製品ドキュメント
Citrix ADC
Current Release 13.0 12.1
PDFを表示

シトリックス ADC 13.0-64.35 リリースのリリースノート

December 28, 2022
寄稿者: 
C

このリリースノートドキュメントでは、Citrix ADCリリースビルド13.0-64.35の機能強化と変更、修正された問題と既知の問題について説明します。

新機能

ビルド 13.0-64.35 で利用できる機能強化と変更。

認証、承認、監査

  • 属性の最大長値の増加

    以下の属性の最大長値が次のように変更されました。

    • set samlaction <saml-action-name> -samlissuerName - 511 (new max length)
    • set samlidPProfile <saml-idp-profile-name> -samlissuerName - 511 (new max length)
    • set samlidPProfile <saml-idp-profile-name> -serviceProviderID - 511 (new max length)
    • set tm samlSSOProfile <saml-sso-profile-name> -samlissuerName - 511 (new max length)
    • set vpn samlSSOProfile <saml-sso-profile-name> -samlissuerName - 511 (new max length)
    • set oauthaction <oauth-action-name> -clientSecret - 239 (new max length)
    • set oauthaction <oauthidp_profile-name> -clientSecret - 239 (new max length)

    [NSAUTH-8180]

  • 脆弱な基本認証、ダイジェスト認証、NTLM認証をグローバルに無効化するためのサポート

    SSO 設定は、以下の弱い認証方法をグローバルに無効にすることで、より安全になりました。

    • ベーシック認証
    • ダイジェストアクセス認証
    • NTLM (ネゴシエート NTLM2 キーまたはネゴシエート署名) を設定せずに NTLM

    詳細については、https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/enable-sso-for-auth-pol.htmlを参照してください。

    [NSAUTH-7747]

  • nFactor ビジュアライザーのデシジョンブロックで nFactor フローを開始する機能

    nFactor ビジュアライザーを使用して、nFactor フローをデシジョンブロックで開始できるようになりました。詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/multi-factor-nfactor-authentication/nfactor-authentication-simplification.htmlを参照してください。

    [NSAUTH-7665]

  • OAuth トークン API でのクライアントアサーションタイプとクライアントアサーションのサポート

    OAuth機能は、証明書利用者側(RP)側およびCitrix GatewayおよびCitrix ADCのIdP側からのトークンAPIで次の機能をサポートするようになりました。

    • PKCE(コード交換のための証明キー)のサポート
    • client_assertion のサポート

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/oauth-authentication/citrix-adc-oauth-sp.htmlを参照してください。

    [NSAUTH-6243]

Citrix ADC SDXアプライアンス

  • Citrix ADM サービスへの自動オンボーディングを可能にするCitrix ADM サービス接続機能

    シトリックスのアプリケーションデリバリー管理(ADM)サービス接続機能により、Citrix ADC SDXアプライアンスをCitrix ADM サービスにシームレスにオンボーディングできます。この機能により、ADC SDX アプライアンスは自動的に ADM サービスに接続し、システム、使用状況、およびテレメトリデータを ADM サービスに送信できます。このデータを使用して、Citrix ADM サービス上のCitrix ADC インフラストラクチャに関する洞察と推奨事項を得ることができます。

    デフォルトでは、Citrix ADC SDXアプライアンスをインストールまたはアップグレードすると、Citrix ADM サービス接続機能が有効になります。

    詳しくは、次のトピックを参照してください:

    注:ADMサービス接続機能はCitrix ADCインスタンスとCitrix Gatewayアプライアンスで使用できるようになりましたが、Citrix ADMサービスの対応する機能はまだ使用できません。この機能の利点を最大限に活用できるように、対応する機能がADMサービスで利用可能になった時点で、Citrixはこのメモを更新します。

    [NSSVM-3911]

Citrix Web App Firewall

  • XSS URL 違反に対する緩和ルールの学習と導入

    Citrix Web App Firewallは、XSS URL違反を学習し、誤検知シナリオの緩和ルールを適用できるようになりました。

    注:クラスター構成では、XSS URL ルールをデプロイするには、すべてのノードが同じバージョンである必要があります。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/top-level-protections/html-cross-site-scripting-check.html%23using-the-learn-feature-with-the-html-cross-site-scripting-checkを参照してください。

    [NSWAF-5186]

  • HTTP 投稿本文サイズ制限の違反をブロックするセキュリティチェック

    Citrix Web App Firewallプロファイルでは、構成可能なセキュリティチェックとして「PostBodyLimitAction」がサポートされるようになりました。これにより、HTTP投稿本文のサイズが最大許容制限を超えると、エラー設定を適用してリクエストをブロックします(リダイレクトURLを除く)。セキュリティチェックは、転送エンコーディングヘッダーがチャンクに設定されているリクエストにも適用できます。以前は、投稿本文の制限に違反すると、サーバーの応答として 400 件でした。

    PostBodyLimitAction 設定のログ形式は、監査ログ形式に従って変更されました。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/app-firewall-profile-settings.htmlを参照してください。

    [NSWAF-5184]

