Citrix ADC

Citrix ADC 13.1—12.51 リリースのリリースノート

このリリースノートドキュメントでは、Citrix ADCリリースBuild 13.1—12.51に存在する機能強化と変更、修正された問題と既知の問題について説明します。

ビルド 13.1 ~ 12.51 は、ビルド 13.1 ~ 12.50 を置き換えます。

このビルドには、NSWAF-8668 の問題の修正も含まれています。

メモ

このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。

新機能

ビルド 13.1 ~ 12.51 で利用できる機能強化と変更。

認証、承認、監査

最新バージョンの Intune NAC API のサポート

Intune NAC API の最新バージョンでは、Citrix Gateway の Intune ネットワークアクセス制御(NAC)のサポートが強化されました。

[ NSAUTH-9722 ]

接続プロキシを使用した nFactor 認証のための GSLB アクティブ/アクティブ展開のサポート

接続プロキシを使用した nFactor 認証の GSLB アクティブ/アクティブ展開のサポートが追加されました。このサポートは、Citrix Gateway と認証、承認、監査の両方のシナリオに適用されます。 現在、nFactor 認証でさまざまな要素が設定されていて、ゲートウェイが GSLB 用に設定されている場合、クライアント要求が異なる GSLB サイトに到達すると認証が中断することがあります。

たとえば、LDAP が第 1 要素として設定され、RADIUS が 2 番目の要素として設定されている場合、次のシナリオでは認証が中断される可能性があります。

  • LDAP に対するクライアント要求が GSLB サイト 1 に届く。
  • 半径要求は GSLB サイト 2 に到着します。 認証を完了してトラフィックを処理するために、要求を正しい GSLB サイトにルーティングするために、接続プロキシが使用されるようになりました。

[ NSAUTH-7141 ]

Citrix ADC SDXアプライアンス

Citrix ADC SDXアプライアンスでは、管理サービスはバックグラウンドでCitrix ADCインスタンスをポーリングして、SSL証明書、ネットワーク機能、構成監査などの操作を確認します。これで、要件に応じてこのポーリングを有効または無効にできます。このポーリングを無効にすると、管理サービスと ADC インスタンスのパフォーマンスが向上します。

[ NSSVM-4991 ]

Citrix Web App Firewall

JSON セキュリティーチェック (SQL、CMD、および XSS) の冗長ロギング

Citrix ADCアプライアンスでは、JSONセキュリティチェック用のパターン、パターンペイロード、HTTPヘッダーの詳細などの違反の詳細をログに記録するための詳細なログレベルパラメーターを構成できるようになりました。ログの詳細は、監視とトラブルシューティングの目的でCitrix ADMサーバーに送信されます。詳細ログメッセージは ns.log ファイルには保存されません。

[ NSWAF-8269 ]

Web App Firewall Classic 監査ログポリシーを廃止する

Web App Firewall ポリシーをグローバルにバインドするために、bind audit syslogGlobalおよびbind audit nslogGlobalコマンドで新しいグローバルバインディングタイプAPPFW_GLOBALを構成できるようになりました。グローバルバインドされた監査ログポリシーは、Web App Firewall のロギングコンテキストで評価されます。

[ NSWAF-406 ]

負荷分散

MQTT プロトコルの書き換えポリシーサポート

リライト機能で MQTT プロトコルがサポートされるようになりました。MQTT クライアント要求とサーバ応答のパラメータに基づいてアクションを実行するように、書き換えポリシーを設定できます。

[ NSLB-8661 ]

サービスの優先順位

サービスの優先順位機能を使用すると、負荷分散の選択プリファレンスに基づいて、サービスまたはサービスグループの順序に優先順位を付けることができます。サービスまたはサービスグループを LB または GSLB 仮想サーバにバインドするときに、サービスの選択順序を設定できるようになりました。新しいパラメータ-order <number> が bind コマンドに追加され、サービスセレクションプリファレンスが設定されます。

既定では、最小の順序番号が優先されます。ただし、この既定の選択動作を延期することはできます。新しい LB action コマンドと policy コマンドを使用して、着信クライアントトラフィックに基づいてサービスセレクション順序を設定できるようになりました。

サービスの優先順位付け機能は、より少ない構成コマンドでプライマリおよびバックアップ仮想サーバチェーン機能の動作を模倣します。

[ NSLB-8039 ]

