ADC

Citrix ADC 13.0-41.28 リリースのリリースノート

このリリースノートドキュメントでは、Citrix ADC リリース13.0 Build 41.28の機能強化と変更について説明し、修正された問題の一覧を示し、存在する問題を特定しています。

メモ

  • このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。
  • 「既知の問題点」セクションは累積されています。このリリースで新たに見つかった問題と、以前のCitrix ADC 13.0リリースで修正されなかった問題が含まれています。
  • 問題の説明の下にある[# XXXXXX]ラベルは、Citrix ADCチームが内部的に使用する追跡IDです。
  • ビルド 41.28 がビルド 41.20 に取って代わります

  • ビルド 41.20 には、以下の問題の修正が含まれていました。
    • 既知の問題: NSSSL-7044、NSCONFIG-2370、NSHELP-136、NSHELP-16407、NSHELP-20266
    • 解決した問題: CGOP-11830、NSCONFIG-2232、NSHELP-19614、NSHELP-20020、NSHELP-20522、NSNET-10968、NSNET-11916
    • 機能強化: NSCONFIG-2224、NSNET-12256

注意事項

ビルド 41.28 を使用する際に留意すべき重要な点がいくつかあります。

  • Citrix ADC VPXアプライアンス

    • Azure StackにVPXをデプロイするには、Azure StackのDNSフォワーダーをDNSルートサーバーの解決をサポートするように構成する必要があります。

    [ NSPLAT-10838]

新機能

ビルド 41.28 で利用できる機能強化と変更点。

AppFlow

  • 管理パーティションでのログストリームのサポート

    Citrix ADCアプライアンスは、管理パーティションからログストリームレコードを送信できるようになりました。

    [NSBASE-4777]

  • NSIP アドレスによるログストリームレコードの監視

    Citrix ADCアプライアンスは、NSIPアドレスを使用してCitrix ADM に接続し、ログストリームレコードを送信できるようになりました。

    [NSBASE-7400]

認証、承認、監査

Citrix ADC BLX アプライアンス

  • Citrix ADC BLX アプライアンスの Ubuntu Linux ホストサポート

    Citrix ADC BLX アプライアンスは Ubuntu Linux システムでの実行をサポートするようになりました。

    [ NSNET-9259]

  • Citrix ADC BLX アプライアンスの BGP ダイナミックルーティングプロトコルサポート

    Citrix ADC BLXアプライアンスは、IPv4およびIPv6 BGP動的ルーティングプロトコルをサポートするようになりました。

    [ NSNET-7785]

  • Citrix ADC BLX アプライアンスの DPDK サポート

    Citrix ADC BLXアプライアンスは、ネットワークパフォーマンスを向上させるためのLinuxライブラリとネットワークインターフェイスコントローラーのセットであるデータプレーン開発キット(DPDK)をサポートするようになりました。Citrix ADC BLXアプライアンスは専用モードでのみDPDKをサポートします。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.htmlを参照してください。

    [ NSNET-2456]

Citrix ADC CPX アプライアンス

  • Citrix ADC CPXの軽量バージョンでは、MonitorConnectionCloseパラメーター値のデフォルト値がRESETに設定されています。

    グローバル負荷分散パラメータを使用してモニタとプローブの接続を閉じるには、MonitorConnectionClose を FIN または RESET に設定できます。MonitorConnectionClose パラメーターを次のように構成すると、

    • FIN: アプライアンスは完全な TCP ハンドシェイクを実行します。

    • RESET:アプライアンスは、サービスからSYN-ACKを受信した後、接続を閉じます。

    Citrix ADC CPXの軽量バージョンでは、MonitorConnectionCloseパラメーター値はデフォルトでRESETに設定されており、グローバルレベルではFINに変更できません。ただし、サービスレベルで MonitorConnectionClose パラメーターを FIN に変更することはできます。

    [NSLB-4610]

Citrix ADC GUI

Citrix ADC VPXアプライアンス

Citrix ボット管理

  • Citrix ボット管理

    ボットの脅威を検出して軽減することは、今日の世界における主要なセキュリティニーズです。これは、ボット管理システムを使用することで実現されます。Citrix Bot Managementは、Webアプリケーション、アプリ、APIを基本的なセキュリティ攻撃と高度なセキュリティ攻撃の両方から保護します。Citrix Bot Managementは、次の6つの検出メカニズムを使用してボットの種類を検出し、軽減措置を講じます。

    技術には、ボットホワイトリスト、ボットブラックリスト、IPレピュテーション、デバイスフィンガープリント、レート制限、静的署名があります。

    IP レピュテーション。このメカニズムは、悪意のある IP アドレスのデータベースがアクティブに更新され、インバウンドトラフィックがボットかどうかを検出します。

    デバイスフィンガープリント。デバイスフィンガープリントは、JavaScriptをHTTPストリームに挿入し、そのJavaScriptから返されたプロパティを評価して、インバウンドトラフィックがボットかどうかを判断します。

    レート制限。検出技術は、セッション、Cookie、または IP を介して同じクライアントから送信される複数のリクエストをレート制限します。

    ボットの署名。この検出技術は、Citrix の脅威調査チームが収集した3,500以上のシグネチャに基づいてボットを検出してブロックします。ボットには、Webサイトをスクレイピングする不正なURL、ブルートフォースによるログイン、脆弱性を調査する攻撃などがあります。

    ボットホワイトリスト。ホワイトリストは、URL、IP、CIDR ブロック、ポリシー表現のカスタマイズ可能なリストで、これらのパラメータのいずれかに一致するインバウンドトラフィックをホワイトリストに登録して許可します。

    ボットブラックリスト。ブラックリストは、URL、IP、CIDR ブロック、ポリシー表現のカスタマイズ可能なリストで、これらのパラメータのいずれかに一致するインバウンドトラフィックをブラックリストに載せて拒否します。

    Citrix Bot Managementは、公開アプリ、API、Webサイトに対する自動化された脅威や望ましくないボットトラフィックを軽減します。受信トラフィックがボットであると判断された場合、システムはADC管理者によって割り当てられたアクションを実行し、説明責任と監査責任に関する堅牢なレポートを生成します。

    ボット管理には次の利点があります。

    • ボット、スクリプト、ツールキットからの防御 — 静的シグネチャベースの防御とデバイスフィンガープリントにより、基本的なボットと高度なボットの両方に対する脅威を軽減します。

    • 基本的な攻撃と高度な攻撃を無力化 — アプリレイヤーのDDoS、パスワードスプレー、パスワードスタッフィング、価格スクレイパー、コンテンツスクレイパーなどの攻撃を防ぎます。

    • API と投資を保護 — API を悪用、調査、データ漏洩から保護し、インフラストラクチャへの投資を不要なトラフィックから保護します。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/bot-management.html を参照してください。

    [NSWAF-2900]

Citrix Gateway

  • クライアント用にレガシーまたは最新のログオンプロトコルを選択的に使用する

    Citrix Gateway でWorkspaceアプリを使用しているお客様は、ポリシーに基づいてレガシーまたは最新のログオンプロトコルを選択できるようになりました。お客様は、特定のクライアントに古いネットワークプロトコルを使用できるほか、レガシープロトコルを使用してクライアントにネイティブのIntune 統合をCitrix Gatewayクライアントに使用させることもできます。これは主に、デバイス固有識別子を使用したIntune コンプライアンスチェックです。

    [ CGOP-10879]

  • Windows の場合、ログオン前は常にオン

    Windows のログオン前の AlwaysOn を使用すると、ユーザーが Windows システムにログインする前でも VPN トンネルを確立できます。この永続的な VPN 接続は、デバイスの起動後にデバイスレベルの VPN トンネルが自動的に確立されることで実現されます。

    詳細については、 https://docs.citrix.com/en-us/citrix-gateway/13/vpn-user-config/alwayson-service-for-windows.html を参照してください。

    [ CGOP-10791]

Citrix Web App Firewall

  • 許容されるファイルアップロード形式

    Citrix Web App Firewallでは、Citrix Web App Firewallプロファイルで許容されるファイルアップロード形式を構成できるようになりました。これにより、ファイルのアップロードを特定の形式に制限し、マルチフォーム送信中の悪意のあるアップロードからアプライアンスを保護します。

    注:この機能は、WAF プロファイルの「ExcludeFileUploadFormChecks」オプションを無効にした場合にのみ機能します。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/file-upload-protection.htmlを参照してください。

    [NSWAF-2579]

  • 違反パターンの詳細なロギング

    Web App Firewall プロファイルを構成して、攻撃が発生した場合に詳細な違反パターンを提供できるようになりました。Verbose ログレベルオプションを設定すると、ペイロードのさまざまな部分を攻撃パターンとともに記録して、フォレンジック分析やトラブルシューティングに役立てることができます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/detailed-troubleshooting-with-waf-logs.htmlを参照してください。

    [NSWAF-2892]

  • JSON コンテンツ保護

    Citrix Web App Firewallは、DOS、XSS、SQL攻撃に対するJSON保護を提供するようになりました。JSON サービス拒否 (DoS)、SQL、および XSS ルールは、受信した JSON リクエストを調べ、DoS、SQL、または XSS 攻撃の特性に一致するデータがあるかどうかを検証します。リクエストに JSON 違反がある場合、アプライアンスはリクエストをブロックし、データをログに記録し、SNMP アラートを送信し、JSON エラーページも表示します。JSON 保護チェックの目的は、攻撃者が JSON リクエストを送信して JSON アプリケーションや Web サイトに DoS 攻撃、XSS 攻撃、SQL 攻撃を仕掛けることを防ぐことです。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/json-content-protection.htmlを参照してください。

    [NSWAF-2894]

  • CPU 使用率を下げるための WAF POST 本体のしきい値

    アプリケーションファイアウォールの署名ファイルに、CPU使用率、適用される最新の年、および重大度レベルが含まれるようになりました。シグニチャファイルが定期的に変更およびアップロードされるたびに、CPU 使用率、最新の年、および CVE 重大度を確認できます。これらの値を確認したら、アプライアンスのシグニチャを有効にするか無効にするかを決定できます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/app-firewall-profile-settings.htmlを参照してください。

    [NSWAF-2932]

  • 動的プロファイルを使用して学習データを自動展開します。

    学習したデータを緩和ルールとして自動展開できるようになりました。動的プロファイリングでは、Web App Firewall がユーザー定義のしきい値内で学習データを記録すると、アプライアンスはユーザーに SNMP アラートを送信します。ユーザーが猶予期間内にデータをスキップしない場合、アプライアンスは緩和ルールとしてデータを自動デプロイします。以前は、ユーザーは学習したデータをリラクゼーションルールとして手動で展開する必要がありました。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/dynamic-profiling.htmlを参照してください。

