Documentation Produit
ADC
14.1 - Current Release 13.1 13.0 12.1
Voir PDF

Notes de publication pour la version 13.0-85.19 de Citrix ADC

May 5, 2023
Contributeur: 
C

Ce document de notes de version décrit les améliorations et modifications, les problèmes résolus et connus qui existent pour la version 13.0-85.19 de Citrix ADC.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
  • Les versions 13.0-85.19 et ultérieures corrigent les vulnérabilités de sécurité décrites dans https://support.citrix.com/article/CTX457048.
  • La version 85.19 remplace la version 85.15.
  • Cette version inclut également un correctif pour le problème suivant : NSHELP-31668.

Nouveautés

Les améliorations et modifications disponibles dans la version 13.0-85.19.

Authentification, autorisation et audit

  • Prise en charge du déploiement actif-actif GSLB pour l’authentification nFactor à l’aide du proxy de connexion

    La prise en charge est désormais ajoutée pour le déploiement actif-actif GSLB pour l’authentification nFactor à l’aide du proxy de connexion. Cette prise en charge s’applique à la fois à Citrix Gateway et aux scénarios d’authentification, d’autorisation et d’audit.
    Actuellement, si divers facteurs sont configurés dans l’authentification nFactor et si la passerelle est configurée pour GSLB, l’authentification peut être interrompue si la demande du client arrive sur différents sites GSLB.

    Par exemple, si LDAP est configuré en tant que premier facteur et RADIUS en tant que deuxième facteur, l’authentification peut être interrompue dans le scénario suivant.

    • Demande du client pour LDAP atterrir sur le site GSLB 1.
    • La demande Radius atterrit sur le site 2 du GSLB.

    Le proxy de connexion est désormais utilisé pour acheminer la demande vers les sites GSLB appropriés afin de terminer l’authentification et de servir le trafic.

    [NSAUTH-7141]

Problèmes résolus

Les problèmes résolus dans la version 13.0-85.19.

Authentification, autorisation et audit

  • L’appliance Citrix ADC peut se bloquer en cas d’erreur lors de la mise à jour de la paire de clés de certificat SSL utilisée dans la configuration SAML. Pour résoudre ce problème, vous pouvez dissocier le certificat, le mettre à jour, puis le lier à nouveau.

    [ NSHELP-30270 ]

  • Les utilisateurs ne peuvent pas se connecter à l’appliance Citrix ADC si la demande de connexion à l’aide de SAML contient des espaces autres que ‘ ‘ (guillemets simples). Avec ce correctif, tous les espaces sont autorisés.

    [ NSHELP-29773 ]

  • Dans de rares cas, l’appliance Citrix ADC peut se bloquer en raison d’une position incorrecte du journal.

    [NSHELP-29267]

  • Une appliance Citrix ADC configurée pour s’authentifier à l’aide du fournisseur de services OAuth ne peut pas être configurée avec « client-secrete_post » pour s’authentifier avec IDP TokenEndpoint.

    Avec ce correctif, la méthode d’authentification « client_secret_basic » est ajoutée à la fonctionnalité de fournisseur de services OAuth d’ADC lorsqu’elle communique avec le point de terminaison du jeton de l’IDP.

    [NSHELP-28945]

  • Une appliance Citrix ADC peut ne pas répondre lorsque l’authentification SAML est en cours et que des certificats X.509 d’une taille de 1800 octets ou plus sont utilisés dans l’authentification SAML.

    [NSHELP-28608, NSHELP-29913]

  • Dans une configuration haute disponibilité Citrix ADC, certaines commandes d’authentification s’affichent lors de la configuration de l’interface de ligne de commande en raison d’un problème de synchronisation.

    [NSHELP-28448]

  • L’expression Authentication, authorization, and auditing.USER.ATTRIBUTE peut donner une valeur vide dans l’appliance Citrix ADC multicœur lorsque le mot de passe utilisateur est modifié à l’expiration.

    [NSHELP-28419]

  • L’appliance Citrix ADC, lorsqu’elle est configurée en tant que partie de confiance OAuth, n’ajoute pas les informations de champ « e-mail » et « nom d’utilisateur » extraites du jeton d’identification à l’attribut de hachage de la session d’authentification, d’autorisation et d’audit.

    [NSHELP-28262]

  • Parfois, l’authentification peut échouer lorsque Authentification, autorisation et auditing.Login.Password est utilisé.

    [ NSHELP-28101 ]

  • Lorsque les métadonnées SAML sont configurées, une fuite de mémoire est observée avec les certificats SSL.

    [NSHELP-27846, NSHELP-25020]

  • L’appliance Citrix ADC peut entrer dans une boucle SSO avec le serveur principal et entraîner une accumulation de mémoire si les deux conditions suivantes sont remplies.

    • L’appliance ADC effectue une négociation et des authentifications SSO NTLM avec le serveur principal.
    • Le serveur principal ne parvient pas à effectuer les deux authentifications.

    [ NSHELP-27757 ]

  • L’appliance Citrix ADC peut se bloquer lors de l’extraction du groupe Active Directory si le nom unique d’un groupe extrait est NULL.

    [ NSHELP-26899 ]

  • Parfois, si nFactor est configuré, une adresse IP incorrecte est enregistrée dans le message de déconnexion.

    [NSHELP-26692]

  • Dans une configuration haute disponibilité, l’appliance Citrix ADC se bloque lorsqu’une synchronisation forcée est initiée.

    [ NSAUTH-11876 ]

  • Intune NAC v2 n’est pas pris en charge pour Android 11 et versions ultérieures.

    [ NSAUTH-11872 ]

  • Les administrateurs ne peuvent pas utiliser l’outil de connectivité LDAP ou RADIUS si le mot de passe contient un certain caractère spécial ou si les arguments comportent un espace.

    [ NSAUTH-11322 ]

Gestion des bots

  • Lorsque le défi CAPTCHA est en cours, la gestion du bot Citrix ADC ne respecte pas la valeur configurée définie par l’utilisateur pour les tentatives de nouvelle tentative CAPTCHA.

    [NSBOT-801]

CallHome

  • L’enregistrement CallHome peut échouer pour les appliances Citrix ADC MPX utilisant des licences groupées. L’enregistrement échoue car CallHome utilise un numéro de série incorrect pour enregistrer les appliances auprès du serveur de support Citrix.

    [NSHELP-28667]

Appliance Citrix ADC SDX

  • Lorsque vous restaurez une appliance Citrix ADC SDX à partir de la sauvegarde, la chaîne d’invite CLI n’est pas restaurée.

    [NSHELP-30238]

  • Un message incorrect s’affiche en cas d’échec d’une nouvelle installation car la partition d’usine ne dispose pas de suffisamment d’espace.

    [ NSHELP-30136 ]

  • Sur une appliance Citrix ADC SDX 115xx, la restauration d’un VPX doté d’un nombre élevé de cœurs de processeur (3 à 5 cœurs) peut échouer si la sauvegarde de l’appliance contient trois instances ou plus.

