Citrix ADC

Notes de publication pour la version 13.1 à 12.51 de Citrix ADC

Ce document de notes de version décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent pour la version Citrix ADC Build 13.1—12.51.

Les versions 13.1—12.51 remplacent les builds 13.1—12.50.

Cette version inclut également un correctif pour le problème suivant : NSWAF-8668.

Remarques

Ce document de notes de mise à jour n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.

Nouveautés

Améliorations et modifications disponibles dans les versions 13.1 à 12.51.

Authentification, autorisation et audit

Prise en charge des dernières versions des API NAC Intune

La prise en charge de Citrix Gateway pour Intune Network Access Control (NAC) est désormais améliorée pour les dernières versions des API NAC Intune.

[ NSAUTH-9722 ]

Prise en charge du déploiement actif-actif GSLB pour l’authentification nFactor à l’aide du proxy de connexion

La prise en charge est désormais ajoutée pour le déploiement actif-actif GSLB pour l’authentification nFactor à l’aide du proxy de connexion. Cette prise en charge s’applique à la fois à Citrix Gateway et aux scénarios d’authentification, d’autorisation et d’audit. Actuellement, si divers facteurs sont configurés dans l’authentification nFactor et si la passerelle est configurée pour GSLB, l’authentification peut être interrompue si la demande du client atterrit sur différents sites GSLB.

Par exemple, si LDAP est configuré en tant que premier facteur et RADIUS en tant que deuxième facteur, l’authentification peut être interrompue dans le scénario suivant.

  • Demande du client pour LDAP atterrir sur le site GSLB 1.
  • La demande Radius atterrit sur le site 2 du GSLB. Le proxy de connexion est désormais utilisé pour acheminer la demande vers les sites GSLB appropriés afin de terminer l’authentification et de servir le trafic.

[ NSAUTH-7141 ]

Appliance SDX Citrix ADC

Sur une appliance Citrix ADC SDX, le service de gestion interroge les instances Citrix ADC en arrière-plan pour des opérations, telles que les certificats SSL, les fonctions réseau et l’audit de configuration. Vous pouvez désormais activer et désactiver ce sondage en fonction de vos besoins. La désactivation de ce sondage améliore les performances du service de gestion et des instances ADC.

[ NSSVM-4991 ]

Citrix Web App Firewall

Journalisation détaillée pour les contrôles de sécurité JSON (SQL, CMD et XSS)

L’appliance Citrix ADC vous permet désormais de configurer un paramètre de niveau de journal détaillé pour les détails de violation de journalisation tels que le modèle, la charge utile du modèle et les détails de l’en-tête HTTP pour les contrôles de sécurité JSON. Les détails du journal sont ensuite envoyés au serveur Citrix ADM à des fins de surveillance et de dépannage. Le message de consignation verbeux n’est pas stocké dans le fichier ns.log.

[ NSWAF-8269 ]

Stratégies de journal d’audit Web App Firewall Classic obsolètes

Pour lier globalement les stratégies de Web App Firewall, un nouveau type de liaison global APPFW_GLOBAL est désormais configurable dans les commandes bind audit syslogGlobal et bind audit nslogGlobal. Les stratégies de journal d’audit liées globales sont évaluées dans le contexte de journalisation du Web App Firewall.

[ NSWAF-406 ]

Équilibrage de charge

Prise en charge des politiques de réécriture pour le protocole MQTT

La fonction de réécriture prend désormais en charge le protocole MQTT. Vous pouvez configurer la stratégie de réécriture pour effectuer des actions en fonction des paramètres des demandes du client MQTT et des réponses du serveur.

[ NSLB-8661 ]

Ordre de priorité pour les services

La fonction Ordre de priorité pour les services vous permet de hiérarchiser l’ordre des services ou des groupes de services en fonction des préférences de sélection de l’équilibrage de charge. Vous pouvez désormais configurer l’ordre de sélection des services lorsque vous liez les services ou les groupes de services aux serveurs virtuels LB ou GSLB. Un nouveau paramètre, -order, <number> est ajouté aux commandes de liaison pour configurer la préférence de sélection de service.

Par défaut, le numéro de commande le plus bas a la priorité la plus élevée. Toutefois, vous pouvez différer ce comportement de sélection par défaut. À l’aide des nouvelles commandes d’action et de stratégie LB, vous pouvez désormais configurer l’ordre de sélection des services en fonction du trafic client entrant.

La fonction d’ordre de priorité pour les services imite le comportement de la fonctionnalité de chaîne de serveurs virtuels principale et de sauvegarde avec moins de commandes de configuration.

