effectuez une mise à niveau de versions 13.0/12.1/11.1 vers une version 13.1 ou que vous passez d’une version 13.1 à une version 13.0/12.1/11.1, certains packages python ne sont pas installés sur les appliances Citrix ADC. Ce problème est résolu pour les versions Citrix ADC suivantes :

    • 13.1-4.x
    • 13.0-82.31 et versions ultérieures
    • 12.1-62.21 et versions ultérieures

    Les packages python ne sont pas installés lorsque vous rétrogradez les versions de Citrix ADC de 13.1-4.x vers l’une des versions suivantes :

    • Toute version 11.1
    • 12.1-62.21 et versions antérieures
    • 13.0-81.x et versions antérieures

    [NSPLAT-21691]

  • Dans une configuration de cluster sur une appliance Citrix ADC SDX, il existe une incompatibilité CLAG MAC sur le deuxième nœud et CLIP si les conditions suivantes sont remplies :

    • Le CLAG est créé sur une carte réseau Mellanox.
    • Vous ajoutez une autre instance VPX au cluster et à la configuration CLAG.

    Par conséquent, le trafic vers l’instance VPX s’arrête.

    [NSPLAT-21049]

  • Dans une configuration de cluster sur une appliance Citrix ADC SDX, le premier nœud tombe en panne en raison d’une incompatibilité d’adresse MAC sur la table CLIP et MAC, si les conditions suivantes sont remplies :

    • Le CLAG est créé sur une carte réseau Mellanox.
    • Vous supprimez le deuxième nœud du cluster.

    [NSPLAT-21042]

  • Lors du basculement Citrix ADC VPX HA, le mouvement d’adresse IP Elastic dans le cloud AWS échoue si vous configurez un IPset sans lier l’IPset à une adresse IP.

    [ NSHELP-29425 ]

  • Le basculement HA pour l’instance Citrix ADC VPX sur le cloud GCP et AWS échoue lorsque le mot de passe d’un nœud RPC contient un caractère spécial.

    [ NSHELP-28600 ]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

  • Une appliance Citrix ADC peut se bloquer lors de l’ajout d’une stratégie avec patset lorsque la condition suivante est remplie :

    • L’indicateur associé à NSB est défini dans le mauvais ordre pour le scénario Rewrite TCP.

    [NSHELP-31064]

SSL

  • Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation de la CRL désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Une appliance Citrix ADC peut se bloquer si la règle d’authentification du certificat est évaluée et déclenchée deux fois sur la même demande.

    [NSHELP-31785]

  • Si l’interception SSL est activée et que les serveurs DNS ne renvoient pas de réponse DNS valide, l’accès au site Web est bloqué.

    [NSHELP-30201]

Système

  • L’appliance Citrix ADC avec la configuration SSL de type de service de serveur virtuel se bloque lorsque la condition suivante est remplie :

    • L’appliance Citrix ADC reçoit le paquet de contrôle TCP FIN suivi du paquet de contrôle TCP RESET.

    [NSHELP-31656]

  • L’appliance Citrix ADC signale une fausse alarme SNMP sur les compteurs d’inondation SYN de service.

    [NSHELP-28710, NSHELP-28713]

  • Une augmentation des retransmissions de paquets est observée dans les déploiements de clusters MPTCP dans le cloud public si le jeu de liens est désactivé.

    [NSHELP-27410]

  • Une appliance Citrix ADC peut envoyer un paquet TCP non valide avec des options TCP telles que des blocs SACK, un horodatage et un ACK de données MPTCP sur les connexions MPTCP.

    [ NSHELP-27179 ]

  • Une incompatibilité entre les enregistrements Logstream est observée dans l’appliance Citrix ADC et le chargeur de données.

    [ NSHELP-25796 ]

  • Certains messages SYSLOG sont supprimés lors de la connexion à un serveur SYSLOG externe à l’aide du protocole TCP.

