Citrix ADC

Remarques

Ce document de notes de version décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent pour la version Citrix ADC Build 13.1 à 21.50.

Ce document de notes de mise à jour n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.

Les versions 13.1-21.50 et ultérieures corrigent les vulnérabilités de sécurité décrites dans la section https://support.citrix.com/article/CTX457048.

Nouveautés

Les améliorations et les modifications disponibles dans les versions 13.1 à 21.50.

Gestion des bots

Technique de limite de débit de bot basée sur la position géographique de l’utilisateur

La technique de détection de la limite de débit des bots vous permet désormais de limiter le trafic des robots en fonction de la position géographique de l’utilisateur. Dans cette configuration, vous pouvez définir un nom de pays comme une valeur similaire à l’URL ou au nom du cookie. Ce faisant, vous pouvez appliquer différentes limites de taux pour différents pays. Auparavant, la technique de détection pouvait limiter le trafic uniquement en fonction de l’adresse IP, de la session ou de l’URL du client.

[NSBOT-753]

Technique améliorée d’empreinte digitale de l’appareil (DFP) pour la détection des navigateurs sans tête

Un pirate informatique peut accéder aux ressources du serveur via un navigateur sans tête en automatisant des processus tels que la création de comptes multi-utilisateurs, la réservation de billets, la suppression des prix, le bourrage d’identifiants, les attaques par rotation de tickets, etc.

La technique de détection d’empreintes digitales (DFP) dans un profil de bot est désormais améliorée avec intelligence pour détecter les robots sans tête et les pilotes Web. Pour limiter le trafic des robots du navigateur sans tête, vous devez activer l’option Détection du navigateur sans tête ainsi que la fonction de détection d’empreintes digitales de l’appareil.

[NSBOT-747]

Citrix Web App Firewall

Relaxation fine pour les attaques par injection de commande JSON

L’appliance Citrix ADC vous permet désormais de configurer une relaxation fine pour les attaques par injection de commande JSON.

[NSWAF-8511]

Relaxation fine pour les attaques par script intersite JSON

L’appliance Citrix ADC vous permet désormais de configurer une relaxation fine pour les attaques de script intersite JSON.

[NSWAF-8510]

Relaxation affinée pour les attaques par injection JSON SQL

L’appliance Citrix ADC vous permet désormais de configurer la relaxation fine pour les attaques par injection SQL JSON.

[NSWAF-8509]

Équilibrage de charge

Messages d’erreur de l’API État souhaité amélioré

Le message d’erreur affiché, lorsque l’adresse IP d’un membre du groupe de services est déjà associée à d’autres entités Citrix ADC telles que le serveur virtuel CS, est amélioré. La raison de l’échec est désormais clairement indiquée dans le message d’erreur. Auparavant, la raison de l’échec du message d’erreur n’était pas claire.

[NSLB-9005]

L’API État souhaité prend en charge la réutilisation des adresses IP et des noms de serveurs existants

L’API d’état souhaité prend désormais en charge la liaison des membres d’un groupe de services à un groupe de services, même si l’adresse IP d’un membre du groupe de services correspond à un serveur existant. L’adresse IP et le nom du serveur existant sont réutilisés lors de la liaison du membre du groupe de services.

Auparavant, lorsque l’adresse IP correspondait, la liaison des membres du groupe de services à un groupe de services ne réussissait pas.

[NSLB-9004]

Mise en réseau

Prise en charge des liaisons basées sur le CIDR dans les jeux de données IPv4 pour les listes de contrôle d’accès étendues

La liste ACL étendue prend désormais en charge les ensembles de données IPv4 contenant des plages d’adresses IPv4 spécifiées dans la notation CIDR.

[ NSNET-24452 ]

Prise en charge logicielle de la mise à l’échelle latérale pour l’appliance Citrix ADC BLX en mode DPDK

Une appliance Citrix ADC BLX en mode DPDK et configurée avec un plus grand nombre de moteurs de paquets ne prend pas en charge un port de carte réseau avec un nombre inférieur de files d’attente d’envoi (Tx) et de réception (Rx).

Une appliance Citrix ADC BLX en mode DPDK n’utilise pas de port de carte réseau si les deux conditions suivantes sont remplies :

  • L’appliance possède un port NIC qui prend en charge un nombre limité de files d’attente d’envoi (Tx) et de files d’attente de réception (Rx). Par exemple, 7.
  • L’appliance est configurée avec un plus grand nombre de moteurs de paquets. Par exemple, 28.

Pour résoudre ce problème, à partir de la version 13.1 21.x, l’appliance Citrix ADC BLX utilise le logiciel Receive Side Scaling (RSS) pour distribuer efficacement les paquets reçus sur les ports de la carte réseau sur plusieurs moteurs de paquets.

Le module RSS logiciel attribue une paire de files d’attente logiques Rx et Tx à chaque port de carte réseau. La paire de files d’attente est ensuite mappée au moteur de paquets PE-0.

