Documentation produit
Citrix ADC
Current Release 13.0 12.1
Voir PDF

Notes de mise à jour de Citrix ADC 13.1—30.52

November 16, 2022
Contributeur: 
C

Ce document de notes de version décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent pour la version 13.1-30.52 de Citrix ADC.

Remarques

Ce document de notes de version n’inclut pas de correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils relatifs à la sécurité, consultez le bulletin de sécurité Citrix.

Nouveautés

Les améliorations et modifications disponibles dans la version 13.1 à 30.52.

Mise en réseau

Prise en charge du format Asdot pour BGP ASN 4 octets

L’appliance Citrix ADC prend désormais en charge la configuration et l’affichage des numéros de système autonomes (ASN) BGP sur 4 octets au format asdot tel que défini dans la RFC 5396. L’appliance Citrix ADC prend globalement en charge les deux formats suivants pour les ASN BGP :

  • asplain - Notation de valeur décimale dans laquelle les ASN de 2 et 4 octets sont représentés par leur valeur décimale. Par exemple, 65527 est un ASN de 2 octets et 234567 est un ASN de 4 octets.

  • asdot - Notation par points du système autonome où les ASN de 2 octets sont représentés par leur valeur décimale (comme dans asplain) et les ASN de 4 octets sont représentés par une notation à points. Par exemple, 65527 est un ASN de 2 octets et 3,37959 est un ASN de 4 octets. (3,37959 est un format asdot pour le nombre décimal 234567).

[NSNET-26101]

Prise en charge du cloud Amazon Linux 2 sur AWS pour les appliances Citrix ADC BLX

L’appliance Citrix ADC BLX est désormais prise en charge sur Amazon Linux 2 sur le cloud AWS. Le Citrix ADC BLX prend en charge l’exécution avec AWS Elastic Network Adapters (ENA) en tant que ports DPDK sur Amazon Linux 2.

[NSNET-25802]

Répartition uniforme des sondes de surveillance sur les routes disponibles

De la version 13.1-30.x, l’appliance Citrix ADC utilise l’algorithme de hachage basé sur les cinq lignes suivantes pour sélectionner une route pour une sonde de surveillance d’équilibrage de charge.

  • Adresse IP source
  • Port source
  • Adresse IP de destination
  • Port de destination
  • Numéro de protocole

La sélection des routes sur la base des informations de cinq tuples garantit une répartition uniforme des sondes de surveillance sur les itinéraires disponibles. Cette répartition uniforme évite la surcharge du trafic sur un itinéraire.

Pour de plus amples informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/networking/ip-routing/route-selection-based-on-five-tuples.html.

[ NSNET-24646 ]

SSL

Prise en charge de la solution multi-agrafage OCSP

Lorsque le protocole TLS 1.3 est utilisé, tous les certificats intermédiaires incluent désormais l’extension de réponse OCSP dans la réponse à la demande d’état du client. Auparavant, seul le certificat du serveur incluait cette extension dans la réponse à la demande d’état du client.

[ NSSSL-9281 ]

Interface utilisateur

Optimisation de la commande show ns licenseserverpool pour récupérer les licences en moins de temps

Lorsque vous exécutez la commande show ns licenseserverpool, la récupération des licences prend moins de temps. Un nouveau paramètre licensemode est ajouté à la commande add ns licenseserver pour spécifier le mode de licence. Ainsi, la commande show ns licenseserverpool affiche uniquement les licences en fonction du mode de licence spécifié. Si vous souhaitez un inventaire de toutes les licences, utilisez la commande show ns licenseserverpool -get alllicenses.

Auparavant, la commande show ns licenseserverpool permettait d’afficher toutes les licences quel que soit le mode de licence configuré. Par conséquent, la commande prenait plus de temps à récupérer toutes les licences.

Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/licensing.html#citrix-adc-self-managed-pool-license

[NSCONFIG-6961]

Support pour la licence Self Managed Pool

L’appliance Citrix ADC prend désormais en charge la licence Self Managed Pool, qui simplifie et automatise le téléchargement des fichiers de licence vers le serveur de licences après l’achat. Vous pouvez utiliser Citrix ADM pour créer une structure de licences qui comprend une bande passante ou un vCPU communs et le pool d’instances.

Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/licensing.html#citrix-adc-self-managed-pool-license

[NSCONFIG-6592]

Prise en charge de l’agrégateur de licences Citrix ADC CPX

Vous pouvez désormais utiliser l’agrégateur de licences Citrix ADC CPX, un nouveau micro service Kubernetes fourni par Citrix, pour obtenir des licences pour Citrix ADC CPX. Lorsque vous démarrez Citrix ADC CPX, vous devez configurer la variable d’environnement CLA avec l’adresse IP ou le nom de domaine de l’agrégateur de licences Citrix ADC CPX. Si la variable d’environnement est configurée, l’agrégateur de licences Citrix ADC CPX extrait les licences agrégées pour tous les Citrix ADC CPX connectés.

[NSCONFIG-6394]

Problèmes résolus

Les problèmes qui sont traités dans la version 13.1-30.52.

Authentification, autorisation et audit

L’appliance Citrix ADC peut se bloquer si l’URL des métadonnées SAML dans la configuration ne se termine pas par ou contient une barre oblique inverse (/).

[NSHELP-31937]

Si vous avez configuré un serveur Syslog, vous verrez un seul journal lié à SAML sur deux lignes.

[NSHELP-31750]

Il peut y avoir des problèmes de réécriture d’applications lors de l’application de stratégies de réécriture pour la stratégie de sécurité du contenu (CSP) sur un serveur virtuel d’authentification.

[NSHELP-31583]

Les caractères non-ASCII sont enregistrés dans nsvpn.log lorsque l’action LDAP est configurée sur un nom de domaine complet au lieu d’une adresse IP.

[NSHELP-27281]

L’interface graphique de Citrix ADC n’affiche pas les stratégies de cache par défaut liées à un serveur virtuel VPN.

[NSHELP-26874]

Appliance Citrix ADC SDX

Dans une appliance Citrix ADC SDX, la création ou la modification des groupes système échoue.

[NSHELP-32359]

L’appliance Citrix ADC SDX n’envoie pas d’interruptions SNMP pour l’utilisation du disque de l’hyperviseur à Citrix ADM.

[NSHELP-32323]

Dans une appliance Citrix ADC SDX, la liste blanche de VLAN n’est pas mise à jour avec la valeur correcte pour les interfaces Mellanox attribuées à une instance Citrix ADC VPX.

[NSHELP-31849]

Lorsque vous mettez à niveau une appliance Citrix SDX, même si la version de l’hyperviseur est la même pour la version actuelle et la version mise à niveau de SDX, l’événement incorrect suivant est notifié dans l’interface graphique du service de gestion :

Incompatibilité des versions de la SVM et de l’hyperviseur

[NSHELP-31769]

L’installation d’un certificat SSL sur une appliance Citrix ADC SDX échoue si le nom du certificat ou le nom de clé contient de l’espace.

[ NSHELP-31711 ]

Parfois, le téléchargement du fichier de script post-installation (postinst.sh) vers Citrix Hypervisor échoue lors de la mise à niveau de la plate-forme, lorsque vous mettez à niveau l’appliance Citrix ADC SDX du microprogramme 13.0 vers 13.1.

[NSHELP-31125]

Citrix Gateway

Dans une configuration de cluster, l’appliance Citrix ADC se bloque lors de l’envoi de la demande CGP_FINISH_REQUEST au client.

[NSHELP-32029]

Parfois, une appliance Citrix ADC peut se bloquer lors de l’attribution d’une adresse IP Intranet à un client.

[NSHELP-31712]

Les stratégies de routage basé sur des stratégies (PBR) ne prennent pas effet pour le trafic DNS via VPN.

[NSHELP-31123]

Lorsque la stratégie EPA classique et l’authentification nFactor sont configurées, les événements Gateway Insight pour une authentification réussie ne sont pas envoyés à Citrix Application Delivery Management.

