Citrix ADC

Notes de mise à jour pour la version 13.1-24.38 de Citrix ADC

Ce document de notes de mise à jour décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent pour la version 13.1-24.38 de Citrix ADC.

Remarques

Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.

Les versions 13.1-24.38 et ultérieures corrigent les failles de sécurité décrites dans la section https://support.citrix.com/article/CTX457836.

Nouveautés

Améliorations et modifications disponibles dans Build 13.1-24.38.

Équilibrage de charge

Prise en charge du basculement de connexion pour le mode INC haute disponibilité

Citrix ADC prend désormais en charge le basculement de connexion pour le mode INC haute disponibilité lorsque toutes les conditions suivantes sont remplies :

  • Le type de service du serveur virtuel est ANY.
  • Le mode est DSR (MAC, IPTUNNEL ou TOS).
  • USIP est activé sur les services liés au serveur virtuel.

[NSLB-9121]

Prise en charge des dossiers CAA

L’appliance Citrix ADC prend désormais en charge l’ajout d’enregistrements CAA (Certificate Authority Authorization). L’enregistrement CAA est un type d’enregistrement DNS (Domain Name System) qui permet aux propriétaires de domaine de spécifier quelle autorité de certification (CA) peut émettre des certificats SSL pour le domaine.

Cette amélioration fournit un niveau de protection supplémentaire à votre présence sur le Web. Le fait de ne pas disposer d’enregistrements CAA peut entraîner un risque de sécurité, car n’importe qui peut générer une demande de signature de certificat (CSR) pour le domaine et faire signer le certificat par n’importe quelle autorité de certification.

[NSLB-9007]

Plateforme

Sur la plate-forme Citrix ADC SDX 8015, la version de gestion des lumières (LOM) est mise à niveau de la version 3.21 à la version 3.56.

Sur les plates-formes Citrix ADC SDX 14000, SDX 14000-40G, SDX 14000-40S et SDX 14000-FIPS, la version LOM est mise à niveau de la version 4.08 vers la version 4.14.

[NSPLAT-23416]

Prise en charge du backend Citrix ADC Autoscale sur Azure avec VMSS dans les groupes de ressources

L’instance Citrix ADC VPX prend désormais en charge la mise à l’échelle automatique back-end Azure entre les groupes de ressources dans les scénarios suivants :

Azure VMSS et l’instance Citrix ADC VPX sont déployées dans le même réseau virtuel Azure. Azure VMSS et l’instance Citrix ADC VPX sont déployées dans différents réseaux virtuels Azure qui font partie du même abonnement Azure. Ces deux réseaux virtuels doivent être connectés à l’aide de la fonctionnalité d’appairage de réseaux virtuels d’Azure.

Cette fonctionnalité vous permet de séparer les applications et les ressources réseau dans différents groupes de ressources.

Auparavant, Autoscale back-end Citrix ADC sur Azure ne fonctionnait que si l’instance VMSS et Citrix ADC VPX étaient déployées dans le même groupe de ressources.

[NSPLAT-16664]

System

Compteurs d’abonnement sur le collecteur de métriques

L’appliance Citrix ADC prend désormais en charge une option permettant d’abonner des compteurs sur le collecteur de metrics. Le collecteur de mesures prend en charge l’exportation de données d’analyse de séries chronologiques toutes les 30 secondes dans différents formats tels que AVRO, le format Prometheus et le format Influx DB. Le collecteur de metrics prend en charge la mise à jour dynamique des compteurs qui vous permet d’ajouter les compteurs requis à un fichier de schéma. Vous pouvez configurer le nom du fichier de schéma à l’aide de l’interface CLI. Le collecteur de métriques lit les noms de compteurs à partir du fichier de schéma et les exporte.

Auparavant, le collecteur de metrics ne prenait en charge que l’exportation d’un ensemble prédéfini de compteurs au moment de la compilation. Toute modification de la liste des compteurs nécessitait une mise à niveau de build. Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/ns-ag-appflow-intro-wrapper-con/ns-ag-appflow-config-tsk.html.

