-
-
-
VMware ESX、Linux KVM、およびCitrix HypervisorでNetScaler ADC VPXのパフォーマンスを最適化する
-
AWSでNetScaler ADC VPXインスタンスを展開する
-
-
-
-
-
-
-
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Citrix ADC 13.0-67.43 リリースのリリースノート
このリリースノートドキュメントでは、Citrix ADCリリースBuild 13.0-67.43の機能強化と変更、修正された問題と既知の問題について説明します。
メモ
- このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。
- 13.0-67.43 は 13.0-67.39 の代替ビルドです。NSHELP-25322 と NSHELP-25443 は、代替ビルドの追加修正です。
新機能
ビルド 13.0-67.43 で利用できる機能強化と変更点。
認証、承認、監査
-
標準ライセンスによるCitrix GatewayのnFactor認証サポート
Citrix Gateway は、標準ライセンスでの nFactor 認証をサポートするようになりました。詳細については、 https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/multi-factor-nfactor-authentication.htmlを参照してください
[NSAUTH-6438]
Citrix Gateway
-
新しいCitrix ロゴが導入されました。
[ CGOP-14440 ]
Citrix Web App Firewall
-
すべてのインポートオブジェクトの名前の長さとプロファイル名の長さが 127 文字に増加しました
Citrix Web App Firewall のインポートオブジェクトの名前とプロファイル名の長さが最大127文字に増加しました。以前は、名前の長さは 32 文字までしか設定されていませんでした。
[NSWAF-5992]
-
動的プロファイリング緩和ルールカウンター
Citrix Web App Firewallが違反を検出すると、ユーザーは緩和ルールを使用してアクションをバイパスできます。これらのリラクゼーションをモニタリングするために、リラクゼーションヒットカウンターができました。カウンタは、アプライアンスで違反が発生した回数、違反時に適用された緩和ルールの数、最後に適用されたタイムスタンプなどの統計情報を追跡します。
ただし、新しいリラクゼーションヒットカウンターは、以下のセキュリティチェックでのみご利用いただけます。
- Starturl
- Denyurl
- クロスサイトスクリプティング
- SQLインジェクション
[NSWAF-5842]
-
JSON コマンドインジェクション保護
Citrix Web App Firewall プロファイルが強化され、JSON ペイロードでのコマンドインジェクション攻撃に対する新しい保護チェックが追加されました。コマンドインジェクションセキュリティチェックで JSON トラフィックが検査され、悪意のあるコマンドが検出されると、アプライアンスは要求をブロックするか、設定されたアクションを実行します。
[NSWAF-5837]
-
ボットトラップ URL のランダム化
Citrix Bot トラップ技術により、クライアントの応答にトラップURLをランダムまたは定期的に挿入できるようになりました。クライアントが人間のユーザーの場合、URL は見えず、アクセスできないように見えます。ただし、クライアントが自動化されたボットの場合、URL にはアクセスでき、アクセスされると攻撃者はボットとして分類され、それ以降のボットからのリクエストはブロックされます。このトラップ技術は、ボットからの攻撃をブロックするのに効果的です。
ボットトラップ URL は自動生成され、URL を更新する必要がある長さと間隔を設定できます。トラップ URL がプロファイルに設定されている場合は、その URL のみを挿入する必要があります。また、この方法では、ウェブサイトの URL をプロファイルにバインドすることで、アクセス数の多い Web サイトや頻繁に訪問される Web サイトの応答ごとにトラップ URL を挿入できます。
[NSWAF-5774]
-
安全なウェブ通信のための SameSite Cookie 属性
Google Chrome 80などの最近のブラウザのアップグレードにより、クッキーのデフォルトのクロスドメイン動作が変更されました。その結果、SameSite 属性は「なし」、「緩い」、または「厳密」に設定され、Google Chrome ブラウザの場合、デフォルトの属性値は Lax に設定されます。
ブラウザの新しいSameSiteCookie ポリシーに従い、Citrix Web App FirewallプロファイルがSameSiteCookie 属性構成をサポートするように拡張されています。SameSite Cookie 属性を有効にし、次のいずれかのオプションとして属性を設定できるようになりました。
- 同じサイト=なし。安全な接続でのみクロスサイトコンテキストで Cookie を使用するようにブラウザに指示します。
- 同じサイト=LAX。同じドメインのリクエストには Cookie を使用するようにブラウザに指示し、クロスサイトでは「GET」リクエストなどの安全な HTTP メソッドのみがその Cookie を使用できるようにします。
- 同じサイト=厳格。ユーザーがドメインを明示的にリクエストしている場合にのみCookie を使用できることを示します。
[NSWAF-5468]
ネットワーク
-
NET_ADMINがマルチコアのCitrix ADC CPXを実行するためのサポートが追加されました
–cap-add=net_adminオプションを使用して、ブリッジモードの展開でシングルコアとマルチコアの両方でCitrix ADC CPXを実行できるようになりました。
[NSNET-16016]
プラットフォーム
-
異なるAWSゾーンのプライベートIPアドレスによるVPX高可用性ペアのセットアップ
異なるAWSゾーンのプライベートIPアドレスを使用して、VPX高可用性ペアをAWSにデプロイできるようになりました。
[NSPLAT-14757]
-
GCPでのCitrix ADC VPXインスタンスに対するVIPスケーリングのサポート
