Citrix ADC

Notes de mise à jour pour Citrix ADC versions 13.1 à 17.42

Ce document de notes de version décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent pour la version Citrix ADC Build 13.1—17.42.

Remarques

Ce document de notes de mise à jour n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.

Nouveautés

Améliorations et modifications disponibles dans les versions 13.1 à 17.42.

Gestion des bots

Support pour l’adressage IPv6

La gestion des bots Citrix ADC prend désormais en charge l’adressage IPv6 (Internet Protocol Version 6) pour les techniques de détection des bots.

[NSBOT-690]

Citrix Gateway

Propagation de bits DF pour EDT sur Citrix Gateway

L’appliance Citrix Gateway prend désormais en charge l’application de bits DF pour la fonctionnalité PMTUD (Maximum Transmission Unit Discovery) du chemin EDT. La fonction de découverte du MTU de chemin permet de déterminer dynamiquement l’unité de transmission maximale (MTU) lors de l’établissement d’une session EDT. L’application des bits DF empêche la fragmentation EDT qui pourrait entraîner une dégradation des performances ou l’échec de l’établissement d’une session.

Dans les versions précédentes, Citrix Gateway prenait en charge le MTUD du chemin EDT mais ne prenait pas en charge l’application de bits DF.

[ CGOP-18438 ]

Citrix Web App Firewall

Prise en charge améliorée de l’apprentissage de plusieurs violations de script intersite (XSS)

Le processus d’apprentissage de Citrix Web App Firewall est désormais amélioré afin de réduire les faux positifs dans les attaques de script intersite.

Lorsque l’apprentissage est activé, vous pouvez apprendre toutes les violations d’une demande et éventuellement appliquer un assouplissement à toutes les balises/attributs/modèles en même temps. Auparavant, vous ne pouviez signaler qu’une seule violation à la fois et vous deviez répéter le processus pour plusieurs violations.

Par exemple, s’il y a 15 balises personnalisées dans une charge utile entraînant chacune une violation, vous pouvez appliquer un assouplissement pour la première violation et exécuter la demande pour marquer une autre balise personnalisée en tant que violation. Le processus doit être répété pour appliquer une relaxation à toutes les balises personnalisées une par une.

[NSWAF-7545]

Équilibrage de charge

Option permettant d’activer ou de désactiver les membres du groupe de services Autoscale LB et GSLB

Vous pouvez désormais activer ou désactiver directement des membres spécifiques d’un groupe de services Autoscale LB ou GSLB (basé sur DNS). Par conséquent, la gestion d’un groupe de services Autoscale LB ou GSLB (basé sur DNS) est désormais facilitée.

Auparavant, vous deviez activer ou désactiver un groupe de services Autoscale LB ou GSLB entier pour activer ou désactiver un membre individuel. Seuls les groupes de services non autoscale avaient la possibilité d’activer ou de désactiver un membre individuel.

[NSLB-8109]

Mise en réseau

Amélioration des statistiques ISSU

Les deux améliorations suivantes ont été ajoutées aux statistiques ISSU :

  • Une option dumpsession (Dump Session) a été ajoutée à l’opération show migration pour afficher la liste des connexions existantes actuellement desservies par l’ancien nœud principal. L’opération de migration d’exposition avec l’option dumpsession doit être exécutée uniquement sur le nouveau nœud principal.
  • L’opération de migration d’exposition (sans option) affiche désormais les informations supplémentaires suivantes relatives à l’opération de migration ISSU :
  • Nombre total de connexions traitées dans le cadre de l’opération de migration ISSU
  • Nombre de connexions restantes en cours de traitement dans le cadre de l’opération de migration ISSU

Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html .

[NSNET-23577]

Surveillez l’utilisation des ports sur une appliance Citrix ADC pour les connexions dorsales à l’aide de SNMP

Vous pouvez utiliser l’alarme PORT-ALLOC-EXCEED SNMP pour surveiller l’utilisation des ports sur une appliance Citrix ADC pour les connexions dorsales.

L’alarme SNMP PORT-ALLOC-EXCEED inclut les paramètres high-threshold et normal-threshold, qui spécifient le nombre total de ports alloués des adresses IP détenues par Citrix en pourcentage. Par exemple, si le paramètre high-threshold est défini sur 90, l’appliance Citrix ADC génère et envoie des messages d’interruption lorsque l’événement suivant se produit :

  • lorsque le pourcentage d’allocation de port dépasse 90 % sur l’une des adresses IP appartenant à Citrix ADC pour les connexions dorsales

Les alertes SNMP vous aident à déterminer s’il est nécessaire de disposer d’un plus grand nombre d’adresses IP appartenant à Citrix si les ports disponibles sont presque épuisés.

[NSNET-21719]

Prise en charge du protocole GENEVE

Une appliance Citrix ADC prend désormais en charge le protocole GENEVE (Generic Network Virtualization Encapsulation) tel que défini dans la RFC 8926.

La virtualisation des serveurs et l’architecture du cloud computing ont augmenté la demande de réseaux isolés de couche 2 dans un centre de données. La limite VLAN de 4094 s’est révélée inadéquate et des protocoles d’encapsulation tels que VXLAN et NVGRE ont été introduits pour surmonter cette limite.

Ces protocoles diffèrent principalement dans la mise en œuvre du plan de contrôle. Le protocole GENEVE ne définit pas de spécifications pour le plan de contrôle. Le protocole laisse à l’implémentation le soin de définir les spécifications du plan de contrôle.

Le protocole GENEVE est une technologie d’encapsulation qui vise à créer des réseaux de superposition de couche 2 sur une infrastructure de couche 3 en encapsulant des trames de couche 2 dans des paquets UDP. Chaque VLAN est identifié par un identifiant 24 bits unique appelé VNID. Seul le même ID de segment (VNID) peut communiquer entre eux.

Une appliance Citrix ADC prend en charge l’encapsulation GENEVE sur le port UDP 6081.

