製品ドキュメント
ADC
14.1 - Current Release 13.1 13.0 12.1
PDFを表示

Citrix ADC 13.0-88.16 リリースのリリースノート

February 15, 2024
寄稿者: 
C

このリリースノートドキュメントでは、NetScaler ADCリリースBuild 13.0-88.16の機能強化と変更、修正された問題と既知の問題について説明します。

メモ

  • このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。
  • ビルド 13.0-88.12 以降のビルドは、 https://support.citrix.com/article/CTX463706で説明されているセキュリティの脆弱性に対処します。
  • ビルド 88.16 がビルド 88.14 とビルド 88.12 に置き換わります。
  • ビルド 88.16 には、NSHELP-33250、NSHELP-33345、および NSHELP-33063 の問題の修正が含まれています。
  • ビルド88.14には、以前のNetScaler ADC 13.0ビルドに存在していた次の問題(NSHELP-32907)に対する修正が含まれていました。

新機能

ビルド 13.0-88.16 で利用できる機能強化と変更点。

システム

  • HTTP プロファイルに新しいパラメータが追加されました

    バックエンドサーバーへの攻撃を防ぐために、新しいパラメーター PassProtocolUpgrade が HTTP プロファイルに追加されました。このパラメータの状態に応じて、アップグレードヘッダーはバックエンドサーバーに送信されるリクエストで渡されるか、リクエストを送信する前に削除されます。

    • PassProtocolUpgrade パラメーターが有効になっている場合、アップグレードヘッダーはバックエンドに渡されます。サーバーはアップグレード要求を受け入れ、応答で通知します。
    • このパラメータを無効にすると、アップグレードヘッダーが削除され、残りのリクエストがバックエンドに送信されます。

    PassProtocolUpgrade パラメータが次のプロファイルに追加されます。

    • nshttp_default_profile はデフォルトで有効になっています
    • nshttp_default_strict_validation デフォルトでは無効になっています
    • nshttp_default_internal_apps はデフォルトで無効になっています
    • nshttp_default_http_quic_profile はデフォルトで有効になっています

    Citrixでは、このパラメータをデフォルトでは無効にすることを推奨しています。詳細については、『 NetScaler ADC セキュア導入ガイド』を参照してください

    [NSBASE-17423]

ユーザーインターフェイス

  • セルフマネージドプールライセンスのサポート

    NetScaler ADCアプライアンスがセルフマネージドプールライセンスをサポートするようになりました。これにより、購入後のライセンスサーバーへのライセンスファイルのアップロードが簡単かつ自動化されます。NetScaler ADM を使用して、共通の帯域幅またはvCPUとインスタンスプールで構成されるライセンスフレームワークを作成できます。

    [NSCONFIG-6592]

解決された問題

ビルド13.0-88.16で対処されている問題。

認証、承認、監査

  • NetScaler ADCアプライアンスは、MEM_SSLVPNモジュールのメモリリークにより要求の処理を停止します。

    [NSHELP-32646]

  • アプライアンスにStandard Editionライセンスがある場合、NetScaler ADCアプライアンスを再起動すると、NO_AUTHN認証アクションは持続しません。

    [ NSHELP-32522 ]

  • NetScaler Gateway Duo 認証ログオンページは、RFWebUI 以外のテーマでは読み込まれません。

    [ NSHELP-32463 ]

  • デバイスをNetScaler Gateway アプライアンスに登録すると、Citrix Secure Access(Citrix SSO)に「プッシュ登録に失敗しました」というメッセージが表示されます。

    [ NSHELP-32461 ]

  • Citrix Workspaceアプリを使用したゲートウェイへの認証が成功しないことがあります。

    [ NSHELP-32333 ]

  • NetScaler ADCアプライアンスでコンテンツセキュリティポリシー(CSP)機能が有効になっている場合、SAML認証は失敗します。

    [ NSHELP-32203 ]

  • NetScaler ADCアプライアンスは、Content-Typeヘッダーの文字セットサフィックスを削除し、次の両方を構成した場合にContent-Type: application/x-www-form-urlencodedを送信します。

    • SSO フォームベース認証
    • nsapimgr knob - nsapimgr_wr.sh -ys call=ns_formsso_use_ctype_simple_enable knob

    [ NSHELP-31977 ]

  • ADFSPIP URLが「http://」タイプに設定されている場合、NetScaler ADCアプライアンスはクラッシュします。ADFSPIP は「https://」URL タイプのみをサポートしています。

    [ NSHELP-29838 ]

  • NetScaler ADCアプライアンスは、次の両方の条件が満たされるとクラッシュします。

    • 電子メール OTP が設定されている
    • メールサーバーが応答しない、またはメールサーバーにネットワークの問題がある

    [ NSHELP-26137, NSHELP-27824 ]

キャッシュ

  • キャッシュされたコンテンツがクライアントに提供されると、NetScaler ADCアプライアンスがクラッシュします。

    [ NSHELP-31760 ]

  • 統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、NetScaler ADCアプライアンスがクラッシュすることがあります。

    [ NSHELP-22942 ]

NetScaler SDXアプライアンス

  • NetScaler ADC VPXインスタンスをSDXとADMを使用してバックアップすると、いくつかの冗長ハードウェアセキュリティモジュール(HSM)構成ファイルもバックアップされます。

    [ NSHELP-32539 ]