    [NSHELP-30135]

  • Le champ de fond de panier de la page Ajouter un nœud de cluster n’est plus obligatoire sauf si l’une des conditions suivantes est remplie :

    • Le groupe de nœuds existe déjà pour les grappes de couche 3.
    • Il s’agit d’un cluster de couche 2.

    [ NSHELP-29701 ]

  • Sur une appliance Citrix ADC SDX, la valeur par défaut pour déclencher l’alarme sur l’alerte « Utilisation élevée du disque de l’hyperviseur » est portée à 98 %.

    [NSHELP-29688]

  • Dans de rares cas, l’inventaire ADC ne se produit pas sur une appliance Citrix ADC SDX.

    [NSHELP-29607]

  • Les données de la table d’événements ADC peuvent désormais être triées sur plusieurs pages si le nombre total d’enregistrements de données est inférieur à 5 000.

    [NSHELP-29170]

Citrix Gateway

  • Les utilisateurs ne peuvent pas ajouter de profil d’authentification lors de la configuration de Citrix Gateway à l’aide de l’édition de licence standard de l’interface graphique Citrix ADC. Avec ce correctif, les utilisateurs peuvent joindre le profil d’authentification nFactor disponible avec une licence standard.

    [NSHELP-30647]

  • Les utilisateurs ne peuvent pas lancer le plug-in EPA ou le plug-in VPN après une mise à niveau vers les versions de navigateur Chrome 98 ou Edge 98. Pour résoudre ce problème, effectuez les opérations suivantes :
    1. Pour la mise à niveau du plug-in VPN, les utilisateurs finaux doivent se connecter à l’aide du client VPN pour la première fois pour obtenir le correctif sur leurs machines. Lors des tentatives de connexion suivantes, les utilisateurs peuvent choisir le navigateur ou le plug-in à connecter.
    2. Dans le cas d’utilisation EPA uniquement, les utilisateurs finaux n’auront pas le client VPN pour se connecter à la passerelle. Dans ce cas, effectuez les opérations suivantes :

      1. Connectez-vous à la passerelle à l’aide d’un navigateur.

      2. Attendez que la page de téléchargement apparaisse et téléchargez le fichier nsepa_setup.exe.
      3. Après le téléchargement, fermez le navigateur et installez le fichier nsepa_setup.exe.
      4. Redémarrez le client.

    [NSHELP-30641]

  • Dans une configuration Citrix ADC GSLB et VPN SSL, une fuite de mémoire est observée lors de la gestion d’une connexion DTLS ICA. Par conséquent, la connexion est interrompue et la mémoire s’accumule.

    [ NSHELP-30182 ]

  • L’analyse EPA pour vérifier la dernière analyse complète du système antivirus échoue sur macOS.

    [ NSHELP-29571 ]

  • Dans une configuration haute disponibilité avec configuration TCP SYSLOG, un nœud peut se bloquer pendant le basculement HA ou lors d’une opération de réinitialisation de la configuration.

    [NSHELP-29251]

  • Une fuite de mémoire est observée dans une appliance Citrix ADC lorsqu’un proxy sortant est configuré.

    [ NSHELP-29234 ]

  • Sur la page du portail Citrix Gateway, l’icône du lien proxy RDP ne change pas avec le thème du portail RFWebUI.

    [NSHELP-28974]

  • Le tunnel complet du VPN Citrix Gateway ne fonctionne pas comme prévu si la réponse binaire est activée. Par conséquent, le cookie NSAAC est corrompu. Avec ce correctif, la réponse binaire fonctionne dans les plug-ins VPN précédents. Citrix recommande toutefois d’utiliser le dernier plug-in VPN qui fonctionne avec la réponse JSON.

    [ NSHELP-28729 ]

  • L’appliance Citrix Gateway se bloque lors du traitement de STA dans DTLS Audio car la mémoire allouée n’est pas réinitialisée.

    [NSHELP-28432, NSHELP-29796]

  • Le répertoire /var/NetScaler/Logon/LogonPoint/Custom/ n’est pas créé après une mise à niveau s’il n’était pas présent initialement.

    [NSHELP-28223]

  • L’accès à StoreFront via un serveur virtuel VPN échoue si StoreFront est accessible via un serveur virtuel d’équilibrage de charge de sauvegarde.

    [NSHELP-27852]

  • L’appliance Citrix Gateway peut se bloquer lors de la reconnexion à une session ICA existante.

    [NSHELP-27441]

  • Lorsque vous entrez le nom de domaine complet en tant que proxy sur la page Créer un profil de trafic Citrix Gateway, le message « Valeur de proxy non valide » s’affiche.

    [ NSHELP-26613 ]

Citrix Web App Firewall

  • Une mise à niveau vers la bibliothèque XML version 2.9.12 entraîne la rupture des fichiers XML liés à la signature WAF pendant l’analyse.

    [NSWAF-8662]

  • La protection contre l’injection de commandes JSON apparaît « Non bloquée » dans le message ns.log, même si la requête HTTP a été bloquée par le module Web App Firewall.

    [NSHELP-29709]

  • Le message de journal du Web App Firewall affiche la mention « URL INCORRECTE » pour les violations d’attributs d’URL XSS (Cross-Site Scripting), et le terme « URL incorrecte » n’indique pas clairement à quelle catégorie elle appartient (par exemple, balise, modèle ou attribut).

    [NSHELP-29358]

  • L’URL de publication de l’empreinte digitale du dispositif bot peut échouer si la stratégie de gestion des bots est activée sur un serveur virtuel d’équilibrage de charge de type SSL.

    [NSHELP-29198]

  • Une appliance Citrix ADC peut se bloquer si les modules suivants sont activés :

    • Web App Firewall avec contrôles de sécurité avancés.
    • Comté d’Appqoe.

    [NSHELP-28251]

Équilibrage de charge

  • Dans un déploiement DNS à mise à l’échelle automatique, les membres dans l’état TROFS ne détectent pas et ne réagissent pas à l’échec du contrôle de santé.

    [ NSHELP-29628 ]

  • L’appliance Citrix ADC peut se bloquer lors de la liaison de la stratégie de réécriture au serveur virtuel d’équilibrage de charge si les conditions suivantes sont remplies :

    1. L’évaluation de la seconde expression remplace les variables d’état de stratégie de la première expression en cours.
    2. Les variables d’état de stratégie DETERMINE_SERVICES sont remplacées par la règle définie par le serveur virtuel d’équilibrage de charge.

    [ NSHELP-29449 ]

  • L’appliance Citrix ADC se bloque en essayant de libérer de la mémoire allouée dans une partition différente de celle dont elle est libérée.

    [ NSHELP-29038 ]

  • Le temps de réponse Monitor affiché lorsque vous exécutez la commande show service est parfois incorrect.

