Documentation produit
Citrix ADC
Current Release 13.0 12.1
Voir PDF

Notes de publication pour la version 13.1-33.54 de Citrix ADC

December 16, 2022
Contributeur: 
C

Ce document de notes de mise à jour décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent dans la version 13.1-33.54 de Citrix ADC.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
  • Les versions 13.1-33.47 et ultérieures corrigent les failles de sécurité décrites dans https://support.citrix.com/article/CTX463706.
  • La version 33.54 remplace la version 33.52, la version 33.49 et la version 33.47.
  • La version 33.54 inclut des correctifs pour les problèmes suivants : NSHELP-33250, NSHELP-33345 et NSHELP-33063.
  • La version 33.52 incluait un correctif pour le problème suivant : NSHELP-32907.
  • La version 33.49 incluait des correctifs pour les problèmes suivants : NSHELP-32709, NSHELP-32697, NSHELP-32410, NSHELP-31790, NSHELP-31478 et NSCONFIG-7098.

Nouveautés

Les améliorations et modifications disponibles dans la version 13.1-33.54.

Gestion des bots

  • Nouvelles expressions liées au BOT

    Les expressions suivantes sont ajoutées et peuvent être utilisées lorsque le profil BOT est configuré en mode journalisation :

    • HTTP.REQ.BOT.IS_SUSPECTED - Renvoie la valeur true si le client est soupçonné d’être un BOT.
    • HTTP.REQ.BOT.TYPE.EQ(<bot type>) - Renvoie la valeur true si le type BOT du client est identique à l’argument. Valeurs possibles des types de BOT : GOOD, BAD et UNKNOWN.
    • HTTP.REQ.BOT.TYPE.NE(<bot type>) - Renvoie la valeur true si le type BOT du client n’est pas identique à l’argument. Valeurs possibles des types de BOT : GOOD, BAD et UNKNOWN.
    • HTTP.REQ.BOT.TYPE.ENUM_NAME - Renvoie le type BOT sous forme de chaîne. Par exemple, BON, MAUVAIS, INCONNU.
    • HTTP.REQ.BOT.DETECTION_METHODS - Liste des techniques de détection à l’aide desquelles un client est détecté en tant que BOT.

    [NSBOT-842]

Citrix Gateway

  • Lorsque SmartControl est configuré, la fiabilité des sessions est prise en charge même si la session d’authentification, d’autorisation et d’audit correspondante n’existe pas. La demande de reconnexion reçue par l’appliance Citrix ADC depuis l’appareil client après la restauration suite à une interruption du réseau est traitée même si la session d’authentification, d’autorisation et d’audit correspondante n’existe pas.

    [CGOP-21040]

Citrix Web App Firewall

  • Nouveau profil Web App Firewall par défaut

    Un nouveau profil par défaut, appelé core, est désormais disponible avec les principales protections WAF. Les contrôles suivants sont activés dans le profil principal :

    • Injection SQL basée sur la grammaire
    • Injection CMD basée sur la grammaire
    • XSS
    • BOF
    • Expressions de blocs

    [NSWAF-9133]

  • Support de mots clés personnalisés pour la charge utile JSON

    Vous pouvez ajouter des mots-clés de votre choix et vérifier si ces mots-clés configurés sont présents dans la charge utile JSON. Si les mots-clés configurés sont détectés dans les demandes entrantes, vous pouvez configurer l’appliance Citrix ADC pour bloquer les demandes, mettre à jour les journaux ou incrémenter les compteurs de journaux.

    L’avantage est que vous pouvez ajouter des mots-clés qui ne sont pas couverts par les contrôles d’injection SQL et d’injection de commandes et ainsi réduire le nombre de faux positifs.

    [NSWAF-9076]

Plateforme

  • Empêcher l’utilisation non autorisée des licences Citrix ADC

    Pour toute mise à niveau de l’appliance Citrix ADC vers la version 13.1, le système de licences Citrix ADC applique désormais la validation de la licence conformément à la date d’expiration des Customer Success Services. Si cette date est antérieure à la date d’éligibilité aux Customer Success Services, la licence existante ne fonctionnera pas sur la version mise à niveau de l’appliance ADC. Ce comportement peut empêcher l’utilisation non autorisée des licences.

    Pour obtenir la liste des produits Citrix et leurs dates d’éligibilité, consultez https://support.citrix.com/article/CTX111618/citrix-product-customer-success-services-eligibility-dates.

    [NSPLAT-24522]

  • Gestion de la suppression dynamique des cartes réseau dans le réseau accéléré Azure

    Une instance Citrix ADC VPX peut désormais gérer de manière fluide les suppressions dynamiques de cartes réseau et le rattachement des cartes réseau supprimées dans un réseau accéléré Azure.

    Azure peut supprimer la carte réseau à fonction virtuelle (VF) de virtualisation des E/S à racine unique (SR-IOV) du réseau accéléré pour ses activités de maintenance de l’hôte. Chaque fois qu’une carte réseau est supprimée de la machine virtuelle Azure, l’instance Citrix ADC VPX affiche l’état de l’interface comme Link Down et le trafic passe uniquement par l’interface virtuelle. Une fois la carte réseau supprimée reconnectée, les instances VPX utilisent la carte réseau VF SR-IOV reconnectée. Ce processus se déroule sans problème et ne nécessite aucune configuration.

    [NSPLAT-23300]

  • Support pour Python 3.7

    L’appliance Citrix ADC prend désormais en charge Python 3.7 car Python 2.7 est obsolète.

    Vous devez mettre à jour vos scripts Python actuels pour qu’ils soient compatibles avec Python 3.7.

    [NSPLAT-20832]

SSL

  • Prise en charge des notifications récurrentes jusqu’à l’expiration du certificat

    L’appliance Citrix ADC envoie désormais une notification par jour jusqu’à l’expiration du certificat. Auparavant, une seule notification était envoyée un certain nombre de jours avant l’expiration du certificat.

    [NSSSL-11874]

  • Augmentation de la longueur de l’adresse e-mail dans une demande de création de certificat

    Sur une appliance Citrix ADC, la limite d’adresse e-mail dans une demande de création de certificat est désormais portée à 255 caractères. Auparavant, la limite était de 39 caractères.

    [NSSSL-10917]

  • Support pour Thales Luna HSM sur les plateformes Intel Coleto et Intel Lewisburg

    Thales Luna HSM est désormais compatible avec les plateformes basées sur des puces SSL Citrix ADC, Intel Coleto et Intel Lewisburg.

    Les appareils suivants sont livrés avec des puces Intel Coleto :

    • MPX 5900
    • MPX/SDX 8900
    • MPX/SDX 15000
    • MPX/SDX 15000-50G
    • MPX/SDX 26000
    • MPX/SDX 26000-50S
    • MPX/SDX 26000-100 G

    Les plateformes suivantes sont livrées avec des puces Intel Lewisburg :

    • MPX 9100
    • SDX 9100

    [NSSSL-9707]

System

  • Nouveau paramètre ajouté dans le profil HTTP

    Un nouveau paramètre PassProtocolUpgrade est ajouté au profil HTTP pour empêcher les attaques sur les serveurs principaux. Selon l’état de ce paramètre, l’en-tête de mise à niveau est transmis dans la demande envoyée au serveur principal ou supprimé avant l’envoi de la demande.