[NSHELP-30901]

Vous pouvez voir une ligne supplémentaire pour les journaux NS_AUDITLOG_STR* dans le fichier ns_aaa_json.c.

[NSHELP-28160]

Vous ne pouvez pas dissocier une stratégie d’autorisation classique à l’aide de l’interface graphique. Toutefois, vous pouvez utiliser l’interface de ligne de commande pour dissocier la stratégie d’autorisation d’authentification, d’autorisation et d’audit.

Avec ce correctif, vous pouvez désormais dissocier la stratégie d’autorisation à l’aide de l’interface graphique.

[NSHELP-27064]

Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.

[ NSHELP-23937 ]

La vulnérabilité de signalement des journaux ne capture pas l’adresse IP source du client. Ces journaux sont les suivants :

  • Suppression de la requête HTTP avec en-tête/version non valide
  • Traversée de chemin détectée
  • « /vpns/ » trouvé dans un endroit indésirable
  • Suppression des requêtes HTTP non valides

[CGOP-18190]

Citrix Web App Firewall

Sur une appliance Citrix ADC, la console peut être inondée de messages de journal et l’appliance peut envoyer des requêtes DNS au fournisseur de services de cloud public Webroot. Cela se produit parce que la fonctionnalité de réputation IP, lorsqu’elle est désactivée, s’exécute toutes les cinq minutes au lieu d’une fois toutes les 24 heures.

[NSWAF-9299]

Équilibrage de charge

Une appliance Citrix ADC peut se bloquer et vider le cœur si le script de surveillance de l’utilisateur renvoie une réponse de plus de 1 024 octets.

[NSHELP-32097]

Dans de rares cas, une appliance Citrix ADC peut se bloquer et vider le cœur si le traitement DNSSEC est activé et que la configuration de la zone DNS est présente.

[ NSHELP-31993 ]

En raison d’une situation de concurrence rare, il peut y avoir des incohérences entre le site local et le site distant. Cette incohérence peut être due au fait que le site distant n’apprend pas le membre dynamique à partir du site local.

La suppression des membres dynamiques sur le site distant peut échouer en raison d’un problème lors de la communication entre les moteurs de paquets.

[ NSHELP-31982 ]

Les requêtes SNMP WALK correspondant à l’OID vServerAdvancessLConfigTable génèrent un vidage du cœur lorsque l’ordre de priorité des serveurs virtuels est configuré.

[NSHELP-31704]

Mise en réseau

Une appliance Citrix ADC BLX avec DPDK peut ne pas redémarrer si la condition suivante est remplie :

  • L’appliance Citrix ADC BLX est allouée avec un nombre élevé de hugepages. Par exemple, 16 Go.

Le problème est consigné en tant que message d’erreur dans /var/log/ns.log :

  • EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

[ NSNET-24727 ]

Avec ECMP configuré sur une appliance Citrix ADC, le problème suivant peut être observé pour une connexion d’équilibrage de charge SSH :

  • L’appliance Citrix ADC envoie le premier paquet via une route différente de celle des autres paquets du même flux.

[NSHELP-32089]

L’appliance Citrix ADC peut se bloquer dans certains scénarios lorsque les conditions suivantes sont remplies :

  • L’appliance Citrix ADC reçoit plusieurs premiers fragments avec différents décalages.
  • L’appliance Citrix ADC ne réassemble pas les fragments.

[NSHELP-32084]

Dans une configuration d’équilibrage de charge avec sessionless option activée sur le serveur virtuel et ECMP côté serveur, le problème suivant peut être observé :

  • L’appliance Citrix ADC envoie les paquets à un serveur toujours par la même route.

[NSHELP-32061]

Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

  • En raison d’une entrée de filtrage obsolète.

[NSHELP-28895]

Plateforme

Sur une appliance Citrix ADC SDX, la taille de la bague passe de 1024 à 2048 entrées pour les interfaces Mellanox.

