Citrix ADC

Citrix ADC 13.1—4.44 リリースのリリースノート

このリリースノートドキュメントでは、Citrix ADCリリースBuild 13.1〜4.44に存在する機能強化と変更、修正済みおよび既知の問題について説明します。

メモ

  • このリリースノートドキュメントには、セキュリティ関連の修正は含まれていません。セキュリティ関連の修正とアドバイザリの一覧については、Citrix セキュリティに関する公開情報を参照してください。
  • Citrix Secure Accessエージェント(以前のWindows用Citrix Gatewayプラグインと呼ばれていました)ビルド21.9.1.2以降には、 https://support.citrix.com/article/CTX341455. Windowsビルド21.9.1.2用のCitrix Gatewayプラグインは、Citrix ADCビルド13.1〜4.44に含まれています。
  • ビルド 13.1 ~ 4.44 以降のビルドでは、 https://support.citrix.com/article/CTX330728で説明されているセキュリティの脆弱性に対処します。
  • ビルド 4.44 はビルド 4.43 を置き換えます。
  • このビルドには、NSHELP-29519 という問題の修正も含まれています。

新機能

ビルド 13.1 ~ 4.44 で使用できる機能強化と変更点。

認証、承認、監査

Kerberos SSO 認証のルートドメインからツリードメインへのトラバーサルはサポートされています

Citrix ADCアプライアンスからのバックエンドサーバーのKerberos SSO認証中に、ルートドメインからツリードメインへのトラバーサルがサポートされるようになりました。詳しくは、https://docs.citrix.com/en-us/citrix-adc/current-release/aaa-tm/single-sign-on-types/kerberos-single-sign-on/setup-citrix-adc-single-sign-on.htmlを参照してください。

[NSAUTH-9836]

ボット管理

Citrix ADC ボット管理に関する詳細なロギング

着信トラフィックがボットとして識別される場合、Citrix ADCアプライアンスでは、ドメインアドレス、URL、ユーザーエージェントヘッダー、Cookieヘッダーなどの追加のHTTPヘッダーの詳細を記録するためのボット詳細ログ機能を構成できるようになりました。ログの詳細は、監視とトラブルシューティングの目的で ADM サーバーに送信されます。詳細ログメッセージは ns.log ファイルには保存されません。

詳しくは、https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.htmlを参照してください。

[NSBOT-273]

Citrix ADC SDXアプライアンス

Citrix ADC SDXアプライアンスのクラスター形成ページの機能強化

Add Node to Cluster ページの GUI で次の変更が加えられました。クラスタに新しいノードを追加するときに、SNIP アドレスを追加するように求めるプロンプトがシステムによって表示されるようになりました。これらの機能強化は、厳密な送信元 IP アドレスチェックのセキュリティ問題に対処します。

  • SNIP のオプションフィールドが提供されるようになりました。
  • ノードをクラスタ IP アドレス (CLIP) に追加する際に SNIPを動的に作成するためのAddボタンも用意されています。

[NSSVM-4170]

Citrix ADC SDX管理者は、ロックアウト間隔が期限切れになる前にユーザーのロックを解除できるようになりました。ユーザーがコンソール経由で管理サービスにログインする場合、ロックアウトは適用されません。ロックアウト間隔も秒から分に変更されます。最小値 = 1 分。最大値 = 30 分。

GUI を使用してユーザのロックを解除するには、次の手順を実行します。

  1. [ 設定] > [システム] > [ユーザ管理] > [ユーザ] に移動します。
  2. ロックを解除するユーザーを選択します。
  3. ロック解除] をクリックします。CLI を使用してユーザのロックを解除するには、次の手順を実行します。

コマンドプロンプトで入力します。

set systemuser id=`<ID>` unlock=true
<!--NeedCopy-->

[NSSVM-4144]

Citrix Gateway

追加言語のサポート

Citrix Gateway ユーザーポータルは、ロシア語、韓国語、中国語(繁体字)で利用できるようになりました。

[CGOP-17095]

Gateway Insight の OAuth-OpenID 接続認証のサポート

Citrix Gateway インサイトは、OAuth-OpenID Connect 認証関連のイベント(ユーザーのログオンの成功と失敗)を報告するようになりました。

詳しくは、https://docs.citrix.com/en-us/citrix-application-delivery-management-software/current-release/analytics/gateway-insight.htmlを参照してください。

[CGOP-16907]

Citrix Web App Firewall

高度なポリシー式を使用したクライアント IP アドレスの抽出

Citrix ADCアプライアンスは、高度なポリシー式を使用して、HTTP要求ヘッダー、要求本文、要求URLからクライアントIPアドレスを抽出します。抽出された値は、監査ログ、セキュリティインサイト、およびクライアントの地理位置情報の計算のために ADM サーバーに送信されます。

詳しくは、https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.htmlを参照してください。

[NSWAF-7260]

BOT TPS 検出メカニズムのオプションを有効にする

有効化オプションは、ボットプロファイル設定の各 TPS ボット検出ルールで利用できるようになりました。デフォルトでは、この値は ON です。

詳しくは、https://docs.citrix.com/en-us/citrix-adc/current-release/bot-management/bot-detection.htmlを参照してください。

[NSHELP-25777]

負荷分散

コンテンツスイッチング仮想サーバーでの HTTP から HTTPS へのリダイレクトのサポート

サービスタイプが SSL のコンテンツスイッチング仮想サーバーで、HTTP トラフィックのリダイレクトがサポートされるようになりました。2つの新しいパラメータ、HttpsRedirectUrlおよびRedirectFromPortadd cs vserverコマンドに追加されました。RedirectFromPortパラメータで指定されたポートに到着するすべての HTTP トラフィックは、HttpsRedirectUrlパラメータで指定された URLにリダイレクトされます。HttpsRedirectUrlが設定されていない場合、HTTP トラフィックは着信 HTTP 要求のホストヘッダーの値にリダイレクトされます。

詳しくは、https://docs.citrix.com/en-us/citrix-adc/current-release/ssl/how-to-articles/ssl-config-https-vserver-to-accept-http-traffic.htmlを参照してください。

[NSLB-8224]

保存コンフィグコマンドをリモートGSLBサイトに同期するサポート

これで、save ns configコマンドをリモートの GSLB サイトに同期できるようになりました。この機能を有効にするために、新しいパラメータGSLBSyncSaveConfigCommandset gslb parameterコマンドに追加されます。GSLBSyncSaveConfigCommandを有効にすると、save ns configコマンドは別の GSLB コマンドとして扱われ、リモート GSLB サイトに同期されます。save ns configコマンドを同期するには、 このAutomaticConfigSyncオプションを有効にする必要があります。

