This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
シトリックス ADC 13.0-67.43 リリースのリリースノート
このリリースノートドキュメントでは、Citrix ADCリリースビルド13.0-67.43の機能強化と変更、修正された問題と既知の問題について説明します。
注
- このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。
- 13.0-67.43 は 13.0-67.39 の代替ビルドです。NSHELP-25322 と NSHELP-25443 は、代替ビルドの追加修正です。
新機能
ビルド 13.0-67.43 で利用できる機能強化と変更。
認証、承認、監査
-
標準ライセンスでのシトリックスゲートウェイの nFactor 認証サポート
Citrix Gateway は、標準ライセンスでの nFactor 認証をサポートするようになりました。詳細については、 https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/multi-factor-nfactor-authentication.htmlを参照してください
[NSAUTH-6438]
Citrix Gateway
-
新しいCitrix ロゴが導入されました。
[COP-1440]
Citrix Web App Firewall
-
すべてのインポートオブジェクトの名前の長さとプロファイル名の長さが 127 文字に増加しました
Citrix Web App Firewall のインポートオブジェクトの名前とプロファイル名の長さが最大127文字に増加しました。以前は、名前の長さは32文字までしか設定されていませんでした。
[NSWAF-5992]
-
ダイナミックプロファイリング緩和ルールカウンター
Citrix Web App Firewallが違反を検出すると、ユーザーは緩和ルールを使用してアクションをバイパスできます。これらのリラクゼーションをモニタリングするために、リラクゼーションヒットカウンターができました。カウンタは、アプライアンスで違反が発生した回数、違反時に適用された緩和ルールの数、最後に適用されたタイムスタンプなどの統計情報を追跡します。
ただし、新しいリラクゼーションヒットカウンターは、以下のセキュリティチェックでのみご利用いただけます。
- Starturl
- Denyurl
- クロスサイトスクリプティング
- SQLインジェクション
[ニューサウスウェールズ州-5842]
-
JSON コマンドインジェクション保護
Citrix Web App Firewall プロファイルが強化され、JSON ペイロードでのコマンドインジェクション攻撃に対する新しい保護チェックが追加されました。コマンドインジェクションセキュリティチェックで JSON トラフィックが検査され、悪意のあるコマンドが検出されると、アプライアンスは要求をブロックするか、設定されたアクションを実行します。
[NSWAF-5837]
-
ボットトラップ URL のランダム化
Citrix Botのトラップ技術では、クライアントの応答にトラップURLをランダムまたは定期的に挿入できるようになりました。クライアントが人間のユーザーの場合、URL は見えず、アクセスできないように見えます。ただし、クライアントが自動化されたボットの場合、URL にはアクセスでき、アクセスされると攻撃者はボットとして分類され、それ以降のボットからのリクエストはブロックされます。このトラップ技術は、ボットからの攻撃をブロックするのに効果的です。
ボットトラップ URL は自動生成され、URL を更新する必要がある長さと間隔を設定できます。トラップ URL がプロファイルに設定されている場合は、その URL のみを挿入する必要があります。また、この方法では、ウェブサイトの URL をプロファイルにバインドすることで、よくアクセスする Web サイトやよくアクセスする Web サイトの応答ごとにトラップ URL を挿入できます。「
[NSWAF-5774]
-
安全なウェブ通信のための SameSite Cookie 属性
Google Chrome 80などの最近のブラウザのアップグレードにより、クッキーのデフォルトのクロスドメイン動作が変更されました。その結果、SameSite 属性は「なし」、「緩い」、または「厳密」に設定され、Google Chrome ブラウザの場合、デフォルトの属性値は Lax に設定されます。
ブラウザの新しいSameSiteCookie ポリシーに準拠して、Citrix Web App FirewallプロファイルがSameSiteCookie 属性構成をサポートするように拡張されました。SameSite Cookie 属性を有効にし、次のいずれかのオプションとして属性を設定できるようになりました。
- 同じサイト=なし。安全な接続でのみクロスサイトコンテキストで Cookie を使用するようにブラウザに指示します。
- 同じサイト=緩い。同じドメインのリクエストにはCookie を使用するようブラウザに指示し、クロスサイトの場合は「GET」リクエストなどの安全な HTTP メソッドのみがCookie を使用できます。
- 同じサイト=厳密。ユーザーがドメインを明示的にリクエストしている場合にのみCookie を使用できることを示します。
[NSWAF-5468]
ネットワーク
-
NET_ADMIN がマルチコアのシトリックス ADC CPX を実行するためのサポートが追加されました
–cap-add=net_admin オプションを使用して、ブリッジモードの展開でシングルコアとマルチコアの両方でCitrix ADC CPXを実行できるようになりました。
[NSNET-16016]
プラットフォーム
-
さまざまなAWSゾーンにまたがるプライベートIPアドレスによるVPX高可用性ペアのセットアップ
さまざまなAWSゾーンのプライベートIPアドレスを使用して、VPX高可用性ペアをAWSにデプロイできるようになりました。
[NSPLAT-14757]
-
GCPでのCitrix ADC VPXインスタンスに対するVIPスケーリングのサポート