[NSPLAT-24539]

La rotation des journaux échoue pour les fichiers stockés dans le dossier /var/log/waagent et occupe plus d’espace disque. Cet échec se produit lorsque vous appliquez une configuration de sauvegarde issue d’une instance Citrix ADC VPX sur une autre instance ADC VPX hébergée sur le cloud Azure à l’aide de la fonctionnalité de restauration.

[NSHELP-31599]

À partir de la version 13.1 de Citrix ADC, l’appliance Citrix ADC ne démarre pas dans un hyperviseur ESXi avec plus de 8 interfaces réseau VMXNET3.

[ NSHELP-31266 ]

Stratégies

Dans une appliance Citrix ADC, les points suivants sont observés.

  • Problèmes liés à la comptabilité de la mémoire dans certains cas inhabituels.
  • Problèmes liés à l’allocation/désallocation de mémoire de certaines entités.

Le suivi de l’allocation/désallocation de certaines entités a également été ajouté/amélioré.

[NSHELP-29215]

SSL

Lorsque les paires de clés de certificat RSA et ECDSA sont liées à un serveur virtuel et que le pair prend en charge un algorithme de signature compatible, le serveur TLS 1.3 sélectionne la paire de clés de certificat ECDSA. Auparavant, le serveur TLS 1.3 sélectionnait la paire de clés de certificat RSA. Avec cette modification, le serveur TLS 1.3 se comporte désormais de la même manière que le serveur TLS 1.2.

[NSSSL-11650]

Le serveur TLS 1.3 renvoie une decode_error alerte lorsqu’il rencontre un message de poignée de main TLS 1.3 divisé (fragmenté) entre plusieurs enregistrements TLS. Cela peut avoir un impact sur la réussite de la négociation si le client s’authentifie avec un certificat et que le certificat du client est supérieur à la taille d’enregistrement TLS maximale (environ 16 Ko).

[NSSSL-2940]

Une poignée de main SSL peut échouer si la séquence de conditions suivante est remplie :

  1. Hello Verify Request (HVR) est activé sur DTLS.
  2. L’appliance Citrix ADC envoie un HVR au client.
  3. Le client ne reçoit pas le HVR.
  4. Le client essaie de retransmettre le premier bonjour client au lieu de répondre au HVR avec un cookie de session.Remarque : En réponse au message Hello client retransmis, l’appliance ADC envoie le HVR au client au maximum trois fois. Si aucune réponse appropriée n’est reçue, l’appliance échoue à la négociation.

[NSHELP-31808]

Une appliance Citrix ADC configurée pour traiter le trafic SSL peut se bloquer si l’utilisation de la mémoire dépasse 80 %.

[NSHELP-29996]

System

Une appliance Citrix ADC se bloque dans le flux de configuration de l’action syslog. Ce blocage est observé lors de la synchronisation de la haute disponibilité sur le nœud secondaire.

[ NSHELP-32254, NSHELP-32397 ]

Dans une appliance Citrix ADC, la valeur par défaut du maxHeaderFieldLen paramètre dans le profil HTTP provoque le problème suivant.

  • Échec du trafic après la mise à niveau vers la version 13.0

[NSHELP-32079]

Une appliance Citrix ADC peut se bloquer lorsque AppFlow est activé uniquement côté client.

[NSHELP-31892]

Une appliance Citrix ADC peut se bloquer lorsque la condition suivante est remplie :

  • Le profil d’analyse et la stratégie AppFlow sont liés, et l’ httpAllHdrs option est activée pour le profil.

[NSHELP-30628]

Dans une appliance Citrix ADC, le problème suivant se produit lors de l’activation de la configuration HTTP/2 pour une adresse IP virtuelle (VIP) de commutation de contenu ou d’équilibrage de charge.

  • Une augmentation de la latence pouvant atteindre 100 ms lors du transfert de l’en-tête HTTP/2 et des trames de données vers le site Web via l’appliance Citrix ADC.

[NSHELP-30094]

Interface utilisateur

Dans une configuration haute disponibilité (HA), lors de la récupération de l’adresse IP locale pour l’outil nsconf, le problème suivant est observé.