ネットワーク

セッションレス負荷分散を設定するには、IP Tunnel 外部ヘッダーにクライアント IP アドレスを挿入します

次の設定のセッションレス負荷分散構成では、カプセル化器のCitrix ADCアプライアンスは、IPトンネルの外部ヘッダーのソースIPとして、クライアントIPアドレスではなくSNIPアドレスを使用します。

  • 負荷分散仮想サーバ:

  • リダイレクションモード (m): IP トンネル
  • セッションレス:有効

  • IP トンネルグローバルパラメータ:

  • クライアントソース IP アドレスを使用 (useClientSourceIP): 有効

ただし、一部のシナリオでは、トンネルカプセル化解除(バックエンド Citrix ADC またはバックエンドサーバー)がクライアントのIPアドレスを認識する必要があります。

この要件を満たすために、Citrix ADCアプライアンスは、IPトンネルの外部ヘッダーのソースIPとしてクライアントIPアドレスを使用するようになりました。

詳細については、「IP Over IP を使用して DSR モードで負荷分散を構成する」を参照してください。

[ NSNET-21804 ]

プラットフォーム

VMware ESXi イメージが仮想ハードウェアバージョン 13 まで起動する

VMware ESXiイメージ(12.1以降)からCitrix ADC VPXインスタンスを展開すると、仮想マシンはデフォルトでハードウェアバージョン13で起動します。

[ NSPLAT-21416 ]

Citrix Hypervisor でのインテルイーサネットコントローラー X710 および XL710 シリーズのサポート

Citrix Hypervisorで実行されているCitrix ADC VPXインスタンスを、次のNICでシングルルートI/O仮想化(SR-IOV)を使用して構成できるようになりました。

  • インテル X710 10G
  • インテル XL710 40G

[ NSPLAT-21410 ]

AWS 共有 VPC でプライベート IP アドレスを使用して VPX 高可用性ペアをデプロイする

AWS 共有仮想プライベートクラウド (VPC) を使用して、異なる AWS ゾーンのプライベート IP アドレスを使用して VPX 高可用性ペアをデプロイできるようになりました。VPC 共有により、複数の AWS アカウントがアプリケーションリソースを、一元管理された共有の VPC に作成できます。Citrix ADC VPX インスタンスは、AWS 共有 VPC 内に作成できます。共有 VPC を使用すると、作成および管理する VPC の数が減り、請求とアクセスコントロールには個別のアカウントが使用されます。

[ NSPLAT-21401 ]

SSL

JA3 SSL フィンガープリントに基づいてマルウェアを検出する新しい表現

新しい SSL 式 CLIENT.SSL.JA3_FINGERPRINT が追加されました。この式は、設定された JA3 フィンガープリントとリクエストを比較することで、悪意のあるリクエストを識別するのに役立ちます。

例: add ssl policy ja3_pol -rule "CLIENT.SSL.JA3_FINGERPRINT.EQ(bb4c15a90e93a25ddc16274395bce4c6)" -action reset

[ NSSSL-10156 ]

クラスタでの証明書バンドルのサポート

証明書バンドルがクラスタセットアップでサポートされるようになりました。

[ NSSSL-9854 ]

SSL 証明書バンドルのサポート

証明書バンドル機能が拡張され、バンドルがエンティティとして扱われるようになりました。したがって、中間証明書ごとにファイルを作成する必要はありません。2 つの証明書バンドルで、中間証明書チェーンの一部を共有できるようになりました。証明書バンドルの一部でもある同じサーバ証明書とキーを使用して、証明書とキーのペアを追加することもできます。証明書バンドルの削除も簡略化されます。

以前は、証明書バンドルを追加すると、設定に複数のコマンドが追加されていました。2 つのバンドルが共通の中間証明書を共有している場合、別の証明書バンドルを追加することはできません。削除も手動のプロセスでした。

[ NSSSL-9425 ]

システム

html インジェクション関連のコマンドは 13.1 リリースで削除されました。この変更により、すべてのバックエンドコードが削除されます。

[ NSBASE-14742 ]

解決された問題

ビルド 13.1—12.51 で対処される問題。

認証、承認、監査

電子メールOTPが構成されている場合、Citrix ADCアプライアンスがクラッシュします。

[ NSHELP-29312 ]

ネイティブ OTP 暗号化ツールでは、デバイス名に特殊文字を使用できません。

[ NSHELP-28795 ]

Citrix ADCアプライアンスにログインすると、次の両方の条件が満たされると、空白のパスワードフィールドが表示されます。

  • Duo の 2 要素認証が設定されている
  • RFWebUI ポータルテーマが使用されています

[ NSHELP-27868 ]

