Documentation produit
Citrix ADC
Current Release 13.0 12.1
Voir PDF

Notes de publication pour la version 13.1-37.38 de Citrix ADC

January 16, 2023
Contributeur: 
C

Ce document de notes de mise à jour décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent dans la version 13.1-37.38 de Citrix ADC.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
  • La version 13.1-37.39 du bundle Citrix ADC SDX remplace la version 13.1-37.38.

Nouveautés

Les améliorations et modifications disponibles dans la version 13.1-37.38.

Appliance Citrix ADC SDX

  • Amélioration du processus de mise à niveau

    Dans une appliance Citrix ADC SDX, le processus de mise à niveau nécessite désormais un seul redémarrage au lieu de deux redémarrages.

    [NSSVM-5299]

  • Suppression de la prise en charge des instances tierces de l’interface utilisateur SDX

    Une appliance Citrix ADC SDX ne prend plus en charge les instances tierces depuis l’interface utilisateur. La vue Instances tierces est supprimée de l’onglet Configuration de l’interface utilisateur SDX.

    Solution : si vous souhaitez toujours utiliser les instances tierces dans le service de gestion, suivez la procédure suivante.

    1. Connectez-vous au shell du service de gestion.
    2. Créez un fichier « .ThirdPartyVM » dans le répertoire « /mpsconfig ».
    3. Redémarrez le service de gestion en exécutant la svmd restart commande dans le shell du service de gestion.

    [NSSVM-5229]

Citrix Gateway

  • Support du drapeau HttpOnly sur les cookies d’authentification

    L’indicateur HttpOnly est désormais pris en charge sur les cookies d’authentification des scénarios VPN, à savoir les cookies NSC_Authentication, AuditingC et NSC_TMAS. Le cookie d’authentification NSC_TMAS est utilisé lors de l’authentification nFactor et le cookie NSC_Authentication, AuditingC est utilisé pour la session authentifiée. Le HttpOnlyFlag sur un cookie limite l’accès aux cookies à l’aide de l’option de cookie de document JavaScript. Cela permet de prévenir le vol de cookie dû à des scripts intersites.

    [CGOP-14004]

Équilibrage de charge

  • Configuration de l’état TROFS différé automatiquement

    Vous pouvez configurer le déplacement progressif des membres d’un groupe de services vers l’état TROFS lorsque les adresses IP sont supprimées de la réponse DNS. Lorsque le TROFS à temporisation automatique est activé, Citrix ADC attend le délai de réponse le plus élevé sur tous les écrans connectés au groupe de services avant de faire passer les membres à l’état TROFS.

    Pour plus d’informations, voir Configurer la mise à l’échelle automatique des groupes de services basée sur le domaine.

    [NSLB-9371]

Mise en réseau

  • Support DPDK pour les appliances Citrix ADC BLX sur des hôtes Linux équipés de processeurs AMD

    Les appliances Citrix ADC BLX sur des hôtes Linux équipés de processeurs AMD prennent désormais en charge le protocole DPDK. L’appliance détecte automatiquement les ports NIC compatibles DPDK spécifiés sur l’hôte Linux. L’appliance les initialise ensuite en mode DPDK. Après le démarrage de l’appliance Citrix ADC BLX, les ports DPDK sont ajoutés en tant que ports dédiés à l’appliance.

    Au lieu de spécifier un ou plusieurs ports de carte réseau compatibles DPDK dans le fichier « blx.conf », vous devez spécifier tous les ports de carte réseau compatibles DPDK qui font partie du même groupe IOMMU. Sinon, les ports NIC compatibles avec DPDK sont ajoutés en tant que ports dédiés non DPDK à l’appliance Citrix ADC BLX.

    [NSNET-19219]

Plateforme

  • Performances améliorées pour les instances à cœur partagé dans GCP

    Dans une instance Citrix ADC VPX, le paramètre de rendement du processeur est activé par défaut pour les instances à cœur partagé dans GCP. Cela permet d’améliorer les performances dans GCP pour les instances à cœur partagé. Pour plus d’informations sur les types de machines à cœur partagé sur GCP, consultez la documentation Google Cloud.

    Dans une configuration ADC HA avec des instances à cœur partagé dans GCP, le message d’avertissement suivant s’affiche lors de la connexion :

    Pour des performances et une disponibilité élevées, nous vous recommandons de passer d’une machine à cœur partagé à une instance à usage général ou à des types d’instances optimisés pour le calcul et la mémoire sur Google Cloud Platform.