要件に基づいて、GCPにデプロイされたCitrix ADC VPXインスタンスに複数のVIP(パブリックIP)アドレスを追加できるようになりました。これはスタンドアロン展開と高可用性展開の両方でサポートされています。以前は、追加できる VIP の最大数は GCP ネットワークの制限に依存していました。
[NPLAT-14738]
デフォルトの管理者パスワードの変更パスワードがデフォルトの admin (nsroot) パスワードに設定されている場合、ユーザーは最初のログイン時またはインスタンスの作成時にパスワードを変更し、設定を保存する必要があります。パスワードをデフォルトの管理者パスワードにリセットすることはできません。
この変更は、以下のCitrixアプライアンスに適用されます。- Citrix ADC SDXアプライアンスでホストされているVPXインスタンス
- Citrix ADC BLX アプライアンス
- 以下の仮想化およびクラウドプラットフォームでホストされているCitrix VPX仮想アプライアンス:
- Citrix Hypervisor
- VMware ESX
- Microsoft Hyper-V
- Linux KVM
- Amazon Web Services
- Google Cloud Platform
[NPLAT-14480]
-
転送ルールを使用してGCPでCitrix ADC VPX高可用性ペアをセットアップする
これで、バックエンドのターゲットインスタンスを含む転送ルールを使用して、VPX高可用性ペアをGoogle Cloud Platform(GCP)にデプロイできるようになりました。転送ルールはVPXインスタンスと同じリージョンにあり、ターゲットインスタンスはVPXインスタンスと同じゾーンにある必要があります。フェイルオーバー時に、転送ルールターゲットがセカンダリターゲットインスタンスに更新され、トラフィックが再開されます。
[NPLAT-14378]
システム
-
管理アクセス用のビルトイン HTTP プロファイル
Citrix ADC アプライアンスには、管理アクセス用の HTTP プロファイル「nshttp_default_internal_apps」が組み込まれました。プロファイルは、HTTP/0.9 リクエストをブロックし、管理アクセスに対する無効なリクエストをドロップするように設定されています。プロファイル設定は、既存の「nshttp_default_strict_validation」プロファイルと同じです。ただし、「nshttp_default_strict_validation」プロファイルで行ったようにプロファイル設定を変更しないことをお勧めします。
[NSBASE-10118]
-
TCP SYN 接続確立時のリクエスト/リトライ
リクエストのリトライは、もう 1 つのエラーシナリオに適用できます。TCP SYNの確立中にバックエンドサーバーからリセットを受け取った場合、アプライアンスはクライアント接続がタイムアウトするまで同じサーバーを再試行しません。代わりに、再負荷分散に基づいて、アプライアンスはリクエストを次の使用可能なバックエンドサーバーに転送します。
[NSBASE-9610]
-
gRPC 応答バッファの時間とサイズ制限のサポート
gRPCブリッジシナリオでは、Citrix ADCアプライアンスは、応答トレーラーが受信されるまで、バックエンドサーバーからのgRPC応答をバッファリングします。これにより、双方向の gRPC 呼び出しが中断されます。また、gRPC 応答が大きい場合は、応答を完全にバッファリングするために大量のメモリを消費します。これらの問題を解決するには、HTTP プロファイルに grpcholdlimit と grpcholdtimeout という 2 つの新しいパラメーターを設定できます。2 つのパラメータの両方またはいずれかを設定すると、バッファ制限のいずれかがトリガーされても(設定されているバッファサイズ内でトレーラーが受信されないか、設定されているタイムアウトが発生した場合)、アプライアンスはバッファリングを停止し、応答の転送を開始します。
[NSBASE-946]
ユーザーインターフェイス
-
シトリックスのロゴの変更
シトリックスのブランド変革を反映した新しいロゴが追加されました。Citrix ADC と Citrix Gateway GUI に新しいシトリックスのロゴが反映されるようになりました。
[NSUI-16210]
-
ボット署名のカスタム検索機能
Citrix ADC ボットシグネチャ GUI ページでカスタム検索機能を使用できるようになりました。検索オプションを使用して、署名ファイル内のコンテンツを検索できます。
[NSUI-15992]
-
DSAキーは廃止され、Citrix ADCアプライアンスではサポートされなくなりました。
[NSUI-14778]
解決された問題
ビルド 13.0-67.43 で対処されている問題。
認証、承認、監査
-
まれに、アプライアンスが「VPN URL」機能で構成され、SSOタイプが「selfauth」の場合、Citrix Gateway アプライアンスがクラッシュすることがあります。
[NSHELP-2467]
-
OTP リクエストがコアによって送信され、検証リクエストが別のコアによって受信されると、電子メール OTP 検証が失敗する場合があります。
[ヘルプ-2442]
-
Citrix ADCアプライアンスは、ログインスキーマの検証に失敗したため、モバイルクライアントからのログオン要求を拒否します。設定では OAuthToken_Username_password.xml スキーマを使用する必要があります。
[NSHELP-24318]
-
次の条件が満たされると、Citrix ADC アプライアンスへのログインは失敗します。
- アプライアンスは nFactor 用に設定されています。
- ログインスキーマポリシーは認証仮想サーバーにバインドされ、認証スキーマは「noschema」に設定されます。
[NSHELP-2425]
-
まれに、アプライアンスがNTLM認証用に設定されている場合、Citrix ADCアプライアンスがクラッシュすることがあります。
[NSHELP-24236]
-
デフォルト以外(443)ポートで構成されたVPN仮想サーバーでは、Citrix SSO QRスキャンが失敗します。これは、ネイティブ OTP 設定の問題が原因で発生します。
[NSHELP-24097]
-
場合によっては、Citrix ADCアプライアンスがユーザー認証に関連するバックグラウンドタスクを実行している間に応答しなくなることがあります。
