製品ドキュメント
Citrix ADC
Current Release 13.0 12.1
PDFを表示

シトリックス ADC 13.0-71.44 リリースのリリースノート

December 28, 2022
寄稿者: 
C

このリリースノートドキュメントでは、Citrix ADCリリースビルド13.0-71.44の機能強化と変更、修正された問題と既知の問題について説明します。

  • このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。
  • ビルド 13.0-71.44 はビルド 13.0-71.40 に取って代わります。
  • このビルドでは、で説明されているように、DTLS に対する DDoS スタイルの攻撃を受けにくくするための機能強化が追加されています https://support.citrix.com/article/CTX289674
  • このビルドには、以前のCitrix ADC 13.0リリースビルドに存在していた次の問題に対する修正も含まれています:NSAUTH-9475。

新機能

ビルド 13.0-71.44 で利用できる機能強化と変更

認証、承認、監査

  • Microsoft Intune 統合におけるトークン認証に対する Azure 政府のサポート

    Citrix Gateway と Microsoft Intune の統合シナリオでは、シトリックスゲートウェイは Microsoft Active Directory ライブラリ (ADAL) トークン認証用の Microsoft Azure 政府インフラストラクチャをサポートするようになりました。以前は、Microsoft Azure の商用インフラストラクチャのみがサポートされていました。

    [NSAUTH-8246]

Citrix ADC SDXアプライアンス

  • ADC インスタンスからインターフェイスまたはチャネルを削除すると、そのインスタンスに Management Service からアクセスできなくなることがあります。この変更により、Citrix ADC SDXアプライアンスがリリース13.0ビルド71.x以降またはリリース12.1ビルド60.x以降を実行している場合、ADCインスタンスのインターフェイスまたはチャネルを管理サービスから削除できなくなります。

    [NSSVM-3442]

Citrix Gateway

  • Windows プラグインでのダイナミックセキュア DNS アップデートのサポート

    Windows 用 VPN プラグインがセキュア DNS アップデートをサポートするようになりました。この機能はデフォルトでは無効になっています。これを有効にするには、REG_DWORD タイプの HKEY_Local_MachineSoftwareCitrix Secure Access ClientSecuredNSUpdate 値を作成し、1 に設定します。

    • 値を 1 に設定すると、VPN プラグインはセキュリティで保護されていない DNS アップデートを最初に試みます。セキュリティで保護されていない DNS の更新が失敗した場合、VPN プラグインは安全な DNS の更新を試みます。
    • セキュリティで保護された DNS アップデートのみを試すには、値を 2 に設定します。

    [COP-13788]

Citrix Web App Firewall

  • Bot Mobile SDK を使用したモバイル (Android) アプリケーションのデバイスフィンガープリントボット検出技術

    デバイスフィンガープリントによるボット検出メカニズムが強化され、モバイル(Android)アプリケーションをボット攻撃から保護できるようになりました。モバイルアプリケーション内のボットを検出するために、デバイスフィンガープリント検出技術はボットモバイル SDK を使用します。SDKはモバイルアプリケーションと統合されており、モバイルトラフィックを傍受し、クライアントとデバイスの詳細を収集し、データをアプライアンスに送信します。アプライアンス側では、デバイスフィンガープリントボット検出技術がデータを調べ、接続がボットによるものか人間によるものかを判断します。

    [NSWAF-5983]

負荷分散

  • GSLB サイトの MEP フラップを回避するための設定可能な MEP タイマーサポート

    MEP タイマーを設定するための新しいパラメータ MEPKeepAliveTimeout が追加されました。デフォルトでは、タイマー値は 10 秒に設定されています。以前は、タイマーの値は 4 秒に固定されていました。

    ローカルのGSLBサイトが、MEPタイマーで指定された時間内に、サイトメトリックMEP接続上のリモートGSLBサイトから新しいパケット(再送信されたパケットと重複した確認パケットは除く)を受信しない場合、Citrix ADCアプライアンスは接続を停止中としてマークします。また、接続を終了せずにさらに 15 秒間待機します。新しいパケットを受信すると、MEP 接続は維持され、ステータスは UP とマークされます。

    [NSLB-7342]

  • ファイルベースのパターンセットのサポート

    Citrix ADCアプライアンスはファイルベースのパターンセットをサポートするようになりました。

    次のコマンドを使用して、新しいパターンセットファイルをCitrix ADCアプライアンスにインポートできます。
    import patsetfile <src> <name> -overwrite -delimiter <char> -charset <ASCII | UTF_8>

    次のコマンドを使用して、Citrix ADCアプライアンス上の既存のパターンセットファイルを更新できます。
    update patsetfile <patset filename>

    次のコマンドを使用して、パターンセットファイルをパケットエンジンに追加できます。
    add patsetfile <patset filename>

    次のコマンドを使用して、パターンをパターンセットファイルにバインドできます。
    add patset <name> -patsetfile <patset filename>

    [NSLB-5823]

  • Citrix ADC アプライアンスでの MQTT プロトコルのサポート

    Citrix ADCアプライアンスは、メッセージキューテレメトリトランスポート(MQTT)プロトコルをネイティブにサポートするようになりました。MQTT は、モノのインターネット (IoT) 向けの OASIS 標準メッセージングプロトコルです。このサポートにより、Citrix ADCアプライアンスをIoT展開で使用してMQTTトラフィックの負荷分散を行うことができます。

    以前は、プロトコル拡張を使用してCitrix ADCアプライアンスでMQTTを構成できました。ユーザーは独自の拡張コードを作成し、Webサーバー(HTTPを使用)またはローカルワークステーションからCitrix ADCアプライアンスに拡張ファイルをインポートする必要がありました。

    [NSLB-5822]

ネットワーク

  • Citrix ADC CPX に Kubernetes 環境の Cilium CNI のサポートが追加されました

    Citrix ADC CPXは、Kubernetes環境でCilium CNIをサポートするようになりました。CiliumはオープンソースのCNIで、バークレーパケットフィルター(BPF)の拡張バージョンを使用して、Kubernetes上のアプリケーションの可視性、パフォーマンス、スケーラビリティを向上させます。

    [ネスト-17264]

  • Citrix ADC FreeBSD データトラフィックを SNIP アドレスから送信するようにCitrix ADC アプライアンスを構成します。

    シトリックス ADC データ機能の中には、シトリックス ADC OS ではなく、基盤となる FreeBSD OS 上で動作するものがあります。このため、これらの機能は、SNIP アドレスから送信されるトラフィックではなく、Citrix ADC IP(NSIP)アドレスから送信されるトラフィックを送信します。設定にすべての管理トラフィックとデータトラフィックを分離する構成がある場合は、NSIP アドレスからデータトラフィックを調達することは望ましくありません。

