Documentation produit
Citrix ADC
Current Release 13.0 12.1
Voir PDF

Notes de publication pour la version 13.0-89.7 de Citrix ADC

December 28, 2022
Contributeur: 
C

Ce document de notes de version décrit les améliorations et modifications, les problèmes résolus et connus qui existent pour la version 13.0-89.7 de Citrix ADC.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.

Nouveautés

Les améliorations et modifications disponibles dans la version 13.0-89.7.

Appliance Citrix ADC SDX

  • Les champs « Gateway » et « Nexthop » sont facultatifs lors du provisionnement ou de la modification du VPX

    Dans un service de gestion d’appliance Citrix ADC SDX, les champs « Gateway » et « Nexthop » ne sont plus obligatoires pour le provisionnement, la modification, la sauvegarde ou la restauration de VPX lorsque les conditions suivantes sont remplies :

    • L’une des options suivantes est vraie :
      • L’option « Gérer via le réseau interne » est activée pour VPX.
      • L’adresse IP VPX se trouve dans le même sous-réseau que l’adresse IP du service de gestion.
    • VPX est fourni avec la version 13.0-88.9 ou 13.1-37.8 et leurs versions supérieures.

    Pour plus d’informations, consultez la section Provisionner des instances Citrix ADC.

    [NSSVM-5307]

  • Améliorations pour afficher correctement la présence du disque

    Des améliorations sont apportées pour déterminer l’état du disque sur une appliance Citrix ADC SDX. L’état du disque s’affiche désormais correctement lorsque le disque est présent.

    [NSSVM-5252]

Citrix Gateway

  • Support du drapeau HttpOnly sur les cookies d’authentification

    L’indicateur HttpOnly est désormais pris en charge sur les cookies d’authentification des scénarios VPN, à savoir les cookies NSC_Authentication, AuditingC et NSC_TMAS. Le cookie d’authentification NSC_TMAS est utilisé lors de l’authentification nFactor et le cookie NSC_Authentication, AuditingC est utilisé pour la session authentifiée. Le HttpOnlyFlag sur un cookie limite l’accès aux cookies à l’aide de l’option de cookie de document JavaScript. Cela permet de prévenir le vol de cookie dû à des scripts intersites.

    [CGOP-14004]

Interface utilisateur

  • Support d’une limite de téléchargement de 8 Mo pour l’API systemfile NITRO

    La limite de téléchargement maximale pour l’API systemfile NITRO a été augmentée de 2 Mo à 8 Mo.

    [NSCONFIG-7089]

Problèmes résolus

Les problèmes résolus dans la version 13.0-89.7.

AppFlow

  • Une fois AppFlow configuré, l’appliance Citrix ADC réinitialise une connexion TCP si l’appliance reçoit une réponse HTTP fractionnée vide du serveur principal.

    Ce problème se produit lorsque le paramètre « ClientSideMeasurements » est activé pour l’action AppFlow associée.

    [NSHELP-32250]

Authentification, autorisation et audit

  • Dans une configuration GSLB Citrix Gateway, une connexion proxy en boucle entre les sites GSLB peut être détectée si les conditions suivantes sont remplies :

    • Tous les sites GSLB ne sont pas sur la même version.
    • Citrix Gateway est configuré avec une authentification avancée.

    [NSHELP-32487]

  • Si les authentifications LDAP et SAML sont configurées en cascade, une page d’erreur s’affiche lors de la connexion.

    [NSHELP-32378]

  • Vous pouvez rencontrer des problèmes lors de la déconnexion si l’authentification SAML est configurée.

    [NSHELP-31962]

  • L’interface graphique de Citrix ADC n’affiche pas les stratégies de cache par défaut liées à un serveur virtuel VPN.

    [NSHELP-26874]

Citrix Gateway

  • Certaines sessions VPN peuvent être effacées ou supprimées de l’appliance ADC secondaire après un basculement.

