ADC

Notes de publication pour la version 13.0-86.17 de Citrix ADC

Ce document de notes de version décrit les améliorations et modifications, les problèmes résolus et connus qui existent pour la version 13.0-86.17 de Citrix ADC.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
  • Les versions 13.0-86.17 et ultérieures corrigent les vulnérabilités de sécurité décrites dans https://support.citrix.com/article/CTX457836.

Nouveautés

Les améliorations et modifications disponibles dans la version 13.0-86.17.

Plateforme

  • Sur la plate-forme Citrix ADC SDX 8015, la version de gestion des lumières (LOM) est mise à niveau de la version 3.21 à la version 3.56.

    Sur les plates-formes Citrix ADC SDX 14000, SDX 14000-40G, SDX 14000-40S et SDX 14000-FIPS, la version LOM est mise à niveau de la version 4.08 vers la version 4.14.

    [NSPLAT-23416]

Système

  • Améliorations liées à l’envoi des détails du client dans l’en-tête de l’option TCP

    • L’appliance Citrix ADC insère désormais l’adresse IP du client dans le dernier paquet ACK de la négociation à trois voies en plus du premier paquet de données. Auparavant, l’appliance n’envoyait l’adresse IP du client que dans le premier paquet de données.
    • L’appliance Citrix ADC prend désormais en charge l’envoi du port client dans l’option TCP pour la configuration du mode d’insertion. Un paramètre « Envoyer le port client dans l’option Tcp (SendClientPortInTcpOption) » a été introduit dans le profil TCP pour activer ou désactiver cette fonctionnalité.

      [ NSBASE-15635 ]

Problèmes résolus

Les problèmes résolus dans la version 13.0-86.17.

Authentification, autorisation et audit

  • Dans une configuration de passerelle unifiée, dans de rares cas, une page de reconnexion peut s’afficher lorsque vous accédez à des services derrière la passerelle unifiée, même après que l’authentification a réussi.

    [NSHELP-31148, NSHELP-27994]

  • L’authentification unique basée sur les formulaires échoue pour les serveurs principaux qui envoient des paramètres clé-valeur dans la requête URL.

    [NSHELP-30975]

  • L’appliance Citrix ADC peut se bloquer en raison d’une allocation de mémoire importante en raison d’une URL cible manquante dans la configuration OAuth.

    [ NSHELP-30963 ]

  • Il peut y avoir un échec intermittent lors de la connexion au serveur Outlook Exchange via l’application Outlook en raison d’un ajout d’en-tête incorrect par l’appliance Citrix ADC.

    [NSHELP-30555]

  • L’appliance Citrix ADC peut se bloquer en raison d’une corruption de la mémoire en cas d’échec de la communication cœur à cœur.

    [NSHELP-30275]

  • Lors de l’envoi d’une demande AS_REQ pour un utilisateur délégué, qui fait partie de l’authentification unique KCD, l’appliance Citrix ADC sélectionne un type de cryptage avec la priorité suivante lorsque le contrôleur de domaine (DC) publie tous les types de cryptage.

    1. ETYPE_ARCFOUR_HMAC_MD5
    2. ETYPE_AES128_CTS_HMAC_SHA1_96
    3. ETYPE_AES256_CTS_HMAC_SHA1_96

    Au lieu de

    1. ETYPE_AES256_CTS_HMAC_SHA1_96
    2. ETYPE_AES128_CTS_HMAC_SHA1_96
    3. ETYPE_ARCFOUR_HMAC_MD5

    [ NSHELP-28681 ]

  • L’authentification unique échoue lors d’une session d’authentification lorsque l’événement de changement de mot de passe est déclenché. Ce problème se produit uniquement si le paramètre PersistentLogin attempts est activé.

    [ NSHELP-28085 ]

  • Lorsqu’un dispositif Citrix ADC effectue une recherche de groupe LDAP imbriqué, certaines informations sur les groupes provenant d’Active Directory sont manquées en raison d’un comportement non valide de l’appliance Citrix ADC. L’appliance ADC prend une valeur incorrecte même lorsque le paramètre groupSearchSubAttribute est configuré correctement.

    [ NSHELP-26316 ]

  • L’appliance Citrix ADC se bloque si les deux conditions suivantes sont remplies.