    以下のCitrix ADC データ機能は、基盤となる FreeBSD OS 上で動作し、Citrix ADC IP(NSIP)アドレスからトラフィックを送信します。

    • 負荷分散スクリプト可能なモニター
    • GSLB オートシンク

    この問題を解決するために、レイヤ 2 のグローバルパラメータ「UseNetProfileBSDTraffic」が導入されました。このパラメータを有効にすると、Citrix ADC機能は、機能に関連付けられたネットプロファイル内のSNIPアドレスの1つから送信されたトラフィックを送信します。

    現在、レイヤ 2 のグローバルパラメータ「UseNetProfileBSDTraffic」は、ロードバランシングスクリプト可能なモニタでのみサポートされています。

    SNIPアドレスからGSLB自動同期トラフィックを送信するようにCitrix ADCアプライアンスを構成する場合は、回避策として拡張ACLおよびRNATルールを使用できます。

    [NSNET-16274]

  • データセットベースの拡張ACL

    企業には多数の ACL が必要です。ACL を頻繁に変更する必要がある場合、多数の ACL の設定と管理は非常に困難で面倒です。

    Citrix ADCアプライアンスは、拡張ACLのデータセットをサポートするようになりました。データセットは、Citrix ADCアプライアンスの既存の機能です。データセットは、数値(整数)、IPv4 アドレス、または IPv6 アドレスのインデックス付きパターンの配列です。

    拡張 ACL でのデータセットのサポートは、共通の ACL パラメータを必要とする複数の ACL ルールを作成する場合に役立ちます。ACL ルールを作成するときに、共通パラメータを指定する代わりに、これらの共通パラメータを含むデータセットを指定できます。

    データセットに加えられた変更は、このデータセットを使用している ACL ルールに自動的に反映されます。データセットを持つ ACL は、構成と管理が簡単です。また、従来の ACL よりも小さく、読みやすくなっています。

    現在、Citrix ADCアプライアンスは、拡張ACLのIPv4アドレスタイプデータセットのみをサポートしています。

    [NSNET-8252]

プラットフォーム

  • シトリックス ADC VPX インスタンスでの VMware ESX 7.0 のサポート

    Citrix ADC VPX インスタンスは VMware ESX ハイパーバイザー 7.0 ビルド 1632494 をサポートするようになりました。

    [NSPLAT-16902]

  • AWS トップシークレット (C2S) リージョンのサポートがすべての Citrix ADC エディションで延長されました

    AWS トップシークレット(C2S)リージョンでは、以下のすべての Citrix ADC エディションと個人所有ライセンスの使用(BYOL)がサポートされるようになりました。

    • Standard Edition
    • Advanced Edition
    • Premium Edition

    以前は、AWS トップシークレットリージョンは BYOL サブスクリプションのみをサポートしていました。
    AWS トップシークレットリージョンは、AWS との商用クラウドサービス (C2S) 契約を通じて簡単に利用できます。

    [NPLAT-9195]

ポリシー

  • 高度なポリシーの使用を最適化するための CONTAINS 関数での動的表現のサポート

    次のメソッドの引数は静的です。

    • () を含む
    • str () の後に
    • str ()
    • サブスター ()、
    • strip_end_chars ()
    • ストリップ・チャーズ ()
    • strip_start_chars ()

    [NSPOLICY-3545]

SSL

  • TLS 1.3 接続のインテル Coleto 暗号化チップへの暗号化操作のオフロードをサポート

    TLS 1.3接続では、特定のCitrix ADC MPXプラットフォーム上のIntel Coleto暗号化チップに暗号化操作をオフロードするサポートが追加されました。

    インテル Coleto チップを搭載した次のアプライアンスがサポートされています。

    • MPX 5900
    • MPX/SDX 8900
    • MPX/SDX 15000
    • MPX/SDX 15000-50G
    • MPX/SDX 26000
    • MPX/SDX 26000-50S
    • MPX/SDX 26000-100G

    TLSv1.3プロトコルのソフトウェアのみのサポートは、Citrix ADC FIPSアプライアンスを除く他のすべてのCitrix ADC MPXおよびSDXアプライアンスで利用できます。

    [NSSL-7453]

  • すべてのサブジェクト代替名 (SAN) 値が証明書に表示されるようになりました

    Citrix ADCアプライアンスは、証明書の詳細が表示されたときにすべてのSAN値を表示するようになりました。

    [NSSSL-5978]

  • TLSv1.3 プロトコルのポリシーサポート

    TLSv1.3 プロトコルが接続についてネゴシエートされると、クライアントから受信した TLS データを検査するポリシールールが設定されたアクションをトリガーするようになりました。
    たとえば、次のポリシールールが true を返す場合、トラフィックはアクションで定義された仮想サーバーに転送されます。
    SSL アクションの追加アクション1-転送 vserver2 SSL
    ポリシーの追加 pol1-rule client.ssl.client_hello.sni.contains (xyz)-アクションアクション1

    [NSSL-869]

システム

  • 負荷分散仮想サーバーの CPU 使用率 (1000 分率) を表示します

    新しいカウンター「CPU-PM」では、CPU 使用率の統計データがミル単位 (1000 分/分) で表示されるようになりました。たとえば、500 は 500/1000 と読み取らなければなりません。これは 50% に相当します。

    GUI で、[トラフィック管理] > [仮想サーバー] > [負荷分散] > [統計] に移動します。

    [NSBASE-11304]

  • タイムアウト時のリクエスト再試行のサポート

    バックエンドサーバーがリクエストに応答するのに時間がかかる場合、アプライアンスはタイムアウト時に再ロードバランシングを実行し、次に利用可能なサーバーにリクエストを転送するシナリオでもう1つリクエストを再試行できるようになりました。以前は、アプライアンスはサーバーの応答を待っていたため、RTT が増加していました。
    タイムアウトを実行するには、appqoe アクションで新しいパラメータ retryOnTimeout を設定できます。最小値:30 ミリ秒、
    最大値:2000。

    CLI を使用してタイムアウト時にリクエストを再試行するように設定するには:
    add appqoe action <name> -retryOnTimeout <msecs>


    「appqoe アクション appact1-再試行タイムアウト 35 を追加」

    [NSBASE-10914]