    [NSHELP-33125]

  • Les applications peuvent ne pas être lancées via Citrix Gateway en raison de l’épuisement des ports de l’appliance Citrix Gateway.

    [NSHELP-32418]

  • L’appliance Citrix Gateway configurée pour l’accès VPN sans client peut se bloquer lors du traitement d’une session fictive.

    [NSHELP-32399]

  • L’appliance Citrix Gateway peut se bloquer si HDX Insight est activé.

    [NSHELP-32120]

  • Les enregistrements d’échec d’authentification de Gateway Insight indiquent que le nom d’utilisateur est « Anonymous » lorsque NOAUTH est configuré comme premier facteur et que l’authentification du second facteur échoue en raison d’informations d’identification non valides. Ce problème se produit uniquement si la configuration est effectuée à l’aide du visualiseur nFactor car le premier facteur est configuré en tant que NOAUTH, par conception dans le visualiseur nFactor.

    [NSHELP-31795]

  • Le plug-in Citrix EPA pour macOS se bloque lorsque GSLB est activé sur une appliance Citrix ADC.

    [CGOP-22722]

  • La commande « show vpn icaconnection » n’affiche pas correctement les numéros de série des connexions ICA. Ce problème se produit car le numéro de série est réinitialisé arbitrairement lorsque la commande « show vpn icaconnection » est exécutée.

    [CGOP-22205]

Citrix Web App Firewall

  • Une fuite de mémoire se produit dans une appliance Citrix ADC lorsque vous configurez cookieHijackingAction le blocage, l’enregistrement ou les statistiques.

    [NSHELP-33187]

Équilibrage de charge

  • L’appliance Citrix ADC ne répond pas avec l’adresse IP de service correcte pour la requête de domaine GSLB si les paramètres suivants sont configurés sur le serveur virtuel GSLB :

    1. L’option ECS est activée.
    2. La proximité statique est configurée comme méthode d’équilibrage de charge.

    [NSHELP-32879]

  • Une appliance Citrix ADC peut se bloquer lors d’une configuration claire si des entrées de persistance sont présentes et qu’un grand nombre de serveurs virtuels d’équilibrage de charge factices et de serveurs virtuels de groupe sont configurés.

    [NSHELP-30051]

Mise en réseau

  • Dans une configuration de cluster Citrix ADC BLX, VTYSH peut ne pas démarrer si la condition suivante est remplie :

    • L’hôte Linux est redémarré, provoquant une boucle de commande du processus Citrix ADC BLX Route Health Injection (RHI).

    [NSHELP-32473]

  • Lorsque vous supprimez un serveur virtuel, l’appliance Citrix ADC définit de manière incorrecte l’état VIP RHI associé sur DOWN si les conditions suivantes sont remplies :

    • Le serveur virtuel possède des serveurs virtuels de sauvegarde.
    • Le serveur virtuel est à l’état DOWN et au moins un serveur virtuel de sauvegarde est à l’état UP.

    [NSHELP-29972]

SSL

  • L’interface graphique Citrix ADC, accessible via une adresse IP de cluster (CLIP), n’affiche pas les liaisons de certificats de serveur avec un serveur virtuel SSL.

    [NSHELP-31602]

  • La vérification de la réponse OCSP peut échouer lors d’une interception SSL si aucun certificat CA valide n’est présent dans le bundle de certificats par défaut. L’échec se produit parce que la vérification de la réponse OCSP a été effectuée de manière incorrecte en utilisant le bundle de certificats par défaut au lieu du bundle de certificats configuré.

    [NSHELP-30594]

System

  • Une appliance Citrix ADC peut se bloquer lorsqu’elle tente d’accéder aux ressources de l’ICAP libéré. Cette condition se produit lorsque l’ICAP est en mode de modification de réponse (RESPMOD).

    [NSHELP-33403]

  • L’appliance Citrix ADC n’est pas en mesure d’envoyer des données Logstream à partir de partitions de manière cohérente.