    • Si le paramètre PassProtocolUpgrade est activé, l’en-tête de mise à niveau est transmis au back-end. Le serveur accepte la demande de mise à niveau et l’informe dans sa réponse.
    • Si ce paramètre est désactivé, l’en-tête de mise à niveau est supprimé et la demande restante est envoyée au backend.

    Le paramètre PassProtocolUpgrade est ajouté aux profils suivants :

    • nshttp_default_profile ACTIVÉ par défaut
    • nshttp_default_strict_validation DISABLED by default
    • nshttp_default_internal_apps DISABLED by default
    • nshttp_default_http_quic_profile ACTIVÉ par défaut

    Citrix recommande de désactiver ce paramètre par défaut. Pour plus de détails, consultez le guide de déploiement sécurisé de Citrix ADC.

    [NSBASE-17423]

  • Prise en charge de plusieurs profils chronologiques

    L’appliance Citrix ADC prend désormais en charge jusqu’à trois configurations de profils chronologiques.
    Vous pouvez configurer chaque profil de série chronologique de manière à avoir les caractéristiques suivantes :

    • Son collecteur
    • fichier de schéma contenant l’ensemble de compteurs requis à exporter par le collecteur de métriques
    • Format de données dans lequel les métriques peuvent être exportées.
    • Possibilité d’activer ou de désactiver les mesures, les journaux d’audit et les événements.

    Grâce à la prise en charge de plusieurs profils de séries chronologiques, le collecteur de métriques peut exporter simultanément un ensemble différent (en fonction du fichier de schéma configuré) de mesures vers différents collecteurs dans différents formats (AVRO, Prometheus, Influx).

    Pour plus d’informations, voir Configuration de la fonctionnalité AppFlow.

    [NSBASE-16809]

  • Le Syslog n’est pas exporté via TCP à un intervalle de temps spécifique. En raison de cette situation, le Syslog reste indéfiniment dans la mémoire tampon d’audit, ce qui donne l’impression que les journaux sont manquants. Ce Syslog n’est envoyé que lorsque la mémoire tampon est pleine.

    Avec ce correctif, le Syslog est exporté via TCP lorsque la mémoire tampon d’audit est pleine, ou toutes les 20 secondes, selon la première éventualité.

    [NSBASE-16698]

  • Support de délestage cryptographique pour QUIC

    L’appliance Citrix ADC prend désormais en charge le transfert du traitement cryptographique du logiciel vers le matériel, ce qui accélère les transactions QUIC. L’appliance Citrix ADC est équipée de puces matérielles SSL qui effectuent l’accélération du chiffrement de manière transparente.

    Pour plus d’informations, voir QUIC.

    [ NSBASE-12046 ]

Interface utilisateur

  • Communication RPC sécurisée basée sur le paramètre TLS 1.2 pour les services internes

    Après la mise à niveau d’une appliance Citrix ADC vers la version 13.1 build 33.x ou ultérieure à partir de l’une des versions suivantes, l’option « sécurisée » pour le nœud RPC est activée ou désactivée sur la base du paramètre TLS 1.2 (activé ou désactivé) présent pour les services RPC et KRPCS internes.

    • Version 13.0 build 64.35 ou antérieure
    • Version 12.1 build 61.18 ou antérieure

    La communication RPC est cryptée entre les nœuds Citrix ADC des configurations suivantes si l’option « Secure » est activée :

    • Haute disponibilité
    • Cluster :
    • GSLB

    L’option « secure » utilise le protocole sécurisé TLS1.2 et les numéros de port 3008 et 3009 pour la connexion RPC entre les nœuds Citrix ADC.

    Pour garantir la sécurité des communications RPC, Citrix recommande d’effectuer les opérations suivantes avant de mettre à niveau ces configurations :

    • Le protocole TLS 1.2 doit être activé pour les services internes du RPC et du KRPCS :
      • nsrpcs-127.0.0.1-3008
      • nskrpcs-127.0.0.1-3009
      • nsrpcs-::1l-3008
    • 3008 et 3009 doivent être débloqués dans les pare-feux entre les nœuds Citrix ADC.

    Vous pouvez activer ou désactiver l’option sécurisée à l’aide de l’interface de ligne de commande Citrix ADC ou de l’interface graphique.

    [NSCONFIG-6485]

  • Prise en charge de l’agrégateur de licences Citrix ADC CPX

    Vous pouvez désormais utiliser l’agrégateur de licences Citrix ADC CPX, un nouveau micro service Kubernetes fourni par Citrix, pour obtenir des licences pour Citrix ADC CPX. Lorsque vous démarrez Citrix ADC CPX, vous devez configurer la variable d’environnement CLA avec l’adresse IP ou le nom de domaine de l’agrégateur de licences Citrix ADC CPX. Si la variable d’environnement est configurée, l’agrégateur de licences Citrix ADC CPX extrait les licences agrégées pour tous les Citrix ADC CPX connectés.

    [NSCONFIG-6394]

  • Prise encharge des options asynchrones pour l’installation de l’API NITRO
    Une nouvelle option « async » a été introduite dans l’API « install NITRO ». L’option « async » renvoie l’identifiant de tâche de l’opération d’installation, qui peut être utilisé dans l’appel d’API « nsjob NITRO » pour récupérer les détails de l’état de l’opération d’installation.

    Exemple :

    Dans l’exemple de requête curl suivant, l’API d’installation NITRO est utilisée avec l’option async. La charge utile de réponse contient l’ID de tâche 2.

    Curl request:
    “curl -v -X POST -H “Content-Type: application/json” -u nsroot:examplepassword http://192.0.0.33/nitro/v1/config/install?warning=yes -d ‘{“install”: {“url”: “https://example-repo.citrite.net/build-13.1-36.11_nc_64.tgz”, “async”:”1”}}’”

    Charge utile de réponse :

    ”{ “install”:{ “url”: "<file path>", “y”: false, “l”: false, “a”: false, “enhancedupgrade”: false, “resizeswapvar”: false, “async”: true, “id”: “2” }”

    Dans l’exemple de requête curl suivant, l’API « nsjob » NITRO est utilisée pour récupérer les détails d’état de l’identifiant de tâche 2, qui est l’identifiant de l’opération d’installation.

    Curl request:
    “curl -v -X GET -H “Content-Type: application/json” -u nsroot:examplepassword http://192.0.0.33/nitro/v1/config/nsjob/2

    Charge utile de réponse :

    ”{ “errorcode”: 0, “message”: “Done”, “severity”: “NONE”, “nsjob”: [

    { “name”: “install”, “id”: “2”, “status”: “Success”, “progress”: “nInstallation has completed.nnReboot is required for configuration changes to take effect.Installation succeeded. Reboot required.n”, “timeelapsed”: 148, “errorcode”: “5221”, “message”: “The configuration changes will not take effect until the system is rebootedn” }

    ]}”

    [NSCONFIG-5870]

Problèmes résolus

Les problèmes résolus dans la version 13.1-33.54.

Authentification, autorisation et audit

  • L’appliance Citrix ADC arrête de traiter les demandes en raison d’une fuite de mémoire dans le module MEM_SSLVPN.

    [NSHELP-32646]

  • La page de connexion à l’authentification Citrix Gateway Duo ne se charge pas avec des thèmes autres que RFWebUI.

    [NSHELP-32463]

  • Lors de l’enregistrement de votre appareil auprès de l’appliance Citrix Gateway, le message « échec de l’enregistrement push » s’affiche pour Citrix Secure Access (Citrix SSO).