詳しくは、https://docs.citrix.com/en-us/citrix-adc/current-release/global-server-load-balancing/synchronizing-configuration-in-gslb-setup/real-time-synchronization.htmlを参照してください。

[NSLB-7831]

ユーザーモニター用のセキュアなスクリプト引数のサポート

新しいパラメーター、-secureargsadd lb monitorコマンドに追加されます。このパラメータは、スクリプト引数をプレーンテキスト形式ではなく暗号化された形式で格納します。このパラメータ(ユーザ名やパスワードなど)を使用して、ユーザモニタのスクリプトに関連する機密データを保護できます。スクリプトに関連する機密データについては、パラメーター-scriptargsの代わりにパラメーター-secureargsを使用することをお勧めします。両方のパラメータを一緒に使用する場合、-scriptnameで指定されたスクリプトは、<scriptargs> <secureargs>の順序で引数を受け入れる必要があります。つまり、引数の定義順序を維持して、<scriptargs>の最初のいくつかのパラメータと、<secureargs>の残りのパラメータを指定する必要があります。Secure 引数は内部ディスパッチャにのみ適用されます。

詳しくは、https://docs.citrix.com/en-us/citrix-adc/current-release/load-balancing/load-balancing-custom-monitors/configure-user-monitor.htmlを参照してください。

[NSLB-6314]

ネットワーク

拡張 ACL に対する数値型データセットのサポート

Citrix ADCアプライアンスは、拡張ACLの数値タイプのデータセットをサポートするようになりました。番号タイプのデータセットを使用して、拡張 ACL ルールの送信元ポートまたは宛先ポート、またはその両方を指定できます。

[NSNET-20235]

IPSet にバインドされた VIP アドレスの RHI サポート

Citrix ADCアプライアンスは、次の条件がすべて満たされている場合、IPSetにバインドされたVIPアドレスをカーネルルートとしてアドバタイズします。

  • VIP アドレスでは、host routeオプションが有効になっています。
  • IPSet は、マルチ IP 負荷分散仮想サーバーなどの構成にバインドされます。

[NSNET-20209]

ボリュームマウントを使用したADMとのCitrix ADC CPX登録のサポート

Citrix ADC CPXは、Kubernetes ConfigMapsおよびシークレットによるボリュームマウントを使用することにより、Citrix ADMへの登録をサポートするようになりました。Citrix ADC CPX は、Citrix ADC CPX のファイルシステムにあるボリュームマウントから派生した構成の詳細を使用して、ADM エージェントへの登録を開始します。

[NSNET-19058]

プラットフォーム

Citrix ADC VPXインスタンスでのVMware ESX 7.0アップデート2aサポート

Citrix ADC VPXインスタンスは、VMware ESXバージョン7.0アップデート2a(ビルド17867351)をサポートするようになりました。

詳しくは、https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/supported-hypervisors-features-limitations.htmlを参照してください。

[NSPLAT-20104]

ESXi 上の Citrix ADC VPX インスタンスに対する AMD プロセッサのサポート

VMware ESXiハイパーバイザー上のCitrix ADC VPXインスタンスは、AMDプロセッサをサポートするようになりました。詳しくは、https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/install-vpx-on-esx.htmlを参照してください。

[NSPLAT-17853]

Azure マーケットプレイスでの Citrix ADC VPX 5000 サブスクリプションのサポート

Citrix ADC VPX 5000 サブスクリプションプランは、Azure Marketplace でサポートされるようになりました。このサブスクリプションベースのプランでは、次のライセンスが提供されます。

  • Standard
  • 詳細設定
  • Premium

詳しくは、https://docs.citrix.com/en-us/citrix-adc/current-release/deploying-vpx/deploy-vpx-on-azure.html#citrix-adc-vpx-licensingを参照してください。

[NSPLAT-13663]

ポリシー

高度なポリシー式での IP ヘッダーフィールドのサポート

高度なポリシー式により、IP パケットから次のヘッダーフィールドを取得できるようになりました。

  • DSCP
  • ECN
  • TTL
  • バージョン
  • 識別
  • ヘッダーの長さ
  • ヘッダーチェックサム
  • オプション
  • Payload

[NSPOLICY-2441]

Citrix ADCバージョン13.1以降からの廃止予定の機能の削除

廃止された多数の機能が削除され、Citrix ADCアプライアンスでは構成できなくなりました。

次のようなものがあります。

  • フィルタ機能 (コンテンツフィルタまたは CF とも呼ばれる)-アクション、ポリシー、およびバインディング。
  • SPDY、確実接続(SC)、プライオリティキューイング(PQ)、HTTP サービス拒否(DoS)、および HTML インジェクション機能。
  • SSL、コンテンツスイッチング、キャッシュリダイレクト、圧縮、およびアプリケーションファイアウォールに関する従来のポリシー。
  • コンテンツスイッチングポリシーのurlパラメータとdomainパラメータ。
  • 負荷分散永続性ルールのクラシック式。
  • 書き換えアクションのpatternパラメータ。
  • 書き換えアクションのbypassSafetyCheckパラメータ。
  • 高度な定義式のSYS.EVAL_CLASSIC_EXPR
  • patclass設定エンティティ。
  • 高度な定義式で引数のないHTTP.REQ.BODYです。
  • 高度な定義式の Q および S プレフィックス。
  • cmpパラメータ設定のpolicyTypeパラメータ。(CLI コマンドset cmp parameter)。

すでに文書化されているように、変換にはnspepiツールを使用できます。このツールはCitrix ADCアプライアンスバージョン13.0または12.1で実行する必要があります。

詳しくは、https://docs.citrix.com/en-us/citrix-adc/current-release/appexpert/policies-and-expressions/introduction-to-policies-and-exp/classic-policy-deprecation-faq.htmlを参照してください。

また、最新バージョンのツールを使用して、クラシック設定から高度な設定、およびトラフィックドメインから管理パーティションに移行する方法については、https://github.com/citrix/ADC-scriptsを参照してください。

[NSPOLICY-186]

システム

QUIC ブリッジの統計情報の表示

QUIC bridge stat コマンドは、QUIC ブリッジ統計情報の詳細なサマリーを提供するようになりました。

[NSBASE-13883]

Citrix ADC 13.1以降の廃止予定の機能の削除

次の非推奨の機能とその構成はサポートされなくなり、Citrix ADCアプライアンスから削除されます。

  • SureConnect (SC)
  • プライオリティキューイング(PQ)
  • HTTP DoS 保護 (HDOSP)
  • HTMLInjection