    [NSHELP-33237]

  • L’appliance Citrix ADC interrompt la connexion lorsqu’elle ne parvient pas à analyser la valeur fragmentée. Ce problème se produit lorsque l’en-tête Transfer-Encoding comporte plusieurs valeurs et que Chunked n’est pas la première valeur.

    [NSHELP-32420]

  • L’appliance Citrix ADC configurée avec un service SSL se bloque lorsque l’appliance reçoit un paquet de contrôle TCP FIN suivi d’un paquet de contrôle TCP RESET.

    [NSHELP-31656]

  • Une appliance Citrix ADC n’est pas en mesure de tracer une connexion ICA. La raison de ce problème est que, lors de la capture de paquets, « nstrace » exclut certains paquets lorsque des filtres IP ou PORT sont utilisés avec « start nstrace ».

    [NSHELP-29009]

Interface utilisateur

  • La page de licence du service de gestion n’actualise pas les informations de licence regroupées lorsque vous visitez le nœud de licence ou que vous les actualisez. Au lieu de cela, les informations de licence regroupées sont actualisées uniquement lorsque vous vous déconnectez puis que vous vous reconnectez.

    [NSHELP-33203]

  • Lorsqu’un utilisateur consulte la liaison dans une stratégie de commutation de contenu, les détails du serveur virtuel de commutation de contenu ne s’affichent pas sur la même ligne sous Afficher les liaisons.

    [NSHELP-33149]

  • Prise en charge de l’option de mise hors tension dans l’API NITRO d’arrêt

    L’API shutdown NITRO prend désormais en charge l’option « -p now » pour arrêter et mettre hors tension une appliance Citrix ADC.

    Exemple :

    Dans l’exemple suivant de requête curl, l’API shutdown NITRO est utilisée avec l’option « -p now » pour arrêter et mettre hors tension une appliance Citrix ADC dont l’adresse IP est 192.0.0.33.

    curl -v -X POST -H Content-Type: application/json -u nsroot:examplepassword [http://192.0.0.33/nitro/v1/config/install?warning=yes](http://192.0.0.33/nitro/v1/config/install?warning=yes) -d '{"shutdown": {"args":"-p now"}}'

    [NSHELP-32915]

  • Lorsqu’un utilisateur lie une stratégie de trafic à un serveur virtuel de commutation de contenu ou d’équilibrage de charge, les détails de liaison n’apparaissent pas dans l’interface graphique.

    [NSHELP-32751]

  • Dans une appliance Citrix ADC dotée de partitions d’administration, le paramètre « ns » défini dans la partition est perdu après un redémarrage. Cette condition se produit en raison d’une configuration intégrée incorrecte.

    [NSHELP-32486]

  • Dans l’interface graphique Citrix ADC, s’il existe une destination de trap SNMP existante sous System>SNMP>Traps, la modification de cette destination échoue avec le message d’erreur suivant :

    • « Erreur lors de la récupération du trap SNMP »

    [NSHELP-31661]

  • Dans une configuration à haute disponibilité, les configurations chiffrées sont perdues sur le nœud secondaire après la synchronisation de la configuration HA.

    [NSHELP-30897]

Problèmes connus

Les problèmes qui existent dans la version 13.0-89.7.

Authentification, autorisation et audit

  • L’authentification unique (SSO) échoue si l’authentification unique est activée pour le trafic qui ne possède pas le jeton porteur requis pour gérer l’authentification unique.

    [NSHELP-31362]

  • Les caractères non-ASCII sont enregistrés dans nsvpn.log lorsque l’action LDAP est configurée sur un nom de domaine complet au lieu d’une adresse IP.

    [NSHELP-27281]

  • Dans certains scénarios, la commande de groupe d’authentification, d’autorisation et d’audit de liaison peut échouer si le nom de la stratégie est plus long que le nom de l’application intranet.

    [ NSHELP-25971 ]

  • L’appliance Citrix ADC vide le cœur lorsque NOAUTH est configuré comme premier facteur et Negotiate comme facteur suivant dans le flux d’authentification basé sur 401.