    [NSPLAT-23748]

  • Support pour l’instance Citrix ADC VPX sur la série Azure Dv5

    L’instance Citrix ADC VPX sur le cloud Azure peut désormais s’exécuter sur les machines virtuelles Azure de la série Dv5.

    [NSPLAT-22730]

  • Prise en charge de la plate-forme Citrix ADC MPX 16000

    Cette version prend en charge la plate-forme Citrix ADC MPX 16000. Cette plate-forme possède deux processeurs 16 cœurs et 128 Go (16 x 8 Go DIMM) de mémoire. L’appliance fournit au total huit ports SFP+ 25G et quatre ports Ethernet QSFP28 100G.
    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-hardware-platforms/mpx/netscaler-hardware-platforms/mpx-16000.html.

    [NSPLAT-25436]

  • Prise en charge de la plate-forme Citrix ADC SDX 16000

    Cette version prend en charge la plate-forme Citrix ADC SDX 16000. Cette plate-forme possède deux processeurs 16 cœurs et 256 Go (16 x 16 Go DIMM) de mémoire. L’appliance fournit au total huit ports SFP+ 25G et quatre ports Ethernet QSFP28 100G.
    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-hardware-platforms/sdx/hardware-platforms/sdx-16000.html.

    [NSPLAT-21608]

SSL

  • Prise en charge des notifications récurrentes jusqu’à l’expiration du certificat

    L’appliance Citrix ADC envoie désormais une notification par jour jusqu’à l’expiration du certificat. Auparavant, une seule notification était envoyée un certain nombre de jours avant l’expiration du certificat.

    [NSSSL-11874]

System

  • Alarme SNMP pour signaler une défaillance de connexion Syslog

    Une nouvelle alarme SNMP « SyslogConnectionDropped » a été introduite dans l’appliance Citrix ADC pour alerter un serveur Syslog externe en cas d’échec de connexion réseau.

    [NSBASE-16823]

Interface utilisateur

  • Lorsque vous chargez un ou plusieurs fichiers de licence avec différentes dates Subscription Advantage, Citrix ADM ne peut pas les fusionner en un seul pool. Par conséquent, une instance Citrix ADC ne peut pas vérifier la capacité si elle dépasse la limite d’un fichier de licence.

    [NSCONFIG-6590, NSHELP-30854]

Problèmes résolus

Les problèmes résolus dans la version 13.1-37.38.

AppFlow

  • Une fois AppFlow configuré, l’appliance Citrix ADC réinitialise une connexion TCP si l’appliance reçoit une réponse HTTP fractionnée vide du serveur principal.

    Ce problème se produit lorsque le paramètre « ClientSideMeasurements » est activé pour l’action AppFlow associée.

    [NSHELP-32250]

Authentification, autorisation et audit

  • L’action d’authentification NO_AUTHN ne persiste pas après le redémarrage d’une appliance Citrix ADC si l’appliance possède la licence Standard Edition.

    [NSHELP-32522]

  • Dans une configuration GSLB Citrix Gateway, une connexion proxy en boucle entre les sites GSLB peut être détectée si les conditions suivantes sont remplies :

    • Tous les sites GSLB ne sont pas sur la même version.
    • Citrix Gateway est configuré avec une authentification avancée.

    [NSHELP-32487]

  • L’appliance Citrix ADC supprime le suffixe du jeu de caractères dans l’en-tête Content-Type et l’envoie Content-Type: application/x-www-form-urlencoded si vous avez configuré les deux options suivantes.

    • Authentification basée sur un formulaire SSO
    • nsapimgr knob - nsapimgr_wr.sh -ys call=ns_formsso_use_ctype_simple_enable knob

    [NSHELP-31977]

  • Vous pouvez rencontrer des problèmes lors de la déconnexion si l’authentification SAML est configurée.

    [NSHELP-31962]

  • L’authentification unique (SSO) échoue si l’authentification unique est activée pour le trafic qui ne possède pas le jeton porteur requis pour gérer l’authentification unique.

    [NSHELP-31362]

Mise en cache

  • Une appliance Citrix ADC se bloque lorsque le contenu mis en cache est diffusé aux clients.