    [NSHELP-32461]

  • Si les authentifications LDAP et SAML sont configurées en cascade, une page d’erreur s’affiche lors de la connexion.

    [NSHELP-32378]

  • Parfois, l’authentification auprès de la passerelle à l’aide de l’application Citrix Workspace échoue.

    [NSHELP-32333]

  • L’authentification SAML échoue si la fonctionnalité Content Security Policy (CSP) est activée sur l’appliance Citrix ADC.

    [NSHELP-32203]

Mise en cache

  • Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

    [ NSHELP-22942 ]

Appliance Citrix ADC SDX

  • Dans une appliance Citrix ADC SDX, l’option Clean Install ne fonctionne pas lorsque vous passez de la version 13.1 build 30.52 à une version ou une version inférieure.

    [NSSVM-5419]

  • Quelques fichiers de configuration du module de sécurité matérielle (HSM) redondants sont également sauvegardés lorsque les instances Citrix ADC VPX sont sauvegardées à l’aide de SDX et ADM.

    [NSHELP-32539]

  • Le journal système du service de gestion de l’appliance Citrix ADC SDX affiche deux fois la date de manière incorrecte.

    [NSHELP-32311]

Citrix Gateway

  • L’appliance Citrix ADC se bloque si l’une des fonctionnalités Gateway Insight et Web Insight ou les deux sont activées.

    [NSHELP-33345]

  • Parfois, le proxy RDP ne fonctionne pas en présence d’un broker de connexion.

    [NSHELP-33063]

  • L’appliance Citrix Gateway peut se bloquer si HDX Insight est activé et si un utilisateur se connecte à StoreFront immédiatement après s’être déconnecté.

    [NSHELP-32907, NSHELP-33079, NSHELP-33289]

  • L’analyse EPA de l’adresse MAC basée sur Patset ne fonctionne pas de la même manière que la numérisation du certificat de l’appareil.

    [NSHELP-32760]

  • L’appliance Citrix ADC supprime tout paquet HTTP dont la méthode d’authentification est inconnue utilisée pour le trafic d’authentification. La méthode d’authentification inconnue interrompt le déploiement en provoquant des problèmes d’équilibrage de charge si des serveurs virtuels d’authentification et d’autorisation sont utilisés pour le trafic d’authentification. La méthode d’authentification inconnue est désactivée par défaut.

    [NSHELP-32709]

  • La boîte de dialogue « Transférer la connexion » n’affiche pas le bouton Transférer.

    [NSHELP-32614]

  • L’appliance Citrix ADC se bloque lors du traitement de la demande de déconnexion POST /CitrixAuthService/AuthService.asmx du serveur StoreFront lorsque l’URL de rappel est configurée sur StoreFront.

    [NSHELP-32207]

  • Dans une appliance Citrix Gateway, les paramètres VPN globaux ne prennent pas effet si les paramètres VPN ne sont pas définis au niveau de l’action de session.

    Avant de mettre à niveau votre configuration de haute disponibilité, assurez-vous de désactiver manuellement la synchronisation HA sur l’appliance secondaire. Pour plus de détails, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/upgrade-downgrade-citrix-adc-appliance/upgrade-downgrade-ha-pair.html

    [NSHELP-31478, CGOP-21737]

  • Le titre de la page de connexion Citrix Gateway et les thèmes du portail ne s’affichent pas correctement.

    [NSHELP-29202]

  • Lors de la configuration du pool IIP (adresse IP et masque), si l’adresse IP ne correspond pas à la première adresse IP de la plage, l’interface de ligne de commande et l’interface graphique Citrix ADC n’affichent qu’un seul bloc et pas tous.

    Exemple :
    bind vpn vserver vpn_ssl -intranetIP 172.168.1.1 255.255.255.0
    bind vpn vserver vpn_ssl -intranetIP 172.168.2.1 255.255.255.0

    Dans ce cas, l’interface de ligne de commande ou l’interface graphique affichée lors de l’affichage du serveur vpn vpn_ssl affiche uniquement le pool 172.168.2.1 et non 172.168.2.2.

    [NSHELP-29084]

Citrix Web App Firewall

  • Une appliance Citrix ADC autonome ou le mode secondaire d’une configuration HA peuvent se bloquer si vous configurez un objet de signature pour Citrix Web App Firewall sur les versions logicielles suivantes :

    • 13.0 build 88.5 et versions ultérieures
    • 13.1 build 33.41 et versions ultérieures

    [NSHELP-33250]

  • Une mise à jour de signature WAF échoue lorsqu’un serveur proxy et un port proxy sont configurés. Pendant le processus de mise à jour automatique des signatures qui s’exécute toutes les heures, l’appliance ADC contacte l’hôte de mise à jour automatique pour télécharger les fichiers mis à jour au lieu de passer par le serveur proxy et le port proxy configurés. Par conséquent, un échec de mise à jour est observé lorsque l’hôte de mise à jour automatique n’est pas accessible.

    [NSHELP-32613]

  • L’appliance Citrix ADC peut se bloquer si les conditions suivantes sont remplies :

    • La charge sur l’appareil est élevée.
    • Des modifications de configuration sont en cours.
    • La suppression d’une signature prend beaucoup de temps.

    [NSHELP-32454]

  • Les attaques par répétition d’une session par empreinte digitale d’un appareil bot sont enregistrées plutôt que supprimées.

    [NSHELP-31949]

Équilibrage de charge

  • Toute modification apportée au groupe de services entraîne des modifications du hachage des cookie lorsque l’ useencryptedPersistenceCookie option est activée dans la set lb param commande.

    [NSHELP-32697]

  • Dans de rares cas, une appliance Citrix ADC peut se bloquer et générer un vidage de base lorsque la persistance basée sur l’ID de session SSL et le traitement basé sur les tickets de session SSL sont activés sur un serveur virtuel de commutation de contenu.

    [NSHELP-32228]

  • L’état du moniteur LDAP reste actif même si les attributs configurés ne sont pas présents sur le serveur.

    [NSHELP-32025]

Divers

  • Un nœud de cluster entre dans une boucle de paquets lorsque les conditions suivantes sont remplies :

    • Un paquet UDP avec une adresse IP de destination sous la forme CLIP est envoyé à un nœud de cluster.
    • Le CCO a changé d’un nœud à l’autre pendant la durée de vie de l’instance de cluster.

    [NSHELP-30804]

Mise en réseau

  • Citrix ADC CPX ne parvient pas à récupérer la configuration d’itinéraire par défaut après un blocage lorsque vous utilisez la configuration de démarrage basée sur des fichiers avec ConfigMaps. Ce comportement entraîne une perte de connectivité.

    [NSNET-27124]

  • L’appliance Citrix ADC peut ajouter une somme de contrôle IP incorrecte à l’en-tête IP des paquets UDP.

    [NSHELP-32587]

  • Dans une configuration de cluster Citrix ADC BLX, VTYSH peut ne pas démarrer si la condition suivante est remplie :

    • L’hôte Linux est redémarré, provoquant une boucle de commande du processus Citrix ADC BLX Route Health Injection (RHI).

    [NSHELP-32473]

  • Lorsque vous supprimez un serveur virtuel, l’appliance Citrix ADC définit de manière incorrecte l’état VIP RHI associé sur DOWN si les conditions suivantes sont remplies :

    • Le serveur virtuel possède des serveurs virtuels de sauvegarde.
    • Le serveur virtuel est à l’état DOWN et au moins un serveur virtuel de sauvegarde est à l’état UP.