    [NSHELP-25203]

  • Si le mot de passe administrateur des services LDAP, RADIUS ou TACACS contient le caractère entre guillemets («), l’appliance Citrix ADC le supprime lors de la vérification « Test de connectivité », ce qui entraîne un échec de connexion.

    [NSHELP-23630]

  • L’authentification DUO échoue si la fonctionnalité Content Security Policy (CSP) est activée sur l’appliance Citrix ADC.

    [ NSAUTH-12687 ]

  • Les administrateurs ne peuvent pas effectuer de journalisation personnalisée des échecs d’authentification dus à des informations d’identification non valides. Ce problème se produit car les stratégies de réponse Citrix ADC ne détectent pas les erreurs liées aux échecs de connexion.

    [ NSAUTH-11151 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    show adfsproxyprofile <profile name>

    Solution : connectez-vous au Citrix ADC actif principal du cluster et exécutez la show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

Appliance Citrix ADC SDX

  • Lorsque vous mettez à niveau une appliance Citrix ADC SDX, dans de rares cas, l’événement incorrect suivant apparaît dans l’interface graphique du service de gestion :

    « La version SVM et la version Hypervisor ne sont pas compatibles »

    [NSHELP-32949]

  • Sur une interface graphique Citrix ADC SDX, l’affichage des serveurs NTP peut geler l’interface utilisateur si le fichier de configuration NTP (ntp.conf) ne contient que des espaces dans l’une des lignes.

    [NSHELP-31530]

Citrix Gateway

  • Lorsque les valeurs de registre associées à Citrix Secure Access sont supérieures à 1 500 caractères, le collecteur de journaux ne parvient pas à recueillir les journaux d’erreurs.

    [NSHELP-33457]

  • Le client Citrix Secure Access, version 21.7.1.2 et versions ultérieures, ne parvient pas à effectuer la mise à niveau vers des versions ultérieures pour les utilisateurs ne disposant pas de droits d’administration. Ce problème ne s’applique que si la mise à niveau du client Citrix Secure Access est effectuée à partir d’une appliance Citrix ADC.

    [NSHELP-32793]

  • Lorsque les utilisateurs cliquent sur l’onglet Page d’accueil de l’écran Citrix Secure Access pour Windows, la page affiche l’erreur de refus de connexion.

    [NSHELP-32510]

  • Sur un appareil Mac utilisant Chrome, l’extension VPN se bloque lors de l’accès à deux noms de domaine complets.

    [NSHELP-32144]

  • Le contrôle de journalisation des débogues pour le client Citrix Secure Access est désormais indépendant de Citrix Gateway et peut être activé ou désactivé depuis l’interface utilisateur du plug-in pour la machine et le tunnel utilisateur.

    [NSHELP-31968]

  • Parfois, l’ouverture de session automatique de Windows ne fonctionne pas lorsqu’un utilisateur se connecte à l’ordinateur Windows en mode de service permanent. Le tunnel de la machine ne passe pas au tunnel utilisateur et au message « Connexion… » s’affiche dans l’interface utilisateur du plug-in VPN.

    [NSHELP-31357, CGOP-21192]

  • Lorsque Always on est configuré, le tunnel utilisateur échoue en raison du numéro de version incorrect (1.1.1.1) dans le fichier aoservice.exe.

    [ NSHELP-30662 ]

  • Les utilisateurs ne peuvent pas se connecter à l’appliance Citrix Gateway après avoir changé le paramètre de profil « NetworkAccessonVPNFailure » de « FullAccess » à « OnlyToGateway ».

    [NSHELP-30236]

  • La page d’accueil de la passerelle ne s’affiche pas immédiatement après que le plug-in de passerelle a réussi à établir le tunnel VPN. Pour résoudre ce problème, la valeur de registre suivante est introduite.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Type: DWORD

    Par défaut, cette valeur de registre n’est ni définie ni ajoutée. Lorsque la valeur de « SecureChannelResetTimeoutSeconds » est 0 ou n’est pas ajoutée, le correctif pour gérer le délai ne fonctionne pas, ce qui est le comportement par défaut. L’administrateur doit définir ce registre sur le client pour activer le correctif (c’est-à-dire afficher la page d’accueil immédiatement après que le plug-in de passerelle ait établi le tunnel VPN avec succès).

