Documentación de productos
ADC
14.1 - Current Release 13.1 13.0 12.1
Ver PDF

Notas de versión de Citrix ADC 13.0-92.21 Build

February 12, 2024
Contribución de: 
C

Este documento de notas de la versión describe las mejoras y los cambios, los problemas resueltos y conocidos que existen para la versión 13.0-92.21 de Citrix ADC.

Notas

  • Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.
  • La compilación 13.0-92.21 y las versiones posteriores abordan las vulnerabilidades de seguridad que se describen en. https://support.citrix.com/article/CTX584986
  • La compilación 13.0-92.21 reemplaza a 13.0-92.19.
  • Esta compilación incluye una mejora además de las mejoras y los problemas resueltos que existían en la versión anterior de Citrix ADC 13.0: NSBASE-18564.
  • La compilación 13.0-92.19 y las versiones posteriores abordan las vulnerabilidades de seguridad descritas en. https://support.citrix.com/article/CTX579459
  • La compilación 13.0-92.19 reemplaza a la compilación 13.0-92.18.

Novedades

Las mejoras y los cambios que están disponibles en la compilación 13.0-92.21.

NetScaler Secure Web Gateway

  • Obsolescencia de la categorización de URL en la función de filtrado de URL

    La categorización de URL en la función de filtrado de URL está obsoleta en esta versión.

    Nota: Las funciones obsoletas no se eliminan inmediatamente. Citrix ADC sigue conservando la función obsoleta hasta que se elimine en una versión futura.

    [NSSWG-1370]

Sistema

  • Limite la cantidad de marcos RESET de HTTP/2 recibidos en una conexión en un minuto

    Ahora puede limitar la cantidad de marcos RESET de HTTP/2 recibidos en una conexión HTTP/2 en un minuto. Si el número de tramas RESET supera el límite configurado, Citrix ADC descarta los paquetes de esa conexión de forma silenciosa.

    Con esta mejora, puede mitigar el ataque DoS de HTTP/2 cuando un atacante abre varias transmisiones de HTTP/2 y las cancela inmediatamente enviando tramas RESET STREAM.

    Para obtener más información, consulte Mitigación de DoS en HTTP/2.

    [ NSBASE-18564 ]

Interfaz de usuario

  • Categoría de filtro CVE en la página de visualización de criterios de filtro de firma

    El CVE se agrega como una de las categorías de la lista de criterios de filtro de visualización de la página de visualización de firmas. Utilice CVE como opción de filtro para ver solo los detalles relacionados con el registro en la ventana Resultados filtrados de la derecha.

    Para obtener más información, consulte Configurar o modificar un objeto de firmas.

    [ NSUI-18512, NSCXLCM-616 ]

  • Comunicación RPC segura basada en la configuración TLS 1.2 para los servicios internos

    Después de actualizar un dispositivo Citrix ADC a la versión 13.1 compilación 33.x o posterior o a la versión 13.0 compilación 92.x y posterior, desde una de las siguientes compilaciones, la opción «segura» para el nodo RPC se habilita o inhabilita según la configuración TLS 1.2 (habilitada o deshabilitada) presente para los servicios RPCS y KRPCS internos.

    • Versión 13.0, compilación 64.35 o anterior
    • Versión 12.1, compilación 61.18 o anterior

    La comunicación RPC se cifra entre los nodos NetScaler ADC de las siguientes configuraciones si la opción “Segura” está habilitada:

    • Alta disponibilidad
    • Clúster
    • GSLB

    La opción “segura” utiliza el protocolo seguro TLS1.2 y los números de puerto 3008 y 3009 para la conexión RPC entre los nodos de NetScaler ADC.

    Para garantizar una comunicación RPC segura, Citrix recomienda realizar las siguientes operaciones antes de actualizar estas configuraciones:

    • TLS 1.2 debe estar habilitado para los servicios internos de RPCS y KRPCS:
      • nsrpcs-127.0.0.1-3008
      • nskrpcs-127.0.0.1-3009
      • NSRPCS-: :1L-3008
    • 3008 y 3009 deben desbloquearse en los firewalls entre los nodos de NetScaler ADC.

    Puede habilitar o inhabilitar la opción segura mediante la CLI o la GUI de NetScaler ADC.

    Para obtener más información, consulte Cambiar la contraseña de un nodo RPC.

    [ NSCONFIG-6485 ]

Problemas resueltos

Los problemas que se abordan en la compilación 13.0-92.21.

Infraestructura analítica

  • El Citrix ADC podría bloquearse si se cumplen todas las condiciones siguientes:

    • Los eventos, los registros de auditoría o las métricas están habilitados en el perfil de análisis o en los parámetros de AppFlow.
    • Se ha configurado una directiva de reescritura del lado de la respuesta.

    [ NSHELP-35550 ]

  • Cuando se configura un perfil de red en un dominio de tráfico no predeterminado y se usa en la configuración de AppFlow, los puertos del sistema se agotan y el tráfico se ve afectado.

    [ NSHELP-34544 ]

  • Un dispositivo Citrix ADC con autenticación de varios factores configurado se bloquea durante una evaluación de directivas.

    [ NSHELP-33674 ]

  • El dispositivo Citrix ADC puede bloquearse si se configura un recopilador AppFlow de tipo rest en la partición de administración.

    [NSHELP-33600]

  • El comando show syslogAction muestra una dirección IP sin resolver en el resultado cuando se cumplen las dos condiciones siguientes:

    • Se utiliza la acción SYSLOG con un nombre de dominio en el modo de transporte UDP.
    • El ICMP está inhabilitado en el servidor.

    Este problema se produce porque el monitor predeterminado de ping marca el servicio como INACTIVO, ya que no se puede acceder al servidor a través de ICMP. Por lo tanto, la dirección IP no se muestra en la salida aunque esté resuelta.

    [ NSHELP-32886, NSHELP-33392 ]

  • El archivo ns.log genera los registros de depuración incluso cuando el nivel del registro de auditoría está establecido en ninguno y, por lo tanto, supera el límite de tamaño de archivo configurado. El problema se produce porque la directiva avanzada está vinculada al registro local aunque no sea necesario.

