Citrix ADC

メモ

このリリースノートドキュメントでは、Citrix ADCリリースBuild 13.1〜21.50に存在する機能強化と変更、修正された問題、既知の問題について説明します。

このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。

ビルド 13.1-21.50 以降のビルドは、 https://support.citrix.com/article/CTX457048で説明されているセキュリティ脆弱性に対処します。

新機能

ビルド 13.1—21.50 で使用できる機能強化と変更点。

ボット管理

ユーザーの地理的位置に基づくボットレート制限手法

ボットレート制限検出技術により、ユーザーの地理的位置に基づいてトラフィックボットを制限できるようになりました。この設定では、国名を URL または Cookie 名に似た値として設定できます。これにより、国ごとに異なるレート制限を適用できます。以前の検出技術では、クライアントの IP アドレス、セッション、または URL のみに基づいてトラフィックをレート制限できました。

[NSBOT-753]

ヘッドレスブラウザ検出のためのデバイスフィンガープリント (DFP) 技術の拡張

ハッカーは、複数ユーザーアカウントの作成、チケットの予約、価格の廃棄、クレデンシャルスタッフィング、チケットスピン攻撃などのプロセスを自動化することで、ヘッドレスブラウザを介してサーバーリソースにアクセスできます。

ボットプロファイルのデバイスフィンガープリント (DFP) 検出技術が、ヘッドレスボットと Web ドライバーボットを検出するインテリジェンスによって強化されました。ヘッドレスブラウザボットトラフィックを軽減するには、[ヘッドレスブラウザ検出] オプションと [デバイスフィンガープリント検出] 機能を有効にする必要があります。

[NSBOT-747]

Citrix Web App Firewall

JSON コマンドインジェクション攻撃に対するきめ細かい緩和

Citrix ADCアプライアンスでは、JSONコマンドインジェクション攻撃に対してきめ細かい緩和を構成できるようになりました。

[NSWAF-8511]

JSON クロスサイトスクリプティング攻撃に対するきめ細かい緩和

Citrix ADCアプライアンスでは、JSONクロスサイトスクリプティング攻撃に対してきめ細かい緩和を構成できるようになりました。

[NSWAF-8510]

JSON SQL インジェクション攻撃に対するきめ細かい緩和

Citrix ADCアプライアンスでは、JSON SQLインジェクション攻撃に対してきめ細かい緩和を構成できるようになりました。

[NSWAF-8509]

負荷分散

強化された望ましい状態 API エラーメッセージ

サービスグループメンバーのIPアドレスが、CS仮想サーバーなどの他のCitrix ADCエンティティにすでに関連付けられている場合に表示されるエラーメッセージが拡張されます。失敗の理由がエラーメッセージで明らかになりました。以前は、エラーメッセージが失敗した理由は不明でした。

[NSLB-9005]

Desired State API は、既存のサーバ IP アドレスと名前の再利用をサポート

Desired State API では、サービスグループメンバーの IP アドレスが既存のサーバと一致する場合でも、サービスグループメンバーをサービスグループにバインドできるようになりました。既存のサーバの IP アドレスと名前は、サービスグループメンバーのバインド中に再利用されます。

以前は、IP アドレスが一致すると、サービスグループメンバーをサービスグループにバインドできませんでした。

[NSLB-9004]

ネットワーク

拡張 ACL の IPv4 データセットにおける CIDR ベースのバインディングのサポート

拡張 ACL は、CIDR 表記で指定された IPv4 アドレス範囲を含む IPv4 データセットをサポートするようになりました。

[NSNET-24452]

DPDKモードでのCitrix ADC BLXアプライアンスのソフトウェア受信側スケーリングのサポート

DPDKモードのCitrix ADC BLXアプライアンスは、より多くのパケットエンジンで構成されており、送信(Tx)および受信(Rx)キューの数が少ないNICポートをサポートしません。

DPDKモードのCitrix ADC BLXアプライアンスは、次の両方の条件が満たされる場合、NICポートを使用しません。

  • アプライアンスには、限られた数の送信キュー(Tx)と受信キュー(Rx)をサポートするNICポートがあります。たとえば、7 と入力します。
  • アプライアンスは、より多くのパケットエンジンを使用して構成されています。たとえば、28 と入力します。

この問題を解決するために、ビルド13.1 21.x以降、Citrix ADC BLXアプライアンスはソフトウェア受信側スケーリング(RSS)を使用して、受信したパケットを複数のパケットエンジンにわたってNICポートで効率的に分散します。

