-
-
-
VMware ESX、Linux KVM、およびCitrix HypervisorでCitrix ADC VPXのパフォーマンスを最適化する
-
Linux-KVMプラットフォームへのCitrix ADC VPXインスタンスのインストール
-
-
-
-
-
-
-
-
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
Citrix ADC 13.1—30.52リリースのリリースノート
このリリースノートドキュメントでは、Citrix ADCリリースBuild 13.1—30.52に存在する拡張機能と変更、修正された既知の問題について説明します。
メモ
このリリースノートドキュメントには、セキュリティ関連の修正は含まれていません。セキュリティ関連の修正とアドバイザリの一覧については、Citrix セキュリティに関する公開情報を参照してください。
新機能
ビルド 13.1~30.52 で利用できる機能強化と変更。
ネットワーク
ASDOT 形式の 4 バイト BGP ASN のサポート
Citrix ADCアプライアンスは、RFC 5396で定義されているasdot形式の4バイトのBGP自律システム番号(ASN)の構成と表示をサポートするようになりました。Citrix ADCアプライアンスは、BGP ASNに対して次の2つの形式を全体的にサポートしています。
-
asplain-2バイトと4バイトの両方のASNが10進数値で表される10進値表記。たとえば、65527 は 2 バイト ASN で、234567 は 4 バイト ASN です。
-
asdot-自律システムのドット表記。2 バイトの ASN は 10 進数値で表され (asplain と同じ)、4 バイトの ASN はドット表記で表されます。たとえば、65527は2バイトASNで、3.37959は4バイトASNです(3.37959は234567の10進数のドット形式です)。
[NSNET-26101]
Citrix ADC BLX アプライアンスに対する AWS クラウド上の Amazon Linux 2 のサポート
Citrix ADC BLX アプライアンスは、AWS クラウド上の Amazon Linux 2 でサポートされるようになりました。Citrix ADC BLX は、Amazon Linux 2 の DPDK ポートとして AWS エラスティックネットワークアダプター (ENA) での実行をサポートします。
[NSNET-25802]
利用可能なルートにモニタープローブを均等に分散
13.1〜30.xから、Citrix ADCアプライアンスは、次の5つのタプルに基づくハッシュアルゴリズムを使用して、負荷分散モニタープローブのルートを選択します。
- 送信元 IP アドレス
- 送信元ポート
- 宛先 IP アドレス
- 送信先ポート
- プロトコル番号
5つのタプル情報に基づいてルートを選択することで、利用可能なルートにモニタープローブが均等に分散されます。この均等な分散により、ルート内のトラフィックの過負荷を防ぐことができます。
詳しくは、https://docs.citrix.com/en-us/citrix-adc/current-release/networking/ip-routing/route-selection-based-on-five-tuples.htmlを参照してください。
[NSNET-24646]
SSL
OCSP マルチホチキス止めソリューションのサポート
TLS 1.3 プロトコルを使用すると、すべての中間証明書に、クライアントからのステータス要求への応答に OCSP 応答拡張が含まれるようになりました。以前は、サーバー証明書のみが、クライアントからのステータス要求への応答にこの拡張を含んでいました。
[NSSSL-9281]
ユーザーインターフェイス
より短い時間でライセンスを取得できるようにshow ns licenseserverpoolコマンドを最適化しました
show ns licenseserverpoolコマンドを実行すると、ライセンスの取得にかかる時間が短くなります。ライセンスモードを指定する新しいパラメーターlicensemodeがadd ns licenseserverコマンドに追加されます。そのため、show ns licenseserverpoolコマンドは指定されたライセンスモードに基づくライセンスのみを表示します。すべてのライセンスのインベントリが必要な場合は、show ns licenseserverpool -get alllicensesコマンドを使用してください。
以前は、show ns licenseserverpoolコマンドは、設定されているライセンスモードに関係なくすべてのライセンスを表示するために使用されていました。その結果、コマンドがすべてのライセンスを取得するのに時間がかかっていました。
詳しくは、https://docs.citrix.com/en-us/citrix-adc/current-release/licensing.html#citrix-adc-self-managed-pool-licenseを参照してください。
[NSCONFIG-6961]
セルフマネージドプールライセンスのサポート
Citrix ADCアプライアンスがセルフマネージドプールライセンスをサポートするようになりました。これにより、購入後のライセンスサーバーへのライセンスファイルのアップロードが簡単かつ自動化されます。Citrix ADM を使用して、共通の帯域幅またはvCPUとインスタンスプールで構成されるライセンスフレームワークを作成できます。
詳しくは、https://docs.citrix.com/en-us/citrix-adc/current-release/licensing.html#citrix-adc-self-managed-pool-licenseを参照してください。
[NSCONFIG-6592]
Citrix ADC CPXライセンスアグリゲーターのサポート
