製品ドキュメント
ADC
14.1 - Current Release 13.1 13.0 12.1
PDFを表示

Citrix ADC 13.0-92.21 ビルドのリリースノート

February 15, 2024
寄稿者: 
C

このリリースノートドキュメントでは、Citrix ADCリリースBuild 13.0-92.21に存在する機能強化と変更、修正された問題と既知の問題について説明します。

メモ

  • このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。
  • ビルド 13.0-92.21 以降のビルドは、https://support.citrix.com/article/CTX584986で説明されているセキュリティの脆弱性に対処します。
  • ビルド 13.0-92.21 が 13.0-92.19 に取って代わります。
  • このビルドには、以前のCitrix ADC 13.0リリースビルドにあった機能強化と修正された問題に加えて、NSBASE-18564という1つの拡張機能が含まれています。
  • ビルド 13.0-92.19 以降のビルドは、https://support.citrix.com/article/CTX579459で説明されているセキュリティの脆弱性に対処します。
  • ビルド 13.0-92.19 はビルド 13.0-92.18 に取って代わります。

新機能

ビルド 13.0-92.21 で利用できる機能強化と変更点。

NetScaler Secure Web Gateway

  • URL フィルタリング機能の URL 分類の廃止

    URL フィルタリング機能の URL 分類は、このリリースでは廃止されました。

    :廃止された機能はすぐには削除されません。Citrix ADCは、将来のリリースで削除されるまで、廃止された機能を引き続き使用します。

    [ NSSWG-1370 ]

システム

  • 1 分間に接続で受信する HTTP/2 RESET フレームの数を制限する

    HTTP/2 接続で 1 分間に受信する HTTP/2 RESET フレームの数を制限できるようになりました。RESETフレームの数が設定された制限を超えると、Citrix ADCはその接続のパケットをサイレントにドロップします。

    この拡張機能により、攻撃者が複数の HTTP/2 ストリームを開き、RESET STREAM フレームを送信してこれらのストリームをすぐにキャンセルした場合の HTTP/2 DoS 攻撃を軽減できます。

    詳細については、「 HTTP/2 DoS緩和策」を参照してください。

    [NSBASE-18564]

ユーザーインターフェイス

  • 署名ビューのフィルター基準の表示ページの CVE フィルターカテゴリ

    CVE は、 **署名ビューページの表示フィルター基準リストにカテゴリの** 1 つとして追加されます。CVE をフィルターオプションとして使用すると、右側の「 フィルター結果 」ウィンドウにログ関連の詳細のみが表示されます。

    詳細については、「 シグニチャオブジェクトの設定または変更」を参照してください。

    [NSUI-18512、NSCXLCM-616]

  • 内部サービスのTLS 1.2設定に基づく安全なRPC通信

    Citrix ADCアプライアンスを次のいずれかのビルドからリリース13.1ビルド33.x以降またはリリース13.0ビルド92.x以降にアップグレードすると、内部RPCSおよびKRPCSサービスにあるTLS 1.2設定(有効または無効)に基づいて、RPCノードの「セキュア」オプションが有効または無効になります。

    • リリース13.0ビルド64.35以前
    • リリース 12.1 ビルド 61.18 またはそれ以前

    「セキュア」オプションが有効になっている場合、RPC通信は次の設定のNetScaler ADC ノード間で暗号化されます。

    • 高可用性
    • クラスター
    • GSLBか

    「セキュア」オプションでは、NetScaler ADCノード間のRPC接続にセキュアプロトコルTLS1.2とポート番号3008および3009を使用します。

    安全なRPC通信を確保するために、Citrixではこれらのセットアップをアップグレードする前に次の操作を実行することをお勧めします。

    • 内部 RPCS および KRPCS サービスでは TLS 1.2 を有効にする必要があります。
      • nsrpcs-127.0.0.1-3008
      • nskrpcs-127.0.0.1-3009
      • nsrpcs-: 1l-3008
    • 3008と3009は、NetScaler ADCノード間のファイアウォールでブロック解除する必要があります。

    NetScaler ADC CLIまたはGUIを使用して、セキュアオプションを有効または無効にできます。

    詳細については、「 RPC ノードパスワードの変更」を参照してください。

    [NSCONFIG-6485]

解決された問題

ビルド 13.0-92.21 で対処されている問題。

分析インフラストラクチャ

  • 次の条件がすべて満たされると、Citrix ADCがクラッシュする可能性があります。

    • イベント、監査ログ、またはメトリックは、分析プロファイルまたはAppFlowパラメータで有効になっています。
    • 応答側の書き換えポリシーが設定されます。

    [ NSHELP-35550 ]

  • ネットプロファイルがデフォルト以外のトラフィックドメインで設定され、AppFlow設定で使用されると、システムポートが使い果たされ、トラフィックが影響を受けます。

    [ NSHELP-34544 ]

  • 多要素認証が設定されたCitrix ADCは、ポリシー評価中にクラッシュします。

    [ NSHELP-33674 ]

  • 管理パーティションにrestタイプのAppFlowコレクターが設定されている場合、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-33600 ]

  • show syslogActionコマンドは、次の条件の両方が満たされると、出力に未解決の IP アドレスを表示します。

    • トランスポートモード UDP でドメイン名を指定した SYSLOG アクションが使用されます。
    • ICMP はサーバ上で無効になっています。

    この問題は、サーバに ICMP 経由でアクセスできないため、ping のデフォルトモニタがサービスを DOWN とマークするために発生します。そのため、IP アドレスは解決されても出力には表示されません。