[ NSBASE-11595 ]

Interface utilisateur

Configurer les alertes d’expiration de licence Citrix ADC

Vous pouvez désormais configurer l’appliance Citrix ADC pour effectuer les opérations d’alerte suivantes à partir d’un certain nombre de jours avant l’expiration d’une licence Citrix ADC :

  • Affiche une bannière d’alerte d’expiration de licence sur l’interface graphique de Citrix ADC.
  • Envoie des interruptions SNMP contenant les informations d’expiration de licence à intervalles réguliers aux écouteurs de trap configurés si l’alarme NS_LICENSE_EXPIRY SNMP est activée.

[NSCONFIG-6360]

Problèmes résolus

Les problèmes qui sont résolus dans Build 13.1-24.38.

Authentification, autorisation et audit

Dans une configuration de passerelle unifiée, dans de rares cas, une page de reconnexion peut s’afficher lorsque vous accédez à des services derrière la passerelle unifiée, même après que l’authentification a réussi.

[NSHELP-31148, NSHELP-27994]

L’authentification unique basée sur les formulaires échoue pour les serveurs principaux qui envoient des paramètres clé-valeur dans la requête URL.

[NSHELP-30975]

L’appliance Citrix ADC peut se bloquer en raison d’une allocation de mémoire importante en raison d’une URL cible manquante dans la configuration OAuth.

[ NSHELP-30963 ]

Vous pouvez rencontrer des problèmes intermittents avec l’authentification RADIUS lors de l’utilisation de Chrome en mode navigation privée.

[ NSHELP-30944 ]

Le module Authentication, authorization, and AuditingD de l’appliance Citrix ADC peut se bloquer en raison d’une longueur de mot de passe entrant manquante ou incorrecte du moteur de paquets vers Authentication, authorization, and AuditingD.

[ NSHELP-30911 ]

L’appliance Citrix ADC se bloque pendant l’opération push nFactor.

[NSHELP-30577]

Il peut y avoir un échec intermittent lors de la connexion au serveur Outlook Exchange via l’application Outlook en raison d’un ajout d’en-tête incorrect par l’appliance Citrix ADC.

[NSHELP-30555]

L’appliance Citrix ADC peut se bloquer en raison d’une corruption de la mémoire en cas d’échec de la communication cœur à cœur.

[NSHELP-30275]

L’authentification unique échoue lors d’une session d’authentification lorsque l’événement de changement de mot de passe est déclenché. Ce problème se produit uniquement si le paramètre PersistentLogin attempts est activé.

[ NSHELP-28085 ]

Dans certains cas, un message invalid credentials d’erreur s’affiche pendant le processus d’authentification RADIUS. L’erreur s’affiche lorsque l’on accède à l’appliance Citrix ADC à partir d’un appareil client à l’aide du navigateur Google Chrome.

[ NSHELP-27113 ]

Lorsqu’un dispositif Citrix ADC effectue une recherche de groupe LDAP imbriqué, certaines informations sur les groupes provenant d’Active Directory sont manquées en raison d’un comportement non valide de l’appliance Citrix ADC. L’appliance ADC prend une valeur incorrecte même lorsque le paramètre groupSearchSubAttribute est configuré correctement.

[ NSHELP-26316 ]

L’appliance Citrix ADC vide le cœur lorsque NOAUTH est configuré comme premier facteur et Negotiate comme facteur suivant dans le flux d’authentification basé sur 401.

[NSHELP-25203]

Appliance Citrix ADC SDX

Sur une interface graphique Citrix ADC SDX, l’affichage des serveurs NTP peut geler l’interface utilisateur si le fichier de configuration NTP (ntp.conf) ne contient que des espaces dans l’une des lignes.

[NSHELP-31530]

Sur une appliance Citrix ADC SDX avec des cartes réseau Mellanox, la modification du débit d’une instance VPX dotée de cartes réseau Mellanox redémarre l’instance VPX.