    [NSHELP-29972]

Plateforme

  • Une appliance Citrix ADC exécutée sur un processeur AMD peut se bloquer au démarrage, lorsque vous mettez à niveau la version logicielle vers la version 13.1 build 30.x.

    [NSPLAT-24968, NSHELP-32808]

  • Le basculement haute disponibilité ne fonctionne pas dans les clouds AWS et GCP. Le processeur de gestion peut atteindre sa capacité de 100 % dans les clouds AWS et GCP, et Citrix ADC VPX sur site. Ces deux problèmes sont provoqués lorsque les conditions suivantes sont remplies :

    1. Lors du premier démarrage de l’appliance Citrix ADC, vous n’enregistrez pas le mot de passe demandé.
    2. Par la suite, vous redémarrez l’appliance Citrix ADC.

    [NSPLAT-22013]

  • Lorsqu’une appliance Citrix ADC SDX contenant des cartes réseau Mellanox est mise à niveau à partir d’une version dans laquelle le filtrage VLAN est désactivé et que le service de gestion tente de désactiver le filtrage VLAN dans le cadre de la mise à niveau, l’opération échoue. Par conséquent, le filtrage VLAN est activé pour toutes les interfaces et tous les canaux.

    [NSHELP-32759]

Stratégies

  • Une appliance Citrix ADC peut se bloquer lors de l’ajout d’une stratégie avec patset lorsque la condition suivante est remplie :

    • L’indicateur associé à NSB est défini dans le mauvais ordre pour le scénario Rewrite TCP.

    [NSHELP-31064]

SSL

  • Lorsqu’un serveur virtuel reçoit un enregistrement TLS 1.3 dont le remplissage n’est pas valide, il envoie une alerte fatale « decode_error » au lieu d’une alerte « message inattendu ».

    [NSSSL-11890]

  • Sur les plates-formes Citrix ADC MPX et SDX dotées d’un matériel d’accélération cryptographique compatible Intel QAT, le type de persistance SOURCEIP n’est pas appliqué de manière cohérente aux demandes envoyées aux serveurs virtuels via des connexions TLS 1.3. En d’autres termes, les demandes envoyées depuis une adresse IP source unique peuvent être distribuées à plusieurs serveurs principaux différents.

    [NSHELP-32410, NSHELP-32895, NSHELP-32572, NSHELP-32688]

  • Une appliance Citrix ADC contenant une carte SSL Cavium peut se bloquer lors de l’envoi d’un message DTLS ALERT au client.

    [NSHELP-32031]

  • Une appliance Citrix ADC peut se bloquer si la règle d’authentification du certificat est évaluée et déclenchée deux fois sur la même demande.

    [NSHELP-31785]

System

  • Vous pouvez activer la fonctionnalité AppFlow dans la partition d’administration uniquement après avoir activé le mode ULFD dans la partition par défaut.

    [NSHELP-32670]

  • L’appliance Citrix ADC peut traiter une requête HTTP comme une demande non valide lorsqu’une méthode de requête HTTP partielle est présente dans un segment TCP entrant.

    [NSHELP-32462]

  • Une appliance Citrix ADC peut se bloquer si la condition suivante est remplie :

    • Lors de combinaisons d’utilisation élevée de la mémoire entre HTTP2 et SSL, l’appliance Citrix ADC ne parvient pas à allouer de la mémoire.

    [NSHELP-32255]

  • Une appliance Citrix ADC se bloque dans une configuration VPN lorsque la capture de paquets nstrace est démarrée avec des filtres IP ou PORT.

    [NSHELP-31790]

  • Un client gRPC ne parvient pas à analyser l’en-tête d’état du gRPC lorsque la condition suivante est remplie :

    • L’en-tête d’état gRPC est ajouté à la fois dans l’en-tête de début et dans l’en-tête de fin au lieu d’être ajouté uniquement dans l’en-tête de fin.

    [NSHELP-31640]

  • Lorsque SACK est activé, l’appliance Citrix ADC ne retransmet pas le dernier segment TCP d’un octet de la liste de retransmission pour la raison suivante : l’appliance utilise le dernier segment TCP d’un octet comme segment fictif pour marquer la fin de la liste de retransmission.

    [NSHELP-28778]

Interface utilisateur

  • Vous ne pouvez pas lier un service GSLB à un serveur virtuel GSLB à l’aide de l’interface graphique Citrix ADC, car la liste des services GSLB sous GSLB Service Group Binding> GSLB Service Binding > GSLB Services apparaît vide.

    [NSHELP-32236]

  • La modification d’un itinéraire statique à l’aide de l’interface graphique Citrix ADC (système > réseau > routes) peut échouer de manière incorrecte avec le message d’erreur suivant :

    • « Argument requis manquant [passerelle] »

    [NSHELP-32024]

  • Dans une configuration HA/Cluster, la synchronisation de la configuration échoue si vous avez configuré des clés SSH autres que RSA. Par exemple, les clés ECDSA ou DSA.

    [NSHELP-31675]

  • Dans l’interface graphique Citrix ADC, s’il existe une destination de trap SNMP existante sous System>SNMP>Traps, la modification de cette destination échoue avec le message d’erreur suivant :

    • « Erreur lors de la récupération du trap SNMP »

    [NSHELP-31661]

  • L’interface graphique de l’appliance Citrix ADC n’affiche pas le nombre correct des stratégies IDP SAML et OAuth configurées.

    [NSHELP-31480]

  • Dans une appliance Citrix ADC, lors de l’utilisation de l’interface graphique, le problème suivant apparaît sur la page de stratégie du répondeur :

    • Les stratégies de réponse personnalisées créées peuvent être affichées sous les stratégies de réponse intégrées.

    [NSHELP-31428]

  • Dans une configuration Citrix ADC HA, le problème suivant est observé dans l’interface graphique Citrix ADC après avoir enregistré une configuration et cliqué sur le bouton d’actualisation :

    • L’interface graphique affiche de manière incorrecte le point orange sur le bouton Enregistrer, même si aucune modification de configuration non enregistrée n’est présente sur l’appliance.

    [NSHELP-30031]

  • Les statistiques du serveur virtuel GSLB ne sont pas disponibles en mode partition d’administration.

    [NSHELP-28524]

  • Une appliance Citrix ADC qui a retiré des licences auprès de Citrix ADM passe en période de grâce lorsque l’appliance se déconnecte d’ADM. L’appliance apparaît sans licence dans ADM et continue pendant la période de grâce, même après sa reconnexion à ADM.

    [NSCONFIG-7098]

Problèmes connus

Les problèmes qui existent dans la version 13.1-33.54.

AppFlow

  • HDX Insight ne signale pas d’échec du lancement d’une application provoqué par un utilisateur qui tente de lancer une application ou un bureau auquel l’utilisateur n’a pas accès.

    [NSINSIGHT-943]

Authentification, autorisation et audit

  • L’authentification de passerelle via un client CWA ou des clients VPN natifs peut échouer en raison de chaînes manquantes dans le ns_aaa_relaystate_param_whitelist patset.