[NSNET-21717]

Configurer l’accès SSH à l’hôte Linux exécutant une appliance Citrix BLX en mode dédié

Par défaut, l’accès SSH à un hôte Linux exécutant l’appliance Citrix BLX en mode dédié ne peut pas être effectué via les interfaces dédiées de l’appliance.

Vous pouvez configurer l’accès SSH à l’hôte Linux via les interfaces dédiées de l’appliance Citrix ADC BLX. Cette fonctionnalité est utile dans un hôte Linux à interface unique exécutant une appliance Citrix BLX en mode dédié.

Vous pouvez configurer l’accès SSH direct à l’hôte Linux dans l’un des types suivants :

  • Fournissez un accès SSH sur le port 9022 de l’adresse IP Citrix ADC (NSIP) de l’appliance Citrix ADC BLX. - <Citrix ADC IP address (NSIP)>:9022
  • Définissez une nouvelle adresse IP dans le sous-réseau de Citrix ADC IP (NSIP) et fournissez un accès SSH sur le port 22. - <new IP address on the Citrix ADC IP address (NSIP) subnet>:22 En outre, tous les autres ports de l’hôte Linux sont accessibles à l’aide de la nouvelle adresse IP. Par exemple, un rsyslog serveur fonctionnant sur l’hôte Linux sur le port 514/UDP est désormais accessible sur le port 514 de la nouvelle adresse IP.

[NSNET-21586]

Déploiement simplifié d’une appliance Citrix ADC BLX avec des ports DPDK

La procédure de déploiement d’une appliance Citrix ADC BLX avec des ports DPDK a été simplifiée grâce aux améliorations suivantes :

  • L’appliance Citrix ADC BLX utilise désormais des bibliothèques compilées avec DPDK version 20.11.1. L’appliance charge automatiquement le module noyau DPDK VFIO sur l’hôte Linux.
  • Le paramètre dpdk-config a été supprimé du fichier de configuration Citrix ADC BLX (blx.conf). Le paramètre worker-processes existant s’applique désormais également à l’appliance Citrix ADC BLX avec des ports DPDK. Le worker-processes spécifie le nombre de moteurs de paquets pour une appliance Citrix ADC BLX. En d’autres termes, worker-processes est désormais un paramètre commun pour l’appliance Citrix ADC BLX quel que soit son mode (partagé, dédié ou DPDK). Si worker-process ce n’est pas le cas, l’appliance Citrix ADC BLX est configurée avec 1 moteur de paquets par défaut.
  • Le paramètre interfaces spécifie désormais les ports de carte réseau compatibles DPDK en plus des ports de carte réseau autres que DPDK. L’appliance Citrix ADC BLX détecte automatiquement les ports de carte réseau compatibles DPDK (le cas échéant) dans la liste des ports spécifiés pour le paramètre interfaces. L’appliance lie ensuite les ports NIC compatibles DPDK détectés au module VFIO DPDK sur l’hôte Linux. Après le démarrage de l’appliance Citrix ADC BLX, les ports de carte réseau DPDK et non DPDK sont automatiquement ajoutés dans le cadre de l’appliance.
  • Le paramètre dpdk-non-uio-intf, qui spécifie les ports de carte réseau Mellanox liés au DPDK, a été supprimé du fichier de configuration Citrix ADC BLX (blx.conf). Le paramètre interfaces spécifie désormais les ports de carte réseau Mellanox à utiliser en tant que ports DPDK dans l’appliance Citrix ADC BLX. Avant de spécifier les ports de carte réseau Mellanox pour l’appliance Citrix ADC BLX, les bibliothèques Mellanox OFED DPDK et les modules du noyau doivent être installés sur l’hôte Linux. L’appliance Citrix ADC BLX détecte automatiquement les ports de carte réseau Mellanox spécifiés et les initialise en mode DPDK. Après le démarrage de l’appliance Citrix ADC BLX, les ports de carte réseau Mellanox liés au DPDK sont ajoutés dans le cadre de l’appliance.
  • Un nouveau paramètre total-hugepage-mem a été introduit dans le fichier de configuration Citrix ADC BLX (blx.conf) pour configurer hugepages pour DPDK sur l’hôte Linux. Le paramètre total-hugepage-mem spécifie la taille de hugepages en Mo ou Go (par exemple, 1024 Mo et 2 Go).
  • Lors de la mise à niveau d’une appliance Citrix ADC BLX avec des ports DPDK, le module de mise à niveau convertit automatiquement les configurations existantes au nouveau format dans le fichier de configuration Citrix ADC BLX (blx.conf).

[NSNET-20524]

Surveillez les ports libres disponibles sur une appliance Citrix ADC pour une nouvelle connexion dorsale

Pour communiquer avec les serveurs physiques ou d’autres appareils homologues, l’appliance Citrix ADC utilise une adresse IP appartenant à Citrix comme adresse IP source. L’appliance Citrix ADC gère un pool de ses adresses IP et sélectionne dynamiquement une adresse IP lors de la connexion à un serveur. En fonction du sous-réseau dans lequel le serveur physique est placé, l’appliance décide de l’adresse IP à utiliser. Ce pool d’adresses est utilisé pour envoyer du trafic et surveiller les sondes.

Vous pouvez afficher le nombre total de ports libres disponibles sur les adresses IP détenues par Citrix ADC pour une nouvelle connexion principale. Ces informations vous aident à déterminer s’il est nécessaire de disposer d’un plus grand nombre d’adresses IP appartenant à Citrix si les ports disponibles sont presque épuisés.

Vous pouvez fournir les informations suivantes pour que l’appliance Citrix ADC calcule le nombre total de ports libres disponibles pour une nouvelle connexion principale :

  • Adresse IP appartenant à Citrix (facultatif)
  • Adresse IP de destination
  • Port de destination
  • Protocole TCP ou non TCP

[NSNET-20410]

Plateforme

Prise en charge des configurations Citrix ADC VPX au premier démarrage de l’appliance Citrix ADC sur l’hyperviseur KVM

Vous pouvez désormais appliquer les configurations Citrix ADC VPX lors du premier démarrage de l’appliance Citrix ADC sur l’hyperviseur KVM. Par conséquent, une configuration client sur une instance VPX peut être configurée en beaucoup moins de temps.