  • NetScaler ADC SDXアプライアンスは、ハイパーバイザーディスク使用量のSNMPトラップをNetScaler ADMに送信しません。

    [ NSHELP-32323 ]

  • NetScaler ADC SDXアプライアンスでは、VLANホワイトリストがNetScaler ADC VPXインスタンスに割り当てられたMellanoxインターフェイスの正しい値で更新されません。

    [ NSHELP-31849 ]

  • Citrix SDXアプライアンスをアップグレードすると、ハイパーバイザーのバージョンが現在のバージョンとアップグレードされたSDXバージョンの両方で同じであっても、Management Service GUIに次の誤ったイベントが通知されます。

    SVMとHypervisorのバージョンが一致しません

    [ NSHELP-31769 ]

  • 証明書名またはキー名にスペースが含まれていると、NetScaler ADC SDXアプライアンスへのSSL証明書のインストールが失敗します。

    [ NSHELP-31711 ]

  • NetScaler ADC SDXアプライアンスを13.0から13.1ファームウェアにアップグレードすると、プラットフォームのアップグレード中にインストール後のスクリプトファイル(postinst.sh)のCitrix Hypervisorへのアップロードが失敗することがあります。

    [ NSHELP-31125 ]

Citrix Gateway

  • Gateway InsightとWeb Insightの機能のいずれかまたは両方が有効になっていると、NetScaler ADCアプライアンスがクラッシュします。

    [ NSHELP-33345 ]

  • 接続ブローカーの存在下では、RDP プロキシが機能しないことがあります。

    [ NSHELP-33063 ]

  • HDX Insightが有効になっていて、ユーザーがログアウト後すぐにStoreFront にログインすると、NetScaler Gateway アプライアンスがクラッシュすることがあります。

    [ NSHELP-32907, NSHELP-33079, NSHELP-33289 ]

  • Patset ベースの MAC アドレス EPA スキャンは、デバイス証明書スキャンと同じ要素では機能しません。

    [ NSHELP-32760 ]

  • [ログイン情報の転送] ダイアログボックスには [転送] ボタンは表示されません。

    [ NSHELP-32614 ]

  • StoreFrontでコールバックURLが構成されている場合、StoreFront サーバーからのログアウト要求POST /CitrixAuthservice.asmxを処理中にNetScaler ADCアプライアンスがクラッシュします。

    [ NSHELP-32207 ]

  • クラスターセットアップでは、CGP_FINISH_REQUEST要求をクライアントに送信中にNetScaler ADCアプライアンスがクラッシュします。

    [ NSHELP-32029 ]

  • UDP セッションを起動すると、セッションを閉じた後でも古い接続が存在しているように見えます。ただし、これらは実際には古い接続ではなく、カウンタの問題です。

    [ NSHELP-32009 ]

  • ユーザーがNetScaler ADCアプライアンスにログオンし、Citrix Workspaceがインストールされていない場合、Citrix Workspaceをダウンロードするためのリンクが誤ってCitrix Receiverを指します。

    [ NSHELP-31877 ]

  • NetScaler Gateway アプライアンスでは、VPNパラメーターがセッションアクションレベルで設定されていない場合、グローバルVPNパラメーターは有効になりません。

    高可用性セットアップをアップグレードする前に、セカンダリアプライアンスの HA 同期を手動で無効にしてください。詳細については、 https://docs.citrix.com/en-us/citrix-adc/current-release/upgrade-downgrade-citrix-adc-appliance/upgrade-downgrade-ha-pair.htmlを参照してください

    [ NSHELP-31478, CGOP-21737 ]

  • ポリシーベースルーティング(PBR)ポリシーは、VPN 経由の DNS トラフィックには有効になりません。

    [ NSHELP-31123 ]

  • ICAアプリの起動は、次の条件で失敗します。

    • コンテンツセキュリティポリシー (CSP) 機能が有効になっています。
    • ユーザーはブラウザーからログインしますが、Citrix Workspace アプリを使用してアプリを起動します。

    [ NSHELP-30534 ]

  • NetScaler Gateway ログオンページのタイトルとポータルテーマが正しく表示されません。

    [ NSHELP-29202 ]

  • IIPプール(IPアドレスとマスク)の構成中に、IPアドレスが範囲内の最初のIPアドレスと一致しない場合、NetScaler ADC CLIおよびGUIには1つのブロックのみが表示され、すべては表示されません。

    例:
    バインド VPN vserver vpn_ssl-IntraneTip 172.168.1.1 255.255.255.0
    バインド VPN vserver vpn_ssl-IntranetIP 172.168.2.1 255.255.255.0

    この場合、VPN vserver vpn_ssl を表示しているときの CLI または GUI には 172.168.2.1 プールのみが表示され、172.168.2.2 は表示されません。

    [ NSHELP-29084 ]

  • EPAが構成され、十分なメモリが利用できない場合、NetScaler ADCアプライアンスがクラッシュすることがあります。

    [ NSHELP-28329 ]

  • Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。

    [ NSHELP-23937 ]

Citrix Web App Firewall

  • 次のソフトウェアバージョンでCitrix Web App Firewallのシグネチャオブジェクトを構成すると、スタンドアロンのNetScaler ADCアプライアンスまたはHAセットアップのセカンダリモードがクラッシュする可能性があります。
    • 13.0 ビルド 88.5 およびそれ以降
    • 13.1 ビルド 33.41 およびそれ以降