これで、Citrix が提供する新しいKubernetesマイクロサービスであるCitrix ADC CPXライセンスアグリゲーターを使用して、Citrix ADC CPXのライセンスを取得できます。Citrix ADC CPXを起動するときは、Citrix ADC CPXライセンスアグリゲーターのIPアドレスまたはドメイン名を使用して環境変数CLAを構成する必要があります。環境変数が構成されている場合、Citrix ADC CPXライセンスアグリゲーターは、接続されているすべてのCitrix ADC CPXの集約ライセンスをチェックアウトします。
[NSCONFIG-6394]
解決された問題
ビルド 13.1—30.52 で対処された問題。
認証、承認、監査
構成内のSAMLメタデータURLがバックスラッシュ(/)で終わらない、またはバックスラッシュ(/)を含んでいない場合、Citrix ADCアプライアンスがクラッシュする可能性があります。
[NSHELP-31937]
Syslog サーバを設定した場合、SAML 関連のログが 2 行に 1 つ表示されます。
[NSHELP-31750]
認証仮想サーバーでコンテンツセキュリティポリシー (CSP) の書き換えポリシーを適用する際に、アプリケーションの書き換えに問題が発生する可能性があります。
[NSHELP-31583]
LDAP アクションが IP アドレスではなく FQDN に設定されている場合、非 ASCII 文字が nsvpn.log に記録されます。
[NSHELP-27281]
Citrix ADC GUIには、VPN仮想サーバーにバインドされたデフォルトのキャッシュポリシーは表示されません。
[NSHELP-26874]
Citrix ADC SDXアプライアンス
Citrix ADC SDXアプライアンスでは、システムグループの作成または編集が失敗します。
[NSHELP-32359]
Citrix ADC SDXアプライアンスは、ハイパーバイザーディスク使用量のSNMPトラップをCitrix ADMに送信しません。
[NSHELP-32323]
Citrix ADC SDXアプライアンスでは、VLANホワイトリストがCitrix ADC VPXインスタンスに割り当てられたMellanoxインターフェイスの正しい値で更新されません。
[NSHELP-31849]
Citrix SDXアプライアンスをアップグレードすると、ハイパーバイザーのバージョンが現在のバージョンとアップグレードされたSDXバージョンの両方で同じであっても、Management Service GUIに次の誤ったイベントが通知されます。
SVMとHypervisorのバージョンが一致しません
[NSHELP-31769]
証明書名またはキー名にスペースが含まれていると、Citrix ADC SDXアプライアンスへのSSL証明書のインストールが失敗します。
[NSHELP-31711]
Citrix ADC SDXアプライアンスを13.0から13.1ファームウェアにアップグレードすると、プラットフォームのアップグレード中にインストール後のスクリプトファイル(postinst.sh)のCitrix Hypervisorへのアップロードが失敗することがあります。
[NSHELP-31125]
Citrix Gateway
クラスターセットアップでは、CGP_FINISH_REQUEST要求をクライアントに送信中にCitrix ADCアプライアンスがクラッシュします。
[NSHELP-32029]
イントラネットIPアドレスをクライアントに割り当てるときに、Citrix ADCアプライアンスがクラッシュすることがあります。
[NSHELP-31712]
ポリシーベースルーティング(PBR)ポリシーは、VPN 経由の DNS トラフィックには有効になりません。
[NSHELP-31123]
従来のEPAポリシーとnFactor認証が構成されている場合、認証が成功するためのGateway InsightイベントはCitrix Application Delivery Management に送信されません。
[NSHELP-30901]
ns_aaa_json.c ファイルに NS_AUDITLOG_STR* ログ用の余分な行が表示される場合があります。
[NSHELP-28160]
GUI を使用してクラシック認可ポリシーをバインド解除することはできません。ただし、CLI を使用して認証、承認、および監査認可ポリシーのバインドを解除することはできます。
今回の修正により、GUI を使用して承認ポリシーのバインドを解除できるようになりました。
[NSHELP-27064]
Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。
[NSHELP-23937]
ログフラグの脆弱性は、クライアントの送信元 IP アドレスをキャプチャしません。これらのログは次のとおりです。
- 無効なヘッダー/バージョンの HTTP リクエストをドロップしています
- パストラバーサルが検出されました
- 不要な場所に ‘/vpns/’ が見つかりました
- 無効な HTTP リクエストをドロップする
[CGOP-18190]
Citrix Web App Firewall
Citrix ADCアプライアンスでは、コンソールにログメッセージが殺到し、アプライアンスがDNSクエリをWebrootパブリッククラウドサービスプロバイダーに送信する可能性があります。これは、IP レピュテーション機能を無効にすると、24 時間に 1 回ではなく 5 分おきに実行されるためです。
[NSWAF-9299]
負荷分散
ユーザー監視スクリプトが1024バイトを超える応答を返すと、Citrix ADCアプライアンスがクラッシュしてコアがダンプされる可能性があります。
[NSHELP-32097]
まれに、DNSSEC処理が有効になっていて、DNSゾーン構成が存在する場合、Citrix ADCアプライアンスがクラッシュしてコアをダンプすることがあります。
[NSHELP-31993]