[ NSHELP-31305 ]

Après la mise à niveau d’une appliance Citrix ADC SDX vers la version 13.1 build 21.50 ou ultérieure, le déchiffrement SSL et la comparaison MAC peuvent échouer. Par conséquent, vous pouvez voir des échecs d’établissement de liaison SSL, un battement d’état VPX, une indisponibilité de l’interface utilisateur de l’instance VPX et une panne des serveurs virtuels et de l’application.

Remarque : Ce problème est observé sur les plates-formes SDX 8900, SDX 15000, SDX 15000-50G, SDX 26000 et SDX 26000-50S.

[NSHELP-31672]

Citrix Gateway

Dans de rares cas, l’appliance Citrix ADC configurée avec le serveur virtuel VPN peut se bloquer après une connexion réussie à Citrix Gateway.

[ NSHELP-31481 ]

Dans une configuration DTLS ICA, l’appliance Citrix Gateway se bloque lors du traitement du ticket STA.

[ NSHELP-31211 ]

L’appliance Citrix ADC consigne de manière incorrecte le message UDPFLOWSTAT indiquant le trafic comme Allowed pour le trafic UDP refusé par une stratégie d’autorisation.

[ NSHELP-29542 ]

Une fuite de mémoire est observée dans une appliance Citrix ADC lorsqu’un proxy sortant est configuré.

[ NSHELP-29234 ]

La page Session des utilisateurs actifs n’affiche pas toutes les sessions utilisateur actives sauf si le nombre d’entrées est passé à 2000 par page.

Avec ce correctif, un nouveau lien All user session (Citrix gateway -> Surveiller les connexions > Toutes les sessions utilisateur) est ajouté dans l’interface utilisateur d’administration qui répertorie toutes les sessions et connexions utilisateur.

[ NSHELP-29151 ]

La sortie de commande show vpn icaConnection n’affiche pas correctement les numéros de série des connexions ICA. Ce problème se produit car le numéro de série est réinitialisé arbitrairement lors de l’exécution de show vpn icaconnection.

[ NSHELP-25646 ]

Citrix Web App Firewall

Une stratégie de Web App Firewall peut être enregistrée deux fois dans le fichier de configuration (ns.conf).

[NSHELP-30899]

Dans l’injection SQL WAF contenant une citation (guillemet simple, guillemet double ou coche inverse), les guillemets d’ouverture et de clôture doivent être présents pour marquer le modèle comme une attaque. Toutefois, lorsqu’un commentaire est présent dans le pattern, la citation finale n’est pas requise.

[NSHELP-30379]

Équilibrage de charge

Le préfixe d’étendue n’est pas défini correctement lorsque ECS est activé sur l’appliance ADC et que l’emplacement est introuvable. Ce problème entraîne la création d’une entrée de persistance incorrecte. L’entrée de persistance incorrecte est créée en fonction de l’adresse IP LDNS au lieu de l’adresse IP ECS reçue dans la demande pour la méthode GSLB basée sur la proximité non statique.

[NSHELP-30846]

Dans un scénario de concurrence rare, le moteur de paquets peut se bloquer avec le vidage de mémoire lorsque la configuration suivante est présente sur l’appliance Citrix ADC :

  • Le serveur virtuel GSLB est configuré avec la persistance basée sur l’adresse IP source et la journalisation DNS est activée sur le profil DNS lié au service ADNS.
  • Le serveur d’équilibrage de charge DNS est configuré sans que la journalisation DNS soit activée sur le profil DNS.

[ NSHELP-29791 ]

Divers

L’interface utilisateur jQuery du portail est mise à jour de la version 1.12.1 vers la version 1.13.1 afin de corriger la vulnérabilité décrite dans les Bulletins de sécurité : CVE-2021-41182, CVE-2021-41183 et CVE-2021-41184.

[NSHELP-30209]

Mise en réseau

Sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure), une appliance Citrix ADC BLX est toujours déployée en mode partagé, quels que soient les paramètres du fichier de configuration BLX (/etc/blx/blx.conf). Ce problème se produit car mawk, qui est présent par défaut sur les systèmes Linux basés sur Debian, n’exécute pas certaines des commandes awk présentes dans le fichier blx.conf.

