製品ドキュメント
Citrix ADC
Current Release 13.0 12.1
PDFを表示

Citrix ADC 13.1-33.54リリースのリリースノート

December 15, 2022
寄稿者: 
C

このリリースノートドキュメントでは、Citrix ADCリリースビルド13.1-33.54の機能強化と変更、修正された問題と既知の問題について説明します。

  • このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。
  • ビルド 13.1-33.47 以降のビルドは、 https://support.citrix.com/article/CTX463706で説明されているセキュリティの脆弱性を解決します。
  • ビルド 33.54 は、ビルド 33.52、ビルド 33.49、ビルド 33.47 を置き換えます。
  • ビルド 33.54 には、NSHELP-33250、NSHELP-33345、および NSHELP-33063 の問題に対する修正が含まれています。
  • ビルド 33.52 には、NSHELP-32907 の問題の修正が含まれています。
  • ビルド 33.49 には、NSHELP-32709、NSHELP-32697、NSHELP-32410、NSHELP-31790、NSHELP-31478、および NSCONFIG-7098 の問題に対する修正が含まれていました。

新機能

ビルド 13.1-33.54 で利用できる機能強化と変更点。

ボット管理

  • BOT 関連の新表現

    次の式が追加され、BOT プロファイルがロギングモードに設定されている場合に使用できます。

    • HTTP.REQ.BOT.IS_SUSPECTED -クライアントが BOT であると疑われる場合は true を返します。
    • HTTP.REQ.BOT.TYPE.EQ(<bot type>) -クライアントの BOT タイプが引数と同じ場合は true を返します。ボットタイプに設定可能な値:良好、不良、不明
    • HTTP.REQ.BOT.TYPE.NE(<bot type>) -クライアントの BOT タイプが引数と同じでない場合は true を返します。ボットタイプに設定可能な値:良好、不良、不明
    • HTTP.REQ.BOT.TYPE.ENUM_NAME -BOT タイプを文字列で返します。たとえば、良い、悪い、不明。
    • HTTP.REQ.BOT.DETECTION_METHODS -クライアントをBOTとして検出するために使用される検出手法のリスト。

    [NSBOT-842]

Citrix Gateway

  • SmartControl を設定すると、対応する認証、承認、および監査セッションが存在しない場合でも、セッションの信頼性がサポートされます。ネットワーク障害からの回復後にCitrix ADCアプライアンスがクライアントデバイスから受信した再接続要求は、対応する認証、承認、および監査セッションが存在しない場合でも処理されます。

    [CGOP-21040]

Citrix Web App Firewall

  • 新しいデフォルト Web App Firewall プロファイル

    コアWAF保護機能を備えたコアと呼ばれる新しいデフォルトプロファイルが利用可能になりました。コアプロファイルでは次のチェックが有効になっています。

    • 文法ベースの SQL インジェクション
    • 文法ベースの CMD インジェクション
    • XSSか
    • BOF
    • ブロック表現

    [NSWAF-9133]

  • JSON ペイロードのカスタムキーワードサポート

    任意のキーワードを追加して、設定したキーワードが JSON ペイロードに存在するかどうかを確認できます。構成されたキーワードが着信要求で検出された場合、Citrix ADCアプライアンスを構成して、要求をブロックしたり、ログを更新したり、ログカウンタを増やしたりすることができます。

    利点は、SQL インジェクションとコマンドインジェクションのチェックでカバーされていないキーワードを追加して、誤検出を減らすことができることです。

    [NSWAF-9076]

プラットフォーム

  • Citrix ADC ライセンスの不正使用を防ぐ

    Citrix ADCアプライアンスをバージョン13.1にアップグレードする場合、Citrix ADCライセンスシステムは、Customer Success Services 有効期限に従ってライセンス検証を実施するようになりました。この日付がCustomer Success Services 対象日より前の場合、既存のライセンスはアップグレードされたバージョンのADCアプライアンスでは機能しません。この動作により、ライセンスの不正使用を防ぐことができます。

    Citrix 製品の一覧と対象日については、https://support.citrix.com/article/CTX111618/citrix-product-customer-success-services-eligibility-datesを参照してください。

    [NSPLAT-24522]

  • Azure 高速ネットワークでの動的 NIC 削除の処理

    Citrix ADC VPXインスタンスは、Azureアクセラレーテッドネットワークでの動的なNICの取り外しと、取り外されたNICの再接続をシームレスに処理できるようになりました。

    Azure では、ホストのメンテナンス作業のために、高速ネットワークのシングルルート I/O 仮想化 (SR-IOV) 仮想機能 (VF) NIC を削除できます。NICがAzure VMから削除されるたびに、Citrix ADC VPXインスタンスはインターフェイスのステータスを「リンクダウン」と表示し、トラフィックは仮想インターフェイスのみを経由します。取り外したNICが再接続されると、VPXインスタンスは再接続されたSR-IOV VF NICを使用します。このプロセスはシームレスに行われ、設定は不要です。

    [NSPLAT-23300]

  • Python 3.7 のサポート

    Python 2.7が廃止されたため、Citrix ADCアプライアンスはPython 3.7をサポートするようになりました。

    現在の Python スクリプトを Python 3.7 と互換性を持たせるにはアップグレードする必要があります。

    [NSPLAT-20832]

SSL

  • 証明書の有効期限が切れるまでの定期的な通知のサポート

    Citrix ADCアプライアンスは、証明書の有効期限が切れるまで、1日に1つの通知を送信するようになりました。以前は、証明書の有効期限が切れる前に設定された日数だけ通知が送信されていました。

    [NSSSL-11874]

  • 証明書作成リクエストのメールアドレスの長さの増加

    Citrix ADCアプライアンスでは、証明書作成要求の電子メールアドレスの制限が255文字に引き上げられました。以前の制限は 39 文字でした。

    [NSSSL-10917]

  • Intel Coleto およびIntel Lewisburg ベースのプラットフォームでの Thales Luna HSM のサポート

    Thales Luna HSMは現在、Citrix ADC、Intel Coleto、およびIntel Lewisburg SSLチップベースのプラットフォームでサポートされています。

    インテル Coleto チップには、以下のアプライアンスが同梱されています。

    • MPX 5900
    • MPX/SDX 8900
    • MPX/SDX 15000
    • MPX/SDX 15000-50G
    • MPX/SDX 26000
    • MPX/SDX 26000-50S
    • MPX/SDX 26000-100G

    以下のプラットフォームには、Intel Lewisburg チップが付属しています。

    • MPX 9100
    • SDX 9100

    [NSSSL-9707]

システム

  • HTTP プロファイルに新しいパラメータが追加されました

    バックエンドサーバーへの攻撃を防ぐために、新しいパラメーター PassProtocolUpgrade が HTTP プロファイルに追加されました。このパラメータの状態に応じて、アップグレードヘッダーはバックエンドサーバーに送信されるリクエストで渡されるか、リクエストを送信する前に削除されます。