まれに競合状態が発生するため、ローカルサイトとリモートサイトの間に不整合がある可能性があります。この不整合は、リモートサイトがローカルサイトから動的メンバーを学習していないことが原因である可能性があります。
リモートサイトの動的メンバーの削除は、パケットエンジン間の通信中に問題が発生したため、正常に削除されない場合があります。
[NSHELP-31982]
vserverAdvancesSLConfigTable OID に対応する SNMP WALK 要求は、仮想サーバーの優先順位が構成されているときにコアダンプになります。
[NSHELP-31704]
ネットワーク
DPDKを搭載したCitrix ADC BLXアプライアンスは、次の条件が満たされると再起動に失敗することがあります。
- Citrix ADC BLXアプライアンスには
hugepagesの大きい数が割り当てられます。たとえば、16 GB と入力します。
この問題は、 /var/log/ns.logにエラーメッセージとして記録されます。
EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files
[NSNET-24727]
Citrix ADCアプライアンスでECMPを構成すると、SSH負荷分散接続で次の問題が発生する可能性があります。
- Citrix ADCアプライアンスは、同じフローの残りのパケットとは異なるルートを介して最初のパケットを送信します。
[NSHELP-32089]
次の条件が満たされると、一部のシナリオでCitrix ADCアプライアンスがクラッシュすることがあります。
- Citrix ADCアプライアンスは、オフセットが異なる複数の最初のフラグメントを受信します。
- Citrix ADCアプライアンスはフラグメントを再構築しません。
[NSHELP-32084]
仮想サーバーでsessionlessオプションが有効で、サーバー側で ECMP が有効になっている負荷分散構成では、次の問題が発生する可能性があります。
- Citrix ADCアプライアンスは、常に同じルートでパケットをサーバーに送信します。
[NSHELP-32061]
大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にCitrix ADCアプライアンスがクラッシュすることがあります。
- 古いフィルタリングエントリが原因です。
[NSHELP-28895]
プラットフォーム
Citrix ADC SDXアプライアンスでは、Mellanox インターフェースのリングサイズが1024エントリから2048エントリに増加します。
[NSPLAT-24539]
/var/log/waagent フォルダーに保存されているファイルのログローテーションが失敗し、より多くのディスク領域を占有します。この障害は、Citrix ADC VPXインスタンスから取得したバックアップ構成を、復元機能を使用してAzureクラウドでホストされている別のADC VPXインスタンスに適用した場合に表示されます。
[NSHELP-31599]
Citrix ADCリリース13.1以降、Citrix ADCアプライアンスは、8つを超えるVMXNET3ネットワークインターフェイスを備えたESXiハイパーバイザーで起動に失敗します。
[NSHELP-31266]
ポリシー
Citrix ADCアプライアンスでは、次のことが観察されます。
- まれなケースでのメモリアカウントに関連する問題。
- 特定のエンティティのメモリ割り当て/割り当て解除に関連する問題。
また、特定のエンティティの割り当て/割り当て解除の追跡が追加/改善されました。
[NSHELP-29215]
SSL
RSA と ECDSA の両方の証明書とキーのペアが仮想サーバにバインドされ、ピアが互換性のある署名アルゴリズムをサポートしている場合、TLS 1.3 サーバは ECDSA 証明書とキーのペアを選択します。以前は、TLS 1.3 サーバーは RSA 証明書とキーのペアを選択していました。この変更により、TLS 1.3 サーバーは TLS 1.2 サーバーと同じように動作するようになりました。
[NSSSL-11650]
TLS 1.3 サーバーは、複数の TLS レコードに分割 (フラグメント) された TLS 1.3 ハンドシェイクメッセージを検出すると、 decode_error アラートを返します。これは、クライアントが証明書を使用して認証を行っていて、クライアントの証明書が最大 TLS レコードサイズ (約 16 KB) よりも大きい場合に、ハンドシェイクの正常な完了に影響を与える可能性があります。
[NSSSL-2940]
次の条件が満たされると、SSL ハンドシェイクが失敗することがあります。
- Hello 検証要求 (HVR) は DTLS で有効になっています。
- Citrix ADCアプライアンスは、HVRをクライアントに送信します。
- クライアントは HVR を受信しません。
- クライアントは、セッションCookieを使用してHVRに応答する代わりに、最初のクライアントHelloを再送信しようとします。注:再送信されたクライアントのHelloメッセージに応答して、ADCアプライアンスはHVRをクライアントに最大3回送信します。適切な応答が受信されない場合、アプライアンスはハンドシェイクに失敗します。
[NHELP-31808]
メモリ使用率が 80% を超えると、SSLトラフィックを処理するように構成されたCitrix ADCアプライアンスがクラッシュする可能性があります。
[NSHELP-29996]
システム
Citrix ADCアプライアンスがsyslogアクション構成フローでクラッシュする。このクラッシュは、セカンダリノードでの高可用性同期中に発生します。
[NSHELP-32254、NHELP-32397]
Citrix ADCアプライアンスでは、HTTPプロファイルのmaxHeaderFieldLenパラメータのデフォルト値によって次の問題が発生します。
- 13.0ビルドにアップグレードした後のトラフィック障害。
