ADC

シトリックス ADC 13.0-58.32 リリースのリリースノート

このリリースノートドキュメントでは、Citrix ADCリリースビルド13.0-58.32の機能強化と変更、修正された問題と既知の問題について説明します。

  • このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。
  • ビルド 58.32 がビルド 58.30 に取って代わります
  • このビルドでのその他の修正:NSAUTH-8617、NSAUTH-8712

新機能

ビルド 13.0-58.32 で利用できる機能強化と変更

Citrix Gateway

  • DTLS リスナーの機能強化

    ユーザーは、構成されたSSL VPN仮想サーバーと同じIPとポート番号を使用して、別のDTLS VPN仮想サーバーを構成できるようになりました。DTLS VPN仮想サーバーを構成すると、ユーザーは高度なDTLS暗号と証明書をバインドできます。また、以前にサポートされていたDTLS 1.0プロトコルに加えて、DTLS 1.2プロトコルもサポートされています。

    [CGOP-1142]

Citrix Web App Firewall

  • ボット管理統計

    Citrix ADC ボット管理GUIに、ボットトラフィックとボット違反の統計が表形式とグラフ形式の両方で表示されるようになりました。

    [NSWAF-5270]

  • クラスター構成の Bot サポート

    Citrix ADC ボット管理がクラスター構成でサポートされるようになりました。

    [NSWAF-427]

  • IPレピュテーションとデバイスフィンガープリント検出技術のCAPTCHA検証

    Citrix ADC ボット管理は、ボット攻撃を軽減するためにCAPTCHAをサポートするようになりました。CAPTCHAは、受信トラフィックが人間のユーザーからのものか、自動化されたボットからのものかを判断するために行われるチャレンジ/レスポンス検証です。この検証は、Web アプリケーションにセキュリティ違反を引き起こす自動ボットをブロックするのに役立ちます。CAPTCHAは、IPレピュテーションとデバイスフィンガープリント検出の両方の技術でボットアクションとして設定できます。

    [ニューサウスウェールズ州-3982]

  • ボット署名の自動更新のサポート

    Citrix ADC Bot Managementは、AWSデータベースと通信して最新のシグネチャ更新を取得する自動更新機能をサポートするようになりました。更新は 1 時間ごとにスケジュールされます。

    また、AWSからアップデートを取得し、ADCアプライアンスのシグネチャを定期的に更新するようにプロキシサーバーを設定することもできます。プロキシ設定では、ボット設定でプロキシIPアドレスとポートを設定する必要があります。

    [ニューサウスウェールズ州-3954]

  • 緩和ルールのエクスポートとインポート

    Citrix ADCアプライアンスでは、動的プロファイルベースの緩和ルールと通常の緩和ルールをエクスポートおよびインポートできるようになりました。ルールをステージング環境からエクスポートし、本番環境にインポートできます。
    「拡張」アクションにより、緩和ルールのインポートが追加され、既存の構成が上書きされることがなくなります。

    [ニューサウスウェールズ州-3813]

  • ボットトラップ検知

    Citrix ADC ボット管理は、ボットトラップ検出技術をサポートするようになりました。この手法は、クライアントの応答でトラップ URL をアドバタイズします。クライアントが人間のユーザーの場合、URL は見えず、アクセスできないように見えます。ただし、クライアントが自動化されたボットの場合、URL にはアクセスでき、アクセスされると攻撃者はボットとして分類され、それ以降のボットからのリクエストはブロックされます。この検出技術は、自動ボットからの攻撃をブロックするのに効果的です。

    [NSWAF-3231]

  • Snort ルール統合

    SnortルールをCitrix ADCアプライアンスと統合して、アプリケーション層での悪意のある攻撃を防ぐことができるようになりました。ルールは Snort のウェブサイトからダウンロードされ、WAF シグネチャに変換されます。Snort ベースの WAF シグネチャは、DOS 攻撃、バッファオーバーフロー、ステルスポートスキャン、CGI 攻撃、SMB プローブ、OS フィンガープリントの試みなどの悪意のあるアクティビティを検出できます。Snort ルールを統合することで、インターフェイスとアプリケーションレイヤーのセキュリティソリューションを強化できます。

    [NSWAF-305]

