Citrix ADC

Citrix ADC 13.0-47.24 リリースのリリースノート

このリリースノートドキュメントでは、Citrix ADC リリース13.0 Build 47.24の機能強化と変更について説明し、修正された問題の一覧を示し、存在する問題を特定しています。

  • このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。
  • 「既知の問題点」セクションは累積されています。このリリースで新たに見つかった問題と、以前のCitrix ADC 13.0リリースで修正されなかった問題が含まれています。
  • 問題の説明の下にある[# XXXXXX]ラベルは、Citrix ADCチームが内部的に使用する追跡IDです。
  • ビルド 47.24 がビルド 47.22 に取って代わります
  • ビルド 47.22 には CGOP-11856 の問題の修正が含まれています。

新機能

ビルド 47.24 で利用できる機能強化と変更点。

Citrix Gateway

  • ユーザー証明書のフィルタリングをサポート

    ユーザー証明書認証に使用される証明書をフィルタリングするには、管理者は以下のレジストリをカンマで区切ったCAのリストで構成できます。

    “HKLMSOFTWARECitrixSecure Access ClientUserCertCaList”

    [ CGOP-11856]

解決された問題

ビルド 13.0-47.24 で対処されている問題

AppFlow

  • HDX Insightでは、終了したセッションの稼働時間には、選択した間隔に関係なく実際のセッション稼働時間が表示されます。

    [ NSHELP-21380 ]

認証、承認、監査

  • Citrix ADCアプライアンスでは、次の条件では、ユーザーは追加のグループを検討する必要がなくなります。
    • ユーザーはネストされたグループの直接のメンバーです。
    • ユーザーはすでに以前のレベルグループのメンバーです。

    [ NSHELP-21945 ]

  • Citrix ADCの高可用性とクラスタ構成では、メモリ容量の解放が遅れると、メモリが蓄積されます。

    [ NSHELP-21917 ]

  • パスワードの変更やRADIUSチャレンジなどの追加のサインイン要求でユーザー認証が求められた場合、監査ログ中にCitrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-21703 ]

  • ワークスペースログイン用にSAML IdPとして構成されたCitrix Gatewayアプライアンスは、ログアウト時にHTTP 404エラーを返すことがあります。

    [ NSHELP-21650 ]

  • 次の条件が満たされると、Citrix ADCアプライアンスが接続クリーンアップでクラッシュする可能性があります。
    • トラフィックは VPN セットアップからルーティングされます。
    • SSO が進行中です。
    • クライアント接続を閉じるときにまれなタイミングの問題。

    [ NSHELP-21504 ]

  • クロスドメインのKerberos用にデプロイされたCitrix ADCアプライアンスは、KCDAccountパラメータがキータブファイルを使用して構成されている場合、SSOを実行できないことがあります。

    [ NSHELP-21406 ]

  • フォワードプロキシとして構成されたCitrix ADCアプライアンスは、HTTP 1.0クライアントでのNTLM認証を許可しません。

    [ NSHELP-21349 ]

  • まれに、無効なHTTPパケットを受信すると、Citrix Gateway アプライアンスがクラッシュすることがあります。

    [ NSHELP-21342 ]

  • NTLMプロトコルを使用するCitrix ADCアプライアンスは、メッセージングアプリケーションプログラミングインターフェイス(MAPI)クライアントに対してSSOを実行できません。

    [ NSHELP-21270 ]

  • Citrix ADCアプライアンスは、パケットエンジンが重複したセッション削除応答を生成すると、認証、承認、および監査中にクラッシュする可能性があります。

    [ NSHELP-21172 ]

  • SAMLとして展開されたCitrix ADCアプライアンスは、SAMLベースのログアウトを実行できないことがあります。

    [ NSHELP-21093 ]

  • Citrix ADC GUIの nFactor Flowsページは、Internet Explorerでは開きません。

    [ NSHELP-21065 ]

  • まれに、ユーザーが1回限りのコードの入力を求められると、Citrix Gateway アプライアンスに障害が発生することがあります。

    [ NSHELP-20967 ]

  • Citrix ADCアプライアンスは、次の状況で障害が発生する可能性があります。
    • Citrix ADCアプライアンスは、外部ソースからのメタデータ情報の更新とともに、OAuthまたはSAML IdPアクションで構成されます。
    • 外部ソースからデータを取得している間、または認証が進行中の場合、構成が変更されます。clear config コマンドを実行したときにも同じ問題が発生します。

    [ NSHELP-20646 ]

  • アクティブ同期クライアントがHEADリクエストを送信しても、Citrix ADCアプライアンスは200 OK応答を認証しません。

    [ NSHELP-20125 ]

  • Citrix ADCアプライアンスでSSOが設定されている場合、HTTPからWebSocketへのプロトコルの切り替えは失敗します。

    [NSAUTH-6354]

  • Citrix ADC GUIの[認証LDAPサーバーの作成]ページの[エンドツーエンドログインテスト]または[エンドユーザー接続のテスト]オプションを使用して認証仮想サーバーを編集すると、エラーメッセージが表示されます。

    [NSAUTH-6339]

Citrix ADC SDXアプライアンス

  • SDX GUI > 設定 > システム > 認証 > LDAP で LDAP サーバーを追加すると、フォーム入力テキストボックスで使用されている特殊文字は表示される前にデコードされません。また、Base DN フィールドの「&」文字は「&」に置き換えられます。

    [ NSHELP-21488 ]

  • SDXアプライアンスをリリース13.0にアップグレードすると、任意のビルドで、管理インターフェイス(0/1、0/2)なしでプロビジョニングされたCitrix ADCインスタンスにアクセスできなくなります。

    [ NSHELP-21412 ]

  • SDXアプライアンスで実行されている複数のVPXインスタンスを同時に再起動しようとすると、VPXインスタンスのチャネルとデータインターフェイスがSDX Management Serviceから消えます。

    [ NSHELP-21124 ]

  • SDX アプライアンスをアップグレードすると、SDX Management Service にイーサネットインターフェイスが表示されないことがあります。これは、アップグレードのインストール後の処理の一部が失敗した場合に発生します。

    [ NSHELP-21068 ]

  • SDX アプライアンスでは、CPU 使用率が高いイベントが表示されることがあります。この急増が見られるのは、アプライアンスのバックアップが CPU を大量に消費するプロセスであるためです。CPU 使用率が高くなるのは一時的なものです。

    [ NSHELP-21063 ]

  • 再起動またはシャットダウンするインスタンスが 3 つ以上選択されると、アプライアンスはインターフェイスの詳細を失います。

    [ NSHELP-21040 ]

Citrix Gateway

  • プラグインクライアントの言語が中国語に設定されている場合、Windows VPN プラグインがクラッシュします。

    [ NSHELP-21946 ]

  • Citrix ADC アプライアンスは、アドバンストクライアントレス VPN に設定するとクラッシュすることがあります。

    [ NSHELP-21819 ]

  • Citrix Gatewayをリリース13.0ビルド47.24にアップグレードすると、ローカルDNSサーバーが誤検出で応答するため、VPNトンネルを介したDNS解決が失敗します。

    [ NSHELP-21794 ]

  • Cookie が設定され、同時に有効期限が切れると、エンタープライズ Web アプリにエラーが表示されることがあります。

    [ NSHELP-21772 ]

  • RFWebUIベースのカスタムテーマまたはカスタムテーマのnFactorを使用すると、Citrix Gatewayのログオンページが応答しなくなります。

    [ NSHELP-21763 ]

  • リリース13.0ビルド47.xにアップグレードした後にCitrix ADCアプライアンスを再起動すると、認証、承認、監査グループへのイントラネットアプリケーションバインディングが失われます。

    [ NSHELP-21733 ]

  • 1https または 0https で始まるリンクにはアクセスできません。

    [ NSHELP-21469 ]

  • クライアントレス VPN アプリケーションの POST 本文に HTML エンコードされた ‘(一重引用符)または “(二重引用符)が含まれている場合、高度なクライアントレス VPN を使用してアプリケーションをブックマークから起動することはできません。

    [ NSHELP-21361 ]

  • プロキシPACファイルにアクセスできない場合、Citrix Gateway VPNプラグインがマシンへのトンネルを確立するのに時間がかかることがあります。

    [ NSHELP-21355 ]

  • 以下の条件が満たされると、Citrix Gateway がコアをダンプする場合があります。

    • Citrix Gateway アプライアンスでは EDT インサイト機能が有効になっています。
    • アプライアンスは、VDAから順序が狂ったCGP BINDRESPパケットを受信します。

    [ NSHELP-21296 ]

  • 一部のマシンでは、EPA プロンプトウィンドウボタン ([はい]、[いいえ]、[常に]) が EPA プラグイン画面に表示されません。

    [ NSHELP-21276 ]

  • Citrix Gateway の高可用性セットアップでは、Citrix Web App Firewall グローバルでロギングが有効になっていると、高可用性同期中にセカンダリノードがクラッシュします。

    [ NSHELP-21254 ]

  • Citrix Gateway でクライアントレスVPN(CVPN)を設定している場合、誤った書き換え処理によりアプライアンスがクラッシュする可能性があります。

    [ NSHELP-21244 ]

  • Citrix Gateway の高可用性セットアップで、Gateway Insightが有効になっていると、セカンダリノードがクラッシュすることがあります。

    [ NSHELP-21184 ]

  • 2 台以上のクライアントマシンが同じゲートウェイへの VPN トンネル接続を確立しようとすると、あるクライアントマシンから別のマシンへの ping 接続が失敗します。

    [ NSHELP-21169 ]

  • 転送ログイン中にCitrix ADCアプライアンスがクラッシュすることがあります。

    [ NSHELP-21134 ]

  • VPN仮想サーバーのホスト名に「cvpn」が含まれている場合、ユーザーはCitrix Gatewayにログオンできません。

    [ NSHELP-21119 ]

  • 高度なクライアントレス VPN アクセスを設定している場合、エンタープライズ Web アプリで (‘x3a’ や ‘:’ には ‘&%23x3a’) などのエンコーディングが使用されていると、SAP アプリケーションのブックマークが正しく表示されません。

    [ NSHELP-21072 ]

  • クライアントとサーバーのプロセス制御ブロックへのメモリ割り当てが失敗した場合、Citrix ADCアプライアンスがクラッシュしてコアをダンプする可能性があります。

    [ NSHELP-20961 ]

  • リバーススプリットトンネリングが有効になっている場合、イントラネットルートは間違ったプレフィックス値で追加されるか、まったく追加されません。

    [ NSHELP-20825 ]

  • Citrix Gateway の高可用性セットアップでは、ポリシーが設定されていない状態でノードをリリース12.0からリリース13.0にアップグレードすると、セカンダリノードがクラッシュする可能性があります。

    [ NSHELP-20790 ]

  • バックエンドサーバーにアクセスできない場合、クライアントは接続を使い果たし、バックエンドへの新しい接続は成功しません。

    [ NSHELP-20535 ]

  • ICAプロキシ用に構成されたCitrix Gatewayアプライアンスがクラッシュすることがあります。

    [ NSHELP-20478 ]

  • 場合によっては、ICA Insightを有効にしたダブルホップ展開の外部向けCitrix Gatewayが、特定のネットワークトラフィックパターンのコアをダンプすることがあります。

    [ NSHELP-19487 ]

  • plugins.xml を編集して、LoginFormTimeout やセッションタイムアウトなどの RFWebUI パラメータを設定できるようになりました。

    [ NSHELP-19221 ]

  • Citrix ADCとゲートウェイプラグインをリリース13.0ビルド41.20にアップグレードした後、ユーザーがVPNトンネルをセットアップしようとすると、ブルースクリーンオブデスエラー(BSOD)が連続して表示されます。

    [ CGOP-12099 ]

Citrix Web App Firewall

  • Citrix ADCアプライアンスは、URLクロージャー保護が有効になっている場合、2分後にクロージャURLをブロックします。

    [NSWAF-3292]

  • Web App Firewall プロファイルがAPPFW_DROPおよびAPPFW_RESETポリシーアクションを使用すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-21283 ]

  • APPFW_DROPとAPPFW_RESETをWeb App Firewall ポリシーアクションとして使用すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-21220 ]

  • Citrix Web App Firewall機能が有効になっていると、メモリ障害によりCitrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-21201 ]

  • Citrix ADCアプライアンスは、メモリ割り当ての失敗によりクラッシュする可能性があります。

    [ NSHELP-21071 ]

  • Citrix ADCアプライアンスは、受信したGWTリクエストのURLにクエリ文字列が含まれている場合、接続をリセットします。

    [ NSHELP-20564 ]

  • ビルド 12.0-58.15 から 12.0-62.8 にアップグレードすると、URL 変換機能が一部の URL で機能しなくなります。この問題は、URL を書き換える際の正規化が正しくないことが原因です。

    [ NSHELP-20460 ]

  • 低速のFTP/HTTPサーバーを使用して署名をダウンロードし、ダウンロード時間が10分を超えると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-18331 ]

負荷分散

  • Citrix ADC アプライアンスは GSLB 同期中にクラッシュする可能性があります。この問題は、存在しない GSLB サービスで「set gslb service」コマンドを実行した場合に発生します。

    [ NSHELP-21304 ]

  • 接続フェールオーバー後、セカンダリアプライアンスが新しいプライマリアプライアンスになると、パケット損失が発生します。

    [ NSHELP-21155 ]

  • set service <servicename> コマンドを実行すると、次のエラーメッセージが表示されます。
    「IP アドレスはドメインベースのサーバーには設定できません。

    このエラーメッセージは、サーバーが 32 文字を超える名前で構成されている場合に表示されます。

    [ NSHELP-20939 ]

  • クラスター内の GSLB セットアップでは、set rpcnode コマンドを実行すると、RPC ノードのソース IP アドレスが NSIP アドレスに変更されます。そのため、GSLBはMEP接続を開始する際に、SNIPアドレスの代わりにNSIPアドレスを使用します。

    [ NSHELP-20552 ]

  • クラスタ設定で、「unset lb vserver test-RedirectFromPort」コマンドを実行しても、負荷分散仮想サーバーの HTTP リダイレクトポートがデータベースからクリアされません。

    [ NSHELP-20518 ]

  • IPv6高可用性セットアップで永続性が有効になっていると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-20219 ]

その他

  • <URL expression>.URLSET_MATCHES_ANY(URLSET1 || URLSET2)などの複合URLSet式では、アプリフローレコードの「Urlset Matched」フィールドには、最後に評価されたURLSetの状態のみが反映されます。たとえば、リクエストされた URL が URLSET1 のみに属している場合、URL はいずれかの URL セットに属していますが、URLSet Matched フィールドは 0 に設定されます。その結果、URLSET1 は URLSet Matches フィールドを 1 に変更しますが、URLSET2 は 0 に戻します。

    [NSSWG-1100]

  • 受信 URL のドメイン名の後に二重スラッシュが付いていると、URL フィルタの分類は失敗します。「http://」スキームが先頭に追加されます。たとえば、www.example.com//index.html

    [NSSWG-1082]

  • Citrix ADCアプライアンスとCitrix Gatewayでは、次の動作が見られます。
    • Citrix ADCアプライアンスをプロキシとして展開し、バックエンドアプリケーションでSSOを有効にすると、応答しなくなることがあります。
    • アウトバウンドプロキシ構成を使用するCitrix Gatewayでも同じ動作が見られます。

    [ NSHELP-21437 ]

  • ポリシーおよび課金ルール機能(PCRF)でデバイスウォッチドッグ要求
    (DWR)プローブが有効になっていて、PCRFにアクセスできなくなると、Citrix ADCアプライアンスが断続的にクラッシュする可能性があります。

    [ NSHELP-20827 ]

  • show techsupport-scope cluster コマンドを実行すると、すべての Citrix ADC SDX アプライアンスについて次のエラーが表示されます。

    これは低帯域幅のインスタンスです

    [ NSHELP-20666 ]

ネットワーク

  • DPDKをサポートするCitrix ADC BLXアプライアンスは、Linuxホスト上でDPDKが誤って構成されている場合(たとえば、ヒュージページが設定されていない場合)、起動に失敗してコアをダンプします。

    Citrix ADC BLX アプライアンスの Linux ホストで DPDK を構成する方法の詳細については、 https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx-dpdk.htmlを参照してください。

    [ NSNET-11349 ]

  • LinuxホストでのDPDKの構成ミス(たとえば、ヒュージページが設定されていない場合)が原因で、Citrix ADC BLXアプライアンスを起動できません。Citrix ADC BLX アプライアンスを起動するには、起動コマンド(systemctl start blx)を 2 回実行する必要があります。

    [ NSNET-11107 ]

  • VTYSH コマンドラインで sh IP BGP サマリーコマンドを実行すると、32 ビット ASN 値が誤って負の値として表示されます。

    [ NSHELP-21234 ]

  • Citrix ADCアプライアンスでは、構成のクリア基本操作を実行すると、IPv6サブネットIPアドレスへの管理接続がリセットされる場合があります。

    [ NSHELP-21206 ]

  • パーティションの設定操作中に、パーティションの最大メモリが NS_SYS_MEM_FREE () のみまで増加するようになりました。以前は、Citrix ADCアプライアンスの再起動後に構成されたパーティションが失われないように、使用可能な最大メモリまで増やされていました。

    [ NSHELP-21159 ]

  • Citrix ADCは、受信した大きなリンクステートPDU(LSP)の認証(AUTH)情報がないため、中間システムから中間システム(IS-IS)へのネクストホップのインストールに失敗します。

    [ NSHELP-21062 ]

  • システムの再起動後、Citrix ADCアプライアンスはメトリックを減らしたルートを180秒間アドバタイズします。

    [ NSHELP-20842 ]

  • パッシブモードのFTPデータ接続は、MACモードのトランスペアレント仮想サーバ展開中に応答しなくなります。

    [ NSHELP-20698 ]

  • Citrix ADCアプライアンスは、UDPおよびICMPタイプの送信監視パケットのポリシーベースルート(PBR)ルールをスキップする場合があります。

    [ NSHELP-20545 ]

プラットフォーム

  • Citrix ADC VPXアプライアンスをウォームリブートすると、次の条件でサブスクリプションライセンスが失われる可能性があります。

    • エラスティックネットワークアダプター (ENA) ベースの AWS インスタンスタイプを使用する:C5、C5n、M4、M5。
    • サポートされている既存の AWS インスタンスで ENA インターフェイスを有効にする。

    [ NSPLAT-13467 ]

  • 10G IXGBEポートを使用するCitrix ADC MPXアプライアンスおよび10G IXGBEVFポートを使用するCitrix ADC SDXアプライアンスでは、送信ストールが発生する可能性があります。

    [ NSPLAT-13338 ]

  • 新しいCitrix ADC SDXハードウェアプラットフォームのサポートこのリリースでは、次の新しいプラットフォームがサポートされるようになりました。

    [ NSPLAT-12815 ]

  • Citrix ADC SDX 8900およびSDX 15000 50Gアプライアンスをバージョン11.1 63.9にアップグレードすると、10G NICがアプライアンスに表示されなくなります。この問題により、VPXインスタンスが起動しなくなります。その結果、インスタンスにアクセスできなくなります。

    [ NSPLAT-12093 ]

  • 場合によっては、Fortville NICを含むCitrix ADC SDXアプライアンスで1つ以上のVPXインスタンスを再起動すると、インターフェイスのLACPが「デフォルト」状態になることがあります。

    [ NSHELP-21091, NSHELP-20769, NSHELP-23159, NSHELP-23191 ]

  • 場合によっては、SDX 14000アプライアンスが応答しなくなり、再起動が必要になることがあります。

    [ NSHELP-21017 ]

  • Cisco CSP 2100プラットフォームでのVPX展開では、物理ネットワークインターフェイスカード(pNIC)から複数の仮想機能(VF)が作成されると、パケットがドロップされることがあります。

    [ NSHELP-20991 ]

  • パケットが 8 つを超える記述子にまたがる場合、Fortville インターフェイスを搭載したアプライアンスで Tx ストールが発生する可能性があります。ストールすると、インターフェイスがエラー無効状態になる可能性があります。

    [ NSHELP-20800 ]

ポリシー

  • チャンク化されたデータを書き換えるときにネットワークバッファが少ないと、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-20847 ]

SSL

  • 場合によっては、SSL トラフィックの実行中に次のアプライアンスがクラッシュする可能性があります。
    • MPX 59xx
    • MPX/SDX 89xx
    • MPX/SDX MPX 26xxx
    • MPX/SDX 26xxx-50S
    • MPX/SDX 26xxX-100G
    • MPX/SDX 15xxx-50G

    [ NSSSL-7606 ]

  • オプションのクライアント証明書によるクライアント認証が仮想サーバーでも構成されている場合、必須の証明書検証によるポリシーベースのクライアント認証は失敗します。

    [ NSHELP-21190 ]

システム

  • 次の場合、分析レポートはCitrix ADM GUIに表示されません。
    1. ADM 12.1.52.15 またはそれ以降をインストールしてください。
    2. Logstream 転送モードを選択して、インスタンスの分析を設定します。

    [ NSHELP-21618 ]

  • Citrix ADCアプライアンスは、アイドルタイムアウト後、HTTP/2 RST_STREAMによるクライアント接続のHTTP/2ストリームをリセットしません。

    [ NSHELP-21537 ]

  • Citrix ADCアプライアンスのHTTP/2プロファイルで多重化を有効にすると、クライアント接続が応答しなくなります。

    [ NSHELP-21434 ]

  • Citrix ADCアプライアンスは、トレーラーヘッダーとコンテンツ長ヘッダーの両方が含まれている場合、クライアントに応答を転送しません。

    [ NSHELP-21427 ]

  • HTTP/2セキュアモニターのメモリ割り当てに失敗すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-21400 ]

  • AppQoEアクションが失敗した場合、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-21393 ]

  • Citrix ADCアプライアンスが複数のCookie の名前と値のペアを含むHTTP/2リクエストをバックエンドサーバーに送信すると、HTTPトランザクションが失敗する可能性があります。

    [ NSHELP-21373 ]

  • Citrix ADCアプライアンスは、HTTP/2.0バージョンを含むHTTP/1.1リクエストを受信するとクラッシュする可能性があります。HTTP/2.0 バージョンのクライアントリクエストについては、アプライアンスはそれを HTTP/2.0 リクエストと見なして処理します。これはクラッシュにつながります。

    [ NSHELP-21187 ]

  • 大きなHTTPレスポンスを処理するときにAppflowクライアント側測定が有効になっていると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-21099 ]

