Citrix ADC

Citrix ADC 13.1-37.38リリースのリリースノート

このリリースノートドキュメントでは、Citrix ADCリリースビルド13.1-37.38の機能強化と変更、修正された問題と既知の問題について説明します。

  • このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。
  • Citrix ADC SDX バンドルビルド 13.1-37.39 は、ビルド 13.1-37.38 に取って代わります。

新機能

ビルド 13.1-37.38 で利用できる機能強化と変更点。

Citrix ADC SDXアプライアンス

  • アップグレードプロセスの強化

    Citrix ADC SDXアプライアンスでは、アップグレードプロセスで2回の再起動ではなく1回の再起動が必要になりました。

    [NSSVM-5299]

  • SDX UI からのサードパーティインスタンスサポートの削除

    Citrix ADC SDXアプライアンスは、UIインターフェイスからのサードパーティインスタンスをサポートしなくなりました。「 サードパーティインスタンス 」ビューは、SDX UI インターフェイスの「 設定 」タブから削除されました。

    回避策:Management Service で引き続きサードパーティのインスタンスを使用したい場合は、以下の手順を使用してください。

    1. 管理サービスシェルにログオンします。
    2. 「/mpsconfig」ディレクトリに「.ThirdPartyVM」というファイルを作成します。
    3. 管理サービスシェルでsvmd restartコマンドを実行して、管理サービスを再起動します。

    [NSSVM-5229]

Citrix Gateway

  • 認証クッキーの HTTPOnly フラグのサポート

    VPN シナリオの認証クッキー、つまり NSC_認証、承認、および監査CおよびNSC_TMAS クッキーで HttpOnly フラグがサポートされるようになりました。NSC_TMAS 認証Cookie は nFactor 認証時に使用され、NSC_Authentication、承認、および AuditingC Cookie は認証セッションに使用されます。Cookie の HTTPOnlyFlag は、JavaScript ドキュメントのCookie オプションを使用してCookie へのアクセスを制限します。これにより、クロスサイトスクリプティングによる Cookie の盗難を防ぐことができます。

    [ CGOP-14004 ]

負荷分散

  • 自動遅延 TROFS ステートの設定

    DNS 応答から IP アドレスが削除されたときに、サービスグループのメンバーが TROFS 状態に正常に移行するように設定できます。自動遅延TROFSが有効になっている場合、Citrix ADCは、メンバーをTROFS状態に移行する前に、サービスグループに接続されているすべてのモニターで最も長い応答タイムアウトを待ちます。

    詳細については、「 ドメインベースのサービスグループの自動スケーリングの設定」を参照してください。

    [NSLB-9371]

ネットワーク

  • AMD プロセッサベースの Linux ホスト上の Citrix ADC BLX アプライアンスの DPDK サポート

    AMDプロセッサベースのLinuxホスト上のCitrix ADC BLXアプライアンスがDPDKをサポートするようになりました。アプライアンスは、Linuxホスト上の指定されたDPDK互換NICポートを自動的に検出します。その後、アプライアンスはそれらを DPDK モードで初期化します。Citrix ADC BLXアプライアンスの起動後、DPDKポートは専用ポートとしてアプライアンスに追加されます。

    「blx.conf」ファイルで DPDK 互換 NIC ポートを 1 つ以上指定する代わりに、同じ IOMMU グループに属する DPDK 互換 NIC ポートをすべて指定する必要があります。それ以外の場合、DPDK互換のNICポートは非DPDK専用ポートとしてCitrix ADC BLXアプライアンスに追加されます。

    [ NSNET-19219 ]

プラットフォーム

  • GCP の共有コアインスタンスのパフォーマンスの向上

    Citrix ADC VPXインスタンスでは、GCPの共有コアインスタンスに対してCPU利回りパラメータがデフォルトで有効になっています。これにより、共有コアインスタンスの GCP のパフォーマンスが向上します。GCP の共有コアマシンの種類について詳しくは、 Google Cloud のドキュメントをご覧ください

    GCP の共有コアインスタンスを使用する ADC HA セットアップでは、ログイン時に次の警告メッセージが表示されます。

    高いパフォーマンスと可用性を実現するには、共有コアマシンから Google Cloud Platform 上の汎用またはコンピューティング/メモリ最適化インスタンスタイプに移行することをお勧めします。

    [ NSPLAT-23748 ]