[ NSNET-14603 ]

Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

  • Les entrées de filtrage et de mappage LSN ne sont pas présentes dans l’appliance.

[NSHELP-30225]

L’appliance Citrix ADC peut se bloquer si vous dissociez un ensemble de données d’une règle ACL alors que certains paquets correspondaient à la règle ACL.

[NSHELP-30221]

Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

  • Le nombre de références de session n’est pas nul lors de la suppression d’une entrée de filtrage

[NSHELP-29348]

Plateforme

Sur une appliance Citrix ADC SDX avec une image groupée unique (SBI) et VPX versions 13.1-24.x ou ultérieures, le déploiement actif-actif à l’aide de VRRP sur les cartes réseau Fortville est pris en charge. Ce déploiement n’est pas pris en charge en mode L2.

Les points suivants s’appliquent au déploiement :

  • Citrix recommande de supprimer la configuration VRID du service de gestion avant de mettre à niveau ou de rétrograder l’instance VPX associée. Ajoutez la configuration VRID à partir du service de gestion une fois l’opération de mise à niveau ou de rétrogradation terminée.
  • Si vous ne suivez pas la recommandation précédente, vous devez redécouvrir manuellement les instances VPX à partir du service de gestion pour activer la convergence VRRP.

[NSHELP-30670]

Le basculement HA pour l’instance Citrix ADC VPX sur le cloud GCP et AWS échoue lorsque le mot de passe d’un nœud RPC contient un caractère spécial.

[ NSHELP-28600 ]

Stratégies

Dans certains scénarios, une appliance Citrix ADC peut se bloquer lorsqu’une action d’affectation est utilisée avec l’opération d’effacement pour une variable AppExpert.

[NSHELP-29766]

SSL

Une appliance Citrix ADC MPX/SDX 14000 FIPS peut se bloquer en raison de l’utilisation continue d’API pour les opérations de chiffrement, par des applications internes telles que SAML, sur une période donnée.

[ NSHELP-27952 ]

System

Le collecteur REST est en panne même lorsque le paramètre AppFlow TimeSeriesOverNSIP est activé.

[ NSHELP-30759 ]

Dans une appliance Citrix ADC, un problème de latence est observé dans les transactions HTTP/2 si les conditions suivantes sont remplies :

  • La configuration SSL HTTP/2 est activée sur le service back-end
  • Le service ne supporte pas le protocole HTTP/2.

[NSHELP-30020]

L’appliance Citrix ADC signale une fausse alarme SNMP sur les compteurs d’inondation SYN de service.

[NSHELP-28710, NSHELP-28713]

Interface utilisateur

Si une appliance Citrix ADC configurée avec des licences groupées est mise à niveau, l’appliance peut redémarrer avec une configuration partielle.

[ NSHELP-30926 ]

Dans une appliance Citrix ADC, la liaison de la stratégie de cache pour remplacer globale ou globale par défaut à l’aide de l’interface utilisateur graphique échoue avec l’erreur suivante :

  • Argument obligatoire manquant.

Cette erreur n’apparaît pas lors de la liaison de la stratégie de cache à l’aide de l’interface CLI.

[ NSHELP-30826 ]

Le filtre de recherche n’est pas disponible pour la clé « Nom » dans la page Gérer les certificats > CSR de l’interface graphique Citrix ADC.

[NSHELP-30274]

Problèmes connus

Les problèmes qui existent dans la version 13.1-24.38.

AppFlow

HDX Insight ne signale pas d’échec du lancement d’une application provoqué par un utilisateur qui tente de lancer une application ou un bureau auquel l’utilisateur n’a pas accès.

[NSINSIGHT-943]

Authentification, autorisation et audit

Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

[NSHELP-563]

Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

[ NSAUTH-6106 ]

Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante. show adfsproxyprofile <profile name>

Solution de contournement :

Connectez-vous au Citrix ADC actif principal dans le cluster et exécutez la commande show adfsproxyprofile <profile name>. Il afficherait l’état du profil proxy.