負荷分散

  • モニター名の文字数を増やしました

    モニター名の文字数が最大255文字に増えました。

    [NSLB-5223]

ネットワーク

  • Citrix ADC BLXアプライアンスのインターフェイス番号スキームの変更

    Citrix ADC BLXアプライアンスのインターフェイス番号付けスキームは、他のCitrix ADCプラットフォームと一致するように変更されています。Citrixでは、インターフェイスの番号付けに依存するスクリプトをすべて更新することをお勧めします。

    以前は、両方の内部インターフェイスに最初と最後のインターフェイスとして番号が付けられていました。すべての専用インターフェイス(非DPDKモードまたはDPDKモードのCitrix ADCアプライアンス内)には、最初と最後の内部インターフェイスの間に番号が付けられています。

    例1:2つの専用インターフェイスを備えた非DPDKモードのCitrix ADC BLXアプライアンス:

    • 内部 BLX インターフェイスには 0/1 と 0/4 の番号が付けられています。
    • 専用インターフェイスには 0/2 と 0/3 の番号が付けられています。

    例 2: DPDK インターフェイスが 1 つの DPDK モードの Citrix ADC BLX アプライアンス:

    • 内部 BLX インターフェイスには 0/1 と 0/3 の番号が付けられています。
    • DPDK インターフェイスには 0/2 という番号が付けられています。

    このリリース以降、Citrix ADCアプライアンスのインターフェイスには次の順序で番号が付けられます。

    • 両方の内部インターフェイスには、1 番目と 2 番目のインターフェイスとして番号が付けられています。
    • 専用インターフェース。
    • DPDKインターフェイス(DPDKモードのCitrix ADCアプライアンス内)。

    例1:2つの専用インターフェイスを備えた非DPDKモードのCitrix ADC BLXアプライアンス:

    • 内部 BLX インターフェイスには 0/1 と 0/2 の番号が付けられています。
    • 専用インターフェイスには 0/3 と 0/4 の番号が付けられています。

    例2:1つのDPDKインターフェイス(40G)と1つの非DPDK専用インターフェイスを備えたDPDKモードのCitrix ADC BLXアプライアンス:

    • 内部 BLX インターフェイスには 0/1 と 0/2 の番号が付けられています。
    • DPDK 以外の専用インターフェイスには 0/3 という番号が付けられています。
    • DPDK インターフェイス (40G) には 40/1 という番号が付けられています。

    [ネスト-17067]

  • Citrix ADC CPXでのルートユーザーのデフォルト以外のパスワードサポート

    Citrix ADC CPXは、ルートユーザー(nsroot)のデフォルト以外のパスワードをサポートするようになりました。CPXを導入すると、ランダムなパスワードが生成され、rootユーザーに割り当てられます。手動で変更することもできます。

    [ネスト-10520]

  • Citrix ADC BLX アプライアンスのサブスクリプションローカルライセンスサポート

    ローカルライセンスは永久ライセンスと似ていますが、有効期限があります。ローカルライセンスを構成するソフトウェアサブスクリプションは期間ベースで、ADM をライセンスサーバーとして使用しなくてもインストールできます。

    Citrix ADC BLXアプライアンスでは、次の種類のサブスクリプションローカルライセンスを利用できます。

    帯域幅ベースのサブスクリプションローカルライセンス。このタイプのライセンスは、特定のCitrix ADC BLXアプライアンスに付与される最大許容スループットで適用されます。また、各ローカルライセンスは、Citrix ADC ソフトウェアエディション(スタンダード、エンタープライズ、またはプラチナ)のいずれかに割り当てられます。これにより、Citrix ADC BLXアプライアンスでこのエディションのADC機能セットが利用できるようになります。Embedded Select のサポートは、サブスクリプションローカルライセンスの購入に含まれています。

    例:

    Citrix ADC BLXサブスクリプションの10 Gbpsプレミアムエディションでは、Citrix ADC BLXアプライアンスの最大許容スループットが10 Gbpsになります。このライセンスでは、Citrix ADC BLXアプライアンスのプレミアムエディションにリストされているすべてのADC機能のロックも解除されます。

    [ネスト-9189]

  • メラノックス NIC は DPDK モードでのシトリックス ADC BLX アプライアンスをサポートしています

    Citrix ADC BLXアプライアンスは、DPDKモードでの展開用にMLX5ドライバーを搭載したメラノックスNICをサポートするようになりました。

    [NSNET-8946]

ポリシー

  • レスポンダー HTML ページをインポートするためのサーバー証明書検証

    「インポート responder html page」コマンドを使用して HTML エラーレスポンスをクライアントに送信できるようになりました。以前は、HTML ページのインポート中にサーバー証明書の検証は行われませんでした。この問題は、新しいパラメータ「CACertFile」を使用することで解決されました。HTML ページをインポートするときに、サーバー証明書認証を確認するようにパラメータを設定できます。
    注:CA 証明書のファイル名を設定しない場合、デフォルトのルート CA 証明書がサーバー証明書の検証に使用されます。
    import responder htmlpage&%2391;<src>&%2393;<name>&%2391;-comment <string>&%2393;&%2391;-overwrite&%2393;&%2391;-CAcertFile <string>&%2393;