  • Azure DV5 シリーズでのCitrix ADC VPX インスタンスのサポート

    Azureクラウド上のCitrix ADC VPXインスタンスは、Azure DV5シリーズの仮想マシンで実行できるようになりました。

    [ NSPLAT-22730 ]

  • Citrix ADC MPX 16000プラットフォームのサポート

    このリリースでは、Citrix ADC MPX 16000 プラットフォームがサポートされています。このプラットフォームには、2 つの 16 コアプロセッサと 128 GB (16 x 8 GB DIMM) のメモリが搭載されています。アプライアンスには、合計8つの25G SFP+ポートと4つの100G QSFP28イーサネットポートが搭載されています。
    詳細については、 https://docs.citrix.com/en-us/citrix-hardware-platforms/mpx/netscaler-hardware-platforms/mpx-16000.htmlを参照してください。

    [ NSPLAT-25436 ]

  • Citrix ADC SDX 16000プラットフォームのサポート

    このリリースでは、Citrix ADC SDX 16000プラットフォームがサポートされています。このプラットフォームには、2 つの 16 コアプロセッサと 256 GB (16 x 16 GB DIMM) のメモリが搭載されています。アプライアンスには、合計8つの25G SFP+ポートと4つの100G QSFP28イーサネットポートが搭載されています。
    詳細については、 https://docs.citrix.com/en-us/citrix-hardware-platforms/sdx/hardware-platforms/sdx-16000.htmlを参照してください。

    [ NSPLAT-21608 ]

SSL

  • 証明書の有効期限が切れるまでの定期的な通知のサポート

    Citrix ADCアプライアンスは、証明書の有効期限が切れるまで、1日に1つの通知を送信するようになりました。以前は、証明書の有効期限が切れる前に設定された日数だけ通知が送信されていました。

    [ NSSSL-11874 ]

システム

  • Syslog 接続障害を警告するための SNMP アラーム

    外部のsyslogサーバーへのネットワーク接続障害について警告するために、新しいSNMPアラーム「SyslogConnectionDropped」がCitrix ADCアプライアンスに導入されました。

    [NSBASE-16823]

ユーザーインターフェイス

  • Subscription Advantage の日付が異なる1つ以上のライセンスファイルをアップロードすると、Citrix ADM はそれらを単一のプールにマージできません。その結果、Citrix ADC インスタンスは、ライセンスファイルの制限を超えると容量をチェックアウトできません。

    [ NSCONFIG-6590, NSHELP-30854 ]

解決された問題

ビルド13.1-37.38で対処されている問題。

AppFlow

  • AppFlowを構成すると、アプライアンスがバックエンドサーバーから空のHTTPチャンク応答を受信すると、Citrix ADCアプライアンスはTCP接続をリセットします。

    この問題は、関連する AppFlow アクションの「ClientSideMeasurements」パラメーターが有効になっている場合に発生します。

    [ NSHELP-32250 ]

認証、承認、監査

  • アプライアンスにStandard Editionライセンスがある場合、Citrix ADCアプライアンスを再起動すると、NO_AUTHN認証アクションは持続しません。

    [ NSHELP-32522 ]

  • Citrix Gateway GSLBセットアップでは、次の条件が満たされると、GSLBサイト間のプロキシ接続ループが検出されることがあります。

    • すべてのGSLBサイトが同じバージョンではありません。
    • Citrix Gateway は高度な認証を使用して構成されています。

    [ NSHELP-32487 ]

  • Citrix ADCアプライアンスは、Content-Typeヘッダーの文字セットサフィックスを削除し、次の両方を構成した場合にContent-Type: application/x-www-form-urlencodedを送信します。

    • SSO フォームベース認証
    • nsapimgr knob - nsapimgr_wr.sh -ys call=ns_formsso_use_ctype_simple_enable knob

    [ NSHELP-31977 ]

  • SAML 認証が設定されている場合、ログアウト時に問題が発生する可能性があります。

    [ NSHELP-31962 ]

  • SSO の処理に必要なベアラートークンがないトラフィックで SSO が有効になっていると、シングルサインオン (SSO) が失敗します。

    [ NSHELP-31362 ]

キャッシュ

  • キャッシュされたコンテンツがクライアントに提供されると、Citrix ADCアプライアンスがクラッシュします。

    [ NSHELP-31760 ]

  • キャッシュ制御ブロックで「max_age」および「s_maxage」パラメータ値が動的に設定されていないと、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-27758 ]

