ADC

Notes de publication pour la version 13.0-88.16 de Citrix ADC

Ce document de notes de version décrit les améliorations et modifications, les problèmes résolus et connus qui existent pour la version 13.0-88.16 de Citrix ADC.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
  • Les versions 13.0-88.12 et ultérieures corrigent les vulnérabilités de sécurité décrites dans https://support.citrix.com/article/CTX463706.
  • La version 88.16 remplace la version 88.14 et la version 88.12.
  • La version 88.16 inclut des correctifs pour les problèmes suivants : NSHELP-33250, NSHELP-33345 et NSHELP-33063.
  • La version 88.14 incluait un correctif pour le problème suivant qui existait dans la version 13.0 précédente de Citrix ADC : NSHELP-32907.

Nouveautés

Les améliorations et modifications disponibles dans la version 13.0-88.16.

Système

  • Nouveau paramètre ajouté dans le profil HTTP

    Un nouveau paramètre PassProtocolUpgrade est ajouté au profil HTTP pour empêcher les attaques sur les serveurs principaux. Selon l’état de ce paramètre, l’en-tête de mise à niveau est transmis dans la demande envoyée au serveur principal ou supprimé avant l’envoi de la demande.

    • Si le paramètre PassProtocolUpgrade est activé, l’en-tête de mise à niveau est transmis au back-end. Le serveur accepte la demande de mise à niveau et l’informe dans sa réponse.
    • Si ce paramètre est désactivé, l’en-tête de mise à niveau est supprimé et la demande restante est envoyée au backend.

    Le paramètre PassProtocolUpgrade est ajouté aux profils suivants :

    • nshttp_default_profile ACTIVÉ par défaut
    • nshttp_default_strict_validation DISABLED by default
    • nshttp_default_internal_apps DISABLED by default
    • nshttp_default_http_quic_profile ACTIVÉ par défaut

    Citrix recommande de désactiver ce paramètre par défaut. Pour plus de détails, consultez le guide de déploiement sécurisé de Citrix ADC.

    [NSBASE-17423]

Interface utilisateur

  • Support pour la licence Self Managed Pool

    L’appliance Citrix ADC prend désormais en charge la licence Self Managed Pool, qui simplifie et automatise le téléchargement des fichiers de licence vers le serveur de licences après l’achat. Vous pouvez utiliser NetScaler ADM pour créer une structure de licences qui comprend une bande passante ou un vCPU communs et le pool d’instances.

    [NSCONFIG-6592]

Problèmes résolus

Les problèmes résolus dans la version 13.0-88.16.

Authentification, autorisation et audit

  • L’appliance Citrix ADC arrête de traiter les demandes en raison d’une fuite de mémoire dans le module MEM_SSLVPN.

    [NSHELP-32646]

  • L’action d’authentification NO_AUTHN ne persiste pas après le redémarrage d’une appliance Citrix ADC si l’appliance possède la licence Standard Edition.

    [NSHELP-32522]

  • La page de connexion à l’authentification NetScaler Gateway Duo ne se charge pas avec des thèmes autres que RFWebUI.

    [NSHELP-32463]

  • Lors de l’enregistrement de votre appareil auprès de l’appliance NetScaler Gateway, le message « échec de l’enregistrement push » s’affiche pour Citrix Secure Access (Citrix SSO).

    [NSHELP-32461]

  • Parfois, l’authentification auprès de la passerelle à l’aide de l’application Citrix Workspace échoue.

    [NSHELP-32333]

  • L’authentification SAML échoue si la fonctionnalité Content Security Policy (CSP) est activée sur l’appliance Citrix ADC.

    [NSHELP-32203]

  • L’appliance Citrix ADC supprime le suffixe du jeu de caractères dans l’en-tête Content-Type et l’envoie Content-Type: application/x-www-form-urlencoded si vous avez configuré les deux options suivantes.

    • Authentification basée sur un formulaire SSO
    • nsapimgr knob - nsapimgr_wr.sh -ys call=ns_formsso_use_ctype_simple_enable knob

    [NSHELP-31977]

  • L’appliance Citrix ADC se bloque si l’URL ADFSPIP est définie sur « http://». ADFSPIP ne prend en charge que les types d’URL « https:// ».

    [NSHELP-29838]

  • L’appliance Citrix ADC se bloque si les deux conditions suivantes sont remplies.

    • L’OTP d’e-mail est configuré
    • Le serveur de messagerie ne répond pas ou il y a un problème de réseau avec le serveur de messagerie

    [NSHELP-26137, NSHELP-27824]

Mise en cache

  • Une appliance Citrix ADC se bloque lorsque le contenu mis en cache est diffusé aux clients.

    [NSHELP-31760]

  • Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

    [ NSHELP-22942 ]

Appliance Citrix ADC SDX

  • Quelques fichiers de configuration du module de sécurité matérielle (HSM) redondants sont également sauvegardés lorsque les instances Citrix ADC VPX sont sauvegardées à l’aide de SDX et ADM.

    [NSHELP-32539]

  • L’appliance Citrix ADC SDX n’envoie pas d’interruptions SNMP pour l’utilisation du disque de l’hyperviseur à Citrix ADM.

