ADC

Notas de lanzamiento para la versión 13.0-79.64 de Citrix ADC

Este documento de notas de la versión describe las mejoras y los cambios, los problemas resueltos y conocidos que existen en la versión 13.0-79.64 de Citrix ADC.

Notas

Novedades

Las mejoras y los cambios que están disponibles en la compilación 13.0-79.64.

Autenticación, autorización y auditoría

  • Soporte de sondeo durante la autenticación

    El dispositivo Citrix ADC ahora se puede configurar para realizar sondeos durante la autenticación multifactorial.

    El mecanismo de sondeo permite que un dispositivo Citrix ADC reanude una autenticación continua con el endpoint sin tener que reiniciar el proceso de autenticación en un caso raro de restablecimiento de la conexión TCP en el extremo.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/polling-for-nfactor.html

    [NSAUTH-9043]

Administración de bots

  • Detección de bots basada en la dinámica del ratón y el teclado

    El sistema de administración de bots de Citrix ahora puede detectar bots basándose en los movimientos del teclado y el ratón. A diferencia de las técnicas de bots convencionales que requieren la interacción humana directa (por ejemplo, la validación del CAPTCHA), la nueva técnica de detección de bots monitorea pasivamente la dinámica del ratón y el teclado. A continuación, el dispositivo Citrix ADC recopila los datos del usuario en tiempo real y los envía al servidor Citrix ADM para su análisis de bots.

    La técnica de detección de bots que utiliza dinámicas de teclado y ratón tiene las siguientes ventajas:

    • Permite la supervisión durante toda la sesión del usuario y elimina un único punto de control.
    • No requiere interacción humana y es completamente transparente para los usuarios.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.html

    [ NSBOT-402 ]

Dispositivo Citrix ADC SDX

  • En un dispositivo Citrix ADC SDX, el estado de una instancia de ADC muestra actualmente “Fuera de servicio” cuando se cumplen las siguientes condiciones:

    • La contraseña de la instancia de ADC se cambia directamente mediante la CLI de la instancia.
    • La contraseña no coincide con la contraseña del perfil de administrador de la instancia almacenada en Management Service.
    • La sesión anterior se pierde después de reiniciar la instancia por primera vez.

    Ahora, cada vez que la instancia deja de funcionar debido a un error de autenticación, el color del estado de la instancia cambia a gris. Para recuperar la instancia, siga uno de estos procedimientos:

    • En la CLI de la instancia, modifica la contraseña de la instancia para que coincida con la contraseña en el perfil de administrador de la instancia. A continuación, vuelva a descubrir la instancia desde el servicio de administración.
    • Cree un perfil de administrador con la misma contraseña que la contraseña actual de la instancia de ADC. A continuación, actualice la instancia de ADC con el nuevo perfil de administrador.

    [ NSSVM-4193 ]

Citrix Web App Firewall

  • Modos de relajación y aplicación para gestionar los ataques de inyección de HTML SQL

    El firewall de aplicaciones web ahora está mejorado para funcionar en modo de relajación y modo de aplicación para una mayor protección de seguridad. Dependiendo de cómo desee que el dispositivo gestione los ataques de inyección de HTML SQL, puede configurar la comprobación de seguridad en modo de cumplimiento o de relajación.

    En el modo de cumplimiento, la comprobación de seguridad permite eludir los ataques de inyección de HTML SQL, a menos que haya configurado explícitamente el perfil para bloquear las infracciones mediante normas de cumplimiento vinculantes.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/current-release/application-firewall/top-level-protections/relaxtion-and-deny-rules-for-html-sql-injection-attack.html

    [NSWAF-6435]

Equilibrio de carga

  • Mejora del rendimiento de sincronización de la configuración de GSLB y reducción del tiempo de sincronización

    El dispositivo Citrix ADC ahora admite la sincronización incremental de la configuración de GSLB. En la sincronización incremental, solo la configuración que cambió en el sitio principal entre la última sincronización y el intervalo de sincronización posterior (10 segundos) se sincroniza en todos los sitios subordinados. Al introducir solo las configuraciones incrementales, se reduce considerablemente el tamaño del archivo de configuración y, por lo tanto, el tiempo total necesario para la sincronización. Esto también mejora el rendimiento de sincronización de la configuración de GSLB. Si se produce un error en una sincronización incremental, el dispositivo Citrix ADC realiza automáticamente una sincronización de configuración completa.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/current-release/global-server-load-balancing/synchronizing-configuration-in-gslb-setup/real-time-synchronization.html

    [NSLB-7384]

  • Nuevos algoritmos para un hash coherente

    Ahora se admiten los algoritmos CARP (PRAC) y Jump table Assisted Ring Hash (JARH) de Prime para realizar un hash coherente. Estos algoritmos proporcionan consistencia y una distribución uniforme del tráfico.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/current-release/load-balancing/load-balancing-customizing-algorithms/hashing-methods.html

    [NSLB-7028]

  • En raras ocasiones, un monitor LDAP muestra de forma incorrecta el estado del servidor LDAP como inactivo porque el monitor no envía la contraseña correcta en la sonda del servidor.

    [NSHELP-24967]

Redes

  • Soporte de autenticación BGP MD5 para dispositivos Citrix ADC BLX

    El dispositivo Citrix ADC BLX ahora admite la autenticación MD5 para el protocolo Border Gateway (BGP) con pares de IPv4.

    Cuando la autenticación está habilitada, cualquier segmento TCP de BGP intercambiado entre los pares de IPv4 de BGP se verifica y acepta solo si la autenticación se realiza correctamente. Para que la autenticación se realice correctamente, los pares deben configurarse con la misma contraseña de MD5. Si se produce un error en la autenticación, no se establece la relación de vecinos de BGP.

    La compatibilidad con la autenticación MD5 para BGP en el dispositivo Citrix ADC BLX cumple con la RFC 2385.

    [ NSNET-19089 ]

Plataforma

  • Compatibilidad con la actualización 1c de VMware ESX 7.0 en la instancia Citrix ADC VPX

    La instancia Citrix ADC VPX ahora es compatible con la actualización 1c de VMware ESX versión 7.0 (compilación 1732555).

    [NSHELP-26444]

SSL

  • Soporte para certificado de cliente RSA de 4096 bits

    En un dispositivo Citrix ADC VPX, ahora se admite la autenticación de clientes con un certificado de cliente RSA de 4096 bits durante un protocolo de enlace SSL.

    [ NSSSL-8194 ]

Sistema

Problemas resueltos

Los problemas que se abordan en la compilación 13.0-79.64.

Autenticación, autorización y auditoría

  • La personalización de los mensajes de error en la página del portal para los usuarios finales no funciona cuando el parámetro “EnableEnhancedAuthFeedback” se activa mediante el comando “set aaa parameter”.

