ADC

Notes de mise à jour pour Citrix ADC 13.0-91.13 Build

July 18, 2023

Contributeur:

Ce document de notes de mise à jour décrit les améliorations et les modifications, ainsi que les problèmes résolus et connus qui existent dans la version 13.0-91.13 de Citrix ADC.

Remarques

Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
Les versions 13.0-91.13 et ultérieures corrigent les failles de sécurité décrites dans https://support.citrix.com/article/CTX561482.
La version 13.0-91.13 remplace la version 13.0-91.12.

Problèmes résolus

Les problèmes résolus dans la version 13.0-91.13.

AppFlow

Le collecteur de métriques de l’instance Citrix ADC s’arrête pour répondre par intermittence. Par conséquent, chaque fois que le collecteur de métriques cesse de répondre, un intervalle (30 secondes) de données analytiques peut ne pas être exporté.

[NSHELP-34048]

Authentification, autorisation et audit

Lorsque Citrix ADC est utilisé comme fournisseur OpenID (OAuth IdP) et que GSLB est configuré avec ce fournisseur, l’authentification OAuth auprès de la partie de confiance (RP) échoue lors de la validation du jeton, ce qui peut entraîner un échec d’authentification au niveau de la partie relais OAuth (RP).

[ NSHELP-33455 ]
Le chiffrement ou le déchiffrement du secret OTP peut échouer avec des attributs à valeurs multiples.

[NSHELP-31057]

Gestion des bots

L’appliance Citrix ADC peut se bloquer si la stratégie BOT utilise une action de journal avec des règles de stratégie complexes.

[NSHELP-34999]

Mise en cache

Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont remplies :
- L’appliance propose du contenu à partir de son cache intégré.
- Le contenu mis en cache est revalidé.
- Une nouvelle demande est envoyée à ADC à partir d’un client différent pour le même objet mis en cache.
[NSHELP-22596]
Dans une configuration de cluster, les informations de stratégie globale du cache affichées dans l’interface graphique ou la CLI sont incomplètes lorsque la configuration du cluster est accessible à l’aide de l’adresse CLIP.

[NSCACHE-521]

Appliance Citrix ADC SDX

Une appliance Citrix ADC SDX peut se bloquer lors de la tentative d’accès à « Core Allocation » depuis le tableau de bord du service de gestion.

[NSHELP-34537, NSCXLCM-8]
Parfois, une appliance Citrix ADC SDX peut ne pas se comporter comme prévu si les unités cryptographiques asymétriques (ACU) et les unités cryptographiques symétriques (SCU) attribuées à une instance VPX ne sont pas un multiple du cœur du moteur de paquets (PE). C’est-à-dire un nombre de 1000* cœurs PE.

[NSHELP-34389]
Le service de gestion (SVM) peut se bloquer lors de la modification de l’une des propriétés d’une instance VPX à partir de l’interface utilisateur du service de gestion.

[NSHELP-34297]

Citrix Gateway

Après une mise à niveau, l’appliance Citrix ADC peut se bloquer lorsque HDX Insight est activé.

[NSHELP-35058]
Après une mise à niveau, l’appliance Citrix ADC peut se bloquer lors du lancement d’une connexion proxy RDP.

[NSHELP-33420]
Le profil Always On n’est pas défini dans une action de session VPN lorsque l’action de session VPN est reconfigurée.

[NSHELP-33396]
Dans une configuration haute disponibilité de Citrix Gateway, les appliances principale et secondaire peuvent se bloquer lors d’un basculement.

[NSHELP-33198, NSHELP-33483]
Après une mise à niveau, une appliance Citrix ADC peut se bloquer lors de la première synchronisation HA.

[NSHELP-32957]
Lors de l’effacement des configurations à l’aide de l’interface graphique ou de la CLI, une appliance Citrix ADC peut se bloquer lorsque les entités liées à la Secure Token Authority (STA) sont effacées.

[CGOP-23152]

Citrix Web App Firewall

Le Citrix Web App Firewall bloque les requêtes JSON valides avec l’erreur « RFC non valide » lorsque certains caractères spéciaux sont répétés dans la charge utile.

[NSHELP-34427, NSWAF-9799]
L’appliance Citrix ADC peut se bloquer lors du déploiement de la haute disponibilité si les règles de signature du Web App Firewall contiennent l’un des objets suivants :
- Patsets
- Ensembles de données
- Cartes à cordes
- Expressions nommées
[NSHELP-34338]
Lorsque vous exportez des règles de relaxation, le téléchargement prend plus de temps et le fichier n’est pas entièrement téléchargé. Ce problème se produit si la taille du fichier est supérieure à 5 Mo.