Citrix ADC SDXアプライアンス

  • Citrix ADC SDXアプライアンスのGUIでは、ユーザーがイベントルールに障害オブジェクトを追加すると、入力フィールドがクロスサイトスクリプティング攻撃の影響を受けやすく、保存されているクロスサイトスクリプティングに対してページセキュリティが脆弱になりました。この問題を防ぐため、ユーザー入力が有効であることを確認するために、入力フィールドがサニタイズされるようになりました。

    [ NSHELP-32600 ]

Citrix Gateway

  • Gateway InsightとWeb Insightの機能のいずれかまたは両方が有効になっていると、Citrix ADCアプライアンスがクラッシュします。

    [ NSHELP-33345, NSHELP-33347 ]

  • 接続ブローカーの存在下では、RDP プロキシが機能しないことがあります。

    [ NSHELP-33063 ]

  • Citrix Gateway アプライアンスのポートが不足しているため、アプリケーションをCitrix Gateway経由で起動できない場合があります。

    [ NSHELP-32418 ]

  • クライアントレスVPNアクセス用に構成されたCitrix Gateway アプライアンスは、ダミーセッションの処理中にクラッシュする可能性があります。

    [ NSHELP-32399 ]

  • HDX Insightが有効になっていると、Citrix Gatewayアプライアンスがクラッシュする可能性があります。

    [ NSHELP-32120 ]

  • UDP セッションを起動すると、セッションを閉じた後でも古い接続が存在しているように見えます。ただし、これらは実際には古い接続ではなく、カウンタの問題です。

    [ NSHELP-32009 ]

  • ユーザーがCitrix ADCアプライアンスにログオンし、Citrix Workspaceがインストールされていない場合、Citrix Workspaceをダウンロードするためのリンクが誤ってCitrix Receiverを指します。

    [ NSHELP-31877 ]

  • Gateway Insight の認証失敗レコードには、NOAUTH が第 1 要素として設定されていて、認証情報が無効であるために 2 番目の要素認証が失敗した場合、ユーザー名は「匿名」と表示されます。この問題は、nFactor ビジュアライザーでは設計上、1 番目のファクターが NOAUTH として設定されているため、nFactor ビジュアライザーを使用して構成を実行した場合にのみ発生します。

    [ NSHELP-31795 ]

  • 「show vpn icaconnection」コマンドでは、ICA接続のシリアル番号が正しく表示されません。この問題は、「show vpn icaconnection」コマンドの実行時にシリアル番号が任意にリセットされるために発生します。

    [ CGOP-22205 ]

Citrix Web App Firewall

  • 次のソフトウェアバージョンでCitrix Web App Firewallのシグネチャオブジェクトを構成すると、スタンドアロンのCitrix ADCアプライアンスまたはHAセットアップのセカンダリモードがクラッシュする可能性があります。

    • 13.0 ビルド 88.5 およびそれ以降
    • 13.1 ビルド 33.41 およびそれ以降

    [ NSHELP-33250 ]

  • cookieHijackingActionをブロック、ログ、または統計に設定すると、Citrix ADCアプライアンスでメモリリークが発生します。

    [ NSHELP-33187 ]

  • Citrix Web App Firewallでは、コンテンツタイプのヘッダーにプロトコル(application/pkcs7-signature)を指定すると、ヘッダーが誤って解析されます。その結果、ファイアウォールは有効なリクエストをブロックします。

    [ NSHELP-32844 ]

  • WAF プロファイルの復元時には、一部の緩和ルールがインポートされません。

    [ NSHELP-32729 ]

  • Citrix Web App Firewallは、コマンドインジェクションの検出に時間がかかることがあります。その結果、Pitboss は Citrix ADC アプライアンスを再起動します。

    [ NSHELP-32654 ]

  • 正当な Cookie はログに保存され、重複した Cookie 違反ログが表示されます。

    [ NSHELP-32369 ]

負荷分散

  • 特定のシナリオでは、サービスグループにバインドされたサーバーが、無効な Cookie 値を表示します。トレースログで正しい Cookie 値を確認できます。

    [ NSHELP-21196 ]

その他

  • Citrix ADCアプライアンスは、Webサーバーのログ機能のバッファーサイズを16MBではなく3MBという誤ったデフォルト値に設定しています。

    [ NSHELP-32429 ]