    [ NSHELP-32404, NSCXLCM-1374, NSCXLCM-1551, NSCXLCM-1708 ]

  • En un entorno de clúster, es posible que Citrix ADC haga que nsppe se bloquee cuando una directiva de syslog está vinculada a un servidor de equilibrio de carga.

    [ NSHELP-30983, NSANINFRA-21 ]

  • Las marcas de hora de los mensajes de syslog son incorrectas durante el período de horario de verano.

    [ NSHELP-30137 ]

Administración de bots

  • En raras ocasiones, es posible que la página web no se cargue cuando se utilice la técnica de detección de huellas dactilares del dispositivo.

    [ NSHELP-34742 ]

  • Los ataques de reproducción de sesión de huella digital del dispositivo bot se descartan cuando la acción de huella digital del dispositivo está configurada en LOG, RESET o REDIRECT.

    [ NSBOT-1117 ]

Call Home

  • Call Home envía datos de telemetría al servidor de asistencia técnica de Citrix ADC aunque la función esté inhabilitada.

    [ NSHELP-33240 ]

Dispositivo Citrix ADC SDX

  • En Citrix ADC SDX FIPS, aparece el siguiente error al realizar una operación de adición o edición en VPX:

    “is_fips_enabled no está definido”

    [NSSVM-5786]

  • La validación de la comprobación del rendimiento máximo para la creación de canales LACP con puertos de 25 G, 40 G o 100 G falla.

    [ NSHELP-35743 ]

  • En raras ocasiones, es posible que un Citrix ADC SDX se bloquee y no se pueda acceder a él debido a los valores basura en algunos campos, como la dirección IP.

    [ NSHELP-34925 ]

Citrix Gateway

  • A veces, un dispositivo Citrix ADC con VPN y AppFlow configurados puede bloquearse y provocar una conmutación por error de alta disponibilidad.

    [ NSHELP-35734, NSCXLCM-1247 ]

  • Es posible que la página de inicio de Citrix Gateway no enumere las aplicaciones cuando intente acceder a ella en el modo VPN sin cliente mediante un explorador web móvil.

    [ NSHELP-35541, NSCXLCM-1132, NSCXLCM-1212, NSCXLCM-1248, NSCXLCM-1774 ]

  • Cuando el acceso avanzado a la VPN sin cliente está configurado en Citrix Gateway, es posible que las páginas no se carguen desde las URL marcadas.

    [ NSHELP-33771 ]

  • A veces, cuando establece una conexión VPN a través de Citrix Gateway, se le redirige a la página de inicio con un texto incorrecto en la URL. Este problema se produce cuando Citrix ADC está configurado con el tema del portal RFWebUI.

    [ NSHELP-30097, NSCXLCM-481 ]

  • Los marcadores RDP agregados para usuarios específicos se muestran para otros usuarios que no han marcado estas URL como marcadores.

    [ NSHELP-29904 ]

  • Es posible que el dispositivo NetScaler Gateway se bloquee al procesar el tráfico UDP iniciado por el servidor.

    [ NSHELP-27611 ]

  • Al crear una entidad de EULA, el texto aparece como una sola línea en el tema del portal RFWebUI de Citrix Gateway. Este problema se produce debido a la etiqueta de salto de línea <br> HTML. Todas las etiquetas HTML <br> están inhabilitadas temporalmente en el texto del EULA. Puede intentar agregar saltos de línea usando “n”.

    [CGOP-24534]

Citrix Web App Firewall

  • Es posible que el dispositivo Citrix ADC se cierre de forma inesperada cuando “VerboseLogLevel” se establece en “patternPayloadHeader**”** en el perfil de Web App Firewall.

    [NSHELP-35915]

  • En raras ocasiones, Citrix ADC puede bloquearse cuando la memoria configurada es baja y se utiliza el perfil Web App Firewall.

    [ NSHELP-35463 ]

  • El dispositivo Citrix ADC puede bloquearse debido a una información de encabezado HTTP no válida. Este problema se produce cuando se cumplen las siguientes condiciones:

    • La infracción de SQL/XSS se produce en el cuerpo de la solicitud HTTP.
    • El registro detallado se establece en “patternPayloadHeader”.

    [ NSHELP-35297, NSCXLCM-1127 ]

  • El dispositivo Citrix ADC informa de un número mayor de contadores de solicitudes de Web Application Firewall que el número total de contadores de solicitudes, ya que el contador de solicitudes se incrementa dos veces en el caso de las solicitudes XML.

    [ NSHELP-34591 ]

Equilibrio de carga

  • En una configuración de alta disponibilidad, el servidor DNS puede enviar una respuesta vacía para una consulta de dominio GSLB de forma intermitente cuando se cumplen las siguientes condiciones:

    • La persistencia se configura en el servidor virtual GSLB.
    • Se ha configurado una gran cantidad de despliegues de equilibrio de carga.
    • Se produce una conmutación por error de HA.

    [ NSHELP-35981 ]

  • En las implementaciones de dominios de tráfico, es posible que se produzca un error en el equilibrio de carga de las consultas DNS cuando netprofile esté enlazado al servidor virtual DNS.

    [ NSHELP-35675 ]

  • En raras ocasiones, un dispositivo Citrix ADC puede bloquearse y generar un volcado de núcleo cuando se cumplen las siguientes condiciones:

    • La sonda de monitoreo de DNS basada en TCP se usa para monitorear un servicio de back-end.
    • La memoria del dispositivo se está agotando.

    [ NSHELP-35289 ]

  • El monitor NTLM no admite las siguientes opciones:

    • Sondeo simultáneo mediante monitores de las configuraciones NTLM versión 1 y versión 2.
    • Dirigir la sonda a la dirección IP del servidor cuando la URL del parámetro “scriptArg” se resuelva en una dirección IP diferente.
    • NTLM versión 2.