[ NSAUTH-5916 ]

La page Configurer le serveur LDAP d’authentification de l’interface graphique Citrix ADC ne répond plus si vous suivez les étapes suivantes :

  • L’option Tester l’accessibilité LDAP est ouverte.
  • Les informations d’identification de connexion non valides sont renseignées et envoyées.
  • Les identifiants de connexion valides sont renseignés et envoyés.

Solution de contournement :

Fermez et ouvrez l’option Tester l’accessibilité LDAP.

[ NSAUTH-2147 ]

Mise en cache

Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

[ NSHELP-22942 ]

Appliance Citrix ADC SDX

Sur une appliance Citrix ADC SDX, si le CLAG est créé sur une carte réseau Mellanox, la MAC CLAG est modifiée lorsque l’instance VPX est redémarrée. Le trafic vers l’instance VPX s’arrête après le redémarrage car la table MAC contient l’ancienne entrée MAC CLAG.

[ NSSVM-4333 ]

L’installation d’un certificat SSL sur une appliance Citrix ADC SDX échoue si le nom du certificat ou le nom de clé contient de l’espace.

[ NSHELP-31711 ]

Sur une appliance Citrix ADC SDX, les instances ADC n’atteindront pas leur capacité maximale lorsque vous configurez le mode d’allocation de débit en rafale.

[ NSHELP-27477 ]

Les pertes de paquets sont observées sur une instance VPX hébergée sur un dispositif Citrix ADC SDX si les conditions suivantes sont remplies :

  • Le mode d’allocation du débit est en rafale.
  • Il existe une grande différence entre le débit et la capacité maximale de rafale.

[ NSHELP-21992 ]

Citrix Gateway

Lorsque Always on est configuré, le tunnel utilisateur échoue en raison du numéro de version incorrect (1.1.1.1) dans le fichier aoservice.exe.

[ NSHELP-30662 ]

Les utilisateurs ne peuvent pas se connecter à l’appliance Citrix Gateway après avoir changé le paramètre de profil « NetworkAccessonVPNFailure » de « FullAccess » à « OnlyToGateway ».

[NSHELP-30236]

La page d’accueil de la passerelle ne s’affiche pas immédiatement après que le plug-in de passerelle a réussi à établir le tunnel VPN. Pour résoudre ce problème, la valeur de registre suivante est introduite. \HKLM\Software\Citrix\Secure Access Client\SecureChannelResetTimeoutSeconds Type: DWORD

[NSHELP-30189]

Le client VPN Windows n’honore pas l’alerte « Notification de fermeture SSL » du serveur et envoie la demande de connexion de transfert sur la même connexion.

[NSHELP-29675]

Dans certains cas, le code de validation du serveur échoue lorsque le certificat de serveur est approuvé. Par conséquent, les utilisateurs finaux ne peuvent pas accéder à la passerelle.

[ NSHELP-28942 ]

Vous remarquerez peut-être certaines adresses IP internes de Citrix dans le fichier rdx.js.

[ NSHELP-28682 ]

L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

[ NSHELP-28551 ]

Parfois, un utilisateur est déconnecté de Citrix Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

[ NSHELP-28404 ]

Vous ne pouvez pas dissocier une stratégie d’autorisation classique à l’aide de l’interface graphique. Toutefois, vous pouvez utiliser l’interface de ligne de commande pour dissocier la stratégie d’autorisation d’authentification, d’autorisation et d’audit.

Avec ce correctif, vous pouvez désormais dissocier la stratégie d’autorisation à l’aide de l’interface graphique.

[NSHELP-27064]

Le plug-in EPA pour Windows n’utilise pas le proxy configuré de la machine locale et se connecte directement au serveur de passerelle.

[ NSHELP-24848 ]

Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.