    [NSHELP-26814]

  • No puede anular el atributo de grupo de “memberof” en el servidor LDAP cuando se configura mediante la GUI de Citrix ADC.

    [NSHELP-26199]

  • El complemento Citrix Gateway no se inicia si se cumplen las siguientes condiciones:

    • El dispositivo Citrix Gateway está configurado únicamente como VPN completa.
    • El método de autenticación es OAuth RP.

    [NSHELP-26020]

  • En un dispositivo Citrix ADC BLX, es posible que la autenticación LDAP no funcione como se esperaba con los tipos de seguridad SSL, TLS y texto sin formato.

    [NSHELP-25809]

  • Se observan los siguientes problemas cuando el dispositivo Citrix ADC se configura como parte dependiente (RP).

    • El dispositivo no procesa la solicitud de autenticación del IdP de OAuth si el IdP utiliza el algoritmo de firma para JWT como RS512.
    • El dispositivo envía un valor “anónimo” para el parámetro “login_hint” al IdP de OAuth.

    [NSHELP-25794]

  • Al cerrar sesión en Citrix Gateway y si la cuenta RADIUS está configurada en la puerta de enlace, la información de cierre de sesión no se envía al servidor de cuentas RADIUS.

    [NSHELP-25765]

  • La autenticación falla durante el modo de diálogo cuando el servidor RADIUS envía varias respuestas duplicadas.

    [NSHELP-25758]

  • El complemento Citrix Gateway no se inicia si se cumplen las siguientes condiciones:

    • El dispositivo Citrix Gateway está configurado únicamente como VPN completa.
    • El registro SSPR se configura como último factor.

    [NSHELP-25691]

  • Al configurar una directiva de autenticación mediante la GUI de Citrix ADC, no se puede seleccionar la acción “SIN AUTENTICACIÓN”.

    [NSHELP-25466]

  • En algunos casos, el dispositivo Citrix ADC puede bloquearse cuando un usuario intenta autenticarse y si el dispositivo está configurado de la siguiente manera.

    • El dispositivo está configurado para la autenticación 401
    • La directiva de autenticación tiene NoAuth en el primer factor y la autenticación por certificado en el segundo factor

    [NSHELP-25051]

Administración de bots

  • No puedes vincular varias cookies de sesión con límite de velocidad a un perfil de bot.

    [ NSBOT-390 ]

Dispositivo Citrix ADC SDX

  • En un dispositivo Citrix ADC SDX, el Servicio de administración no envía mensajes syslog a los servidores syslog configurados.

    [NSHELP-27000]

  • Tras reiniciar el servicio de administración, es posible que no se puedan extraer por primera vez las instancias o el ancho de banda de un servidor de licencias agrupado.

    [NSHELP-26878]

  • En un dispositivo Citrix ADC SDX que ejecute la versión 13.0 del software, es posible que no se pueda acceder a las instancias de ADC desde el Servicio de administración aunque se pueda acceder a ellas directamente mediante la dirección IP de la instancia.

    [NSHELP-26679]

  • Al reiniciar el servicio de administración y si se aprovisionan algunas instancias de VPX, aparece el siguiente mensaje de error si intenta editar el tiempo de espera de la sesión del grupo predeterminado desde la páginaSistema>Administración de usuarios> Grupos.

    El ámbito autorizado del grupo predeterminado no se puede cambiar.

    [NSHELP-26556]

  • El inventario no se realiza según el ciclo de inventario para las instancias en las que la dirección IP utilizada durante el aprovisionamiento de instancias se cambia directamente desde la instancia más adelante.

    [NSHELP-26407]

Citrix Gateway

  • El dispositivo Citrix ADC puede bloquearse en un flujo de SSO si se configuran Citrix Secure Web Gateway y AppFlow.

    [NSHELP-26781]

  • La opción Anular global para el parámetro de acceso a LAN local del perfil de sesión de Citrix Gateway > Experiencia de cliente > Avanzado está inhabilitada. Está habilitada de forma predeterminada en las versiones anteriores.

    [NSHELP-26689]

  • El dispositivo Citrix Gateway se bloquea si un usuario accede al puerto IDENT (113) al cliente de otro usuario mediante la IP de la intranet (tráfico de complemento a complemento) a través de un túnel VPN completo.

    [NSHELP-26631]

  • Las bibliotecas EPA para macOS se han actualizado a la versión 1.3.4.7 (versión de Opswat: 4.3.1566.0)

    [NSHELP-26538]

  • El dispositivo Citrix Gateway se bloquea cuando una conexión iniciada por el servidor envía paquetes de datos una vez cerrada la conexión.

    [NSHELP-26431]

  • La página de inicio de sesión de Citrix Gateway muestra un error que indica que el inicio de sesión ha fallado si se cumple la siguiente secuencia de condiciones. El error aparece incluso si el usuario no ha intentado iniciar sesión de nuevo.

    1. No se puede iniciar sesión en Citrix Gateway.
    2. El inicio de sesión en Citrix Gateway se realiza correctamente.
    3. El usuario cierra la sesión.

    [NSHELP-25157]

  • Los errores de inicio falsos de las aplicaciones se informan en Gateway Insight. Los errores de inicio se notifican cuando no se inicia ninguna aplicación o escritorio.

    [NSHELP-23047]

  • Al agregar un servidor virtual de autenticación mediante el asistente de XenApp y XenDesktop, se produce un error al probar la conectividad de ese servidor de autenticación.

    [CGOP-16792]

Citrix Web App Firewall

  • En una configuración de clúster, el motor de aprendizaje de Web App Firewall aprende los mismos datos varias veces si el comodín de SQL coincide con un carácter de percentil (%).

    [ NSWAF-7489 ]

  • Un dispositivo Citrix ADC puede bloquearse si se habilita el cierre de StartURL y se produce un error en la asignación de memoria.

    [NSHELP-27155]

  • Se produce un problema si los valores de las cookie se separan con una coma (un estándar que no es RFC) después de añadir la compatibilidad con cookie del mismo sitio al perfil de Citrix Web App Firewall.

    [NSHELP-26846]

  • Un dispositivo Citrix ADC puede fallar si la administración de bots no inserta JavaScript en la respuesta HTTP.

    [NSHELP-26730]

  • Se puede observar una pérdida de memoria cuando algunos búferes de mensajes utilizados para el registro de XSS no se liberan para cargas específicas.

    [NSHELP-26430]

  • En una configuración de alta disponibilidad, si la creación de perfiles dinámicos se configura junto con las alertas SNMP habilitadas, es posible que se observe un aumento en el uso de memoria en el nodo secundario.

    [NSHELP-25580]

  • El dispositivo Citrix ADC podría bloquearse debido a un problema de tiempo de espera al agregar un registro de infracciones a una larga lista de registros.