ソフトウェア RSS モジュールは、各 NIC ポートに Rx と Tx の論理キューペアを割り当てます。その後、キューペアはパケットエンジン PE-0 にマッピングされます。

NIC ポートの Rx キュー内のパケットごとに、PE-0 は RSS ハッシュアルゴリズムを使用してパケットエンジンを選択します。次に PE-0 は、選択したパケットエンジンにパケットを送信して処理します。パケットの処理が完了すると、PE-0 は NIC ポートの Tx キューにパケットを送信します。

[NSNET-23133]

Citrix ADC GUI、Citrix ADC CLI、またはCitrix ADC NITRO APIを使用して、内部HTTP GUIサービスを構成します

Citrix ADCアプライアンスでは /etc/httpd.conf 、Citrix ADC GUIへの接続を管理する内部HTTP GUIサービスの構成ファイルです。

httpd.confファイルを使用して内部HTTP GUIサービスを構成する代わりに、Citrix ADC GUI、Citrix ADC CLI、またはCitrix ADC NITRO APIを使用できるようになりました。たとえば、Citrix ADC CLIを使用して、内部HTTPサービスに一度に接続できるクライアントの最大数を変更できます。

内部 HTTP GUI サービスの名前形式は次のとおりです。 nshttpd-gui-<loop back IP address>-80

Citrix ADCサービスコマンド操作を使用して、内部HTTP GUIサービスを構成します。

[NSNET-20350]

プラットフォーム

Citrix ADC MPX 9100プラットフォームのサポート

このリリースでは、Citrix ADC MPX 9100 プラットフォームがサポートされています。MPX 9110、MPX 9120、およびMPX9130モデルが含まれています。詳細については、「 Citrix ADC MPX 9100」を参照してください。

[NSPLAT-23308]

Citrix ADC SDX 9100プラットフォームのサポート

このリリースでは、Citrix ADC SDX 9100プラットフォームがサポートされています。SDX 9120モデルとSDX 9130モデルが含まれています。詳細については、「 Citrix ADC SDX 9100」を参照してください。

[NSPLAT-23299]

AWS および GCP クラウドで SSL-TPS のパフォーマンスを向上させる

パケットエンジン (PE) の重みを均等に分散することで、AWS と GCP クラウドで SSL-TPS のパフォーマンスを向上させることができます。これを行うには、Citrix ADC CLIで次のコマンドを実行してPEモードを設定します。

set cpuparam pemode [CPUBOUND | Default]

Azure クラウドでは、PE の重みは既定で均等に分散されます。この機能によって Azure インスタンスのパフォーマンスは向上しません。

[NSPLAT-22570]

Citrix ADC VPXインスタンスでのVMware ESXi 7.0アップデート3cのサポート

Citrix ADC VPX インスタンスは、VMware ESXi バージョン 7.0 アップデート 3c(ビルド 19193900)をサポートするようになりました。

[NSPLAT-22468]

SSL

Citrix ADCプラットフォームでのSSLチップ使用率の詳細を表示する

リリース 13.1 ビルド 21.x から、Intel Coleto チップおよび MPX 9100 (Lewisburg) プラットフォームに付属する MPX および SDX プラットフォームでの SSL チップ使用率に関する詳細を表示するカウンタが追加されました。サポートされていないプラットフォームでは、これらのカウンタの値は 0.0 と表示されます。

詳細については、 インテル Coleto および Lewisberg SSL チップベースのプラットフォームのサポートを参照してください

[NSSSL-10996]

DTLS を使用した ECDSA 証明書と暗号のサポート

ECDSA 証明書と暗号は、仮想サーバーやサービスなどの DTLS エンティティで使用できるようになりました。

[NSSSL-9535]

システム

TCP オプションヘッダーでのクライアント詳細の送信に関する拡張機能

  • Citrix ADCアプライアンスは、最初のデータパケットに加えて、3ウェイハンドシェイクの最後のACKパケットにクライアントIPアドレスを挿入するようになりました。以前は、アプライアンスは最初のデータパケットでのみクライアント IP アドレスを送信していました。
  • Citrix ADCアプライアンスは、挿入モード構成のTCPオプションでクライアントポートの送信をサポートするようになりました。この機能を有効または無効にするためのパラメータSend Client Port in Tcp Option (sendClientPortInTcpOption)が TCPプロファイルに導入されました。

[NSBASE-15635]