    [ NSHELP-28994 ]

  • Certains membres du groupe de services ne sont pas supprimés de la liste des groupes de services Autoscale en cas de conflit entre un membre lié statiquement et des enregistrements DNS résolus dynamiquement. Ce problème entraîne une corruption de la mémoire.

    [NSHELP-28949]

  • Dans de rares cas, la configuration de la base de données d’emplacements peut être absente du fichier de configuration (ns.conf).

    [NSHELP-28570]

  • Dans un déploiement activé pour la persistance, un serveur virtuel incorrect est stocké lors de l’enregistrement contextuel.

    [NSHELP-28342]

  • Une appliance Citrix ADC peut échouer lors de la gestion de la sonde de surveillance pour le type de moniteur mysql, ce qui entraîne finalement un redémarrage du système.

    [ NSHELP-27953 ]

Divers

  • La page de connexion Citrix Gateway ne se charge pas sur une nouvelle installation de l’appliance Citrix ADC en raison de fichiers d’interface graphique manquants dans le répertoire /var/netscaler/logon.

    [NSHELP-31668]

  • Le problème suivant se produit après la mise à niveau de l’appliance vers Citrix ADC version 12.1 build 63.22 :

    • L’API de recherche d’extensions peut ne pas fonctionner après la mise à niveau.

    [NSHELP-29860]

Réseau

  • Dans une appliance Citrix ADC avec un nombre pair de moteurs de paquets (PE), l’appliance affiche incorrectement l’état des interfaces actives comme étant inactives d’un ensemble d’interfaces redondantes (canaux LR). Ce problème n’a aucune incidence sur les fonctionnalités de l’appliance Citrix ADC.

    [ NSHELP-28099 ]

  • L’appliance Citrix ADC peut ne pas générer de messages d’interruption SNMP « ColdStart » après un redémarrage à froid.

    [NSHELP-27917]

Plateforme

  • La console série d’une instance Citrix ADC VPX hébergée sur le cloud Azure n’est pas accessible lorsque la machine virtuelle en est aux premiers stades du démarrage.

    [ NSPLAT-23010 ]

SSL

  • Dans de rares cas, un plantage peut survenir pendant le traitement DTLS sur les plateformes suivantes :

    • MPX 5900
    • MPX/SDX 8900
    • MPX/SDX 15000
    • MPX/SDX 15000-50G
    • MPX/SDX 26000
    • MPX/SDX 26000-50S
    • MPX/SDX 26000-100 G

    [NSHELP-29538]

  • Une appliance Citrix ADC se bloque si les étapes suivantes sont suivies :

    1. Un moniteur de type SSL est ajouté.
    2. Une paire de clés de certificat est liée au moniteur.
    3. Le moniteur est retiré.
    4. Un autre moniteur portant le même nom est ajouté.
    5. La paire de clés de certificat est mise à jour.

    [NSHELP-2866, NSHELP-29784]

  • Dans une configuration à haute disponibilité, le type de certificat n’est pas correctement synchronisé entre les nœuds principal et secondaire.

    [NSHELP-27589]

  • Dans un déploiement VPN, l’appliance Citrix ADC récupère une session SSL pour la réutilisation de session à partir du cache afin de communiquer avec le proxy ou le serveur principal. Pour ce faire, il ne fait pas correspondre le SNI reçu du client au SNI présent dans la session mise en cache.

    Par conséquent, le SNI n’est pas envoyé ou un autre SNI est envoyé en fonction des données mises en cache.

    [NSHELP-27439]

  • Dans une configuration haute disponibilité, l’actualisation automatique des LCR échoue par intermittence si les deux conditions suivantes sont remplies :

    • Les fichiers sont synchronisés entre le nœud principal et le nœud secondaire.
    • Le fichier CRL est en cours de téléchargement à partir du serveur CRL en même temps.

    [ NSHELP-27435 ]

  • Le nom du certificat d’autorité de certification qui a émis la CRL est tronqué à 32 caractères, même si le nom d’une clé de certificat peut comporter jusqu’à 64 caractères. Ce problème se produit car le champ CRL est limité à 32 caractères.

    [NSHELP-26986]

  • L’établissement de liaison SSL échoue si vous utilisez des chiffrements DH avec un HSM externe.

    [NSHELP-25307]

Système

  • L’appliance Citrix ADC se bloque si l’une des conditions suivantes se produit :

    • L’action Syslog est configurée avec le nom de domaine et vous effacez la configuration à l’aide de l’interface graphique ou de l’interface de ligne de commande.
    • La synchronisation haute disponibilité se produit sur le nœud secondaire.

    [NSHELP-30987, NSHELP-28121, NSHELP-29843]

  • L’appliance Citrix ADC n’est pas en mesure de transférer certains paquets de données non HTTP vers les serveurs principaux.

    [ NSHELP-30192 ]

  • Une fuite de mémoire est observée dans une appliance Citrix ADC lors de la suppression de la mémoire allouée pour les ressources du système de prévention des intrusions (IPS).

    [NSHELP-29992]

  • Dans certains scénarios, l’appliance Citrix ADC ne transmet pas certains paquets HTTP au serveur principal, si la condition suivante est remplie :

    • Si une fonctionnalité Citrix ADC clone en interne des paquets HTTP.

    [ NSHELP-29958 ]

  • Les opérations de configuration qui associent des profils SSL et des clés de certificat SSL à un serveur virtuel QUIC HTTP peuvent échouer sur un déploiement de cluster Citrix ADC.

    [ NSHELP-29655 ]

  • Une deuxième demande sur la même connexion client échoue si les conditions suivantes sont remplies :

    • clientSideMeasurements est activé.
    • La demande HEAD est reçue.

    [NSHELP-29353]

  • L’appliance Citrix ADC peut ajouter de manière incorrecte une adresse IPv4 à un enregistrement AppFlow lié à une transaction IPv6.

    [ NSHELP-29261 ]

  • Dans certains scénarios, une appliance Citrix ADC peut se bloquer dans les conditions suivantes :

    • Les trames Jumbo TCP sont utilisées.
    • La persistance est configurée sur un serveur virtuel d’équilibrage de charge TCP.

    [NSHELP-29162]

  • Une appliance Citrix ADC se bloque si les conditions suivantes sont remplies :

    • L’option de mesures côté client est activée dans l’action AppFlow.
    • Les en-têtes de segment se situent sur la limite du paquet.

    [ NSHELP-29049 ]

  • Une appliance Citrix ADC réinitialise une connexion si la taille du pipeline HTTP (une ou plusieurs demandes) dépasse 128 Ko. Le problème se produit car la taille du pipeline est strictement limitée à 128 Ko.

    [NSHELP-28846]

  • Une appliance Citrix ADC peut se bloquer lors de la relecture d’une réponse fragmentée du module ICAP vers le client.

