Citrix ADC

Citrix ADC 13.1—27.59リリースのリリースノート

このリリースノートドキュメントでは、Citrix ADCリリースBuild 13.1—27.59に存在する拡張機能と変更、修正された既知の問題について説明します。

このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。

新機能

ビルド 13.1~27.59 で利用できる機能強化と変更。

認証、承認、監査

新しい Microsoft Graph API で Intune NAC v2 構成をユーザーが使用できるようにする

非推奨の AAD グラフ API の代わりに、新しい Microsoft Graph API で Intune NAC v2 構成を使用できるようになりました。

詳細については、「https://docs.citrix.com/en-us/citrix-gateway/current-release/microsoft-intune-integration.html.」を参照してください。 https://docs.citrix.com/en-us/citrix-gateway/current-release/microsoft-intune-integration/extended-support-for-azure-ad-graph.html.も参照してください

[NSAUTH-11897]

ボット管理

Citrix Gateway デバイスでのWAF/ボット管理のためのスタイルブック

Citrix Gateway デバイスのWAFおよびBOTポリシーを構成して、Gatewayログインページを保護できるようになりました。Citrix Gateway デバイスのWAF/Bot管理用に、2つの新しいデフォルトスタイルブックが利用可能になりました。

  • WAFとBOTを使用したCitrix Gateway ログオンサイト保護のためのスタイルブック
  • WafとBotのセキュリティ違反を伴うWAFとBOTを使用したCitrix Gateway ログオンサイト保護のためのスタイルブック

ゲートウェイでWAF/Bot管理にデフォルトのStylebookを使用するには、[アプリケーション] > [構成] > [StyleBook] に移動します。 検索フィールドにStyleBookの名前を入力し、Enter キーを押します。 詳しくは、https://docs.citrix.com/en-us/citrix-application-delivery-management-software/current-release/stylebooks/how-to-use-default-stylebooks.html%23to-create-a-configuration-from-a-default-stylebookを参照してください。

[NSBOT-755]

すべてのCitrix ADCプレミアム資格でボット検出機能を有効にする

ボット検出機能と署名およびIPレピュテーションチェックは、すべてのCitrix ADC Premium資格に対してデフォルトで有効になりました。

環境に入ってくるボットトラフィックと、Citrix ADCアプライアンスが実行したアクションを表示できます。また、ADCアプライアンスは、SNMPログメッセージに次のボットトラフィック情報をキャプチャします。

  • 検出されたボットの数
  • 検出されたボットの上位 2 つのカテゴリ
  • 検出されたボットの詳細を確認できる場所

詳細については、「 ボットの検出」を参照してください。

[NSBOT-752]

Citrix Web App Firewall

新しい署名を自動有効にする

新しい署名を自動有効にする 」を選択して、更新後に新しい WAF 署名のデフォルトルールを自動的に有効にできるようになりました。

[NSWAF-8825]

WAF プロファイルの機密フィールド

WAF プロファイルに機密項目を追加できるようになりました。これらのフィールドはマスクされ、違反が発生してもADCログに記録されません。以前は、これらのフィールドは設定を使用してのみ追加できました。

[NSWAF-8525]

HTML ペイロードのカスタムキーワードサポート

任意のキーワードを追加して、これらの設定済みキーワードが HTML ペイロードに存在するかどうかを確認できます。構成されたキーワードが着信要求で検出された場合、Citrix ADCアプライアンスを構成して、要求をブロックしたり、ログを更新したり、ログカウンタを増やしたりすることができます。

この機能を使用すると、SQL インジェクションおよびコマンドインジェクションチェックでカバーされていないキーワードを追加して、誤検出を減らすことができます。

[NSWAF-8520]

HTML ペイロードでのコマンドインジェクション検出のための文法ベースのアプローチ

NextGen Citrix Web App Firewall ソリューションは、コマンドインジェクション検出のための文法ベースのアプローチをサポートするように強化されました。このアプローチにより、HTML ペイロードの誤検出が減少します。

以前は、パターンベースのアプローチのみがサポートされていました。

[NSWAF-8270]

ネットワーク

これで、Citrix ADC CPXのNSIP: 8080ポートを仮想サーバー構成に使用できます。以前は、このポートは予約されており、ユーザー構成には使用できませんでした。

[NSNET-25399]

Geneveトンネルはクラスタセットアップでサポートします

Geneveトンネルは、Citrix ADCアプライアンスのクラスタ設定でサポートされるようになりました。

[NSNET-24773]