[NSHELP-34044]
Dans le Citrix Web App Firewall, lorsque vous activez le streaming et les contrôles de cohérence des champs, cela retarde le transfert de la charge utile vers le serveur d’origine. Par conséquent, la méthode POST pour la charge utile échoue.

[NSHELP-33700]
La redirection de piratage de cookie supprime les paramètres de requête de l’URL de la demande. Par conséquent, la demande redirigée peut échouer.

[NSHELP-33633, NSCXLCM-307]
Les attaques par répétition d’une session par empreinte digitale d’un appareil bot sont enregistrées plutôt que supprimées.

[NSHELP-31949]

Équilibrage de charge

Dans de rares cas, nsmap se bloque. Par conséquent, certaines appliances Citrix ADC qui utilisent des bases de données de géolocalisation peuvent ne pas fonctionner comme prévu.

[NSHELP-33840]
La création d’un service virtuel générique échoue si une configuration WIHOME non résolue existe sur l’appliance Citrix ADC.

[NSHELP-25627]

Divers

Lorsque vous modifiez un profil de session sur la page Sécurité > Authentification, autorisation et audit - Trafic des applications > Stratégies > Stratégies et profils de session > Profils de session, l’option « Authentification unique aux applications Web » est activée même si elle était définie sur OFF lors de la création du profil de session.

[NSHELP-33067]

Réseau

En mode Layer-3 avec PMTU activé, l’appliance Citrix ADC abandonne au lieu de transférer les paquets ICMP marqués de la mention « Fragmentation requise mais bit DF défini » pour le trafic ESP.

[NSHELP-34318]
L’appliance Citrix ADC peut se bloquer si toutes les conditions suivantes sont remplies :
- L’ACL basé sur le TTL expire
- L’appliance Citrix ADC dispose d’un grand nombre d’ACL configurées.
[NSHELP-31307]
Dans une configuration GSLB dans laquelle l’une des adresses IP du site GSLB est configurée dans une partition d’administration, les requêtes ARP pour cette adresse IP de site GSLB provenant des routeurs en amont ne parviennent pas à atteindre la partition d’administration. Ce problème se produit lorsque toutes les conditions suivantes sont remplies :
- Un VLAN partagé est lié à la partition d’administration.
- Une adresse IP SNIP, par exemple SNIP-1, située dans le même sous-réseau que l’adresse IP du site GSLB est présente sur le VLAN partagé.
- Une autre adresse IP SNIP, par exemple SNIP-2, dans le même sous-réseau que l’adresse IP du site GSLB est ajoutée et SNIP-1 est supprimée.
[NSHELP-30552]

Plateforme

L’appliance Citrix ADC se bloque si le VRID est lié à un canal LA dont aucune interface membre n’est configurée.

[ NSPLAT-26707 ]
Sur une appliance SDX exécutant la version 4.08 du microprogramme BMC, lorsque vous effectuez une mise à niveau groupée depuis la version 13.0 build 84.X, la mise à niveau du microprogramme de gestion des lumières (LOM) vers la version 4.14 pendant le démarrage du système peut rester bloquée par intermittence et expirer au bout de 30 minutes.

[ NSPLAT-26148 ]
Lorsque vous fournissez des données utilisateur avant le démarrage dans un modèle OVF à partir du client ESX vSphere, l’hôte ESXi n’applique pas la configuration préalable au démarrage.

[NSPLAT-24233, NSPLAT-25551]
Sur une appliance Citrix ADC SDX, les instances VPX peuvent fonctionner avec la valeur de débit minimale configurée dans le cadre du mode rafale, même si un débit suffisant est disponible dans l’appliance SDX pour gérer les rafales de trafic.

[NSHELP-33875, NSHELP-34667]
Lorsque vous tentez d’arrêter une appliance Citrix ADC SDX, l’appliance redémarre au lieu de s’arrêter lors de la première tentative. Ce comportement peut se produire lorsque l’appliance génère un core dump alors qu’elle essaie de s’arrêter.

[NSHELP-33276, NSHELP-33192]
Vous pouvez rencontrer des blocages de transmission sur une appliance Citrix ADC SDX dotée d’une interface 10G lorsque du trafic important est envoyé sur cette interface.

[NSHELP-31232]

SSL

L’interface graphique Citrix ADC, lorsqu’elle est accessible via une adresse IP de cluster (CLIP), n’affiche pas les liaisons de certificat de serveur vers un service SSL, un groupe de services et des services internes.