    [ NSHELP-32886, NSHELP-33392 ]

  • ns.log このファイルは、監査ログレベルが「なし」に設定されていて、設定されたファイルサイズ制限を超えている場合でも、デバッグログを生成します。この問題は、詳細ポリシーが不要であってもローカルロギングにバインドされていることが原因で発生します。

    [ NSHELP-32404, NSCXLCM-1374, NSCXLCM-1551, NSCXLCM-1708 ]

  • クラスター環境では、syslogポリシーがlb仮想サーバーにバインドされていると、Citrix ADCでnsppeがクラッシュすることがあります。

    [ NSHELP-30983, NSANINFRA-21 ]

  • Syslog メッセージのタイムスタンプは、サマータイム期間中は正しくありません。

    [ NSHELP-30137 ]

ボット管理

  • まれに、デバイスの指紋検出技術を使用すると、Web ページが読み込まれないことがあります。

    [ NSHELP-34742 ]

  • デバイスのフィンガープリントアクションが LOG、RESET、または REDIRECT に設定されている場合、ボットデバイスのフィンガープリントセッションリプレイ攻撃はドロップされます。

    [ NSBOT-1117 ]

CallHome

  • CCall Home は、この機能が無効になっていても、テレメトリデータをCitrix ADCテクニカルサポートサーバーに送信します。

    [ NSHELP-33240 ]

NetScaler SDXアプライアンス

  • Citrix ADC SDX FIPSでは、VPXで追加操作または編集操作を実行すると、次のエラーが表示されます。

    「is_fips_enabled が定義されていません」

    [ NSSVM-5786 ]

  • 25G、40G、または 100G ポートを使用する LACP チャネル作成の最大スループットチェックの検証が失敗します。

    [ NSHELP-35743 ]

  • まれに、IPアドレスなどの一部のフィールドのジャンク値が原因で、Citrix ADC SDXがクラッシュしてアクセスできなくなることがあります。

    [ NSHELP-34925 ]

Citrix Gateway

  • VPNとAppFlowが構成されたCitrix ADCがクラッシュし、高可用性フェイルオーバーが発生する場合があります。

    [ NSHELP-35734, NSCXLCM-1247 ]

  • モバイルブラウザを使用してクライアントレスVPNモードでCitrix Gateway ホームページにアクセスしようとすると、アプリケーションが列挙されないことがあります。

    [NSHELP-35541、NSCXLCM-1132、NSCXLCM-1212、NSCXLCM-1248、NSCXLCM-1774]

  • Citrix Gateway で高度なクライアントレスVPNアクセスを構成すると、ブックマークされたURLからページを読み込めないことがあります。

    [ NSHELP-33771 ]

  • Citrix Gateway を介してVPN接続を確立すると、URLに誤ったテキストが含まれるホームページにリダイレクトされることがあります。この問題は、Citrix ADCがRFWebUIポータルテーマで構成されている場合に発生します。

    [ NSHELP-30097, NSCXLCM-481 ]

  • 特定のユーザーに追加された RDP ブックマークは、これらの URL をブックマークしていない他のユーザーにも表示されます。

    [ NSHELP-29904 ]

  • NetScaler Gateway アプライアンスは、サーバーが開始するUDPトラフィックの処理中にクラッシュすることがあります。

    [ NSHELP-27611 ]

  • EULAエンティティを作成すると、テキストはCitrix Gateway のRFWebUIポータルテーマに1行で表示されます。この問題は、HTML <br> の改行タグが原因で発生します。使用許諾契約書では、 <br> すべてのHTMLタグが一時的に無効になっています。「n」を使用して改行を追加してみることができます。

    [ CGOP-24534 ]

Citrix Web App Firewall

  • Web App Firewall プロファイルで「VerboseLogLevel」が「**patternPayloadHeader」に設定されていると、Citrix ADC がクラッシュすることがあります。**

    [ NSHELP-35915 ]

  • まれに、構成されたメモリが少なくてWeb App Firewallプロファイルを使用すると、Citrix ADCがクラッシュすることがあります。

    [ NSHELP-35463 ]

  • Citrix ADCアプライアンスは、無効なHTTPヘッダー情報が原因でクラッシュする可能性があります。この問題は、次の条件が満たされた場合に発生します。

    • HTTP リクエストボディで SQL/XSS 違反が発生しています。
    • 詳細ロギングは「patternPayloadHeader」に設定されています。

    [ NSHELP-35297, NSCXLCM-1127 ]

  • Citrix ADCは、Webアプリケーションファイアウォールの要求カウンターの数が要求カウンターの総数よりも多いと報告します。これは、XML要求では要求カウンターが2倍に増加するためです。

    [ NSHELP-34591 ]

負荷分散

  • HA セットアップでは、以下の条件が満たされると、DNS サーバーは GSLB ドメインクエリに対して空の応答を断続的に送信することがあります。

    • パーシスタンスは GSLB 仮想サーバーで設定されます。
    • 多数の負荷分散デプロイメントが設定されています。
    • HA フェールオーバーが発生します。

    [ NSHELP-35981 ]

  • トラフィックドメインの展開では、netprofile が DNS 仮想サーバーにバインドされている場合、DNS クエリの負荷分散が失敗することがあります。

    [ NSHELP-35675 ]

  • まれに、次の条件が満たされると、Citrix ADCアプライアンスがクラッシュしてコアダンプが生成されることがあります。

    • TCP ベースの DNS モニタープローブは、バックエンドサービスの監視に使用されます。
    • アプライアンスのメモリが不足しています。

    [ NSHELP-35289 ]