    • PassProtocolUpgrade パラメーターが有効になっている場合、アップグレードヘッダーはバックエンドに渡されます。サーバーはアップグレード要求を受け入れ、応答で通知します。
    • このパラメータを無効にすると、アップグレードヘッダーが削除され、残りのリクエストがバックエンドに送信されます。

    PassProtocolUpgrade パラメータが次のプロファイルに追加されます。

    • nshttp_default_profile はデフォルトで有効になっています
    • nshttp_default_strict_validation デフォルトでは無効になっています
    • nshttp_default_internal_apps はデフォルトで無効になっています
    • nshttp_default_http_quic_profile はデフォルトで有効になっています

    Citrixでは、このパラメータをデフォルトでは無効にすることを推奨しています。詳細については、『 Citrix ADC セキュア導入ガイド』を参照してください

    [NSBASE-17423]

  • 複数の時系列プロファイルのサポート

    Citrix ADCアプライアンスは、最大3つの時系列プロファイル構成をサポートするようになりました。
    各時系列プロファイルには次の内容を設定できます。

    • そのコレクター
    • メトリクスコレクターがエクスポートするのに必要なカウンターのセットを含むスキーマファイル
    • メトリックをエクスポートできるデータ形式。
    • 指標、監査ログ、イベントを有効または無効にするオプション。

    複数の時系列プロファイルがサポートされているため、メトリックコレクターは(構成されたスキーマファイルに基づいて)メトリックの異なるセットを異なるフォーマット(AVRO、Prometheus、Influx)のさまざまなコレクターに同時にエクスポートできます。

    詳細については、「 AppFlow機能の構成」を参照してください。

    [NSBASE-16809]

  • syslog は、特定の時間間隔で TCP 経由でエクスポートされません。この状態のため、syslog は監査バッファーに無期限に留まり、ログがないことが認識されます。この syslog は、バッファーがいっぱいになったときにのみ送信されます。

    今回の修正により、syslog は、監査バッファーがいっぱいになったとき、または 20 秒おきに、いずれか早いほうの間隔で TCP 経由でエクスポートされます。

    [NSBASE-16698]

  • QUIC の暗号オフロードサポート

    Citrix ADCアプライアンスは、ソフトウェアからハードウェアへの暗号処理のオフロードをサポートするようになりました。これにより、QUICトランザクションが高速化されます。Citrix ADCアプライアンスには、暗号アクセラレーションを透過的に実行するSSLハードウェアチップが搭載されています。

    詳細については、 QUICを参照してください。

    [NSBASE-12046]

ユーザーインターフェイス

  • 内部サービスのTLS 1.2設定に基づく安全なRPC通信

    Citrix ADCアプライアンスを以下のいずれかのビルドからリリース13.1ビルド33.x以降にアップグレードすると、内部RPCSおよびKRPCSサービスのTLS 1.2設定(有効または無効)に基づいて、RPCノードの「セキュア」オプションが有効または無効になります。

    • リリース13.0ビルド64.35以前
    • リリース 12.1 ビルド 61.18 またはそれ以前

    「セキュア」オプションが有効になっている場合、RPC通信は次の設定のCitrix ADC ノード間で暗号化されます。

    • 高可用性
    • クラスター
    • GSLBか

    「セキュア」オプションでは、Citrix ADCノード間のRPC接続にセキュアプロトコルTLS1.2とポート番号3008および3009を使用します。

    安全なRPC通信を確保するために、Citrixではこれらのセットアップをアップグレードする前に次の操作を実行することをお勧めします。

    • 内部 RPCS および KRPCS サービスでは TLS 1.2 を有効にする必要があります。
      • nsrpcs-127.0.0.1-3008
      • nskrpcs-127.0.0.1-3009
      • nsrpcs-::1l-3008
    • 3008と3009は、Citrix ADCノード間のファイアウォールでブロック解除する必要があります。

    Citrix ADC CLIまたはGUIを使用して、セキュアオプションを有効または無効にできます。

    [NSCONFIG-6485]

  • Citrix ADC CPXライセンスアグリゲーターのサポート

    これで、Citrix が提供する新しいKubernetesマイクロサービスであるCitrix ADC CPXライセンスアグリゲーターを使用して、Citrix ADC CPXのライセンスを取得できます。Citrix ADC CPXを起動するときは、Citrix ADC CPXライセンスアグリゲーターのIPアドレスまたはドメイン名を使用して環境変数CLAを構成する必要があります。環境変数が構成されている場合、Citrix ADC CPXライセンスアグリゲーターは、接続されているすべてのCitrix ADC CPXの集約ライセンスをチェックアウトします。

    [NSCONFIG-6394]

  • NITRO API インストールの非同期オプションのサポート「NITRO API
    のインストール」に新しいオプション「async」が導入されました。「async」オプションはインストール操作のジョブ ID を返します。これを「nsjob NITRO」API 呼び出しで使用すると、インストール操作のステータスの詳細を取得できます。

    例:

    次の curl リクエストの例では、インストール NITRO API を async オプションとともに使用しています。レスポンスペイロードにはジョブ ID が 2 として含まれています。

    Curl要求:
    “curl -v -X POST -H “Content-Type: application/json” -u nsroot:examplepassword http://192.0.0.33/nitro/v1/config/install?warning=yes -d ‘{“install”: {“url”: “https://example-repo.citrite.net/build-13.1-36.11_nc_64.tgz”, “async”:”1”}}’”

    レスポンスペイロード:

    ”{ “install”:{ “url”: "<file path>", “y”: false, “l”: false, “a”: false, “enhancedupgrade”: false, “resizeswapvar”: false, “async”: true, “id”: “2” }”

    次の curl リクエストの例では、「nsjob NITRO API」を使用して、インストール操作の ID であるジョブ ID 2 のステータス詳細を取得します。

    Curl要求:
    “curl -v -X GET -H “Content-Type: application/json” -u nsroot:examplepassword http://192.0.0.33/nitro/v1/config/nsjob/2

    レスポンスペイロード:

    ”{ “errorcode”: 0, “message”: “Done”, “severity”: “NONE”, “nsjob”: [

    { “name”: “install”, “id”: “2”, “status”: “Success”, “progress”: “nInstallation has completed.nnReboot is required for configuration changes to take effect.Installation succeeded. Reboot required.n”, “timeelapsed”: 148, “errorcode”: “5221”, “message”: “The configuration changes will not take effect until the system is rebootedn” }

    ]}”

    [NSCONFIG-5870]

解決された問題

ビルド13.1-33.54で対処されている問題。

認証、承認、監査

  • Citrix ADCアプライアンスは、MEM_SSLVPNモジュールのメモリリークにより要求の処理を停止します。

    [NSHELP-32646]

  • Citrix Gateway Duo 認証ログオンページは、RFWebUI 以外のテーマでは読み込まれません。

    [NHELP-32463]

  • デバイスをCitrix Gateway アプライアンスに登録すると、Citrix Secure Access(Citrix SSO)に「プッシュ登録に失敗しました」というメッセージが表示されます。

    [NHELP-32461]