解決された問題

ビルド 13.1—21.50 で解決されている問題。

認証、承認、監査

SAML構成で使用されているSSL証明書とキーのペアの更新中にエラーが発生すると、Citrix ADCアプライアンスがクラッシュすることがあります。この問題を解決するには、証明書のバインドを解除し、証明書を更新してから再度バインドします。

[NSHELP-30270]

SAMLを使用したログイン要求に「」(一重引用符)以外の空白文字が含まれている場合、ユーザーはCitrix ADCアプライアンスにログインできません。今回の修正により、すべての空白文字が許可されるようになりました。

[NSHELP-29773]

KCD SSOの一部である委任されたユーザーにAS_REQ要求を送信する際、Citrix ADCアプライアンスは、ドメインコントローラー(DC)がすべての暗号化タイプを公開するときに、次の優先度を持つ暗号化タイプを選択します。

  1. ETYPE_ARCFOUR_HMAC_MD5
  2. ETYPE_AES128_CTS_HMAC_SHA1_96
  3. ETYPE_AES256_CTS_HMAC_SHA1_96Instead of
  4. ETYPE_AES256_CTS_HMAC_SHA1_96
  5. ETYPE_AES128_CTS_HMAC_SHA1_96
  6. ETYPE_ARCFOUR_HMAC_MD5

[NSHELP-28681]

認証、承認、および auditing.login.Password を使用すると、認証が失敗することがあります。

[NSHELP-28101]

次の両方の条件が満たされると、Citrix ADCアプライアンスがバックエンドサーバーとSSOループに入り、メモリが蓄積される可能性があります。

  • ADC アプライアンスは、バックエンドサーバーとのネゴシエーションおよび NTLM SSO 認証を実行します。
  • バックエンドサーバーは両方の認証を実行できません。

[NSHELP-27757]

プライマリコントローラカードとセカンダリコントローラカード間でセッションとキー構成の同期が行われると、Citrix ADCアプライアンスがクラッシュすることがあります。

[NSHELP-26891]

Citrix ADC SDXアプライアンス

ファクトリパーティションに十分な領域がないためにクリーンインストールが失敗すると、誤ったメッセージが表示されます。

[NSHELP-30136]

[クラスタノードの追加(Add Cluster Node)] ページの [バックプレーン(backplane)] フィールドは、次のいずれかの条件が満たされない

  • このノードグループは、レイヤ 3 クラスタ用にすでに存在しています。
  • これはレイヤー 2 クラスタです。

[NSHELP-29701]

Citrix Gateway

SAML と EPA が nFactor 認証の連続要素として設定されている場合、VPN クライアントユーザは正常にログアウトできません。今回の修正により、ユーザーは問題なくログアウトできるようになりました。

[NSHELP-30193]

Citrix ADC GSLBおよびSSL VPNのセットアップで、DTLS ICA接続の処理中にメモリリークが観察されます。その結果、接続が切断され、メモリが増加します。

[NSHELP-30182]

PCoIP アプリとデスクトップをブラウザーから起動すると起動に失敗し、エラーメッセージVMware client missingが表示されます。この問題は、 vmware-view プロトコルが許可されたプロトコルのリストに追加されていないために発生します。

[NSHELP-30062]

macOS でアンチウイルスの最後のフルシステムスキャンを確認するための EPA スキャンが失敗します。

[NSHELP-29571]

バイナリレスポンスが有効になっていると、Citrix Gateway VPNフルトンネルが期待どおりに機能しません。その結果、NSAAC Cookie が破損します。今回の修正により、バイナリレスポンスは以前の VPN プラグインで動作するようになりました。ただし、JSON応答と互換性のある最新のVPNプラグインを使用することをお勧めします。

[NSHELP-28729]

負荷分散

パーティション化されたCitrix ADCアプライアンスは、追加のヘッダー(EDNS)を含むDNS要求パケットの処理中にコアをダンプすることがあります。

[NSHELP-30796]

Autoscale DNS デプロイメントでは、TROFS 状態のメンバーはヘルスチェックの失敗を検出して応答しません。

[NSHELP-29628]

次の条件が満たされると、書き換えポリシーを負荷分散仮想サーバーにバインドしているときに、Citrix ADCアプライアンスがクラッシュすることがあります。

  1. 2 つ目の式を評価すると、進行中の 1 つ目の式のポリシー状態変数が上書きされます。
  2. DETERMINE_SERVICES ポリシーの状態変数は、負荷分散仮想サーバーによって定義されたルールによって上書きされます。

[NSHELP-29449]

show service コマンドを実行したときに表示されるモニタの応答時間が正しくない場合があります。

[NSHELP-28994]