要件に基づいて、GCPにデプロイされたCitrix ADC VPXインスタンスに複数のVIP(パブリックIP)アドレスを追加できるようになりました。これはスタンドアロン展開と高可用性展開の両方でサポートされています。以前は、追加できる VIP の最大数は GCP ネットワークの制限に依存していました。
[NSPLAT-14738]
デフォルトの管理者パスワードの変更パスワードがデフォルトの admin (nsroot) パスワードに設定されている場合、ユーザーは最初のログイン時またはインスタンスの作成時にパスワードを変更し、設定を保存する必要があります。パスワードをデフォルトの管理者パスワードにリセットすることはできません。
この変更は、以下のCitrixアプライアンスに適用されます。- Citrix ADC SDX アプライアンスでホストされている VPX インスタンス
- Citrix ADC BLX アプライアンス
- 以下の仮想化およびクラウドプラットフォームでホストされているCitrix VPX仮想アプライアンス:
- Citrix Hypervisor
- VMware ESX
- Microsoft Hyper-V
- Linux KVM
- Amazon Web Services
- Google Cloud Platform
[NSPLAT-14480]
-
転送ルールを使用してGCPでCitrix ADC VPX高可用性ペアをセットアップする
これで、バックエンドのターゲットインスタンスを含む転送ルールを使用して、VPX高可用性ペアをGoogle Cloud Platform(GCP)にデプロイできるようになりました。転送ルールはVPXインスタンスと同じリージョンにあり、ターゲットインスタンスはVPXインスタンスと同じゾーンにある必要があります。フェイルオーバー時に、転送ルールターゲットがセカンダリターゲットインスタンスに更新され、トラフィックが再開されます。
[NSPLAT-14378]
システム
-
管理アクセス用のビルトイン HTTP プロファイル
Citrix ADCアプライアンスには、管理アクセス用のHTTPプロファイル「nshttp_default_internal_apps」が組み込まれています。プロファイルは、HTTP/0.9 リクエストをブロックし、管理アクセスに対する無効なリクエストをドロップするように設定されています。プロファイル設定は、既存の「nshttp_default_strict_validation」プロファイルと同じです。ただし、「nshttp_default_strict_validation」プロファイルで行ったようにプロファイル設定を変更しないことをお勧めします。
[NSBASE-10118]
-
TCP SYN 接続確立時のリクエスト/リトライ
リクエストのリトライは、もう 1 つのエラーシナリオに適用できます。TCP SYNの確立中にバックエンドサーバーからリセットを受け取った場合、アプライアンスはクライアント接続がタイムアウトするまで同じサーバーを再試行しません。代わりに、再負荷分散に基づいて、アプライアンスはリクエストを次の使用可能なバックエンドサーバーに転送します。
[NSBASE-9610]
-
gRPC 応答バッファの時間とサイズ制限のサポート
gRPCブリッジシナリオでは、Citrix ADCアプライアンスは、応答トレーラーが受信されるまで、バックエンドサーバーからのgRPC応答をバッファリングします。これにより、双方向の gRPC 呼び出しが中断されます。また、gRPC 応答が大きい場合は、応答を完全にバッファリングするために大量のメモリを消費します。これらの問題を解決するには、HTTP プロファイルに grpcholdlimit と grpcholdtimeout という 2 つの新しいパラメーターを設定できます。2 つのパラメータの両方またはいずれかを設定すると、アプライアンスはバッファリングを停止し、バッファ制限のいずれかがトリガーされた場合でも(トレーラーが設定されたバッファサイズ内で受信されないか、設定されたタイムアウトが発生した場合)、応答の転送を開始します。
[NSBASE-9466]
ユーザーインターフェイス
-
Citrix のロゴの変更
Citrix のブランド変革を反映した新しいロゴが導入されました。Citrix ADC と Citrix Gateway GUI に新しいCitrix のロゴが反映されるようになりました。
[NSUI-16210]
-
ボット署名のカスタム検索機能
Citrix ADC ボット署名のGUIページでカスタム検索機能を利用できるようになりました。検索オプションを使用して、署名ファイル内のコンテンツを検索できます。
[NSUI-15992]
-
DSAキーは廃止され、Citrix ADCアプライアンスではサポートされなくなりました。
[NSUI-14778]
解決された問題
ビルド13.0-67.43で対処されている問題。
認証、承認、監査
-
まれに、アプライアンスが「VPN URL」機能で構成され、SSOタイプが「selfauth」の場合、Citrix Gateway アプライアンスがクラッシュすることがあります。
[ NSHELP-24667 ]
-
OTP 要求がコアから送信され、検証要求が別のコアによって受信されると、電子メール OTP 検証が失敗する場合があります。
[ NSHELP-24442 ]
-
Citrix ADCアプライアンスは、ログインスキーマの検証が失敗したため、モバイルクライアントからのログオン要求を拒否します。設定では OAuthToken_Username_password.xml スキーマを使用する必要があります。
[NSHELP-24318]
-
次の条件が満たされると、Citrix ADC アプライアンスへのログインは失敗します。
- アプライアンスは nFactor 用に設定されています。
- ログインスキーマポリシーは認証仮想サーバーにバインドされ、認証スキーマは「noschema」に設定されます。
[ NSHELP-24259 ]
-
まれに、アプライアンスがNTLM認証用に設定されている場合、Citrix ADCアプライアンスがクラッシュすることがあります。
[NSHELP-24236]
-
デフォルト以外の(443)ポートで構成されたVPN仮想サーバーでは、Citrix SSO QRスキャンが失敗します。これは、ネイティブ OTP 設定の問題が原因で発生します。
[NSHELP-24097]