[ NSLB-8039 ]

Mise en réseau

Insérez l’adresse IP du client dans l’en-tête externe du tunnel IP pour une configuration d’équilibrage de charge sans session

Dans une configuration d’équilibrage de charge sans session avec les paramètres suivants, l’appliance Citrix ADC d’encapsulation utilise une adresse SNIP au lieu de l’adresse IP du client comme adresse IP source dans l’en-tête externe du tunnel IP.

  • Serveur virtuel d’équilibrage de charge :

  • mode de redirection (m) : tunnel IP
  • sans session : activé

  • Paramètre global du tunnel IP :

  • utiliser l’adresse IP source du client (UseClientSourceIP) : activé

Toutefois, dans certains scénarios, le décapsulateur de tunnel (un Citrix ADC principal ou un serveur principal) doit connaître l’adresse IP du client.

Pour répondre à cette exigence, l’appliance Citrix ADC d’encapsulation utilise désormais l’adresse IP du client comme adresse IP source dans l’en-tête externe du tunnel IP.

Pour plus d’informations, consultez Configurer l’équilibrage de charge en mode DSR à l’aide d’IP sur IP.

[ NSNET-21804 ]

Plateforme

L’image VMware ESXi démarre jusqu’à la version matérielle virtuelle 13

Lorsque vous déployez une instance Citrix ADC VPX à partir de l’image VMware ESXi (à partir de la version 12.1), la machine virtuelle fournit par défaut la version matérielle 13.

[ NSPLAT-21416 ]

Prise en charge des séries de contrôleurs Ethernet Intel X710 et XL710 sur Citrix Hypervisor

Vous pouvez désormais configurer une instance Citrix ADC VPX exécutée sur Citrix Hypervisor à l’aide de la virtualisation des E/S racine unique (SR-IOV) avec les cartes réseau suivantes :

  • Intel X710 10 Go
  • Intel XL710 40 Go

[ NSPLAT-21410 ]

Déployez une paire haute disponibilité VPX à l’aide d’adresses IP privées avec un VPC partagé AWS

Vous pouvez désormais déployer une paire haute disponibilité VPX à l’aide d’adresses IP privées sur différentes zones AWS avec des Clouds privés virtuels (VPC) partagés AWS. Le partage de VPC permet à plusieurs comptes AWS de créer leurs ressources d’application dans des VPC partagés et gérés de manière centralisée. Vous pouvez créer des instances Citrix ADC VPX dans un VPC partagé AWS. Le VPC partagé réduit le nombre de VPC que vous créez et gérez, tout en utilisant des comptes distincts pour la facturation et le contrôle d’accès.

[ NSPLAT-21401 ]

SSL

Nouvelle expression pour détecter les logiciels malveillants basée sur l’empreinte digitale SSL JA3

Une nouvelle expression SSL, CLIENT.SSL.JA3_FINGERPRINT, est ajoutée pour aider à identifier toute demande malveillante en comparant la demande à l’empreinte digitale JA3 configurée.

Exemple : add ssl policy ja3_pol -rule "CLIENT.SSL.JA3_FINGERPRINT.EQ(bb4c15a90e93a25ddc16274395bce4c6)" -action reset

[ NSSSL-10156 ]

Prise en charge de bundle de certificats dans le cluster

Les bundles de certificats sont désormais pris en charge dans une configuration de cluster.

[ NSSSL-9854 ]

Prise en charge du bundle de certificats SSL

La fonctionnalité de bundle de certificats a été améliorée pour traiter le lot en tant qu’entité. Il n’est donc pas nécessaire de créer des fichiers pour chaque certificat intermédiaire. Deux bundles de certificats peuvent désormais partager une partie de la chaîne de certificats intermédiaires. Vous pouvez également ajouter une paire de clés de certificat à l’aide du même certificat de serveur et de la même clé qui font également partie d’un bundle de certificats. La suppression du bundle de certificats est également simplifiée.

Auparavant, l’ajout d’un bundle de certificats ajoutait plusieurs commandes dans la configuration. Vous ne pouvez pas ajouter un autre bundle de certificats si deux ensembles partageaient un certificat intermédiaire commun. La suppression était également un processus manuel.

[ NSSSL-9425 ]

System

Les commandes liées à l’injection html ont été supprimées dans la version 13.1. Cette modification supprime tout le code principal.

[ NSBASE 14742 ]

Problèmes résolus

Les problèmes qui sont traités dans les versions 13.1 à 12.51.

Authentification, autorisation et audit

L’appliance Citrix ADC se bloque si l’OTP de messagerie est configuré.

[ NSHELP-29312 ]

L’outil de chiffrement OTP natif n’autorise pas les caractères spéciaux dans le nom de l’appareil.

[ NSHELP-28795 ]

Lorsque vous vous connectez à l’appliance Citrix ADC, un champ de mot de passe vide s’affiche lorsque les deux conditions suivantes sont remplies.