[Nヘルプ-2383]
-
場合によっては、シングルサインオンを試みるとCitrix ADCアプライアンスが応答しなくなることがあります。
[NSHELP-23632]
-
まれに、DUP-FREE(すでに空いているリソースを解放しようとする)シナリオが発生した場合、認証要求の処理時にCitrix ADCアプライアンスがクラッシュすることがあります。
[Nヘルプ-23565]
-
Citrix ADCアプライアンスは、ユーザーが属するグループの数がグループサイズの制限を超えると、ADユーザーのLDAPシナリオですべてのグループを抽出できません。
[Nヘルプ-2959]
-
Citrix ADCとCitrix GatewayのSSO構成がトラフィックレベルではなくグローバルレベルでのみ有効になっている場合、次の認証方法によるシングルサインオン(SSO)は機能しません。
- シトリックス AG 基本認証
- Kerberos 認証
- OAuth ベアラ認証
[NSAUTH-9166]
-
場合によっては、構成のクリーンアップ中に期限切れの認証、承認、監査セッションが存在すると、Citrix ADCアプライアンスがクラッシュすることがあります。
[NSAUTH-7767]
ボット管理
-
トラフィックがアプライアンスに流れている間にボットデバイスのフィンガープリント技術を無効にすると、Citrix ADCアプライアンスがクラッシュする可能性があります。
[NSBOT-156]
-
ボット管理プロファイルがボットアクションとしてCAPTCHAを使用して構成されている場合、Citrix ADCアプライアンスがクラッシュする可能性があります。
[ネズボット 148]
Citrix ADC SDXアプライアンス
-
ソフトウェアバージョン13.0ビルド64.xまたは12.1ビルド58.xを実行しているCitrix ADC SDXアプライアンスでは、ユーザーはアプライアンスのバックアップをダウンロードできません。
[NSSVM-3952]
-
管理LAとCLAGが設定されているCitrix ADC SDXアプライアンスをアップグレードすると、SDX GUIにアクセスできなくなることがあります。
[NSHELP-24671]
-
Citrix ADC SDXアプライアンスにプロビジョニングされたADCインスタンスのデバイスプロファイルを変更しても、SNMPユーザーの詳細は変更されません。
[ヘルプ-2448]
-
Citrix ADC SDXアプライアンスでは、IPv6アドレスで構成されたADCインスタンスを変更することはできません。
[NSHELP-2426]
-
Citrix ADC SDXアプライアンスで設定されているSNMPマネージャーとトラップ宛先のコミュニティストリングにハッシュ(%23)を含めることはできません。
[ヘルプ-23989]
-
Citrix ADC SDXアプライアンスでは、ADCインスタンスの同時再検出間の競合状態により、ADCインスタンスのリンクアグリゲーション情報が失われる可能性があります。
[NSHELP-23849]
-
VPXインスタンスが古い11.1ビルドでプロビジョニングされた場合、次の条件が満たされると、SDX CLIを使用したVPXインスタンスの更新操作は失敗します。
- 「シェル/SFTP/SCPアクセス」オプションが選択されました。
- 「インスタンス管理の追加」オプションが選択されていません。
これらのオプションは「インスタンス管理」で利用可能でした。「
[NSHELP-23683]
-
Citrix ADC SDXアプライアンスを再起動した後、管理サービスによってライセンスが正しく読み取られない場合があります。
[NSHELP-23619]
Citrix Gateway
-
Citrix Gateway アプライアンスがセッションから接続を2回削除しようとすると、セッションログアウト中にクラッシュする可能性があります。
[ヘルプ-2543]
-
前のセッションがタイムアウトしたコアにリクエストが届くと、転送ログイン中にCitrix Gatewayアプライアンスがクラッシュします。
[ヘルプ-2532]
-
次の条件を満たす場合、ユーザーはウェブサイトにアクセスできません。
- プロキシサーバーは厳密な SNI チェックを行っています。
- バックエンドサーバには、クライアントレス VPN または SecureBrowse のアウトバウンドプロキシを介してアクセスします。
- バックエンドサーバーの SNI パラメーターが有効になっています。
[NSHELP-24903]
-
仮想サーバーがカスタムポートで構成されている場合、SAML 認証は期待どおりに機能しません。
[ヘルプ-24842]
-
まれに、サーバーが開始した接続セッションがすでに解放されている場合、デバッグログの印刷中にCitrix ADCアプライアンスがクラッシュすることがあります。
[NSHELP-2458]
-
Citrix Gateway にログオンし、クライアントレス VPN SharePoint 経由で Microsoft Excel にアクセスすると、Microsoft Excel 用に作成されたセッションからログアウトされます。
[NSHELP-24074]
-
まれに、イントラネットIP(IIP)アドレスが有効になっていて、そのアドレスへのサーバーからの接続が開始されると、Citrix Gateway アプライアンスがクラッシュすることがあります。
[NSHELP-23819]
-
クライアントマシンに Hyper-V および WiFi ダイレクトアクセス仮想アダプタのインスタンスが複数ある場合、Windows プラグインは Gateway にアクセスできないというメッセージを表示します。
[Nヘルプ-23794]
-
パケットドロップは、UDP アプリケーションサーバーが MTU を超えるパケットを送信し、そのパケットがフラグメント化されている場合に発生します。
[NSHELP-2370]
-
ユーザーがCitrix Workspaceからログインした場合、認証、承認、および監査セッションのログアウト中にCitrix ADCアプライアンスがクラッシュする可能性があります。
[NSHELP-236]
-
VDA FQDNの解決に失敗すると、アプリケーションの起動中にCitrix Gatewayアプライアンスがクラッシュする可能性があります。