[ NSHELP-23937 ]

Le plug-in VPN n’établit pas de tunnel après l’ouverture de session Windows, si les conditions suivantes sont remplies :

  • L’appliance Citrix Gateway est configurée pour la fonctionnalité Always On
  • L’appliance est configurée pour l’authentification par certificat avec une authentification à deux facteurs. off

[ NSHELP-23584 ]

Parfois, lorsque vous parcourez les schémas, le message d’erreur Cannot read property 'type' of undefined s’affiche.

[ NSHELP-21897 ]

Si vous souhaitez utiliser le VPN Always On avant la fonctionnalité d’ouverture de session Windows, il est recommandé de passer à Citrix Gateway 13.0 ou version ultérieure. Cela vous permet de tirer parti des améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

[ CGOP-19355 ]

L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.

[ CGOP-13621 ]

Le rapport Gateway Insight affiche incorrectement la valeur Local plutôt que SAML dans le champ Type d’authentification pour les échecs d’erreur SAML.

[ CGOP-13584 ]

Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

[ CGOP-13511 ]

Lorsqu’une connexion ICA est lancée à partir d’un Receiver MAC version 19.6.0.32 ou Citrix Virtual Apps and Desktops version 7.18, la fonctionnalité HDX Insight est désactivée.

[CGOP-13494]

Lorsque la fonction EDT Insight est activée, les canaux audio peuvent parfois échouer en cas de divergence réseau.

[CGOP-13493]

Lors de l’acceptation des connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

[ CGOP-13050 ]

Le texte Home Page de la page d’accueil de l’application Citrix SSO > est tronqué pour certaines langues.

[ CGOP-13049 ]

Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

[ CGOP-11830 ]

Dans Outlook Web App (OWA) 2013, le fait de cliquer sur Options dans le menu Paramètres affiche une boîte de dialogue Erreur critique . De plus, la page ne répond plus.

[ CGOP-7269 ]

Équilibrage de charge

Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

[ NSLB-7679 ]

Le format ServiceGroupName dans l’interruption entityofs pour le groupe de services est le suivant : <service(group)name>?<ip/DBS>?<port>

Dans le format de déroutement, le groupe de services est identifié par une adresse IP ou un nom et un port DBS. Le point d’interrogation (?) est utilisé comme séparateur. Citrix ADC envoie l’interruption avec le point d’interrogation (?). Le format s’affiche de la même manière dans l’interface graphique Citrix ADM. C’est le comportement attendu.

[ NSHELP-28080 ]

Dans certains scénarios, les serveurs liés à un groupe de services affichent une valeur de cookie non valide. Vous pouvez voir la valeur de cookie correcte dans les journaux de suivi.

[NSHELP-21196]

Divers

Lorsqu’une synchronisation forcée a lieu dans une configuration haute disponibilité, l’appliance exécute la commande set urlfiltering parameter dans le nœud secondaire. Par conséquent, le nœud secondaire ignore toute mise à jour planifiée jusqu’à la prochaine heure planifiée mentionnée dans le paramètre TimeOfDayToUpdateDB.

[ NSSWG-849 ]

Une appliance Citrix ADC peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.

[ NSHELP-22409 ]

Mise en réseau

Dans une appliance Citrix ADC BLX prenant en charge DPDK, les VLAN balisés ne sont pas pris en charge pour les ports de carte réseau Intel i350 DPDK. Ceci est observé car il s’agit d’un problème connu présent sur le pilote DPDK.

[NSNET-25299]

Une appliance Citrix ADC BLX avec DPDK peut ne pas redémarrer si toutes les conditions suivantes sont remplies :

  • L’appliance Citrix ADC BLX est allouée avec un faible nombre de hugepages. Par exemple, 1G.
  • L’appliance Citrix ADC BLX est allouée avec un nombre élevé de processus de travail. Par exemple, 28.

Le problème est consigné en tant que message d’erreur dans /var/log/ns.log :

  • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

Remarque : x est un nombre <= nombre de processus de travail.

Solution de contournement :

Attribuez un nombre élevé de, hugepages puis redémarrez l’appliance.

