Documentation Produit
ADC
14.1 - Current Release 13.1 13.0 12.1
Voir PDF

Notes de publication pour la version 13.0-61.48 de Citrix ADC

March 17, 2024
Contributeur: 
C

Ce document de notes de version décrit les améliorations et modifications, les problèmes résolus et connus qui existent pour la version 13.0-61.48 de Citrix ADC.

Remarques

Nouveautés

Les améliorations et modifications disponibles dans la version 13.0-61.48.

Authentification, autorisation et audit

  • Limitation du débit pour Citrix Gateway

    La fonctionnalité de limitation de débit de Citrix Gateway vous permet de définir la charge maximale pour une entité réseau ou une entité virtuelle donnée sur l’appliance Citrix Gateway. Étant donné que l’appliance Citrix Gateway consomme tout le trafic non authentifié, elle est souvent exposée à des demandes de traitement à un taux élevé. La fonction de limitation de débit vous permet de configurer l’appliance Citrix Gateway pour surveiller le débit de trafic associé à une entité et prendre des mesures préventives, en temps réel, en fonction du trafic.

    [NSAUTH-7250]

Citrix Gateway

  • Nouvelles langues prises en charge

    Le portail utilisateur Citrix Gateway et le plug-in Citrix Gateway pour Windows sont désormais disponibles en italien et en portugais (Brésil).

    [CGOP-13689]

Citrix Web App Firewall

  • Support de configuration amélioré pour la gestion des robots Citrix ADC La configuration de gestion des robots Citrix ADC est désormais améliorée en tant que configuration de gestion des robots basée sur l’interface de ligne de commande Citrix ADC pour faciliter la maintenance et le support. Après avoir mis à niveau votre appliance à partir d’une ancienne version, vous devez d’abord convertir manuellement la configuration de bot existante en configuration de bot basée sur l’interface de ligne de commande Citrix ADC

    [NSWAF-4980]

  • Prise en charge de la protection contre les attaques par les entités externes XML (XXE)

    Le Web App Firewall Citrix ADC atténue les attaques par entités externes XML (XXE) en vérifiant si une charge utile entrante contient des entités d’entrée XML non autorisées en dehors du domaine sécurisé et bloque la demande si le type de contenu « déduit » dans les en-têtes HTTP ne correspond pas au type de contenu du corps. Une attaque XXE peut se produire si vous disposez d’un analyseur XML faible qui analyse une charge utile XML dont l’entrée contient des références à des entités externes.

    Voici quelques-unes des menaces potentielles qu’un Web App Firewall Citrix ADC atténue à l’aide de la protection contre les attaques par entité externe XML (XXE) :

    • Fuites de données confidentielles
    • Attaques par déni de service (DOS)
    • Demandes de falsification côté serveur
    • Analyse des ports

    [NSWAF-4923]

  • Prise en charge d’un modèle de signature personnalisé pour les demandes de type de contenu autre que celui par défaut.

    Le Citrix ADC Web App Firewall (WAF) prend désormais en charge un nouvel emplacement pour inspecter le contenu canonisé. Par défaut, WAF ne bloque pas la charge utile codée avec des types de contenu autres que ceux par défaut. Lorsque ces types de contenu figurent sur la liste blanche et qu’aucune action configurée n’est appliquée, le contrôle de protection contre les scripts SQL et intersites ne filtre pas les attaques par script SQL ou intersite dans les charges utiles codées. Pour résoudre ce problème, vous pouvez créer une règle de signature personnalisée avec le nouvel emplacement (HTTP_CANON_POST_BODY) qui examine les charges utiles codées pour détecter les types de contenu autres que ceux par défaut. En cas d’attaque SQL ou de script intersite, elle bloque le trafic après la canonisation du corps du message.

    [NSWAF-4576]

  • Protection contre le piratage de cookies

    Le piratage de cookies est une attaque de sécurité au cours de laquelle une session utilisateur est piratée par un attaquant pour obtenir un accès non autorisé à une application Web. Lorsqu’un utilisateur navigue sur un site Web, par exemple une application bancaire, le site Web établit une session avec le navigateur. L’application Web attribuera des cookies de session pour cette session et enverra des cookies de session ainsi que d’autres cookies d’attributs utilisateur dans la réponse. Pendant la session, le navigateur enregistre ces cookies dans un fichier cookie. L’attaquant peut voler ces cookies soit manuellement à partir de la banque de cookie du navigateur, soit via une extension de navigateur rouge. L’attaquant utilise ensuite les cookies pour accéder aux sessions d’application Web de l’utilisateur.

    Pour atténuer une attaque par détournement de cookie, le Web App Firewall Citrix ADC conteste la connexion TLS du client et effectue également une validation de la cohérence des cookie. Pour chaque nouvelle demande client, l’appliance valide la connexion TLS et vérifie la cohérence des cookies d’application et de session dans la demande. Si un attaquant essaie de mélanger un cookie d’application et un cookie de session volé à la victime, la validation de la cohérence des cookie échoue et l’appliance applique l’action de piratage de cookie correspondante.

    [NSWAF-4311]

  • Technique de détection des transactions par seconde (TPS) Les transactions par seconde (TPS) sont une technique de détection des robots qui identifie le trafic entrant en tant que bot si le nombre de demandes par seconde (RPS) et le pourcentage d’augmentation du RPS dépassent la valeur seuil configurée. En mettant en œuvre la technique de détection, vous pouvez protéger vos applications Web contre les robots automatisés.

    Remarque : La technique du bot détecte le trafic entrant en tant que bot uniquement si les deux paramètres sont configurés et si les deux valeurs dépassent la limite de seuil.

    [NSWAF-2961]

Équilibrage de charge

  • Vérifier de manière proactive l’expiration des enregistrements DNS avant de les diffuser à partir du cache

    Un support est désormais ajouté pour vérifier l’expiration des enregistrements DNS avant de les servir à partir du cache.

    Lors de la réduction, lorsque les conteneurs d’applications sont fermés, les plateformes d’orchestration mettent à jour le DNS en supprimant les adresses IP du conteneur mis hors service. Si le TTL de l’enregistrement DNS est configuré en quelques secondes, il se peut que l’enregistrement DNS ne soit pas effacé du cache de l’appliance Citrix ADC dès que son TTL expire. Dans ce scénario, si un utilisateur tente de résoudre le domaine de l’application via le cache, les adresses IP mises hors service sont diffusées. Une fois les adresses IP mises hors service, elles peuvent être rendues invalides ou attribuées à d’autres ressources de l’environnement.

