ADC

PDFを表示

Citrix ADC 13.0-91.13 ビルドのリリースノート

July 19, 2023

寄稿者:

このリリースノートドキュメントでは、Citrix ADCリリースビルド13.0-91.13に存在する機能強化と変更、修正された問題と既知の問題について説明します。

メモ

このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。
Build 13.0-91.13 以降のビルドは、で説明されているセキュリティの脆弱性に対処します。 https://support.citrix.com/article/CTX561482
ビルド 13.0-91.13 はビルド 13.0-91.12 に取って代わります。

解決された問題

ビルド 13.0-91.13 で対処されている問題。

AppFlow

Citrix ADC インスタンスのメトリックコレクターが断続的に応答を停止します。その結果、メトリックスコレクターが応答を停止しても、1 間隔 (30 秒) の分析データがエクスポートされないことがあります。

[ NSHELP-34048 ]

認証、承認、監査

Citrix ADCがOpenIDプロバイダー（OAuth IdP）として使用され、GSLBがそれを使用して構成されている場合、トークンの検証中に依存パーティ（RP）とのOAuth認証が失敗し、OAuthリレーパーティ（RP）での認証が失敗する可能性があります。

[ NSHELP-33455 ]
OTP シークレットの暗号化または復号化は、複数値の属性では失敗する可能性があります。

[NSHELP-31057]

ボット管理

BOTポリシーが複雑なポリシールールを含むログアクションを使用すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

[ NSHELP-34999 ]

キャッシュ

次の条件が満たされた場合、NetScaler ADCアプライアンスがクラッシュすることがあります。
- アプライアンスは統合キャッシュからコンテンツを提供しています。
- キャッシュされたコンテンツは再検証されます。
- 同じキャッシュされたオブジェクトに対して、別のクライアントから ADC に新しいリクエストが届きます。
[NSHELP-22596]
クラスタ設定で CLIP アドレスを使用してクラスタ設定にアクセスすると、GUI または CLI に表示されるキャッシュグローバルポリシー情報が不完全になります。

[ NSCACHE-521 ]

NetScaler SDXアプライアンス

管理サービスダッシュボードから「コア割り当て」にアクセスしようとすると、Citrix ADC SDXアプライアンスがクラッシュする可能性があります。

[NSHELP-34537、NSCXLCM-8]
VPXインスタンスに割り当てられた非対称暗号ユニット（ACU）と対称暗号ユニット（SCU）がパケットエンジン（PE）コアの倍数でない場合、Citrix ADC SDXアプライアンスが期待どおりに動作しないことがあります。つまり、1000* 個の PE コア数です。

[ NSHELP-34389 ]
管理サービスUIからVPXインスタンスのプロパティのいずれかを編集しているときに、管理サービス（SVM）がクラッシュする可能性があります。

[ NSHELP-34297 ]

Citrix Gateway

アップグレード後、HDX Insightが有効になっていると、Citrix ADCアプライアンスがクラッシュすることがあります。

[ NSHELP-35058 ]
アップグレード後、RDPプロキシ接続を起動すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

[ NSHELP-33420 ]
VPN セッションアクションを再設定すると、VPN セッションアクションの Always On プロファイルは設定解除されます。

[ NSHELP-33396 ]
NetScaler Gateway の高可用性設定では、フェイルオーバー中にプライマリアプライアンスとセカンダリアプライアンスがクラッシュする可能性があります。

[NSHELP-33198、NSHELP-33483]
アップグレード後、最初のHA同期中にCitrix ADCアプライアンスがクラッシュする可能性があります。

[ NSHELP-32957 ]
GUIまたはCLIを使用して構成をクリアすると、セキュア・トークン・オーソリティ（STA）関連のエンティティがクリアされるとCitrix ADCアプライアンスがクラッシュする可能性があります。

[ CGOP-23152 ]

Citrix Web App Firewall

Citrix Web App Firewallは、ペイロードに特定の特殊文字が繰り返されている場合、「無効なRFC」というエラーを含む有効なJSONリクエストをブロックします。

[NSHELP-3427、NSWAF-9799]
Web App Firewallの署名ルールに次のオブジェクトのいずれかが含まれている場合、HAの展開中にCitrix ADCアプライアンスがクラッシュする可能性があります。
- Patsets
- データセット
- 文字列マップ
- 名前付き表現
[ NSHELP-34338 ]
緩和ルールをエクスポートすると、ダウンロードに時間がかかり、ファイルが完全にダウンロードされません。この問題は、ファイルサイズが 5 MB を超える場合に発生します。