  • MPTCP クラスタ導入におけるローカル処理と接続保持のサポート

    MPTCP接続は、クラウドおよびオンプレミスのCitrix ADCクラスター展開で「ローカルで処理」および「接続を保持」機能をサポートするようになりました。

    [NSBASE-10734]

  • AppFlow レコード内のレスポンダーレスポンス関連情報

    Citrix ADCアプライアンスによって生成されたAppFlowレコードには、レスポンダーの応答関連情報が含まれるようになりました。

    [NSBASE-10634]

  • 大きな HTTP ヘッダーサイズのサポート

    Citrix ADCアプライアンスは、L7アプリケーション要求に対応するために、大きなヘッダーサイズのHTTP要求を処理できるようになりました。HTTP リクエストのヘッダーサイズは 128 KB に増加しました。

    [NSBASE-7957]

解決された問題

ビルド 13.0-71.44 で対処されている問題

認証、承認、監査

  • 場合によっては、ユーザーパスワードを変更した後に、「リクエストを完了できません」というエラーメッセージが表示されることがあります。

    このエラーは、変更されたパスワードが暗号化後に破損したために発生します。

    [NSHELP-2537]

  • 場合によっては、電子メールOTP認証を完了する前にクライアントがTCP接続を閉じると、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-2515]

  • 場合によっては、セカンダリノードでのCitrix ADC認証、承認、および監査セッションの削除中にCitrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-25075]

  • Citrix ADCをCitrix CloudへのIdPとして使用すると、メモリバッファオーバーフローが原因で、ADでネストされたグループ抽出アクティビティを実行しているときに、認証、承認、およびAuditingDがクラッシュする場合があります。

    [ヘルプ-2484]

  • ユーザーのグループの長さが定義された制限を超えると、Citrix ADCアプライアンスでLDAP認証が失敗します。

    [NSHELP-2437]

  • Citrix Gateway アプライアンスにログオンしようとしても、ログオンに失敗してもユーザーに応答が表示されません。

    [NSHELP-2315]

  • Citrix Gateway ユーザーインターフェイス関連のリクエストのヘッダーサイズが1024文字を超えると、Citrix ADCアプライアンスは400エラーコードで応答します。

    [NSAUTH-9475]

  • 次の条件が満たされている場合、アドレス指定不可の認証仮想サーバーの構成は再起動後に復元されません。

    • Citrix ADCアプライアンスにはスタンダードエディションのライセンスがあります
    • アプライアンスは、Citrix Gateway を使用して nFactor 認証を行うように構成されています

    [NSAUTH-9263]

ボット管理

  • ボットシグネチャによって不良ボットと識別されたボットリクエストは、次の条件が満たされるとリセットされます。

    • 対応するシグネチャのドロップ、リダイレクト、リセットなどのボットターミナルアクションは「False」に設定されています。

    [NSBOT-222]

キャッシュ

  • 次の条件が満たされると、Citrix ADCアプライアンスがランダムにクラッシュする可能性があります。

    • 統合キャッシュ機能が有効になっています。
    • 統合キャッシュには 100 GB 以上のメモリが割り当てられています。

    [Nヘルプ-20854]

CallHome

  • Citrix AC MPX 22000 プラットフォームでは、show techsupport コマンドを実行すると、ハードドライブがマウントされていないと誤って表示されます。

    [ヘルプ-2423]

Citrix ADC SDXアプライアンス

  • Citrix Hypervisorがディスク容量の 90% 以上を消費すると、Citrix ADC SDXアプライアンスのアップグレードは失敗します。

    [NSHELP-24873]

  • Citrix ADC SDX 8900、SDX 15000、およびSDX 15000-50Gプラットフォームでは、SDXアプライアンスをリリース11.1からリリース12.1に、またはリリース11.1からリリース13.0にアップグレードすると、ADCインスタンスのCPU使用率が高くなることがあります。

    [NSHELP-24031]

Citrix Gateway

  • まれに、セカンダリアプライアンスとのセッション同期中またはイントラネットIP割り当て中にCitrix Gatewayアプライアンスがクラッシュすることがあります。

    [NSHELP-2521]

  • クラシック VPN URL もバインドされている場合、urlName パラメータがセッションやその他のポリシーバインディングに追加され、保存と再起動時に設定が追加されます。

    [NSHELP-25072]

  • スプリットDNSが「両方」または「ローカル」に設定されている場合、Citrix Gateway IIPの登録は失敗します。

    [NSHELP-24928]

  • ICAスマートポリシーが有効になっていて、AppFlow構成が残っていると、接続の待ち時間が長くなることがあります。

    [NSHELP-24908]

  • UDPオーディオが有効になっていて、内部のmallocシステムコールがエラーを返すと、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-24890]

  • まれに、メモリの破損によりsyslogトランスポートタイプが変更されると、Citrix Gatewayアプライアンスがクラッシュすることがあります。

    [ヘルプ-24794]

  • Citrix Gateway アプライアンスは、UTF8Stringでエンコードされたデバイス証明書から共通名を抽出しません。

    [ヘルプ-24741]

  • ホスト名値が160文字を超えるイントラネットアプリを削除すると、Citrix Gatewayアプライアンスがクラッシュします。

    [NSHELP-2524]

  • 位置検出が有効になっている場合、Always On VPN のマシンレベルのトンネルは、クライアントマシンの再起動後に確立されるまでに長い時間がかかります。

    [NSHELP-24508]

  • Citrix ADC アプライアンスは、クライアントレス VPN 用に設定するとクラッシュする可能性があります。

    [NSHELP-2430]

  • VPN仮想サーバーにバインドされたRDPサーバープロファイルにRDP IPアドレスが設定されておらず、RDPサーバープロファイルとVPN仮想サーバーで同じポートが使用されている場合、Citrix Gatewayアプライアンスが再起動することがあります。

    [NSHELP-2419]

  • CPU 使用率が高いアラートに対応する、最適化された新しいパターンセット「ns_cvpn_v2_fast_regex_light_ver」が導入されました。デフォルトのパターンセット「ns_cvpn_v2_fast_regex」で断続的に CPU の急上昇が見られる場合は、新しいパターンセットに切り替えることができます。

    [NSHELP-24085]

  • EDT接続の確立中に「kill icaconnection」コマンドを実行すると、Citrix GatewayアプライアンスがEDTプロキシ展開で停止する可能性があります。

    [Nヘルプ-2382]