-
Citrix ADCアプライアンスは、ユーザー認証に関連するバックグラウンドタスクを実行しているときに応答しなくなる場合があります。
[ NSHELP-23883 ]
-
場合によっては、シングルサインオンを試みると、Citrix ADCアプライアンスが応答しなくなることがあります。
[NSHELP-23632]
-
まれに、DUP-FREE(すでに空いているリソースを解放しようとしている)シナリオが発生した場合、認証要求の処理中にCitrix ADCアプライアンスがクラッシュすることがあります。
[ NSHELP-23565 ]
-
Citrix ADCアプライアンスは、ユーザーが属するグループの数がグループサイズの制限を超えると、ADユーザーのLDAPシナリオですべてのグループを抽出できません。
[ NSHELP-22959 ]
-
Citrix ADCとCitrix GatewayのSSO構成がトラフィックレベルではなくグローバルレベルでのみ有効になっている場合、次の認証方法によるシングルサインオン(SSO)は機能しません。
- CitrixAGBasic認証
- Kerberos 認証
- OAuth ベアラ認証
[NSAUTH-9166]
-
場合によっては、構成のクリーンアップ中に期限切れの認証、承認、監査セッションが存在すると、Citrix ADCアプライアンスがクラッシュすることがあります。
[NSAUTH-7767]
ボット管理
-
Citrix ADCアプライアンスは、トラフィックがアプライアンスに流れ込んでいるときにボットデバイスのフィンガープリント技術が無効になっていると、クラッシュする可能性があります。
[NSBOT-156]
-
ボット管理プロファイルがボットアクションとしてCAPTCHAを使用して構成されている場合、Citrix ADCアプライアンスがクラッシュする可能性があります。
[NSBOT-148]
Citrix ADC SDXアプライアンス
-
ソフトウェアバージョン13.0ビルド64.xまたは12.1ビルド58.xを実行するCitrix ADC SDXアプライアンスでは、ユーザーはアプライアンスのバックアップをダウンロードできません。
[NSSVM-3952]
-
管理 LA と CLAG が構成されている Citrix ADC SDX アプライアンスをアップグレードすると、SDX GUI にアクセスできなくなる場合があります。
[NSHELP-24671]
-
Citrix ADC SDXアプライアンスでプロビジョニングされたADCインスタンスのデバイスプロファイルを変更しても、SNMPユーザーの詳細は変更されません。
[ NSHELP-24488 ]
-
Citrix ADC SDXアプライアンスでは、IPv6アドレスで構成されたADCインスタンスを変更することはできません。
[ NSHELP-24256 ]
-
Citrix ADC SDXアプライアンスで構成されたSNMPマネージャーとトラップ宛先のコミュニティストリングにハッシュ(%23)を含めることはできません。
[ NSHELP-23989 ]
-
Citrix ADC SDXアプライアンスでは、ADCインスタンスの同時再検出間の競合状態により、ADCインスタンスのリンクアグリゲーション情報が失われる可能性があります。
[NSHELP-23849]
-
VPXインスタンスが古い11.1ビルドでプロビジョニングされている場合、次の条件が満たされている場合、SDX CLIを使用したVPXインスタンスの更新操作は失敗します。
- 「シェル/SFTP/SCPアクセス」オプションが選択されました。
- 「インスタンス管理を追加」オプションが選択されていません。
これらのオプションは「インスタンス管理」で利用可能でした。
[NSHELP-23683]
-
Citrix ADC SDXアプライアンスを再起動すると、管理サービスがライセンスを正しく読み取らない場合があります。
[NSHELP-23619]
Citrix Gateway
-
Citrix Gateway アプライアンスがセッションから接続を2回削除しようとすると、セッションログアウト中にクラッシュする可能性があります。
[ NSHELP-25443 ]
-
前のセッションがタイムアウトしたコアにリクエストが届くと、ログインの転送中にCitrix Gateway アプライアンスがクラッシュします。
[ NSHELP-25322 ]
-
次の条件が満たされている場合、ユーザーはウェブサイトにアクセスできません。
- プロキシサーバーは厳密な SNI チェックを行っています。
- バックエンドサーバには、クライアントレス VPN または SecureBrowse のアウトバウンドプロキシを介してアクセスします。
- backendServerSNI パラメーターが有効になっています。
[NSHELP-24903]
-
仮想サーバーがカスタムポートで構成されている場合、SAML 認証は期待どおりに機能しません。
[ NSHELP-24842 ]
-
まれに、サーバーが開始した接続セッションがすでに解放されている場合、デバッグログの印刷中にCitrix ADCアプライアンスがクラッシュすることがあります。
[ NSHELP-24581 ]
-
Citrix Gateway にログオンし、クライアントレス VPN SharePoint 経由で Microsoft Excel にアクセスすると、Microsoft Excel 用に作成されたセッションからログアウトされます。
[NSHELP-24074]
-
まれに、イントラネットIP(IIP)アドレスが有効で、そのIIPアドレスへのサーバー起動接続があると、Citrix Gateway アプライアンスがクラッシュすることがあります。
[NSHELP-23819]
-
クライアントマシンに Hyper-V および WiFi ダイレクトアクセス仮想アダプタのインスタンスが複数ある場合、Windows プラグインは Gateway にアクセスできないというメッセージを表示します。
[NHELP-2394]
-
パケットドロップは、UDP アプリケーションサーバーが MTU を超えるパケットを送信し、そのパケットがフラグメント化されている場合に発生します。
[ NSHELP-23770 ]
-
ユーザーがCitrix Workspaceからログインすると、認証、承認、および監査セッションのログアウト中にCitrix ADCアプライアンスがクラッシュする可能性があります。
[NHELP-236]
-