  • show connectiontable コマンドを実行すると、次の条件で前述のフィルタを満たさないエントリがいくつか表示されます。
    • コマンドはトラフィックの多い状態で実行されます。
    • コマンドは IP またはポートフィルタと共に使用されます。

    [NSBASE-9509]

ユーザーインターフェイス

  • ADCとADMの間の遅延が大きい場合、Citrix ADCプール容量ライセンスが失敗する可能性があります。この問題は、遅延が 200 ミリ秒を超える場合に発生します。

    Citrix ADC ライセンスクライアントは、ADM からライセンスを繰り返しチェックアウトしようとします。高可用性とクラスタ設定では、同期がトリガーされるたびにライセンス構成が不必要に再適用されます。プールされたライセンスコマンドの伝達と同期は無効になっています。各ノードは、ノードの NSIP にログインして個別にライセンスを取得する必要があります。クラスタ IP では show コマンドのみを実行できます。

    [ NSUI-14868, NSHELP-22045 ]

  • ビルド 12.1-55.x にアップグレードした後、プールライセンスが設定されている場合、アプライアンスはライセンスなしで起動することがあります。その結果、すべての機能が無効になり、ライセンスに依存する設定が実行構成に含まれなくなります。ウォームリブートを実行して、プールライセンスと構成を復元します。
    注意:ライセンスのないアプライアンスでは、「save config」を実行したり、HA フェイルオーバーを強制したりしないでください。

    [ NSUI-7869 ]

  • カウントクエリがCitrix ADCアプライアンスで動作しない場合、KeyError例外が発生します。

    [ NSHELP-20979 ]

  • 負荷分散サーバーの統計情報が、Citrix ADC GUIダッシュボードでずれている。

    [ NSHELP-20752 ]

  • パーティションのデプロイ中に、デフォルトパーティションで「uiinternal」コマンドを実行してから「clear config」を実行すると、パーティション化されたアプライアンスがクラッシュする可能性があります。

    [ NSHELP-20247 ]

  • 特定のシナリオでは、プロンプト文字列のユーザー名 (「%u」文字で指定) が正しく表示されません。

    [ NSHELP-19991 ]

  • Citrix ADCコマンドインターフェイスとGUIには、一部のSNMPアラームのシステム時間パラメータ設定が表示されません。

    [ NSHELP-19958 ]

  • 最大文字数が63文字であっても、ファイル名が61文字から63文字の場合、Citrix ADC GUIを使用してバックアップファイルを取得することはできません。

    [ NSHELP-11667 ]

  • Citrix Gateway アプライアンスは、アプライアンスにログオンするたびに、重複したRADIUSアクセス要求をRADIUS認証サービスに送信します。

    [ NSHELP-11148 ]

既知の問題

リリース13.0に存在する問題。

アプリフロー

  • トランザクションが完了した後、接続が閉じられる前にappflowアクションが削除されたときにタイミングの問題が発生すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSBASE-9345]

認証、承認、監査

  • Citrix ADC GUIのログインスキーマエディター画面に DualAuthPushOrOTP.xml LoginSchema が正しく表示されません。

    [NSAUTH-6106]

  • ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。

    show adfsproxyprofile <profile name>

    回避策:クラスタ内のプライマリアクティブな Citrix ADC に接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

    [NSAUTH-5916]

  • Citrix ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。

    [ NSHELP-563]

Citrix ADC GUI

  • 「デフォルトのnsrootパスワードが使用されているときにnsrootユーザーのパスワード変更を強制する」機能が有効になっていて、Citrix ADCアプライアンスへの最初のログオン時にnsrootパスワードが変更された場合、nsrootパスワードの変更はCCO以外のノードに伝播されません。そのため、nsroot ユーザーが非 CCO ノードにログオンすると、アプライアンスはパスワードの変更を再度要求します。

    [NSCONFIG-2370]

Citrix ADC SDX アプライアンス

  • Citrix ADC SDX 管理サービスのNTPサービスは、NTPクエリに応答します。ただし、管理サービスには、NTP クエリの制限を設定するオプションはありません。

    回避策: /flash/mpsconfig/ntp.conf を手動で変更し、管理サービスから NTP 同期を再度有効にして変更を有効にします。ただし、NTP サーバの設定を変更すると、この変更は失われます。

    [ NSHELP-12246]

  • Citrix ADC インスタンスのインターフェイスの TrunkAllowedVLAN リストに 100 を超える VLAN を設定すると、次のエラーメッセージが表示されることがあります。

    エラー:操作がタイムアウトしました

    エラー:パケットエンジンとの通信エラー

    [ NSNET-4312]

Citrix ADC VPXアプライアンス

  • AWSにデプロイされたCitrix ADC VPXインスタンスは、次の条件が満たされると、構成されたIPアドレス(VIP、ADC IP、SNIP)を介した通信に失敗します。

    • AWS インスタンスタイプは M5/C5 で、KVM ハイパーバイザーベースです。

    • VPXインスタンスには複数のネットワークインターフェースがあります

    これはAWSの制限であり、AWSはまもなくこの問題を修正する予定です。

    回避策: ADC IP、VIP、SNIP 用に別々の VLAN を設定します。VLAN の設定の詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/networking/interfaces/configuring-vlans.htmlを参照してください。

    [ NSPLAT-9830]

  • Citrix ADC VPXインスタンスを下位バージョンにダウングレードすると、再起動中にインスタンスが停止します。この問題は、インスタンスに複数の CPU コアが割り当てられている場合に発生します。

    [ NSPLAT-12603]

Citrix Gateway

  • Outlook Web App (OWA) 2013 では、[設定] メニューの [オプション] をクリックすると、[重大なエラー] ダイアログボックスが表示されます。また、ページが応答しなくなります。

    [ CGOP-7269]

  • クライアント側でStoreFStoreFront のFQDN解決に予想以上に時間がかかる場合、Citrix GatewayはクライアントのIPアドレスをソースIPアドレスとして使用してStoreFStoreFront サーバーにトラフィックを送信します。

    [ NSHELP-19476]

  • 高可用性セットアップでは、Citrix ADC フェイルオーバー中に、Citrix ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。

    [ NSINSIGHT-2059]

  • Gateway Insight レポートでは、SAML エラーエラーの認証タイプフィールドに「SAML」ではなく「Local」という値が誤って表示されます。

    [ NSINSIGHT-2108]

  • ユーザーがバージョン6.5のCitrix Virtual App and Desktops(以前のCitrix XenAppおよびXenDesktop)とともにMACレシーバーを使用している場合、ICA接続によりICA解析中にスキップ解析が行われます。

    回避策: レシーバーを最新バージョンのCitrix Workspaceアプリにアップグレードしてください。

    [ NSINSIGHT-924]

Citrix SDX アプライアンス

  • SDX 26000-100G 15000-50 G アプライアンスのアップグレードには時間がかかる場合があります。その結果、システムに「管理サービスが 1 時間 20 分後に起動できませんでした」というメッセージが表示されることがあります。管理者に連絡してください。」

    回避策: メッセージを無視してしばらく待ってから、アプライアンスにログオンします。

    [NSSVM-3018]

Citrix Web App Firewall

  • メモリ使用量が多く、アプリケーションの障害によりメモリ値が解放されない場合、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-18863]

Cloudbridge connector

  • CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge コネクタの設定に失敗することがあります。

    回避策: Citrix ADC GUI または CLI を使用して IPsec プロファイル、IP トンネル、および PBR ルールを追加して、CloudBridge Connectorを構成します。

    [ NSUI-13024]

負荷分散

  • Citrix ADC VPXアプライアンスは、応答しなくなった後に数回再起動します。

    [ NSHELP-20435]

ネットワーク

  • Citrix ADCアプライアンスが削除コマンドの一部として多数のサーバー接続をクリーンアップすると、Pitbossプロセスが再起動することがあります。このPitbossの再起動により、ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-136]

プラットフォーム

  • Citrix ADC SDX 26000-100Gプラットフォームでは、アプライアンスを再起動してもインターフェイスが起動しない場合があります。

    回避策: オートネゴシエーションが ON に設定されていることを確認します。オートネゴシエーションステータスを確認および編集するには、SDX GUI > システム > インターフェイスに移動します。

    [ NSPLAT-11985]

SSL

  • クラスタ設定では、クラスタ IP (CLIP) アドレスの実行構成には、エンティティにバインドされた DEFAULT_BACKEND 暗号グループが表示されますが、ノードには表示されません。これは表示の問題です。

    [ NSHELP-13466]

  • Update コマンドは、次の add コマンドでは使用できません。

    • Azure アプリケーションの追加

    • Azure キーボールトを追加する

    • hsmkey オプションで ssl 証明書キーを追加する

    [ NSSSL-6484, NSSSL-6379, NSSSL-6380]

  • HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。

    エラー:CRL 更新は無効です

    [ NSSSL-6106]

  • 同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。

    [ NSSSL-6213]

  • 認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

    [ NSSSL-6478]

  • セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

    [ NSSSL-4427]

システム

  • 処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

    回避策: TCP バッファサイズを、処理する必要のあるデータの最大サイズに設定します。

    [NSPOLICY-1267]

Web Citrix Web App Firewall

  • クレジットカード検証プロセスのエラーケースが誤って処理された場合、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-20562]

以前のCitrix ADC 13.0 リリースの新機能

ビルド47.24より前のCitrix ADC 13.0リリースで利用できた機能強化と変更点。問題の説明の下にあるビルド番号は、この拡張または変更が行われたビルドを示しています。

AppFlow

  • 管理パーティションでのログストリームのサポート

    Citrix ADCアプライアンスは、管理パーティションからログストリームレコードを送信できるようになりました。

    [ビルド41.28から]

    [NSBASE-4777]

  • NSIP アドレスによるログストリームレコードの監視

    Citrix ADCアプライアンスは、NSIPアドレスを使用してCitrix ADM に接続し、ログストリームレコードを送信できるようになりました。

    [ビルド41.28から]

    [NSBASE-7400]

認証、承認、監査

  • ADFSPIP の信頼更新サポート

    有効期限が近づいている既存の証明書や、既存の証明書が有効でない場合に、その証明書の信頼を更新できるようになりました。証明書の信頼更新は、Citrix ADCアプライアンスとADFSサーバー間で信頼が確立された場合にのみ行われます。

    [ビルド 47.22 から]

    [NSAUTH-27]

  • OAuth 認証に対する名前と値の属性のサポート

    OAuth 認証属性に、固有の名前と値を設定できるようになりました。名前は OAuth アクションパラメータで設定され、値は名前を問い合わせることによって取得されます。name 属性値を指定すると、管理者は属性名に関連付けられた属性値を簡単に検索できます。また、管理者は属性を値だけで覚える必要がなくなりました。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/oauth-authentication.html#name-value-attribute-support-for-oauth-authentication を参照してください。

    [ビルド41.28から]

    [NSAUTH-5563]

  • SAML SP のカスタム認証クラスリファレンスのサポート

    SAML action コマンドでカスタム認証クラス参照属性を設定できるようになりました。カスタム認証クラス参照属性を使用すると、適切な SAML タグ内のクラス名をカスタマイズできます。

    [ビルド 47.22 から]

    [ NSAUTH-603, NSAUTH-58, NSHELP-451]

  • nFactor ビジュアライザーの強化

    nFactor ビジュアライザーでは、以下の機能が強化されています。

    • 管理者は、接続されていないファクタをゴミ箱アイコンにドラッグアンドドロップして移動できるようになりました。

    • nFactor フローは、認証仮想サーバーページからも表示できるようになりました。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/multi-factor-nfactor-authentication/nfactor-authentication-simplification.html#enhancements-to-the-nfactor-visualizer を参照してください。

    [ビルド41.28から]

    [NSAUTH-6159]

  • Active Directory フェデレーションサービスプロキシ統合プロトコルのクライアント証明書ベースの認証のサポート

    クライアント証明書ベースの認証が Active Directory フェデレーションサービスプロキシ統合プロトコルでサポートされるようになりました。

    注:この機能は現在テクニカルプレビューリリース中です。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/adfspip-compliance.html#client-certificate-based-authentication-on-adfs-server を参照してください。

    [ビルド41.28から]

    [NSAUTH-6457]

  • パフォーマンスを向上させるための認証仮想サーバーへのデフォルトキャッシュポリシー

    Citrix ADCアプライアンスは、すべての認証仮想サーバーにデフォルトのキャッシュポリシーを適用できるようになりました。これらのポリシーは、認証、承認、および監査用の仮想サーバーが作成されたときにデフォルトに関連付けられます。その結果、すべてのGUIページがキャッシュされ、Citrix ADCキャッシュモジュールから提供されるため、管理CPUとHTTPデーモンの負荷が軽減されます。また、より多くのユーザーに同時にサービスを提供できます。

    [ビルド 47.22 から]

    [NSAUTH-6654]

  • OTP データの暗号化と既存の OTP データの暗号化形式への移行のサポート

    セキュリティ強化のため、OTP シークレットデータをプレーンテキストではなく暗号化された形式で保存できるようになりました。Citrix ADC リリース13.0ビルド41.xx以降、必要な構成が設定されている場合、OTPデータは自動的に暗号化された形式で保存されます。ただし、プレーンテキストの既存の OTP データの場合は、OTP 暗号化ツールを使用してプレーンテキストから暗号化形式に移行できます。また、OTP 暗号化ツールを使用して、既存の証明書を新しい証明書に更新できます。

    OTP暗号化ツールは「var」にあります

    「スケール/ルートツール」ディレクトリを設定します。この場所からツールをダウンロードし、必要な AD 認証情報と前提条件を使用してツールを実行する必要があります。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/native-otp-authentication/otp-encrypt-secret.htmlhttps://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/native-otp-authentication/otp-encryption-tool.html を参照してください。

    [ビルド41.28から]

    [NSAUTH-74]

  • SAML IdP のアサーションコンシューマーサービス (ACS) URL サポート

    SAML IDプロバイダー(IdP)として構成されたCitrix ADCアプライアンスは、SAMLサービスプロバイダー(SP)リクエストを処理するためのACSインデックス作成をサポートするようになりました。SAML IdP は、ACS インデックス設定を SP メタデータからインポートするか、ACS インデックス情報を手動で入力できるようにします。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/saml-authentication/citrix-adc-saml-idp.html#assertion-consumer-service-url-support-for-saml-idp を参照してください。

    [ビルド41.28から]

    [ NSHELP-20228]

Citrix ADC BLX アプライアンス

  • Citrix ADC BLX アプライアンスの DPDK サポート

    Citrix ADC BLXアプライアンスは、ネットワークパフォーマンスを向上させるためのLinuxライブラリとネットワークインターフェイスコントローラーのセットであるデータプレーン開発キット(DPDK)をサポートするようになりました。Citrix ADC BLXアプライアンスは専用モードでのみDPDKをサポートします。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx-dpdk.html を参照してください。

    [ビルド41.28から]

    [ NSNET-2456]

  • Citrix ADC BLX アプライアンスの IPv4 OSPF ダイナミックルーティングプロトコルのサポート

    Citrix ADC BLXアプライアンスは、IPv4 OSPF(OSPFv2)ダイナミックルーティングプロトコルをサポートするようになりました。

    [ビルド 47.22 から]

    [ NSNET-7783]

  • Citrix ADC BLX アプライアンスの BGP ダイナミックルーティングプロトコルサポート

    Citrix ADC BLXアプライアンスは、IPv4およびIPv6 BGP動的ルーティングプロトコルをサポートするようになりました。

    [ビルド41.28から]

    [ NSNET-7785]

  • Citrix ADC BLX アプライアンスの Ubuntu Linux ホストサポート

    Citrix ADC BLX アプライアンスは Ubuntu Linux システムでの実行をサポートするようになりました。

    [ビルド41.28から]

    [ NSNET-9259]

Citrix ADC CPX アプライアンス

  • Citrix ADC CPXの軽量バージョンでは、MonitorConnectionCloseパラメーター値のデフォルト値がRESETに設定されています。

グローバルロードバランシングパラメータを使用してモニタとプローブの接続を閉じるには、MonitorConnectionClose を FIN または RESET に設定できます。MonitorConnectionClose パラメーターを次のように設定すると、

-  FIN: The appliance performs a complete TCP handshake.

-  RESET: The appliance closes the connection after receiving the SYN-ACK from the service.

In lighter version of Citrix ADC CPX, the monitorConnectionClose parameter value is set to RESET by default and cannot be changed to FIN at the global level. However, you can change the monitorConnectionClose parameter to FIN at the service level.

[From Build 41.28]

[ NSLB-4610]

Citrix ADC GUI

  • 管理パーティションのフロントエンド最適化サポート

    パーティションモードでも、「拡張機能の設定」ページからフロントエンド最適化機能を有効にできるようになりました。

    [ビルド41.28から]

    [ NSUI-12800]

  • サービスまたはサービスグループの状態が DOWN とマークされた原因を特定するためのサポート

    これで、モニタバインディングインターフェイスに移動しなくても、ダウンしているサービスまたはサービスグループのモニタプローブ情報を GUI で表示できます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-manage-setup/managing-services.html#identify-the-cause-for-the-service-state-marked-down-by-using-the-gui を参照してください。

    [ビルド41.28から]

    [ NSUI-12906]

  • 仮想サーバーの状態が DOWN とマークされた原因を特定するためのサポート

    これで、モニタバインディングインターフェイスに移動しなくても、ダウンしている仮想サーバの GUI でモニタプローブ情報を表示できます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-manage-setup/managing-vserver.html#identify-the-cause-for-the-virtual-server-state-marked-down-by-using-the-gui を参照してください。

    [ビルド41.28から]

    [ NSUI-13255]

  • SSL 証明書のガイド付き操作

    Citrix ADC GUIでは、SSL証明書の作成、インポート、および更新に関連する一般的でありながら詳細なタスクについて、ガイド付きの操作が可能になりました。アプライアンスを初めて起動するときに、ガイド付きインタラクションを有効にするように求められます。有効になっている場合は、[システム] > [設定] > [CUXIP 設定の変更] に移動し、[Enable CUXIP] チェックボックスをオフにすることで、いつでも明示的に無効にできます。

    注:この機能は、Citrix ADC GUIのSSL証明書でのみ使用できます。

    [ビルド41.28から]

    [ NSUI-13389]

  • アップグレード GUI のディスク容量使用量の色表示

    Citrix ADC GUIの[ディスク容量の確認]画面([システム]>[システム情報]>[システムアップグレード]>[ディスク容量の確認])に、現在使用されているディスク容量の色分けが追加されました。

    GUI には、現在のディスク容量の使用率が次の色で表示されます。

    • 緑色 (現在使用されているディスク容量が =< 80% の場合)

    • 赤 (現在使用されているディスク容量が 80% を超える場合)

    [ビルド 47.22 から]

    [ NSUI-13699]

  • Citrix ADC ボット管理のシステムログ

    ログビューアの GUI ページに、ログに記録されたボット関連の操作を除外するオプションが追加されました。

    [ビルド 47.22 から]

    [ NSUI-13722]

  • ボット統計の GUI サポート

    ダッシュボードページの新しいボットセクションには、ボット関連の統計が表示されます。

    [ビルド 47.22 から]

    [ NSUI-13945]

Citrix ADC SDX アプライアンス

  • SWG 機能付きの ADC プラチナライセンス

    Citrix Secure Web Gateway(SWG)の機能はCitrix ADC Premiumライセンスと統合され、SWGは個別のインスタンスライセンスとして提供されなくなりました。SDXアプライアンスを13.0 47.xにアップグレードすると、アプライアンスで実行されている既存のSWGインスタンスがSDX管理サービスダッシュボードにCitrix ADCインスタンスとして表示されます。

    [ビルド 47.22 から]

    [# NSSVM-2806]

Citrix ADC VPXアプライアンス

  • Azure モニターのCitrix ADC VPX メトリクス

    Azure監視サービスのメトリックを使用して、CPU、メモリ使用率、スループットなどのCitrix ADC VPXリソースのセットを監視できるようになりました。メトリックサービスは、Azure上で実行されるCitrix ADC VPXリソースをリアルタイムで監視します。メトリックエクスプローラー を使用して、収集されたデータにアクセスできます。

    [ビルド 47.22 から]

    [ NSPLAT-10104]

  • マスター・クロック・ソースをCPU0からCPU1に移動するための新しいパラメータ

    Citrix ADC VPXインスタンスの場合、マスタークロックソースをCPU0(管理CPU)からCPU1に移動できるようになりました。マスタークロックソースを変更するには、「set ns vpxparam」コマンドに-masterclockcpu1 パラメーターを追加します。このパラメータには、次のオプションがあります。

    • はい — VM がマスタークロックソースを CPU0 から CPU1 に移動できるようにします。

    • NO — VM はマスタークロックソースに CPU0 を使用します。デフォルトでは、CPU0 がマスタークロックソースです。

    [ビルド 47.22 から]

    [ NSPLAT-10859]

  • Google Cloud プラットフォームでの高可用性サポート

    これで、同じリージョン内の複数のゾーンにまたがって、Citrix VPX インスタンスを高可用性ペアとしてGoogle Cloud Platformにデプロイできるようになりました。詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-vpx-google-cloud-ha.html を参照してください。

    [ビルド41.28から]

    [ NSPLAT-7714]

  • プライベートIP移行を使用してVPX HAペアをAWSにデプロイする

    プライベートIP移行を使用して、VPXインスタンスを同じゾーンにHAペアとして非独立ネットワーク構成(INC)モードで展開できるようになりました。これにより、フェイルオーバー時間が大幅に短縮されます。以前は、VPX HAノードは、フェイルオーバー時間が長いネットワークインターフェイス(ENI)移行を使用して展開されていました。詳しくは、次のトピックを参照してください:

    https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws/how-aws-ha-works.html

    https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws/vpx-aws-ha.html

    [ビルド41.28から]

    [ NSPLAT-7718]

  • 新しい AWS インスタンスタイプのサポート

    このリリースから、既存のリージョンと新たに追加されたパリのリージョンで、以下のAWSインスタンスタイプがVPXデプロイでサポートされます。

    • C5: c5.large, c5.xlarge, c5.2xlarge, c5.4xlarge, c5.9xlarge, c5.18xlarge

    • C5n: c5n.large, c5n.xlarge, c5n.2xlarge, c5n.4xlarge, c5n.9xlarge, c5n.18xlarge

    • M5: m5.large, m5.xlarge,m5.2xlarge,m5.4xlarge, m5.12xlarge,m5.24xlarge

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws.html を参照してください。

    [ビルド41.28から]