[ NSPLAT-21571 ]

Exclure le dossier nstrace des partitions d’administration Citrix ADC pendant l’opération de sauvegarde

Dans une appliance Citrix ADC avec des partitions d’administration, l’opération de sauvegarde du dossier nstrace est exclue. Cela réduit la taille globale de sauvegarde de Citrix ADC sans perdre de données importantes.

[ NSPLAT-21433 ]

Stratégies

Prise en charge de la notation de sous-réseau CIDR dans les adresses IPv4 et IPv6 pour l’ensemble de données de stratégie

Les jeux de données de stratégie pour les adresses IPv4 et IPv6 autorisent désormais la valeur liée à des sous-réseaux utilisant la notation CIDR (par exemple, a.b.c.d/n). La notation CIDR spécifie l’adresse et la plage du sous-réseau. Auparavant, il n’était pas possible d’ajouter des sous-réseaux dans les jeux de données de stratégie.

Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/appexpert/pattern-sets-data-seta/configuring-data-sets.html

[ NSPOLICY-3828 ]

SSL

Désactiver les protocoles non sécurisés sur les services SSL frontaux sur une appliance Citrix ADC

Les analyses de sécurité standard peuvent déclencher une alerte pour les protocoles non sécurisés sur les services SSL frontaux créés par défaut lors du démarrage d’une appliance Citrix ADC. Pour éviter de telles alertes, ces protocoles sont désormais désactivés par défaut sur les services SSL frontaux lorsque les appliances démarrent. Des exemples de protocoles non sécurisés sont SSLv3, TLv1 et TLSv1.1.

Lorsque le profil SSL par défaut est activé, un nouveau profil SSL est créé dans lequel ces protocoles sont désactivés. Ce nouveau profil est lié aux services SSL frontaux (ns_default_ssl_profile_internal_frontend_service). Ce profil est modifiable.

[ NSSSL-9985 ]

Prise en charge des certificats signés à l’aide des algorithmes RSASSA-PSS

Toutes les plates-formes Citrix ADC prennent désormais en charge les certificats signés avec les algorithmes RSASSA-PSS. Ces algorithmes sont pris en charge dans la validation du chemin d’accès au certificat X.509.

[ NSSSL-9289 ]

Problèmes résolus

Les problèmes qui sont traités dans les versions 13.1 à 17.42.

Authentification, autorisation et audit

L’appliance Citrix ADC se bloque si l’URL ADFSPIP est définie sur type http://. ADFSPIP ne prend en charge que les types d’URL https://.

[NSHELP-29838]

L’appliance Citrix ADC peut se bloquer pendant un flux de fournisseur d’identité SAML, en cas de retard important dans le traitement des demandes.

[NSHELP-29789]

Les stratégies de réécriture pour les points de terminaison tels que ne /logon/LogonPoint/Resources/List and /cgi/Resources/List sont pas prises en charge.

[NSHELP-29488]

Dans de rares cas, l’appliance Citrix ADC peut se bloquer en raison d’une position incorrecte du journal.

[NSHELP-29267]

Une appliance Citrix ADC configurée pour s’authentifier à l’aide du fournisseur de services OAuth ne peut pas être configurée avec « client-secrete_post » pour s’authentifier auprès du fournisseur d’identité TokenEndpoint.

Avec ce correctif, la méthode d’authentification client_secret_basic est ajoutée à la fonctionnalité de fournisseur de services OAuth d’ADC lorsqu’il communique avec le point de terminaison du jeton de l’IdP.

[NSHELP-28945]

Une appliance Citrix ADC peut ne pas répondre lorsque l’authentification SAML est en cours et que des certificats X.509 d’une taille de 1800 octets ou plus sont utilisés dans l’authentification SAML.

[NSHELP-28608]

L’expression Authentication, authorization, and auditing.USER.ATTRIBUTE peut donner une valeur vide dans l’appliance Citrix ADC multicœur lorsque le mot de passe utilisateur est modifié à l’expiration.

[NSHELP-28419]

L’appliance Citrix ADC, lorsqu’elle est configurée en tant que partie de confiance OAuth, n’ajoute pas les informations de champ « e-mail » et « nom d’utilisateur » extraites du jeton d’identification à l’attribut de hachage de la session d’authentification, d’autorisation et d’audit.

[NSHELP-28262]

Lorsque les métadonnées SAML sont configurées, une fuite de mémoire est observée avec les certificats SSL.

[NSHELP-27846]

Lorsqu’un utilisateur effectue une déconnexion SAML, la déconnexion ne se produit pas immédiatement et le message d’erreur suivant s’affiche :

Unsupported mechanisms found in Assertion; Please contact your administrator.

Cette erreur est due au fait que le fournisseur d’identités configuré par le client utilise une technique de codage d’URL différente pour coder le paramètre d’algorithme de signature dans la réponse. Ce correctif prend désormais en charge le codage du paramètre d’algorithme de signature dans une réponse SAML à l’aide de plusieurs techniques de codage d’URL.

[NSHELP-27621]

Parfois, si nFactor est configuré, une adresse IP incorrecte est enregistrée dans le message de déconnexion.

[NSHELP-26692]

L’appliance Citrix ADC se bloque si les deux conditions suivantes sont remplies.

  • L’OTP d’e-mail est configuré
  • Le serveur de messagerie ne répond pas ou il y a un problème de réseau avec le serveur de messagerie

[NSHELP-26137]

Dans une configuration haute disponibilité, l’appliance Citrix ADC se bloque lorsqu’une synchronisation forcée est initiée.

[ NSAUTH-11876 ]

Intune NAC v2 n’est pas pris en charge pour Android 11 et versions ultérieures.

[ NSAUTH-11872 ]

Les administrateurs ne peuvent pas utiliser l’outil de connectivité LDAP ou RADIUS si le mot de passe contient un certain caractère spécial ou si les arguments comportent un espace.