  • LDAP認証とSAML認証の両方がカスケードで構成されている場合、ログオン中にエラーページが表示されます。

    [NSHELP-32378]

  • Citrix Workspaceアプリを使用したゲートウェイへの認証が成功しないことがあります。

    [NSHELP-32333]

  • Citrix ADCアプライアンスでコンテンツセキュリティポリシー(CSP)機能が有効になっている場合、SAML認証は失敗します。

    [NHELP-32203]

キャッシュ

  • 統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-22942]

Citrix ADC SDXアプライアンス

  • Citrix ADC SDXアプライアンスでは、リリース13.1ビルド30.52からそれ以前のリリースまたはビルドにダウングレードしても、クリーンインストールオプションが機能しません。

    [NSSVM-5419]

  • Citrix ADC VPXインスタンスをSDXとADMを使用してバックアップすると、いくつかの冗長ハードウェアセキュリティモジュール(HSM)構成ファイルもバックアップされます。

    [NHELP-32539]

  • Citrix ADC SDXアプライアンスの管理サービスSyslogには、日付が誤って2回表示されます。

    [NSHELP-32311]

Citrix Gateway

  • ゲートウェイインサイトとウェブインサイトの機能のいずれかまたは両方が有効になっていると、Citrix ADCアプライアンスがクラッシュします。

    [NSHELP-3345]

  • 接続ブローカーの存在下では、RDP プロキシが機能しないことがあります。

    [NSHELP-33063]

  • HDX Insightが有効になっていて、ユーザーがログアウト後すぐにStoreFront にログインすると、Citrix Gateway アプライアンスがクラッシュすることがあります。

    [NSHELP-32907、NSHELP-33079、NSHELP-33289]

  • Patset ベースの MAC アドレス EPA スキャンは、デバイス証明書スキャンと同じ要素では機能しません。

    [NHELP-32760]

  • Citrix ADCアプライアンスは、認証トラフィックに使用される認証方法が不明なHTTPパケットをすべてドロップします。認証トラフィックに認証および承認仮想サーバーが使用されている場合、認証方法が不明な場合、負荷分散操作で問題が発生し、展開が中断されます。不明な認証方法は、デフォルトでは無効になっています。

    [NSHELP-32709]

  • [ログイン情報の転送] ダイアログボックスには [転送] ボタンは表示されません。

    [NSHELP-32614]

  • StoreFrontでコールバックURLが構成されている場合、StoreFront サーバーからのログアウト要求POST /CitrixAuthservice.asmxを処理中にCitrix ADCアプライアンスがクラッシュします。

    [NSHELP-32207]

  • Citrix Gateway アプライアンスでは、VPNパラメーターがセッションアクションレベルで設定されていない場合、グローバルVPNパラメーターは有効になりません。

    高可用性セットアップをアップグレードする前に、セカンダリアプライアンスの HA 同期を手動で無効にしてください。詳細については、 https://docs.citrix.com/en-us/citrix-adc/current-release/upgrade-downgrade-citrix-adc-appliance/upgrade-downgrade-ha-pair.htmlを参照してください

    [NSHELP-31478、CGOP-21737]

  • Citrix Gateway ログオンページのタイトルとポータルテーマが正しく表示されません。

    [NHELP-29202]

  • IIPプール(IPアドレスとマスク)の構成中に、IPアドレスが範囲内の最初のIPアドレスと一致しない場合、Citrix ADC CLIおよびGUIには1つのブロックのみが表示され、すべては表示されません。

    例:
    バインド VPN vserver vpn_ssl-IntraneTip 172.168.1.1 255.255.255.0
    バインド VPN vserver vpn_ssl-IntranetIP 172.168.2.1 255.255.255.0

    この場合、VPN vserver vpn_ssl を表示しているときの CLI または GUI には 172.168.2.1 プールのみが表示され、172.168.2.2 は表示されません。

    [NSHELP-29084]

Citrix Web App Firewall

  • 次のソフトウェアバージョンでCitrix Web App Firewallのシグネチャオブジェクトを構成すると、スタンドアロンのCitrix ADCアプライアンスまたはHAセットアップのセカンダリモードがクラッシュする可能性があります。

    • 13.0 ビルド 88.5 およびそれ以降
    • 13.1 ビルド 33.41 およびそれ以降

    [NHELP-3250]

  • プロキシサーバーとプロキシポートが設定されている場合、WAF シグネチャの更新は失敗します。シグネチャ自動更新プロセスの毎時実行中、ADCアプライアンスは、設定されたプロキシサーバーとプロキシポートを経由する代わりに、自動更新ホストに接続して更新されたファイルをダウンロードします。その結果、自動更新ホストにアクセスできないと、更新が失敗します。

    [NSHELP-32613]

  • 次の条件が満たされると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    • アプライアンスに高い負荷がかかっています。
    • 構成の変更が行われています。
    • 署名の削除には長い時間がかかります。

    [NHELP-32454]

  • ボットデバイスの指紋認証セッションリプレイ攻撃は、ドロップされるのではなくログに記録されます。

    [NSHELP-31949]

負荷分散

  • useencryptedPersistenceCookieset lb param コマンドでオプションを有効にすると、サービスグループを変更すると Cookie ハッシュが変更されます。

    [NSHELP-32697]

  • まれに、コンテンツスイッチング仮想サーバーでSSLセッションIDベースの永続性とSSLセッションチケットベースの処理が有効になっていると、Citrix ADCアプライアンスがクラッシュしてコアダンプを生成することがあります。

    [NSHELP-32228]

  • 設定した属性がサーバに存在しない場合でも、LDAP モニタのステータスはアップのままです。

    [NHELP-32025]

その他

  • 次の条件が満たされると、クラスターノードはパケットループに入ります。

    • 宛先 IP アドレスが CLIP の UDP パケットがクラスタノードに送信されます。
    • CCO は、クラスターインスタンスの存続期間中に 1 つのノードから別のノードに変更されました。

    [NSHELP-30804]

ネットワーク

  • ConfigMapsでファイルベースのスタートアップ構成を使用すると、クラッシュ後にCitrix ADC CPXがデフォルトのルート構成を復元できません。この動作により、接続が失われます。

    [NSNET-27124]

  • Citrix ADCアプライアンスが、UDPパケットのIPヘッダーに誤ったIPチェックサムを追加する可能性があります。

    [NHELP-32587]

  • Citrix ADC BLX クラスタのセットアップで、次の条件が満たされると VTYSH が起動しないことがあります。

    • Linuxホストが再起動すると、Citrix ADC BLXルートヘルスインジェクション(RHI)プロセスのオーダーループが発生します。

    [NHELP-32473]

  • 仮想サーバーを削除すると、次の条件が満たされると、Citrix ADCアプライアンスは関連するVIP RHIの状態を誤ってDOWNに設定します。

    • 仮想サーバーにはバックアップ仮想サーバーがあります。
    • 仮想サーバは DOWN 状態で、少なくとも 1 つのバックアップ仮想サーバが UP 状態です。

    [NHELP-29972]