    [ NSHELP-28788 ]

  • Dans une connexion TCP, l’appliance Citrix ADC peut supprimer un paquet FIN, reçu d’un serveur, au lieu de le transférer au client si toutes les conditions suivantes sont remplies :

    • La mise en mémoire tampon TCP est activée.
    • Le serveur envoie le paquet FIN et le paquet de données séparément.

    [NSHELP-27274]

Interface utilisateur

  • Vous pouvez accidentellement dissocier un certificat SSL car aucune confirmation n’est demandée. Grâce à ce correctif, lorsque l’utilisateur clique sur un certificat lié, il demande une confirmation avant de dissocier un certificat.

    [NSUI-17897]

  • Pour la configuration d’un nœud RPC, lorsque l’option « Secure » est désactivée, la boîte de dialogue de configuration du nœud RPC de l’interface graphique Citrix ADC affiche de manière incorrecte l’option « Secure » comme étant activée.

    [NSHELP-30887]

  • Le filtrage du cache peut ne pas fonctionner comme prévu sur l’interface graphique Citrix ADC.

    [ NSHELP-30392 ]

  • L’interface graphique Citrix ADC ne traite pas les appels RAPI, ce qui entraîne l’absence de réponse de certains composants de l’interface graphique.

    [ NSHELP-30231 ]

  • Dans certains cas, il se peut que vous ne puissiez pas charger les clés SSL à partir de l’onglet Clés SSL de l’interface graphique Citrix ADC.

    [ NSHELP-28870 ]

  • La réponse API pour une requête NITRO GET avec filtre peut contenir des informations supplémentaires même si elles ne sont pas mentionnées dans le filtre.

    [ NSHELP-28598 ]

  • Lors de la configuration ou de la vérification des certificats SSL à l’aide de l’interface graphique Citrix ADC, l’erreur « Le répertoire n’existe pas » peut s’afficher. Ce problème se produit lorsqu’un nom de fichier comporte deux points consécutifs («.. «) existe dans le dossier SSL « /nsconfig/ssl ».

    [NSHELP-28589]

  • Dans une configuration haute disponibilité, la synchronisation HA peut échouer pour une liaison de jeu de modèles de stratégie intégrée, si le jeu de modèles de stratégie intégré a été modifié sur le nœud principal.

    [NSHELP-28460]

  • Lorsque l’utilisateur essaie de modifier la taille de page d’une liste dans les vues du panneau latéral, la page est déformée.

    [NSHELP-28220]

  • La commande ping ou ping6 avec l’option interface (-I) peut échouer avec l’erreur suivante :

    • « option d’interface non prise en charge »

    [NSHELP-26962]

  • Dans un dispositif Citrix ADC VPX, une opération de définition de la capacité peut échouer après l’ajout d’un serveur de licences. Le problème se produit car les composants liés à Flexera prennent plus de temps à initialiser en raison du grand nombre de licences prises en charge de type check-in and check-out (CICO)

    [NSHELP-23310]

Problèmes connus

Les problèmes qui existent dans la version 13.0-85.19.

AppFlow

  • HDX Insight ne signale pas d’échec du lancement d’une application provoqué par un utilisateur qui tente de lancer une application ou un bureau auquel l’utilisateur n’a pas accès.

    [NSINSIGHT-943]

Authentification, autorisation et audit

  • L’authentification unique basée sur les formulaires échoue pour les serveurs principaux qui envoient des paramètres clé-valeur dans la requête URL.

    [NSHELP-30975]

  • L’appliance Citrix ADC peut se bloquer en raison d’une allocation de mémoire importante en raison d’une URL cible manquante dans la configuration OAuth.

    [ NSHELP-30963 ]

  • Le module Authentication, authorization, and AuditingD de l’appliance Citrix ADC peut se bloquer en raison d’une longueur de mot de passe entrant manquante ou incorrecte du moteur de paquets vers Authentication, authorization, and AuditingD.

    [ NSHELP-30911 ]

  • Il peut y avoir un échec intermittent lors de la connexion au serveur Outlook Exchange via l’application Outlook en raison d’un ajout d’en-tête incorrect par l’appliance Citrix ADC.

    [NSHELP-30555]

  • L’appliance Citrix ADC se bloque si l’URL ADFSPIP est définie sur « http ://». ADFSPIP ne prend en charge que les types d’URL « https ://».

    [NSHELP-29838]

  • L’authentification unique échoue lors d’une session d’authentification lorsque l’événement de changement de mot de passe est déclenché. Ce problème se produit uniquement si le paramètre PersistentLogin attempts est activé.

    [ NSHELP-28085 ]

  • Dans certains cas, le message d’erreur « informations d’identification non valides » s’affiche pendant le processus d’authentification RADIUS. L’erreur s’affiche lorsque l’on accède à l’appliance Citrix ADC à partir d’un appareil client à l’aide du navigateur Google Chrome.

    [ NSHELP-27113 ]

  • L’accès à un service est refusé si les conditions suivantes sont remplies :

    • Le service est lié à un serveur virtuel d’authentification.
    • L’authentification 401 est configurée sur le service et le serveur virtuel auquel le service est lié.

    [NSHELP-26903]

  • L’appliance Citrix ADC peut se bloquer lorsque la synchronisation de la session et de la configuration des clés se produit entre la carte contrôleur principale et la carte contrôleur secondaire.

    [ NSHELP-26891 ]

  • Dans certains scénarios, la commande de groupe d’authentification, d’autorisation et d’audit de liaison peut échouer si le nom de la stratégie est plus long que le nom de l’application intranet.

    [ NSHELP-25971 ]

  • L’appliance Citrix ADC vide le cœur lorsque NOAUTH est configuré comme premier facteur et Negotiate comme facteur suivant dans le flux d’authentification basé sur 401.

    [NSHELP-25203]

  • Si le mot de passe administrateur des services LDAP, RADIUS ou TACACS contient le caractère entre guillemets (“), l’appliance Citrix ADC le supprime lors de la vérification « Test de connectivité », ce qui entraîne un échec de connexion.

    [NSHELP-23630]

  • Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

    [NSHELP-563]

  • Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

    [ NSAUTH-6106 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy s’affiche par erreur comme vide lors de l’exécution de la commande suivante : show adfsproxyprofile <profile name>

    Solution : connectez-vous au Citrix ADC actif principal du cluster et exécutez la show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

  • La page Configurer le serveur LDAP d’authentification de l’interface graphique Citrix ADC ne répond plus si vous suivez les étapes suivantes :

    • L’option Tester l’accessibilité LDAP est ouverte.
    • Les informations d’identification de connexion non valides sont renseignées et envoyées.
    • Les identifiants de connexion valides sont renseignés et envoyés.

    Solution : fermez et ouvrez l’option Tester l’accessibilité LDAP.