Pour chaque paquet dans la file d’attente Rx d’un port NIC, le PE-0 sélectionne un moteur de paquets à l’aide d’un algorithme de hachage RSS. PE-0 envoie ensuite le paquet au moteur de paquets sélectionné pour traitement. Une fois le traitement du paquet terminé, PE-0 envoie le paquet à la file d’attente Tx du port NIC.

[NSNET-23133]

Configurez le service d’interface graphique HTTP interne à l’aide de l’interface graphique Citrix ADC, de l’interface de ligne de commande Citrix ADC ou des API Citrix ADC NITRO

Sur une appliance Citrix ADC, /etc/httpd.conf est le fichier de configuration du service d’interface graphique HTTP interne qui gère les connexions à l’interface graphique Citrix ADC.

Au lieu d’utiliser le fichier httpd.conf pour configurer le service d’interface graphique HTTP interne, vous pouvez désormais utiliser l’interface graphique Citrix ADC, l’interface de ligne de commande Citrix ADC ou les API Citrix ADC NITRO. Par exemple, vous pouvez utiliser l’interface de ligne de commande Citrix ADC pour modifier le nombre maximum de clients pouvant se connecter au service HTTP interne à la fois.

Le service GUI HTTP interne possède le format de nom suivant : nshttpd-gui-<loop back IP address>-80

Utilisez les opérations de commande du service Citrix ADC pour configurer le service d’interface graphique HTTP interne.

[NSNET-20350]

Plateforme

Prise en charge de la plate-forme Citrix ADC MPX 9100

Cette version prend en charge la plate-forme Citrix ADC MPX 9100. Il inclut les modèles MPX 9110, MPX 9120 et MPX9130. Pour de plus amples informations, consultez Citrix ADC MPX 9100.

[ NSPLAT-23308 ]

Prise en charge de la plate-forme Citrix ADC SDX 9100

Cette version prend en charge la plate-forme Citrix ADC SDX 9100. Il inclut les modèles SDX 9120 et SDX 9130. Pour de plus amples informations, consultez Citrix ADC SDX 9100.

[NSPLAT-23299]

Améliorez les performances SSL-TPS sur les clouds AWS et GCP

Vous pouvez obtenir de meilleures performances SSL-TPS sur les clouds AWS et GCP en répartissant les poids du moteur de paquets (PE) de manière égale. Pour ce faire, exécutez la commande suivante sur l’interface de ligne de commande Citrix ADC pour définir le mode PE :

set cpuparam pemode [CPUBOUND | Default]

Dans un cloud Azure, les pondérations PE sont réparties de manière égale par défaut. Cette fonctionnalité n’améliore aucune performance pour les instances Azure.

[NSPLAT-22570]

Prise en charge de la mise à jour 3c de VMware ESXi 7.0 sur l’instance Citrix ADC VPX

L’instance Citrix ADC VPX prend désormais en charge la mise à jour 3c de VMware ESXi version 7.0 (Build 19193900).

[NSPLAT-22468]

SSL

Afficher les détails de l’utilisation de la puce SSL sur les plates-formes Citrix ADC

À partir de la version 13.1 build 21.x, des compteurs sont ajoutés pour afficher plus de détails sur l’utilisation des puces SSL sur les plates-formes MPX et SDX livrées avec les puces Intel Coleto et la plate-forme MPX 9100 (Lewisburg). Sur les plateformes non prises en charge, ces compteurs affichent une valeur de 0,0.

Pour plus d’informations, consultez la section Prise en charge des plates-formes basées sur des puces SSL Intel Coleto et Lewisberg.

[NSSSL-10996]

Prise en charge des certificats et des chiffrements ECDSA avec DTLS

Les certificats et les chiffrements ECDSA peuvent désormais être utilisés sur des entités DTLS, telles que des serveurs et des services virtuels.

[NSSSL-9535]

System

Améliorations liées à l’envoi des détails du client dans l’en-tête de l’option TCP

  • L’appliance Citrix ADC insère désormais l’adresse IP du client dans le dernier paquet ACK de la négociation à trois voies en plus du premier paquet de données. Auparavant, l’appliance n’envoyait l’adresse IP du client que dans le premier paquet de données.
  • L’appliance Citrix ADC prend désormais en charge l’envoi du port client dans l’option TCP pour la configuration du mode d’insertion. Un paramètre Send Client Port in Tcp Option (sendClientPortInTcpOption) a été introduit dans le profil TCP pour activer ou désactiver cette fonctionnalité.

[ NSBASE-15635 ]

Problèmes résolus

Les problèmes qui sont résolus dans les versions 13.1 à 21.50.

Authentification, autorisation et audit

L’appliance Citrix ADC peut se bloquer en cas d’erreur lors de la mise à jour de la paire de clés de certificat SSL utilisée dans la configuration SAML. Pour résoudre ce problème, vous pouvez dissocier le certificat, le mettre à jour, puis le lier à nouveau.