プラットフォーム

  • AMDプロセッサ上で動作するCitrix ADCアプライアンスは、ソフトウェアバージョンをリリース13.1ビルド30.xにアップグレードすると、起動中にクラッシュすることがあります。

    [NSPLAT-24968、NSHELP-32808]

  • 高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および Citrix ADC VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。

    1. Citrix ADCアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
    2. その後、Citrix ADCアプライアンスを再起動します。

    [NSPLAT-22013]

  • Mellanox NICを含むCitrix ADC SDXアプライアンスを、VLANフィルタリングが無効になっているビルドからアップグレードし、管理サービスがアップグレードの一環としてVLANフィルタリングを無効にしようとすると、操作が失敗します。その結果、すべてのインターフェイスとチャネルで VLAN フィルタリングが有効になります。

    [NHELP-32759]

ポリシー

  • 次の条件が満たされると、Citrix ADCアプライアンスがpatsetによるポリシー追加中にクラッシュすることがあります。

    • NSB に関連するフラグが TCP の書き換えシナリオで間違った順序で設定されています。

    [NHELP-31064]

SSL

  • 仮想サーバーは、無効なパディングを含む TLS 1.3 レコードを受信すると、「予期しないメッセージ」アラートの代わりに、致命的な「decode_error」アラートを送信します。

    [NSSSL-11890]

  • Intel QAT対応の暗号アクセラレーションハードウェアを搭載したCitrix ADC MPXおよびSDXプラットフォームでは、TLS 1.3接続を介して仮想サーバーに送信される要求に、SOURCEIPパーシステンスタイプが一貫して適用されません。つまり、1 つの送信元 IP アドレスから送信されたリクエストは、複数の異なるバックエンドサーバーに分散される可能性があります。

    [NSHELP-32410、NSHELP-32895、NSHELP-32572、NSHELP-32688]

  • Cavium SSLカードを搭載したCitrix ADCアプライアンスが、クライアントにDTLS ALERTメッセージを送信しているときにクラッシュすることがあります。

    [NHELP-32031]

  • 証明書認証ルールが評価され、同じ要求で2回トリガーされると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-31785]

システム

  • 管理者パーティションでAppFlow機能を有効にできるのは、デフォルトパーティションでULFDモードを有効にした後だけです。

    [NSHELP-32670]

  • Citrix ADCアプライアンスは、受信TCPセグメントに部分的なHTTP要求メソッドが存在する場合、HTTP要求を無効な要求として扱うことがあります。

    [NHELP-32462]

  • 次の条件が満たされると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    • HTTP2とSSLの組み合わせでメモリ使用量が多い場合、Citrix ADCアプライアンスはメモリを割り当てることができません。

    [NHELP-32255]

  • IPまたはPORTフィルターを使用してnstraceパケットキャプチャを開始すると、Citrix ADCアプライアンスがVPNセットアップでクラッシュします。

    [NSHELP-31790]

  • 以下の条件が満たされると、gRPC クライアントは gRPC ステータスヘッダーの解析に失敗します。

    • gRPC ステータスヘッダーは、末尾ヘッダーだけに追加されるのではなく、先頭ヘッダーと末尾ヘッダーの両方に追加されます。

    [NSHELP-31640]

  • SACKを有効にすると、Citrix ADCアプライアンスは再送信リストの最後の1バイトTCPセグメントを再送信しません。理由は次のとおりです。アプライアンスは、最後の1バイトのTCPセグメントを再送信リストの最後を示すダミーセグメントとして使用します。

    [NSHELP-28778]

ユーザーインターフェイス

  • Citrix ADC GUIを使用してGSLBサービスをGSLB仮想サーバーにバインドすることはできません。 GSLBサービスグループバインディング > GSLBサービスバインディング > GSLBサービスのリストが空と表示されているためです

    [NHELP-32236]

  • Citrix ADC GUI([システム] > [ネットワーク] > [ルート])を使用して静的ルートを変更すると、次のエラーメッセージが表示されて誤って失敗することがあります。

    • 「必要な引数が見つかりません [ゲートウェイ]」

    [NHELP-32024]

  • HA/Cluster セットアップでは、RSA 以外の SSH キーを設定すると、設定の同期が失敗します。たとえば、ECDSA キーや DSA キーなどです。

    [NHELP-31675]

  • Citrix ADC GUIで、 [システム] > [SNMP] > [トラップ] の下に既存のSNMPトラップ宛先がある場合、その宛先の編集に失敗し、次のエラーメッセージが表示されます。

    • 「SNMP トラップを取得中にエラーが発生しました」

    [NSHELP-3161]

  • Citrix ADCアプライアンスのGUIには、構成済みのSAMLおよびOAuth IDPポリシーの正しい数が表示されません。

    [NSHELP-31480]

  • Citrix ADCアプライアンスでは、GUIインターフェイスを使用しているときに、レスポンダーポリシーページに次の問題が表示されます。

    • カスタム作成されたレスポンダーポリシーは、組み込みレスポンダーポリシーの下に表示される場合があります。

    [NSHELP-31428]

  • Citrix ADC HAセットアップでは、構成を保存して更新ボタンをクリックすると、Citrix ADC GUIに次の問題が発生します。

    • アプライアンスに未保存の設定変更がない場合でも、GUI の [保存] ボタンにオレンジ色のドットが誤って表示されます。

    [NSHELP-30031]

  • GSLB 仮想サーバーの統計情報は、管理パーティションモードでは使用できません。

    [NHELP-28524]

  • Citrix ADM からライセンスをチェックアウトした Citrix ADC アプライアンスは、アプライアンスがADMから切断されると猶予期間に入ります。アプライアンスはADMではライセンスされていないように見え、ADMに再接続した後も猶予期間中も継続します。

    [NSCONFIG-7098]

既知の問題

リリース13.1-33.54に存在する問題。

AppFlow

  • HDX Insightは、ユーザーがアクセスできないアプリケーションまたはデスクトップを起動しようとしたことによるアプリケーションの起動失敗を報告しません。

    [NSINSIGHT-943]

認証、承認、監査

  • CWA クライアントまたはネイティブ VPN クライアントによるゲートウェイ認証は、 ns_aaa_relaystate_param_whitelist patset に文字列がないために失敗する可能性があります。

    回避方法:

    bind policy patset ns_aaa_relaystate_param_whitelist "citrixauthwebviewdone://" -index 1 -charset ASCII

    bind policy patset ns_aaa_relaystate_param_whitelist "citrixsso://" -index 2 -charset ASCII

    bind policy patset ns_aaa_relaystate_param_whitelist "citrixng://" -index 3 -charset ASCII

    [NHELP-33054]

  • Citrix ADCアプライアンスは、Content-Typeヘッダーの文字セットサフィックスを削除し、次の両方を構成した場合にContent-Type: application/x-www-form-urlencodedを送信します。

    • SSO フォームベース認証
    • nsapimgr knob - nsapimgr_wr.sh -ys call=ns_formsso_use_ctype_simple_enable knob

    [NSHELP-31977]