    [NSHELP-32323]

  • Dans une appliance Citrix ADC SDX, la liste blanche de VLAN n’est pas mise à jour avec la valeur correcte pour les interfaces Mellanox attribuées à une instance Citrix ADC VPX.

    [NSHELP-31849]

  • Lorsque vous mettez à niveau une appliance Citrix SDX, même si la version de l’hyperviseur est la même pour la version actuelle et la version mise à niveau de SDX, l’événement incorrect suivant est notifié dans l’interface graphique du service de gestion :

    Incompatibilité des versions de la SVM et de l’hyperviseur

    [NSHELP-31769]

  • L’installation d’un certificat SSL sur une appliance Citrix ADC SDX échoue si le nom du certificat ou le nom de clé contient de l’espace.

    [ NSHELP-31711 ]

  • Parfois, le téléchargement du fichier script post-installation (postinst.sh) vers l’hyperviseur Citrix échoue lors de la mise à niveau de la plate-forme, lorsque vous mettez à niveau le microprogramme de l’appliance Citrix ADC SDX de la version 13.0 vers la version 13.1.

    [NSHELP-31125]

Citrix Gateway

  • L’appliance Citrix ADC se bloque si l’une des fonctionnalités Gateway Insight et Web Insight ou les deux sont activées.

    [NSHELP-33345]

  • Parfois, le proxy RDP ne fonctionne pas en présence d’un broker de connexion.

    [NSHELP-33063]

  • L’appliance NetScaler Gateway peut se bloquer si HDX Insight est activé et si un utilisateur se connecte à StoreFront immédiatement après s’être déconnecté.

    [NSHELP-32907, NSHELP-33079, NSHELP-33289]

  • L’analyse EPA de l’adresse MAC basée sur Patset ne fonctionne pas de la même manière que la numérisation du certificat de l’appareil.

    [NSHELP-32760]

  • La boîte de dialogue « Transférer la connexion » n’affiche pas le bouton Transférer.

    [NSHELP-32614]

  • L’appliance Citrix ADC se bloque lors du traitement de la demande de déconnexion POST /CitrixAuthService/AuthService.asmx du serveur StoreFront lorsque l’URL de rappel est configurée sur StoreFront.

    [NSHELP-32207]

  • Dans une configuration de cluster, l’appliance Citrix ADC se bloque lors de l’envoi de la demande CGP_FINISH_REQUEST au client.

    [NSHELP-32029]

  • Lorsque des sessions UDP sont lancées, des connexions périmées semblent exister même après la fermeture des sessions. Cependant, il ne s’agit pas de véritables connexions périmées, mais d’un problème avec le compteur.

    [NSHELP-32009]

  • Lorsqu’un utilisateur se connecte à l’appliance Citrix ADC et si Citrix Workspace n’est pas installé, le lien permettant de télécharger Citrix Workspace pointe par erreur vers Citrix Receiver.

    [NSHELP-31877]

  • Dans une appliance NetScaler Gateway, les paramètres VPN globaux ne prennent pas effet si les paramètres VPN ne sont pas définis au niveau de l’action de session.

    Avant de mettre à niveau votre configuration de haute disponibilité, assurez-vous de désactiver manuellement la synchronisation HA sur l’appliance secondaire. Pour plus de détails, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/upgrade-downgrade-citrix-adc-appliance/upgrade-downgrade-ha-pair.html

    [NSHELP-31478, CGOP-21737]

  • Les stratégies de routage basé sur des stratégies (PBR) ne prennent pas effet pour le trafic DNS via VPN.

    [NSHELP-31123]

  • Le lancement de l’application ICA échoue dans les conditions suivantes :

    • La fonctionnalité de stratégie de sécurité du contenu (CSP) est activée.
    • L’utilisateur se connecte à partir d’un navigateur, mais utilise l’application Citrix Workspace pour lancer l’application.

    [NSHELP-30534]

  • Le titre de la page de connexion NetScaler Gateway et les thèmes du portail ne s’affichent pas correctement.

    [NSHELP-29202]

  • Lors de la configuration du pool IIP (adresse IP et masque), si l’adresse IP ne correspond pas à la première adresse IP de la plage, l’interface de ligne de commande et l’interface graphique Citrix ADC n’affichent qu’un seul bloc et pas tous.

    Exemple :
    bind vpn vserver vpn_ssl -intranetIP 172.168.1.1 255.255.255.0
    bind vpn vserver vpn_ssl -intranetIP 172.168.2.1 255.255.255.0

    Dans ce cas, l’interface de ligne de commande ou l’interface graphique affichée lors de l’affichage du serveur vpn vpn_ssl affiche uniquement le pool 172.168.2.1 et non 172.168.2.2.

    [NSHELP-29084]

  • L’appliance Citrix ADC peut se bloquer si l’EPA est configuré et si la mémoire n’est pas disponible en quantité suffisante.

    [NSHELP-28329]

  • Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.