    [ NSHELP-33250 ]

  • Citrix Web App Firewallでは、コンテンツタイプのヘッダーにプロトコル(application/pkcs7-signature)を指定すると、ヘッダーが誤って解析されます。その結果、ファイアウォールは有効なリクエストをブロックします。

    [ NSHELP-32844 ]

  • WAF プロファイルの復元時には、一部の緩和ルールがインポートされません。

    [ NSHELP-32729 ]

  • プロキシサーバーとプロキシポートが設定されている場合、WAF シグネチャの更新は失敗します。シグネチャ自動更新プロセスの毎時実行中、ADCアプライアンスは、設定されたプロキシサーバーとプロキシポートを経由する代わりに、自動更新ホストに接続して更新されたファイルをダウンロードします。その結果、自動更新ホストにアクセスできないと、更新が失敗します。

    [ NSHELP-32613 ]

  • 次の条件が満たされると、NetScalerアプライアンスがクラッシュする可能性があります。

    • アプライアンスに高い負荷がかかっています。
    • 構成の変更が行われています。
    • 署名の削除には長い時間がかかります。

    [ NSHELP-32454 ]

  • 正当な Cookie はログに保存され、重複した Cookie 違反ログが表示されます。

    [ NSHELP-32369 ]

負荷分散

  • まれに、コンテンツスイッチング仮想サーバーでSSLセッションIDベースの永続性とSSLセッションチケットベースの処理が有効になっていると、NetScaler ADCアプライアンスがクラッシュしてコアダンプを生成することがあります。

    [ NSHELP-32228 ]

その他

  • Lua math.random () 関数は乱数を返さない場合があります。

    [ NSHELP-32447 ]

  • 次の条件が満たされると、クラスターノードはパケットループに入ります。

    • 宛先 IP アドレスが CLIP の UDP パケットがクラスタノードに送信されます。
    • CCO は、クラスターインスタンスの存続期間中に 1 つのノードから別のノードに変更されました。

    [ NSHELP-30804 ]

ネットワーク

  • NetScaler ADCアプライアンスでECMPを構成すると、SSH負荷分散接続で次の問題が発生する可能性があります。

    • NetScaler ADCアプライアンスは、同じフローの残りのパケットとは異なるルートを介して最初のパケットを送信します。

    [ NSHELP-32089 ]

  • 次の条件が満たされると、一部のシナリオでNetScaler ADCアプライアンスがクラッシュすることがあります。

    • NetScaler ADCアプライアンスは、オフセットが異なる複数の最初のフラグメントを受信します。
    • NetScaler ADCアプライアンスはフラグメントを再構築しません。

    [ NSHELP-32084 ]

  • 仮想サーバーで「セッションレス」オプションを有効にし、サーバー側で ECMP を有効にした負荷分散構成では、次の問題が発生する可能性があります。

    • NetScaler ADCアプライアンスは、常に同じルートでパケットをサーバーに送信します。

    [ NSHELP-32061 ]

プラットフォーム

  • NetScaler ADC SDXアプライアンスでは、Mellanox インターフェースのリングサイズが1024エントリから2048エントリに増加します。

    [ NSPLAT-24539 ]

  • 次の条件が満たされている場合、ソフトウェアバージョン13.1からバージョン13.0ビルド88.x以前のビルドにダウングレードすると、NetScaler ADC VPXインスタンスがクラッシュします。

    • AWS インスタンスメタデータサービス (IMDS) に VM からアクセスできません。
    • AWS では、エラスティックネットワークアダプター (ENA) ベースのインスタンスが使用されています。

    [ NSHELP-32906 ]

ポリシー

  • 次の条件が満たされると、NetScaler ADCアプライアンスがpatsetによるポリシー追加中にクラッシュすることがあります。

    • NSB に関連するフラグが TCP の書き換えシナリオで間違った順序で設定されています。

    [ NSHELP-31064 ]

SSL

  • NetScaler ADCアプライアンスは、次の条件が満たされるとクラッシュします。

    • ハンドシェイクが完了する前に、クライアントから別のクライアントに hello が送信されます。
    • リクエストには、最初のクライアント hello に特別な暗号セットが含まれています。

    [ NSHELP-32422 ]

  • Intel QAT対応の暗号アクセラレーションハードウェアを搭載したNetScaler ADC MPXおよびSDXプラットフォームでは、TLS 1.3接続を介して仮想サーバーに送信される要求に、SOURCEIPパーシステンスタイプが一貫して適用されません。つまり、1 つの送信元 IP アドレスから送信されたリクエストは、複数の異なるバックエンドサーバーに分散される可能性があります。

    [ NSHELP-32410, NSHELP-32895, NSHELP-32572, NSHELP-32688 ]

  • Cavium SSLカードを搭載したNetScaler ADCアプライアンスが、クライアントにDTLS ALERTメッセージを送信しているときにクラッシュすることがあります。

    [ NSHELP-32031 ]

  • 次の条件が満たされると、SSL ハンドシェイクが失敗することがあります。

    1. Hello 検証要求 (HVR) は DTLS で有効になっています。
    2. NetScaler ADCアプライアンスは、HVRをクライアントに送信します。
    3. クライアントは HVR を受信しません。
    4. クライアントは、HVR にセッション Cookie で応答する代わりに、最初のクライアント hello を再送信しようとします。