  • SAML 認証が設定されている場合、ログアウト時に問題が発生する可能性があります。

    [NHELP-31962]

  • Citrix ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。

    [NSHELP-563]

  • ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
    show adfsproxyprofile <profile name>

    回避策:クラスター内のプライマリアクティブCitrix ADCに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

    [NSAUTH-5916]

  • 次の手順を実行すると、Citrix ADC GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。

    • [LDAP 到達可能性をテスト] オプションが開きます。
    • 無効なログイン認証情報が入力され、送信されます。
    • 有効なログイン認証情報が入力され、送信されます。

    回避策:「LDAP 到達可能性のテスト」オプションを閉じて開きます。

    [NSAUTH-2147]

キャッシュ

  • キャッシュされたコンテンツがクライアントに提供されると、Citrix ADCアプライアンスがクラッシュします。

    [NSHELP-31760]

  • 統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-22942]

Citrix ADC SDXアプライアンス

  • 次の条件が満たされると、Citrix ADC SDXアプライアンスでホストされているVPXインスタンスでパケットドロップが表示されます。

    • スループット割り当てモードはバーストです。
    • スループットと最大バーストキャパシティには大きな違いがあります。

    [NSHELP-21992]

Citrix Gateway

  • Citrix Secure Accessクライアントのバージョン21.7.1.2以降では、管理者権限のないユーザーが新しいバージョンにアップグレードできません。この問題は、Citrix Secure AccessクライアントのアップグレードがCitrix ADCアプライアンスから行われた場合にのみ発生します。

    [NSHELP-32793]

  • ユーザーがWindows向けCitrix Secure Access画面の[ホームページ]タブをクリックすると、ページに接続拒否エラーが表示されます。

    [NSHELP-32510]

  • Chrome を使用する Mac デバイスで、2 つの FQDN にアクセス中に VPN 拡張機能がクラッシュします。

    [NSHELP-32144]

  • EPA の障害が断続的に発生するため、ユーザーは VPN にログオンできません。

    [NSHELP-32138]

  • デバイスに適切なクライアント証明書がない場合、オプションのクライアント証明書による nFactor 認証は失敗します。

    [NSHELP-32127]

  • HDX Insightが有効になっていると、Citrix Gatewayアプライアンスがクラッシュする可能性があります。

    [NSHELP-32120]

  • クラスターセットアップでは、CGP_FINISH_REQUEST要求をクライアントに送信中にCitrix ADCアプライアンスがクラッシュします。

    [NSHELP-32029]

  • UDP セッションを起動すると、セッションを閉じた後でも古い接続が存在しているように見えます。ただし、これらは実際には古い接続ではなく、カウンタの問題です。

    [NHELP-32009]

  • Citrix Gateway リリース13.0または13.1のプロキシ設定が空の場合、Citrix SSOによって不適切なプロキシ設定が作成されることがあります。

    [NSHELP-31970]

  • Citrix Secure Accessクライアントのデバッグログ制御は、Citrix Gateway に依存せず、マシントンネルとユーザートンネルの両方のプラグインUIから有効または無効にできるようになりました。

    [NSHELP-31968]

  • Microsoft Edgeがデフォルトのブラウザの場合、Citrix Secure Access UIのホームページリンクは機能しません。

    [NHELP-31894]

  • ユーザーがCitrix ADCアプライアンスにログオンし、Citrix Workspaceがインストールされていない場合、Citrix Workspaceをダウンロードするためのリンクが誤ってCitrix Receiverを指します。

    [NSHELP-3187]

  • Gateway Insight の認証失敗レコードには、NOAUTH が第 1 要素として設定されていて、認証情報が無効であるために 2 番目の要素認証が失敗した場合、ユーザー名は「匿名」と表示されます。この問題は、nFactor ビジュアライザーでは設計上、1 番目のファクターが NOAUTH として設定されているため、nFactor ビジュアライザーを使用して構成を実行した場合にのみ発生します。

    [NSHELP-31795]

  • Citrix Secure Accessによって確立されたトンネルの外部にあるリソースへの直接接続は、大幅な遅延または輻輳が発生すると失敗することがあります。

    [NSHELP-31598]

  • カスタマイズされたEPA障害ログメッセージは、Citrix Gateway ポータルには表示されません。代わりに、「内部エラー」というメッセージが表示されます。

    [NSHELP-31434]

  • ユーザーが Always-On サービスモードで Windows マシンにログインすると、Windows 自動ログオンが機能しないことがあります。マシントンネルはユーザートンネルに遷移しません。「Connecting…」というメッセージが VPN プラグイン UI に表示されます。

    [NHELP-31357、CGOP-21192]

  • ポリシーベースルーティング(PBR)ポリシーは、VPN 経由の DNS トラフィックには有効になりません。

    [NSHELP-31123]

  • Always on が設定されている場合、aoservice.exe ファイルのバージョン番号(1.1.1.1)が正しくないため、ユーザトンネルが失敗します。

    [NSHELP-30662]

  • [NetworkAccessonVPNFailure]プロファイルパラメーターを[フルアクセス]から[OnlyToGateway]に変更すると、ユーザーはCitrix Gateway アプライアンスに接続できなくなります。

    [NSHELP-30236]

  • ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。この問題を解決するために、次のレジストリ値が導入されます。

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    タイプ: DWORD

    既定では、このレジストリ値は設定も追加もされません。「SecureChannelResetTimeoutSeconds」の値が0または追加されていない場合、遅延を処理するための修正が機能しません。これはデフォルトの動作です。管理者は、このレジストリをクライアントに設定して修正を有効にする必要があります (つまり、ゲートウェイプラグインが VPN トンネルを正常に確立した直後にホームページを表示する)。

    [NSHELP-30189]

  • Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。

    [NSHELP-29675]

  • IIPプール(IPアドレスとマスク)の構成中に、IPアドレスが範囲内の最初のIPアドレスと一致しない場合、Citrix ADC CLIおよびGUIには1つのブロックのみが表示され、すべては表示されません。

    例:
    バインド VPN vserver vpn_ssl-IntraneTip 172.168.1.1 255.255.255.0
    バインド VPN vserver vpn_ssl-IntranetIP 172.168.2.1 255.255.255.0

    この場合、VPN vserver vpn_ssl を表示しているときの CLI または GUI には 172.168.2.1 プールのみが表示され、172.168.2.2 は表示されません。

    回避策:範囲内の最初の IP アドレスを使用して IIP ブロックを設定します。

    例:

    bind vpn vserver vpn_ssl -intranetIP 172.168.1.0 255.255.255.0
    bind vpn vserver vpn_ssl -intranetIP 172.168.2.0 255.255.255.0

    [NSHELP-29084]

  • サーバー証明書が信頼されていると、サーバー検証コードが失敗することがあります。その結果、エンドユーザーはゲートウェイにアクセスできなくなります。

    [NSHELP-28942]

  • rdx.js ファイルにいくつかの Citrix 内部 IP アドレスがあることに気付くかもしれません。

    [NSHELP-28682]

  • macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。

    [NSHELP-28551]

  • クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にCitrix Gateway からログアウトすることがあります。

    [NSHELP-28404]

  • Windows 用 EPA プラグインは、ローカルマシンの構成済みプロキシを使用せず、ゲートウェイサーバーに直接接続します。

    [NSHELP-24848]

  • 次の条件を満たす場合、Windows ログオン後に VPN プラグインはトンネルを確立しません。

    • Citrix Gateway アプライアンスが常時オン機能用に構成されている
    • アプライアンスは、2 要素認証を「オフ」にした証明書ベースの認証用に設定されています。

    [NSHELP-23584]

  • スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。

    [NSHELP-21897]

  • 「show vpn icaconnection」コマンドでは、ICA接続のシリアル番号が正しく表示されません。この問題は、「show vpn icaconnection」コマンドの実行時にシリアル番号が任意にリセットされるために発生します。

    [COP-22205]

  • Windowsログオン機能の前に常時接続VPNを使用する場合は、Citrix Gateway 13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を活用できます。

    [CGOP-19355]

  • 無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight では報告されません。

    [CGOP-13621]

  • Gateway Insight レポートでは、SAML エラーエラーの認証タイプフィールドに「SAML」ではなく「Local」という値が誤って表示されます。

    [CGOP-13584]

  • 高可用性セットアップでは、Citrix ADC フェイルオーバー中に、Citrix ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。

    [CGOP-13511]

  • ICA接続がMAC Receiverバージョン19.6.0.32またはCitrix Virtual Apps and Desktopsバージョン7.18から起動されると、HDX Insight機能は無効になります。

    [CGOP-13494]

  • EDT Insight 機能が有効になっていると、ネットワークの不一致時にオーディオチャンネルに障害が発生することがあります。

    [CGOP-13493]

  • ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承認 ] ダイアログボックスには、選択した言語に関係なく、英語でコンテンツが表示されます。

    [CGOP-13050]

  • Citrix SSOアプリ > ホームページの「ホームページ 」というテキストは、一部の言語では切り捨てられます。

    [CGOP-13049]

  • Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

    [CGOP-11830]

  • Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。

    [CGOP-7269]

Citrix Web App Firewall

  • Citrix Web App Firewallは、コマンドインジェクションの検出に時間がかかることがあります。その結果、Pitboss は Citrix ADC アプライアンスを再起動します。

    [NSHELP-32654]

  • ボットデバイスの指紋認証セッションリプレイ攻撃は、ドロップされるのではなくログに記録されます。

    [NSHELP-31949]

負荷分散

  • 高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

    [NSLB-7679]

  • GSLB仮想サーバーで次の設定が構成されている場合、Citrix ADCアプライアンスはGSLBドメインクエリの正しいサービスIPアドレスで応答しません。

    1. ECS オプションは有効です。
    2. 静的近接は負荷分散方法として設定されます。

    [NSHELP-32879]

  • ユーザー監視スクリプトが1024バイトを超える応答を返すと、Citrix ADCアプライアンスがクラッシュしてコアがダンプされる可能性があります。

    [NSHELP-32097]

  • 設定した属性がサーバに存在しない場合でも、LDAP モニタのステータスはアップのままです。

    [NHELP-32025]

  • まれに競合状態が発生するため、ローカルサイトとリモートサイトの間に不整合がある可能性があります。この不整合は、リモートサイトがローカルサイトから動的メンバーを学習していないことが原因である可能性があります。

    リモートサイトの動的メンバーの削除は、パケットエンジン間の通信中に問題が発生したため、正常に削除されない場合があります。

    [NSHELP-31982]

  • vserverAdvancesSLConfigTable OID に対応する SNMP WALK 要求は、仮想サーバーの優先順位が構成されているときにコアダンプになります。

    [NSHELP-31704]

  • サービスグループのentityofsトラップ内の ServiceGroupName 形式は次のとおりです。
    <service(group)name>?<ip/DBS>?<port>

    トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (“?”) は区切り文字として使用されます。Citrix ADCは、疑問符(”?”)。このフォーマットは、Citrix ADM GUIでも同じように表示されます。これは予想される動作です。

    [NSHELP-28080]

  • 特定のシナリオでは、サービスグループにバインドされたサーバーが、無効な Cookie 値を表示します。トレースログで正しい Cookie 値を確認できます。

    [NSHELP-21196]

その他

  • 高可用性セットアップで強制同期が行われると、アプライアンスはセカンダリノードで「set urlfilter parameter」コマンドを実行します。
    その結果、セカンダリノードは、「TimeOfDaytoUpdateDB」パラメータで指定された次のスケジュールされた時刻まで、スケジュールされた更新をスキップします。

    [NSSWG-849]

  • レジストリ値が 2000 バイトを超えると、AlwaysOnAllow リストレジストリが期待どおりに動作しません。

    [NSHELP-31836]

  • 次の条件が満たされると、クラスターノードはパケットループに入ります。

    • 宛先 IP アドレスが CLIP の UDP パケットがクラスタノードに送信されます。
    • CCO は、クラスターインスタンスの存続期間中に 1 つのノードから別のノードに変更されました。

    回避策:宛先IPアドレスをCLIPアドレスとする特定のUDPパケットにドロップACLを適用することで、このパケットループを回避または終了できます。

    [NSHELP-30804]

  • URLフィルタリングのサードパーティベンダーで接続の問題が発生した場合、管理CPUの停滞によりCitrix ADCアプライアンスが再起動することがあります。

    [NSHELP-22409]

ネットワーク

  • DPDKをサポートするCitrix ADC BLXアプライアンスでは、DPDKインテルi350 NICポートではタグ付きVLANはサポートされません。これは、DPDK ドライバに存在する既知の問題であるため、確認されています。

    [NSNET-25299]

  • DPDKを搭載したCitrix ADC BLXアプライアンスは、次の条件をすべて満たすと再起動に失敗することがあります。

    • Citrix ADC BLXアプライアンスには、少数の「巨大ページ」が割り当てられています。たとえば、1G です。
    • Citrix ADC BLXアプライアンスには、多数のワーカープロセスが割り当てられています。たとえば、28 と入力します。

    この問題は、エラーメッセージとして「/var/log/ns.log」に記録されます。

    • 「BLX-DPDK: DPDK メモリプールを PE-x 用に初期化できませんでした」

    注:x はワーカープロセス数以下の数です。

    回避策:「巨大ページ」を多数割り当ててから、アプライアンスを再起動します。

    [NSNET-25173]

  • DPDKモードのCitrix ADC BLXアプライアンスは、DPDKイージー機能により、再起動に少し時間がかかる場合があります。

    [NSNET-24449]

  • DPDKを搭載したCitrix ADC BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。

    • 無効化
    • 有効化
    • リセット

    [NSNET-16559]

  • Debian ベースのLinuxホスト(Ubuntuバージョン18以降)でCitrix ADC BLXアプライアンスのインストールが失敗し、次の依存関係エラーが表示されることがあります。

    「次のパッケージの依存関係は満たされていません:blx-core-libs: i386: preDepends: libc6: i386 (>= 2.19) しかしインストールできません」