    [ NSHELP-35185 ]

  • Los servicios que están enlazados a los monitores de usuario pueden no estar disponibles de forma intermitente si hay más de 30 servicios enlazados a un monitor de usuario.

    [ NSHELP-34669, NSCXLCM-1373 ]

  • En una configuración de clúster de ocho o más nodos, es posible que la función de identificador de límite de velocidad no funcione según lo previsto.

    [ NSHELP-34555 ]

  • El comando “show server name” muestra el estado del servicio como desconocido aunque el servicio esté enlazado al servidor.

    [ NSHELP-33668 ]

  • Citrix ADC puede bloquearse cuando se cumplen las siguientes condiciones:

    • Un servidor virtual de equilibrio de carga se configura con una URL de redirección en varias particiones.
    • Se activa una recuperación de memoria.

    [ NSHELP-33638, NSCXLCM-227, NSCXLCM-509 ]

  • En algunos casos, se observa una pérdida de memoria en un dispositivo Citrix ADC si la directiva de reescritura de DNS se configura con la acción DROP.

    [ NSHELP-33077 ]

  • El dispositivo Citrix ADC activa una alerta SNMP incorrecta para una conexión de servidor alta debido a un cálculo incorrecto de la cantidad de servidores.

    [ NSHELP-31582 ]

Otros

  • Cuando Citrix ADC elimina una cookie generada por NetScaler de una solicitud HTTP entrante antes de enviarla a un servidor HTTP ascendente, el servidor ascendente puede rechazar la solicitud. Este problema se produce porque la eliminación del par nombre-valor de la cookie puede provocar que el campo de encabezado de la cookie no cumpla con la especificación del protocolo HTTP.

    [ NSHELP-35855 ]

  • Citrix ADC puede bloquearse cuando se cumplen las siguientes condiciones:

    • Hay una conexión ICA activa a través de EDT.
    • Se agrega un servicio UDP con la misma dirección IP y número de puerto que los de Citrix VDA.
    • Hay problemas de conectividad entre Citrix Gateway y Citrix VDA.

    [ NSHELP-35637 ]

  • El dispositivo Citrix ADC configurado con HDX Insight puede reiniciarse cuando el nodo secundario recibe los paquetes para su procesamiento.

    [ NSHELP-34152 ]

  • Un ADC de Citrix con el proxy ICA habilitado en Citrix Gateway podría bloquearse en una implementación de DMZ de doble salto.

    [ NSHELP-33369 ]

  • En una implementación de Citrix ADC agrupada, cuando el parámetro ICA Only está establecido en ON, Citrix Gateway no puede desconectar las sesiones de usuario de forma intermitente, incluso cuando la configuración de tiempo de espera forzado está habilitada.

    [ NSHELP-33014 ]

  • En raras ocasiones, el dispositivo NetScaler ADC podría bloquearse al buscar un monitor STA en una implementación de VPN.

    [ NSHELP-32893 ]

  • El dispositivo NetScaler ADC establece el tamaño del búfer de la función de registro del servidor web en un valor predeterminado incorrecto de 3 MB en lugar de 16 MB.

    [ NSHELP-32429 ]

  • Citrix ADC se bloquea cuando se inicia una conexión ICA EDT. Este problema se produce cuando el perfil de análisis de AppFlow para HDX Insight está enlazado a un servidor virtual VPN.

    [ GOPHDX-5014 ]

Redes

  • En una configuración de alta disponibilidad, el estado de un nodo tarda al menos 60 segundos en activarse si se cumplen todas las condiciones siguientes:

    • La opción a prueba de fallos está habilitada para la configuración de HA
    • La supervisión de alta disponibilidad está habilitada en más de una interfaz
    • Una de las interfaces habilitadas para la supervisión de alta disponibilidad se vuelve inalcanzable
    • Se puede acceder al menos a una de las interfaces de supervisión de alta disponibilidad

    Ahora, con esta corrección, el estado del nodo pasa inmediatamente a ser ACTIVO cuando se cumplen todas estas condiciones.

    [ NSHELP-32157 ]

SSL

  • Citrix ADC puede bloquearse al eliminar el grupo de certificados de CA predeterminado si el uso de memoria es elevado en el Citrix ADC y la configuración se borra con frecuencia.

    [ NSHELP-35441 ]

  • Es posible que vea una gran acumulación de memoria con el tráfico DTLS en el Citrix ADC porque la memoria no se libera correctamente al gestionar un vuelo de apretón de manos retransmitido desde un cliente.

    [ NSHELP-35359, NSCXLCM-999, NSCXLCM-1968 ]

  • En un Citrix ADC MPX/SDX 14000 FIPS que funciona en modo híbrido, es posible que la memoria de claves se restablezca después de recibir datos dañados como parte de un intercambio de claves.

    [ NSHELP-35020 ]

  • Un dispositivo Citrix ADC, que contenga chips Intel Coleto o Intel Lewisburg, podría fallar si se utiliza el cifrado DH 512 durante el intercambio de claves.

    [ NSHELP-34094 ]

  • Es posible que experimente un impacto momentáneo en el rendimiento con tráfico intenso si el tamaño total de los certificados de cliente, servidor y CA intercambiados en un protocolo de enlace SSL supera el límite de 16 000.

    [ NSHELP-33905 ]

  • En una implementación de Citrix ADC con un servidor virtual SSL_TCP (front-end) y un servicio TCP (back-end), la solicitud del cliente puede fallar de forma intermitente. El error se produce porque el Citrix ADC reenvía el mensaje de saludo del cliente SSL recibido en el front-end, pero el backend no puede procesarlo y la solicitud falla.

    [ NSHELP-32806 ]

Sistema

  • En raras ocasiones, Citrix ADC puede bloquearse cuando la función de optimización de front-end (FEO) está habilitada.

    [ NSHELP-34861 ]

  • Cuando el servidor back-end envía un error 464 para una solicitud HTTP, el Citrix ADC no lo reenvía al cliente y, por lo tanto, la conexión del lado del cliente se detiene.