    [NSHELP-25507]

Equilibrio de carga

  • En una implementación de Cluster-GSLB, el estado efectivo de los servicios GSLB locales no se actualiza en los nodos que no son propietarios porque el nodo propietario de la GSLB no puede enviar actualizaciones del estado del servicio a los nodos que no son propietarios.

    [NSHELP-26260]

  • Es posible que un dispositivo Citrix ADC se bloquee al procesar un paquete de protocolo de inicio de sesión (SIP) no válido.

    [NSHELP-26202]

  • Cuando un servidor virtual de conmutación de contenido recibe una solicitud HTTPS, la cookie más grande de la solicitud HTTPS provoca un desbordamiento del búfer y la corrupción de la pila cuando se cumplen las siguientes condiciones:

    • El formato de la cookie es incorrecto.
    • La longitud de la cookie es superior a 32 bytes.

    [NSHELP-25932]

  • Al modificar la dirección IP del servidor de fondo de un servidor cuyo nombre no es el mismo que su dirección IP, es posible que no pueda guardar la configuración completa. Este es un caso poco frecuente y puede ocurrir si la memoria del dispositivo Citrix ADC está baja.

    [NSHELP-24329]

  • En la implementación de clústeres o de alta disponibilidad de AutoScale, un dispositivo Citrix ADC puede fallar al crear un miembro del servicio y si se cumplen las siguientes condiciones:

    • Si vincula al miembro del servicio a un grupo de servicios en un nodo no propietario o en un nodo secundario con la opción de monitoreo del estado inhabilitada.

    [NSHELP-24029]

Otros

  • En una configuración de clúster, la propagación del comando puede fallar debido a la pérdida de la conexión con CCO. El problema se produce si se cumplen las dos condiciones siguientes:

    • Realiza una operación de propagación de comandos en la configuración.
    • La configuración permanece inactiva durante más de dos horas. Se dice que una configuración de clúster está inactiva si no hay intercambio de ningún comando de CLI entre los nodos.

    [NSHELP-26350]

Redes

  • En una configuración de clúster con un parámetro global de conexión máxima (maxConn) establecido en un valor distinto de cero, las conexiones CLIP podrían fallar si se cumple alguna de las siguientes condiciones:

    • Actualización de la configuración de la compilación Citrix ADC 13.0 76.x a la compilación Citrix ADC 13.0 79.x.
    • Reiniciar el nodo CCO en una configuración de clúster que ejecute la compilación Citrix ADC 13.0 76.x.

    [ NSNET-21173 ]

  • Cuando aumenta la cantidad de archivos de respaldo de newnslog, puede provocar una reducción del espacio en disco para una instancia CPX de Citrix ADC en ejecución durante un período de tiempo. Con la variable de entorno NEWNSLOG_MAX_FILENUM, puede controlar la cantidad de archivos de respaldo. Al establecer el valor de la variable de entorno en 10, puede limitar el número máximo de archivos de respaldo de newnslog a 10.

    [ NSNET-20261 ]

  • Un dispositivo Citrix ADC BLX ahora admite la función de protocolo de enrutamiento dinámico OSPF (OSPFv3) IPv6 de Citrix ADC. Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/current-release/networking/ip-routing/configuring-dynamic-routes/configuring-ipv6-ospf.html.

    [NSNET-19567]

  • Un dispositivo Citrix ADC puede fallar cuando se cumplen todas las condiciones siguientes:

    • El modo MAC está habilitado en un servidor virtual de equilibrio de carga no direccionable.
    • El mismo servidor virtual forma parte de una configuración de equilibrio de carga de enlaces o de una configuración de enrutamiento basada en directivas.

    Como parte de la solución, el dispositivo Citrix ADC ahora muestra el siguiente mensaje de advertencia cuando se cumplen las condiciones anteriores:

    • Advertencia: la redirección del modo MAC no debe habilitarse con la configuración LLB.

    [NSNET-19485]

  • Un dispositivo Citrix ADC puede bloquearse si se dan las siguientes condiciones:

    • La configuración de equilibrio de carga de enlaces IPv6 (LLB6) tiene habilitada la opción de persistencia.
    • Se crean algunas conexiones ficticias de IPv6 para esta configuración de LLB6.

    [NSHELP-25695]

  • En una configuración de nube de AWS en clúster, el nodo con un valor de prioridad más alto podría convertirse en el CCO. Ocurre cuando ocho o más nodos con valores de prioridad diferentes se reinician juntos.

    [NSHELP-25244]

Plataforma

  • En algunos casos, no aparece una instancia VPX en un dispositivo Citrix SDX si se agrega una gran cantidad de interfaces a la instancia VPX.

    [NSHELP-26861]

  • En un dispositivo Citrix ADC SDX 15000-50G, en caso de un breve aumento del tráfico de datos no dirigido a ninguna de las instancias de ADC VPX, puede producirse el siguiente problema:

    • El enlace LACP de los puertos 10G puede parpadear de forma intermitente o dejar de funcionar permanentemente.

    [NSHELP-25561]

  • En un dispositivo Citrix ADC SDX, durante un reinicio en caliente de una instancia VPX configurada como nodo de clúster, el canal LA del plano posterior podría pasar a un estado DE ACTIVACIÓN PARCIAL debido a un error del comando de la interfaz establecida.

    [NSHELP-23353]

  • De forma predeterminada, el monitor de alta disponibilidad (HAMON) y el latido de HA están inhabilitados en una interfaz de administración configurada como interfaz de administración interna. Además, los latidos de HAMON y HA no se pueden habilitar en esta interfaz.
    Más adelante, si se vuelve a configurar la misma interfaz como interfaz de administración y se reinicia la instancia VPX, las opciones de latidos de HAMON y HA seguirán inhabilitadas.
    Sin embargo, ahora puede habilitar estas opciones manualmente para evitar problemas con la configuración de HA.

    [NSHELP-21803]

Directivas

  • No se pueden usar variables en la asignación si la longitud de la variable es superior a 31 caracteres.

    [NSHELP-26362]

  • El siguiente problema puede provocar una conmutación por error en una configuración de alta disponibilidad:

    Si muchos paquetes que no son HTTP ni TCP se ponen en cola esperando a ser gestionados después de que se haya bloqueado su procesamiento.

    [NSHELP-23506]

SSL

  • En un dispositivo Citrix ADC, se produce una pérdida de memoria si el parámetro SSL “SessionTicket” está habilitado.

    [NSHELP-26207]

  • Un dispositivo Citrix ADC puede fallar al gestionar las solicitudes de los clientes TLS 1.3 si se cumplen las siguientes condiciones:

    • El protocolo TLS 1.3 está habilitado en el servidor virtual de front-end.
    • La plataforma de hardware subyacente utiliza tarjetas de aceleración criptográfica Intel Coleto Creek (algunos modelos MPX y SDX utilizan estos chips).
    • En las plataformas SDX, los recursos de la tarjeta criptográfica Intel Coleto Creek se asignan a la instancia ADC.