    [ NSHELP-23937 ]

Citrix Web App Firewall

  • Une appliance Citrix ADC autonome ou le mode secondaire d’une configuration HA peuvent se bloquer si vous configurez un objet de signature pour Citrix Web App Firewall sur les versions logicielles suivantes :
    • 13.0 build 88.5 et versions ultérieures
    • 13.1 build 33.41 et versions ultérieures

    [NSHELP-33250]

  • Dans Citrix Web App Firewall, lorsque vous fournissez l’en-tête de type de contenu à l’aide d’un protocole (application/pkcs7-signature), l’en-tête n’est pas correctement analysé. Par conséquent, le pare-feu bloque les requêtes valides.

    [NSHELP-32844]

  • Certaines règles de relaxation ne sont pas importées lors de la restauration d’un profil WAF.

    [NSHELP-32729]

  • Une mise à jour de signature WAF échoue lorsqu’un serveur proxy et un port proxy sont configurés. Pendant le processus de mise à jour automatique des signatures qui s’exécute toutes les heures, l’appliance ADC contacte l’hôte de mise à jour automatique pour télécharger les fichiers mis à jour au lieu de passer par le serveur proxy et le port proxy configurés. Par conséquent, un échec de mise à jour est observé lorsque l’hôte de mise à jour automatique n’est pas accessible.

    [NSHELP-32613]

  • L’appliance Citrix ADC peut se bloquer si les conditions suivantes sont remplies :

    • La charge sur l’appareil est élevée.
    • Des modifications de configuration sont en cours.
    • La suppression d’une signature prend beaucoup de temps.

    [NSHELP-32454]

  • Des cookies légitimes sont placés dans le journal tout en affichant des journaux de violation des cookie dupliqués.

    [NSHELP-32369]

Équilibrage de charge

  • Dans de rares cas, une appliance Citrix ADC peut se bloquer et générer un vidage de base lorsque la persistance basée sur l’ID de session SSL et le traitement basé sur les tickets de session SSL sont activés sur un serveur virtuel de commutation de contenu.

    [NSHELP-32228]

Divers

  • La fonction Lua math.random () peut ne pas renvoyer de nombre aléatoire.

    [NSHELP-32447]

  • Un nœud de cluster entre dans une boucle de paquets lorsque les conditions suivantes sont remplies :

    • Un paquet UDP avec une adresse IP de destination sous la forme CLIP est envoyé à un nœud de cluster.
    • Le CCO a changé d’un nœud à l’autre pendant la durée de vie de l’instance de cluster.

    [NSHELP-30804]

Réseau

  • Avec ECMP configuré sur une appliance Citrix ADC, le problème suivant peut être observé pour une connexion d’équilibrage de charge SSH :

    • L’appliance Citrix ADC envoie le premier paquet via une route différente de celle des autres paquets du même flux.

    [NSHELP-32089]

  • L’appliance Citrix ADC peut se bloquer dans certains scénarios lorsque les conditions suivantes sont remplies :

    • L’appliance Citrix ADC reçoit plusieurs premiers fragments avec différents décalages.
    • L’appliance Citrix ADC ne réassemble pas les fragments.

    [NSHELP-32084]

  • Dans une configuration d’équilibrage de charge avec l’option « sans session » activée sur le serveur virtuel et l’ECMP côté serveur, le problème suivant peut être observé :

    • L’appliance Citrix ADC envoie les paquets à un serveur toujours par la même route.

    [NSHELP-32061]

Plateforme

  • Sur une appliance Citrix ADC SDX, la taille de la bague passe de 1024 à 2048 entrées pour les interfaces Mellanox.

    [NSPLAT-24539]

  • Une instance Citrix ADC VPX se bloque lorsque vous passez de la version logicielle 13.1 à la version 13.0 build 88.x et aux versions antérieures, si les conditions suivantes sont remplies :

    • Le service de métadonnées d’instance AWS (IMDS) n’est pas accessible depuis la machine virtuelle.
    • Les instances basées sur Elastic Network Adapter (ENA) sont utilisées dans AWS.

    [NSHELP-32906]

Stratégies

  • Une appliance Citrix ADC peut se bloquer lors de l’ajout d’une stratégie avec patset lorsque la condition suivante est remplie :

    • L’indicateur associé à NSB est défini dans le mauvais ordre pour le scénario Rewrite TCP.

    [NSHELP-31064]

SSL

  • Une appliance Citrix ADC se bloque si les conditions suivantes sont remplies :

    • Un client envoie un bonjour à un autre client avant que la prise de contact ne soit terminée.
    • La demande contient un ensemble spécial de chiffrements dans le premier bonjour du client.

    [NSHELP-32422]

  • Sur les plates-formes Citrix ADC MPX et SDX dotées d’un matériel d’accélération cryptographique compatible Intel QAT, le type de persistance SOURCEIP n’est pas appliqué de manière cohérente aux demandes envoyées aux serveurs virtuels via des connexions TLS 1.3. En d’autres termes, les demandes envoyées depuis une adresse IP source unique peuvent être distribuées à plusieurs serveurs principaux différents.

    [NSHELP-32410, NSHELP-32895, NSHELP-32572, NSHELP-32688]

  • Une appliance Citrix ADC contenant une carte SSL Cavium peut se bloquer lors de l’envoi d’un message DTLS ALERT au client.