    [NSWAF-2895]

クラスタリング

  • ストライプ IP の ARP 所有者サポート

    クラスタ設定で、ストライピング IP の ARP 要求に応答するように特定のノードを設定できるようになりました。設定されたノードは ARP トラフィックに応答します。CLI コマンドの「ip の追加、設定、および設定解除」に、新しい属性「arPowner」が導入されました。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/clustering/cluster-overview/cluster-config-type.html#arp-owner-support-for-striped-ip を参照してください。

    [ NSNET-3050]

  • クラスタのバージョンが一致しない場合のトラップ SNMP のクリア

    クラスタ設定のバージョンの不一致は、クリアトラップ SNMP を使用してクリアされるようになりました。

    [ NSNET-8545]

DNS

  • DNS フラッグデー2019のコンプライアンス

    Citrix ADCアプライアンスは、DNSフラグデー2019年のに完全に準拠するようになりました。

    [NSLB-4275]

ライセンス

  • 標準ライセンスのダイナミックルーティングプロトコル

    Citrix ADC標準ライセンスには、Citrix ADC動的ルーティングプロトコルが含まれるようになりました。Citrix ADC は次の動的プロトコルをサポートしています。

    • RIP (IPv4 および IPv6)

    • OSPF (IPv4 および IPv6)

    • BGP (IPv4 および IPv6)

    • IS-IS(IPv4 および IPv6)

    [ NSNET-12256]

  • SDX の最小帯域幅と最小インスタンスの新しい値

    Citrix ADC プール容量をサポートするSDXアプライアンスの最小帯域幅と最小インスタンス値が変更されました。詳しくは、次のトピックを参照してください:

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html

    [NSSVM-2770]

  • 標準ライセンスのダイナミックルーティングプロトコル

    Citrix ADC標準ライセンスには、Citrix ADC動的ルーティングプロトコルが含まれるようになりました。Citrix ADC は次の動的プロトコルをサポートしています。

    • RIP (IPv4 および IPv6)

    • OSPF (IPv4 および IPv6)

    • BGP (IPv4 および IPv6)

    • IS-IS(IPv4 および IPv6)

    [ NSPLAT-6179]

負荷分散

  • セキュア NTLM モニターのサポート

    nsntlm-lwp.pl スクリプトを使用して、安全な NTLM サーバーを監視するためのモニターを作成できるようになりました。

    [NSLB-4806]

NITRO

  • Desired State APIを使用して、サービスグループを目的のメンバーセットでシームレスに更新

    Desired State API を使用して、必要なサービスグループメンバーでサービスグループを更新できるようになりました。Desired State API を使用すると、「servicegroup_servicegroupmemberlist_binding」リソースに対する 1 回の PUT リクエストで、サービスグループメンバーのリストとその重みと状態 (オプション) を提供できます。Citrix ADCアプライアンスは、要求された目的のメンバセットと構成済みのメンバセットを比較します。その後、新しいメンバーが自動的にバインドされ、リクエストに存在しないメンバーのバインドが解除されます。

    [NSLB-4543]

  • システムユーザーを特定の管理インターフェースに制限する

    Citrix ADCアプライアンスでは、特定の管理インターフェイス(CLIまたはAPI)へのユーザーアクセスを制限できるようになりました。特定のユーザーまたはユーザーグループに許可される管理インターフェイスリストをユーザーレベルで設定できます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/restricted-management-interface-access.html を参照してください。

    [NSCONFIG-1376]

プラットフォーム

  • インターフェイスの受信リングサイズとリングタイプの設定

    Citrix ADC MPXおよびSDXプラットフォームのIX、F1X、F2X、およびF4Xインターフェイスの受信リングサイズとリングタイプを増やすことができるようになりました。

    リングサイズを大きくすると、バーストトラフィックを処理するクッション性が高まりますが、パフォーマンスに影響する可能性があります。IX インターフェイスでは、最大 8192 のリングサイズがサポートされます。F1X、F2X、および F4X インターフェイスでは、最大 4096 のリングサイズがサポートされます。デフォルトのリングサイズは引き続き 2048 です。

    インターフェイスリングタイプはデフォルトではエラスティックです。パケットの到着率に応じてサイズが増減します。リングタイプを「固定」に設定して、トラフィックレートに基づいて変化しないようにすることができます。

    [ NSPLAT-9264]

ポリシー

  • ポリシー変換用の nspepi ツールの強化

    nspepi ツールが改善され、以下がサポートされるようになりました。

    • トンネルポリシーとそのバインディングの変換。

    • CMP、CR、Tunnelの組み込みクラシックポリシーバインディングの変換。

    • 認証ポリシーとそのバインディングを認証仮想サーバーに変換しますが、他のエンティティバインディングには変換しません。

    • さまざまなバグの修正。

    注:cmd ポリシーを使用してコマンドの名前を変換した場合は、関連する cmd ポリシーを手動で変更する必要があります。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/appexpert/policies-and-expressions/introduction-to-policies-and-exp/converting-policy-expressions-nspepi-tool.htmlを参照してください。

    [NSPOLICY-3159]

SSL

  • ポリシーベースのクライアント認証によるオプションのクライアント証明書検証のサポート

    ポリシーベースのクライアント認証を設定している場合は、クライアント証明書の検証をオプションに設定できます。以前は、必須が唯一の選択肢でした。オプションオプションと必須オプションの両方が使用可能になり、設定できるようになりました。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/ssl/ssl-actions-and-policies/config-built-in-ssl-actions.html#client-certificate-verification-with-policy-based-client-authentication を参照してください。

    [ NSSSL-690]

  • stat ssl コマンドでの RSA 3072 ビットのキー値の表示のサポート

    stat ssl の出力には RSA 3072 ビットのキー交換値が含まれるようになりました。

    stat ssl -detail

    SSLオフロード

    SSLカードプレゼント 8

    SSL カード UP 8

    SSL エンジンステータス 1

    SSL セッション (レート 0)

    主要キー交換

    RSA 512 ビットキー交換0 0

    RSA 1024 ビットキー交換0 0

    RSA 2048 ビットキー交換0 0

    RSA 3072 ビットキー交換0 106380

    RSA 4096 ビットキー交換0 0

    Done

    [ NSSSL-1954]

  • SSL エンティティの長い名前のサポート

    お客様がすべてのADCエンティティで標準の命名規則を維持できるように、Citrix ADCアプライアンスは最大63文字の証明書名をサポートするようになりました。以前は、制限は 31 文字でした。

    [ NSSSL-5976]

  • Intel Coleto チップのヘルスチェック機能の強化

    Intel Coletoチップを搭載したCitrix ADCアプライアンスは、対称(SYM)および非対称(ASYM)操作の拡張ヘルスチェックをサポートするようになりました。

    [ NSSSL-6299]

  • フラグメント化された TLS メッセージのサポート

    Citrix ADCアプライアンスは、サーバー証明書メッセージと証明書要求メッセージのフラグメンテーションをサポートするようになりました。すべてのレコードでサポートされるこれらのメッセージの最大サイズは 32 KB です。以前は、フラグメンテーションはサポートされておらず、サポートされるメッセージの最大サイズは 16 KB でした。

    [ NSSSL-5971]

システム

  • ICAP 要求タイムアウトと応答タイムアウトの実装

    ICAP 応答タイムアウトの問題を処理するには、ICAP プロファイルの ‘ReqTimeout’ パラメータに ICAP 要求タイムアウト値を設定できます。これにより、ICAPサーバーからのICAP応答が遅延した場合にアプライアンスが何らかのアクションを実行するようにリクエストタイムアウトアクションを設定できます。設定されたリクエストタイムアウト内にアプライアンスが ICAP 応答を受信しない場合、アプライアンスは Icapprofile に設定された「ReqTimeoutAction」パラメータに従って次のアクションのいずれかを実行できます。

    reqTimeoutAction: 可能な値は、バイパス、リセット、ドロップです。

    BYPASS: Encapsulated ヘッダーを含む ICAP 応答がタイムアウト値内に受信されない場合、リモート ICAP サーバーの応答は無視され、完全な要求/応答がクライアント/サーバーに送信されます

    RESET (デフォルト): クライアント接続を閉じてリセットします。

    DROP: ユーザーに応答を送信せずにリクエストをドロップします

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/icap-for-remote-content-inspection.htmlを参照してください。

    [NSBASE-3040、NSBASE-2264]

  • コンテンツ検査中のICAPサーバーのダウンタイムの処理

    コンテンツ検査中のICAPサーバーのダウンタイムを処理するために、Citrix ADCアプライアンスでifserverdownパラメーターを構成し、次のアクションを割り当てることができるようになりました。

    続行:リモートサーバーがダウンしている場合にユーザーがコンテンツインスペクションをバイパスしたい場合は、このアクションを選択できます。

    RESET (デフォルト): このアクションは、RST との接続を閉じることによってクライアントに応答します。

    DROP: このアクションは、ユーザーに応答を送信せずにパケットをサイレントにドロップします。

    [NSBASE-4936]

  • L3 接続との侵入検知システム (IDS) の統合

    Citrix ADCアプライアンスは、侵入検知システム(IDS)などのパッシブセキュリティデバイスと統合されるようになりました。この設定では、アプライアンスは元のトラフィックのコピーをリモート IDS デバイスに安全に送信します。これらのパッシブデバイスはログを保存し、不良または非準拠のトラフィックを検出するとアラートをトリガーします。また、コンプライアンス目的のレポートも生成します。Citrix ADCアプライアンスが2つ以上のIDSデバイスと統合されていて、トラフィックが大量にある場合、アプライアンスは仮想サーバーレベルでトラフィックを複製することでデバイスの負荷分散を行うことができます。

    高度なセキュリティ保護を実現するために、Citrix ADCアプライアンスは、検出専用モードで導入された侵入検知システム(IDS)などのパッシブセキュリティデバイスと統合されています。これらのデバイスはログを保存し、不良または非準拠のトラフィックを検出するとアラートをトリガーします。また、コンプライアンスを目的としたレポートも生成します。Citrix ADC を IDS デバイスと統合することの利点のいくつかを以下に示します。

    1. 暗号化されたトラフィックの検査 — ほとんどのセキュリティデバイスは暗号化されたトラフィックをバイパスするため、サーバーは攻撃を受けやすくなります。Citrix ADC アプライアンスはトラフィックを復号化して IDS デバイスに送信し、お客様のネットワークセキュリティを強化できます。