    [NSHELP-30189]

  • Le client VPN Windows n’honore pas l’alerte « Notification de fermeture SSL » du serveur et envoie la demande de connexion de transfert sur la même connexion.

    [NSHELP-29675]

  • L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

    [ NSHELP-28551 ]

  • Parfois, un utilisateur est déconnecté de Citrix Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

    [ NSHELP-28404 ]

  • L’appliance Citrix Gateway peut se bloquer lors du traitement du trafic UDP initié par le serveur.

    [ NSHELP-27611 ]

  • L’appliance Citrix Gateway peut se bloquer si l’async est bloquée et que vous modifiez la configuration de la stratégie de commutation de contenu.

    [NSHELP-27570]

  • L’appliance Citrix Gateway peut se bloquer si une option de client VPN inconnue est définie dans la stratégie de session.

    [NSHELP-27380]

  • Lors de la création d’un profil client RDP à l’aide de l’interface graphique Citrix ADC, un message d’erreur apparaît lorsque les conditions suivantes sont remplies :

    • Une clé pré-partagée (PSK) par défaut est configurée.
    • Vous essayez de modifier le minuteur de validité du cookie RDP dans le champ Validité du cookie RDP (secondes).

    [ NSHELP-25694 ]

  • Le plug-in EPA pour Windows n’utilise pas le proxy configuré de la machine locale et se connecte directement au serveur de passerelle.

    [ NSHELP-24848 ]

  • Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.

    [ NSHELP-23937 ]

  • La sortie de la commande « show tunnel global » inclut des noms de politiques avancés. Auparavant, la sortie n’affichait pas les noms de stratégie avancés.

    Exemple :

    Nouvelle sortie :

    show tunnel Nom
    de la politique globale : ns_tunnel_nocmp Priorité : 0

    Nom de la politique : ns_adv_tunnel_nocmp Type : Politique avancée
    Priorité : 1 Point de
    liaison global : REQ_DEFAULT

    Nom de la politique : ns_adv_tunnel_msdocs Type : Politique avancée
    Priorité : 100 Point de liaison
    global : RES_DEFAULT
    Terminé

    Sortie précédente :

    Afficher le tunnel Nom
    de la politique globale : ns_tunnel_nocmp Priorité : 0 Désactivé

    Stratégies avancées :

    Point de liaison global : REQ_DEFAULT
    Nombre de politiques liées : 1

    Terminé

    [ NSHELP-23496 ]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • L’option du système d’exploitation Windows n’est pas répertoriée dans la liste déroulante Expression Editor pour les stratégies de pré-authentification et les actions d’authentification sur l’interface graphique de Citrix ADC. Toutefois, si vous avez déjà configuré le scan du système d’exploitation Windows sur une version précédente de Citrix ADC à l’aide de l’interface graphique ou de l’interface de ligne de commande, la mise à niveau n’a aucun impact sur les fonctionnalités. Vous pouvez utiliser l’interface de ligne de commande pour apporter des modifications, si nécessaire.

    Solution :

    Utilisez les commandes CLI pour la configuration.

    • Pour configurer l’action EPA avancée dans l’authentification nFactor, utilisez la commande suivante.
      ajouter l’authentification EPAAction adv_win_scan -csecexpr « sys.client_expr (« SYS_0_Win-OS_Name_Anyof_Win-10 [COMMENTAIRE : système d’exploitation Windows] ») »
    • Pour configurer une action de pré-authentification classique, utilisez les commandes suivantes.
      add aaa preauthenticationaction win_scan_action ALLOW
      add aaa preauthenticationpolicy win_scan_policy « CLIENT.SYSTEM (‘Win-OS_Name_Anyof_Win-10 [COMMENTAIRE : système d’exploitation Windows] ‘) EXISTE » win_scan_action

    [COP-22966]

  • Dans une configuration de cluster Citrix ADC, HDX Insight et Gateway Insight ne peuvent pas être activés simultanément.