    • L’OTP d’e-mail est configuré
    • Le serveur de messagerie ne répond pas ou il y a un problème de réseau avec le serveur de messagerie

    [NSHELP-26137, NSHELP-27824]

Appliance Citrix ADC SDX

  • Sur une appliance Citrix ADC SDX avec des cartes réseau Mellanox, la modification du débit d’une instance VPX dotée de cartes réseau Mellanox redémarre l’instance VPX.

    [ NSHELP-31305 ]

  • Sur une appliance Citrix ADC SDX, une utilisation de la mémoire plus élevée est détectée en raison du volume élevé de traitement de données SNMP.

    [NSHELP-31205]

  • Dans une appliance Citrix ADC SDX, une utilisation plus importante de la mémoire est détectée en raison du volume élevé de traitement des données SNMP.

    [NSHELP-30222]

  • L’application SNMP Walk exécutée sur l’appliance Citrix ADC SDX pour SDX-ROOT-MIB : :XenTable prend plus de temps que prévu.

    [NSHELP-30085]

Citrix Gateway

  • Dans de rares cas, l’appliance Citrix ADC configurée avec le serveur virtuel VPN peut se bloquer après une connexion réussie à Citrix Gateway.

    [ NSHELP-31481 ]

  • Les utilisateurs ne sont pas en mesure d’énumérer les applications depuis Citrix Unified Gateway après la mise à niveau des navigateurs Chrome ou Edge vers les versions 100 et ultérieures.

    [NSHELP-31294]

  • Dans une configuration DTLS ICA, l’appliance Citrix Gateway se bloque lors du traitement du ticket STA.

    [ NSHELP-31211 ]

  • Parfois, les utilisateurs ne peuvent pas accéder aux signets en mode VPN avancé sans client.

    [NSHELP-30939]

  • L’appliance Citrix Gateway configurée en mode proxy ICA pour la connexion audio UDP peut se bloquer en raison d’une corruption de la mémoire.

    [NSHELP-30919]

  • Les utilisateurs du client VPN ne peuvent pas se déconnecter correctement si SAML et EPA sont configurés en tant que facteurs successifs dans une authentification nFactor. Avec ce correctif, les utilisateurs peuvent se déconnecter sans problème.

    [ NSHELP-30193 ]

  • Le lancement des applications et postes de travail PCoIP échoue lorsqu’il est lancé à partir d’un navigateur et le message d’erreur « Client VMware manquant » s’affiche. Ce problème se produit car le protocole « vmware-view » n’est pas ajouté à la liste des protocoles autorisés.

    [ NSHELP-30062 ]

  • L’appliance Citrix Gateway peut se bloquer lors de l’analyse des canaux lorsque HDX Insight est activé et que NSAP est désactivé.

    [NSHELP-30029]

  • L’appliance Citrix ADC enregistre de manière incorrecte le message « UDPFLOWSTAT » qui indique que le trafic est « Autorisé » pour le trafic UDP refusé par une politique d’autorisation.

    [ NSHELP-29542 ]

  • Gateway Insight signale un faux échec d’authentification avant même que l’utilisateur n’envoie les informations d’identification pour la connexion lorsque la règle d’authentification est configurée pour correspondre à l’une des demandes du flux de connexion.

    [NSHELP-29313]

  • La page Session des utilisateurs actifs n’affiche pas toutes les sessions utilisateur actives sauf si le nombre d’entrées est passé à 2000 par page.

    Avec ce correctif, un nouveau lien « Toutes les sessions utilisateur » (Citrix Gateway -> Surveiller les connexions > Toutes les sessions utilisateur) est ajouté dans l’interface utilisateur d’administration qui répertorie toutes les sessions et connexions utilisateur.

    [ NSHELP-29151 ]

  • L’appliance Citrix ADC enregistre les messages périmés liés au processus VPND qui est obsolète.

    [NSHELP-28163]

  • Parfois, lors de la connexion au transfert, les sous-réseaux IP Intranet s’affichent incorrectement côté client.

    [NSHELP-26904]

  • La sortie de la commande « show vpn ICAConnection » n’affiche pas correctement les numéros de série des connexions ICA. Ce problème se produit car le numéro de série est réinitialisé arbitrairement lors de l’exécution de « show vpn icaconnection ».