[ NSAUTH-11322 ]

Gestion des bots

Lorsque le défi CAPTCHA est en cours, la gestion du bot Citrix ADC ne respecte pas la valeur configurée définie par l’utilisateur pour les tentatives de nouvelle tentative CAPTCHA.

[NSBOT-801]

CallHome

L’enregistrement CallHome peut échouer pour les appliances Citrix ADC MPX utilisant des licences groupées. L’enregistrement échoue car CallHome utilise un numéro de série incorrect pour enregistrer les appliances auprès du serveur de support Citrix.

[NSHELP-28667]

Appliance Citrix ADC SDX

Lorsque vous restaurez une appliance Citrix ADC SDX à partir de la sauvegarde, la chaîne d’invite CLI n’est pas restaurée.

[NSHELP-30238]

Sur une appliance Citrix ADC SDX 115xx, la restauration d’un VPX alloué avec un nombre élevé de cœurs de processeur (3 à 5 cœurs) peut échouer si la sauvegarde de l’appliance contient trois instances ou plus.

[NSHELP-30135]

Sur une appliance Citrix ADC SDX, la valeur par défaut pour déclencher l’alarme lors de l’alerte Hypervisor Disk Usage High est augmentée à 98 %.

[NSHELP-29688]

Lorsque la valeur de la vitesse d’interface est supérieure à 4 Gbit/s, une valeur incorrecte est renvoyée en raison d’un dépassement d’entier.

[NSHELP-29658]

Dans de rares cas, l’inventaire ADC ne se produit pas sur une appliance Citrix ADC SDX.

[NSHELP-29607]

Sur une appliance Citrix ADC SDX, le service de gestion n’envoie pas de notifications Syslog ou par e-mail si les pannes d’alimentation, de tension ou de disque se produisent plusieurs fois.

[NSHELP-29443]

Citrix Gateway

Les utilisateurs ne peuvent pas lancer le plug-in EPA ou le plug-in VPN après une mise à niveau vers les versions de navigateur Chrome 98 ou Edge 98. Pour résoudre ce problème, effectuez les opérations suivantes :

  1. Pour la mise à niveau du plug-in VPN, les utilisateurs finaux doivent se connecter à l’aide du client VPN pour la première fois pour obtenir le correctif sur leurs machines. Lors des tentatives de connexion suivantes, les utilisateurs peuvent choisir le navigateur ou le plug-in à connecter.
  2. Dans le cas d’utilisation EPA uniquement, les utilisateurs finaux n’auront pas le client VPN pour se connecter à la passerelle. Dans ce cas, effectuez les opérations suivantes :

    1. Connectez-vous à la passerelle à l’aide d’un navigateur.
    2. Attendez que la page de téléchargement apparaisse et téléchargez le fichier nsepa_setup.exe.
    3. Après le téléchargement, fermez le navigateur et installez le fichier nsepa_setup.exe.
    4. Redémarrez le client.

[NSHELP-30641]

Dans une configuration haute disponibilité avec configuration TCP SYSLOG, un nœud peut se bloquer pendant le basculement HA ou lors d’une opération de réinitialisation de la configuration.

[NSHELP-29251]

Sur la page du portail Citrix Gateway, l’icône du lien proxy RDP ne change pas avec le thème du portail RFWebUI.

[NSHELP-28974]

Après avoir mis à niveau l’appliance Citrix Gateway vers la version 13.0, la configuration du proxy dans le profil de session ne fonctionne pas comme prévu. La connexion proxy est contournée pour le proxy NS non HTTP configuré.

Exemple : add vpn sessionAction-proxy NS -httpProxy 192.0.2.0:24 -sslProxy 192.0.2.0:24

Dans cet exemple, -HttpProxy fonctionne comme prévu mais -SSLProxy ne fonctionne pas.

[NSHELP-28640]

L’appliance Citrix Gateway se bloque lors du traitement de STA dans DTLS Audio car la mémoire allouée n’est pas réinitialisée.

[NSHELP-28432]

L’appliance Citrix ADC enregistre les messages périmés liés au processus VPND qui est obsolète.

[NSHELP-28163]

L’accès à StoreFront via un serveur virtuel VPN échoue si StoreFront est accessible via un serveur virtuel d’équilibrage de charge de sauvegarde.

[NSHELP-27852]

L’appliance Citrix Gateway peut se bloquer lors de la reconnexion à une session ICA existante.

[NSHELP-27441]

Vous ne pouvez pas dissocier une stratégie d’autorisation classique à l’aide de l’interface graphique. Toutefois, vous pouvez utiliser l’interface de ligne de commande pour dissocier la stratégie d’autorisation d’authentification, d’autorisation et d’audit.

Avec ce correctif, vous pouvez désormais dissocier la stratégie d’autorisation à l’aide de l’interface graphique.

[NSHELP-27064]

Citrix Web App Firewall

Une mise à niveau vers la bibliothèque XML version 2.9.12 entraîne la rupture des fichiers XML liés à la signature WAF pendant l’analyse.

[NSWAF-8662]

La protection contre l’injection de commande JSON apparaît Not blocked dans le message ns.log, même si la demande HTTP a été bloquée par le module Web App Firewall.

[NSHELP-29709]

Le message de journal du Web App Firewall s’affiche BAD URL pour les violations d’attribut d’URL de script intersite (XSS), et le terme n’ Bad URL est pas clair quant à la catégorie à laquelle il appartient (comme une balise, un modèle ou un attribut).

[NSHELP-29358]

L’URL de publication de l’empreinte digitale du dispositif bot peut échouer si la stratégie de gestion des bots est activée sur un serveur virtuel d’équilibrage de charge de type SSL.

[NSHELP-29198]

L’ID de signature 1048 du Web App Firewall bloque le chargement de la page Citrix Gateway.

[NSHELP-29113]

Une appliance Citrix ADC peut se bloquer si les modules suivants sont activés :

  • Web App Firewall avec contrôles de sécurité avancés.
  • Comté d’Appqoe.

