Citrix ADC

Citrix ADC 13.1-24.38リリースのリリースノート

このリリースノートのドキュメントでは、Citrix ADCリリースビルド13.1-24.38に存在する機能強化と変更、修正された既知の問題について説明します。

メモ

このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。

ビルド 13.1-24.38 以降のビルドは、 https://support.citrix.com/article/CTX457836で説明されているセキュリティの脆弱性に対処します。

新機能

ビルド 13.1-24.38 で利用できる機能強化と変更。

負荷分散

高可用性INCモードの接続フェイルオーバーサポート

Citrix ADCは、次の条件がすべて満たされた場合に、高可用性INCモードの接続フェイルオーバーをサポートするようになりました。

  • 仮想サーバーのサービスタイプは ANY です。
  • モードは DSR (MAC、IPTUNNEL、または TOS) です。
  • USIPは、仮想サーバーにバインドされたサービスで有効になっています。

[NSLB-9121]

CAA レコードのサポート

Citrix ADCアプライアンスは、認証局認証(CAA)レコードの追加をサポートするようになりました。CAA レコードは、ドメインの所有者が、ドメインの SSL 証明書を発行できる認証局 (CA) を指定できるドメインネームシステム (DNS) レコードの一種です。

この機能強化により、Web プレゼンスをさらに保護するレイヤーが提供されます。CAA レコードがないと、誰でもドメインの証明書署名要求 (CSR) を生成し、任意の CA によって署名された証明書を取得できるため、セキュリティ上のリスクが生じる可能性があります。

[NSLB-9007]

プラットフォーム

Citrix ADC SDX 8015プラットフォームでは、ライトアウト管理(LOM)バージョンが3.21から3.56にアップグレードされます。

Citrix ADC SDX 14000、SDX 14000-40G、SDX 14000-40S、およびSDX 14000-FIPSプラットフォームでは、LOMバージョンが4.08から4.14にアップグレードされます。

[NSPLAT-23416]

リソースグループ全体でCitrix ADCバックエンドAutoscale をVMSSでAzureでサポート

Citrix ADC VPXインスタンスは、次のシナリオでリソースグループ全体でAzureバックエンド自動スケーリングをサポートするようになりました。

Azure VMSSとCitrix ADC VPXインスタンスは、同じAzure仮想ネットワークに展開されます。 Azure VMSSとCitrix ADC VPXインスタンスは、同じAzureサブスクリプション内の異なるAzure仮想ネットワークに展開されます。これら 2 つの仮想ネットワークは、Azure の仮想ネットワークピアリング機能を使用して接続する必要があります。

この機能により、アプリケーションとネットワークリソースを異なるリソースグループに分離できます。

以前は、AzureでのCitrix ADCバックエンドAAutoscale は、VMSSとCitrix ADC VPXインスタンスが同じリソースグループに展開されている場合にのみ機能します。

[NSPLAT-16664]

システム

メトリクスコレクターのカウンターを購読する

Citrix ADCアプライアンスは、メトリックコレクターでカウンターをサブスクライブするオプションをサポートするようになりました。 メトリクスコレクターは、AVRO、Prometheus 形式、Influx DB 形式などのさまざまな形式で、30 秒ごとの時系列分析データのエクスポートをサポートします。メトリクスコレクターは、必要なカウンターをスキーマファイルに追加できるカウンターの動的更新をサポートしています。スキーマファイル名は CLI インターフェイスを使用して設定できます。メトリクスコレクターは、スキーマファイルからカウンター名を読み取り、エクスポートします。

以前は、メトリクスコレクターは、コンパイル時に定義済みのカウンターセットのエクスポートのみをサポートしていました。カウンターのリストを変更すると、ビルドのアップグレードが必要でした。 詳細については、「https://docs.citrix.com/en-us/citrix-adc/current-release/ns-ag-appflow-intro-wrapper-con/ns-ag-appflow-config-tsk.html」を参照してください。

[NSBASE-11595]

ユーザーインターフェイス

Citrix ADCライセンス有効期限アラートを構成する

Citrix ADCライセンスの有効期限が切れる前の指定された日数から次のアラート操作を実行するようにCitrix ADCアプライアンスを構成できるようになりました。