    [NSHELP-31760]

  • Une appliance Citrix ADC peut se bloquer si les valeurs des paramètres « Max_age » et « s_maxage » ne sont pas définies de manière dynamique dans le bloc de contrôle du cache.

    [NSHELP-27758]

Appliance Citrix ADC SDX

  • Dans l’interface graphique d’une appliance Citrix ADC SDX, lorsqu’un utilisateur ajoute un objet de défaillance pour une règle d’événement, les champs de saisie étaient susceptibles d’être attaqués par des scripts intersites et rendaient la sécurité de la page vulnérable aux scripts intersites stockés. Pour éviter ce problème, les champs de saisie sont désormais nettoyés afin de garantir la validité de la saisie par l’utilisateur.

    [NSHELP-32600]

Citrix Gateway

  • L’appliance Citrix ADC se bloque si l’une des fonctionnalités Gateway Insight et Web Insight ou les deux sont activées.

    [NSHELP-33345, NSHELP-33347]

  • Parfois, le proxy RDP ne fonctionne pas en présence d’un broker de connexion.

    [NSHELP-33063]

  • Les applications peuvent ne pas être lancées via Citrix Gateway en raison de l’épuisement des ports de l’appliance Citrix Gateway.

    [NSHELP-32418]

  • L’appliance Citrix Gateway configurée pour l’accès VPN sans client peut se bloquer lors du traitement d’une session fictive.

    [NSHELP-32399]

  • L’appliance Citrix Gateway peut se bloquer si HDX Insight est activé.

    [NSHELP-32120]

  • Lorsque des sessions UDP sont lancées, des connexions périmées semblent exister même après la fermeture des sessions. Cependant, il ne s’agit pas de véritables connexions périmées, mais d’un problème avec le compteur.

    [NSHELP-32009]

  • Lorsqu’un utilisateur se connecte à l’appliance Citrix ADC et si Citrix Workspace n’est pas installé, le lien permettant de télécharger Citrix Workspace pointe par erreur vers Citrix Receiver.

    [NSHELP-31877]

  • Les enregistrements d’échec d’authentification de Gateway Insight indiquent que le nom d’utilisateur est « Anonymous » lorsque NOAUTH est configuré comme premier facteur et que l’authentification du second facteur échoue en raison d’informations d’identification non valides. Ce problème se produit uniquement si la configuration est effectuée à l’aide du visualiseur nFactor car le premier facteur est configuré en tant que NOAUTH, par conception dans le visualiseur nFactor.

    [NSHELP-31795]

  • La commande « show vpn icaconnection » n’affiche pas correctement les numéros de série des connexions ICA. Ce problème se produit car le numéro de série est réinitialisé arbitrairement lorsque la commande « show vpn icaconnection » est exécutée.

    [CGOP-22205]

Citrix Web App Firewall

  • Une appliance Citrix ADC autonome ou le mode secondaire d’une configuration HA peuvent se bloquer si vous configurez un objet de signature pour Citrix Web App Firewall sur les versions logicielles suivantes :

    • 13.0 build 88.5 et versions ultérieures
    • 13.1 build 33.41 et versions ultérieures

    [NSHELP-33250]

  • Une fuite de mémoire se produit dans une appliance Citrix ADC lorsque vous configurez cookieHijackingAction le blocage, l’enregistrement ou les statistiques.

    [NSHELP-33187]

  • Dans Citrix Web App Firewall, lorsque vous fournissez l’en-tête de type de contenu à l’aide d’un protocole (application/pkcs7-signature), l’en-tête n’est pas correctement analysé. Par conséquent, le pare-feu bloque les requêtes valides.

    [NSHELP-32844]

  • Certaines règles de relaxation ne sont pas importées lors de la restauration d’un profil WAF.

    [NSHELP-32729]

  • Citrix Web App Firewall met parfois beaucoup de temps à détecter l’injection de commande. Par conséquent, Pitboss redémarre l’appliance Citrix ADC.

    [NSHELP-32654]

  • Des cookies légitimes sont placés dans le journal tout en affichant des journaux de violation des cookie dupliqués.

    [NSHELP-32369]

Équilibrage de charge

  • Dans certains scénarios, les serveurs liés à un groupe de services affichent une valeur de cookie non valide. Vous pouvez voir la valeur de cookie correcte dans les journaux de suivi.

    [NSHELP-21196]

Divers

  • L’appliance Citrix ADC définit la taille de la mémoire tampon pour la fonction de journalisation du serveur Web sur une valeur par défaut incorrecte de 3 Mo au lieu de 16 Mo.