[ NSHELP-30270 ]

Les utilisateurs ne peuvent pas se connecter à l’appliance Citrix ADC si la demande de connexion à l’aide de SAML contient des espaces autres que ‘ ‘ (guillemets simples). Avec ce correctif, tous les espaces sont autorisés.

[ NSHELP-29773 ]

Lors de l’envoi d’une demande AS_REQ pour un utilisateur délégué, qui fait partie de l’authentification unique KCD, l’appliance Citrix ADC sélectionne un type de chiffrement avec la priorité suivante lorsque le contrôleur de domaine (DC) publie tous les types de chiffrement.

  1. ETYPE_ARCFOUR_HMAC_MD5
  2. ETYPE_AES128_CTS_HMAC_SHA1_96
  3. ETYPE_AES256_CTS_HMAC_SHA1_96Instead of
  4. ETYPE_AES256_CTS_HMAC_SHA1_96
  5. ETYPE_AES128_CTS_HMAC_SHA1_96
  6. ETYPE_ARCFOUR_HMAC_MD5

[ NSHELP-28681 ]

Parfois, l’authentification peut échouer lorsque Authentification, autorisation et auditing.Login.Password est utilisé.

[ NSHELP-28101 ]

L’appliance Citrix ADC peut entrer dans une boucle SSO avec le serveur principal et entraîner une accumulation de mémoire si les deux conditions suivantes sont remplies.

  • L’appliance ADC effectue une négociation et des authentifications SSO NTLM avec le serveur principal.
  • Le serveur principal ne parvient pas à effectuer les deux authentifications.

[ NSHELP-27757 ]

L’appliance Citrix ADC peut se bloquer lorsque la synchronisation de la session et de la configuration des clés se produit entre la carte contrôleur principale et la carte contrôleur secondaire.

[ NSHELP-26891 ]

Appliance Citrix ADC SDX

Un message incorrect s’affiche en cas d’échec d’une nouvelle installation car la partition d’usine ne dispose pas de suffisamment d’espace.

[ NSHELP-30136 ]

Le champ de fond de panier de la page Ajouter un nœud de cluster n’est plus obligatoire sauf si l’une des conditions suivantes est remplie :

  • Le groupe de nœuds existe déjà pour les grappes de couche 3.
  • Il s’agit d’un cluster de couche 2.

[ NSHELP-29701 ]

Citrix Gateway

Les utilisateurs du client VPN ne peuvent pas se déconnecter correctement si SAML et EPA sont configurés en tant que facteurs successifs dans une authentification nFactor. Avec ce correctif, les utilisateurs peuvent se déconnecter sans problème.

[ NSHELP-30193 ]

Dans une configuration Citrix ADC GSLB et VPN SSL, une fuite de mémoire est observée lors de la gestion d’une connexion DTLS ICA. Par conséquent, la connexion est interrompue et la mémoire s’accumule.

[ NSHELP-30182 ]

Le lancement de PCoIP Apps and Desktops échoue lorsqu’il est lancé à partir d’un navigateur et le message d’erreur VMware client missing s’affiche. Ce problème se produit car le protocole vmware-view n’est pas ajouté à la liste des protocoles autorisés.

[ NSHELP-30062 ]

L’analyse EPA pour vérifier la dernière analyse complète du système antivirus échoue sur macOS.

[ NSHELP-29571 ]

Le tunnel complet du VPN Citrix Gateway ne fonctionne pas comme prévu si la réponse binaire est activée. Par conséquent, le cookie NSAAC est corrompu. Avec ce correctif, la réponse binaire fonctionne dans les plug-ins VPN précédents. Citrix vous recommande toutefois d’utiliser le dernier plug-in VPN compatible avec la réponse JSON.

[ NSHELP-28729 ]

Équilibrage de charge

Une appliance Citrix ADC partitionnée peut vider le cœur lors du traitement d’un paquet de demande DNS avec un en-tête supplémentaire (EDNS).

[ NSHELP-30796 ]

Dans un déploiement DNS à mise à l’échelle automatique, les membres dans l’état TROFS ne détectent pas et ne réagissent pas à l’échec du contrôle de santé.

[ NSHELP-29628 ]

L’appliance Citrix ADC peut se bloquer lors de la liaison de la stratégie de réécriture au serveur virtuel d’équilibrage de charge si les conditions suivantes sont remplies :

  1. L’évaluation de la seconde expression remplace les variables d’état de stratégie de la première expression en cours.
  2. Les variables d’état de stratégie DETERMINE_SERVICES sont remplacées par la règle définie par le serveur virtuel d’équilibrage de charge.

[ NSHELP-29449 ]

Le temps de réponse Monitor affiché lorsque vous exécutez la commande show service est parfois incorrect.