SMPP 再試行メッセージは、要求が成功した場合でもクラスタ内のすべてのノードに送信されます。このシナリオでは、Citrix ADCアプライアンスのメモリ消費量が高くなります。

[NSHELP-28332]

ネットワーク

Citrix ADC BLXアプライアンスをリリース13.1ビルド17.xにアップグレードすると、アプライアンスが起動しないことがあります。

[NSNET-25002]

jsonschema ホストにpythonモジュールがない場合、RHELベースのLinuxホストへのCitrix ADC BLXアプライアンスのインストールは失敗します。

[NSNET-24638]

Citrix ADC BLXアプライアンスをDPDKでアップグレードすると、次の条件がすべて満たされると失敗します。

  • Citrix ADC BLX アプライアンスは Debian ベースの Linux ホストで実行されています
  • Citrix ADCリリース13.0ビルド82.x以前からリリース13.1ビルド17.xへのアップグレードが行われます。

[NSNET-24622]

ポート設定で TCP ACL ルールを設定した後に ICMP ACL ルールを設定すると、次の問題が発生する場合があります。

  • Citrix ADCアプライアンスは、TCP ACLの同じポート設定をICMP ACLにも誤って追加します。

[NSHELP-31114]

次の条件が満たされると、GUI を使用して INAT ルール内のプライベート IP アドレスを変更すると失敗します。

  • INAT ルールでは接続フェールオーバーが有効になっています。

[NSHELP-30792]

Citrix ADCアプライアンスのシリアルコンソールで、VTYSHプロンプトまたはシェルプロンプトに出力が表示されないことがあります。

[NSHELP-30446]

IP セットが既にバインドされているネットプロファイルを変更すると、次のエラーで失敗することがあります。

  • IP set is already bound to the network profile

[NSHELP-29363]

大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にCitrix ADCアプライアンスがクラッシュすることがあります。

  • アプライアンスの LSN モジュールの参照カウントのフィルタリングとマッピングは 0 以外です。

[NSHELP-28842]

プラットフォーム

仮想マシンが起動の初期段階にある場合、AzureクラウドでホストされているCitrix ADC VPXインスタンスのシリアルコンソールにはアクセスできません。

[NSPLAT-23010]

Citrix ADC VPX HA フェイルオーバー中に、IP セットを IP アドレスにバインドせずに IPset を構成すると、AWS クラウドでの Elastic IP アドレスの移動が失敗します。

[NSHELP-29425]

SSL

RC4 暗号スイートは、 Illegal parameter error メッセージ付きの SSL ハンドシェイク中に失敗します。

[NSSSL-11463]

SSLインターセプトが有効になっていて、期限切れの証明書を使用してバックエンドサーバーにアクセスする複数の並列要求がある場合、Citrix ADCアプライアンスがクラッシュします。

[NSHELP-29520]

クラスタのセットアップでは、次の問題が発生する可能性があります。

  • CLIP の SSL 内部サービスにバインドするデフォルトの証明書とキーのペアに対するコマンドがありません。ただし、古いビルドからアップグレードする場合は、デフォルトの証明書とキーのペアを、CLIP 上の影響を受ける SSL 内部サービスにバインドする必要があります。
  • 内部サービスに対するデフォルトの set コマンドの CLIP とノード間の設定の不一致。
  • ノードで実行される show running config コマンドの出力で、SSL エンティティに対するデフォルトの暗号バインドコマンドがありません。省略は表示上の問題にすぎず、機能への影響はありません。このバインディングは show ssl <entity> <name> コマンドを使用して表示できます。

[NSHELP-25764]

システム

次のいずれかの状況が発生すると、Citrix ADCアプライアンスがクラッシュします。

  • syslog アクションはドメイン名で設定され、GUI または CLI を使用して設定をクリアします。
  • 高可用性同期はセカンダリノードで行われます。[NSHELP-30987、NSHELP-28121、NSHELP-29843]

Citrix ADCアプライアンスから転送されるすべてのデータパケットには、構成されたTTL値ではなく、クライアントまたはサーバーから送信された値が含まれます。

[NSHELP-30683]

Citrix ADCアプライアンスは、HTTP以外のデータパケットの一部をバックエンドサーバーに転送できません。

[NSHELP-30192]

特定のシナリオでは、次の条件が満たされた場合、Citrix ADCアプライアンスは一部のHTTPパケットをバックエンドサーバーに転送しません。

  • Citrix ADC 機能が内部でHTTPパケットのクローンを作成する場合。

[NSHELP-29958]