  • L’authentification à deux facteurs Duo est configurée
  • Le thème du portail RFWebUI est utilisé

[ NSHELP-27868 ]

L’accès à un service est refusé si les conditions suivantes sont remplies :

  • Le service est lié à un serveur virtuel d’authentification.
  • L’authentification 401 est configurée sur le service et le serveur virtuel auquel le service est lié.

[ NSHELP-26903 ]

Dans de rares cas, le nœud secondaire d’une configuration haute disponibilité peut se bloquer si la condition suivante est remplie.

  • Les aaa groups et/ou aaa users sont configurés sur l’appliance Citrix ADC.

[ NSHELP-26732 ]

Si le mot de passe administrateur pour les services LDAP, RADIUS ou TACACS contient le caractère entre guillemets (“), l’appliance Citrix ADC le supprime pendant la vérification de Test Connectivity, ce qui entraîne un échec de connexion.

[ NSHELP-23630 ]

Appliance SDX Citrix ADC

Sur les plates-formes Citrix ADC SDX 14000-40G, 15000 et 15000-50G, la définition de la vitesse d’interface à l’aide de l’interface de ligne de commande échoue.

[ NSHELP-29388 ]

Lorsque vous modifiez le profil sur une instance ADC hébergée sur la plate-forme Citrix ADC SDX, vous pouvez remarquer certaines entrées supplémentaires pour la commande save config dans le fichier journal.

[ NSHELP-29343 ]

Sur une appliance Citrix ADC SDX, un agent SNMP exécuté dans le service de gestion renvoie un code d’erreur incorrect pour les OID non existants.

[ NSHELP-29209 ]

Les données de la table d’événements ADC peuvent désormais être triées sur plusieurs pages si le nombre total d’enregistrements de données est inférieur à 5 000.

[ NSHELP-29170 ]

Citrix Gateway

L’appliance Citrix ADC peut se bloquer si l’EPA est configuré et si la mémoire n’est pas disponible en quantité suffisante.

[ NSHELP-28329 ]

Le répertoire /var/NetScaler/logon/LogonPoint/custom/ n’est pas créé après une mise à niveau si le répertoire n’était pas présent initialement.

[ NSHELP-28223 ]

Vous pouvez voir une ligne supplémentaire pour les journaux NS_AUDITLOG_STR* dans le fichier ns_aaa_json.c.

[ NSHELP-28160 ]

L’enregistrement DNS ne fonctionne pas une fois la connexion VPN établie.

Pour résoudre ce problème, vous devez activer le potentiomètre nsapimgr, nsapimgr_wr.sh -ys call=toggle_vpn_configured_dns_disable_override.

[ NSHELP-27760 ]

Parfois, lors de la connexion au transfert, les sous-réseaux IP Intranet s’affichent incorrectement côté client.

[ NSHELP-26904 ]

La latence ICA d’une session est enregistrée de manière incorrecte à 64 000 ms dans Citrix Director lorsque la latence L7 est activée. La latence L7 est activée lorsque le potentiomètre nsapimgr enable_ica_l7_latency est réglé sur 1.

[ NSHELP-23459 ]

Le fichier journal Gateway Insight est inondé du message suivant lorsque les utilisateurs se connectent à l’appliance Citrix Gateway et accèdent aux applications ICA.

GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero Oct 25 23:01:31 <local0.err> 10.217.24.1Oct 25 23:01:31 <local0.err> 10.217.24.101 10/26/2021:06:01:31 GMT NSGWTHDR 0-PPE-0 : default SSLVPN Message 10491736 0 : GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero

[ CGOP-19685 ]

La fonctionnalité de signet d’entreprise du portail Citrix Gateway prend uniquement en charge les protocoles suivants. Tous les autres signets sont bloqués. http://, https://, rdp:// et ftp://.

[ CGOP-19543 ]

Citrix Web App Firewall

Si vous utilisez des signatures WAF, après la mise à niveau de la génération, vous devez mettre à jour toutes les signatures WAF, y compris les signatures par défaut, vers la dernière version. Réactivez ensuite les règles de signature requises.

[ NSWAF-8668 ]

Dans certains cas, une appliance Citrix ADC peut se bloquer lorsque des URL d’interruption sont générées automatiquement dans le système de gestion des robots.

[ NSHELP-29339 ]

Équilibrage de charge

Le groupe de services GSLB ne peut pas gérer les mises à jour du moniteur en raison d’une valeur ENUM manquante dans les commandes ayant échoué.

[ NSHELP-29050 ]

L’appliance Citrix ADC se bloque en essayant de libérer de la mémoire allouée dans une partition différente de celle dont elle est libérée.