    [ NSHELP-25646 ]

Citrix Web App Firewall

  • Dans l’injection SQL WAF contenant une citation (guillemet simple, guillemet double ou coche inverse), les guillemets d’ouverture et de clôture doivent être présents pour marquer le modèle comme une attaque. Toutefois, lorsqu’un commentaire est présent dans le pattern, la citation finale n’est pas requise.

    [NSHELP-30379]

Équilibrage de charge

  • Le préfixe d’étendue n’est pas défini correctement lorsque ECS est activé sur l’appliance ADC et que l’emplacement est introuvable. Ce problème entraîne la création d’une entrée de persistance incorrecte. L’entrée de persistance incorrecte est créée en fonction de l’adresse IP LDNS au lieu de l’adresse IP ECS reçue dans la demande pour la méthode GSLB basée sur la proximité non statique.

    [NSHELP-30846]

  • Une appliance Citrix ADC partitionnée peut vider le cœur lors du traitement d’un paquet de demande DNS avec un en-tête supplémentaire (EDNS).

    [ NSHELP-30796 ]

  • Dans un scénario de concurrence rare, le moteur de paquets peut se bloquer avec le vidage de mémoire lorsque la configuration suivante est présente sur l’appliance Citrix ADC :

    • Le serveur virtuel GSLB est configuré avec la persistance basée sur l’adresse IP source et la journalisation DNS est activée sur le profil DNS lié au service ADNS.
    • Le serveur d’équilibrage de charge DNS est configuré sans que la journalisation DNS soit activée sur le profil DNS.

    [ NSHELP-29791 ]

  • L’état du groupe de services affiché dans les commandes show et stat est incohérent.

    [NSHELP-28931]

  • Les moniteurs de type SQL ou Oracle se bloquent lorsque l’homologue envoie une demande de réinitialisation de la connexion existante.

    [NSHELP-28478]

Divers

  • L’appliance Citrix ADC SWG peut se bloquer lorsque la mémoire allouée à une ressource n’est pas libérée, ce qui entraîne une utilisation élevée de la mémoire même en l’absence de trafic.

    [NSHELP-31290]

Réseau

  • Depuis la version 13.0 de Citrix ADC, la commande « set rnat » est obsolète et a été remplacée par les commandes « add rnat » et « bind rnat ».

    Lors de la mise à niveau d’une appliance Citrix ADC vers la version 13.0, la conversion des commandes « set rnat » en commandes « add rnat » et « bind rnat » échoue si toutes les conditions suivantes sont remplies :

    • La commande « set rnat » est présente sur un domaine de trafic autre que celui par défaut.
    • Un itinéraire par défaut est présent sur le même domaine de trafic autre que celui par défaut.

    [NSNET-26304]

  • Une appliance Citrix ADC BLX en mode DPDK peut se bloquer si un profil de pare-feu d’application Web est configuré avec des contrôles de protection de sécurité avancés.

    [NSNET-22654]

  • La modification d’une adresse IP privée dans une règle INAT à l’aide de l’interface graphique échoue si la condition suivante est remplie :

    • Le basculement de connexion est activé sur la règle INAT.

    [ NSHELP-30792 ]

  • Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • Les entrées de filtrage et de mappage LSN ne sont pas présentes dans l’appliance.

    [NSHELP-30225]

  • L’appliance Citrix ADC peut se bloquer si vous dissociez un ensemble de données d’une règle ACL alors que certains paquets correspondaient à la règle ACL.

    [NSHELP-30221]

  • La modification d’un profil réseau auquel est déjà lié un ensemble d’adresses IP peut échouer avec l’erreur suivante :

    • « L’ensemble d’adresses IP est déjà lié au profil réseau »

    [ NSHELP-29363 ]

  • Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • Le nombre de références de session n’est pas nul lors de la suppression d’une entrée de filtrage

    [NSHELP-29348]

  • Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :

    • Le nombre de références de filtrage et de mappage est différent de zéro pour le module LSN de l’appliance.

    [ NSHELP-28842 ]

Stratégies

  • Dans certains scénarios, une appliance Citrix ADC peut se bloquer lorsqu’une action d’affectation est utilisée avec l’opération d’effacement pour une variable AppExpert.

    [NSHELP-29766]

SSL

  • L’appliance Citrix ADC SDX se bloque lorsque des unités de chiffrement sont attribuées à une instance VPX et que la configuration jumbo est activée.