    [NSHELP-32429]

Mise en réseau

  • Dans une configuration de cluster Citrix BLX, les opérations suivantes échouent sans aucun message d’erreur :

    • Effacer la configuration au niveau de base de force (« clear config -force basic »)
    • Effacement de la configuration au niveau force étendu (« clear config -force extended »)
    • Effacer la configuration au niveau force extended+ (« clear config -force extended+ »)

    [ NSNET-27132 ]

  • Dans une configuration à haute disponibilité, le nœud principal peut se bloquer en raison d’une corruption de la mémoire lors de l’effacement d’un grand nombre de sessions LSN.

    [NSHELP-32467]

  • L’appliance Citrix ADC peut se bloquer si toutes les conditions suivantes sont remplies :

    • L’ACL basé sur le TTL expire
    • L’appliance Citrix ADC dispose d’un grand nombre d’ACL configurées.

    [NSHELP-31307]

Plateforme

  • Lorsque vous désactivez l’interface Mellanox sur une appliance Citrix ADC MPX, le commutateur homologue lié à l’interface est affiché à l’état Link Up au lieu d’être à l’état Link Down.

    [NSPLAT-24422]

  • L’instance Citrix ADC VPX supprime les paquets d’un client si les deux conditions suivantes sont remplies :

    • L’instance VPX est hébergée sur VMware Cloud on AWS à l’aide d’un adaptateur VMXNET3.
    • L’adaptateur VMXNET3 ne parvient pas à générer le hachage RSS pour le paquet.

    [NSHELP-33150]

Stratégies

  • Dans une appliance Citrix ADC, les stratégies de commutation de contenu qui sont migrées des stratégies classiques vers des stratégies avancées à l’aide de l’outil NSPEPI peuvent ne pas fonctionner lorsque les conditions suivantes sont remplies :

    • Les stratégies sont liées au vserver de commutation de contenu.
    • Le paramètre « CaseSensitive » est réglé sur OFF.

    [NSHELP-31951]

SSL

  • Une appliance Citrix ADC peut se bloquer lors d’une prise de contact TLS 1.3 lorsqu’un serveur virtuel est configuré pour utiliser des clés privées stockées dans Azure Key Vault.

    [NSHELP-32451]

  • Une appliance Citrix ADC se bloque si les conditions suivantes sont remplies :

    • Un client envoie un bonjour à un autre client avant que la prise de contact ne soit terminée.
    • La demande contient un ensemble spécial de chiffrements dans le premier bonjour du client.

    [NSHELP-32422]

  • L’interface graphique Citrix ADC, accessible via une adresse IP de cluster (CLIP), n’affiche pas les liaisons de certificats de serveur avec un serveur virtuel SSL.

    [NSHELP-31602]

  • La vérification de la réponse OCSP peut échouer lors d’une interception SSL si aucun certificat CA valide n’est présent dans le bundle de certificats par défaut. L’échec se produit parce que la vérification de la réponse OCSP a été effectuée de manière incorrecte en utilisant le bundle de certificats par défaut au lieu du bundle de certificats configuré.

    [NSHELP-30594]

System

  • Lorsqu’un serveur Citrix ADM reçoit un trafic HTTP important avec des URL uniques, il consomme beaucoup de mémoire. Par conséquent, le serveur Citrix ADM devient inaccessible.

    [NSHELP-32922]

  • Dans une appliance Citrix ADC, le cadre de modification d’en-tête entraîne une corruption de la mémoire. Cette condition se produit lorsque les cookies destinés à être consommés par l’appliance Citrix ADC sont supprimés dans un ordre particulier avant leur transfert.

    [NSHELP-32799]

  • L’authentification VPN échoue lorsque la méthode PATCH est utilisée dans la requête HTTP. Ce problème se produit car la méthode HTTP PATCH est reconnue comme une méthode d’authentification inconnue.

    [NSHELP-32214]

  • Lorsque vous utilisez la fonction d’inspection du contenu, l’insertion de l’en-tête Rewrite avec charge utile risque de ne pas fonctionner correctement.

    [NSHELP-30088]

Interface utilisateur

  • La page de licence du service de gestion n’actualise pas les informations de licence regroupées lorsque vous visitez le nœud de licence ou que vous les actualisez. Au lieu de cela, les informations de licence regroupées sont actualisées uniquement lorsque vous vous déconnectez puis que vous vous reconnectez.