    2. IDS デバイスを TLS/SSL 処理からオフロード — TLS/SSL 処理にはコストがかかり、トラフィックを復号化すると侵入検知デバイスのシステム CPU 使用率が高くなります。暗号化されたトラフィックが急速に増加するにつれて、これらのシステムは暗号化されたトラフィックの復号化と検査に失敗します。Citrix ADCは、TLS/SSL処理からIDSデバイスへのトラフィックをオフロードするのに役立ちます。この方法でデータをオフロードすると、IDS デバイスは大量のトラフィックインスペクションをサポートすることになります。

    3. IDSデバイスの負荷分散 — Citrix ADCアプライアンスは、トラフィックが大量の場合に、仮想サーバーレベルでトラフィックを複製することにより、複数のIDSデバイスの負荷を分散します。

    4. パッシブデバイスへのトラフィックの複製 — アプライアンスに流入するトラフィックを他のパッシブデバイスに複製して、コンプライアンスレポートを生成できます。たとえば、一部のパッシブデバイスにすべてのトランザクションを記録するよう義務付けている政府機関はほとんどありません。

    5. トラフィックを複数のパッシブデバイスにファニングする — 一部のお客様は、受信トラフィックを複数のパッシブデバイスにファンアウトまたは複製することを好みます。

    6. トラフィックのスマート選択 — テキストファイルのダウンロードなど、アプライアンスに流入するすべてのパケットの内容を検査する必要がない場合があります。ユーザーは、特定のトラフィック(.exeファイルなど)を検査用に選択し、そのトラフィックをIDSデバイスに送信してデータを処理するようにCitrix ADCアプライアンスを構成できます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/intrusion-detection-system-for-l3.htmlを参照してください。

    [NSBASE-6800]

  • 負荷分散仮想サーバーをデバッグするための新しいエンティティカウンター

    仮想サーバーのデバッグと分析を目的として、新しいエンティティカウンターが追加されました。

    [NSBASE-8087]

  • インサービスソフトウェアアップグレードプロセスの SNMP トラップ

    高可用性セットアップのインサービスソフトウェアアップグレード(ISSU)プロセスでは、ISSU 移行操作の開始時と終了時に SNMP トラップメッセージを送信できるようになりました。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html を参照してください。

    [ NSNET-9959]

  • 稼働中のソフトウェアアップグレードプロセスのロールバック

    高可用性セットアップは、インサービスソフトウェアアップグレード (ISSU) プロセスのロールバックをサポートするようになりました。ISSU ロールバック機能は、ISSU プロセスの後または実行中の HA セットアップが安定していないか、期待どおりに最適なレベルで動作していない場合に役立ちます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/upgrade-downgrade-citrix-adc-appliance/issu-high-availability.html を参照してください。

    [ NSNET-9958]

  • デフォルトの RPC ノードパスワードの変更

    HA、クラスター、GSLB のデプロイでは、デフォルトの RPC ノードパスワードが変更されていない場合、nsroot とスーパーユーザーのログインに警告メッセージが表示されます。

    [NSCONFIG-2224]

ビデオの最適化

解決された問題

ビルド 41.28 で対処されている問題。

管理パーティション

  • 管理パーティション構成による高可用性セットアップでは、管理パーティションから SYSLOG または NSLOG サーバにアクセスできる場合にのみ、セカンダリノードから生成された監査ログが SYSLOG または NSLOG サーバに送信されます。

    [ NSHELP-19399]

  • 分割されたセットアップでは、「diff ns config」CLIコマンドは誤解を招く情報を表示します。

    [ NSHELP-19530]

AppFlow

  • AppFlowポリシーは、コンテンツスイッチ仮想サーバーの背後にある負荷分散仮想サーバーにバインドされている場合、トリガーされません。

    [ NSHELP-18782, NSBASE-8180]

  • 内部でバインドされたプロファイル以外のユーザー定義の分析プロファイルをAppFlowアクションにバインドすると、Citrix ADCアプライアンスがクラッシュします。

    [ NSHELP-19362]

  • AppFlowの「クライアント側測定」機能を有効にすると、Citrix ADCアプライアンスはHTMLページのCSSファイルを予期せず解析します。CSS 解析中にエラーが発生すると、HTML ページが正しく読み込まれない可能性があります。

    [ NSHELP-19375]

  • AppFlowが無効になっているが、FEOアクションでクライアント側の測定でフロントエンド最適化(FEO)が有効になっていると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-19531]

  • AppFlowコレクターがログストリーム転送モードで閉じると、Citrix ADCアプライアンスが再起動することがあります。

    [ NSHELP-19837]

認証、承認、監査

  • Citrix ADCアプライアンスは、次の条件が満たされると、不正アクセスを許可する可能性があります。

    • 適切な承認ポリシーが設定されていません。

    • 「set tm SessionParameter」コマンドの DefaultAuthorizationAction パラメータは、デフォルトで ALLOW になっています。

    [NSAUTH-6013]

  • SNMP は、SSH 公開鍵認証が成功した後でもトラップを送信します。

    [ NSHELP-18303]

  • probe server コマンドは、TACACS サーバが認証応答を送信せずに FIN または RST パケットで TCP 接続を閉じたときに、適切なメッセージを表示します。

    [ NSHELP-18399]

  • リリース10.5のCitrix ADCクラスタセットアップをより高いバージョンにアップグレードすると、上位バージョンのCCO以外のノードへのシステムログインが失敗します。

    [ NSHELP-18511, NSAUTH-5561]

  • SAML SPとして構成されたCitrix ADCアプライアンスは、サーバーがアサーションとともに大きなRelayStateパラメータ名を送信すると失敗します。

    [ NSHELP-18559]

  • Citrixの認証、承認、および監査ログアウトのメッセージに、間違った仮想サーバー名が表示されることがあります。

    [ NSHELP-18751]

  • Citrix ADCアプライアンスは、次の条件のいずれかが満たされると、制限付き委任によるKerberosチケットの取得に失敗します。

    • エンタープライズの「レルム」パラメータはユーザ用に設定されます。

    • 「keytab」パラメータのドメイン名は小文字です。

    [ NSHELP-18946]

  • 次の条件が満たされると、バッファが破損します。

    • バッファ内のデータは上書きされます。

    • コア間メッセージ処理は、バッファリサイクル状態になります。

    [ NSHELP-18952]

  • ユーザーエージェントにns_aaa_activesync_useragentsに記載されているパターンの1つが含まれている場合、Citrix ADCアプライアンスは認証されていないHTTPオプションリクエストをドロップしません。

    [ NSHELP-19024]

  • Citrix Gateway アプライアンスで複数のフェイルオーバーが発生すると、WebAuth 認証が失敗します。

    [ NSHELP-19050]

  • 次の条件が満たされた場合、Citrix ADCアプライアンスがクラッシュすることがあります。

    • パスワード変更オプションは LDAP アクションコマンドで有効になっています。

    • 認証、承認、監査セッションでの LDAP アクションで、セッション伝播の問題が発生する。

    [ NSHELP-19053]

  • Citrix Gatewayまたはトラフィック管理仮想サーバーがKerberos認証を使用すると、Citrix ADCアプライアンスのメモリ使用量が増加します。

    [ NSHELP-19085]

  • MetadataURL パラメータを設定してCitrix アプライアンスを再起動すると、SAMLAction コマンドは保存されず、設定は失われます。

    [ NSHELP-19140]

  • 「メタデータURLのインポート」を設定し、後でCitrix ADC GUIからリダイレクトURLを指定して編集すると、リダイレクトURLは設定されますが、メタデータのインポートURLは設定解除されません。このため、Citrix ADCアプライアンスはメタデータURLを使用します。

    [ NSHELP-19202]

  • Citrix GUIまたはNITRO APIログイン要求への入力に無効なユーザー名またはパスワードの値が含まれていると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-19254]

  • 認証ログインスキーマポリシーが noschema に設定されている場合、Citrix アプライアンスがクラッシュする可能性があります。

    [ NSHELP-19292]

  • SAMLIDPProfileコマンドでデフォルトの認証グループパラメータが設定されている場合、Citrix ADCアプライアンスに障害が発生することがあります。

    [ NSHELP-19301]

  • 負荷分散仮想サーバーと負荷分散サービスを介してCitrix ADC管理にアクセスすると、ロールベースアクセス(RBA)認証を使用してCitrix GUIまたはNITRO APIからシステムユーザーログインに失敗します。

    [ NSHELP-19385]

  • Active Directory フェデレーションサービス(ADFS)は、Citrix ADC SAML サービスプロバイダー(SP)によって生成されたメタデータのインポートに失敗します。

    [ NSHELP-19390]

  • デジタル署名に HTML エンティティでエンコードされた文字が含まれている場合、base64 デコードは失敗します。

    [ NSHELP-19410]

  • SAML IDプロバイダー(IdP)用に構成されたCitrix ADCアプライアンスは、特定のアプリケーションの受信認証要求を認証できません。

    [ NSHELP-19443]

  • 既存のセッションを確認する前にクライアント要求のダイアログCookie が処理されると、Citrix ADCアプライアンスはパスワード変更ページをクライアントに送信します。

    [ NSHELP-19528]

  • URL に「;」特殊文字が含まれている場合、TASS Cookie はログイン時に URL リダイレクトをエンコードします。

    [ NSHELP-19634]

  • 管理者ログイン中にユーザーグループの抽出を行うと、Citrix ADC AAAのメモリ使用量は徐々に増加します。

    [ NSHELP-19671]

  • WS-FedプロトコルでSAMLとして構成されたCitrix ADCアプライアンスのパスワードに特殊文字「&」が含まれていると、認証が失敗することがあります。

    [ NSHELP-19740]

  • 次の条件が満たされると、500 エラーメッセージが表示されます。

    • 認証、承認、監査が有効なトラフィック管理仮想サーバーは、Cookie なしでPOSTリクエストを受け取ります。

    • 投稿本文には改行文字が含まれています。

    [ NSHELP-19852]

  • Citrix ADCアプライアンスは、認証、承認、および監査トラフィック管理仮想サーバーから受信したOPTIONSメソッドを使用して、認証されていないHTTP要求を処理します。この時点で、アプライアンスは対応する HTTP 401 エラーメッセージで応答します。

    [ NSHELP-19916]

  • HSTSヘッダーの最大有効期間値が2,147,483,647より上に設定されている場合、Citrix ADCアプライアンスは負の値を送信します。

    [ NSHELP-19945]

  • SAML レスポンスの SAML 属性値には、1 行ではなく、複数の SAML 属性値行が含まれます。

    [ NSHELP-19961]