[ NSHELP-28994 ]

Les messages de nouvelle tentative SMPP sont envoyés à tous les nœuds d’un cluster, même lorsque la demande aboutit. Ce scénario entraîne une consommation de mémoire élevée sur l’appliance Citrix ADC.

[ NSHELP-28332 ]

Mise en réseau

Lors de la mise à niveau d’une appliance Citrix ADC BLX vers la version 13.1 build 17.x, l’appliance peut ne pas démarrer.

[NSNET-25002]

L’installation d’un dispositif Citrix ADC BLX sur un hôte Linux basé sur RHEL échoue si le module jsonschema Python est absent sur l’hôte.

[NSNET-24638]

La mise à niveau d’un dispositif Citrix ADC BLX avec DPDK échoue si toutes les conditions suivantes sont remplies :

  • L’appliance Citrix ADC BLX fonctionne sur un hôte Linux basé sur Debian
  • La mise à niveau est effectuée à partir de Citrix ADC version 13.0 build 82.x ou antérieure vers la version 13.1 build 17.x.

[NSNET-24622]

Lorsque vous configurez une règle ACL ICMP après avoir configuré une règle ACL TCP avec des paramètres de port, le problème suivant peut être observé :

  • L’appliance Citrix ADC ajoute également de manière incorrecte les mêmes paramètres de port de l’ACL TCP à l’ACL ICMP.

[ NSHELP-31114 ]

La modification d’une adresse IP privée dans une règle INAT à l’aide de l’interface graphique échoue si la condition suivante est remplie :

  • Le basculement de connexion est activé sur la règle INAT.

[ NSHELP-30792 ]

Sur la console série d’un dispositif Citrix ADC, l’invite VTYSH ou l’invite de shell peut ne pas afficher de sortie.

[ NSHELP-30446 ]

La modification d’un profil réseau auquel est déjà lié un ensemble d’adresses IP peut échouer avec l’erreur suivante :

  • IP set is already bound to the network profile

[ NSHELP-29363 ]

Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

  • Le nombre de références de filtrage et de mappage est différent de zéro pour le module LSN de l’appliance.

[ NSHELP-28842 ]

Plateforme

La console série d’une instance Citrix ADC VPX hébergée sur le cloud Azure n’est pas accessible lorsque la machine virtuelle en est aux premiers stades du démarrage.

[ NSPLAT-23010 ]

Lors du basculement Citrix ADC VPX HA, le mouvement d’adresse IP Elastic dans le cloud AWS échoue si vous configurez un IPset sans lier l’IPset à une adresse IP.

[ NSHELP-29425 ]

SSL

La suite de chiffrement RC4 échoue lors d’une négociation SSL avec un message Illegal parameter error.

[NSSSL-11463]

L’appliance Citrix ADC se bloque lorsque l’interception SSL est activée et qu’il existe plusieurs demandes parallèles pour accéder à un serveur principal avec un certificat expiré.

[ NSHELP-29520 ]

Dans une configuration de cluster, vous pouvez rencontrer les problèmes suivants :

  • Commande manquante pour la liaison de la paire de clés de certificat par défaut aux services internes SSL sur le CLIP. Toutefois, si vous effectuez une mise à niveau à partir d’une version antérieure, vous devrez peut-être lier la paire de clés de certificat par défaut aux services internes SSL concernés sur le CLIP.
  • Différence de configuration entre le CLIP et les nœuds de la commande set par défaut pour les services internes.
  • Commande de liaison de chiffrement par défaut manquante aux entités SSL dans la sortie de la commande show running config exécutée sur un nœud. L’omission n’est qu’un problème d’affichage et n’a aucun impact fonctionnel. La liaison peut être visualisée à l’aide de la commande <entity> <name> show ssl.

[ NSHELP-25764 ]

System

L’appliance Citrix ADC se bloque si l’une des conditions suivantes se produit :

  • L’action Syslog est configurée avec le nom de domaine et vous effacez la configuration à l’aide de l’interface graphique ou de l’interface de ligne de commande.
  • La synchronisation haute disponibilité se produit sur le nœud secondaire. [NSHELP-30987, NSHELP-28121, NSHELP-29843]

Tous les paquets de données transférés à partir d’une appliance Citrix ADC n’ont pas la valeur TTL configurée mais ont la valeur envoyée par le client ou le serveur.

[ NSHELP-30683 ]

L’appliance Citrix ADC n’est pas en mesure de transférer certains paquets de données non HTTP vers les serveurs principaux.

[ NSHELP-30192 ]

Dans certains scénarios, l’appliance Citrix ADC ne transmet pas certains paquets HTTP au serveur principal, si la condition suivante est remplie :

  • Si une fonctionnalité Citrix ADC clone en interne des paquets HTTP.

[ NSHELP-29958 ]

L’appliance Citrix ADC peut ajouter de manière incorrecte une adresse IPv4 à un enregistrement AppFlow lié à une transaction IPv6.