[NSHELP-32079]
AppFlowがクライアント側でのみ有効になっていると、Citrix ADCアプライアンスがクラッシュすることがあります。
[NSHELP-31892]
次の条件が満たされると、Citrix ADCアプライアンスがクラッシュすることがあります。
- 分析プロファイルとAppFlowポリシーの両方がバインドされ、プロファイルで
httpAllHdrsオプションが有効になっています。
[NSHELP-30628]
Citrix ADCアプライアンスでは、コンテンツスイッチングまたは負荷分散仮想IP(VIP)のHTTP/2構成を有効にすると、次の問題が発生します。
- Citrix ADCアプライアンスを介してHTTP/2ヘッダーとデータフレームをWebサイトに転送する際の遅延が最大100ミリ秒に増加します。
[NSHELP-30094]
ユーザーインターフェイス
高可用性 (HA) セットアップで、nsconf ツールのローカル IP アドレスをフェッチしているときに、次の問題が発生します。
- ローカルホスト接続ログインに失敗しました。この障害は、RPC ノードのパスワードが HA セットアップのプライマリノードとセカンダリノードで異なる場合に発生します。
[NSHELP-32083]
SSL 仮想サーバーと証明書とキーのペアのバインディングを削除しようとすると、次の例外が Python API SDK で見られます。 TypeError: ‘str’ と ‘bool’ オブジェクトを連結できません
[NSHELP-31746]
負荷分散サーバーの統計情報が、Citrix ADC GUIダッシュボードでずれている。
[NSHELP-20752]
既知の問題
リリース13.1~30.52に存在する問題。
AppFlow
HDX Insightは、ユーザーがアクセスできないアプリケーションまたはデスクトップを起動しようとしたことによるアプリケーションの起動失敗を報告しません。
[NSINSIGHT-943]
認証、承認、監査
Citrix ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。
[NSHELP-563]
Citrix ADC GUIのログインスキーマエディター画面に DualAuthPushOrOTP.xml LoginSchema が正しく表示されません。
[NSAUTH-6106]
ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
show adfsproxyprofile <profile name>
回避策:
クラスタ内のプライマリのアクティブなCitrix ADCに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。
[NSAUTH-5916]
次の手順を実行すると、Citrix ADC GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。
- [LDAP 到達可能性をテスト] オプションが開きます。
- 無効なログイン認証情報が入力され、送信されます。
- 有効なログイン認証情報が入力され、送信されます。
回避策:
[LDAP 到達可能性のテスト] オプションを閉じて開きます。
[NSAUTH-2147]
Citrix ADC SDXアプライアンス
Citrix ADC SDXアプライアンスでは、CLAGがMellanox NIC上に作成されている場合、VPXインスタンスの再起動時にCLAG MACが変更されます。VPXインスタンスへのトラフィックは再起動後に停止します。これは、MACテーブルに古いCLAG MACエントリがあるためです。
[NSSVM-4333]
Citrix Gateway
Chrome を使用している MAC デバイスで、2 つの FQDN にアクセスしているときに VPN 拡張機能がクラッシュする。
[NSHELP-32144]
Citrix Secure Accessによって確立されたトンネルの外部にあるリソースへの直接接続は、大幅な遅延または輻輳が発生すると失敗することがあります。
[NSHELP-31598]
Always on が設定されている場合、aoservice.exe ファイルのバージョン番号(1.1.1.1)が正しくないため、ユーザトンネルが失敗します。
[NSHELP-30662]
[NetworkAccessonVPNFailure]プロファイルパラメーターを[フルアクセス]から[OnlyToGateway]に変更すると、ユーザーはCitrix Gateway アプライアンスに接続できなくなります。
[NSHELP-30236]
ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。この問題を解決するために、次のレジストリ値が導入されます。
\ HKLM\ ソフトウェア\ Citrix\ Secure Access Client\ SecureChannelResetTimeoutSeconds タイプ:DWORD
既定では、このレジストリ値は設定も追加もされません。SecureChannelResetTimeoutSecondsの値が0の場合、または追加されていない場合、遅延を処理する修正は機能しません。これはデフォルトの動作です。管理者は、このレジストリをクライアントに設定して修正を有効にする必要があります (つまり、ゲートウェイプラグインが VPN トンネルを正常に確立した直後にホームページを表示する)。
[NSHELP-30189]
Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。
[NSHELP-29675]
サーバー証明書が信頼されていると、サーバー検証コードが失敗することがあります。その結果、エンドユーザーはゲートウェイにアクセスできなくなります。
[NSHELP-28942]
rdx.js ファイルにいくつかの Citrix 内部 IP アドレスがあることに気付くかもしれません。