    [NSHELP-30950]

  • L’appliance Citrix ADC se bloque lorsque l’interception SSL est activée et qu’il existe plusieurs demandes parallèles pour accéder à un serveur principal avec un certificat expiré.

    [ NSHELP-29520 ]

  • Dans certains cas, un certificat erroné est renvoyé lorsque plusieurs certificats génériques SNI sont attachés au même serveur virtuel et que deux certificats sont similaires, tels que example.com et example.com.tr.

    [NSHELP-29494]

  • Dans une configuration de cluster, lorsque deux certificats installés sont les émetteurs d’un certificat de serveur doté de l’extension OCSP AIA, l’appliance devient inaccessible si vous supprimez le certificat de serveur.

    [ NSHELP-28058 ]

Système

  • L’appliance Citrix ADC se bloque lorsque l’appliance Citrix ADM de gestion possède une MTU réseau supérieure à 1 500.

    [NSHELP-30835]

  • Le collecteur REST est hors service même lorsque le paramètre AppFlow « TimeSerieOvernSIP » est activé.

    [ NSHELP-30759 ]

  • Tous les paquets de données transférés à partir d’une appliance Citrix ADC n’ont pas la valeur TTL configurée mais ont la valeur envoyée par le client ou le serveur.

    [ NSHELP-30683 ]

  • Une appliance Citrix ADC avec la configuration de mesure côté client peut corrompre une variable entraînant l’échec du chargement de la page dans les conditions suivantes :

    • La réponse HTTP contient une variable javascript supérieure à 2 000 octets.

    [NSHELP-30026]

  • Dans une appliance Citrix ADC, un problème de latence est observé dans les transactions HTTP/2 si les conditions suivantes sont remplies :

    • La configuration SSL HTTP/2 est activée sur le service back-end
    • Le service ne supporte pas le protocole HTTP/2.

    [NSHELP-30020]

  • L’échec de Pitboss se produit lors de la mise en boucle d’un grand nombre de paquets dans la file d’attente de retransmission.

    [ NSHELP-26071 ]

  • Dans une configuration de cluster, la commande « set ratecontrol » ne fonctionne qu’après le redémarrage de l’appliance Citrix ADC.

    [NSHELP-21811]

Interface utilisateur

  • La page Système > Diagnostics de l’interface graphique de Citrix ADC n’affiche pas les détails de la page pour les clients disposant d’une licence Advanced.

    [NSHELP-31330]

  • Si une appliance Citrix ADC configurée avec des licences groupées est mise à niveau, l’appliance peut redémarrer avec une configuration partielle.

    [ NSHELP-30926 ]

  • La reconnexion à l’appliance Citrix ADC échoue avec l’erreur suivante lorsque « CTRL+C » est saisi lors de l’exécution de la commande « show run » dans l’interface CLI :

    • « Nom d’utilisateur ou mot de passe non valide »

    Ce problème se produit si les caractères de la clé et du mot de passe sont identiques.

    [NSHELP-30817]

  • Lorsqu’une appliance Citrix ADC est configurée pour utiliser un serveur d’authentification externe, il peut y avoir un retard dans l’exécution des commandes stat, quel que soit le paramètre RBAOnResponse défini pour être désactivé globalement. Le paramètre peut être désactivé à partir de l’interface graphique ou de la CLI

    [ NSHELP-30289 ]

  • Le filtre de recherche n’est pas disponible pour la clé « Nom » dans la page Gérer les certificats > CSR de l’interface graphique Citrix ADC.

    [NSHELP-30274]

Problèmes connus

Les problèmes qui existent dans la version 13.0-86.17.

Authentification, autorisation et audit

  • L’appliance Citrix ADC peut se bloquer si l’URL des métadonnées SAML dans la configuration ne se termine pas par ou contient une barre oblique inverse (/).

    [NSHELP-31937]

  • Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

    [NSHELP-563]

  • Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

    [ NSAUTH-6106 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy s’affiche par erreur comme vide lors de l’exécution de la commande suivante :

    show adfsproxyprofile <profile name>

    Solution : connectez-vous au Citrix ADC actif principal du cluster et exécutez la show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

Mise en cache

  • Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

    [ NSHELP-22942 ]

Appliance Citrix ADC SDX

  • Sur une appliance Citrix ADC SDX, si le CLAG est créé sur une carte réseau Mellanox, la MAC CLAG est modifiée lorsque l’instance VPX est redémarrée. Le trafic vers l’instance VPX s’arrête après le redémarrage car la table MAC contient l’ancienne entrée MAC CLAG.