[ NSHELP-29261 ]

Une appliance Citrix ADC peut se bloquer lors de la relecture d’une réponse fragmentée du module ICAP vers le client.

[ NSHELP-28788 ]

L’échec de Pitboss se produit lors de la mise en boucle d’un grand nombre de paquets dans la file d’attente de retransmission.

[ NSHELP-26071 ]

Certains messages SYSLOG sont supprimés lors de la connexion à un serveur SYSLOG externe à l’aide du protocole TCP.

[ NSHELP-24522 ]

Dans certains scénarios, la capture de paquets nstrace omet tous les paquets si vous appliquez le filtre basé sur l’adresse IP.

[ NSHELP-23483 ]

Interface utilisateur

Le filtrage du cache peut ne pas fonctionner comme prévu sur l’interface graphique Citrix ADC.

[ NSHELP-30392 ]

Lorsqu’une appliance Citrix ADC est configurée pour utiliser un serveur d’authentification externe, il peut y avoir un retard dans l’exécution des commandes stat, quel que soit le paramètre RBAOnResponse défini pour être désactivé globalement. Le paramètre peut être désactivé depuis l’interface graphique ou l’interface de ligne de commande.

[ NSHELP-30289 ]

L’interface graphique Citrix ADC ne traite pas les appels RAPI, ce qui entraîne l’absence de réponse de certains composants de l’interface graphique.

[ NSHELP-30231 ]

Dans certains cas, il se peut que vous ne puissiez pas charger les clés SSL à partir de l’onglet Clés SSL de l’interface graphique Citrix ADC.

[ NSHELP-28870 ]

La réponse de l’API pour une requête NITRO GET avec un filtre peut contenir des informations supplémentaires même si elles ne sont pas mentionnées dans le filtre.

[ NSHELP-28598 ]

Le chargement et l’ajout d’un fichier de liste de révocation de certificats (CRL) échouent dans la configuration d’une partition d’administration.

[ NSHELP-20988 ]

Problèmes connus

Les problèmes qui existent dans les versions 13.1 à 21.50.

AppFlow

HDX Insight ne signale pas d’échec du lancement d’une application provoqué par un utilisateur qui tente de lancer une application ou un bureau auquel l’utilisateur n’a pas accès.

[NSINSIGHT-943]

Authentification, autorisation et audit

Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

[NSHELP-563]

Le schéma LoginSchema DualAuthPushOrOTP.xml n’apparaît pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

[ NSAUTH-6106 ]

Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante. show adfsproxyprofile <profile name>

Solution :

Connectez-vous au Citrix ADC actif principal dans le cluster et exécutez la commande show adfsproxyprofile <profile name>. Il afficherait l’état du profil proxy.

[ NSAUTH-5916 ]

La page Configurer le serveur LDAP d’authentification de l’interface graphique Citrix ADC ne répond plus si vous suivez les étapes suivantes :

  • L’option Tester l’accessibilité LDAP est ouverte.
  • Les informations d’identification de connexion non valides sont renseignées et envoyées.
  • Les identifiants de connexion valides sont renseignés et envoyés.

Solution :

Fermez et ouvrez l’option Tester l’accessibilité LDAP.

[ NSAUTH-2147 ]

Mise en cache

Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

[ NSHELP-22942 ]

Appliance Citrix ADC SDX

Sur une appliance Citrix ADC SDX, si le CLAG est créé sur une carte réseau Mellanox, la MAC CLAG est modifiée lorsque l’instance VPX est redémarrée. Le trafic vers l’instance VPX s’arrête après le redémarrage car la table MAC contient l’ancienne entrée MAC CLAG.

[ NSSVM-4333 ]

Sur une appliance Citrix ADC SDX avec des cartes réseau Mellanox, la modification du débit d’une instance VPX dotée de cartes réseau Mellanox redémarre l’instance VPX.

[ NSHELP-31305 ]

Sur une appliance Citrix ADC SDX, les instances ADC n’atteindront pas leur capacité maximale lorsque vous configurez le mode d’allocation de débit en rafale.

[ NSHELP-27477 ]

Les pertes de paquets sont observées sur une instance VPX hébergée sur un dispositif Citrix ADC SDX si les conditions suivantes sont remplies :

  • Le mode d’allocation du débit est en rafale.
  • Il existe une grande différence entre le débit et la capacité maximale de rafale.

[ NSHELP-21992 ]

Après la mise à niveau d’une appliance Citrix ADC SDX vers la version 13.1 build 21.50 ou ultérieure, le déchiffrement SSL et la comparaison MAC peuvent échouer. Par conséquent, vous pouvez voir des échecs d’établissement de liaison SSL, un battement d’état VPX, une indisponibilité de l’interface utilisateur de l’instance VPX et une panne des serveurs virtuels et de l’application.