[ NSHELP-29038 ]

Si un enregistrement DNS de type ZONE est disponible pour le domaine parent, la requête pour le domaine enfant avec un enregistrement NS existant génère un enregistrement SOA du domaine parent au lieu de l’enregistrement NS du domaine enfant.

[ NSHELP-28793 ]

L’appliance Citrix ADC peut ne pas répondre à une requête de domaine GSLB avec une adresse IP de service GSLB attendue, si le serveur virtuel GSLB est configuré comme suit : Type de persistance : Adresse IP source Algorithme d’équilibrage de charge : proximité statique Méthode d’équilibrage de charge de sauvegarde : Round temps de trajet (RTT)

[ NSHELP-28668 ]

L’état du groupe de services Autoscale basé sur le domaine d’équilibrage de charge ou GSLB reste INACTIF si vous utilisez un port générique.

[ NSHELP-28548 ]

Le dernier message de réponse ne s’affiche pas correctement pour les moniteurs liés à des groupes de services GSLB.

[ NSHELP-28393 ]

La valeur CookieTimeout n’est pas correctement définie pendant l’opération GET, ce qui entraîne l’échec de l’opération de mise à jour du serveur virtuel CS.

[ NSHELP-27979 ]

Une appliance Citrix ADC peut échouer lors de la gestion de la sonde de surveillance pour le type de moniteur mysql, ce qui entraîne finalement un redémarrage du système.

[ NSHELP-27953 ]

Divers

L’instance Citrix ADC CPX, exécutée sur un système Linux avec une architecture 64 bits et 1 To de stockage de fichiers, peut maintenant charger des fichiers de certificat et de clé.

[ NSHELP-28986 ]

La correspondance du modèle de jeu d’URL échoue pour les domaines standard IDNA2008.

[ NSHELP-28902 ]

Lorsque le transfert basé sur Mac (MBF) est activé pour VXLAN, la session TCP avec état n’était pas établie.

[ NSHELP-27125 ]

Mise en réseau

La mise à niveau d’une appliance Citrix ADC dotée de partitions d’administration peut entraîner une perte de configuration si la condition suivante est remplie :

  • Si la totalité de la mémoire système disponible est allouée aux partitions d’administration.

[ NSNET-23031 ]

LIMITATIONS -

L’ID VLAN 2 est réservé pour un usage interne

L’ID VLAN 2 est réservé pour un usage interne pour les déploiements en mode pont et aucun. Citrix ADC CPX lie toutes les interfaces, autres que le 0/1, à l’ID VLAN 2 et le MTU (Maximum Transmission Units) de l’ID VLAN 2 est défini comme égal au MTU de l’interface eth0. Si vous souhaitez configurer le VLAN et lier l’interface avec celui-ci, définissez le MTU sur le VLAN sur le MTU de l’interface tel que configuré sur Linux, si le MTU de l’interface est inférieur à 1500 octets.

[ NSNET-22807 ]

Une appliance Citrix ADC BLX en mode DPDK peut se bloquer si un profil de pare-feu d’application Web est configuré avec des contrôles de protection de sécurité avancés.

[ NSNET-22654 ]

L’appliance Citrix ADC peut se bloquer lors de la création d’une sonde de surveillance pour le service associé si les conditions suivantes sont remplies :

  • Profil réseau avec un ensemble d’adresses IP qui possède au moins une adresse IPv4 et aucune adresse IPv6. Le profil réseau est lié à un moniteur, qui est défini sur un service IPv6.
  • Profil réseau avec un ensemble d’adresses IP qui possède au moins une adresse IPv6 et aucune adresse IPv4. Le profil réseau est lié à un moniteur, défini sur un service IPv4.

[ NSHELP-29382 ]

Dans une appliance Citrix ADC, les connexions de données FTP passives peuvent être perdues après un échec d’allocation de mémoire.

[ NSHELP-26522 ]

Plateforme

Les instances Citrix ADC VPX qui utilisent le pilote VMXNET3 peuvent se bloquer de manière aléatoire si l’instance est exécutée sur l’une des versions Citrix ADC suivantes :

  • Citrix ADC 13.1 version 4.x
  • Citrix ADC 13.1 build 9.x

[ NSHELP-29120 ]

Stratégies

Une appliance Citrix ADC peut se bloquer dans les conditions suivantes :

  • Une action de message d’audit est configurée avec l’expression de générateur de chaînes avec une ou plusieurs fonctions REGEX appliquées au corps d’une demande.
  • Un profil de pare-feu d’application configuré avec l’option Streaming activée.

Par exemple, HTTP.REQ.BODY (10000000) .REGEX_SELECT (re/name=[^ \ r \ n]* [\ r \ n]+/).