    Solution :

    bind policy patset ns_aaa_relaystate_param_whitelist "citrixauthwebviewdone://" -index 1 -charset ASCII

    bind policy patset ns_aaa_relaystate_param_whitelist "citrixsso://" -index 2 -charset ASCII

    bind policy patset ns_aaa_relaystate_param_whitelist "citrixng://" -index 3 -charset ASCII

    [NSHELP-33054]

  • L’appliance Citrix ADC supprime le suffixe du jeu de caractères dans l’en-tête Content-Type et l’envoie Content-Type: application/x-www-form-urlencoded si vous avez configuré les deux options suivantes.

    • Authentification basée sur un formulaire SSO
    • nsapimgr knob - nsapimgr_wr.sh -ys call=ns_formsso_use_ctype_simple_enable knob

    [NSHELP-31977]

  • Vous pouvez rencontrer des problèmes lors de la déconnexion si l’authentification SAML est configurée.

    [NSHELP-31962]

  • Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

    [NSHELP-563]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    show adfsproxyprofile <profile name>

    Solution : connectez-vous au Citrix ADC actif principal du cluster et exécutez la show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

  • La page Configurer le serveur LDAP d’authentification de l’interface graphique Citrix ADC ne répond plus si vous suivez les étapes suivantes :

    • L’option Tester l’accessibilité LDAP est ouverte.
    • Les informations d’identification de connexion non valides sont renseignées et envoyées.
    • Les identifiants de connexion valides sont renseignés et envoyés.

    Solution : fermez et ouvrez l’option Tester l’accessibilité LDAP.

    [ NSAUTH-2147 ]

Mise en cache

  • Une appliance Citrix ADC se bloque lorsque le contenu mis en cache est diffusé aux clients.

    [NSHELP-31760]

  • Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

    [ NSHELP-22942 ]

Appliance Citrix ADC SDX

  • Les pertes de paquets sont observées sur une instance VPX hébergée sur un dispositif Citrix ADC SDX si les conditions suivantes sont remplies :

    • Le mode d’allocation du débit est en rafale.
    • Il existe une grande différence entre le débit et la capacité maximale de rafale.

    [ NSHELP-21992 ]

Citrix Gateway

  • Le client Citrix Secure Access, version 21.7.1.2 et versions ultérieures, ne parvient pas à effectuer la mise à niveau vers des versions ultérieures pour les utilisateurs ne disposant pas de droits d’administration. Ce problème ne s’applique que si la mise à niveau du client Citrix Secure Access est effectuée à partir d’une appliance Citrix ADC.

    [NSHELP-32793]

  • Lorsque les utilisateurs cliquent sur l’onglet Page d’accueil de l’écran Citrix Secure Access pour Windows, la page affiche l’erreur de refus de connexion.

    [NSHELP-32510]

  • Sur un appareil Mac utilisant Chrome, l’extension VPN se bloque lors de l’accès à deux noms de domaine complets.

    [NSHELP-32144]

  • Les utilisateurs ne peuvent pas se connecter au VPN en raison de défaillances intermittentes de l’EPA.

    [NSHELP-32138]

  • L’authentification nFactor avec un certificat client facultatif échoue lorsqu’il n’existe aucun certificat client approprié sur l’appareil.

    [NSHELP-32127]

  • L’appliance Citrix Gateway peut se bloquer si HDX Insight est activé.

    [NSHELP-32120]

  • Dans une configuration de cluster, l’appliance Citrix ADC se bloque lors de l’envoi de la demande CGP_FINISH_REQUEST au client.

    [NSHELP-32029]

  • Lorsque des sessions UDP sont lancées, des connexions périmées semblent exister même après la fermeture des sessions. Cependant, il ne s’agit pas de véritables connexions périmées, mais d’un problème avec le compteur.

    [NSHELP-32009]

  • Dans certains cas, des paramètres de proxy vides dans Citrix Gateway version 13.0 ou 13.1 entraînent la création de paramètres proxy incorrects par Citrix SSO.

    [NSHELP-31970]

  • Le contrôle de journalisation des débogues pour le client Citrix Secure Access est désormais indépendant de Citrix Gateway et peut être activé ou désactivé depuis l’interface utilisateur du plug-in pour la machine et le tunnel utilisateur.

    [NSHELP-31968]

  • Le lien de la page d’accueil sur l’interface utilisateur de Citrix Secure Access ne fonctionne pas si Microsoft Edge est le navigateur par défaut.

    [NSHELP-31894]

  • Lorsqu’un utilisateur se connecte à l’appliance Citrix ADC et si Citrix Workspace n’est pas installé, le lien permettant de télécharger Citrix Workspace pointe par erreur vers Citrix Receiver.

    [NSHELP-31877]

  • Les enregistrements d’échec d’authentification de Gateway Insight indiquent que le nom d’utilisateur est « Anonymous » lorsque NOAUTH est configuré comme premier facteur et que l’authentification du second facteur échoue en raison d’informations d’identification non valides. Ce problème se produit uniquement si la configuration est effectuée à l’aide du visualiseur nFactor car le premier facteur est configuré en tant que NOAUTH, par conception dans le visualiseur nFactor.

    [NSHELP-31795]

  • Les connexions directes aux ressources situées en dehors du tunnel établi par Citrix Secure Access peuvent échouer en cas de retard ou de congestion important.

    [NSHELP-31598]

  • Le message personnalisé du journal des défaillances EPA ne s’affiche pas sur le portail Citrix Gateway. Au lieu de cela, le message « erreur interne » s’affiche.

    [NSHELP-31434]

  • Parfois, l’ouverture de session automatique de Windows ne fonctionne pas lorsqu’un utilisateur se connecte à l’ordinateur Windows en mode de service permanent. Le tunnel de la machine ne passe pas au tunnel utilisateur et au message « Connexion… » s’affiche dans l’interface utilisateur du plug-in VPN.

    [NSHELP-31357, CGOP-21192]

  • Les stratégies de routage basé sur des stratégies (PBR) ne prennent pas effet pour le trafic DNS via VPN.

    [NSHELP-31123]

  • Lorsque Always on est configuré, le tunnel utilisateur échoue en raison du numéro de version incorrect (1.1.1.1) dans le fichier aoservice.exe.

    [ NSHELP-30662 ]

  • Les utilisateurs ne peuvent pas se connecter à l’appliance Citrix Gateway après avoir changé le paramètre de profil « NetworkAccessonVPNFailure » de « FullAccess » à « OnlyToGateway ».

    [NSHELP-30236]

  • La page d’accueil de la passerelle ne s’affiche pas immédiatement après que le plug-in de passerelle a réussi à établir le tunnel VPN. Pour résoudre ce problème, la valeur de registre suivante est introduite.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Type: DWORD

    Par défaut, cette valeur de registre n’est ni définie ni ajoutée. Lorsque la valeur de « SecureChannelResetTimeoutSeconds » est 0 ou n’est pas ajoutée, le correctif pour gérer le délai ne fonctionne pas, ce qui est le comportement par défaut. L’administrateur doit définir ce registre sur le client pour activer le correctif (c’est-à-dire afficher la page d’accueil immédiatement après que le plug-in de passerelle ait établi le tunnel VPN avec succès).

    [NSHELP-30189]

  • Le client VPN Windows n’honore pas l’alerte « Notification de fermeture SSL » du serveur et envoie la demande de connexion de transfert sur la même connexion.

    [NSHELP-29675]

  • Lors de la configuration du pool IIP (adresse IP et masque), si l’adresse IP ne correspond pas à la première adresse IP de la plage, l’interface de ligne de commande et l’interface graphique Citrix ADC n’affichent qu’un seul bloc et pas tous.