[ NSHELP-34044 ]
Citrix Web App Firewallでは、ストリーミングとフィールドの一貫性チェックを有効にすると、ペイロードのオリジンサーバーへの転送が遅れます。その結果、ペイロードの POST メソッドは失敗します。

[NSHELP-3700]
Cookie ハイジャックリダイレクトは、リクエスト URL からクエリパラメータを削除します。その結果、リダイレクトされたリクエストが失敗する可能性があります。

[NSHELP-3633、NSCXLCM-307]
ボットデバイスの指紋認証セッションリプレイ攻撃は、ドロップされるのではなくログに記録されます。

[NSHELP-31949]

負荷分散

まれに、nsmap がクラッシュすることがあります。その結果、位置情報データベースを使用する一部のCitrix ADCアプライアンスが意図したとおりに機能しない場合があります。

[ NSHELP-33840 ]
NetScaler ADCアプライアンスに未解決のWIHOME構成が存在する場合、ワイルドカード仮想サービスの作成は失敗します。

[NSHELP-25627]

その他

[セキュリティ] > [認証、承認、監査-アプリケーショントラフィック] > [ポリシー] > [セッションポリシーとプロファイル] > [セッションプロファイル] ページでセッションプロファイルを編集すると、セッションプロファイルの作成時にオフに設定されていた場合でも、[Web アプリケーションへのシングルサインオン] オプションがオンに設定されます。

[NSHELP-3067]

ネットワーク

PMTUが有効になっているレイヤー3モードでは、Citrix ADCアプライアンスは、ESPトラフィックの「フラグメンテーションが必要だがDFビットが設定されている」とマークされたICMPパケットを転送する代わりにドロップします。

[NSHELP-34318]
次の条件をすべて満たすと、NetScaler ADCアプライアンスがクラッシュする可能性があります。
- TTL ベースの ACL がタイムアウト
- NetScaler ADCアプライアンスには多数のACLが設定されています。
[ NSHELP-31307 ]
GSLB サイトの IP アドレスのいずれかが管理パーティションに設定されている GSLB セットアップでは、アップストリームルーターからの GSLB サイト IP アドレスに対する ARP 要求は管理パーティションに到達しません。この問題は、次の条件がすべて満たされた場合に発生します。
- 共有 VLAN は admin パーティションにバインドされます。
- 共有VLANには、GSLBサイトのIPアドレスと同じサブネットのSNIP IPアドレス、たとえばSNIP-1が存在します。
- GSLBサイトのIPアドレスと同じサブネットにある別のSNIP IPアドレス、たとえばSNIP-2が追加され、SNIP-1が削除されます。
[NSHELP-3052]

プラットフォーム

メンバーインターフェイスが設定されていないLAチャネルにVRIDがバインドされている場合、Citrix ADCアプライアンスはクラッシュします。

[NSPLAT-26707]
BMC ファームウェアバージョン 4.08 を実行している SDX アプライアンスで、13.0 ビルド 84.X から 1 つのバンドルアップグレードを実行すると、システム起動中に Lightout Management（LOM）ファームウェアの 4.14 へのアップグレードが断続的に停止し、30 分後にタイムアウトすることがあります。

[NSPLAT-26148]
ESX vSphere クライアントの OVF テンプレートにプレブートユーザーデータを提供すると、ESXi ホストはプレブート構成を適用しません。

[NSPLAT-24233、NSPLAT-25551]
Citrix ADC SDXアプライアンスでは、SDXアプライアンスにトラフィックのバーストを処理するのに十分なスループットがある場合でも、VPXインスタンスはバーストモードの一部として設定された最小スループット値で動作する場合があります。

[NSHELP-33875、NSHELP-34667]
Citrix ADC SDXアプライアンスをシャットダウンしようとすると、アプライアンスは最初の試行でシャットダウンする代わりに再起動します。この現象は、アプライアンスがシャットダウンしようとしているときにコアダンプを生成した場合に発生する可能性があります。

[NSHELP-33276、NSHELP-33192]
10Gインターフェイスを備えたNetScaler SDXアプライアンスでは、このインターフェイスで大量のトラフィックが送信されると、送信が停止することがあります。