  • OpenID-Connect メカニズムでは、OAuth 依存パーティ (RP) は、パスワード付与 API 呼び出しを行う際に、ユーザー名またはパスワードのプロパティをエンコードしません。

    [ NSHELP-19987]

  • SAML IDプロバイダー(IdP)として構成されたCitrix ADCアプライアンスは、引用符が含まれている場合、サービスプロバイダー(SP)からのリレーステートを切り捨てます。

    [ NSHELP-20131]

  • 次の条件が満たされると、Citrix Gateway アプライアンスに障害が発生する可能性があります。

    • ユーザーがセッションからログアウトしたとき。

    • アプライアンスはHDXプラットフォームにデプロイされます。

    • SAML認証はCitrix Gatewayで使用されます。

    [ NSHELP-20206]

  • FIPSアプライアンスでSAML IdPを使用すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-20282]

  • ユーザーがVPXスナップショットを撮るときにログインしようとすると、Citrix Gatewayアプライアンスに障害が発生することがあります。

    [ NSHELP-20292]

  • トラフィック管理仮想サーバー上でSAMLサービスプロバイダー(SP)として構成されたCitrix ADCアプライアンスは、SAMLログイン後にポストボディレスポンスをバックエンドサーバーに送信しません。

    [ NSHELP-20348]

  • Citrix ADC GUI では次のような動作が見られます。

    • OAuth ポリシーは編集できません。

    • 編集できるのは OAuth アクションだけです。

    • OAuth ポリシーオプションは、基本ポリシーではなく詳細ポリシーのみにある必要があります。

    [ NSHELP-2131]

  • Citrix Gateway アプライアンスは、クライアントから /vpns/services.html 要求を受信したときに障害が発生することがあります。

    [ NSHELP-8513]

CPXCPX インフラ

  • 機能:Citrix ADC CPX

    次のデフォルト TCP プロファイルは、TCP 最大セグメントサイズ (MSS) で自動的に設定されませんでした。

    • nstcp_default_profile

    • nstcp_internal_apps

    [ NSNET-11916]

Citrix ADC BLX アプライアンス

  • Citrix ADC BLXアプライアンスでは、インターフェイス0/1をVLANにバインドすることはできません。これは、このインターフェイスがBLXアプライアンスとLinuxホストアプリケーション間の内部通信に使用されるためです。

    [ NSNET-10014]

  • Citrix ADC BLXアプライアンスに割り当てられたインターフェイス(Linuxホスト)のインターフェイス機能(Rx、Tx、GRO、GSO、LROなど)は無効になっています。これらの機能は、BLX アプライアンスが停止したときにこれらの BLX インターフェイスがデフォルトの名前空間に解放された後も、引き続き無効状態のままです。

    [ NSNET-9697]

Citrix ADC CLI

  • nsrecover ユーザーとしてログインすると、nscli-U コマンドでエラーが発生します。

    [ NSCONFIG-1414]

  • Citrix ADCアプライアンスは、ユーザーセッションの最大数(約1000セッション)に達し、管理インターフェイスが応答しなくなると、応答しなくなります。

    [ NSHELP-19212, NSCONFIG-1369]

Citrix ADC CPX

  • Citrix ADC CPXインスタンスの軽量バージョンは、Citrix ADM に登録されていませんでした。

    [ NSCONFIG-2232]

  • Citrix ADC CPXには、/32ビットのサブネットマスクを使用してNSIPを構成することはできません。

    [ NSNET-10968]

Citrix ADC GUI

  • エラーメッセージ「未定義のプロパティ ‘get’ を読み取れません。「ストリーム識別子 GUI ページで「アクション」をクリックすると、「」が表示されます。

    [ NSHELP-19369]

  • 手順 1 ~ 4 を実行すると、次のエラーメッセージが表示されます。

    “Ambiguous argument value []”

    1. デフォルト値で SSL プロファイルを作成します。

    2. プロファイルを SSL 仮想サーバーにバインドします。

    3. SSL パラメータを編集しますが、値は変更しないでください。

    4. OK を選択して SSL パラメータダイアログボックスを閉じます。

    [ NSHELP-19402]

  • フレームワークの技術的な問題により、すべてのサービスグループが ADC GUI に表示されません。

    [ NSUI-13754]

Citrix ADC SDX アプライアンス

  • VPXインスタンスで現在構成できるコアの最大数は、特定のSDXプラットフォームで使用可能なコアによって異なります。以前は、使用可能なコア数が増えても最大5コアしか構成できませんでした。

    VPXインスタンスに割り当てることができるコアの最大数については、 https://docs.citrix.com/en-us/sdx/13/provision-netscaler-instances.htmlを参照してください。

    [ NSHELP-18632]

  • SDXアプライアンスを復元した後、バックアップファイルのパーティションMACは、SDXアプライアンスで実行されているそれぞれのVPXインスタンスで復元されませんでした。

    [ NSHELP-19008]

  • SDXアプライアンスで実行されているVPX HAセットアップでは、仮想ポートチャネル(VPC)のスイッチの1つがダウンすると、LACPの一部であるすべてのインターフェイスがフラップします。これにより HA フェイルオーバーがトリガーされます。

    [ NSHELP-19095]

  • ポリシーベースのクライアント認証でクライアント証明書の検証をオプションに設定するSSL構成を適用しているときに、SDX 8900アプライアンスがクラッシュする可能性があります。

    [ NSHELP-19297]

  • SDX アプライアンスをアップグレードすると、アプライアンスの LA チャネルと VLAN の構成が失われる可能性があります。

    [ NSHELP-19392, NSHELP-19610]

  • SDX 14000 FIPS アプライアンスでプールライセンスを設定する場合、チェックアウトできる最小インスタンス数は 25 でした。この修正により、チェックアウトできる最小インスタンス数は 2 つになりました。詳細については、Citrix ADC プールキャパシティドキュメントを参照してください。

    https://docs.citrix.com/en-us/citrix-application-delivery-management-software/13/license-server/adc-pooled-capacity.html。

    [ NSHELP-20305]

  • リセット操作の後、送信レートは低下します。

    [ NSPLAT-7792]

  • SDX 26000 および SDX 15000 プラットフォームでは、次の条件が満たされると SSH 経由の DOM0 への管理アクセスが停止することがあります。

    • 複数のVPXインスタンスが同時に再起動されます。

    • 100 GEまたは50 GEのインターフェースがVPXインスタンスに割り当てられます。

    [ NSPLAT-9185]

  • SDX アプライアンスは、次の条件がすべて満たされると、再起動サイクルの終了時にハングアップすることがあります。

    • SDX アプライアンスは起動中です。

    • SDXアプライアンスで実行されているすべてのVPXインスタンスはまだ起動していません。

    • ウォームリブートコマンドは SDX アプライアンスで実行されます。

    その結果、Citrix Hypervisorコンソールでは、SDXアプライアンスが定期的にクリーンアップされ、「ターゲットの最終ステップに到達しました」という行で停止します。

    [ NSPLAT-9417]

  • SDXアプライアンスで実行されているVPXインスタンスで許可されたVLANリスト(AVL)からVLANを構成すると、インスタンスは自動的に再起動しません。その結果、VPXインスタンスとAVL間の通信が停止します。

    [NSSVM-135]

Citrix ADC VPXアプライアンス

  • インスタンスにvCPUライセンスがある場合、管理IPを使用してVPXインスタンスにアクセスできない場合があります。この問題は、オンプレミスとクラウドのすべてのVPXインスタンスで見られます。VPXインスタンスがSDXアプライアンスで実行されている場合は、SDX管理サービスGUIからインスタンスにアクセスできます。

    [ NSPLAT-10710]

  • Citrix ADC VPX GUIを使用してMTUサイズを設定すると、「操作はサポートされていません」というエラーメッセージが表示されます。

    [ NSPLAT-9594]

Citrix Gateway

  • Citrix Gateway イントラネットアプリケーションは、FQDNベースのトンネリング用にカンマ区切りのホスト名をサポートするようになりました。

    [ CGOP-10855]

  • macOS用のCitrix Gatewayプラグインがインストールされていない場合、ユーザーがSafariからVPNにアクセスしようとすると、エラーメッセージが表示されます。

    [ CGOP-11240]

  • Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

    [ CGOP-11830]

  • Citrix ADCアプライアンスでLSN構成が有効になっていない場合、送信中のカプセル化セキュリティペイロード(ESP)パケットはドロップされます。

    [ NSHELP-18502]

  • 高可用性セットアップでは、SAML が設定されていると 2 次ノードがクラッシュする可能性があります。

    [ NSHELP-18691]

  • RDP サーバープロファイルがコンテンツスイッチング仮想サーバーと同じポート番号と IP アドレスに設定されている場合、コンテンツスイッチング構成は再起動後に失われます。

    [ NSHELP-18818]

  • 場合によっては、IEブラウザを使用してCitrix Gatewayアプライアンスにアクセスすると、更新後にのみCitrix Gatewayのログオンページが表示されることがあります。

    [ NSHELP-18938]

  • Citrix ADM の[分析]>[Gateway Insight]ページで、終了したVPNセッションが誤って報告されます。

    [ NSHELP-19037]

  • 高可用性セットアップでは、削除されたユーザー情報がノードと同期されていないと、セカンダリノードがクラッシュします。

    [ NSHELP-19065]

  • マシンが 2 時間以上非アクティブのままになると、クライアントマシンの VPN プラグインウィンドウに Server Busy ダイアログボックスが表示されます。

    [ NSHELP-19072]

  • UDP、DNS、ICMP の認証ポリシーは、内部ネットワークのクライアントと VPN クライアント間の接続(サーバーが開始する接続)には適用されません。

    [ NSHELP-19142]

  • 場合によっては、Citrix Gateway サーバーで構成されたログインスクリプトがクライアントマシンで実行されないことがあります。

    [ NSHELP-19163]

  • macOS デバイスの高度なエンドポイント分析 (EPA) スキャンが失敗します。

    [ NSHELP-19328]

  • 以下の条件が満たされると、Citrix ADCアプライアンスがコアをダンプする場合があります。

    • ネイティブ VMware Horizon クライアントでは 2 要素認証が有効になっています。

    • Radius は認証の最初の要素として設定されます。

    • 認証が成功すると、Radius サーバはグループ名で応答します。

    [ NSHELP-19333]

  • 場合によっては、Windows VPN プラグインからのログアウトに予想以上に時間がかかることがあります。

    [ NSHELP-19394]