    Si l’adresse IP n’est pas accessible, l’application risque de ne pas démarrer si la nouvelle tentative n’est pas intégrée à l’application. Si l’option Réessayer est intégrée à l’application, l’application peut essayer les autres adresses IP de l’enregistrement DNS. Ces actions retardent le lancement de l’application.

    Pour éviter ces retards, un support a été ajouté pour vérifier l’expiration des enregistrements DNS avant de les servir à partir du cache.

    [NSLB-6340]

  • Limitation du taux de réponses négatives fournies par l’appliance Citrix ADC

    Vous pouvez désormais définir un seuil pour les réponses négatives envoyées à partir du cache par l’appliance Citrix ADC. Lorsque le seuil est défini, l’appliance transmet la réponse depuis le cache jusqu’à ce que le seuil soit atteint. Lorsque le seuil est atteint, l’appliance abandonne les demandes au lieu de répondre par une réponse NXDOMAIN. La définition d’une limite de taux pour les réponses négatives présente les avantages suivants.

    • Enregistre les ressources sur l’appliance Citrix ADC.
    • Empêche toute requête malveillante pour des noms de domaine inexistants.

    [NSLB-6339]

  • Prise en charge de l’enregistrement des données par le bailliage sur les écrans DNS

    Le contrôle Bailiwick est désormais pris en charge pour les moniteurs basés sur le DNS afin de détecter l’attaque d’empoisonnement du cache.

    [NSLB-6334]

  • Prise en charge d’algorithmes plus puissants pour les clés DNS L’appliance Citrix ADC prend désormais en charge des algorithmes de chiffrement plus puissants, tels que RSASHA256 et RSASHA512, pour signer une zone DNS. Auparavant, seul l’algorithme RSASHA1 était pris en charge.

    [NSLB-4947]

Divers

  • Support pour la mise en cache du jeton

    Grâce à cette amélioration, le jeton d’accès obtenu à partir des points de terminaison peut être mis en cache pour les demandes suivantes. La prise en charge de la mise en cache des jetons améliore les performances de l’API.

    [NAPISEC-479]

Mise en réseau

  • Support de cluster pour le cloud public VPX et la licence VPX Express

    Le clustering est désormais disponible en édition standard pour le cloud public VPX et en licence VPX Express.

    [NSNET-14779]

Plateforme

  • Support pour Citrix ADC VPX : licence 1 Gbit/s sur Google Cloud Marketplace

    Les types de licence suivants sont désormais pris en charge pour le modèle VPX 1000 sur Google Cloud Marketplace :

    • Citrix ADC VPX Standard Edition - 1 Gbit/s
    • Citrix ADC VPX Advanced Edition - 1 Gbit/s
    • Citrix ADC VPX Premium Edition - 1 Gbit/s

    [NSPLAT-15311]

SSL

  • Prise en charge du nom de domaine complet dans le coffre à clés Azure Un nouveau paramètre, VaultResource, est ajouté à la commande « ajouter une application Azure ». Ce paramètre extrait le domaine du groupe de ressources en fonction des régions avant que le jeton d’accès ne soit accordé à l’application. Par exemple, le domaine peut être vault.azure.net ou vault.usgov.net. De plus, le paramètre « AzureVaultName » de la commande « add azure KeyVault » est modifié pour inclure le nom de domaine complet au lieu du nom du coffre-fort. Par exemple, l’utilisateur doit désormais saisir « example.vault.azure.net » ou « example.vault.usgov.net » au lieu de simplement « exemple ». Auparavant, l’utilisateur devait uniquement saisir le nom du coffre-fort et le nom de domaine était ajouté par l’appliance ADC.

    [ NSSSL-8189 ]

  • Prise en charge d’Extended Master Secret dans le cadre de la prise de contact SSL sur les plateformes Citrix ADC. Extended Master Secret (EMS) est une extension facultative du protocole TLS (Transport Layer Security). Pour prendre en charge l’EMS sur l’appliance Citrix ADC, un paramètre « AllowExtendedMasterSecret » est ajouté qui s’applique à la fois aux profils SSL frontaux et dorsaux. Si le paramètre est activé et que l’homologue prend en charge EMS, l’appliance ADC utilise le calcul EMS. Si l’homologue ne prend pas en charge EMS, le calcul EMS n’est pas utilisé pour la connexion même si le paramètre est activé sur l’appliance. Pour plus d’informations sur EMS, consultez la RFC 7627.

    Plateformes ADC compatibles avec EMS :

    • Plates-formes MPX et SDX contenant des puces Cavium N3 ou des cartes cryptographiques Intel Coleto Creek. Les plates-formes suivantes sont livrées avec des puces Intel Coleto :
    • MPX 5900
    • MPX/SDX 8900
    • MPX/SDX 26000
    • MPX/SDX 26000-50S
    • MPS/SDX 26000-100G
    • MPX/SDX 15000-50G Vous pouvez utiliser la commande « show hardware » pour déterminer si votre appliance est équipée de puces Coleto (COL) ou N3.
    • Plateformes MPX et SDX sans cartes cryptographiques (logiciel uniquement).
    • Plates-formes logicielles uniquement : VPX, CPX et BLX.

    Le service EMS ne peut pas être activé sur les plateformes suivantes :

    • Plateformes FIPS.
    • Plateformes MPX et SDX contenant des puces cryptographiques Cavium N2 (PX).

    Le paramètre est désactivé par défaut sur le frontend par défaut (ns_default_ssl_profile_frontend), le backend par défaut (ns_default_ssl_profile_backend) et tous les profils SSL définis par l’utilisateur. Toutefois, il est activé par défaut sur le profil SSL du frontend sécurisé (ns_default_ssl_profile_secure_frontend) si le type de plateforme sous-jacent prend en charge l’EMS.

    Si le paramètre est activé, l’appliance ADC tente d’utiliser EMS dans les connexions TLS 1.2, TLS 1.1 et TLS 1.0. Le paramètre n’affecte pas les connexions TLS 1.3 ou SSLv3.