[NSHELP-31232]

SSL

Citrix ADC GUIは、クラスタIP（CLIP）アドレスを使用してアクセスした場合、SSLサービス、サービスグループ、および内部サービスへのサーバー証明書バインディングを表示しません。

[ NSSSL-12191 ]

システム

Citrix ADCアプライアンスによって圧縮されたHTTP応答は、Content-Length HTTP応答ヘッダーフィールドの値に先頭にスペース文字が追加されるため、一部のHTTP (S) クライアントで障害が発生する可能性があります。

[ NSHELP-34660 ]
すべてのHTTPヘッダーを記録するように構成されたCitrix ADCアプライアンスは、20を超える長いヘッダーを含むHTTP要求または応答を受信するとクラッシュします。

[ NSHELP-34145 ]
Citrix ADCアプライアンスのSYSLOG監査モジュールは、アプライアンスを13.0-88.16ビルドよりも後のビルドにアップグレードすると、クラッシュして複数のコアファイルをダンプすることがあります。

[NSHELP-3505]
Citrix ADCアプライアンスは、AppQoE構成にretryOnTimeoutパラメータが設定されている場合、バックエンドサーバーから1xx HTTP応答（たとえば、「続行」100）を受信するとクラッシュする可能性があります。

[NSHELP-3438]

ユーザーインターフェイス

Citrix ADC GUIを使用すると、HTTPプロファイルの代替サービスを構成できない場合があります。

[ NSHELP-34304 ]
システムグローバル設定の一部として Allow Default Partition オプションが有効になっていても、管理者パーティションのセットにバインドされたシステムユーザーアカウントは NITRO API を介してデフォルトパーティションにアクセスできない場合があります。

[NSHELP-3990]
Citrix ADC GUIで、特定のタイプのSNMPトラップの編集ボタンをクリックすると、特定のタイプのSNMPトラップの代わりに汎用タイプのSNMPトラップの詳細が表示されます。

[ NSHELP-33520 ]

既知の問題

リリース13.0-91.13に存在する問題。

認証、承認、監査

OAuth認証ポリシーで構成されたCitrix ADCは、楕円曲線証明書がVPNにグローバルにバインドされるとクラッシュすることがあります。

[NSHELP-34795]
認証仮想サーバーをデフォルト以外のパーティションで使用すると、NetScalerアプライアンスがクラッシュする可能性があります。

[NSHELP-32054、NSCXLCM-640]
SSO の処理に必要なベアラートークンがないトラフィックで SSO が有効になっていると、シングルサインオン (SSO) が失敗します。

[NSHELP-31362、NSCXLCM-533]
LDAP アクションが IP アドレスではなく FQDN に設定されている場合、非 ASCII 文字が nsvpn.log に記録されます。

[ NSHELP-27281 ]
特定のシナリオでは、ポリシー名がイントラネットアプリケーション名よりも長い場合、[認証、承認、および監査グループのバインド] コマンドが失敗することがあります。

[ NSHELP-25971 ]
NetScalerアプライアンスは、NOAUTHが401ベースの認証フローの最初の要素として構成され、後続の要素としてネゴシエートが構成されている場合にコアをダンプします。

[ NSHELP-25203 ]
LDAP、RADIUS、またはTACACSサービスの管理者パスワードに二重引用符（”）文字が含まれている場合、NetScalerアプライアンスは「接続テスト」チェック中に二重引用符（”）文字を削除し、接続に失敗します。

[ NSHELP-23630 ]
Citrix ADC は、次の条件が満たされるとクラッシュします。
- 401ベースの証明書認証は、負荷分散仮想サーバーを介して行われます。
- 認証仮想サーバーにバインドされた認証ポリシーはありません。
- デバッグログは有効になっています。
[NSAUTH-13259]
管理者は、認証情報が無効であることが原因で発生した認証エラーのカスタムロギングを実行できません。この問題は、NetScaler レスポンダーポリシーがログイン失敗のエラーを検出できないために発生します。

[ NSAUTH-11151 ]
ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
show adfsproxyprofile <profile name>

回避策：クラスター内のプライマリアクティブNetScalerに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

[ NSAUTH-5916 ]