  • 場合によっては、Citrix Gateway アプライアンスが認証されていない要求の処理中に無効なCookie を設定することがあります。

    [ NSHELP-19403]

  • PCOIP仮想サーバープロファイルがVPN仮想サーバーに設定されているが、セッションアクションでPCoIPProfileが設定されていない場合、Citrix Gatewayアプライアンスがコアをダンプする場合があります。

    [ NSHELP-19412]

  • アプライアンスにアクセスすると、Citrix Gateway アプライアンスがコアをダンプする場合があります。

    フル VPN トンネルモード。

    [ NSHELP-19444]

  • Citrix ADCアプライアンスでローカルLANアクセスオプションが有効になっている場合、macOS用Citrix Gatewayプラグインは内部ホスト名を解決できません。

    [ NSHELP-19543]

  • VPN 仮想サーバー上の DTLS サービスはデフォルトの暗号セットで機能しますが、CLI を使用して bind または unbind cipher コマンドを使用して変更することはできません。

    [ NSHELP-19561]

  • 複数のアプリケーション/接続が VPN 経由でトンネリングされると、Skype 通話の音声の明瞭さが低下します。これは、不適切なメモリ管理が原因で発生します。

    [ NSHELP-19630]

  • Citrix Gateway は、nFactor 認証中に Windows プラグインのログオン表現ポリシーを認識しません。

    [ NSHELP-19640]

  • 「位置情報認識」機能は、マシンがネットワークに接続されていないゾーンからネットワーク接続ゾーン (インターネットまたはイントラネット) に移動されると、クライアントマシンでは機能しません。

    [ NSHELP-19657]

  • Azureでホストされている認証要素がCitrix MFAで使用されている場合、Windowsプラグインを使用してCitrix Gatewayにログオンすると失敗します。これは、MFA HTTPタイムアウト値がCitrix Gateway Windowsプラグインのタイムアウト値よりも小さいために起こります。

    この修正により、Citrix Gateway Windowsプラグインのタイムアウト値が増加し、ログオン障害を回避できるようになりました。また、以下のレジストリ値 (秒単位) を設定することで HTTP タイムアウト値を設定できるようになりました。

    ComputerHKEY_LOCAL_MACHINESOFTWARECitrixSecure Access ClientHttpTimeout

    [ NSHELP-19848]

  • Windows マシンで EPA スキャンが失敗する場合があります。

    [ NSHELP-19865]

  • まれに、次の条件の両方が満たされると、高可用性(HA)設定で展開されたCitrix ADCアプライアンスがクラッシュし、頻繁にHAフェイルオーバーが発生することがあります。

    • Gateway Insightは有効になっています。

    • SSO が失敗します。

    [ NSHELP-19922]

  • Windows Intune 登録チェックをクライアントマシンで無効にすることはできません。このチェックはデフォルトで有効になっています。

    この修正により、Windows Intune の登録チェックを無効にできるようになりました。

    チェックを無効にするには、次のレジストリエントリを 1 に設定します。

    ComputerHKEY_LOCAL_MACHINESOFTWARECitrixSecure Access ClientDisableIntuneDeviceEnrollment

    [ NSHELP-19942]

  • 複数のアプリケーションまたは接続が VPN 経由でトンネリングされると、VOIP アプリケーションの音声の明瞭さが悪影響を受けます。

    [ NSHELP-20097]

  • 高度なクライアントレス VPN 処理用に書き換える URL を見つけると、CPU 使用率が高くなります。その結果、システムの速度が低下します。

    [ NSHELP-20122]

  • STAの更新時にアプライアンスが誤ったSTAチケットを送信するため、クライアントマシンはCitrix Gatewayアプライアンスへの再接続に失敗します。

    [ NSHELP-20285]

  • クライアントレスアクセスプロファイルにドメインを追加すると、FQDN が長いと水平スクロールバーが表示されます。

    [ NSHELP-20341]

  • 高可用性セットアップでは、高可用性セットアップのセッションリライアビリティが有効になっていると、セカンダリのCitrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-5257, NSINSIGHT-1208, NSHELP-3807, NSHELP-3808, NSHELP-5414, NSHELP-5417, NSHELP-5428, NSHELP-17883, NSHELP-17894, NSHELP-17904]

  • 認証、承認、監査の仮想サーバーのログインページには、わかりやすいエラーメッセージの代わりにエラーコード番号が表示されます。

    [ NSHELP-7872]

  • 保留中のSTA更新操作が無限に蓄積されるため、Citrix Gatewayアプライアンスがコアをダンプする場合があります。

    [ NSHELP-8684]

Citrix Web App Firewall

  • Citrix Web App Firewall の元の設定はデフォルト設定にオーバーライドされます。

    たとえば、一部のシグニチャで「有効」オプションを選択した場合、シグネチャの結合操作中に設定が「無効」にオーバーライドされます。

    [ NSHELP-17841]

  • 実行構成で rfcprofile オプションを有効にして高可用性セットアップまたはクラスタセットアップを再起動すると、設定が失われます。

    [ NSHELP-18856]

  • Citrix Web App Firewall の構成変更がクラスター設定で適切に処理されない場合、Citrix ADC アプライアンスがクラッシュする可能性があります。

    [ NSHELP-18870]

  • 緩和ルールを追加しても、類似の URL は学習済みルールリストから削除されません。

    [ NSHELP-19298]

  • 大きなフォーム本文を処理するとき、およびCitrix Web App Firewallプロファイルでフィールド整合性パラメータが有効になっていると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-19299]

  • Citrix ADCアプライアンスは、XMLトラフィックが多いときにクライアント接続をリセットすることがあります。

    [ NSHELP-19314]

  • URL 変換ポリシーを有効にしていて、ボディ属性値からの応答に特殊文字が含まれている場合、SSL オフロードの ContentSwitching が特殊文字をエンティティエンコード値に置き換えることがあります。

    [ NSHELP-19356]

  • Citrix ADCアプライアンスは、CONNECT要求を受信するとクラッシュする可能性があります。この問題は、デフォルトのプロファイル設定を APPFW_BYPASS、APPFW_RESET、APPFW_DROP、APPFW_BLOCK 以外の値に設定した場合に発生します。

    [ NSHELP-19603]

  • フィールドの一貫性保護パラメータが有効になっていると、多くのクエリパラメータを含むWebリクエストが応答しないことがあります。

    [ NSHELP-19811]

  • 次の条件が満たされると、Citrix ADCアプライアンスに障害が発生します。

    • Web App Firewall ポリシーでは、HTTP.REQ.BODY(..)),の HTTP ボディベースのルールを使用

    • Web App Firewall 機能は無効になっています。

    [ NSHELP-19879]

  • 署名によって検査される投稿本文のバイト数を制限する新しいオプション

    アプライアンスをCitrix ADCバージョン13.0にアップグレードすると、デフォルト値が8192バイトの新しいプロファイルオプション「署名投稿本文の制限(バイト)」が表示されるようになりました。アプライアンスをアップグレードすると、オプションがデフォルト値に設定されます。このオプションを変更して、場所が ‘HTTP_POST_BODY’ として指定された署名について検査されるリクエストペイロード (バイト単位) を制限できます。

    以前は、Web Citrix Web App Firewall には、ペイロード検査を制限して CPU を抑制するオプションがありませんでした。

    ナビゲーション:[構成]>[セキュリティ]>[Citrix Web App Firewall]>[プロファイル]>[プロファイル設定]

    [ NSWAF-2887, NSUI-13251]

クラスタリング

  • ACL6 構成のクラスタ設定では、ICMPv6 エラーパケットがノード間でループし、CPU 使用率が高くなります。

    [ NSHELP-19535]

  • クラスター設定では、次の条件のいずれかが満たされると、クラスターの伝播が失敗する可能性があります。

    • クラスタデーモンと設定デーモン間の接続が失敗します。

    • クラスターデーモンのメモリ使用量の増加。

    [ NSHELP-19771]

  • クラスタ設定では、次の条件でCitrix ADC GUIがSSL証明書をアップロードできません。

    • コマンドは CLIP から実行されます。

    • 「sh partition」コマンドが無効な応答を返しました。

    [ NSHELP-19905]

  • クラスタ設定では、ZeboS Dynamic Routing IMIデーモンと内部クラスタデーモン間の接続障害を示す連続障害ログが表示されることがあります。この問題は、ZeboS ダイナミックルーティング IMI デーモンまたは内部クラスタデーモンのいずれかを再起動したときに発生します。

    [ NSNET-10655]

  • クラスタ設定では、次の動作が見られます。

    • サービスグループメンバー、サービスグループ、およびサーバーコマンドの有効化/無効化を実行すると、設定が一致しません。

    • unset コマンドは、サービス/サービスグループのネットプロファイルをリセットしません。

    [ NSNET-9599]

DNS

  • 権限のあるゾーンのDNS ANYクエリに対してキャッシュされた否定的な応答を埋めると、Citrix ADCアプライアンスがクラッシュすることがあります。

    [ NSHELP-19496]

  • 所有しているゾーンにワイルドカードドメインを追加できます。

    [ NSHELP-19498]

  • SDXアプライアンスで実行されているCitrix ADC VPXインスタンスは、ジャンボ対応インターフェイスで無効なDNS要求を受信するとクラッシュする可能性があります。

    [ NSHELP-19854]

GSLBか

  • 次の条件の両方が満たされると、GSLB サイトバックアップの親リスト設定は失われます。

    • TriggerMonitor オプションは MEPDOWN または MEPDOWN_SVCDOWN に設定されています。

    • Citrix ADC アプライアンスが再起動されます。

    [NSCONFIG-1760]

  • GSLB クラスタ設定では、ノードがクラスタに参加したときに MEP 接続が終了して MEP フラップが発生することがあります。

    [ NSHELP-19532]

ライセンス

  • MPX 永久ライセンスを Pooled Capacity ライセンスにアップグレードすると、ADM GUI から構成を保存してインスタンスを再起動するように求められます。この修正により、GUI はインスタンスの再起動のみを求めます。

    [ NSHELP-20137]

負荷分散

  • サービスグループにバインドされたモニターで LRTM が有効になっている場合、応答時間は表示されません。

    [ NSHELP-12689]

  • まれに、次の構成のサーバーからSSLセッションを受信する前にサービスがDOWNとマークされると、Citrix ADCアプライアンスに障害が発生することがあります。

    • SSL_BRIDGE タイプの負荷分散仮想サーバー

    • パーシステンスタイプは SSLSESSION ID に設定されています

    • バックアップパーシスタンスタイプは SOURCEIP に設定されています

    [ NSHELP-18482]