    Exemple :
    bind vpn vserver vpn_ssl -intranetIP 172.168.1.1 255.255.255.0
    bind vpn vserver vpn_ssl -intranetIP 172.168.2.1 255.255.255.0

    Dans ce cas, l’interface de ligne de commande ou l’interface graphique affichée lors de l’affichage du serveur vpn vpn_ssl affiche uniquement le pool 172.168.2.1 et non 172.168.2.2.

    Solution : utilisez la première adresse IP de la plage pour configurer les blocs IIP.

    Exemple :

    bind vpn vserver vpn_ssl -intranetIP 172.168.1.0 255.255.255.0
    bind vpn vserver vpn_ssl -intranetIP 172.168.2.0 255.255.255.0

    [NSHELP-29084]

  • Dans certains cas, le code de validation du serveur échoue lorsque le certificat de serveur est approuvé. Par conséquent, les utilisateurs finaux ne peuvent pas accéder à la passerelle.

    [ NSHELP-28942 ]

  • Vous remarquerez peut-être certaines adresses IP internes de Citrix dans le fichier rdx.js.

    [ NSHELP-28682 ]

  • L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

    [ NSHELP-28551 ]

  • Parfois, un utilisateur est déconnecté de Citrix Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

    [ NSHELP-28404 ]

  • Le plug-in EPA pour Windows n’utilise pas le proxy configuré de la machine locale et se connecte directement au serveur de passerelle.

    [ NSHELP-24848 ]

  • Le plug-in VPN n’établit pas de tunnel après l’ouverture de session Windows, si les conditions suivantes sont remplies :

    • L’appliance Citrix Gateway est configurée pour la fonctionnalité Always On
    • L’appliance est configurée pour l’authentification basée sur des certificats avec l’authentification à deux facteurs « désactivée »

    [ NSHELP-23584 ]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • La commande « show vpn icaconnection » n’affiche pas correctement les numéros de série des connexions ICA. Ce problème se produit car le numéro de série est réinitialisé arbitrairement lorsque la commande « show vpn icaconnection » est exécutée.

    [CGOP-22205]

  • Si vous souhaitez utiliser le VPN Always On avant la fonctionnalité d’ouverture de session Windows, il est recommandé de passer à Citrix Gateway 13.0 ou version ultérieure. Cela vous permet de tirer parti des améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

    [ CGOP-19355 ]

  • L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.

    [ CGOP-13621 ]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [ CGOP-13511 ]

  • Lorsqu’une connexion ICA est lancée à partir d’un Receiver MAC version 19.6.0.32 ou Citrix Virtual Apps and Desktops version 7.18, la fonctionnalité HDX Insight est désactivée.

    [CGOP-13494]

  • Lorsque la fonction EDT Insight est activée, les canaux audio peuvent parfois échouer en cas de divergence réseau.

    [CGOP-13493]

  • Lors de l’acceptation des connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

    [ CGOP-13050 ]

  • Le texte « Page d’accueil » dans l’ application Citrix SSO > Page d’accueil est tronqué dans certaines langues.

    [ CGOP-13049 ]

  • Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, le fait de cliquer sur Options dans le menu Paramètres affiche une boîte de dialogue Erreur critique . De plus, la page ne répond plus.

    [ CGOP-7269 ]

Citrix Web App Firewall

  • Citrix Web App Firewall met parfois beaucoup de temps à détecter l’injection de commande. Par conséquent, Pitboss redémarre l’appliance Citrix ADC.

    [NSHELP-32654]

  • Les attaques par répétition d’une session par empreinte digitale d’un appareil bot sont enregistrées plutôt que supprimées.

    [NSHELP-31949]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • L’appliance Citrix ADC ne répond pas avec l’adresse IP de service correcte pour la requête de domaine GSLB si les paramètres suivants sont configurés sur le serveur virtuel GSLB :

    1. L’option ECS est activée.
    2. La proximité statique est configurée comme méthode d’équilibrage de charge.

    [NSHELP-32879]

  • Une appliance Citrix ADC peut se bloquer et vider le cœur si le script de surveillance de l’utilisateur renvoie une réponse de plus de 1 024 octets.

    [NSHELP-32097]

  • L’état du moniteur LDAP reste actif même si les attributs configurés ne sont pas présents sur le serveur.

    [NSHELP-32025]

  • En raison d’une situation de concurrence rare, il peut y avoir des incohérences entre le site local et le site distant. Cette incohérence peut être due au fait que le site distant n’apprend pas le membre dynamique à partir du site local.

    La suppression des membres dynamiques sur le site distant peut échouer en raison d’un problème lors de la communication entre les moteurs de paquets.

    [ NSHELP-31982 ]

  • Les requêtes SNMP WALK correspondant à l’OID vServerAdvancessLConfigTable génèrent un vidage du cœur lorsque l’ordre de priorité des serveurs virtuels est configuré.

    [NSHELP-31704]

  • Le format ServiceGroupName utilisé dans le trap entityofs pour le groupe de services est le suivant :
    <service(group)name>?<ip/DBS>?<port>

    Dans le format de déroutement, le groupe de services est identifié par une adresse IP ou un nom et un port DBS. Le point d’interrogation (« ? ») est utilisé comme séparateur. Le Citrix ADC envoie le piège avec le point d’interrogation (« ? »). Le format s’affiche de la même manière dans l’interface graphique Citrix ADM. C’est le comportement attendu.

    [ NSHELP-28080 ]

  • Dans certains scénarios, les serveurs liés à un groupe de services affichent une valeur de cookie non valide. Vous pouvez voir la valeur de cookie correcte dans les journaux de suivi.

    [NSHELP-21196]

Divers

  • Lorsqu’une synchronisation forcée a lieu dans une configuration à haute disponibilité, l’appliance exécute la commande « set urlfiltering parameter » dans le nœud secondaire.
    Par conséquent, le nœud secondaire ignore toute mise à jour planifiée jusqu’à la prochaine heure planifiée mentionnée dans le paramètre « TimeOfDaytoUpdateDB ».

    [ NSSWG-849 ]

  • Le registre de liste AlwaysOnAllow ne fonctionne pas comme prévu si la valeur du registre est supérieure à 2000 octets.

    [NSHELP-31836]

  • Un nœud de cluster entre dans une boucle de paquets lorsque les conditions suivantes sont remplies :

    • Un paquet UDP avec une adresse IP de destination sous la forme CLIP est envoyé à un nœud de cluster.
    • Le CCO a changé d’un nœud à l’autre pendant la durée de vie de l’instance de cluster.

    Solution : vous pouvez éviter ou mettre fin à cette boucle de paquets en appliquant une ACL de suppression pour ce paquet UDP spécifique avec l’adresse IP de destination comme adresse CLIP.

    [NSHELP-30804]

  • Une appliance Citrix ADC peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.

    [ NSHELP-22409 ]

Mise en réseau

  • Dans une appliance Citrix ADC BLX prenant en charge DPDK, les VLAN balisés ne sont pas pris en charge pour les ports de carte réseau Intel i350 DPDK. Ceci est observé car il s’agit d’un problème connu présent sur le pilote DPDK.

    [NSNET-25299]

  • Une appliance Citrix ADC BLX avec DPDK peut ne pas redémarrer si toutes les conditions suivantes sont remplies :

    • L’appliance Citrix ADC BLX est allouée avec un faible nombre de « pages énormes ». Par exemple, 1G.
    • L’appliance Citrix ADC BLX est allouée avec un nombre élevé de processus de travail. Par exemple, 28.