[ NSHELP-27895 ]

SSL

Une appliance Citrix ADC se bloque lors du traitement d’une demande HTTP si l’action de stratégie est définie sur Forward pour une stratégie déjà liée au point de liaison de la demande.

[ NSHELP-29115 ]

Une appliance Citrix ADC se bloque si les étapes suivantes sont suivies :

  1. Un moniteur de type SSL est ajouté.
  2. Une paire de clés de certificat est liée au moniteur.
  3. Le moniteur est retiré.
  4. Un autre moniteur portant le même nom est ajouté.
  5. La paire de clés de certificat est mise à jour.

[ NSHELP-28666 ]

Toutes les adresses IP d’un certificat SAN sont désormais affichées. Auparavant, seule la dernière adresse IP SAN de toutes les adresses IP du certificat SAN était affichée.

[ NSHELP-27336 ]

L’établissement de liaison SSL échoue si vous utilisez des chiffrements DH avec un HSM externe.

[ NSHELP-25307 ]

System

Lorsqu’une appliance Citrix ADC reçoit une trame GOWAY HTTP/2 d’un client, elle réinitialise incorrectement tous les flux dont l’ID de flux est supérieur à l’ID promis (dernier identifiant de flux initié par le pair).

[ NSHELP-29328 ]

Sur un Citrix ADM, l’agent ADM peut signaler une utilisation élevée de la mémoire en raison d’un problème dans l’agent ADM.

[ NSHELP-29285 ]

L’appliance Citrix ADC se bloque lorsque toutes les conditions suivantes sont remplies :

  • Une action d’inspection de contenu, avec une adresse IP de serveur, utilise les données internes d’un service s’il est déjà configuré.
  • Par conséquent, les données internes du service sont également supprimées lorsque l’action de CI est supprimée.
  • Lorsque le service réel est supprimé, l’appliance Citrix ADC tente d’accéder et de supprimer les données internes déjà supprimées.

[ NSHELP-28293 ]

Dans une appliance Citrix ADC avec des partitions d’administration, l’utilitaire nstrace peut ne pas s’exécuter correctement dans une partition autre que celle par défaut

[ NSBASE-15738 ]

Dans une configuration de cluster, un nœud avec la priorité CCO est déconnecté d’Open vSwitch (OVS) en raison de problèmes de réseau. Une fois que le nœud a rejoint la configuration du cluster, il ne reçoit pas le dernier cookie SYN.

[ NSBASE 14419 ]

Interface utilisateur

Les instances ADC en mode cluster configurées avec une capacité groupée tombent en panne. Ce problème se produit lorsqu’un nom d’hôte est configuré dans les nœuds du cluster et si les nœuds mettent plus de temps à se connecter au serveur de licences ADM au démarrage.

[ NSHELP-28613 ]

L’interface graphique Citrix ADC peut générer de manière incorrecte un ensemble de support technique de cluster d’un seul nœud au lieu de tous les nœuds du cluster.

[ NSHELP-28606 ]

La génération d’un bundle de support technique de cluster à l’aide de l’interface graphique Citrix ADC peut échouer avec une erreur.

[ NSHELP-28586 ]

Dans une interface CLI Citrix ADC, les options de liaison des commandes ne sont pas remplies automatiquement si vous appuyez sur la touche <Tab> tout en saisissant la commande dans l’invite de commande.

Par exemple, tapez la commande suivante et lorsque vous utilisez la touche <Tab>, les objets ne sont pas remplis automatiquement.

bind authentication vserver <authvservername> -policy <Tab>.

Ici, le serveur virtuel d’authentification peut être lié à plusieurs types d’objets tels que la stratégie RADIUS, la stratégie Idappolicy, la stratégie de certificat, la stratégie TACAS, la stratégie d’authentification avancée, etc.

[ NSCONFIG-6340 ]

Problèmes connus

Les problèmes qui existent dans les versions 13.1 à 12.51.

AppFlow

HDX Insight ne signale pas d’échec du lancement d’une application provoqué par un utilisateur qui tente de lancer une application ou un bureau auquel l’utilisateur n’a pas accès.

[ NSINSIGHT-943 ]

Authentification, autorisation et audit

Dans certains cas, une fuite de mémoire est observée dans une appliance Citrix ADC si la fonctionnalité SSO est utilisée avec un serveur proxy.

[ NSHELP-27744 ]

Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

[ NSHELP-563 ]

Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

[ NSAUTH-6106 ]

Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante. show adfsproxyprofile <profile name>

Solution :

Connectez-vous au Citrix ADC actif principal dans le cluster et exécutez la commande show adfsproxyprofile <profile name>. Il afficherait l’état du profil proxy.