SNMP Trap メッセージを送信する際の重大度レベルを含めるための機能強化

Citrix ADC VPXアプライアンスでは、SNMPトラップメッセージに重要度レベルが変数バインドとして含まれるようになりました。以下のコマンドを severityInfoIntrap オプションとともに使用します。

  • snmp オプションを設定する-severityInfoIntrap 有効

このオプションを有効にすると、トラップの重大度レベルが SNMP トラップメッセージに含まれます。

[NSNET-21603]

プラットフォーム

AWS での Citrix ADC の高可用性のための IPv6 アドレスのサポート

Citrix ADC VPXの高可用性ペアは、同じAWSアベイラビリティーゾーン内のIPv6アドレスをサポートするようになりました。以前は、IPv4 アドレスのみがサポートされていました。

[NSPLAT-16672]

ユーザーインターフェイス

Microsoftは、2022年6月からInternet Explorerブラウザのサポートを終了しました。詳しくは、https://support.microsoft.com/en-us/windows/internet-explorer-help-23360e49-9cd3-4dda-ba52-705336cc0de2を参照してください。

Citrix ADCリリース13.1 27.x以降、Citrix ADCアプライアンスは、GUIにアクセスするためのInternet Explorerをサポートしなくなりました。

Internet Explorerを使用してCitrix ADC GUIにアクセスすると、Citrix ADCアプライアンスは、Internet Explorerがサポートされていないというメッセージを表示します。また、GUIにアクセスするためにサポートされているブラウザのリストも推奨されます。

[NSUI-18224]

Citrix ADC GUIで機能を有効または無効にするための確認プロンプト

Citrix ADC GUIで、GUIでCitrix ADC機能を有効または無効にするときに、操作の確認を求めるプロンプトが表示されるようになりました。確認プロンプトは、Citrix ADC機能の偶発的な有効化または無効化を防ぎます。

[NSUI-18098]

解決された問題

ビルド 13.1—27.59 で対処された問題。

認証、承認、監査

/logon/LogonPoint/Resources/List and /cgi/Resources/Listなどのエンドポイントの書き換えポリシーはサポートされていません。

[NSHELP-29488]

Citrix ADC SDXアプライアンス

Citrix Service 仮想マシンのタイムゾーン設定が期待どおりに動作しません 。

[NSHELP-32114]

Citrix ADC SDXアプライアンスでは、大量のSNMPデータ処理により、より高いメモリ使用量が検出されます。

[NSHELP-30222]

SDX-ROOT-MIB:: XenTableのCitrix ADC SDXアプライアンスで実行されているSNMPウォークアプリケーションは、予想よりも時間がかかります。

[NSHELP-30085]

Citrix Gateway

ユーザは、高度なクライアントレス VPN モードでブックマークにアクセスできない場合があります。

[NSHELP-30939]

UDPオーディオ接続用にICAプロキシモードで構成されたCitrix Gateway アプライアンスは、メモリ破損によりクラッシュすることがあります。

[NSHELP-30919]

ICAアプリの起動は、次の条件で失敗します。

  • コンテンツセキュリティポリシー (CSP) 機能が有効になっています。
  • ユーザーはブラウザーからログインしますが、Citrix Workspace アプリを使用してアプリを起動します。

[NSHELP-30534]

HDX Insightが有効で、NSAP が無効になっている場合、チャネル解析中にCitrix Gateway アプライアンスがクラッシュすることがあります。

[NSHELP-30029]

Gateway Insight は、認証ルールがログインフロー内の要求の 1 つと一致するように設定されている場合、ユーザがログイン用の資格情報を送信する前であっても、誤った認証エラーを報告します。

[NSHELP-29313]

セッションプロファイルにStoreFrontのFQDNが含まれていると、資格情報を入力するとアプリの起動に失敗します。次のエラーが表示されます。

‘Http/1.1 内部サーバーエラー 43531’

今回の修正により、お客様はセッションプロファイルの WI アドレスの代わりに FQDN を IP に入力できるようになりました。

[NSHELP-26671]

Citrix Web App Firewall

No user-agent header actionおよびmulti user-agent header actionのログは、IP レピュテーションチェックのログメッセージを正しく使用していない可能性があります。

[NSHELP-31935]

Citrix ADCアプライアンスは、低速のDNSサーバーでBOT署名ルックアップを処理中にクラッシュすることがあります。

[NSHELP-31642]