  • Citrix ADC GUIにライセンス有効期限の警告バナーを表示します。
  • SNMP アラームが有効な場合、ライセンスの有効期限情報を含む NS_LICENSE_EXPIRY SNMP トラップを、設定されたトラップリスナーに定期的に送信します。

[NSCONFIG-6360]

解決された問題

ビルド 13.1-24.38 で対処されている問題。

認証、承認、監査

ユニファイドゲートウェイのセットアップでは、認証が成功した後でも、ユニファイドゲートウェイの背後にあるサービスにアクセスすると、まれに再ログインページが表示されることがあります。

[NSHELP-31148、NSHELP-2799]

フォームベースの SSO は、URL クエリで key-value パラメーターを送信するバックエンドサーバーで失敗します。

[NSHELP-30975]

OAuth構成にターゲットURLがないため、大量のメモリ割り当てが原因でCitrix ADCアプライアンスがクラッシュする可能性があります。

[NSHELP-30963]

Chrome をシークレットモードで使用しているときに、RADIUS 認証で断続的な問題が発生することがあります。

[NSHELP-30944]

Citrix ADCアプライアンスの認証、承認、およびauditingDモジュールは、パケットエンジンから認証、承認、およびauditingDへの着信パスワードの長さがないか正しくないためにクラッシュする可能性があります。

[NSHELP-30911]

Citrix ADCアプライアンスは、nFactorプッシュ操作中にクラッシュします。

[NSHELP-30577]

Citrix ADCアプライアンスによる誤ったヘッダー追加により、Outlookアプリを介してOutlook交換サーバーに接続する際に断続的な障害が発生する可能性があります。

[NSHELP-30555]

Citrix ADCアプライアンスは、コア間の通信障害時にメモリ破損によりクラッシュする可能性があります。

[NSHELP-30275]

パスワード変更イベントがトリガーされると、認証セッション中にシングルサインオンが失敗します。この問題は、PersistentLogin attempts パラメーターが有効になっている場合にのみ発生します。

[NSHELP-28085]

RADIUS invalid credentials 認証プロセス中にエラーメッセージが表示されることがあります。このエラーは、Google Chromeブラウザを使用してクライアントデバイスからCitrix ADCアプライアンスにアクセスすると表示されます。

[NSHELP-27113]

Citrix ADCアプライアンスがネストされたLDAPグループ検索を実行すると、Citrix ADCアプライアンスの動作が無効なため、Active Directoryのグループ情報の一部が失われます。 groupSearchSubAttribute パラメータが適切に設定されている場合でも、ADC アプライアンスは誤った値をとります。

[NSHELP-26316]

Citrix ADCアプライアンスは、NOAUTHが401ベースの認証フローの最初の要素として構成され、後続の要素としてネゴシエートが構成されている場合にコアをダンプします。

[NSHELP-25203]

Citrix ADC SDXアプライアンス

Citrix ADC SDX GUIで、NTP構成ファイル(ntp.conf)のいずれかの行にスペースしか含まれていない場合、NTPサーバーを表示するとユーザーインターフェイスがフリーズする可能性があります。

[NSHELP-31530]

Mellanox NICを搭載したCitrix ADC SDXアプライアンスで、Mellanox NICを持つVPXインスタンスのスループットを変更すると、VPXインスタンスが再起動します。

[NSHELP-31305]

Citrix ADC SDXアプライアンスをリリース13.1ビルド21.50以降にアップグレードすると、SSL復号化とMAC比較が失敗することがあります。その結果、SSLハンドシェイクの失敗、VPXステータスのフラッピング、VPXインスタンスGUIの利用不能、仮想サーバーとアプリケーションのダウンが発生する可能性があります。

注:この問題は、SDX 8900、SDX 15000、SDX 15000-50G、SDX 26000、およびSDX 26000-50Sのプラットフォームで発生します。

[NSHELP-31672]

Citrix Gateway

まれに、VPN仮想サーバーで構成されたCitrix ADCアプライアンスが、Citrix Gateway へのログインに成功した後にクラッシュすることがあります。

[NSHELP-31481]

ICA DTLS セットアップで、STAチケットを処理するとCitrix Gateway アプライアンスがクラッシュします。

[NSHELP-31211]

Citrix ADCアプライアンスは、 UDPFLOWSTAT 承認ポリシーによって拒否されたUDPトラフィックに関するトラフィックを示すメッセージを誤って記録します。 Allowed