    [ NSHELP-33571, NSCXLCM-1098 ]

  • El dispositivo NetScaler ADC configurado con un servicio SSL se bloquea cuando el dispositivo recibe un paquete de control TCP FIN seguido de un paquete de control TCP RESET.

    [ NSHELP-31656 ]

  • Un cliente de gRPC no puede analizar el encabezado de estado de gRPC cuando se cumple la siguiente condición:

    • El encabezado de estado de gRPC se agrega tanto en el encabezado inicial como en el encabezado final en lugar de agregarse solo en el encabezado final.

    [ NSHELP-31640 ]

Interfaz de usuario

  • No puede seleccionar el perfil HTTP al crear un servidor virtual HTTP_QUIC mediante la GUI. Este problema se produce porque el perfil HTTP está inhabilitado para crear un servidor virtual HTTP_QUIC.

    [ NSUI-18816 ]

  • Las sesiones de usuario se calculan de forma incorrecta si el mismo usuario está vinculado a dos particiones diferentes. Las dos particiones pueden ser predeterminadas, no predeterminadas o ambas.

    [ NSHELP-34971 ]

  • Al cargar la base de datos de geolocalización mediante la GUI de Citrix ADC, puede producirse un error de tiempo de espera debido al bajo rendimiento.

    [ NSHELP-34677 ]

  • El daemon HTTPD puede bloquearse cuando se enfrenta a una excepción al procesar una solicitud HTTP GET de enlaces masivos de la API NITRO.

    [ NSHELP-34399 ]

  • Cuando un usuario ve el enlace en una directiva de cambio de contenido, los detalles del servidor virtual de conmutación de contenido no se muestran en la misma fila en Mostrar enlaces.

    [ NSHELP-33149 ]

  • El siguiente error aparece en la interfaz de usuario de Citrix ADC cuando hay una gran diferencia entre la configuración guardada y la que se ejecuta:

    “Error al obtener la configuración”

    [ NSHELP-32752 ]

  • Las llamadas GET by name del SDK de NITRO Python fallan y muestran el mensaje de error “variable local ‘respuesta’ a la que se hace referencia antes de la asignación” para los siguientes recursos:

    • appfwhtmlerrorpage

    • appfwjsonerrorpage

    • appfwprotofile

    • appfwsignatures

    • appfwwsdl

    • appfwxmlerrorpage

    • appfwxmlschema

    • botsignature

    • responderhtmlpage

    [NSHELP-32525]

  • La modificación de una ruta estática mediante la GUI de Citrix ADC (sistema > red > rutas) podría fallar incorrectamente y mostrar el siguiente mensaje de error:

    • “Falta un argumento necesario [puerta de enlace ]”

    [ NSHELP-32024 ]

  • Al configurar la función de partición de administración en Citrix ADC y ejecutar comandos de configuración de forma continua dentro de la partición del nodo secundario, es posible que no se puedan guardar las configuraciones en la partición del nodo secundario mediante el comando save ns config.

    [ NSHELP-31663 ]

  • En la GUI de NetScaler ADC, la pantalla de configuración entre guardado y ejecución (Sistema > Diagnóstico) muestra incorrectamente las etiquetas HTML en lugar de mostrar texto sin formato.

    [ NSHELP-27169 ]

  • La GUI de NetScaler ADC muestra una cantidad menor de objetos en caché en comparación con la interfaz de comandos.

    [NSHELP-24337]

Problemas conocidos

Los problemas que existen en la versión 13.0-92.21.

Infraestructura analítica

  • En una implementación de clúster, un nodo que no sea de CCO no envía los mensajes de syslog TCP a un servidor syslog externo cuando se realiza la operación de “forzar la sincronización del clúster” o “reiniciar” en el nodo.

    [ NSHELP-32925 ]

  • Un dispositivo Citrix ADC puede bloquearse cuando se cumple la siguiente condición:

    • Tanto el perfil de análisis como la directiva de AppFlow están enlazados y el perfil tiene habilitada la opción “httpAllHdrs”.

    [ NSHELP-30628 ]

  • Se observa una discordancia en los registros del flujo de registro en el dispositivo Citrix ADC y en el cargador de datos.

    [ NSHELP-25796 ]

  • Cuando instala Citrix ADM en un clúster de Kubernetes, no funciona según lo esperado porque es posible que los procesos necesarios no aparezcan.

    Solución alternativa: Reinicie el pod de administración.

    [ NSANINFRA-1504 ]

Autenticación, autorización y auditoría

  • Un ADC de Citrix configurado con una política de autenticación OAuth puede bloquearse cuando un certificado de curva elíptica está enlazado a la VPN a nivel mundial.

    [ NSHELP-34795 ]

  • El SSO de Kerberos puede fallar si hay un gran número de solicitudes entrantes al mismo tiempo.

    [ NSHELP-34177 ]

  • En una implementación de Citrix ADC agrupada, no puede vincular una acción de asignación a una directiva de autenticación.

    [ NSHELP-33974 ]

  • El dispositivo Citrix ADC puede bloquearse cuando el servidor virtual de autenticación se utiliza en una partición no predeterminada.

    [ NSHELP-32054, NSCXLCM-640, NSCXLCM-1577 ]

  • El inicio de sesión único (SSO) falla si el SSO está habilitado para el tráfico que no tiene el token portador requerido para gestionar el SSO.

    [ NSHELP-31362, NSCXLCM-533 ]

  • Tras una actualización de Citrix SSO para iOS, es posible que las notificaciones push que recibe para la autenticación no suenen.

    [ NSHELP-27525 ]

  • Los caracteres que no son ASCII se graban en nsvpn.log cuando la acción de LDAP se configura en un FQDN en lugar de en una dirección IP.

    [ NSHELP-27281 ]

  • En algunos casos, el comando Bind Authentication, authorization and Auditing group puede fallar si el nombre de la directiva es más largo que el nombre de la aplicación de la intranet.

    [ NSHELP-25971 ]

  • El dispositivo Citrix ADC descarga el núcleo cuando NOAUTH se configura como primer factor y Negotiate como el factor posterior en el flujo de autenticación basado en 401.