署名ルールでクロスサイトスクリプティングが有効になっていると、Citrix ADCアプライアンスがクラッシュすることがあります。

[NSHELP-31617]

負荷分散

場合によっては、サービスの状態がモニターの状態と同期していません。

[NSHELP-31747]

次の条件が満たされると、ネームサーバーの削除中にCitrix ADCアプライアンスがクラッシュします。

  • DNS サーバーとネームサーバーは、同じ IP アドレスとポートで構成されます。
  • リッスンポリシーは DNS サーバーに設定されます。

[NSHELP-31142]

永続性エントリが存在し、多数のダミー負荷分散仮想サーバーとグループ仮想サーバーが構成されている場合、Citrix ADCアプライアンスがクリア構成中にクラッシュする可能性があります。

[NHELP-30051]

Citrix ADCアプライアンスに未解決のWIHOME構成が存在する場合、ワイルドカード仮想サービスの作成は失敗します。

[NSHELP-25627]

その他

Citrix ADCアプライアンスでは、追加のHDDがアプライアンスに追加されると、クラッシュフォルダー/var/crash/nslog/var/nslogファイルへのリンクが作成されます 。クラッシュフォルダにあるnewnslogファイルは、テクニカルサポートが生成するコレクタフォルダには収集されません。

[NSHELP-31354]

リソースに割り当てられたメモリが解放されないと、Citrix ADC SWGアプライアンスがクラッシュし、トラフィックがない場合でもメモリ使用量が高くなる可能性があります。

[NSHELP-31290]

公開鍵システム認証が構成されたCitrix ADCクラスターセットアップでは、次の問題が発生します。

  • VTYSH は、クラスタ構成コーディネータ (CCO) のすべてのクラスタノードの情報を表示しません。

[NSHELP-28762]

プラットフォーム

SDX 26000プラットフォーム(SDX 26100-100G、26160-100G、26200-100G、26250-100G)では、単一のVPXインスタンスに割り当てることができるCPUコアの最大数が26から25CPUコアに変更されました。

[NSPLAT-21233]

BYOLライセンスは、ALIクラウドプラットフォームで実行されているCitrix ADC VPXインスタンスには適用できません。

[NSHELP-31546]

SSL

暗号ユニットがVPXインスタンスに割り当てられ、ジャンボ構成が有効になっていると、Citrix ADC SDXアプライアンスがクラッシュします。

[NSHELP-30950]

Citrix ADCアプライアンスは、次のシナリオでクラッシュする可能性があります。

  • SSL タイプの負荷分散モニターと SSL サービスの名前は同じです
  • SSL サービスの名前が変更された
  • 負荷分散モニターが削除される

[NSHELP-30445]

SSL インターセプトが有効で、DNS サーバーが有効な DNS 応答を返さない場合、Web サイトへのアクセスはブロックされます。

[NSHELP-30201]

次のすべての状態が発生すると、Citrix ADCアプライアンスがクラッシュします。

  • デフォルトの RSA 証明書とキーのペアは、内部サービスにバインドされています。
  • 非 RSA 証明書とキーのペアは、同じサービスにバインドされます。
  • 高可用性同期が発生します。

[NSHELP-30084]

rc.netscalerファイルの一部であるカスタマイズは、システムの初期化中に実行されないため、適用されません。

[NSHELP-31914]

システム

管理中のCitrix ADMアプライアンスのネットワークMTUが1500を超えると、Citrix ADCアプライアンスがクラッシュします。

[NSHELP-30835]

クライアント側の測定構成を持つCitrix ADCアプライアンスは、次の条件下で変数を破損し、ページの読み込みに失敗する可能性があります。

  • HTTP レスポンスには、2000 バイトを超える JavaScript 変数が含まれています。

[NHELP-30026]

Citrix ADCアプライアンスでは、デフォルトの高度なグローバルポリシーのバインドを解除して構成を保存すると、次回の再起動時に変更が反映されません。

[NSHELP-19867]

Citrix ADCアプライアンスは、ヘッダー名フィールドにドット文字を含むカスタムHTTPヘッダーを含むパケットをドロップします。このアクションは、AllowOnlyWordCharactersAndHyphen パラメーターがデフォルトの HTTP プロファイルでデフォルトで有効になっているために発生します。