[NSSSL-12191]

Système

Les réponses HTTP compressées par l’appliance Citrix ADC peuvent provoquer des défaillances dans certains clients HTTP (S) en raison de l’ajout d’espaces en début de ligne dans la valeur du champ d’en-tête de réponse HTTP Content-Length.

[ NSHELP-34660 ]
L’appliance Citrix ADC configurée pour enregistrer tous les en-têtes HTTP se bloque lorsqu’une requête ou une réponse HTTP est reçue avec plus de 20 en-têtes longs.

[NSHELP-34145]
Le module d’audit SYSLOG d’une appliance Citrix ADC peut se bloquer et vider plusieurs fichiers principaux après la mise à niveau de l’appliance vers une version ultérieure à la version 13.0-88.16.

[NSHELP-33505]
Une appliance Citrix ADC peut se bloquer lors de la réception d’une réponse HTTP 1xx (par exemple « 100 Continue ») des serveurs principaux lorsque le paramètre retryOnTimeout est configuré dans la configuration AppQoE.

[NSHELP-33438]

Interface utilisateur

La configuration d’un service alternatif pour un profil HTTP peut échouer lorsque vous utilisez l’interface graphique Citrix ADC.

[NSHELP-34304]
Un compte utilisateur système lié à un ensemble de partitions d’administration peut ne pas être en mesure d’accéder à la partition par défaut via les API NITRO, même si l’option Autoriser la partition par défaut est activée dans le cadre des paramètres globaux du système.

[NSHELP-33990]
Dans l’interface graphique de Citrix ADC, lorsque vous cliquez sur le bouton Modifier pour un type d’interruption SNMP spécifique, les détails d’une interruption SNMP de type générique s’affichent à la place de l’interruption SNMP de type spécifique.

[NSHELP-33520]

Problèmes connus

Les problèmes qui existent dans la version 13.0-91.13.

Authentification, autorisation et audit

Un Citrix ADC configuré avec une stratégie d’authentification OAuth peut se bloquer lorsqu’un certificat de courbe elliptique est lié au VPN dans le monde entier.

[NSHELP-34795]
L’appliance Citrix ADC peut se bloquer lorsque le serveur virtuel d’authentification est utilisé dans une partition autre que celle par défaut.

[NSHELP-32054, NSCXLCM-640]
L’authentification unique (SSO) échoue si l’authentification unique est activée pour le trafic qui ne possède pas le jeton porteur requis pour gérer l’authentification unique.

[NSHELP-31362, NSCXLCM-533]
Les caractères non-ASCII sont enregistrés dans nsvpn.log lorsque l’action LDAP est configurée sur un nom de domaine complet au lieu d’une adresse IP.

[NSHELP-27281]
Dans certains scénarios, la commande de groupe d’authentification, d’autorisation et d’audit de liaison peut échouer si le nom de la stratégie est plus long que le nom de l’application intranet.

[NSHELP-25971]
L’appliance Citrix ADC vide le cœur lorsque NOAUTH est configuré comme premier facteur et Negotiate comme facteur suivant dans le flux d’authentification basé sur 401.

[NSHELP-25203]
Si le mot de passe administrateur des services LDAP, RADIUS ou TACACS contient le caractère entre guillemets (“), l’appliance Citrix ADC le supprime lors de la vérification « Test de connectivité », ce qui entraîne un échec de connexion.

[NSHELP-23630]
Un Citrix ADC se bloque lorsque les conditions suivantes sont remplies :
- L’authentification par certificat basée sur 401 s’effectue via un serveur virtuel d’équilibrage de charge.
- Aucune stratégie d’authentification n’est liée à un serveur virtuel d’authentification.
- La journalisation des débogues est activée.
[ NSAUTH-13259 ]
Les administrateurs ne peuvent pas effectuer de journalisation personnalisée des échecs d’authentification dus à des informations d’identification non valides. Ce problème se produit car les stratégies de réponse Citrix ADC ne détectent pas les erreurs liées aux échecs de connexion.

[ NSAUTH-11151 ]
Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
show adfsproxyprofile <profile name>

Solution : connectez-vous au Citrix ADC actif principal du cluster et exécutez la commande show adfsproxyprofile <profile name>. Il afficherait l’état du profil proxy.