    [ NSAUTH-2147 ]

Mise en cache

  • Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

    [ NSHELP-22942 ]

Appliance Citrix ADC SDX

  • Sur une appliance Citrix ADC SDX, si le CLAG est créé sur une carte réseau Mellanox, la MAC CLAG est modifiée lorsque l’instance VPX est redémarrée. Le trafic vers l’instance VPX s’arrête après le redémarrage car la table MAC contient l’ancienne entrée MAC CLAG.

    [ NSSVM-4333 ]

  • Les pertes de paquets sont observées sur une instance VPX hébergée sur un dispositif Citrix ADC SDX si les conditions suivantes sont remplies :

    • Le mode d’allocation du débit est en rafale.
    • Il existe une grande différence entre le débit et la capacité maximale de rafale.

    [ NSHELP-21992 ]

Citrix Gateway

  • Dans certains cas, Citrix Secure Access pour macOS abandonne les connexions en raison de problèmes avec certains protocoles non DNS utilisant le port 53, tels que STUN.

    [NSHELP-31004]

  • Parfois, les utilisateurs ne peuvent pas accéder aux signets en mode VPN avancé sans client.

    [NSHELP-30939]

  • Lorsque Always on est configuré, le tunnel utilisateur échoue en raison du numéro de version incorrect (1.1.1.1) dans le fichier aoservice.exe.

    [ NSHELP-30662 ]

  • Les utilisateurs ne peuvent pas se connecter à l’appliance Citrix Gateway après avoir changé le paramètre de profil « NetworkAccessonVPNFailure » de « FullAccess » à « OnlyToGateway ».

    [NSHELP-30236]

  • Le lancement des applications et postes de travail PCoIP échoue lorsqu’il est lancé à partir d’un navigateur et le message d’erreur « Client VMware manquant » s’affiche. Ce problème se produit car le protocole « vmware-view » n’est pas ajouté à la liste des protocoles autorisés.

    [ NSHELP-30062 ]

  • L’appliance Citrix Gateway peut se bloquer lors de l’analyse des canaux lorsque HDX Insight est activé et que NSAP est désactivé.

    [NSHELP-30029]

  • Le client VPN Windows n’honore pas l’alerte « Notification de fermeture SSL » du serveur et envoie la demande de connexion de transfert sur la même connexion.

    [NSHELP-29675]

  • Gateway Insight signale un faux échec d’authentification avant même que l’utilisateur n’envoie les informations d’identification pour la connexion lorsque la règle d’authentification est configurée pour correspondre à l’une des demandes du flux de connexion.

    [NSHELP-29313]

  • La page Session des utilisateurs actifs n’affiche pas toutes les sessions utilisateur actives sauf si le nombre d’entrées est passé à 2000 par page.

    Avec ce correctif, un nouveau lien « Toutes les sessions utilisateur » (Citrix Gateway -> Surveiller les connexions > Toutes les sessions utilisateur) est ajouté dans l’interface utilisateur d’administration qui répertorie toutes les sessions et connexions utilisateur.

    [ NSHELP-29151 ]

  • Vous remarquerez peut-être certaines adresses IP internes de Citrix dans le fichier rdx.js.

    [ NSHELP-28682 ]

  • L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

    [ NSHELP-28551 ]

  • L’appliance Citrix ADC peut se bloquer si l’EPA est configuré et si la mémoire n’est pas disponible en quantité suffisante.

    [NSHELP-28329]

  • L’appliance Citrix Gateway peut se bloquer lors du traitement du trafic UDP initié par le serveur.

    [ NSHELP-27611 ]

  • L’appliance Citrix Gateway peut se bloquer si l’async est bloquée et que vous modifiez la configuration de la stratégie de commutation de contenu.

    [NSHELP-27570]

  • L’appliance Citrix Gateway peut se bloquer si une option de client VPN inconnue est définie dans la stratégie de session.

    [NSHELP-27380]

  • Parfois, lors de la connexion au transfert, les sous-réseaux IP Intranet s’affichent incorrectement côté client.

    [NSHELP-26904]

  • L’interface graphique de Citrix Gateway affiche le message « IP ou port non valide » lors de la modification d’un profil de session VPN.

    [NSHELP-26722]

  • Lors de la création d’un profil client RDP à l’aide de l’interface graphique Citrix ADC, un message d’erreur apparaît lorsque les conditions suivantes sont remplies :

    • Une clé pré-partagée (PSK) par défaut est configurée.
    • Vous essayez de modifier le minuteur de validité du cookie RDP dans le champ Validité du cookie RDP (secondes).

    [ NSHELP-25694 ]

  • La sortie de la commande « show vpn ICAConnection » n’affiche pas correctement les numéros de série des connexions ICA. Ce problème se produit car le numéro de série est réinitialisé arbitrairement lors de l’exécution de « show vpn icaconnection ».

    [ NSHELP-25646 ]

  • Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

    • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

    Solution : effectuez un basculement HA manuel successif uniquement une fois la synchronisation HA terminée (les deux nœuds sont en état de réussite de la synchronisation).

    [ NSHELP-25598 ]

  • Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.

    [ NSHELP-23937 ]

  • Le plug-in VPN n’établit pas de tunnel après l’ouverture de session Windows, si les conditions suivantes sont remplies :

    • L’appliance Citrix Gateway est configurée pour la fonctionnalité Always On
    • L’appliance est configurée pour l’authentification basée sur des certificats avec l’authentification à deux facteurs « désactivée »

    [ NSHELP-23584 ]

  • La sortie de la commande « show tunnel global » inclut des noms de stratégies avancés. Auparavant, la sortie n’affichait pas les noms de stratégie avancés.

    Exemple :

    Nouvelle sortie :

     > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0

 Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
 Priority: 1  
 Global bindpoint: REQ_DEFAULT

 Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
 Priority: 100  
 Global bindpoint: RES_DEFAULT  
 Done  
 >
 <!--NeedCopy-->

    Sortie précédente :

     > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

 Advanced Policies:

 Global bindpoint: REQ_DEFAULT  
 Number of bound policies: 1

 Done
 <!--NeedCopy-->

    [ NSHELP-23496 ]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • Si vous souhaitez utiliser le VPN Always On avant la fonctionnalité d’ouverture de session Windows, il est recommandé de passer à Citrix Gateway 13.0 ou version ultérieure. Cela vous permet de tirer parti des améliorations supplémentaires introduites dans la version 13.0 qui ne sont pas disponibles dans la version 12.1.

    [ CGOP-19355 ]

  • L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.

    [ CGOP-13621 ]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [ CGOP-13511 ]

  • Lorsqu’une connexion ICA est lancée à partir d’un Receiver MAC version 19.6.0.32 ou Citrix Virtual Apps and Desktops version 7.18, la fonctionnalité HDX Insight est désactivée.

    [CGOP-13494]

  • Lorsque la fonction EDT Insight est activée, les canaux audio peuvent parfois échouer en cas de divergence réseau.