13.1-27.x 以降では、デフォルトの HTTP プロファイルセットの allowOnlyWordCharactersAndHyphen パラメーターがデフォルトで無効になっています。ただし、セキュリティを強化するために、このパラメーターを有効にしておくことをお勧めします。

[NSBASE-16722]

ユーザーインターフェイス

Citrix ADCバージョン13.0バージョン85.15ビルドでは、GUIを使用して負荷分散サービスグループのメンバーをバインド解除することはできません。

[NSHELP-31474]

Citrix ADC GUIの[ システム]>[診断 ]ページに、Advancedライセンスのお客様のページ詳細が表示されません。

[NSHELP-31330]

管理パーティションでは、パケットトレースの記録が期待どおりに動作しない場合があります。

[NSHELP-31321]

CLIインターフェイスでshow runコマンドを実行中にCTRL+Cを入力すると 、Citrix ADCアプライアンスへの再接続が失敗し、次のエラーが表示されます。

  • Invalid username or password

この問題は、キーとパスワードの文字が同じ場合に発生します。

[NSHELP-30817]

アップグレードのインストール順序が正しくないため、Citrix ADCアプライアンスで次の問題が発生します。

  • カーネルイメージが最初に更新され、数ステップ後に暗号化キーがコピーされます。これらの手順の間に何らかの障害が発生し、ADCアプライアンスが新しいイメージを作成します。新しいイメージに暗号化キーがないと、復号化に失敗し、設定が失われます。

[NSHELP-30755]

既知の問題

リリース13.1~27.59に存在する問題。

AppFlow

HDX Insightは、ユーザーがアクセスできないアプリケーションまたはデスクトップを起動しようとしたことによるアプリケーションの起動失敗を報告しません。

[NSINSIGHT-943]

認証、承認、監査

Citrix ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。

[NSHELP-563]

DualAuthPushOrOTP.xml LoginSchemaが、Citrix ADC GUIのログインスキーマエディタ画面に正しく表示されません。

[NSAUTH-6106]

ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。 show adfsproxyprofile <profile name>

回避方法:

クラスタ内のプライマリのアクティブなCitrix ADCに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

[NSAUTH-5916]

次の手順を実行すると、Citrix ADC GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。

  • [LDAP 到達可能性をテスト] オプションが開きます。
  • 無効なログイン認証情報が入力され、送信されます。
  • 有効なログイン認証情報が入力され、送信されます。

回避方法:

[LDAP 到達可能性のテスト] オプションを閉じて開きます。

[NSAUTH-2147]

キャッシュ

統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、Citrix ADCアプライアンスがクラッシュすることがあります。

[NSHELP-22942]

Citrix ADC SDXアプライアンス

Citrix ADC SDXアプライアンスでは、CLAGがMellanox NIC上に作成されている場合、VPXインスタンスの再起動時にCLAG MACが変更されます。VPXインスタンスへのトラフィックは再起動後に停止します。これは、MACテーブルに古いCLAG MACエントリがあるためです。

[NSSVM-4333]

Citrix ADC SDXアプライアンスでは、VLANホワイトリストがCitrix ADC VPXインスタンスに割り当てられたMellanoxインターフェイスの正しい値で更新されません。

[NSHELP-31849]

Citrix SDXアプライアンスをアップグレードすると、ハイパーバイザーのバージョンが現在のバージョンとアップグレードされたSDXバージョンの両方で同じであっても、Management Service GUIに次の誤ったイベントが通知されます。

SVMとHypervisorのバージョンが一致しません

[NSHELP-31769]

証明書名またはキー名にスペースが含まれていると、Citrix ADC SDXアプライアンスへのSSL証明書のインストールが失敗します。

[NSHELP-31711]

Citrix Gateway

Citrix Secure Accessによって確立されたトンネルの外部にあるリソースへの直接接続は、大幅な遅延または輻輳が発生すると失敗することがあります。

[NSHELP-31598]

Always on が設定されている場合、aoservice.exe ファイルのバージョン番号(1.1.1.1)が正しくないため、ユーザトンネルが失敗します。

[NSHELP-30662]

[NetworkAccessonVPNFailure]プロファイルパラメーターを[フルアクセス]から[OnlyToGateway]に変更すると、ユーザーはCitrix Gateway アプライアンスに接続できなくなります。

[NSHELP-30236]

ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。この問題を解決するために、次のレジストリ値が導入されます。