NetScaler SDXアプライアンス

NetScaler SDXアプライアンスをアップグレードすると、まれに管理サービスGUIに次の誤ったイベントが表示されることがあります。

「SVM バージョンとハイパーバイザーバージョンには互換性がありません」

[ NSHELP-32949 ]
NetScaler SDX GUIで、NTP構成ファイル（ntp.conf）のいずれかの行にスペースしか含まれていない場合、NTPサーバーを表示するとユーザーインターフェイスがフリーズする可能性があります。

[ NSHELP-31530 ]

Citrix Gateway

アップグレード後、iOS向けCitrix SSOクライアントデバイスはアプリごとのVPN接続を確立できません。

[NSHELP-3524]
Citrix Secure Accessクライアントでスプリットトンネルがオフに設定されていると、なりすましIPアドレス範囲と重複するイントラネットリソースにアクセスできません。

[NSHELP-3434]
ゲートウェイサーバーにアクセスできるため、常時接続の VPN 接続が起動時に断続的に失敗します。

[NSHELP-3500]
Citrix Secure Access関連のレジストリ値が1500文字を超える場合、ログコレクターはエラーログを収集できません。

[ NSHELP-33457 ]
Citrix Secure Accessクライアントのバージョン21.7.1.2以降では、管理者権限のないユーザーが新しいバージョンにアップグレードできません。この問題は、Citrix Secure AccessクライアントのアップグレードがNetScalerアプライアンスから行われた場合にのみ発生します。

[ NSHELP-32793 ]
ユーザーがWindows向けCitrix Secure Access画面の［ホームページ］タブをクリックすると、ページに接続拒否エラーが表示されます。

[ NSHELP-32510 ]
Chrome を使用する Mac デバイスで、2 つの FQDN にアクセス中に VPN 拡張機能がクラッシュします。

[ NSHELP-32144 ]
ユーザーが Always-On サービスモードで Windows マシンにログインすると、Windows 自動ログオンが機能しないことがあります。マシントンネルはユーザートンネルに遷移しません。「Connecting…」というメッセージが VPN プラグイン UI に表示されます。

[NSHELP-31357、CGOP-21192、NSCXLCM-612]
Always on が設定されている場合、aoservice.exe ファイルのバージョン番号（1.1.1.1）が正しくないため、ユーザトンネルが失敗します。

[ NSHELP-30662 ]
［NetworkAccessonVPNFailure］プロファイルパラメーターを［フルアクセス］から［OnlyToGateway］に変更すると、ユーザーはNetScaler Gateway アプライアンスに接続できなくなります。

[ NSHELP-30236 ]
ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。この問題を解決するために、次のレジストリ値が導入されます。

HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
タイプ: DWORD

デフォルトでは、このレジストリ値は設定も追加もされません。「SecureChannelResetTimeoutSeconds」の値が0または追加されていない場合、遅延を処理するための修正が機能しません。これはデフォルトの動作です。管理者は、このレジストリをクライアントに設定して修正を有効にする必要があります (つまり、ゲートウェイプラグインが VPN トンネルを正常に確立した直後にホームページを表示する)。

[ NSHELP-30189 ]
Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。

[ NSHELP-29675 ]
macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。

[ NSHELP-28551 ]
クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にNetScaler Gateway からログアウトすることがあります。

[ NSHELP-28404 ]
非同期がブロックされ、コンテンツスイッチングポリシーの構成を変更すると、NetScaler Gateway アプライアンスがクラッシュすることがあります。

[ NSHELP-27570 ]
セッションポリシーで不明なVPNクライアントオプションが設定されている場合、NetScaler Gateway アプライアンスがクラッシュすることがあります。

[ NSHELP-27380 ]
NetScaler GUIを使用してRDPクライアントプロファイルを作成しているときに、次の条件が満たされるとエラーメッセージが表示されます。
- デフォルトの事前共有キー (PSK) が設定されています。
- [RDP クッキー有効期間 (秒)] フィールドの RDP クッキー有効性タイマーを変更しようとしています。
[ NSHELP-25694 ]
「show tunnel global」コマンドの出力には、詳細なポリシー名が含まれます。以前は、出力には高度なポリシー名が表示されませんでした。