次の条件が満たされると、サービスへのアクセスは拒否されます。

  • このサービスは認証仮想サーバにバインドされます。
  • 401 認証は、サービスとサービスがバインドされている仮想サーバーで構成されます。

[ NSHELP-26903 ]

まれに、次の条件を満たすと、高可用性セットアップのセカンダリノードがクラッシュすることがあります。

  • aaa groupsおよび/またはaaa usersはCitrix ADCアプライアンスで構成されます。

[ NSHELP-26732 ]

LDAP、RADIUS、またはTACACSサービスの管理者パスワードに二重引用符(”)が含まれている場合、Citrix ADCアプライアンスはTest Connectivityチェック中にそれを削除し、接続に失敗します。

[ NSHELP-23630 ]

Citrix ADC SDXアプライアンス

Citrix ADC SDX 14000-40G、15000、および15000-50Gのプラットフォームでは、CLIを使用してインターフェイス速度を設定すると失敗します。

[ NSHELP-29388 ]

Citrix ADC SDX プラットフォームでホストされている ADC インスタンスのプロファイルを変更すると、ログファイルにsave configコマンドのエントリが追加されることがあります。

[ NSHELP-29343 ]

Citrix ADC SDXアプライアンスでは、管理サービスで実行されているSNMPエージェントが、存在しないOIDに対して誤ったエラーコードを返します。

[ NSHELP-29209 ]

データレコードの総数が 5000 未満の場合、ADC イベントテーブルのデータをページ間でソートできるようになりました。

[ NSHELP-29170 ]

Citrix Gateway

EPAが構成され、十分なメモリが利用できない場合、Citrix ADCアプライアンスがクラッシュすることがあります。

[ NSHELP-28329 ]

ディレクトリ /var/netscaler/logon/logonPoint/Custom/ は、ディレクトリが最初に存在しなかった場合、アップグレード後に作成されません。

[ NSHELP-28223 ]

ns_aaa_json.c ファイルに NS_AUDITLOG_STR* ログ用の余分な行が表示される場合があります。

[ NSHELP-28160 ]

VPN 接続が確立されると、DNS 登録は機能しません。

この問題を修正するには、nsapimgr ノブ nsapimgr_wr.sh-ys call=toggle_vpn_configured_dns_disable_override を有効にする必要があります。

[ NSHELP-27760 ]

転送ログイン中に、イントラネット IP サブネットがクライアント側で正しく表示されないことがあります。

[ NSHELP-26904 ]

L7レイテンシーが有効になっている場合、セッションのICAレイテンシーはCitrix Directorで64,000ミリ秒と誤って記録されます。L7 レイテンシーは、 nsapimgrノブenable_ica_l7_latencyが 1 に設定されているときに有効になります。

[ NSHELP-23459 ]

ユーザーがCitrix Gateway アプライアンスにログインしてICAアプリにアクセスすると、Gateway Insightログファイルに次のメッセージが殺到します。

GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero Oct 25 23:01:31 <local0.err> 10.217.24.1Oct 25 23:01:31 <local0.err> 10.217.24.101 10/26/2021:06:01:31 GMT NSGWTHDR 0-PPE-0 : default SSLVPN Message 10491736 0 : GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero

[ CGOP-19685 ]

Citrix Gateway ポータルのエンタープライズブックマーク機能は、次のプロトコルのみをサポートします。その他のブックマークはすべてブロックされます。http://https://rdp://、およびftp://

[ CGOP-19543 ]

Citrix Web App Firewall

WAF 署名を使用している場合は、ビルドをアップグレードした後、デフォルトの署名を含むすべての WAF 署名を最新バージョンに更新する必要があります。次に、必要なシグニチャルールを再度有効にします。

[ NSWAF-8668 ]

ボット管理システムでトラップURLが自動生成されると、Citrix ADCアプライアンスがクラッシュすることがあります。

[ NSHELP-29339 ]

負荷分散

失敗したコマンドに ENUM 値が欠落しているため、GSLB サービスグループはモニターの更新を処理できません。

[ NSHELP-29050 ]

Citrix ADCアプライアンスは、解放されているパーティションとは異なるパーティションに割り当てられているメモリを解放しようとするとクラッシュします。

[ NSHELP-29038 ]

ZONE タイプの DNS レコードが親ドメインで使用できる場合、既存の NS レコードを持つ子ドメインのクエリを実行すると、子ドメイン NS レコードではなく親ドメインの SOA レコードになります。