    [NSHELP-33203]

  • Lorsqu’un utilisateur consulte la liaison dans une stratégie de commutation de contenu, les détails du serveur virtuel de commutation de contenu ne s’affichent pas sur la même ligne sous Afficher les liaisons.

    [NSHELP-33149]

  • Lorsqu’un utilisateur lie une stratégie de trafic à un serveur virtuel de commutation de contenu ou d’équilibrage de charge, les détails de liaison n’apparaissent pas dans l’interface graphique.

    [NSHELP-32751]

  • La mise à niveau ou la rétrogradation d’une appliance Citrix ADC vers l’une des versions suivantes à l’aide de l’interface graphique Citrix ADC peut échouer :

    • Version 13.1 build 30.52
    • Version 13.1 build 27.59

    [NSHELP-32673]

  • L’erreur suivante s’affiche lors de la création ou de la modification d’un serveur virtuel avec le protocole DNS et DNS_TCP hébergé sur une partition personnalisée à l’aide de l’interface graphique Citrix ADC :

    Error: Invalid object name [lbvserver_scpolicy_binding]

    [NSHELP-32534]

  • Les problèmes suivants apparaissent dans l’interface graphique de Citrix ADC :

    • À l’aide de l’interface graphique Citrix ADC, si un certificat de serveur est lié à un serveur virtuel SSL, la liaison de certificat n’apparaît pas dans l’interface graphique. Les liaisons des certificats CA apparaissent comme d’habitude sur l’interface graphique.
    • Cliquez sur le bouton Masquer pour les stratégies de répondeur intégrées pour masquer également les stratégies de répondeur créées manuellement.

    Dans une configuration de cluster, les problèmes supplémentaires suivants apparaissent dans l’interface graphique Citrix ADC :

    • La liaison d’un groupe de chiffrement à un service interne échoue avec une erreur.
    • Les actions de réécriture intégrées ne sont pas masquées dans l’interface graphique.

    [NSHELP-32499]

  • Dans une appliance Citrix ADC dotée de partitions d’administration, le paramètre « ns » défini dans la partition est perdu après un redémarrage. Cette condition se produit en raison d’une configuration intégrée incorrecte.

    [NSHELP-32486]

  • La page de connexion de l’appliance Citrix ADC peut ne pas afficher le nom d’utilisateur valide une fois que l’utilisateur s’est connecté.

    [NSHELP-31759]

  • Dans une configuration à haute disponibilité, les configurations chiffrées sont perdues sur le nœud secondaire après la synchronisation de la configuration HA.

    [NSHELP-30897]

Problèmes connus

Les problèmes qui existent dans la version 13.1-37.38.

AppFlow

  • HDX Insight ne signale pas d’échec du lancement d’une application provoqué par un utilisateur qui tente de lancer une application ou un bureau auquel l’utilisateur n’a pas accès.

    [NSINSIGHT-943]

Authentification, autorisation et audit

  • Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

    [NSHELP-563]

  • L’authentification DUO échoue si la fonctionnalité Content Security Policy (CSP) est activée sur l’appliance Citrix ADC.

    [ NSAUTH-12687 ]

  • Les administrateurs ne peuvent pas effectuer de journalisation personnalisée des échecs d’authentification dus à des informations d’identification non valides. Ce problème se produit car les stratégies de réponse Citrix ADC ne détectent pas les erreurs liées aux échecs de connexion.

    [ NSAUTH-11151 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    show adfsproxyprofile <profile name>

    Solution : connectez-vous au Citrix ADC actif principal du cluster et exécutez la show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

  • La page Configurer le serveur LDAP d’authentification de l’interface graphique Citrix ADC ne répond plus si vous suivez les étapes suivantes :

    • L’option Tester l’accessibilité LDAP est ouverte.
    • Les informations d’identification de connexion non valides sont renseignées et envoyées.
    • Les identifiants de connexion valides sont renseignés et envoyés.

    Solution : fermez et ouvrez l’option Tester l’accessibilité LDAP.

    [ NSAUTH-2147 ]

Appliance Citrix ADC SDX

  • Les pertes de paquets sont observées sur une instance VPX hébergée sur un dispositif Citrix ADC SDX si les conditions suivantes sont remplies :

    • Le mode d’allocation du débit est en rafale.
    • Il existe une grande différence entre le débit et la capacité maximale de rafale.