    [NSSL-7518]

  • Prise en charge de la détection de l’extension ALPN dans le message d’accueil du client à l’aide d’une politique SSL Une appliance Citrix ADC peut désormais identifier les protocoles contenus dans l’extension ALPN du message d’accueil du client tout en analysant le message à des fins d’évaluation des politiques. La règle permettant d’identifier le protocole dans l’extension ALPN du message d’accueil du client est « client.ssl.client_hello.alpn.has_nextprotocol »”. Associez une action SSL de type « transfert » à la politique de transfert des paquets vers un serveur virtuel de type SSL_TCP. Pour négocier le protocole d'application dans l'extension ALPN pour les connexions gérées par le serveur virtuel SSL_TCP, un paramètre « AlpnProtocol » est ajouté aux profils SSL frontaux. Les valeurs prises en charge pour le paramètre sont HTTP1.1, HTTP2 ou NONE (valeur par défaut). Seul le protocole spécifié dans le profil SSL est négocié, si le même protocole est reçu dans l'extension ALPN du message Hello client. Remarque : Le paramètre « AlpnProtocol » n'est pris en charge que sur les profils SSL frontaux et s'applique aux connexions SSL gérées par les serveurs virtuels de type SSL_TCP. La longueur maximale prise en charge par l'extension ALPN pour l'évaluation des politiques est de 4 096 octets. Exemple de configuration pour transférer toutes les demandes contenant le protocole HTTP2 dans l'extension ALPN vers un serveur virtuel SSL_TCP v1 :

    • ajouter une action SSL forward_stcp_v1 -forward v1
    • ajouter la politique SSL pol1 -rule « client.ssl.client_hello.alpn.has_nextprotocol (« h2”) » -action forward_stcp_v1
    • bind ssl vserver vMain -PolicyName pol1 -priority 2 -type CLIENTHELLO_REQ

    Pour définir le protocole dans le profil SSL du frontend, à l’invite de commande, tapez :

    • définir le profil SSL ns_default_ssl_profile_frontend -AlpnProtocol HTTP2

    [NSHELP-21436]

System

  • Support du protocole proxy pour la configuration d’équilibrage de charge HTTP/2

    Une appliance Citrix ADC prend désormais en charge le protocole proxy pour la configuration d’équilibrage de charge HTTP/2, en plus de la prise en charge existante du trafic TCP et HTTP.

    Le protocole proxy transporte en toute sécurité les détails du client d’un client à un autre sur les appliances Citrix ADC. L’appliance ajoute un en-tête de protocole proxy avec les détails du client et le transfère au serveur principal. Vous trouverez ci-dessous certains des scénarios d’utilisation du protocole proxy dans une appliance Citrix ADC.

    • Adresse IP du client d’origine
    • Sélection d’une langue pour un site Web
    • Ajouter des adresses IP sélectionnées à la liste noire
    • Enregistrement et collecte de statistiques.

    Pour plus d’informations sur le protocole proxy, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/proxy-protocol.html

    [ NSBASE-10516 ]

Interface utilisateur

  • Statistiques HTTP2 sur l’interface graphique du tableau de bord Citrix ADC

    L’interface graphique du tableau de bord Citrix ADC affiche désormais les données statistiques du protocole HTTP2 au format tabulaire et graphique.

    [NSUI-15457]

  • Support de l’API State souhaité dans le cluster

    L’API Desired State pour les modifications d’appartenance aux groupes de services est désormais prise en charge dans le déploiement de clusters Citrix ADC.

    [NSCONFIG-1493]

  • Interface de ligne de commande via SSH pour les appliances Citrix ADC BLX

    Une appliance Citrix ADC BLX prend désormais en charge l’interface de ligne de commande (CLI) pour exécuter les commandes ADC CLI afin de configurer les fonctionnalités ADC sur l’appliance.

    Vous pouvez accéder à distance à la CLI via un shell sécurisé (SSH) depuis un poste de travail.

    La liste suivante indique l’adresse IP et le port sur lesquels la CLI Citrix ADC est disponible via SSH :

    • Appliance Citrix ADC BLX déployée en mode partagé : <Linux host IP address>:9022
    • Appliance Citrix ADC BLX déployée en mode dédié : <Citrix ADC IP address (NSIP)>:22

    Pour plus d’informations sur Citrix ADC BLX CLI, consultez https://docs.citrix.com/en-us/citrix-adc-blx/13/configure-blx.html

    [NSCONFIG-1180]

Problèmes résolus

Les problèmes résolus dans la version 13.0-61.48.

Authentification, autorisation et audit

  • Les utilisateurs ne peuvent pas ajouter de nouveau compte sur l’application Citrix Workspace (CWA) lorsque les deux conditions suivantes sont remplies :
    • L’appliance Citrix ADC est configurée pour nFactor Flow.
    • L’appliance est configurée en tant que SP SAML ou OAuth RP.

    [NSHELP-23907]

  • Dans certains scénarios, l’authentification échoue pour les schémas de connexion personnalisés.

    [NSHELP-22929]

  • Le schéma de connexion AltEmailRegister.xml utilisé pour l’enregistrement d’un autre identifiant de messagerie ne fonctionne pas comme prévu.

    [NSHELP-22912]

  • Dans une configuration de cluster, une appliance Citrix ADC peut se bloquer dans certains cas lors de l’authentification d’un utilisateur.

    [NSHELP-22871]

  • Une interface graphique Citrix ADC n’affiche pas correctement le contenu de la page d’ouverture de session du serveur AFDS.

    [NSHELP-22594]

  • Dans une configuration de cluster, si la commande « set authentication RadiusAction » est exécutée, l’appliance Citrix ADC spécifie l’adresse IP du serveur d’accès réseau (NAS) comme 0.0.0.0 dans les demandes d’accès envoyées au serveur RADIUS.

    [NSHELP-22580]

  • Dans de rares cas, une appliance Citrix ADC vide le cœur lorsque des politiques EPA de pré-authentification classiques sont utilisées en combinaison avec des politiques d’authentification avancées nFactor.

    À titre de recommandation, Citrix suggère de migrer l’EPA en tant que facteur du flux d’authentification nFactor.

    [NSHELP-22553]

  • Dans de très rares cas, une appliance Citrix ADC configurée en tant que fournisseur d’identité (IdP) sur un serveur virtuel d’équilibrage de charge peut se bloquer après une authentification réussie.

    [NSHELP-22528]

  • Dans certains cas, une appliance Citrix ADC vide le cœur en raison d’une corruption de la mémoire lors de l’exécution d’une authentification SSO basée sur un formulaire.

    [NSHELP-22488]

  • Dans de rares cas, lorsque le paramètre MetadataURL est utilisé dans la commande SamLidpProfile, une appliance Citrix ADC vide le cœur tout en libérant la connexion client.

    [NSHELP-22440]

  • Dans de rares cas, un serveur virtuel configuré avec une authentification NTLM frontale entraîne le vidage du cœur par l’appliance Citrix ADC.