[ NSHELP-28793 ]

GSLB仮想サーバーが次のように構成されている場合、Citrix ADCアプライアンスは、予想されるGSLBサービスIPアドレスを持つGSLBドメインクエリに応答しないことがあります。 永続タイプ: 送信元IPアドレス負荷分散アルゴリズム: 静的近接バックアップ負荷分散方式:ラウンドトリップタイム (RTT)

[ NSHELP-28668 ]

ワイルドカードポートを使用すると、負荷分散または GSLB ドメインベースの Autoscale サービスグループの状態は DOWN のままになります。

[ NSHELP-28548 ]

GSLB サービスグループにバインドされたモニターに対して、最後の応答メッセージが正しく表示されない。

[ NSHELP-28393 ]

GET 操作中に cookieTimeout 値が正しく設定されないため、CS 仮想サーバーの更新操作が失敗します。

[ NSHELP-27979 ]

MySQLタイプのモニターのモニタープローブを処理すると、Citrix ADCアプライアンスが失敗し、最終的にシステムが再起動することがあります。

[ NSHELP-27953 ]

その他

64ビットアーキテクチャと1 TBのファイルストレージを備えたLinuxシステムで実行されているCitrix ADC CPXインスタンスは、証明書とキーファイルをロードできるようになりました。

[ NSHELP-28986 ]

IDNA2008 標準ドメインでは、URL セットのパターンマッチングが失敗します。

[ NSHELP-28902 ]

VXLAN で MAC ベース転送(MBF)が有効になっていると、ステートフル TCP セッションが確立されていませんでした。

[ NSHELP-27125 ]

ネットワーク

管理パーティションを持つCitrix ADCアプライアンスをアップグレードすると、次の条件が満たされると、構成が一部失われることがあります。

  • 使用可能なシステムメモリ全体が管理パーティションに割り当てられている場合。

[ NSNET-23031 ]

制限事項-

VLAN ID 2 は内部使用のために予約されています

VLAN ID 2 は、ブリッジおよび none モードでの展開のための内部使用のために予約されています。Citrix ADC CPXは、0/1以外のすべてのインターフェイスをVLAN ID 2にバインドし、VLAN ID 2のMTU(最大伝送ユニット)はeth0インターフェイスのMTUと等しく設定されます。VLAN を設定し、それにインターフェイスをバインドする場合は、インターフェイス MTU が 1500 バイト未満の場合は、VLAN の MTU を Linux で設定されているとおりにインターフェイスの MTU に設定します。

[ NSNET-22807 ]

Webアプリケーションファイアウォールプロファイルが高度なセキュリティ保護チェックで構成されている場合、DPDKモードのCitrix ADC BLXアプライアンスがクラッシュすることがあります。

[ NSNET-22654 ]

次の条件が満たされると、関連サービスのモニタープローブの作成中にCitrix ADCアプライアンスがクラッシュすることがあります。

  • IPv4 アドレスが 1 つ以上あり、IPv6 アドレスがない IP セットを持つネットプロファイル。ネットプロファイルはモニターにバインドされ、モニターは IPv6 サービスに設定されます。
  • IPv6 アドレスが 1 つ以上あり、IPv4 アドレスがない IP セットを持つネットプロファイル。ネットプロファイルはモニターにバインドされ、モニターは IPv4 サービスに設定されます。

[ NSHELP-29382 ]

Citrix ADCアプライアンスでは、メモリ割り当ての失敗後にパッシブFTPデータ接続が失われることがあります。

[ NSHELP-26522 ]

プラットフォーム

VMXNET3 ドライバーを使用する Citrix ADC VPX インスタンスは、インスタンスが次のいずれかの Citrix ADC ビルドで実行されている場合、ランダムにクラッシュすることがあります。

  • Citrix ADC 13.1 ビルド 4.x
  • Citrix ADC 13.1 ビルド 9.x

[ NSHELP-29120 ]

ポリシー

Citrix ADCアプライアンスは、次の条件でクラッシュすることがあります。

  • 監査メッセージアクションは、リクエストの本文に 1 つ以上の REGEX 関数を適用した文字列ビルダ式で構成されます。
  • [ストリーミング] オプションを有効にして構成されたアプリケーションファイアウォールプロファイル。

たとえば、HTTP.REQ.BODY (10000000) .REGEX_SELECT (re/name=[^\ r\ n]*[\ r\ n]+/) のように指定します。