  • NTLM モニターは以下のオプションをサポートしていません。

    • NTLM バージョン 1 とバージョン 2 の両方の構成のモニターによる同時プロービング。
    • 「ScriptArg」パラメータの URL が別の IP アドレスに解決されたときに、プローブをサーバーの IP アドレスに転送します。
    • NTLM バージョン 2。

    [ NSHELP-35185 ]

  • 30 を超えるサービスがユーザーモニターにバインドされている場合、ユーザーモニターにバインドされているサービスが断続的に使用できなくなる可能性があります。

    [ NSHELP-34669, NSCXLCM-1373 ]

  • 8 ノード以上のクラスタ構成では、レート制限識別機能が意図したとおりに動作しない場合があります。

    [ NSHELP-34555 ]

  • 「show server name」コマンドは、サービスがサーバーにバインドされている場合でも、サービスのステータスを「不明」として表示します。

    [ NSHELP-33668 ]

  • 次の条件が満たされると、Citrix ADC がクラッシュすることがあります。

    • 負荷分散仮想サーバーは、複数のパーティションのリダイレクト URL で構成されます。
    • メモリ回復がトリガーされます。

    [ NSHELP-33638, NSCXLCM-227, NSCXLCM-509 ]

  • DNS書き換えポリシーにDROPアクションが設定されている場合、Citrix ADCアプライアンスでメモリリークが発生する場合があります。

    [ NSHELP-33077 ]

  • NetScalerアプライアンスは、サーバー数の計算が間違っているため、サーバー接続が高い場合に誤ったSNMPアラートをトリガーします。

    [ NSHELP-31582 ]

その他

  • Citrix ADCがNetScalerで生成されたCookie を受信HTTP要求から削除してから上流のHTTPサーバーに送信すると、上流のサーバーはその要求を拒否することがあります。この問題は、Cookie の名前と値のペアを削除すると、Cookie ヘッダーフィールドが HTTP プロトコルの仕様を満たさなくなる可能性があるために発生します。

    [ NSHELP-35855 ]

  • 次の条件が満たされると、Citrix ADC がクラッシュすることがあります。

    • EDT経由のアクティブなICA接続があります。
    • Citrix VDAと同じIPアドレスとポート番号のUDPサービスが追加されます。
    • Citrix GatewayとCitrix VDAの間には接続の問題があります。

    [ NSHELP-35637 ]

  • HDX Insightで構成されたCitrix ADCは、セカンダリノードが処理対象のパケットを受信すると再起動することがあります。

    [ NSHELP-34152 ]

  • Citrix GatewayでICAプロキシが有効になっているCitrix ADCは、ダブルホップDMZ展開でクラッシュする可能性があります。

    [ NSHELP-33369 ]

  • クラスター化されたCitrix ADC展開環境では、ICA OnlyパラメーターがONに設定されている場合、強制タイムアウト設定が有効になっていても、Citrix Gateway はユーザーセッションの切断に断続的に失敗します。

    [ NSHELP-33014 ]

  • まれに、VPN展開でSTAモニターを取得中にNetScaler ADCアプライアンスがクラッシュすることがあります。

    [ NSHELP-32893 ]

  • NetScaler ADCアプライアンスは、Webサーバーのログ機能のバッファサイズを16 MBではなく3 MBという誤ったデフォルト値に設定しています。

    [ NSHELP-32429 ]

  • EDT ICA接続が開始されると、Citrix ADCがクラッシュします。この問題は、HDX InsightのAppFlow分析プロファイルがVPN仮想サーバーにバインドされている場合に発生します。

    [ GOPHDX-5014 ]

ネットワーク

  • 高可用性セットアップでは、次の条件がすべて満たされると、ノードの状態が UP になるまでに 60 秒以上かかります:

    • HA セットアップではフェイルセーフが有効になっています
    • HA モニタリングは複数のインターフェイスで有効になっています
    • HA モニタリングが有効になっているインターフェイスの 1 つが到達不能になる
    • HA モニタリングインターフェイスの少なくとも 1 つにアクセス可能

    今回の修正により、これらの条件がすべて満たされると、ノードの状態は直ちに UP になります。

    [NSHELP-32157]

SSL

  • Citrix ADCのメモリ使用量が高く、構成が頻繁にクリアされると、デフォルトのCA証明書グループを削除するとCitrix ADCがクラッシュすることがあります。

    [ NSHELP-35441 ]

  • Citrix ADCでは、クライアントから再送信されたハンドシェイクフライトの処理中にメモリが適切に解放されないため、DTLSトラフィックで大量のメモリが蓄積される可能性があります。

    [ NSHELP-35359, NSCXLCM-999, NSCXLCM-1968 ]

  • ハイブリッドモードで動作するCitrix ADC MPX/SDX 14000 FIPSでは、キー交換の一部として破損したデータを受信すると、キーメモリがリセットされることがあります。

    [ NSHELP-35020 ]

  • キー交換中にDH 512暗号を使用すると、Intel ColetoまたはIntel Lewisburgチップを搭載したCitrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-34094 ]

  • SSL ハンドシェイクで交換されるクライアント、サーバー、および CA 証明書の合計サイズが 16K の制限を超えると、トラフィックが集中しているときに一時的にパフォーマンスに影響が出る可能性があります。

    [ NSHELP-33905 ]

  • SSL_TCP(フロントエンド)仮想サーバーとTCP(バックエンド)サービスを備えたCitrix ADC展開では、クライアント要求が断続的に失敗することがあります。この障害は、Citrix ADCがフロントエンドで受信したSSL client helloメッセージを転送するが、バックエンドがそれを処理できず、要求が失敗するために発生します。