[ NSAUTH-5916 ]

La page Configurer le serveur LDAP d’authentification de l’interface graphique Citrix ADC ne répond plus si vous suivez les étapes suivantes :

  • L’option Tester l’accessibilité LDAP est ouverte.
  • Les informations d’identification de connexion non valides sont renseignées et envoyées.
  • Les identifiants de connexion valides sont renseignés et envoyés.

Solution :

Fermez et ouvrez l’option Tester l’accessibilité LDAP.

[ NSAUTH-2147 ]

Mise en cache

Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

[ NSHELP-22942 ]

Appliance SDX Citrix ADC

Sur une appliance Citrix ADC SDX, si le CLAG est créé sur une carte réseau Mellanox, la MAC CLAG est modifiée lorsque l’instance VPX est redémarrée. Le trafic vers l’instance VPX s’arrête après le redémarrage car la table MAC contient l’ancienne entrée MAC CLAG.

[ NSSVM-4333 ]

Sur une appliance Citrix ADC SDX, les instances ADC n’atteindront pas leur capacité maximale lorsque vous configurez le mode d’allocation de débit en rafale.

[ NSHELP-27477 ]

Les pertes de paquets sont observées sur une instance VPX hébergée sur un dispositif Citrix ADC SDX si les conditions suivantes sont remplies :

  • Le mode d’allocation du débit est en rafale.
  • Il existe une grande différence entre le débit et la capacité maximale de rafale.

[ NSHELP-21992 ]

Citrix Gateway

Dans certains cas, le code de validation du serveur échoue lorsque le certificat de serveur est approuvé. Par conséquent, les utilisateurs finaux ne peuvent pas accéder à la passerelle.

[ NSHELP-28942 ]

Parfois, après la déconnexion du VPN, le résolveur DNS ne parvient pas à résoudre les noms d’hôtes, car les suffixes DNS sont supprimés lors de la déconnexion du VPN.

[ NSHELP-28848 ]

L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

[ NSHELP-28551 ]

Parfois, un utilisateur est déconnecté de Citrix Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

[ NSHELP-28404 ]

Le plug-in Windows peut se bloquer pendant l’authentification.

[ NSHELP-28394 ]

Le plug-in EPA pour Windows n’utilise pas le proxy configuré de la machine locale et se connecte directement au serveur de passerelle.

[ NSHELP-24848 ]

Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.

[ NSHELP-23937 ]

Le plug-in VPN n’établit pas de tunnel après l’ouverture de session Windows, si les conditions suivantes sont remplies :

  • L’appliance Citrix Gateway est configurée pour la fonctionnalité Always On
  • L’appliance est configurée pour l’authentification par certificat avec une authentification à deux facteurs. off

[ NSHELP-23584 ]

Parfois, lorsque vous parcourez les schémas, le message d’erreur Cannot read property 'type' of undefined s’affiche.

[ NSHELP-21897 ]

Si vous souhaitez utiliser le VPN Always On avant la fonctionnalité d’ouverture de session Windows, il est recommandé de passer à Citrix Gateway 13.0 ou version ultérieure. Cela vous permet de tirer parti des améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

[ CGOP-19355 ]

L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.

[ CGOP-13621 ]

Le rapport Gateway Insight affiche de manière incorrecte la valeur Local au lieu de SAML dans le champ Type d’authentification pour les échecs d’erreur SAML.

[ CGOP-13584 ]

Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

[ CGOP-13511 ]

Tout en acceptant les connexions d’hôtes locaux à partir du navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

[ CGOP-13050 ]

Le texte Home Page de la page d’accueil de l’application Citrix SSO > est tronqué pour certaines langues.

[ CGOP-13049 ]

Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

[ CGOP-11830 ]

Dans Outlook Web App (OWA) 2013, le fait de cliquer sur Options dans le menu Paramètre affiche une boîte de dialogue Erreur critique . De plus, la page ne répond plus.

[ CGOP-7269 ]

Dans un déploiement de cluster, si vous exécutez la commande force cluster sync sur un nœud non CCO, le fichier ns.log contient des entrées de journal en double.

[ CGOP-6794 ]

Équilibrage de charge

Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

[ NSLB-7679 ]

Le format ServiceGroupName dans l’ entityofs interruption pour le groupe de services est le suivant : <service(group)name>?<ip/DBS>?<port>

Dans le format de déroutement, le groupe de services est identifié par une adresse IP ou un nom et un port DBS. Le point d’interrogation (?) est utilisé comme séparateur. Citrix ADC envoie l’interruption avec le point d’interrogation (?). Le format s’affiche de la même manière dans l’interface graphique Citrix ADM. C’est le comportement attendu.