    [NSHELP-32031]

  • Une poignée de main SSL peut échouer si la séquence de conditions suivante est remplie :

    1. Hello Verify Request (HVR) est activé sur DTLS.
    2. L’appliance Citrix ADC envoie un HVR au client.
    3. Le client ne reçoit pas le HVR.
    4. Le client essaie de retransmettre le bonjour au premier client au lieu de répondre au HVR avec un cookie de session.

    Remarque : En réponse au message d’accueil retransmis au client, l’appliance ADC envoie le HVR au client trois fois au maximum. Si aucune réponse appropriée n’est reçue, l’appliance échoue à la négociation.

    [NSHELP-31808]

  • Une appliance Citrix ADC peut se bloquer si la règle d’authentification du certificat est évaluée et déclenchée deux fois sur la même demande.

    [NSHELP-31785]

  • Si l’interception SSL est activée et que les serveurs DNS ne renvoient pas de réponse DNS valide, l’accès au site Web est bloqué.

    [NSHELP-30201]

  • Une appliance Citrix ADC peut se bloquer lors du traitement du trafic SSL en mode logiciel.

    [NSHELP-29996]

Système

  • Lorsqu’un serveur NetScaler ADM reçoit un trafic HTTP important avec des URL uniques, il consomme beaucoup de mémoire. Par conséquent, le serveur NetScaler ADM devient inaccessible.

    [NSHELP-32922]

  • Dans une appliance Citrix ADC, le cadre de modification d’en-tête entraîne une corruption de la mémoire. Cette condition se produit lorsque les cookies destinés à être consommés par l’appliance Citrix ADC sont supprimés dans un ordre particulier avant leur transfert.

    .

    [NSHELP-32799]

  • Vous pouvez activer la fonctionnalité AppFlow dans la partition d’administration uniquement après avoir activé le mode ULFD dans la partition par défaut.

    [NSHELP-32670]

  • L’appliance Citrix ADC peut traiter une requête HTTP comme une demande non valide lorsqu’une méthode de requête HTTP partielle est présente dans un segment TCP entrant.

    [NSHELP-32462]

  • Une appliance Citrix ADC peut se bloquer si la condition suivante est remplie :

    • Lors de combinaisons d’utilisation élevée de la mémoire entre HTTP2 et SSL, l’appliance Citrix ADC ne parvient pas à allouer de la mémoire.

    [NSHELP-32255]

  • Une appliance Citrix ADC se bloque dans le flux de configuration de l’action syslog. Ce blocage est observé lors de la synchronisation de la haute disponibilité sur le nœud secondaire.

    [ NSHELP-32254, NSHELP-32397 ]

  • Un client gRPC ne parvient pas à analyser l’en-tête d’état du gRPC lorsque la condition suivante est remplie :

    • L’en-tête d’état gRPC est ajouté à la fois dans l’en-tête de début et dans l’en-tête de fin au lieu d’être ajouté uniquement dans l’en-tête de fin.

    [NSHELP-31640]

  • Lorsque vous utilisez la fonction d’inspection du contenu, l’insertion de l’en-tête Rewrite avec charge utile risque de ne pas fonctionner correctement.

    [NSHELP-30088]

  • Lorsque SACK est activé, l’appliance Citrix ADC ne retransmet pas le dernier segment TCP d’un octet de la liste de retransmission pour la raison suivante : l’appliance utilise le dernier segment TCP d’un octet comme segment fictif pour marquer la fin de la liste de retransmission.

    [NSHELP-28778]

Interface utilisateur

  • Vous ne pouvez pas lier un service GSLB à un serveur virtuel GSLB à l’aide de l’interface graphique Citrix ADC, car la liste des services GSLB sous GSLB Service Group Binding> GSLB Service Binding > GSLB Services apparaît vide.

    [NSHELP-32236]

  • Dans la version 13.0 de Citrix ADC, le bouton OK de la page Configurer le service de serveur virtuel d’équilibrage de charge prioritaire est grisé.

    [NSHELP-32007]

  • L’interface graphique de l’appliance Citrix ADC n’affiche pas le nombre correct des stratégies IDP SAML et OAuth configurées.

    [NSHELP-31480]

  • Dans une appliance Citrix ADC, lors de l’utilisation de l’interface graphique, le problème suivant apparaît sur la page de stratégie du répondeur :

    • Les stratégies de réponse personnalisées créées peuvent être affichées sous les stratégies de réponse intégrées.

    [NSHELP-31428]

  • Dans une configuration Citrix ADC HA, le problème suivant est observé dans l’interface graphique Citrix ADC après avoir enregistré une configuration et cliqué sur le bouton d’actualisation :

    • L’interface graphique affiche de manière incorrecte le point orange sur le bouton Enregistrer, même si aucune modification de configuration non enregistrée n’est présente sur l’appliance.

    [NSHELP-30031]

  • Une appliance Citrix ADC qui a retiré des licences auprès de NetScaler ADM passe en période de grâce lorsque l’appliance se déconnecte d’ADM. L’appliance apparaît sans licence dans ADM et continue pendant la période de grâce, même après sa reconnexion à ADM.

    [NSCONFIG-7098]

Problèmes connus

Les problèmes qui existent dans la version 13.0-88.16.

Authentification, autorisation et audit

  • Vous pouvez rencontrer des problèmes lors de la déconnexion si l’authentification SAML est configurée.