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/appexpert/responder/configuring-responder-action.html%23configure-html-page-importを参照してください。

    [NSPOLICY-3620]

システム

  • 分析プロファイルをグローバルにバインドするためのサポート

    アナリティクスプロファイルをグローバルにバインドできるようになりました。
    以前は、分析プロファイルを各仮想サーバーにバインドする必要がありました。

    [NSBASE-11079]

  • ICAP、IPS、IDS コンテンツ検査用の統計データ

    ICAP、IPS、IDS のコンテンツ検査機能で統計データを使用できるようになりました。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/content-inspection-statistics-for-icap-ips-ids.htmlを参照してください。

    [NSBASE-1047]

ユーザーインターフェイス

  • Citrix ADM サービスへの自動オンボーディングを可能にするCitrix ADM サービス接続機能

    シトリックスのアプリケーションデリバリー管理(ADM)サービス接続機能により、Citrix ADC MPX、SDX、VPXインスタンス、およびCitrix GatewayアプライアンスをCitrix ADM サービスにシームレスにオンボーディングできます。この機能により、ADC インスタンスまたは Gateway アプライアンスは自動的に ADM サービスに接続し、システム、使用状況、およびテレメトリデータを ADM サービスに送信できます。このデータを使用して、Citrix ADM サービス上のCitrix ADC インフラストラクチャに関する洞察と推奨事項を得ることができます。

    デフォルトでは、Citrix ADC MPX、SDX、VPXインスタンスまたはCitrix Gatewayアプライアンスをインストールまたはアップグレードすると、Citrix ADM サービス接続機能が有効になります。

    詳しくは、次のトピックを参照してください:

    注:ADMサービス接続機能はCitrix ADCインスタンスとCitrix Gatewayアプライアンスで使用できるようになりましたが、Citrix ADMサービスの対応する機能はまだ使用できません。この機能の利点を最大限に活用できるように、対応する機能がADMサービスで利用可能になった時点で、Citrixはこのメモを更新します。

    [NSCONFIG-4150]

  • Citrix ADM サービスへの自動オンボーディングを可能にするCitrix ADM サービス接続機能

    シトリックスのアプリケーションデリバリー管理(ADM)サービス接続機能により、Citrix ADC MPX、SDX、VPXインスタンス、およびCitrix GatewayアプライアンスをCitrix ADM サービスにシームレスにオンボーディングできます。この機能により、ADC インスタンスまたは Gateway アプライアンスは自動的に ADM サービスに接続し、システム、使用状況、およびテレメトリデータを ADM サービスに送信できます。このデータを使用して、Citrix ADM サービス上のCitrix ADC インフラストラクチャに関する洞察と推奨事項を得ることができます。

    デフォルトでは、Citrix ADC MPX、SDX、VPXインスタンスまたはCitrix Gatewayアプライアンスをインストールまたはアップグレードすると、Citrix ADM サービス接続機能が有効になります。

    詳しくは、次のトピックを参照してください:

    注:ADMサービス接続機能はCitrix ADCインスタンスとCitrix Gatewayアプライアンスで使用できるようになりましたが、Citrix ADMサービスの対応する機能はまだ使用できません。この機能の利点を最大限に活用できるように、対応する機能がADMサービスで利用可能になった時点で、Citrixはこのメモを更新します。

    [NSCONFIG-3793]

解決された問題

ビルド 13.0-64.35 で対処されている問題。

認証、承認、監査

  • Citrix ADCアプライアンスがOTPログイン用に設定されていて、OTPフィールドが空白のままの場合、認証は失敗します。このようなシナリオでは、アプライアンスはユーザーパスワードを ns.log に記録し、セキュリティ上の問題につながります。

    [NSHELP-24027]

  • 場合によっては、属性値に XML タグが含まれていると SAML アサーションが壊れます。その結果、属性抽出が失敗します。

    [NSHELP-23940]

  • Citrix Workspaceのアイデンティティプロバイダー(IdP)として構成されたCitrix ADCアプライアンスは、ユーザーが多数のアクティブディレクトリグループに属している場合にクラッシュする可能性があります。

    [Nヘルプ-2389]

  • Citrix ADCアプライアンスが間違った仮想サーバー構造から認証構成を要求するため、ユーザーには401認証プロンプトが表示されません。

    [Nヘルプ-23892]

  • Citrix ADCアプライアンスがCitrix Workspaceのアイデンティティプロバイダー(IdP)として構成され、カスタム属性抽出エラーが発生すると、Citrix Workspaceのログインが失敗します。

    [NSHELP-23843]

  • 場合によっては、Citrix ADCアプライアンスの「ns.log」ファイルに、「現在のログインスキーマでは許可されているクレーム」というログメッセージが誤って殺到することがあります。

    [Nヘルプ-23593]

  • Webview nFactor認証方法を使用してVPNクライアントがCitrix ADCアプライアンスにアクセスする場合、認証、承認、および監査のユーザーまたはグループにバインドされたVPNセッションポリシーが適用されません。

    [Nヘルプ-23526]