    [CGOP-13493]

  • Lors de l’acceptation des connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

    [ CGOP-13050 ]

  • Le texte « Page d’accueil » dans l’ application Citrix SSO > Page d’accueil est tronqué pour certaines langues.

    [ CGOP-13049 ]

  • Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, le fait de cliquer sur Options dans le menu Paramètres affiche une boîte de dialogue Erreur critique . De plus, la page ne répond plus.

    [ CGOP-7269 ]

Citrix Web App Firewall

  • Dans l’injection SQL WAF contenant une citation (guillemet simple, guillemet double ou coche inverse), les guillemets d’ouverture et de clôture doivent être présents pour marquer le modèle comme une attaque. Toutefois, lorsqu’un commentaire est présent dans le pattern, la citation finale n’est pas requise.

    [NSHELP-30379]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • Le préfixe d’étendue n’est pas défini correctement lorsque ECS est activé sur l’appliance ADC et que l’emplacement est introuvable. Ce problème entraîne la création d’une entrée de persistance incorrecte. L’entrée de persistance incorrecte est créée en fonction de l’adresse IP LDNS au lieu de l’adresse IP ECS reçue dans la demande pour la méthode GSLB basée sur la proximité non statique.

    [NSHELP-30846]

  • Dans un scénario de concurrence rare, le moteur de paquets peut se bloquer avec le vidage de mémoire lorsque la configuration suivante est présente sur l’appliance Citrix ADC :

    • Le serveur virtuel GSLB est configuré avec la persistance basée sur l’adresse IP source et la journalisation DNS est activée sur le profil DNS lié au service ADNS.
    • Le serveur d’équilibrage de charge DNS est configuré sans que la journalisation DNS soit activée sur le profil DNS.

    [ NSHELP-29791 ]

  • La synchronisation incrémentielle échoue pour les commandes « Ajouter une action DNS » et « Ajouter un emplacement » avec des expressions de politique contenant des caractères génériques.

    [NSHELP-29301]

  • L’état du groupe de services affiché dans les commandes show et stat est incohérent.

    [NSHELP-28931]

  • L’état du groupe de service Autoscale basé sur l’équilibrage de charge ou le domaine GSLB reste INACTIF si vous utilisez un port générique.

    [ NSHELP-28548 ]

  • Les moniteurs de type SQL ou Oracle se bloquent lorsque l’homologue envoie une demande de réinitialisation de la connexion existante.

    [NSHELP-28478]

  • Les messages de nouvelle tentative SMPP sont envoyés à tous les nœuds d’un cluster, même lorsque la demande aboutit. Ce scénario entraîne une consommation de mémoire élevée sur l’appliance Citrix ADC.

    [ NSHELP-28332 ]

  • Dans certains scénarios, les serveurs liés à un groupe de services affichent une valeur de cookie non valide. Vous pouvez voir la valeur de cookie correcte dans les journaux de suivi.

    [NSHELP-21196]

  • Dans une configuration de cluster, l’adresse IP du service GSLB n’est pas affichée dans l’interface graphique lorsqu’on y accède via des liaisons de serveurs virtuels GSLB. Il ne s’agit que d’un problème d’affichage et il n’y a aucun impact sur la fonctionnalité.

    [ NSHELP-20406 ]

Divers

  • Lorsqu’une synchronisation forcée a lieu dans une configuration à haute disponibilité, l’appliance exécute la commande « set urlfiltering parameter » dans le nœud secondaire.
    Par conséquent, le nœud secondaire ignore toute mise à jour planifiée jusqu’à la prochaine heure planifiée mentionnée dans le paramètre « TimeOfDaytoUpdateDB ».

    [ NSSWG-849 ]

  • L’interface utilisateur jQuery du portail est mise à jour de la version 1.12.1 vers la version 1.13.1 afin de corriger la vulnérabilité décrite dans les Bulletins de sécurité : CVE-2021-41182, CVE-2021-41183 et CVE-2021-41184.

    [NSHELP-30209]

  • L’instance Citrix ADC CPX, exécutée sur un système Linux avec une architecture 64 bits et 1 To de stockage de fichiers, peut maintenant charger des fichiers de certificat et de clé.

    [NSHELP-28986]

  • Une appliance Citrix ADC peut redémarrer en raison de la stagnation du processeur de gestion si un problème de connectivité survient avec le fournisseur tiers de filtrage d’URL.

    [ NSHELP-22409 ]

Réseau

  • Une appliance Citrix ADC peut se bloquer si toutes les conditions suivantes sont remplies :

    • Un itinéraire d’équilibrage de charge est configuré dans un domaine de trafic sur l’appliance.
    • Une opération de configuration claire est effectuée sur l’appliance.

    [NSNET-23847]

  • Une appliance Citrix ADC BLX en mode DPDK peut se bloquer si un profil de pare-feu d’application Web est configuré avec des contrôles de protection de sécurité avancés.

    Solution : supprimez la configuration de protection de sécurité avancée pour WAF.

    [NSNET-22654]

  • Dans une appliance Citrix ADC BLX, le NSVLAN lié à des interfaces non dpdk balisées peut ne pas fonctionner comme prévu. Le NSVLAN lié à des interfaces non dpdk non balisées fonctionne correctement.

    [NSNET-18586]

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :

    • Désactiver
    • Activer
    • Réinitialiser

    [ NSNET-16559 ]

  • Sur un hôte Linux basé sur Debian (Ubuntu version 18 et versions ultérieures), une appliance Citrix ADC BLX est toujours déployée en mode partagé, quels que soient les paramètres du fichier de configuration BLX (« /etc/blx/blx.conf »). Ce problème se produit car « mawk », qui est présent par défaut sur les systèmes Linux basés sur Debian, n’exécute pas certaines des commandes awk présentes dans le fichier « blx.conf ».

    Solution : installez « gawk » avant d’installer une appliance Citrix ADC BLX. Vous pouvez exécuter la commande suivante dans la CLI de l’hôte Linux pour installer « gawk » :

    • apt-get install gawk

    [ NSNET-14603 ]

  • L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • Dans certains cas de connexions de données FTP, l’appliance Citrix ADC effectue uniquement une opération NAT et non un traitement TCP sur les paquets pour la négociation TCP MSS. Par conséquent, la MTU d’interface optimale n’est pas définie pour la connexion. Ce paramètre MTU incorrect entraîne une fragmentation des paquets et a un impact sur les performances du processeur.

    [NSNET-5233]

  • Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • Les entrées de filtrage et de mappage LSN ne sont pas présentes dans l’appliance.

    [NSHELP-30225]

  • L’appliance Citrix ADC peut se bloquer si vous dissociez un ensemble de données d’une règle ACL alors que certains paquets correspondaient à la règle ACL.

    [NSHELP-30221]

  • Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • Le nombre de références de session n’est pas nul lors de la suppression d’une entrée de filtrage

    [NSHELP-29348]

  • Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • Le module LSN ne trouve pas le service lors de la décrémentation du nombre de références ou de la suppression du service.