    注:再送信されたクライアントの hello メッセージに応答して、ADC アプライアンスは HVR をクライアントに最大 3 回送信します。適切な応答が受信されない場合、アプライアンスはハンドシェイクに失敗します。

    [ NSHELP-31808 ]

  • 証明書認証ルールが評価され、同じ要求で2回トリガーされると、NetScaler ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-31785 ]

  • SSL インターセプトが有効で、DNS サーバーが有効な DNS 応答を返さない場合、Web サイトへのアクセスはブロックされます。

    [ NSHELP-30201 ]

  • ソフトウェアモードでSSLトラフィックを処理すると、NetScaler ADCアプライアンスがクラッシュすることがあります。

    [ NSHELP-29996 ]

システム

  • NetScaler ADM サーバーは、一意のURLを含む大量のHTTPトラフィックを受信すると、大量のメモリを消費します。その結果、NetScaler ADM サーバーにアクセスできなくなります。

    [ NSHELP-32922 ]

  • NetScaler ADCアプライアンスでは、ヘッダー変更フレームワークによりメモリが破損します。この状態は、NetScaler ADCアプライアンスが使用するCookieが転送される前に特定の順序で削除された場合に発生します。

    .

    [ NSHELP-32799 ]

  • 管理者パーティションでAppFlow機能を有効にできるのは、デフォルトパーティションでULFDモードを有効にした後だけです。

    [ NSHELP-32670 ]

  • NetScaler ADCアプライアンスは、受信TCPセグメントに部分的なHTTP要求メソッドが存在する場合、HTTP要求を無効な要求として扱うことがあります。

    [ NSHELP-32462 ]

  • 次の条件が満たされると、NetScaler ADCアプライアンスがクラッシュする可能性があります。

    • HTTP2とSSLの組み合わせでメモリ使用量が多い場合、NetScaler ADCアプライアンスはメモリを割り当てることができません。

    [ NSHELP-32255 ]

  • NetScaler ADCアプライアンスがsyslogアクション構成フローでクラッシュする。このクラッシュは、セカンダリノードでの高可用性同期中に発生します。

    [ NSHELP-32254, NSHELP-32397 ]

  • 以下の条件が満たされると、gRPC クライアントは gRPC ステータスヘッダーの解析に失敗します。

    • gRPC ステータスヘッダーは、末尾ヘッダーだけに追加されるのではなく、先頭ヘッダーと末尾ヘッダーの両方に追加されます。

    [ NSHELP-31640 ]

  • コンテンツ検査機能を使用する場合、ペイロードによるRewriteヘッダーの挿入が正しく機能しない場合があります。

    [ NSHELP-30088 ]

  • SACKを有効にすると、NetScaler ADCアプライアンスは再送信リストの最後の1バイトTCPセグメントを再送信しません。理由は次のとおりです。アプライアンスは、最後の1バイトのTCPセグメントを再送信リストの最後を示すダミーセグメントとして使用します。

    [ NSHELP-28778 ]

ユーザーインターフェイス

  • NetScaler ADC GUIを使用してGSLBサービスをGSLB仮想サーバーにバインドすることはできません。 GSLBサービスグループバインディング > GSLBサービスバインディング > GSLBサービスのリストが空と表示されているためです

    [ NSHELP-32236 ]

  • NetScaler ADC リリース13.0では、[ 優先負荷分散仮想サーバーサービスの構成 ]ページの [OK ]ボタンがグレー表示になっています。

    [ NSHELP-32007 ]

  • NetScaler ADCアプライアンスのGUIには、構成済みのSAMLおよびOAuth IDPポリシーの正しい数が表示されません。

    [ NSHELP-31480 ]

  • NetScaler ADCアプライアンスでは、GUIインターフェイスを使用しているときに、レスポンダーポリシーページに次の問題が表示されます。

    • カスタム作成されたレスポンダーポリシーは、組み込みレスポンダーポリシーの下に表示される場合があります。

    [ NSHELP-31428 ]

  • NetScaler ADC HAセットアップでは、構成を保存して更新ボタンをクリックすると、NetScaler ADC GUIに次の問題が発生します。

    • アプライアンスに未保存の設定変更がない場合でも、GUI の [保存] ボタンにオレンジ色のドットが誤って表示されます。

    [ NSHELP-30031 ]

  • NetScaler ADM からライセンスをチェックアウトした NetScaler ADC アプライアンスは、アプライアンスがADMから切断されると猶予期間に入ります。アプライアンスはADMではライセンスされていないように見え、ADMに再接続した後も猶予期間中も継続します。

    [ NSCONFIG-7098 ]

既知の問題

リリース13.0-88.16に存在する問題。

認証、承認、監査

  • SAML 認証が設定されている場合、ログアウト時に問題が発生する可能性があります。

    [ NSHELP-31962 ]

  • SSO の処理に必要なベアラートークンがないトラフィックで SSO が有効になっていると、シングルサインオン (SSO) が失敗します。

    [ NSHELP-31362 ]

  • LDAP アクションが IP アドレスではなく FQDN に設定されている場合、非 ASCII 文字が nsvpn.log に記録されます。

    [ NSHELP-27281 ]

  • RADIUS 認証プロセス中に「認証情報が無効です」というエラーメッセージが表示されることがあります。このエラーは、Google Chromeブラウザを使用してクライアントデバイスからNetScalerアプライアンスにアクセスすると表示されます。