[NSHELP-28251]

Équilibrage de charge

Lorsqu’un membre du groupe de services DNS de type Autoscale est dans l’état TROFS et si le même membre est à nouveau ajouté au groupe, l’état de ce membre n’est pas propagé.

[NSHELP-29493]

La synchronisation incrémentielle échoue pour add dns action et les commandes add location dont les expressions de stratégie contiennent des caractères génériques.

[NSHELP-29301]

Certains membres du groupe de services ne sont pas supprimés de la liste des groupes de services Autoscale en cas de conflit entre un membre lié statiquement et des enregistrements DNS résolus dynamiquement. Ce problème entraîne une corruption de la mémoire.

[NSHELP-28949]

L’état du groupe de services affiché dans les commandes show et stat est incohérent.

[NSHELP-28931]

Dans de rares cas, la configuration de la base de données d’emplacements peut être absente du fichier de configuration (ns.conf).

[NSHELP-28570]

Les moniteurs de type SQL ou Oracle se bloquent lorsque l’homologue envoie une demande de réinitialisation de la connexion existante.

[NSHELP-28478]

Dans un déploiement activé pour la persistance, un serveur virtuel incorrect est stocké lors de l’enregistrement contextuel.

[NSHELP-28342]

La configuration de persistance d’un groupe LB est perdue après un basculement HA ou lorsque l’appliance Citrix ADC est redémarrée.

[NSHELP-28071]

L’état configuré du moniteur par défaut est désactivé même lorsque le moniteur par défaut est lié à un service.

[NSHELP-27669]

Divers

Le problème suivant se produit après la mise à niveau de l’appliance vers Citrix ADC version 12.1 build 63.22 :

  • L’API de recherche d’extensions peut ne pas fonctionner après la mise à niveau.

[NSHELP-29860]

Mise en réseau

Une appliance Citrix ADC peut se bloquer si toutes les conditions suivantes sont remplies :

  • Un itinéraire d’équilibrage de charge est configuré dans un domaine de trafic sur l’appliance.
  • Une opération de configuration claire est effectuée sur l’appliance.

[NSNET-23847]

Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

  • Le module LSN ne trouve pas le service lors de la décrémentation du nombre de références ou de la suppression du service.

[NSHELP-29134]

Dans un déploiement NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

  • Le module LSN a accédé à l’emplacement mémoire d’un service déjà supprimé.

[NSHELP-28815]

Dans une appliance Citrix ADC avec un nombre pair de moteurs de paquets (PE), l’appliance affiche incorrectement l’état des interfaces actives comme étant inactives d’un ensemble d’interfaces redondantes (canaux LR). Ce problème n’a aucune incidence sur les fonctionnalités de l’appliance Citrix ADC.

[ NSHELP-28099 ]

L’appliance Citrix ADC peut ne pas générer de messages d’interruption coldStart SNMP après un redémarrage à froid.

[NSHELP-27917]

Plateforme

La commande ntpdate se bloque, ce qui entraîne un vidage de mémoire.

[NSHELP-29649]

SSL

Une appliance Citrix ADC MPX 7500 se bloque si une suite de chiffrement EXPORT est utilisée.

[ NSSSL-11294 ]

Dans de rares cas, un plantage peut survenir pendant le traitement DTLS sur les plateformes suivantes :

  • MPX 5900
  • MPX/SDX 8900
  • MPX/SDX 15000
  • MPX/SDX 15000-50G
  • MPX/SDX 26000
  • MPX/SDX 26000-50S
  • MPX/SDX 26000-100 G

[NSHELP-29538]

Dans une configuration haute disponibilité, le type de certificat n’est pas correctement synchronisé entre les nœuds principal et secondaire.

[NSHELP-27589]

Dans un déploiement VPN, l’appliance Citrix ADC récupère une session SSL pour la réutilisation de session à partir du cache afin de communiquer avec le proxy ou le serveur principal. Pour ce faire, il ne fait pas correspondre le SNI reçu du client au SNI présent dans la session mise en cache.

Par conséquent, le SNI n’est pas envoyé ou un autre SNI est envoyé en fonction des données mises en cache.

[NSHELP-27439]

System

Une fuite de mémoire est observée dans une appliance Citrix ADC lors de la suppression de la mémoire allouée pour les ressources du système de prévention des intrusions (IPS).

[NSHELP-29992]

Les opérations de configuration qui associent des profils SSL et des clés de certificat SSL à un serveur virtuel QUIC HTTP peuvent échouer sur un déploiement de cluster Citrix ADC.

[ NSHELP-29655 ]

Une deuxième demande sur la même connexion client échoue si les conditions suivantes sont remplies :

  • clientSideMeasurements est activé.
  • La demande HEAD est reçue.

[NSHELP-29353]

Dans certains scénarios, une appliance Citrix ADC peut se bloquer dans les conditions suivantes :

  • Les trames Jumbo TCP sont utilisées.
  • La persistance est configurée sur un serveur virtuel d’équilibrage de charge TCP.

[NSHELP-29162]

Une appliance Citrix ADC se bloque si les conditions suivantes sont remplies :

  • L’option de mesures côté client est activée dans l’action AppFlow.
  • Les en-têtes de segment se situent sur la limite du paquet.

[ NSHELP-29049 ]

Une appliance Citrix ADC réinitialise une connexion si la taille du pipeline HTTP (une ou plusieurs demandes) dépasse 128 Ko. Le problème se produit car la taille du pipeline est strictement limitée à 128 Ko.

[NSHELP-28846]

Un système de prévention des intrusions (IPS) Citrix ADC observe un problème avec la stratégie de réécriture lors de l’insertion ou de la modification de données si la condition suivante est remplie :

  • L’appliance Citrix ADC envoie des paquets de données au serveur IPS avant l’ouverture de la connexion au serveur principal.

[NSHELP-28496]

Dans une configuration haute disponibilité, la synchronisation haute disponibilité des configurations de partition d’administration échoue sur le nœud secondaire pour la raison suivante :

  • Problèmes de mémoire insuffisante dus à d’énormes charges de configuration sur le nœud secondaire

[NSHELP-28409]

Lorsqu’un client réinitialise une connexion avec plusieurs flux TCP, l’enregistrement de transaction côté serveur n’est pas envoyé, ce qui entraîne l’absence d’enregistrements L4 pour ces flux de données.