    [CGOP-22849]

  • L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.

    [ CGOP-13621 ]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [ CGOP-13511 ]

  • Lors de l’acceptation des connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

    [ CGOP-13050 ]

  • Le texte « Page d’accueil » dans l’ application Citrix SSO > Page d’accueil est tronqué dans certaines langues.

    [ CGOP-13049 ]

  • Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, le fait de cliquer sur Options dans le menu Paramètres affiche une boîte de dialogue Erreur critique . De plus, la page ne répond plus.

    [ CGOP-7269 ]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • Dans certains scénarios, les serveurs liés à un groupe de services affichent une valeur de cookie non valide. Vous pouvez voir la valeur de cookie correcte dans les journaux de suivi.

    [NSHELP-21196]

  • Dans une configuration de cluster, l’adresse IP du service GSLB n’est pas affichée dans l’interface graphique lorsqu’on y accède via des liaisons de serveurs virtuels GSLB. Il ne s’agit que d’un problème d’affichage et il n’y a aucun impact sur la fonctionnalité.

    [ NSHELP-20406 ]

Divers

  • L’appliance Citrix ADC définit la taille de la mémoire tampon pour la fonction de journalisation du serveur Web sur une valeur par défaut incorrecte de 3 Mo au lieu de 16 Mo.

    [NSHELP-32429]

  • Le registre de liste AlwaysOnAllow ne fonctionne pas comme prévu si la valeur du registre est supérieure à 2000 octets.

    [NSHELP-31836]

  • L’instance Citrix ADC CPX, exécutée sur un système Linux avec une architecture 64 bits et 1 To de stockage de fichiers, peut maintenant charger des fichiers de certificat et de clé.

    [NSHELP-28986]

Mise en réseau

  • Dans une appliance Citrix ADC BLX, le NSVLAN lié à des interfaces non dpdk balisées peut ne pas fonctionner comme prévu. Le NSVLAN lié à des interfaces non dpdk non balisées fonctionne correctement.

    [NSNET-18586]

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :

    • Désactiver
    • Activer
    • Réinitialiser

    [ NSNET-16559 ]

  • Sur un hôte Linux basé sur Debian (Ubuntu version 18 et versions ultérieures), une appliance Citrix ADC BLX est toujours déployée en mode partagé, quels que soient les paramètres du fichier de configuration BLX (« /etc/blx/blx.conf »). Ce problème se produit car « mawk », qui est présent par défaut sur les systèmes Linux basés sur Debian, n’exécute pas certaines des commandes awk présentes dans le fichier « blx.conf ».

    Solution : installez « gawk » avant d’installer une appliance Citrix ADC BLX. Vous pouvez exécuter la commande suivante dans la CLI de l’hôte Linux pour installer « gawk » :

    • apt-get install gawk

    [ NSNET-14603 ]

  • L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get install libc6:i386

    [NSNET-14602]

  • Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • Le module LSN ne trouve pas le service lors de la décrémentation du nombre de références ou de la suppression du service.

    [NSHELP-29134]

  • Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • En raison d’une entrée de filtrage obsolète.

    [NSHELP-28895]

  • Dans un déploiement NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • Le module LSN a accédé à l’emplacement mémoire d’un service déjà supprimé.

    [NSHELP-28815]

  • Dans une configuration haute disponibilité, l’adresse SNIP activée pour le routage dynamique n’est pas exposée à VTYSH au redémarrage si la condition suivante est remplie :

    • Une adresse SNIP activée pour le routage dynamique est liée au VLAN partagé dans une partition autre que celle par défaut.