    [NSHELP-22372]

  • Une appliance Citrix ADC vide le cœur si les conditions suivantes sont remplies.
    • L’appliance est configurée pour l’authentification unique basée sur un formulaire.
    • La mémoire du dispositif est épuisée pour le pool AppSecure.

    [NSHELP-22096]

  • Vous ne pouvez pas accéder à la console de gestion Citrix ADC via l’interface graphique lorsque des caractères spéciaux sont utilisés pour le mot de passe « nsroot ».

    [NSHELP-21630]

Appliance Citrix ADC SDX

  • La mise à niveau des appliances SDX 26000-100G 15000-50 G peut prendre plus de temps. Par conséquent, le système peut afficher le message « Le service de gestion n’a pas pu apparaître après 1 heure et 20 minutes. Contactez l’administrateur. »

    [NSSVM-3018]

  • L’interface utilisateur Citrix ADC SDX est peut-être inaccessible après avoir essayé de passer à la version 13.0-58.30.
    1. Connectez-vous via SSH à l’adresse IP de la SVM à l’aide des informations d’identification « nsrecover ».
    2. À l’invite du shell, tapez « svmd stop » pour arrêter tous les processus SVM.
    3. Pour vérifier que tous les processus SVM sont arrêtés, tapez « ps -ax | grep svm ». Pour arrêter tout processus SVM en cours d’exécution, tapez kill -9 <process-id of the running process>.
    4. Modifiez le fichier /var/mps/mps_featurelist.conf.bak à l’aide de l’éditeur vi. Ajoutez « DisableMetricCollection » à la fin du fichier et enregistrez le fichier.
    5. Tapez « svmd start » pour relancer les processus de la SVM. La mise à niveau se poursuit et l’interface utilisateur SDX est lancée après environ 30 minutes.

    [NSHELP-23904]

  • L’interface graphique SDX peut ne pas être accessible après la mise à niveau d’une appliance Citrix ADC SDX vers la version 12.1 build 56.x.

    [NSHELP-23637]

  • Une instance VPX hébergée sur une appliance Citrix ADC SDX 15000-50G ou SDX 26000 est inaccessible depuis le service de gestion une fois que vous avez modifié certaines propriétés, telles que la description et le nom d’hôte.

    [NSHELP-23491]

  • Si l’adresse IP d’une appliance Citrix ADC SDX configurée à l’aide de licences groupées est modifiée dans SDX, Citrix ADM qui gère l’appliance SDX continue d’afficher l’ancienne adresse IP SDX.

    [NSHELP-23490]

  • Vous recevrez des notifications par e-mail pour quelques catégories dans les scénarios suivants :
    • La configuration des événements est supprimée sur l’appliance Citrix ADC SDX.
    • La configuration des événements est mise à jour sur l’appliance Citrix ADC SDX.

    [NSHELP-22701]

  • La mise à niveau d’une appliance Citrix ADC SDX vers la version 12.1 build 56.x peut expirer en raison d’une latence dans la communication entre processus.

    [NSHELP-22644]

  • Le service NTP du service de gestion Citrix ADC SDX répond aux requêtes NTP. Toutefois, le service de gestion ne dispose d’aucune option permettant de configurer des restrictions pour les requêtes NTP.

    [NSHELP-12246]

Citrix Gateway

  • Si vous utilisez un clavier français sur un plug-in VPN, les caractères saisis à l’aide de CTRL+ALT ne fonctionnent pas.

    [NSHELP-23556]

  • Si vous avez configuré l’authentification nFactor avec des politiques avancées et si la fonctionnalité Gateway Insight est activée, les informations suivantes ne sont pas communiquées au système Citrix Application Delivery Management.
    • Type d’appareil
    • Type de navigateur
    • OS
    • Détails de l’appareil

    [NSHELP-23549]

  • Dans un déploiement Citrix Gateway, la route du serveur DHCP est ajoutée par défaut. Si votre déploiement ne nécessite pas d’itinéraire de serveur DHCP, effectuez l’une des opérations suivantes.

    Définissez le registre côté client NodHCProute sur 1 dans le chemin : HKEY_LOCAL_MACHINESoftwareCitrixSecure Access Client À partir de l’appliance Citrix ADC, créez un nouveau fichier nommé PluginCustomization.json avec la valeur "NoDHCPRoute":true dans les dossiers /netscaler/ns_gui/vpn et /var/netscaler/gui/vpn.

    [NSHELP-23029]

  • La désinscription de l’adresse IP de l’intranet ne se produit pas après la déconnexion du VPN, si l’enregistrement de l’adresse IP de l’intranet a pris plus de 15 secondes.

    [NSHELP-23021]

  • Si la longueur de l’URL du serveur proxy est supérieure à 32 octets, l’API du plug-in VPN exposée se bloque.

    [NSHELP-22977]

  • L’ouverture de session par transfert ne fonctionne pas avec Internet Explorer et le plug-in Windows lorsque le thème RFWebUI est configuré avec nFactor.

    [NSHELP-22927]

  • Lorsque le proxy manuel est configuré sur une machine locale, le tunnel utilisateur ne peut pas être établi automatiquement après l’établissement d’un tunnel de service.

    [NSHELP-22831]

  • Lorsque vous redémarrez ou allumez un ordinateur client Windows 10, le plug-in VPN Always On 13.0 revient à l’authentification classique même si l’authentification nFactor est configurée.

    [NSHELP-22795]

  • Lorsque vous redémarrez l’ordinateur client après la mise à niveau de l’appliance Citrix Gateway de la version 12.0 build 59.8 vers la version 13.0 build 47.24, Always On ne peut pas établir de connexion VPN fluide.

    [NSHELP-22700]

  • Les navigateurs Web basés sur Internet Explorer n’affichent pas la flèche dans les listes déroulantes des thèmes X1 et RFWebUI.

    [NSHELP-22623]

  • L’écran de connexion pour Windows peut afficher des champs incorrects si vous configurez un proxy sur un ordinateur client et si le proxy n’est pas applicable au FQDN du VPN.

    [NSHELP-22618]

  • Après la mise à niveau de votre dispositif Citrix Gateway vers la version 13.0.47.24, la connexion à Citrix Gateway à partir de VMware Horizon Client version 5.2 et ultérieure échoue.

    [NSHELP-22541]

  • Dans une configuration de processeur multicœur, l’appliance Citrix Gateway se bloque si les deux conditions suivantes sont remplies :
    • La fonctionnalité Gateway Insight est activée.
    • Une demande est reçue sur un noyau non propriétaire.

    [NSHELP-22524]

  • Dans de rares cas, l’appliance Citrix Gateway peut se bloquer si le protocole DTLS est activé.