    回避策:Citrix ADC BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。

    • dpkg — アーキテクチャーの追加 i386
    • apt-get アップデート
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [NSNET-14602]

  • FTPデータ接続の場合、Citrix ADCアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対するTCP処理は実行しません。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。

    [NSNET-5233]

  • Citrix ADCアプライアンスでECMPを構成すると、SSH負荷分散接続で次の問題が発生する可能性があります。

    • Citrix ADCアプライアンスは、同じフローの残りのパケットとは異なるルートを介して最初のパケットを送信します。

    [NSHELP-32089]

  • 次の条件が満たされると、一部のシナリオでCitrix ADCアプライアンスがクラッシュすることがあります。

    • Citrix ADCアプライアンスは、オフセットが異なる複数の最初のフラグメントを受信します。
    • Citrix ADCアプライアンスはフラグメントを再構築しません。

    [NSHELP-32084]

  • 仮想サーバーで「セッションレス」オプションを有効にし、サーバー側で ECMP を有効にした負荷分散構成では、次の問題が発生する可能性があります。

    • Citrix ADCアプライアンスは、常に同じルートでパケットをサーバーに送信します。

    [NSHELP-32061]

  • 次の条件をすべて満たすと、Citrix ADCアプライアンスがクラッシュする可能性があります。

    • TTL ベースの ACL がタイムアウト
    • Citrix ADCアプライアンスには多数のACLが設定されています。

    [NSHELP-31307]

  • 仮想サーバーを削除すると、次の条件が満たされると、Citrix ADCアプライアンスは関連するVIP RHIの状態を誤ってDOWNに設定します。

    • 仮想サーバーにはバックアップ仮想サーバーがあります。
    • 仮想サーバは DOWN 状態で、少なくとも 1 つのバックアップ仮想サーバが UP 状態です。

    [NHELP-29972]

  • Citrix ADCアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は自動的に管理パーティションの新しいメモリ制限に設定されます。

    [NSHELP-21082]

プラットフォーム

  • 高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および Citrix ADC VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。

    1. Citrix ADCアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
    2. その後、Citrix ADCアプライアンスを再起動します。

    [NSPLAT-22013]

  • 13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがCitrix ADCアプライアンスにインストールされません。この問題は、次のCitrix ADCバージョンで修正されています。

    • 13.1-4.x
    • 13.0-82.31 以降
    • 12.1-62.21 以降

    Citrix ADC バージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。

    • 任意の 11.1 ビルド
    • 12.1-62.21 およびそれ以前
    • 13.0-81.x およびそれ以前

    [NSPLAT-21691]

  • Azureリソースグループから自動スケール設定またはVMスケールセットを削除する場合は、Citrix ADCインスタンスから対応するクラウドプロファイル構成を削除します。「rm cloudprofile」コマンドを使用してプロファイルを削除します。

    [NSPLAT-4520]

  • Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。
    回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノード上で設定する必要があります。

    [NSPLAT-4451]

  • Citrix ADC SDX 8015/8400/8600プラットフォームでは、Xenサーバーのメモリ消費量が増加する可能性があります。
    回避策:Xen Serverで次のコマンドを実行し、アプライアンスを再起動します。
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [NHELP-32260]

  • Citrix ADCリリース13.1以降、Citrix ADCアプライアンスは、8つを超えるVMXNET3ネットワークインターフェイスを備えたESXiハイパーバイザーで起動に失敗します。

    [NSHELP-31266]

ポリシー

  • 処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

    回避策:TCP バッファーサイズを、処理が必要なデータの最大サイズに設定します。

    [NSPOLICY-1267]

  • Citrix ADCアプライアンスでは、NSPEPIツールを使用して従来のポリシーから高度なポリシーに移行されたコンテンツスイッチングポリシーは、次の条件が満たされると機能しない場合があります。

    • ポリシーはコンテンツスイッチ仮想サーバーにバインドされます。
    • 「CaseSensitive」パラメータはオフに設定されています。

    [NHELP-31951]

  • 次の条件が満たされると、Citrix ADCアプライアンスがpatsetによるポリシー追加中にクラッシュすることがあります。

    • NSB に関連するフラグが TCP の書き換えシナリオで間違った順序で設定されています。

    [NHELP-31064]

SSL

  • Citrix ADC SDX 22000およびCitrix ADC SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。

    回避方法:

    1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:set ssl vserver <name> -SSL3 DISABLED
    2. 構成を保存します。

    [NSSSL-9572]

  • 認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

    [NSSSL-6478]

  • 同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。

    [NSSSL-6213]

  • HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。
    エラー:CRL 更新は無効です

    [NSSSL-6106]

  • セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

    [NSSSL-4427]

  • SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。

    [NSSSL-4001]

  • 期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。

    [NSSSL-3184、NSSSL-1379、NSSSL-1394]

  • Cavium SSLカードを搭載したCitrix ADCアプライアンスが、クライアントにDTLS ALERTメッセージを送信しているときにクラッシュすることがあります。

    [NHELP-32031]

  • 次の条件が満たされると、SSL ハンドシェイクが失敗することがあります。

    1. Hello 検証要求 (HVR) は DTLS で有効になっています。
    2. Citrix ADCアプライアンスは、HVRをクライアントに送信します。
    3. クライアントは HVR を受信しません。
    4. クライアントは、HVR にセッション Cookie で応答する代わりに、最初のクライアント hello を再送信しようとします。

    注:再送信されたクライアントの hello メッセージに応答して、ADC アプライアンスは HVR をクライアントに最大 3 回送信します。適切な応答が受信されない場合、アプライアンスはハンドシェイクに失敗します。

    [NHELP-31808]

  • 証明書認証ルールが評価され、同じ要求で2回トリガーされると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-31785]

  • クラスタIP(CLIP)アドレスを介してアクセスされるCitrix ADC GUIには、SSL仮想サーバーへのサーバー証明書バインディングは表示されません。

    [NSHELP-31602]

  • 有効な CA 証明書がデフォルトの証明書バンドルに存在しない場合、SSL インターセプト中に OCSP 応答検証が失敗することがあります。この失敗は、設定された証明書バンドルの代わりにデフォルトの証明書バンドルを使用して OCSP 応答検証が誤って行われたことが原因です。

    [NSHELP-30594]

  • ソフトウェアモードでSSLトラフィックを処理すると、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-29996]

システム

  • Citrix ADCアプライアンスでは、ヘッダー変更フレームワークによりメモリが破損します。この状態は、Citrix ADCアプライアンスが使用するCookieが転送される前に特定の順序で削除された場合に発生します。

    [NSHELP-32799]

  • Citrix ADCアプライアンスでは、HTTPプロファイルの「maxHeaderFieldLen」パラメーターのデフォルト値によって次の問題が発生します。

    • 13.0ビルドにアップグレードした後のトラフィック障害。

    [NSHELP-32079]

  • AppFlowがクライアント側でのみ有効になっていると、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-31892]