[NSHELP-28281]

Dans une connexion TCP, l’appliance Citrix ADC peut supprimer un paquet FIN, reçu d’un serveur, au lieu de le transférer au client si toutes les conditions suivantes sont remplies :

  • La mise en mémoire tampon TCP est activée.
  • Le serveur envoie le paquet FIN et le paquet de données séparément.

[NSHELP-27274]

Dans une configuration de cluster, la commande set ratecontrol ne fonctionne qu’après le redémarrage de l’appliance Citrix ADC.

[NSHELP-21811]

Lorsqu’une appliance Citrix ADC reçoit un paquet TCP hors service avec l’indicateur FIN défini, les problèmes suivants peuvent être observés :

  • L’appliance Citrix ADC envoie un SACK incorrect, qui indique que l’appliance a reçu un paquet TCP hors service de 2 octets au lieu d’un octet.
  • L’appliance Citrix ADC n’accuse pas réception du paquet FIN TCP en recevant des paquets TCP dans l’ordre.

[NSBASE - 15735]

Interface utilisateur

Vous pouvez accidentellement dissocier un certificat SSL car aucune confirmation n’est demandée. Avec ce correctif, lorsque l’utilisateur clique sur un certificat lié, il demande une confirmation avant de dissocier un certificat.

[NSUI-17897]

La modification d’une règle RNAT basée sur l’ACL, dont le basculement de connexion est déjà activé, à l’aide de l’interface graphique Citrix ADC peut échouer avec l’erreur suivante :

  • Invalid argument value [connfailover]

[NSHELP-29243]

Lors de la configuration ou de la vérification des certificats SSL à l’aide de l’interface graphique Citrix ADC, l’erreur Directory doesn't exist peut apparaître. Ce problème se produit lorsqu’un nom de fichier comportant deux points consécutifs (..) existe dans le dossier /nsconfig/ssl SSL.

[NSHELP-28589]

Dans une configuration haute disponibilité, la synchronisation HA peut échouer pour une liaison de jeu de modèles de stratégie intégrée, si le jeu de modèles de stratégie intégré a été modifié sur le nœud principal.

[NSHELP-28460]

Lorsque vous désélectionnez l’option sécurisée pour le nœud RPC dans l’interface graphique ADC, le message d’erreur suivant s’affiche :

Prérequis pour l’argument manquant [ValidateCert, Secure==Oui]

[NSHELP-28239]

Lorsque l’utilisateur essaie de modifier la taille de page d’une liste dans les vues du panneau latéral, la page est déformée.

[NSHELP-28220]

Une barre oblique inverse supplémentaire est introduite de manière incorrecte si des caractères spéciaux sont utilisés dans les arguments de certaines commandes SSL, telles que create ssl rsakey et create ssl cert.

[NSHELP-27378]

La commande ping ou ping6 avec l’option interface (-I) peut échouer avec l’erreur suivante :

  • interface option not supported

[NSHELP-26962]

Problèmes connus

Les problèmes qui existent dans les versions 13.1 à 17.42.

AppFlow

HDX Insight ne signale pas d’échec du lancement d’une application provoqué par un utilisateur qui tente de lancer une application ou un bureau auquel l’utilisateur n’a pas accès.

[NSINSIGHT-943]

Authentification, autorisation et audit

Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

[NSHELP-563]

Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

[ NSAUTH-6106 ]

Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante. show adfsproxyprofile <profile name>

Solution :

Connectez-vous au Citrix ADC actif principal dans le cluster et exécutez la commande show adfsproxyprofile <profile name>. Il afficherait l’état du profil proxy.

[ NSAUTH-5916 ]

La page Configurer le serveur LDAP d’authentification de l’interface graphique Citrix ADC ne répond plus si vous suivez les étapes suivantes :

  • L’option Tester l’accessibilité LDAP est ouverte.
  • Les informations d’identification de connexion non valides sont renseignées et envoyées.
  • Les identifiants de connexion valides sont renseignés et envoyés.

Solution :

Fermez et ouvrez l’option Tester l’accessibilité LDAP.

[ NSAUTH-2147 ]

Mise en cache

Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

[ NSHELP-22942 ]

Appliance Citrix ADC SDX

Sur une appliance Citrix ADC SDX, si le CLAG est créé sur une carte réseau Mellanox, la MAC CLAG est modifiée lorsque l’instance VPX est redémarrée. Le trafic vers l’instance VPX s’arrête après le redémarrage car la table MAC contient l’ancienne entrée MAC CLAG.

[ NSSVM-4333 ]

Sur une appliance Citrix ADC SDX, les instances ADC n’atteindront pas leur capacité maximale lorsque vous configurez le mode d’allocation de débit en rafale.

[ NSHELP-27477 ]

Les pertes de paquets sont observées sur une instance VPX hébergée sur un dispositif Citrix ADC SDX si les conditions suivantes sont remplies :

  • Le mode d’allocation du débit est en rafale.
  • Il existe une grande différence entre le débit et la capacité maximale de rafale.

[ NSHELP-21992 ]

Citrix Gateway

Dans certains cas, le code de validation du serveur échoue lorsque le certificat de serveur est approuvé. Par conséquent, les utilisateurs finaux ne peuvent pas accéder à la passerelle.

[ NSHELP-28942 ]

Dans une configuration haute disponibilité Citrix Gateway, le nœud secondaire peut se bloquer si Gateway Insight est activé.

[ NSHELP-28856 ]

L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

[ NSHELP-28551 ]

Parfois, un utilisateur est déconnecté de Citrix Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

[ NSHELP-28404 ]

Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

  • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

Solution :

Effectuez le basculement HA manuel successif uniquement après la fin de la synchronisation HA (les deux nœuds sont en état de réussite de la synchronisation).