    [ NSHELP-21992 ]

Citrix Gateway

  • Le client Citrix Secure Access, version 21.7.1.2 et versions ultérieures, ne parvient pas à effectuer la mise à niveau vers des versions ultérieures pour les utilisateurs ne disposant pas de droits d’administration. Ce problème ne s’applique que si la mise à niveau du client Citrix Secure Access est effectuée à partir d’une appliance Citrix ADC.

    [NSHELP-32793]

  • Lorsque les utilisateurs cliquent sur l’onglet Page d’accueil de l’écran Citrix Secure Access pour Windows, la page affiche l’erreur de refus de connexion.

    [NSHELP-32510]

  • Sur un appareil Mac utilisant Chrome, l’extension VPN se bloque lors de l’accès à deux noms de domaine complets.

    [NSHELP-32144]

  • Dans certains cas, des paramètres de proxy vides dans Citrix Gateway version 13.0 ou 13.1 entraînent la création de paramètres proxy incorrects par Citrix SSO.

    [NSHELP-31970]

  • Le contrôle de journalisation des débogues pour le client Citrix Secure Access est désormais indépendant de Citrix Gateway et peut être activé ou désactivé depuis l’interface utilisateur du plug-in pour la machine et le tunnel utilisateur.

    [NSHELP-31968]

  • Les connexions directes aux ressources situées en dehors du tunnel établi par Citrix Secure Access peuvent échouer en cas de retard ou de congestion important.

    [NSHELP-31598]

  • Le message personnalisé du journal des défaillances EPA ne s’affiche pas sur le portail Citrix Gateway. Au lieu de cela, le message « erreur interne » s’affiche.

    [NSHELP-31434]

  • Parfois, l’ouverture de session automatique de Windows ne fonctionne pas lorsqu’un utilisateur se connecte à l’ordinateur Windows en mode de service permanent. Le tunnel de la machine ne passe pas au tunnel utilisateur et au message « Connexion… » s’affiche dans l’interface utilisateur du plug-in VPN.

    [NSHELP-31357, CGOP-21192]

  • Lorsque Always on est configuré, le tunnel utilisateur échoue en raison du numéro de version incorrect (1.1.1.1) dans le fichier aoservice.exe.

    [ NSHELP-30662 ]

  • Les utilisateurs ne peuvent pas se connecter à l’appliance Citrix Gateway après avoir modifié le paramètre de profil « NetworkAccessonVPNFailure » de fullAccess à onlyToGateway.

    [NSHELP-30236]

  • La page d’accueil de la passerelle ne s’affiche pas immédiatement après que le plug-in de passerelle a réussi à établir le tunnel VPN. Pour résoudre ce problème, la valeur de registre suivante est introduite.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Type: DWORD

    Par défaut, cette valeur de registre n’est ni définie ni ajoutée. Lorsque la valeur de « SecureChannelResetTimeoutSeconds » est 0 ou n’est pas ajoutée, le correctif pour gérer le délai ne fonctionne pas, ce qui est le comportement par défaut. L’administrateur doit définir ce registre sur le client pour activer le correctif (c’est-à-dire afficher la page d’accueil immédiatement après que le plug-in de passerelle ait établi le tunnel VPN avec succès).

    [NSHELP-30189]

  • Le client VPN Windows n’honore pas l’alerte « Notification de fermeture SSL » du serveur et envoie la demande de connexion de transfert sur la même connexion.

    [NSHELP-29675]

  • Vous remarquerez peut-être certaines adresses IP internes de Citrix dans le fichier rdx.js.

    [ NSHELP-28682 ]

  • L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

    [ NSHELP-28551 ]

  • Parfois, un utilisateur est déconnecté de Citrix Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

    [ NSHELP-28404 ]

  • Le plug-in EPA pour Windows n’utilise pas le proxy configuré de la machine locale et se connecte directement au serveur de passerelle.

    [ NSHELP-24848 ]

  • Le plug-in VPN n’établit pas de tunnel après l’ouverture de session Windows, si les conditions suivantes sont remplies :

    • L’appliance Citrix Gateway est configurée pour la fonctionnalité Always On
    • L’appliance est configurée pour l’authentification basée sur des certificats avec l’authentification à deux facteurs « désactivée »

    [ NSHELP-23584 ]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • Dans une configuration de cluster Citrix ADC, HDX Insight et Gateway Insight ne peuvent pas être activés simultanément.