    [NSHELP-22520]

  • Le plug-in VPN Citrix ne traite pas les paquets DNS IPv6.

    [NSHELP-22446]

  • Si le protocole HTTP 2.0 est activé sur le serveur et le client, le service Always On ne parvient pas à établir le tunnel de la machine.

    [NSHELP-22423]

  • Dans une configuration Citrix Gateway avec la fonctionnalité AlwaysOn activée, AlwaysOn ne peut pas établir de connexion VPN fluide après le redémarrage d’un client.

    [NSHELP-22420]

  • Dans certains cas, l’appliance Citrix ADC se bloque car le cœur reçoit un paquet à envoyer au client mais les informations IIP ne sont pas encore disponibles. Dans NSHELP-21522, nous corrigeons dans ns_iip6.c, il s’agit d’un correctif supplémentaire dans ns_iip.c

    [NSHELP-22411]

  • L’appliance Citrix Gateway se bloque si la longueur du fichier ICA est supérieure à 2 048 caractères et si Gateway Insight est activé.

    [NSHELP-22387]

  • Dans de rares cas, l’appliance Citrix Gateway peut se bloquer lorsqu’une adresse IP d’intranet déjà configurée a déjà été utilisée et libérée de manière incorrecte.

    [NSHELP-22349]

  • Les téléphones logiciels dotés du mécanisme de connexion « keep-alive » initié par le serveur UDP peuvent interrompre les appels par intermittence.

    [NSHELP-22231]

  • Le client VPN Linux peut se bloquer si vous téléchargez un fichier volumineux (environ 3 Go).

    [NSHELP-22032]

  • Lorsque vous vous connectez à StoreFront via Citrix Gateway avec le proxy ICA défini sur Désactivé, l’icône Catégories sur StoreFront n’apparaît pas.

    [NSHELP-21797]

  • Lorsque le serveur Syslog est configuré via TCP, certains journaux ne sont pas envoyés par intermittence au serveur Syslog.

    [NSHELP-21624]

  • L’appliance Citrix Gateway se bloque lors de la libération d’une session VPN SSL précédemment libérée.

    [NSHELP-21073]

Citrix Web App Firewall

  • Si l’ID d’une règle de signature est supérieur à 2 147 483 647 ou inférieur à zéro, la valeur est tronquée.

    [NSWAF-126]

  • Une appliance Citrix ADC peut se bloquer si la demande entrante comporte de nombreux champs de formulaire et si la protection de la cohérence des champs est activée dans le profil Web App Firewall.

    [NSHELP-21856]

  • Une appliance Citrix ADC peut supprimer le corps de la réponse si les règles de signature du corps de réponse sont activées.

    [NSHELP-20872]

  • Une appliance Citrix ADC peut se bloquer en cas d’utilisation élevée de la mémoire et si les valeurs de mémoire ne sont pas libérées en raison d’une défaillance de l’application.

    [NSHELP-18863]

Équilibrage de charge

  • L’appliance Citrix ADC équilibre la charge de tout le trafic destiné à un serveur virtuel d’équilibrage de charge particulier vers le même serveur principal, lorsque toutes les conditions suivantes se produisent :

    • Le serveur virtuel d’équilibrage de charge est configuré avec la méthode LB basée sur le hachage.
    • Le groupe de services avec DNS en mode Autoscale est lié au serveur virtuel d’équilibrage de charge.

    Solution : configurez le serveur virtuel d’équilibrage de charge à l’aide de la méthode Round Robin LB.

    [NSHELP-21952]

Divers

  • Une interruption de service peut survenir lors de l’exécution si la technique de détection TPS de gestion des robots est configurée avec l’action « atténuation ».

    [NSBOT-124]

  • Lors d’une mise à niveau, une appliance Citrix ADC peut se bloquer si le fichier de signature du bot contient de longues chaînes.

    [NSBOT-37]

Mise en réseau

  • Refuser les règles ACL6 peut entraîner une interruption du trafic IPv6 pour une session établie.

    [NSNET-11409]

  • Le module BGP d’une appliance Citrix ADC peut se bloquer s’il accède à des informations relatives à une interface nulle.

    [NSHELP-22258]

  • Dans une configuration de cluster avec l’option RetainConnectionsOnCluster activée, un nœud de cluster peut se bloquer lorsqu’il reçoit des paquets fragmentés suivis de paquets non fragmentés.

    [NSHELP-21674]

  • Dans une configuration de cluster, une appliance Citrix ADC peut se bloquer lorsqu’elle reçoit un message d’erreur ICMP orienté nœud à nœud en provenance du serveur. Le crash se produit parce que le paquet reçu ne contient pas les informations relatives à l’interface.

    [NSHELP-18401]

Plateforme

  • Sur la plate-forme Citrix ADC SDX 26000-100G, l’interface peut ne pas s’afficher après le redémarrage de l’appliance.

    [NSPLAT-11985]

  • Sur la plate-forme Citrix ADC SDX 15000-50G, certains fichiers du vidage de la carte réseau peuvent ne pas être effacés du répertoire /tmp lorsque le bundle de support Citrix Hypervisor est collecté plusieurs fois. Ces fichiers peuvent perturber la réussite du redémarrage de l’appliance.

    [NSHELP-22903]

  • Dans le visualiseur du processeur du tableau de bord SDX, l’utilisation du processeur d’une instance VPX affiche 0 si des cœurs du processeur 0 sont alloués à l’instance.

    [NSHELP-22869]

  • L’appliance Citrix ADC SDX 8900 affiche des interfaces réseau manquantes après avoir effectué une réinitialisation d’usine. Passez à l’une des versions suivantes :
    • Version 12.1-56.x ou ultérieure
    • Version 13.0-61.x ou ultérieure

    [NSHELP-22715]

  • La connectivité à une instance VPX échoue si les conditions suivantes sont remplies :
    • L’instance est configurée sans interface de gestion.
    • Seul le canal du port LACP est configuré en tant qu’interface de données.
    • Le premier membre du canal LACP est perdu ou désactivé. Par exemple, si les interfaces 50/1 et 50/2 sont les membres du canal et que l’interface 50/1 est DOWN et 50/2 est UP, la connectivité à l’instance est perdue. Toutefois, si l’interface 50/1 est active et 50/2 est désactivée, la connectivité VPX est disponible. Ce problème est spécifique aux cartes réseau Mellanox.

    [NSHELP-22424]

  • Le moniteur de haute disponibilité (HAMON) est activé par défaut sur l’interface interne et ne peut pas être désactivé sur les appliances SDX si une interface interne est configurée. Le paramètre ci-dessus n’a aucun impact fonctionnel.