    [ NSSVM-4333 ]

  • Dans une appliance Citrix ADC SDX, la liste blanche de VLAN n’est pas mise à jour avec la valeur correcte pour les interfaces Mellanox attribuées à une instance Citrix ADC VPX.

    [NSHELP-31849]

  • L’installation d’un certificat SSL sur une appliance Citrix ADC SDX échoue si le nom du certificat ou le nom de clé contient de l’espace.

    [ NSHELP-31711 ]

Citrix Gateway

  • Dans certains cas, une appliance Citrix ADC peut se bloquer lors de l’attribution d’une adresse IP intranet à un client.

    [NSHELP-31712]

  • Parfois, l’ouverture de session automatique de Windows ne fonctionne pas lorsqu’un utilisateur se connecte à l’ordinateur Windows en mode de service permanent. Le tunnel de la machine ne passe pas au tunnel utilisateur et le message « Connexion… » s’affiche dans l’interface utilisateur du plugin VPN.

    [NSHELP-31357, CGOP-21192]

  • Lorsque Always on est configuré, le tunnel utilisateur échoue en raison du numéro de version incorrect (1.1.1.1) dans le fichier aoservice.exe.

    [ NSHELP-30662 ]

  • Les utilisateurs ne peuvent pas se connecter à l’appliance Citrix Gateway après avoir changé le paramètre de profil « NetworkAccessonVPNFailure » de « FullAccess » à « OnlyToGateway ».

    [NSHELP-30236]

  • La page d’accueil de la passerelle ne s’affiche pas immédiatement après que le plug-in de passerelle a réussi à établir le tunnel VPN. Pour résoudre ce problème, la valeur de registre suivante est introduite.

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    Type: DWORD

    Par défaut, cette valeur de registre n’est ni définie ni ajoutée. Lorsque la valeur de « SecureChannelResetTimeoutSeconds » est 0 ou n’est pas ajoutée, le correctif pour gérer le délai ne fonctionne pas, ce qui est le comportement par défaut. L’administrateur doit définir ce registre sur le client pour activer le correctif (c’est-à-dire afficher la page d’accueil immédiatement après que le plug-in de passerelle ait établi le tunnel VPN avec succès).

    [NSHELP-30189]

  • Le client VPN Windows n’honore pas l’alerte « Notification de fermeture SSL » du serveur et envoie la demande de connexion de transfert sur la même connexion.

    [NSHELP-29675]

  • L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

    [ NSHELP-28551 ]

  • Parfois, un utilisateur est déconnecté de Citrix Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

    [ NSHELP-28404 ]

  • Vous ne pouvez pas dissocier une stratégie d’autorisation classique à l’aide de l’interface graphique. Toutefois, vous pouvez utiliser l’interface de ligne de commande pour dissocier la stratégie d’autorisation d’authentification, d’autorisation et d’audit.

    Avec ce correctif, vous pouvez désormais dissocier la stratégie d’autorisation à l’aide de l’interface graphique.

    [NSHELP-27064]

  • Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.

    [ NSHELP-23937 ]

  • La sortie de la commande « show tunnel global » inclut des noms de stratégies avancés. Auparavant, la sortie n’affichait pas les noms de stratégie avancés.

    Exemple :

    Nouvelle sortie :

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    Sortie précédente :

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [ NSHELP-23496 ]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • L’échec du lancement de l’application dû à un ticket STA non valide n’est pas signalé dans Gateway Insight.

    [ CGOP-13621 ]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [ CGOP-13511 ]

  • Lors de l’acceptation des connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

    [ CGOP-13050 ]

  • Le texte « Page d’accueil » dans l’ application Citrix SSO > Page d’accueil est tronqué pour certaines langues.

    [ CGOP-13049 ]

  • Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, le fait de cliquer sur Options dans le menu Paramètres affiche une boîte de dialogue Erreur critique . De plus, la page ne répond plus.

    [ CGOP-7269 ]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • Dans certains scénarios, les serveurs liés à un groupe de services affichent une valeur de cookie non valide. Vous pouvez voir la valeur de cookie correcte dans les journaux de suivi.