    [CGOP-22849]

  • Si vous souhaitez utiliser le VPN Always On avant la fonctionnalité d’ouverture de session Windows, il est recommandé de passer à Citrix Gateway 13.0 ou version ultérieure. Cela vous permet de tirer parti des améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

    [ CGOP-19355 ]

  • L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.

    [ CGOP-13621 ]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [ CGOP-13511 ]

  • Lorsqu’une connexion ICA est lancée à partir d’un Receiver MAC version 19.6.0.32 ou Citrix Virtual Apps and Desktops version 7.18, la fonctionnalité HDX Insight est désactivée.

    [CGOP-13494]

  • Lorsque la fonction EDT Insight est activée, les canaux audio peuvent parfois échouer en cas de divergence réseau.

    [CGOP-13493]

  • Lors de l’acceptation des connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

    [ CGOP-13050 ]

  • Le texte « Page d’accueil » dans l’ application Citrix SSO > Page d’accueil est tronqué dans certaines langues.

    [ CGOP-13049 ]

  • Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, le fait de cliquer sur Options dans le menu Paramètres affiche une boîte de dialogue Erreur critique . De plus, la page ne répond plus.

    [ CGOP-7269 ]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • Le format ServiceGroupName utilisé dans le trap entityofs pour le groupe de services est le suivant :
    <service(group)name>?<ip/DBS>?<port>

    Dans le format de déroutement, le groupe de services est identifié par une adresse IP ou un nom et un port DBS. Le point d’interrogation (« ? ») est utilisé comme séparateur. Le Citrix ADC envoie le piège avec le point d’interrogation (« ? »). Le format s’affiche de la même manière dans l’interface graphique Citrix ADM. C’est le comportement attendu.

    [ NSHELP-28080 ]

Divers

  • Lorsqu’une synchronisation forcée a lieu dans une configuration à haute disponibilité, l’appliance exécute la commande « set urlfiltering parameter » dans le nœud secondaire.
    Par conséquent, le nœud secondaire ignore toute mise à jour planifiée jusqu’à la prochaine heure planifiée mentionnée dans le paramètre « TimeOfDaytoUpdateDB ».

    [ NSSWG-849 ]

  • Le registre de liste AlwaysOnAllow ne fonctionne pas comme prévu si la valeur du registre est supérieure à 2000 octets.

    [NSHELP-31836]

  • Une appliance Citrix ADC peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.

    [ NSHELP-22409 ]

Mise en réseau

  • Dans une appliance Citrix ADC BLX prenant en charge DPDK, les VLAN balisés ne sont pas pris en charge pour les ports de carte réseau Intel i350 DPDK. Ceci est observé car il s’agit d’un problème connu présent sur le pilote DPDK.

    [NSNET-25299]

  • Une appliance Citrix ADC BLX avec DPDK peut ne pas redémarrer si toutes les conditions suivantes sont remplies :

    • L’appliance Citrix ADC BLX est allouée avec un faible nombre de « pages énormes ». Par exemple, 1G.
    • L’appliance Citrix ADC BLX est allouée avec un nombre élevé de processus de travail. Par exemple, 28.

    Le problème est enregistré sous forme de message d’erreur dans « /var/log/ns.log » :

    • « BLX-DPDK:DPDK Mempool n’a pas pu être initialisé pour PE-x »

    Remarque : x est un nombre <= nombre de processus de travail.

    Solution : allouez un grand nombre de « pages volumineuses », puis redémarrez l’appliance.

    [ NSNET-25173 ]

  • Le redémarrage d’une appliance Citrix ADC BLX en mode DPDK peut prendre un peu plus de temps en raison de la fonctionnalité de facilité DPDK.

    [ NSNET-24449 ]

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :

    • Désactiver
    • Activer
    • Réinitialiser

    [ NSNET-16559 ]

  • L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • Dans certains cas de connexions de données FTP, l’appliance Citrix ADC effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

    [NSNET-5233]

  • Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance Citrix ADC, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

    [ NSHELP-21082 ]

Plateforme

  • Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance Citrix ADC. Utilisez la commande « rm cloudprofile » pour supprimer le profil.