    [NSHELP-26089]

  • Es posible que se produzcan errores de conexión debido a la falta de memoria en un dispositivo Citrix ADC cuando la partición de administración está habilitada. El problema se produce cuando los chips de hardware criptográfico SSL están llenos.

    [NSHELP-25981]

  • En una configuración de clúster, es posible que se observen los siguientes problemas:

    • Falta el comando para el par de claves de certificado predeterminado vinculado a los servicios internos SSL del CLIP. Sin embargo, si actualiza desde una versión anterior, es posible que tenga que vincular el par de claves de certificado predeterminado a los servicios internos SSL afectados en el CLIP.
    • Discrepancia de configuración entre el CLIP y los nodos del comando set predeterminado para los servicios internos.
    • Falta el comando default cipher bind para las entidades SSL en el resultado del comando show running config ejecutado en un nodo. La omisión es solo un problema de visualización y no tiene ningún impacto funcional. El enlace se puede ver mediante el comando show ssl <entity> <name>.

    [ NSHELP-25764 ]

  • El dispositivo Citrix ADC deja de responder si se cumplen las siguientes condiciones:

    • DTLS está activado.
    • La multiplexación UDP utiliza un canal DTLS y bombea el tráfico a una velocidad alta.

    [NSHELP-22987]

Sistema

  • En una configuración de alta disponibilidad, el nodo secundario puede bloquearse si las métricas están habilitadas en el dispositivo Citrix ADC desde Citrix ADM.

    [NSHELP-26969]

  • Cuando un dispositivo Citrix ADC procesa un paquete TCP duplicado, se observan los siguientes problemas en el dispositivo:

    • El dispositivo genera un ACK duplicado con DSACK y el paquete se descarta.
    • Si el paquete entrante tiene alguna actualización de ventana, el dispositivo hace una copia del mismo y simula un ACK de actualización de ventana.
    • El dispositivo crea el ACK de actualización de la ventana con una marca de tiempo incorrecta.

    [NSHELP-26893]

  • En los casos de interfaz HTTP/2 y backend de HTTP/1.1, el usuario no puede ver las conexiones del servidor de fondo si el filtro IP de vserver y los parámetros habilitados para el enlace están configurados en el comando nstrace.

    [NSHELP-26717]

  • Para una conexión de cliente, un dispositivo Citrix ADC podría enviar incorrectamente un encabezado de mantenimiento de conexión en respuesta al encabezado de cierre de conexión del cliente. Este encabezado de mantenimiento de conexión incorrecto provoca un retraso en el cierre de la conexión en el cliente.

    [NSHELP-26474]

  • Una vez activado, el parámetro “ClientSideMeasurements” no se puede inhabilitar en el comando de acción de AppFlow.

    [NSHELP-26464]

  • Un dispositivo Citrix ADC puede bloquearse si se cumplen las siguientes condiciones:

    • Si la solicitud de un cliente proviene de un recurso (con la misma dirección IP y puerto) para el que no se ha liberado ningún recurso de la estructura de conexión anterior del Sistema de Prevención de Intrusiones (IPS).
    • El módulo del Sistema de prevención de intrusiones (IPS) intenta acceder al recurso no liberado desde la estructura liberada.

    [NSHELP-26450]

  • Un dispositivo Citrix ADC puede bloquearse cuando se envía un restablecimiento en una solicitud que se almacena en caché.

    [NSHELP-26410]

  • El método HTTP patch se bloquea cuando el parámetro MarkHttpHeaderExtrawsError está activado en el comando set HttpProfile.

    [NSHELP-26398]

  • Un dispositivo Citrix ADC puede bloquearse en un módulo de AppFlow cuando el dispositivo tiene problemas de memoria.

    [NSHELP-26367]

  • Durante la configuración clara, cuando no hay ningún conjunto de URL en uso, aparece una entrada de registro de errores correspondiente al conjunto de URL en el archivo ns.log.

    [NSHELP-26242]

  • Tras una actualización de Citrix ADC 12.1, compilación 50.31, a Citrix ADC 13.0, compilación 58.32, el dispositivo no vuelve a intentarlo tras recibir un paquete ACK para TCP SYN incorrecto en el caso de los monitores. Como resultado, el dispositivo restablece la conexión TCP del monitor y marca el servicio como inactivo.

    [NSHELP-25813]

  • La configuración de RNAT no funciona con las conexiones HTTP/2 si el dispositivo usa la dirección IP de RNAT para las conexiones del lado del servidor (tanto http2 como http1.1).

    [NSHELP-23783]

  • La validación del CAPTCHA no funciona como se esperaba si se establece un valor de TTL alto en 255 para todos los paquetes.

    [ NSBASE-13966 ]

  • Un error en la lógica de administración de ventanas HTTP/2 y TCP puede provocar que la conexión del servidor se produzca con un problema en las ventanas HTTP/2 y TCP. Impide que el objeto se almacene en caché por completo. El problema se observa si se cumplen las siguientes condiciones:

    • La función de almacenamiento en caché integrada está habilitada y la respuesta se almacena en caché.
    • Durante la condición anterior, el cliente HTTP/2 envía abruptamente un paquete de transmisión de restablecimiento o el cliente HTTP/1.1 envía un TCP RST a la conexión.

    [ NSBASE-13878 ]

  • Un dispositivo Citrix ADC puede fallar al generar registros de AppFlow para determinadas respuestas HTTP generadas por la VPN. El problema se produce cuando se habilita Gateway Insight.

    [ NSBASE-13698 ]

  • La actualización de la ventana anunciada por TCP (ADV_WND) no cumple con las expectativas al recibir el paquete de datos si la función de almacenamiento en búfer de recepción dinámica (DRB) está habilitada. Como resultado, las cargas son más lentas en comparación con la velocidad cuando la función DRB está desactivada.

    [ NSBASE-13100 ]

Interfaz de usuario

  • La GUI de Citrix ADC muestra un VIP incorrecto al editar el servidor virtual de conmutación de contenido después de estar vinculado a una directiva.

    [NSHELP-26853]

  • En un dispositivo Citrix ADC BLX, es posible que el tiempo de caducidad de una licencia local no disminuya como se esperaba.

    Como solución, el tiempo de caducidad de una licencia local ahora se reduce en 1 por cada 24 horas.

    [NSHELP-26554]

  • En una configuración de alta disponibilidad de los dispositivos Citrix ADC BLX, la sincronización de la configuración puede fallar a veces.