  • 「システムグローバル認証ポリシーバインディング」ページのCitrix ADC GUIに次のエラーがあります。

    • 「エクスプレッション」フィールドに移動すると、誤って「次へ」ではなく「終了」と表示されます。
    • バインドされたネクスト・ファクター・ポリシーは「ネクスト・ファクター」フィールドには反映されません。

    [Nヘルプ-23474]

  • まれに、次の両方の条件が満たされている場合に、セッションユーザー名が、デバイス証明書の共通名ではなく「匿名」と誤って表示されることがあります。

    • Citrix ADC アプライアンスは nFactor 認証用に設定されています。
    • デバイス証明書は nFactor 構成の唯一の要素として設定されます。

    [NSHELP-2323]

  • 次の両方の条件が満たされると、最後の要素の SAML 認証は失敗します。

    • Citrix ADC アプライアンスは SAML SP として構成されています。
    • EPA は VPN 仮想サーバー上で事前認証ポリシーとして有効になっており、RFWebUI テーマはサーバーにバインドされます。

    [NSHELP-2932]

  • 事前認証EPAがnFactor認証とともに構成されている場合、Webviewを使用してCitrix Workspaceアプリからアクセスすると、セッションの確立に失敗します。

    [Nヘルプ-2845]

  • LDAPとSAMLがプライマリ認証メカニズムとして構成されている場合、Citrix ADCアプライアンスのログインページが正しく表示されません。

    [NSHELP-2713]

  • Citrix Gateway アプライアンスにログオンすると、次の条件が満たされると空白のページが表示されます。

    • Citrix Gateway アプライアンスは、ネクストファクター EULA として saml を使用した nFactor 認証用に設定されています
    • ログオン処理中に、戻る矢印をクリックして前のページに移動します。

    [Nヘルプ-2604]

  • OTPデバイスのリストのバッファ上書きによるメモリ破損が原因で、Citrix ADCアプライアンスがクラッシュする場合があります。

    [NSHELP-2478]

  • HTML フォームの HTTP 応答ヘッダーに Set-Cookie が含まれていると、フォームベースの SSO 認証が初めて失敗することがあります。

    [Nヘルプ-21740]

Citrix ADC SDXアプライアンス

  • Citrix ADC SDX 8400、8600、または8015アプライアンスでプールライセンスを構成すると、誤ったプラットフォームモデル文字列が表示されます。

    [NSHELP-2423]

  • 1 つの SDX アプライアンスをバックアップすると、別の SDX アプライアンスでのインスタンスの復元は失敗します。

    [NSHELP-23947]

  • Citrix ADC SDX 8900アプライアンスでは、アプライアンスをアップグレードすると、プロビジョニングに使用できるインスタンスの数が減ります。

    [NSHELP-23808]

  • Citrix ADC SDXアプライアンスをリリース12.1ビルド57.xにアップグレードすると、管理サービスのプロセスが応答しないために失敗することがあります。

    [Nヘルプ-23612]

  • Citrix ADC SDXアプライアンスでは、読み取り専用権限を持つユーザーは、SCPやSFTPなどのファイル転送ユーティリティを使用して管理サービスにファイルを転送できます。

    [NSHELP-2638]

Citrix Gateway

  • クライアントレス VPN トラフィックを処理しているときに cookie_watch JavaScript を追加すると、Citrix Gateway アプライアンスがクラッシュすることがあります。

    [NSHELP-24096]

  • リリース13.0ビルド58.30にアップグレードした後は、GUIからCitrix Gateway EPAプラグインを無効にすることはできません。

    [NSHELP-24016]

  • ログイン時にポート番号が指定されている場合、VPNプラグインはCitrix Gatewayのログオンページを読み込めません。この問題は、アプライアンス上の仮想サーバーに nFactor 認証が設定されている場合にのみ発生します。

    [NSHELP-23925]

  • VPN トンネルがアクティブな場合、次の条件が満たされると、ユーザーはポータルにアクセスできません。
    • ホスト名ベースのイントラネットアプリケーションは、リバーススプリットトンネルとともに構成されます。
    • ポータルのホスト名はイントラネットアプリケーション名と一致します。

    [NSHELP-23912]

  • VPN 仮想サーバーページでは、構成済みのポータルのテーマ、ポリシー、およびプロファイルの概要がページの左側に表示されません。

    [NSHELP-23903]

  • まれに、転送ログオンまたはログアウト要求の処理中にCitrix Gatewayアプライアンスがクラッシュすることがあります。

    [NSHELP-23863]

  • RFWebUIポータルテーマがCitrix ADC仮想サーバーにバインドされている場合、Windowsプラグインは常時接続サービスモードでシームレスな転送ログオンを実行できません。

    [NSHELP-2337]

  • VPN プラグインを 13.0 にアップグレードすると、スプリットトンネルが OFF に設定されている場合、DNS クエリはローカルとリモート DNS サーバーの両方に送信されます。

    [NSHELP-23826]

  • VPN プラグイン経由のローカル DNS クエリが特定の DNS サーバーに対して指定されている場合、クエリはクライアント上でランダムに選択された DNS サーバーに送信されるため、受け付けられません。