別の方法として、SureConnect、プライオリティキューイング、およびHTTP DoS保護にAppQoEを使用し、HTMLInjectionのクライアント側の測定値を使用することをお勧めします。

詳しくは、https://docs.citrix.com/en-us/citrix-adc/current-release/appexpert/policies-and-expressions/introduction-to-policies-and-exp/classic-policy-deprecation-faq.htmlを参照してください。

[NSBASE-13780]

ユーザーインターフェイス

NITRO コールのバッチ API サポート

Citrix ADCアプライアンスがbatchapiAPIをサポートするようになりました。batchapiAPI は、1 つのリクエストで複数の NITRO 呼び出しを処理できるため、ネットワークトラフィックを最小限に抑えることができます。batchapiを使用して、次の操作を実行できます。

  • バッチ API を使用して、複数の異種リソースを同時に作成、更新、および削除できます。
  • バッチ API を使用して、複数の異種リソースを取得できます。

[NSCONFIG-4061]

解決された問題

ビルド 13.1 ~ 4.44 で対処された問題。

認証、承認、監査

LDAPモニターをサービスにバインドすると、Citrix ADCアプライアンスがActive Directoryに不正なパスワードを送信するため、モニターがダウンします。

[NSHELP-27961]

マルチカスケード AD では、最後のカスケードでユーザが見つからない場合、ユーザのアカウントはロックされません。

[NSHELP-27948]

Citrix ADCアプライアンスがSAML認証用に構成されている場合、アプライアンスはRSA以外の証明書を使用するときにコアをダンプします。

[NSHELP-27813]

場合によっては、ロールベースのアクセスが構成されているときに、特定のユーザーの認証要求を処理中にCitrix ADCアプライアンスがクラッシュすることがあります。

[NSHELP-27655]

Azure ADがCitrix ADC認証仮想サーバーでOAuth IdPとして構成されている場合、ユーザーはCitrix Workspaceアプリからログインできません。

[NSHELP-27462]

場合によっては、StoreFront を使用してアプリケーションにアクセスすると、WorkspaceアプリでSAML認証が失敗することがあります。

[NSHELP-27338]

場合によっては、要求に認証 Cookie がない場合、認証、承認、および監査 TM 仮想サーバーへの HTTP POST 要求が正しく処理されないことがあります。POST 本文は処理中に失われます。

[NSHELP-27227]

Citrix ADCアプライアンスは、認証、承認、および監査TMおよび401 Lbベースのトラフィックを処理中に頻繁にクラッシュします。

[NSHELP-27094]

場合によっては、Citrix Gateway のユーザー認証および認証、承認、監査-トラフィック管理展開の実行中に、Citrix ADCアプライアンスがクラッシュすることがあります。

[NSHELP-26555]

間違った OTP を入力すると、エラーメッセージEmail Auth failed. No further action to continueが表示されます。

[NSHELP-26400]

特定のシナリオでは、ポリシー名がイントラネットアプリケーション名よりも長い場合、[認証、承認、および監査グループのバインド] コマンドが失敗することがあります。

[NSHELP-25971]

SAML IDプロバイダー(IdP)として構成されたCitrix ADCアプライアンスは、サービスプロバイダー(SP)に引用符が含まれている場合、リレー状態をサービスプロバイダー(SP)から切り捨てます。

[NHELP-20131]

パスワードの復号化の問題により、ネットワーク接続テストのチェックが失敗しました。ただし、認証機能は正常に動作します。

[NSAUTH-10216]

ボット管理

1 秒あたりのトランザクション (TPS) ボット検出メカニズムでは、CAPTCHA チャレンジ後のレスポンスの取得中に、バックエンドアプリケーションサーバーが 304 レスポンスを返します。

[NSBOT-626]

キャッシュ

高可用性セットアップでは、HAフェールオーバー中にmemLimitキャッシュパラメータ設定の HA 同期が失敗します。

[NSHELP-28428]

高可用性セットアップでは、プライマリノードがキャッシュされたオブジェクトではなく NULL ポインタにアクセスした後にクラッシュします。

[NSHELP-26967]

Citrix ADC SDXアプライアンス

Citrix ADC SDXアプライアンスでは、インスタンスがソフトウェアバージョン13.0-76.x以前で作成されている場合、インスタンスの復元が失敗することがあります。

[NSHELP-28429]

Citrix ADC SDXアプライアンスでは、管理サービスがADCインスタンスの不正なデータ使用を報告します。

[NSHELP-28208]

Citrix ADC SDXアプライアンスでは、管理サービスコンソールでCLIプロンプトを変更することはできません。

[NSHELP-28030]

Citrix ADC SDXアプライアンスでは、インベントリで実行されているジョブとスケジューラの増加により、管理サービスが約 80% の高いメモリ使用率を報告することがあります。

[NSHELP-27805]

Citrix ADC SDXアプライアンスでは、システムファイル(snmpd.confおよびntp.conf)に改行文字が含まれていると、アップグレードが失敗することがあります。

[NSHELP-27713]

Citrix ADC SDXアプライアンスでは、インベントリで実行されているジョブとスケジューラの増加により、管理サービスが約 80% の高いメモリ使用率を報告することがあります。

[NSHELP-27396]

Citrix Gateway

最新バージョンにアップグレードすると、RDP セッションの起動に失敗することがあります。

[NSHELP-29519]

カスタムテーマの CSS 属性を編集しようとすると、エラーメッセージが表示されます。

[NSHELP-28648]

評価中にブロック状態になる可能性があるレスポンダーポリシーが仮想サーバーにバインドされている場合、Citrix Workspace へのログオンが失敗します。

[NSHELP-27819]

クライアントレスVPNを使用してCitrix Gateway アプライアンスにアクセスすると、コアダンプが生成されることがあります。

[NSHELP-27653]

Citrix Gateway アプライアンスは、サーバーが開始するUDPトラフィックの処理中にクラッシュすることがあります。

[NSHELP-27611]

ユーザーは、Microsoft Outlook にログインすると、他のユーザーのメールボックスを表示できます。回避策として、多重化を無効にします。

[NSHELP-27538]

clearconfigkill ica connectionstop dtls listenerなどのEDT関連コマンドがアプライアンスによって処理されると、Citrix ADCアプライアンスがクラッシュすることがあります。

[NSHELP-27398]

Citrix Gateway アプライアンスは、UDPトラフィックの処理中にクラッシュすることがあります。

[NSHELP-27317]

Syslogポリシーが仮想サーバーにバインドされ、対応するsyslogアクションが変更されると、Citrix Gateway アプライアンスがクラッシュします。

[NSHELP-27171]