    [NSHELP-21803]

  • Le module SNMP d’une plate-forme Citrix ADC MPX peut renvoyer une valeur incorrecte pour certaines propriétés du système.

    [NSHELP-19621]

Stratégies

  • L’action de réécriture du type insert_after peut ne pas fonctionner avec une réponse HTTP fragmentée ou terminée par FIN.

    [NSHELP-22743]

SSL

  • L’appliance Citrix ADC peut se bloquer lors d’une liaison TLS 1.3 abrégée (reprise) si tous les paramètres suivants sont appliqués à un profil SSL :

    • SNIHttpHostMatch est défini sur CERT
    • TLSv1.3 est activé
    • Le ticket de session est activé.

    [NSHELP-22126]

  • Le déchiffrement des enregistrements SSL peut échouer par intermittence lorsque l’appliance Citrix ADC est configurée pour utiliser des trames Jumbo.

    [NSHELP-21969]

  • Lorsqu’une appliance Citrix ADC est configurée pour utiliser des tickets de session SSL et que l’authentification client est activée, l’appliance peut se bloquer lorsque les clients envoient un certificat client volumineux. Par exemple, un certificat RSA contenant une clé de 4096 bits.

    [NSHELP-21662]

  • L’appliance Citrix ADC peut se bloquer et vider le cœur si l’agrafage OCSP est configuré et que la mémoire de l’appliance est insuffisante.

    [NSHELP-21661]

  • La vérification de la signature OCSP échoue lorsqu’une extension vide est reçue dans le champ « SingleResponse » de la réponse OCSP.

    [NSHELP-20997]

System

  • Une appliance Citrix ADC peut envoyer de manière incorrecte une trame RST_STREAM pour des flux de transactions terminés avec succès pour les connexions HTTP/2.

    [NSHELP-22969]

  • Une appliance Citrix ADC peut redémarrer si les conditions suivantes sont remplies :

    • Le profil de série chronologique extrait une boucle sur un tableau.

    • Un paramètre incorrect est utilisé pour la boucle.

    [NSHELP-22828]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont respectées :
    • Flash Cache est activé.
    • La connexion client est réinitialisée.
    • Demande du client dans la file d’attente à traiter dans le cadre du processus de mise en cache.

    [NSHELP-21872]

  • Dans les cas où la connexion n’est pas terminée, l’appliance Citrix ADC peut réinitialiser une connexion TCP si le sack-reneging se produit plusieurs fois sur la connexion. »

    [NSHELP-21405]

Interface utilisateur

  • Une clé FIPS créée sur un nœud principal n’est pas synchronisée avec le nœud secondaire à l’aide de l’option Enable SIM de l’interface graphique Citrix ADC.

    [NSUI-16016]

  • Auparavant, le champ Actions listait à la fois les actions de réécriture et les actions de réécriture, mais la fonctionnalité Ajouter/Modifier était uniquement destinée aux actions de réécriture et non aux affectations. Nous avons maintenant supprimé les options d’ajout/modification et fourni les options « Configurer les affectations » et « Configurer les actions de réécriture » sous forme de liens hypertexte pour les configurer indépendamment.

    [NSHELP-23095]

  • Saved v/s L’utilitaire de configuration en cours d’exécution peut afficher des différences pour la commande « bind ServiceGroup » même après avoir enregistré la configuration.

    [NSHELP-22459]

  • La commande « nsconfig » associée à l’option « -k » ne parvient pas à créer un fichier de sauvegarde avec la configuration Citrix ADC actuelle.

    [NSHELP-22179]

  • Dans une configuration à haute disponibilité, un problème de synchronisation peut remplacer le fichier de licence du nœud secondaire par le fichier de licence du nœud principal.

    La présence du fichier de licence du nœud principal entraîne une incompatibilité d’ID d’hôte pour ce fichier sur le nœud secondaire. En raison de cette incompatibilité d’ID d’hôte, toutes les fonctionnalités de Citrix ADC sont désactivées lorsque le nœud secondaire prend le relais en tant que nœud principal après un basculement.

    [NSHELP-21871]

  • Une appliance Citrix ADC peut se bloquer si le répertoire /tmp est plein.

    [NSHELP-21809]

  • Une appliance Citrix ADC devient instable si vous utilisez le paramètre -outfilename dans la commande diffnsconfig. Par conséquent, la sortie diffnsconfig est volumineuse pour remplir complètement le disque racine.

    [NSHELP-19345]

  • Dans une configuration de cluster, la paire de clés de certificat peut se synchroniser avec les nœuds non CCO avec un certain retard. Par conséquent, il est possible que la paire de clés de certificat soit ajoutée au nœud CCO mais échoue sur les nœuds non CCO sans message d’erreur.

    [NSHELP-12037]

Problèmes connus

Les problèmes qui existent dans la version 13.0-61.48.

Authentification, autorisation et audit

  • Dans certains cas, une appliance Citrix ADC ne répond plus lorsque l’authentification unique est tentée.

    [NSHELP-23632]

  • Dans de rares cas, une appliance Citrix ADC se bloque lors du traitement d’une demande d’authentification si un scénario DUP-FREE (tentative de libération d’une ressource déjà libre) se produit.

    [NSHELP-23565]

  • Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

    [NSHELP-563]

  • Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

    [ NSAUTH-6106 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante. show adfsproxyprofile <profile name>

    Solution : connectez-vous au Citrix ADC actif principal du cluster et exécutez la show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

Mise en cache

  • Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

    [ NSHELP-22942 ]

  • Une appliance Citrix ADC peut se bloquer de manière aléatoire si les conditions suivantes sont respectées :

    • La fonctionnalité de mise en cache intégrée est activée.
    • 100 Go de mémoire ou plus sont alloués à la mise en cache intégrée.

    Solution : allouez moins de 100 Go de mémoire.

    [NSHELP-20854]

Appliance Citrix ADC SDX

  • Sur les plateformes Citrix ADC SDX 8900, SDX 15000 et SDX 15000-50G, une utilisation élevée du processeur peut être constatée sur les instances ADC après la mise à niveau de l’appliance SDX de la version 11.1 à la version 12.1, ou de la version 11.1 à la version 13.0.

    [NSHELP-24031]

  • Vous ne pouvez pas inclure de hachage (%23) dans les chaînes communautaires pour les gestionnaires SNMP et les destinations d’interruptions configurées sur une appliance Citrix ADC SDX.