[NSHELP-29542]

送信プロキシが構成されている場合、Citrix ADCアプライアンスでメモリリークが発生する。

[NSHELP-29234]

[アクティブユーザセッション(Active Users Session)] ページには、エントリ数が 1 ページあたり 2000 に変更されない限り、すべてのアクティブユーザセッションは表示されません。

この修正により、すべてのユーザーセッションと接続を一覧表示する新しいリンク All user session (Citrix Gateway-> 接続の監視 > すべてのユーザーセッション)が管理UIに追加されます。

[NSHELP-29151]

show vpn icaConnection コマンド出力に、ICA接続のシリアル番号が正しく表示されません。この問題は、 show vpn icaconnection の実行時にシリアル番号が任意にリセットされるために発生します。

[NSHELP-25646]

Citrix Web App Firewall

Web App Firewall ポリシーは、構成 (ns.conf) ファイルに 2 回保存できます。

[NSHELP-30899]

引用符(一重引用符、二重引用符、またはバックティック)を含む WAF SQL インジェクションでは、パターンを攻撃としてマークするために開始引用符と終了引用符が存在する必要があります。ただし、パターンにコメントがある場合、閉じ引用符は不要です。

[NSHELP-30379]

負荷分散

ADCアプライアンスでECSが有効になっていて、場所が見つからない場合、スコーププレフィックスが正しく設定されません。この問題の結果、誤った永続性エントリが作成されます。不正な永続性エントリは、非静的近接ベースの GSLB 方式の要求で受信した ECS IP アドレスではなく、LDNS IP アドレスに基づいて作成されます。

[NSHELP-30846]

まれな競合状態のシナリオでは、Citrix ADCアプライアンスに次の構成が存在する場合、パケットエンジンがコアダンプでクラッシュする可能性があります。

  • GSLB 仮想サーバーは、ソース IP アドレスベースの永続性で構成され、DNS ロギングは ADNS サービスにバインドされた DNS プロファイルで有効になります。
  • DNS 負荷分散サーバーは、DNS プロファイルで DNS ログが有効になっていない状態で構成されます。

[NSHELP-29791]

その他

ポータル jQuery UI が 1.12.1 から 1.13.1 に更新され、セキュリティ情報:CVE-2021-41182、CVE-2021-41183、および CVE-2021-41184 で説明されている脆弱性に対処します。

[NSHELP-30209]

ネットワーク

DebianベースのLinuxホスト(Ubuntuバージョン18以降)では、Citrix ADC BLXアプライアンスは、BLX構成ファイル(/etc/blx/blx.conf)の設定に関係なく、常に共有モードで展開されます。この問題は、Debian ベースの Linux システムにデフォルトで存在するmawkが、blx.confファイルにある awk コマンドの一部を実行しないために発生します。

[NSNET-14603]

大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にCitrix ADCアプライアンスがクラッシュすることがあります。

  • LSN フィルタリングとマッピングのエントリは、アプライアンスには存在しません。

[NSHELP-30225]

一部のパケットがACLルールに一致したときに、ACLルールからデータセットをバインド解除すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

[NSHELP-30221]

大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にCitrix ADCアプライアンスがクラッシュすることがあります。

  • フィルタリングエントリの削除中、セッション参照カウントはゼロではありません。

[NSHELP-29348]

プラットフォーム

シングルバンドルイメージ(SBI)およびVPXバージョン13.1〜24.x以降を備えたCitrix ADC SDXアプライアンスでは、Fortville NICでVRRPを使用するアクティブ-アクティブ展開がサポートされます。この展開は L2 モードではサポートされていません。

展開には次の点が適用されます。

  • 関連するVPXインスタンスをアップグレードまたはダウングレードする前に、管理サービスからVRID構成を削除することをお勧めします。アップグレードまたはダウングレード操作が完了したら、管理サービスから VRID 構成を追加します。
  • 前述の推奨事項に従わない場合は、Management ServiceからVPXインスタンスを手動で再検出して、VRRPコンバージェンスを有効にする必要があります。

[NSHELP-30670]

RPC ノードのパスワードに特殊文字が含まれていると、GCP および AWS クラウド上の Citrix ADC VPX インスタンスの高可用性フェイルオーバーが失敗します。