[ NSNET-25173 ]

Une appliance Citrix ADC BLX avec DPDK peut ne pas redémarrer si la condition suivante est remplie :

  • L’appliance Citrix ADC BLX est allouée avec un nombre élevé de hugepages. Par exemple, 16 Go.

Le problème est consigné en tant que message d’erreur dans /var/log/ns.log :

  • EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

Solution de contournement :

Utilisez l’une des solutions de contournement suivantes pour résoudre ce problème :

  • Augmentez la limite de fichiers ouverts sur l’hôte Linux en utilisant la commande ulimit ou en modifiant le fichier limits.conf.
  • Réduisez le nombre de hugepages alloués.

[ NSNET-24727 ]

Le redémarrage d’une appliance Citrix ADC BLX en mode DPDK peut prendre un peu plus de temps en raison de la fonctionnalité de facilité DPDK.

[ NSNET-24449 ]

Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :

  • Désactiver
  • Activer
  • Réinitialiser

[ NSNET-16559 ]

L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Solution de contournement :

Exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

  • dpkg –add-architecture i386
  • apt-get update
  • apt-get dist-upgrade
  • apt-get install libc6:i386

[NSNET-14602]

Dans certains cas de connexions de données FTP, l’appliance Citrix ADC effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

[NSNET-5233]

Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance Citrix ADC, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

[ NSHELP-21082 ]

Plateforme

Le basculement haute disponibilité ne fonctionne pas dans les clouds AWS et GCP. Le processeur de gestion peut atteindre sa capacité de 100 % dans les clouds AWS et GCP, et Citrix ADC VPX sur site. Ces deux problèmes sont provoqués lorsque les conditions suivantes sont remplies :

  1. Lors du premier démarrage de l’appliance Citrix ADC, vous n’enregistrez pas le mot de passe demandé.
  2. Par la suite, vous redémarrez l’appliance Citrix ADC.

[NSPLAT-22013]

Lorsque vous effectuez une mise à niveau de versions 13.0/12.1/11.1 vers une version 13.1 ou que vous passez d’une version 13.1 à une version 13.0/12.1/11.1, certains packages python ne sont pas installés sur les appliances Citrix ADC. Ce problème est résolu pour les versions Citrix ADC suivantes :

  • 13.1-4.x
  • 13.0-82.31 et versions ultérieures
  • 12.1-62.21 et versions ultérieures

Les packages python ne sont pas installés lorsque vous rétrogradez les versions de Citrix ADC de 13.1-4.x vers l’une des versions suivantes :

  • Toute version 11.1
  • 12.1-62.21 et versions antérieures
  • 13.0-81.x et versions antérieures

[NSPLAT-21691]

Dans une configuration de cluster sur une appliance Citrix ADC SDX, il existe une incompatibilité CLAG MAC sur le deuxième nœud et CLIP si les conditions suivantes sont remplies :

  • Le CLAG est créé sur une carte réseau Mellanox.
  • Vous ajoutez une autre instance VPX au cluster et à la configuration CLAG.

Par conséquent, le trafic vers l’instance VPX s’arrête.

[NSPLAT-21049]

Dans une configuration de cluster sur une appliance Citrix ADC SDX, le premier nœud tombe en panne en raison d’une incompatibilité d’adresse MAC sur la table CLIP et MAC, si les conditions suivantes sont remplies :

  • Le CLAG est créé sur une carte réseau Mellanox.
  • Vous supprimez le deuxième nœud du cluster.

[NSPLAT-21042]

Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance Citrix ADC. Utilisez la commande rm cloudprofile pour supprimer le profil.

[NSPLAT-4520]

Dans une configuration haute disponibilité sur Azure, lors de la connexion au nœud secondaire via l’interface graphique, l’écran de premier utilisateur (FTU) pour la configuration du profil cloud à mise à l’échelle automatique s’affiche. Solution : ignorez l’écran et connectez-vous au nœud principal pour créer le profil de cloud. Le profil cloud doit toujours être configuré sur le nœud principal.

[NSPLAT-4451]

À partir de la version 13.1 de Citrix ADC, l’appliance Citrix ADC ne démarre pas dans un hyperviseur ESXi avec plus de 8 interfaces réseau VMXNET3.