    [Nヘルプ-23743]

  • Windows 認証情報画面は、ネットワークが復旧しても更新されません。

    [Nヘルプ-23594]

  • SAP フォルダは、高度なクライアントレス VPN 経由でアクセスすると、意図したとおりに動作しません。

    [Nヘルプ-23561]

  • Citrix Gateway Always Onサービスモードでは、マシンを再起動しても、イントラネットIPアドレスが構成されているとトンネルが確立されません。

    [Nヘルプ-23304]

  • 「show vpn storeinfo」コマンドを繰り返し実行すると、Citrix ADCアプライアンスがクラッシュします。

    [Nヘルプ-23144]

  • SOCKS チャネル経由の ICA プロキシアプリケーションの起動が失敗します。

    [Nヘルプ-2311]

  • マシンがスリープ状態または休止状態から再開すると、ユーザーは VPN 経由でリソースにアクセスできなくなります。

    [Nヘルプ-23024]

  • Always Onを有効にすると構成が上書きされるため、VPNプラグインはCitrix Gatewayアプライアンスの再起動後にシームレスセッションを確立できません。

    [ヘルプ-2674]

  • まれに、アプライアンスがEDT用に構成されていて、HDX InsightがEDTセッションに対して有効になっていると、Citrix ADCアプライアンスが応答しなくなることがあります。

    [NSHELP-2640]

  • RDPプロキシが構成され、WINS解決後にDNS解決を試みると、DNSサーバー構成にアクセスするとCitrix Gatewayアプライアンスがクラッシュします。

    [ヘルプ-257]

  • Citrix Gateway のダブルホップ高可用性セットアップでは、高可用性フェイルオーバー後にICA接続が失われることがあります。

    [ヘルプ-2444]

  • Citrix Gateway の高可用性セットアップでは、syslogが構成されている場合、フェイルオーバー中にセカンダリノードがクラッシュする可能性があります。

    [NSHELP-2438]

  • Citrix
    Gateway 一部のコマンドが実行されないと、Citrix Gateway アプライアンスがクラッシュする可能性があります。

    [NSHELP-2371]

  • Syslogポリシーが構成されている場合、Citrix Gatewayアプライアンスが断続的にクラッシュする可能性があります。

    [Nヘルプ-2304]

Citrix Web App Firewall

  • 応答側またはXMLセキュリティチェックが有効になっていて、ログ式がWeb App Firewallプロファイルで構成されている場合、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSWAF-6466]

  • クラスタ構成で、URL を場所として HTML クロスサイトスクリプティングチェック緩和ルールを設定する unbind コマンドが失敗します。

    [NSWAF-6463]

  • クラスター構成では、RPCノードが保護されていると、クラスターコーディネーターノード(CCO)でのCitrix Web App Firewall aslearnデータ集約が失敗します。

    [NSWAF-6460]

  • アップグレード後、既存のシトリックス Web App Firewall プロファイルの「BufferOverflowMaxQueryLength」と「BufferOverflowMaxHeaderLength」の値が展開に適さない場合があります。その結果、正しくない場合は値を変更しなければならない場合があります。

    [NSWAF-6346]

  • 外部DNSサーバー構成でボット署名が有効になっていると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-24190]

  • コンテンツタイプが「application/octet-stream」の POST リクエストは、シグネチャセットなしでストリーミングが有効になっている場合は処理されません。

    [ヘルプ-2668]

  • 高可用性セットアップでは、セカンダリノードの Web App Firewall セッションは古いセッションです。

    [ヘルプ-2028]

負荷分散

  • リモートサイトのRPCノードで安全なオプションが有効になっていると、マスターサイトから下位サイトへのGSLB構成のリアルタイム同期が失敗する可能性があります。

    [NSHELP-2417]

  • GXSessionReportingが有効になっている場合に、サブスクライバポリシーを評価しようとすると、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-24159]

  • 接続ミラーリングで PCB パラメータが同期されないと、最大セグメントサイズ (MSS) やウィンドウスケーリングなどの TCP オプションが失われる可能性があります。

    [NSHELP-2390]

  • MYSQL-ECV モニターで StoreDB パラメーターが有効になっていると、Citrix ADC アプライアンスがクラッシュします。

    [Nヘルプ-23983]

  • CLI を使用して「devno」パラメータに同じ値の 2 つのサービスグループを明示的に追加すると、2 つ目のサービスグループの追加は失敗します。これは、同じ devno が既に最初のサービスグループに割り当てられているためです。devno は自動的に入力されるため、CLI から明示的に指定しないことをお勧めします。

    [NSHELP-23817]

  • Gx インターフェイスのヘルスチェックオプションが有効になっていて、Gx サーバが応答しない場合、ネガティブ TTL セッションは作成されません。

    [Nヘルプ-2335]

  • ストリーム識別子の統計にはグラフは表示されません。

    [Nヘルプ-2753]

  • DNS UDP 要求の場合、サブスクライバ式と DNS 式の両方が同じポリシーで使用されている場合、サブスクライバセッションは送信元 IP アドレスではなく宛先 IP アドレスに基づいて作成されます。