[NSHELP-28600]

ポリシー

一部のシナリオでは、AppExpert変数のクリア操作で割り当てアクションを使用すると、Citrix ADCアプライアンスがクラッシュすることがあります。

[NSHELP-29766]

SSL

Citrix ADC MPX/SDX 14000 FIPSアプライアンスは、SAMLなどの内部アプリケーションによる暗号化操作のためのAPIの継続的な使用により、一定期間にわたってクラッシュする可能性があります。

[NSHELP-27952]

システム

AppFlow パラメーターTimeSeriesOverNSIPが有効になっていても、REST コレクターは停止します。

[NSHELP-30759]

Citrix ADCアプライアンスでは、次の条件が満たされると、HTTP/2トランザクションで遅延の問題が発生します。

  • バックエンドサービスで HTTP/2 SSL 設定が有効になっている
  • サービスは HTTP/2 プロトコルをサポートしていません。

[NSHELP-30020]

Citrix ADCアプライアンスは、サービスSYNフラッドカウンターで誤ったSNMPアラームを報告します。

[NSHELP-28710、NSHELP-28713]

ユーザーインターフェイス

プールライセンスで構成されたCitrix ADCアプライアンスをアップグレードすると、アプライアンスが部分的な構成で再起動することがあります。

[NSHELP-30926]

Citrix ADCアプライアンスで、GUIインターフェイスを使用してグローバルまたはデフォルトグローバルをオーバーライドするようにキャッシュポリシーをバインドすると、次のエラーで失敗します。

  • 必須の引数がありません。

このエラーは、CLI インターフェイスを使用してキャッシュポリシーをバインドしている間は発生しません。

[NSHELP-30826]

検索フィルターは、Citrix ADC GUIの[証明書の管理]>[CSR]ページの[名前]キーには使用できません。

[NSHELP-30274]

既知の問題

リリース13.1-24.38に存在する問題。

AppFlow

HDX Insightは、ユーザーがアクセスできないアプリケーションまたはデスクトップを起動しようとしたことによるアプリケーションの起動失敗を報告しません。

[NSINSIGHT-943]

認証、承認、監査

Citrix ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。

[NSHELP-563]

Citrix ADC GUIのログインスキーマエディター画面に DualAuthPushOrOTP.xml LoginSchema が正しく表示されません。

[NSAUTH-6106]

ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。 show adfsproxyprofile <profile name>

回避策:

クラスタ内のプライマリのアクティブなCitrix ADCに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

[NSAUTH-5916]

次の手順を実行すると、Citrix ADC GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。

  • [LDAP 到達可能性をテスト] オプションが開きます。
  • 無効なログイン認証情報が入力され、送信されます。
  • 有効なログイン認証情報が入力され、送信されます。

回避策:

[LDAP 到達可能性のテスト] オプションを閉じて開きます。

[NSAUTH-2147]

キャッシュ

統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、Citrix ADCアプライアンスがクラッシュすることがあります。

[NSHELP-22942]

Citrix ADC SDXアプライアンス

Citrix ADC SDXアプライアンスでは、CLAGがMellanox NIC上に作成されている場合、VPXインスタンスの再起動時にCLAG MACが変更されます。VPXインスタンスへのトラフィックは再起動後に停止します。これは、MACテーブルに古いCLAG MACエントリがあるためです。

[NSSVM-4333]

証明書名またはキー名にスペースが含まれていると、Citrix ADC SDXアプライアンスへのSSL証明書のインストールが失敗します。

[NSHELP-31711]

Citrix ADC SDXアプライアンスでは、バーストスループット割り当てモードを構成すると、ADCインスタンスは最大容量までバーストしません。

[NSHELP-27477]

次の条件が満たされると、Citrix ADC SDXアプライアンスでホストされているVPXインスタンスでパケットドロップが表示されます。

  • スループット割り当てモードはバーストです。
  • スループットと最大バーストキャパシティには大きな違いがあります。

[NSHELP-21992]

Citrix Gateway

Always on が設定されている場合、aoservice.exe ファイルのバージョン番号(1.1.1.1)が正しくないため、ユーザトンネルが失敗します。

[NSHELP-30662]