    Le problème est enregistré sous forme de message d’erreur dans « /var/log/ns.log » :

    • « BLX-DPDK:DPDK Mempool n’a pas pu être initialisé pour PE-x »

    Remarque : x est un nombre <= nombre de processus de travail.

    Solution : allouez un grand nombre de « pages volumineuses », puis redémarrez l’appliance.

    [ NSNET-25173 ]

  • Le redémarrage d’une appliance Citrix ADC BLX en mode DPDK peut prendre un peu plus de temps en raison de la fonctionnalité de facilité DPDK.

    [ NSNET-24449 ]

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :

    • Désactiver
    • Activer
    • Réinitialiser

    [ NSNET-16559 ]

  • L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • Dans certains cas de connexions de données FTP, l’appliance Citrix ADC effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

    [NSNET-5233]

  • Avec ECMP configuré sur une appliance Citrix ADC, le problème suivant peut être observé pour une connexion d’équilibrage de charge SSH :

    • L’appliance Citrix ADC envoie le premier paquet via une route différente de celle des autres paquets du même flux.

    [NSHELP-32089]

  • L’appliance Citrix ADC peut se bloquer dans certains scénarios lorsque les conditions suivantes sont remplies :

    • L’appliance Citrix ADC reçoit plusieurs premiers fragments avec différents décalages.
    • L’appliance Citrix ADC ne réassemble pas les fragments.

    [NSHELP-32084]

  • Dans une configuration d’équilibrage de charge avec l’option « sans session » activée sur le serveur virtuel et l’ECMP côté serveur, le problème suivant peut être observé :

    • L’appliance Citrix ADC envoie les paquets à un serveur toujours par la même route.

    [NSHELP-32061]

  • L’appliance Citrix ADC peut se bloquer si toutes les conditions suivantes sont remplies :

    • L’ACL basé sur le TTL expire
    • L’appliance Citrix ADC dispose d’un grand nombre d’ACL configurées.

    [NSHELP-31307]

  • Lorsque vous supprimez un serveur virtuel, l’appliance Citrix ADC définit de manière incorrecte l’état VIP RHI associé sur DOWN si les conditions suivantes sont remplies :

    • Le serveur virtuel possède des serveurs virtuels de sauvegarde.
    • Le serveur virtuel est à l’état DOWN et au moins un serveur virtuel de sauvegarde est à l’état UP.

    [NSHELP-29972]

  • Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance Citrix ADC, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

    [ NSHELP-21082 ]

Plateforme

  • Le basculement haute disponibilité ne fonctionne pas dans les clouds AWS et GCP. Le processeur de gestion peut atteindre sa capacité de 100 % dans les clouds AWS et GCP, et Citrix ADC VPX sur site. Ces deux problèmes sont provoqués lorsque les conditions suivantes sont remplies :

    1. Lors du premier démarrage de l’appliance Citrix ADC, vous n’enregistrez pas le mot de passe demandé.
    2. Par la suite, vous redémarrez l’appliance Citrix ADC.

    [NSPLAT-22013]

  • Lorsque vous effectuez une mise à niveau de versions 13.0/12.1/11.1 vers une version 13.1 ou que vous passez d’une version 13.1 à une version 13.0/12.1/11.1, certains packages python ne sont pas installés sur les appliances Citrix ADC. Ce problème est résolu pour les versions Citrix ADC suivantes :

    • 13.1-4.x
    • 13.0-82.31 et versions ultérieures
    • 12.1-62.21 et versions ultérieures

    Les packages python ne sont pas installés lorsque vous rétrogradez les versions de Citrix ADC de 13.1-4.x vers l’une des versions suivantes :

    • Toute version 11.1
    • 12.1-62.21 et versions antérieures
    • 13.0-81.x et versions antérieures

    [NSPLAT-21691]

  • Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance Citrix ADC. Utilisez la commande « rm cloudprofile » pour supprimer le profil.

    [NSPLAT-4520]

  • Dans une configuration haute disponibilité sur Azure, lors de la connexion au nœud secondaire via l’interface graphique, l’écran de premier utilisateur (FTU) pour la configuration du profil cloud à mise à l’échelle automatique s’affiche.
    Solution : ignorez l’écran et connectez-vous au nœud principal pour créer le profil cloud. Le profil cloud doit toujours être configuré sur le nœud principal.

    [NSPLAT-4451]

  • Sur la plate-forme Citrix ADC SDX 8015/8400/8600, vous pouvez constater une augmentation de la consommation de mémoire sur Xen Server.
    Solution : exécutez la commande suivante sur Xen Server, puis redémarrez l’appliance.
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [NSHELP-32260]

  • À partir de la version 13.1 de Citrix ADC, l’appliance Citrix ADC ne démarre pas dans un hyperviseur ESXi avec plus de 8 interfaces réseau VMXNET3.

    [ NSHELP-31266 ]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

  • Dans une appliance Citrix ADC, les stratégies de commutation de contenu qui sont migrées des stratégies classiques vers des stratégies avancées à l’aide de l’outil NSPEPI peuvent ne pas fonctionner lorsque les conditions suivantes sont remplies :

    • Les stratégies sont liées au vserver de commutation de contenu.
    • Le paramètre « CaseSensitive » est réglé sur OFF.

    [NSHELP-31951]

  • Une appliance Citrix ADC peut se bloquer lors de l’ajout d’une stratégie avec patset lorsque la condition suivante est remplie :

    • L’indicateur associé à NSB est défini dans le mauvais ordre pour le scénario Rewrite TCP.

    [NSHELP-31064]

SSL

  • Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation de la CRL désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA.

    [NSSSL-3184, NSSSL-1379, NSSSL-1394]

  • Une appliance Citrix ADC contenant une carte SSL Cavium peut se bloquer lors de l’envoi d’un message DTLS ALERT au client.

    [NSHELP-32031]

  • Une poignée de main SSL peut échouer si la séquence de conditions suivante est remplie :

    1. Hello Verify Request (HVR) est activé sur DTLS.
    2. L’appliance Citrix ADC envoie un HVR au client.
    3. Le client ne reçoit pas le HVR.
    4. Le client essaie de retransmettre le bonjour au premier client au lieu de répondre au HVR avec un cookie de session.

    Remarque : En réponse au message d’accueil retransmis au client, l’appliance ADC envoie le HVR au client trois fois au maximum. Si aucune réponse appropriée n’est reçue, l’appliance échoue à la négociation.

    [NSHELP-31808]

  • Une appliance Citrix ADC peut se bloquer si la règle d’authentification du certificat est évaluée et déclenchée deux fois sur la même demande.

    [NSHELP-31785]

  • L’interface graphique Citrix ADC, accessible via une adresse IP de cluster (CLIP), n’affiche pas les liaisons de certificats de serveur avec un serveur virtuel SSL.

    [NSHELP-31602]

  • La vérification de la réponse OCSP peut échouer lors d’une interception SSL si aucun certificat CA valide n’est présent dans le bundle de certificats par défaut. L’échec se produit parce que la vérification de la réponse OCSP a été effectuée de manière incorrecte en utilisant le bundle de certificats par défaut au lieu du bundle de certificats configuré.

    [NSHELP-30594]

  • Une appliance Citrix ADC peut se bloquer lors du traitement du trafic SSL en mode logiciel.