Gateway Insightが有効になっていると、Citrix ADCログにログメッセージGwInsight: Func=ns_sslvpn_send_app_launch_fail_record Appflow policy evaluation has failedがあふれることがあります。

[NSHELP-26750]

次の両方の条件が満たされている場合、構成をクリアしようとすると、Citrix Gateway アプライアンスがクラッシュします。

  • SSL プロファイルと証明書とキーのペアは、デフォルトの TCP モニタにバインドされます。
  • 同じデフォルト TCP モニタが syslog アクションにバインドされます。

[NSHELP-26685]

[Citrix Gateway トラフィックプロファイルの作成]ページでプロキシとしてFQDNを入力すると、メッセージInvalid Proxy Valueが表示されます。

[NSHELP-26613]

Citrix ADC GUIを使用してRDPクライアントプロファイルを作成しているときに、次の条件が満たされるとエラーメッセージが表示されます。

  • デフォルトの事前共有キー (PSK) が設定されています。
  • [RDP クッキー有効期間 (秒)] フィールドの RDP クッキー有効性タイマーを変更しようとしています。

[NSHELP-25694]

SNMP OID は、不正な現在の接続セットを VPN 仮想サーバに送信します。

[NSHELP-25596]

複数の VPN プラグインクライアントが 1800 バイト以上の X.509 証明書を使用してトンネルを設定すると、Citric ADC アプライアンスがクラッシュします。

[NSHELP-25195]

STA サーバにバインドされている VPN 仮想サーバの名前を変更すると、show コマンドを実行すると STA サーバのステータスは DOWN と表示されます。

[NSHELP-24714]

まれに、イントラネットIP(IIP)アドレスが有効で、IIPアドレスへのサーバー起動接続がある場合、Citrix Gateway アプライアンスがクラッシュすることがあります。

[NSHELP-23819]

show tunnel globalコマンド出力には、高度なポリシー名が含まれます。以前は、出力には高度なポリシー名が表示されませんでした。

例:

新しい出力:

> show tunnel global
Policy Name: ns_tunnel_nocmp Priority: 0

Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy
Priority: 1
Global bindpoint: REQ_DEFAULT

Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy
Priority: 100
Global bindpoint: RES_DEFAULT
Done
>
<!--NeedCopy-->

前の出力:

> show tunnel global
Policy Name: ns_tunnel_nocmp Priority: 0 Disabled

Advanced Policies:

Global bindpoint: REQ_DEFAULT
Number of bound policies: 1

Done
<!--NeedCopy-->

[NSHELP-23496]

ICA開始/停止イベントに対してRADIUSアカウンティングを構成した場合、ICA開始のRADIUSアカウンティング要求のセッションIDはすべてゼロで表示されます。

[NSHELP-22576]

Citrix Web App Firewall

Citrix ADCクラスタセットアップでは、1つ以上のノードがCitrix ADCバージョン12.0、12.1、または13.0ビルド52.x以前のビルドからアップグレードされると、ノードの1つがクラッシュします。クラッシュは、Web App Firewall クッキーの形式とサイズに互換性がないために発生します。

[NSWAF-7689]

Web App Firewall では、区切り文字としてカンマがある場合、Cookie-transformationパラメータは応答側の Cookie 値を分割します。

[NSHELP-28411]

コマンドインジェクション違反が特定の順序で観察され、次の条件が満たされると、Citrix ADCアプライアンスがクラッシュすることがあります。

  • リクエストに複数の Cookie が存在します
  • URLDecodeRequestCookies機能がオフになっている

[NSHELP-28365]

Citrix ADCアプライアンスは、Samesite属性とWebアプリケーションファイアウォール機能が有効になっているHTTP応答を解析するときに、メモリ使用率が高いことを示すことがあります。

[NSHELP-27722]

Internet Explorer ブラウザは SSL 接続を再利用しないため、クッキーハイジャック機能では Internet Explorer ブラウザのサポートが制限されています。この制限のため、1 つの要求に対して複数のリダイレクトが送信され、最終的に Internet ExplorerブラウザでMAX REDIRECTS EXCEEDEDエラーが発生します。

[NSHELP-27193]

Citrix ADCバージョン13.0ビルド76.29にアップグレードし、アプライアンスでファイルアップロード機能を有効にすると、次の問題が発生します。

  • SQL およびクロスサイトスクリプティング保護チェックは、すべての Web アプリケーションのファイルアップロードプロセスをブロックします。

[NSHELP-27140]

負荷分散

GSLB セットアップでは、GSLB サイトで統計がクリアされた後、リモートサービスのステータスは更新されません。回避策として、同じ GSLB サイトでもう一度統計をクリアします。リモートサービスのステータスが更新されます。

[NSHELP-28169]

高可用性セットアップでは、次の条件が満たされると、セカンダリノードがクラッシュする可能性があります。

  • 両方のノードの物理メモリの容量は、互いに異なります。
  • データセッションが正しく同期されていません。

[NSHELP-26503]

クラスタ設定では、GSLB 仮想サーバーバインディングを介してアクセスすると、GSLB サービスの IP アドレスが GUI に表示されません。これは表示上の問題であり、機能に影響はありません。

[NSHELP-20406]

その他

Citrix ADCアプライアンスは、トンネルまたはサービスの種類(TOS)仮想サーバーが作成されると、追加のL2情報を追加します。

[NSHELP-27825]

ネットワーク

DebianベースのLinuxホストで実行されているCitrix ADC BLXアプライアンス(バージョン13.0ビルド82.x)をアップグレードすると、SSHは共有モードで意図したとおりに動作しません。

[NSNET-23020]

Citrix ADC BLXアプライアンスをリリース13.1ビルド4.xにアップグレードした後、Webアプリケーションファイアウォールがコンテンツタイプヘッダーのない要求を誤ってブロックすることがあります。

[NSNET-21415]

Citrix ADC BLXアプライアンスでは、タグ付きnon-dpdkインターフェイスでバインドされたNSVLANが期待どおりに動作しないことがあります。タグなしnon-dpdkインターフェイスでバインドされた NSVLAN は正常に動作します。

[NSNET-18586]

Citrix ADCアプライアンスでは、内部ドライバーレイヤーが誤ったデータバッファを使用し、データが破損し、アプライアンスがクラッシュする可能性があります。

[NSHELP-27858]

修正された問題:

サイドカーとして展開され、複数のネットワークに接続されたCitrix ADC CPXは、宛先サブネットの正しい送信元IPアドレスを選択できませんでした。

[NSHELP-27810]