    [Nヘルプ-2521]

  • クラスタリング

    クラスタ設定では、VLAN 設定を含む ACL ルールが有効にならないため、パケットが他の ACL ルールにヒットします。

    この問題は、クラスタセットアップ上の仮想サーバを削除した結果、クラスタノードがステアリングされたパケットに VLAN 情報を追加しない場合に発生します。

    [NSHELP-2103]

  • 高可用性

    高可用性(HA)設定では、セカンダリノードを再起動すると、セカンダリノードへのセッションの接続ミラーリング中にプライマリノードがクラッシュする可能性があります。

    [NSHELP-21715]

その他

  • rc.netscalerファイルにある一部のコマンドは、Citrix ADCアプライアンスの再起動後に正しく適用されないため、アプライアンスが意図したとおりに動作しない可能性があります。

    [Nヘルプ-2507]

ネットワーク

  • nstcpdump.sh スクリプトは、SSH 経由で接続され、デフォルトの管理者(nsroot)認証情報を使用してログインした Citrix ADC BLX CLI では実行されません。デフォルトの管理者 (nsroot) には特定のファイルやネットワークリソースにアクセスする権限がないため、スクリプトは失敗します。

    [NSNET-16816]

  • FTP トラフィックの接続ミラーリングを有効にした高可用性セットアップでは、次の条件に当てはまるとセカンダリノードがクラッシュする可能性があります。

    • データ接続は、制御接続の前にセカンダリノードに伝播されます

    [NSHELP-2408]

  • L2モードを有効にすると、Citrix ADCアプライアンスはデフォルトパーティションで受信したDHCPブロードキャストパケットを転送します。

    [NSHELP-23957]

  • 次の条件に当てはまる場合、受信したIPv6要求パケットのNAT64変換中にCitrix ADCアプライアンスが失敗する可能性があります。

    変換後の宛先 IPv4 アドレスである宛先 IPv6 アドレスの最後の 32 ビットが 240.0.0.0 より大きい(予約済み IP 範囲内)。

    ACL を追加して、そのようなパケットを拒否します。

    [ヘルプ-2742]

  • Citrix ADCアプライアンスがフラグメント化されたIPv6パケットを送信すると、CPU使用率が高くなることがあります。

    [ヘルプ-2699]

  • 宛先アドレスとして無効な仮想MACアドレスを持つパケットは、Citrix ADCが所有するMACアドレスを持つパケットとして誤って分類されます。

    [ヘルプ-2697]

プラットフォーム

  • Citrix ADC SDX 24000プラットフォームでは、アプライアンスをソフトウェアバージョン13.0にアップグレードすると、論理ドライブに関する重大なアラートが生成されます。これは誤検出です。
    cp /opt/Citrix/System_config/NSSDX-22000 /opt/Citrix/System_config/NSSDX-22000T

    [NSHELP-23505]

  • Citrix ADC SDXアプライアンスでは、一部の仮想インスタンスを50Gおよび100Gのメラノックスインターフェイスで構成すると、メモリを使い果たす場合があります。

    [NSHELP-2394]

  • カードがエラーを返した場合、SSLカードをリセットして初期化するには、Citrix ADC SDXアプライアンスを再起動する必要があります。この修正により、再起動は不要になりました。

    [Nヘルプ-2725]

ポリシー

  • HTMLページに埋め込まれた多数の式を評価すると、Citrix ADCがクラッシュすることがあります。

    [NSPOLICY-1462]

SSL

  • 次の条件が満たされると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    • TLS 1.3の初期データ処理は、デフォルト以外の管理パーティションのSSLプロファイルで有効になっています。
    • TLS 1.3 の初期データ処理は、デフォルトの admin パーティションのすべての SSL プロファイルで無効になっています。

    [NSHELP-23607]

  • 次の条件が満たされた場合、Citrix ADCアプライアンスがクラッシュすることがあります。

    • 有効期限監視オプションを有効にした状態で、証明書とキーのペアが追加されます。
    • 証明書の日付は 1970 年 1 月 1 日より前です。

    [NSHELP-2934]

  • クラスタ設定では、SSL ポリシーバインディングを取得する NITRO API クエリは CLIP アドレスからは成功しますが、クラスタノードから実行するとクエリは失敗します。

    [ヘルプ-2853]

  • OCSPにキャッシュされたエントリが多数あり、clear configコマンドを実行すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-2695]

  • 頻繁に更新するように空のCRLを設定すると、Citrix ADCアプライアンスの共有割り当てメモリが使い果たされます。

    [NSHELP-216]

  • SSL
    Aパーティション化されたCitrix ADCアプライアンスは、次のアクションを実行すると期待どおりに応答しない場合があります。
    1) 異なるパーティションに 2 つの OCSP レスポンダーを作成します。
    1) 1 つのパーティションの設定を消去します。
    1) 他のパーティションの OCSP レスポンダを削除します。

    [NSHELP-20861]

システム

  • Citrix ADCアプライアンスは、フロントエンドの最適化が有効になっている場合、JavascriptやCSSなどの大きなオブジェクトを最適化および圧縮しない場合があります。