    [ NSHELP-24522 ]

  • Dans certains scénarios, la capture de paquets nstrace omet tous les paquets si vous appliquez le filtre basé sur l’adresse IP.

    [ NSHELP-23483 ]

  • Lorsque vous installez Citrix ADM sur un cluster Kubernetes, il ne fonctionne pas comme prévu car les processus requis peuvent ne pas s’exécuter.

    Solution : redémarrez le module Gestion.

    [ NSBASE-15556 ]

  • Dans une configuration de cluster, un nœud avec la priorité CCO est déconnecté d’Open vSwitch (OVS) en raison de problèmes de réseau. Une fois que le nœud a rejoint la configuration du cluster, il ne reçoit pas le dernier cookie SYN.

    [NSBASE-14419]

Interface utilisateur

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

  • Dans une appliance Citrix ADC, la liaison de la stratégie de cache pour remplacer globale ou globale par défaut à l’aide de l’interface utilisateur graphique échoue avec l’erreur suivante :

    • Argument obligatoire manquant.

    Cette erreur n’apparaît pas lors de la liaison de la stratégie de cache à l’aide de l’interface CLI.

    [ NSHELP-30826 ]

  • En raison d’une séquence d’installation de mise à niveau incorrecte, le problème suivant se produit dans l’appliance Citrix ADC.

    • L’image du noyau est d’abord mise à jour et après quelques étapes, les clés de chiffrement sont copiées. Entre ces étapes, une défaillance se produit et l’appliance ADC affiche une nouvelle image. Les clés de chiffrement manquantes dans la nouvelle image entraînent un échec du déchiffrement et une configuration manquante.

    [NSHELP-30755]

  • Dans une configuration Citrix ADC HA, le problème suivant est observé dans l’interface graphique Citrix ADC après avoir enregistré une configuration et cliqué sur le bouton d’actualisation :

    • L’interface graphique affiche de manière incorrecte le point orange sur le bouton Enregistrer, même si aucune modification de configuration non enregistrée n’est présente sur l’appliance.

    [NSHELP-30031]

  • L’interface graphique Citrix ADC peut générer de manière incorrecte un ensemble de support technique de cluster d’un seul nœud au lieu de tous les nœuds du cluster.

    [NSHELP-28606]

  • La génération d’un bundle de support technique de cluster à l’aide de l’interface graphique Citrix ADC peut échouer avec une erreur.

    [NSHELP-28586]

  • Après la mise à niveau d’une installation haute disponibilité ou d’une configuration de cluster vers la version 13.0 build 74.14 ou ultérieure, la synchronisation de la configuration peut échouer pour la raison suivante :

    • La paire de clés privée et publique « ssh_host_rsa_key » est incorrecte.

    Solution : régénérez « ssh_host_rsa_key ». Pour de plus amples informations, consultez l’article https://support.citrix.com/article/CTX322863.

    [ NSHELP-27834 ]

  • Vous ne pouvez pas lier un service ou un groupe de services à un serveur virtuel d’équilibrage de charge prioritaire à l’aide de l’interface graphique Citrix ADC.

    [ NSHELP-27252 ]

  • Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

    • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

    Solution : effectuez un basculement HA manuel successif uniquement une fois la synchronisation HA terminée (les deux nœuds sont en état de réussite de la synchronisation).

    [ NSHELP-25598 ]

  • La synchronisation des signatures du pare-feu d’application avec des nœuds non CCO peut parfois prendre beaucoup de temps. Par conséquent, les commandes utilisant ces fichiers peuvent échouer.

    [NSCONFIG-4330]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

    1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions suivantes :

      • 13.0 52.24 build
      • 12.1 57.18 build
      • 11.1 65.10 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système à l’aide de l’interface de ligne de commande :
    À l’invite de commandes, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]<!--NeedCopy-->

    Solution :

    Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Notes de publication pour la version 13.0-87.9 de Citrix ADC