    [ NSHELP-27113 ]

  • 特定のシナリオでは、ポリシー名がイントラネットアプリケーション名よりも長い場合、[認証、承認、および監査グループのバインド] コマンドが失敗することがあります。

    [ NSHELP-25971 ]

  • NetScalerアプライアンスは、NOAUTHが401ベースの認証フローの最初の要素として構成され、後続の要素としてネゴシエートが構成されている場合にコアをダンプします。

    [ NSHELP-25203 ]

  • LDAP、RADIUS、またはTACACSサービスの管理者パスワードに二重引用符(”)文字が含まれている場合、NetScalerアプライアンスは「接続テスト」チェック中に二重引用符(”)文字を削除し、接続に失敗します。

    [ NSHELP-23630 ]

  • NetScaler ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。

    [ NSHELP-563 ]

  • NetScaler ADCアプライアンスでコンテンツセキュリティポリシー(CSP)機能が有効になっている場合、DUO認証は失敗します。

    [ NSAUTH-12687 ]

  • ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。

    show adfsproxyprofile <profile name>

    回避策:クラスター内のプライマリアクティブNetScalerに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

    [ NSAUTH-5916 ]

NetScaler SDXアプライアンス

  • NetScaler ADC SDXアプライアンスでは、CLAGがMellanox NIC上に作成されている場合、VPXインスタンスの再起動時にCLAG MACが変更されます。VPXインスタンスへのトラフィックは再起動後に停止します。これは、MACテーブルに古いCLAG MACエントリがあるためです。

    [ NSSVM-4333 ]

  • NetScaler SDX GUIで、NTP構成ファイル(ntp.conf)のいずれかの行にスペースしか含まれていない場合、NTPサーバーを表示するとユーザーインターフェイスがフリーズする可能性があります。

    [ NSHELP-31530 ]

Citrix Gateway

  • Windows Update チェックベースの EPA スキャンは Windows 11 22H2 バージョンでは機能しません。

    [ NSHELP-33068 ]

  • Citrix Secure Accessクライアントのバージョン21.7.1.2以降では、管理者権限のないユーザーが新しいバージョンにアップグレードできません。

    これは、Citrix Secure AccessクライアントのアップグレードがNetScaler ADCアプライアンスから行われた場合にのみ適用されます。

    [ NSHELP-32793 ]

  • ユーザーがWindows向けCitrix Secure Access画面の[ホームページ]タブをクリックすると、ページに接続拒否エラーが表示されます。

    [ NSHELP-32510 ]

  • Chrome を使用する Mac デバイスで、2 つの FQDN にアクセス中に VPN 拡張機能がクラッシュします。

    [ NSHELP-32144 ]

  • Citrix Secure Accessクライアントのデバッグログ制御は、NetScaler Gateway に依存せず、マシントンネルとユーザートンネルの両方のプラグインUIから有効または無効にできるようになりました。

    [ NSHELP-31357, CGOP-21192 ]

  • Always on が設定されている場合、aoservice.exe ファイルのバージョン番号(1.1.1.1)が正しくないため、ユーザトンネルが失敗します。

    [ NSHELP-30662 ]

  • [NetworkAccessonVPNFailure]プロファイルパラメーターを[フルアクセス]から[OnlyToGateway]に変更すると、ユーザーはNetScaler Gateway アプライアンスに接続できなくなります。

    [ NSHELP-30236 ]

  • ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。この問題を解決するために、次のレジストリ値が導入されます。

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    タイプ: DWORD

    デフォルトでは、このレジストリ値は設定も追加もされません。「SecureChannelResetTimeoutSeconds」の値が0または追加されていない場合、遅延を処理するための修正が機能しません。これはデフォルトの動作です。管理者は、このレジストリをクライアントに設定して修正を有効にする必要があります (つまり、ゲートウェイプラグインが VPN トンネルを正常に確立した直後にホームページを表示する)。

    [ NSHELP-30189 ]

  • Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。

    [ NSHELP-29675 ]

  • macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。

    [ NSHELP-28551 ]

  • クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にNetScaler Gateway からログアウトすることがあります。

    [ NSHELP-28404 ]

  • NetScaler Gateway アプライアンスは、サーバーが開始するUDPトラフィックの処理中にクラッシュすることがあります。

    [ NSHELP-27611 ]

  • 非同期がブロックされ、コンテンツスイッチングポリシーの構成を変更すると、NetScaler Gateway アプライアンスがクラッシュすることがあります。

    [ NSHELP-27570 ]

  • セッションポリシーで不明なVPNクライアントオプションが設定されている場合、NetScaler Gateway アプライアンスがクラッシュすることがあります。

    [ NSHELP-27380 ]

  • NetScaler GUIを使用してRDPクライアントプロファイルを作成しているときに、次の条件が満たされるとエラーメッセージが表示されます。

    • デフォルトの事前共有キー (PSK) が設定されています。
    • [RDP クッキー有効期間 (秒)] フィールドの RDP クッキー有効性タイマーを変更しようとしています。

    [ NSHELP-25694 ]

  • 「show tunnel global」コマンドの出力には、詳細なポリシー名が含まれます。以前は、出力には高度なポリシー名が表示されませんでした。

    例:

    新しい出力:

     > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0

 Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
 Priority: 1  
 Global bindpoint: REQ_DEFAULT

 Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
 Priority: 100  
 Global bindpoint: RES_DEFAULT  
 Done  
 >
 <!--NeedCopy-->

    前の出力:

     > show tunnel global  
 Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

 Advanced Policies:

 Global bindpoint: REQ_DEFAULT  
 Number of bound policies: 1

 Done
 <!--NeedCopy-->

    [ NSHELP-23496 ]

  • スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。

    [ NSHELP-21897 ]

  • 無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight では報告されません。

    [ CGOP-13621 ]

  • Gateway Insight レポートでは、SAML エラーエラーの認証タイプフィールドに「SAML」ではなく「Local」という値が誤って表示されます。

    [ CGOP-13584 ]

  • 高可用性セットアップでは、NetScaler フェイルオーバー中に、NetScaler ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。

    [ CGOP-13511 ]

  • ブラウザからローカルホスト接続を受け付けると、macOS の Accept Connection ダイアログボックスには、選択した言語に関係なく英語でコンテンツが表示されます。

    [ CGOP-13050 ]

  • 一部の言語では、 Citrix SSOアプリ>ホームページの「ホームページ 」というテキストが切り捨てられます。

    [ CGOP-13049 ]

  • NetScaler GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

    [ CGOP-11830 ]

  • Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。

    [ CGOP-7269 ]

負荷分散

  • 高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

    [ NSLB-7679 ]

  • 特定のシナリオでは、サービスグループにバインドされたサーバーが、無効な Cookie 値を表示します。トレースログで正しい Cookie 値を確認できます。

    [ NSHELP-21196 ]

  • クラスター設定では、GSLB仮想サーバーバインディングを介してアクセスすると、GSLBサービスのIPアドレスがGUIに表示されません。これは表示上の問題であり、機能に影響はありません。

    [ NSHELP-20406 ]

その他

  • NetScalerアプライアンスは、Webサーバーのログ機能のバッファーサイズを16MBではなく3MBという誤ったデフォルト値に設定しています。

    [ NSHELP-32429 ]

  • レジストリ値が 2000 バイトを超えると、AlwaysOnAllow リストレジストリが期待どおりに動作しません。

    [ NSHELP-31836 ]

  • 64ビットアーキテクチャと1 TBのファイルストレージを備えたLinuxシステムで実行されているNetScaler CPXインスタンスは、証明書とキーファイルをロードできるようになりました。

    [ NSHELP-28986 ]

ネットワーク

  • NetScaler BLXアプライアンスでは、タグ付きの非dpdkインターフェイスでバインドされたNSVLANが期待どおりに機能しない場合があります。タグ付けされていない非dpdkインタフェースでバインドされたNSVLANは正常に動作します。

    [ NSNET-18586 ]

  • DPDKを搭載したNetScaler BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。

    • 無効化
    • 有効化
    • リセット

    [ NSNET-16559 ]

  • Debian ベースの Linux ホスト (Ubuntu バージョン 18 以降) では、NetScaler BLX アプライアンスは BLX 構成ファイル (「/etc/blx/blx.conf」) の設定に関係なく、常に共有モードでデプロイされます。この問題は、Debian ベースの Linux システムにデフォルトで存在する「mawk」が、「blx.conf」ファイル内にある awk コマンドの一部を実行しないために発生します。

    回避策:NetScaler BLX アプライアンスをインストールする前に「gawk」をインストールしてください。Linux ホスト CLI で次のコマンドを実行して「gawk」をインストールできます。

    • apt-get install gawk

    [ NSNET-14603 ]

  • Debian ベースのLinuxホスト(Ubuntuバージョン18以降)でNetScaler BLXアプライアンスのインストールが失敗し、次の依存関係エラーが表示されることがあります。

    「次のパッケージの依存関係は満たされていません:blx-core-libs: i386: preDepends: libc6: i386 (>= 2.19) しかしインストールできません」

    回避策:NetScaler BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [ NSNET-14602 ]

  • 仮想サーバーを削除すると、次の条件が満たされると、NetScaler ADCアプライアンスは関連するVIP RHIの状態を誤ってDOWNに設定します。

    • 仮想サーバーにはバックアップ仮想サーバーがあります。
    • 仮想サーバは DOWN 状態で、少なくとも 1 つのバックアップ仮想サーバが UP 状態です。

    [ NSHELP-29972 ]

  • 大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にNetScalerアプライアンスがクラッシュすることがあります。

    • LSN モジュールは、参照カウントのデクリメント中、またはサービスを削除している間は、サービスを検索しません。

    [ NSHELP-29134 ]

  • 大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にNetScalerアプライアンスがクラッシュすることがあります。

    • 古いフィルタリングエントリが原因です。

    [ NSHELP-28895 ]

  • 大規模なNAT44展開では、次の理由により、SIPトラフィックの受信中にNetScalerアプライアンスがクラッシュすることがあります。

    • LSN モジュールが、既に削除されたサービスのメモリ位置にアクセスしました。

    [ NSHELP-28815 ]

  • 高可用性設定では、次の条件が満たされた場合、ダイナミックルーティングが有効な SNIP アドレスは再起動時に VTYSH に公開されません。

    • ダイナミックルーティングが有効になっている SNIP アドレスは、デフォルト以外のパーティションの共有 VLAN にバインドされます。

    修正の一環として、NetScalerアプライアンスでは、動的ルーティングが有効なSNIPアドレスをデフォルト以外のパーティションの共有VLANにバインドできなくなりました