    [ NSPLAT-8729]

  • パリ地域の AWS デプロイのサポート

    これで、パリ地域のAWSにVPXインスタンスをデプロイできます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-aws.html を参照してください。

    [ビルド41.28から]

    [ NSPLAT-8730]

  • VPX 負荷分散サービスグループの Azure サービスタグ

    Azure CloudにデプロイされたADC Citrix VPXインスタンスの場合、Azureタグに関連付けられた負荷分散サービスグループを作成できるようになりました。VPXインスタンスは、Azure仮想マシン(VM)またはネットワークインターフェイス(NIC)、あるいはその両方をそれぞれのタグで常に監視し、それに応じてサービスグループを更新します。適切なタグが付いた VM または NIC が追加または削除されると、ADC はそれぞれの変更を検出し、VM または NIC の IP アドレスをサービスグループに自動的に追加または削除します。

    VPX GUIを使用して、Azureタグ設定をVPXインスタンスに追加できます。

    Azure タグの詳細については、マイクロソフトのドキュメントを参照してください。 https://docs.microsoft.com/en-us/azure/azure-resource-manager/resource-group-using-tags

    Citrix ADC VPX デプロイ用の Azure タグの詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/deploying-vpx/deploy-vpx-on-azure/tags.html を参照してください。

    [ビルド41.28から]

    [ NSPLAT-8768]

  • GCP上のCitrix ADC VPX向けのサブスクリプションベースの新しいサービス

    Google Cloud Platform(GCP)では、以下のサブスクリプションベースのサービスが利用可能になりました。

    • Citrix ADC VPX Expressライセンス

    • Citrix ADC VPX 10 Mbps (スタンダード/アドバンスド/プレミアム) エディション

    [ビルド 47.22 から]

    [ NSPLAT-8772]

  • 香港地域の AWS デプロイのサポート

    これで、香港地域のAWSにVPXインスタンスをデプロイできます。

    [ビルド 47.22 から]

    [ NSPLAT-9166]

Citrix ボット管理

  • Citrix ボット管理

    ボットの脅威を検出して軽減することは、今日の世界における主要なセキュリティニーズです。これは、ボット管理システムを使用することで実現されます。Citrix Bot Managementは、Webアプリケーション、アプリ、APIを基本的なセキュリティ攻撃と高度なセキュリティ攻撃の両方から保護します。Citrix Bot Managementは、次の6つの検出メカニズムを使用してボットの種類を検出し、軽減措置を講じます。

    技術には、ボットホワイトリスト、ボットブラックリスト、IPレピュテーション、デバイスフィンガープリント、レート制限、静的署名があります。

    IP レピュテーション。このメカニズムは、悪意のある IP アドレスのデータベースがアクティブに更新され、インバウンドトラフィックがボットかどうかを検出します。

    デバイスフィンガープリント。デバイスフィンガープリントは、JavaScriptをHTTPストリームに挿入し、そのJavaScriptから返されたプロパティを評価して、インバウンドトラフィックがボットかどうかを判断します。

    レート制限。検出技術は、セッション、Cookie、または IP を介して同じクライアントから送信される複数のリクエストをレート制限します。

    ボットの署名。この検出技術は、Citrix の脅威調査チームが収集した3,500以上のシグネチャに基づいてボットを検出してブロックします。ボットには、Webサイトをスクレイピングする不正なURL、ブルートフォースによるログイン、脆弱性を調査する攻撃などがあります。

    ボットホワイトリスト。ホワイトリストは、URL、IP、CIDR ブロック、ポリシー表現のカスタマイズ可能なリストで、これらのパラメータのいずれかに一致するインバウンドトラフィックをホワイトリストに登録して許可します。

    ボットブラックリスト。ブラックリストは、URL、IP、CIDR ブロック、ポリシー表現のカスタマイズ可能なリストで、これらのパラメータのいずれかに一致するインバウンドトラフィックをブラックリストに載せて拒否します。

    Citrix Bot Managementは、公開アプリ、API、Webサイトに対する自動化された脅威や望ましくないボットトラフィックを軽減します。受信トラフィックがボットであると判断された場合、システムはADC管理者によって割り当てられたアクションを実行し、説明責任と監査責任に関する堅牢なレポートを生成します。

    ボット管理には次の利点があります。

    • ボット、スクリプト、ツールキットからの防御 — 静的シグネチャベースの防御とデバイスフィンガープリントにより、基本的なボットと高度なボットの両方に対する脅威を軽減します。

    • 基本的な攻撃と高度な攻撃を無力化 — アプリレイヤーのDDoS、パスワードスプレー、パスワードスタッフィング、価格スクレイパー、コンテンツスクレイパーなどの攻撃を防ぎます。

    • API と投資を保護 — API を悪用、調査、データ漏洩から保護し、インフラストラクチャへの投資を不要なトラフィックから保護します。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/bot-management.html を参照してください。

    [ビルド41.28から]

    [NSWAF-2900]

Citrix Gateway

  • Windows の場合、ログオン前は常にオン

    Windows のログオン前の AlwaysOn を使用すると、ユーザーが Windows システムにログインする前でも VPN トンネルを確立できます。この永続的な VPN 接続は、デバイスの起動後にデバイスレベルの VPN トンネルが自動的に確立されることで実現されます。

    詳細については、 https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html を参照してください。

    [ビルド41.28から]

    [ CGOP-10791]

  • クライアント用にレガシーまたは最新のログオンプロトコルを選択的に使用する

    Citrix Gateway でWorkspaceアプリを使用しているお客様は、ポリシーに基づいてレガシーまたは最新のログオンプロトコルを選択できるようになりました。お客様は、特定のクライアントに古いネットワークプロトコルを使用できるほか、レガシープロトコルを使用してクライアントにネイティブのIntune 統合をCitrix Gatewayクライアントに使用させることもできます。これは主に、デバイス固有識別子を使用したIntune コンプライアンスチェックです。

    [ビルド41.28から]

    [ CGOP-10879]

  • Ubuntu 18.04 LTS での VPN クライアントサポート

    VPN クライアントが Ubuntu 18.04 LTS でサポートされるようになりました。

    [ビルド 47.22 から]

    [ CGOP-11067]

Citrix Web App Firewall

  • 許容されるファイルアップロード形式

    Citrix Web App Firewallでは、Citrix Web App Firewallプロファイルで許容されるファイルアップロード形式を構成できるようになりました。これにより、ファイルのアップロードを特定の形式に制限し、マルチフォーム送信中の悪意のあるアップロードからアプライアンスを保護します。

    注:この機能は、WAF プロファイルの「ExcludeFileUploadFormChecks」オプションを無効にした場合にのみ機能します。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/file-upload-protection.htmlを参照してください。

    [ビルド41.28から]

    [NSWAF-2579]

  • 違反パターンの詳細なロギング

    Web App Firewall プロファイルを構成して、攻撃が発生した場合に詳細な違反パターンを提供できるようになりました。Verbose ログレベルオプションを設定すると、ペイロードのさまざまな部分を攻撃パターンとともに記録して、フォレンジック分析やトラブルシューティングに役立てることができます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/detailed-troubleshooting-with-waf-logs.htmlを参照してください。

    [ビルド41.28から]

    [NSWAF-2892]

  • JSON コンテンツ保護

    Citrix Web App Firewallは、DOS、XSS、SQL攻撃に対するJSON保護を提供するようになりました。JSON サービス拒否 (DoS)、SQL、および XSS ルールは、受信した JSON リクエストを調べ、DoS、SQL、または XSS 攻撃の特性に一致するデータがあるかどうかを検証します。リクエストに JSON 違反がある場合、アプライアンスはリクエストをブロックし、データをログに記録し、SNMP アラートを送信し、JSON エラーページも表示します。JSON 保護チェックの目的は、攻撃者が JSON リクエストを送信して JSON アプリケーションや Web サイトに DoS 攻撃、XSS 攻撃、SQL 攻撃を仕掛けることを防ぐことです。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/json-content-protection.htmlを参照してください。

    [ビルド41.28から]

    [NSWAF-2894]

  • 動的プロファイルを使用して学習データを自動展開します。

    学習したデータを緩和ルールとして自動展開できるようになりました。動的プロファイリングでは、Web App Firewall がユーザー定義のしきい値内で学習データを記録すると、アプライアンスはユーザーに SNMP アラートを送信します。ユーザーが猶予期間内にデータをスキップしない場合、アプライアンスは緩和ルールとしてデータを自動デプロイします。以前は、ユーザーは学習したデータをリラクゼーションルールとして手動で展開する必要がありました。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/dynamic-profiling.htmlを参照してください。

    [ビルド41.28から]

    [NSWAF-2895]

  • CPU 使用率を下げるための WAF POST 本体のしきい値

    アプリケーションファイアウォールの署名ファイルに、CPU使用率、適用される最新の年、および重大度レベルが含まれるようになりました。シグニチャファイルが定期的に変更およびアップロードされるたびに、CPU 使用率、最新の年、および CVE 重大度を確認できます。これらの値を確認したら、アプライアンスのシグニチャを有効にするか無効にするかを決定できます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/app-firewall-profile-settings.htmlを参照してください。

    [ビルド41.28から]

    [NSWAF-2932]

  • 正規表現パターンによる機密データのマスキング

    Web Citrix Web App Firewall(WAF)プロファイルにバインドされたログ表現のREGEX_REPLACE拡張ポリシー機能を使用すると、WAFログ内の機密データをマスクできます。

    [ビルド 47.22 から]

    [NSWAF-3816]

  • 簡単で読みやすい IP レピュテーションカテゴリ名

    IP レピュテーションボット検出カテゴリ名が判読可能な名前として使用できるようになりました。

    [ビルド 47.22 から]

    [NSWAF-3824]

  • 開始 URL を学習するための動的プロファイリング

    Start URL セキュリティチェックで動的プロファイリングが可能になり、新しい URL を検出して学習できるようになりました。

    [ビルド 47.22 から]

    [NSWAF-3934]

クラスタリング

  • バックプレーンインターフェースに基づく操作図

    クラスタ設定では、バックプレーンインターフェイスでのみ受信したハートビートメッセージに基づいて動作を確認できるようになりました。

    ノード 1 とノード 2 で構成される 2 ノードクラスタの例を考えてみましょう。2 つのノードは、有効になっているすべてのインターフェイスで相互にハートビートメッセージを送受信します。バックプレーンベースのビューが有効な場合、操作ビューはバックプレーンインターフェイスでのみ受信されたハートビートに基づいて表示されます。ノード 1 がバックプレーンインターフェイス上のノード 2 からのハートビートメッセージを受信しない場合、ノード 1 がノード 2 からデータインターフェイスを介してハートビートを受信したとしても、ノード 1 またはノード 2 のどちらかが動作上非アクティブになります。デフォルトでは、バックプレーンベースのビューは無効になっています。このオプションを無効にすると、ノードはバックプレーン経由でのハートビートの受信のみに依存しません。

    [ビルド 47.22 から]

    [ NSHELP-15871]

  • ストライプ IP の ARP 所有者サポート

    クラスタ設定で、ストライピング IP の ARP 要求に応答するように特定のノードを設定できるようになりました。設定されたノードは ARP トラフィックに応答します。CLI コマンドの「ip の追加、設定、および設定解除」に、新しい属性「arPowner」が導入されました。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/clustering/cluster-overview/cluster-config-type.html#arp-owner-support-for-striped-ip を参照してください。

    [ビルド41.28から]

    [ NSNET-3050]

  • クラスタのバージョンが一致しない場合のトラップ SNMP のクリア

    クラスタ設定のバージョンの不一致は、クリアトラップ SNMP を使用してクリアされるようになりました。

    [ビルド41.28から]

    [ NSNET-8545]

DNS

  • DNS フラッグデー2019のコンプライアンス

    Citrix ADCアプライアンスは、DNSフラグデー2019年のに完全に準拠するようになりました。

    [ビルド41.28から]

    [NSLB-4275]

GSLBか

  • ターゲット仮想サーバーエクスプレッションを GSLB コンテンツスイッチングアクションに関連付ける

    ターゲットの仮想サーバー表現を GSLB コンテンツスイッチングアクションに関連付けるサポートが追加されました。これにより、GSLBコンテンツスイッチング仮想サーバーは、DNSリクエストの処理中にポリシー表現を使用してターゲットのGSLB仮想サーバー名を作成できます。

    [ビルド 47.22 から]

    [NSLB-4751]

  • ワイルドカードドメインの GSLB のサポート

    ワイルドカード DNS ドメインを GSLB 仮想サーバーにバインドするためのサポートが追加されました。ワイルドカードドメインの背後にあるアプリケーションにアクセスするユーザーは、それらのアプリケーションをホストする最適なデータセンターにルーティングされます。ワイルドカードドメインは、存在しないドメインおよびサブドメインに対する要求を処理します。ゾーンでは、ワイルドカードドメインを使用して、存在しないすべてのドメインまたはサブドメインのクエリを特定のサーバーにリダイレクトできます。このようなドメインごとに個別のリソースレコード (RR) を作成する必要はありません。

    [ビルド 47.22 から]

    [NSLB-4792]

  • API メソッドを使用して、最もパフォーマンスが優れた GSLB サービスを判断する

    API ベースの GSLB メソッドが GSLB デプロイでサポートされるようになりました。これにより、最もパフォーマンスが優れた GSLB サービスを選択できます。この方法では、GSLBがクライアントからDNSリクエストを受け取ると、GSLBは構成されたAPIサーバーへのHTTP (S) REST APIリクエストをトリガーします。API からの応答に基づいて、GSLB は最もパフォーマンスの高い GSLB サービスの IP アドレスを含む DNS 応答を送信します。

    [ビルド 47.22 から]

    [NSLB-5194]

ライセンス

  • 標準ライセンスのダイナミックルーティングプロトコル

    Citrix ADC標準ライセンスには、Citrix ADC動的ルーティングプロトコルが含まれるようになりました。Citrix ADC は次の動的プロトコルをサポートしています。

    • RIP (IPv4 および IPv6)

    • OSPF (IPv4 および IPv6)

    • BGP (IPv4 および IPv6)

    • IS-IS(IPv4 および IPv6)

    [ビルド41.28から]

    [ NSNET-12256]

  • 標準ライセンスのダイナミックルーティングプロトコル

    Citrix ADC標準ライセンスには、Citrix ADC動的ルーティングプロトコルが含まれるようになりました。Citrix ADC は次の動的プロトコルをサポートしています。

    • RIP (IPv4 および IPv6)

    • OSPF (IPv4 および IPv6)

    • BGP (IPv4 および IPv6)

    • IS-IS(IPv4 および IPv6)

    [ビルド41.28から]

    [ NSPLAT-6179]

  • SDX の最小帯域幅と最小インスタンスの新しい値

    Citrix ADC プール容量をサポートするSDXアプライアンスの最小帯域幅と最小インスタンス値が変更されました。詳しくは、次のトピックを参照してください:

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html

    [ビルド41.28から]

    [NSSVM-2770]

負荷分散

  • セキュア NTLM モニターのサポート

    nsntlm-lwp.pl スクリプトを使用して、安全な NTLM サーバーを監視するためのモニターを作成できるようになりました。

    [ビルド41.28から]

    [NSLB-4806]

  • オートスケール API のサポート

    提供された条件がすべて一致する場合、サービスグループを非オートスケールタイプから目的のステートAPI(DSA)のオートスケールタイプからオートスケールタイプに設定できます。この構成では、「set ServiceGroup」コマンドのオートスケール API 引数を使用してください。

    [ビルド 47.22 から]

    [NSLB-5311]

  • クライアント接続での同時要求の数を制限する

    1 つのクライアント接続での同時リクエスト数を制限できるようになりました。同時リクエストの数を制限することで、サーバーをセキュリティの脆弱性から保護できます。クライアント接続が指定された最大制限に達すると、Citrix ADCアプライアンスは、未処理のリクエスト数が制限を下回るまで、接続上の後続のリクエストをドロップします。

    [ビルド 47.22 から]

    [NSLB-5315]

NITRO

  • システムユーザーを特定の管理インターフェースに制限する

    Citrix ADCアプライアンスでは、特定の管理インターフェイス(CLIまたはAPI)へのユーザーアクセスを制限できるようになりました。特定のユーザーまたはユーザーグループに許可される管理インターフェイスリストをユーザーレベルで設定できます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/restricted-management-interface-access.html を参照してください。

    [ビルド41.28から]

    [NSCONFIG-1376]

  • Desired State APIを使用して、サービスグループを目的のメンバーセットでシームレスに更新

    Desired State API を使用して、必要なサービスグループメンバーでサービスグループを更新できるようになりました。Desired State API を使用すると、「servicegroup_servicegroupmemberlist_binding」リソースに対する 1 回の PUT リクエストで、サービスグループメンバーのリストとその重みと状態 (オプション) を提供できます。Citrix ADCアプライアンスは、要求された目的のメンバセットと構成済みのメンバセットを比較します。その後、新しいメンバーが自動的にバインドされ、リクエストに存在しないメンバーのバインドが解除されます。

    [ビルド41.28から]

    [NSLB-4543]

ネットワーク

  • ISSU 統計サポート

    高可用性セットアップで現在の ISSU プロセスを監視するための統計情報を表示できるようになりました。ISSU 統計情報には、次の情報が表示されます。

    • ISSU 移行オペレーションの現在のステータス

    • ISSU 移行操作の開始時刻

    • ISSU 移行操作の終了時刻

    • ISSU ロールバック操作の開始時刻

    [ビルド 47.22 から]

    [ NSNET-11457]

  • FTP サーバーのランダムポートからの FTP 接続の接続フェイルオーバーサポート

    接続フェイルオーバーにより、プライマリノードは、高可用性セットアップで接続および永続性情報をセカンダリノードに複製できます。接続ミラーリングが有効になっている場合、接続の状態情報は定期的にセカンダリノードと共有されます。

    Citrix ADCアプライアンスの高可用性セットアップは、FTPサーバーがランダムデータポートを使用しているFTP接続の接続フェイルオーバーをサポートします。

    プライマリノードは、FTP 関連の接続情報を定期的にセカンダリノードに送信します。セカンダリアプライアンスは、フェイルオーバーが発生した場合にのみこの情報を使用します。

    FTP タイプの負荷分散構成で接続フェイルオーバーを有効にするには、CLI または GUI を使用して負荷分散仮想サーバーの connFailover (Connection Failover) パラメーターを有効にします。

    また、FTPサーバーがランダムポートを使用しているFTP接続をCitrix ADCアプライアンスが処理できるようにするには、Citrix ADCのグローバルパラメーターであるaftpAllowRandomSourcePort(アクティブFTPのランダムソースポート選択を有効にする)を有効にする必要があります。

    [ビルド 47.22 から]

    [ NSNET-7685, NSNET-9529]

  • サーバーへの RNAT 接続用の送信元ポートの予約のサポート

    1つ以上のRNAT IPアドレスとプロキシポートの使用パラメータが無効になっているRNAT構成にヒットするリクエストの場合、Citrix ADCアプライアンスはRNAT IPアドレスとRNAT要求のソースポートのいずれかを使用してサーバーに接続します。

    このリリースより前のリリースでは、同じ送信元ポートが他の接続ですでに使用されている場合、サーバーへの RNAT 接続 (RNAT クライアントの送信元ポートを使用) が失敗していました。

    • 送信元ポートが 1024 未満です。デフォルトでは、Citrix ADCアプライアンスはCitrix ADC所有のIPアドレス(RNAT IPアドレスを含む)の最初の1024ポートを予約します。このリリースより前のリリースでは、RNAT 要求の送信元ポートが 1024 以下の場合、(RNAT クライアントの送信元ポートを使用する) サーバーへの RNAT 接続が失敗していました。今回のリリースでは、RNAT リクエストの送信元ポートが 1024 以下の場合、(RNAT クライアントの送信元ポートを使用した) サーバーへの RNAT 接続は成功します。

    • 1024 より大きい送信元ポート。このリリースより前のリリースでは、同じ送信元ポートが他の接続ですでに使用されている場合、サーバーへの RNAT 接続 (RNAT クライアントの送信元ポートを使用) が失敗していました。このリリースでは、RNAT 構成の一部として Retain Source Port range パラメーターで RNAT クライアントの送信元ポートの範囲を指定できます。Citrix ADCアプライアンスは、サーバーへのRNAT接続にのみ使用されるように、RNAT IPアドレス上のこれらのRNATクライアントソースポートを予約します。

    [ビルド 47.22 から]

    [ NSNET-9797]

プラットフォーム

  • インターフェイスの受信リングサイズとリングタイプの設定

    Citrix ADC MPXおよびSDXプラットフォームのIX、F1X、F2X、およびF4Xインターフェイスの受信リングサイズとリングタイプを増やすことができるようになりました。

    リングサイズを大きくすると、バーストトラフィックを処理するクッション性が高まりますが、パフォーマンスに影響する可能性があります。IX インターフェイスでは、最大 8192 のリングサイズがサポートされます。F1X、F2X、および F4X インターフェイスでは、最大 4096 のリングサイズがサポートされます。デフォルトのリングサイズは引き続き 2048 です。

    インターフェイスリングタイプはデフォルトではエラスティックです。パケットの到着率に応じてサイズが増減します。リングタイプを「固定」に設定して、トラフィックレートに基づいて変化しないようにすることができます。

    [ビルド41.28から]

    [ NSPLAT-9264]

ポリシー

  • ローカルタイムゾーンで GMT 時間を表示する新しいポリシー表現

    新しいポリシー表現「SYS.TIME.TO_LOCAL」を使用して、ローカルタイムゾーンのGMT時刻を表示できるようになりました。

    [ビルド 47.22 から]

    [ NSHELP-16098, NSPOLICY-58]

  • HTML/pageレスポンダーアクションへのカスタムヘッダーの追加

    Citrix ADCアプライアンスは、responsewithhtmlpageレスポンダーアクションでカスタムヘッダーを使用して応答できるようになりました。最大 8 つのカスタムヘッダーを設定できます。以前は、 Content-type:text/html アプライアンスはやなどの静的ヘッダーでのみ応答していました Content-Length:<value>

    注:カスタムヘッダーを設定する場合、「Content-Type」ヘッダー値を上書きできます。

    [ビルド 47.22 から]

    [NSPOLICY-2329]