例：

新しい出力:

show tunnel global
Policy Name: ns_tunnel_nocmp Priority: 0

ポリシー名:ns_adv_tunnel_nocmp タイプ:
詳細ポリシー優先度:1
グローバルバインドポイント:REQ_DEFAULT

ポリシー名:ns_adv_tunnel_msdocs タイプ:
詳細ポリシー優先度:100
グローバルバインドポイント:RES_DEFAULT
完了

前の出力:

トンネルグローバル表示ポリシー名:ns_tunnel_nocmp 優先度:0 無効

高度なポリシー:

グローバルバインドポイント:REQ_DEFAULT
バインドされたポリシーの数:1

Done

[ NSHELP-23496 ]
スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。

[ NSHELP-21897 ]
NetScalerクラスター設定では、HDX InsightとGateway Insightを同時に有効にすることはできません。

[CGOP-23570]
Windows OSオプションは、NetScaler GUIの事前認証ポリシーと認証アクションの「エクスプレッションエディタ」ドロップダウンリストに表示されません。ただし、GUIまたはCLIを使用して以前のNetScalerビルドでWindows OSスキャンをすでに構成している場合は、アップグレードしても機能に影響はありません。必要に応じて CLI を使用して変更できます。

回避方法：

設定には CLI コマンドを使用します。
- nFactor 認証で高度な EPA アクションを設定するには、次のコマンドを使用します。
  add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
- 従来の事前認証アクションを設定するには、次のコマンドを使用します。
  add aaa preauthenticationaction win_scan_action ALLOW
  add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action
[ CGOP-22966 ]
高可用性セットアップでは、NetScaler フェイルオーバー中に、NetScaler ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。

[ CGOP-13511 ]
ブラウザからローカルホスト接続を受け付けると、macOS の Accept Connection ダイアログボックスには、選択した言語に関係なく英語でコンテンツが表示されます。

[ CGOP-13050 ]
一部の言語では、 Citrix SSOアプリ>ホームページの「ホームページ」というテキストが切り捨てられます。

[ CGOP-13049 ]
NetScaler GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

[ CGOP-11830 ]
Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。

[ CGOP-7269 ]

負荷分散

高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

[ NSLB-7679 ]
8 ノード以上のクラスタ構成では、レート制限識別機能が意図したとおりに動作しない場合があります。

[NSHELP-345]
次の一連の条件が満たされた後にドメイン名ベースのサービス（DBS）を参照すると、Citrix ADCがクラッシュすることがあります。
1. ロケーションエントリは、DBS ドメイン名の解決先となる IP アドレスに設定されます。
2. DBS ドメイン名が削除され、ネームサーバーから NXDOMAIN 応答が返されます。
3. ロケーションエントリが削除されます。
[NSHELP-35370]
高可用性設定では、複数の仮想サーバーにバインドされているサービスグループを削除すると、Citrix ADCアプライアンスがクラッシュします。

[NSHELP-34029]
接続ミラーリング中に、書き換えポリシーが30バイトを超えると、NetScalerアプライアンスがクラッシュします。

[NSHELP-32902]
NetScalerアプライアンスは、サーバー数の計算が間違っているため、サーバー接続が高い場合に誤ったSNMPアラートをトリガーします。

[NSHELP-31582]
GSLB 設定では、SSL 証明書が下位サイトに見当たりません。この問題は、自動同期オプションが有効になっていて、下位サイトにマスターサイトでは使用できない SSL 証明書がある場合に発生します。

[NSHELP-29309]
特定のシナリオでは、サービスグループにバインドされたサーバーが、無効な Cookie 値を表示します。トレースログで正しい Cookie 値を確認できます。

[ NSHELP-21196 ]
クラスター設定では、GSLB仮想サーバーバインディングを介してアクセスすると、GSLBサービスのIPアドレスがGUIに表示されません。これは表示上の問題であり、機能に影響はありません。

[ NSHELP-20406 ]

その他

NetScaler ADCアプライアンスで「ns_hw_err.bash」スクリプトを実行すると、次のエラーメッセージが表示されます。
「エラー：ファイル ‘ns_hw_plugins.py’ を開けません:[Errno 2] そのようなファイルまたはディレクトリはありません」

[NSHELP-2991]
NetScalerアプライアンスは、Webサーバーのログ機能のバッファーサイズを16MBではなく3MBという誤ったデフォルト値に設定しています。