    [NSHELP-26495]

  • Tras reiniciar un dispositivo Citrix ADC, el estado de licencia del dispositivo pasa a estar en estado de gracia si no se puede acceder al servidor de licencias desde el dispositivo. El estado de la licencia permanece en estado de gracia aunque se pueda acceder al servidor de licencias.

    [NSHELP-26468]

  • El comando switch partition permite la ejecución forzada de la opción f o force. Puede permitir a los usuarios cambiar a una nueva partición sin solicitar que guarden la configuración y la configuración no se guarda. El cambio forzoso se realizará sin previo aviso y la configuración se guardará. Ocurre cuando usas el indicador -save.

    [NSHELP-26222]

  • Una vista de persistencia del servidor virtual de equilibrio de carga no muestra todos los parámetros al editar una configuración de persistencia de servidor virtual existente.

    [NSHELP-25965]

  • El comando show partition puede provocar que el daemon “nsconfigd” se bloquee si se cumplen las siguientes condiciones:
    • El token de sesión de API es de corta duración.
    • El token de sesión caduca antes de que se complete el comando show partition.

    [NSHELP-25880]

  • En una configuración de clúster, al acceder a la GUI de Citrix ADC desde CLIP, puede observar que las directivas de Syslog de auditoría no están vinculadas globalmente. No se observa el mismo problema al acceder a la GUI de Citrix ADC desde el NSIP.

    [NSHELP-24631]

  • El botón Actualizar no funciona al comprobar las sesiones de transmisión (AppExpert > Action Analytics > Stream Identifier) en la GUI.

    [NSHELP-24195]

  • Un dispositivo Citrix ADC no admite la adición de archivos CRL de más de 2 MB mediante las API de NITRO.

    [NSHELP-20821]

  • En un dispositivo Citrix ADC BLX, es posible que la ficha “Informes” de la GUI no funcione como se esperaba.

    [ NSCONFIG-4877 ]

  • La conexión entre la instancia ADC y el servicio ADM se pierde cuando se cumplen las siguientes condiciones:

    • La instancia se agrega al servicio ADM mediante un agente integrado.
    • La instancia se actualiza mediante la opción -Y o desde la GUI de ADM. En ambos casos, el agente integrado no se reinicia. La opción -Y proporciona Sí como respuesta a todas las preguntas relacionadas con la actualización que aparecen en la CLI o la GUI.

    [ NSCONFIG-4368 ]

Optimización de vídeo

  • Un dispositivo Citrix ADC puede fallar si una solicitud entrante no cumple con las reglas gramaticales del FQDN para la evaluación de directivas. Algunos ejemplos de FQDN no válidos son el SNI y el nombre de host que comienzan con un punto (‘.’).

    [NSHELP-25564]

Problemas conocidos

Los problemas que existen en la versión 13.0-79.64.

Autenticación, autorización y auditoría

  • En algunos casos, una solicitud HTTP POST a un servidor virtual de autenticación, autorización y auditing-TM se procesa de forma incorrecta si la solicitud no tiene una cookie de autenticación. El cuerpo POST se pierde durante el procesamiento.

    [ NSHELP-27227 ]

  • El dispositivo Citrix ADC se bloquea con frecuencia al procesar el tráfico basado en autenticación, autorización y auditing-TM y 401 LB.

    [ NSHELP-27094 ]

  • En algunos casos, un dispositivo Citrix ADC se bloquea al realizar la autenticación de usuario para Citrix Gateway y Autenticación, autorización y auditoría: implementación administrada por tráfico.

    [ NSHELP-26555 ]

  • Se rellena un nombre de dominio SSO incorrecto para el usuario que inició sesión si se usa Autenticación, autorización y auditoría.USUARIO.DOMINIO en la expresión.

    [ NSHELP-26443 ]

  • Al introducir una OTP incorrecta, aparece el mensaje de error “Error en la autenticación del correo electrónico”. No se muestra ninguna otra acción para continuar”.

    [ NSHELP-26400 ]

  • En algunos casos, el comando Vincular autenticación, autorización y grupo de auditoría puede fallar si el nombre de la directiva es más largo que el nombre de la aplicación de la intranet.

    [NSHELP-25971]

  • Un dispositivo Citrix ADC no autentica los intentos de inicio de sesión con contraseñas duplicadas y evita los bloqueos de cuentas.

    [ NSHELP-563 ]

  • La comprobación de conectividad de red falla debido a un problema de descifrado de contraseñas. Sin embargo, la funcionalidad de autenticación funciona bien.

    [ NSAUTH-10216 ]

  • LoginSchema de DualAuthPushOrOTP.xml no aparece correctamente en la pantalla del editor de esquemas de inicio de sesión de la GUI de Citrix ADC.

    [ NSAUTH-6106 ]

  • El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando.
    show adfsproxyprofile <profile name>

    Solución temporal: Conéctese al Citrix ADC activo principal del clúster y ejecute el comando show adfsproxyprofile <profile name>. Mostraría el estado del perfil de proxy.

    [ NSAUTH-5916 ]

Almacenamiento en caché

  • Es posible que un dispositivo Citrix ADC se bloquee si la función Almacenamiento en caché integrado está habilitada y el dispositivo tiene poca memoria.

    [ NSHELP-22942 ]

Dispositivo Citrix ADC SDX

  • La línea de comandos del Servicio de administración está rota y aparece el siguiente error:

    ERROR: campo de propiedad no válido

    [ NSSVM-4551 ]

  • En un dispositivo Citrix ADC SDX, si el CLAG se crea en una NIC Mellanox, la MAC de CLAG cambia cuando se reinicia la instancia VPX. El tráfico a la instancia VPX se detiene tras el reinicio porque la tabla MAC tiene la antigua entrada MAC de CLAG.

    [ NSSVM-4333 ]

  • En un dispositivo Citrix ADC SDX, es posible que no se muestre la dirección IP (NSIP) de una instancia de ADC si está configurado el rendimiento por ráfagas en esa instancia.

    [NSHELP-27133]

Citrix Gateway

  • El dispositivo Citrix Gateway se bloquea cuando una directiva de syslog está vinculada a un servidor virtual y se modifica la acción syslog correspondiente.

    [ NSHELP-27171 ]

  • El dispositivo Citrix Gateway se reinicia de forma inesperada debido a la inundación de mensajes de registro SSL VPN en el archivo local ns.log cuando se habilita Gateway Insight.

    [ NSHELP-27040 ]

  • El dispositivo Citrix Gateway podría bloquearse si ForwardSession está configurado para una subred de fondo y se accede a un servidor de la misma subred a través del túnel VPN.

    [NSHELP-27037]

  • Algunos archivos de registro relacionados con Citrix Gateway no se rotan, lo que aumenta el tamaño del registro.