  • ポリシー変換用の nspepi ツールの強化

    nspepi ツールが改善され、以下がサポートされるようになりました。

    • トンネルポリシーとそのバインディングの変換。

    • CMP、CR、Tunnelの組み込みクラシックポリシーバインディングの変換。

    • 認証ポリシーとそのバインディングを認証仮想サーバーに変換しますが、他のエンティティバインディングには変換しません。

    • さまざまなバグの修正。

    注:cmd ポリシーを使用してコマンドの名前を変換した場合は、関連する cmd ポリシーを手動で変更する必要があります。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/appexpert/policies-and-expressions/introduction-to-policies-and-exp/converting-policy-expressions-nspepi-tool.htmlを参照してください。

    [ビルド41.28から]

    [NSPOLICY-3159]

  • EncryptionParams に類似したランダムで一意の HMAC キー値を生成します

    ランダム暗号化または HMAC キーを自動的に生成できるようになりました。

    add ns encryptionKey <name> -method <method> -keyValue AUTO

    add ns hmacKey <name> -digest <digest> -keyValue AUTO

    「AUTO」KeyValue を設定コマンドで使用すると、既存の encrytionKey オブジェクトと HMAckEy オブジェクトの新しいキーを生成できます。

    自動キー生成は、Citrix ADCアプライアンスがキーを使用してデータを暗号化および復号化する場合、またはHMACキーを生成および検証する場合に便利です。

    注:キー値自体は、表示時にすでに暗号化されているため、生成されたキー値を取得して他のユーザーが使用することはできません。

    [ビルド 47.22 から]

    [NSPOLICY-3287]

  • パターンセットまたはデータセットにバインドされたパターンにコメントを提供するオプション。

    「bind policy patset」コマンドで、パターンセットにバインドされたパターンにコメントを入力できるようになりました。

    bind policy patset <name> <string> [-index <positive_integer>]

    [-charset ( ASCII | UTF_8 )] [-comment <string>]

    各項目の意味は次のとおりです。

    [コメント]。パターンセットにバインドされたパターンに関するコメントを入力します。

    「バインドポリシーデータセット」コマンドで、データセットにバインドされたパターンにコメントを入力できるようになりました。

    bind policy dataset <name> <value> [-index <positive_integer>] [-comment <string>]

    各項目の意味は次のとおりです。

    [コメント]。データセットにバインドされたパターンについてコメントを入力します。

    [ビルド 47.22 から]

    [NSPOLICY-3298]

  • 無害な SYS 機能を許可

    SYS.TIME、SYS.RANDOM、SYS.NSIP、SYS.UUID などの SYS 関数がエクスプレッションエバリュエーターで使用できるようになり、以前は使用できなかった他の場所でも使用できるようになりました。

    ただし、一部の SYS 関数は、エクスプレッションエバリュエーターや、以前は使用できなかった他の場所ではまだ使用できません。例としては、SYS.HTTP_CALOUT があります。

    [ビルド 47.22 から]

    [NSPOLICY-3302]

  • 従来のフィルタコマンドを高度なフィルタコマンドに変換する

    nspepi ツールでは、add、bind などの従来のフィルターアクションに基づくコマンドを高度なフィルターコマンドに変換できるようになりました。

    ただし、nepepi ツールは次のフィルターコマンドをサポートしていません。

    • add filter action <action Name> FORWARD <service name>

    • add filter action <action name> ADD prebody

    • add filter action <action name> ADD postbody

    注:

    • ns.confに既存の書き換え機能または応答機能があり、それらのポリシーがENDまたはUSER_INVOCATION_RESULTなどのGOTO式でグローバルにバインドされ、バインドタイプがREQ_XまたはRES_Xの場合、ツールはバインドフィルターコマンドを部分的に変換してコメントアウトします。手動で作業するように警告が表示されます。

    • 既存の書き換え機能または応答機能があり、そのポリシーが GOTO-END または USER_INVOCATION_RESULT で HTTPS タイプの仮想サーバー (負荷分散、コンテンツスイッチング、キャッシュリダイレクトなど) にバインドされている場合、ツールはバインドフィルターコマンドを部分的に変換してからコメントアウトします。手動で作業するように警告が表示されます。

    [ビルド 47.22 から]

    [NSPOLICY-509]

SSL

  • stat ssl コマンドでの RSA 3072 ビットのキー値の表示のサポート

    stat ssl の出力には RSA 3072 ビットのキー交換値が含まれるようになりました。

    stat ssl -detail

    SSLオフロード

    SSLカードプレゼント 8

    SSL カード UP 8

    SSL エンジンステータス 1

    SSL セッション (レート 0)

    主要キー交換

    RSA 512 ビットキー交換0 0

    RSA 1024 ビットキー交換0 0

    RSA 2048 ビットキー交換0 0

    RSA 3072 ビットキー交換0 106380

    RSA 4096 ビットキー交換0 0

    Done

    [ビルド41.28から]

    [ NSSSL-1954]

  • フラグメント化された TLS メッセージのサポート

    Citrix ADCアプライアンスは、サーバー証明書メッセージと証明書要求メッセージのフラグメンテーションをサポートするようになりました。すべてのレコードでサポートされるこれらのメッセージの最大サイズは 32 KB です。以前は、フラグメンテーションはサポートされておらず、サポートされるメッセージの最大サイズは 16 KB でした。

    [ビルド41.28から]

    [ NSSSL-5971]

  • SSL タイトル:インテル Coleto チップを使用するCitrix ADC アプライアンスの SSL チップ使用率を表示する以下の Citrix ADC MPX アプライアンスで SSL チップの使用率を表示できるようになりました。これらのアプライアンスにはインテル Coleto チップが搭載されています。-MPX 5900-MPX 8900-MPX 15000-50G-MPX 26000-MPX 26000-50S-MPX 26000-100G チップの使用率を表示するには、コマンドプロンプトで「stat ssl」と入力します。

    [ビルド 47.22 から]

    [ NSSSL-5975]

  • SSL エンティティの長い名前のサポート

    お客様がすべてのADCエンティティで標準の命名規則を維持できるように、Citrix ADCアプライアンスは最大63文字の証明書名をサポートするようになりました。以前は、制限は 31 文字でした。

    [ビルド41.28から]

    [ NSSSL-5976]

  • Intel Coleto チップのヘルスチェック機能の強化

    Intel Coletoチップを搭載したCitrix ADCアプライアンスは、対称(SYM)および非対称(ASYM)操作の拡張ヘルスチェックをサポートするようになりました。

    [ビルド41.28から]

    [ NSSSL-6299]

  • ポリシーベースのクライアント認証によるオプションのクライアント証明書検証のサポート

    ポリシーベースのクライアント認証を設定している場合は、クライアント証明書の検証をオプションに設定できます。以前は、必須が唯一の選択肢でした。オプションオプションと必須オプションの両方が使用可能になり、設定できるようになりました。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/ssl/ssl-actions-and-policies/config-built-in-ssl-actions.html#client-certificate-verification-with-policy-based-client-authentication を参照してください。

    [ビルド41.28から]

    [ NSSSL-690]

  • さまざまなプラットフォームでの異種クラスタ導入のサポート

    SSLパラメータ「異機種SSL HW」を有効に設定することで、パケットエンジンの数が異なるCitrix ADC MPXアプライアンスの異種クラスタ展開を形成できるようになりました。たとえば、Cavium チップベースのアプライアンス (MPX 14000 など) とインテル Coleto チップベースのアプライアンス (MPX 15000 など) のクラスタを形成するには、SSL パラメータ「異機種 SSL HW」を有効にします。同じチップを使用してプラットフォームのクラスタを形成するには、このパラメータのデフォルト値(DISABLED)を維持します。

    この機能は、Citrix ADC SDXアプライアンスでホストされているVPXインスタンスではサポートされていません。

    異種クラスタの形成でサポートされているプラットフォームについては、を参照してください。

    https://docs.citrix.com/en-us/citrix-adc/13/clustering/support-for-heterogeneous-cluster.html。

    [ビルド 47.22 から]

    [ NSSSL-7149]

  • Citrix ADC VPX アプライアンスのフロントエンドでの DTLSv1.2 プロトコルのサポート

    DTLS 1.2プロトコルがCitrix ADC VPXアプライアンスのフロントエンドでサポートされるようになりました。DTLS 仮想サーバーを構成する際には、ここで DTLS1 または DTLS12 を指定する必要があります。

    [ビルド 47.22 から]

    [ NSSSL-7188]

  • 証明書の自動リンク

    SSL 証明書のリンクが自動化されました。つまり、中間 CA 証明書とルート証明書がアプライアンスに存在する場合、各証明書を発行者に手動でリンクする必要がなくなります。

    アプライアンスですべての証明書が利用可能で、エンドユーザー証明書の [リンク] ボタンをクリックすると、潜在的なチェーンが表示されます。チェーン内で、「証明書をリンク」をクリックしてすべての証明書をリンクします。

    [ビルド 47.22 から]

    [ NSSSL-7190, NSUI-12903]

システム

  • 高度な監査ログポリシーのサポート

    高度な監査ログポリシーを負荷分散仮想サーバーにバインドできるようになりました。

    [ビルド 47.22 から]

    [ CGOP-6824]

  • ICAP 要求タイムアウトと応答タイムアウトの実装

    ICAP 応答タイムアウトの問題を処理するには、ICAP プロファイルの ‘ReqTimeout’ パラメータに ICAP 要求タイムアウト値を設定できます。これにより、ICAPサーバーからのICAP応答が遅延した場合にアプライアンスが何らかのアクションを実行するようにリクエストタイムアウトアクションを設定できます。設定されたリクエストタイムアウト内にアプライアンスが ICAP 応答を受信しない場合、アプライアンスは Icapprofile に設定された「ReqTimeoutAction」パラメータに従って次のアクションのいずれかを実行できます。

    reqTimeoutAction: 可能な値は、バイパス、リセット、ドロップです。

    BYPASS: Encapsulated ヘッダーを含む ICAP 応答がタイムアウト値内に受信されない場合、リモート ICAP サーバーの応答は無視され、完全な要求/応答がクライアント/サーバーに送信されます

    RESET (デフォルト): クライアント接続を閉じてリセットします。

    DROP: ユーザーに応答を送信せずにリクエストをドロップします

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/icap-for-remote-content-inspection.htmlを参照してください。

    [ビルド41.28から]

    [NSBASE-3040、NSBASE-2264]

  • コンテンツ検査中のICAPサーバーのダウンタイムの処理

    コンテンツ検査中のICAPサーバーのダウンタイムを処理するために、Citrix ADCアプライアンスでifserverdownパラメーターを構成し、次のアクションを割り当てることができるようになりました。

    続行:リモートサーバーがダウンしている場合にユーザーがコンテンツインスペクションをバイパスしたい場合は、このアクションを選択できます。

    RESET (デフォルト): このアクションは、RST との接続を閉じることによってクライアントに応答します。

    DROP: このアクションは、ユーザーに応答を送信せずにパケットをサイレントにドロップします。

    [ビルド41.28から]

    [NSBASE-4936]

  • プロキシプロトコルストリップ操作の書き換えポリシー表現サポート

    プロキシプロトコルのストリップ処理では、書き換えポリシー表現を使用して、送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポートなどのクライアントの詳細を HTTP ヘッダーに追加するようになりました。書き換えポリシーが式を評価し、「true」の場合、対応する書き換えポリシーアクションがトリガーされ、クライアントの詳細が HTTP ヘッダーでバックエンドサーバーに転送されます。

    [ビルド 47.22 から]

    [NSBASE-4988]

  • TCP オプションのクライアント IP アドレス

    Citrix ADCは、TCPオプション構成を使用してクライアントIPアドレスをバックエンドサーバーに送信するようになりました。アプライアンスは、最初のデータパケットにクライアントIPアドレスを挿入し、それをバックエンドサーバーに転送するTCPオプション番号を追加します。TCP オプション設定は、次のシナリオで使用できます。

    • 元のクライアント IP アドレスを学習

    • Web サイトの言語を選択する

    • 選択した IP アドレスをブラックリストに登録する

    [ビルド 47.22 から]

    [ NSBASE-6553, NSUI-14692]

  • L3 接続との侵入検知システム (IDS) の統合

    Citrix ADCアプライアンスは、侵入検知システム(IDS)などのパッシブセキュリティデバイスと統合されるようになりました。この設定では、アプライアンスは元のトラフィックのコピーをリモート IDS デバイスに安全に送信します。これらのパッシブデバイスはログを保存し、不良または非準拠のトラフィックを検出するとアラートをトリガーします。また、コンプライアンス目的のレポートも生成します。Citrix ADCアプライアンスが2つ以上のIDSデバイスと統合されていて、トラフィックが大量にある場合、アプライアンスは仮想サーバーレベルでトラフィックを複製することでデバイスの負荷分散を行うことができます。

    高度なセキュリティ保護を実現するために、Citrix ADCアプライアンスは、検出専用モードで導入された侵入検知システム(IDS)などのパッシブセキュリティデバイスと統合されています。これらのデバイスはログを保存し、不良または非準拠のトラフィックを検出するとアラートをトリガーします。また、コンプライアンスを目的としたレポートも生成します。Citrix ADC を IDS デバイスと統合することの利点のいくつかを以下に示します。

    1. 暗号化されたトラフィックの検査 — ほとんどのセキュリティデバイスは暗号化されたトラフィックをバイパスするため、サーバーは攻撃を受けやすくなります。Citrix ADC アプライアンスはトラフィックを復号化して IDS デバイスに送信し、お客様のネットワークセキュリティを強化できます。

    2. IDS デバイスを TLS/SSL 処理からオフロード — TLS/SSL 処理にはコストがかかり、トラフィックを復号化すると侵入検知デバイスのシステム CPU 使用率が高くなります。暗号化されたトラフィックが急速に増加するにつれて、これらのシステムは暗号化されたトラフィックの復号化と検査に失敗します。Citrix ADCは、TLS/SSL処理からIDSデバイスへのトラフィックをオフロードするのに役立ちます。この方法でデータをオフロードすると、IDS デバイスは大量のトラフィックインスペクションをサポートすることになります。

    3. IDSデバイスの負荷分散 — Citrix ADCアプライアンスは、トラフィックが大量の場合に、仮想サーバーレベルでトラフィックを複製することにより、複数のIDSデバイスの負荷を分散します。

    4. パッシブデバイスへのトラフィックの複製 — アプライアンスに流入するトラフィックを他のパッシブデバイスに複製して、コンプライアンスレポートを生成できます。たとえば、一部のパッシブデバイスにすべてのトランザクションを記録するよう義務付けている政府機関はほとんどありません。

    5. トラフィックを複数のパッシブデバイスにファニングする — 一部のお客様は、受信トラフィックを複数のパッシブデバイスにファンアウトまたは複製することを好みます。

    6. トラフィックのスマート選択 — テキストファイルのダウンロードなど、アプライアンスに流入するすべてのパケットの内容を検査する必要がない場合があります。ユーザーは、特定のトラフィック(.exeファイルなど)を検査用に選択し、そのトラフィックをIDSデバイスに送信してデータを処理するようにCitrix ADCアプライアンスを構成できます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/intrusion-detection-system-for-l3.htmlを参照してください。

    [ビルド41.28から]

    [NSBASE-6800]

  • 負荷分散仮想サーバーをデバッグするための新しいエンティティカウンター

    仮想サーバーのデバッグと分析を目的として、新しいエンティティカウンターが追加されました。

    [ビルド41.28から]

    [NSBASE-8087]

  • ライセンスサーバーの IP アドレスの更新

    割り当てられたライセンス帯域幅に影響を与えたり、データを損失したりすることなく、VPXインスタンスのライセンスサーバーのIPアドレスを更新できるようになりました。詳細については、 https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-vpx-check-in-check-out.html#update-a-licensing-server-ip-addressを参照してください。

    [ビルド 47.22 から]

    [NSCONFIG-1974]

  • デフォルトの RPC ノードパスワードの変更

    HA、クラスター、GSLB のデプロイでは、デフォルトの RPC ノードパスワードが変更されていない場合、nsroot とスーパーユーザーのログインに警告メッセージが表示されます。

    [ビルド41.28から]

    [NSCONFIG-2224]

  • 稼働中のソフトウェアアップグレードプロセスのロールバック

    高可用性セットアップは、インサービスソフトウェアアップグレード (ISSU) プロセスのロールバックをサポートするようになりました。ISSU ロールバック機能は、ISSU プロセスの後または実行中の HA セットアップが安定していないか、期待どおりに最適なレベルで動作していない場合に役立ちます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html を参照してください。

    [ビルド41.28から]

    [ NSNET-9958]

  • インサービスソフトウェアアップグレードプロセスの SNMP トラップ

    高可用性セットアップのインサービスソフトウェアアップグレード(ISSU)プロセスでは、ISSU 移行操作の開始時と終了時に SNMP トラップメッセージを送信できるようになりました。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html を参照してください。

    [ビルド41.28から]

    [ NSNET-9959]

ビデオの最適化

以前のCitrix ADC 13.0 リリースで解決された問題

ビルド47.24より前のCitrix ADC 13.0リリースで解決された問題。問題の説明の下に記載されたビルド番号は、この問題が解決されたビルドを示しています。

管理パーティション

  • Citrix ADCアプライアンスのデフォルトパーティションのメモリ使用量が100%に達すると、「stat system memory」コマンドで「空きメモリ(MB)」フィールドに誤った値が表示されることがあります。

    [ビルド 47.22 から]

    [ NSHELP-19239]

  • 管理パーティション構成による高可用性セットアップでは、管理パーティションから SYSLOG または NSLOG サーバにアクセスできる場合にのみ、セカンダリノードから生成された監査ログが SYSLOG または NSLOG サーバに送信されます。

    [ビルド41.28から]

    [ NSHELP-19399]

  • 分割されたセットアップでは、「diff ns config」CLIコマンドは誤解を招く情報を表示します。

    [ビルド41.28から]

    [ NSHELP-19530]

  • Citrix ADCアプライアンスは、管理パーティション関連のSNMPトラップメッセージにパケットエンジン(PE)ID情報を追加しない場合があります。

    [ビルド 47.22 から]

    [ NSHELP-19966]

  • パーティション構成では、管理パーティションを作成すると DNS の速度が低下し、タイムアウトします。

    [ビルド 47.22 から]

    [ NSHELP-19996]

AppFlow

  • AppFlowポリシーは、コンテンツスイッチ仮想サーバーの背後にある負荷分散仮想サーバーにバインドされている場合、トリガーされません。

    [ビルド41.28から]

    [ NSHELP-18782, NSBASE-8180]

  • 内部でバインドされたプロファイル以外のユーザー定義の分析プロファイルをAppFlowアクションにバインドすると、Citrix ADCアプライアンスがクラッシュします。

    [ビルド41.28から]

    [ NSHELP-19362]

  • AppFlowの「クライアント側測定」機能を有効にすると、Citrix ADCアプライアンスはHTMLページのCSSファイルを予期せず解析します。CSS 解析中にエラーが発生すると、HTML ページが正しく読み込まれない可能性があります。

    [ビルド41.28から]

    [ NSHELP-19375]

  • AppFlowが無効になっているが、FEOアクションでクライアント側の測定でフロントエンド最適化(FEO)が有効になっていると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ビルド41.28から]

    [ NSHELP-19531]

  • AppFlowコレクターがログストリーム転送モードで閉じると、Citrix ADCアプライアンスが再起動することがあります。

    [ビルド41.28から]

    [ NSHELP-19837]

  • トラフィックがアプライアンスを通過しているときにAppFlowアクションを削除すると、Citrix ADCアプライアンスが応答しなくなることがあります。

    [ビルド 47.22 から]

    [ NSHELP-20523, NSHELP-21692]

認証、承認、監査

  • Citrix ADCアプライアンスは、次の条件が満たされると、不正アクセスを許可する可能性があります。

    • 適切な承認ポリシーが設定されていません。

    • 「set tm SessionParameter」コマンドの DefaultAuthorizationAction パラメータは、デフォルトで ALLOW になっています。

    [ビルド41.28から]

    [NSAUTH-6013]

  • ADからCitrix ADCアプライアンスに取得されたLDAP DN属性は、属性の長さが128バイトを超えると切り捨てられます。

    [ビルド 47.22 から]

    [NSAUTH-7210]

  • SNMP は、SSH 公開鍵認証が成功した後でもトラップを送信します。

    [ビルド41.28から]

    [ NSHELP-18303]

  • probe server コマンドは、TACACS サーバが認証応答を送信せずに FIN または RST パケットで TCP 接続を閉じたときに、適切なメッセージを表示します。

    [ビルド41.28から]

    [ NSHELP-18399]

  • リリース10.5のCitrix ADCクラスタセットアップをより高いバージョンにアップグレードすると、上位バージョンのCCO以外のノードへのシステムログインが失敗します。

    [ビルド41.28から]

    [ NSHELP-18511, NSAUTH-5561]

  • SAML SPとして構成されたCitrix ADCアプライアンスは、サーバーがアサーションとともに大きなRelayStateパラメータ名を送信すると失敗します。

    [ビルド41.28から]

    [ NSHELP-18559]

  • Citrixの認証、承認、および監査ログアウトのメッセージに、間違った仮想サーバー名が表示されることがあります。

    [ビルド41.28から]

    [ NSHELP-18751]

  • Citrix ADCアプライアンスは、次の条件のいずれかが満たされると、制限付き委任によるKerberosチケットの取得に失敗します。

    • エンタープライズの「レルム」パラメータはユーザ用に設定されます。

    • 「keytab」パラメータのドメイン名は小文字です。

    [ビルド 47.22 から]

    [ NSHELP-18946]

  • Citrix ADCアプライアンスは、次の条件のいずれかが満たされると、制限付き委任によるKerberosチケットの取得に失敗します。

    • エンタープライズの「レルム」パラメータはユーザ用に設定されます。

    • 「keytab」パラメータのドメイン名は小文字です。

    [ビルド41.28から]

    [ NSHELP-18946]

  • 次の条件が満たされると、バッファが破損します。

    • バッファ内のデータは上書きされます。

    • コア間メッセージ処理は、バッファリサイクル状態になります。

    [ビルド41.28から]

    [ NSHELP-18952]

  • ユーザーエージェントにns_aaa_activesync_useragentsに記載されているパターンの1つが含まれている場合、Citrix ADCアプライアンスは認証されていないHTTPオプションリクエストをドロップしません。

    [ビルド41.28から]

    [ NSHELP-19024]

  • Citrix Gateway アプライアンスで複数のフェイルオーバーが発生すると、WebAuth 認証が失敗します。

    [ビルド41.28から]