[ NSHELP-27895 ]

SSL

リクエストバインドポイントですでにバインドされているポリシーに対してポリシーアクションがForwardに設定されている場合、HTTPリクエストの処理中にCitrix ADCアプライアンスがクラッシュします。

[ NSHELP-29115 ]

Citrix ADCアプライアンスは、次の手順を実行するとクラッシュします。

  1. SSL タイプのモニタが追加されます。
  2. 証明書とキーのペアがモニタにバインドされます。
  3. モニタが取り外される。
  4. 同じ名前のモニタがもう1つ追加されます。
  5. 証明書とキーのペアが更新されます。

[ NSHELP-28666 ]

SAN 証明書内のすべての IP アドレスが表示されます。以前は、SAN 証明書に含まれるすべての IP アドレスのうち、最後の SAN IP アドレスのみが表示されていました。

[ NSHELP-27336 ]

外部 HSM で DH 暗号を使用すると、SSL ハンドシェイクが失敗します。

[ NSHELP-25307 ]

システム

Citrix ADCアプライアンスがクライアントからHTTP/2 GOWAYフレームを受信すると、ストリームIDが約束ID(最後にピアが開始したストリーム識別子)よりも大きいストリームがすべて誤ってリセットされます。

[ NSHELP-29328 ]

Citrix ADM では、ADM エージェントの問題が原因で ADM エージェントからメモリ使用量の増加が報告される場合があります。

[ NSHELP-29285 ]

Citrix ADCアプライアンスは、次の条件をすべて満たすとクラッシュします。

  • サーバの IP アドレスを持つコンテンツ検査アクションでは、サービスの内部データがすでに設定されている場合はそれを使用します。
  • その結果、CI アクションが削除されると、サービスの内部データも削除されます。
  • 実際のサービスが削除されると、Citrix ADCアプライアンスはすでに削除された内部データへのアクセスと削除を試みます。

[ NSHELP-28293 ]

管理者パーティションがあるCitrix ADCアプライアンスでは、デフォルト以外のパーティションでnstraceユーティリティが正しく実行されないことがある

[ NSBASE-15738 ]

クラスタ構成では、ネットワークの問題により、CCO 優先度のノードが Open vSwitch (OVS) から切断されます。ノードがクラスタ構成に再参加した後は、最新の SYN Cookie を受信しません。

[ NSBASE-14419 ]

ユーザーインターフェイス

プールされた容量で構成されたクラスターモードの ADC インスタンスがダウンする。この問題は、クラスタノードにホスト名が設定されている場合や、ノードが起動時に ADM ライセンスサーバに接続するのに時間がかかる場合に発生します。

[ NSHELP-28613 ]

Citrix ADC GUI が、すべてのクラスタノードではなく1つのノードのみのクラスタテクニカルサポートバンドルを誤って生成することがある。

[ NSHELP-28606 ]

Citrix ADC GUI を使用してクラスターテクニカルサポートバンドルを生成すると、エラーが発生して失敗することがあります。

[ NSHELP-28586 ]

Citrix ADC CLIインターフェイスでは、コマンドプロンプトにコマンドを入力しているときに<Tab>キーを押しても、コマンドをバインドするオプションは自動入力されません。

たとえば、次のコマンドを入力すると、 <Tab> キーを使用するとオブジェクトは自動入力されません。

bind authentication vserver <authvservername> -policy <Tab>

ここで、認証仮想サーバは、RADIUS ポリシー、IdapPolicy、証明書ポリシー、TACAS ポリシー、高度な認証ポリシーなど、複数のオブジェクトタイプにバインドできます。

[ NSCONFIG-6340 ]

既知の問題

リリース 13.1 ~ 12.51 に存在する問題。

AppFlow

HDX Insightは、ユーザーがアクセスできないアプリケーションまたはデスクトップを起動しようとしたことによるアプリケーションの起動失敗を報告しません。

[ NSINSIGHT-943 ]

認証、承認、監査

SSO機能をプロキシサーバーで使用すると、Citrix ADCアプライアンスでメモリリークが発生する場合があります。

[ NSHELP-27744 ]

Citrix ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。

[ NSHELP-563 ]

Citrix ADC GUIのログインスキーマエディター画面に DualAuthPushOrOTP.xml LoginSchema が正しく表示されません。

[ NSAUTH-6106 ]

ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。 show adfsproxyprofile <profile name>

回避策:

クラスタ内のプライマリのアクティブなCitrix ADCに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

[ NSAUTH-5916 ]