[NetworkAccessonVPNFailure]プロファイルパラメーターを[フルアクセス]から[OnlyToGateway]に変更すると、ユーザーはCitrix Gateway アプライアンスに接続できなくなります。

[NSHELP-30236]

ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。この問題を解決するために、次のレジストリ値が導入されます。 \HKLM\Software\Citrix\Secure Access Client\SecureChannelResetTimeoutSeconds 種類:DWORD

[NSHELP-30189]

Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。

[NSHELP-29675]

サーバー証明書が信頼されていると、サーバー検証コードが失敗することがあります。その結果、エンドユーザーはゲートウェイにアクセスできなくなります。

[NSHELP-28942]

rdx.js ファイルにいくつかの Citrix 内部 IP アドレスがあることに気付くかもしれません。

[NSHELP-28682]

macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。

[NSHELP-28551]

クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にCitrix Gateway からログアウトすることがあります。

[NSHELP-28404]

GUI を使用してクラシック認可ポリシーをバインド解除することはできません。ただし、CLI を使用して認証、承認、および監査認可ポリシーのバインドを解除することはできます。

今回の修正により、GUI を使用して承認ポリシーのバインドを解除できるようになりました。

[NSHELP-27064]

Windows 用 EPA プラグインは、ローカルマシンの構成済みプロキシを使用せず、ゲートウェイサーバーに直接接続します。

[NSHELP-24848]

Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。

[NSHELP-23937]

次の条件を満たす場合、Windows ログオン後に VPN プラグインはトンネルを確立しません。

  • Citrix Gateway アプライアンスが常時オン機能用に構成されている
  • アプライアンスは 2 要素認証offによる証明書ベースの認証用に設定されています。

[NSHELP-23584]

スキーマを参照しているときに、エラーメッセージCannot read property 'type' of undefinedが表示されることがあります。

[NSHELP-21897]

Windowsログオン機能の前に常時接続VPNを使用する場合は、Citrix Gateway 13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を活用できます。

[CGOP-19355]

無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight では報告されません。

[CGOP-13621]

Gateway Insightレポートに、SAMLエラー障害の[認証タイプ]フィールドで値SAMLではなくLocalが誤って表示されます。

[CGOP-13584]

高可用性セットアップでは、Citrix ADC フェイルオーバー中に、Citrix ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。

[CGOP-13511]

ICA接続がMAC Receiverバージョン19.6.0.32またはCitrix Virtual Apps and Desktopsバージョン7.18から起動されると、HDX Insight機能は無効になります。

[CGOP-13494]

EDT Insight 機能が有効になっていると、ネットワークの不一致時にオーディオチャンネルに障害が発生することがあります。

[CGOP-13493]

ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承認 ] ダイアログボックスには、選択した言語に関係なく、英語でコンテンツが表示されます。

[CGOP-13050]

一部の言語では、Citrix SSOアプリ >[ホーム]ページのテキストHome Pageが切り捨てられます。

[CGOP-13049]

Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

[CGOP-11830]

Outlook Web App (OWA) 2013 で、[設定] メニューの [ オプション ] をクリックすると、[ 重大なエラー ] ダイアログボックスが表示されます。また、ページが応答しなくなります。

[CGOP-7269]

負荷分散

高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

[NSLB-7679]

サービスグループのentityofsトラップ内の serviceGroupName の形式は次のとおりです。 <service(group)name>?<ip/DBS>?<port>

トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (?) はセパレータとして使用されます。Citrix ADCは、疑問符(?)付きのトラップを送信します。このフォーマットは、Citrix ADM GUIでも同じように表示されます。これは予想される動作です。

[NSHELP-28080]

特定のシナリオでは、サービスグループにバインドされたサーバーが、無効な Cookie 値を表示します。トレースログで正しい Cookie 値を確認できます。

[NSHELP-21196]

その他

高可用性セットアップで強制同期が実行されると、アプライアンスはセカンダリノードでset urlfiltering parameterコマンドを実行します。 その結果、セカンダリノードは、 TimeOfDayToUpdateDB パラメータで指定された次のスケジュールされた時刻まで、スケジュールされた更新をスキップします。

[NSSWG-849]

URLフィルタリングのサードパーティベンダーで接続の問題が発生した場合、管理CPUの停滞によりCitrix ADCアプライアンスが再起動することがあります。

[NSHELP-22409]