高可用性セットアップでは、WAF プロファイルとロケーションファイルの設定で HA 同期が失敗することがあります。

[NSHELP-27546]

次の条件がすべて満たされると、負荷分散構成でパケットループが観察されます。

  • 仮想サーバーはポート 80 でリッスンするように構成されており、接続フェールオーバー (connfailover) パラメーターはステートレスに設定されています。
  • 仮想サーバは、以下の 2 つの要求パケットを受信します。

    • 送信元ポート = 80
    • 宛先ポート = 80 以外の番号
    • 宛先 IP アドレス = 仮想サーバーの IP アドレス (VIP)

[NSHELP-22431]

プラットフォーム

ターゲットインスタンスを作成しない場合でも、GCP Console にFailed to create target instanceエラーメッセージが表示されます。この問題は、GCP サービスアカウントに compute.targetInstances.get IAM 権限がない場合に発生します。このリリースから、Citrix ADC VPXは、VIPスケーリング機能を使用する仮想マシンのターゲットインスタンスを作成します。

[NSPLAT-20952]

Citrix ADCアプライアンスは、Citrix ADCアプライアンスがライセンスのPPS制限に達する前であっても、偽のパケット/秒(PPS)レート制限アラートを生成します。

[NSHELP-26935]

ポリシー

グローバルスコープを持つ NS 変数は、HTTP/2 トラフィックでは機能しません。

[NSHELP-27095]

SSL

クラスタ設定では、インストールされた 2 つの証明書が OCSP AIA 拡張を持つ 1 つのサーバ証明書の発行者である場合、サーバ証明書を削除するとアプライアンスは到達不能になります。

[NSHELP-28058]

高可用性セットアップでは、次の両方の条件が満たされると、CRL 自動更新が断続的に失敗します。

  • プライマリノードからセカンダリノードにファイルが同期されています。
  • CRL ファイルが CRL サーバから同時にダウンロードされています。

[NSHELP-27435]

Citrix ADCアプライアンスでは、-expiryMonitorを有効にして証明書とキーのペアを追加すると、翌日に誤った証明書の有効期限通知が記録されます。

[NSHELP-27348]

クラスタデータベースでは、クライアント Hello バインドポイントの仮想サーバに SSL ポリシーを異なる優先順位で複数回バインドすると、バインディングは正しく更新されません。その結果、仮想サーバからポリシーをバインド解除した後でも、ポリシーを削除するとエラーが表示されます。

[NSHELP-27301]

構成ファイルの組み込み証明書(ns-server-certificate)の名前を変更すると、再起動中にCitrix ADCアプライアンスがクラッシュします。

[NSHELP-26858]

クラスタのセットアップでは、次の問題が発生する可能性があります。

  • CLIP の SSL 内部サービスにバインドするデフォルトの証明書とキーのペアに対するコマンドがありません。ただし、古いビルドからアップグレードする場合は、デフォルトの証明書とキーのペアを、CLIP 上の影響を受ける SSL 内部サービスにバインドする必要があります。
  • 内部サービスに対するデフォルトの set コマンドの CLIP とノード間の設定の不一致。
  • ノードで実行される show running config コマンドの出力で、SSL エンティティに対するデフォルトの暗号バインドコマンドがありません。省略は表示上の問題にすぎず、機能への影響はありません。バインドは、 show ssl <entity> <name> コマンドを使用して表示できます。

[NSHELP-25764]

システム

Citrix ADCアプライアンスは、ICAPオプション応答でクラッシュすることがあります。この問題は、許可されたヘッダー値に 204 以外の値が含まれている場合に発生します。

[NSHELP-27879]

AppFlow では、フローレコードのレイヤー 4 バイトカウントが HTTP 仮想サーバトランザクションと一致しません。カウント値は、レイヤー 7 仮想サーバのバイトカウント値より小さくなっています。

[NSHELP-27495]

Citrix ADCアプライアンスがCitrix ADMに登録されている場合、tcpCurClientConn カウンターは大きな値を示します。

[NSHELP-27463]

AppFlow機能が無効になってから有効に戻ると、Citrix ADCアプライアンスがクラッシュすることがあります。

[NSHELP-27236]

まれに、Citrix ADCアプライアンスがバックエンドサーバーからクライアントを転送するときに、誤ったTCP SACKシーケンス番号をクライアントに送信することがあります。この問題は、TCP プロファイルで TCP 選択的 ACK(SACK)オプションが有効になっている場合に発生します。

[NSHELP-24875]

HTTP.REQ.*式を含むポリシーがHTTP_QUIC仮想サーバーのRESPONSEバインドポイントにバインドされると、Citrix ADCアプライアンスがクラッシュすることがあります。同じポリシーを仮想サーバーとともに HTTP または SSL タイプのHTTP_QUIC仮想サーバーにバインドすると、この問題は発生しません。

[NSBASE-14612]

ユーザーインターフェイス

圧縮ポリシーマネージャ GUI で、関連するバインドポイントと接続タイプを指定して、圧縮ポリシーを HTTP プロトコルにバインドできない。

[NSUI-17682]

show systemfileコマンドを使用して ADC インスタンスからファイルの内容をフェッチすると、ADC コンソールにダウンロード失敗のエラーメッセージが表示されます。この問題は、ファイルの内容が NULL バイトで始まる場合に発生します。

[NSHELP-28227]

admautoregdSYSLOG フラッドは、内部システムの問題 (Python バイナリファイルが見つからない)が原因で、カスタマーリソース定義(CRD)の誤分類と誤診断につながります。

修正:Pythonバイナリがまだ見つからない場合、 30分後にadmautoregdプロセスの監視を停止します。

[NSHELP-28185]

KEKを使用して構成されたAWS上のVPXインスタンスを、Citrix ADCリリース13.0ビルド76.x以降にアップグレードすると、構成が失われる可能性があります。リブート後に設定がロードされると、KEK を使用して暗号化された機密データはすべて失敗します。

[NSHELP-28010]

create ssl rsakeycreate ssl certなど、一部の SSL コマンドの引数内で特殊文字が使用されている場合、 追加のバックスラッシュ文字が誤って導入されます。

[NSHELP-27378]

高可用性セットアップでは、次の条件のいずれかが満たされると、HA 同期または HA 伝播が失敗することがあります。

  • RPC ノードのパスワードには特殊文字が含まれています。
  • RPC ノードのパスワードは 127 文字です (最大文字数)。

[NSHELP-27375]

入力構成ファイルのサイズが非常に大きい場合、 nsconfigauditツールがクラッシュする可能性があります。

[NSHELP-27263]