Citrix ADCアプライアンスが、IPv6トランザクションに関連するAppFlowレコードにIPv4アドレスを誤って追加することがあります。

[NSHELP-29261]

ICAPモジュールからクライアントへのチャンク応答を再生すると、Citrix ADCアプライアンスがクラッシュすることがあります。

[NSHELP-28788]

Pitboss 障害は、再送信キューに大量のパケットをループさせると発生します。

[NSHELP-26071]

TCP プロトコルを使用して外部 SYSLOG サーバにログインすると、一部の SYSLOG メッセージがドロップされます。

[NSHELP-24522]

特定のシナリオでは、IP アドレスベースのフィルタを適用すると、nstrace パケットキャプチャですべてのパケットが失われます。

[NSHELP-23483]

ユーザーインターフェイス

Citrix ADC GUIでキャッシュフィルタリングが期待どおりに機能しないことがあります。

[NSHELP-30392]

Citrix ADCアプライアンスが外部認証サーバーを使用するように構成されている場合、グローバルに無効に設定されているrbaonResponseパラメーターに関係なく、statコマンドの実行が遅れることがあります。パラメータは GUI または CLI から無効にできます。

[NSHELP-30289]

Citrix ADC GUIはRAPI呼び出しを処理しないため、GUIの一部のコンポーネントが応答しなくなります。

[NSHELP-30231]

場合によっては、Citrix ADC GUIの[SSLキー]タブからSSLキーを読み込めないことがあります。

[NSHELP-28870]

フィルター付きの NITRO GET リクエストに対する API レスポンスには、フィルターに記載されていない場合でも追加情報が含まれている場合があります。

[NSHELP-28598]

管理パーティションの設定で、証明書失効リスト (CRL) ファイルのアップロードと追加が失敗する。

[NSHELP-20988]

既知の問題

リリース 13.1 ~ 21.50 に存在する問題。

AppFlow

HDX Insightは、ユーザーがアクセスできないアプリケーションまたはデスクトップを起動しようとしたことによるアプリケーションの起動失敗を報告しません。

[NSINSIGHT-943]

認証、承認、監査

Citrix ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。

[NSHELP-563]

DualAuthPushOrOTP.xml LoginSchemaが、Citrix ADC GUIのログインスキーマエディタ画面に正しく表示されません。

[NSAUTH-6106]

ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。 show adfsproxyprofile <profile name>

回避方法:

クラスタ内のプライマリのアクティブなCitrix ADCに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

[NSAUTH-5916]

次の手順を実行すると、Citrix ADC GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。

  • [LDAP 到達可能性をテスト] オプションが開きます。
  • 無効なログイン認証情報が入力され、送信されます。
  • 有効なログイン認証情報が入力され、送信されます。

回避方法:

[LDAP 到達可能性のテスト] オプションを閉じて開きます。

[NSAUTH-2147]

キャッシュ

統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、Citrix ADCアプライアンスがクラッシュすることがあります。

[NSHELP-22942]

Citrix ADC SDXアプライアンス

Citrix ADC SDXアプライアンスでは、CLAGがMellanox NIC上に作成されている場合、VPXインスタンスの再起動時にCLAG MACが変更されます。VPXインスタンスへのトラフィックは再起動後に停止します。これは、MACテーブルに古いCLAG MACエントリがあるためです。

[NSSVM-4333]

Mellanox NICを搭載したCitrix ADC SDXアプライアンスで、Mellanox NICを持つVPXインスタンスのスループットを変更すると、VPXインスタンスが再起動します。

[NSHELP-31305]

Citrix ADC SDXアプライアンスでは、バーストスループット割り当てモードを構成すると、ADCインスタンスは最大容量までバーストしません。

[NSHELP-27477]

次の条件が満たされると、Citrix ADC SDXアプライアンスでホストされているVPXインスタンスでパケットドロップが表示されます。

  • スループット割り当てモードはバーストです。
  • スループットと最大バーストキャパシティには大きな違いがあります。

[NSHELP-21992]

Citrix ADC SDXアプライアンスをリリース13.1ビルド21.50以降にアップグレードすると、SSL復号化とMAC比較が失敗することがあります。その結果、SSLハンドシェイクの失敗、VPXステータスのフラッピング、VPXインスタンスGUIの利用不能、仮想サーバーとアプリケーションのダウンが発生する可能性があります。