ネットワーク

DPDKをサポートするCitrix ADC BLXアプライアンスでは、DPDKインテルi350 NICポートではタグ付きVLANはサポートされません。これは、DPDK ドライバに存在する既知の問題であるため、確認されています。

[NSNET-25299]

DPDKを搭載したCitrix ADC BLXアプライアンスは、次の条件をすべて満たすと再起動に失敗することがあります。

  • Citrix ADC BLXアプライアンスは、hugepagesの小さい数が割り当てられます。たとえば、1G です。
  • Citrix ADC BLXアプライアンスには、多数のワーカープロセスが割り当てられています。たとえば、28 と入力します。

この問題は、 /var/log/ns.logにエラーメッセージとして記録されます。

  • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

注:x はワーカープロセス数以下の数です。

回避策:

多数のhugepagesを割り当て、アプライアンスを再起動します。

[NSNET-25173]

DPDKを搭載したCitrix ADC BLXアプライアンスは、次の条件が満たされると再起動に失敗することがあります。

  • Citrix ADC BLXアプライアンスにはhugepagesの大きい数が割り当てられます。たとえば、16 GB と入力します。

この問題は、 /var/log/ns.logにエラーメッセージとして記録されます。

  • EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

回避策:

この問題を解決するには、次のいずれかの回避策を使用します。

  • ulimitコマンドを使用するか、limits.confファイルを編集して、Linux ホストで開くことができるファイルの上限を増やします。
  • 割り当てられたhugepagesの数を減らします。

[NSNET-24727]

DPDKモードのCitrix ADC BLXアプライアンスは、DPDKイージー機能により、再起動に少し時間がかかる場合があります。

[NSNET-24449]

DPDKを搭載したCitrix ADC BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。

  • 無効化
  • 有効化
  • リセット

[NSNET-16559]

Debian ベースのLinuxホスト(Ubuntuバージョン18以降)でCitrix ADC BLXアプライアンスのインストールが失敗し、次の依存関係エラーが表示されることがあります。

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

回避策:

Citrix ADC BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。

  • dpkg — アーキテクチャーの追加 i386
  • apt-get アップデート
  • apt-get dist-upgrade
  • apt-get install libc6:i386

[NSNET-14602]

FTPデータ接続の場合、Citrix ADCアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対するTCP処理は実行しません。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。

[NSNET-5233]

Citrix ADCアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は自動的に管理パーティションの新しいメモリ制限に設定されます。

[NSHELP-21082]

プラットフォーム

高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および Citrix ADC VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。

  1. Citrix ADCアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
  2. その後、Citrix ADCアプライアンスを再起動します。

[NSPLAT-22013]

13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがCitrix ADCアプライアンスにインストールされません。この問題は、次のCitrix ADCバージョンで修正されています。

  • 13.1-4.x
  • 13.0-82.31 以降
  • 12.1-62.21 以降

Citrix ADC バージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。

  • 任意の 11.1 ビルド
  • 12.1-62.21 およびそれ以前
  • 13.0-81.x およびそれ以前

[NSPLAT-21691]

Citrix ADC SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、2番目のノードとCLIPでCLAG MACの不一致があります。

  • CLAG はメラノックス NIC 上に作成されます。
  • クラスターとCLAGセットアップに別のVPXインスタンスを追加します。

その結果、VPXインスタンスへのトラフィックが停止します。

[NSPLAT-21049]

Citrix ADC SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、CLIPテーブルとMACテーブルでMACアドレスの不一致が原因で最初のノードがダウンします。

  • CLAG はメラノックス NIC 上に作成されます。
  • クラスタから 2 つ目のノードを削除します。

[NSPLAT-21042]

Azureリソースグループから自動スケール設定またはVMスケールセットを削除する場合は、Citrix ADCインスタンスから対応するクラウドプロファイル構成を削除します。rm cloudprofile コマンドを使用して、プロファイルを削除します。

[NSPLAT-4520]

Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。 回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノード上で設定する必要があります。

[NSPLAT-4451]

Citrix ADCリリース13.1以降、Citrix ADCアプライアンスは、8つを超えるVMXNET3ネットワークインターフェイスを備えたESXiハイパーバイザーで起動に失敗します。

[NSHELP-31266]