[ NSHELP-28080 ]

Divers

Lorsqu’une synchronisation forcée a lieu dans une configuration haute disponibilité, l’appliance exécute la commande set urlfiltering parameter dans le nœud secondaire. Par conséquent, le nœud secondaire ignore toute mise à jour planifiée jusqu’à la prochaine heure planifiée mentionnée dans le paramètre TimeOfDayToUpdateDB.

[ NSSWG-849 ]

Une appliance Citrix ADC peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.

[ NSHELP-22409 ]

Mise en réseau

Après une mise à niveau de l’appliance Citrix ADC BLX 13.0 61.x vers la version 13.0 64.x, les paramètres du fichier de configuration BLX sont perdus. Le fichier de configuration BLX est ensuite réinitialisé par défaut.

[ NSNET-17625 ]

Les opérations d’interface suivantes ne sont pas prises en charge pour les X710 10G (i40e) interfaces Intel sur une appliance Citrix ADC BLX avec DPDK :

  • Désactiver
  • Activer
  • Reset

[ NSNET-16559 ]

Sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure), une appliance Citrix ADC BLX est toujours déployée en mode partagé, quels que soient les paramètres du fichier de configuration BLX (/etc/blx/blx.conf). Ce problème se produit car mawk, qui est présent par défaut sur les systèmes Linux basés sur Debian, n’exécute pas certaines des commandes awk présentes dans le fichier blx.conf.

Solution :

Installez gawk avant d’installer une appliance Citrix ADC BLX. Vous pouvez exécuter la commande suivante dans l’interface de ligne de commande de l’hôte Linux pour effectuer l’installation gawk :

  • apt-get install gawk

[ NSNET-14603 ]

L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Solution :

Exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

  • dpkg –add-architecture i386
  • apt-get update
  • apt-get dist-upgrade
  • apt-get install libc6:i386

[ NSNET-14602 ]

Dans certains cas de connexions de données FTP, l’appliance Citrix ADC effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

[ NSNET-5233 ]

Dans une configuration haute disponibilité, en cas de non-correspondance de version HA entre les deux nœuds, les routes dynamiques ne sont pas synchronisées avec le nœud secondaire. Le nœud secondaire n’est pas accessible si son accessibilité dépend des itinéraires dynamiques.

En guise de solution, les routes dynamiques sont synchronisées avec le nœud secondaire même en cas de non-concordance de version HA.

[ NSHELP-28326 ]

Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance Citrix ADC, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

[ NSHELP-21082 ]

Plateforme

Le basculement haute disponibilité ne fonctionne pas dans les clouds AWS et GCP. Le processeur de gestion peut atteindre sa capacité de 100 % dans les clouds AWS et GCP, et Citrix ADC VPX sur site. Ces deux problèmes sont provoqués lorsque les conditions suivantes sont remplies :

  1. Lors du premier démarrage de l’appliance Citrix ADC, vous n’enregistrez pas le mot de passe demandé.
  2. Par la suite, vous redémarrez l’appliance Citrix ADC.

[ NSPLAT-22013 ]

Lorsque vous effectuez une mise à niveau de versions 13.0/12.1/11.1 vers une version 13.1 ou que vous passez d’une version 13.1 à une version 13.0/12.1/11.1, certains packages python ne sont pas installés sur les appliances Citrix ADC. Ce problème est résolu pour les versions Citrix ADC suivantes :

  • 13.1-4.x
  • 13.0-82.31 et versions ultérieures
  • 12.1-62.21 et versions ultérieures

Les packages python ne sont pas installés lorsque vous rétrogradez les versions de Citrix ADC de 13.1-4.x vers l’une des versions suivantes :

  • Toute version 11.1
  • 12.1-62.21 et versions antérieures
  • 13.0-81.x et versions antérieures

[ NSPLAT-21691 ]

Le provisionnement d’une instance VPX avec la version 12.0 XVA échoue sur un dispositif Citrix ADC SDX exécutant la version 13.1.

Seules les versions 12.1 et ultérieures de VPX sont prises en charge. Mettez à niveau la version VPX avant de mettre à niveau le SBI vers la version 13.1.

[ NSPLAT-21442 ]

Dans une configuration de cluster sur une appliance Citrix ADC SDX, il existe une incompatibilité CLAG MAC sur le deuxième nœud et CLIP si les conditions suivantes sont remplies :

  • Le CLAG est créé sur une carte réseau Mellanox.
  • Vous ajoutez une autre instance VPX au cluster et à la configuration CLAG.

Par conséquent, le trafic vers l’instance VPX s’arrête.

[ NSPLAT-21049 ]

Dans une configuration de cluster sur une appliance Citrix ADC SDX, le premier nœud tombe en panne en raison d’une incompatibilité d’adresse MAC sur la table CLIP et MAC, si les conditions suivantes sont remplies :

  • Le CLAG est créé sur une carte réseau Mellanox.
  • Vous supprimez le deuxième nœud du cluster.