注:この問題は、SDX 8900、SDX 15000、SDX 15000-50G、SDX 26000、およびSDX 26000-50Sのプラットフォームで発生します。

[NSHELP-31672]

Citrix Gateway

場合によっては、ポート53を使用する一部の非DNSプロトコル(STUNなど)の問題が原因で、macOS向けのCitrix Secure Accessが接続を切断することがあります。

[NSHELP-31004]

Always on が設定されている場合、aoservice.exe ファイルのバージョン番号(1.1.1.1)が正しくないため、ユーザトンネルが失敗します。

[NSHELP-30662]

[NetworkAccessonVPNFailure]プロファイルパラメーターを[フルアクセス]から[OnlyToGateway]に変更すると、ユーザーはCitrix Gateway アプライアンスに接続できなくなります。

[NSHELP-30236]

Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。

[NSHELP-29675]

サーバー証明書が信頼されていると、サーバー検証コードが失敗することがあります。その結果、エンドユーザーはゲートウェイにアクセスできなくなります。

[NSHELP-28942]

macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。

[NSHELP-28551]

クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にCitrix Gateway からログアウトすることがあります。

[NSHELP-28404]

GUI を使用してクラシック認可ポリシーをバインド解除することはできません。ただし、CLI を使用して認証、承認、および監査認可ポリシーのバインドを解除することはできます。

今回の修正により、GUI を使用して承認ポリシーのバインドを解除できるようになりました。

[NSHELP-27064]

高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。

  • HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。

回避方法:

HA 同期が完了した後(両方のノードが同期成功状態にある)のみ、手動の HA フェールオーバーを連続して実行します。

[NSHELP-25598]

Windows 用 EPA プラグインは、ローカルマシンの構成済みプロキシを使用せず、ゲートウェイサーバーに直接接続します。

[NSHELP-24848]

Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。

[NSHELP-23937]

次の条件を満たす場合、Windows ログオン後に VPN プラグインはトンネルを確立しません。

  • Citrix Gateway アプライアンスが常時オン機能用に構成されている
  • アプライアンスは 2 要素認証offによる証明書ベースの認証用に設定されています。

[NSHELP-23584]

スキーマを参照しているときに、エラーメッセージCannot read property 'type' of undefinedが表示されることがあります。

[NSHELP-21897]

Windowsログオン機能の前に常時接続VPNを使用する場合は、Citrix Gateway 13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を活用できます。

[CGOP-19355]

無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight で報告されません。

[CGOP-13621]

Gateway Insight SAML レポートでは、SAML エラーエラーの [認証タイプ] Local フィールドではなく、誤って値が表示されます。

[CGOP-13584]

高可用性セットアップでは、Citrix ADCフェールオーバー中に、Citrix ADM フェイルオーバーカウントの代わりにSRカウントが増加します。

[CGOP-13511]

ICA接続をMACレシーバーバージョン19.6.0.32またはCitrix Virtual Apps and Desktopsバージョン7.18から起動すると、HDX Insight機能は無効になります。

[CGOP-13494]

EDT Insight機能を有効にすると、ネットワークの不一致時にオーディオチャンネルが失敗することがあります。

[CGOP-13493]

ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承諾 ] ダイアログボックスには、選択した言語に関係なく英語でコンテンツが表示されます。

[CGOP-13050]

一部の言語では、Citrix SSOアプリ > ホームページのテキストHome Pageが切り捨てられます。

[CGOP-13049]

Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

[CGOP-11830]

Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、[ 重大なエラー ] ダイアログボックスが表示されます。また、ページが応答しなくなります。

[CGOP-7269]

負荷分散

高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

[NSLB-7679]

サービスグループのentityofsトラップ内の serviceGroupName の形式は次のとおりです。 <service(group)name>?<ip/DBS>?<port>

トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (?) はセパレータとして使用されます。Citrix ADCは、疑問符(?)付きのトラップを送信します。このフォーマットは、Citrix ADM GUIでも同じように表示されます。これは予想される動作です。

[NSHELP-28080]

その他

高可用性セットアップで強制同期が行われると、アプライアンスはセカンダリノードでset urlfiltering parameterコマンドを実行します。 その結果、セカンダリノードは、 TimeOfDayToUpdateDB パラメータで指定された次のスケジュールされた時刻まで、スケジュールされた更新をスキップします。

[NSSWG-849]

URLフィルタリングのサードパーティベンダーで接続の問題が発生した場合、管理CPUの停滞によりCitrix ADCアプライアンスが再起動することがあります。

[NSHELP-22409]