[Nヘルプ-2454]
-
クライアントレス VPN SharePoint 経由で Microsoft Excel にアクセスする場合、Excel ファイルを編集することはできません。
[CGOP-15123]
-
CredSSP プロトコルバージョン 2 のサポートは削除されました。Windows オペレーティングシステムでは、CredSSP プロトコルバージョン 5 と 6 のみがサポートされています。
[COP-14308]
Citrix Web App Firewall
-
一部の XML 学習データを表示すると、aslearn のファイル記述子リークが発生する。
[NSWAF-648]
-
CEF ログメッセージでの「cs7」のサポート
Citrix Web App Firewall の共通イベント形式(CEF)ログメッセージに、監査ログの表現名として「cs7」というパラメーターがもう 1 つ追加されました。
[NSWAF-6593]
-
クラスタ構成では、学習エンジンが学習データを表示してリセットしようとすると、「Communication error with aslearn」というエラーメッセージが表示されます。
[NSHELP-2458]
-
Citrix ADCアプライアンスは、XML処理でストリーミングコンテキストがヌルになり、「MultipleHeaderAction」パラメータが「log」に設定されていると、クラッシュする可能性があります。
[NSHELP-2449]
-
Citrix ADCアプライアンスは、次の問題が発生した場合、応答からステータスコードを削除します。
- 理由文が抜けていて、
- ステータスコードの後にはスペースは付きません。
[ヘルプ-2489]
-
クラスタセットアップでは、set または rm appfw rfcprofile コマンドの rfcprofile を変更または削除することはできません。
[ヘルプ-2422]
-
Citrix ADCアプライアンスは、Web App Firewall XML検証チェック中にクラッシュする可能性があります。
[Nヘルプ-23562]
負荷分散
-
GSLBのリアルタイム同期中に、GSLB構成コマンドを継続的にバッチ処理すると、コマンドが誤った順序で下位サイトにプッシュされる可能性があります。
[NSHELP-23934]
-
GSLB が管理パーティションで設定されている場合、sync gslb config-ForceSync コマンドは、GSLB サイトの IP アドレスに固有の SSL サービスへの証明書キーバインディングを削除する可能性があります。
[NSHELP-23203]
-
Citrix ADCアプライアンスをリリース12.0ビルド63.13にアップグレードすると、負荷分散永続グループの構成エントリが重複する場合があります。たとえば、「show running config」コマンドでは、「add lb group」コマンドが複数回表示される場合があります。これは表示上の問題だけで、機能には影響しません。ただし、「show running config」コマンドの実行には、通常より少し時間がかかる場合があります。
[NSHELP-3050]
-
次の条件がすべて満たされると、Citrix ADCアプライアンスで高可用性フェイルオーバーが発生します。
- SIP 負荷分散仮想サーバーにバインドされたサービスは、SIP 負荷分散仮想サーバーからバインド解除されます。
- SIP 負荷分散仮想サーバー上の接続は完全にはフラッシュされません。
- クライアントのリクエストは、これらの接続で受信されます。
[Nヘルプ-2589]
-
ストリーム識別子に関連する一連の操作の後に整数値が切り捨てられると、Citrix ADCアプライアンスがクラッシュすることはめったにありません。
[Nヘルプ-2489]
ネットワーク
-
Citrix ADC 12.1ビルド58.xへのアップグレード後、CCOノードからのいずれかのコマンド伝播に失敗すると、完全な伝播が失敗する可能性があります。その結果、CCO ノードから非 CCO ノードへの以降のコマンドが失敗する可能性があります。
[ネスト-18028]
-
管理パーティションのセットアップでは、メモリリソースのパーティションが正しくないときに「set」コマンドを実行すると、メモリ割り当てが失敗することがあります。
[NSNET-17719]
-
クラスタ設定で set appflow コマンドを実行すると、クラスタを形成できない場合があります。
[NSHELP-2420]
-
Citrix ADCアプライアンスのBGPコミュニティストリングに関連して、次の問題が発生しています。
- アプライアンスが BGP コミュニティストリング x: 65535 を受信すると、BGP セッションは切断されます。
- 「bgp extended asn」機能が有効になっていない場合、BGP デーモンは AS4_PATH 属性と特定のコミュニティストリングの組み合わせを適切な方法で処理しません。この不適切な処理により、BGP デーモンがクラッシュします。
[NSHELP-24119]
-
高可用性設定では、一部の ACL ルールの「apply acls」操作中に HA ハートビートパケットが失われる可能性があります。
[ヘルプ-2363]
-
INC モードの高可用性セットアップでは、フェールオーバー後に BFD セッションが失われます。
[Nヘルプ-23648]
-
アプライアンスを数回ハードリブートすると、BFD設定がCitrix ADCアプライアンスに適用されない場合があります。
[Nヘルプ-23471]
-
Citrix ADC アプライアンスの VTYSH シェルに出入りすると、「/etc/syslog.conf」にある「/nsconfig/syslog.conf」のシンボリックリンクが削除されることがあります。その結果、「/nsconfig/syslog.conf」の変更は「/etc/syslog.conf」には反映されません。
[NSHELP-2320]
-
次の条件が満たされると、Citrix ADCアプライアンスが展開中にクラッシュする可能性があります。
- マルチパス TCP(MPTCP)は MBF と PMTUD で有効になっています
- MPTCP トラフィックが受信され、応答によって ICMP フラグメンテーションが必要というエラーが発生します。