    [NSHELP-29996]

System

  • Dans une appliance Citrix ADC, le cadre de modification d’en-tête entraîne une corruption de la mémoire. Cette condition se produit lorsque les cookies destinés à être consommés par l’appliance Citrix ADC sont supprimés dans un ordre particulier avant leur transfert.

    [NSHELP-32799]

  • Dans une appliance Citrix ADC, la valeur par défaut du paramètre « MaxHeaderFieldLen » dans le profil HTTP entraîne le problème suivant.

    • Échec du trafic après la mise à niveau vers la version 13.0

    [NSHELP-32079]

  • Une appliance Citrix ADC peut se bloquer lorsque AppFlow est activé uniquement côté client.

    [NSHELP-31892]

  • L’appliance Citrix ADC configurée avec un service SSL se bloque lorsque l’appliance reçoit un paquet de contrôle TCP FIN suivi d’un paquet de contrôle TCP RESET.

    [NSHELP-31656]

  • Un client gRPC ne parvient pas à analyser l’en-tête d’état du gRPC lorsque la condition suivante est remplie :

    • L’en-tête d’état gRPC est ajouté à la fois dans l’en-tête de début et dans l’en-tête de fin au lieu d’être ajouté uniquement dans l’en-tête de fin.

    [NSHELP-31640]

  • Un RTT élevé est observé pour une connexion TCP si la condition suivante est remplie :

    • une fenêtre de congestion maximale élevée (> 4 Mo) est définie
    • L’algorithme TCP NILE est activé

    Pour qu’une appliance Citrix ADC utilise l’algorithme NILE pour contrôler la congestion, les conditions doivent dépasser le seuil de démarrage lent, associé à la fenêtre de congestion maximale

    Ainsi, jusqu’à ce que la fenêtre de congestion maximale configurée soit atteinte, Citrix ADC continue d’accepter les données et se retrouve avec un RTT élevé.

    [NSHELP-31548]

  • Dans une appliance Citrix ADC, le problème suivant se produit lors de l’activation de la configuration HTTP/2 pour une adresse IP virtuelle (VIP) de commutation de contenu ou d’équilibrage de charge.

    • Une augmentation de la latence pouvant atteindre 100 ms lors du transfert de l’en-tête HTTP/2 et des trames de données vers le site Web via l’appliance Citrix ADC.

    [NSHELP-30094]

  • Lorsque vous utilisez la fonction d’inspection du contenu, l’insertion de l’en-tête Rewrite avec charge utile risque de ne pas fonctionner correctement.

    [NSHELP-30088]

  • La valeur MAX_CONCURRENT_STREAMS est définie sur 100 par défaut si l’appliance ne reçoit pas le cadre de paramètres max_concurrent_stream du client.

    [ NSHELP-21240 ]

  • Les compteurs mptcp_cur_session_without_subflow décrémentent incorrectement à une valeur négative au lieu de zéro.

    [ NSHELP-10972 ]

  • Dans un déploiement de cluster, si vous exécutez la commande « forcer la synchronisation du cluster » sur un nœud non CCO, le fichier ns.log contient des entrées de journal dupliquées.

    [NSBASE-16304, NSGI-1293]

  • Lorsque vous installez Citrix ADM sur un cluster Kubernetes, il ne fonctionne pas comme prévu car les processus requis peuvent ne pas s’exécuter.

    Solution : redémarrez le module Gestion.

    [ NSBASE-15556 ]

  • L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.

    [ NSBASE-8506 ]

Interface utilisateur

  • Pour la fonction de réécriture MQTT, vous ne pouvez pas supprimer une expression à l’aide de l’éditeur d’expression dans l’interface graphique.

    Solution : utilisez la commande d’ajout ou de modification d’action de type MQTT via l’interface de ligne de commande.

    [NSUI-18049]

  • Dans l’interface graphique de Citrix ADC, le lien « Aide » présent sous l’onglet « Tableau de bord » est rompu.

    [NSUI-14752]

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPSec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

  • Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

    [NSUI-6838]

  • Après avoir créé un profil pour Citrix Web App Firewall et essayé de générer le rapport de configuration du pare-feu des applications dans Système > Rapports, l’erreur suivante apparaît :

    « Impossible de charger le document PDF. »

    [NSHELP-32469]

  • Dans une configuration haute disponibilité (HA), lors de la récupération de l’adresse IP locale pour l’outil nsconf, le problème suivant est observé.

    • Échec de la connexion à l’hôte local. Cet échec se produit si le mot de passe du nœud RPC est différent pour les nœuds principaux et secondaires dans la configuration HA.

    Solution : dans une configuration HA, assurez-vous que le mot de passe du nœud RPC pour le nœud principal et le nœud secondaire est identique.

    [NSHELP-32083]

  • Dans la version 13.0 de Citrix ADC, le bouton OK de la page Configurer le service de serveur virtuel d’équilibrage de charge prioritaire est grisé.

    [NSHELP-32007]

  • La page de connexion de l’appliance Citrix ADC peut ne pas afficher le nom d’utilisateur valide une fois que l’utilisateur s’est connecté.

    [NSHELP-31759]

  • Dans une configuration HA/Cluster, la synchronisation de la configuration échoue si vous avez configuré des clés SSH autres que RSA. Par exemple, les clés ECDSA ou DSA.

    [NSHELP-31675]

  • Dans l’interface graphique Citrix ADC, s’il existe une destination de trap SNMP existante sous System>SNMP>Traps, la modification de cette destination échoue avec le message d’erreur suivant :

    • « Erreur lors de la récupération du trap SNMP »

    [NSHELP-31661]

  • L’interface graphique de l’appliance Citrix ADC n’affiche pas le nombre correct des stratégies IDP SAML et OAuth configurées.

    [NSHELP-31480]

  • Dans une appliance Citrix ADC, lors de l’utilisation de l’interface graphique, le problème suivant apparaît sur la page de stratégie du répondeur :

    • Les stratégies de réponse personnalisées créées peuvent être affichées sous les stratégies de réponse intégrées.

    [NSHELP-31428]

  • Dans une configuration Citrix ADC HA, le problème suivant est observé dans l’interface graphique Citrix ADC après avoir enregistré une configuration et cliqué sur le bouton d’actualisation :

    • L’interface graphique affiche de manière incorrecte le point orange sur le bouton Enregistrer, même si aucune modification de configuration non enregistrée n’est présente sur l’appliance.

    [NSHELP-30031]

  • Les statistiques du serveur virtuel GSLB ne sont pas disponibles en mode partition d’administration.

    [NSHELP-28524]

  • Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

    • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

    Solution : effectuez un basculement HA manuel successif uniquement une fois la synchronisation HA terminée (les deux nœuds sont en état de réussite de la synchronisation).

    [ NSHELP-25598 ]

  • Dans une configuration haute disponibilité des appliances Citrix ADC BLX, le nœud principal peut ne plus répondre en bloquant toute demande d’interface de ligne de commande ou d’API.

    Solution : redémarrez le nœud principal.

    [NSCONFIG-6601]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

    1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions
      • 13.0 52.24 build
      • 12.1 57.18 build
      • 11.1 65.10 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système
    à l’aide de l’interface de ligne de commande, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution : Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

    [NSCONFIG-3188]

Notes de publication pour la version 13.1-33.54 de Citrix ADC
December 16, 2022
Contributeur: 
C
December 16, 2022
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement
© 1999- Cloud Software Group, Inc. All rights reserved.