    [ NSHELP-32806 ]

システム

  • まれに、フロントエンド最適化(FEO)機能が有効になっていると、Citrix ADCがクラッシュすることがあります。

    [ NSHELP-34861 ]

  • バックエンドサーバーがHTTPリクエストに対して464エラーを送信すると、Citrix ADCは同じエラーをクライアントに転送しないため、クライアント側の接続は停止します。

    [ NSHELP-33571, NSCXLCM-1098 ]

  • SSLサービスで構成されたNetScaler ADCアプライアンスは、アプライアンスがTCP FIN制御パケットとそれに続くTCP RESET制御パケットを受信するとクラッシュします。

    [ NSHELP-31656 ]

  • 以下の条件が満たされると、gRPC クライアントは gRPC ステータスヘッダーの解析に失敗します。

    • gRPC ステータスヘッダーは、末尾ヘッダーだけに追加されるのではなく、先頭ヘッダーと末尾ヘッダーの両方に追加されます。

    [ NSHELP-31640 ]

ユーザーインターフェイス

  • GUI を使用して HTTP_QUIC 仮想サーバーを作成するときに HTTP プロファイルを選択することはできません。この問題は、HTTP_QUIC 仮想サーバーを作成するための HTTP プロファイルが無効になっているために発生します。

    [ NSUI-18816 ]

  • 同じユーザーが 2 つの異なるパーティションにバインドされている場合、ユーザーセッションが誤って計算されます。この 2 つのパーティションは、デフォルト、非デフォルト、またはその両方にすることができます。

    [ NSHELP-34971 ]

  • Citrix ADC GUIを使用して位置情報データベースをアップロードすると、スループットが低いためにタイムアウトエラーが発生することがあります。

    [ NSHELP-34677 ]

  • HTTPD デーモンは、NITRO API バルクバインディングの HTTP GET リクエストの処理中に例外が発生するとクラッシュする可能性があります。

    [ NSHELP-34399 ]

  • ユーザーがコンテンツスイッチングポリシーのバインドを表示しても、コンテンツスイッチング仮想サーバーの詳細は [ バインディングの表示] の同じ行に表示されません。

    [ NSHELP-33149 ]

  • 保存した構成と実行中の構成に大きな違いがある場合、Citrix ADC UIに次のエラーが表示されます。

    「設定の取得中にエラーが発生しました」

    [ NSHELP-32752 ]

  • NITRO Python SDK GETを名前で呼び出すと、次のリソースに対して「割り当て前にローカル変数 ‘response’ が参照されました」というエラーメッセージが表示されて失敗します。

    • appfwhtmlerrorpage

    • appfwjsonerrorpage

    • appfwprotofile

    • appfwsignatures

    • appfwwsdl

    • appfwxmlerrorpage

    • appfwxmlschema

    • botsignature

    • responderhtmlpage

    [ NSHELP-32525 ]

  • NetScaler GUI([システム] > [ネットワーク] > [ルート])を使用して静的ルートを変更すると、次のエラーメッセージが表示されて誤って失敗することがあります。

    • 「必要な引数が見つかりません [ゲートウェイ]」

    [ NSHELP-32024 ]

  • Citrix ADCで管理パーティション機能を構成し、セカンダリノードパーティション内で構成コマンドを継続的に実行すると、 save ns config コマンドを使用してセカンダリノードパーティションに構成を保存できない場合があります。

    [ NSHELP-31663 ]

  • NetScaler GUIでは、保存済み構成と実行構成画面([システム] > [診断])に、プレーンテキストではなくHTMLタグが誤って表示されます。

    [ NSHELP-27169 ]

  • NetScaler ADC GUIでは、コマンドインターフェイスと比較して、表示されるキャッシュされたオブジェクトの数が少なくなります。

    [ NSHELP-24337 ]

既知の問題

リリース 13.0-92.21 に存在する問題。

分析インフラストラクチャ

  • クラスタ展開では、非CCOノードは、ノードで「強制クラスタ同期」または「再起動」操作を実行しても、TCP Syslogメッセージを外部Syslogサーバに送信しません。

    [ NSHELP-32925 ]

  • 次の条件が満たされると、NetScalerアプライアンスがクラッシュすることがあります。

    • 分析プロファイルとAppFlowポリシーの両方がバインドされており、プロファイルでは「HttpAllHDRs」オプションが有効になっています。

    [ NSHELP-30628 ]

  • Citrix ADCアプライアンスとデータローダーでログストリームレコードの不一致が見られます。

    [ NSHELP-25796 ]

  • KubernetesクラスタにNetScaler ADMをインストールすると、必要なプロセスが起動しない可能性があるため、期待どおりに動作しません。

    回避策 :管理ポッドを再起動します。

    [ NSANINFRA-1504 ]

認証、承認、監査

  • 楕円曲線証明書がVPNにグローバルにバインドされると、OAuth認証ポリシーで構成されたCitrix ADCがクラッシュすることがあります。

    [ NSHELP-34795 ]

  • Kerberos SSO は、大量の要求が同時に受信されると失敗することがあります。

    [ NSHELP-34177 ]

  • クラスター化されたCitrix ADC展開環境では、割り当てアクションを認証ポリシーにバインドすることはできません。

    [ NSHELP-33974 ]

  • 認証仮想サーバーをデフォルト以外のパーティションで使用すると、NetScalerアプライアンスがクラッシュする可能性があります。

    [ NSHELP-32054, NSCXLCM-640, NSCXLCM-1577 ]