    [ NSHELP-25203 ]

  • Si la contraseña de administrador de los servicios LDAP, RADIUS o TACACS contiene comillas dobles (“), el dispositivo Citrix ADC lo elimina durante la comprobación de “Probar conectividad”, lo que provoca un error de conexión.

    [ NSHELP-23630 ]

  • Un Citrix ADC se bloquea cuando se cumplen las siguientes condiciones:

    • La autenticación con certificados basada en 401 se realiza a través de un servidor virtual de equilibrio de carga.
    • No hay ninguna directiva de autenticación vinculada a un servidor virtual de autenticación.
    • El registro de depuración está activado.

    [ NSAUTH-13259 ]

  • Los administradores no pueden realizar un registro personalizado de los errores de autenticación que se producen debido a credenciales no válidas. Este problema se produce porque las directivas de respuesta de Citrix ADC no detectan los errores de inicio de sesión.

    [ NSAUTH-11151 ]

  • El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando.
    show adfsproxyprofile <profile name>

    Solución temporal: Conéctese al Citrix ADC activo principal del clúster y ejecute el comando show adfsproxyprofile <profile name>. Mostraría el estado del perfil de proxy.

    [ NSAUTH-5916 ]

Dispositivo Citrix ADC SDX

  • Al actualizar un dispositivo Citrix ADC SDX, en raras ocasiones aparece el siguiente evento incorrecto en la GUI del servicio de administración:

    “La versión SVM y la versión de Hypervisor no son compatibles”

    [ NSHELP-32949 ]

  • En una GUI de Citrix ADC SDX, mostrar los servidores NTP puede congelar la interfaz de usuario si el archivo de configuración NTP (ntp.conf) solo tiene espacios en alguna de las líneas.

    [ NSHELP-31530 ]

Citrix Gateway

  • El dispositivo Citrix Gateway puede bloquearse si se bloquea la sincronización y se modifica la configuración de la directiva de conmutación de contenido.

    [ NSHELP-27570 ]

  • El dispositivo Citrix Gateway puede bloquearse si se establece una opción de cliente VPN desconocida en la directiva de sesión.

    [ NSHELP-27380 ]

  • Al crear un perfil de cliente RDP mediante la GUI de Citrix ADC, aparece un mensaje de error cuando se cumplen las siguientes condiciones:

    • Se ha configurado una clave previamente compartida (PSK) predeterminada.
    • Intenta modificar el temporizador de validez de la cookie de RDP en el campo Validez de cookies de RDP (segundos).

    [ NSHELP-25694 ]

  • El resultado del comando show tunnel global incluye nombres de directivas avanzadas. Anteriormente, el resultado no mostraba los nombres de directivas avanzadas.

    Ejemplo:

    Nuevo resultado:

    show tunnel global
    Policy Name: ns_tunnel_nocmp Priority: 0

    Nombre de la directiva: ns_adv_tunnel_nocmp Tipo: Directiva avanzada
    Prioridad: 1
    Punto de enlace global: REQ_DEFAULT

    Nombre de la directiva: ns_adv_tunnel_msdocs Tipo: Directiva avanzada
    Prioridad: 100
    Punto de enlace global: RES_DEFAULT
    Listo

    Resultado anterior:

    show tunnel global
    Nombre de la directiva: ns_tunnel_nocmp Prioridad: 0 Inhabilitado

    Directivas avanzadas:

    Punto de enlace global: REQ_DEFAULT
    Número de directivas vinculadas: 1

    Completado

    [ NSHELP-23496 ]

  • A veces, al navegar por los esquemas, aparece el mensaje de error “No se puede leer la propiedad ‘tipo’ indefinida”.

    [ NSHELP-21897 ]

  • La opción del sistema operativo Windows no aparece en la lista desplegable del Editor de expresiones para las directivas de autenticación previa y las acciones de autenticación en la GUI de Citrix ADC. Sin embargo, si ya configuró el escaneo del sistema operativo Widows en una compilación anterior de Citrix ADC mediante la GUI o la CLI, la actualización no afectará a la funcionalidad. Puede utilizar la CLI para realizar cambios, si es necesario.

    Solución temporal:

    Utilice los comandos de la CLI para la configuración.

    • Para configurar la acción EPA avanzada en la autenticación nFactor, utilice el siguiente comando.
      add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
    • Para configurar una acción de autenticación previa clásica, utilice los siguientes comandos.
      add aaa preauthenticationaction win_scan_action ALLOW
      add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action

    [ CGOP-22966 ]

  • Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de Citrix ADC.

    [ CGOP-11830 ]

  • En Outlook Web App (OWA) 2013, al hacer clic en Opciones en el menú Configuración, aparece un cuadro de diálogo de error crítico . Además, la página deja de responder.

    [ CGOP-7269 ]

Equilibrio de carga

  • En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.

    [ NSLB-7679 ]

  • El Citrix ADC puede bloquearse al hacer referencia a un servicio basado en nombres de dominio (DBS) después de que se cumpla la siguiente secuencia de condiciones:
    1. Se configura una entrada de ubicación para la dirección IP en la que se resuelve el nombre de dominio de DBS.
    2. El nombre de dominio DBS se elimina, lo que da como resultado una respuesta NXDOMAIN del servidor de nombres.
    3. Se elimina la entrada de ubicación.

    [ NSHELP-35370 ]

  • En una configuración de alta disponibilidad, es posible que la base de datos de proximidad estática no se cargue cuando se reinicie el nodo secundario.

    [ NSHELP-35271 ]

  • Tras una conmutación por error de alta disponibilidad, las entradas de la sesión de persistencia no se eliminan del nodo principal incluso después de que caduque el período de espera de persistencia. Las entradas de sesión se conservan hasta que el nodo secundario esté en funcionamiento.

    [ NSHELP-34378 ]

  • El dispositivo Citrix ADC secundario puede bloquearse cuando se cumplen las siguientes condiciones:

    • En una configuración de alta disponibilidad, una gran cantidad de servidores de equilibrio de carga se configuran con grupos de equilibrio de carga.
    • Mientras la sincronización está en curso, la operación de configuración se realiza en uno de los servidores de equilibrio de carga del grupo de equilibrio de carga.