VDA FQDN解決に失敗すると、アプリの起動中にCitrix Gateway アプライアンスがクラッシュする可能性があります。
[ NSHELP-22454 ]
-
クライアントレス VPN SharePoint 経由で Microsoft Excel にアクセスする場合、Excel ファイルを編集することはできません。
[CGOP-15123]
-
CredSSP プロトコルバージョン 2 のサポートは削除されました。Windows オペレーティングシステムでは、CredSSP プロトコルバージョン 5 と 6 のみがサポートされています。
[ CGOP-14308 ]
Citrix Web App Firewall
-
一部の XML 学習データを表示すると、aslearn のファイル記述子リークが発生する。
[NSWAF-6648]
-
CEF ログメッセージでの「cs7」のサポート
Citrix Web App Firewall 共通イベント形式(CEF)のログメッセージには、監査ログ表現名として「cs7」というパラメーターがもう1つ追加されました。
[NSWAF-6593]
-
クラスタ構成では、学習エンジンが学習データを表示してリセットしようとすると、「Communication error with aslearn」というエラーメッセージが表示されます。
[ NSHELP-24584 ]
-
Citrix ADCアプライアンスは、XML処理のストリーミングコンテキストがヌルであることと、「MultipleHeaderAction」パラメーターが「ログ」に設定されているためにクラッシュする可能性があります。
[ NSHELP-24549 ]
-
Citrix ADCアプライアンスは、次の問題が発生した場合、応答からステータスコードを削除します。
- 理由文が抜けていて、
- ステータスコードの後にはスペースは付きません。
[ NSHELP-24489 ]
-
クラスタセットアップでは、set または rm appfw rfcprofile コマンドの rfcprofile を変更したり削除したりすることはできません。
[ NSHELP-24222 ]
-
Citrix ADCアプライアンスは、Web App Firewall XML検証チェック中にクラッシュする可能性があります。
[ NSHELP-23562 ]
負荷分散
-
GSLBのリアルタイム同期中に、GSLB構成コマンドを継続的にバッチ処理すると、コマンドが誤った順序で下位サイトにプッシュされる可能性があります。
[NSHELP-23934]
-
GSLB が管理パーティションで設定されている場合、sync gslb config-ForceSync コマンドは、GSLB サイトの IP アドレスに固有の SSL サービスへの証明書キーバインディングを削除する可能性があります。
[NSHELP-23203]
-
Citrix ADCアプライアンスをリリース12.0ビルド63.13にアップグレードすると、負荷分散パーシスタンスグループの構成エントリが重複する場合があります。たとえば、「show running config」コマンドでは、「add lb group」コマンドが複数回表示される場合があります。これは表示上の問題だけで、機能には影響しません。ただし、「show running config」コマンドの実行には、通常より少し時間がかかる場合があります。
[ NSHELP-23050 ]
-
次の条件がすべて満たされると、Citrix ADCアプライアンスで高可用性フェイルオーバーが発生します。
- SIP 負荷分散仮想サーバーにバインドされたサービスは、SIP 負荷分散仮想サーバーからバインドされません。
- SIP 負荷分散仮想サーバー上の接続は完全にはフラッシュされません。
- クライアント要求はこれらの接続で受信されます。
[ NSHELP-22589 ]
-
ストリーム識別子に関連する一連の操作の後に整数値が切り捨てられると、Citrix ADCアプライアンスがクラッシュすることはめったにありません。
[ NSHELP-22489 ]
ネットワーク
-
Citrix ADC 12.1ビルド58.xへのアップグレード後、CCOノードからのいずれかのコマンド伝播が失敗すると、完全な伝播障害が発生する可能性があります。その結果、CCO ノードから非 CCO ノードへの以降のコマンドが失敗する可能性があります。
[ NSNET-18028 ]
-
管理パーティション設定で、メモリリソースの誤ったパーティションで「set」コマンドを実行すると、メモリ割り当てが失敗することがあります。
[NSNET-17719]
-
クラスタ設定で set appflow コマンドを実行すると、クラスタを形成できない場合があります。
[ NSHELP-24220 ]
-
Citrix ADCアプライアンスのBGPコミュニティストリングに関連して、次の問題が発生しています。
- アプライアンスが BGP コミュニティストリング x: 65535 を受信すると、BGP セッションは切断されます。
- 「bgp extended asn」機能が有効になっていない場合、BGP デーモンは AS4_PATH 属性と特定のコミュニティストリングの組み合わせを適切な方法で処理しません。この不適切な処理により、BGP デーモンがクラッシュします。
[NSHELP-24119]
-
高可用性設定では、一部の ACL ルールの「apply acls」操作中に HA ハートビートパケットが失われる可能性があります。
[ NSHELP-23663 ]
-
INC モードの高可用性セットアップでは、フェイルオーバー後に BFD セッションが失われます。
[ NSHELP-23648 ]
-
アプライアンスを数回ハードリブートすると、BFD設定がCitrix ADCアプライアンスに適用されない場合があります。
[ NSHELP-23471 ]
-
Citrix ADC アプライアンスの VTYSH シェルに入ったり終了したりすると、「/etc/syslog.conf」内の「/nsconfig/syslog.conf」のシンボリックリンクが削除されることがあります。そのため、’/nsconfig/syslog.conf’ の変更は ‘/etc/syslog.conf’ に反映されません。
[NSHELP-2320]
-
次の条件が満たされると、Citrix ADCアプライアンスが展開中にクラッシュする可能性があります。