    [NSHELP-31962]

  • L’authentification unique (SSO) échoue si l’authentification unique est activée pour le trafic qui ne possède pas le jeton porteur requis pour gérer l’authentification unique.

    [NSHELP-31362]

  • Les caractères non-ASCII sont enregistrés dans nsvpn.log lorsque l’action LDAP est configurée sur un nom de domaine complet au lieu d’une adresse IP.

    [NSHELP-27281]

  • Dans certains cas, le message d’erreur « informations d’identification non valides » s’affiche pendant le processus d’authentification RADIUS. L’erreur s’affiche lorsque l’on accède à l’appliance Citrix ADC à partir d’un appareil client à l’aide du navigateur Google Chrome.

    [ NSHELP-27113 ]

  • Dans certains scénarios, la commande de groupe d’authentification, d’autorisation et d’audit de liaison peut échouer si le nom de la stratégie est plus long que le nom de l’application intranet.

    [NSHELP-25971]

  • L’appliance Citrix ADC vide le cœur lorsque NOAUTH est configuré comme premier facteur et Negotiate comme facteur suivant dans le flux d’authentification basé sur 401.

    [NSHELP-25203]

  • Si le mot de passe administrateur des services LDAP, RADIUS ou TACACS contient le caractère entre guillemets (“), l’appliance Citrix ADC le supprime lors de la vérification « Test de connectivité », ce qui entraîne un échec de connexion.

    [NSHELP-23630]

  • Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

    [NSHELP-563]

  • L’authentification DUO échoue si la fonctionnalité Content Security Policy (CSP) est activée sur l’appliance Citrix ADC.

    [ NSAUTH-12687 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.

    show adfsproxyprofile <profile name>

    Solution : connectez-vous au Citrix ADC actif principal du cluster et exécutez la commande show adfsproxyprofile <profile name>. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

Appliance Citrix ADC SDX

  • Sur une appliance Citrix ADC SDX, si le CLAG est créé sur une carte réseau Mellanox, la MAC CLAG est modifiée lorsque l’instance VPX est redémarrée. Le trafic vers l’instance VPX s’arrête après le redémarrage car la table MAC contient l’ancienne entrée MAC CLAG.

    [ NSSVM-4333 ]

  • Sur une interface graphique Citrix ADC SDX, l’affichage des serveurs NTP peut geler l’interface utilisateur si le fichier de configuration NTP (ntp.conf) ne contient que des espaces dans l’une des lignes.

    [NSHELP-31530]

Citrix Gateway

  • Le scan EPA basé sur la vérification de Windows Update ne fonctionne pas sur la version Windows 11 22H2.

    [NSHELP-33068]

  • Le client Citrix Secure Access, version 21.7.1.2 et versions ultérieures, ne parvient pas à effectuer la mise à niveau vers des versions ultérieures pour les utilisateurs ne disposant pas de droits d’administration.

    Cela s’applique uniquement si la mise à niveau du client Citrix Secure Access est effectuée à partir d’une appliance Citrix ADC.

    [NSHELP-32793]

  • Lorsque les utilisateurs cliquent sur l’onglet Page d’accueil de l’écran Citrix Secure Access pour Windows, la page affiche l’erreur de refus de connexion.

    [NSHELP-32510]

  • Sur un appareil Mac utilisant Chrome, l’extension VPN se bloque lors de l’accès à deux noms de domaine complets.

    [NSHELP-32144]

  • Le contrôle de journalisation des débogues pour le client Citrix Secure Access est désormais indépendant de NetScaler Gateway et peut être activé ou désactivé depuis l’interface utilisateur du plug-in pour la machine et le tunnel utilisateur.

    [NSHELP-31357, CGOP-21192]

  • Lorsque Always on est configuré, le tunnel utilisateur échoue en raison du numéro de version incorrect (1.1.1.1) dans le fichier aoservice.exe.

    [ NSHELP-30662 ]

  • Les utilisateurs ne peuvent pas se connecter à l’appliance NetScaler Gateway après avoir changé le paramètre de profil « NetworkAccessonVPNFailure » de « FullAccess » à « OnlyToGateway ».

    [NSHELP-30236]

  • La page d’accueil de la passerelle ne s’affiche pas immédiatement après que le plug-in de passerelle a réussi à établir le tunnel VPN. Pour résoudre ce problème, la valeur de registre suivante est introduite.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Type: DWORD

    Par défaut, cette valeur de registre n’est ni définie ni ajoutée. Lorsque la valeur de « SecureChannelResetTimeoutSeconds » est 0 ou n’est pas ajoutée, le correctif pour gérer le délai ne fonctionne pas, ce qui est le comportement par défaut. L’administrateur doit définir ce registre sur le client pour activer le correctif (c’est-à-dire afficher la page d’accueil immédiatement après que le plug-in de passerelle ait établi le tunnel VPN avec succès).

    [NSHELP-30189]

  • Le client VPN Windows n’honore pas l’alerte « Notification de fermeture SSL » du serveur et envoie la demande de connexion de transfert sur la même connexion.