    [ NSHELP-34225 ]

  • En una configuración de HA, el dispositivo Citrix ADC se bloquea cuando se elimina el grupo de servicios que está enlazado a varios servidores virtuales.

    [ NSHELP-34029 ]

  • El dispositivo Citrix ADC puede bloquearse debido a un problema de tiempo entre la recuperación de los registros con límite de velocidad y el proceso de caducidad de los registros.

    [ NSHELP-33349 ]

  • Durante la duplicación de la conexión, el dispositivo Citrix ADC se bloquea cuando la directiva de reescritura supera los 30 bytes.

    [ NSHELP-32902 ]

  • En una configuración GSLB, falta el certificado SSL en los sitios subordinados. Este problema se produce cuando la opción de sincronización automática está habilitada y los sitios subordinados tienen certificados SSL que no están disponibles en el sitio maestro.

    [ NSHELP-29309 ]

  • En algunos casos, los servidores enlazados a un grupo de servicios muestran un valor de cookies no válido. Puede ver el valor correcto de la cookie en los registros de seguimiento.

    [ NSHELP-21196 ]

  • En una configuración de clúster, la dirección IP del servicio GSLB no se muestra en la GUI cuando se accede a ella a través de enlaces de servidores virtuales GSLB. Esto es solo un problema de visualización y no afecta a la funcionalidad.

    [ NSHELP-20406 ]

Otros

  • Al ejecutar el script ns_hw_err.bash en el dispositivo Citrix ADC, aparece el siguiente mensaje de error:
    error: can't open file 'ns_hw_plugins.py': [Errno 2] No such file or directory

    [ NSHELP-32991 ]

  • La instancia CPX de Citrix ADC, que se ejecuta en un sistema Linux con arquitectura de 64 bits y 1 TB de almacenamiento de archivos, puede cargar archivos de certificados y claves ahora.

    [ NSHELP-28986 ]

  • En una configuración de alta disponibilidad, durante la conmutación por error de Citrix ADC, el recuento de SR aumenta en lugar del recuento de conmutación por error en Citrix ADM.

    [ GOPHDX-1050 ]

NetScaler Secure Web Gateway

  • En raras ocasiones, Citrix ADC puede bloquearse durante la captura de paquetes. Este problema puede producirse cuando una variable de perfil TCP en la estructura de la PCB tiene un valor NULL.

    [ NSHELP-36081 ]

Redes

  • En un dispositivo Citrix ADC BLX, es posible que la NSVLAN enlazada con interfaces etiquetadas que no sean de dpdk no funcione como se esperaba. La NSVLAN enlazada con interfaces no dpdk sin etiquetar funciona bien.

    [ NSNET-18586 ]

  • Las siguientes operaciones de interfaz no son compatibles con las interfaces X710 10G (i40e) de Intel en un dispositivo Citrix ADC BLX con DPDK:

    • Disable
    • Enable
    • Restablecer

    [ NSNET-16559 ]

  • En un host Linux basado en Debian (Ubuntu versión 18 y versiones posteriores), un dispositivo Citrix ADC BLX siempre se implementa en modo compartido, independientemente de la configuración del archivo de configuración de BLX (“/etc/blx/blx.conf”). Este problema se debe a que “mawk”, que está presente de forma predeterminada en los sistemas Linux basados en Debian, no ejecuta algunos de los comandos awk presentes en el archivo “blx.conf”.

    Solución alternativa: instale “gawk” antes de instalar un dispositivo Citrix ADC BLX. Puede ejecutar el siguiente comando en la CLI del host de Linux para instalar “gawk”:

    • apt-get install gawk

    [ NSNET-14603 ]

  • La instalación de un dispositivo Citrix ADC BLX podría fallar en un host Linux basado en Debian (versión 18 y posteriores de Ubuntu) con el siguiente error de dependencia:

    “Los siguientes paquetes tienen dependencias incumplidas: blx-core-libs:i386: PreDepends: libc6:i386 (>= 2.19) pero no se puede instalar”

    Solución temporal: ejecute los siguientes comandos en la CLI del host de Linux antes de instalar un dispositivo Citrix ADC BLX:

    • dpkg — agregar arquitectura i386
    • actualización apt-get
    • apt-get install libc6:i386

    [ NSNET-14602 ]

  • Al eliminar una de las particiones de administración, Citrix ADC también puede eliminar el búfer de paquetes de otras particiones. Como resultado, Citrix ADC podría bloquearse al eliminar una partición para la que se eliminó el búfer de paquetes.

    [ NSHELP-35595 ]

  • En una configuración de alta disponibilidad, el nodo secundario se bloquea cuando se elimina una ruta del nodo como parte de la sincronización de alta disponibilidad mientras se modifica.

    [ NSHELP-34927 ]

  • En una configuración NAT44 a gran escala, el dispositivo Citrix ADC puede bloquearse mientras recibe tráfico SIP por el siguiente motivo:

    • El módulo LSN no encuentra el servicio mientras disminuye el recuento de referencias o elimina el servicio.

    [ NSHELP-29134 ]

  • En una configuración NAT44 a gran escala, el dispositivo Citrix ADC puede bloquearse mientras recibe tráfico SIP por el siguiente motivo:

    • Debido a la entrada de filtrado obsoleta.

    [ NSHELP-28895 ]

  • En una implementación NAT44 a gran escala, el dispositivo Citrix ADC puede bloquearse al recibir tráfico SIP por el siguiente motivo:

    • El módulo LSN accedió a la ubicación de memoria de un servicio ya eliminado.

    [ NSHELP-28815 ]

  • En una configuración de alta disponibilidad, la dirección SNIP habilitada para el enrutamiento dinámico no se expone a VTYSH al reiniciar si se cumple la siguiente condición:

    • Una dirección SNIP habilitada para el enrutamiento dinámico está enlazada a la VLAN compartida en una partición no predeterminada.