    Dans le cadre du correctif, l’appliance Citrix ADC n’autorise plus la liaison d’une adresse SNIP activée pour le routage dynamique au VLAN partagé dans une partition autre que par défaut

    [NSHELP-24000]

Plateforme

  • Le basculement haute disponibilité ne fonctionne pas dans les clouds AWS et GCP. Le processeur de gestion peut atteindre sa capacité de 100 % dans les clouds AWS et GCP, et Citrix ADC VPX sur site. Ces deux problèmes sont provoqués lorsque les conditions suivantes sont remplies :

    1. Lors du premier démarrage de l’appliance Citrix ADC, vous n’enregistrez pas le mot de passe demandé.
    2. Par la suite, vous redémarrez l’appliance Citrix ADC.

    [NSPLAT-22013]

  • Certains packages Python ne sont pas installés lorsque vous rétrogradez l’appliance Citrix ADC de la version 13.1-4.x et des versions supérieures vers l’une des versions suivantes :

    • Toute version 11.1
    • 12.1-62.21 et versions antérieures
    • 13.0-81.x et versions antérieures

    [NSPLAT-21691]

  • Sur la plate-forme Citrix ADC SDX 8015/8400/8600, vous pouvez constater une augmentation de la consommation de mémoire sur Xen Server.
    Solution : exécutez la commande suivante sur Xen Server, puis redémarrez l’appliance.
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [NSHELP-32260]

  • Lors du basculement Citrix ADC VPX HA, le mouvement d’adresse IP Elastic dans le cloud AWS échoue si vous configurez un IPset sans lier l’IPset à une adresse IP.

    [ NSHELP-29425 ]

  • Le basculement HA pour l’instance Citrix ADC VPX sur le cloud GCP et AWS échoue lorsque le mot de passe d’un nœud RPC contient un caractère spécial.

    [ NSHELP-28600 ]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

SSL

  • Lorsqu’un serveur virtuel reçoit un enregistrement TLS 1.3 dont le remplissage n’est pas valide, il envoie une alerte fatale « decode_error » au lieu d’une alerte « message inattendu ».

    [NSSSL-11890]

  • Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation de la CRL désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

System

  • Dans une appliance Citrix ADC, la valeur par défaut du paramètre « MaxHeaderFieldLen » dans le profil HTTP entraîne le problème suivant.

    • Échec du trafic après la mise à niveau vers la version 13.0

    [NSHELP-32079]

  • Un RTT élevé est observé pour une connexion TCP si la condition suivante est remplie :

    • une fenêtre de congestion maximale élevée (> 4 Mo) est définie
    • L’algorithme TCP NILE est activé

    Pour qu’une appliance Citrix ADC utilise l’algorithme NILE pour contrôler la congestion, les conditions doivent dépasser le seuil de démarrage lent, associé à la fenêtre de congestion maximale

    Ainsi, jusqu’à ce que la fenêtre de congestion maximale configurée soit atteinte, Citrix ADC continue d’accepter les données et se retrouve avec un RTT élevé.

    [NSHELP-31548]

  • Une appliance Citrix ADC peut se bloquer lorsque la condition suivante est remplie :

    • Le profil d’analyse et la politique AppFlow sont liés, et l’option « HttpAllHDRS » est activée dans le profil.

    [NSHELP-30628]

  • L’appliance Citrix ADC signale une fausse alarme SNMP sur les compteurs d’inondation SYN de service.

    [NSHELP-28710, NSHELP-28713]

  • Une augmentation des retransmissions de paquets est observée dans les déploiements de clusters MPTCP dans le cloud public si le jeu de liens est désactivé.

    [NSHELP-27410]

  • Une appliance Citrix ADC peut envoyer un paquet TCP non valide avec des options TCP telles que des blocs SACK, un horodatage et un ACK de données MPTCP sur les connexions MPTCP.

    [ NSHELP-27179 ]

  • Une incompatibilité entre les enregistrements Logstream est observée dans l’appliance Citrix ADC et le chargeur de données.

    [ NSHELP-25796 ]

  • Dans certains scénarios, la capture de paquets nstrace omet tous les paquets si vous appliquez le filtre basé sur l’adresse IP.