    [NSHELP-29675]

  • L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

    [ NSHELP-28551 ]

  • Parfois, un utilisateur est déconnecté de NetScaler Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

    [ NSHELP-28404 ]

  • L’appliance NetScaler Gateway peut se bloquer lors du traitement du trafic UDP initié par le serveur.

    [ NSHELP-27611 ]

  • L’appliance NetScaler Gateway peut se bloquer si l’async est bloquée et que vous modifiez la configuration de la stratégie de commutation de contenu.

    [NSHELP-27570]

  • L’appliance NetScaler Gateway peut se bloquer si une option de client VPN inconnue est définie dans la stratégie de session.

    [NSHELP-27380]

  • Lors de la création d’un profil client RDP à l’aide de l’interface graphique Citrix ADC, un message d’erreur apparaît lorsque les conditions suivantes sont remplies :

    • Une clé pré-partagée (PSK) par défaut est configurée.
    • Vous essayez de modifier le minuteur de validité du cookie RDP dans le champ Validité du cookie RDP (secondes).

    [ NSHELP-25694 ]

  • La sortie de la commande « show tunnel global » inclut des noms de stratégies avancés. Auparavant, la sortie n’affichait pas les noms de stratégie avancés.

    Exemple :

    Nouvelle sortie :

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    Sortie précédente :

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [ NSHELP-23496 ]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.

    [ CGOP-13621 ]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans NetScaler ADM.

    [ CGOP-13511 ]

  • Lorsque vous acceptez les connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche du contenu en anglais, quelle que soit la langue sélectionnée.

    [ CGOP-13050 ]

  • Le texte « Page d’accueil » dans l’ application Citrix SSO > Page d’accueil est tronqué pour certaines langues.

    [ CGOP-13049 ]

  • Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, cliquez sur Options dans le menu Paramètres pour afficher une boîte de dialogue d’erreur critique . De plus, la page ne répond plus.

    [ CGOP-7269 ]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • Dans certains scénarios, les serveurs liés à un groupe de services affichent une valeur de cookie non valide. Vous pouvez voir la valeur de cookie correcte dans les journaux de suivi.

    [NSHELP-21196]

  • Dans une configuration de cluster, l’adresse IP du service GSLB n’est pas affichée dans l’interface graphique lorsqu’on y accède via des liaisons de serveurs virtuels GSLB. Il ne s’agit que d’un problème d’affichage et il n’y a aucun impact sur la fonctionnalité.

    [ NSHELP-20406 ]

Divers

  • L’appliance Citrix ADC définit la taille de la mémoire tampon pour la fonction de journalisation du serveur Web sur une valeur par défaut incorrecte de 3 Mo au lieu de 16 Mo.

    [NSHELP-32429]

  • Le registre de liste AlwaysOnAllow ne fonctionne pas comme prévu si la valeur du registre est supérieure à 2000 octets.

    [NSHELP-31836]

  • L’instance Citrix ADC CPX, exécutée sur un système Linux avec une architecture 64 bits et 1 To de stockage de fichiers, peut maintenant charger des fichiers de certificat et de clé.

    [NSHELP-28986]

Réseau

  • Dans une appliance Citrix ADC BLX, le NSVLAN lié à des interfaces non dpdk balisées peut ne pas fonctionner comme prévu. Le NSVLAN lié à des interfaces non dpdk non balisées fonctionne correctement.

    [NSNET-18586]

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :

    • Désactiver
    • Activer
    • Réinitialiser

    [ NSNET-16559 ]

  • Sur un hôte Linux basé sur Debian (Ubuntu version 18 et versions ultérieures), une appliance Citrix ADC BLX est toujours déployée en mode partagé, quels que soient les paramètres du fichier de configuration BLX (« /etc/blx/blx.conf »). Ce problème se produit car « mawk », qui est présent par défaut sur les systèmes Linux basés sur Debian, n’exécute pas certaines des commandes awk présentes dans le fichier « blx.conf ».

    Solution : installez « gawk » avant d’installer une appliance Citrix ADC BLX. Vous pouvez exécuter la commande suivante dans la CLI de l’hôte Linux pour installer « gawk » :

    • apt-get install gawk

    [ NSNET-14603 ]

  • L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • Lorsque vous supprimez un serveur virtuel, l’appliance Citrix ADC définit de manière incorrecte l’état VIP RHI associé sur DOWN si les conditions suivantes sont remplies :

    • Le serveur virtuel possède des serveurs virtuels de sauvegarde.
    • Le serveur virtuel est à l’état DOWN et au moins un serveur virtuel de sauvegarde est à l’état UP.

    [NSHELP-29972]

  • Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • Le module LSN ne trouve pas le service lors de la décrémentation du nombre de références ou de la suppression du service.

    [NSHELP-29134]

  • Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • En raison d’une entrée de filtrage obsolète.

    [NSHELP-28895]

  • Dans un déploiement NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • Le module LSN a accédé à l’emplacement mémoire d’un service déjà supprimé.

    [NSHELP-28815]

  • Dans une configuration haute disponibilité, l’adresse SNIP activée pour le routage dynamique n’est pas exposée à VTYSH au redémarrage si la condition suivante est remplie :

    • Une adresse SNIP activée pour le routage dynamique est liée au VLAN partagé dans une partition autre que celle par défaut.