\ HKLM\ ソフトウェア\ Citrix\ Secure Access Client
セキュアチャネルリセットタイムアウト秒タイプ:DWORD

既定では、このレジストリ値は設定も追加もされません。SecureChannelResetTimeoutSecondsの値が0の場合、または追加されていない場合、遅延を処理する修正は機能しません。これはデフォルトの動作です。管理者は、このレジストリをクライアントに設定して修正を有効にする必要があります (つまり、ゲートウェイプラグインが VPN トンネルを正常に確立した直後にホームページを表示する)。

[NSHELP-30189]

Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。

[NSHELP-29675]

サーバー証明書が信頼されていると、サーバー検証コードが失敗することがあります。その結果、エンドユーザーはゲートウェイにアクセスできなくなります。

[NSHELP-28942]

rdx.js ファイルにいくつかの Citrix 内部 IP アドレスがあることに気付くかもしれません。

[NSHELP-28682]

macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。

[NSHELP-28551]

クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にCitrix Gateway からログアウトすることがあります。

[NSHELP-28404]

GUI を使用してクラシック認可ポリシーをバインド解除することはできません。ただし、CLI を使用して認証、承認、および監査認可ポリシーのバインドを解除することはできます。

今回の修正により、GUI を使用して承認ポリシーのバインドを解除できるようになりました。

[NSHELP-27064]

Windows 用 EPA プラグインは、ローカルマシンの構成済みプロキシを使用せず、ゲートウェイサーバーに直接接続します。

[NSHELP-24848]

Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。

[NSHELP-23937]

次の条件が満たされている場合、VPN プラグインは Windows のログオン後にトンネルを確立しません。

  • Citrix Gateway アプライアンスが常時オン機能用に構成されている
  • アプライアンスは 2 要素認証offによる証明書ベースの認証用に設定されています。

[NSHELP-23584]

スキーマを参照しているときに、エラーメッセージCannot read property 'type' of undefinedが表示されることがあります。

[NSHELP-21897]

Windowsログオン機能の前に常時接続VPNを使用する場合は、Citrix Gateway 13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を活用できます。

[CGOP-19355]

無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight で報告されません。

[CGOP-13621]

Gateway Insightレポートでは、SAML エラー障害の [認証タイプ] フィールドのSAMLの代わりに値Localが誤って表示されます。

[CGOP-13584]

高可用性セットアップでは、Citrix ADC フェイルオーバー中に、Citrix ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。

[CGOP-13511]

ICA接続がMAC Receiverバージョン19.6.0.32またはCitrix Virtual Apps and Desktopsバージョン7.18から起動されると、HDX Insight機能は無効になります。

[CGOP-13494]

EDT Insight 機能が有効になっていると、ネットワークの不一致時にオーディオチャンネルに障害が発生することがあります。

[CGOP-13493]

ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承認 ] ダイアログボックスには、選択した言語に関係なく、英語でコンテンツが表示されます。

[CGOP-13050]

一部の言語では、Citrix SSOアプリ >[ホーム]ページのテキストHome Pageが切り捨てられます。

[CGOP-13049]

Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

[CGOP-11830]

Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。

[CGOP-7269]

Citrix Web App Firewall

Citrix ADCアプライアンスは、低速のDNSサーバーでBOT署名ルックアップを処理中にクラッシュすることがあります。

[NSHELP-31642]

署名ルールでクロスサイトスクリプティングが有効になっていると、Citrix ADCアプライアンスがクラッシュすることがあります。

[NSHELP-31617]

負荷分散

高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

[NSLB-7679]

場合によっては、サービスの状態がモニターの状態と同期していません。

[NSHELP-31747]

次の条件が満たされると、Citrix ADCアプライアンスがクラッシュしてコアがダンプされる可能性があります。

  • 静的近接またはRTTは、プライマリまたはバックアップの負荷分散方法として使用されます。
  • 送信元 IP アドレスの永続性が有効になっている

[NSHELP-31735]

サービスグループのentityofsトラップ内の serviceGroupName の形式は次のとおりです。 <service(group)name>?<ip/DBS>?<port>

トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (?) はセパレータとして使用されます。Citrix ADCは、疑問符(?)付きのトラップを送信します。このフォーマットは、Citrix ADM GUIでも同じように表示されます。これは予想される動作です。

[NSHELP-28080]

特定のシナリオでは、サービスグループにバインドされたサーバーが、無効な Cookie 値を表示します。トレースログで正しい Cookie 値を確認できます。

[NSHELP-21196]