ネットワーク

DPDKをサポートするCitrix ADC BLXアプライアンスでは、DPDKインテルi350 NICポートではタグ付きVLANはサポートされません。これは、DPDK ドライバに存在する既知の問題であるため、確認されています。

[NSNET-25299]

DPDKを搭載したCitrix ADC BLXアプライアンスは、次の条件をすべて満たすと再起動に失敗することがあります。

  • Citrix ADC BLXアプライアンスは、hugepagesの小さい数が割り当てられます。たとえば、1G です。
  • Citrix ADC BLXアプライアンスには、多数のワーカープロセスが割り当てられています。たとえば、28 と入力します。

この問題は、 /var/log/ns.logにエラーメッセージとして記録されます。

  • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

注:x はワーカープロセス数以下の数です。

回避方法:

多数のhugepagesを割り当て、アプライアンスを再起動します。

[NSNET-25173]

DPDKを搭載したCitrix ADC BLXアプライアンスは、次の条件が満たされると再起動に失敗することがあります。

  • Citrix ADC BLXアプライアンスにはhugepagesの大きい数が割り当てられます。たとえば、16 GB と入力します。

この問題は、 /var/log/ns.logにエラーメッセージとして記録されます。

  • EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

回避方法:

この問題を解決するには、次のいずれかの回避策を使用します。

  • ulimitコマンドを使用するか、limits.confファイルを編集して、Linux ホストで開くことができるファイルの上限を増やします。
  • 割り当てられたhugepagesの数を減らします。

[NSNET-24727]

DPDKモードのCitrix ADC BLXアプライアンスは、DPDKイージー機能により、再起動に少し時間がかかる場合があります。

[NSNET-24449]

DPDKを搭載したCitrix ADC BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。

  • 無効化
  • 有効化
  • リセット

[NSNET-16559]

Debian ベースのLinuxホスト(Ubuntuバージョン18以降)でCitrix ADC BLXアプライアンスのインストールが失敗し、次の依存関係エラーが表示されることがあります。

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

回避方法:

Citrix ADC BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。

  • dpkg — アーキテクチャーの追加 i386
  • apt-get アップデート
  • apt-get dist-upgrade
  • apt-get install libc6:i386

[NSNET-14602]

FTPデータ接続の場合、Citrix ADCアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対するTCP処理は実行しません。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。

[NSNET-5233]

Citrix ADCアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリの制限は、管理パーティションの新しいメモリ制限に自動的に設定されます。

[NSHELP-21082]

プラットフォーム

高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および Citrix ADC VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。

  1. Citrix ADCアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
  2. その後、Citrix ADCアプライアンスを再起動します。

[NSPLAT-22013]

13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがCitrix ADCアプライアンスにインストールされません。この問題は、次のCitrix ADCバージョンで修正されています。

  • 13.1-4.x
  • 13.0—82.31 およびそれ以降
  • 12.1—62.21 およびそれ以降

Citrix ADC バージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。

  • 任意の 11.1 ビルド
  • 12.1—62.21 およびそれ以前
  • 13.0-81.x およびそれ以前

[NSPLAT-21691]

Citrix ADC SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、2番目のノードとCLIPでCLAG MACの不一致があります。

  • CLAG はメラノックス NIC 上に作成されます。
  • クラスターとCLAGセットアップに別のVPXインスタンスを追加します。

その結果、VPXインスタンスへのトラフィックが停止します。

[NSPLAT-21049]

Citrix ADC SDXアプライアンスでのクラスター設定では、次の条件が満たされると、CLIPテーブルとMACテーブルでMACアドレスが一致しないため、最初のノードがダウンします。

  • CLAG はメラノックス NIC 上に作成されます。
  • クラスタから 2 つ目のノードを削除します。

[NSPLAT-21042]

Azureリソースグループから自動スケール設定またはVMスケールセットを削除する場合は、Citrix ADCインスタンスから対応するクラウドプロファイル構成を削除します。rm cloudprofile コマンドを使用して、プロファイルを削除します。

[NSPLAT-4520]

Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。 回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノードで設定する必要があります。

[NSPLAT-4451]

Citrix ADCリリース13.1以降、Citrix ADCアプライアンスは、8つを超えるVMXNET3ネットワークインターフェイスを備えたESXiハイパーバイザーで起動に失敗します。

[NSHELP-31266]

ポリシー

処理データのサイズが、設定されたデフォルトの TCP バッファサイズを超えると、接続がハングすることがあります。回避策:TCP バッファサイズを、処理が必要なデータの最大サイズに設定します。