[ NSHELP-32429 ]
レジストリ値が 2000 バイトを超えると、AlwaysOnAllow リストレジストリが期待どおりに動作しません。

[ NSHELP-31836 ]
64ビットアーキテクチャと1 TBのファイルストレージを備えたLinuxシステムで実行されているNetScaler CPXインスタンスは、証明書とキーファイルをロードできるようになりました。

[ NSHELP-28986 ]
Citrix Gateway は、承認されたアクセス要求をSSO障害としてCitrix ADC ADM に報告します。その結果、Citrix ADC ADM UIの[Gateway] > [Gateway Insight ] ページに、誤ったSSO障害レポートが表示され、誤ったアラームが発生します。

[NSHELP-2792]

ネットワーク

NetScaler BLXアプライアンスでは、タグ付きの非dpdkインターフェイスでバインドされたNSVLANが期待どおりに機能しない場合があります。タグ付けされていない非dpdkインタフェースでバインドされたNSVLANは正常に動作します。

[ NSNET-18586 ]
DPDKを搭載したNetScaler BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。
- 無効化
- 有効化
- リセット
[ NSNET-16559 ]
Debian ベースの Linux ホスト (Ubuntu バージョン 18 以降) では、NetScaler BLX アプライアンスは BLX 構成ファイル (「/etc/blx/blx.conf」) の設定に関係なく、常に共有モードでデプロイされます。この問題は、Debian ベースの Linux システムにデフォルトで存在する「mawk」が、「blx.conf」ファイル内にある awk コマンドの一部を実行しないために発生します。

回避策：NetScaler BLX アプライアンスをインストールする前に「gawk」をインストールしてください。Linux ホスト CLI で次のコマンドを実行して「gawk」をインストールできます。
- apt-get install gawk
[ NSNET-14603 ]
Debian ベースのLinuxホスト（Ubuntuバージョン18以降）でNetScaler BLXアプライアンスのインストールが失敗し、次の依存関係エラーが表示されることがあります。

「次のパッケージの依存関係は満たされていません:blx-core-libs: i386: preDepends: libc6: i386 (>= 2.19) しかしインストールできません」

回避策：NetScaler BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。
- dpkg –add-architecture i386
- apt-get update
- apt-get install libc6:i386
[ NSNET-14602 ]
大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にNetScalerアプライアンスがクラッシュすることがあります。
- LSN モジュールは、参照カウントのデクリメント中、またはサービスを削除している間は、サービスを検索しません。
[ NSHELP-29134 ]
大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にNetScalerアプライアンスがクラッシュすることがあります。
- 古いフィルタリングエントリが原因です。
[ NSHELP-28895 ]
大規模なNAT44展開では、次の理由により、SIPトラフィックの受信中にNetScalerアプライアンスがクラッシュすることがあります。
- LSN モジュールが、既に削除されたサービスのメモリ位置にアクセスしました。
[ NSHELP-28815 ]
NetScalerアプライアンスは、コールドリスタート後に「ColdStart」SNMPトラップメッセージを生成しない場合があります。

[ NSHELP-27917 ]
高可用性設定では、次の条件が満たされた場合、ダイナミックルーティングが有効な SNIP アドレスは再起動時に VTYSH に公開されません。
- ダイナミックルーティングが有効になっている SNIP アドレスは、デフォルト以外のパーティションの共有 VLAN にバインドされます。
修正の一環として、NetScalerアプライアンスでは、動的ルーティングが有効なSNIPアドレスをデフォルト以外のパーティションの共有VLANにバインドできなくなりました

[ NSHELP-24000 ]

プラットフォーム

高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および NetScaler VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。
1. NetScalerアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
2. その後、NetScalerアプライアンスを再起動します。
[NSPLAT-22013、NSCXLCM-544]
NetScalerアプライアンスを13.1-4.xバージョン以降のバージョンから次のバージョンのいずれかにダウングレードすると、一部のpythonパッケージがインストールされません。
- 任意の 11.1 ビルド
- 12.1-62.21 およびそれ以前
- 13.0-81.x およびそれ以前
[ NSPLAT-21691 ]
NetScaler SDX 8015/8400/8600プラットフォームでは、Xenサーバーのメモリ消費量が増加する可能性があります。
回避策：Xen Serverで次のコマンドを実行し、アプライアンスを再起動します。
/opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