Citrix ADC GUIを使用して、サービスまたはサービスグループを優先負荷分散仮想サーバーにバインドすることはできません。

[NSHELP-27252]

Citrix ADCアプライアンスでシステムクロックが更新されると、レポート機能が機能しなくなることがあります。

[NSHELP-25435]

Citrix ADC VPXアプライアンスでは、ライセンスサーバーを追加した後、容量設定操作が失敗することがあります。この問題は、サポートされているタイプのチェックインおよびチェックアウト(CICO)ライセンスの数が多いため、フレクセラ関連コンポーネントの初期化に時間がかかるために発生します。

[NSHELP-23310]

ログ式がボットプロファイルにバインドされている場合、 botprofile_logexpression_binding NITRO API GET 呼び出しは応答を返しません。

[NSCONFIG-5490]

クラスター構成では、Web App Firewall プロファイルをきめ細かなルールでバインドし、 non-fine-graned ルールを同じ URL にバインドすると、きめ細かなルールがデータベースから削除されます。その結果、クラスタ IP アドレスには細かな粒度のないルールのみが表示されます。

[NSCONFIG-5389]

既知の問題

リリース 13.1 ~ 4.44 に存在する問題。

AppFlow

HDX Insightは、ユーザーがアクセスできないアプリケーションまたはデスクトップを起動しようとしたことによるアプリケーションの起動失敗を報告しません。

[NSINSIGHT-943]

認証、承認、監査

VPN 仮想サーバが SAML SP として構成されている場合、不正な logout (/cgi/tmlogout) URL が返されます。この問題は、SAML メタデータに誤ったログアウト URL が生成されたために発生します。

[NSHELP-28726]

SSO機能をプロキシサーバーで使用すると、Citrix ADCアプライアンスでメモリリークが発生する場合があります。

[NSHELP-27744]

まれに、次の条件を満たすと、高可用性セットアップのセカンダリノードがクラッシュすることがあります。

  • aaa groupsまたはaaa usersの両方がCitrix ADCアプライアンスで構成されている。

[NSHELP-26732]

Citrix ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。

[NSHELP-563]

DualAuthPushOrOTP.xml LoginSchemaが、Citrix ADC GUIのログインスキーマエディタ画面に正しく表示されません。

[NSAUTH-6106]

ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。 show adfsproxyprofile <profile name>

回避方法:

クラスタ内のプライマリのアクティブなCitrix ADCに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

[NSAUTH-5916]

次の手順を実行すると、Citrix ADC GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。

  • [LDAP 到達可能性をテスト] オプションが開きます。
  • 無効なログイン認証情報が入力され、送信されます。
  • 有効なログイン認証情報が入力され、送信されます。

回避方法:

[LDAP 到達可能性のテスト] オプションを閉じて開きます。

[NSAUTH-2147]

キャッシュ

統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、Citrix ADCアプライアンスがクラッシュすることがあります。

[NSHELP-22942]

Citrix ADC SDXアプライアンス

Citrix ADC SDXアプライアンスで、ソフトウェアバージョン12.0 XVAイメージを使用してADCインスタンスを作成すると失敗します。その結果、インスタンスは到達不能になります。

[NSHELP-28408]

Citrix ADC SDXアプライアンスでは、バーストスループット割り当てモードを構成すると、ADCインスタンスは最大容量までバーストしません。

[NSHELP-27477]

次の条件が満たされると、Citrix ADC SDXアプライアンスでホストされているVPXインスタンスでパケットドロップが表示されます。

  • スループット割り当てモードはバーストです。
  • スループットと最大バーストキャパシティには大きな違いがあります。

[NSHELP-21992]

Citrix Gateway

VPN の切断後、DNS リゾルバがホスト名の解決に失敗することがあります。これは、VPN の切断中に DNS サフィックスが削除されるためです。

[NSHELP-28848]

Citrix Gateway アプライアンスをバージョン13.0にアップグレードすると、セッションプロファイルのプロキシ構成が意図したとおりに機能しなくなります。非 HTTP NS プロキシが設定されている場合、プロキシ接続はバイパスされます。

例:VPN セッションアクションの追加-プロキシ NS-HttpProxy 192.0.2. 0:24-SSLProxy 192.0.2. 0:24

この例では、-HttpProxy は意図したとおりに動作しますが、-sslProxy は機能しません。

[NSHELP-28640]

macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。

[NSHELP-28551]

クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にCitrix Gateway からログアウトすることがあります。

[NSHELP-28404]

Windows プラグインは、認証中にクラッシュすることがあります。

[NSHELP-28394]

次のいずれかの状況が発生すると、Citrix ADCアプライアンスがクラッシュします。

  • syslog アクションはドメイン名で設定され、GUI または CLI を使用して設定をクリアします。
  • 高可用性同期はセカンダリノードで行われます。

回避方法:

syslog サーバーのドメイン名の代わりに syslog サーバーの IP アドレスを使用して syslog アクションを作成します。

[NSHELP-25944]

Windows 用 EPA プラグインは、ローカルマシンの構成済みプロキシを使用せず、ゲートウェイサーバーに直接接続します。

[NSHELP-24848]

Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。

[NSHELP-23937]

次の条件が満たされている場合、VPN プラグインは Windows ログオン後にトンネルを確立しません。

  • Citrix Gateway アプライアンスが常時オン機能用に構成されている
  • アプライアンスは 2 要素認証offによる証明書ベースの認証用に設定されています。

[NSHELP-23584]

スキーマを参照しているときに、エラーメッセージCannot read property 'type' of undefinedが表示されることがあります。

[NSHELP-21897]

無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight で報告されません。

[CGOP-13621]

Gateway Insight レポートに、SAML エラーエラーの [ 認証タイプ ] フィールドでSAMLではなく値Localが誤って表示される。

[CGOP-13584]

高可用性セットアップでは、Citrix ADCフェイルオーバー中に、Citrix ADM フェイルオーバーカウントではなくストレージリポジトリカウントが増加します。

[CGOP-13511]

ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承諾 ] ダイアログボックスには、選択した言語に関係なく英語でコンテンツが表示されます。

[CGOP-13050]

一部の言語では、 Citrix SSOアプリ >[ホーム ]ページのテキストHome Pageが切り捨てられます。

[CGOP-13049]

Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

[CGOP-11830]

Outlook Web App (OWA) 2013 で、[ 設定 ] メニューの [ オプション ] をクリックすると、[ 重大なエラー ] ダイアログボックスが表示されます。また、ページが応答しなくなります。

[CGOP-7269]