  • Échec de la connexion à l’hôte local. Cet échec se produit si le mot de passe du nœud RPC est différent pour les nœuds principaux et secondaires dans la configuration HA.

[NSHELP-32083]

L’exception suivante apparaît dans le SDK de l’API Python lors de la tentative de suppression d’une liaison de paire de clés de certificat et de serveur virtuel SSL. TypeError : impossible de concaténer les objets « str » et « bool »

[NSHELP-31746]

Les statistiques du serveur d’équilibrage de charge sont mal alignées dans le tableau de bord de l’interface graphique Citrix ADC.

[ NSHELP-20752 ]

Problèmes connus

Les problèmes qui existent dans les versions 13.1 à 30.52.

AppFlow

HDX Insight ne signale pas d’échec du lancement d’une application provoqué par un utilisateur qui tente de lancer une application ou un bureau auquel l’utilisateur n’a pas accès.

[NSINSIGHT-943]

Authentification, autorisation et audit

Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

[NSHELP-563]

Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

[ NSAUTH-6106 ]

Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante. show adfsproxyprofile <profile name>

Solution :

Connectez-vous au Citrix ADC actif principal dans le cluster et exécutez la commande show adfsproxyprofile <profile name>. Il afficherait l’état du profil proxy.

[ NSAUTH-5916 ]

La page Configurer le serveur LDAP d’authentification de l’interface graphique Citrix ADC ne répond plus si vous suivez les étapes suivantes :

  • L’option Tester l’accessibilité LDAP est ouverte.
  • Les informations d’identification de connexion non valides sont renseignées et envoyées.
  • Les identifiants de connexion valides sont renseignés et envoyés.

Solution :

Fermez et ouvrez l’option Tester l’accessibilité LDAP.

[ NSAUTH-2147 ]

Appliance Citrix ADC SDX

Sur une appliance Citrix ADC SDX, si le CLAG est créé sur une carte réseau Mellanox, la MAC CLAG est modifiée lorsque l’instance VPX est redémarrée. Le trafic vers l’instance VPX s’arrête après le redémarrage car la table MAC contient l’ancienne entrée MAC CLAG.

[ NSSVM-4333 ]

Citrix Gateway

Sur un appareil MAC utilisant Chrome, l’extension VPN se bloque lors de l’accès à deux noms de domaine complets.

[NSHELP-32144]

Les connexions directes aux ressources situées en dehors du tunnel établi par Citrix Secure Access peuvent échouer en cas de retard ou de congestion important.

[NSHELP-31598]

Lorsque Always on est configuré, le tunnel utilisateur échoue en raison du numéro de version incorrect (1.1.1.1) dans le fichier aoservice.exe.

[ NSHELP-30662 ]

Les utilisateurs ne peuvent pas se connecter à l’appliance Citrix Gateway après avoir changé le paramètre de profil « NetworkAccessonVPNFailure » de « FullAccess » à « OnlyToGateway ».

[NSHELP-30236]

La page d’accueil de la passerelle ne s’affiche pas immédiatement après que le plug-in de passerelle a réussi à établir le tunnel VPN. Pour résoudre ce problème, la valeur de registre suivante est introduite.

\HKLM\Software\Citrix\Secure Access Client\SecureChannelResetTimeoutSeconds Type: DWORD

Par défaut, cette valeur de registre n’est ni définie ni ajoutée. Lorsque la valeur de SecureChannelResetTimeoutSeconds est 0 ou n’est pas ajoutée, le correctif pour gérer le délai ne fonctionne pas, ce qui est le comportement par défaut. L’administrateur doit définir ce registre sur le client pour activer le correctif (c’est-à-dire afficher la page d’accueil immédiatement après que le plug-in de passerelle ait établi le tunnel VPN avec succès).

[NSHELP-30189]

Le client VPN Windows n’honore pas l’alerte « Notification de fermeture SSL » du serveur et envoie la demande de connexion de transfert sur la même connexion.