[NSHELP-28682]
macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。
[NSHELP-28551]
クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にCitrix Gateway からログアウトすることがあります。
[NSHELP-28404]
Windows 用 EPA プラグインは、ローカルマシンの構成済みプロキシを使用せず、ゲートウェイサーバーに直接接続します。
[NSHELP-24848]
次の条件が満たされている場合、VPN プラグインは Windows ログオン後にトンネルを確立しません。
- Citrix Gateway アプライアンスが常時オン機能用に構成されている
- アプライアンスは、二要素認証
offの証明書ベースの認証用に構成されています
[NSHELP-23584]
スキーマを参照しているときに、エラーメッセージCannot read property 'type' of undefinedが表示されることがあります。
[NSHELP-21897]
Windowsログオン機能の前に常時接続VPNを使用する場合は、Citrix Gateway 13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を使用できます。
[CGOP-19355]
無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight では報告されません。
[CGOP-13621]
Gateway Insight レポートでは、SAML エラー障害の [ 認証タイプ ] フィールドで値SAMLの代わりに値Localが誤って表示されます。
[CGOP-13584]
高可用性セットアップでは、Citrix ADC フェイルオーバー中に、Citrix ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。
[CGOP-13511]
ICA接続がMAC Receiverバージョン19.6.0.32またはCitrix Virtual Apps and Desktopsバージョン7.18から起動されると、HDX Insight機能は無効になります。
[CGOP-13494]
EDT Insight 機能が有効になっていると、ネットワークの不一致時にオーディオチャンネルに障害が発生することがあります。
[CGOP-13493]
ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承認 ] ダイアログボックスには、選択した言語に関係なく、英語でコンテンツが表示されます。
[CGOP-13050]
一部の言語では、Citrix SSOアプリ > ホームページのテキストHome Pageが切り捨てられます。
[CGOP-13049]
Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。
[CGOP-11830]
Outlook Web App (OWA) 2013 では、[ 設定 ] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。
[CGOP-7269]
負荷分散
高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。
[NSLB-7679]
高可用性(HA)セットアップでは、ルートは新しいプライマリノードでドロップされ、次の条件が満たされた場合に再度学習されません。
- 重大なインターフェイス障害により、動的ルートの削除と HA フェールオーバーが同時に発生します。
[NSHELP-32264]
サービスグループのentityofsトラップ内の serviceGroupName の形式は次のとおりです。
<service(group)name>?<ip/DBS>?<port>
トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (?) はセパレータとして使用されます。Citrix ADCは、疑問符(?)付きのトラップを送信します。このフォーマットは、Citrix ADM GUIでも同じように表示されます。これは予想される動作です。
[NSHELP-28080]
特定のシナリオでは、サービスグループにバインドされたサーバーが、無効な Cookie 値を表示します。トレースログで正しい Cookie 値を確認できます。
[NSHELP-21196]
その他
高可用性セットアップで強制同期が行われると、アプライアンスはセカンダリノードでset urlfiltering parameterコマンドを実行します。
その結果、セカンダリノードは、 TimeOfDayToUpdateDB パラメータで指定された次のスケジュールされた時刻まで、スケジュールされた更新をスキップします。
[NSSWG-849]
レジストリ値が 2000 バイトを超えると、AlwaysOnAllow リストレジストリが期待どおりに動作しません。
[NSHELP-31836]
URLフィルタリングのサードパーティベンダーで接続の問題が発生した場合、管理CPUの停滞によりCitrix ADCアプライアンスが再起動することがあります。
[NSHELP-22409]
ネットワーク
DPDKをサポートするCitrix ADC BLXアプライアンスでは、DPDKインテルi350 NICポートではタグ付きVLANはサポートされません。これは、DPDK ドライバに存在する既知の問題であるため、確認されています。
[NSNET-25299]
DPDKを搭載したCitrix ADC BLXアプライアンスは、次の条件をすべて満たすと再起動に失敗することがあります。
- Citrix ADC BLXアプライアンスは、
hugepagesの小さい数が割り当てられます。たとえば、1G です。 - Citrix ADC BLXアプライアンスには、多数のワーカープロセスが割り当てられています。たとえば、28 と入力します。