ネットワーク

  • Citrix BLXクラスタのセットアップでは、次の操作はエラーメッセージなしで失敗します。

    • 強制基本レベルでのコンフィグレーションのクリア (「クリアコンフィグ-フォースベーシック」)
    • 強制拡張レベルでの設定のクリア (「設定をクリア-強制拡張」)
    • 強制拡張+レベルでの設定のクリア (「設定をクリア-強制拡張+」)

    [ NSNET-27132 ]

  • 高可用性セットアップでは、多数の LSN セッションをクリアしているときに、メモリ破損によりプライマリノードがクラッシュする可能性があります。

    [ NSHELP-32467 ]

  • 次の条件をすべて満たすと、Citrix ADCアプライアンスがクラッシュする可能性があります。

    • TTL ベースの ACL がタイムアウト
    • Citrix ADCアプライアンスには多数のACLが設定されています。

    [ NSHELP-31307 ]

プラットフォーム

  • Citrix ADC MPXアプライアンスでMellanoxインターフェイスを無効にすると、インターフェイスにリンクされているピアスイッチは、リンクダウン状態ではなくリンクアップ状態で表示されます。

    [ NSPLAT-24422 ]

  • Citrix ADC VPXインスタンスは、次の両方の条件が満たされると、クライアントからのパケットをドロップします。

    • VPXインスタンスは、VMXNET3アダプタを使用してAWS上のVMwareクラウドでホストされます。
    • VMXNET3 アダプタはパケットの RSS ハッシュを生成できません。

    [ NSHELP-33150 ]

ポリシー

  • Citrix ADCアプライアンスでは、NSPEPIツールを使用して従来のポリシーから高度なポリシーに移行されたコンテンツスイッチングポリシーは、次の条件が満たされると機能しない場合があります。

    • ポリシーはコンテンツスイッチ仮想サーバーにバインドされます。
    • 「CaseSensitive」パラメータはオフに設定されています。

    [ NSHELP-31951 ]

SSL

  • 仮想サーバーがAzure Key Vaultに保存されている秘密鍵を使用するように構成されている場合、Citrix ADCアプライアンスはTLS 1.3ハンドシェイク中にクラッシュする可能性があります。

    [ NSHELP-32451 ]

  • Citrix ADCアプライアンスは、次の条件が満たされるとクラッシュします。

    • ハンドシェイクが完了する前に、クライアントから別のクライアントに hello が送信されます。
    • リクエストには、最初のクライアント hello に特別な暗号セットが含まれています。

    [ NSHELP-32422 ]

  • クラスタIP(CLIP)アドレスを介してアクセスされるCitrix ADC GUIには、SSL仮想サーバーへのサーバー証明書バインディングは表示されません。

    [ NSHELP-31602 ]

  • 有効な CA 証明書がデフォルトの証明書バンドルに存在しない場合、SSL インターセプト中に OCSP 応答検証が失敗することがあります。この失敗は、設定された証明書バンドルの代わりにデフォルトの証明書バンドルを使用して OCSP 応答検証が誤って行われたことが原因です。

    [ NSHELP-30594 ]

システム

  • Citrix ADM サーバーは、一意のURLを含む大量のHTTPトラフィックを受信すると、大量のメモリを消費します。その結果、Citrix ADM サーバーにアクセスできなくなります。

    [ NSHELP-32922 ]

  • Citrix ADCアプライアンスでは、ヘッダー変更フレームワークによりメモリが破損します。この状態は、Citrix ADCアプライアンスが使用するCookieが転送される前に特定の順序で削除された場合に発生します。

    [ NSHELP-32799 ]

  • HTTP リクエストで PATCH メソッドを使用すると、VPN 認証が失敗します。この問題は、HTTP PATCH メソッドが未知の認証方法として認識されるために発生します。

    [ NSHELP-32214 ]

  • コンテンツ検査機能を使用する場合、ペイロードによるRewriteヘッダーの挿入が正しく機能しない場合があります。

    [ NSHELP-30088 ]

ユーザーインターフェイス

  • Management Service ライセンスページでは、ライセンスノードにアクセスしたり更新したりしても、プールされたライセンス情報は更新されません。代わりに、プールされたライセンス情報は、ログアウトして再度ログインしたときにのみ更新されます。

    [ NSHELP-33203 ]

  • ユーザーがコンテンツスイッチングポリシーのバインドを表示しても、コンテンツスイッチング仮想サーバーの詳細は [ バインディングの表示] の同じ行に表示されません。

    [ NSHELP-33149 ]