次の手順を実行すると、Citrix ADC GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。

  • [LDAP 到達可能性をテスト] オプションが開きます。
  • 無効なログイン認証情報が入力され、送信されます。
  • 有効なログイン認証情報が入力され、送信されます。

回避策:

[LDAP 到達可能性のテスト] オプションを閉じて開きます。

[ NSAUTH-2147 ]

キャッシュ

統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、Citrix ADCアプライアンスがクラッシュすることがあります。

[ NSHELP-22942 ]

Citrix ADC SDXアプライアンス

Citrix ADC SDXアプライアンスでは、CLAGがMellanox NIC上に作成されている場合、VPXインスタンスの再起動時にCLAG MACが変更されます。VPXインスタンスへのトラフィックは再起動後に停止します。これは、MACテーブルに古いCLAG MACエントリがあるためです。

[ NSSVM-4333 ]

Citrix ADC SDXアプライアンスでは、バーストスループット割り当てモードを構成すると、ADCインスタンスは最大容量までバーストしません。

[ NSHELP-27477 ]

次の条件が満たされると、Citrix ADC SDXアプライアンスでホストされているVPXインスタンスでパケットドロップが表示されます。

  • スループット割り当てモードはバーストです。
  • スループットと最大バーストキャパシティには大きな違いがあります。

[ NSHELP-21992 ]

Citrix Gateway

サーバー証明書が信頼されていると、サーバー検証コードが失敗することがあります。その結果、エンドユーザーはゲートウェイにアクセスできなくなります。

[ NSHELP-28942 ]

VPN の切断後、DNS リゾルバがホスト名の解決に失敗することがあります。これは、VPN の切断中に DNS サフィックスが削除されるためです。

[ NSHELP-28848 ]

macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。

[ NSHELP-28551 ]

クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にCitrix Gateway からログアウトすることがあります。

[ NSHELP-28404 ]

Windows プラグインは、認証中にクラッシュすることがあります。

[ NSHELP-28394 ]

Windows 用 EPA プラグインは、ローカルマシンの構成済みプロキシを使用せず、ゲートウェイサーバーに直接接続します。

[ NSHELP-24848 ]

Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。

[ NSHELP-23937 ]

次の条件を満たす場合、Windows ログオン後に VPN プラグインはトンネルを確立しません。

  • Citrix Gateway アプライアンスが常時オン機能用に構成されている
  • アプライアンスは 2 要素認証offによる証明書ベースの認証用に設定されています。

[ NSHELP-23584 ]

スキーマを参照しているときに、エラーメッセージCannot read property 'type' of undefinedが表示されることがあります。

[ NSHELP-21897 ]

Windowsログオン機能の前に常時接続VPNを使用する場合は、Citrix Gateway 13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を活用できます。

[ CGOP-19355 ]

無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight では報告されません。

[ CGOP-13621 ]

Gateway Insightレポートに、SAML エラー障害の [認証タイプ] フィールドにSAMLではなく値Localが誤って表示される。

[ CGOP-13584 ]

高可用性セットアップでは、Citrix ADC フェイルオーバー中に、Citrix ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。

[ CGOP-13511 ]

ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承諾 ] ダイアログボックスには、選択した言語に関係なく英語でコンテンツが表示されます。

[ CGOP-13050 ]

一部の言語では、Citrix SSOアプリ >[ホーム]ページのテキストHome Pageが切り捨てられます。

[ CGOP-13049 ]

Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

[ CGOP-11830 ]

Outlook Web App (OWA) 2013 で、[設定] メニューの [ オプション ] をクリックすると、[ 重大なエラー ] ダイアログボックスが表示されます。また、ページが応答しなくなります。

[ CGOP-7269 ]

クラスタ展開では、非 CCO ノードでforce cluster syncコマンドを実行すると、ns.log ファイルに重複したログエントリが含まれます。

[ CGOP-6794 ]

負荷分散

高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

[ NSLB-7679 ]

サービスグループのentityofsトラップ内の serviceGroupName の形式は次のとおりです。 <service(group)name>?<ip/DBS>?<port>

トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (?) はセパレータとして使用されます。Citrix ADCは、疑問符(?)付きのトラップを送信します。このフォーマットは、Citrix ADM GUIでも同じように表示されます。これは予想される動作です。

[ NSHELP-28080 ]