  • クライアントマシンに Hyper-V および WiFi ダイレクトアクセス仮想アダプタのインスタンスが複数ある場合、Windows プラグインは Gateway にアクセスできないというメッセージを表示します。

    [Nヘルプ-23794]

  • Citrix Gateway アプライアンスは、受信パケットを解析しようとするとクラッシュすることがあります。

    [Nヘルプ-23747]

  • 仮想デスクトップへのアクセス中にUDPオーディオを使用すると、Citrix Gatewayアプライアンスがクラッシュします。

    [Nヘルプ-23514]

  • VPN の UDP/ICMP/DNS ベースの承認ポリシー拒否は、ns.log ファイルには表示されません。

    [NSHELP-23410]

  • UDPオーディオが有効になっていると、Citrix ADCアプライアンスがフェイルオーバー中にクラッシュする可能性があります。

    [ヘルプ-2850]

Citrix Web App Firewall

  • クラスタ構成でCitrix Web App Firewallの学習データをリセットすると、aslearnで通信エラーが発生します。

    [NSWAF-6768]

  • クラスター構成では、スペースを含むWebサービス相互運用性(WSI)チェック値は、Citrix ADCコアアプライアンスでは有効ですが、無効な入力と見なされます。

    [NSWAF-6745]

  • 基本または高度な Web App Firewall プロファイルのデフォルトのクレジットカード名構成の詳細が、クラスター展開にありません。

    [NSWAF-6675]

  • デフォルトの Web App Firewall 拡張プロファイル用のデフォルトの XML DOS バインディングがクラスターデプロイにありません。

    [NSWAF-6672]

  • クラスター構成で、255 文字を超える「safeobject」式の長さで「safeobject」ルールをバインドできない。

    [NSWAF-6670]

  • 基本または高度な Web App Firewall プロファイルの「FileUploadTypeSaction」構成のデフォルト値がクラスター展開にありません。

    [NSWAF-669]

  • クラスタ展開の Web App Firewall 基本プロファイルまたは詳細プロファイルで、デフォルトの「CmdInjectionAction」構成が正しくありません。

    [NSWAF-668]

  • クラスタノード間でDHT転送エラーが発生し、フィールド整合性保護機能が有効になっていると、Citrix ADCクラスタセットアップがクラッシュする可能性があります。

    [NSWAF-6560]

  • Citrix Web App Firewall Cookie の一貫性チェックでは、バックエンドサーバーから送信されたレスポンスに含まれる SameSite Cookie 属性が削除されます。

    [NSHELP-24313]

負荷分散

  • GSLB展開で負荷分散にラウンドトリップタイム(RTT)方式を使用する場合、トラフィックフロー中にGSLBサービスを削除またはバインド解除すると、Citrix ADCアプライアンスに障害が発生する可能性があります。

    [NSHELP-2425]

  • 永続性セッションを解放している間に分散ハッシュテーブル(DHT)エントリと永続性セッションとの関連付けを削除すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-24213]

  • サービスグループメンバーにワイルドカードポート (ポート*) が割り当てられている場合、そのサービスグループメンバーのモニター詳細を Monitor Details ページから確認できます。

    [Nヘルプ-9409]

ネットワーク

  • Citrix ADC BLXまたはCitrix ADC CPXアプライアンスでは、アプライアンスのルーティングテーブルへのOSPFまたはBGPルートのインストールが失敗する場合があります。

    [ネスト-18707]

  • 「useproxyport」を無効にした RNAT は、1024 未満の番号の送信元ポートでは期待どおりに機能しない場合があります。

    [NSHELP-25162]

  • INC モードでの高可用性セットアップでは、VIP アドレスが NAT IP アドレスとして設定されている RNAT ルールは HA 同期中に削除されます。

    [NSHELP-24893]

  • SNMP MIBに「URLFiltDBUpdateStatus」という重複したオブジェクト名が存在するため、Citrix ADC SNMP MIBをSNMPマネージャーにロードできないことがあります。SNMP トラップと SNMP トラップ変数のバインディングには、同じオブジェクト名「urlFiltDBUpdateStatus」が使用されています。

    この修正により、「urlFiltDBUpdateStatus」SNMP トラップ変数のバインディングが「urlFilterDBUpdateStatus」に変更されました。

    [NSHELP-2478]

  • LSNモジュールの内部メモリ同期の問題により、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-24623]

  • デフォルト以外のトラフィックドメインに追加された次のリンク負荷分散ルートは、アプライアンスを保存して再起動すると、デフォルトのトラフィックドメインに移動されます。

    • ポンドルートを追加 0.0.0.0-td 1

    [NSHELP-24067]

  • Citrix ACアプライアンスのIPv6ポリシーベースのルート(PBR6)が期待どおりに機能しない場合があります。

    [NSHELP-23161]

  • 高可用性セットアップでは、Citrix ADCソフトウェアバージョン13.0 47.24以前のバージョンからそれ以降のバージョンへのインサービスソフトウェアアップグレード(ISSU)を実行すると、Citrix ADCアプライアンスの1つがクラッシュする可能性があります。

    [NSHELP-21701]

プラットフォーム

  • Citrix ADC MPX 8000-1G プラットフォームはプールライセンスをサポートしています。

    [NSPLAT-17354]

  • NSVLANと2つのリンクアグリゲーション(LA)チャネルが構成されているCitrix ADC VPXインスタンスには、次の条件が満たされるとアクセスできません。

    • 最初の LA チャネルは無効になっています。
    • VPXインスタンスが再起動されます。

    [NSPLAT-16082]

  • Citrix ADC インスタンスが ADM ベースのライセンスを使用している場合、Citrix ADM のバージョンが ADC バージョンよりも低いと、Citrix ADC ライセンスが機能しないことがあります。したがって、ADC バージョンをアップグレードするときは、対応する ADM バージョンが現在の ADC バージョンと同じかそれ以上であることを確認してください。

    [NSPLAT-15184]

  • Citrix ADC SDXアプライアンスのアップグレード中に、多数の再起動のうちの1つでSSDに障害が発生すると、アプライアンスの再起動後に対応するRAIDペアボリュームが非アクティブになります。次のことがわかります。
    ボリュームが GUI に「未作成」と表示されます。
    障害が発生した SSD スロットは「存在しない」と報告されます。「
    対応する VPX-SR もデグレードと表示されます。
    その結果、VPX-SRにあるADCインスタンスが起動しないか、停止状態のままになる可能性があります。

    [NSHELP-24751]