    Como parte de la corrección, el dispositivo Citrix ADC ahora no permite vincular una dirección SNIP habilitada para el enrutamiento dinámico a la VLAN compartida en la partición no predeterminada

    [ NSHELP-24000 ]

Plataforma

  • La conmutación por error de alta disponibilidad no funciona en las nubes de AWS y GCP. La CPU de administración puede alcanzar su capacidad del 100% en las nubes de AWS y GCP, y en Citrix ADC VPX en las instalaciones. Ambos problemas se producen cuando se cumplen las siguientes condiciones:

    1. Durante el primer arranque del dispositivo Citrix ADC, no guarda la contraseña solicitada.
    2. Posteriormente, reinicie el dispositivo Citrix ADC.

    [ NSPLAT-22013, NSCXLCM-544 ]

  • Algunos paquetes de Python no se instalan al cambiar el dispositivo Citrix ADC de la versión 13.1 a 4.x y versiones superiores a cualquiera de las siguientes versiones:

    • Cualquier compilación 11.1
    • 12.1-62.21 y anteriores
    • 13.0-81.x y anteriores

    [ NSPLAT-21691 ]

  • Ya no puede acceder a un hipervisor Citrix alojado en Citrix ADC SDX mediante protocolos SSL heredados, como SSLv3, TLS 1.0 y TLS 1.1.

    [ NSHELP-33196 ]

  • En la plataforma Citrix ADC SDX 8015/8400/8600, es posible que observe un aumento en el consumo de memoria en el servidor Xen.
    Solución temporal: ejecute el siguiente comando en Xen Server y, a continuación, reinicie el dispositivo.
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [ NSHELP-32260 ]

  • Durante la conmutación por error de alta disponibilidad de Citrix ADC VPX, el movimiento de la dirección IP elástica en la nube de AWS falla si configura un IPset sin vincular el IPset a ninguna dirección IP.

    [ NSHELP-29425 ]

  • La conmutación por error de alta disponibilidad para la instancia de Citrix ADC VPX en la nube de GCP y AWS falla cuando la contraseña de un nodo RPC contiene un carácter especial.

    [ NSHELP-28600 ]

Directivas

  • En la GUI de Citrix ADC, solo puede ver las acciones de reescritura al hacer clic en Mostrar acción de reescritura integrada en AppExpert > ReescribirAcciones.

    [ NSPOLICY-4843 ]

  • Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.

    Solución alternativa: establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

    [ NSPOLICY-1267 ]

  • En una configuración de HA, la expresión REGEX_REPLACE puede entrar en un bucle si se configura con la opción ALL y una cadena de reemplazo vacía, lo que provoca una conmutación por error.

    [ NSHELP-34640 ]

SSL

  • Cuando un servidor virtual recibe un registro TLS 1.3 con un relleno no válido, envía una alerta de “decode_error” fatal en lugar de una alerta de “mensaje inesperado”.

    [ NSSSL-11890 ]

  • En un clúster heterogéneo de dispositivos Citrix ADC SDX 22000 y Citrix ADC SDX 26000, se produce una pérdida de configuración de entidades SSL si se reinicia el dispositivo SDX 26000.

    Solución temporal:

    1. En el CLIP, inhabilite SSLv3 en todas las entidades SSL nuevas y existentes, como servidores virtuales, servicios, grupos de servicios y servicios internos. Por ejemplo: set ssl vserver <name> -SSL3 DISABLED.
    2. Guarde la configuración.

    [ NSSSL-9572 ]

  • No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

    [ NSSSL-6478 ]

  • Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo Citrix ADC no devuelve ningún error.

    [ NSSSL-6213 ]

  • El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM.
    ERROR: actualización de crl inhabilitada

    [ NSSSL-6106 ]

  • La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster (esta opción no se puede inhabilitar).

    [ NSSSL-4427 ]

  • Si intenta cambiar el protocolo SSL o el cifrado del perfil SSL, aparece un mensaje de advertencia incorrecto, titulado “Advertencia: no hay cifrados utilizables configurados en el servidor o servicio SSL”.

    [ NSSSL-4001 ]

  • Un dispositivo Citrix ADC, que contenga chips Intel Coleto o Intel Lewisburg, podría fallar durante la fase de renegociación del fondo si el servidor homólogo negocia un cifrado diferente al que negoció inicialmente.

    [ NSHELP-34324 ]

Sistema

  • Citrix ADC puede enviar respuestas incorrectas cuando las funciones de compresión HTTP y AppFlow están habilitadas.

    [ NSHELP-35862 ]

  • Citrix ADC podría detener la transferencia de datos si se cumplen las siguientes condiciones:

    • Hay varias funciones habilitadas.
    • Más de una función intenta eliminar la misma parte de la carga útil TCP o HTTP.

    [ NSHELP-33793, NSCXLCM-1512, NSCXLCM-1954 ]

  • Citrix ADC puede detener la transferencia de datos en una conexión HTTP/2 cuando una función basada en HTTP intenta almacenar en búfer una gran cantidad de datos de la aplicación.

    [ NSHELP-32612 ]

  • Se observa un RTT alto en una conexión TCP si se cumple la siguiente condición:

    • se establece una ventana de congestión máxima alta (>4 MB)
    • El algoritmo TCP NILE está activado

    Para que un dispositivo Citrix ADC utilice el algoritmo NILE para el control de la congestión, las condiciones deben superar el umbral de inicio lento, que se combina con la ventana de congestión máxima

    Por lo tanto, hasta que se alcance la ventana de congestión máxima configurada, el Citrix ADC sigue aceptando datos y termina con un RTT alto.

    [ NSHELP-31548 ]

  • El dispositivo Citrix ADC informa de una falsa alarma SNMP en los contadores de inundación SYN del servicio.

    [ NSHELP-28710, NSHELP-28713 ]

  • El aumento de las retransmisiones de paquetes se observa en las implementaciones de clúster MPTCP en la nube pública si el conjunto de enlaces está inhabilitado.