[ NSAUTH-5916 ]

Appliance Citrix ADC SDX

Lorsque vous mettez à niveau une appliance Citrix ADC SDX, dans de rares cas, l’événement incorrect suivant apparaît dans l’interface graphique du service de gestion :

« La version SVM et la version Hypervisor ne sont pas compatibles »

[NSHELP-32949]
Sur une interface graphique Citrix ADC SDX, l’affichage des serveurs NTP peut geler l’interface utilisateur si le fichier de configuration NTP (ntp.conf) ne contient que des espaces dans l’une des lignes.

[NSHELP-31530]

Citrix Gateway

Après une mise à niveau, les appareils clients Citrix SSO pour iOS ne peuvent pas établir de connexions VPN par application.

[NSHELP-35224]
Les ressources de l’intranet qui se chevauchent avec une plage d’adresses IP usurpée ne sont pas accessibles lorsque le tunnel partagé est défini sur OFF sur le client Citrix Secure Access.

[NSHELP-34334]
La connexion VPN permanente échoue par intermittence au démarrage en raison de l’accessibilité du serveur Gateway.

[NSHELP-33500]
Si les valeurs de registre associées à Citrix Secure Access sont supérieures à 1 500 caractères, le collecteur de journaux ne parvient pas à recueillir les journaux d’erreurs.

[NSHELP-33457]
Le client Citrix Secure Access, version 21.7.1.2 et versions ultérieures, ne parvient pas à effectuer la mise à niveau vers des versions ultérieures pour les utilisateurs ne disposant pas de droits d’administration. Ce problème ne s’applique que si la mise à niveau du client Citrix Secure Access est effectuée à partir d’une appliance Citrix ADC.

[NSHELP-32793]
Lorsque les utilisateurs cliquent sur l’onglet Page d’accueil de l’écran Citrix Secure Access pour Windows, la page affiche l’erreur de refus de connexion.

[NSHELP-32510]
Sur un appareil Mac utilisant Chrome, l’extension VPN se bloque lors de l’accès à deux noms de domaine complets.

[NSHELP-32144]
Parfois, l’ouverture de session automatique de Windows ne fonctionne pas lorsqu’un utilisateur se connecte à l’ordinateur Windows en mode de service permanent. Le tunnel de la machine ne passe pas au tunnel utilisateur et au message « Connexion… » s’affiche dans l’interface utilisateur du plug-in VPN.

[NSHELP-31357, CGOP-21192, NSCXLCM-612]
Lorsque Always on est configuré, le tunnel utilisateur échoue en raison du numéro de version incorrect (1.1.1.1) dans le fichier aoservice.exe.

[ NSHELP-30662 ]
Les utilisateurs ne peuvent pas se connecter à l’appliance Citrix Gateway après avoir changé le paramètre de profil « NetworkAccessonVPNFailure » de « FullAccess » à « OnlyToGateway ».

[NSHELP-30236]
La page d’accueil de la passerelle ne s’affiche pas immédiatement après que le plug-in de passerelle a réussi à établir le tunnel VPN. Pour résoudre ce problème, la valeur de registre suivante est introduite.

HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
Type: DWORD

Par défaut, cette valeur de registre n’est ni définie ni ajoutée. Lorsque la valeur de « SecureChannelResetTimeoutSeconds » est 0 ou n’est pas ajoutée, le correctif pour gérer le délai ne fonctionne pas, ce qui est le comportement par défaut. L’administrateur doit définir ce registre sur le client pour activer le correctif (c’est-à-dire afficher la page d’accueil immédiatement après que le plug-in de passerelle ait établi le tunnel VPN avec succès).

[NSHELP-30189]
Le client VPN Windows n’honore pas l’alerte « Notification de fermeture SSL » du serveur et envoie la demande de connexion de transfert sur la même connexion.

[NSHELP-29675]
L’authentification par certificat client échoue pour Citrix SSO pour macOS s’il n’existe aucun certificat client dans le trousseau macOS.

[ NSHELP-28551 ]
Parfois, un utilisateur est déconnecté de Citrix Gateway en quelques secondes lorsque le délai d’inactivité du client est défini.

[ NSHELP-28404 ]
L’appliance Citrix Gateway peut se bloquer si l’async est bloquée et que vous modifiez la configuration de la stratégie de commutation de contenu.

[NSHELP-27570]
L’appliance Citrix Gateway peut se bloquer si une option de client VPN inconnue est définie dans la stratégie de session.

[NSHELP-27380]
Lors de la création d’un profil client RDP à l’aide de l’interface graphique Citrix ADC, un message d’erreur apparaît lorsque les conditions suivantes sont remplies :
- Une clé pré-partagée (PSK) par défaut est configurée.
- Vous essayez de modifier le minuteur de validité du cookie RDP dans le champ Validité du cookie RDP (secondes).
[ NSHELP-25694 ]
La sortie de la commande « show tunnel global » inclut des noms de stratégies avancés. Auparavant, la sortie n’affichait pas les noms de stratégie avancés.