    [ NSHELP-19050]

  • 次の条件が満たされた場合、Citrix ADCアプライアンスがクラッシュすることがあります。

    • パスワード変更オプションは LDAP アクションコマンドで有効になっています。

    • 認証、承認、監査セッションでの LDAP アクションで、セッション伝播の問題が発生する。

    [ビルド41.28から]

    [ NSHELP-19053]

  • Citrix Gatewayまたはトラフィック管理仮想サーバーがKerberos認証を使用すると、Citrix ADCアプライアンスのメモリ使用量が増加します。

    [ビルド41.28から]

    [ NSHELP-19085]

  • 認証、承認、監査セッションの数が多いと、ユーザーセッションを終了するのに時間がかかります。

    [ビルド 47.22 から]

    [ NSHELP-19131]

  • MetadataURL パラメータを設定してCitrix アプライアンスを再起動すると、SAMLAction コマンドは保存されず、設定は失われます。

    [ビルド41.28から]

    [ NSHELP-19140]

  • 「メタデータURLのインポート」を設定し、後でCitrix ADC GUIからリダイレクトURLを指定して編集すると、リダイレクトURLは設定されますが、メタデータのインポートURLは設定解除されません。このため、Citrix ADCアプライアンスはメタデータURLを使用します。

    [ビルド41.28から]

    [ NSHELP-19202]

  • Citrix GUIまたはNITRO APIログイン要求への入力に無効なユーザー名またはパスワードの値が含まれていると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ビルド41.28から]

    [ NSHELP-19254]

  • 認証ログインスキーマポリシーが noschema に設定されている場合、Citrix アプライアンスがクラッシュする可能性があります。

    [ビルド41.28から]

    [ NSHELP-19292]

  • SAMLIDPProfileコマンドでデフォルトの認証グループパラメータが設定されている場合、Citrix ADCアプライアンスに障害が発生することがあります。

    [ビルド41.28から]

    [ NSHELP-19301]

  • 負荷分散仮想サーバーと負荷分散サービスを介してCitrix ADC管理にアクセスすると、ロールベースアクセス(RBA)認証を使用してCitrix GUIまたはNITRO APIからシステムユーザーログインに失敗します。

    [ビルド41.28から]

    [ NSHELP-19385]

  • Active Directory フェデレーションサービス(ADFS)は、Citrix ADC SAML サービスプロバイダー(SP)によって生成されたメタデータのインポートに失敗します。

    [ビルド41.28から]

    [ NSHELP-19390]

  • デジタル署名に HTML エンティティでエンコードされた文字が含まれている場合、base64 デコードは失敗します。

    [ビルド41.28から]

    [ NSHELP-19410]

  • SAML IDプロバイダー(IdP)用に構成されたCitrix ADCアプライアンスは、特定のアプリケーションの受信認証要求を認証できません。

    [ビルド41.28から]

    [ NSHELP-19443]

  • 既存のセッションを確認する前にクライアント要求のダイアログCookie が処理されると、Citrix ADCアプライアンスはパスワード変更ページをクライアントに送信します。

    [ビルド 47.22 から]

    [ NSHELP-19528]

  • 既存のセッションを確認する前にクライアント要求のダイアログCookie が処理されると、Citrix ADCアプライアンスはパスワード変更ページをクライアントに送信します。

    [ビルド41.28から]

    [ NSHELP-19528]

  • URL に「;」特殊文字が含まれている場合、TASS Cookie はログイン時に URL リダイレクトをエンコードします。

    [ビルド41.28から]

    [ NSHELP-19634]

  • 管理者ログイン中にユーザーグループの抽出を行うと、Citrix ADC AAAのメモリ使用量は徐々に増加します。

    [ビルド41.28から]

    [ NSHELP-19671]

  • まれに、認証、承認、監査セッションの処理中にメモリリークの問題が発生することがあります。

    [ビルド 47.22 から]

    [ NSHELP-19703]

  • WS-FedプロトコルでSAMLとして構成されたCitrix ADCアプライアンスのパスワードに特殊文字「&」が含まれていると、認証が失敗することがあります。

    [ビルド41.28から]

    [ NSHELP-19740]

  • 次の条件が満たされると、Citrix ADCアプライアンスがOTP管理フローでクラッシュする可能性があります。

    • OTP ログインスキーマが最初の要素として使用されます。

    • メール認証は 2 番目の要素として使用されます。

    [ビルド 47.22 から]

    [ NSHELP-19759]

  • 「show aaa group-loggedIn」コマンドが発行されると、Citrix ADCアプライアンスがコアをダンプする場合があります。

    [ビルド 47.22 から]

    [ NSHELP-19793]

  • 次の条件が満たされると、500 エラーメッセージが表示されます。

    • 認証、承認、監査が有効なトラフィック管理仮想サーバーは、Cookie なしでPOSTリクエストを受け取ります。

    • 投稿本文には改行文字が含まれています。

    [ビルド41.28から]

    [ NSHELP-19852]

  • Citrix ADCアプライアンスは、認証、承認、および監査トラフィック管理仮想サーバーから受信したOPTIONSメソッドを使用して、認証されていないHTTP要求を処理します。この時点で、アプライアンスは対応する HTTP 401 エラーメッセージで応答します。

    [ビルド41.28から]

    [ NSHELP-19916]

  • HSTSヘッダーの最大有効期間値が2,147,483,647より上に設定されている場合、Citrix ADCアプライアンスは負の値を送信します。

    [ビルド41.28から]

    [ NSHELP-19945]

  • SAML レスポンスの SAML 属性値には、1 行ではなく、複数の SAML 属性値行が含まれます。

    [ビルド 47.22 から]

    [ NSHELP-19961]

  • SAML レスポンスの SAML 属性値には、1 行ではなく、複数の SAML 属性値行が含まれます。

    [ビルド41.28から]

    [ NSHELP-19961]

  • OpenID-Connect メカニズムでは、OAuth 依存パーティ (RP) は、パスワード付与 API 呼び出しを行う際に、ユーザー名またはパスワードのプロパティをエンコードしません。

    [ビルド41.28から]

    [ NSHELP-19987]

  • Citrix ADC GUI の AAA グループページの [イントラネット IP アドレス] フィールドに IP アドレスが表示されません。

    [ビルド 47.22 から]

    [ NSHELP-20068]

  • SAML IDプロバイダー(IdP)として構成されたCitrix ADCアプライアンスは、引用符が含まれている場合、サービスプロバイダー(SP)からのリレーステートを切り捨てます。

    [ビルド 47.22 から]

    [ NSHELP-20131]

  • SAML IDプロバイダー(IdP)として構成されたCitrix ADCアプライアンスは、引用符が含まれている場合、サービスプロバイダー(SP)からのリレーステートを切り捨てます。

    [ビルド41.28から]

    [NSHELP-2013]

  • Citrix ADCアプライアンスでRFWebUIポータルテーマを構成しない場合、次の変更が発生する可能性があります。

    • 表示される OTP 管理ページの表示が異なるか、OTP 管理が機能しない可能性があります。

    • アプライアンスに予期しない動作が見られます。

    [ビルド 47.22 から]

    [ NSHELP-20144]

  • まれに、LDAP サーバーへの接続が HTTPS 経由の場合、認証が失敗することがあります。

    [ビルド 47.22 から]

    [ NSHELP-20181]

  • 次の条件が満たされると、Citrix Gateway アプライアンスに障害が発生する可能性があります。

    • ユーザーがセッションからログアウトしたとき。

    • アプライアンスはHDXプラットフォームにデプロイされます。

    • SAML認証はCitrix Gatewayで使用されます。

    [ビルド41.28から]

    [ NSHELP-20206]

  • 次の条件が満たされると、Citrix Gateway アプライアンスに障害が発生する可能性があります。

    • ユーザーがセッションからログアウトしたとき。

    • アプライアンスはHDXプラットフォームにデプロイされます。

    • SAML認証はCitrix Gatewayで使用されます。

    [ビルド 47.22 から]

    [ NSHELP-20206]

  • セカンダリノードのログインスキーマプロファイルの [認証ログインスキーマの設定] GUI ページのラベルが正しく表示されません。

    [ビルド 47.22 から]

    [ NSHELP-20234]

  • FIPSアプライアンスでSAML IdPを使用すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ビルド41.28から]

    [ NSHELP-20282]

  • FIPSアプライアンスでSAML IdPを使用すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20282]

  • ユーザーがVPXスナップショットを撮るときにログインしようとすると、Citrix Gatewayアプライアンスに障害が発生することがあります。

    [ビルド41.28から]

    [ NSHELP-20292]

  • ユーザーがVPXスナップショットを撮るときにログインしようとすると、Citrix Gatewayアプライアンスに障害が発生することがあります。

    [ビルド 47.22 から]

    [ NSHELP-20292]

  • Citrix ADC GUIインターフェイスを使用して承認ポリシーをバインド解除することはできません。

    [ビルド 47.22 から]

    [ NSHELP-20298]

  • SAMLサービスプロバイダー(SP)として構成されたCitrix ADCアプライアンスは、SAMLの名前空間が完全に定義されていない場合、特定のIdPから送信されたアサーションの検証に失敗する可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20307]

  • トラフィック管理仮想サーバー上でSAMLサービスプロバイダー(SP)として構成されたCitrix ADCアプライアンスは、SAMLログイン後にポストボディレスポンスをバックエンドサーバーに送信しません。

    [ビルド 47.22 から]

    [ NSHELP-20348]

  • トラフィック管理仮想サーバー上でSAMLサービスプロバイダー(SP)として構成されたCitrix ADCアプライアンスは、SAMLログイン後にポストボディレスポンスをバックエンドサーバーに送信しません。

    [ビルド41.28から]

    [ NSHELP-20348]

  • 次の条件が満たされると、Citrix ADCアプライアンスでメモリリークが発生します。

    • 2 つ目の要素はパススルーとして設定されます。

    • バッファは解放されません。

    [ビルド 47.22 から]

    [ NSHELP-20390]

  • Citrix ADCアプライアンスは、バージョン13.0へのアップグレード後にバッファオーバーフロー状態によりクラッシュします。

    [ビルド 47.22 から]

    [ NSHELP-20416, NSAUTH-6770]

  • SSL証明書のFQDNは、バッファオーバーフローが原因でCitrix ADCアプライアンスでクラッシュする可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20476]

  • Citrix ADC GUIインターフェイスを使用して複数の証明書をバインド解除することはできません。

    [ビルド 47.22 から]

    [ NSHELP-20598]

  • ゲートウェイがIdPチェーンとともにSAML IdPとして構成されている場合、Citrix Gatewayアプライアンスに障害が発生する可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20667]

  • SAMLSigningCertName パラメーターが SAMLAction コマンドで構成されていない場合、Citrix ADC アプライアンスがクラッシュする可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20674]

  • パスワードにウムラウト文字が含まれていると、Citrix ADCアプライアンスがMicrosoft Outlook 2016ユーザーの認証に失敗することがあります。

    [ビルド 47.22 から]

    [ NSHELP-20682]

  • Citrix ADCアプライアンスがマルチドメイン環境(親子ドメイン)に展開され、ユーザーが親ドメインにあり、サービスが子ドメインにある場合、Kerberos SSOが失敗する可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20910]

  • Citrix ADC アプライアンスを再起動すると、SAML メタデータ URL パラメーターは機能しません。

    [ビルド 47.22 から]

    [ NSHELP-21006]

  • まれに、次の条件の両方が満たされると nFactor のログオンが失敗することがあります。

    • Citrix ADCアプライアンスは、LDAPへのフォールバックによる証明書認証用に構成されています。

    • 証明書認証は失敗します。

    [ビルド 47.22 から]

    [ NSHELP-21118]

  • Citrix ADCがフォームベースのSSO用に構成されており、構成で名前と値のペアが指定されている場合、フォームに値がない場合、これらの値は無視されます。

    [ビルド 47.22 から]

    [ NSHELP-21139]

  • Citrix ADC GUI では次のような動作が見られます。

    • OAuth ポリシーは編集できません。

    • 編集できるのは OAuth アクションだけです。

    • OAuth ポリシーオプションは、基本ポリシーではなく詳細ポリシーのみにある必要があります。

    [ビルド41.28から]

    [ NSHELP-2131]

  • Citrix ADC GUIを使用してSAML IdPポリシーを認証、承認、および監査仮想サーバーにバインドする場合、次のアクションを変更することはできません。

    [ビルド 47.22 から]

    [ NSHELP-479]

  • Citrix Gateway アプライアンスは、クライアントから /vpns/services.html 要求を受信したときに障害が発生することがあります。

    [ビルド41.28から]

    [ NSHELP-8513]

BaseCluster

  • クラスタリングクラスター設定では、タイムスタンプが有効になっていると、サーバーに送信されたリクエストの一部がドロップされることがあります。

    [ビルド 47.22 から]

    [ NSHELP-20394]

CPXCPX インフラ

  • Citrix ADC CPX

    次のデフォルト TCP プロファイルは、TCP 最大セグメントサイズ (MSS) で自動的に設定されませんでした。

    • nstcp_default_profile

    • nstcp_internal_apps

    [ビルド41.28から]

    [ NSNET-11916]

Citrix ADC BLX アプライアンス

  • 共有モードでデプロイされたCitrix ADC BLXアプライアンスでは、Citrix ADC コマンドラインユーティリティ(cli_script.sh set ns param)を使用してBLX管理HTTPポート(mghttpport)またはHTTPSポート(mghttpport)を変更すると、Citrix ADC GUIおよびNITNITRO サービスが使用できなくなります。

    [ビルド 47.22 から]

    [ NSNET-10005]

  • Citrix ADC BLXアプライアンスでは、インターフェイス0/1をVLANにバインドすることはできません。これは、このインターフェイスがBLXアプライアンスとLinuxホストアプリケーション間の内部通信に使用されるためです。

    [ビルド41.28から]

    [ NSNET-10014]

  • Citrix ADC BLXアプライアンスは静的LAチャネルをサポートしていません。Citrix ADC BLXアプライアンスに静的LAチャネルを追加すると、アプライアンスがクラッシュする可能性があります。

    [ビルド 47.22 から]

    [ NSNET-11929]

  • Citrix ADC BLXアプライアンスに割り当てられたインターフェイス(Linuxホスト)のインターフェイス機能(Rx、Tx、GRO、GSO、LROなど)は無効になっています。これらの機能は、BLX アプライアンスが停止したときにこれらの BLX インターフェイスがデフォルトの名前空間に解放された後も、引き続き無効状態のままです。

    [ビルド41.28から]

    [ NSNET-9697]

Citrix ADC CLI

  • nsrecover ユーザーとしてログインすると、nscli-U コマンドでエラーが発生します。

    [ビルド41.28から]

    [NSCONFIG-1414]

  • Citrix ADCアプライアンスは、ユーザーセッションの最大数(約1000セッション)に達し、管理インターフェイスが応答しなくなると、応答しなくなります。

    [ビルド41.28から]

    [ NSHELP-19212, NSCONFIG-1369]

Citrix ADC CPX

  • Citrix ADC CPXインスタンスの軽量バージョンは、Citrix ADM に登録されていませんでした。

    [ビルド41.28から]

    [NSCONFIG-2232]

  • Citrix ADC CPXには、/32ビットのサブネットマスクを使用してNSIPを構成することはできません。

    [ビルド41.28から]

    [ NSNET-10968]

  • Citrix ADC CPXには、/32ビットのサブネットマスクを使用してNSIPを構成することはできません。

    [ビルド 47.22 から]

    [ NSNET-10968]

  • 次のデフォルト TCP プロファイルは、TCP 最大セグメントサイズ (MSS) で自動的に設定されませんでした。

    • nstcp_default_profile

    • nstcp_internal_apps

    [ビルド 47.22 から]

    [ NSNET-11916]

Citrix ADC GUI

  • クラスター設定では、新しいトレースを開始すると ([システム] > [診断] > [新しいトレースの開始])、トレースの開始操作が成功します。しかし、GUI には次のエラーが誤って表示されます。

    「トレースが開始されていません」

    [ビルド 47.22 から]

    [ NSHELP-18566]

  • エラーメッセージ「未定義のプロパティ ‘get’ を読み取れません。「ストリーム識別子 GUI ページで「アクション」をクリックすると、「」が表示されます。

    [ビルド41.28から]

    [ NSHELP-19369]

  • 手順 1 ~ 4 を実行すると、次のエラーメッセージが表示されます。

    「あいまいな引数値 []」

    1. デフォルト値で SSL プロファイルを作成します。

    2. プロファイルを SSL 仮想サーバーにバインドします。

    3. SSL パラメータを編集しますが、値は変更しないでください。

    4. OK を選択して SSL パラメータダイアログボックスを閉じます。

    [ビルド41.28から]

    [ NSHELP-19402]

  • クラスタ設定で、GUI を使用して詳細設定から暗号グループを追加すると、その暗号グループはメインページに表示されません。

    [ビルド 47.22 から]

    [ NSHELP-19704]

  • VARファイルのロールオーバーメカニズムに問題が発生した場合、Citrix ADC GUIへのユーザー認証は失敗します。

    [ビルド 47.22 から]

    [ NSHELP-20229]

  • エンティティ名にスペースが含まれている場合、ADC GUI の検索フィルタを使用してエンティティを検索することはできません。

    [ビルド 47.22 から]

    [ NSHELP-20506]

  • Syslog GUI ページにアクセスすると、「未定義のプロパティ ‘0’ を読み取れません」というエラーメッセージが表示されます。

    [ビルド 47.22 から]

    [ NSHELP-20574]

  • アップグレード後、スーパーユーザーグループ権限を持つ管理者のCitrix ADC GUIホームページは読み込まれません。

    [ビルド 47.22 から]

    [NSHELP-20638]

  • GUI を使用して、仮想サーバの SSL パラメータでクライアント認証をオプションに設定できるようになりました。以前は、GUI を使用して SSL パラメータを変更した場合、クライアント認証が必須に変更されていました。

    [ビルド 47.22 から]

    [ NSHELP-21060]

  • フレームワークの技術的な問題により、すべてのサービスグループが ADC GUI に表示されません。

    [ビルド 47.22 から]

    [ NSUI-13754]

  • フレームワークの技術的な問題により、すべてのサービスグループが ADC GUI に表示されません。

    [ビルド41.28から]

    [ NSUI-13754]

Citrix ADC SDX アプライアンス

  • VPXインスタンスで現在構成できるコアの最大数は、特定のSDXプラットフォームで使用可能なコアによって異なります。以前は、使用可能なコア数が増えても最大5コアしか構成できませんでした。

    VPXインスタンスに割り当てることができるコアの最大数については、 https://docs.citrix.com/en-us/sdx/13/provision-netscaler-instances.htmlを参照してください。

    [ビルド41.28から]

    [ NSHELP-18632]

  • SDXアプライアンスを復元した後、バックアップファイルのパーティションMACは、SDXアプライアンスで実行されているそれぞれのVPXインスタンスで復元されませんでした。

    [ビルド41.28から]

    [ NSHELP-19008]

  • SDXアプライアンスで実行されているVPX HAセットアップでは、仮想ポートチャネル(VPC)のスイッチの1つがダウンすると、LACPの一部であるすべてのインターフェイスがフラップします。これにより HA フェイルオーバーがトリガーされます。

    [ビルド 47.22 から]

    [ NSHELP-19095]

  • SDXアプライアンスで実行されているVPX HAセットアップでは、仮想ポートチャネル(VPC)のスイッチの1つがダウンすると、LACPの一部であるすべてのインターフェイスがフラップします。これにより HA フェイルオーバーがトリガーされます。

    [ビルド41.28から]

    [ NSHELP-19095]

  • ポリシーベースのクライアント認証でクライアント証明書の検証をオプションに設定するSSL構成を適用しているときに、SDX 8900アプライアンスがクラッシュする可能性があります。

    [ビルド41.28から]

    [ NSHELP-19297]

  • SDX アプライアンスをアップグレードすると、アプライアンスの LA チャネルと VLAN の構成が失われる可能性があります。

    [ビルド41.28から]

    [ NSHELP-19392, NSHELP-19610]

  • SDX 22XXXおよび24XXXアプライアンスでは、システムヘルスモニタリング中に、SDX管理サービスが誤ったアラートを発します。

    [ビルド 47.22 から]

    [ NSHELP-19795]

  • バックアップファイル名に特殊文字が含まれている場合、そのバックアップへのSDXアプライアンスの復元は失敗します。この修正により、バックアップファイルに特殊文字が含まれていると、エラーメッセージが表示されます。

    [ビルド 47.22 から]

    [ NSHELP-19951]

  • SDXアプライアンスでは、バーストスループットでプロビジョニングされたVPXインスタンスを復元すると、復元が失敗することがあります。

    [ビルド 47.22 から]

    [ NSHELP-20013]

  • SDX アプライアンスでは、次の条件がすべて満たされると、「インターフェイス 10/1 のメンバーは追加の MAC を使用できません」というエラーメッセージが表示されます。

    1. SDXアプライアンスで19個のVPXインスタンスをインスタンス化し、すべて同じネットワークインターフェースを使用します。

    2. 次に、前のインスタンスと同じネットワークインターフェースを使用する20番目のVPXインスタンスにMACアドレスを追加します。

    3. 20番目のVPXインスタンスのMACアドレスの数は、最初のVPXに追加されたMACアドレスの2倍です

    [ビルド 47.22 から]

    [ NSHELP-20158]

  • SDX 14000 FIPS アプライアンスでプールライセンスを設定する場合、チェックアウトできる最小インスタンス数は 25 でした。この修正により、チェックアウトできる最小インスタンス数は 2 つになりました。詳細については、Citrix ADC プールキャパシティドキュメントを参照してください。

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html。

    [ビルド41.28から]

    [ NSHELP-20305]

  • SDX 14000 FIPS アプライアンスでプールライセンスを設定する場合、チェックアウトできる最小インスタンス数は 25 でした。この修正により、チェックアウトできる最小インスタンス数は 2 つになりました。詳細については、Citrix ADC プールキャパシティドキュメントを参照してください。

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html。

    [ビルド 47.22 から]

    [NSHELP-20305]

  • リセット操作の後、送信レートは低下します。

    [ビルド41.28から]

    [ NSPLAT-7792]

  • SDX 26000 および SDX 15000 プラットフォームでは、次の条件が満たされると SSH 経由の DOM0 への管理アクセスが停止することがあります。

    • 複数のVPXインスタンスが同時に再起動されます。

    • 100 GEまたは50 GEのインターフェースがVPXインスタンスに割り当てられます。

    [ビルド 47.22 から]