クラスタ展開では、非 CCO ノードでforce cluster syncコマンドを実行すると、ns.log ファイルに重複したログエントリが含まれます。

[CGOP-6794]

Citrix Web App Firewall

Web App Firewall 署名ID 1048は、Citrix Gateway ページの読み込みをブロックします。

[NSHELP-29113]

負荷分散

高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

[NSLB-7679]

失敗したコマンドに ENUM 値が欠落しているため、GSLB サービスグループはモニターの更新を処理できません。

[NSHELP-29050]

GSLB仮想サーバーが次のように構成されている場合、Citrix ADCアプライアンスは、予想されるGSLBサービスIPアドレスを持つGSLBドメインクエリに応答しないことがあります。 永続タイプ: 送信元IPアドレス負荷分散アルゴリズム: 静的近接バックアップ負荷分散方式:ラウンドトリップタイム (RTT)

[NSHELP-28668]

Autoscaleを有効にしてGSLBサービスグループを構成すると、VPXプライマリサイトとセカンダリサイトがクラッシュしました。

回避策:GSLB サービスを追加したり、IP ポートを GSLB サービスグループにバインドしたりするときは、 コンテンツスイッチング仮想サーバーなどのダミー仮想サーバーを追加しないでください。

[NSHELP-28530]

HTTPプローブの監視中にHTTP応答を送信した後、NSBメモリが解放されないため、HAセットアップのCitrix ADCアプライアンスは接続を失います。

[NSHELP-28466]

サービスグループのentityofsトラップ内の serviceGroupName の形式は次のとおりです。 <service(group)name>?<ip/DBS>?<port>

トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (?) はセパレータとして使用されます。Citrix ADCは、疑問符(?)付きのトラップを送信します。このフォーマットは、Citrix ADM GUIでも同じように表示されます。これは予想される動作です。

[NSHELP-28080]

その他

高可用性セットアップで強制同期が行われると、アプライアンスはセカンダリノードでset urlfiltering parameterコマンドを実行します。 その結果、セカンダリノードは、 TimeOfDayToUpdateDB パラメータで指定された次のスケジュールされた時刻まで、スケジュールされた更新をスキップします。

[NSSWG-849]

IDNA2008 標準ドメインでは、URL セットのパターンマッチングが失敗します。

[NSHELP-28902]

VXLAN で MAC ベース転送(MBF)が有効になっていると、ステートフル TCP セッションが確立されていませんでした。

[NSHELP-27125]

URLフィルタリングのサードパーティベンダーで接続の問題が発生した場合、管理CPUの停滞によりCitrix ADCアプライアンスが再起動することがあります。

[NSHELP-22409]

ネットワーク

Webアプリケーションファイアウォールプロファイルが高度なセキュリティ保護チェックで構成されている場合、DPDKモードのCitrix ADC BLXアプライアンスがクラッシュすることがあります。

回避方法:

WAF の高度なセキュリティ保護設定を削除します。

[NSNET-22654]

Citrix ADC BLXアプライアンス13.0 61.xビルドから13.0 64.xビルドにアップグレードすると、BLX構成ファイルの設定が失われます。その後、BLX 構成ファイルがデフォルトにリセットされます。

[NSNET-17625]

DPDKを搭載したCitrix ADC BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。

  • 無効化
  • 有効化
  • リセット

[NSNET-16559]

DebianベースのLinuxホスト(Ubuntuバージョン18以降)では、Citrix ADC BLXアプライアンスは、BLX構成ファイル(/etc/blx/blx.conf)の設定に関係なく、常に共有モードで展開されます。この問題は 、Debian ベースの Linux システムではデフォルトで存在するmawkが、blx.confファイル内に存在するawkコマンドの一部を実行しないために発生します。

回避方法:

Citrix ADC BLXアプライアンスをインストールする前にgawkをインストールします。Linux ホスト CLI で次のコマンドを実行してgawkをインストールできます。

  • apt-get install gawk

[NSNET-14603]

Debian ベースのLinuxホスト(Ubuntuバージョン18以降)でCitrix ADC BLXアプライアンスのインストールが失敗し、次の依存関係エラーが表示されることがあります。

The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

回避方法:

Citrix ADC BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。

-  dpkg --add-architecture i386
-  apt-get update
-  apt-get dist-upgrade
-  apt-get install libc6:i386
<!--NeedCopy-->

[NSNET-14602]

FTPデータ接続の場合、Citrix ADCアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対するTCP処理は実行しません。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。

[NSNET-5233]

高可用性セットアップで2つのCitrix ADCアプライアンスの大規模なNAT展開では、高可用性構成にstayprimaryまたはstaysecondaryオプションが設定されていると、IPsec ALGが正しく機能しないことがあります。

[NSNET-1646]

Citrix ADCアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は管理パーティションの新しいメモリ制限に自動的に設定されます。

[NSHELP-21082]

高可用性(HA)セットアップでは、Gratuitous ARP(GARP)が無効になっていると、HA フェールオーバー後にアップストリームルータがトラフィックを新しいプライマリに転送しないことがあります。

[NSHELP-20796]

プラットフォーム

13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがCitrix ADCアプライアンスにインストールされません。この問題は、次のCitrix ADCバージョンで修正されています。

  • 13.1-4.x
  • 13.0—82.31 およびそれ以降
  • 12.1—62.21 およびそれ以降

Citrix ADC バージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。

  • 任意の 11.1 ビルド
  • 12.1-62.21 およびそれ以前
  • 13.0-81.x およびそれ以前

[NSPLAT-21691]

バージョン13.1を実行しているCitrix ADC SDXアプライアンスで、バージョン12.0 XVAでVPXインスタンスをプロビジョニングすると失敗します。

VPX バージョン 12.1 以降のみがサポートされています。SBI をバージョン 13.1 にアップグレードする前に、VPX バージョンをアップグレードします。

[NSPLAT-21442]

Azureリソースグループから自動スケール設定またはVMスケールセットを削除する場合は、Citrix ADCインスタンスから対応するクラウドプロファイル構成を削除します。rm cloudprofile コマンドを使用して、プロファイルを削除します。

[NSPLAT-4520]

Azure の高可用性セットアップでは、GUI を使用してセカンダリノードにログオンすると、autoscale クラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。 回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノード上で設定する必要があります。

[NSPLAT-4451]

VMXNET3 ドライバーを使用する Citrix ADC VPX インスタンスは、インスタンスが次のいずれかの Citrix ADC ビルドで実行されている場合、ランダムにクラッシュすることがあります。