[NSHELP-29675]

Parfois, le code de validation du serveur échoue lorsque le certificat du serveur est approuvé. Par conséquent, les utilisateurs finaux ne peuvent pas accéder à la passerelle.

[ NSHELP-28942 ]

Vous remarquerez peut-être certaines adresses IP internes de Citrix dans le fichier rdx.js.

[ NSHELP-28682 ]

L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

[ NSHELP-28551 ]

Parfois, un utilisateur est déconnecté de Citrix Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

[ NSHELP-28404 ]

Le plug-in EPA pour Windows n’utilise pas le proxy configuré de la machine locale et se connecte directement au serveur de passerelle.

[ NSHELP-24848 ]

Le plug-in VPN n’établit pas de tunnel après l’ouverture de session Windows, si les conditions suivantes sont remplies :

  • L’appliance Citrix Gateway est configurée pour la fonctionnalité Always On
  • L’appliance est configurée pour l’authentification basée sur des certificats avec authentification à deux facteurs off

[ NSHELP-23584 ]

Parfois, lorsque vous parcourez les schémas, le message d’erreur Cannot read property 'type' of undefined s’affiche.

[ NSHELP-21897 ]

Si vous souhaitez utiliser le VPN Always On avant la fonctionnalité d’ouverture de session Windows, il est recommandé de passer à Citrix Gateway 13.0 ou version ultérieure. Cela vous permet d’utiliser les améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

[ CGOP-19355 ]

L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.

[ CGOP-13621 ]

Le rapport Gateway Insight affiche incorrectement la valeur Local plutôt que SAML dans le champ Type d’authentification en cas d’échec d’erreur SAML.

[ CGOP-13584 ]

Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

[ CGOP-13511 ]

Lorsqu’une connexion ICA est lancée à partir d’un Receiver MAC version 19.6.0.32 ou Citrix Virtual Apps and Desktops version 7.18, la fonctionnalité HDX Insight est désactivée.

[CGOP-13494]

Lorsque la fonction EDT Insight est activée, les canaux audio peuvent parfois échouer en cas de divergence réseau.

[CGOP-13493]

Lors de l’acceptation des connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

[ CGOP-13050 ]

Le texte Home Page de l’application Citrix SSO > Page d’accueil est tronqué dans certaines langues.

[ CGOP-13049 ]

Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

[ CGOP-11830 ]

Dans Outlook Web App (OWA) 2013, cliquez sur Options dans le menu Configuration pour afficher une boîte de dialogue Erreur critique . De plus, la page ne répond plus.

[ CGOP-7269 ]

Équilibrage de charge

Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

[ NSLB-7679 ]

Dans une configuration haute disponibilité (HA), les routes sont abandonnées sur le nouveau nœud principal et ne sont pas réapprises lorsque la condition suivante est remplie.

  • La suppression dynamique de route et le basculement HA se produisent en même temps en raison d’une défaillance critique de l’interface.

[NSHELP-32264]

Le format ServiceGroupName dans l’interruption entityofs pour le groupe de services est le suivant : <service(group)name>?<ip/DBS>?<port>

Dans le format de déroutement, le groupe de services est identifié par une adresse IP ou un nom et un port DBS. Le point d’interrogation (?) est utilisé comme séparateur. Citrix ADC envoie l’interruption avec le point d’interrogation (?). Le format s’affiche de la même manière dans l’interface graphique Citrix ADM. C’est le comportement attendu.

[ NSHELP-28080 ]

Dans certains scénarios, les serveurs liés à un groupe de services affichent une valeur de cookie non valide. Vous pouvez voir la valeur de cookie correcte dans les journaux de suivi.

[NSHELP-21196]

Divers

Lorsqu’une synchronisation forcée a lieu dans une configuration haute disponibilité, l’appliance exécute la commande set urlfiltering parameter sur le nœud secondaire. Par conséquent, le nœud secondaire ignore toute mise à jour planifiée jusqu’à la prochaine heure planifiée mentionnée dans le paramètre TimeOfDayToUpdateDB.