    [ NSHELP-24000 ]

プラットフォーム

  • 高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および NetScaler VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。

    1. NetScalerアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
    2. その後、NetScalerアプライアンスを再起動します。

    [ NSPLAT-22013 ]

  • 13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがNetScaler ADCアプライアンスにインストールされません。この問題は、次のNetScaler ADCバージョンで修正されています。

    • 13.1-4.x
    • 13.0-82.31 以降
    • 12.1-62.21 以降

    NetScaler ADC バージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。

    • 任意の 11.1 ビルド
    • 12.1-62.21 およびそれ以前
    • 13.0-81.x およびそれ以前

    [ NSPLAT-21691 ]

  • NetScaler ADC SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、2番目のノードとCLIPでCLAG MACの不一致があります。

    • CLAG はMellanox NIC 上に作成されます。
    • クラスターとCLAGセットアップに別のVPXインスタンスを追加します。

    その結果、VPXインスタンスへのトラフィックが停止します。

    [NSPLAT-21049]

  • NetScaler ADC SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、CLIPテーブルとMACテーブルでMACアドレスの不一致が原因で最初のノードがダウンします。

    • CLAG はMellanox NIC 上に作成されます。
    • クラスタから 2 つ目のノードを削除します。

    [NSPLAT-21042]

  • NetScaler SDX 8015/8400/8600プラットフォームでは、Xenサーバーのメモリ消費量が増加する可能性があります。
    回避策:Xen Serverで次のコマンドを実行し、アプライアンスを再起動します。
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [ NSHELP-32260 ]

  • NetScaler VPX HA フェイルオーバー中に、IP セットを IP アドレスにバインドせずに IPset を構成すると、AWS クラウドでの Elastic IP アドレスの移動が失敗します。

    [ NSHELP-29425 ]

  • RPC ノードのパスワードに特殊文字が含まれていると、GCP および AWS クラウド上の NetScaler VPX インスタンスの高可用性フェイルオーバーが失敗します。

    [ NSHELP-28600 ]

ポリシー

  • 処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

    回避策: TCP バッファサイズを、処理する必要のあるデータの最大サイズに設定します。

    [ NSPOLICY-1267 ]

  • NetScalerアプライアンスでは、NSPEPIツールを使用して従来のポリシーから高度なポリシーに移行されたコンテンツスイッチングポリシーは、次の条件が満たされると機能しない場合があります。

    • ポリシーはコンテンツスイッチ仮想サーバーにバインドされます。
    • 「CaseSensitive」パラメータはオフに設定されています。

    [ NSHELP-31951 ]

SSL

  • 仮想サーバーは、無効なパディングを含む TLS 1.3 レコードを受信すると、「予期しないメッセージ」アラートの代わりに、致命的な「decode_error」アラートを送信します。

    [ NSSSL-11890 ]

  • NetScaler SDX 22000およびNetScaler SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。

    回避方法:

    1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:set ssl vserver <name> -SSL3 DISABLED
    2. 構成を保存します。

    [ NSSSL-9572 ]

  • 認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

    [ NSSSL-6478 ]

  • 同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。NetScalerアプライアンスはエラーを返しません。

    [ NSSSL-6213 ]

  • HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。
    エラー:CRL 更新が無効です

    [ NSSSL-6106 ]

  • セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

    [ NSSSL-4427 ]

  • SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。

    [ NSSSL-4001 ]

システム

  • NetScalerアプライアンスでは、HTTPプロファイルの「maxHeaderFieldLen」パラメーターのデフォルト値によって次の問題が発生します。

    • 13.0ビルドにアップグレードした後のトラフィック障害。

    [ NSHELP-32079 ]

  • NetScaler ADCアプライアンスがTCP FIN制御パケットの後にTCP RESET制御パケットを受信すると、仮想サーバーサービスタイプSSL構成のNetScaler ADCアプライアンスがクラッシュします。

    [NSHELP-31656]

  • 次の条件が満たされると、TCP 接続の RTT が高くなります。

    • 最大輻輳ウィンドウ(> 4 MB)が高く設定されている
    • TCP NILE アルゴリズムは有効になっています

    NetScalerアプライアンスがNILEアルゴリズムを使用して輻輳制御を行うには、条件がスロースタートしきい値を超える必要があります。これは、最大輻輳ウィンドウと組み合わされています。

    そのため、設定された最大輻輳ウィンドウに達するまで、NetScalerは引き続きデータを受け入れ、RTTが高くなります。

    [ NSHELP-31548 ]

  • 次の条件が満たされると、NetScalerアプライアンスがクラッシュすることがあります。

    • 分析プロファイルとAppFlowポリシーの両方がバインドされており、プロファイルでは「HttpAllHDRs」オプションが有効になっています。

    [ NSHELP-30628 ]

  • NetScalerアプライアンスは、サービスSYNフラッドカウンターで誤ったSNMPアラームを報告します。

    [ NSHELP-28710, NSHELP-28713 ]

  • パブリッククラウド MPTCP クラスタの展開では、リンクセットが無効になっていると、パケットの再送信が増加します。

    [ NSHELP-27410 ]