  • 管理インターフェイス(0/1、0/2)なしでSDXアプライアンスに複数のLAチャネルが設定されている場合、VPX CLIを使用して最初のLAチャネルを無効にすると、VPXアプライアンスにアクセスできなくなる可能性があります。

    [Nヘルプ-2189]

  • ADC SDX 14000および15000アプライアンスでは、次の条件が満たされると、最大9秒のトラフィック損失が見られます。

    • 10G ポートは、LA チャネルを使用して VPC セットアップでアクティブまたはパッシブに設定された 2 台のシスコスイッチに接続されます。
    • アクティブまたはプライマリのシスコスイッチへのリンクがバウンスします。

    [NSHELP-21875]

ポリシー

  • 次の条件が満たされた場合、Citrix ADCアプライアンスがクラッシュすることがあります。

    • nstrace とフィルターエクスプレッションの使用。
    • 認証、承認、監査認証機能が有効になっています。

    [NSPOLICY-3844]

  • 無効なHTTPリクエストでグローバルスコープ変数を使用すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-25369]

SSL

  • 以下のCitrix ADC SDXプラットフォームでは、外部クライアントがクライアント認証のSSLハンドシェイク中に署名にECDSA P224/521カーブを使用すると、SSLカードがダウンする可能性があります。

    • SDX 11515/11520/11530/11540/11542
    • SDX 22040/22060/22080/22100/22120
    • SDX 24100/24150
    • SDX 14000
    • SDX 14000-40S
    • SDX 14000-40G
    • SDX 14000FIPS
    • 2500
    • SDX 25000A

    [NSSL-9324]

  • Citrix ADCアプライアンスは、アプライアンスを再起動した後、次の条件が満たされている場合、クライアントのHelloメッセージにECDHE暗号を提案しません。

    • デフォルトプロファイルは無効です。
    • 安全なモニターは非SSLサービスにバインドされています。

    [NSHELP-24706]

  • バックエンドサーバーが「Server Hello」、「Server Certificate」、「Server Key Exchange」、「Server Hello Done」のメッセージを含む 1 つの SSL レコードを送信すると、バックエンドの SSL ハンドシェイクが失敗します。

    [NSHELP-24615]

  • Citrix ADCアプライアンスは、最大再試行タイムアウト値に達するとアラートを送信してDTLSセッションを閉じます。

    [NSHELP-2460]

  • Citrix ADC MPX/SDX 11542、MPX/SDX 14000、MPX 22000/24000/25000、または MPX/SDX 14000 FIPS アプライアンスは、次の条件が満たされるとクラッシュする可能性があります。

    • ECDHE/ECDSA ハイブリッドモデルが有効になっています。
    • DTLS トラフィックは、CPU 使用率がすでに高い場合に受信されます。

    [NSHELP-2405]

  • Citrix ADCアプライアンスは、次の条件が満たされている場合、クライアントのHelloメッセージにECDHE暗号を提案しない場合があります。

    • HA 同期が進行中です。
    • モニタプローブは、同期が完了する前に送信されます。

    [NSHELP-2435]

  • 次のプラットフォームのSSLバックエンドサービスでNULLまたはRC2暗号を使用すると、Citrix ADCアプライアンスがクラッシュします。

    • MPX 5900
    • MPX 8900
    • MPX 15000
    • MPX 15000-50G
    • MPX 26000
    • MPX 26000-50S
    • MPX 26000-100G

    [NSHELP-24308]

  • アプライアンスのディスク容量が少ない場合、DTLS仮想サーバーを構成するときにCitrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-24201]

  • Citrix ADCアプライアンスは、アプライアンスを再起動した後、次の条件が満たされている場合、クライアントのHelloメッセージにECDHE暗号を提案しません。

    • デフォルトプロファイルは有効になっています。
    • 安全なモニターは非SSLサービスにバインドされています。

    [NSHELP-24037]

  • クラスタ設定では、構成を保存すると、無効な「bind ssl certkey」コマンドが ns.conf ファイルに追加されます。CRL配布ポイントの拡張がCitrix ADCアプライアンスの証明書の一部である場合、無効なコマンドが追加されます。

    [NSHELP-23963]

システム

  • コレクターを設定せずに分析プロファイルを使用すると、軽量CPXインスタンスがクラッシュする可能性があります。

    [NSHELP-25239]

  • HTTP/2 初期接続ウィンドウサイズの設定

    RFC 7540によると、HTTP2ストリームと接続のフロー制御ウィンドウは64K(65535)オクテットに初期化する必要があり、この値を変更した場合はピアに通知する必要があります。ADCアプライアンスは、フロー制御ウィンドウサイズの変化を次のように伝えます。

    • ストリームレベルのフロー制御ウィンドウに SETTINGS フレームを使用する。
    • 接続レベルのフロー制御ウィンドウに WINDOW_UPDATE フレームを使用する。

    HTTP プロファイルでは、HTTP2InitialWindowSize パラメーターを設定して、ストリームレベルで初期ウィンドウサイズを設定できます。

    内部システムエラーのため、ADCアプライアンスは接続のフロー制御ウィンドウも「Http2InitialWindowSize」に設定された値で初期化します。ストリームに設定されたフロー制御ウィンドウに変更がある場合、ADC アプライアンスは設定フレームを使用してピアと通信します。しかし、ADCアプライアンスは、WINDOW_UPDATEフレームを使用して接続のフロー制御ウィンドウの変更を通知できません。これにより、接続がフリーズします。

    この問題を解決するために、HTTP2InitialConnWindowSize パラメータ (バイト単位) が追加され、接続レベルのフロー制御ウィンドウを制御できるようになりました。「HTTP2InitialWindowSize」と「Http2InitialConnWindowSize」という個別の設定可能なパラメータを使用することで、ストリームレベルと接続レベルの両方でフロー制御ウィンドウサイズを設定できるようになりました。

    CLI を使用して HTTP/2 の初期接続レベルのフロー制御ウィンドウサイズパラメータを設定する

    コマンドプロンプトで入力します。

    set httpprofile p1 -http2InitialConnWindowSize <window-size>

    ここで、http2InitialConnWindowSize は接続レベルのフロー制御の初期ウィンドウサイズ(バイト単位)です。
    デフォルト値:65535
    最小値:65535
    最大値:67108864

    [NSHELP-2515]

  • HTTP/2機能を有効にすると、メモリ破損によりCitrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-25005]

  • クラスタ設定では、サージ保護のデフォルト値の検証は、データベースとパケットエンジンで異なる方法で処理されます。

    [Nヘルプ-2445]