Exemple :

Nouvelle sortie :

show tunnel global
Policy Name: ns_tunnel_nocmp Priority: 0

Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy
Priority: 1
Global bindpoint: REQ_DEFAULT

Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy
Priority: 100
Global bindpoint: RES_DEFAULT
Done

Sortie précédente :

show tunnel global
Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

Stratégies avancées :

Global bindpoint: REQ_DEFAULT
Number of bound policies: 1

Terminé

[ NSHELP-23496 ]
Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

[ NSHELP-21897 ]
Dans une configuration de cluster Citrix ADC, HDX Insight et Gateway Insight ne peuvent pas être activés simultanément.

[CGOP-23570]
L’option du système d’exploitation Windows n’est pas répertoriée dans la liste déroulante Expression Editor pour les stratégies de pré-authentification et les actions d’authentification sur l’interface graphique de Citrix ADC. Toutefois, si vous avez déjà configuré le scan du système d’exploitation Windows sur une version précédente de Citrix ADC à l’aide de l’interface graphique ou de l’interface de ligne de commande, la mise à niveau n’a aucun impact sur les fonctionnalités. Vous pouvez utiliser l’interface de ligne de commande pour apporter des modifications, si nécessaire.

Solution :

Utilisez les commandes CLI pour la configuration.
- Pour configurer l’action EPA avancée dans l’authentification nFactor, utilisez la commande suivante.
  add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
- Pour configurer une action de pré-authentification classique, utilisez les commandes suivantes.
  add aaa preauthenticationaction win_scan_action ALLOW
  add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action
[CGOP-22966]
Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans NetScaler ADM.

[ CGOP-13511 ]
Lorsque vous acceptez les connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche du contenu en anglais, quelle que soit la langue sélectionnée.

[ CGOP-13050 ]
Le texte « Page d’accueil » dans l’ application Citrix SSO > Page d’accueil est tronqué pour certaines langues.

[ CGOP-13049 ]
Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

[ CGOP-11830 ]
Dans Outlook Web App (OWA) 2013, cliquez sur Options dans le menu Paramètres pour afficher une boîte de dialogue d’erreur critique . De plus, la page ne répond plus.

[ CGOP-7269 ]

Équilibrage de charge

Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

[ NSLB-7679 ]
Dans une configuration de cluster de huit nœuds ou plus, la fonction d’identifiant de limite de débit peut ne pas fonctionner comme prévu.

[NSHELP-34555]
Le Citrix ADC peut se bloquer lorsque vous faites référence à un service basé sur un nom de domaine (DBS) une fois que la séquence de conditions suivante est remplie :
1. Une entrée de localisation est configurée pour l’adresse IP à laquelle le nom de domaine DBS est résolu.
2. Le nom de domaine DBS est supprimé, ce qui entraîne une réponse NXDOMAIN de la part du serveur de noms.
3. L’entrée de localisation est supprimée.
[NSHELP-35370]
Dans une configuration à haute disponibilité, l’appliance Citrix ADC se bloque lorsque le groupe de services lié à plusieurs serveurs virtuels est supprimé.

[NSHELP-34029]
Lors de la mise en miroir des connexions, l’appliance Citrix ADC se bloque lorsque la stratégie de réécriture est supérieure à 30 octets.

[NSHELP-32902]
L’appliance Citrix ADC déclenche une alerte SNMP incorrecte en cas de connexion serveur élevée en raison d’un calcul erroné du nombre de serveurs.

[NSHELP-31582]
Dans une configuration GSLB, le certificat SSL est absent des sites subordonnés. Ce problème se produit lorsque l’option de synchronisation automatique est activée et que les sites subordonnés possèdent des certificats SSL qui ne sont pas disponibles sur le site principal.

[NSHELP-29309]
Dans certains scénarios, les serveurs liés à un groupe de services affichent une valeur de cookie non valide. Vous pouvez voir la valeur de cookie correcte dans les journaux de suivi.

[NSHELP-21196]
Dans une configuration de cluster, l’adresse IP du service GSLB n’est pas affichée dans l’interface graphique lorsqu’on y accède via des liaisons de serveurs virtuels GSLB. Il ne s’agit que d’un problème d’affichage et il n’y a aucun impact sur la fonctionnalité.