  • NetScalerアプライアンスは、MPTCP接続で、SACKブロック、タイムスタンプ、MPTCPデータACKなどのTCPオプションとともに、無効なTCPパケットを送信することがあります。

    [ NSHELP-27179 ]

  • NetScalerアプライアンスとデータローダーで、Logstreamレコードに不一致が見られます。

    [ NSHELP-25796 ]

  • TCP プロトコルを使用して外部 SYSLOG サーバにログインすると、一部の SYSLOG メッセージがドロップされます。

    [ NSHELP-24522 ]

  • 特定のシナリオでは、IP アドレスベースのフィルタを適用すると、nstrace パケットキャプチャですべてのパケットが失われます。

    [NSHELP-23483]

  • KubernetesクラスタにNetScaler ADMをインストールすると、必要なプロセスが起動しない可能性があるため、期待どおりに動作しません。

    回避策:管理ポッドを再起動します。

    [ NSBASE-15556 ]

  • クラスタ構成では、ネットワークの問題により、CCO 優先度のノードが Open vSwitch (OVS) から切断されます。ノードがクラスタ構成に再参加した後は、最新の SYN Cookie を受信しません。

    [ NSBASE-14419 ]

ユーザーインターフェイス

  • CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。

    回避策: NetScaler GUI または CLI を使用して IPsec プロファイル、IP トンネル、および PBR ルールを追加して、Cloudbridge Connectorを構成します。

    [ NSUI-13024 ]

  • Citrix Web App Firewallのプロファイルを作成し、[ システム] > [レポート] でアプリケーションファイアウォールの構成レポートを生成しようとすると、次のエラーが表示されます。

    「PDF ドキュメントを読み込めませんでした。」

    [ NSHELP-32469 ]

  • NetScaler GUI([システム] > [ネットワーク] > [ルート])を使用して静的ルートを変更すると、次のエラーメッセージが表示されて誤って失敗することがあります。

    • 「必要な引数が見つかりません [ゲートウェイ]」

    [ NSHELP-32024 ]

  • HA/Cluster セットアップでは、RSA 以外の SSH キーを設定すると、設定の同期が失敗します。たとえば、ECDSA キーや DSA キーなどです。

    [ NSHELP-31675 ]

  • NetScalerアプライアンスで、GUIインターフェイスを使用してグローバルまたはデフォルトグローバルをオーバーライドするようにキャッシュポリシーをバインドすると、次のエラーで失敗します。

    • 必須の引数がありません。

    このエラーは、CLI インターフェイスを使用してキャッシュポリシーをバインドしている間は発生しません。

    [ NSHELP-30826 ]

  • アップグレードのインストール順序が正しくないため、NetScalerアプライアンスで次の問題が発生します。

    • カーネルイメージが最初に更新され、数ステップ後に暗号化キーがコピーされます。これらの手順の間に何らかの障害が発生し、ADCアプライアンスが新しいイメージを作成します。新しいイメージに暗号化キーがないと、復号化に失敗し、設定が失われます。

    [ NSHELP-30755 ]

  • NetScaler GUI が、すべてのクラスタノードではなく1つのノードのみのクラスタテクニカルサポートバンドルを誤って生成することがある。

    [ NSHELP-28606 ]

  • NetScaler GUI を使用してクラスターテクニカルサポートバンドルを生成すると、エラーが発生して失敗することがあります。

    [ NSHELP-28586 ]

  • 高可用性セットアップまたはクラスタセットアップをリリース 13.0 ビルド 74.14 以降にアップグレードすると、次の理由で設定の同期が失敗することがあります。

    • 「ssh_host_rsa_key」プライベートキーとパブリックキーの両方が正しくないペアです。

    回避策:「ssh_host_rsa_key」を再生成してください。詳細は、https://support.citrix.com/article/CTX322863を参照してください。

    [ NSHELP-27834 ]

  • NetScaler GUIを使用して、サービスまたはサービスグループを優先負荷分散仮想サーバーにバインドすることはできません。

    [ NSHELP-27252 ]

  • 高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。

    • HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。

    回避策:HA 同期が完了した後にのみ、手動で HA フェイルオーバーを連続して実行してください(両方のノードが同期成功状態になっています)。

    [ NSHELP-25598 ]

  • アプリケーションファイアウォールのシグネチャが CCO 以外のノードと同期するまでに時間がかかることがあります。その結果、これらのファイルを使用するコマンドは失敗する可能性があります。

    [ NSCONFIG-4330 ]

  • あなた(システム管理者)がNetScalerアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたNetScalerアプライアンスにログインできないことがあります。

    1. NetScalerアプライアンスをいずれかのビルドにアップグレードします
      • 13.0 52.24 ビルド
      • 12.1 57.18 ビルド
      • 11.1 65.10 ビルド
    2. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
    3. NetScalerアプライアンスを古いビルドにダウングレードします。

    CLI を使用してこれらのシステムユーザーのリストを表示するには、
    コマンドプロンプトで次のように入力します。

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    回避策:この問題を解決するには、以下のいずれかの独立したオプションを使用してください。

    • NetScalerアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してNetScalerアプライアンスをダウングレードします。
    • アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
    • 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。

    [ NSCONFIG-3188 ]

Citrix ADC 13.0-88.16 リリースのリリースノート
February 15, 2024
寄稿者: 
C
February 15, 2024
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.