  • SSO の処理に必要なベアラートークンがないトラフィックで SSO が有効になっていると、シングルサインオン (SSO) が失敗します。

    [ NSHELP-31362, NSCXLCM-533 ]

  • iOS向けCitrix SSOのアップグレード後、認証のために受信するプッシュ通知に音が鳴らないことがあります。

    [ NSHELP-27525 ]

  • LDAP アクションが IP アドレスではなく FQDN に設定されている場合、ASCII 以外の文字が nsvpn.log に記録されます。

    [ NSHELP-27281 ]

  • 特定のシナリオでは、ポリシー名がイントラネットアプリケーション名より長いと、バインド認証、承認、および監査グループコマンドが失敗することがあります。

    [ NSHELP-25971 ]

  • NetScalerアプライアンスは、NOAUTHが401ベースの認証フローの最初の要素として構成され、後続の要素としてネゴシエートが構成されている場合にコアをダンプします。

    [ NSHELP-25203 ]

  • LDAP、RADIUS、またはTACACSサービスの管理者パスワードに二重引用符(”)文字が含まれている場合、NetScalerアプライアンスは「接続テスト」チェック中に二重引用符(”)文字を削除し、接続に失敗します。

    [ NSHELP-23630 ]

  • Citrix ADC は、次の条件が満たされるとクラッシュします。

    • 401ベースの証明書認証は、負荷分散仮想サーバーを介して行われます。
    • 認証仮想サーバーにバインドされた認証ポリシーはありません。
    • デバッグログは有効になっています。

    [NSAUTH-13259]

  • 管理者は、認証情報が無効であることが原因で発生した認証エラーのカスタムロギングを実行できません。この問題は、NetScaler レスポンダーポリシーがログイン失敗のエラーを検出できないために発生します。

    [ NSAUTH-11151 ]

  • ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
    show adfsproxyprofile <profile name>

    回避策:クラスター内のプライマリアクティブNetScalerに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

    [ NSAUTH-5916 ]

NetScaler SDXアプライアンス

  • NetScaler SDXアプライアンスをアップグレードすると、まれに管理サービスGUIに次の誤ったイベントが表示されることがあります。

    「SVM バージョンとハイパーバイザーバージョンには互換性がありません」

    [ NSHELP-32949 ]

  • NetScaler SDX GUIで、NTP構成ファイル(ntp.conf)のいずれかの行にスペースしか含まれていない場合、NTPサーバーを表示するとユーザーインターフェイスがフリーズする可能性があります。

    [ NSHELP-31530 ]

Citrix Gateway

  • 非同期がブロックされ、コンテンツスイッチングポリシーの構成を変更すると、NetScaler Gateway アプライアンスがクラッシュすることがあります。

    [ NSHELP-27570 ]

  • セッションポリシーで不明なVPNクライアントオプションが設定されている場合、NetScaler Gateway アプライアンスがクラッシュすることがあります。

    [ NSHELP-27380 ]

  • NetScaler GUIを使用してRDPクライアントプロファイルを作成しているときに、次の条件が満たされるとエラーメッセージが表示されます。

    • デフォルトの事前共有キー (PSK) が設定されています。
    • [RDP クッキー有効期間 (秒)] フィールドの RDP クッキー有効性タイマーを変更しようとしています。

    [ NSHELP-25694 ]

  • show tunnel globalコマンド出力には、高度なポリシー名が含まれます。以前は、出力には高度なポリシー名が表示されませんでした。

    例:

    新しい出力:

    show tunnel global
    Policy Name: ns_tunnel_nocmp Priority: 0

    ポリシー名:ns_adv_tunnel_nocmp タイプ:
    詳細ポリシー優先度:1
    グローバルバインドポイント:REQ_DEFAULT

    ポリシー名:ns_adv_tunnel_msdocs タイプ:
    詳細ポリシー優先度:100
    グローバルバインドポイント:RES_DEFAULT
    完了

    前の出力:

    トンネルグローバル表示ポリシー名:ns_tunnel_nocmp 優先度:0 無効

    高度なポリシー:

    グローバルバインドポイント:REQ_DEFAULT
    バインドされたポリシーの数:1

    Done

    [ NSHELP-23496 ]

  • スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。

    [ NSHELP-21897 ]

  • Windows OSオプションは、NetScaler GUIの事前認証ポリシーと認証アクションの「エクスプレッションエディタ」ドロップダウンリストに表示されません。ただし、GUIまたはCLIを使用して以前のNetScalerビルドでWindows OSスキャンをすでに構成している場合は、アップグレードしても機能に影響はありません。必要に応じて CLI を使用して変更できます。

    回避方法:

    設定には CLI コマンドを使用します。

    • nFactor 認証で高度な EPA アクションを設定するには、次のコマンドを使用します。
      add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
    • 従来の事前認証アクションを設定するには、次のコマンドを使用します。
      add aaa preauthenticationaction win_scan_action ALLOW
      add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action

    [ CGOP-22966 ]

  • NetScaler GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

    [ CGOP-11830 ]

  • Outlook Web App (OWA) 2013 では、[ 設定 ] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。

    [ CGOP-7269 ]

負荷分散

  • 高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

    [ NSLB-7679 ]

  • 次の一連の条件が満たされた後にドメイン名ベースのサービス(DBS)を参照すると、Citrix ADCがクラッシュすることがあります。
    1. ロケーションエントリは、DBS ドメイン名の解決先となる IP アドレスに設定されます。
    2. DBS ドメイン名が削除され、ネームサーバーから NXDOMAIN 応答が返されます。
    3. ロケーションエントリが削除されます。