[NSHELP-2418]
-
ジャンボ MTU のスレーブインターフェイスをバックプレーンとして使用されているリンクアグリゲーションチャネルに追加すると、次の警告メッセージが正しく表示されません。
「バックプレーンインターフェイスの MTU は、すべてのパケットを処理するのに十分な大きさでなければなりません。(MTU 値) と等しくなければなりません。推奨値を設定できない場合は、ジャンボインターフェイスの MTU を確認してください。「
これは表示上の問題であり、機能に影響はありません。
[Nヘルプ-20794]
プラットフォーム
-
Citrix ADC SDXアプライアンスのアップグレードは、容量不足のため失敗します。
[ヘルプ-2406]
-
すべての10Gおよび50Gインターフェイスが9000 MTUのLACPチャネルとして構成されている場合、再起動操作時にCitrix ADC SDX 15000-50Gが完全に再起動しないことがあります。50G インターフェイスは、再起動後に失われる可能性もあります。
[NSHELP-23104]
-
NITRO APIリクエストまたはCitrix ADCアプライアンスへのGUIアクセスは、アプライアンスがHTTP(S)経由の管理アクティビティから6日以上アイドル状態のままであると、失敗します。
[Nヘルプ-2849]
ポリシー
-
「NOOP」アクションタイプのレスポンダーアクションのターゲットフィールドは、構成ファイル(ns.conf)に保存されません。その結果、アプライアンスを再起動すると、設定が失われます。
[ヘルプ-2372]
-
Citrix ADCアプライアンスリリース11.1ビルド63.15をアップグレードすると、HTMLページインポートオブジェクトGUIページに「ディレクトリが存在しません」というエラーメッセージが表示されます。
[Nヘルプ-2826]
-
ポリシー式で MATCHES_LOCATION () 関数を構成し、フィルター式を使用して nstrace を起動すると、Citrix ADC アプライアンスがクラッシュする可能性があります。
[ヘルプ-2687]
-
XML 名前空間エラーが発生したときに表示されるエラーメッセージは明確ではなく、ユーザーに問題の解決方法を伝えるのに十分な説明もありませんでした。
[NSHELP-1823]
SSL
-
まれに、次の条件が満たされるとCitrix ADCアプライアンスがクラッシュすることがあります。
- SSL 仮想サーバーは、SSL レコードヘッダーが 2 つ以上の TCP パケットに分割された Client Hello メッセージを受信します。
- クライアントの hello にバインドされ、転送アクションが指定されたポリシーは true を返します。
- Client Hello メッセージのレコードヘッダーを完成させるパケットの TCP チェックサムには 0xxx 0x16 パターンが含まれています。
[Nヘルプ-23754]
システム
-
サーバー側の接続が確立された後にAppFlowを有効にすると、Citrix ADCアプライアンスがクラッシュする可能性があります。
[NSHELP-2446]
-
書き換えモジュールまたは HTTP Strict Transport Security (HSTS) ヘッダーがパケットを変更して 2 つに分割した場合、侵入防止システム (IPS) は 2 番目のパケットを解放します。その結果、クライアントへのパケットフローが壊れ、クライアントに転送される応答の一部だけが残ります。
[NSHELP-2494]
-
接続チェーンパラメータが有効になっているCitrixアプライアンスは、次の条件が満たされるとクラッシュする可能性があります。
- 着信パケットには 20 バイトを超える TCP オプションがあります。
- アプライアンスが余分に 20 バイトを挿入しようとすると、TCP オーバーフローが発生します。
[ヘルプ-2332]
-
アグリゲータープロセスが不安定になると、Citrix ADC MPX 26000-100Gアプライアンスが応答しなくなる可能性があります。
[NSBASE-11747]
ユーザーインターフェイス
-
Cookie 整合性設定GUIページの「復号化のみ」クッキーオプションのスペルが間違っています。
[NSU-16857]
-
Web アプリケーションファイアウォールプロファイルの GUI ページで緩和ルールを編集すると、ページ下部にエラーメッセージが表示されます。このエラーは、内部フレームワークの問題が原因で発生します。
[NSU-16806]
-
クラスター設定では、ナビゲーションメニューの [セキュリティ] に [ボット管理] 機能が表示されません。
[NSUI-1676]
-
Citrix ADC GUI の Microsoft Internet Explorer ブラウザに [保存して更新] ボタンが表示されない場合があります。
[ヘルプ-2474]
-
Citrix ADC アプライアンスが以下の「appfwlearningdata」API を呼び出すと、Citrix ADC GUI に「必要な引数がありません [ProfileName]」という断続的なWSIエラーメッセージが表示されます。
- XMLDOS
- XML 添付ファイル
- WSI チェック
[NSHELP-2464]
- クラスタ設定と高可用性セットアップの両方で、次の動作が見られます。
- クラスタ設定では、CLIPの「/nsconfig/ssl」パスから削除されたファイルは、同期後も非CCOノードに反映されません。
- 高可用性セットアップでは、プライマリノードの「/nsconfig/ssl」パスから削除されたファイルは、同期後もセカンダリノードに反映されません。
[NSHELP-2457]
-
Citrix ADC GUIでは、コマンドインターフェイスと比較して、表示されるキャッシュされたオブジェクトの数が少なくなります。
[NSHELP-2437]
-
Citrix ADC 13.0ビルド56.xにアップグレードすると、Citrix Web App Firewallの正規表現エバリュエーターが期待どおりに動作しません。
[ヘルプ-24212]
-
Citrix ADC GUIには、選択したストリーム識別子の「トップCLIENT.UDP.DNS.DOMAIN」統計データがグラフィカル形式で表示されません。
[Nヘルプ-2377]
-