[ NSSWG-849 ]

Le registre de liste AlwaysOnAllow ne fonctionne pas comme prévu si la valeur du registre est supérieure à 2000 octets.

[NSHELP-31836]

Une appliance Citrix ADC peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.

[ NSHELP-22409 ]

Mise en réseau

Dans une appliance Citrix ADC BLX prenant en charge DPDK, les VLAN balisés ne sont pas pris en charge pour les ports de carte réseau Intel i350 DPDK. Ceci est observé car il s’agit d’un problème connu présent sur le pilote DPDK.

[NSNET-25299]

Une appliance Citrix ADC BLX avec DPDK peut ne pas redémarrer si toutes les conditions suivantes sont remplies :

  • L’appliance Citrix ADC BLX est allouée avec un faible nombre de hugepages. Par exemple, 1G.
  • L’appliance Citrix ADC BLX est allouée avec un nombre élevé de processus de travail. Par exemple, 28.

Le problème est consigné en tant que message d’erreur dans /var/log/ns.log :

  • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

Remarque : x est un nombre <= nombre de processus de travail.

Solution :

Attribuez un nombre élevé de, hugepages puis redémarrez l’appliance.

[ NSNET-25173 ]

Le redémarrage d’une appliance Citrix ADC BLX en mode DPDK peut prendre un peu plus de temps en raison de la fonctionnalité de facilité DPDK.

[ NSNET-24449 ]

Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :

  • Désactiver
  • Activer
  • Réinitialiser

[ NSNET-16559 ]

L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

Solution :

Exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

  • dpkg –add-architecture i386
  • apt-get update
  • apt-get dist-upgrade
  • apt-get install libc6:i386

[NSNET-14602]

Dans certains cas de connexions de données FTP, l’appliance Citrix ADC effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

[NSNET-5233]

Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance Citrix ADC, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

[ NSHELP-21082 ]

Plateforme

Lorsque vous effectuez une mise à niveau de versions 13.0/12.1/11.1 vers une version 13.1 ou que vous passez d’une version 13.1 à une version 13.0/12.1/11.1, certains packages python ne sont pas installés sur les appliances Citrix ADC. Ce problème est résolu pour les versions Citrix ADC suivantes :

  • 13.1-4.x
  • 13.0—82.31 et versions ultérieures
  • 12.1—62.21 et versions ultérieures

Les packages python ne sont pas installés lorsque vous rétrogradez les versions de Citrix ADC de 13.1-4.x vers l’une des versions suivantes :

  • Toute version 11.1
  • 12.1-62.21 et versions antérieures
  • 13.0-81.x et versions antérieures

[NSPLAT-21691]

Dans une configuration de cluster sur une appliance Citrix ADC SDX, il existe une incompatibilité CLAG MAC sur le deuxième nœud et CLIP si les conditions suivantes sont remplies :

  • Le CLAG est créé sur une carte réseau Mellanox.
  • Vous ajoutez une autre instance VPX au cluster et à la configuration CLAG.

Par conséquent, le trafic vers l’instance VPX s’arrête.

[NSPLAT-21049]

Dans une configuration de cluster sur une appliance Citrix ADC SDX, le premier nœud tombe en panne en raison d’une incompatibilité d’adresse MAC sur la table CLIP et MAC, si les conditions suivantes sont remplies :

  • Le CLAG est créé sur une carte réseau Mellanox.
  • Vous supprimez le deuxième nœud du cluster.

[NSPLAT-21042]

Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance Citrix ADC. Utilisez la commande rm cloudprofile pour supprimer le profil.

[NSPLAT-4520]

Dans une configuration haute disponibilité sur Azure, lors de la connexion au nœud secondaire via l’interface graphique, l’écran de premier utilisateur (FTU) pour la configuration du profil cloud à mise à l’échelle automatique s’affiche. Solution : ignorez l’écran et connectez-vous au nœud principal pour créer le profil de cloud. Le profil cloud doit toujours être configuré sur le nœud principal.