この問題は、 /var/log/ns.logにエラーメッセージとして記録されます。
BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x
注:x はワーカープロセス数以下の数です。
回避策:
多数のhugepagesを割り当て、アプライアンスを再起動します。
[NSNET-25173]
DPDKモードのCitrix ADC BLXアプライアンスは、DPDKイージー機能により、再起動に少し時間がかかる場合があります。
[NSNET-24449]
DPDKを搭載したCitrix ADC BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。
- 無効化
- 有効化
- リセット
[NSNET-16559]
Debian ベースのLinuxホスト(Ubuntuバージョン18以降)でCitrix ADC BLXアプライアンスのインストールが失敗し、次の依存関係エラーが表示されることがあります。
The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable
回避策:
Citrix ADC BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。
- dpkg — アーキテクチャーの追加 i386
- apt-get アップデート
- apt-get dist-upgrade
- apt-get install libc6:i386
[NSNET-14602]
FTPデータ接続の場合、Citrix ADCアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対するTCP処理は実行しません。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。
[NSNET-5233]
Citrix ADCアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は自動的に管理パーティションの新しいメモリ制限に設定されます。
[NSHELP-21082]
プラットフォーム
13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがCitrix ADCアプライアンスにインストールされません。この問題は、次のCitrix ADCバージョンで修正されています。
- 13.1-4.x
- 13.0—82.31 およびそれ以降
- 12.1—62.21 およびそれ以降
Citrix ADC バージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。
- 任意の 11.1 ビルド
- 12.1—62.21 およびそれ以前
- 13.0-81.x およびそれ以前
[NSPLAT-21691]
Citrix ADC SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、2番目のノードとCLIPでCLAG MACの不一致があります。
- CLAG はMellanox NIC 上に作成されます。
- クラスターとCLAGセットアップに別のVPXインスタンスを追加します。
その結果、VPXインスタンスへのトラフィックが停止します。
[NSPLAT-21049]
Citrix ADC SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、CLIPテーブルとMACテーブルでMACアドレスの不一致が原因で最初のノードがダウンします。
- CLAG はMellanox NIC 上に作成されます。
- クラスタから 2 つ目のノードを削除します。
[NSPLAT-21042]
Azureリソースグループから自動スケール設定またはVMスケールセットを削除する場合は、Citrix ADCインスタンスから対応するクラウドプロファイル構成を削除します。rm cloudprofile コマンドを使用して、プロファイルを削除します。
[NSPLAT-4520]
Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。 回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノードで設定する必要があります。
[NSPLAT-4451]
ポリシー
処理データのサイズが、設定されているデフォルトの TCP バッファサイズを超えると、接続がハングすることがあります。回避策:TCP バッファサイズを、処理が必要なデータの最大サイズに設定します。
[NSPOLICY-1267]
SSL
Citrix ADC SDX 22000およびCitrix ADC SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。
回避策:
- CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:
set ssl vserver <name> -SSL3 DISABLED。 - 構成を保存します。
[NSSSL-9572]
認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。
[NSSSL-6478]
同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。
[NSSSL-6213]
HSM タイプとして Key Vault を指定せずに HSM キーを削除すると、次のような誤ったエラーメッセージが表示されます。 エラー:crl リフレッシュが無効
[NSSSL-6106]
セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)
[NSSSL-4427]