その他

高可用性セットアップで強制同期が実行されると、アプライアンスはセカンダリノードでset urlfiltering parameterコマンドを実行します。 その結果、セカンダリノードは、 TimeOfDayToUpdateDB パラメータで指定された次のスケジュールされた時刻まで、スケジュールされた更新をスキップします。

[NSSWG-849]

レジストリ値が 2000 バイトを超えると、AlwaysOnAllow リストレジストリが期待どおりに動作しません。

[NSHELP-31836]

URLフィルタリングのサードパーティベンダーで接続の問題が発生した場合、管理CPUの停滞によりCitrix ADCアプライアンスが再起動することがあります。

[NSHELP-22409]

ネットワーク

DPDKをサポートするCitrix ADC BLXアプライアンスでは、DPDKインテルi350 NICポートではタグ付きVLANはサポートされません。これは、DPDK ドライバに存在する既知の問題であるため、確認されています。

[NSNET-25299]

DPDKを搭載したCitrix ADC BLXアプライアンスは、次の条件をすべて満たすと再起動に失敗することがあります。

  • Citrix ADC BLXアプライアンスは、hugepagesの小さい数が割り当てられます。たとえば、1G です。
  • Citrix ADC BLXアプライアンスには、多数のワーカープロセスが割り当てられています。たとえば、28 と入力します。

この問題は、 /var/log/ns.logにエラーメッセージとして記録されます。

  • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

注:x はワーカープロセス数以下の数です。

回避方法:

多数のhugepagesを割り当て、アプライアンスを再起動します。

[NSNET-25173]

DPDKを搭載したCitrix ADC BLXアプライアンスは、次の条件が満たされると再起動に失敗することがあります。

  • Citrix ADC BLXアプライアンスにはhugepagesの大きい数が割り当てられます。たとえば、16 GB と入力します。

この問題は、 /var/log/ns.logにエラーメッセージとして記録されます。

  • EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files

回避方法:

この問題を解決するには、次のいずれかの回避策を使用します。

  • ulimitコマンドを使用するか、limits.confファイルを編集して、Linux ホストで開くことができるファイルの上限を増やします。
  • 割り当てられたhugepagesの数を減らします。

[NSNET-24727]

DPDKモードのCitrix ADC BLXアプライアンスは、DPDKイージー機能により、再起動に少し時間がかかる場合があります。

[NSNET-24449]

DPDKを搭載したCitrix ADC BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。

  • 無効化
  • 有効化
  • リセット

[NSNET-16559]

Debian ベースのLinuxホスト(Ubuntuバージョン18以降)でCitrix ADC BLXアプライアンスのインストールが失敗し、次の依存関係エラーが表示されることがあります。

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

回避方法:

Citrix ADC BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。

  • dpkg — アーキテクチャーの追加 i386
  • apt-get アップデート
  • apt-get dist-upgrade
  • apt-get install libc6:i386

[NSNET-14602]

FTPデータ接続の場合、Citrix ADCアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対するTCP処理は実行しません。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。

[NSNET-5233]

Citrix ADCアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は自動的に管理パーティションの新しいメモリ制限に設定されます。

[NSHELP-21082]

プラットフォーム

高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および Citrix ADC VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。

  1. Citrix ADCアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
  2. その後、Citrix ADCアプライアンスを再起動します。

[NSPLAT-22013]

13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがCitrix ADCアプライアンスにインストールされません。この問題は、次のCitrix ADCバージョンで修正されています。

  • 13.1-4.x
  • 13.0-82.31 以降
  • 12.1-62.21 以降

Citrix ADC バージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。

  • 任意の 11.1 ビルド
  • 12.1-62.21 およびそれ以前
  • 13.0-81.x およびそれ以前

[NSPLAT-21691]

Citrix ADC SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、2番目のノードとCLIPでCLAG MACの不一致があります。

  • CLAG はMellanox NIC 上に作成されます。
  • クラスターとCLAGセットアップに別のVPXインスタンスを追加します。

その結果、VPXインスタンスへのトラフィックが停止します。

[NSPLAT-21049]

Citrix ADC SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、CLIPテーブルとMACテーブルでMACアドレスの不一致が原因で最初のノードがダウンします。

  • CLAG はMellanox NIC 上に作成されます。
  • クラスタから 2 つ目のノードを削除します。

[NSPLAT-21042]