その他

高可用性セットアップで強制同期が実行されると、アプライアンスはセカンダリノードでset urlfiltering parameterコマンドを実行します。 その結果、セカンダリノードは、 TimeOfDayToUpdateDB パラメータで指定された次のスケジュールされた時刻まで、スケジュールされた更新をスキップします。

[ NSSWG-849 ]

URLフィルタリングのサードパーティベンダーで接続の問題が発生した場合、管理CPUの停滞によりCitrix ADCアプライアンスが再起動することがあります。

[ NSHELP-22409 ]

ネットワーク

Citrix ADC BLXアプライアンス13.0 61.xビルドから13.0 64.xビルドにアップグレードすると、BLX構成ファイルの設定が失われます。その後、BLX 構成ファイルがデフォルトにリセットされます。

[ NSNET-17625 ]

DPDKを搭載したCitrix ADC BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。

  • 無効化
  • 有効化
  • リセット

[ NSNET-16559 ]

DebianベースのLinuxホスト(Ubuntuバージョン18以降)では、Citrix ADC BLXアプライアンスは、BLX構成ファイル(/etc/blx/blx.conf)の設定に関係なく、常に共有モードで展開されます。この問題は、Debian ベースの Linux システムにデフォルトで存在するmawkが、blx.confファイルにある awk コマンドの一部を実行しないために発生します。

回避策:

Citrix ADC BLXアプライアンスをインストールする前にgawkをインストールします。Linux ホスト CLI で次のコマンドを実行してgawkをインストールできます。

  • apt-get install gawk

[ NSNET-14603 ]

Debian ベースのLinuxホスト(Ubuntuバージョン18以降)でCitrix ADC BLXアプライアンスのインストールが失敗し、次の依存関係エラーが表示されることがあります。

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

回避策:

Citrix ADC BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。

  • dpkg — アーキテクチャーの追加 i386
  • apt-get アップデート
  • apt-get dist-upgrade
  • apt-get install libc6:i386

[ NSNET-14602 ]

FTPデータ接続の場合、Citrix ADCアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対するTCP処理は実行しません。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。

[ NSNET-5233 ]

高可用性設定では、両方のノード間で HA バージョンが一致しない場合、動的ルートはセカンダリノードに同期されません。セカンダリノードのアクセシビリティが動的ルートに依存している場合、セカンダリノードには到達できません。

修正として、HA バージョンが一致しない場合でも、動的ルートはセカンダリノードに同期されます。

[ NSHELP-28326 ]

Citrix ADCアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は自動的に管理パーティションの新しいメモリ制限に設定されます。

[ NSHELP-21082 ]

プラットフォーム

高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および Citrix ADC VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。

  1. Citrix ADCアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
  2. その後、Citrix ADCアプライアンスを再起動します。

[ NSPLAT-22013 ]

13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがCitrix ADCアプライアンスにインストールされません。この問題は、次のCitrix ADCバージョンで修正されています。

  • 13.1-4.x
  • 13.0-82.31 以降
  • 12.1-62.21 以降

Citrix ADC バージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。

  • 任意の 11.1 ビルド
  • 12.1-62.21 およびそれ以前
  • 13.0-81.x およびそれ以前

[ NSPLAT-21691 ]

バージョン13.1を実行しているCitrix ADC SDXアプライアンスで、バージョン12.0 XVAでVPXインスタンスをプロビジョニングすると失敗します。

VPX バージョン 12.1 以降のみがサポートされています。SBI をバージョン 13.1 にアップグレードする前に、VPX バージョンをアップグレードします。

[ NSPLAT-21442 ]

Citrix ADC SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、2番目のノードとCLIPでCLAG MACの不一致があります。

  • CLAG はメラノックス NIC 上に作成されます。
  • クラスターとCLAGセットアップに別のVPXインスタンスを追加します。

その結果、VPXインスタンスへのトラフィックが停止します。

[ NSPLAT-21049 ]

Citrix ADC SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、CLIPテーブルとMACテーブルでMACアドレスの不一致が原因で最初のノードがダウンします。

  • CLAG はメラノックス NIC 上に作成されます。
  • クラスタから 2 つ目のノードを削除します。

[ NSPLAT-21042 ]

Azureリソースグループから自動スケール設定またはVMスケールセットを削除する場合は、Citrix ADCインスタンスから対応するクラウドプロファイル構成を削除します。rm cloudprofile コマンドを使用して、プロファイルを削除します。

[ NSPLAT-4520 ]

Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。 回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノード上で設定する必要があります。

[ NSPLAT-4451 ]