[ NSHELP-20406 ]

Divers

Lorsque vous exécutez le script « ns_hw_err.bash » sur l’appliance Citrix ADC, le message d’erreur suivant s’affiche :
« erreur : impossible d’ouvrir le fichier ‘ns_hw_plugins.py’ : [Errno 2] Aucun fichier ou répertoire de ce type »

[NSHELP-32991]
L’appliance Citrix ADC définit la taille de la mémoire tampon pour la fonction de journalisation du serveur Web sur une valeur par défaut incorrecte de 3 Mo au lieu de 16 Mo.

[NSHELP-32429]
Le registre de liste AlwaysOnAllow ne fonctionne pas comme prévu si la valeur du registre est supérieure à 2000 octets.

[NSHELP-31836]
L’instance Citrix ADC CPX, exécutée sur un système Linux avec une architecture 64 bits et 1 To de stockage de fichiers, peut maintenant charger des fichiers de certificat et de clé.

[NSHELP-28986]
Citrix Gateway signale les demandes d’accès autorisé en cas d’échec de l’authentification unique à Citrix ADC ADM. Par conséquent, la page Gateway > Gateway Insight de l’interface utilisateur de Citrix ADC ADM affiche des rapports d’échec SSO incorrects provoquant de fausses alarmes.

[NHELP-27992]

Réseau

Dans une appliance Citrix ADC BLX, le NSVLAN lié à des interfaces non dpdk balisées peut ne pas fonctionner comme prévu. Le NSVLAN lié à des interfaces non dpdk non balisées fonctionne correctement.

[NSNET-18586]
Les opérations d’interface suivantes ne sont pas prises en charge pour les interfaces X710 10G (i40e) Intel sur une appliance Citrix ADC BLX avec DPDK :
- Désactiver
- Activer
- Réinitialiser
[ NSNET-16559 ]
Sur un hôte Linux basé sur Debian (Ubuntu version 18 et versions ultérieures), une appliance Citrix ADC BLX est toujours déployée en mode partagé, quels que soient les paramètres du fichier de configuration BLX (« /etc/blx/blx.conf »). Ce problème se produit car « mawk », qui est présent par défaut sur les systèmes Linux basés sur Debian, n’exécute pas certaines des commandes awk présentes dans le fichier « blx.conf ».

Solution : installez « gawk » avant d’installer une appliance Citrix ADC BLX. Vous pouvez exécuter la commande suivante dans la CLI de l’hôte Linux pour installer « gawk » :
- apt-get install gawk
[ NSNET-14603 ]
L’installation d’une appliance Citrix ADC BLX peut échouer sur un hôte Linux basé sur Debian (Ubuntu version 18 et ultérieure) avec l’erreur de dépendance suivante :

« Les paquets suivants ont des dépendances non satisfaites : blx-core-libs:i386 : PreDepends : libc6:i386 (>= 2.19) mais ils ne sont pas installables »

Solution : exécutez les commandes suivantes dans l’interface de ligne de commande de l’hôte Linux avant d’installer une appliance Citrix ADC BLX :
- dpkg –add-architecture i386
- apt-get update
- apt-get install libc6:i386
[NSNET-14602]
Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :
- Le module LSN ne trouve pas le service lors de la décrémentation du nombre de références ou de la suppression du service.
[NSHELP-29134]
Dans une configuration NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :
- En raison d’une entrée de filtrage obsolète.
[NSHELP-28895]
Dans un déploiement NAT44 à grande échelle, l’appliance Citrix ADC peut se bloquer lors de la réception du trafic SIP pour la raison suivante :
- Le module LSN a accédé à l’emplacement mémoire d’un service déjà supprimé.
[NSHELP-28815]
L’appliance Citrix ADC peut ne pas générer de messages d’interruption SNMP « ColdStart » après un redémarrage à froid.

[NSHELP-27917]
Dans une configuration haute disponibilité, l’adresse SNIP activée pour le routage dynamique n’est pas exposée à VTYSH au redémarrage si la condition suivante est remplie :
- Une adresse SNIP activée pour le routage dynamique est liée au VLAN partagé dans une partition autre que celle par défaut.
Dans le cadre du correctif, l’appliance Citrix ADC n’autorise plus la liaison d’une adresse SNIP activée pour le routage dynamique au VLAN partagé dans une partition autre que par défaut

[NSHELP-24000]