SSL プロファイルの SSL プロトコルまたは暗号を変更しようとすると、不正な警告メッセージWarning: No usable ciphers configured on the SSL vserver/service,が表示されます。
[NSSSL-4001]
期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。[NSSSL-3184、NSSSL-1379、NSSSL-1394]
Citrix ADC SDXアプライアンスをリリース13.1ビルド21.50以降にアップグレードすると、SSL復号化とMAC比較が失敗することがあります。その結果、SSLハンドシェイクの失敗、VPXステータスのフラッピング、VPXインスタンスGUIの利用不能、仮想サーバーとアプリケーションのダウンが発生する可能性があります。
注:この問題は、SDX 8900、SDX 15000、SDX 15000-50G、SDX 26000、およびSDX 26000-50Sのプラットフォームで発生します。
[NSHELP-31672]
システム
アプライアンスがクライアントから max_concurrent_stream 設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS の値はデフォルトで 100 に設定されます。
[NSHELP-21240]
mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。
[NSHELP-10972]
クラスタ展開では、非 CCO ノードでforce cluster syncコマンドを実行すると、ns.log ファイルに重複したログエントリが含まれます。[NSBASE-16304、NSGI-1293]
KubernetesクラスタにCitrix ADMをインストールすると、必要なプロセスが起動しない可能性があるため、期待どおりに動作しません。
回避策:管理ポッドを再起動します。
[NSBASE-15556]
LogStream トランスポートタイプが Insight に設定されている場合、HDX Insight SkipFlow レコードでクライアント IP とサーバー IP が反転します。
[NSBASE-8506]
SSLサービスで構成されたCitrix ADCアプライアンスは、アプライアンスがTCP FIN制御パケットとそれに続くTCP RESET制御パケットを受信するとクラッシュします。
[NSHELP-31656]
ユーザーインターフェイス
MQTT リライト機能では、GUI のエクスプレッションエディタを使用してエクスプレッションを削除することはできません。
回避策:
CLI から MQTT タイプの add または edit action コマンドを使用します。
[NSUI-18049]
Citrix ADC GUIでは、Dashboardタブの下にあるHelpリンクが壊れています。
[NSUI-14752]
CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge コネクタの設定に失敗することがあります。
回避策:
Citrix ADC GUIまたはCLIを使用して、IPSecプロファイル、IPトンネル、およびPBRルールを追加して、CloudBridge Connectorを構成します。
[NSUI-13024]
GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。
[NSUI-6838]
高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。
- HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。
回避策:
HA 同期が完了した後(両方のノードが同期成功状態にある)のみ、手動の HA フェールオーバーを連続して実行します。
[NSHELP-25598]
Citrix ADC BLXアプライアンスの高可用性セットアップでは、プライマリノードが応答しなくなり、CLIまたはAPI要求がブロックされることがあります。
回避策:
プライマリノードを再起動します。
[NSCONFIG-6601]
あなた(システム管理者)がCitrix ADCアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。
-
Citrix ADCアプライアンスをいずれかのビルドにアップグレードします。
- 13.0 52.24 ビルド
- 12.1 57.18 ビルド
- 11.1 65.10 ビルド
- システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更して、構成を保存します。
- Citrix ADCアプライアンスを古いビルドにダウングレードします。
CLI を使用してこれらのシステムユーザのリストを表示するには、次の手順を実行します。
コマンドプロンプトで入力します。
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
回避策:
この問題を修正するには、次の独立したオプションのいずれかを使用します。
- Citrix ADCアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。
- アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
- 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。
詳しくは、https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。
[NSCONFIG-3188]
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select Do Not Agree to exit.