    [NSHELP-26767]

  • Los registros de Citrix ADC pueden aparecer inundados con el mensaje de registro “GWINsight: FUNC=NS_SSLVPN_SEND_APP_Launch_Fail_Record La evaluación de la directiva de Appflow ha fallado” cuando Gateway Insight está habilitado.

    [ NSHELP-26750 ]

  • Al introducir el FQDN como proxy en la página Crear perfil de tráfico de Citrix Gateway, aparece el mensaje “Valor de proxy no válido”.

    [ NSHELP-26613 ]

  • El dispositivo Citrix Gateway muestra los nombres de las directivas de sesión dañados en los registros SSLVPN NONHTTP_RESOURCEACCESS_DENIED.

    [NSHELP-26610]

  • Si el nombre de la aplicación tiene más de 20 caracteres, aparecerá truncado al conectarse a través de Citrix Gateway.

    [NSHELP-26604]

  • El complemento VPN para Windows muestra información incorrecta en la pantalla de credenciales de Windows cuando la red cambia.

    [NSHELP-26562]

  • La página de detección del cliente RFWebUi muestra el botón Instalar en lugar del botón Detectar si está configurado un servidor virtual de conmutación de contenido.

    [NSHELP-26138]

  • El dispositivo Citrix ADC se bloquea si se produce alguna de las siguientes condiciones:

    • La acción syslog se configura con el nombre de dominio y usted borra la configuración mediante la GUI o la CLI.
    • La sincronización de alta disponibilidad se produce en el nodo secundario.

    Solución temporal:

    Cree una acción syslog con la dirección IP del servidor syslog en lugar del nombre de dominio del servidor syslog.

    [ NSHELP-25944 ]

  • Es posible que observe una discrepancia en el número total de conexiones TCP establecidas si está activado el Enlightened Data Transport (EDT).

    [NSHELP-25841]

  • Al crear un perfil de cliente RDP mediante la GUI de Citrix ADC, aparece un mensaje de error cuando se cumplen las siguientes condiciones:

    • Se ha configurado una clave previamente compartida (PSK) predeterminada.
    • Intenta modificar el temporizador de validez de la cookie de RDP en el campo Validez de cookies de RDP (segundos).

    [ NSHELP-25694 ]

  • El plug-in de puerta de enlace VPN de Windows no descarta los paquetes DNS IPv6, lo que da lugar a problemas con la resolución de DNS.

    [NSHELP-25684]

  • La página de inicio de sesión de Citrix Gateway no se carga al eliminar una partición de administración, si está configurada.

    [NSHELP-25538]

  • El dispositivo Citric ADC se bloquea cuando varios clientes de complementos de VPN utilizan certificados X.509 de un tamaño de 1800 bytes o más para configurar un túnel.

    [ NSHELP-25195 ]

  • El resultado del comando “show tunnel global” incluye nombres de directivas avanzados. Anteriormente, el resultado no mostraba los nombres de directivas avanzadas.

    Ejemplo:

    Nuevo resultado:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    Resultado anterior:

    
     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [ NSHELP-23496 ]

  • La latencia ICA de una sesión se registra incorrectamente como 64 000 ms en Citrix Director cuando la latencia L7 está habilitada. La latencia L7 se habilita cuando el mando “nsapimgr” “enable_ica_l7_latency” está configurado en 1.

    Solución alternativa: defina la frecuencia de latencia L7 en 5 mediante la CLI o la GUI.

    [ NSHELP-23459 ]

  • A veces, al navegar por los esquemas, aparece el mensaje de error “No se puede leer la propiedad ‘tipo’ indefinida”.

    [ NSHELP-21897 ]

  • El error de inicio de la aplicación debido a un tíquet STA no válido no se informa en Gateway Insight.

    [ CGOP-13621 ]

  • El informe de Gateway Insight muestra incorrectamente el valor “Local” en lugar de “SAML” en el campo Tipo de autenticación para errores de SAML.

    [ CGOP-13584 ]

  • En una configuración de alta disponibilidad, durante la conmutación por error de Citrix ADC, el recuento de SR aumenta en lugar del recuento de conmutación por error en Citrix ADM.

    [ CGOP-13511 ]

  • Al aceptar conexiones de host local desde el explorador web, el cuadro de diálogo Aceptar conexión para macOS muestra el contenido en inglés independientemente del idioma seleccionado.

    [ CGOP-13050 ]

  • El texto “Página de inicio” de la Aplicación Citrix SSO > Página de inicio aparece cortado en algunos idiomas.

    [ CGOP-13049 ]

  • Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de Citrix ADC.

    [ CGOP-11830 ]

  • En Outlook Web App (OWA) 2013, al hacer clic en Opciones en el menú Configuración, aparece un cuadro de diálogo Error crítico. Además, la página deja de responder.

    [ CGOP-7269 ]

Citrix Web App Firewall

  • Los datos aprendidos de aslearn no se omiten si hay caracteres especiales en los datos aprendidos del firewall de la aplicación.

    [ NSWAF-7584 ]

  • La función de secuestro de cookie tiene un soporte limitado para el navegador Internet Explorer (IE) porque los navegadores IE no reutilizan las conexiones SSL. Debido a esta limitación, se envían varios redireccionamientos para una solicitud, lo que finalmente provoca el error “SE HA SUPERADO EL MÁXIMO DE REDIRECCIONAMIENTOS” en el navegador IE.

    [ NSHELP-27193 ]

  • Tras una actualización a Citrix ADC versión 13.0 compilación 76.29 y con la función Carga de archivos habilitada en el dispositivo, se observa el siguiente problema:

    • Las comprobaciones de protección de SQL y XSS bloquean el proceso de carga de archivos para todas las aplicaciones web.

    [ NSHELP-27140 ]

  • En el módulo Citrix Web App Firewall, las entradas de la tabla hash distribuida (DHT) no se liberan en el nodo principal. Este problema se produce si las sesiones del firewall de aplicaciones tienen un tiempo de espera más corto y se crean a una velocidad mayor.

    [NSHELP-26570]

  • Algunas solicitudes con infracciones de seguridad no se bloquean mediante la comprobación de seguridad mediante secuencias de comandos HTML entre sitios.

    [NSHELP-24762]

  • Configurar los ajustes de proxy para la actualización automática de firmas

    Si el tráfico saliente se realiza a través de un dispositivo proxy (como bluecoat o Squid), ahora puedes configurar los ajustes de proxy para las actualizaciones automáticas de firmas.

    Comando CLI:

    set appfw settings -proxyServer <IP> -proxyPort <port>

    Ejemplo:

    establecer la configuración de appfw -ProxyServer 10.10.10.10 -ProxyPort 8080

    [NSHELP-17494]

Equilibrio de carga

  • En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.