[ NSHELP-25598 ]

Le plug-in EPA pour Windows n’utilise pas le proxy configuré de la machine locale et se connecte directement au serveur de passerelle.

[ NSHELP-24848 ]

Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.

[ NSHELP-23937 ]

Le plug-in VPN n’établit pas de tunnel après l’ouverture de session Windows, si les conditions suivantes sont remplies :

  • L’appliance Citrix Gateway est configurée pour la fonctionnalité Always On
  • L’appliance est configurée pour l’authentification par certificat avec une authentification à deux facteurs. off

[ NSHELP-23584 ]

Parfois, lorsque vous parcourez les schémas, le message d’erreur Cannot read property 'type' of undefined s’affiche.

[ NSHELP-21897 ]

Si vous souhaitez utiliser le VPN Always On avant la fonctionnalité d’ouverture de session Windows, il est recommandé de passer à Citrix Gateway 13.0 ou version ultérieure. Cela vous permet de tirer parti des améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

[ CGOP-19355 ]

L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.

[ CGOP-13621 ]

Le rapport Gateway Insight affiche incorrectement la valeur Local au lieu de SAML dans le champ Type d’authentification pour les échecs d’erreur SAML.

[ CGOP-13584 ]

Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

[ CGOP-13511 ]

Lors de l’acceptation des connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

[ CGOP-13050 ]

Le texte Home Page de la page d’ accueil de l’application Citrix SSO est tronqué pour certaines langues.

[ CGOP-13049 ]

Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

[ CGOP-11830 ]

Dans Outlook Web App (OWA) 2013, le fait de cliquer sur Options dans le menu Configuration affiche une boîte de dialogue Erreur critique . De plus, la page ne répond plus.

[ CGOP-7269 ]

Dans un déploiement de cluster, si vous exécutez la commande force cluster sync sur un nœud non CCO, le fichier ns.log contient des entrées de journal en double.

[ CGOP-6794 ]

Équilibrage de charge

Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

[ NSLB-7679 ]

Le format ServiceGroupName dans l’interruption entityofs pour le groupe de services est le suivant : <service(group)name>?<ip/DBS>?<port>

Dans le format de déroutement, le groupe de services est identifié par une adresse IP ou un nom et un port DBS. Le point d’interrogation (?) est utilisé comme séparateur. Citrix ADC envoie l’interruption avec le point d’interrogation (?). Le format s’affiche de la même manière dans l’interface graphique Citrix ADM. C’est le comportement attendu.

[ NSHELP-28080 ]

Divers

Lorsqu’une synchronisation forcée a lieu dans une configuration haute disponibilité, l’appliance exécute la commande set urlfiltering parameter sur le nœud secondaire. Par conséquent, le nœud secondaire ignore toute mise à jour planifiée jusqu’à la prochaine heure planifiée mentionnée dans le paramètre TimeOfDayToUpdateDB.

[ NSSWG-849 ]

Une appliance Citrix ADC peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.

[ NSHELP-22409 ]

Mise en réseau

Une appliance Citrix ADC BLX avec DPDK peut ne pas redémarrer si toutes les conditions suivantes sont remplies :

  • L’appliance Citrix ADC BLX est allouée avec un faible nombre de hugepages. Par exemple, 1G.
  • L’appliance Citrix ADC BLX est allouée avec un nombre élevé de processus de travail. Par exemple, 28.

Le problème est consigné en tant que message d’erreur dans /var/log/ns.log :

  • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

Remarque : x est un nombre <= nombre de processus de travail.

Solution :

Attribuez un nombre élevé de, hugepages puis redémarrez l’appliance.

[ NSNET-25173 ]

Une appliance Citrix ADC BLX avec DPDK peut ne pas redémarrer si la condition suivante est remplie :

  • L’appliance Citrix ADC BLX est allouée avec un nombre élevé de hugepages. Par exemple, 16 Go.

Le problème est consigné en tant que message d’erreur dans /var/log/ns.log :

  • EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

Solution :

Utilisez l’une des solutions de contournement suivantes pour résoudre ce problème :

  • Augmentez la limite de fichiers ouverts sur l’hôte Linux en utilisant la commande ulimit ou en modifiant le fichier limits.conf.
  • Réduisez le nombre de hugepages alloués.

[ NSNET-24727 ]

Le redémarrage d’une appliance Citrix ADC BLX en mode DPDK peut prendre un peu plus de temps en raison de la fonctionnalité de facilité DPDK.

[ NSNET-24449 ]

Après une mise à niveau de l’appliance Citrix ADC BLX 13.0 61.x vers la version 13.0 64.x, les paramètres du fichier de configuration BLX sont perdus. Le fichier de configuration BLX est ensuite réinitialisé par défaut.

[ NSNET-17625 ]

Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :

  • Désactiver
  • Activer
  • Réinitialiser

[ NSNET-16559 ]

Sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure), une appliance Citrix ADC BLX est toujours déployée en mode partagé, quels que soient les paramètres du fichier de configuration BLX (/etc/blx/blx.conf). Ce problème se produit car mawk, qui est présent par défaut sur les systèmes Linux basés sur Debian, n’exécute pas certaines des commandes awk présentes dans le fichier blx.conf.

Solution :

Installez gawk avant d’installer une appliance Citrix ADC BLX. Vous pouvez exécuter la commande suivante dans l’interface de ligne de commande de l’hôte Linux pour effectuer l’installation de gawk :

  • apt-get install gawk

[ NSNET-14603 ]

L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Solution :

Exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

  • dpkg –add-architecture i386
  • apt-get update
  • apt-get dist-upgrade
  • apt-get install libc6:i386

[NSNET-14602]

Dans certains cas de connexions de données FTP, l’appliance Citrix ADC effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

[NSNET-5233]

Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance Citrix ADC, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

[ NSHELP-21082 ]

Plateforme

Le basculement haute disponibilité ne fonctionne pas dans les clouds AWS et GCP. Le processeur de gestion peut atteindre sa capacité de 100 % dans les clouds AWS et GCP, et Citrix ADC VPX sur site. Ces deux problèmes sont provoqués lorsque les conditions suivantes sont remplies :

  1. Lors du premier démarrage de l’appliance Citrix ADC, vous n’enregistrez pas le mot de passe demandé.
  2. Par la suite, vous redémarrez l’appliance Citrix ADC.