    [ NSHELP-35370 ]

  • HA セットアップでは、セカンダリノードを再起動すると静的近接データベースがロードされないことがあります。

    [ NSHELP-35271 ]

  • HA フェイルオーバー後、パーシスタンスタイムアウト期間が終了しても、パーシスタンスセッションのエントリはプライマリノードから削除されません。セッションエントリは、セカンダリノードが稼働するまで保持されます。

    [ NSHELP-34378 ]

  • 次の条件が満たされると、セカンダリCitrix ADCがクラッシュする可能性があります。

    • 高可用性セットアップでは、多数の負荷分散サーバーが負荷分散グループで構成されます。
    • 同期中は、負荷分散グループ内のいずれかの負荷分散サーバーで設定操作が実行されます。

    [ NSHELP-34225 ]

  • HAセットアップでは、複数の仮想サーバーにバインドされているサービスグループを削除すると、Citrix ADCアプライアンスがクラッシュします。

    [NSHELP-34029]

  • レート制限レコードの取得とレコードのエージングプロセスの間のタイミングの問題により、Citrix ADCがクラッシュする可能性があります。

    [ NSHELP-33349 ]

  • 接続ミラーリング中に、書き換えポリシーが30バイトを超えると、NetScalerアプライアンスがクラッシュします。

    [NSHELP-32902]

  • GSLB 設定では、SSL 証明書が下位サイトに見当たりません。この問題は、自動同期オプションが有効になっていて、下位サイトにマスターサイトでは使用できない SSL 証明書がある場合に発生します。

    [NSHELP-29309]

  • 特定のシナリオでは、サービスグループにバインドされたサーバーが、無効な Cookie 値を表示します。トレースログで正しい Cookie 値を確認できます。

    [ NSHELP-21196 ]

  • クラスター設定では、GSLB仮想サーバーバインディングを介してアクセスすると、GSLBサービスのIPアドレスがGUIに表示されません。これは表示上の問題であり、機能に影響はありません。

    [ NSHELP-20406 ]

その他

  • Citrix ADCアプライアンスでns_hw_err.bashスクリプトを実行すると、次のエラーメッセージが表示されます。
    error: can't open file 'ns_hw_plugins.py': [Errno 2] No such file or directory

    [ NSHELP-32991 ]

  • 64ビットアーキテクチャと1 TBのファイルストレージを備えたLinuxシステムで実行されているNetScaler CPXインスタンスは、証明書とキーファイルをロードできるようになりました。

    [ NSHELP-28986 ]

  • 高可用性セットアップでは、NetScaler フェイルオーバー中に、NetScaler ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。

    [ GOPHDX-1050 ]

NetScaler Secure Web Gateway

  • まれに、パケットキャプチャ中にCitrix ADCがクラッシュすることがあります。この問題は、PCB 構造の TCP プロファイル変数に NULL 値がある場合に発生することがあります。

    [ NSHELP-36081 ]

ネットワーク

  • NetScaler BLXアプライアンスでは、タグ付きの非dpdkインターフェイスでバインドされたNSVLANが期待どおりに機能しない場合があります。タグ付けされていない非dpdkインタフェースでバインドされたNSVLANは正常に動作します。

    [ NSNET-18586 ]

  • DPDKを搭載したNetScaler BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。

    • 無効化
    • 有効化
    • リセット

    [ NSNET-16559 ]

  • Debian ベースの Linux ホスト (Ubuntu バージョン 18 以降) では、NetScaler BLX アプライアンスは BLX 構成ファイル (「/etc/blx/blx.conf」) の設定に関係なく、常に共有モードでデプロイされます。この問題は、Debian ベースの Linux システムにデフォルトで存在する「mawk」が、「blx.conf」ファイル内にある awk コマンドの一部を実行しないために発生します。

    回避策:NetScaler BLX アプライアンスをインストールする前に「gawk」をインストールしてください。Linux ホスト CLI で次のコマンドを実行して「gawk」をインストールできます。

    • apt-get install gawk

    [ NSNET-14603 ]

  • Debian ベースのLinuxホスト(Ubuntuバージョン18以降)でNetScaler BLXアプライアンスのインストールが失敗し、次の依存関係エラーが表示されることがあります。

    「次のパッケージの依存関係は満たされていません:blx-core-libs: i386: preDepends: libc6: i386 (>= 2.19) しかしインストールできません」

    回避策:NetScaler BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get install libc6:i386

    [ NSNET-14602 ]

  • 管理パーティションの1つを削除すると、Citrix ADCは他のパーティションのパケットバッファも削除する場合があります。その結果、パケットバッファが削除されたパーティションを削除すると、Citrix ADCがクラッシュすることがあります。

    [ NSHELP-35595 ]

  • 高可用性セットアップでは、変更中に HA 同期の一部としてルートがノードから削除されると、セカンダリノードがクラッシュします。

    [NSHELP-34927]

  • 大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にNetScalerアプライアンスがクラッシュすることがあります。

    • LSN モジュールは、参照カウントのデクリメント中、またはサービスを削除している間は、サービスを検索しません。

    [ NSHELP-29134 ]

  • 大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にNetScalerアプライアンスがクラッシュすることがあります。

    • 古いフィルタリングエントリが原因です。

    [ NSHELP-28895 ]

  • 大規模なNAT44展開では、次の理由により、SIPトラフィックの受信中にNetScalerアプライアンスがクラッシュすることがあります。

    • LSN モジュールが、既に削除されたサービスのメモリ位置にアクセスしました。

    [ NSHELP-28815 ]