    [NSHELP-23989]

  • Si une instance VPX a été provisionnée sur une ancienne version 11.1, les opérations de mise à jour sur l’instance VPX à l’aide de l’interface de ligne de commande SDX échouent si les conditions suivantes sont remplies :
    • L’option « Shell/SFTP/SCP Access » a été sélectionnée.
    • L’option « Ajouter une administration d’instance » n’a pas été sélectionnée. Ces options étaient disponibles sous « Administration des instances ». «

    [NSHELP-23683]

  • Dans certains cas, les licences ne sont pas lues correctement par le service de gestion après le redémarrage d’une appliance Citrix ADC SDX.

    [NSHELP-23619]

Citrix Gateway

  • L’appliance Citrix Gateway peut tomber en panne lors d’un déploiement de proxy EDT si la commande « kill icaconnection » est exécutée alors qu’une connexion EDT est en cours d’établissement.

    [NSHELP-23882]

  • Vous pouvez rencontrer des problèmes lors de la modification de documents à l’aide des applications bureautiques Web liées à SharePoint lorsque ces applications sont accessibles via le VPN sans client avancé.

    [NSHELP-23364]

  • L’appliance Citrix Gateway peut se bloquer lors du lancement d’une application si la résolution du FQDN du VDA échoue. [NSHELP-22454]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • Lorsque vous accédez à Microsoft Excel via le VPN sans client SharePoint, vous ne pouvez pas modifier le fichier Excel.

    Solution : exécutez les commandes CLI suivantes :

    ajouter une politique de réécriture ns_cvpn_v2_req_body_decode_pol « http.req.header (« Content-Length ») .exists && http.req.header (« Content-Type ») .value (0) .typecast_num_t (decimal) .gt (0) && http.req.header (« Content-Type ») .exists && (HTTP.REQ.HEADER (« Content-Type ») .exists && (HTTP.REQ.HEADER (« Content-Type ») ») .CONTAINS (« text/ ») || (HTTP.REQ.HEADER (« Type de contenu ») .CONTAINS (« application/ ») & HTTP.REQ.HEADER (« Type de contenu ») .CONTAINS_ANY (« ns_cvpn_v2_application_content_type_end »)) » ns_cvpn_v2_req_body_decode_act bind réécriture policylabel ns_cvpn_v2_req_rw_label ns_cvpn_v2_req_body_decode_pol 27001

    [CGOP-15123]

  • Lorsque vous mettez à niveau votre environnement Unified Gateway vers la version 13.0 build 58.x ou ultérieure, le bouton DTLS est désactivé sur le serveur virtuel de commutation de contenu configuré avant la passerelle ou le serveur virtuel VPN. Vous devez activer manuellement le bouton DTLS sur le serveur virtuel de commutation de contenu après la mise à niveau. N’activez pas le potentiomètre DTLS si vous utilisez l’assistant pour la configuration.

    [CGOP-13972]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • La connexion ICA entraîne un saut d’analyse lors de l’analyse ICA si les utilisateurs utilisent le récepteur MAC avec la version 6.5 de Citrix Virtual App and Desktops (anciennement Citrix XenApp et XenDesktop). Solution : mettez à niveau le récepteur vers la dernière version de l’application Citrix Workspace.

    [CGOP-13532]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [ CGOP-13511 ]

  • Dans Outlook Web App (OWA) 2013, cliquez sur « Options » dans le menu Paramètres pour afficher une boîte de dialogue « Erreur critique ». De plus, la page ne répond plus.

    [ CGOP-7269 ]

Citrix Web App Firewall

  • Une appliance Citrix ADC peut se bloquer lors du contrôle de validation XML du Web App Firewall.

    [NSHELP-23562]

Équilibrage de charge

  • Lors de la synchronisation en temps réel du GSLB, le traitement par lots continu des commandes de configuration GSLB peut entraîner le transfert des commandes vers les sites subordonnés dans un ordre incorrect.

    [NSHELP-23934]

  • La génération d’alarmes SNMP peut être retardée si la synchronisation de la configuration entre le site principal et les sites subordonnés échoue.

    [NSHELP-23391]

  • Lorsque vous mettez à niveau l’appliance Citrix ADC vers la version 12.0 build 63.13, vous pouvez voir des entrées de configuration dupliquées pour les groupes de persistance d’équilibrage de charge. Par exemple, la commande « show running config » peut afficher la commande « add lb group » plusieurs fois. Il s’agit uniquement d’un problème d’affichage qui n’a aucune incidence sur les fonctionnalités. Toutefois, l’exécution de la commande « show running config » peut prendre un peu plus de temps que d’habitude.

    [NSHELP-23050]

  • Les statistiques relatives à un identifiant de flux ne présentent aucun graphique.

    [NSHELP-22753]

  • L’appliance Citrix ADC peut rarement se bloquer lorsqu’une valeur entière est tronquée après une série d’opérations liées à Stream Identifier.

    [NSHELP-22489]

Divers

  • L’appliance Citrix ADC peut se bloquer si la technique d’empreinte digitale du robot est désactivée pendant que le trafic circule dans l’appliance. Solution : dissociez le profil du bot avant de désactiver la technique d’empreinte digitale de l’appareil.

    [NSBOT-156]

Mise en réseau

  • Les messages d’erreur suivants peuvent s’afficher si vous configurez plus de 100 VLAN dans la liste TrunkAllowedVLAN sur une interface de l’instance Citrix ADC : ERREUR : expiration du délai d’exécution ERREUR : erreur de communication avec le moteur de paquets

    [NSNET-4312]

  • Les problèmes suivants sont observés concernant les chaînes de communauté BGP dans l’appliance Citrix ADC :

    • Lorsque l’appliance reçoit une chaîne communautaire BGP x:65535, la session BGP est déconnectée.

    • Lorsque cette <bgp extended asn> fonctionnalité n’est pas activée, le démon BGP ne gère pas la combinaison de l’attribut AS4_PATH et de certaines chaînes communautaires de la manière souhaitée. Cette mauvaise gestion entraîne le crash du démon BGP.

    [NSHELP-24119]

  • Pour les services SSL internes sur un port HTTPS autre que le port par défaut, les liaisons de certificats SSL peuvent revenir au paramètre par défaut après le redémarrage de l’appliance.

    [NSHELP-24034]

  • Dans une configuration de haute disponibilité en mode INC, les sessions BFD sont perdues après un basculement.

    [NSHELP-23648]

  • Les paramètres BFD peuvent ne pas s’appliquer à une appliance Citrix ADC après plusieurs redémarrages durs de l’appliance.