ポリシー

処理データのサイズが、設定されているデフォルトの TCP バッファサイズを超えると、接続がハングすることがあります。回避策:TCP バッファサイズを、処理が必要なデータの最大サイズに設定します。

[ NSPOLICY-1267 ]

SSL

Citrix ADC SDX 22000およびCitrix ADC SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。

回避策:

  1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:set ssl vserver <name> -SSL3 DISABLED
  2. 構成を保存します。

[ NSSSL-9572 ]

Update コマンドは、次の add コマンドでは使用できません。

  • Azure アプリケーションの追加
  • Azure キーボールトを追加する
  • hsmkey オプションで ssl 証明書キーを追加する

[ NSSSL-6484 ]

認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

[ NSSSL-6478 ]

同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。

[ NSSSL-6213 ]

HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。 エラー:crl リフレッシュが無効

[ NSSSL-6106 ]

セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

[ NSSSL-4427 ]

SSL プロファイルの SSL プロトコルまたは暗号を変更しようとすると、不正な警告メッセージWarning: No usable ciphers configured on the SSL vserver/service,が表示されます。

[ NSSSL-4001 ]

期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。

[ NSSSL-3184 ]

システム

アプライアンスがクライアントから max_concurrent_stream 設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS 値はデフォルトで 100 に設定されます。

[ NSHELP-21240 ]

mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。

[ NSHELP-10972 ]

gRPC トラフィックの大きなストリームを処理すると、TCP アドバタイズされたウィンドウが指数関数的に増加し、メモリ使用量が増加します。

[ NSBASE-15447 ]

LogStream トランスポートタイプが Insight 用に構成されている場合、クライアントIPとサーバーIPはHDX Insight SkipFlowレコードで反転されます。

[ NSBASE-8506 ]

Citrix ADC ICAPサポート

Citrix ADCアプライアンスは、HTTPおよびHTTPSトラフィックのコンテンツ変換サービスに対してInternet Content Adaptation Protocol(ICAP)をサポートするようになりました。アプライアンスは ICAP クライアントとして機能し、マルウェア対策やデータ漏洩防止 (DLP) などのサードパーティ製 ICAP サーバーと相互運用します。ICAP サーバーは HTTP および HTTPS メッセージでコンテンツ変換を実行し、変更されたメッセージとしてアプライアンスに応答します。適合するメッセージは、HTTP または HTTPS の応答または要求です。詳細については、「https://docs.citrix.com/en-us/netscaler/12-1/security/icap-for-remote-content-inspection.html」を参照してください。

[ NSBASE-825 ]

ユーザーインターフェイス

MQTT リライト機能では、GUI のエクスプレッションエディタを使用してエクスプレッションを削除することはできません。

回避策:

CLI から MQTT タイプの add または edit action コマンドを使用します。

[ NSUI-18049 ]

Citrix ADC GUIでは、Dashboardタブの下にあるHelpリンクが壊れています。

[ NSUI-14752 ]

CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge コネクタの設定に失敗することがあります。

回避策:

Citrix ADC GUIまたはCLIを使用して、IPsecプロファイル、IPトンネル、およびPBRルールを追加して、Cloudbridgeコネクタを構成します。

[ NSUI-13024 ]

GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。

[ NSUI-6838 ]

高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。

  • HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。

回避策:

HA 同期が完了した後(両方のノードが同期成功状態にある)のみ、手動の HA フェールオーバーを連続して実行します。

[ NSHELP-25598 ]

Citrix ADCアプライアンスのバージョン13.0-71.xを以前のビルドにダウングレードすると、ファイル権限が変更されたために一部のNitro APIが機能しないことがあります。

回避策:

/nsconfig/ns.conf の権限を 644 に変更します。

[ NSCONFIG-4628 ]

あなた(システム管理者)がCitrix ADCアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。

  1. Citrix ADCアプライアンスをいずれかのビルドにアップグレードします。
  • 13.0 52.24 ビルド
  • 12.1 57.18 ビルド
  • 11.1 65.10 ビルド
  1. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
  2. Citrix ADCアプライアンスを古いビルドにダウングレードします。

CLI を使用してこれらのシステムユーザーの一覧を表示するには、 コマンドプロンプトで次のように入力します。

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

回避策:

この問題を修正するには、次の独立したオプションのいずれかを使用します。

  • Citrix ADCアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。
  • アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
  • 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。

詳しくは、https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。

[ NSCONFIG-3188 ]

Citrix ADC 13.1—12.51 リリースのリリースノート