  • SSLサービスで構成されたCitrix ADCアプライアンスは、アプライアンスがTCP FIN制御パケットとそれに続くTCP RESET制御パケットを受信するとクラッシュします。

    [NSHELP-31656]

  • 以下の条件が満たされると、gRPC クライアントは gRPC ステータスヘッダーの解析に失敗します。

    • gRPC ステータスヘッダーは、末尾ヘッダーだけに追加されるのではなく、先頭ヘッダーと末尾ヘッダーの両方に追加されます。

    [NSHELP-31640]

  • 次の条件が満たされると、TCP 接続の RTT が高くなります。

    • 最大輻輳ウィンドウ(> 4 MB)が高く設定されている
    • TCP NILE アルゴリズムは有効になっています

    Citrix ADCアプライアンスがNILEアルゴリズムを使用して輻輳制御を行うには、条件がスロースタートしきい値を超える必要があります。これは、最大輻輳ウィンドウと組み合わされています。

    そのため、設定された最大輻輳ウィンドウに達するまで、Citrix ADCは引き続きデータを受け入れ、RTTが高くなります。

    [NSHELP-31548]

  • Citrix ADCアプライアンスでは、コンテンツスイッチングまたは負荷分散仮想IP(VIP)のHTTP/2構成を有効にすると、次の問題が発生します。

    • Citrix ADCアプライアンスを介してHTTP/2ヘッダーとデータフレームをWebサイトに転送する際の遅延が最大100ミリ秒に増加します。

    [NSHELP-30094]

  • コンテンツ検査機能を使用する場合、ペイロードによるRewriteヘッダーの挿入が正しく機能しない場合があります。

    [NSHELP-3008]

  • アプライアンスがクライアントから max_concurrent_stream 設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS の値はデフォルトで 100 に設定されます。

    [NSHELP-21240]

  • mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。

    [NSHELP-10972]

  • クラスタ展開では、CCO 以外のノードで「force cluster sync」コマンドを実行すると、ns.log ファイルには重複するログエントリが含まれます。

    [NSBASE-16304、NSGI-1293]

  • KubernetesクラスタにCitrix ADMをインストールすると、必要なプロセスが起動しない可能性があるため、期待どおりに動作しません。

    回避策:管理ポッドを再起動します。

    [NSBASE-15556]

  • LogStream トランスポートタイプが Insight 用に構成されている場合、クライアントIPとサーバーIPはHDX Insight SkipFlowレコードで反転されます。

    [NSBASE-8506]

ユーザーインターフェイス

  • MQTT リライト機能では、GUI のエクスプレッションエディタを使用してエクスプレッションを削除することはできません。

    回避策:CLI を使用して MQTT タイプのアクションの追加または編集コマンドを使用します。

    [NSUI-18049]

  • Citrix ADC GUIでは、[ダッシュボード] タブの下にある [ヘルプ] リンクが壊れています。

    [NSUI-14752]

  • CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge コネクタの設定に失敗することがあります。

    回避策:Citrix ADC GUIまたはCLIを使用してIPsecプロファイル、IPトンネル、およびPBRルールを追加して、CloudBridge Connectorを構成します。

    [NSUI-13024]

  • GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。

    [NSUI-6838]

  • Citrix Web App Firewallのプロファイルを作成し、[ システム] > [レポート] でアプリケーションファイアウォールの構成レポートを生成しようとすると、次のエラーが表示されます。

    「PDF ドキュメントを読み込めませんでした。」

    [NSHELP-32469]

  • 高可用性 (HA) セットアップで、nsconf ツールのローカル IP アドレスをフェッチしているときに、次の問題が発生します。

    • ローカルホスト接続ログインに失敗しました。この障害は、RPC ノードのパスワードが HA セットアップのプライマリノードとセカンダリノードで異なる場合に発生します。

    回避策:HA セットアップでは、プライマリノードとセカンダリノードの両方の RPC ノードパスワードが同じであることを確認します。

    [NSHELP-32083]

  • Citrix ADC リリース13.0では、[ 優先負荷分散仮想サーバーサービスの構成 ]ページの [OK ]ボタンがグレー表示になっています。

    [NSHELP-32007]

  • ユーザーがログインした後、Citrix ADCアプライアンスのログインページに有効なユーザー名が表示されない場合があります。

    [NSHELP-31759]

  • HA/Cluster セットアップでは、RSA 以外の SSH キーを設定すると、設定の同期が失敗します。たとえば、ECDSA キーや DSA キーなどです。

    [NHELP-31675]

  • Citrix ADC GUIで、 [システム] > [SNMP] > [トラップ] の下に既存のSNMPトラップ宛先がある場合、その宛先の編集に失敗し、次のエラーメッセージが表示されます。

    • 「SNMP トラップを取得中にエラーが発生しました」

    [NSHELP-3161]

  • Citrix ADCアプライアンスのGUIには、構成済みのSAMLおよびOAuth IDPポリシーの正しい数が表示されません。

    [NSHELP-31480]

  • Citrix ADCアプライアンスでは、GUIインターフェイスを使用しているときに、レスポンダーポリシーページに次の問題が表示されます。

    • カスタム作成されたレスポンダーポリシーは、組み込みレスポンダーポリシーの下に表示される場合があります。

    [NSHELP-31428]

  • Citrix ADC HAセットアップでは、構成を保存して更新ボタンをクリックすると、Citrix ADC GUIに次の問題が発生します。

    • アプライアンスに未保存の設定変更がない場合でも、GUI の [保存] ボタンにオレンジ色のドットが誤って表示されます。

    [NSHELP-30031]

  • GSLB 仮想サーバーの統計情報は、管理パーティションモードでは使用できません。

    [NHELP-28524]

  • 高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。

    • HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。

    回避策:HA 同期が完了した後にのみ、手動で HA フェイルオーバーを連続して実行してください(両方のノードが同期成功状態になっています)。

    [NSHELP-25598]

  • Citrix ADC BLXアプライアンスの高可用性セットアップでは、プライマリノードが応答しなくなり、CLIまたはAPI要求がブロックされることがあります。

    回避策:プライマリノードを再起動します。

    [NSCONFIG-6601]

  • あなた(システム管理者)がCitrix ADCアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。

    1. Citrix ADCアプライアンスをいずれかのビルドにアップグレードします
      • 13.0 52.24 ビルド
      • 12.1 57.18 ビルド
      • 11.1 65.10 ビルド
    2. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
    3. Citrix ADCアプライアンスを古いビルドにダウングレードします。

    CLIを使用してこれらのシステムユーザーのリストを表示するには、
    コマンドプロンプトで次のように入力します。

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    回避策:この問題を解決するには、以下のいずれかの独立したオプションを使用してください。

    • Citrix ADCアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。
    • アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
    • 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。

    [NSCONFIG-3188]

Citrix ADC 13.1-33.54リリースのリリースノート
December 15, 2022
寄稿者: 
C
December 15, 2022
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | プライバシーと法令 | Cookieの設定 | 同意設定
© 1999- Cloud Software Group, Inc. All rights reserved.