Plateforme

Le basculement haute disponibilité ne fonctionne pas dans les clouds AWS et GCP. Le processeur de gestion peut atteindre sa capacité de 100 % dans les clouds AWS et GCP, et Citrix ADC VPX sur site. Ces deux problèmes sont provoqués lorsque les conditions suivantes sont remplies :
1. Lors du premier démarrage de l’appliance Citrix ADC, vous n’enregistrez pas le mot de passe demandé.
2. Par la suite, vous redémarrez l’appliance Citrix ADC.
[ NSPLAT-22013, NSCXLCM-544 ]
Certains packages Python ne sont pas installés lorsque vous rétrogradez l’appliance Citrix ADC de la version 13.1-4.x et des versions supérieures vers l’une des versions suivantes :
- Toute version 11.1
- 12.1-62.21 et versions antérieures
- 13.0-81.x et versions antérieures
[NSPLAT-21691]
Sur la plate-forme Citrix ADC SDX 8015/8400/8600, vous pouvez constater une augmentation de la consommation de mémoire sur Xen Server.
Solution : exécutez la commande suivante sur Xen Server, puis redémarrez l’appliance.
/opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

[NSHELP-32260]
Lors du basculement Citrix ADC VPX HA, le mouvement d’adresse IP Elastic dans le cloud AWS échoue si vous configurez un IPset sans lier l’IPset à une adresse IP.

[ NSHELP-29425 ]
Le basculement HA pour l’instance Citrix ADC VPX sur le cloud GCP et AWS échoue lorsque le mot de passe d’un nœud RPC contient un caractère spécial.

[ NSHELP-28600 ]

Stratégies

Dans l’interface graphique de Citrix ADC, vous pouvez voir les actions de réécriture uniquement lorsque vous cliquez sur Afficher l’action de réécriture intégrée dans AppExpert > RéécrireActions.

[ NSPOLICY-4843 ]
Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

[ NSPOLICY-1267 ]
Dans une configuration HA, l’expression REGEX_REPLACE peut entrer en boucle si elle est configurée avec l’option ALL et une chaîne de remplacement vide, ce qui entraîne un basculement.

[NSHELP-34640]

SSL

Lorsqu’un serveur virtuel reçoit un enregistrement TLS 1.3 dont le remplissage n’est pas valide, il envoie une alerte fatale « decode_error » au lieu d’une alerte « message inattendu ».

[NSSSL-11890]
Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

Solution :
1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
2. Enregistrez la configuration.
[NSSSL-9572]
Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

[NSSSL-6478]
Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

[NSSSL-6213]
Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
ERROR: crl refresh disabled

[NSSSL-6106]
L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

[NSSSL-4427]
Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

[NSSSL-4001]
Sur un Citrix ADC MPX/SDX 14000 FIPS fonctionnant en mode hybride, vous pouvez être confronté à un scénario d’attaque BleichenBacher.

[NSHELP-35020]
Une appliance Citrix ADC, contenant des puces Intel Coleto ou Intel Lewisburg, peut se bloquer pendant la phase de renégociation principale si le serveur homologue négocie un chiffrement différent de celui qu’il a initialement négocié.

[NSHELP-34324]
Une appliance Citrix ADC, contenant des puces Intel Coleto ou Intel Lewisburg, peut se bloquer si le chiffrement DH 512 est utilisé lors d’un échange de clés.

[NSHELP-34094]

Système

Un RTT élevé est observé pour une connexion TCP si la condition suivante est remplie :
- une fenêtre de congestion maximale élevée (> 4 Mo) est définie
- L’algorithme TCP NILE est activé
Pour qu’une appliance Citrix ADC utilise l’algorithme NILE pour contrôler la congestion, les conditions doivent dépasser le seuil de démarrage lent, associé à la fenêtre de congestion maximale

Ainsi, jusqu’à ce que la fenêtre de congestion maximale configurée soit atteinte, Citrix ADC continue d’accepter les données et se retrouve avec un RTT élevé.

[NSHELP-31548]
Une appliance Citrix ADC peut se bloquer lorsque la condition suivante est remplie :
- Le profil d’analyse et la stratégie AppFlow sont liés, et l’option « httpAllHdrs » est activée dans le profil.
[NSHELP-30628]
L’appliance Citrix ADC signale une fausse alarme SNMP sur les compteurs d’inondation SYN de service.

[NSHELP-28710, NSHELP-28713]
Une augmentation des retransmissions de paquets est observée dans les déploiements de clusters MPTCP dans le cloud public si le jeu de liens est désactivé.

[NSHELP-27410]
Une appliance Citrix ADC peut envoyer un paquet TCP non valide avec des options TCP telles que des blocs SACK, un horodatage et un ACK de données MPTCP sur les connexions MPTCP.