  • 一部のサービスまたはサービスグループメンバーが負荷分散仮想サーバーからバインド解除された後、負荷分散仮想サーバーの非アクティブサービス番号が数秒間大きな値を返すことがあります。これは表示上の問題であり、機能には影響しません。

    [ NSHELP-19400]

  • 仮想サーバーのタイプがANYで、仮想サーバーでスピルオーバーパーシスタンスが有効になっていると、Citrix ADCアプライアンスがクラッシュします。

    [ NSHELP-19540]

  • INC モードの高可用性セットアップでは、一部の負荷分散モニターについて、セカンダリノードの GUI と CLI に次のステータスメッセージが誤って表示されます。

    「プローブがスキップされました-セカンダリノード」

    [ NSHELP-19617]

  • Citrix ADC VPXアプライアンスは複数の一時ファイルを生成するため、ディスク容量が不足する可能性があります。特定のロケーションファイルに対して rsync 操作が行われると、そのロケーションファイル用の一時ファイルが作成されます。これらのファイルは /var ディレクトリをいっぱいにします。

    [ NSHELP-20020]

  • Autoscaleサービスグループのパスモニタリングは、クラスターデプロイメントではサポートされていません。

    [ NSLB-4660]

NITRO

  • Citrix ADCアプライアンスは、ルータ/ダイナミックルーティングのNITRO APIコールを表示すると、内部エラーメッセージで応答します。

    [NSCONFIG-1325]

ネットワーク

  • OSPF 動的ルーティングが設定された高可用性セットアップでは、新しいプライマリノードは、フェールオーバー後に OSPF MD5 シーケンス番号を昇順で生成しません。

    この問題は修正されました。修正が正しく機能するためには、手動で、または NTP を使用して、プライマリノードとセカンダリノード間の時刻を同期する必要があります。

    [ NSHELP-18958]

  • ネクストホップパラメータがNULLに設定されたPBRルールを負荷分散サービスまたはモニターに追加すると、Citrix ADCアプライアンスが応答しなくなることがあります。

    [ NSHELP-19245]

  • Citrix ADCアプライアンスでは、次の条件がすべて満たされると、SYN+ACKパケットループが発生し、CPU使用率が高くなる可能性があります。

    • 現在Citrix ADCが所有しているIPアドレスではないIPアドレスへの未処理のRNAT プローブ接続がADCアプライアンスに存在する場合。

    • この IP アドレスを ADC 構成の一部として ADC 所有の IP アドレスとして設定した場合。たとえば、この IP アドレスを持つ負荷分散仮想サーバーを追加します。

    [ NSHELP-19376]

  • Citrix ADCアプライアンスでは、プロトコルモジュールが完全に初期化されていない場合でも、NITRO APIによる構成が可能です。このため、write memory コマンドは次のエラーメッセージで失敗します。

    「設定の保存が拒否されました-モジュールが準備されていません」

    [ NSHELP-19431]

  • まれに、高可用性セットアップでは、セカンダリノードがCitrix ADC IPアドレス(NSIP)を介してBGPセッションを確立することがあります。

    [ NSHELP-19720]

  • パスに複数の 4 バイトの AS 番号が含まれている BGP アップデートを受信すると、メモリ破損が原因で BGP プロセスが失敗する可能性があります。

    [ NSHELP-19860]

  • useproxyportパラメーターが無効になっているRNATルールと、INATパブリックIPアドレスにアクセスするRNATクライアントの場合、Citrix ADCアプライアンスはRNATルールに関連するセッションにポートを誤って割り当て/割り当て解除する可能性があります。このようにポートを誤って割り当てたり割り当て解除したりすると、ポートリークが発生します。

    [ NSNET-10089]

  • Citrix ADC GUIで、[構成] > [ネットワーク] > [インターフェイス] に移動して [インターフェイス統計] をクリックすると、インターフェイスの概要が表示されず、「Invalid value [arg]」というエラーメッセージが表示されます。

    [ NSUI-13043]

最適化

  • レイジーローディングモードでは、スクロールせずに見える範囲の上にある高さや幅などの属性のない単純なウェブページの画像は読み込まれません。

    [ NSHELP-19193]

  • Citrix ADCアプライアンスは、次の条件が満たされると自動的に再起動します。

    • フロントエンド最適化機能が有効になっています。

    • キャッシュされたオブジェクトは再最適化されます。

    [ NSHELP-19428]

プラットフォーム

  • SDX 14000 FIPS アプライアンスは、FIPS HSM パーティションの設定中にクラッシュして再起動することがあります。

    [ NSHELP-18503]

ポリシー

  • Citrix ADCアプライアンスでは、デフォルトの高度なグローバルポリシーのバインドを解除して構成を保存すると、次回の再起動時に変更が反映されません。

    [ NSHELP-19867]

  • 構成にrespondwithhtmlpageをアクションタイプとするレスポンダーアクションがある場合、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-5821]

  • リダイレクトアクションタイプのレスポンダーアクションを使用すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSPOLICY-3196]

  • 従来のポリシーベースの機能は、Citrix ADC 12.0ビルド56.20以降では廃止されました。別の方法として、高度なポリシーインフラストラクチャを使用することをお勧めします。

    これらの機能や機能は、2020年のCitrix ADC 13.1リリースからは使用できなくなります。また、他の小さな機能は廃止される予定です。

    [ NSPOLICY-3228]

SNMP

  • リリース12.1ビルド49.23からリリース12.1ビルド49.37への高可用性セットアップのアップグレード後、プライマリノードは再起動時にSNMPコールドスタートトラップメッセージを送信しません。

    [ NSHELP-18631]

SSL

  • ADCアプライアンスは、次の両方の条件が満たされると、クライアントに追加のデータを送信することがあります。

    • アプライアンスは SSL を介してバックエンドサーバーに接続されます。

    • サーバーから受信したデータのサイズが 9k を超えています。

    [ NSHELP-11183]

  • PEM アルゴリズムが DES または DES3 の場合、GUI を使用して RSA キーを作成することはできません。

    [ NSHELP-13018]

  • Citrix XenServer、VMware ESX、またはLinux-KVMプラットフォームにVPXインスタンスをインストールすると、セーフネットディレクトリが見つかりません。

    [ NSHELP-14582]

  • 「ssl.origin.server_cert」という表現に基づいて監査ログメッセージアクションを実行すると、Citrix ADCアプライアンスがクラッシュする可能性があります。ログアクションはレスポンダーポリシーにバインドされています。

    [ NSHELP-19014]

  • クライアント証明書と CA 証明書のエンコーディングが異なる場合、-ClientAuthUseBoundCachain が有効になっていると、クライアント証明書とサーバー証明書が同じ CA によって発行されているにもかかわらず、クライアント証明書が誤って拒否されます。

    [ NSHELP-19077]

  • 次の条件の両方が満たされている場合、クライアント証明書のフィンガープリントをサーバーに送信するリクエストのHTTPヘッダーに挿入するSSLアクション「ClientCertFingerprint」を実行しているときに、Citrix ADCアプライアンスがクラッシュする可能性があります。

    • セッションチケットは有効になっています。

    • SSL ポリシーは、リクエストバインドポイントでバインドされます。

    [ NSHELP-19331]

  • SSL 仮想サーバーは、次の条件が満たされる場合、期待どおりにレコードを複数の TCP パケットにフラグメント化する代わりに、リセットコード 9820 で接続をリセットできます。

    • TLSv1.3 対応の仮想サーバーは、バックエンドアプリケーションサーバーからのアプリケーションデータを暗号化して TLSv1.3 クライアントに送信します。

    • 結果として得られる暗号化されたレコード長は、TCP の最大セグメントサイズよりちょうど 1 バイト大きくなります。

    [ NSHELP-19466]

  • ECDSA暗号はこのプラットフォームではサポートされていないため、N2チップを搭載したCitrix ADC SDXアプライアンスではハンドシェイクが失敗します。この修正により、ECDSA 暗号はこのプラットフォームではアドバタイズされなくなりました。

    [ NSHELP-19614, NSHELP-20630]

  • URL が IP ベースのアドレスからドメイン名ベースのアドレスに変更された場合、CRL の更新では新しい IP アドレスではなく古い IP アドレスが使用されます。

    [ NSHELP-19648]

  • ssl_tot_enc_bytes カウンタは、暗号化対象として誤ったプレーンテキストバイトを報告します。

    [ NSHELP-19830]

  • 次のアプライアンスは、クライアントから「ChangeCipherSpec」メッセージを受信しても「Finished」メッセージを受信しなかった場合、クラッシュする可能性があります。

    • MPX 5900/8900

    • MPX 15000-50G

    • MPX 26000-100G

    [ NSHELP-19856]

  • クラスタ IP(CLIP)アドレスに AIA 拡張子の付いた証明書を追加すると、CLIP から証明書を削除しようとすると次のエラーメッセージが表示されます。

    「内部エラー」。

    [ NSHELP-19924]

  • フロントエンド仮想サーバーでTLS 1.3とSNIの両方が有効になっている場合、次の一連のイベントが発生すると、TLSハンドシェイク中にアプライアンスがクラッシュします。

    1. TLS 1.3 クライアントは、最初の ClientHello メッセージに server_name 拡張子を含めます。

    2. サーバーは helloRetryRequest メッセージで応答します。

    3. クライアントは、server_name 拡張子を省略した不正な ClientHello メッセージで応答します。

    [ NSHELP-20245]

  • 次のいずれの場合も、「エラー-ファイルが大きすぎます」というエラーメッセージが表示されます。

    • 最初にCitrix ADC ソフトウェアをバージョン13.0にアップグレードしてから、FIPSファームウェアをアップグレードします。

    [ NSHELP-20522]

  • クライアントキー交換メッセージとクライアント検証メッセージが 1 つのレコードに含まれる場合、SSL ハンドシェイクは次のプラットフォームで失敗します。

    • MPX 59xx

    • MPX/SDX 89xx

    • MPX/SDX 261xX-100G

    • MPX/SDX 15xxx-50G

    [ NSSSL-3359, NSSSL-1608]

  • 次の条件が満たされると、N3ベースのCitrix ADC MPXおよびSDXアプライアンスのフロントエンドでRSAベースのキー交換によるTLSおよびDTLSハンドシェイクが失敗します。

    1. TLS Client HelloメッセージにプロトコルバージョンとしてTLSv1.2が含まれているが、Citrix ADCアプライアンスでTLSv1.2が無効になっている場合、TLSハンドシェイクは失敗します。そのため、アプライアンスは下位バージョン(TLSv1.1、TLSv1.0、または SSLv3.0)をネゴシエートします