[ NSHELP-32260 ]
NetScaler VPX HA フェイルオーバー中に、IP セットを IP アドレスにバインドせずに IPset を構成すると、AWS クラウドでの Elastic IP アドレスの移動が失敗します。

[ NSHELP-29425 ]
RPC ノードのパスワードに特殊文字が含まれていると、GCP および AWS クラウド上の NetScaler VPX インスタンスの高可用性フェイルオーバーが失敗します。

[ NSHELP-28600 ]

ポリシー

NetScaler ADC GUIでは、 AppExpert> リライト > アクションで［ビルトインリライトアクションを表示］をクリックした場合にのみリライトアクションが表示されます。

[NSPOLICY-4843]
処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

回避策: TCP バッファサイズを、処理する必要のあるデータの最大サイズに設定します。

[ NSPOLICY-1267 ]
HA セットアップでは、ALL オプションと空の置換文字列を設定すると、REGEX_REPLACE 式がループに陥り、フェイルオーバーが発生する可能性があります。

[NSHELP-34640]

SSL

仮想サーバーは、無効なパディングを含む TLS 1.3 レコードを受信すると、「予期しないメッセージ」アラートの代わりに、致命的な「decode_error」アラートを送信します。

[ NSSSL-11890 ]
NetScaler SDX 22000およびNetScaler SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。

回避方法：
1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例：set ssl vserver <name> -SSL3 DISABLED。
2. 構成を保存します。
[ NSSSL-9572 ]
認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

[ NSSSL-6478 ]
同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。NetScalerアプライアンスはエラーを返しません。

[ NSSSL-6213 ]
HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。
エラー:CRL 更新が無効です

[ NSSSL-6106 ]
セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

[ NSSSL-4427 ]
SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。

[ NSSSL-4001 ]
ハイブリッドモードで動作するCitrix ADC MPX/SDX 14000 FIPSでは、ブライヘンバッハー攻撃のシナリオに直面する可能性があります。

[NSHELP-35020]
Intel ColetoまたはIntel Lewisburgチップを搭載したCitrix ADCアプライアンスは、ピアサーバーが最初にネゴシエートした暗号とは異なる暗号をネゴシエートすると、バックエンドの再ネゴシエーションフェーズ中にクラッシュする可能性があります。

[NSHELP-3424]
キー交換中にDH 512暗号を使用すると、Intel ColetoまたはIntel Lewisburgチップを搭載したCitrix ADCアプライアンスがクラッシュする可能性があります。

[NSHELP-34094]

システム

次の条件が満たされると、TCP 接続の RTT が高くなります。
- 最大輻輳ウィンドウ（> 4 MB）が高く設定されている
- TCP NILE アルゴリズムは有効になっています
NetScalerアプライアンスがNILEアルゴリズムを使用して輻輳制御を行うには、条件がスロースタートしきい値を超える必要があります。これは、最大輻輳ウィンドウと組み合わされています。

そのため、設定された最大輻輳ウィンドウに達するまで、NetScalerは引き続きデータを受け入れ、RTTが高くなります。

[ NSHELP-31548 ]
次の条件が満たされると、NetScalerアプライアンスがクラッシュすることがあります。
- 分析プロファイルとAppFlowポリシーの両方がバインドされており、プロファイルでは「HttpAllHDRs」オプションが有効になっています。
[ NSHELP-30628 ]
NetScalerアプライアンスは、サービスSYNフラッドカウンターで誤ったSNMPアラームを報告します。

[ NSHELP-28710, NSHELP-28713 ]
パブリッククラウド MPTCP クラスタの展開では、リンクセットが無効になっていると、パケットの再送信が増加します。

[ NSHELP-27410 ]
NetScalerアプライアンスは、MPTCP接続で、SACKブロック、タイムスタンプ、MPTCPデータACKなどのTCPオプションとともに、無効なTCPパケットを送信することがあります。

[ NSHELP-27179 ]
NetScalerアプライアンスとデータローダーで、Logstreamレコードに不一致が見られます。

[ NSHELP-25796 ]
KubernetesクラスタにNetScaler ADMをインストールすると、必要なプロセスが起動しない可能性があるため、期待どおりに動作しません。

回避策:管理ポッドを再起動します。

[ NSBASE-15556 ]
クラスタ構成では、ネットワークの問題により、CCO 優先度のノードが Open vSwitch (OVS) から切断されます。ノードがクラスタ構成に再参加した後は、最新の SYN Cookie を受信しません。