[ NSHELP-31266 ]

Stratégies

Les connexions peuvent se bloquer si la taille des données de traitement est supérieure à la taille de tampon TCP par défaut configurée.Solution : définissez la taille du tampon TCP sur la taille maximale des données à traiter.

[ NSPOLICY-1267 ]

SSL

Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

Solution de contournement :

  1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
  2. Enregistrez la configuration.

[NSSSL-9572]

Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

[NSSSL-6478]

Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

[NSSSL-6213]

Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM. ERROR: crl refresh disabled

[NSSSL-6106]

L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

[NSSSL-4427]

Un message d’avertissement incorrect Warning: No usable ciphers configured on the SSL vserver/service, s’affiche si vous essayez de modifier le protocole SSL ou le chiffrement dans le profil SSL.

[NSSSL-4001]

Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA. [NSSSL-3184, NSSSL-1379, NSSSL-1394]

Sur les appliances certifiées FIPS MPX 8900 et MPX 15000, l’exécution du trafic ECDHE peut provoquer une fuite de mémoire.

[ NSHELP-30744 ]

System

La valeur MAX_CONCURRENT_STREAMS est définie sur 100 par défaut si l’appliance ne reçoit pas le cadre de paramètres max_concurrent_stream du client.

[ NSHELP-21240 ]

Les compteurs mptcp_cur_session_without_subflow décrémentent incorrectement à une valeur négative au lieu de zéro.

[ NSHELP-10972 ]

Dans un déploiement de cluster, si vous exécutez la commande force cluster sync sur un nœud non CCO, le fichier ns.log contient des entrées de journal en double. [NSBASE-16304, NSGI-1293]

Lorsque vous installez Citrix ADM sur un cluster Kubernetes, il ne fonctionne pas comme prévu car les processus requis peuvent ne pas s’exécuter.

Solution : redémarrez le module Gestion.

[ NSBASE-15556 ]

L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.

[ NSBASE-8506 ]

L’appliance Citrix ADC supprime les paquets qui contiennent des en-têtes HTTP personnalisés avec un point (». «) dans le champ du nom de l’en-tête. Cette action se produit parce que le paramètre allowOnlyWordCharactersAndHyphen est activé par défaut dans le profil HTTP par défaut.

Solution : désactivez cette option allowOnlyWordCharactersAndHyphen dans le profil HTTP par défaut. Citrix vous recommande toutefois de le laisser activé.

[NSBASE-16722]

Interface utilisateur

Pour la fonction de réécriture MQTT, vous ne pouvez pas supprimer une expression à l’aide de l’éditeur d’expression dans l’interface graphique.

Solution de contournement :

Utilisez la commande d’action add ou edit de type MQTT via l’interface de ligne de commande.

[NSUI-18049]

Dans l’interface graphique Citrix ADC, le lien Help présent sous l’onglet Dashboard est rompu.

[NSUI-14752]

L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

Solution de contournement :

Configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

[NSUI-13024]

Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

[NSUI-6838]

Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

  • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

Solution de contournement :

Effectuez le basculement HA manuel successif uniquement après la fin de la synchronisation HA (les deux nœuds sont en état de réussite de la synchronisation).

[ NSHELP-25598 ]

Dans une configuration haute disponibilité des appliances Citrix ADC BLX, le nœud principal peut ne plus répondre en bloquant toute demande d’interface de ligne de commande ou d’API.

Solution de contournement :

Redémarrez le nœud principal.

[NSCONFIG-6601]

Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

  1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions suivantes :
  • 13.0 52.24 build
  • 12.1 57.18 build
  • 11.1 65.10 build
  1. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
  2. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

Pour afficher la liste de ces utilisateurs système à l’aide de l’interface de ligne de commande : À l’invite de commandes, tapez :

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Solution de contournement :

Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

  • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
  • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
  • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

[NSCONFIG-3188]

Notes de mise à jour pour la version 13.1-24.38 de Citrix ADC