  • 次の条件が満たされている場合、分析レコードはCitrix ADM に送信されません。

    • IPFIXコレクターは、Citrix ADCアプライアンスの管理パーティションで構成されます。

    • コレクタは SNIP アドレス以外のサブネットにあります。

    [NSHELP-2423]

  • Linuxプラットフォームで実行されているCitrix ADC Webロギング(NSWL)クライアントでは、ポーリング間隔が正しく設定されていないと、CPU使用率が高くなります。

    [NSHELP-2426]

  • ADCインスタンスでAppflowを有効にすると、ADMはそのインスタンスのHDX Insightを表示しません。この問題は、ADM がインスタンスから受信した Logstream データを処理できないために発生します。

    [NSHELP-2427]

  • コンテンツスイッチ仮想サーバーにバインドされた TCP プロファイルを削除すると、クラスターデータベースの構成に矛盾が生じます。

    [NSHELP-24004]

  • Citrix ADCアプライアンスは、ICAPサーバーの詳細にアクセスしようとすると、構成をクリア中にクラッシュする可能性があります。ICAP コンテンツ検査の設定がクリアされても、サーバの詳細情報は監視リストから削除されません。

    [NSHELP-23945]

  • 次の条件が満たされると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    • HTTP/SSL タイプの負荷分散仮想サーバーまたはサービスにバインドされた HTTP プロファイルで HTTP/2 が有効になっています。
    • 負荷分散仮想サーバーまたはサービスにバインドされた HTTP プロファイルでは、接続多重化オプションが無効になっています。

    [NSHELP-2202]

  • コネクションチェーンとSSLが有効になっているCitrix ADCアプライアンスは、より多くのMTUデータを送信する可能性があります。

    [Nヘルプ-9411]

  • Citrix ADCバージョン12.1ビルド61.xにアップグレードした後、ADMサーバーに登録するとアプライアンスがクラッシュする可能性があります。

    [NSBASE-13031]

  • デフォルトパーティションでメトリックコレクターを有効にしても、管理パーティションのセットアップですでに有効になっていると、失敗する可能性があります。

    [NSBASE-12623]

  • クラスタ設定では、MPTCP 接続のプロセスローカルサポートを有効にすると、ノード間のステアリングが減少します。

    [NSBASE-10587]

ユーザーインターフェイス

  • diff ns config コマンドを実行すると、「エラー:コマンド:apply ns pbr6 の UID を取得できませんでした」というエラーメッセージが表示されます。このエラーは、apply ns pbr6 コマンドが ns.conf ファイルまたは実行コンフィギュレーションファイルに保存されている場合に発生します。

    [NSHELP-2537]

  • クラスタ設定では、不要な追加のバインディング構成が ns.conf ファイルに保存されます。

    [NSHELP-2436]

  • Citrix Gateway GUI では、次のエラー状態が発生します。

    • ポリシーがVPN仮想サーバーのプライマリ認証にバインドされている場合、GUIには、ポリシーがセカンダリ認証とグループ認証にバインドされていることが誤って表示されます。
    • VPN 仮想サーバーがサーバー証明書にバインドされている場合、サーバー GUI に VPN 仮想サーバーも CA 証明書にバインドされていることが誤って表示されます。

    [ヘルプ-2494]

  • Citrix ADC SDXプラットフォームでは、GUIの読み込み中に次のエラーメッセージが表示されます。
    操作はデバイスでサポートされていません [プールライセンスはこのプラットフォームではサポートされていません]

    [ヘルプ-2474]

  • Citrix ADC GUIでは、特定のパーティション用に作成された「カスタムレポート」を表示できません。

    [NSHELP-24370]

  • Citrix ADCアプライアンスの/var/tmpフォルダーにある次の一時ファイルにより、メモリがいっぱいになっています。

    • sh.runn.audit.<pid> nsconfig/audit ツールによって作成されたファイル。
    • tmp_ns.conf.<pid> show run コマンドによってパーティション用に作成されたファイル。

    [ヘルプ-24092]

  • 「ルーター動的ルーティング」NITRO APIリクエストの場合、応答サイズが大きい場合、Citrix ADCアプライアンスはフォーマットエラーのあるJSONデータを返すことがあります。

    [NSHELP-1913]

  • diffnsconfig コマンドで-outfilename パラメーターを使用すると、Citrix ADC アプライアンスが不安定になります。その結果、diffnsconfig の出力は大きくなり、ルートディスクがいっぱいになってしまいます。

    [NSHELP-19345]

既知の問題

リリース13.0-71.44に存在する問題。

認証、承認、監査

  • 次の条件を満たすと、Citrix ADCアプライアンスがクラッシュすることがあります。

    1. アプライアンスにメモリ不足が加えられています。
    2. SAML は認証方法の 1 つとして設定されています。

    [NSHELP-28855]

  • まれに、次の条件を満たすと、高可用性セットアップのセカンダリノードがクラッシュすることがあります。

    • 「AAAグループ」または「AAAユーザー」は、Citrix ADCアプライアンスで設定されています。

    [NSHELP-26732]

  • 特定のシナリオでは、ポリシー名がイントラネットアプリケーション名よりも長い場合、[認証、承認、および監査グループのバインド] コマンドが失敗することがあります。

    [NSHELP-25971]

  • Citrix ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。

    [NSHELP-563]

  • Citrix ADC GUIのログインスキーマエディター画面に DualAuthPushOrOTP.xml LoginSchema が正しく表示されません。

    [NSAUTH-6106]

  • ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
    show adfsproxyprofile <profile name>

    回避策:クラスター内のプライマリアクティブCitrix ADCに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

    [NSAUTH-5916]

キャッシュ

  • 統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-22942]

Citrix ADC SDXアプライアンス

  • Citrix ADC SDXアプライアンスでは、CLAGがMellanox NIC上に作成されている場合、VPXインスタンスの再起動時にCLAG MACが変更されます。VPXインスタンスへのトラフィックは再起動後に停止します。これは、MACテーブルに古いCLAG MACエントリがあるためです。

    [NSSVM-4333]

Citrix Gateway

  • macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。

    [NSHELP-28551]

  • クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にCitrix Gateway からログアウトすることがあります。

    [NSHELP-28404]

  • Citrix Gateway アプライアンスは、サーバーが開始するUDPトラフィックの処理中にクラッシュすることがあります。

    [NSHELP-27611]