    [ NSPLAT-9185]

  • SDX 26000 および SDX 15000 プラットフォームでは、次の条件が満たされると SSH 経由の DOM0 への管理アクセスが停止することがあります。

    • 複数のVPXインスタンスが同時に再起動されます。

    • 100 GEまたは50 GEのインターフェースがVPXインスタンスに割り当てられます。

    [ビルド41.28から]

    [ NSPLAT-9185]

  • SDX アプライアンスは、次の条件がすべて満たされると、再起動サイクルの終了時にハングアップすることがあります。

    • SDX アプライアンスは起動中です。

    • SDXアプライアンスで実行されているすべてのVPXインスタンスはまだ起動していません。

    • ウォームリブートコマンドは SDX アプライアンスで実行されます。

    その結果、Citrix Hypervisorコンソールでは、SDXアプライアンスが定期的にクリーンアップされ、「ターゲットの最終ステップに到達しました」という行で停止します。

    [ビルド41.28から]

    [ NSPLAT-9417]

  • SDXアプライアンスで実行されているVPXインスタンスで許可されたVLANリスト(AVL)からVLANを構成すると、インスタンスは自動的に再起動しません。その結果、VPXインスタンスとAVL間の通信が停止します。

    [ビルド41.28から]

    [NSSVM-135]

Citrix ADC VPXアプライアンス

  • インスタンスにvCPUライセンスがある場合、管理IPを使用してVPXインスタンスにアクセスできない場合があります。この問題は、オンプレミスとクラウドのすべてのVPXインスタンスで見られます。VPXインスタンスがSDXアプライアンスで実行されている場合は、SDX管理サービスGUIからインスタンスにアクセスできます。

    [ビルド41.28から]

    [ NSPLAT-10710]

  • インスタンスにvCPUライセンスがある場合、管理IPを使用してVPXインスタンスにアクセスできない場合があります。この問題は、オンプレミスとクラウドのすべてのVPXインスタンスで見られます。VPXインスタンスがSDXアプライアンスで実行されている場合は、SDX管理サービスGUIからインスタンスにアクセスできます。

    [ビルド 47.22 から]

    [ NSPLAT-10710]

  • Azure スタックの制限により、モーフィングされた MAC アドレスを使用するトラフィックはサポートされていません。したがって、Azure Stack ADC デプロイでは、MAC ベースの転送 (MBF) モードを無効にする必要があります。

    [ビルド 47.22 から]

    [ NSPLAT-11778]

  • Citrix ADC VPX GUIを使用してMTUサイズを設定すると、「操作はサポートされていません」というエラーメッセージが表示されます。

    [ビルド41.28から]

    [ NSPLAT-9594]

Citrix Gateway

  • Citrix Gateway イントラネットアプリケーションは、FQDNベースのトンネリング用にカンマ区切りのホスト名をサポートするようになりました。

    [ビルド41.28から]

    [ CGOP-10855]

  • macOS用のCitrix Gatewayプラグインがインストールされていない場合、ユーザーがSafariからVPNにアクセスしようとすると、エラーメッセージが表示されます。

    [ビルド41.28から]

    [ CGOP-11240]

  • Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

    [ビルド41.28から]

    [ CGOP-11830]

  • Citrix ADCとゲートウェイプラグインをリリース13.0ビルド41.20にアップグレードした後、ユーザーがVPNトンネルをセットアップしようとすると、ブルースクリーンオブデスエラー(BSOD)が連続して表示されます。

    [ビルド 47.22 から]

    [ CGOP-12099]

  • Citrix Gateway クラスタ設定では、内部データ構造の変更により、クラスタのアップグレード中にCitrix ADCアプライアンスがクラッシュする可能性があります。

    [ビルド 47.22 から]

    [NSAUTH-7153]

  • Citrix ADCアプライアンスでLSN構成が有効になっていない場合、送信中のカプセル化セキュリティペイロード(ESP)パケットはドロップされます。

    [ビルド41.28から]

    [NSHELP-18502]

  • 高可用性セットアップでは、SAML が設定されていると 2 次ノードがクラッシュする可能性があります。

    [ビルド41.28から]

    [ NSHELP-18691]

  • RDP サーバープロファイルがコンテンツスイッチング仮想サーバーと同じポート番号と IP アドレスに設定されている場合、コンテンツスイッチング構成は再起動後に失われます。

    [ビルド41.28から]

    [ NSHELP-18818]

  • 場合によっては、IEブラウザを使用してCitrix Gatewayアプライアンスにアクセスすると、更新後にのみCitrix Gatewayのログオンページが表示されることがあります。

    [ビルド41.28から]

    [ NSHELP-18938]

  • Citrix ADM の[分析]>[Gateway Insight]ページで、終了したVPNセッションが誤って報告されます。

    [ビルド41.28から]

    [ NSHELP-19037]

  • 高可用性セットアップでは、削除されたユーザー情報がノードと同期されていないと、セカンダリノードがクラッシュします。

    [ビルド41.28から]

    [ NSHELP-19065]

  • マシンが 2 時間以上非アクティブのままになると、クライアントマシンの VPN プラグインウィンドウに Server Busy ダイアログボックスが表示されます。

    [ビルド41.28から]

    [ NSHELP-19072]

  • UDP、DNS、ICMP の認証ポリシーは、内部ネットワークのクライアントと VPN クライアント間の接続(サーバーが開始する接続)には適用されません。

    [ビルド41.28から]

    [ NSHELP-19142]

  • 場合によっては、Citrix Gateway サーバーで構成されたログインスクリプトがクライアントマシンで実行されないことがあります。

    [ビルド41.28から]

    [ NSHELP-19163]

  • macOS デバイスの高度なエンドポイント分析 (EPA) スキャンが失敗します。

    [ビルド41.28から]

    [ NSHELP-19328]

  • 以下の条件が満たされると、Citrix ADCアプライアンスがコアをダンプする場合があります。

    • ネイティブ VMware Horizon クライアントでは 2 要素認証が有効になっています。

    • Radius は認証の最初の要素として設定されます。

    • 認証が成功すると、Radius サーバはグループ名で応答します。

    [ビルド41.28から]

    [ NSHELP-19333]

  • Microsoft EdgeブラウザからCitrix Gatewayにアクセスしていて、EPAまたはVPNが使用されていない場合、次のメッセージが正しく表示されません。

    「フル VPN と EPA は Edge ブラウザではサポートされていません。より良いエクスペリエンスを得るには、別のブラウザを使用してください。」

    [ビルド 47.22 から]

    [ NSHELP-19367]

  • 場合によっては、Windows VPN プラグインからのログアウトに予想以上に時間がかかることがあります。

    [ビルド41.28から]

    [ NSHELP-19394]

  • 場合によっては、Citrix Gateway アプライアンスが認証されていない要求の処理中に無効なCookie を設定することがあります。

    [ビルド 47.22 から]

    [ NSHELP-19403]

  • 場合によっては、Citrix Gateway アプライアンスが認証されていない要求の処理中に無効なCookie を設定することがあります。

    [ビルド41.28から]

    [ NSHELP-19403]

  • PCOIP仮想サーバープロファイルがVPN仮想サーバーに設定されているが、セッションアクションでPCoIPProfileが設定されていない場合、Citrix Gatewayアプライアンスがコアをダンプする場合があります。

    [ビルド41.28から]

    [ NSHELP-19412]

  • アプライアンスにアクセスすると、Citrix Gateway アプライアンスがコアをダンプする場合があります。

    フル VPN トンネルモード。

    [ビルド41.28から]

    [ NSHELP-19444]

  • Citrix ADCアプライアンスでローカルLANアクセスオプションが有効になっている場合、macOS用Citrix Gatewayプラグインは内部ホスト名を解決できません。

    [ビルド41.28から]

    [ NSHELP-19543]

  • Citrix ADCアプライアンスでローカルLANアクセスオプションが有効になっている場合、macOS用Citrix Gatewayプラグインは内部ホスト名を解決できません。

    [ビルド 47.22 から]

    [ NSHELP-19543]

  • Ubuntu オペレーティングシステムで実行されている仮想マシンでは EPA が失敗する場合があります。

    [ビルド 47.22 から]

    [ NSHELP-19556]

  • HA ペアのセットアップでは、VPN サーバのセッション同期コードに問題があるため、プライマリノードの永続セッションはクリアされません。

    [ビルド 47.22 から]

    [ NSHELP-19557]

  • VPN 仮想サーバー上の DTLS サービスはデフォルトの暗号セットで機能しますが、CLI を使用して bind または unbind cipher コマンドを使用して変更することはできません。

    [ビルド 47.22 から]

    [ NSHELP-19561]

  • VPN 仮想サーバー上の DTLS サービスはデフォルトの暗号セットで機能しますが、CLI を使用して bind または unbind cipher コマンドを使用して変更することはできません。

    [ビルド41.28から]

    [ NSHELP-19561]

  • 複数のアプリケーション/接続が VPN 経由でトンネリングされると、Skype 通話の音声の明瞭さが低下します。これは、不適切なメモリ管理が原因で発生します。

    [ビルド41.28から]

    [ NSHELP-19630]

  • Citrix Gateway は、nFactor 認証中に Windows プラグインのログオン表現ポリシーを認識しません。

    [ビルド41.28から]

    [ NSHELP-19640]

  • 「位置情報認識」機能は、マシンがネットワークに接続されていないゾーンからネットワーク接続ゾーン (インターネットまたはイントラネット) に移動されると、クライアントマシンでは機能しません。

    [ビルド41.28から]

    [ NSHELP-19657]

  • エンドポイント分析 (EPA) スキャンは 4096 ビットキーデバイス証明書を検証できませんでした。

    [ビルド 47.22 から]

    [ NSHELP-19697]

  • この問題は Linux レシーバにあります。ICA ハンドシェイク中に PACKET_INIT_RESPONSE でレシーバから暗号化モジュール (ICA_MODULE_PD) が受信されないため、ADC に暗号化ハンドラが NULL になり、クラッシュの原因となります。スキップするADCは、Receiverから受信した暗号化パラメータがない場合に接続をペアします。

    [ビルド 47.22 から]

    [ NSHELP-19758]

  • まれに、タイムアウト後に破損した SSL VPN の認証、承認、監査セッションエントリをクリアしているときに、メモリ破損によりコアダンプが発生し、コアダンプが発生することがあります。

    [ビルド 47.22 から]

    [ NSHELP-19775]

  • Azureでホストされている認証要素がCitrix MFAで使用されている場合、Windowsプラグインを使用してCitrix Gatewayにログオンすると失敗します。これは、MFA HTTPタイムアウト値がCitrix Gateway Windowsプラグインのタイムアウト値よりも小さいために起こります。

    この修正により、Citrix Gateway Windowsプラグインのタイムアウト値が増加し、ログオン障害を回避できるようになりました。また、以下のレジストリ値 (秒単位) を設定することで HTTP タイムアウト値を設定できるようになりました。

    ComputerHKEY_LOCAL_MACHINESOFTWARECitrixSecure Access ClientHttpTimeout

    [ビルド41.28から]

    [ NSHELP-19848]

  • 既存のユーザーの [ログインの移行] ページは、英語以外の言語では機能しません。

    [ビルド 47.22 から]

    [ NSHELP-19859]

  • Windows マシンで EPA スキャンが失敗する場合があります。

    [ビルド41.28から]

    [ NSHELP-19865]

  • まれに、次の条件の両方が満たされると、高可用性(HA)設定で展開されたCitrix ADCアプライアンスがクラッシュし、頻繁にHAフェイルオーバーが発生することがあります。

    • Gateway Insightは有効になっています。

    • SSO が失敗します。

    [ビルド 47.22 から]

    [ NSHELP-19922]

  • まれに、次の条件の両方が満たされると、高可用性(HA)設定で展開されたCitrix ADCアプライアンスがクラッシュし、頻繁にHAフェイルオーバーが発生することがあります。

    • Gateway Insightは有効になっています。

    • SSO が失敗します。

    [ビルド41.28から]

    [ NSHELP-19922]

  • ICA InsightがEDTセッションで有効になっている場合、画面がフリーズしたり、アプリケーション画面の操作が遅れたりすることがあります。

    [ビルド 47.22 から]

    [ NSHELP-19934]

  • Windows Intune 登録チェックをクライアントマシンで無効にすることはできません。このチェックはデフォルトで有効になっています。

    この修正により、Windows Intune の登録チェックを無効にできるようになりました。

    チェックを無効にするには、次のレジストリエントリを 1 に設定します。

    ComputerHKEY_LOCAL_MACHINESOFTWARECitrixSecure Access ClientDisableIntuneDeviceEnrollment

    [ビルド41.28から]

    [ NSHELP-19942]

  • まれに、GSLBがVPNサービスの統計を更新している間にCitrix Gatewayがクラッシュすることがあります。

    [ビルド 47.22 から]

    [ NSHELP-19992]

  • 複数のアプリケーションまたは接続が VPN 経由でトンネリングされると、VOIP アプリケーションの音声の明瞭さが悪影響を受けます。

    [ビルド41.28から]

    [ NSHELP-20097]

  • 複数のアプリケーションまたは接続が VPN 経由でトンネリングされると、VOIP アプリケーションの音声の明瞭さが悪影響を受けます。

    [ビルド 47.22 から]

    [ NSHELP-20097]

  • 高度なクライアントレス VPN 処理用に書き換える URL を見つけると、CPU 使用率が高くなります。その結果、システムの速度が低下します。

    [ビルド41.28から]

    [ NSHELP-20122]

  • 高度なクライアントレス VPN 処理用に書き換える URL を見つけると、CPU 使用率が高くなります。その結果、システムの速度が低下します。

    [ビルド 47.22 から]

    [ NSHELP-20122]

  • 高可用性セットアップでは、認証、承認、監査セッション、または SAML 関連情報を含む VPN セッションがプライマリノードに伝播されるたびに、セカンダリノードがクラッシュします。

    [ビルド 47.22 から]

    [ NSHELP-20230]

  • HDX Insightが有効になっていると、Citrix ADCアプライアンスが応答しなくなることがあります。

    [ビルド 47.22 から]

    [ NSHELP-20280]

  • STAの更新時にアプライアンスが誤ったSTAチケットを送信するため、クライアントマシンはCitrix Gatewayアプライアンスへの再接続に失敗します。

    [ビルド41.28から]

    [ NSHELP-20285]

  • STAの更新時にアプライアンスが誤ったSTAチケットを送信するため、クライアントマシンはCitrix Gatewayアプライアンスへの再接続に失敗します。

    [ビルド 47.22 から]

    [ NSHELP-20285]

  • EPA スキャンは完了せず、応答しなくなります。

    [ビルド 47.22 から]

    [ NSHELP-20319]

  • ユーザーは、Citrix Gateway GUIを使用してポリシーマネージャーからクライアントレスアクセスポリシーを追加することはできません。

    [ビルド 47.22 から]

    [ NSHELP-20333]

  • クライアントレスアクセスプロファイルにドメインを追加すると、FQDN が長いと水平スクロールバーが表示されます。

    [ビルド41.28から]

    [ NSHELP-20341]

  • クライアントレスアクセスプロファイルにドメインを追加すると、FQDN が長いと水平スクロールバーが表示されます。

    [ビルド 47.22 から]

    [ NSHELP-20341]

  • VPN プラグインは、次の両方の条件が満たされる場合、キャプティブポータル認証まですべての TCP トラフィックをブロック解除します。

    • クライアントマシンは、AlwaysOn、OnlyToGateway モードに設定されています。

    • クライアントマシンはキャプティブポータルネットワークに接続されています。

    [ビルド 47.22 から]

    [ NSHELP-20360]

  • NetworkAccessOnVPNFailure パラメーターが「ゲートウェイのみ」に設定されている場合、AlwaysOn サービスが VPN トンネルの確立に断続的に失敗します。

    [ビルド 47.22 から]

    [ NSHELP-20369]

  • DTSL が有効になっていると、起動したデスクトップでの操作に対するキーボードとマウスの反応が遅れることがあります。

    [ビルド 47.22 から]

    [ NSHELP-20447]

  • ネットワークレベル認証 (NLA) サービスは、ユーザーがログインまたはログアウトするたびに再起動されます。これは、nsapimgr ノブを使用して構成した設定が反映されないために起こります。

    [ビルド 47.22 から]

    [ NSHELP-20494]

  • Citrix Windows プラグインが Mozilla Firefox 68.0 を使用してCitrix ゲートウェイに接続できません。

    [ビルド 47.22 から]

    [ NSHELP-20503]

  • 高可用性セットアップでは、Citrix ADC フェイルオーバー中に、/var/netscaler/logon フォルダーにある一部のアプリのアイコンが表示されません。

    [ビルド 47.22 から]

    [ NSHELP-20573]

  • 次の条件の両方が満たされている場合、転送ログイン中に空白の画面が表示され、StoreFront アプリは列挙されません。

    • スプリットトンネルは ON に設定されています。

    • IP アドレスプール (イントラネット IP) オプションが [スピルオーバーなし] に設定されています。

    [ビルド 47.22 から]

    [ NSHELP-20584]

  • Citrix ADC アプライアンスは、URL の FQDN に「%2E」が含まれていると、クライアントレス VPN 用に書き直された URL をデコードできません。

    [ビルド 47.22 から]

    [ NSHELP-20603]

  • ユーザは、高度なクライアントレス VPN アクセスを介して SharePoint から Microsoft Office ドキュメントにアクセスすることはできません。

    [ビルド 47.22 から]

    [ NSHELP-20611]

  • Citrix ADCアプライアンスをリリース12.1ビルド54.13以降にアップグレードすると、RDPリソースにアクセスしたときに次のメッセージが表示されることがあります。

    「エラー:特権ユーザーではありません」

    [ビルド 47.22 から]

    [NSHELP-20678]

  • HDX Insightが有効で、メモリが不足していると、Citrix ADCアプライアンスが応答しなくなることがあります。

    [ビルド 47.22 から]

    [NSHELP-20707]

  • Citrix 仮想アダプタは、VPN マシンがスリープモードになっていて、ログアウトがトリガーされても、接続されたままになります。ネットワークにアクセスするには、ユーザーがアプリケーションを終了するか、VPN マシンを再起動する必要があります。

    [ビルド 47.22 から]

    [ NSHELP-20755]

  • Citrix ADCアプライアンスがプロキシEDT接続用に構成されていて、メモリが不足していると、Citrix ADCアプライアンスが応答しなくなることがあります。

    [ビルド 47.22 から]

    [ NSHELP-20761]

  • デバイス証明書チェックでオンライン証明書ステータスプロトコル (OCSP) が有効になっていると、nFactor 認証が失敗します。

    [ビルド 47.22 から]

    [ NSHELP-20855]

  • 次の条件がすべて満たされている場合、StoreFront で構成されたアプリはCitrix Gatewayのホームページに表示されません。

    • WiHome が設定されました。

    • 高度なクライアントレス VPN アクセスが有効になっています。

    • ユーザーは、Internet Explorerまたは Firefox からログオンします。

    [ビルド 47.22 から]

    [ NSHELP-20888]

  • VPNが正常に接続されていてもユーザーは内部リソースにアクセスできませんが、DNSサーバーがCitrix Virtual Adapter用に正しく構成されていません。

    [ビルド 47.22 から]

    [ NSHELP-20892]

  • RFWebUIテーマを使用してCitrix Gateway URLを読み込むと、ユーザーが「エラー403アクセスが拒否されました」というエラーメッセージが断続的に表示されます。

    [ビルド 47.22 から]

    [ NSHELP-20895]

  • デバイスストアに複数のデバイス証明書がある場合、ユーザーペルソナを使用した AlwaysOn サービスはユーザートンネルの確立に失敗します。

    [ビルド 47.22 から]

    [ NSHELP-20897, NSHELP-21583]

  • 高可用性セットアップでは、高可用性セットアップのセッションリライアビリティが有効になっていると、セカンダリのCitrix ADCアプライアンスがクラッシュする可能性があります。

    [ビルド41.28から]

    [ NSHELP-5257, NSINSIGHT-1208, NSHELP-3807, NSHELP-3808, NSHELP-5414, NSHELP-5417, NSHELP-5428, NSHELP-17883, NSHELP-17894, NSHELP-17904]

  • 認証、承認、監査の仮想サーバーのログインページには、わかりやすいエラーメッセージの代わりにエラーコード番号が表示されます。

    [ビルド41.28から]

    [ NSHELP-7872]

  • 認証、承認、監査の仮想サーバーのログインページには、わかりやすいエラーメッセージの代わりにエラーコード番号が表示されます。

    [ビルド 47.22 から]

    [ NSHELP-7872]

  • 保留中のSTA更新操作が無限に蓄積されるため、Citrix Gatewayアプライアンスがコアをダンプする場合があります。

    [ビルド41.28から]

    [ NSHELP-8684]

Citrix Web App Firewall

  • Citrix Web App Firewall の元の設定はデフォルト設定にオーバーライドされます。

    たとえば、一部のシグニチャで「有効」オプションを選択した場合、シグネチャの結合操作中に設定が「無効」にオーバーライドされます。

    [ビルド41.28から]

    [ NSHELP-17841]

  • 実行構成で rfcprofile オプションを有効にして高可用性セットアップまたはクラスタセットアップを再起動すると、設定が失われます。

    [ビルド41.28から]

    [ NSHELP-18856]

  • Web App Firewallプロファイルで次の機能が有効になっていると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    • XML プロセッシング。

    • セキュリティインサイト。

    [ビルド 47.22 から]

    [ NSHELP-18869, NSHELP-21691]

  • Citrix Web App Firewall の構成変更がクラスター設定で適切に処理されない場合、Citrix ADC アプライアンスがクラッシュする可能性があります。

    [ビルド41.28から]

    [ NSHELP-18870]

  • 緩和ルールを追加しても、類似の URL は学習済みルールリストから削除されません。

    [ビルド41.28から]

    [ NSHELP-19298]

  • 緩和ルールを追加しても、類似の URL は学習済みルールリストから削除されません。

    [ビルド 47.22 から]

    [ NSHELP-19298]

  • 大きなフォーム本文を処理するとき、およびCitrix Web App Firewallプロファイルでフィールド整合性パラメータが有効になっていると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ビルド41.28から]

    [ NSHELP-19299]

  • Citrix ADCアプライアンスは、XMLトラフィックが多いときにクライアント接続をリセットすることがあります。

    [ビルド41.28から]

    [ NSHELP-19314]