    [NSHELP-23471]

  • Une appliance Citrix ADC peut se bloquer pendant le déploiement si les conditions suivantes sont respectées :
    • Le protocole TCP multichemin (MPTCP) est activé avec MBF et PMTUD
    • Le trafic MPTCP est reçu et la réponse provoque l’erreur ICMP Fragmentation Needed.

    [NSHELP-22418]

  • Dans une configuration à haute disponibilité, l’une des appliances Citrix ADC peut se bloquer si vous effectuez une mise à niveau logicielle en service (ISSU) à partir de la version 13.0 47.24 ou antérieure du logiciel Citrix ADC vers une version ultérieure.

    [NSHELP-21701]

  • Lorsque vous ajoutez une interface esclave avec Jumbo MTU au canal d’agrégation de liens utilisé comme fond de panier, le message d’avertissement suivant s’affiche de manière incorrecte :

    « Le MTU d’une interface de fond de panier doit être suffisamment grand pour gérer tous les paquets. Elle doit être égale à (valeur MTU). Si la valeur recommandée n’est pas configurable, veuillez consulter le MTU des interfaces Jumbo. «

    Il ne s’agit que d’un problème d’affichage et il n’y a aucun impact sur la fonctionnalité.

    [NSHELP-20794]

Plateforme

  • Si une instance Citrix ADC utilise des licences basées sur ADM, les licences Citrix ADC peuvent ne pas fonctionner lorsque la version ADM est inférieure à la version ADC. Par conséquent, lorsque vous mettez à niveau la version ADC, assurez-vous que la version ADM correspondante est identique ou supérieure à la version ADC actuelle.

    [NSPLAT-15184]

  • La mise à niveau d’une appliance Citrix ADC SDX vers la version logicielle 12.1 peut échouer si la version Citrix Hypervisor est 6.1.

    [NSHELP-24036]

  • La demande d’API ou l’accès à l’interface graphique NITRO à une appliance Citrix ADC échoue si l’appliance reste inactive en raison d’une activité de gestion via HTTP (S) pendant plus de six jours.

    Solution : redémarrez le processus HTTPD. Exécutez les commandes suivantes dans l’interface de ligne de commande Citrix ADC :

    • ajouter ServiceGroup mgmt_http_svc HTTP -MaxClient 0 -MaxReq 0 -cip DISABLED -usip NON -useproxyport YES -CLTTimeout 180 -SvrTimeout 360 -CKA NON -TCPB NON -CMP OUI

    • bind ServiceGroup mgmt_http_svc 127.0.0.1 80

    [NSHELP-22849]

Stratégies

  • Un Citrix ADC peut se bloquer lors de l’évaluation d’un grand nombre d’expressions incorporées dans une page HTML.

    [ NSPOLICY-1462 ]

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

  • Une appliance Citrix ADC peut se bloquer si vous configurez la fonction MATCHES_LOCATION () dans une expression de politique et que vous démarrez nstrace à l’aide d’une expression de filtre.

    [NSHELP-22687]

SSL

  • La commande Mettre à jour n’est pas disponible pour les commandes d’ajout suivantes :
    • add azure application
    • add azure keyvault
    • add ssl certkey with hsmkey option

    [NSSSL-6484]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM. ERROR: crl refresh disabled

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Dans de rares cas, une appliance Citrix ADC se bloque si les conditions suivantes sont remplies :
    • Un serveur virtuel SSL reçoit un message Client Hello dont l’en-tête d’enregistrement SSL est divisé en deux paquets TCP ou plus.
    • Une politique liée à la réception du client avec une action de transfert spécifiée renvoie la valeur true.
    • La somme de contrôle TCP du paquet, qui complète l’en-tête d’enregistrement du message Client Hello, contient le modèle 0xXX 0x16.

    [NSHELP-23754]

  • Dans une configuration de cluster, la configuration en cours sur l’adresse IP du cluster (CLIP) indique le groupe de chiffrement DEFAULT_BACKEND lié à des entités, alors qu’il est absent sur les nœuds. Il s’agit d’un problème d’affichage.

    [NSHELP-13466]

System

  • Pour les nœuds non-CCO d’une configuration de cluster, lorsque vous exécutez la commande snmpwalk pour des objets de chaîne, vous pouvez constater une incohérence dans la sortie. Pour snmpwalk sur CLIP, la sortie est ajoutée avec un point à la fin. Alors que pour snmpwalk sur NSIP, la sortie n’est pas ajoutée avec un point à la fin.

    [NSHELP-22684]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont respectées :
    • HTTP/2 activé dans le profil HTTP lié à un serveur virtuel d’équilibrage de charge de type HTTP/SSL ou service.
    • Option de multiplexage des connexions désactivée dans le profil HTTP lié au serveur ou au service virtuel d’équilibrage de charge.

    [NSHELP-21202]

  • L’appliance Citrix ADC MPX 26000-100G peut ne plus répondre si le processus d’agrégation devient instable.

    [NSBASE-11747]

Interface utilisateur

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPSec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

  • Le bouton Actualiser ne fonctionne pas lorsque vous vérifiez les sessions de streaming (AppExpert > Action Analytics > Stream Identifier) dans l’interface graphique.

    [NSHELP-24195]

  • L’interface graphique de Citrix ADC n’affiche pas les données statistiques « Top CLIENT.UDP.DNS.DOMAIN » au format graphique pour l’identifiant de flux sélectionné.

    [NSHELP-23777]

  • Après avoir exécuté la commande « saveconfig - all », le dernier temps enregistré pour les partitions d’administration n’est pas correctement mis à jour.

    [NSHELP-23740]

  • Dans l’interface graphique de Citrix ADC, la page Profils du Web App Firewall ne contient pas les options de navigation suivantes ou précédentes permettant d’afficher plus de 25 profils dans le volet de liste.

    Navigation : Sécurité->Citrix Web App Firewall->Profils

    [NSHELP-22622]

  • Sur une appliance Citrix ADC MPX, pour passer de la licence de capacité groupée à une licence perpétuelle, vous devez d’abord supprimer la configuration de licences groupées, puis supprimer la licence de capacité groupée.

    [NSCONFIG-4167]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

    1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions suivantes :
      • 13.0 52.24 build
      • 12.1 57.18 build
      • 11.1 65.10 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

    Pour afficher la liste de ces utilisateurs système à l’aide de l’interface de ligne de commande : À l’invite de commandes, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution :

    Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Notes de publication pour la version 13.0-61.48 de Citrix ADC
March 17, 2024
Contributeur: 
C
March 17, 2024
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.