  • 非同期がブロックされ、コンテンツスイッチングポリシーの構成を変更すると、Citrix Gateway アプライアンスがクラッシュすることがあります。

    [NSHELP-27570]

  • セッションポリシーで不明なVPNクライアントオプションが設定されている場合、Citrix Gateway アプライアンスがクラッシュすることがあります。

    [NSHELP-27380]

  • Citrix Gateway トラフィックプロファイルの作成ページにプロキシとしてFQDNを入力すると、「プロキシ値が無効です」というメッセージが表示されます。

    [NSHELP-26613]

  • 次のいずれかの状況が発生すると、Citrix ADCアプライアンスがクラッシュします。

    • syslog アクションはドメイン名で設定され、GUI または CLI を使用して設定をクリアします。
    • 高可用性同期はセカンダリノードで行われます。

    回避策:

    syslog サーバーのドメイン名の代わりに syslog サーバーの IP アドレスを使用して syslog アクションを作成します。

    [NSHELP-25944]

  • Citrix ADC GUIを使用してRDPクライアントプロファイルを作成しているときに、次の条件が満たされるとエラーメッセージが表示されます。

    • デフォルトの事前共有キー (PSK) が設定されています。
    • [RDP クッキー有効期間 (秒)] フィールドの RDP クッキー有効性タイマーを変更しようとしています。

    [NSHELP-25694]

  • Windows 用 EPA プラグインは、ローカルマシンの構成済みプロキシを使用せず、ゲートウェイサーバーに直接接続します。

    [NSHELP-24848]

  • Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。

    [NSHELP-23937]

  • 「show tunnel global」コマンドの出力には、詳細なポリシー名が含まれます。以前は、出力には高度なポリシー名が表示されませんでした。

    例:

    新しい出力:

     > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0

 Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
 Priority: 1  
 Global bindpoint: REQ_DEFAULT

 Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
 Priority: 100  
 Global bindpoint: RES_DEFAULT  
 Done  
 >
 <!--NeedCopy-->

    前の出力:

     > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

 Advanced Policies:

 Global bindpoint: REQ_DEFAULT  
 Number of bound policies: 1

 Done
 <!--NeedCopy-->

    [NSHELP-23496]

  • スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。

    [NSHELP-21897]

  • 無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight では報告されません。

    [CGOP-13621]

  • Gateway Insight レポートでは、SAML エラーエラーの認証タイプフィールドに「SAML」ではなく「Local」という値が誤って表示されます。

    [CGOP-13584]

  • 高可用性セットアップでは、Citrix ADC フェイルオーバー中に、Citrix ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。

    [CGOP-13511]

  • ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承認 ] ダイアログボックスには、選択した言語に関係なく、英語でコンテンツが表示されます。

    [CGOP-13050]

  • Citrix SSOアプリ > ホームページの「ホームページ 」というテキストは、一部の言語では切り捨てられます。

    [CGOP-13049]

  • Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

    [CGOP-11830]

  • Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。

    [CGOP-7269]

負荷分散

  • 高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

    [NSLB-7679]

  • クラスター設定では、GSLB仮想サーバーバインディングを介してアクセスすると、GSLBサービスのIPアドレスがGUIに表示されません。これは表示上の問題であり、機能に影響はありません。

    [NSHELP-20406]

ネットワーク

  • Webアプリケーションファイアウォールプロファイルが高度なセキュリティ保護チェックで構成されている場合、DPDKモードのCitrix ADC BLXアプライアンスがクラッシュすることがあります。

    回避策:WAF の高度なセキュリティ保護設定を削除します。

    [NSNET-22654]

  • Citrix ADC BLXアプライアンスでは、タグ付きの非dpdkインターフェイスでバインドされたNSVLANが期待どおりに機能しない場合があります。タグ付けされていない非dpdkインタフェースでバインドされたNSVLANは正常に動作します。

    [NSNET-18586]

  • Citrix ADC BLXアプライアンス13.0 61.xビルドから13.0 64.xビルドにアップグレードすると、BLX構成ファイルの設定が失われます。その後、BLX 構成ファイルがデフォルトにリセットされます。

    [NSNET-17625]

  • DPDKを搭載したCitrix ADC BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。

    • 無効化
    • 有効化
    • リセット

    [NSNET-16559]

  • Debian ベースの Linux ホスト (Ubuntu バージョン 18 以降) では、Citrix ADC BLX アプライアンスは BLX 構成ファイル (「/etc/blx/blx.conf」) の設定に関係なく、常に共有モードでデプロイされます。この問題は、Debian ベースの Linux システムにデフォルトで存在する「mawk」が、「blx.conf」ファイル内にある awk コマンドの一部を実行しないために発生します。

    回避策:Citrix ADC BLX アプライアンスをインストールする前に「gawk」をインストールしてください。Linux ホスト CLI で次のコマンドを実行して「gawk」をインストールできます。

    • apt-get install gawk

    [NSNET-14603]

  • Debian ベースのLinuxホスト(Ubuntuバージョン18以降)でCitrix ADC BLXアプライアンスのインストールが失敗し、次の依存関係エラーが表示されることがあります。

    「次のパッケージの依存関係は満たされていません:blx-core-libs: i386: preDepends: libc6: i386 (>= 2.19) しかしインストールできません」

    回避策:Citrix ADC BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。

    • dpkg — アーキテクチャーの追加 i386
    • apt-get アップデート
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • 高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。

    • HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。

    回避策:HA 同期が完了した後にのみ、手動で HA フェイルオーバーを連続して実行してください(両方のノードが同期成功状態になっています)。

    [NSHELP-25598]

  • 高可用性セットアップでは、次の条件が満たされている場合、動的ルーティングが有効なSNIPアドレスは再起動時にvtyshに公開されません。

    • ダイナミックルーティングが有効になっている SNIP アドレスは、デフォルト以外のパーティションの共有 VLAN にバインドされます。

    修正の一環として、Citrix ADCアプライアンスでは、動的ルーティングが有効なSNIPアドレスをデフォルト以外のパーティションの共有VLANにバインドできなくなりました

    [NSHELP-24000]

プラットフォーム

  • 13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがCitrix ADCアプライアンスにインストールされません。この問題は、次のCitrix ADCバージョンで修正されています。

    • 13.1-4.x
    • 13.0-82.31 以降
    • 12.1-62.21 以降

    Citrix ADC バージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。

    • 任意の 11.1 ビルド
    • 12.1-62.21 およびそれ以前
    • 13.0-81.x およびそれ以前

    [NSPLAT-21691]