  • URL 変換ポリシーを有効にしていて、ボディ属性値からの応答に特殊文字が含まれている場合、SSL オフロードの ContentSwitching が特殊文字をエンティティエンコード値に置き換えることがあります。

    [ビルド41.28から]

    [ NSHELP-19356]

  • Citrix ADCアプライアンスは、CONNECT要求を受信するとクラッシュする可能性があります。この問題は、デフォルトのプロファイル設定を APPFW_BYPASS、APPFW_RESET、APPFW_DROP、APPFW_BLOCK 以外の値に設定した場合に発生します。

    [ビルド41.28から]

    [ NSHELP-19603]

  • フィールドの一貫性保護パラメータが有効になっていると、多くのクエリパラメータを含むWebリクエストが応答しないことがあります。

    [ビルド41.28から]

    [ NSHELP-19811]

  • フィールドの一貫性保護パラメータが有効になっていると、多くのクエリパラメータを含むWebリクエストが応答しないことがあります。

    [ビルド 47.22 から]

    [ NSHELP-19811]

  • 次の条件が満たされると、Citrix ADCアプライアンスに障害が発生します。

    • Web App Firewall ポリシーでは、HTTP.REQ.BODY(..)),の HTTP ボディベースのルールを使用

    • Web App Firewall 機能は無効になっています。

    [ビルド41.28から]

    [ NSHELP-19879]

  • 高可用性セットアップでは、IP レピュテーション機能を有効にすると、高可用性コマンドの伝播が失敗する可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20010]

  • Citrix ADC SDXアプライアンスでは、WAFモジュールの内部問題が原因でCitrix ADC VPXインスタンスがクラッシュする可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20096]

  • sqlite ライブラリとの内部通信エラーが発生すると、Citrix ADC アプライアンスがクラッシュする可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20173]

  • アップグレード後、Web App Firewall プロファイルに署名をバインドすると、アプライアンスは受信したリクエストをサイレントにドロップします。

    [ビルド 47.22 から]

    [ NSHELP-20201, NSWAF-3427, NSHELP-20599]

  • Citrix ADCアプライアンスは、署名ファイルの正規表現パターンを処理しているとき、およびbigstackが使用できない場合にクラッシュする可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20359]

  • 次の条件が満たされると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    • IP レピュテーションポリシー表現は、TCP タイプの負荷分散仮想サーバで使用されます。

    • セキュリティインサイトは有効になっています。

    [ビルド 47.22 から]

    [ NSHELP-20410]

  • 署名機能が有効になっていて、特定の要求パターンが検出されると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20884, NSHELP-19583]

  • 署名によって検査される投稿本文のバイト数を制限する新しいオプション

    アプライアンスをCitrix ADCバージョン13.0にアップグレードすると、デフォルト値が8192バイトの新しいプロファイルオプション「署名投稿本文の制限(バイト)」が表示されるようになりました。アプライアンスをアップグレードすると、オプションがデフォルト値に設定されます。このオプションを変更して、場所が ‘HTTP_POST_BODY’ として指定された署名について検査されるリクエストペイロード (バイト単位) を制限できます。

    以前は、Web Citrix Web App Firewall には、ペイロード検査を制限して CPU を抑制するオプションがありませんでした。

    ナビゲーション:[構成]>[セキュリティ]>[Citrix Web App Firewall]>[プロファイル]>[プロファイル設定]

    [ビルド41.28から]

    [ NSWAF-2887, NSUI-13251]

  • Tor プロキシ IP アドレスからのリクエストは、CLIENT.IP.SRC.IPREP_THREAT_CATEGORY (PROXY) ポリシー表現を使用する IP レピュテーション Tor プロキシカテゴリによってブロックされません。

    [ビルド 47.22 から]

    [NSWAF-3611]

クライアント AG-EE

  • Citrix Gateway VPNのみで接続され、イントラネットIPが設定されている場合、コンピューターのグループは内部および外部のリソースにアクセスできません。

    [ビルド 47.22 から]

    [ NSHELP-20011]

クラスタリング

  • 「show ns ip」コマンドで多数のIPアドレスが表示される場合、Citrix ADCアプライアンスまたはクラスタセットアップでCPU使用率が高くなります。

    [ビルド 47.22 から]

    [ NSHELP-11193]

  • リンクセットメンバーのインターフェイスまたはチャネルは、Citrix ADCアプライアンスの新しい静的ND6エントリの一部として追加されます。Citrix ADCアプライアンスが新しい静的ND6エントリを受け入れるには、リンクセットVLANを指定する必要があります。

    [ビルド 47.22 から]

    [ NSHELP-19453]

  • ACL6 構成のクラスタ設定では、ICMPv6 エラーパケットがノード間でループし、CPU 使用率が高くなります。

    [ビルド41.28から]

    [ NSHELP-19535]

  • クラスター設定では、次の条件のいずれかが満たされると、クラスターの伝播が失敗する可能性があります。

    • クラスタデーモンと設定デーモン間の接続が失敗します。

    • クラスターデーモンのメモリ使用量の増加。

    [ビルド41.28から]

    [ NSHELP-19771]

  • クラスタ設定では、次の条件でCitrix ADC GUIがSSL証明書をアップロードできません。

    • コマンドは CLIP から実行されます。

    • 「sh partition」コマンドが無効な応答を返しました。

    [ビルド41.28から]

    [ NSHELP-19905]

  • 単一ノードクラスタでは、次の条件では SSH で CLIP に接続できないことがあります。

    • USIP モードが有効になっています。

    • クラスタノードの状態はパッシブに設定されています。

    [ビルド 47.22 から]

    [ NSHELP-20210]

  • L3 クラスタ設定で、ローカルノードグループが不正アドレス解決プロトコル (GARP) 要求をピアノードグループが所有する IP アドレスに誤って送信します。その結果、クラスタのハートビートパケットがループします。

    [ビルド 47.22 から]

    [ NSHELP-20366]

  • ACL を降順に追加し、ACL6 エントリのいずれかを削除すると、DFD タイプの ACL6 リストが破損する可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20587]

  • クラスタ設定では、Citrix ADCアプライアンスで元の接続がタイムアウトする前に4つのタプルを別のMPTCPキーで再利用すると、新しいMPTCP接続でCitrix ADCアプライアンスがクラッシュする可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20844, NSHELP-20726]

  • クラスタ設定では、ZeboS Dynamic Routing IMIデーモンと内部クラスタデーモン間の接続障害を示す連続障害ログが表示されることがあります。この問題は、ZeboS ダイナミックルーティング IMI デーモンまたは内部クラスタデーモンのいずれかを再起動したときに発生します。

    [ビルド41.28から]

    [ NSNET-10655]

  • クラスタ設定では、次の動作が見られます。

    • サービスグループメンバー、サービスグループ、およびサーバーコマンドの有効化/無効化を実行すると、設定が一致しません。

    • unset コマンドは、サービス/サービスグループのネットプロファイルをリセットしません。

    [ビルド41.28から]

    [ NSNET-9599]

DNS

  • DNS DNSロギングが有効になっていて、アプライアンスが大量のDNS応答を受け取ると、Citrix ADCアプライアンスがクラッシュする可能性があります。?

    [ビルド 47.22 から]

    [ NSHELP-18926]

  • 権限のあるゾーンのDNS ANYクエリに対してキャッシュされた否定的な応答を埋めると、Citrix ADCアプライアンスがクラッシュすることがあります。

    [ビルド41.28から]

    [ NSHELP-19496]

  • 所有しているゾーンにワイルドカードドメインを追加できます。

    [ビルド41.28から]

    [ NSHELP-19498]

  • SDXアプライアンスで実行されているCitrix ADC VPXインスタンスは、ジャンボ対応インターフェイスで無効なDNS要求を受信するとクラッシュする可能性があります。

    [ビルド41.28から]

    [ NSHELP-19854]

GSLBか

  • 次の条件の両方が満たされると、GSLB サイトバックアップの親リスト設定は失われます。

    • TriggerMonitor オプションは MEPDOWN または MEPDOWN_SVCDOWN に設定されています。

    • Citrix ADC アプライアンスが再起動されます。

    [ビルド41.28から]

    [NSCONFIG-1760]

  • 次の条件の両方が満たされると、GSLB サイトバックアップの親リスト設定は失われます。

    • TriggerMonitor オプションは MEPDOWN または MEPDOWN_SVCDOWN に設定されています。

    • Citrix ADC アプライアンスが再起動されます。

    [ビルド 47.22 から]

    [NSCONFIG-1760]

  • Citrix ADCアプライアンスは、次の条件がすべて満たされるとクラッシュする可能性があります。

    • バックエンドサーバーがダウンしています。

    • ADCアプライアンスは、新しいバックエンドを選択するために、RTTや近接性などのサーバーに関する情報を収集します。

    [ビルド 47.22 から]

    [ NSHELP-11969]

  • GSLB クラスタ設定では、ノードがクラスタに参加したときに MEP 接続が終了して MEP フラップが発生することがあります。

    [ビルド 47.22 から]

    [ NSHELP-19532]

  • GSLB クラスタ設定では、ノードがクラスタに参加したときに MEP 接続が終了して MEP フラップが発生することがあります。

    [ビルド41.28から]

    [ NSHELP-19532]

  • CNAME ベースの GSLB サービスで set コマンドが発行されると、Citrix ADC アプライアンスがクラッシュします。

    [ビルド 47.22 から]

    [NSLB-5433、NSLB-5562]

Gateway

  • Citrix Gateway まれに、AAA ユーザーセッションが転送され、イントラネット IP が有効になっていると、Citrix Gateway アプライアンスがクラッシュすることがあります。

    [ビルド 47.22 から]

    [NSHELP-20680]

Gateway Insight

  • 高可用性(HA)設定では、AppFlowが有効になっていてフェイルオーバーが発生すると、プライマリノードがクラッシュする可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-19363]

  • 高可用性(HA)セットアップで展開されたCitrix ADCアプライアンスは、次の条件の両方が満たされるとクラッシュします。

    • AppFlow は有効になっています

    • 高可用性同期が失敗しました。

    [ビルド 47.22 から]

    [ NSHELP-19490]

ライセンス

  • SDX アプライアンスがプールライセンスの猶予期間中の場合、残りの猶予期間は 30 日ではなく 0 日と表示されます。

    [ビルド 47.22 から]

    [ NSHELP-19615]

  • MPX 永久ライセンスを Pooled Capacity ライセンスにアップグレードすると、ADM GUI から構成を保存してインスタンスを再起動するように求められます。この修正により、GUI はインスタンスの再起動のみを求めます。

    [ビルド 47.22 から]

    [ NSHELP-20137]

  • MPX 永久ライセンスを Pooled Capacity ライセンスにアップグレードすると、ADM GUI から構成を保存してインスタンスを再起動するように求められます。この修正により、GUI はインスタンスの再起動のみを求めます。

    [ビルド41.28から]

    [ NSHELP-20137]

負荷分散

  • サービスグループにバインドされたモニターで LRTM が有効になっている場合、応答時間は表示されません。

    [ビルド41.28から]

    [ NSHELP-12689]

  • まれに、次の構成のサーバーからSSLセッションを受信する前にサービスがDOWNとマークされると、Citrix ADCアプライアンスに障害が発生することがあります。

    • SSL_BRIDGE タイプの負荷分散仮想サーバー

    • パーシステンスタイプは SSLSESSION ID に設定されています

    • バックアップパーシスタンスタイプは SOURCEIP に設定されています

    [ビルド41.28から]

    [ NSHELP-18482]

  • 一部のサービスまたはサービスグループメンバーが負荷分散仮想サーバーからバインド解除された後、負荷分散仮想サーバーの非アクティブサービス番号が数秒間大きな値を返すことがあります。これは表示上の問題であり、機能には影響しません。

    [ビルド41.28から]

    [ NSHELP-19400]

  • 仮想サーバーのタイプがANYで、仮想サーバーでスピルオーバーパーシスタンスが有効になっていると、Citrix ADCアプライアンスがクラッシュします。

    [ビルド 47.22 から]

    [ NSHELP-19540]

  • 仮想サーバーのタイプがANYで、仮想サーバーでスピルオーバーパーシスタンスが有効になっていると、Citrix ADCアプライアンスがクラッシュします。

    [ビルド41.28から]

    [ NSHELP-19540]

  • INC モードの高可用性セットアップでは、一部の負荷分散モニターについて、セカンダリノードの GUI と CLI に次のステータスメッセージが誤って表示されます。

    「プローブがスキップされました-セカンダリノード」

    [ビルド41.28から]

    [ NSHELP-19617]

  • URL に% 特殊文字が含まれていると、HTTPS URL のリダイレクトは失敗します。

    [ビルド 47.22 から]

    [ NSHELP-19993]

  • Citrix ADC VPXアプライアンスは複数の一時ファイルを生成するため、ディスク容量が不足する可能性があります。特定のロケーションファイルに対して rsync 操作が行われると、そのロケーションファイル用の一時ファイルが作成されます。これらのファイルは /var ディレクトリをいっぱいにします。

    [ビルド 47.22 から]

    [ NSHELP-20020]

  • Citrix ADC VPXアプライアンスは複数の一時ファイルを生成するため、ディスク容量が不足する可能性があります。特定のロケーションファイルに対して rsync 操作が行われると、そのロケーションファイル用の一時ファイルが作成されます。これらのファイルは /var ディレクトリをいっぱいにします。

    [ビルド41.28から]

    [ NSHELP-20020]

  • トラフィックドメインがSIPタイプの負荷分散仮想サーバーで構成されている場合、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20286]

  • Citrix ADCアプライアンスは、次の両方の条件が満たされるとクラッシュする可能性があります。

    • ルールベースのパーシスタンスはアプライアンスで設定されます。

    • ルールベースのパーシスタンスで設定されたパラメータに対して、複数の IPv6 サーバが同じ値で応答します。

    [ビルド 47.22 から]

    [ NSHELP-20490]

  • Autoscaleサービスグループのパスモニタリングは、クラスターデプロイメントではサポートされていません。

    [ビルド41.28から]

    [NSLB-4660]

NITRO

  • Citrix ADCアプライアンスは、ルータ/ダイナミックルーティングのNITRO APIコールを表示すると、内部エラーメッセージで応答します。

    [ビルド41.28から]

    [NSCONFIG-1325]

  • Citrix ADCアプライアンスは、ルータ/ダイナミックルーティングのNITRO APIコールを表示すると、内部エラーメッセージで応答します。

    [ビルド 47.22 から]

    [NSCONFIG-1325]

  • Citrix ADCアプライアンスのHTTPデーモンは、次の条件がすべて満たされるとクラッシュする可能性があります。

    • アプライアンスは、アプライアンスにリソースを追加するための等価な NITRO API リクエストを受け取ります。

    • 等価な NITRO API リクエストには設定可能なプロパティはありません。

    • リソースはCitrix ADCアプライアンスにすでに存在しています。

    [ビルド 47.22 から]

    [NSCONFIG-2298]

  • NITRO API を使用した最初のログインは、パーティションユーザーの場合は失敗します。ただし、その後のログインは成功します。

    [ビルド 47.22 から]

    [ NSHELP-20159, NSCONFIG-2054]

ネットワーク

  • OSPF 動的ルーティングが設定された高可用性セットアップでは、新しいプライマリノードは、フェールオーバー後に OSPF MD5 シーケンス番号を昇順で生成しません。

    この問題は修正されました。修正が正しく機能するためには、手動で、または NTP を使用して、プライマリノードとセカンダリノード間の時刻を同期する必要があります。

    [ビルド41.28から]

    [ NSHELP-18958]

  • ネクストホップパラメータがNULLに設定されたPBRルールを負荷分散サービスまたはモニターに追加すると、Citrix ADCアプライアンスが応答しなくなることがあります。

    [ビルド41.28から]

    [ NSHELP-19245]

  • Citrix ADCアプライアンスでは、次の条件がすべて満たされると、SYN+ACKパケットループが発生し、CPU使用率が高くなる可能性があります。

    • 現在Citrix ADCが所有しているIPアドレスではないIPアドレスへの未処理のRNAT プローブ接続がADCアプライアンスに存在する場合。

    • この IP アドレスを ADC 構成の一部として ADC 所有の IP アドレスとして設定した場合。たとえば、この IP アドレスを持つ負荷分散仮想サーバーを追加します。

    [ビルド41.28から]

    [ NSHELP-19376]

  • Citrix ADCアプライアンスでは、プロトコルモジュールが完全に初期化されていない場合でも、NITRO APIによる構成が可能です。このため、write memory コマンドは次のエラーメッセージで失敗します。

    「設定の保存が拒否されました-モジュールが準備されていません」

    [ビルド41.28から]

    [ NSHELP-19431]

  • まれに、高可用性セットアップでは、セカンダリノードがCitrix ADC IPアドレス(NSIP)を介してBGPセッションを確立することがあります。

    [ビルド41.28から]

    [ NSHELP-19720]

  • パスに複数の 4 バイトの AS 番号が含まれている BGP アップデートを受信すると、メモリ破損が原因で BGP プロセスが失敗する可能性があります。

    [ビルド41.28から]

    [ NSHELP-19860]

  • ADCアプライアンスは、関連するインターフェイスが無効になったり、関連するIPアドレスが削除されたりすると、ECMPルートを最適化して更新しない場合があります。

    [ビルド 47.22 から]

    [ NSHELP-19891]

  • Citrix ADCアプライアンスのBGPデーモンが、ネクストホップが0.0.0.0/0の学習済みルートを誤ってインストールすることがあります。

    [ビルド 47.22 から]

    [ NSHELP-19900]

  • 特定の内部FTPサービス検索に依存するリッスンポリシーを追加すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20002]

  • Citrix ADC Access Gatewayを介して負荷分散設定にアクセスするトラフィックの場合、Citrix ADCアプライアンスは、接続テーブルエントリにレイヤー2情報を正しく追加しなくても、このトラフィックにMACベース転送(MBF)を適用する場合があります。

    [ビルド 47.22 から]

    [ NSHELP-20064]

  • Citrix ADCアプライアンスは、UDPおよびICMPタイプの送信監視パケットのポリシーベースルート(PBR)ルールをスキップする場合があります。

    [ビルド 47.22 から]

    [ NSHELP-20112]

  • 再起動すると、Citrix ADCアプライアンスは、インターフェイスにサブネットIP(SNIP)アドレスを割り当てる前にピアデバイスとのBGPセッションを確立し、ネクストホップの検証に失敗します。この問題により、Citrix ADCアプライアンスは、これらのピアデバイスからアドバタイズされたルートを学習しない可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20211]

  • プロキシサーバーとして機能するCitrix ADCアプライアンスは、トラフィックがPBRルールと一致しない場合でも、レイヤー2情報に基づいてPBRルールをトラフィックに適用する場合があります。

    [ビルド 47.22 から]

    [ NSHELP-20317]

  • 次の条件がすべて満たされると、「既存のルートはこのサブネットの存在に依存しています」というエラーメッセージが表示されます。

    • 最初のオクテットが 127 より大きい 2 つ以上の SNIP アドレスが追加されます

    • SNIP アドレスのルートがそのネットワークに追加されます。

    • 追加された SNIP アドレスのいずれかを削除しようとしています

    [ビルド 47.22 から]

    [ NSHELP-20492]

  • 32 ビットの ASN 値は、「sh ip bgp summary」コマンドの出力に負の値として表示されます。

    [ビルド 47.22 から]

    [ NSHELP-20540]

  • Citrix ADCアプライアンスは、次の条件の両方に一致するIPv6トラフィックを受信するとクラッシュする可能性があります。

    • IPv6トラフィックの送信元MACアドレスは、タイプがANYでリダイレクトモードがMACベースの転送(-m MAC)に設定されている仮想サーバーにバインドされたサービスのMACアドレスと一致します

    • IPv6 トラフィックは、TCP プロキシオプションが有効になっている RNAT6 ルールと一致します。

    [ビルド 47.22 から]

    [ NSHELP-20548]

  • 複数のBGPの場合、Citrix ADCアプライアンスはECMPルートを正しく更新しないことがあります

    セッションは同時に「DOWN」状態になります。

    [ビルド 47.22 から]

    [ NSHELP-20664]

  • BGPデーモンは、Citrix ADC ルーティングテーブルから削除されたルートについて重複した警告メッセージを表示することがあります。

    [ビルド 47.22 から]

    [ NSHELP-20906]

  • useproxyportパラメーターが無効になっているRNATルールと、INATパブリックIPアドレスにアクセスするRNATクライアントの場合、Citrix ADCアプライアンスはRNATルールに関連するセッションにポートを誤って割り当て/割り当て解除する可能性があります。このようにポートを誤って割り当てたり割り当て解除したりすると、ポートリークが発生します。

    [ビルド41.28から]

    [ NSNET-10089]

  • Citrix ADC GUIで、[構成] > [ネットワーク] > [インターフェイス] に移動して [インターフェイス統計] をクリックすると、インターフェイスの概要が表示されず、「Invalid value [arg]」というエラーメッセージが表示されます。

    [ビルド41.28から]

    [ NSUI-13043]

最適化

  • レイジーローディングモードでは、スクロールせずに見える範囲の上にある高さや幅などの属性のない単純なウェブページの画像は読み込まれません。

    [ビルド41.28から]

    [ NSHELP-19193]

  • Citrix ADCアプライアンスは、次の条件が満たされると自動的に再起動します。

    • フロントエンド最適化機能が有効になっています。

    • キャッシュされたオブジェクトは再最適化されます。

    [ビルド41.28から]

    [ NSHELP-19428]

プラットフォーム

  • SDX 14000 FIPS アプライアンスは、FIPS HSM パーティションの設定中にクラッシュして再起動することがあります。

    [ビルド41.28から]

    [ NSHELP-18503]

  • 以下のCitrix ADC SDXプラットフォームでは、管理ポートがVPXインスタンスに割り当てられておらず、インスタンス管理がデータポートを介して行われている場合に、大量のマルチキャストトラフィックを受信すると、VPXインスタンスへの接続が失敗する可能性があります。

    • SDX 8900

    • SDX 14000-40G

    • SDX 14000-40S

    • SDX 15000-50G

    • SDX 25000-40G

    • SDX 25000T

    • SDX 25000T-40G

    [ビルド 47.22 から]

    [ NSHELP-19861]

  • Fortville インターフェイスを搭載した SDX プラットフォームでは、10G および 40G の Fortville インターフェイスでジャンボが有効になっていると TX ストールが発生する可能性があります。