Remarque : Ce problème est observé sur les plates-formes SDX 8900, SDX 15000, SDX 15000-50G, SDX 26000 et SDX 26000-50S.

[NSHELP-31672]

Citrix Gateway

Dans certains cas, Citrix Secure Access pour macOS abandonne les connexions en raison de problèmes avec certains protocoles non DNS utilisant le port 53, tels que STUN.

[NSHELP-31004]

Lorsque Always on est configuré, le tunnel utilisateur échoue en raison du numéro de version incorrect (1.1.1.1) dans le fichier aoservice.exe.

[ NSHELP-30662 ]

Les utilisateurs ne peuvent pas se connecter à l’appliance Citrix Gateway après avoir changé le paramètre de profil « NetworkAccessonVPNFailure » de « FullAccess » à « OnlyToGateway ».

[NSHELP-30236]

Le client VPN Windows n’honore pas l’alerte « Notification de fermeture SSL » du serveur et envoie la demande de connexion de transfert sur la même connexion.

[NSHELP-29675]

Dans certains cas, le code de validation du serveur échoue lorsque le certificat de serveur est approuvé. Par conséquent, les utilisateurs finaux ne peuvent pas accéder à la passerelle.

[ NSHELP-28942 ]

L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

[ NSHELP-28551 ]

Parfois, un utilisateur est déconnecté de Citrix Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

[ NSHELP-28404 ]

Vous ne pouvez pas dissocier une stratégie d’autorisation classique à l’aide de l’interface graphique. Toutefois, vous pouvez utiliser l’interface de ligne de commande pour dissocier la stratégie d’autorisation d’authentification, d’autorisation et d’audit.

Avec ce correctif, vous pouvez désormais dissocier la stratégie d’autorisation à l’aide de l’interface graphique.

[NSHELP-27064]

Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

  • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

Solution :

Effectuez le basculement HA manuel successif uniquement après la fin de la synchronisation HA (les deux nœuds sont en état de réussite de la synchronisation).

[ NSHELP-25598 ]

Le plug-in EPA pour Windows n’utilise pas le proxy configuré de la machine locale et se connecte directement au serveur de passerelle.

[ NSHELP-24848 ]

Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.

[ NSHELP-23937 ]

Le plug-in VPN n’établit pas de tunnel après l’ouverture de session Windows, si les conditions suivantes sont remplies :

  • L’appliance Citrix Gateway est configurée pour la fonctionnalité Always On
  • L’appliance est configurée pour l’authentification par certificat avec une authentification à deux facteurs. off

[ NSHELP-23584 ]

Parfois, lorsque vous parcourez les schémas, le message d’erreur Cannot read property 'type' of undefined s’affiche.

[ NSHELP-21897 ]

Si vous souhaitez utiliser le VPN Always On avant la fonctionnalité d’ouverture de session Windows, il est recommandé de passer à Citrix Gateway 13.0 ou version ultérieure. Cela vous permet de tirer parti des améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

[ CGOP-19355 ]

L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.

[ CGOP-13621 ]

Le rapport Gateway Insight affiche incorrectement la valeur Local au lieu de SAML dans le champ Type d’authentification pour les échecs d’erreur SAML.

[ CGOP-13584 ]

Dans une configuration haute disponibilité, lors d’un basculement sur incident Citrix ADC, le nombre de SR augmente au lieu du nombre de basculements dans Citrix ADM.

[ CGOP-13511 ]

Lorsqu’une connexion ICA est lancée à partir d’un Receiver MAC version 19.6.0.32 ou Citrix Virtual Apps and Desktops version 7.18, la fonctionnalité HDX Insight est désactivée.

[CGOP-13494]

Lorsque la fonction EDT Insight est activée, les canaux audio peuvent parfois échouer en cas de divergence réseau.

[CGOP-13493]

Tout en acceptant les connexions d’hôtes locaux à partir du navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

[ CGOP-13050 ]

Le texte Home Page de la page d’accueil de l’application Citrix SSO est tronqué pour certaines langues.

[ CGOP-13049 ]

Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

[ CGOP-11830 ]

Dans Outlook Web App (OWA) 2013, le fait de cliquer sur Options dans le menu Configuration affiche une boîte de dialogue Erreur critique . De plus, la page ne répond plus.

[ CGOP-7269 ]

Équilibrage de charge

Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

[ NSLB-7679 ]

Le format ServiceGroupName dans l’interruption entityofs pour le groupe de services est le suivant : <service(group)name>?<ip/DBS>?<port>

Dans le format de déroutement, le groupe de services est identifié par une adresse IP ou un nom et un port DBS. Le point d’interrogation (?) est utilisé comme séparateur. Citrix ADC envoie l’interruption avec le point d’interrogation (?). Le format s’affiche de la même manière dans l’interface graphique Citrix ADM. C’est le comportement attendu.