ポリシー

  • 処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

    回避策:TCP バッファーサイズを、処理が必要なデータの最大サイズに設定します。

    [NSPOLICY-1267]

SSL

  • Citrix ADC SDX 22000およびCitrix ADC SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。

    回避方法:

    1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:set ssl vserver <name> -SSL3 DISABLED
    2. 構成を保存します。

    [NSSSL-9572]

  • Update コマンドは、次の add コマンドでは使用できません。

    • Azure アプリケーションの追加
    • Azure キーボールトを追加する
    • hsmkey オプションで ssl 証明書キーを追加する

    [NSSSL-6484]

  • 認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

    [NSSSL-6478]

  • 同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。

    [NSSSL-6213]

  • HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。
    エラー:CRL 更新は無効です

    [NSSSL-6106]

  • セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

    [NSSSL-4427]

  • SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。

    [NSSSL-4001]

  • リクエストバインドポイントですでにバインドされているポリシーのポリシーアクションが「転送」に設定されている場合、HTTPリクエストの処理中にCitrix ADCアプライアンスがクラッシュします。

    [NSHELP-29115]

  • クラスタ設定では、インストールされた 2 つの証明書が OCSP AIA 拡張を持つ 1 つのサーバ証明書の発行者である場合、サーバ証明書を削除するとアプライアンスは到達不能になります。

    [NSHELP-28058]

  • 高可用性セットアップでは、次の両方の条件が満たされると、CRL 自動更新が断続的に失敗します。

    • プライマリノードからセカンダリノードにファイルが同期されています。
    • CRL ファイルが CRL サーバから同時にダウンロードされています。

    [NSHELP-27435]

  • CRL を発行した CA 証明書名は 32 文字に切り捨てられます。ただし、証明書キーの名前は最大 64 文字です。この問題は、CRL フィールドの文字数が 32 文字に制限されているために発生します。

    [NSHELP-26986]

システム

  • 接続チェーンTCPオプションがCitrix ADC RPC接続に追加されます。この問題は、GSLB サイト通信との相互運用性の問題を引き起こします。

    [NSHELP-27417]

  • パブリッククラウド MPTCP クラスタの展開では、リンクセットが無効になっていると、パケットの再送信が増加します。

    [NSHELP-27410]

  • Citrix ADCアプライアンスは、MPTCP接続で、SACKブロック、タイムスタンプ、MPTCPデータACKなどのTCPオプションとともに、無効なTCPパケットを送信することがあります。

    [NSHELP-27179]

  • Citrix ADCアプライアンスとデータローダーで、Logstreamレコードに不一致が見られます。

    [NSHELP-25796]

  • まれに、Citrix ADCアプライアンスがバックエンドサーバーからクライアントを転送するときに、誤ったTCP SACKシーケンス番号をクライアントに送信することがあります。この問題は、TCP プロファイルで TCP 選択的 ACK(SACK)オプションが有効になっている場合に発生します。

    [NSHELP-24875]

  • クラスタ設定では、「set ratecontrol」コマンドは、Citrix ADCアプライアンスを再起動した後にのみ機能します。

    回避策: nsapimgr_wr.sh -ys icmp_rate_threshold=<new value> コマンドを使用してください。

    [NSHELP-21811]

  • gRPC トラフィックの大きなストリームを処理すると、TCP アドバタイズされたウィンドウが指数関数的に増加し、メモリ使用量が増加します。

    [NSBASE-15447]

ユーザーインターフェイス

  • 圧縮ポリシーマネージャ GUI で、関連するバインドポイントと接続タイプを指定して、圧縮ポリシーを HTTP プロトコルにバインドできない。

    [NSUI-17682]

  • CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge コネクタの設定に失敗することがあります。

    回避策:Citrix ADC GUIまたはCLIを使用してIPsecプロファイル、IPトンネル、およびPBRルールを追加して、CloudBridge Connectorを構成します。

    [NSUI-13024]

  • 高可用性セットアップまたはクラスタセットアップをリリース 13.0 ビルド 74.14 以降にアップグレードすると、次の理由で設定の同期が失敗することがあります。

    • 「ssh_host_rsa_key」プライベートキーとパブリックキーの両方が正しくないペアです。

    回避策:「ssh_host_rsa_key」を再生成してください。詳細は、https://support.citrix.com/article/CTX322863を参照してください。

    [NSHELP-27834]

  • Citrix ADC GUIを使用して、サービスまたはサービスグループを優先負荷分散仮想サーバーにバインドすることはできません。

    [NSHELP-27252]

  • Citrix ADC VPXアプライアンスでは、ライセンスサーバーを追加した後、容量設定操作が失敗することがあります。この問題は、サポートされているタイプのチェックインおよびチェックアウト(CICO)ライセンスの数が多いため、フレクセラ関連コンポーネントの初期化に時間がかかるために発生します。

    [NSHELP-23310]

  • 管理パーティションの設定で、証明書失効リスト (CRL) ファイルのアップロードと追加が失敗する。

    [NSHELP-20988]

  • Citrix ADCアプライアンスのバージョン13.0-71.xを以前のビルドにダウングレードすると、ファイル権限が変更されたために一部のNitro APIが機能しないことがあります。

    回避策:「/nsconfig/ns.conf」の権限を 644 に変更します。

    [NSCONFIG-4628]

  • アプリケーションファイアウォールのシグネチャが CCO 以外のノードと同期するまでに時間がかかることがあります。その結果、これらのファイルを使用するコマンドは失敗する可能性があります。

    [NSCONFIG-4330]

  • あなた(システム管理者)がCitrix ADCアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。

    1. Citrix ADCアプライアンスをいずれかのビルドにアップグレードします。

      • 13.0 52.24 ビルド
      • 12.1 57.18 ビルド
      • 11.1 65.10 ビルド
    2. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
    3. Citrix ADCアプライアンスを古いビルドにダウングレードします。

    CLIを使用してこれらのシステムユーザーのリストを表示するには、
    コマンドプロンプトで次のように入力します。

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    回避方法:

    この問題を修正するには、次の独立したオプションのいずれかを使用します。

    • Citrix ADCアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。
    • アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
    • 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。

    [NSCONFIG-3188]

シトリックス ADC 13.0-71.44 リリースのリリースノート
December 28, 2022
寄稿者: 
C
December 28, 2022
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | プライバシーと法令 | Cookieの設定 | 同意設定
© 1999- Cloud Software Group, Inc. All rights reserved.