    [NSHELP-29134]

  • Dans un déploiement NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • Le module LSN a accédé à l’emplacement mémoire d’un service déjà supprimé.

    [NSHELP-28815]

  • Dans une configuration haute disponibilité, l’adresse SNIP activée pour le routage dynamique n’est pas exposée à VTYSH au redémarrage si la condition suivante est remplie :

    • Une adresse SNIP activée pour le routage dynamique est liée au VLAN partagé dans une partition autre que celle par défaut.

    Dans le cadre du correctif, l’appliance Citrix ADC n’autorise plus la liaison d’une adresse SNIP activée pour le routage dynamique au VLAN partagé dans une partition autre que par défaut

    [NSHELP-24000]

  • Lorsqu’une limite de mémoire de partition d’administration est modifiée dans l’appliance Citrix ADC, la limite de mémoire tampon TCP est automatiquement définie sur la nouvelle limite de mémoire de la partition d’administration.

    [ NSHELP-21082 ]

Plateforme

  • Le basculement haute disponibilité ne fonctionne pas dans les clouds AWS et GCP. Le processeur de gestion peut atteindre sa capacité de 100 % dans les clouds AWS et GCP, et Citrix ADC VPX sur site. Ces deux problèmes sont provoqués lorsque les conditions suivantes sont remplies :

    1. Lors du premier démarrage de l’appliance Citrix ADC, vous n’enregistrez pas le mot de passe demandé.
    2. Par la suite, vous redémarrez l’appliance Citrix ADC.

    [NSPLAT-22013]

  • Lorsque vous effectuez une mise à niveau de versions 13.0/12.1/11.1 vers une version 13.1 ou que vous passez d’une version 13.1 à une version 13.0/12.1/11.1, certains packages python ne sont pas installés sur les appliances Citrix ADC. Ce problème est résolu pour les versions Citrix ADC suivantes :

    • 13.1-4.x
    • 13.0-82.31 et versions ultérieures
    • 12.1-62.21 et versions ultérieures

    Les packages python ne sont pas installés lorsque vous rétrogradez les versions de Citrix ADC de 13.1-4.x vers l’une des versions suivantes :

    • Toute version 11.1
    • 12.1-62.21 et versions antérieures
    • 13.0-81.x et versions antérieures

    [NSPLAT-21691]

  • Dans une configuration de cluster sur une appliance Citrix ADC SDX, il existe une incompatibilité CLAG MAC sur le deuxième nœud et CLIP si les conditions suivantes sont remplies :

    • Le CLAG est créé sur une carte réseau Mellanox.
    • Vous ajoutez une autre instance VPX au cluster et à la configuration CLAG.

    Par conséquent, le trafic vers l’instance VPX s’arrête.

    [NSPLAT-21049]

  • Dans une configuration de cluster sur une appliance Citrix ADC SDX, le premier nœud tombe en panne en raison d’une incompatibilité d’adresse MAC sur la table CLIP et MAC, si les conditions suivantes sont remplies :

    • Le CLAG est créé sur une carte réseau Mellanox.
    • Vous supprimez le deuxième nœud du cluster.

    [NSPLAT-21042]

  • Lorsque vous supprimez un paramètre de mise à l’échelle automatique ou un jeu d’échelle de machine virtuelle d’un groupe de ressources Azure, supprimez la configuration de profil cloud correspondante de l’instance Citrix ADC. Utilisez la commande « rm cloudprofile » pour supprimer le profil.

    [NSPLAT-4520]

  • Dans une configuration haute disponibilité sur Azure, lors de la connexion au nœud secondaire via l’interface graphique, l’écran de premier utilisateur (FTU) pour la configuration du profil cloud à mise à l’échelle automatique s’affiche.
    Solution : ignorez l’écran et connectez-vous au nœud principal pour créer le profil cloud. Le profil cloud doit toujours être configuré sur le nœud principal.

    [NSPLAT-4451]

  • Sur une appliance Citrix ADC SDX avec une image groupée unique (SBI) et VPX versions 13.1-24.x ou ultérieures, le déploiement actif-actif à l’aide de VRRP sur les cartes réseau Fortville est pris en charge. Ce déploiement n’est pas pris en charge en mode L2.

    Les points suivants s’appliquent au déploiement :

    • Citrix recommande de supprimer la configuration VRID du service de gestion avant de mettre à niveau ou de rétrograder l’instance VPX associée. Ajoutez la configuration VRID à partir du service de gestion une fois l’opération de mise à niveau ou de rétrogradation terminée.
    • Si vous ne suivez pas la recommandation précédente, vous devez redécouvrir manuellement les instances VPX à partir du service de gestion pour activer la convergence VRRP.

    [NSHELP-30670]

  • Lors du basculement Citrix ADC VPX HA, le mouvement d’adresse IP Elastic dans le cloud AWS échoue si vous configurez un IPset sans lier l’IPset à une adresse IP.

    [ NSHELP-29425 ]

  • Le basculement HA pour l’instance Citrix ADC VPX sur le cloud GCP et AWS échoue lorsque le mot de passe d’un nœud RPC contient un caractère spécial.

    [ NSHELP-28600 ]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

  • Dans certains scénarios, une appliance Citrix ADC peut se bloquer lorsqu’une action d’affectation est utilisée avec l’opération d’effacement pour une variable AppExpert.

    [NSHELP-29766]

SSL

  • Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation de la CRL désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Un ticket de session expiré est honoré sur un nœud non-CCO et sur un nœud HA après un basculement HA.

    [NSSSL-3184, NSSSL-1379, NSSSL-1394]

  • Sur les appliances certifiées FIPS MPX 8900 et MPX 15000, l’exécution du trafic ECDHE peut provoquer une fuite de mémoire.

    [ NSHELP-30744 ]

  • L’appliance Citrix ADC se bloque lorsque l’interception SSL est activée et qu’il existe plusieurs demandes parallèles pour accéder à un serveur principal avec un certificat expiré.

    [ NSHELP-29520 ]

  • Dans une configuration de cluster, lorsque deux certificats installés sont les émetteurs d’un certificat de serveur doté de l’extension OCSP AIA, l’appliance devient inaccessible si vous supprimez le certificat de serveur.

    [ NSHELP-28058 ]

  • Une appliance Citrix ADC MPX/SDX 14000 FIPS peut se bloquer en raison de l’utilisation continue d’API pour les opérations de chiffrement, par des applications internes telles que SAML, sur une période donnée.

    [ NSHELP-27952 ]

Système

  • Dans une appliance Citrix ADC, un problème de latence est observé dans les transactions HTTP/2 si les conditions suivantes sont remplies :

    • La configuration SSL HTTP/2 est activée sur le service back-end
    • Le service ne supporte pas le protocole HTTP/2.