    [NSHELP-24041]

  • TLS v1.2セッション再利用プロトコルの場合、Citrix ADCアプライアンスでは次の動作が見られます。

    • 分類情報はサーバーPCBに保存され、ドメイン情報はクライアントPCBに保存されます。
    • データはクライアント PCB からのみAppFlowに送信されるため、セッションを再利用する場合、分類情報はnullとして送信されます。

    [Nヘルプ-23542]

  • トラフィックを検査しているときに、インラインデバイスを表すサービスがダウンした場合、リソースは適切に解放されません。この解放されたリソースに再びアクセスすると、Citrix ADCアプライアンスがクラッシュします。

    [NSHELP-23145]

  • システム
    synflood トラップ生成では、varBinding値をリセットしない場合、アプライアンスは現在の値やしきい値の代わりに古いトラップvarBinding値を使用します。

    [Nヘルプ-20653]

  • システムマルチパス TCP (MPTCP)
    では、SI_CUR_CUR_Clients と SI_CUR_CLNT_ConnoOpenNest カウンタが 2 回インクリメントされます。

    [NSHELP-1986]

  • 分析

    分析データが ADM サービスに入力されないことがあります。

    [NSBASE-11508]

ユーザーインターフェイス

  • マルチファクタ(nFactor)ログインは、Citrix ADC GUI を使用しても機能しません。最初のファクタログインの後、次のファクタログイン入力は機能しません。

    [NSHELP-24078]

  • Citrix ADCアプライアンスは、内部プロセスが最大回数再起動するとクラッシュする可能性があります。

    [NSHELP-2378]

  • 「stat system」コマンドの「Up since (Local)」行には、年の最後の 3 桁だけが表示されます。

    [NSHELP-2960]

  • サービスグループメンバーを直接追加すると成功します。ただし、次の手順を実行すると操作は失敗します。

    1. [ トラフィック管理] > [負荷分散] > [サービスグループ] に移動します。

    2. サービスグループを選択し、「サービスグループメンバー」をクリックします。

    3. エントリの 1 つを右クリックして、[追加] を選択します。

    4. 「サービスグループメンバーの作成」で、IPアドレスを変更し、「作成」をクリックします。

    [NSHELP-1925]

  • ZeboS の実行コンフィギュレーションを取得するための NITRO API (ルーターダイナミックルーティング) は、大規模なコンフィギュレーション (25 行以上) では完全な出力を取得しません。

    [NSCONFIG-3535]

  • Citrix ADCアプライアンスをリリース13.0ビルド64.xにアップグレードすると、すべてのRPCノードのセキュアオプションがデフォルトでオンになります。このオプションは、ポート番号3008を使用する高可用性、クラスタ、およびGSLBデプロイメントのADCノード間の通信を保護します。ADCノード間のファイアウォールがポート番号3008をブロックしている場合は、ブロックを解除して続行します。そうしないと、構成の同期と構成の伝播が失敗する可能性があります。このオプションは、CLI または GUI を使用していつでも変更できます。

    [NSCONFIG-2702]

既知の問題

リリース13.0-64.35に存在する問題

認証、承認、監査

  • 認証、承認、監査-TM
    Citrix ADCアプライアンスは、重複したパスワードによるログイン試行を認証せず、アカウントロックアウトを防ぎます。

    [NSHELP-563]

  • 認証、承認、監査

    Citrix ADC GUIのログインスキーマエディター画面に DualAuthPushOrOTP.xml LoginSchema が正しく表示されません。

    [NSAUTH-6106]

  • 認証、承認、監査

    ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
    show adfsproxyprofile <profile name>

    クラスタ内のプライマリのアクティブなCitrix ADCに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

    [NSAUTH-5916]

  • 認証、承認、
    監査ポリシーをファクターからバインド解除しようとすると、nFactor Visualizer の nFactor Flow ページに「そのようなポリシーが存在しません」というメッセージが表示される場合があります。バインド解除オプションは期待どおりに機能します。

    [NSAUTH-5821]

キャッシュ

  • 統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-22942]

Citrix Gateway

  • Windows 用 EPA プラグインは、ローカルマシンの構成済みプロキシを使用せず、ゲートウェイサーバーに直接接続します。

    [NSHELP-24848]

  • Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。

    [NSHELP-23937]

  • SharePoint にリンクされている Web ベースのオフィスアプリが高度なクライアントレス VPN 経由でアクセスされている場合、これらのアプリを使用してドキュメントを編集する際に問題が発生する可能性があります。

    [NSHELP-2364]

  • スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。

    [NSHELP-21897]

  • 次の 2 つの条件が満たされている場合、ログオン転送は機能しません。

    • nFactor 認証が設定されています。
    • Citrix ADCテーマはデフォルトに設定されています。

    [CGOP-14092]

  • Citrix Gateway ゲートウェイインサイトのレポートでは、SAMLエラーエラーの[認証タイプ]フィールドに「SAML」ではなく「ローカル」という値が誤って表示されます。

    [CGOP-13584]