    2. DTLSクライアントのハローメッセージにプロトコルバージョンとしてDTLSv1.2が含まれているのに、Citrix ADCアプライアンスがDTLSv1.0をネゴシエートすると、DTLSハンドシェイクは失敗します。

    「show hardware」コマンドを使用して、アプライアンスに N3 チップが搭載されているかどうかを確認します。

    [ NSSSL-6630]

  • プロファイルがバインドされている仮想サーバーの NITRO 呼び出しでは、プロファイルの一部である HSTS や OCSP_Stapling などの仮想サーバーの一部のエンティティも表示されます。

    [ NSSSL-6673]

SWG URL フィルタリング

  • コンテンツフィルタリング中に、ポリシー評価とプライベート URL セットの難読化の間で、まれに競合状態が発生します。この問題により、URL が「違法」ではなくクリアテキストとして含まれる AppFlow レコードが生成されます。

    [NSSWG-890]

システム

  • 現在の_tcp_profileとcurrent_adtcp_profileが設定されていないと、Citrix ADCアプライアンスがクラッシュします。

    [ NSHELP-18889]

  • 閉じた接続が完全にフラッシュされないと、Citrix ADCアプライアンスでメモリの問題が発生します。

    [ NSHELP-18891]

  • コーナーケースでは、Citrix ADCアプライアンスはリセットせずにゾンビ接続を終了します。ピア側の接続がアクティブな場合はパケットを送信し、アプライアンスはパケットを処理するときに接続をリセットします。

    [ NSHELP-18998]

  • 次の条件が満たされると、ポリシー評価が失敗する可能性があります。

    • 256 のポリシー表現が同じカスタムヘッダーを参照しています。

    • カスタムヘッダー参照カウンタは 0 (8 ビットカウンター) にラップします。

    [ NSHELP-19082]

  • 設定が失われるのは、高可用性設定の同期と高可用性障害が発生するたびです。

    [ NSHELP-19210]

  • プライマリノードがセカンダリからの応答を読み取れないため、接続がリセットされます。その結果、2 次ノードで接続が切断されます。

    [ NSHELP-19432]

  • TCPプロファイル値をNULLに設定すると、Citrix ADCアプライアンスがクラッシュします。

    [ NSHELP-19555]

  • 外部サーバー用に作成された MONITOR パスワードには、強力なパスワード検証が行われます。Citrix ADCアプライアンスで強力なパスワード設定(システム > グローバル設定)を有効にすると、アプライアンスがLDAPモニターに弱いパスワードを設定できなくなります。

    [ NSHELP-19582]

  • SDX デバイスの SNMP アラームは、ディスク、メモリ、または温度のパラメータでは機能せず、CPU でのみ機能します。

    [ NSHELP-19713]

  • 場合によっては、バックエンドサーバーへの接続に遅延やタイムアウトが発生することがあります。これは、アプライアンスが接続を解放し、ポートを解放したために発生します。アプライアンスが同じポートを再利用してサーバーとの新しい接続を確立すると、サーバー上で接続が TIME_WAIT 状態になるため、遅延またはタイムアウトが発生します。

    [ NSHELP-19772]

  • まれに、クライアントまたはサーバーが FIN メッセージを含む順序どおりのパケットを送信したあと、順序どおりのパケットを送信すると、クラスターノードがクラッシュすることがあります。

    [ NSHELP-19824]

  • MTUが1500バイトを超えるインターフェイスで再送信されたTCPセグメントを次のように受信すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    • ジャンボフレーム、または

    • IP フラグメントのセット

    [ NSHELP-19920, NSHELP-20273]

  • Citrix ADCアプライアンスがTCP接続を使用してバックエンドサーバーに接続できない場合、TCPトランザクション遅延が発生します。この場合、アプライアンスは新しい接続を開き、しばらく待ってからクライアント要求をバックエンドサーバーに転送します。待機時間は 400 ミリ秒から 600 ミリ秒の範囲です。

    [ NSHELP-9118]

  • コンテンツ検査ポリシーの GUI ページでは、「グローバルバインディング」および「バインディングを表示」オプションが機能しない。別の方法として、これらのパラメータをコマンドインターフェイスで設定できます。

    [ NSUI-13193, NSUI-11561]

電話会社

  • 次の条件の両方が満たされると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    • アプライアンスは、加入者情報を取得するときに 2 つの HTTP 要求を受信します。

    • 通常のトラフィックフローを再開する操作が正しくありません。

    [ NSHELP-18955]

既知の問題

リリース13.0に存在する問題。

認証、承認、監査

  • ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。

    show adfsproxyprofile <profile name>

    回避策:クラスタ内のプライマリアクティブな Citrix ADC に接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

    [NSAUTH-5916]

  • Citrix ADC GUIのログインスキーマエディター画面に DualAuthPushOrOTP.xml LoginSchema が正しく表示されません。

    [NSAUTH-6106]

  • Citrix ADCアプライアンスでSSOが設定されている場合、HTTPからWebSocketへのプロトコルの切り替えは失敗します。

    [NSAUTH-6354]

  • まれに、LDAP サーバーへの接続が HTTPS 経由の場合、認証が失敗することがあります。

    [ NSHELP-20181]

  • Citrix ADCアプライアンスは、バージョン13.0へのアップグレード後にバッファオーバーフロー状態によりクラッシュします。

    [ NSHELP-20416, NSAUTH-6770]

  • Citrix ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。

    [ NSHELP-563]

Citrix ADC BLX アプライアンス

  • LinuxホストでのDPDKの構成ミス(たとえば、ヒュージページが設定されていない場合)が原因で、Citrix ADC BLXアプライアンスを起動できません。Citrix ADC BLX アプライアンスを起動するには、起動コマンド(systemctl start blx)を 2 回実行する必要があります。

    [ NSNET-11107]

  • DPDKをサポートするCitrix ADC BLXアプライアンスは、Linuxホスト上でDPDKが誤って構成されている場合(たとえば、ヒュージページが設定されていない場合)、起動に失敗してコアをダンプします。

    Citrix ADC BLX アプライアンスの Linux ホストで DPDK を構成する方法の詳細については、 https://docs.citrix.com/en-us/citrix-adc-blx/13/deploy-blx/deploy-blx-dpdk.htmlを参照してください。

    [ NSNET-11349]

Citrix ADC GUI

  • 「デフォルトのnsrootパスワードが使用されているときにnsrootユーザーのパスワード変更を強制する」機能が有効になっていて、Citrix ADCアプライアンスへの最初のログオン時にnsrootパスワードが変更された場合、nsrootパスワードの変更はCCO以外のノードに伝播されません。そのため、nsroot ユーザーが非 CCO ノードにログオンすると、アプライアンスはパスワードの変更を再度要求します。

    [NSCONFIG-2370]

  • エンティティ名にスペースが含まれている場合、ADC GUI の検索フィルタを使用してエンティティを検索することはできません。

    [ NSHELP-20506]

  • Syslog GUI ページにアクセスすると、「未定義のプロパティ ‘0’ を読み取れません」というエラーメッセージが表示されます。

    [ NSHELP-20574]

  • ドメインベースのサービス (DBS) サーバーがサービスグループにバインドされ、サーバー名が解決されると、GUI を使用してバインディングの TTL またはネームサーバーを変更または設定解除することはできません。

    [ NSUI-13060]

  • Citrix ADM GUIから、[システム] > [診断] > [保存済み対実行中] に移動しても、データが表示されません。これは、ns.conf ファイルのサイズが 10 MB を超える場合に発生します。

    回避策:CLIを使用して、「diff ns config」コマンドを使用して、保存済みデータと実行中のデータを確認します。

    [ NSUI-13242]

Citrix ADC SDX アプライアンス

  • SDX 22XXXおよび24XXXアプライアンスでは、システムヘルスモニタリング中に、SDX管理サービスが誤ったアラートを発します。

    [ NSHELP-19795]

  • バックアップファイル名に特殊文字が含まれている場合、そのバックアップへのSDXアプライアンスの復元は失敗します。この修正により、バックアップファイルに特殊文字が含まれていると、エラーメッセージが表示されます。

    [ NSHELP-19951]

  • Citrix ADC インスタンスのインターフェイスの TrunkAllowedVLAN リストに 100 を超える VLAN を設定すると、次のエラーメッセージが表示されることがあります。

    エラー:操作がタイムアウトしました

    エラー:パケットエンジンとの通信エラー

    [ NSNET-4312]

  • ヘルスモニタリングアラームは PSU の番号を誤って伝えます。電源ケーブルを PSU #1 から取り外すと、ヘルスモニタリングから PSU #2 に障害が発生したという誤ったアラームが送信されます。

    [ NSPLAT-4985]

  • SDX 8200/8400/8600プラットフォームでは、SDXアプライアンスまたはそこで実行されているVPXインスタンスを複数回再起動すると、SDXアプライアンスがCitrix Hypervisorコンソールでハングアップします。アプライアンスがハングアップすると、「INFO: rcu_sched がCPU/タスクでストールを検知しました」というメッセージが表示されます。 回避策: -背面の NMI ボタンを押して SDX アプライアンスを再起動します。

    • From the LOM GUI, use NMI to restart the appliance.

    • Use LOM to restart the SDX appliance.