    Dans le cadre du correctif, l’appliance Citrix ADC n’autorise plus la liaison d’une adresse SNIP activée pour le routage dynamique au VLAN partagé dans une partition autre que par défaut

    [NSHELP-24000]

Plate-forme

  • Le basculement haute disponibilité ne fonctionne pas dans les clouds AWS et GCP. Le processeur de gestion peut atteindre sa capacité de 100 % dans les clouds AWS et GCP, et Citrix ADC VPX sur site. Ces deux problèmes sont provoqués lorsque les conditions suivantes sont remplies :

    1. Lors du premier démarrage de l’appliance Citrix ADC, vous n’enregistrez pas le mot de passe demandé.
    2. Par la suite, vous redémarrez l’appliance Citrix ADC.

    [NSPLAT-22013]

  • Lorsque vous effectuez une mise à niveau de versions 13.0/12.1/11.1 vers une version 13.1 ou que vous passez d’une version 13.1 à une version 13.0/12.1/11.1, certains packages python ne sont pas installés sur les appliances Citrix ADC. Ce problème est résolu pour les versions Citrix ADC suivantes :

    • 13.1-4.x
    • 13.0-82.31 et versions ultérieures
    • 12.1-62.21 et versions ultérieures

    Les packages python ne sont pas installés lorsque vous rétrogradez les versions de Citrix ADC de 13.1-4.x vers l’une des versions suivantes :

    • Toute version 11.1
    • 12.1-62.21 et versions antérieures
    • 13.0-81.x et versions antérieures

    [NSPLAT-21691]

  • Dans une configuration de cluster sur une appliance Citrix ADC SDX, il existe une incompatibilité CLAG MAC sur le deuxième nœud et CLIP si les conditions suivantes sont remplies :

    • Le CLAG est créé sur une carte réseau Mellanox.
    • Vous ajoutez une autre instance VPX au cluster et à la configuration CLAG.

    Par conséquent, le trafic vers l’instance VPX s’arrête.

    [NSPLAT-21049]

  • Dans une configuration de cluster sur une appliance Citrix ADC SDX, le premier nœud tombe en panne en raison d’une incompatibilité d’adresse MAC sur la table CLIP et MAC, si les conditions suivantes sont remplies :

    • Le CLAG est créé sur une carte réseau Mellanox.
    • Vous supprimez le deuxième nœud du cluster.

    [NSPLAT-21042]

  • Sur la plate-forme Citrix ADC SDX 8015/8400/8600, vous pouvez constater une augmentation de la consommation de mémoire sur Xen Server.
    Solution : exécutez la commande suivante sur Xen Server, puis redémarrez l’appliance.
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [NSHELP-32260]

  • Lors du basculement Citrix ADC VPX HA, le mouvement d’adresse IP Elastic dans le cloud AWS échoue si vous configurez un IPset sans lier l’IPset à une adresse IP.

    [ NSHELP-29425 ]

  • Le basculement HA pour l’instance Citrix ADC VPX sur le cloud GCP et AWS échoue lorsque le mot de passe d’un nœud RPC contient un caractère spécial.

    [ NSHELP-28600 ]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

  • Dans une appliance Citrix ADC, les stratégies de commutation de contenu qui sont migrées des stratégies classiques vers des stratégies avancées à l’aide de l’outil NSPEPI peuvent ne pas fonctionner lorsque les conditions suivantes sont remplies :

    • Les stratégies sont liées au vserver de commutation de contenu.
    • Le paramètre « CaseSensitive » est réglé sur OFF.

    [NSHELP-31951]

SSL

  • Lorsqu’un serveur virtuel reçoit un enregistrement TLS 1.3 dont le remplissage n’est pas valide, il envoie une alerte fatale « decode_error » au lieu d’une alerte « message inattendu ».

    [NSSSL-11890]

  • Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERROR: crl refresh disabled

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

Système

  • Dans une appliance Citrix ADC, la valeur par défaut du paramètre « MaxHeaderFieldLen » dans le profil HTTP entraîne le problème suivant.

    • Échec du trafic après la mise à niveau vers la version 13.0

    [NSHELP-32079]

  • L’appliance Citrix ADC dotée de la configuration SSL de type de service de serveur virtuel se bloque lorsque l’appliance Citrix ADC reçoit le paquet de contrôle TCP FIN suivi du paquet de contrôle TCP RESET.

    [NSHELP-31656]

  • Un RTT élevé est observé pour une connexion TCP si la condition suivante est remplie :

    • une fenêtre de congestion maximale élevée (> 4 Mo) est définie
    • L’algorithme TCP NILE est activé

    Pour qu’une appliance Citrix ADC utilise l’algorithme NILE pour contrôler la congestion, les conditions doivent dépasser le seuil de démarrage lent, associé à la fenêtre de congestion maximale

    Ainsi, jusqu’à ce que la fenêtre de congestion maximale configurée soit atteinte, Citrix ADC continue d’accepter les données et se retrouve avec un RTT élevé.

    [NSHELP-31548]

  • Une appliance Citrix ADC peut se bloquer lorsque la condition suivante est remplie :

    • Le profil d’analyse et la stratégie AppFlow sont liés, et l’option « httpAllHdrs » est activée dans le profil.