負荷分散

  • ロケーションベースのポリシー表現におけるワイルドカードマッチの検証のための GEO ルールの強化

    GEO ルールに、ワイルドカードの一致を確認するロケーションベースのポリシー表現のサポートが追加されました。この機能は、ワイルドカード修飾子がワイルドカード以外の修飾子を含む他の修飾子と一致するかどうかをチェックします。ワイルドカードマッチングは、「ロケーションパラメータの設定」コマンドに追加された MatchWildCardToAny 属性を使用して実行されます。

    MatchWildCardToAny 属性には、次の値を設定できます。

    • はい: ワイルドカード修飾子は他の修飾子と一致します。
    • いいえ: ワイルドカード修飾子は非ワイルドカード修飾子とは一致しませんが、他のワイルドカード修飾子と一致します。デフォルトのオプションは [ いいえ] です。
    • 式:式内のワイルドカード修飾子は 、LDNS ロケーションの任意の修飾子と一致しますが、LDNS ロケーションのワイルドカード修飾子は式の非ワイルドカード修飾子と一致しません。

    [ヘルプ-1182]

ネットワーク

  • ストライピング IPv6 アドレスに対するネイバーディスカバリーオーナーサポート

    クラスタ設定では、特定のノードをストライプIPv6アドレスのネイバーディスカバリ(ND)所有者として設定して、リンク層アドレスを決定できるようになりました。クライアントは、クラスタ設定内のすべてのノードにネイバーソリシテーション (NS) メッセージを送信します。ND 所有者は、ストライプされた IPv6 アドレスのリンク層アドレスを含むネイバーアドバタイズメント(NA)メッセージで応答し、トラフィックを処理します。

    CLI を使用して ND オーナーを設定するには、ノード ID を指定します。

    • NS IP6-N 所有者を追加
    • NS IP6-Nオーナセット

    GUI で、[システム] > [ネットワーク] > [IP] > [IPv6] に移動します。IPv6 アドレスを追加または変更するときに、「クラスタ内の nDower」にリストされているノード ID のいずれかを選択します。

    [ネスト-10767]

  • Citrix ADC BLXアプライアンスでのグローバルサーバー負荷分散サポート

    Citrix ADC BLXアプライアンスは、Citrix ADC グローバルサーバー負荷分散(GSLB)機能をサポートするようになりました。

    注:Citrix ADC BLXアプライアンスは、GSLB自動同期サブ機能をサポートしていません。

    [ネスト-9263]

プラットフォーム

  • Linux-KVM プラットフォームでのインテル X722 10G NIC のサポート

    Linux-KVMプラットフォーム上のCitrix ADC VPXインスタンスは、インテルX722 10G SR-IOVネットワークインターフェイスをサポートするようになりました。

    [NSPLAT-13197]

  • Google Cloud プラットフォームでのプライベートIPアドレスによるCitrix ADC VPX高可用性ペアのセットアップ

    プライベートIPアドレスを使用してVPX高可用性ペアをGCPにデプロイできるようになりました。この機能を設定するには、INC モードを無効にする必要があります。クライアント IP (VIP) とサーバ IP (SNIP) は、プライマリノードのエイリアス IP アドレスとして設定する必要があります。フェイルオーバー時に、クライアント IP アドレスとサーバ IP アドレスの両方がセカンダリノードに移動されます。

    [NSPLAT-12516]

  • GCP のバックエンド自動スケーリングサポート

    Citrix ADC VPXアプライアンスは、Google Cloud プラットフォーム(GCP)のバックエンド自動スケーリング機能をサポートするようになりました。この機能は、GCP マネージドインスタンスグループ (MIG) 内のバックエンドサーバーを検出します。GCP は、ユーザー定義の指標に基づいて、MIG プールにサーバーを自動的に追加または削除します。VPXアプライアンスはバックエンドサーバープールの詳細をキャプチャし、それに応じてトラフィックの負荷分散を行います。

    [NSPLAT-7715]

ポリシー

  • ポリシーデータセットの設定

    ポリシーデータセットでは、さまざまなデータタイプの範囲を指定できるようになりました。例を考えてみましょう。データセット ds1 ipv4
    バインドデータセット ds1 1.1.1.1 —EindRange 1.1.10
    を追加してください

    ここで、値がデータセットにバインドされた単一の値に等しいか、データセットにバインドされた範囲の下限値と上限値(下限値 <= 値 && 値 <-上限値)の間にある場合は、データセット内にあると見なされます。

    [NSPOLICY-3282]