[ NSHELP-28080 ]

Divers

Lorsqu’une synchronisation forcée a lieu dans une configuration haute disponibilité, l’appliance exécute la commande set urlfiltering parameter sur le nœud secondaire. Par conséquent, le nœud secondaire ignore toute mise à jour planifiée jusqu’à la prochaine heure planifiée mentionnée dans le paramètre TimeOfDayToUpdateDB.

[ NSSWG-849 ]

Une appliance Citrix ADC peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité se produit avec le fournisseur tiers de filtrage d’URL.

[ NSHELP-22409 ]

Mise en réseau

Dans une appliance Citrix ADC BLX prenant en charge DPDK, les VLAN balisés ne sont pas pris en charge pour les ports de carte réseau Intel i350 DPDK. Ceci est observé car il s’agit d’un problème connu présent sur le pilote DPDK.

[NSNET-25299]

Une appliance Citrix ADC BLX avec DPDK peut ne pas redémarrer si toutes les conditions suivantes sont remplies :

  • L’appliance Citrix ADC BLX est allouée avec un faible nombre de hugepages. Par exemple, 1G.
  • L’appliance Citrix ADC BLX est allouée avec un nombre élevé de processus de travail. Par exemple, 28.

Le problème est consigné en tant que message d’erreur dans /var/log/ns.log :

  • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

Remarque : x est un nombre <= nombre de processus de travail.

Solution :

Attribuez un nombre élevé de, hugepages puis redémarrez l’appliance.

[ NSNET-25173 ]

Une appliance Citrix ADC BLX avec DPDK peut ne pas redémarrer si la condition suivante est remplie :

  • L’appliance Citrix ADC BLX est allouée avec un nombre élevé de hugepages. Par exemple, 16 Go.

Le problème est consigné en tant que message d’erreur dans /var/log/ns.log :

  • EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

Solution :

Utilisez l’une des solutions de contournement suivantes pour résoudre ce problème :

  • Augmentez la limite de fichiers ouverts sur l’hôte Linux en utilisant la commande ulimit ou en modifiant le fichier limits.conf.
  • Réduisez le nombre de hugepages alloués.

[ NSNET-24727 ]

Le redémarrage d’une appliance Citrix ADC BLX en mode DPDK peut prendre un peu plus de temps en raison de la fonctionnalité de facilité DPDK.

[ NSNET-24449 ]

Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :

  • Désactiver
  • Activer
  • Réinitialiser

[ NSNET-16559 ]

L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Solution :

Exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

  • dpkg –add-architecture i386
  • apt-get update
  • apt-get dist-upgrade
  • apt-get install libc6:i386

[NSNET-14602]

Dans certains cas de connexions de données FTP, l’appliance Citrix ADC effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

[NSNET-5233]

Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance Citrix ADC, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

[ NSHELP-21082 ]

Plateforme

Le basculement haute disponibilité ne fonctionne pas dans les clouds AWS et GCP. Le processeur de gestion peut atteindre sa capacité de 100 % dans les clouds AWS et GCP, et Citrix ADC VPX sur site. Ces deux problèmes sont provoqués lorsque les conditions suivantes sont remplies :

  1. Lors du premier démarrage de l’appliance Citrix ADC, vous n’enregistrez pas le mot de passe demandé.
  2. Par la suite, vous redémarrez l’appliance Citrix ADC.

[NSPLAT-22013]

Lorsque vous effectuez une mise à niveau de versions 13.0/12.1/11.1 vers une version 13.1 ou que vous passez d’une version 13.1 à une version 13.0/12.1/11.1, certains packages python ne sont pas installés sur les appliances Citrix ADC. Ce problème est résolu pour les versions Citrix ADC suivantes :

  • 13.1-4.x
  • 13.0—82.31 et versions ultérieures
  • 12.1—62.21 et versions ultérieures

Les packages python ne sont pas installés lorsque vous rétrogradez les versions de Citrix ADC de 13.1-4.x vers l’une des versions suivantes :

  • Toute version 11.1
  • 12.1-62.21 et versions antérieures
  • 13.0-81.x et versions antérieures

[NSPLAT-21691]

Dans une configuration de cluster sur une appliance Citrix ADC SDX, il existe une incompatibilité CLAG MAC sur le deuxième nœud et CLIP si les conditions suivantes sont remplies :

  • Le CLAG est créé sur une carte réseau Mellanox.
  • Vous ajoutez une autre instance VPX au cluster et à la configuration CLAG.

Par conséquent, le trafic vers l’instance VPX s’arrête.

[NSPLAT-21049]

Dans une configuration de cluster sur une appliance Citrix ADC SDX, le premier nœud tombe en panne en raison d’une incompatibilité d’adresse MAC dans la table CLIP et MAC, si les conditions suivantes sont remplies :

  • Le CLAG est créé sur une carte réseau Mellanox.
  • Vous supprimez le deuxième nœud du cluster.