    [ NSHELP-27410 ]

  • Un dispositivo Citrix ADC podría enviar un paquete TCP no válido junto con opciones TCP como bloques SACK, marca de tiempo y ACK de datos MPTCP en conexiones MPTCP.

    [ NSHELP-27179 ]

  • En una configuración de clúster, un nodo con prioridad de CCO se desconecta de Open vSwitch (OVS) debido a problemas de red. Cuando el nodo se vuelve a unir a la configuración del clúster, no recibe la cookie SYN más reciente.

    [ NSBASE-14419 ]

Interfaz de usuario

  • El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

    Solución temporal: Configure los conectores de Cloudbridge agregando perfiles IPSec, túneles IP y reglas de PBR mediante la GUI o CLI de Citrix ADC.

    [ NSUI-13024 ]

  • Al crear o eliminar varias particiones, es posible que se generen identificadores de partición duplicados. Como resultado, puede aparecer el siguiente error al crear una partición.

    “El ID de partición ya está siendo utilizado por otra partición”

    [ NSHELP-35042 ]

  • Al modificar una expresión de directiva de autorización en la interfaz de usuario de Citrix Gateway, la opción de autenticación, autorización y auditoría no aparece en la lista desplegable “Editor de expresiones”.

    [ NSHELP-33509 ]

  • En una configuración de HA o clúster, la sincronización de la configuración falla si ha configurado claves SSH distintas de RSA. Por ejemplo, las claves ECDSA o DSA.

    [ NSHELP-31675 ]

  • En un dispositivo Citrix ADC, el enlace de la directiva de caché para anular el global o el global predeterminado mediante la interfaz GUI falla con el siguiente error:

    • Falta el argumento obligatorio.

    Este error no se ve al vincular la directiva de caché mediante la interfaz CLI.

    [ NSHELP-30826 ]

  • Debido a una secuencia de instalación de actualización incorrecta, se produce el siguiente problema en el dispositivo Citrix ADC.

    • La imagen del núcleo se actualiza primero y, tras unos pocos pasos, se copian las claves de cifrado. Entre estos pasos, se produce una falla y el dispositivo ADC presenta una nueva imagen. Las claves de cifrado que faltan en la nueva imagen provocan un error de descifrado y una falta de configuración.

    [ NSHELP-30755 ]

  • La GUI de Citrix ADC puede generar incorrectamente un paquete de asistencia técnica en clúster de un solo nodo en lugar de todos los nodos del clúster.

    [ NSHELP-28606 ]

  • La generación de un paquete de asistencia técnica en clúster mediante la GUI de Citrix ADC puede fallar con un error.

    [ NSHELP-28586 ]

  • Después de actualizar una configuración de alta disponibilidad o una configuración de clúster a la versión 13.0 compilación 74.14 o posterior, la sincronización de la configuración podría fallar por la siguiente razón:

    • Tanto las claves ssh_host_rsa_key privadas como las públicas son un par incorrecto.

    Solución temporal: Genere de nuevo ssh_host_rsa_key. Para obtener más información, consulte https://support.citrix.com/article/CTX322863.

    [ NSHELP-27834 ]

  • No se puede enlazar un servicio o un grupo de servicios a un servidor virtual de equilibrio de carga prioritario mediante la GUI de Citrix ADC.

    [ NSHELP-27252 ]

  • Al ver las directivas vinculadas a una etiqueta de directiva de cambio de contenido en la GUI de Citrix ADC, solo se muestran 25 directivas, aunque hay más directivas vinculadas a esa etiqueta de directiva.

    [ NSHELP-23428 ]

  • Es posible que los usuarios no puedan iniciar sesión en el dispositivo Citrix ADC degradado si se cumple la siguiente secuencia de condiciones:

    1. Realice uno de los siguientes pasos:
      • Tras actualizar a la versión actual, añada un usuario del sistema o cambie la contraseña de un usuario del sistema existente y guarde la configuración.
      • Aprovisione una nueva instancia de Citrix ADC VPX, BLX o CPX con la compilación actual.
    2. Reduzca el dispositivo a una de las siguientes versiones:
      • 13.1-4.x
      • 13.0-82.x o anterior
      • 12.1-62.x o anterior

    Para ver la lista de usuarios afectados tras el cambio a una versión anterior, en la línea de comandos, escriba:
    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
    Solución temporal: restablezca la contraseña de los usuarios afectados. Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.
    Nota: Si estás degradando una versión anterior de una compilación actualizada, utiliza el archivo de configuración (ns.conf) del que se ha hecho una copia de seguridad de la compilación anterior para evitar este problema.

    [ NSCONFIG-8068 ]

  • A veces, las firmas del firewall de la aplicación tardan mucho en sincronizarse con los nodos que no son de CCO. Como resultado, los comandos que utilizan estos archivos pueden fallar.

    [ NSCONFIG-4330 ]

  • Es posible que los usuarios no puedan iniciar sesión en el dispositivo Citrix ADC degradado si se cumple la siguiente secuencia de condiciones:

    1. Realice uno de los siguientes pasos:
      • Tras actualizar a la versión actual, añada un usuario del sistema o cambie la contraseña de un usuario del sistema existente y guarde la configuración.
      • Aprovisione una nueva instancia VPX, BLX o CPX con la compilación actual.
    2. Reduzca el dispositivo a una de las siguientes versiones:
      • 13.0-47.x o anterior
      • 12.1-56.x o anterior
      • 11.1-64.x o anterior

    Para ver la lista de usuarios afectados tras la degradación, en la línea de comandos, escriba:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solución alternativa: restablezca la contraseña de los usuarios afectados. Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

    Nota: Si va a cambiar a una versión anterior a una versión anterior, use el archivo de configuración (ns.conf) de la versión anterior con la copia de seguridad (ns.conf) de la versión anterior para evitar este problema.

    [ NSCONFIG-3188 ]

Notas de versión de Citrix ADC 13.0-92.21 Build
February 12, 2024
Contribución de: 
C
February 12, 2024
Contribución de: 
C

En este artículo

Comentarios sobre el sitio | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.