[ NSBASE-14419 ]

ユーザーインターフェイス

CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。

回避策： NetScaler GUI または CLI を使用して IPsec プロファイル、IP トンネル、および PBR ルールを追加して、Cloudbridge Connectorを構成します。

[ NSUI-13024 ]
HTTPD デーモンは、NITRO API バルクバインディングの HTTP GET リクエストの処理中に例外が発生するとクラッシュする可能性があります。

[NSHELP-3439]
NetScaler GUI（[システム] > [ネットワーク] > [ルート]）を使用して静的ルートを変更すると、次のエラーメッセージが表示されて誤って失敗することがあります。
- 「必要な引数が見つかりません [ゲートウェイ]」
[ NSHELP-32024 ]
HA/Cluster セットアップでは、RSA 以外の SSH キーを設定すると、設定の同期が失敗します。たとえば、ECDSA キーや DSA キーなどです。

[ NSHELP-31675 ]
NetScalerアプライアンスで、GUIインターフェイスを使用してグローバルまたはデフォルトグローバルをオーバーライドするようにキャッシュポリシーをバインドすると、次のエラーで失敗します。
- 必須の引数がありません。
このエラーは、CLI インターフェイスを使用してキャッシュポリシーをバインドしている間は発生しません。

[ NSHELP-30826 ]
アップグレードのインストール順序が正しくないため、NetScalerアプライアンスで次の問題が発生します。
- カーネルイメージが最初に更新され、数ステップ後に暗号化キーがコピーされます。これらの手順の間に何らかの障害が発生し、ADCアプライアンスが新しいイメージを作成します。新しいイメージに暗号化キーがないと、復号化に失敗し、設定が失われます。
[ NSHELP-30755 ]
NetScaler GUI が、すべてのクラスタノードではなく1つのノードのみのクラスタテクニカルサポートバンドルを誤って生成することがある。

[ NSHELP-28606 ]
NetScaler GUI を使用してクラスターテクニカルサポートバンドルを生成すると、エラーが発生して失敗することがあります。

[ NSHELP-28586 ]
高可用性セットアップまたはクラスタセットアップをリリース 13.0 ビルド 74.14 以降にアップグレードすると、次の理由で設定の同期が失敗することがあります。
- 「ssh_host_rsa_key」プライベートキーとパブリックキーの両方が正しくないペアです。
回避策:「ssh_host_rsa_key」を再生成してください。詳細は、https://support.citrix.com/article/CTX322863を参照してください。

[ NSHELP-27834 ]
NetScaler GUIを使用して、サービスまたはサービスグループを優先負荷分散仮想サーバーにバインドすることはできません。

[ NSHELP-27252 ]
コンテンツスイッチポリシーラベルにバインドされたポリシーをNetScaler GUIで表示すると、そのポリシーラベルにバインドされたポリシーが他にもあっても、25個のポリシーしか表示されません。

[NSHELP-23428]
アプリケーションファイアウォールのシグネチャが CCO 以外のノードと同期するまでに時間がかかることがあります。その結果、これらのファイルを使用するコマンドは失敗する可能性があります。

[ NSCONFIG-4330 ]
あなた（システム管理者）がNetScalerアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたNetScalerアプライアンスにログインできないことがあります。
1. NetScalerアプライアンスをいずれかのビルドにアップグレードします
  - 13.0 52.24 ビルド
  - 12.1 57.18 ビルド
  - 11.1 65.10 ビルド
2. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
3. NetScalerアプライアンスを古いビルドにダウングレードします。
CLI を使用してこれらのシステムユーザーのリストを表示するには、
コマンドプロンプトで次のように入力します。

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

回避策:この問題を解決するには、以下のいずれかの独立したオプションを使用してください。
- NetScalerアプライアンスがまだダウングレードされていない場合（上記の手順のステップ3）、同じリリースビルドの以前にバックアップされた構成ファイル（ns.conf）を使用してNetScalerアプライアンスをダウングレードします。
- アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
- 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。
詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。

[ NSCONFIG-3188 ]

このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。

この情報は役に立ちましたか?

Citrix ADC 13.0-91.13 ビルドのリリースノート

July 19, 2023

寄稿者:

July 19, 2023

寄稿者:

この情報は役に立ちましたか?