[ NSHELP-27179 ]
Une incompatibilité entre les enregistrements Logstream est observée dans l’appliance Citrix ADC et le chargeur de données.

[ NSHELP-25796 ]
Lorsque vous installez NetScaler ADM sur un cluster Kubernetes, il ne fonctionne pas comme prévu car les processus requis peuvent ne pas s’exécuter.

Solution : redémarrez le module Gestion.

[ NSBASE-15556 ]
Dans une configuration de cluster, un nœud avec la priorité CCO est déconnecté d’Open vSwitch (OVS) en raison de problèmes de réseau. Une fois que le nœud a rejoint la configuration du cluster, il ne reçoit pas le dernier cookie SYN.

[NSBASE-14419]

Interface utilisateur

L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

[NSUI-13024]
Le démon HTTPD peut se bloquer lorsqu’il fait face à une exception lors du traitement d’une requête HTTP GET groupée de l’API NITRO.

[ NSHELP-34399 ]
La modification d’un itinéraire statique à l’aide de l’interface graphique Citrix ADC (système > réseau > routes) peut échouer de manière incorrecte avec le message d’erreur suivant :
- « Argument requis manquant [passerelle] »
[NSHELP-32024]
Dans une configuration HA/Cluster, la synchronisation de la configuration échoue si vous avez configuré des clés SSH autres que RSA. Par exemple, les clés ECDSA ou DSA.

[NSHELP-31675]
Dans une appliance Citrix ADC, la liaison de la stratégie de cache pour remplacer globale ou globale par défaut à l’aide de l’interface utilisateur graphique échoue avec l’erreur suivante :
- Argument obligatoire manquant.
Cette erreur n’apparaît pas lors de la liaison de la stratégie de cache à l’aide de l’interface CLI.

[ NSHELP-30826 ]
En raison d’une séquence d’installation de mise à niveau incorrecte, le problème suivant se produit dans l’appliance Citrix ADC.
- L’image du noyau est d’abord mise à jour et après quelques étapes, les clés de chiffrement sont copiées. Entre ces étapes, une défaillance se produit et l’appliance ADC affiche une nouvelle image. Les clés de chiffrement manquantes dans la nouvelle image entraînent un échec du déchiffrement et une configuration manquante.
[NSHELP-30755]
L’interface graphique Citrix ADC peut générer de manière incorrecte un ensemble de support technique de cluster d’un seul nœud au lieu de tous les nœuds du cluster.

[NSHELP-28606]
La génération d’un bundle de support technique de cluster à l’aide de l’interface graphique Citrix ADC peut échouer avec une erreur.

[NSHELP-28586]
Après la mise à niveau d’une installation haute disponibilité ou d’une configuration de cluster vers la version 13.0 build 74.14 ou ultérieure, la synchronisation de la configuration peut échouer pour la raison suivante :
- La paire de clés privée et publique « ssh_host_rsa_key » est incorrecte.
Solution : régénérez « ssh_host_rsa_key ». Pour de plus amples informations, consultez l’article https://support.citrix.com/article/CTX322863.

[ NSHELP-27834 ]
Vous ne pouvez pas lier un service ou un groupe de services à un serveur virtuel d’équilibrage de charge prioritaire à l’aide de l’interface graphique Citrix ADC.

[ NSHELP-27252 ]
Lors de l’affichage des stratégies liées à une étiquette de stratégie de changement de contenu dans l’interface graphique de Citrix ADC, seules 25 stratégies sont affichées, même si d’autres stratégies sont liées à cette étiquette de stratégie.

[NSHELP-23428]
La synchronisation des signatures du pare-feu d’application avec des nœuds non CCO peut parfois prendre beaucoup de temps. Par conséquent, les commandes utilisant ces fichiers peuvent échouer.

[NSCONFIG-4330]
Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.
1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions
  - 13.0 52.24 build
  - 12.1 57.18 build
  - 11.1 65.10 build
2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.
Pour afficher la liste de ces utilisateurs du système à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

Solution : Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :
- Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
- Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
- Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.
Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html.

[NSCONFIG-3188]

La version officielle de ce document est en anglais. Certains contenus de la documentation Cloud Software Group ont été traduits de façon automatique à des fins pratiques uniquement. Cloud Software Group n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Cloud Software Group à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Cloud Software Group, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Cloud Software Group ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Cela vous a-t-il été utile ?

Notes de mise à jour pour Citrix ADC 13.0-91.13 Build

July 18, 2023

Contributeur:

July 18, 2023

Contributeur:

Cela vous a-t-il été utile ?