[NSPLAT-21042]

Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance Citrix ADC. Utilisez la commande rm cloudprofile pour supprimer le profil.

[NSPLAT-4520]

Dans une configuration haute disponibilité sur Azure, lors de la connexion au nœud secondaire via l’interface graphique, l’écran de premier utilisateur (FTU) pour la configuration du profil cloud à mise à l’échelle automatique s’affiche. Solution : ignorez l’écran et connectez-vous au nœud principal pour créer le profil de cloud. Le profil cloud doit toujours être configuré sur le nœud principal.

[NSPLAT-4451]

À partir de la version 13.1 de Citrix ADC, l’appliance Citrix ADC ne démarre pas dans un hyperviseur ESXi avec plus de 8 interfaces réseau VMXNET3.

[ NSHELP-31266 ]

Stratégies

Les connexions peuvent se bloquer si la taille des données de traitement est supérieure à la taille de tampon TCP par défaut configurée.Solution : définissez la taille du tampon TCP sur une taille maximale de données à traiter.

[ NSPOLICY-1267 ]

Dans certains scénarios, une appliance Citrix ADC peut se bloquer lorsqu’une action d’affectation est utilisée avec l’opération d’effacement pour une variable AppExpert.

[NSHELP-29766]

SSL

Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

Solution :

  1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
  2. Enregistrez la configuration.

[NSSSL-9572]

Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

[NSSSL-6478]

Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

[NSSSL-6213]

Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM. ERROR: crl refresh disabled

[NSSSL-6106]

L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

[NSSSL-4427]

Un message d’avertissement incorrect Warning: No usable ciphers configured on the SSL vserver/service, s’affiche si vous essayez de modifier le protocole SSL ou le chiffrement dans le profil SSL.

[NSSSL-4001]

Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA.

[NSSSL-3184, NSSSL-1379, NSSSL-1394]

Sur les appliances certifiées FIPS MPX 8900 et MPX 15000, l’exécution du trafic ECDHE peut provoquer une fuite de mémoire.

[ NSHELP-30744 ]

System

L’instance Citrix ADC VPX peut se bloquer si des stratégies de répondeur sont configurées et que vous ajoutez des stratégies de réécriture qui entraînent une corruption d’en-tête.

Solution :

Supprimez la stratégie de répondeur.

[NSHELP-28512, NSHELP-30415]

La valeur MAX_CONCURRENT_STREAMS est définie sur 100 par défaut si l’appliance ne reçoit pas la trame de paramètres max_concurrent_stream du client.

[ NSHELP-21240 ]

Les compteurs mptcp_cur_session_without_subflow décrémentent incorrectement à une valeur négative au lieu de zéro.

[ NSHELP-10972 ]

Dans un déploiement de cluster, si vous exécutez la commande force cluster sync sur un nœud non CCO, le fichier ns.log contient des entrées de journal en double. [NSBASE-16304, NSGI-1293]

Lorsque vous installez Citrix ADM sur un cluster Kubernetes, il ne fonctionne pas comme prévu car les processus requis peuvent ne pas s’exécuter.

Solution : redémarrez le module Gestion.

[ NSBASE-15556 ]

L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.

[ NSBASE-8506 ]

L’appliance Citrix ADC supprime les paquets qui contiennent des en-têtes HTTP personnalisés avec un point (». «) dans le champ du nom de l’en-tête. Cette action se produit parce que le paramètre allowOnlyWordCharactersAndHyphen est activé par défaut dans le profil HTTP par défaut.

Solution : désactivez cette option allowOnlyWordCharactersAndHyphen dans le profil HTTP par défaut. Citrix vous recommande toutefois de le laisser activé.

[NSBASE-16722]

Interface utilisateur

Pour la fonction de réécriture MQTT, vous ne pouvez pas supprimer une expression à l’aide de l’éditeur d’expression dans l’interface graphique.

Solution :

Utilisez la commande d’action add ou edit de type MQTT via l’interface de ligne de commande.

[NSUI-18049]

Dans l’interface graphique Citrix ADC, le Help lien présent sous l’ Dashboard onglet est rompu.

[NSUI-14752]

L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

Solution :

Configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

[NSUI-13024]

Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

[NSUI-6838]

Dans une configuration haute disponibilité des appliances Citrix ADC BLX, le nœud principal peut ne plus répondre en bloquant toute demande d’interface de ligne de commande ou d’API.

Solution :

Redémarrez le nœud principal.

[NSCONFIG-6601]

Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

  1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions suivantes :
  • 13.0 52.24 build
  • 12.1 57.18 build
  • 11.1 65.10 build
  1. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
  2. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

Pour afficher la liste de ces utilisateurs système à l’aide de l’interface de ligne de commande : À l’invite de commandes, tapez :

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Solution :

Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

  • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées précédemment), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
  • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
  • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

Pour plus d’informations, voir How to reset root administrator (nsroot) password.

[NSCONFIG-3188]

Remarques