  • Citrix Gateway
    高可用性セットアップでは、Citrix ADC のフェイルオーバー中に、Citrix ADM のフェイルオーバーカウントではなくストレージリポジトリ数が増加します。

    [CGOP-13511]

  • ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承認 ] ダイアログボックスには、選択した言語に関係なく、英語でコンテンツが表示されます。

    [CGOP-13050]

  • Citrix SSOアプリ > ホームページの「ホームページ 」というテキストは、一部の言語では切り捨てられます。

    [CGOP-13049]

  • Citrix Gateway
    Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

    [CGOP-11830]

  • Outlook Web App (OWA) 2013 では、[設定] メニューの [オプション] をクリックすると、[重大なエラー] ダイアログボックスが表示されます。また、ページが応答しなくなります。

    [CGOP-7269]

負荷分散

  • 高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

    [NSLB-7679]

  • マスターサイトから下位サイトへの設定の同期が失敗すると、SNMP アラームの生成が遅れることがあります。

    [NSHELP-23391]

ネットワーク

  • StyleBook を使用して構成をクラスターインスタンスにプッシュすると、コマンドが失敗し、「Command propagation failed」というエラーメッセージが表示されます。
    障害が連続して発生しても、クラスタは部分的な構成を保持します。

    1. 失敗したコマンドをログから特定します。
    2. 障害が発生したコマンドに回復コマンドを手動で適用します。

    [NSHELP-24910]

ポリシー

  • 処理データのサイズが設定されたデフォルトの TCP バッファサイズを超えると、
    システム接続が停止することがあります。

    TCP バッファサイズを、処理する必要のあるデータの最大サイズに設定します。

    [NSPOLICY-1267]

SSL

  • SSL
    更新コマンドは、次の追加コマンドでは使用できません。

    • Azure アプリケーションの追加
    • Azure キーボールトを追加する
    • hsmkey オプションで ssl 証明書キーを追加する

    [NSSSL-6484]

  • SSL
    認証の Azure Key Vault オブジェクトが既に追加されている場合、Azure Key Vault オブジェクトを追加することはできません。

    [NSSSL-6478]

  • SSL
    同じクライアント ID とクライアントシークレットを使用して複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。

    [NSSSL-6213]

  • SSL
    KEYVAULT を HSM タイプとして指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。
    エラー:CRL 更新は無効です

    [NSSSL-6106]

  • SSL
    セッションキー自動更新が、クラスタ IP アドレスで誤って無効と表示されます。(このオプションは無効にできません。)

    [NSSSL-4427]

  • SSL SSL
    プロファイルの SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。

    [NSSSL-4001]

  • Citrix ADCアプライアンスで強力なパスワードオプションが有効になっていると、パスワードで保護された証明書とキーのペアが追加されないことがあります。この修正により、パスワードで保護された証明書とキーのペアは常に正常に追加されます。ただし、以前のビルドにダウングレードすると、証明書キーの設定が失われます。
    また、証明書とキーのペアに対する NITRO API のレスポンスでは、passscrypt 変数の代わりに passplain 変数が送信されます。

    [NSHELP-2575]

  • クラスタ設定では、証明書またはキーファイルを削除しても、証明書の設定を変更することはできません。

    [NSHELP-24913]

ユーザーインターフェイス

  • クラウドブリッジコネクタ

    CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge コネクタの設定に失敗することがあります。

    Citrix ADC GUIまたはCLIを使用して、IPsecプロファイル、IPトンネル、およびPBRルールを追加して、Cloudbridgeコネクタを構成します。

    [NSUI-13024]

  • GUI でストリームセッション (AppExpert > アクション分析 > ストリーム識別子) を確認しているときに、更新ボタンが機能しない。

    [NSHELP-24195]

  • 管理パーティションの設定で、証明書失効リスト (CRL) ファイルのアップロードと追加が失敗する。

    [NSHELP-20988]

  • アプリケーションファイアウォールのシグネチャが CCO 以外のノードと同期するまでに時間がかかることがあります。その結果、これらのファイルを使用するコマンドは失敗する可能性があります。

    [NSCONFIG-4330]

  • あなた(システム管理者)がCitrix ADCアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。

    1. Citrix ADCアプライアンスをいずれかのビルドにアップグレードします。

      • 13.0 52.24 ビルド
      • 12.1 57.18 ビルド
      • 11.1 65.10 ビルド
    2. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
    3. Citrix ADCアプライアンスを古いビルドにダウングレードします。

    CLIを使用してこれらのシステムユーザーのリストを表示するには、
    コマンドプロンプトで次のように入力します。

    query ns config -changedpassword &%2391;-config <full path of the configuration file (ns.conf)>&%2393;

    この問題を修正するには、次の独立したオプションのいずれかを使用します。

    • Citrix ADCアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。
    • アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
    • 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。

    [NSCONFIG-3188]

シトリックス ADC 13.0-64.35 リリースのリリースノート
December 28, 2022
寄稿者: 
C
December 28, 2022
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | プライバシーと法令 | Cookieの設定 | 同意設定
© 1999- Cloud Software Group, Inc. All rights reserved.