「saveconfig-all」コマンドを実行すると、管理パーティションの最後に保存された時間が正確に更新されません。
[NSHELP-23740]
-
「set cs policy」コマンドを実行しても、マスターサイトから下位サイトへのGSLB構成のリアルタイム同期は行われません。
[NSHELP-2393]
-
Citrix ADC アプライアンスでは、HTTPD が NITRO API 呼び出しの処理中にコアをダンプすることがあります。
[NSHELP-23208]
-
Citrix ADC GUIでは、Web App Firewall Profilesページには、リストペインに25を超えるプロファイルを表示するための次または前のナビゲーションオプションがありません。
ナビゲーション:[セキュリティ]-> [Citrix Web App Firewall]-> [プロファイル]
[ヘルプ-2622]
-
「nsconfigaudit」構成差分ツールは、修正コマンドを生成するときに、同じリソースグループ内のコマンドの順序を維持しません。
[NSHELP-21791]
-
Citrix ADC MPXアプライアンスでは、プール容量ライセンスを永久ライセンスに移行するには、まずプールされたライセンス構成を削除してから、プールされた容量ライセンスを削除する必要があります。
[NSCONFIG-4167]
既知の問題
リリース13.0-67.43に存在する問題。
認証、承認、監査
-
Citrix ADC GUIを使用して構成する場合、LDAPサーバーの「memberof」からグループ属性を設定解除することはできません。
[Nヘルプ-2619]
-
Citrix ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。
[NSHELP-563]
-
Citrix ADC GUIのログインスキーマエディター画面に DualAuthPushOrOTP.xml LoginSchema が正しく表示されません。
[NSAUTH-6106]
-
ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
show adfsproxyprofile <profile name>回避策:クラスター内のプライマリアクティブCitrix ADCに接続し、
show adfsproxyprofile <profile name>コマンドを実行します。プロキシプロファイルの状態が表示されます。[NSAUTH-5916]
-
ファクターからポリシーをバインド解除しようとすると、nFactor Visualizer の nFactor Flow ページに「そのようなポリシーが存在しません」というメッセージが表示される場合があります。バインド解除オプションは期待どおりに機能します。
[NSAUTH-5821]
キャッシュ
-
統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、Citrix ADCアプライアンスがクラッシュすることがあります。
[NSHELP-22942]
Citrix Gateway
-
Citrix Gateway アプライアンスは、接続が閉じられた後にサーバーが開始した接続がデータパケットを送信するとクラッシュします。
[Nヘルプ-26431]
-
Citrix Gateway のログインページには、次の一連の条件が満たされると、ログインに失敗したことを示すエラーが表示されます。このエラーは、ユーザーが再度ログオンを試みていない場合でも表示されます。
- Citrix ゲートウェイへのログオンが失敗します。
- Citrix ゲートウェイへのログオンが成功します。
- ユーザーはログアウトします。
[NSHELP-2515]
-
Windows 用 EPA プラグインは、ローカルマシンの構成済みプロキシを使用せず、ゲートウェイサーバーに直接接続します。
[NSHELP-24848]
-
Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。
[NSHELP-23937]
-
Gateway Insight では、アプリケーションの誤った起動失敗が報告されます。起動エラーは、アプリまたはデスクトップが起動していないときに報告されます。
[Nヘルプ-23047]
-
次の条件が満たされると、Citrix ADCアプライアンスは応答しなくなります。
- DTLS は有効になっています。
- UDP 多重化は DTLS チャネルを使用し、トラフィックを高速で送受信します。
[Nヘルプ-2987]
-
スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。
[NSHELP-21897]
-
XenAppおよびXenDesktopウィザードを使用して認証仮想サーバーを追加しているときに、その認証サーバーの接続テストが失敗します。
[CGOP-16792]
-
次の 2 つの条件が満たされている場合、ログオン転送は機能しません。
- nFactor 認証が設定されています。
- Citrix ADCテーマはデフォルトに設定されています。
[CGOP-14092]
-
Gateway Insight レポートでは、SAML エラーエラーの認証タイプフィールドに「SAML」ではなく「Local」という値が誤って表示されます。
[CGOP-13584]
-
高可用性セットアップでは、Citrix ADC フェイルオーバー中に、Citrix ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。
[CGOP-13511]
-
ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承認 ] ダイアログボックスには、選択した言語に関係なく、英語でコンテンツが表示されます。
[CGOP-13050]
-
Citrix SSOアプリ > ホームページの「ホームページ 」というテキストは、一部の言語では切り捨てられます。
[CGOP-13049]
-
Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。
[CGOP-11830]
-
Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。