    [ビルド 47.22 から]

    [NSHELP-20605]

ポリシー

  • アップグレード後、CVPN homepage2.html のリライトポリシーが機能しない

    [ビルド 47.22 から]

    [NSHELP-19481]

  • Citrix ADCアプライアンスでは、デフォルトの高度なグローバルポリシーのバインドを解除して構成を保存すると、次回の再起動時に変更が反映されません。

    [ビルド 47.22 から]

    [NSHELP-19867]

  • Citrix ADCアプライアンスでは、デフォルトの高度なグローバルポリシーのバインドを解除して構成を保存すると、次回の再起動時に変更が反映されません。

    [ビルド41.28から]

    [NSHELP-19867]

  • nspepi ツールを使用してポリシーをクラシックからアドバンストに変換すると、ポートマスクとネットマスクに構文エラーが表示されます。

    [ビルド 47.22 から]

    [NSHELP-20720]

  • 構成にrespondwithhtmlpageをアクションタイプとするレスポンダーアクションがある場合、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ビルド41.28から]

    [ NSHELP-5821]

  • リダイレクトアクションタイプのレスポンダーアクションを使用すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ビルド41.28から]

    [NSPOLICY-3196]

  • 従来のポリシーベースの機能は、Citrix ADC 12.0ビルド56.20以降では廃止されました。別の方法として、高度なポリシーインフラストラクチャを使用することをお勧めします。

    これらの機能や機能は、2020年のCitrix ADC 13.1リリースからは使用できなくなります。また、他の小さな機能は廃止される予定です。

    [ビルド41.28から]

    [NSPOLICY-3228]

Portalを有効にするには

  • nFactor Logonフォームが動的ログオンタイプメニューを表示するようにカスタマイズされ、OAuthがリストから選択されている場合、Citrix Gatewayユーザーは誤ってユーザー名とパスワードの入力を求められます。

    [ビルド 47.22 から]

    [ NSHELP-20300]

SNMP

  • リリース12.1ビルド49.23からリリース12.1ビルド49.37への高可用性セットアップのアップグレード後、プライマリノードは再起動時にSNMPコールドスタートトラップメッセージを送信しません。

    [ビルド41.28から]

    [ NSHELP-18631]

SSL

  • ADCアプライアンスは、次の両方の条件が満たされると、クライアントに追加のデータを送信することがあります。

    • アプライアンスは SSL を介してバックエンドサーバーに接続されます。

    • サーバーから受信したデータのサイズが 9k を超えています。

    [ビルド41.28から]

    [ NSHELP-11183]

  • PEM アルゴリズムが DES または DES3 の場合、GUI を使用して RSA キーを作成することはできません。

    [ビルド 47.22 から]

    [ NSHELP-13018]

  • PEM アルゴリズムが DES または DES3 の場合、GUI を使用して RSA キーを作成することはできません。

    [ビルド41.28から]

    [ NSHELP-13018]

  • SNI対応セッションの場合、ADCアプライアンスはホストヘッダーの検証方法を制御できます。この検証をより適切に制御できるように、新しいパラメータ「SNIhttpHostMatch」がSSLプロファイルとSSLグローバルパラメータに追加されました。このパラメータには、CERT、STRICT、NONE の 3 つの値を指定できます。SSL 仮想サーバまたは仮想サーバにバインドされたプロファイルで SNI を有効にする必要があり、HTTP 要求にはホストヘッダーが含まれている必要があります。

    [ビルド 47.22 から]

    [ NSHELP-13370]

  • Citrix XenServer、VMware ESX、またはLinux-KVMプラットフォームにVPXインスタンスをインストールすると、セーフネットディレクトリが見つかりません。

    [ビルド41.28から]

    [ NSHELP-14582]

  • 異なるメッセージタイプの DTLS レコードを間違った順序で受信すると、DTLS ハンドシェイクが失敗する可能性があります。たとえば、「サーバーこんにちは」メッセージは、「サーバーこんにちは」メッセージの前に受信されます。

    [ビルド 47.22 から]

    [ NSHELP-18512]

  • 「ssl.origin.server_cert」という表現に基づいて監査ログメッセージアクションを実行すると、Citrix ADCアプライアンスがクラッシュする可能性があります。ログアクションはレスポンダーポリシーにバインドされています。

    [ビルド41.28から]

    [ NSHELP-19014]

  • クライアント証明書と CA 証明書のエンコーディングが異なる場合、-ClientAuthUseBoundCachain が有効になっていると、クライアント証明書とサーバー証明書が同じ CA によって発行されているにもかかわらず、クライアント証明書が誤って拒否されます。

    [ビルド41.28から]

    [ NSHELP-19077]

  • 次の条件の両方が満たされると、Citrix ADCアプライアンスが断続的にクラッシュする可能性があります。

    • OCSP チェックと SSL インターセプトは SSL プロファイルで有効になっています。

    • SSL プロファイルは PROXY タイプのコンテンツスイッチング仮想サーバーにバインドされます。

    [ビルド 47.22 から]

    [ NSHELP-19194]

  • 次の条件の両方が満たされている場合、クライアント証明書のフィンガープリントをサーバーに送信するリクエストのHTTPヘッダーに挿入するSSLアクション「ClientCertFingerprint」を実行しているときに、Citrix ADCアプライアンスがクラッシュする可能性があります。

    • セッションチケットは有効になっています。

    • SSL ポリシーは、リクエストバインドポイントでバインドされます。

    [ビルド41.28から]

    [ NSHELP-19331]

  • SSL 仮想サーバーは、次の条件が満たされる場合、期待どおりにレコードを複数の TCP パケットにフラグメント化する代わりに、リセットコード 9820 で接続をリセットできます。

    • TLSv1.3 対応の仮想サーバーは、バックエンドアプリケーションサーバーからのアプリケーションデータを暗号化して TLSv1.3 クライアントに送信します。

    • 結果として得られる暗号化されたレコード長は、TCP の最大セグメントサイズよりちょうど 1 バイト大きくなります。

    [ビルド41.28から]

    [ NSHELP-19466]

  • ECDSA暗号はこのプラットフォームではサポートされていないため、N2チップを搭載したCitrix ADC SDXアプライアンスではハンドシェイクが失敗します。この修正により、ECDSA 暗号はこのプラットフォームではアドバタイズされなくなりました。

    [ビルド41.28から]

    [ NSHELP-19614, NSHELP-20630]

  • URL が IP ベースのアドレスからドメイン名ベースのアドレスに変更された場合、CRL の更新では新しい IP アドレスではなく古い IP アドレスが使用されます。

    [ビルド41.28から]

    [ NSHELP-19648]

  • 証明書をサービスからバインド解除した後でも、内部 SSL サービスの状態は UP と表示されます。

    [ビルド 47.22 から]

    [ NSHELP-19752]

  • ssl_tot_enc_bytes カウンタは、暗号化対象として誤ったプレーンテキストバイトを報告します。

    [ビルド41.28から]

    [ NSHELP-19830]

  • 管理パーティション設定の SSL プロファイルに DH パラメータファイルを割り当てると、エラーメッセージが表示されます。

    [ビルド 47.22 から]

    [ NSHELP-19838]

  • 次のアプライアンスは、クライアントから「ChangeCipherSpec」メッセージを受信しても「Finished」メッセージを受信しなかった場合、クラッシュする可能性があります。

    • MPX 5900/8900

    • MPX 15000-50G

    • MPX 26000-100G

    [ビルド41.28から]

    [ NSHELP-19856]

  • クラスタ IP(CLIP)アドレスに AIA 拡張子の付いた証明書を追加すると、CLIP から証明書を削除しようとすると次のエラーメッセージが表示されます。

    「内部エラー」。

    [ビルド41.28から]

    [ NSHELP-19924]

  • フロントエンド仮想サーバーでTLS 1.3とSNIの両方が有効になっている場合、次の一連のイベントが発生すると、TLSハンドシェイク中にアプライアンスがクラッシュします。

    1. TLS 1.3 クライアントは、最初の ClientHello メッセージに server_name 拡張子を含めます。

    2. サーバーは helloRetryRequest メッセージで応答します。

    3. クライアントは、server_name 拡張子を省略した不正な ClientHello メッセージで応答します。

    [ビルド 47.22 から]

    [ NSHELP-20245]

  • フロントエンド仮想サーバーでTLS 1.3とSNIの両方が有効になっている場合、次の一連のイベントが発生すると、TLSハンドシェイク中にアプライアンスがクラッシュします。

    1. TLS 1.3 クライアントは、最初の ClientHello メッセージに server_name 拡張子を含めます。

    2. サーバーは helloRetryRequest メッセージで応答します。

    3. クライアントは、server_name 拡張子を省略した不正な ClientHello メッセージで応答します。

    [ビルド41.28から]

    [ NSHELP-20245]

  • SSL デフォルトプロファイルが有効になっていて、SSL サービスグループにバインドされている場合、SSL プロファイルから暗号をバインド解除してサービスをこのサービスグループにバインドすると、警告メッセージが表示されます。また、サービスはサービスグループにバインドされていません。

    [ビルド 47.22 から]

    [ NSHELP-20332]

  • レガシーSSLプロファイルがSSLエンティティにバインドされ、後でデフォルト(拡張)SSLプロファイルが有効になると、Citrix ADCアプライアンスはクラスターIP(CLIP)アドレスとCitrix ADC IP(NSIP)アドレスで異なるプロファイルを表示することがあります。

    [ビルド 47.22 から]

    [ NSHELP-20335]

  • ADC アプライアンスがサポートされていないバージョンの Thales HSM と統合されている場合、HSM キーと証明書を生成し、証明書とキーのペアをアプライアンスにインストールして SSL 仮想サーバーにバインドすると、アプライアンスがクラッシュします。この修正により、アプライアンスはクラッシュする代わりにエラーを報告します。

    [ビルド 47.22 から]

    [ NSHELP-20352]

  • 次のいずれの場合も、「エラー-ファイルが大きすぎます」というエラーメッセージが表示されます。

    • 最初にCitrix ADC ソフトウェアをバージョン13.0にアップグレードしてから、FIPSファームウェアをアップグレードします。

    [ビルド 47.22 から]

    [ NSHELP-20522]

  • 次のいずれの場合も、「エラー-ファイルが大きすぎます」というエラーメッセージが表示されます。

    • 最初にCitrix ADC ソフトウェアをバージョン13.0にアップグレードしてから、FIPSファームウェアをアップグレードします。

    [ビルド41.28から]

    [ NSHELP-20522]

  • ChaChaPoly暗号が使用され、クライアントが切り捨てられたレコードをアプライアンスに送信すると、Citrix ADC VPXアプライアンスがクラッシュする可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20684]

  • DTLS レコードフラグメントを誤った順序で受信すると、DTLS ハンドシェイクが失敗する可能性があります。

    [ビルド 47.22 から]

    [ NSHELP-20703]

  • クライアントキー交換メッセージとクライアント検証メッセージが 1 つのレコードに含まれる場合、SSL ハンドシェイクは次のプラットフォームで失敗します。

    • MPX 59xx

    • MPX/SDX 89xx

    • MPX/SDX 261xX-100G

    • MPX/SDX 15xxx-50G

    [ビルド41.28から]

    [ NSSSL-3359, NSSSL-1608]

  • 次の条件が満たされると、N3ベースのCitrix ADC MPXおよびSDXアプライアンスのフロントエンドでRSAベースのキー交換によるTLSおよびDTLSハンドシェイクが失敗します。

    1. TLS Client HelloメッセージにプロトコルバージョンとしてTLSv1.2が含まれているが、Citrix ADCアプライアンスでTLSv1.2が無効になっている場合、TLSハンドシェイクは失敗します。そのため、アプライアンスは下位バージョン(TLSv1.1、TLSv1.0、または SSLv3.0)をネゴシエートします

    2. DTLSクライアントのハローメッセージにプロトコルバージョンとしてDTLSv1.2が含まれているのに、Citrix ADCアプライアンスがDTLSv1.0をネゴシエートすると、DTLSハンドシェイクは失敗します。

    「show hardware」コマンドを使用して、アプライアンスに N3 チップが搭載されているかどうかを確認します。

    [ビルド41.28から]

    [ NSSSL-6630]

  • プロファイルがバインドされている仮想サーバーの NITRO 呼び出しでは、プロファイルの一部である HSTS や OCSP_Stapling などの仮想サーバーの一部のエンティティも表示されます。

    [ビルド41.28から]

    [ NSSSL-6673]

  • Citrix ADCアプライアンスは、REQUESTバインドポイントでSSL転送アクションを実行中にクラッシュする可能性があります。この修正により、アクションタイプ FORWARD のポリシーを REQUEST バインドポイントにバインドできなくなります。

    [ビルド 47.22 から]

    [ NSSSL-6688]

  • Citrix ADCアプライアンスは、新しいDTLS仮想サーバーまたはサービスを構成しているときに、削除されたデフォルトのDTLSプロファイルにアクセスしようとすると、クラッシュしてコアをダンプする可能性があります。

    [ビルド 47.22 から]

    [ NSSSL-6886]

  • SSL ポリシーの転送アクションでは、SSL_TCP タイプの仮想サーバーは許可されませんでした。この修正により、SSL ポリシーに基づいて SSL トラフィックを SSL_TCP 仮想サーバーに転送できます。この機能は、SSL オフロードはしたいが、転送された接続のアプリケーションデータを解析したくないお客様に役立ちます。

    [ビルド 47.22 から]

    [ NSSSL-7133]

SWG URL フィルタリング

  • コンテンツフィルタリング中に、ポリシー評価とプライベート URL セットの難読化の間で、まれに競合状態が発生します。この問題により、URL が「違法」ではなくクリアテキストとして含まれる AppFlow レコードが生成されます。

    [ビルド41.28から]

    [NSSWG-890]

システム

  • パーティション化されたCitrix ADCアプライアンスでメモリ不足の問題が発生します。

    [ビルド 47.22 から]

    [NSBASE-8780、NSBASE-8763]

  • クライアントの IP ヘッダーの挿入(-X-Forwarded-for など)では、挿入する IP アドレスがバッファの長さよりも短い場合、ヘッダーはクライアント IP アドレスの末尾にスペースを埋めます。

    [ビルド 47.22 から]

    [ NSHELP-10079]

  • 高可用性同期プロセスの実際のステータスを表示

    高可用性セットアップでは、デフォルトでは、HA SUCCESS 同期プロセスの一部としてセカンダリノードで一部のコマンドが失敗した場合でも、HA 同期のステータスは表示されます。

    たとえば、インターフェイスをVLANにバインドすることに関連するコマンドは、同じ番号のインターフェイスがセカンダリノードに存在しないと失敗します。

    高可用性セットアップを構成して、HA 同期プロセスの実際のステータスを示すことができます。

    高可用性セットの両方のノードでこのStrict Synchronization modeパラメータを有効にすると、HA 同期のステータスは、HA 同期プロセスの一部としてセカンダリノードで 1つ以上のコマンドが失敗した場合、Partial Successが表示されます。

    注: Strict Synchronization mode 両方のノードのパラメータを同じオプションに設定する必要があります。つまり、両方のノードで有効または無効に設定する必要があります。Strict Synchronization mode パラメータが一方のノードで有効になっていて、もう一方のノードで無効になっている場合、高可用性セットアップでは HA 同期の正しいステータスが表示されません。

    [ビルド 47.22 から]

    [ NSHELP-11953]

  • SNMPv3 トラップの宛先にバインドされた SNMPv3 ユーザに認証失敗 (パスワード、コミュニティ、またはキーが正しくない) と、SNMPWalk アプリケーションは失敗します。

    [ビルド 47.22 から]

    [NSHELP-18541、NSHELP-19313]

  • 現在の_tcp_profileとcurrent_adtcp_profileが設定されていないと、Citrix ADCアプライアンスがクラッシュします。

    [ビルド41.28から]

    [ NSHELP-18889]

  • 閉じた接続が完全にフラッシュされないと、Citrix ADCアプライアンスでメモリの問題が発生します。

    [ビルド41.28から]

    [ NSHELP-18891]

  • 閉じた接続が完全にフラッシュされないと、Citrix ADCアプライアンスでメモリの問題が発生します。

    [ビルド 47.22 から]

    [ NSHELP-18891, NSHELP-20778]

  • コーナーケースでは、Citrix ADCアプライアンスはリセットせずにゾンビ接続を終了します。ピア側の接続がアクティブな場合はパケットを送信し、アプライアンスはパケットを処理するときに接続をリセットします。

    [ビルド41.28から]

    [ NSHELP-18998]

  • 次の条件が満たされると、ポリシー評価が失敗する可能性があります。

    • 256 のポリシー表現が同じカスタムヘッダーを参照しています。

    • カスタムヘッダー参照カウンタは 0 (8 ビットカウンター) にラップします。

    [ビルド41.28から]

    [ NSHELP-19082]

  • Citrix ADCアプライアンスでは、夏時間(DST)が変更されるとタイムゾーン構成が失敗します。

    [ビルド 47.22 から]

    [ NSHELP-19128]

  • 設定が失われるのは、高可用性設定の同期と高可用性障害が発生するたびです。

    [ビルド41.28から]

    [ NSHELP-19210]

  • SNMPv3 クエリは、パスワードを変更してから数分間しか機能しません。

    [ビルド 47.22 から]

    [ NSHELP-19313]

  • プライマリノードがセカンダリからの応答を読み取れないため、接続がリセットされます。その結果、2 次ノードで接続が切断されます。

    [ビルド41.28から]

    [ NSHELP-19432]

  • TCPプロファイル値をNULLに設定すると、Citrix ADCアプライアンスがクラッシュします。

    [ビルド41.28から]

    [ NSHELP-19555]

  • 外部サーバー用に作成された MONITOR パスワードには、強力なパスワード検証が行われます。Citrix ADCアプライアンスで強力なパスワード設定(システム > グローバル設定)を有効にすると、アプライアンスがLDAPモニターに弱いパスワードを設定できなくなります。

    [ビルド41.28から]

    [NSHELP-19582]

  • SDX デバイスの SNMP アラームは、ディスク、メモリ、または温度のパラメータでは機能せず、CPU でのみ機能します。

    [ビルド41.28から]

    [ NSHELP-19713]

  • 場合によっては、バックエンドサーバーへの接続に遅延やタイムアウトが発生することがあります。これは、アプライアンスが接続を解放し、ポートを解放したために発生します。アプライアンスが同じポートを再利用してサーバーとの新しい接続を確立すると、サーバー上で接続が TIME_WAIT 状態になるため、遅延またはタイムアウトが発生します。

    [ビルド41.28から]

    [ NSHELP-19772]

  • 場合によっては、バックエンドサーバーへの接続に遅延やタイムアウトが発生することがあります。これは、アプライアンスが接続を解放し、ポートを解放したために発生します。アプライアンスが同じポートを再利用してサーバーとの新しい接続を確立すると、サーバー上で接続が TIME_WAIT 状態になるため、遅延またはタイムアウトが発生します。

    [ビルド 47.22 から]

    [ NSHELP-19772]

  • まれに、クライアントまたはサーバーが FIN メッセージを含む順序どおりのパケットを送信したあと、順序どおりのパケットを送信すると、クラスターノードがクラッシュすることがあります。

    [ビルド41.28から]

    [ NSHELP-19824]

  • MTUが1500バイトを超えるインターフェイスで再送信されたTCPセグメントを次のように受信すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    • ジャンボフレームまたは

    • IP フラグメントのセット。

    [ビルド 47.22 から]

    [ NSHELP-19920, NSHELP-20273]

  • MTUが1500バイトを超えるインターフェイスで再送信されたTCPセグメントを次のように受信すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    • ジャンボフレーム、または

    • IP フラグメントのセット

    [ビルド41.28から]

    [ NSHELP-19920, NSHELP-20273]

  • SNMPWalk は、SNMP 機能が無効になっている場合でも、サブネット IP (SNIP) アドレスからクエリ応答を受け取ります。

    [ビルド 47.22 から]

    [ NSHELP-20254]

  • ロールベース認証 (RBA) では、グループ名を「#」文字で始めることはできません。

    [ビルド 47.22 から]

    [ NSHELP-20266]

  • Citrix ADCアプライアンスは、POSTリクエストのリクエスト本文全体が受信されない場合、HTTP/2接続の代わりにHTTP/1.1接続を開始します。

    [ビルド 47.22 から]

    [ NSHELP-20289]

  • まれに、Call Home プロセスがクラッシュしてアプライアンスが再起動することがあります。この問題は、Call Home サブプロセスが前のサブプロセスと同じ内部プロセス ID(PID)を使用する場合に発生します。

    [ビルド 47.22 から]

    [ NSHELP-20334]

  • プロキシプロトコルを有効にし、ネットワークの混雑により再送信が行われると、メモリ使用量が増加します。

    [ビルド 47.22 から]

    [ NSHELP-20613]

  • Citrix ADCアプライアンスは、サブフローがアイドルタイムアウト期間を超えてアクティブで稼働している場合、MPTCPサブフローをリセットします。

    [ビルド 47.22 から]

    [ NSHELP-20648]

  • Citrix ADCアプライアンスは、サブフローがMTPCPとして確認される前にプレーン確認を受け取ると、MPTCPサブフローをリセットします。

    [ビルド 47.22 から]

    [ NSHELP-20649]

  • クラシックポリシーとアドバンストポリシーの両方を AAA ユーザと AAA ユーザグループにバインドすると、設定の損失が検出されます。

    [ビルド 47.22 から]

    [ NSHELP-20744]

  • Citrix ADCアプライアンスがTCP接続を使用してバックエンドサーバーに接続できない場合、TCPトランザクション遅延が発生します。この場合、アプライアンスは新しい接続を開き、しばらく待ってからクライアント要求をバックエンドサーバーに転送します。待機時間は 400 ミリ秒から 600 ミリ秒の範囲です。

    [ビルド41.28から]

    [ NSHELP-9118]

  • コンテンツ検査ポリシーの GUI ページでは、「グローバルバインディング」および「バインディングを表示」オプションが機能しない。別の方法として、これらのパラメータをコマンドインターフェイスで設定できます。

    [ビルド41.28から]

    [ NSUI-13193, NSUI-11561]

電話会社

  • 次の条件の両方が満たされると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    • アプライアンスは、加入者情報を取得するときに 2 つの HTTP 要求を受信します。

    • 通常のトラフィックフローを再開する操作が正しくありません。

    [ビルド41.28から]

    [ NSHELP-18955]

Citrix ADC 13.0-47.24 リリースのリリースノート