  • 高可用性設定では、次の条件が満たされた場合、ダイナミックルーティングが有効な SNIP アドレスは再起動時に VTYSH に公開されません。

    • ダイナミックルーティングが有効になっている SNIP アドレスは、デフォルト以外のパーティションの共有 VLAN にバインドされます。

    修正の一環として、NetScalerアプライアンスでは、動的ルーティングが有効なSNIPアドレスをデフォルト以外のパーティションの共有VLANにバインドできなくなりました

    [ NSHELP-24000 ]

プラットフォーム

  • 高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および NetScaler VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。

    1. NetScalerアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
    2. その後、NetScalerアプライアンスを再起動します。

    [NSPLAT-22013、NSCXLCM-544]

  • NetScalerアプライアンスを13.1-4.xバージョン以降のバージョンから次のバージョンのいずれかにダウングレードすると、一部のpythonパッケージがインストールされません。

    • 任意の 11.1 ビルド
    • 12.1-62.21 およびそれ以前
    • 13.0-81.x およびそれ以前

    [ NSPLAT-21691 ]

  • SSLv3、TLS 1.0、TLS 1.1などの従来のSSLプロトコルを使用して、Citrix ADC SDXでホストされているCitrix Hypervisorにアクセスすることはできなくなりました。

    [ NSHELP-33196 ]

  • NetScaler SDX 8015/8400/8600プラットフォームでは、Xenサーバーのメモリ消費量が増加する可能性があります。
    回避策:Xen Serverで次のコマンドを実行し、アプライアンスを再起動します。
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [ NSHELP-32260 ]

  • NetScaler VPX HA フェイルオーバー中に、IP セットを IP アドレスにバインドせずに IPset を構成すると、AWS クラウドでの Elastic IP アドレスの移動が失敗します。

    [ NSHELP-29425 ]

  • RPC ノードのパスワードに特殊文字が含まれていると、GCP および AWS クラウド上の NetScaler VPX インスタンスの高可用性フェイルオーバーが失敗します。

    [ NSHELP-28600 ]

ポリシー

  • NetScaler ADC GUIでは、 AppExpert> リライト > アクションで[ビルトインリライトアクションを表示]をクリックした場合にのみリライトアクションが表示されます。

    [NSPOLICY-4843]

  • 処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

    回避策:TCP バッファサイズを、処理が必要なデータの最大サイズに設定します。

    [ NSPOLICY-1267 ]

  • HA セットアップでは、ALL オプションと空の置換文字列を設定すると、REGEX_REPLACE 式がループに陥り、フェイルオーバーが発生する可能性があります。

    [NSHELP-34640]

SSL

  • 仮想サーバーは、無効なパディングを含む TLS 1.3 レコードを受信すると、「予期しないメッセージ」アラートの代わりに、致命的な「decode_error」アラートを送信します。

    [ NSSSL-11890 ]

  • NetScaler SDX 22000およびNetScaler SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。

    回避方法:

    1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:set ssl vserver <name> -SSL3 DISABLED
    2. 構成を保存します。

    [ NSSSL-9572 ]

  • 認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

    [ NSSSL-6478 ]

  • 同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。NetScalerアプライアンスはエラーを返しません。

    [ NSSSL-6213 ]

  • HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。
    エラー:CRL 更新が無効です

    [ NSSSL-6106 ]

  • セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

    [ NSSSL-4427 ]

  • SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。

    [ NSSSL-4001 ]

  • Intel ColetoまたはIntel Lewisburgチップを搭載したCitrix ADCアプライアンスは、ピアサーバーが最初にネゴシエートした暗号とは異なる暗号をネゴシエートすると、バックエンドの再ネゴシエーションフェーズ中にクラッシュする可能性があります。

    [ NSHELP-34324 ]

システム

  • AppFlowとHTTP圧縮機能の両方が有効になっていると、Citrix ADCが誤った応答を送信することがあります。

    [ NSHELP-35862 ]

  • 次の条件が満たされると、Citrix ADCはデータ転送を停止することがあります。

    • 複数の機能が有効になっています。
    • 複数の機能が TCP または HTTP ペイロードの同じ部分を削除しようとしています。

    [NSHELP-33793、NSCXLCM-1512、NSCXLCM-1954]

  • HTTPベースの機能が大量のアプリケーションデータをバッファしようとすると、Citrix ADCがHTTP/2接続でのデータ転送を停止することがあります。

    [ NSHELP-32612 ]

  • 次の条件が満たされると、TCP 接続の RTT が高くなります。

    • 最大輻輳ウィンドウ(> 4 MB)が高く設定されている
    • TCP NILE アルゴリズムは有効になっています

    NetScalerアプライアンスがNILEアルゴリズムを使用して輻輳制御を行うには、条件がスロースタートしきい値を超える必要があります。これは、最大輻輳ウィンドウと組み合わされています。

    そのため、設定された最大輻輳ウィンドウに達するまで、NetScalerは引き続きデータを受け入れ、RTTが高くなります。

    [ NSHELP-31548 ]

  • NetScalerアプライアンスは、サービスSYNフラッドカウンターで誤ったSNMPアラームを報告します。

    [ NSHELP-28710, NSHELP-28713 ]

  • パブリッククラウド MPTCP クラスタの展開では、リンクセットが無効になっていると、パケットの再送信が増加します。

    [ NSHELP-27410 ]

  • NetScalerアプライアンスは、MPTCP接続で、SACKブロック、タイムスタンプ、MPTCPデータACKなどのTCPオプションとともに、無効なTCPパケットを送信することがあります。