[NSPLAT-22013]

Lorsque vous effectuez une mise à niveau de versions 13.0/12.1/11.1 vers une version 13.1 ou que vous passez d’une version 13.1 à une version 13.0/12.1/11.1, certains packages python ne sont pas installés sur les appliances Citrix ADC. Ce problème est résolu pour les versions Citrix ADC suivantes :

  • 13.1-4.x
  • 13.0—82.31 et versions ultérieures
  • 12.1—62.21 et versions ultérieures

Les packages python ne sont pas installés lorsque vous rétrogradez les versions de Citrix ADC de 13.1-4.x vers l’une des versions suivantes :

  • Toute version 11.1
  • 12.1-62.21 et versions antérieures
  • 13.0-81.x et versions antérieures

[NSPLAT-21691]

Dans une configuration de cluster sur une appliance Citrix ADC SDX, il existe une incompatibilité CLAG MAC sur le deuxième nœud et CLIP si les conditions suivantes sont remplies :

  • Le CLAG est créé sur une carte réseau Mellanox.
  • Vous ajoutez une autre instance VPX au cluster et à la configuration CLAG.

Par conséquent, le trafic vers l’instance VPX s’arrête.

[NSPLAT-21049]

Dans une configuration de cluster sur une appliance Citrix ADC SDX, le premier nœud tombe en panne en raison d’une incompatibilité d’adresse MAC sur la table CLIP et MAC, si les conditions suivantes sont remplies :

  • Le CLAG est créé sur une carte réseau Mellanox.
  • Vous supprimez le deuxième nœud du cluster.

[NSPLAT-21042]

Lorsque vous supprimez un paramètre Autoscale ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance Citrix ADC. Utilisez la commande rm cloudprofile pour supprimer le profil.

[NSPLAT-4520]

Dans une configuration haute disponibilité sur Azure, lors de la connexion au nœud secondaire via l’interface graphique, l’écran du premier utilisateur (FTU) de la configuration du profil cloud Autoscale s’affiche. Solution : ignorez l’écran et connectez-vous au nœud principal pour créer le profil de cloud. Configurez toujours le profil cloud sur le nœud principal.

[NSPLAT-4451]

Le basculement HA pour l’instance Citrix ADC VPX sur le cloud GCP et AWS échoue lorsque le mot de passe d’un nœud RPC contient un caractère spécial.

[ NSHELP-28600 ]

Stratégies

Les connexions peuvent se bloquer si la taille des données de traitement est supérieure à la taille de tampon TCP par défaut configurée.Solution : définissez la taille du tampon TCP sur la taille maximale des données à traiter.

[ NSPOLICY-1267 ]

SSL

Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

Solution :

  1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
  2. Enregistrez la configuration.

[NSSSL-9572]

Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

[NSSSL-6478]

Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

[NSSSL-6213]

Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier Key Vault comme type HSM. ERROR: crl refresh disabled

[NSSSL-6106]

L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

[NSSSL-4427]

Un message d’avertissement incorrect Warning: No usable ciphers configured on the SSL vserver/service, s’affiche si vous essayez de modifier le protocole SSL ou le chiffrement dans le profil SSL.

[NSSSL-4001]

Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA.

[NSSSL-3184]

System

La valeur MAX_CONCURRENT_STREAMS est définie sur 100 par défaut si l’appliance ne reçoit pas le cadre de paramètres max_concurrent_stream du client.

[ NSHELP-21240 ]

Les compteurs mptcp_cur_session_without_subflow décrémentent incorrectement à une valeur négative au lieu de zéro.

[ NSHELP-10972 ]

Un problème est observé lors de la génération des rapports PCI DSS sur l’interface graphique Citrix ADC (Navigation : Système > Rapports > Générer un rapport PCI DSS).

[ NSBASE-16225 ]

L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.

[ NSBASE-8506 ]

L’appliance Citrix ADC supprime les paquets qui contiennent des en-têtes HTTP personnalisés avec un point (». «) dans le champ du nom de l’en-tête. Cette action se produit parce que le paramètre allowOnlyWordCharactersAndHyphen est activé par défaut dans le profil HTTP par défaut.

Solution : désactivez cette option allowOnlyWordCharactersAndHyphen dans le profil HTTP par défaut. Citrix vous recommande toutefois de le laisser activé.

[NSBASE-16722]

Interface utilisateur

Pour la fonction de réécriture MQTT, vous ne pouvez pas supprimer une expression à l’aide de l’éditeur d’expression dans l’interface graphique.

Solution :

Utilisez la commande d’action add ou edit de type MQTT via l’interface de ligne de commande.

[NSUI-18049]

Dans l’interface graphique Citrix ADC, le lien Help présent sous l’onglet Dashboard est rompu.

[NSUI-14752]

L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

Solution :

Configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

[NSUI-13024]

Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

[NSUI-6838]

Le chargement et l’ajout d’un fichier de liste de révocation de certificats (CRL) échouent dans la configuration d’une partition d’administration.

[ NSHELP-20988 ]

Lorsque vous passez à une version antérieure d’une appliance Citrix ADC version 13.0-71.x vers une version antérieure, certaines API NITRO peuvent ne pas fonctionner en raison des modifications des autorisations de fichier.

Solution :

Modifiez l’autorisation pour /nsconfig/ns.conf à 644.

[NSCONFIG-4628]

Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

  1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions suivantes :

    • 13.0 52.24 build
    • 12.1 57.18 build
    • 11.1 65.10 build
  2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
  3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

Pour afficher la liste de ces utilisateurs système à l’aide de l’interface de ligne de commande : À l’invite de commandes, tapez :

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Solution :

Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

  1. Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
  2. Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
  3. Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

[NSCONFIG-3188]

Notes de mise à jour pour Citrix ADC versions 13.1 à 17.42