    [ NSLB-7679 ]

  • La configuración de GSLB podría perderse parcialmente si se cumplen las siguientes condiciones:

    • Se reinicia el dispositivo Citrix ADC.
    • El servicio ADNS está configurado con la misma dirección IP que el sitio GSLB remoto.

    [ NSHELP-26816 ]

  • En una configuración de clúster, la dirección IP del servicio GSLB no se muestra en la GUI cuando se accede a ella a través de enlaces de servidores virtuales GSLB. Esto es solo un problema de visualización y no afecta a la funcionalidad.

    [ NSHELP-20406 ]

Otros

  • Al enviar configuraciones a las instancias del clúster mediante un StyleBook, los comandos fallan y aparecen el mensaje de error “Falló la propagación del comando”.

    En caso de errores sucesivos, el clúster conserva la configuración parcial.

    Solución temporal:

    1. Identifique los comandos fallidos en el registro.
    2. Aplique manualmente los comandos de recuperación a los comandos fallidos.

    [NSHELP-24910]

Redes

  • En un dispositivo Citrix ADC BLX, es posible que la NSVLAN enlazada con interfaces etiquetadas que no sean de dpdk no funcione como se esperaba. La NSVLAN enlazada con interfaces no dpdk sin etiquetar funciona bien.

    [ NSNET-18586 ]

  • Tras una actualización de la versión 13.0 61.x del dispositivo Citrix ADC BLX a la versión 13.0 64.x, se pierde la configuración del archivo de configuración BLX. El archivo de configuración de BLX se restablece a los valores predeterminados.

    [ NSNET-17625 ]

  • Las siguientes operaciones de interfaz no son compatibles con las interfaces X710 10G (i40e) de Intel en un dispositivo Citrix ADC BLX con DPDK:

    • Disable
    • Enable
    • Restablecer

    [ NSNET-16559 ]

  • En un host Linux basado en Debian (Ubuntu versión 18 y versiones posteriores), un dispositivo Citrix ADC BLX siempre se implementa en modo compartido, independientemente de la configuración del archivo de configuración de BLX (“/etc/blx/blx.conf”). Este problema se debe a que “mawk”, que está presente de forma predeterminada en los sistemas Linux basados en Debian, no ejecuta algunos de los comandos awk presentes en el archivo “blx.conf”.

    Solución alternativa: instale “gawk” antes de instalar un dispositivo Citrix ADC BLX. Puede ejecutar el siguiente comando en la CLI del host de Linux para instalar “gawk”:

    • apt-get install gawk

    [ NSNET-14603 ]

  • La instalación de un dispositivo Citrix ADC BLX podría fallar en un host Linux basado en Debian (versión 18 y posteriores de Ubuntu) con el siguiente error de dependencia:

    “Los siguientes paquetes tienen dependencias incumplidas: blx-core-libs:i386: PreDepends: libc6:i386 (>= 2.19) pero no se puede instalar”

    Solución temporal: ejecute los siguientes comandos en la CLI del host de Linux antes de instalar un dispositivo Citrix ADC BLX:

    • dpkg — agregar arquitectura i386
    • actualización apt-get
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [ NSNET-14602 ]

  • En un dispositivo Citrix ADC, el comando neighbor <IPv6 neighbor> shutdown BGP no es efectivo si el vecino forma parte de un grupo de pares.

    Debido a este problema, cualquier vecino de BGP de IPv6 que se haya cerrado mediante el comando neighbor <IPv6 neighbor> shutdown se encuentra en estado activo después de reiniciar o actualizar el dispositivo.

    [NSHELP-26957]

  • En una configuración de alta disponibilidad, las sesiones de usuario VPN se desconectan si se cumple la siguiente condición:

    • Si se realizan dos o más operaciones de failover manual de alta disponibilidad sucesivas cuando la sincronización de alta disponibilidad está en curso.

    Solución temporal: Realice sucesivas conmutaciones por error de HA manuales solo después de que se haya completado la sincronización de HA (ambos nodos se encuentran en el estado de sincronización correcta).

    [ NSHELP-25598 ]

  • Para los servicios SSL internos en un puerto HTTPS no predeterminado, es posible que los enlaces de certificados SSL vuelvan a la configuración predeterminada después de reiniciar el dispositivo.

    [NSHELP-24034]

Plataforma

  • En la plataforma Citrix ADC SDX 8900, la versión LOM se actualiza de 4.5x a 4.61. En las plataformas Citrix ADC SDX 15000 y SDX 26000, la versión LOM se ha actualizado de la 5.03 a la 5.56. Tras la actualización, la contraseña predeterminada de la LOM se restablece al número de serie del dispositivo para las plataformas recién fabricadas. Esta actualización corrige la vulnerabilidad descrita como CVE-2013-4786. Para obtener más información, consulte [https://support.citrix.com/article/CTX234367](https://support.citrix.com/article/CTX234367).

    [ NSPLAT-19327 ]

  • Al reiniciar la instancia de Citrix ADC VPX para AWS, si agrega rutas estáticas a los servidores DNS mediante una puerta de enlace que no sea la puerta de enlace predeterminada, se producen los siguientes eventos:

    • Se eliminan las rutas estáticas agregadas a los servidores DNS.
    • Las nuevas rutas estáticas se añaden mediante la puerta de enlace predeterminada.

    [NSHELP-27116]

  • Si desea configurar los nodos del clúster para que rindan, debe realizar las siguientes configuraciones adicionales en CCO:

    • Si se forma un clúster, todos los nodos muestran yield=default.
    • Si se forma un clúster con los nodos que ya están configurados en YIELD=YES, los nodos se agregan al clúster con el rendimiento DEFAULT.

    Nota: Si desea configurar los nodos del clúster en yield=YES, puede realizar las configuraciones adecuadas solo después de formar el clúster, pero no antes de que se forme el clúster.

    [NSHELP-27091]

  • En la plataforma Citrix ADC SDX, el estado del clúster puede cambiar cuando un nodo se une a un clúster. La inestabilidad se produce cuando se activa un restablecimiento implícito de la interfaz que afecta al estado del clúster.

    [NSHELP-27081]

Directivas

  • Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.

    Solución temporal: Establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

    [ NSPOLICY-1267 ]

  • La variable NS con ámbito global no funciona para el tráfico HTTP/2.

    [ NSHELP-27095 ]

  • El dispositivo Citrix Gateway puede bloquearse si se cumplen todas las condiciones siguientes.

    • nstrace está habilitado con una expresión de filtro
    • El registro de auditoría de depuración en un servidor de auditoría ADC externo está activado
    • Se configura una directiva de autenticación con una expresión de regla avanzada.

    [NSHELP-26045]

  • Se observa el siguiente problema si se configuran dos variables de directiva con un tiempo de caducidad diferente:

    • La eliminación del valor caducado de la variable con el tiempo de caducidad más corto podría retrasarse hasta la eliminación del valor caducado con un tiempo de caducidad más largo.