[ NSPLAT-21042 ]

Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance Citrix ADC. Utilisez la commande rm cloudprofile pour supprimer le profil.

[ NSPLAT-4520 ]

Dans une configuration haute disponibilité sur Azure, lors de la connexion au nœud secondaire via l’interface graphique, l’écran de premier utilisateur (FTU) pour la configuration du profil cloud à mise à l’échelle automatique s’affiche. Solution : ignorez l’écran et connectez-vous au nœud principal pour créer le profil de cloud. Le profil cloud doit toujours être configuré sur le nœud principal.

[ NSPLAT-4451 ]

Stratégies

Les connexions peuvent se bloquer si la taille des données de traitement est supérieure à la taille de tampon TCP par défaut configurée.Solution : définissez la taille du tampon TCP sur la taille maximale des données à traiter.

[ NSPOLICY-1267 ]

SSL

Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

Solution :

  1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
  2. Enregistrez la configuration.

[ NSSSL-9572 ]

La commande Mettre à jour n’est pas disponible pour les commandes d’ajout suivantes :

  • add azure application
  • add azure keyvault
  • add ssl certkey with hsmkey option

[ NSSSL-6484 ]

Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

[ NSSSL-6478 ]

Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

[ NSSSL-6213 ]

Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM. ERREUR : actualisation de la liste de réactivation désactivée

[ NSSSL-6106 ]

L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

[ NSSSL-4427 ]

Un message d’avertissement incorrect Warning: No usable ciphers configured on the SSL vserver/service, s’affiche si vous essayez de modifier le protocole SSL ou le chiffrement dans le profil SSL.

[ NSSSL-4001 ]

Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA.

[ NSSSL-3184 ]

System

La valeur MAX_CONCURRENT_STREAMS est définie sur 100 par défaut si l’appliance ne reçoit pas la trame de paramètres max_concurrent_stream du client.

[ NSHELP-21240 ]

Les compteurs mptcp_cur_session_without_subflow décrémentent incorrectement à une valeur négative au lieu de zéro.

[ NSHELP-10972 ]

Lors du traitement de grands flux de trafic gRPC, la fenêtre annoncée par TCP augmente de façon exponentielle, entraînant une utilisation élevée de la mémoire.

[ NSBASE-15447 ]

L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.

[ NSBASE-8506 ]

Prise en charge ICAP pour Citrix ADC

Une appliance Citrix ADC prend désormais en charge le protocole ICAP (Internet Content Adaptation Protocol) pour le service de transformation de contenu sur le trafic HTTP et HTTPS. L’appliance agit en tant que client ICAP et interagit avec des serveurs ICAP tiers, tels que l’antimalware et la prévention des fuites de données (DLP). Les serveurs ICAP effectuent une transformation de contenu sur les messages HTTP et HTTPS et répondent à l’appliance en tant que messages modifiés. Les messages adaptés sont une réponse ou une demande HTTP ou HTTPS. Pour plus d’informations, voir https://docs.citrix.com/en-us/netscaler/12-1/security/icap-for-remote-content-inspection.html

[ NSBASE-825 ]

Interface utilisateur

Pour la fonction de réécriture MQTT, vous ne pouvez pas supprimer une expression à l’aide de l’éditeur d’expression dans l’interface graphique.

Solution :

Utilisez la commande d’action add or edit de type MQTT via l’interface de ligne de commande.

[ NSUI-18049 ]

Dans l’interface graphique Citrix ADC, le Help lien présent sous l’ Dashboard onglet est rompu.

[ NSUI-14752 ]

L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

Solution :

Configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

[ NSUI-13024 ]

Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

[ NSUI-6838 ]

Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

  • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

Solution :

Effectuez le basculement HA manuel successif uniquement après la fin de la synchronisation HA (les deux nœuds sont en état de réussite de la synchronisation).

[ NSHELP-25598 ]

Lorsque vous rétrogradez une appliance Citrix ADC version 13.0-71.x vers une version antérieure, certaines API Nitro peuvent ne pas fonctionner en raison des modifications des autorisations de fichiers.

Solution :

Modifiez l’autorisation /nsconfig/ns.conf pour à 644.

[ NSCONFIG-4628 ]

Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

  1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions suivantes :
  • 13.0 52.24 construire
  • 12.1 57,18 construire
  • 11.1 65.10 build
  1. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
  2. Réduisez l’appliance Citrix ADC vers une version antérieure.

Pour afficher la liste de ces utilisateurs système à l’aide de l’interface de ligne de commande : À l’invite de commandes, tapez :

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Solution :

Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

  • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
  • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
  • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

[ NSCONFIG-3188 ]

Notes de publication pour la version 13.1 à 12.51 de Citrix ADC