    [ NSPLAT-9155]

Citrix ADC VPXアプライアンス

  • Azureでプロビジョニングした直後にCitrix ADC VPXインスタンスにログオンしようとすると、ユーザー名とパスワードが機能しないことがあります。この問題は、Citrix ADC VPXインスタンスをプロビジョニングした後、ユーザーが提供した資格情報(ユーザー名とパスワード)が初回起動時にアクティブになるまでに最大1分かかる場合があるために発生します。

    回避策:1 分待ってから、もう一度ログオンします。

    [ NSPLAT-10962]

  • AWSにデプロイされたCitrix ADC VPXインスタンスは、次の条件が満たされると、構成されたIPアドレス(VIP、ADC IP、SNIP)を介した通信に失敗します。

    • AWS インスタンスタイプは M5/C5 で、KVM ハイパーバイザーベースです。

    • VPXインスタンスには複数のネットワークインターフェースがあります

    これはAWSの制限であり、AWSはまもなくこの問題を修正する予定です。

    回避策: ADC IP、VIP、SNIP 用に別々の VLAN を設定します。VLAN の設定の詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/networking/interfaces/configuring-vlans.htmlを参照してください。

    [ NSPLAT-9830]

Citrix ボット管理

  • ボットトラフィックを検出するデバイスフィンガープリント技術は、XML 応答では機能しません。

    [NSDOC-1047]

Citrix Gateway

  • Outlook Web App (OWA) 2013 では、[設定] メニューの [オプション] をクリックすると、[重大なエラー] ダイアログボックスが表示されます。また、ページが応答しなくなります。

    [ CGOP-7269]

  • Citrix Gatewayアプライアンスは、SNIPではなくクライアントマシンのIPアドレスを使用してStoreFront tサーバーにトラフィックを送信するため、StoreFront サーバーにアクセスできません。

    [ NSHELP-19476]

  • 場合によっては、ICA Insightを有効にしたダブルホップ展開の外部向けCitrix Gatewayが、特定のネットワークトラフィックパターンのコアをダンプすることがあります。

    [ NSHELP-19487]

  • まれに、タイムアウト後に破損した SSL VPN の認証、承認、監査セッションエントリをクリアしているときに、メモリ破損によりコアダンプが発生し、コアダンプが発生することがあります。

    [ NSHELP-19775]

  • XenAppおよびXenDesktopウィザードで[ストアの取得]をクリックすると、次のエラーメッセージが表示されます。「StoreFront のFQDNからストアパスを取得できませんでした。

    回避策:「Receiver for Web Path」にストアを手動で入力します。」

    [ NSHELP-20249]

  • リバーススプリットトンネリングが有効になっている場合、イントラネットルートは間違ったプレフィックス値で追加されるか、まったく追加されません。

    [ NSHELP-20825]

  • Citrix ADCとゲートウェイプラグインをリリース13.0ビルド41.20にアップグレードした後、ユーザーがVPNトンネルをセットアップしようとすると、ブルースクリーンオブデスエラー(BSOD)が連続して表示されます。

    [ NSHELP-20832]

  • ユーザーペルソナを使用する AlwaysOn サービスでは、ユーザーがログアウトするとマシントンネルが断続的にダウンします。

    [ NSHELP-21163]

  • コマンド「add vpn IntranetApplication」で、「protocol」パラメータの説明がマニュアルページに正しく表示されない。説明では、設定可能な値として「ANY」の代わりに「BOTH」と指定されています。ただし、マニュアルページには、設定に必要な値が正しく表示されています。

    [ NSHELP-8392]

  • 高可用性セットアップでは、Citrix ADC フェイルオーバー中に、Citrix ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。

    [ NSINSIGHT-2059]

  • Gateway Insight レポートでは、SAML エラーエラーの認証タイプフィールドに「SAML」ではなく「Local」という値が誤って表示されます。

    [ NSINSIGHT-2108]

  • ユーザーがバージョン6.5のCitrix Virtual App and Desktops(以前のCitrix XenAppおよびXenDesktop)とともにMACレシーバーを使用している場合、ICA接続によりICA解析中にスキップ解析が行われます。

    回避策: レシーバーを最新バージョンのCitrix Workspaceアプリにアップグレードしてください。

    [ NSINSIGHT-924]

Citrix SDX アプライアンス

  • SDX 26000-100G 15000-50 G アプライアンスのアップグレードには時間がかかる場合があります。その結果、システムに「管理サービスが 1 時間 20 分後に起動できませんでした」というメッセージが表示されることがあります。管理者に連絡してください。」

    回避策: メッセージを無視してしばらく待ってから、アプライアンスにログオンします。

    [NSSVM-3018]

Citrix Web App Firewall

  • Learned Rulesビジュアライザーを使用して緩和ルールを展開すると、ルールが既に追加されているというエラーメッセージが表示されます。

    [ NSHELP-18582]

  • メモリ使用量が多く、アプリケーションの障害によりメモリ値が解放されない場合、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-18863]

  • 高可用性セットアップでは、IP レピュテーション機能を有効にすると、高可用性コマンドの伝播が失敗する可能性があります。

    [ NSHELP-20010]

Cloudbridge connector

  • CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge コネクタの設定に失敗することがあります。

    回避策: Citrix ADC GUI または CLI を使用して IPsec プロファイル、IP トンネル、および PBR ルールを追加して、CloudBridge Connectorを構成します。

    [ NSUI-13024]

クラスタリング

  • 「show ns ip」コマンドで多数のIPアドレスが表示される場合、Citrix ADCアプライアンスまたはクラスタセットアップでCPU使用率が高くなります。

    [ NSHELP-11193]

  • Citrix ADC クラスタ設定では、次の条件でフロープロセッサノードで TCP 接続の SYN Cookie が拒否されることがあります。

    • SYN クッキーは有効になっています

    • SYN スプーフィング保護は無効です

    フロープロセッサノードは、新しい TCP フローパケットを浮遊パケットとして処理し、接続をリセットして応答します。

    [ NSHELP-20098]

GSLBか

  • Citrix ADCアプライアンスは、バックエンドサーバーがダウンしていて、アプライアンスが新しいバックエンドサーバーを選択しているときに、RTTなどのサーバー情報を収集しようとするとクラッシュする可能性があります。

    [ NSHELP-11969]

負荷分散

  • URL に% 特殊文字が含まれていると、HTTPS URL のリダイレクトは失敗します。

    [ NSHELP-19993]

  • Citrix ADC VPXアプライアンスは、応答しなくなった後に数回再起動します。

    [ NSHELP-20435]

ネットワーク

  • Citrix ADCアプライアンスが削除コマンドの一部として多数のサーバー接続をクリーンアップすると、Pitbossプロセスが再起動することがあります。このPitbossの再起動により、ADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-136]

  • 静的仮想サーバーを既存の動的仮想サーバー(RNAT)と同じIPアドレスで追加すると、ハッシュテーブルでの名前検索操作中にADCアプライアンスがクラッシュする可能性があります。

    [ NSHELP-15851]

  • Citrix ADCアプライアンスを再起動すると、インターフェイスのIPアドレスが入力される前にデフォルトルートが開始されます。この問題により、ルートのネクストホップが NULL に設定され、火星エラーにつながります。

    [ NSHELP-16407]

プラットフォーム

  • Citrix ADC SDX 26000-100Gプラットフォームでは、アプライアンスを再起動してもインターフェイスが起動しない場合があります。

    回避策: オートネゴシエーションが ON に設定されていることを確認します。オートネゴシエーションステータスを確認および編集するには、SDX GUI > システム > インターフェイスに移動します。

    [ NSPLAT-11985]

  • 次のCitrix ADC SDXアプライアンスは、VPXバージョン13.0-41.xでは正しく起動しない可能性があります。VPXバージョン13.0-47.x以降のビルドにアップグレードしてください。

    • SDX 11xxx

    • SDX 14xxx

    • SDX 14xxx-40S

    • SDX 14xxx-40G

    • SDX 14xxx FIPS

    • SDX 22xxx

    • SDX 24xxx

    • SDX 25xxx

    [ NSSSL-7044]

SSL

  • クラスタ設定では、クラスタ IP (CLIP) アドレスの実行構成には、エンティティにバインドされた DEFAULT_BACKEND 暗号グループが表示されますが、ノードには表示されません。これは表示の問題です。

    [ NSHELP-13466]

  • 次の条件がすべて満たされている場合、HTTPS-ECV モニターは SSL ハンドシェイク中に失敗します。

    • モニターは SSL プロファイルにバインドされています。

    • SSL プロファイルではセッションの再利用が有効になっています。

    • モニターは 2 台以上のバックエンドサーバーにバインドされています。

    • さまざまなプロトコルバージョン(TLS1.0とTLS1.2など)がサーバー上で実行されています。

    [ NSHELP-18384]

  • ADC アプライアンスがサポートされていないバージョンの Thales HSM と統合されている場合、HSM キーと証明書を生成し、証明書とキーのペアをアプライアンスにインストールして SSL 仮想サーバーにバインドすると、アプライアンスがクラッシュします。この修正により、アプライアンスはクラッシュする代わりにエラーを報告します。

    [ NSHELP-20352]

  • セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

    [ NSSSL-4427]

  • HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。

    エラー:CRL 更新は無効です

    [ NSSSL-6106]

  • 同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。

    [ NSSSL-6213]

  • 認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

    [ NSSSL-6478]

  • Update コマンドは、次の add コマンドでは使用できません。

    • Azure アプリケーションの追加

    • Azure キーボールトを追加する

    • hsmkey オプションで ssl 証明書キーを追加する

    [ NSSSL-6484, NSSSL-6379, NSSSL-6380]

システム

  • クリアコンフィグ中、Citrix ADCアプライアンスで実行されているメトリックコレクターアプリケーションは応答しませんが、PITBOSSモジュールによって再起動される可能性があります。

    [NSBASE-7846]

  • 一部の内部接続により、受信したTCP SYNの数と確立されたTCP接続の数が一致しない場合、Citrix ADCアプライアンスは誤ったSNMP SYNフラッドエンティティトラップを生成することがあります。

    [ NSHELP-18671]

  • ロールベース認証 (RBA) では、グループ名を「#」文字で始めることはできません。

    [ NSHELP-20266]

  • プロキシプロトコルを有効にし、ネットワークの混雑により再送信が行われると、メモリ使用量が増加します。

    [ NSHELP-20613]

  • Citrix ADCアプライアンスは、サブフローがアイドルタイムアウト期間を超えてアクティブで稼働している場合、MPTCPサブフローをリセットします。

    [ NSHELP-20648]

  • Citrix ADCアプライアンスは、サブフローがMTPCPとして確認される前にプレーン確認を受け取ると、MPTCPサブフローをリセットします。

    [ NSHELP-20649]

  • 処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

    回避策: TCP バッファサイズを、処理する必要のあるデータの最大サイズに設定します。

    [NSPOLICY-1267]

URL フィルタリング

  • <URL expression>. URLSET_MATCHES_ANY(URLSET1 || URLSET2)などの複合URLSet式では、アプリフローレコードの「Urlset Matched」フィールドには、最後に評価されたURLSetの状態のみが反映されます。たとえば、リクエストされた URL が URLSET1 のみに属している場合、URL はいずれかの URL セットに属していますが、「URLSet Matched」フィールドは 0 に設定されます。その結果、URLSET1 は「URLSet Matched」フィールドを 1 に変更しますが、URLSET2 は 0 に戻します。

    [NSSWG-1100]

ビデオの最適化

  • 特定のシナリオでは、クラスタ設定でビデオ検出を有効にすると、Citrix ADC のメモリ使用率が徐々に増加することがあります。ただし、この増加率は通常のシステム運用に影響を与えないほど低いです。

    [NSVIDEOOPT-921]

Citrix ADC 13.0-41.28 リリースのリリースノート