[NSPOLICY-1267]

一部のシナリオでは、AppExpert変数のクリア操作で割り当てアクションを使用すると、Citrix ADCアプライアンスがクラッシュすることがあります。

[NSHELP-29766]

SSL

Citrix ADC SDX 22000およびCitrix ADC SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。

回避方法:

  1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:set ssl vserver <name> -SSL3 DISABLED
  2. 構成を保存します。

[NSSSL-9572]

認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

[NSSSL-6478]

同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。

[NSSSL-6213]

HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。 エラー:crl リフレッシュが無効

[NSSSL-6106]

セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

[NSSSL-4427]

SSL プロファイルの SSL プロトコルまたは暗号を変更しようとすると、不正な警告メッセージWarning: No usable ciphers configured on the SSL vserver/service,が表示されます。

[NSSSL-4001]

期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。

[NSSSL-3184、NSSSL-1379、NSSSL-1394]

MPX 8900およびMPX 15000 FIPS認定アプライアンスでは、ECDHEトラフィックを実行するとメモリリークが発生する可能性があります。

[NSHELP-30744]

システム

レスポンダーポリシーが構成されていて、ヘッダーの破損につながる書き換えポリシーを追加すると、Citrix ADC VPXインスタンスがクラッシュする可能性があります。

回避方法:

レスポンダーポリシーを削除します。

[NSHELP-28512、NSHELP-30415]

アプライアンスがクライアントから max_concurrent_stream 設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS 値はデフォルトで 100 に設定されます。

[NSHELP-21240]

mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。

[NSHELP-10972]

クラスタ展開では、CCO以外のノードでforce cluster syncコマンドを実行すると、ns.log ファイルに重複するログエントリが含まれます。[NSBASE-16304、NSGI-1293]

KubernetesクラスタにCitrix ADMをインストールすると、必要なプロセスが起動しない可能性があるため、期待どおりに動作しません。

回避策:管理ポッドを再起動します。

[NSBASE-15556]

LogStreamトランスポートタイプがInsight用に構成されている場合、HDX Insight SkipFlowレコードでは、クライアントIPとサーバーIPが反転します。

[NSBASE-8506]

Citrix ADCアプライアンスは、ヘッダー名フィールドにドット(”)の付いたカスタムHTTPヘッダーを含むパケットをドロップします。このアクションは、 allowOnlyWordCharactersAndHyphen パラメータがデフォルトの HTTP プロファイルでデフォルトで有効になっているために発生します。

回避策:デフォルトの HTTPプロファイルでallowOnlyWordCharactersAndHyphenを無効にします。ただし、Citrix では有効にしておくことをお勧めします。

[NSBASE-16722]

ユーザーインターフェイス

MQTT リライト機能では、GUI のエクスプレッションエディタを使用してエクスプレッションを削除することはできません。

回避方法:

CLI から MQTT タイプの add または edit action コマンドを使用します。

[NSUI-18049]

Citrix ADC GUIでは、Dashboardタブの下にあるHelpリンクが壊れています。

[NSUI-14752]

CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge コネクタの設定に失敗することがあります。

回避方法:

Citrix ADC GUIまたはCLIを使用して、IPsecプロファイル、IPトンネル、およびPBRルールを追加して、Cloudbridgeコネクタを構成します。

[NSUI-13024]

GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。

[NSUI-6838]

Citrix ADC BLXアプライアンスの高可用性セットアップでは、プライマリノードが応答しなくなり、CLIまたはAPI要求がブロックされることがあります。

回避方法:

プライマリノードを再起動します。

[NSCONFIG-6601]

あなた(システム管理者)がCitrix ADCアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。

  1. Citrix ADCアプライアンスをいずれかのビルドにアップグレードします。
  • 13.0 52.24 ビルド
  • 12.1 57.18 ビルド
  • 11.1 65.10 ビルド
  1. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
  2. Citrix ADCアプライアンスを古いビルドにダウングレードします。

CLI を使用してこれらのシステムユーザーの一覧を表示するには、 コマンドプロンプトで次のように入力します。

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

回避方法:

この問題を修正するには、次の独立したオプションのいずれかを使用します。

  • Citrix ADCアプライアンスがまだダウングレードされていない場合(前述の手順の手順3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。
  • アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
  • 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。

詳細については、「 ルート管理者 (nsroot) パスワードをリセットする方法」を参照してください。

[NSCONFIG-3188]

メモ