[CGOP-7269]
負荷分散
-
高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。
[NSLB-7679]
-
Citrix ADCアプライアンスは、無効なセッション開始プロトコル(SIP)パケットを処理中にクラッシュする可能性があります。
[NSHELP-26202]
-
コンテンツスイッチング仮想サーバーが HTTPS リクエストを受信すると、次の条件が満たされると、HTTPS リクエスト内の最大の Cookie がバッファオーバーフローとスタック破損の原因となります。
- Cookie の形式が正しくありません。
- Cookie の長さが 32 バイトを超えています。
[NSHELP-25932]
-
名前が IP アドレスと異なるサーバーのバックエンドサーバー IP アドレスを変更すると、設定全体を保存できない場合があります。これはまれなケースであり、Citrix ADCアプライアンスのメモリが少ない場合に発生する可能性があります。
[NSHELP-24329]
-
マスターサイトから下位サイトへの設定の同期が失敗すると、SNMP アラームの生成が遅れることがあります。
[NSHELP-23391]
ネットワーク
-
newnslogバックアップファイルの数が増えると 、実行中のCitrix ADC CPXインスタンスのディスク容量が一定期間にわたって不足する可能性があります。NEWNSLOG_MAX_FILENUM 環境変数を使用すると、バックアップファイルの数を制御できます。環境変数の値を 10 に設定すると、 newnslog バックアップファイルの最大数を 10 に制限できます。
[NSNET-20261]
-
Citrix ADC BLXアプライアンスは、Citrix ADC IPv6 OSPF(OSPFv3)ダイナミックルーティングプロトコル機能をサポートするようになりました。詳細については、 https://docs.citrix.com/en-us/citrix-adc/current-release/networking/ip-routing/configuring-dynamic-routes/configuring-ipv6-ospf.htmlを参照してください。
[ネスト-19567]
-
DPDKモードのCitrix ADC BLXアプライアンスは、インターフェイスがダウン状態でDPDKにバインドされている場合、インターフェイスを検出しません。
回避策:DOWN インターフェイスを DPDK にバインドしないでください。
[NSNET-16561]
-
Citrix ADC BLXアプライアンスでは、次のインターフェイス操作はサポートされていません。
- 無効化
- 有効化
- リセット
[NSNET-16559]
-
次の条件が満たされると、Citrix ADCアプライアンスがクラッシュする可能性があります。
- IPv6 リンク負荷分散 (LLB6) 構成では、永続性オプションが有効になっています。
- この LLB6 構成では、いくつかの IPv6 ダミー接続が作成されています。
[NSHELP-25695]
-
StyleBook を使用して構成をクラスターインスタンスにプッシュすると、コマンドが失敗し、「Command propagation failed」というエラーメッセージが表示されます。
障害が連続して発生しても、クラスタは部分的な構成を保持します。
回避策:- 失敗したコマンドをログから特定します。
- 障害が発生したコマンドに回復コマンドを手動で適用します。
[NSHELP-24910]
プラットフォーム
-
Citrix ADC SDX 15000-50Gアプライアンスでは、どのADC VPXインスタンスにも送信されないデータトラフィックが一時的に急増すると、次の問題が発生する可能性があります。
- 10G ポートの LACP リンクが断続的にフラップしたり、永久にダウンしたりすることがあります。
回避策:
- 10G ポートに対応する内部 ethX ポートを調べてください
- シトリックスハイパーバイザーのシェルプロンプトで次のコマンドを実行します。ethtool-G ethX rx 4096 tx 512
- トラフィックプロファイルを確認して、スイッチ側の不要なトラフィックをブロックします
[NSHELP-2561]
-
デフォルトでは、内部管理インターフェイスとして設定されている管理インターフェイスでは、高可用性モニター(HAMON)と HA ハートビートが無効になっています。また、このインターフェイスでは HAMON と HA ハートビートを有効にできません。
その後、同じインターフェイスを管理インターフェイスとして再構成し、VPXインスタンスを再起動しても、HAMONとHAのハートビートオプションは無効のままです。
ただし、HA 設定の問題を回避するために、これらのオプションを手動で有効にできるようになりました。[NSHELP-21803]
ポリシー
-
処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。
回避策:TCP バッファーサイズを、処理が必要なデータの最大サイズに設定します。
[NSPOLICY-1267]
-
高可用性セットアップでは、次の問題がフェイルオーバーの原因となる可能性があります。
HTTP、TCP 以外のパケットが多数キューに入れられ、処理がブロックされた後に処理待ちになっている場合。
[NSHELP-23506]
SSL
-
Citrix ADC SDX 22000およびCitrix ADC SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。
回避方法:
- CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:
set ssl vserver <name> -SSL3 DISABLED。 - 構成を保存します。
[NSSSL-9572]
- CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:
-
Update コマンドは、次の add コマンドでは使用できません。
- Azure アプリケーションの追加
- Azure キーボールトを追加する
- hsmkey オプションで ssl 証明書キーを追加する
[NSSSL-6484]