- マルチパス TCP(MPTCP)は MBF と PMTUD で有効になっています
- MPTCP トラフィックが受信され、応答によって ICMP フラグメンテーションが必要というエラーが発生します。
[ NSHELP-22418 ]
-
ジャンボ MTU のスレーブインターフェイスをバックプレーンとして使用されているリンクアグリゲーションチャネルに追加すると、次の警告メッセージが正しく表示されません。
「バックプレーンインターフェイスの MTU は、すべてのパケットを処理するのに十分な大きさでなければなりません。(MTU 値) と等しくなければなりません。推奨値を設定できない場合は、ジャンボインターフェイスの MTU を確認してください。」
これは表示上の問題であり、機能に影響はありません。
[NHELP-20794]
プラットフォーム
-
Citrix ADC SDX アプライアンスでのアップグレードは、容量不足のために失敗します。
[ NSHELP-24066 ]
-
すべての10Gおよび50Gインターフェイスが9000 MTUのLACPチャネルとして構成されている場合、再起動操作時にCitrix ADC SDX 15000-50Gが完全に再起動しないことがあります。50G インターフェイスは、再起動後に失われる可能性もあります。
[NSHELP-23104]
-
HTTP (S) 経由の管理アクティビティでアプライアンスが6日以上アイドル状態のままになっていると、Citrix ADCアプライアンスへのNITRO APIリクエストまたはGUIアクセスが失敗します。
[NHELP-2849]
ポリシー
-
「NOOP」アクションタイプのレスポンダーアクションの対象フィールドは、設定ファイル(ns.conf)に保存されません。その結果、アプライアンスを再起動すると、設定が失われます。
[NHELP-2372]
-
Citrix ADCアプライアンスリリース11.1ビルド63.15をアップグレードすると、HTMLページのインポートオブジェクトGUIページに「ディレクトリが存在しない」というエラーメッセージが表示されます。
[ NSHELP-22826 ]
-
ポリシー式で MATCHES_LOCATION () 関数を構成し、フィルタ式を使用して nstrace を起動すると、Citrix ADC アプライアンスがクラッシュする可能性があります。
[NHELP-2687]
-
XML 名前空間エラーが発生したときに表示されるエラーメッセージは明確ではなく、ユーザーに問題の解決方法を伝えるのに十分な説明もありませんでした。
[ NSHELP-18283 ]
SSL
-
まれに、次の条件が満たされると、Citrix ADC アプライアンスがクラッシュすることがあります。
- SSL 仮想サーバーは、SSL レコードヘッダーが 2 つ以上の TCP パケットに分割された Client Hello メッセージを受信します。
- クライアント hello にバインドされたポリシーで転送アクションが指定されている場合、true が返されます。
- Client Hello メッセージのレコードヘッダーを完成させるパケットの TCP チェックサムには 0xxx 0x16 パターンが含まれています。
[ NSHELP-23754 ]
システム
-
サーバー側の接続が確立された後にAppFlowを有効にすると、Citrix ADCアプライアンスがクラッシュする可能性があります。
[ NSHELP-24546 ]
-
書き換えモジュールまたは HTTP Strict Transport Security (HSTS) ヘッダーがパケットを変更して 2 つに分割した場合、侵入防止システム (IPS) は 2 番目のパケットを解放します。その結果、クライアントへのパケットフローが崩れ、クライアントに転送される応答の一部しかできなくなります。
[ NSHELP-24294 ]
-
接続チェーンパラメータが有効になっているCitrixアプライアンスは、次の条件が満たされるとクラッシュする可能性があります。
- 着信パケットには 20 バイトを超える TCP オプションがあります。
- アプライアンスが余分に 20 バイトを挿入しようとすると、TCP オーバーフローが発生します。
[ NSHELP-23322 ]
-
アグリゲータープロセスが不安定になると、Citrix ADC MPX 26000-100Gアプライアンスが応答しなくなる可能性があります。
[NSBASE-11747]
ユーザーインターフェイス
-
Cookie 整合性設定 GUI ページの「復号化のみ」の Cookie オプションのスペルが間違っています。
[ NSUI-16857 ]
-
Web アプリケーションファイアウォールのプロファイル GUI ページで緩和ルールを編集すると、ページ下部にエラーメッセージが表示されます。このエラーは、内部フレームワークの問題が原因で発生します。
[ NSUI-16806 ]
-
クラスター設定では、ナビゲーションメニューの [セキュリティ] に [ボット管理] 機能が表示されません。
[ NSUI-16796 ]
-
Citrix ADC GUI の Microsoft Internet Explorer ブラウザに [保存して更新] ボタンが表示されない場合があります。
[ NSHELP-24774 ]
-
Citrix ADC アプライアンスが以下の「appfwlearningdata」APIを呼び出すと、Citrix ADC GUIに「必須引数 [プロファイル名] が見つかりません」という断続的なWSIエラーメッセージが表示されます。
- XMLDOS
- XML 添付ファイル
- WSI チェック
[NHELP-24648]
- クラスターと高可用性セットアップの両方で、次の動作が見られます。
- クラスタ設定では、CLIPの「/nsconfig/ssl」パスから削除されたファイルは、同期後も非CCOノードに反映されません。
- 高可用性セットアップでは、プライマリノードの「/nsconfig/ssl」パスから削除されたファイルは、同期後もセカンダリノードに反映されません。
[NHELP-2457]
-
Citrix ADC GUIでは、コマンドインターフェイスと比較して、表示されるキャッシュされたオブジェクトの数が少なくなります。
[ NSHELP-24337 ]
-
Citrix ADC 13.0ビルド56.xにアップグレードすると、Citrix Web App Firewallの正規表現エバリュエータが期待どおりに機能しなくなります。