  • Citrix ADC 13.1 ビルド 4.x
  • Citrix ADC 13.1 ビルド 9.x

[NSHELP-29120]

ポリシー

処理データのサイズが、設定されたデフォルトの TCP バッファサイズを超えると、接続がハングすることがあります。回避策:TCP バッファサイズを、処理が必要なデータの最大サイズに設定します。

[NSPOLICY-1267]

SSL

Citrix ADC SDX 22000およびCitrix ADC SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。

回避方法:

  1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。たとえば、 set ssl vserver <name> -SSL3 DISABLED
  2. 構成を保存します。

[NSSSL-9572]

Update コマンドは、次の add コマンドでは使用できません。

-  add azure application
-  add azure keyvault
-  add ssl certkey with hsmkey option
<!--NeedCopy-->

[NSSSL-6484]

認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

[NSSSL-6478]

同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。

[NSSSL-6213]

HSMタイプとしてKEYVAULTを指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。 エラー: crl refresh disabled

[NSSSL-6106]

セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

[NSSSL-4427]

SSL プロファイルの SSL プロトコルまたは暗号を変更しようとすると、不正な警告メッセージWarning: No usable ciphers configured on the SSL vserver/service,が表示されます。

[NSSSL-4001]

期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。

[NSSSL-3184]

リクエストバインドポイントですでにバインドされているポリシーに対してポリシーアクションがForwardに設定されている場合、HTTPリクエストの処理中にCitrix ADCアプライアンスがクラッシュします。

[NSHELP-29115]

システム

Citrix ADCアプライアンスがHTTP/2ヘッダーフレームを処理すると、TCPウィンドウリークが観察されます。

[NSHELP-28475]

クライアントが複数の TCP ストリームがある接続をリセットすると、サーバー側のトランザクションレコードは送信されないため、それらのデータストリームの L4 レコードが失われます。

[NSHELP-28281]

クラスタセットアップでは、set ratecontrolコマンドはCitrix ADCアプライアンスを再起動した後にのみ機能します。

回避方法:

nsapimgr_wr.sh -ys icmp_rate_threshold=<new value> コマンドを使用します。

[NSHELP-21811]

アプライアンスがクライアントから max_concurrent_stream 設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS 値はデフォルトで 100 に設定されます。

[NSHELP-21240]

mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。

[NSHELP-10972]

LogStreamトランスポートタイプがInsight用に構成されている場合、HDX Insight SkipFlowレコードでは、クライアントIPとサーバーIPが反転します。

[NSBASE-8506]

Citrix ADC ICAPサポート

Citrix ADCアプライアンスは、HTTPおよびHTTPSトラフィックでのコンテンツ変換サービスのContent Adaptation Protocol(ICAP)をサポートするようになりました。アプライアンスは ICAP クライアントとして機能し、マルウェア対策やデータ漏洩防止 (DLP) などのサードパーティ製 ICAP サーバーと相互運用します。ICAP サーバーは HTTP および HTTPS メッセージでコンテンツ変換を実行し、変更されたメッセージとしてアプライアンスに応答します。適合するメッセージは、HTTP または HTTPS レスポンスまたはリクエストのいずれかです。詳しくは、https://docs.citrix.com/en-us/netscaler/12-1/security/icap-for-remote-content-inspection.htmlを参照してください。

[NSBASE-825]

ユーザーインターフェイス

Citrix ADC GUIでは、Dashboardタブの下にあるHelpリンクが壊れています。

[NSUI-14752]

CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge コネクタの設定に失敗することがあります。

回避方法:

Citrix ADC GUIまたはCLIを使用して、IPSecプロファイル、IPトンネル、およびPBRルールを追加して、CloudBridge Connectorを構成します。

[NSUI-13024]

GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。

[NSUI-6838]

ns.conf ファイルを読み取る操作を実行すると、次の問題が発生します。たとえば、 show ns saved config

  • HTTPD プロセスがフリーズし、GUI と NITRO API にアクセスできなくなる可能性があります。

[NSHELP-28249]

高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。

  • HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。

回避方法:

HA 同期が完了した後(両方のノードが同期成功状態にある)のみ、手動の HA フェールオーバーを連続して実行します。

[NSHELP-25598]

管理パーティションの設定で、証明書失効リスト (CRL) ファイルのアップロードと追加が失敗する。

[NSHELP-20988]

Citrix ADCアプライアンスのバージョン13.0-71.xを以前のビルドにダウングレードすると、ファイル権限の変更のために一部のNITRO APIが機能しないことがあります。

回避方法:

/nsconfig/ns.conf の権限を 644 に変更します。

[NSCONFIG-4628]

あなた(システム管理者)がCitrix ADCアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。

  1. Citrix ADCアプライアンスをいずれかのビルドにアップグレードします。

    • 13.0 52.24 ビルド
    • 12.1 57.18 ビルド
    • 11.1 65.10 ビルド
  2. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
  3. Citrix ADCアプライアンスを古いビルドにダウングレードします。

CLI を使用してこれらのシステムユーザーの一覧を表示するには、 コマンドプロンプトで次のように入力します。

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

回避方法:

この問題を修正するには、次の独立したオプションのいずれかを使用します。

  • Citrix ADCアプライアンスがまだダウングレードされていない場合(前述の手順の手順3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。
  • アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
  • 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。

詳細については、「 root 管理者パスワードをリセットする方法」を参照してください。

[NSCONFIG-3188]

次のCitrix ADC アップグレード操作を行うと、ローカルシステムユーザーアカウントのログインに失敗することがあります。

  • Citrix ADC 13.0-83.x ビルドからCitrix ADC 13.1-4.x ビルドへ
  • Citrix ADC 12.1-63.x ビルドからCitrix ADC 13.1-4.x ビルドへ
  • Citrix ADC 12.1-63.x ビルドからCitrix ADC 13.0-82.x ビルドへ

この問題は、次のいずれかの条件を満たすローカルシステムユーザーアカウントに対してのみ発生します。

  • アップグレード操作を実行する前に、Citrix ADCビルド(13.0-83.xまたは12.1-63.x)のローカルシステムアカウントのユーザーパスワードが変更されました。
  • アップグレード操作を実行する前に、ローカルシステムユーザーアカウントがCitrix ADCビルド(13.0-83.xまたは12.1-63.x)に追加されている。

回避方法:

システム管理者は、ログイン失敗の問題が発生しているローカルシステムユーザアカウントのパスワードをリセットできます。

詳細については、「 root 管理者パスワードをリセットする方法」を参照してください。

[NSCONFIG-5650]

Citrix ADC 13.1—4.44 リリースのリリースノート