    [ NSHELP-23483 ]

  • Lorsque vous installez Citrix ADM sur un cluster Kubernetes, il ne fonctionne pas comme prévu car les processus requis peuvent ne pas s’exécuter.

    Solution : redémarrez le module Gestion.

    [ NSBASE-15556 ]

  • Dans une configuration de cluster, un nœud avec la priorité CCO est déconnecté d’Open vSwitch (OVS) en raison de problèmes de réseau. Une fois que le nœud a rejoint la configuration du cluster, il ne reçoit pas le dernier cookie SYN.

    [NSBASE-14419]

Interface utilisateur

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPSec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

  • La modification d’un itinéraire statique à l’aide de l’interface graphique Citrix ADC (système > réseau > routes) peut échouer de manière incorrecte avec le message d’erreur suivant :

    • « Argument requis manquant [passerelle] »

    [NSHELP-32024]

  • Dans une configuration HA/Cluster, la synchronisation de la configuration échoue si vous avez configuré des clés SSH autres que RSA. Par exemple, les clés ECDSA ou DSA.

    [NSHELP-31675]

  • Dans une appliance Citrix ADC, la liaison de la stratégie de cache pour remplacer globale ou globale par défaut à l’aide de l’interface utilisateur graphique échoue avec l’erreur suivante :

    • Argument obligatoire manquant.

    Cette erreur n’apparaît pas lors de la liaison de la stratégie de cache à l’aide de l’interface CLI.

    [ NSHELP-30826 ]

  • En raison d’une séquence d’installation de mise à niveau incorrecte, le problème suivant se produit dans l’appliance Citrix ADC.

    • L’image du noyau est d’abord mise à jour et après quelques étapes, les clés de chiffrement sont copiées. Entre ces étapes, une défaillance se produit et l’appliance ADC affiche une nouvelle image. Les clés de chiffrement manquantes dans la nouvelle image entraînent un échec du déchiffrement et une configuration manquante.

    [NSHELP-30755]

  • L’interface graphique Citrix ADC peut générer de manière incorrecte un ensemble de support technique de cluster d’un seul nœud au lieu de tous les nœuds du cluster.

    [NSHELP-28606]

  • La génération d’un bundle de support technique de cluster à l’aide de l’interface graphique Citrix ADC peut échouer avec une erreur.

    [NSHELP-28586]

  • Après la mise à niveau d’une installation haute disponibilité ou d’une configuration de cluster vers la version 13.0 build 74.14 ou ultérieure, la synchronisation de la configuration peut échouer pour la raison suivante :

    • La paire de clés privée et publique « ssh_host_rsa_key » est incorrecte.

    Solution : régénérez « ssh_host_rsa_key ». Pour de plus amples informations, consultez l’article https://support.citrix.com/article/CTX322863.

    [ NSHELP-27834 ]

  • Vous ne pouvez pas lier un service ou un groupe de services à un serveur virtuel d’équilibrage de charge prioritaire à l’aide de l’interface graphique Citrix ADC.

    [ NSHELP-27252 ]

  • Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

    • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

    Solution : effectuez un basculement HA manuel successif uniquement une fois la synchronisation HA terminée (les deux nœuds sont en état de réussite de la synchronisation).

    [ NSHELP-25598 ]

  • La synchronisation des signatures du pare-feu d’application avec des nœuds non CCO peut parfois prendre beaucoup de temps. Par conséquent, les commandes utilisant ces fichiers peuvent échouer.

    [NSCONFIG-4330]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

    1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions
      • 13.0 52.24 build
      • 12.1 57.18 build
      • 11.1 65.10 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système
    à l’aide de l’interface de ligne de commande, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution : Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

    [NSCONFIG-3188]

Notes de publication pour la version 13.0-89.7 de Citrix ADC
December 28, 2022
Contributeur: 
C
December 28, 2022
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement
© 1999- Cloud Software Group, Inc. All rights reserved.