-
認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。
[NSSSL-6478]
-
同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。
[NSSSL-6213]
-
HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。
エラー:CRL 更新は無効です[NSSSL-6106]
-
セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)
[NSSSL-4427]
-
SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。
[NSSSL-4001]
-
クラスタのセットアップでは、次の問題が発生する可能性があります。
- CLIP の SSL 内部サービスにバインドするデフォルトの証明書とキーのペアに対するコマンドがありません。ただし、古いビルドからアップグレードする場合は、デフォルトの証明書とキーのペアを、CLIP 上の影響を受ける SSL 内部サービスにバインドする必要があります。
- 内部サービスに対するデフォルトの set コマンドの CLIP とノード間の設定の不一致。
- ノードで実行される show running config コマンドの出力で、SSL エンティティに対するデフォルトの暗号バインドコマンドがありません。省略は表示上の問題にすぎず、機能への影響はありません。バインドは、
show ssl <entity> <name>コマンドを使用して表示できます。
[NSHELP-25764]
-
クラスタ設定では、証明書またはキーファイルを削除しても、証明書の設定を変更することはできません。
[NSHELP-24913]
ユーザーインターフェイス
-
CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge コネクタの設定に失敗することがあります。
回避策:Citrix ADC GUIまたはCLIを使用してIPsecプロファイル、IPトンネル、およびPBRルールを追加して、CloudBridge Connectorを構成します。
[NSUI-13024]
-
既存の仮想サーバー永続性構成を編集すると、負荷分散仮想サーバーの永続性ビューにすべてのパラメーターが表示されません。
[NSHELP-25965]
-
クラスター設定では、すべてのクラスターノードにわたって巨大な構成(たとえば、100の負荷分散仮想IPアドレスが複数のレスポンダーポリシーとIPパッチセットを持つCitrix Web App Firewallプロファイルにバインドされているなど)がプロビジョニングされると遅延が発生します。
[NSHELP-2558]
-
GUI でストリームセッション (AppExpert > アクション分析 > ストリーム識別子) を確認しているときに、更新ボタンが機能しない。
[NSHELP-24195]
-
管理パーティションの設定で、証明書失効リスト (CRL) ファイルのアップロードと追加が失敗する。
[NSHELP-20988]
-
Citrix ADCアプライアンスは、NITRO APIを使用した2 MBを超えるCRLファイルの追加をサポートしていません。
[Nヘルプ-20821]
-
Citrix ADC BLXアプライアンスでは、GUIの [レポート] タブが期待どおりに機能しない場合があります。
[NSCONFIG-4877]
-
Citrix ADCアプライアンスのバージョン13.0-71.xを以前のビルドにダウングレードすると、ファイル権限が変更されたために一部のNitro APIが機能しないことがあります。
回避策:「/nsconfig/ns.conf」の権限を 644 に変更します。
[NSCONFIG-4628]
-
次の条件が満たされると、ADC インスタンスと ADM サービス間の接続は失われます。
- インスタンスは、組み込みエージェントを使用して ADM サービスに追加されます。
- インスタンスは-Y オプションを使用するか、ADM GUI からアップグレードされます。どちらの場合も、ビルトインエージェントは再起動しません。-Y オプションを指定すると、CLI または GUI に表示されるアップグレード関連の質問すべてに「はい」と表示されます。
[NSCONFIG-4368]
-
アプリケーションファイアウォールのシグネチャが CCO 以外のノードと同期するまでに時間がかかることがあります。その結果、これらのファイルを使用するコマンドは失敗する可能性があります。
[NSCONFIG-4330]
-
あなた(システム管理者)がCitrix ADCアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。
- Citrix ADCアプライアンスをいずれかのビルドにアップグレードします。
- 13.0 52.24 ビルド
- 12.1 57.18 ビルド
- 11.1 65.10 ビルド
- システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
- Citrix ADCアプライアンスを古いビルドにダウングレードします。
CLIを使用してこれらのシステムユーザーのリストを表示するには、
コマンドプロンプトで次のように入力します。query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]回避方法:
この問題を修正するには、次の独立したオプションのいずれかを使用します。
- Citrix ADCアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。
- アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
- 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。
詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。
[NSCONFIG-3188]
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.