  • ユーザーがトラフィックポリシーをコンテンツスイッチングまたは負荷分散仮想サーバーにバインドしても、バインディングの詳細は GUI に表示されません。

    [ NSHELP-32751 ]

  • Citrix ADC GUIを使用してCitrix ADCアプライアンスを次のいずれかのビルドにアップグレードまたはダウングレードすると、失敗することがあります。

    • リリース 13.1 ビルド 30.52
    • リリース 13.1 ビルド 27.59

    [ NSHELP-32673 ]

  • Citrix ADC GUIを使用して、カスタムパーティションでホストされているDNSおよびDNS_TCPプロトコルを使用して仮想サーバーを作成または編集すると、次のエラーが表示されます。

    Error: Invalid object name [lbvserver_scpolicy_binding]

    [ NSHELP-32534 ]

  • Citrix ADC GUIには次の問題が表示されます。

    • Citrix ADC GUIを使用すると、サーバー証明書がSSL仮想サーバーにバインドされている場合、証明書のバインドはGUIに表示されません。CA 証明書のバインドは GUI に通常どおり表示されます。
    • 組み込みレスポンダーポリシーの非表示ボタンをクリックすると、手動で作成されたレスポンダーポリシーも非表示になります。

    クラスタ設定では、Citrix ADC GUIに次の追加問題が表示されます。

    • 暗号グループを内部サービスにバインドすると、エラーが発生して失敗します。
    • 組み込みの書き換えアクションは GUI には表示されません。

    [ NSHELP-32499 ]

  • 管理パーティションのあるCitrix ADCアプライアンスでは、パーティション内の「ns」パラメータ設定は再起動後に失われます。この状態は、組み込み構成が間違っているために発生します。

    [ NSHELP-32486 ]

  • ユーザーがログインした後、Citrix ADCアプライアンスのログインページに有効なユーザー名が表示されない場合があります。

    [ NSHELP-31759 ]

  • 高可用性セットアップでは、HA 構成の同期後に暗号化された構成がセカンダリノードで失われます。

    [ NSHELP-30897 ]

既知の問題

リリース13.1-37.38に存在する問題。

AppFlow

  • HDX Insightは、ユーザーがアクセスできないアプリケーションまたはデスクトップを起動しようとしたことによるアプリケーションの起動失敗を報告しません。

    [ NSINSIGHT-943 ]

認証、承認、監査

  • Citrix ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。

    [ NSHELP-563 ]

  • Citrix ADCアプライアンスでコンテンツセキュリティポリシー(CSP)機能が有効になっている場合、DUO認証は失敗します。

    [NSAUTH-12687]

  • 管理者は、認証情報が無効であることが原因で発生した認証エラーのカスタムロギングを実行できません。この問題は、Citrix ADC レスポンダーポリシーがログイン失敗のエラーを検出できないために発生します。

    [NSAUTH-11151]

  • ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
    show adfsproxyprofile <profile name>

    回避策:クラスター内のプライマリアクティブCitrix ADCに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

    [NSAUTH-5916]

  • 次の手順を実行すると、Citrix ADC GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。

    • [LDAP 到達可能性をテスト] オプションが開きます。
    • 無効なログイン認証情報が入力され、送信されます。
    • 有効なログイン認証情報が入力され、送信されます。

    回避策:「LDAP 到達可能性のテスト」オプションを閉じて開きます。

    [NSAUTH-2147]

Citrix ADC SDXアプライアンス

  • 次の条件が満たされると、Citrix ADC SDXアプライアンスでホストされているVPXインスタンスでパケットドロップが表示されます。

    • スループット割り当てモードはバーストです。
    • スループットと最大バーストキャパシティには大きな違いがあります。

    [ NSHELP-21992 ]

Citrix Gateway

  • Citrix Secure Accessクライアントのバージョン21.7.1.2以降では、管理者権限のないユーザーが新しいバージョンにアップグレードできません。この問題は、Citrix Secure AccessクライアントのアップグレードがCitrix ADCアプライアンスから行われた場合にのみ発生します。

    [ NSHELP-32793 ]

  • ユーザーがWindows向けCitrix Secure Access画面の[ホームページ]タブをクリックすると、ページに接続拒否エラーが表示されます。

    [ NSHELP-32510 ]

  • Chrome を使用する Mac デバイスで、2 つの FQDN にアクセス中に VPN 拡張機能がクラッシュします。

    [ NSHELP-32144 ]