[ NSHELP-24212 ]
-
Citrix ADC GUIには、選択したストリーム識別子の「Top CLIENT.UDP.DNS.DOMAIN」統計データがグラフィカル形式で表示されません。
[ NSHELP-23777 ]
-
「saveconfig-all」コマンドを実行すると、管理パーティションの最後に保存された時間が正確に更新されません。
[NSHELP-23740]
-
「set cs policy」コマンドを実行しても、マスターサイトから下位サイトへのGSLB構成のリアルタイム同期は行われません。
[ NSHELP-23393 ]
-
Citrix ADCアプライアンスでは、HTTPDがNITRO API呼び出しの処理中にコアをダンプすることがあります。
[NSHELP-23208]
-
Citrix ADC GUIでは、Web App Firewall Profilesページには、リストペインに25を超えるプロファイルを表示するための次または前のナビゲーションオプションがありません。
ナビゲーション:[セキュリティ]-> [Citrix Web App Firewall]-> [プロファイル]
[ NSHELP-22622 ]
-
「nsconfigaudit」構成差分ツールでは、修正コマンドを生成するときに、同じリソースグループ内のコマンドの順序が維持されません。
[NSHELP-21791]
-
Citrix ADC MPXアプライアンスでは、プール容量ライセンスを永久ライセンスに移行するには、まずプールライセンス構成を削除してから、プール容量ライセンスを削除する必要があります。
[NSCONFIG-4167]
既知の問題
リリース13.0-67.43に存在する問題。
認証、承認、監査
-
Citrix ADC GUIを使用して構成する場合、LDAPサーバーの「memberof」からグループ属性を設定解除することはできません。
[NHELP-2619]
-
Citrix ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。
[ NSHELP-563 ]
-
Citrix ADC GUIのログインスキーマエディター画面に DualAuthPushOrOTP.xml LoginSchema が正しく表示されません。
[NSAUTH-6106]
-
ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
show adfsproxyprofile <profile name>
回避策:クラスター内のプライマリアクティブCitrix ADCに接続し、
show adfsproxyprofile <profile name>
コマンドを実行します。プロキシプロファイルの状態が表示されます。[ NSAUTH-5916 ]
-
ファクターからポリシーをバインド解除しようとすると、nFactor Visualizer の nFactor Flow ページに「そのようなポリシーが存在しません」というメッセージが表示される場合があります。バインド解除オプションは期待どおりに機能します。
[NSAUTH-5821]
キャッシュ
-
統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、Citrix ADCアプライアンスがクラッシュすることがあります。
[NSHELP-22942]
Citrix Gateway
-
Citrix Gateway アプライアンスは、接続が閉じられた後にサーバーが開始した接続がデータパケットを送信するとクラッシュします。
[NHELP-26431]
-
Citrix Gateway のログインページには、次の一連の条件が満たされると、ログインに失敗したことを示すエラーが表示されます。このエラーは、ユーザーが再度ログオンを試みていない場合でも表示されます。
- Citrix Gatewayへのログオンが失敗します。
- Citrix Gatewayへのログオンは成功します。
- ユーザーはログアウトします。
[ NSHELP-25157 ]
-
Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。
[NSHELP-23937]
-
Gateway Insight では、アプリケーションの誤った起動失敗が報告されます。起動エラーは、アプリまたはデスクトップが起動していないときに報告されます。
[ NSHELP-23047 ]
-
次の条件が満たされると、Citrix ADC アプライアンスは応答しなくなります。
- DTLS は有効になっています。
- UDP 多重化は DTLS チャネルを使用し、トラフィックを高速で送受信します。
[ NSHELP-22987 ]
-
スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。
[ NSHELP-21897 ]
-
XenAppおよびXenDesktopウィザードを使用して認証仮想サーバーを追加しているときに、その認証サーバーの接続テストが失敗します。
[CGOP-16792]
-
次の 2 つの条件が満たされている場合、ログオン転送は機能しません。
- nFactor 認証が設定されています。
- Citrix ADCテーマはデフォルトに設定されています。
[CGOP-14092]
-
Gateway Insight レポートでは、SAML エラーエラーの認証タイプフィールドに「SAML」ではなく「Local」という値が誤って表示されます。
[ CGOP-13584 ]
-
高可用性セットアップでは、Citrix ADC フェイルオーバー中に、Citrix ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。
[ CGOP-13511 ]
-
ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承認 ] ダイアログボックスには、選択した言語に関係なく、英語でコンテンツが表示されます。
[ CGOP-13050 ]
-
一部の言語では、 Citrix SSOアプリ>ホームページの「ホームページ 」というテキストが切り捨てられます。
[ CGOP-13049 ]
-
Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。
[ CGOP-11830 ]
-
Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。
[ CGOP-7269 ]
負荷分散
-
高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。
[ NSLB-7679 ]
-
Citrix ADCアプライアンスは、無効なセッション開始プロトコル(SIP)パケットを処理中にクラッシュする可能性があります。
[NSHELP-26202]
-
コンテンツスイッチング仮想サーバーが HTTPS 要求を受信すると、次の条件が満たされると、HTTPS 要求内の最大の Cookie によってバッファオーバーフローとスタック破損が発生します。
- Cookie の形式が正しくありません。
- Cookie の長さが 32 バイトを超えています。
[NSHELP-25932]
-
名前が IP アドレスと異なるサーバーのバックエンドサーバー IP アドレスを変更すると、設定全体を保存できない場合があります。これはまれなケースであり、Citrix ADCアプライアンスのメモリが少ない場合に発生する可能性があります。
[NSHELP-24329]
-
マスターサイトから下位サイトへの設定の同期が失敗すると、SNMP アラームの生成が遅れることがあります。
[NSHELP-23391]
ネットワーク
-
newnslogバックアップファイルの数が増えると 、実行中のCitrix ADC CPXインスタンスのディスク容量が一定期間不足する可能性があります。NEWNSLOG_MAX_FILENUM 環境変数を使用すると、バックアップファイルの数を制御できます。環境変数の値を 10 に設定すると、 newnslog バックアップファイルの最大数を 10 に制限できます。
[NSNET-20261]
-
Citrix ADC BLXアプライアンスは、Citrix ADC IPv6 OSPF(OSPFv3)動的ルーティングプロトコル機能をサポートするようになりました。詳細については、 https://docs.citrix.com/en-us/citrix-adc/current-release/networking/ip-routing/configuring-dynamic-routes/configuring-ipv6-ospf.htmlを参照してください。
[ NSNET-19567 ]
-
DPDKモードのCitrix ADC BLXアプライアンスは、インターフェイスをダウン状態でDPDKにバインドした場合、インターフェイスを検出しません。
回避策:DOWN インターフェイスを DPDK にバインドしないでください。
[NSNET-16561]
-
Citrix ADC BLXアプライアンスでは、次のインターフェイス操作はサポートされていません。
- 無効化
- 有効化
- リセット
[ NSNET-16559 ]
-
次の条件に当てはまる場合、Citrix ADC アプライアンスがクラッシュする可能性があります。
- IPv6 リンク負荷分散 (LLB6) 構成では、永続性オプションが有効になっています。
- この LLB6 構成では、いくつかの IPv6 ダミー接続が作成されています。
[NSHELP-25695]
-
StyleBook を使用して構成をクラスターインスタンスにプッシュすると、コマンドが失敗し、「Command propagation failed」というエラーメッセージが表示されます。
連続して障害が発生しても、クラスターは部分的な構成を保持します。
回避策:- 失敗したコマンドをログから特定します。
- 失敗したコマンドに回復コマンドを手動で適用します。
[NSHELP-24910]
プラットフォーム
-
Citrix ADC SDX 15000-50Gアプライアンスでは、どのADC VPXインスタンスにも送信されないデータトラフィックが一時的に急増すると、次の問題が発生する可能性があります。
- 10G ポートの LACP リンクが断続的にフラップしたり、永久にダウンしたりすることがあります。
回避方法:
- 10G ポートに対応する内部 ethX ポートを調べてください
- Citrix Hypervisorのシェルプロンプトで次のコマンドを実行します。ethtool-G ethX rx 4096 tx 512
- トラフィックプロファイルを確認して、スイッチ側の不要なトラフィックをブロックしてください
[ NSHELP-25561 ]
-
デフォルトでは、内部管理インターフェイスとして設定されている管理インターフェイスでは、高可用性モニター(HAMON)と HA ハートビートは無効になっています。また、このインターフェイスでは HAMON と HA ハートビートを有効にできません。
その後、同じインターフェイスを管理インターフェイスとして再構成し、VPXインスタンスを再起動しても、HAMONとHAのハートビートオプションは無効のままです。
ただし、HA 設定の問題を回避するために、これらのオプションを手動で有効にできるようになりました。[NSHELP-21803]
ポリシー
-
処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。
回避策: TCP バッファサイズを、処理する必要のあるデータの最大サイズに設定します。
[ NSPOLICY-1267 ]
-
高可用性セットアップでは、次の問題によりフェイルオーバーが発生する可能性があります。
HTTP でない TCP 以外のパケットの処理がブロックされた後、処理を待ってキューに入れられるのを待っている場合。
[NSHELP-23506]
SSL
-
Citrix ADC SDX 22000およびCitrix ADC SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。
回避方法:
- CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:
set ssl vserver <name> -SSL3 DISABLED
。 - 構成を保存します。
[ NSSSL-9572 ]
- CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:
-
Update コマンドは、次の add コマンドでは使用できません。
- Azure アプリケーションの追加
- Azure キーボールトを追加する
- hsmkey オプションで ssl 証明書キーを追加する