    [NSHELP-25786]

SSL

  • Si hay varias directivas SSL enlazadas en el punto de enlace Client Hello a un único servidor virtual y una directiva de ALPN o SNI es la primera directiva vinculada a la directiva, puede producirse la siguiente condición de error:

    Si el cliente no envía una solicitud de ALPN o SNI, las demás directivas vinculadas al servidor virtual no se evalúan.

    [ NSSSL-9865 ]

  • En un clúster heterogéneo de dispositivos Citrix ADC SDX 22000 y Citrix ADC SDX 26000, se produce una pérdida de configuración de entidades SSL si se reinicia el dispositivo SDX 26000.

    Solución temporal:

    1. En el CLIP, inhabilite SSLv3 en todas las entidades SSL nuevas y existentes, como servidores virtuales, servicios, grupos de servicios y servicios internos. Por ejemplo: set ssl vserver <name> -SSL3 DISABLED.
    2. Guarde la configuración.

    [ NSSSL-9572 ]

  • El comando Actualizar no está disponible para los siguientes comandos de adición:

    • agregar aplicación azure
    • add azure keyvault
    • agregar ssl certkey con la opción hsmkey

    [ NSSSL-6484 ]

  • No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

    [ NSSSL-6478 ]

  • Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo Citrix ADC no devuelve ningún error.

    [ NSSSL-6213 ]

  • El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM.
    ERROR: actualización de crl inhabilitada

    [ NSSSL-6106 ]

  • La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster (esta opción no se puede inhabilitar).

    [ NSSSL-4427 ]

  • Si intenta cambiar el protocolo SSL o el cifrado del perfil SSL, aparece un mensaje de advertencia incorrecto, titulado “Advertencia: no hay cifrados utilizables configurados en el servidor o servicio SSL”.

    [ NSSSL-4001 ]

  • El nombre del certificado de CA que emitió la CRL se corta en 32 caracteres, aunque el nombre de la clave de certificado puede tener hasta 64 caracteres. Este problema se produce porque el campo CRL tiene un límite de 32 caracteres.

    [ NSHELP-26986 ]

  • El dispositivo Citrix ADC se bloquea durante el reinicio si cambia el nombre del certificado integrado (“ns-server-certificate”) en el archivo de configuración.

    [ NSHELP-26858 ]

Sistema

  • Un dispositivo Citrix ADC podría enviar un paquete TCP no válido junto con opciones TCP como bloques SACK, marca de tiempo y ACK de datos MPTCP en conexiones MPTCP.

    [ NSHELP-27179 ]

  • Se observa una discrepancia en los registros de Logstream en el dispositivo Citrix ADC y en el cargador de datos.

    [ NSHELP-25796 ]

  • Un dispositivo Citrix ADC puede fallar durante la configuración clara si se cumplen las siguientes condiciones:

    • La dirección IP de un servicio se cambia cuando el servicio está enlazado a un servidor virtual.
    • El mismo servidor virtual se utiliza como recopilador en un perfil de análisis.

    [ NSBASE-11511 ]

Interfaz de usuario

  • El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

    Solución temporal: Configure los conectores de Cloudbridge agregando perfiles IPSec, túneles IP y reglas de PBR mediante la GUI o CLI de Citrix ADC.

    [ NSUI-13024 ]

  • La importación de un certificado en una partición de administración puede fallar de forma incorrecta y mostrar el siguiente mensaje:

    ERROR: El usuario no tiene permiso para una ruta de destino determinada

    [NSHELP-26918]

  • En un dispositivo Citrix ADC VPX, una operación de configuración de capacidad puede fallar tras agregar un servidor de licencias. El problema se produce porque los componentes relacionados con Flexera tardan más en inicializarse debido al gran número de licencias admitidas de tipo check-in y check-out (CICO)

    [ NSHELP-23310 ]

  • La carga y adición de un archivo de lista de revocación de certificados (CRL) produce un error en la configuración de una partición de administración.

    [ NSHELP-20988 ]

  • En la configuración de un clúster Citrix ADC BLX, el comando “sincronizar archivos del clúster” puede fallar debido a un error interno.

    Solución alternativa: reinicie el proceso “nsclfsyncd”.

    [ NSCONFIG-4968 ]

  • Si un dispositivo Citrix ADC BLX tiene licencia mediante Citrix ADM, es posible que se produzca un error en las licencias tras actualizar el dispositivo a la versión 13.0 compilación 83.x.

    Solución alternativa: actualice primero Citrix ADM a la versión 13.0, compilación 83.x o posterior, antes de actualizar el dispositivo Citrix ADC BLX.

    [ NSCONFIG-4834 ]

  • Al cambiar una versión 13.0-71.x de un dispositivo Citrix ADC a una versión anterior, es posible que algunas API de Nitro no funcionen debido a los cambios en los permisos del archivo.

    Solución alternativa: cambie el permiso de “/nsconfig/ns.conf” a 644.

    [ NSCONFIG-4628 ]

  • A veces, las firmas del firewall de la aplicación tardan mucho en sincronizarse con los nodos que no son de CCO. Como resultado, los comandos que utilizan estos archivos pueden fallar.

    [ NSCONFIG-4330 ]

  • Si usted (administrador del sistema) realiza todos los pasos siguientes en un dispositivo Citrix ADC, es posible que los usuarios del sistema no inicien sesión en el dispositivo Citrix ADC degradado.

    1. Actualice el dispositivo Citrix ADC a una de las compilaciones:

      • 13.0 52.24 compilación
      • 12.1 57,18 compilación
      • 11.1 65.10 compilación
    2. Agregar un usuario del sistema o cambiar la contraseña de un usuario del sistema existente y guardar la configuración, y
    3. Rebaja la versión del dispositivo Citrix ADC a cualquier versión anterior.

    Para mostrar la lista de estos usuarios del sistema mediante la CLI:
    En la línea de comandos, escriba:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solución temporal:

    Para solucionar este problema, utilice una de las siguientes opciones independientes:

    • Si el dispositivo Citrix ADC aún no se ha rebajado (paso 3 de los pasos mencionados anteriormente), revierta la versión del dispositivo Citrix ADC con un archivo de configuración del que se ha creado previamente una copia de seguridad (ns.conf) de la misma compilación de la versión.
    • Cualquier administrador del sistema cuya contraseña no se haya cambiado en la compilación actualizada puede iniciar sesión en la compilación degradada y actualizar las contraseñas de otros usuarios del sistema.
    • Si ninguna de las opciones anteriores funciona, el administrador del sistema puede restablecer las contraseñas de usuario del sistema.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [ NSCONFIG-3188 ]

Notas de lanzamiento para la versión 13.0-79.64 de Citrix ADC