[NSPLAT-4451]

Stratégies

Les connexions peuvent se bloquer si la taille des données de traitement est supérieure à la taille de tampon TCP par défaut configurée.Solution : définissez la taille du tampon TCP sur la taille maximale des données à traiter.

[ NSPOLICY-1267 ]

SSL

Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

Solution :

  1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
  2. Enregistrez la configuration.

[NSSSL-9572]

Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

[NSSSL-6478]

Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

[NSSSL-6213]

Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier Key Vault comme type HSM. ERROR: crl refresh disabled

[NSSSL-6106]

L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

[NSSSL-4427]

Un message d’avertissement incorrect Warning: No usable ciphers configured on the SSL vserver/service, s’affiche si vous essayez de modifier le protocole SSL ou le chiffrement dans le profil SSL.

[NSSSL-4001]

Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA. [NSSSL-3184, NSSSL-1379, NSSSL-1394]

Après la mise à niveau d’une appliance Citrix ADC SDX vers la version 13.1 build 21.50 ou ultérieure, le déchiffrement SSL et la comparaison MAC peuvent échouer. Par conséquent, vous pouvez voir des échecs d’établissement de liaison SSL, un battement d’état VPX, une indisponibilité de l’interface utilisateur de l’instance VPX et une panne des serveurs virtuels et de l’application.

Remarque : Ce problème est observé sur les plates-formes SDX 8900, SDX 15000, SDX 15000-50G, SDX 26000 et SDX 26000-50S.

[NSHELP-31672]

System

La valeur MAX_CONCURRENT_STREAMS est définie sur 100 par défaut si l’appliance ne reçoit pas le cadre de paramètres max_concurrent_stream du client.

[ NSHELP-21240 ]

Les compteurs mptcp_cur_session_without_subflow décrémentent incorrectement à une valeur négative au lieu de zéro.

[ NSHELP-10972 ]

Dans un déploiement de cluster, si vous exécutez la commande force cluster sync sur un nœud non CCO, le fichier ns.log contient des entrées de journal en double. [NSBASE-16304, NSGI-1293]

Lorsque vous installez Citrix ADM sur un cluster Kubernetes, il ne fonctionne pas comme prévu car les processus requis peuvent ne pas s’exécuter.

Solution : redémarrez le module Gestion.

[ NSBASE-15556 ]

L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.

[ NSBASE-8506 ]

L’appliance Citrix ADC configurée avec un service SSL se bloque lorsque l’appliance reçoit un paquet de contrôle TCP FIN suivi d’un paquet de contrôle TCP RESET.

[NSHELP-31656]

Interface utilisateur

Pour la fonction de réécriture MQTT, vous ne pouvez pas supprimer une expression à l’aide de l’éditeur d’expression dans l’interface graphique.

Solution :

Utilisez la commande d’action add ou edit de type MQTT via l’interface de ligne de commande.

[NSUI-18049]

Dans l’interface graphique Citrix ADC, le lien Help présent sous l’onglet Dashboard est rompu.

[NSUI-14752]

L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

Solution :

Configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

[NSUI-13024]

Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

[NSUI-6838]

Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

  • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

Solution :

Effectuez le basculement HA manuel successif uniquement après la fin de la synchronisation HA (les deux nœuds sont en état de réussite de la synchronisation).

[ NSHELP-25598 ]

Dans une configuration haute disponibilité des appliances Citrix ADC BLX, le nœud principal peut ne plus répondre en bloquant toute demande d’interface de ligne de commande ou d’API.

Solution :

Redémarrez le nœud principal.

[NSCONFIG-6601]

Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

  1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions suivantes :

    • 13.0 52.24 build
    • 12.1 57.18 build
    • 11.1 65.10 build
  2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration.
  3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

Pour afficher la liste de ces utilisateurs système à l’aide de l’interface de ligne de commande :

À l’invite de commandes, tapez :

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Solution :

Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

  • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
  • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
  • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

[NSCONFIG-3188]

Notes de mise à jour de Citrix ADC 13.1—30.52
November 16, 2022
Contributeur: 
C
November 16, 2022
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement
© 1999- Cloud Software Group, Inc. All rights reserved.