  • Citrix Gateway リリース13.0または13.1のプロキシ設定が空の場合、Citrix SSOによって不適切なプロキシ設定が作成されることがあります。

    [ NSHELP-31970 ]

  • Citrix Secure Accessクライアントのデバッグログ制御は、Citrix Gateway に依存せず、マシントンネルとユーザートンネルの両方のプラグインUIから有効または無効にできるようになりました。

    [ NSHELP-31968 ]

  • Citrix Secure Accessによって確立されたトンネルの外部にあるリソースへの直接接続は、大幅な遅延または輻輳が発生すると失敗することがあります。

    [ NSHELP-31598 ]

  • カスタマイズされたEPA障害ログメッセージは、Citrix Gateway ポータルには表示されません。代わりに、「内部エラー」というメッセージが表示されます。

    [ NSHELP-31434 ]

  • ユーザーが Always-On サービスモードで Windows マシンにログインすると、Windows 自動ログオンが機能しないことがあります。マシントンネルはユーザートンネルに遷移しません。「Connecting…」というメッセージが VPN プラグイン UI に表示されます。

    [ NSHELP-31357, CGOP-21192 ]

  • Always on が設定されている場合、aoservice.exe ファイルのバージョン番号(1.1.1.1)が正しくないため、ユーザトンネルが失敗します。

    [ NSHELP-30662 ]

  • 「NetworkAccessonVPNFailure」プロファイルパラメータをfullAccessからonlyToGatewayに変更すると、ユーザーはCitrix Gateway アプライアンスに接続できなくなります 。

    [ NSHELP-30236 ]

  • ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。この問題を解決するために、次のレジストリ値が導入されます。

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    タイプ: DWORD

    デフォルトでは、このレジストリ値は設定も追加もされません。「SecureChannelResetTimeoutSeconds」の値が0または追加されていない場合、遅延を処理するための修正が機能しません。これはデフォルトの動作です。管理者は、このレジストリをクライアントに設定して修正を有効にする必要があります (つまり、ゲートウェイプラグインが VPN トンネルを正常に確立した直後にホームページを表示する)。

    [ NSHELP-30189 ]

  • Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。

    [ NSHELP-29675 ]

  • rdx.js ファイルにいくつかの Citrix 内部 IP アドレスがあることに気付くかもしれません。

    [ NSHELP-28682 ]

  • macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。

    [ NSHELP-28551 ]

  • クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にCitrix Gateway からログアウトすることがあります。

    [ NSHELP-28404 ]

  • Windows 用 EPA プラグインは、ローカルマシンの構成済みプロキシを使用せず、ゲートウェイサーバーに直接接続します。

    [ NSHELP-24848 ]

  • 次の条件を満たす場合、Windows ログオン後に VPN プラグインはトンネルを確立しません。

    • Citrix Gateway アプライアンスが常時オン機能用に構成されている
    • アプライアンスは、2 要素認証を「オフ」にした証明書ベースの認証用に設定されています。

    [ NSHELP-23584 ]

  • スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。

    [ NSHELP-21897 ]

  • Citrix ADCクラスター設定では、HDX InsightとGateway Insightを同時に有効にすることはできません。

    [ CGOP-22849 ]

  • Windowsログオン機能の前に常時接続VPNを使用する場合は、Citrix Gateway 13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を活用できます。

    [ CGOP-19355 ]

  • 無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight では報告されません。

    [ CGOP-13621 ]

  • Gateway Insight レポートでは、SAML エラーエラーの認証タイプフィールドに「SAML」ではなく「Local」という値が誤って表示されます。

    [ CGOP-13584 ]

  • 高可用性セットアップでは、Citrix ADC フェイルオーバー中に、Citrix ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。

    [ CGOP-13511 ]

  • ICA接続がMAC Receiverバージョン19.6.0.32またはCitrix Virtual Apps and Desktopsバージョン7.18から起動されると、HDX Insight機能は無効になります。

    [ CGOP-13494 ]

  • EDT Insight 機能が有効になっていると、ネットワークの不一致時にオーディオチャンネルに障害が発生することがあります。

    [ CGOP-13493 ]

  • ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承認 ] ダイアログボックスには、選択した言語に関係なく、英語でコンテンツが表示されます。

    [ CGOP-13050 ]

  • Citrix SSOアプリ > ホームページの「ホームページ 」というテキストは、一部の言語では切り捨てられます。

    [ CGOP-13049 ]

  • Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

    [ CGOP-11830 ]

  • Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。

    [ CGOP-7269 ]

負荷分散

  • 高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

    [NSLB-7679]

  • サービスグループのentityofsトラップ内の ServiceGroupName 形式は次のとおりです。
    <service(group)name>?<ip/DBS>?<port>

    トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (“?”) は区切り文字として使用されます。Citrix ADCは、疑問符(”?”)。このフォーマットは、Citrix ADM GUIでも同じように表示されます。これは予想される動作です。

    [ NSHELP-28080 ]

その他

  • 高可用性セットアップで強制同期が行われると、アプライアンスはセカンダリノードで「set urlfilter parameter」コマンドを実行します。
    その結果、セカンダリノードは、「TimeOfDaytoUpdateDB」パラメータで指定された次のスケジュールされた時刻まで、スケジュールされた更新をスキップします。

    [NSSWG-849]

  • レジストリ値が 2000 バイトを超えると、AlwaysOnAllow リストレジストリが期待どおりに動作しません。

    [ NSHELP-31836 ]

  • URLフィルタリングのサードパーティベンダーで接続の問題が発生した場合、管理CPUの停滞によりCitrix ADCアプライアンスが再起動することがあります。

    [ NSHELP-22409 ]

ネットワーク

  • DPDKをサポートするCitrix ADC BLXアプライアンスでは、DPDKインテルi350 NICポートではタグ付きVLANはサポートされません。これは、DPDK ドライバに存在する既知の問題であるため、確認されています。

    [ NSNET-25299 ]

  • DPDKを搭載したCitrix ADC BLXアプライアンスは、次の条件をすべて満たすと再起動に失敗することがあります。

    • Citrix ADC BLXアプライアンスには、少数の「巨大ページ」が割り当てられています。たとえば、1G です。
    • Citrix ADC BLXアプライアンスには、多数のワーカープロセスが割り当てられています。たとえば、28 と入力します。

    この問題は、エラーメッセージとして「/var/log/ns.log」に記録されます。

    • 「BLX-DPDK: DPDK メモリプールを PE-x 用に初期化できませんでした」

    注:x はワーカープロセス数以下の数です。

    回避策:「巨大ページ」を多数割り当ててから、アプライアンスを再起動します。

    [ NSNET-25173 ]

  • DPDKモードのCitrix ADC BLXアプライアンスは、DPDKイージー機能により、再起動に少し時間がかかる場合があります。

    [ NSNET-24449 ]

  • DPDKを搭載したCitrix ADC BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。

    • 無効化
    • 有効化
    • リセット

    [ NSNET-16559 ]

  • Debian ベースのLinuxホスト(Ubuntuバージョン18以降)でCitrix ADC BLXアプライアンスのインストールが失敗し、次の依存関係エラーが表示されることがあります。

    「次のパッケージの依存関係は満たされていません:blx-core-libs: i386: preDepends: libc6: i386 (>= 2.19) しかしインストールできません」

    回避策:Citrix ADC BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。

    • dpkg — アーキテクチャーの追加 i386
    • apt-get アップデート
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [ NSNET-14602 ]

  • FTPデータ接続の場合、Citrix ADCアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対するTCP処理は実行しません。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。

    [ NSNET-5233 ]

  • Citrix ADCアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は自動的に管理パーティションの新しいメモリ制限に設定されます。

    [ NSHELP-21082 ]

プラットフォーム

  • Azureリソースグループから自動スケール設定またはVMスケールセットを削除する場合は、Citrix ADCインスタンスから対応するクラウドプロファイル構成を削除します。「rm cloudprofile」コマンドを使用してプロファイルを削除します。

    [ NSPLAT-4520 ]

  • Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。
    回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノード上で設定する必要があります。

    [ NSPLAT-4451 ]

  • Citrix ADC SDX 8015/8400/8600プラットフォームでは、Xenサーバーのメモリ消費量が増加する可能性があります。
    回避策:Xen Serverで次のコマンドを実行し、アプライアンスを再起動します。
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [ NSHELP-32260 ]

ポリシー

  • 処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

    回避策: TCP バッファサイズを、処理する必要のあるデータの最大サイズに設定します。

    [NSPOLICY-1267]

SSL

  • Citrix ADC SDX 22000およびCitrix ADC SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。

    回避策:

    1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:set ssl vserver <name> -SSL3 DISABLED
    2. 構成を保存します。