    [NSHELP-30628]

  • L’appliance Citrix ADC signale une fausse alarme SNMP sur les compteurs d’inondation SYN de service.

    [NSHELP-28710, NSHELP-28713]

  • Une augmentation des retransmissions de paquets est observée dans les déploiements de clusters MPTCP dans le cloud public si le jeu de liens est désactivé.

    [NSHELP-27410]

  • Une appliance Citrix ADC peut envoyer un paquet TCP non valide avec des options TCP telles que des blocs SACK, un horodatage et un ACK de données MPTCP sur les connexions MPTCP.

    [ NSHELP-27179 ]

  • Une incompatibilité entre les enregistrements Logstream est observée dans l’appliance Citrix ADC et le chargeur de données.

    [ NSHELP-25796 ]

  • Certains messages SYSLOG sont supprimés lors de la connexion à un serveur SYSLOG externe à l’aide du protocole TCP.

    [ NSHELP-24522 ]

  • Dans certains scénarios, la capture de paquets nstrace omet tous les paquets si vous appliquez le filtre basé sur l’adresse IP.

    [ NSHELP-23483 ]

  • Lorsque vous installez NetScaler ADM sur un cluster Kubernetes, il ne fonctionne pas comme prévu car les processus requis peuvent ne pas s’exécuter.

    Solution : redémarrez le module Gestion.

    [ NSBASE-15556 ]

  • Dans une configuration de cluster, un nœud avec la priorité CCO est déconnecté d’Open vSwitch (OVS) en raison de problèmes de réseau. Une fois que le nœud a rejoint la configuration du cluster, il ne reçoit pas le dernier cookie SYN.

    [NSBASE-14419]

Interface utilisateur

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

  • Après avoir créé un profil pour Citrix Web App Firewall et essayé de générer le rapport de configuration du pare-feu des applications dans Système > Rapports, l’erreur suivante apparaît :

    « Impossible de charger le document PDF. »

    [NSHELP-32469]

  • La modification d’un itinéraire statique à l’aide de l’interface graphique Citrix ADC (système > réseau > routes) peut échouer de manière incorrecte avec le message d’erreur suivant :

    • « Argument requis manquant [passerelle] »

    [NSHELP-32024]

  • Dans une configuration HA/Cluster, la synchronisation de la configuration échoue si vous avez configuré des clés SSH autres que RSA. Par exemple, les clés ECDSA ou DSA.

    [NSHELP-31675]

  • Dans une appliance Citrix ADC, la liaison de la stratégie de cache pour remplacer globale ou globale par défaut à l’aide de l’interface utilisateur graphique échoue avec l’erreur suivante :

    • Argument obligatoire manquant.

    Cette erreur n’apparaît pas lors de la liaison de la stratégie de cache à l’aide de l’interface CLI.

    [ NSHELP-30826 ]

  • En raison d’une séquence d’installation de mise à niveau incorrecte, le problème suivant se produit dans l’appliance Citrix ADC.

    • L’image du noyau est d’abord mise à jour et après quelques étapes, les clés de chiffrement sont copiées. Entre ces étapes, une défaillance se produit et l’appliance ADC affiche une nouvelle image. Les clés de chiffrement manquantes dans la nouvelle image entraînent un échec du déchiffrement et une configuration manquante.

    [NSHELP-30755]

  • L’interface graphique Citrix ADC peut générer de manière incorrecte un ensemble de support technique de cluster d’un seul nœud au lieu de tous les nœuds du cluster.

    [NSHELP-28606]

  • La génération d’un bundle de support technique de cluster à l’aide de l’interface graphique Citrix ADC peut échouer avec une erreur.

    [NSHELP-28586]

  • Après la mise à niveau d’une installation haute disponibilité ou d’une configuration de cluster vers la version 13.0 build 74.14 ou ultérieure, la synchronisation de la configuration peut échouer pour la raison suivante :

    • La paire de clés privée et publique « ssh_host_rsa_key » est incorrecte.

    Solution : régénérez « ssh_host_rsa_key ». Pour de plus amples informations, consultez l’article https://support.citrix.com/article/CTX322863.

    [ NSHELP-27834 ]

  • Vous ne pouvez pas lier un service ou un groupe de services à un serveur virtuel d’équilibrage de charge prioritaire à l’aide de l’interface graphique Citrix ADC.

    [ NSHELP-27252 ]

  • Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

    • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

    Solution : effectuez un basculement HA manuel successif uniquement une fois la synchronisation HA terminée (les deux nœuds sont en état de réussite de la synchronisation).

    [ NSHELP-25598 ]

  • La synchronisation des signatures du pare-feu d’application avec des nœuds non CCO peut parfois prendre beaucoup de temps. Par conséquent, les commandes utilisant ces fichiers peuvent échouer.

    [NSCONFIG-4330]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

    1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions
      • 13.0 52.24 build
      • 12.1 57.18 build
      • 11.1 65.10 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système à l’aide de l’interface de ligne de commande :
    À l’invite de commandes, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution : Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

    [NSCONFIG-3188]

Notes de publication pour la version 13.0-88.16 de Citrix ADC