Azureリソースグループから自動スケール設定またはVMスケールセットを削除する場合は、Citrix ADCインスタンスから対応するクラウドプロファイル構成を削除します。rm cloudprofile コマンドを使用して、プロファイルを削除します。

[NSPLAT-4520]

Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。 回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノード上で設定する必要があります。

[NSPLAT-4451]

Citrix ADCリリース13.1以降、Citrix ADCアプライアンスは、8つを超えるVMXNET3ネットワークインターフェイスを備えたESXiハイパーバイザーで起動に失敗します。

[NSHELP-31266]

ポリシー

処理データのサイズが、設定されているデフォルトの TCP バッファサイズを超えると、接続がハングすることがあります。回避策:TCP バッファサイズを、処理が必要なデータの最大サイズに設定します。

[NSPOLICY-1267]

SSL

Citrix ADC SDX 22000およびCitrix ADC SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。

回避方法:

  1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:set ssl vserver <name> -SSL3 DISABLED
  2. 構成を保存します。

[NSSSL-9572]

認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

[NSSSL-6478]

同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。

[NSSSL-6213]

HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。 エラー:crl リフレッシュが無効

[NSSSL-6106]

セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

[NSSSL-4427]

SSL プロファイルの SSL プロトコルまたは暗号を変更しようとすると、不正な警告メッセージWarning: No usable ciphers configured on the SSL vserver/service,が表示されます。

[NSSSL-4001]

期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。[NSSSL-3184、NSSSL-1379、NSSSL-1394]

Citrix ADCアプライアンスは、次のシナリオでクラッシュする可能性があります。

  • SSL タイプの負荷分散モニターと SSL サービスの名前は同じです
  • SSL サービスの名前が変更された
  • 負荷分散モニターが削除される

[NSHELP-30445]

システム

アプライアンスがクライアントからmax_concurrent_stream設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS値はデフォルトで100に設定されます 。

[NSHELP-21240]

mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。

[NSHELP-10972]

クラスタ展開では、非 CCO ノードでforce cluster syncコマンドを実行すると、ns.log ファイルに重複したログエントリが含まれます。[NSBASE-16304、NSGI-1293]

KubernetesクラスタにCitrix ADMをインストールすると、必要なプロセスが起動しない可能性があるため、期待どおりに動作しません。

回避策:管理ポッドを再起動します。

[NSBASE-15556]

LogStream トランスポートタイプが Insight に設定されている場合、HDX Insight SkipFlow レコードでクライアント IP とサーバー IP が反転します。

[NSBASE-8506]

ユーザーインターフェイス

MQTT リライト機能では、GUI のエクスプレッションエディタを使用してエクスプレッションを削除することはできません。

回避方法:

CLI から MQTT タイプの add または edit action コマンドを使用します。

[NSUI-18049]

Citrix ADC GUIでは、Dashboardタブの下にあるHelpリンクが壊れています。

[NSUI-14752]

CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge コネクタの設定に失敗することがあります。

回避方法:

Citrix ADC GUIまたはCLIを使用して、IPSecプロファイル、IPトンネル、およびPBRルールを追加して、CloudBridge Connectorを構成します。

[NSUI-13024]

GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。

[NSUI-6838]

高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。

  • HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。

回避方法:

HA 同期が完了した後(両方のノードが同期成功状態にある)のみ、手動の HA フェールオーバーを連続して実行します。

[NSHELP-25598]

Citrix ADC BLXアプライアンスの高可用性セットアップでは、プライマリノードが応答しなくなり、CLIまたはAPI要求がブロックされることがあります。

回避方法:

プライマリノードを再起動します。

[NSCONFIG-6601]

あなた(システム管理者)がCitrix ADCアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。

  1. Citrix ADCアプライアンスをいずれかのビルドにアップグレードします。

    • 13.0 52.24 ビルド
    • 12.1 57.18 ビルド
    • 11.1 65.10 ビルド
  2. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
  3. Citrix ADCアプライアンスを古いビルドにダウングレードします。

CLI を使用してこれらのシステムユーザーの一覧を表示するには、 コマンドプロンプトで次のように入力します。

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

回避方法:

この問題を修正するには、次の独立したオプションのいずれかを使用します。

  • Citrix ADCアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。
  • アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
  • 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。

詳しくは、https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。

[NSCONFIG-3188]

Citrix ADC 13.1—27.59リリースのリリースノート