    [NSPLAT-4520]

  • Dans une configuration haute disponibilité sur Azure, lors de la connexion au nœud secondaire via l’interface graphique, l’écran de premier utilisateur (FTU) pour la configuration du profil cloud à mise à l’échelle automatique s’affiche.
    Solution : ignorez l’écran et connectez-vous au nœud principal pour créer le profil cloud. Le profil cloud doit toujours être configuré sur le nœud principal.

    [NSPLAT-4451]

  • Sur la plate-forme Citrix ADC SDX 8015/8400/8600, vous pouvez constater une augmentation de la consommation de mémoire sur Xen Server.
    Solution : exécutez la commande suivante sur Xen Server, puis redémarrez l’appliance.
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [NSHELP-32260]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

SSL

  • Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM. ERREUR : actualisation des CRL désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA.

    [NSSSL-3184, NSSSL-1379, NSSSL-1394]

System

  • Un RTT élevé est observé pour une connexion TCP si la condition suivante est remplie :

    • une fenêtre de congestion maximale élevée (> 4 Mo) est définie
    • L’algorithme TCP NILE est activé

    Pour qu’une appliance Citrix ADC utilise l’algorithme NILE pour contrôler la congestion, les conditions doivent dépasser le seuil de démarrage lent, associé à la fenêtre de congestion maximale

    Ainsi, jusqu’à ce que la fenêtre de congestion maximale configurée soit atteinte, Citrix ADC continue d’accepter les données et se retrouve avec un RTT élevé.

    [NSHELP-31548]

  • La valeur MAX_CONCURRENT_STREAMS est définie sur 100 par défaut si l’appliance ne reçoit pas le cadre de paramètres max_concurrent_stream du client.

    [ NSHELP-21240 ]

  • Les compteurs mptcp_cur_session_without_subflow décrémentent incorrectement à une valeur négative au lieu de zéro.

    [ NSHELP-10972 ]

  • Dans de rares cas, les flux créés avant la création du flux WebSocket HTTP/2 peuvent être interrompus lorsque la connexion côté serveur du WebSocket se ferme.

    Ce problème se produit car l’appliance Citrix ADC ne prend pas en charge le multiplexage de connexion pour le WebSocket HTTP/2.

    Solution : désactivez le multiplexage des connexions pour le profil HTTP2 associé à l’aide de la commande suivante :

    set httpProfile <name> [-conMultiplex ( ENABLED | DISABLED )]

    [NSBASE-17449]

  • Dans un déploiement de cluster, si vous exécutez la commande « forcer la synchronisation du cluster » sur un nœud non CCO, le fichier ns.log contient des entrées de journal dupliquées.

    [NSBASE-16304, NSGI-1293]

  • Lorsque vous installez Citrix ADM sur un cluster Kubernetes, il ne fonctionne pas comme prévu car les processus requis peuvent ne pas s’exécuter.

    Solution : redémarrez le module Gestion.

    [ NSBASE-15556 ]

  • L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.

    [ NSBASE-8506 ]

Interface utilisateur

  • Pour la fonction de réécriture MQTT, vous ne pouvez pas supprimer une expression à l’aide de l’éditeur d’expression dans l’interface graphique.

    Solution : utilisez la commande d’ajout ou de modification d’action de type MQTT via l’interface de ligne de commande.

    [NSUI-18049]

  • Dans l’interface graphique de Citrix ADC, le lien « Aide » présent sous l’onglet « Tableau de bord » est rompu.

    [NSUI-14752]

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

  • Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

    [NSUI-6838]

  • Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

    • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

    Solution : effectuez un basculement HA manuel successif uniquement une fois la synchronisation HA terminée (les deux nœuds sont en état de réussite de la synchronisation).

    [ NSHELP-25598 ]

  • Dans une configuration haute disponibilité des appliances Citrix ADC BLX, le nœud principal peut ne plus répondre en bloquant toute demande d’interface de ligne de commande ou d’API.

    Solution : redémarrez le nœud principal.

    [NSCONFIG-6601]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

    1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions
      • 13.0 52.24 build
      • 12.1 57.18 build
      • 11.1 65.10 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système à l’aide de l’interface de ligne de commande :
    À l’invite de commande, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution : Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, voir How to reset root administrator (nsroot) password.

    [NSCONFIG-3188]

Notes de publication pour la version 13.1-37.38 de Citrix ADC
January 16, 2023
Contributeur: 
C
January 16, 2023
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement
© 1999- Cloud Software Group, Inc. All rights reserved.