[NSSSL-6484]
-
認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。
[ NSSSL-6478 ]
-
同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。
[ NSSSL-6213 ]
-
HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。
エラー:CRL 更新が無効です[ NSSSL-6106 ]
-
セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)
[ NSSSL-4427 ]
-
SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。
[ NSSSL-4001 ]
-
クラスタのセットアップでは、次の問題が発生する可能性があります。
- CLIP の SSL 内部サービスにバインドするデフォルトの証明書とキーのペアに対するコマンドがありません。ただし、古いビルドからアップグレードする場合は、デフォルトの証明書とキーのペアを、CLIP 上の影響を受ける SSL 内部サービスにバインドする必要があります。
- 内部サービスに対するデフォルトの set コマンドの CLIP とノード間の設定の不一致。
- ノードで実行される show running config コマンドの出力で、SSL エンティティに対するデフォルトの暗号バインドコマンドがありません。省略は表示上の問題にすぎず、機能への影響はありません。バインドは、
show ssl <entity> <name>
コマンドを使用して表示できます。
[NSHELP-25764]
-
クラスタ設定では、証明書またはキーファイルを削除しても、証明書の設定を変更することはできません。
[NSHELP-24913]
ユーザーインターフェイス
-
CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。
回避策: Citrix ADC GUI または CLI を使用して IPsec プロファイル、IP トンネル、および PBR ルールを追加して、Cloudbridge Connectorを構成します。
[ NSUI-13024 ]
-
既存の仮想サーバー永続性構成を編集すると、負荷分散仮想サーバーの永続性ビューにすべてのパラメーターが表示されません。
[NSHELP-25965]
-
クラスター設定では、大規模な構成(たとえば、100個の負荷分散仮想IPアドレスが複数のレスポンダーポリシーとIPパッチセットを持つCitrix Web App Firewallプロファイルにバインドされる)がすべてのクラスターノードにわたってプロビジョニングされると、遅延が発生します。
[NHELP-25458]
-
GUI でストリームセッション(AppExpert > アクション分析 > ストリーム識別子)を確認しているときに、更新ボタンが機能しない。
[NSHELP-24195]
-
管理パーティションの設定で、証明書失効リスト (CRL) ファイルのアップロードと追加が失敗する。
[NSHELP-20988]
-
Citrix ADCアプライアンスは、NITRO APIを使用して2 MBを超えるCRLファイルを追加することをサポートしていません。
[ NSHELP-20821 ]
-
Citrix ADC BLXアプライアンスでは、GUIの「レポート」タブが期待どおりに機能しない場合があります。
[NSCONFIG-4877]
-
Citrix ADCアプライアンスのバージョン13.0-71.xを以前のビルドにダウングレードすると、ファイル権限が変更されたために一部のNitro APIが機能しないことがあります。
回避策:「/nsconfig/ns.conf」の権限を 644 に変更します。
[NSCONFIG-4628]
-
次の条件が満たされると、ADC インスタンスと ADM サービス間の接続は失われます。
- インスタンスは、組み込みエージェントを使用して ADM サービスに追加されます。
- インスタンスは-Y オプションを使用するか、ADM GUI からアップグレードされます。どちらの場合も、ビルトインエージェントは再起動しません。-Y オプションを使用すると、CLI または GUI に表示されるアップグレード関連のすべての質問に対する回答として「はい」が表示されます。
[NSCONFIG-4368]
-
アプリケーションファイアウォールのシグネチャが CCO 以外のノードと同期するまでに時間がかかることがあります。その結果、これらのファイルを使用するコマンドは失敗する可能性があります。
[ NSCONFIG-4330 ]
-
あなた(システム管理者)がCitrix ADCアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。
- Citrix ADCアプライアンスをいずれかのビルドにアップグレードします。
- 13.0 52.24 ビルド
- 12.1 57.18 ビルド
- 11.1 65.10 ビルド
- システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
- Citrix ADCアプライアンスを古いビルドにダウングレードします。
CLI を使用してこれらのシステムユーザーのリストを表示するには、
コマンドプロンプトで次のように入力します。query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
回避方法:
この問題を修正するには、次の独立したオプションのいずれかを使用します。
- Citrix ADCアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。
- アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
- 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。
詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。
[ NSCONFIG-3188 ]
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.