    [ NSSSL-9572 ]

  • 認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

    [ NSSSL-6478 ]

  • 同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。

    [ NSSSL-6213 ]

  • HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。 エラー:CRL 更新は無効です

    [ NSSSL-6106 ]

  • セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

    [ NSSSL-4427 ]

  • SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。

    [ NSSSL-4001 ]

  • 期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。

    [ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]

システム

  • 次の条件が満たされると、TCP 接続の RTT が高くなります。

    • 最大輻輳ウィンドウ(> 4 MB)が高く設定されている
    • TCP NILE アルゴリズムは有効になっています

    Citrix ADCアプライアンスがNILEアルゴリズムを使用して輻輳制御を行うには、条件がスロースタートしきい値を超える必要があります。これは、最大輻輳ウィンドウと組み合わされています。

    そのため、設定された最大輻輳ウィンドウに達するまで、Citrix ADCは引き続きデータを受け入れ、RTTが高くなります。

    [ NSHELP-31548 ]

  • アプライアンスがクライアントから max_concurrent_stream 設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS の値はデフォルトで 100 に設定されます。

    [ NSHELP-21240 ]

  • mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。

    [ NSHELP-10972 ]

  • まれに、HTTP/2 WebSocket ストリームが作成される前に作成されたストリームが、WebSocket のサーバー側接続が閉じると終了することがあります。

    この問題は、Citrix ADCアプライアンスがHTTP/2 WebSocketの接続多重化をサポートしていないために発生します。

    回避策:以下のコマンドを使用して、関連する HTTP2 プロファイルの接続多重化を無効にします。

    set httpProfile <name> [-conMultiplex ( ENABLED | DISABLED )]

    [NSBASE-17449]

  • クラスタ展開では、CCO 以外のノードで「force cluster sync」コマンドを実行すると、ns.log ファイルには重複するログエントリが含まれます。

    [NSBASE-16304、NSGI-1293]

  • KubernetesクラスタにCitrix ADMをインストールすると、必要なプロセスが起動しない可能性があるため、期待どおりに動作しません。

    回避策:管理ポッドを再起動します。

    [NSBASE-15556]

  • LogStream トランスポートタイプが Insight 用に構成されている場合、クライアントIPとサーバーIPはHDX Insight SkipFlowレコードで反転されます。

    [NSBASE-8506]

ユーザーインターフェイス

  • MQTT リライト機能では、GUI のエクスプレッションエディタを使用してエクスプレッションを削除することはできません。

    回避策:CLI を使用して MQTT タイプのアクションの追加または編集コマンドを使用します。

    [ NSUI-18049 ]

  • Citrix ADC GUIでは、[ダッシュボード] タブの下にある [ヘルプ] リンクが壊れています。

    [ NSUI-14752 ]

  • CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge コネクタの設定に失敗することがあります。

    回避策:Citrix ADC GUIまたはCLIを使用してIPsecプロファイル、IPトンネル、およびPBRルールを追加して、CloudBridge Connectorを構成します。

    [ NSUI-13024 ]

  • GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。

    [ NSUI-6838 ]

  • 高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。

    • HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。

    回避策:HA 同期が完了した後にのみ、手動で HA フェイルオーバーを連続して実行してください(両方のノードが同期成功状態になっています)。

    [ NSHELP-25598 ]

  • Citrix ADC BLXアプライアンスの高可用性セットアップでは、プライマリノードが応答しなくなり、CLIまたはAPI要求がブロックされることがあります。

    回避策:プライマリノードを再起動します。

    [NSCONFIG-6601]

  • あなた(システム管理者)がCitrix ADCアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。

    1. Citrix ADCアプライアンスをいずれかのビルドにアップグレードします
      • 13.0 52.24 ビルド
      • 12.1 57.18 ビルド
      • 11.1 65.10 ビルド
    2. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
    3. Citrix ADCアプライアンスを古いビルドにダウングレードします。

    CLIを使用してこれらのシステムユーザーのリストを表示するには、
    コマンドプロンプトで次のように入力します。

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    回避策:この問題を解決するには、以下のいずれかの独立したオプションを使用してください。

    • Citrix ADCアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。
    • アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
    • 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。

    詳細については、「 ルート管理者 (nsroot) パスワードをリセットする方法」を参照してください。

    [NSCONFIG-3188]

Citrix ADC 13.1-37.38リリースのリリースノート