    [NSHELP-30020]

  • L’appliance Citrix ADC signale une fausse alarme SNMP sur les compteurs d’inondation SYN de service.

    [NSHELP-28710, NSHELP-28713]

  • L’instance Citrix ADC VPX peut se bloquer si des stratégies de répondeur sont configurées et que vous ajoutez des stratégies de réécriture qui entraînent une corruption d’en-tête.

    Solution : supprimez la politique de réponse.

    [NSHELP-28512, NSHELP-30415]

  • Une augmentation des retransmissions de paquets est observée dans les déploiements de clusters MPTCP dans le cloud public si le jeu de liens est désactivé.

    [NSHELP-27410]

  • Une appliance Citrix ADC peut envoyer un paquet TCP non valide avec des options TCP telles que des blocs SACK, un horodatage et un ACK de données MPTCP sur les connexions MPTCP.

    [ NSHELP-27179 ]

  • L’échec de Pitboss se produit lors de la mise en boucle d’un grand nombre de paquets dans la file d’attente de retransmission.

    [ NSHELP-26071 ]

  • Une incompatibilité entre les enregistrements Logstream est observée dans l’appliance Citrix ADC et le chargeur de données.

    [ NSHELP-25796 ]

  • Certains messages SYSLOG sont supprimés lors de la connexion à un serveur SYSLOG externe à l’aide du protocole TCP.

    [ NSHELP-24522 ]

  • Dans certains scénarios, la capture de paquets nstrace omet tous les paquets si vous appliquez le filtre basé sur l’adresse IP.

    [ NSHELP-23483 ]

  • Dans une configuration de cluster, la commande « set ratecontrol » ne fonctionne qu’après le redémarrage de l’appliance Citrix ADC.

    Solution : utilisez la nsapimgr_wr.sh -ys icmp_rate_threshold=<new value> commande.

    [NSHELP-21811]

  • La valeur MAX_CONCURRENT_STREAMS est définie sur 100 par défaut si l’appliance ne reçoit pas le cadre de paramètres max_concurrent_stream du client.

    [ NSHELP-21240 ]

  • Les compteurs mptcp_cur_session_without_subflow décrémentent incorrectement à une valeur négative au lieu de zéro.

    [ NSHELP-10972 ]

  • Dans un déploiement de cluster, si vous exécutez la commande « forcer la synchronisation du cluster » sur un nœud non CCO, le fichier ns.log contient des entrées de journal dupliquées.

    [NSBASE-16304, NSGI-1293]

  • Lorsque vous installez Citrix ADM sur un cluster Kubernetes, il ne fonctionne pas comme prévu car les processus requis peuvent ne pas s’exécuter.

    Solution : redémarrez le module Gestion.

    [ NSBASE-15556 ]

  • Dans une configuration de cluster, un nœud avec la priorité CCO est déconnecté d’Open vSwitch (OVS) en raison de problèmes de réseau. Une fois que le nœud a rejoint la configuration du cluster, il ne reçoit pas le dernier cookie SYN.

    [NSBASE-14419]

  • L’adresse IP du client et l’adresse IP du serveur sont inversées dans l’enregistrement SkipFlow HDX Insight lorsque le type de transport LogStream est configuré pour Insight.

    [ NSBASE-8506 ]

Interface utilisateur

  • Dans l’interface graphique de Citrix ADC, le lien « Aide » présent sous l’onglet « Tableau de bord » est rompu.

    [NSUI-14752]

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

  • Si vous créez une clé ECDSA à l’aide de l’interface graphique, le type de courbe n’est pas affiché.

    [NSUI-6838]

  • Si une appliance Citrix ADC configurée avec des licences groupées est mise à niveau, l’appliance peut redémarrer avec une configuration partielle.
    Solution : supprimez la base de données de configuration du cluster créée après la mise à niveau et redémarrez le dispositif à chaud.

    [ NSHELP-30926 ]

  • Dans une appliance Citrix ADC, la liaison de la stratégie de cache pour remplacer globale ou globale par défaut à l’aide de l’interface utilisateur graphique échoue avec l’erreur suivante :

    • Argument obligatoire manquant.

    Cette erreur n’apparaît pas lors de la liaison de la stratégie de cache à l’aide de l’interface CLI.

    [ NSHELP-30826 ]

  • La reconnexion à l’appliance Citrix ADC échoue avec l’erreur suivante lorsque « CTRL+C » est saisi lors de l’exécution de la commande « show run » dans l’interface CLI :

    • « Nom d’utilisateur ou mot de passe non valide »

    Ce problème se produit si les caractères de la clé et du mot de passe sont identiques.

    [NSHELP-30817]

  • Lorsqu’une appliance Citrix ADC est configurée pour utiliser un serveur d’authentification externe, il peut y avoir un retard dans l’exécution des commandes stat, quel que soit le paramètre RBAonResponse défini pour être désactivé globalement. Le paramètre peut être désactivé à partir de l’interface graphique ou de la CLI

    [ NSHELP-30289 ]

  • Le filtre de recherche n’est pas disponible pour la clé « Nom » dans la page Gérer les certificats > CSR de l’interface graphique Citrix ADC.

    [NSHELP-30274]

  • L’interface graphique Citrix ADC peut générer de manière incorrecte un ensemble de support technique de cluster d’un seul nœud au lieu de tous les nœuds du cluster.

    [NSHELP-28606]

  • La génération d’un bundle de support technique de cluster à l’aide de l’interface graphique Citrix ADC peut échouer avec une erreur.

    [NSHELP-28586]

  • Après la mise à niveau d’une installation haute disponibilité ou d’une configuration de cluster vers la version 13.0 build 74.14 ou ultérieure, la synchronisation de la configuration peut échouer pour la raison suivante :

    • La paire de clés privée et publique « ssh_host_rsa_key » est incorrecte.

    Solution : régénérez « ssh_host_rsa_key ». Pour de plus amples informations, consultez l’article https://support.citrix.com/article/CTX322863.

    [ NSHELP-27834 ]

  • Vous ne pouvez pas lier un service ou un groupe de services à un serveur virtuel d’équilibrage de charge prioritaire à l’aide de l’interface graphique Citrix ADC.

    [ NSHELP-27252 ]

  • La synchronisation des signatures du pare-feu d’application avec des nœuds non CCO peut parfois prendre beaucoup de temps. Par conséquent, les commandes utilisant ces fichiers peuvent échouer.

    [NSCONFIG-4330]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

    1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions suivantes :

      • 13.0 52.24 build
      • 12.1 57.18 build
      • 11.1 65.10 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système à l’aide de l’interface de ligne de commande :
    À l’invite de commandes, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution :

    Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Notes de publication pour la version 13.0-85.19 de Citrix ADC
May 5, 2023
Contributeur: 
C
May 5, 2023
Contributeur: 
C

Dans cet article

Commentaires sur le site | Confidentialité et conditions légales | Préférences de cookies | Paramètres de consentement | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.