SSL

  • アダプティブ SSL トラフィック制御

    アプライアンスで非常に多くのトラフィックが受信され、暗号化アクセラレーションのキャパシティがいっぱいになると、アプライアンスは接続のキューイングを開始して後で処理します。現在、このキューのサイズは 64K に固定されており、この値を超えると、アプライアンスは接続をドロップし始めます。この機能強化により、キュー内の要素数が適応的かつ動的に計算された制限を超えると、アプライアンスは新しい接続をドロップします。

    この制限は以下に基づいて計算されます。

    • アプライアンスの実際の容量。
    • 実際のキャパシティに対するパーセンテージとしてユーザーが設定した値。デフォルト値は 150% です。

    たとえば、アプライアンスの実際のキャパシティが 1 秒あたり 1000 オペレーションで、デフォルトのパーセンテージが設定されている場合、アプライアンスが接続を切断するまでの制限は 1500(1000 の 150%)です。

    [NSSL-7476]

  • Citrix ADC Cavium MPX プラットフォームのフロントエンドでの DTLSv1.2 プロトコルのサポート

    DTLS 1.2プロトコルは、Cavium MPXプラットフォーム用のCitrix ADCのフロントエンドでサポートされるようになりました。DTLS 仮想サーバーを構成する際には、ここで DTLS1 または DTLS12 を指定する必要があります。デフォルトでは、DTLSv12 は無効になっています。

    [NSSL-6097]

  • Citrix ADCアプライアンスのバックエンドでの安全な再ネゴシエーションのサポート

    Citrix ADCアプライアンスのバックエンドで安全な再ネゴシエーションがサポートされるようになりました。SSL プロファイルとグローバル SSL パラメータで安全な再ネゴシエーションを有効にできます。安全な再ネゴシエーションを有効にするには、「DenysSLReneg」パラメーターを次のいずれかのオプションに設定します。

    • NONSECURE
    • いいえ
    • FRONTEND_CLIENT
    • FRONTEND_CLIENTSERVER

     set ssl profile ns_default_ssl_profile_backend -denySSLReneg NONSECURE  
     set ssl parameter -denySSLReneg NONSECURE  
     <!--NeedCopy-->
    

    [ヘルプ-1494]

システム

  • 管理アクセス用のビルトイン HTTP プロファイル

    Citrix ADC アプライアンスには、管理アクセス用の HTTP プロファイル「nshttp_default_internal_apps」が組み込まれました。プロファイルは、HTTP/0.9 リクエストをブロックし、管理アクセスに対する無効なリクエストをドロップするように設定されています。プロファイル設定は、既存の「nshttp_default_strict_validation」プロファイルと同じです。ただし、「nshttp_default_strict_validation」プロファイルで行ったようにプロファイル設定を変更しないことをお勧めします。

    [ナバス-9953]

ユーザーインターフェイス

  • MatchedID を設定して、最後に評価された URL セットを指定する

    「ポリシーのURLセットのインポート」コマンドに、「MatchedID」という新しいパラメーターが追加されました。ID には、リクエストされた URL と一致した後に最後に評価された URL セットを指定できます。IDは、ユーザーセッションレベルの情報を収集するAppFlowコレクターにも送信されます。

    [NSU-14674]

  • クラスタの同期状態に対する厳密なモードのサポート

    設定の適用時にエラーを表示するようにクラスタノードを設定できるようになりました。クラスター内の各ノードのステータスを追跡するために、クラスターインスタンスの追加コマンドと設定コマンドの両方に「syncStatusStrictMode」という新しいパラメーターが導入されました。デフォルトでは、「SyncStatusStrictMode」パラメーターは無効になっています。

    [NSCONFIG-2796]

解決された問題

ビルド 13.0-58.32 で対処されている問題。

AppFlow

  • AppFlow機能を有効にしているときにトラフィックがアクティブになると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-2361]

認証、承認、監査

  • OnlyPassword.xml でのユーザー名の抽出は、Citrix ADC では機能しません。式は $ {http.req.user.name} と表示されますが、ユーザー名に置き換えるのが理想的です。

    [Nヘルプ-2172]

  • SAML SPとして展開されたCitrix ADCは、ユーザーがログアウトプロセスを開始した後にローカルログアウトページを表示することがあります。

    [NSHELP-2067]

  • TACACSサーバーに向かうSYNパケットが間違ったパーティション値でいっぱいになるため、Citrix ADCアプライアンスがコアをダンプする場合があります。

    [NSHELP-2030]