    [ NSHELP-27179 ]

  • クラスタ構成では、ネットワークの問題により、CCO 優先度のノードが Open vSwitch (OVS) から切断されます。ノードがクラスタ構成に再参加した後は、最新の SYN Cookie を受信しません。

    [ NSBASE-14419 ]

ユーザーインターフェイス

  • CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。

    回避策: NetScaler GUI または CLI を使用して IPsec プロファイル、IP トンネル、および PBR ルールを追加して、Cloudbridge Connectorを構成します。

    [ NSUI-13024 ]

  • 複数のパーティションを作成または削除すると、重複するパーティション ID が生成されることがあります。その結果、パーティションの作成時に次のエラーが表示されることがあります。

    「パーティション ID は別のパーティションですでに使用されています」

    [ NSHELP-35042 ]

  • Citrix Gateway UIで承認ポリシー式を変更すると、[式エディター]ドロップダウンリストに[認証、承認、および監査]オプションが表示されません。

    [ NSHELP-33509 ]

  • HA/Cluster セットアップでは、RSA 以外の SSH キーを設定すると、設定の同期が失敗します。たとえば、ECDSA キーや DSA キーなどです。

    [ NSHELP-31675 ]

  • NetScalerアプライアンスで、GUIインターフェイスを使用してグローバルまたはデフォルトグローバルをオーバーライドするようにキャッシュポリシーをバインドすると、次のエラーで失敗します。

    • 必須の引数がありません。

    このエラーは、CLI インターフェイスを使用してキャッシュポリシーをバインドしている間は発生しません。

    [ NSHELP-30826 ]

  • アップグレードのインストール順序が正しくないため、NetScalerアプライアンスで次の問題が発生します。

    • カーネルイメージが最初に更新され、数ステップ後に暗号化キーがコピーされます。これらの手順の間に何らかの障害が発生し、ADCアプライアンスが新しいイメージを作成します。新しいイメージに暗号化キーがないと、復号化に失敗し、設定が失われます。

    [ NSHELP-30755 ]

  • NetScaler GUI が、すべてのクラスタノードではなく1つのノードのみのクラスタテクニカルサポートバンドルを誤って生成することがある。

    [ NSHELP-28606 ]

  • NetScaler GUI を使用してクラスターテクニカルサポートバンドルを生成すると、エラーが発生して失敗することがあります。

    [ NSHELP-28586 ]

  • 高可用性セットアップまたはクラスタセットアップをリリース 13.0 ビルド 74.14 以降にアップグレードすると、次の理由で設定の同期が失敗することがあります。

    • ssh_host_rsa_key秘密鍵と公開鍵はどちらも正しくないペアです。

    回避策:ssh_host_rsa_keyを再生成します。詳細は、https://support.citrix.com/article/CTX322863を参照してください。

    [ NSHELP-27834 ]

  • NetScaler GUIを使用して、サービスまたはサービスグループを優先負荷分散仮想サーバーにバインドすることはできません。

    [ NSHELP-27252 ]

  • コンテンツスイッチポリシーラベルにバインドされたポリシーをNetScaler GUIで表示すると、そのポリシーラベルにバインドされたポリシーが他にもあっても、25個のポリシーしか表示されません。

    [NSHELP-23428]

  • 次の条件が満たされると、ユーザーはダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。

    1. 次の手順のいずれかを実行します。
      • 現在のビルドにアップグレードしたら、システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更して、設定を保存します。
      • 現在のビルドで新しいCitrix ADC VPX、BLX、またはCPXインスタンスをプロビジョニングします。
    2. アプライアンスを以下のいずれかのビルドにダウングレードします。
      • 13.1-4.x
      • 13.0-82.x またはそれ以前
      • 12.1-62.x またはそれ以前

    ダウングレード後に影響を受けるユーザーのリストを表示するには、コマンドプロンプトで次のように入力します。
    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
    。回避策:影響を受けるユーザーのパスワードをリセットします。詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。
    注:以前にアップグレードしたビルドをダウングレードする場合は、ダウングレード時に以前のビルドのバックアップされた設定ファイル (ns.conf) を使用してこの問題を回避してください。

    [NSCONFIG-8068]

  • アプリケーションファイアウォールのシグネチャが CCO 以外のノードと同期するまでに時間がかかることがあります。その結果、これらのファイルを使用するコマンドは失敗する可能性があります。

    [ NSCONFIG-4330 ]

  • 次の条件が満たされると、ユーザーはダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。

    1. 次の手順のいずれかを実行します。
      • 現在のビルドにアップグレードしたら、システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更して、設定を保存します。
      • 現在のビルドで新しいVPX、BLX、またはCPXインスタンスをプロビジョニングします。
    2. アプライアンスを以下のいずれかのビルドにダウングレードします。
      • 13.0-47.x またはそれ以前
      • 12.1-56.x またはそれ以前
      • 11.1-64.x またはそれ以前

    ダウングレード後に影響を受けるユーザーのリストを表示するには、コマンドプロンプトで次のように入力します。

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    回避策:影響を受けるユーザーのパスワードをリセットします。詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。

    注:以前にアップグレードしたビルドをダウングレードする場合は、ダウングレード中に以前のビルドのバックアップされた構成ファイル (ns.conf) を使用してこの問題を回避してください。

    [ NSCONFIG-3188 ]

Citrix ADC 13.0-92.21 ビルドのリリースノート
February 15, 2024
寄稿者: 
C
February 15, 2024
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.