    [NSHELP-21196]

Divers

  • Le registre de liste AlwaysOnAllow ne fonctionne pas comme prévu si la valeur du registre est supérieure à 2000 octets.

    [NSHELP-31836]

Réseau

  • Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :

    • Désactiver
    • Activer
    • Réinitialiser

    [ NSNET-16559 ]

  • L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

    « Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

    Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

Plateforme

  • Le basculement haute disponibilité ne fonctionne pas dans les clouds AWS et GCP. Le processeur de gestion peut atteindre sa capacité de 100 % dans les clouds AWS et GCP, et Citrix ADC VPX sur site. Ces deux problèmes sont provoqués lorsque les conditions suivantes sont remplies :

    1. Lors du premier démarrage de l’appliance Citrix ADC, vous n’enregistrez pas le mot de passe demandé.
    2. Par la suite, vous redémarrez l’appliance Citrix ADC.

    [NSPLAT-22013]

  • Lorsque vous effectuez une mise à niveau de versions 13.0/12.1/11.1 vers une version 13.1 ou que vous passez d’une version 13.1 à une version 13.0/12.1/11.1, certains packages python ne sont pas installés sur les appliances Citrix ADC. Ce problème est résolu pour les versions Citrix ADC suivantes :

    • 13.1-4.x
    • 13.0-82.31 et versions ultérieures
    • 12.1-62.21 et versions ultérieures

    Les packages python ne sont pas installés lorsque vous rétrogradez les versions de Citrix ADC de 13.1-4.x vers l’une des versions suivantes :

    • Toute version 11.1
    • 12.1-62.21 et versions antérieures
    • 13.0-81.x et versions antérieures

    [NSPLAT-21691]

  • Dans une configuration de cluster sur une appliance Citrix ADC SDX, il existe une incompatibilité CLAG MAC sur le deuxième nœud et CLIP si les conditions suivantes sont remplies :

    • Le CLAG est créé sur une carte réseau Mellanox.
    • Vous ajoutez une autre instance VPX au cluster et à la configuration CLAG.

    Par conséquent, le trafic vers l’instance VPX s’arrête.

    [NSPLAT-21049]

  • Dans une configuration de cluster sur une appliance Citrix ADC SDX, le premier nœud tombe en panne en raison d’une incompatibilité d’adresse MAC sur la table CLIP et MAC, si les conditions suivantes sont remplies :

    • Le CLAG est créé sur une carte réseau Mellanox.
    • Vous supprimez le deuxième nœud du cluster.

    [NSPLAT-21042]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

SSL

  • Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation de la CRL désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Une poignée de main SSL peut échouer si la séquence de conditions suivante est remplie :

    1. Hello Verify Request (HVR) est activé sur DTLS.
    2. L’appliance Citrix ADC envoie un HVR au client.
    3. Le client ne reçoit pas le HVR.
    4. Le client essaie de retransmettre le bonjour au premier client au lieu de répondre au HVR avec un cookie de session.

    Remarque : En réponse au message d’accueil retransmis au client, l’appliance ADC envoie le HVR au client trois fois au maximum. Si aucune réponse appropriée n’est reçue, l’appliance échoue à la négociation.

    [NSHELP-31808]

Système

  • Lorsque vous installez Citrix ADM sur un cluster Kubernetes, il ne fonctionne pas comme prévu car les processus requis peuvent ne pas s’exécuter.

    Solution : redémarrez le module Gestion.

    [ NSBASE-15556 ]

Interface utilisateur

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

  • Dans une configuration haute disponibilité, les sessions utilisateur VPN sont déconnectées si la condition suivante est remplie :

    • Si au moins deux opérations manuelles de basculement HA successives sont effectuées lorsque la synchronisation HA est en cours.

    Solution : effectuez un basculement HA manuel successif uniquement une fois la synchronisation HA terminée (les deux nœuds sont en état de réussite de la synchronisation).

    [ NSHELP-25598 ]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

    1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions suivantes :

      • 13.0 52.24 build
      • 12.1 57.18 build
      • 11.1 65.10 build
    2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système à l’aide de l’interface de ligne de commande :
    À l’invite de commandes, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution :

    Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Notes de publication pour la version 13.0-86.17 de Citrix ADC