ポリシー

処理データのサイズが、設定されているデフォルトの TCP バッファサイズを超えると、接続がハングすることがあります。回避策:TCP バッファサイズを、処理が必要なデータの最大サイズに設定します。

[NSPOLICY-1267]

SSL

Citrix ADC SDX 22000およびCitrix ADC SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。

回避策:

  1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。たとえば、set ssl vserver <name> -SSL3 DISABLEDなどです。
  2. 構成を保存します。

[NSSSL-9572]

認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

[NSSSL-6478]

同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。

[NSSSL-6213]

HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。 エラー:crl リフレッシュが無効

[NSSSL-6106]

セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

[NSSSL-4427]

SSL プロファイルの SSL プロトコルまたは暗号を変更しようとすると、不正な警告メッセージWarning: No usable ciphers configured on the SSL vserver/service,が表示されます。

[NSSSL-4001]

期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。[NSSSL-3184、NSSSL-1379、NSSSL-1394]

MPX 8900およびMPX 15000 FIPS認定アプライアンスでは、ECDHEトラフィックを実行するとメモリリークが発生する可能性があります。

[NSHELP-30744]

システム

アプライアンスがクライアントからmax_concurrent_stream設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS値はデフォルトで100に設定されます 。

[NSHELP-21240]

mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。

[NSHELP-10972]

クラスタ展開では、非 CCO ノードでforce cluster syncコマンドを実行すると、ns.log ファイルに重複したログエントリが含まれます。[NSBASE-16304、NSGI-1293]

KubernetesクラスタにCitrix ADMをインストールすると、必要なプロセスが起動しない可能性があるため、期待どおりに動作しません。

回避策:管理ポッドを再起動します。

[NSBASE-15556]

LogStream トランスポートタイプが Insight 用に構成されている場合、クライアントIPとサーバーIPはHDX Insight SkipFlowレコードで反転されます。

[NSBASE-8506]

Citrix ADCアプライアンスは、ヘッダー名フィールドにドット(”.”)の付いたカスタムHTTPヘッダーを含むパケットをドロップします。このアクションは、 allowOnlyWordCharactersAndHyphen パラメータがデフォルトの HTTP プロファイルでデフォルトで有効になっているために発生します。

回避策:デフォルトの HTTPプロファイルでallowOnlyWordCharactersAndHyphenを無効にします。ただし、Citrix では有効にしておくことをお勧めします。

[NSBASE-16722]

ユーザーインターフェイス

MQTT リライト機能では、GUI のエクスプレッションエディタを使用してエクスプレッションを削除することはできません。

回避策:

CLI から MQTT タイプの add または edit action コマンドを使用します。

[NSUI-18049]

Citrix ADC GUIでは、Dashboardタブの下にあるHelpリンクが壊れています。

[NSUI-14752]

CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge コネクタの設定に失敗することがあります。

回避策:

Citrix ADC GUIまたはCLIを使用して、IPsecプロファイル、IPトンネル、およびPBRルールを追加して、Cloudbridgeコネクタを構成します。

[NSUI-13024]

GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。

[NSUI-6838]

高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。

  • HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。

回避策:

HA 同期が完了した後(両方のノードが同期成功状態にある)のみ、手動の HA フェールオーバーを連続して実行します。

[NSHELP-25598]

Citrix ADC BLXアプライアンスの高可用性セットアップでは、プライマリノードが応答しなくなり、CLIまたはAPI要求がブロックされることがあります。

回避策:

プライマリノードを再起動します。

[NSCONFIG-6601]

あなた(システム管理者)がCitrix ADCアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。

  1. Citrix ADCアプライアンスをいずれかのビルドにアップグレードします。
  • 13.0 52.24 ビルド
  • 12.1 57.18 ビルド
  • 11.1 65.10 ビルド
  1. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
  2. Citrix ADCアプライアンスを古いビルドにダウングレードします。

CLI を使用してこれらのシステムユーザーの一覧を表示するには、 コマンドプロンプトで次のように入力します。

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

回避策:

この問題を修正するには、次の独立したオプションのいずれかを使用します。

  • Citrix ADCアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。
  • アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
  • 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。

詳しくは、https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。

[NSCONFIG-3188]

Citrix ADC 13.1-24.38リリースのリリースノート