  • Citrix ADCアプライアンスは、アプライアンスがVPNトラフィック要求を処理しているときに、クライアントからRESETコマンドを受信するとコアをダンプすることがあります。

    [NSHELP-21817]

  • FORMSSO ポリシーに DYNAMIC FORMSSO の名前と値のペアが空の場合、フォームベースの SSO は失敗します。

    [NSHELP-21753]

  • 以下の条件が満たされると、Citrix ADCアプライアンスがStoreFront 認証アクションを実行するとクラッシュする可能性があります。
    • パスワードは有効期限後に変更されます。
    • 認証は、nFactor 以外の古い VPN クライアントから試行されます。

    [Nヘルプ-2155]

  • 「ns_saml_disable_comma_sep_attr_res nsapimgr」ノブが有効になっているときはいつでも、「saml: AttributeValue」タグが SAML アサーションに表示されません。

    [Nヘルプ-2152]

  • 以下の条件が満たされている場合、Citrix ADCを使用してSStoreFront にSSOを送信すると失敗します。
    • Citrix ADCアプライアンスは多要素認証用に構成されています。
    • 構成された認証要素を調べる前に、Citrix ADC セッションがタイムアウトします。

    [Nヘルプ-21466]

  • 次の条件が満たされている場合、フルVPNは機能しません。

    • Citrix ADCアプライアンスはnFactor認証用に構成されており、SAML認証が認証の最後の要素です。
    • アプライアンスは RFWebUI ポータルテーマにバインドされています。

    [NSHELP-2157]

  • 認証仮想サーバーでの IdP セッションの作成中、認証の最初の要素に関連するログインスキーマプロファイルに対して行われた構成は適用されません。ログインスキーマプロファイルが SSO 機能の第 1 要素認証情報を使用するように設定されている場合、その設定は適用されません。

    [NSAUTH-8712]

  • Citrix Gateway アプライアンスは、次の条件が満たされるとコアをダンプします。
    • シトリックスゲートウェイアプライアンスには、シトリックスワークスペースアプリを使用してアクセスします。
    • Citrix Gatewayアプライアンスは、高度な認証を使用してnFactorを導入するように構成されています。

    [NSAUTH-8617]

キャッシュ

  • クラスタ設定では、次の場合にCitrix ADCアプライアンスがクラッシュする可能性があります。
    • Citrix ADC 13.0 47.x または 13.0 52.x ビルドから新しいビルドへのセットアップのアップグレード
    • Citrix ADC 13.0 47.x または 13.0 52.x ビルドへのセットアップのアップグレード

    アップグレードプロセス中に、次の手順を実行します。

    • すべてのクラスタノードを無効にしてから、各クラスタノードをアップグレードします。
    • すべてのノードがアップグレードされたら、すべてのクラスタノードを有効にする

    [NSHELP-21754]

Citrix ADC SDXアプライアンス

  • 場合によっては、Citrix ADC SDXアプライアンスをリリース13.0にアップグレードすると、内部エラーが原因で失敗することがあります。

    [NSSVM-3377]

  • Citrix ADC SDXアプライアンスでは、リリース12.1ビルド56.22からリリース13.0ビルド52.24へのアップグレードが失敗することがあります。

    [NSSVM-3159]

  • Citrix ADC > [インスタンス] に移動し、SDX GUIでインスタンスのIPアドレスをクリックしても、インスタンスは起動されません。この問題は、リリース 13.0 ビルド 47.x にアップグレードした後にのみ発生します。

    [NSHELP-2152]

  • プールライセンスサーバーが構成されている場合、Citrix ADC SDXアプライアンスのアップグレードが失敗することがあります。

    [NSHELP-2064]

  • VPXに割り当てられたコアの数がアプライアンスで使用可能な空きコアの数より多い場合、次のプラットフォームでVPXインスタンス名を変更することはできません。
    • SDX 8900
    • SX 14xxx-40G
    • SEX 14xxx-40S
    • SDX 14xxx FIPS
    • SX 15XXX-25G
    • SX 15XXX-50G
    • SDX 25xxx
    • セックス26xxx
    • SEX 26xxx-50S
    • SEX 26XXX-100G

    [Nヘルプ-2048]

  • Citrix ADC SDX 15xxxおよびSDX 26xxxプラットフォームでは、複数のVPXインスタンスをL2モードでプロビジョニングすることはできません。

    [NSHELP-21367]

  • ソフトウェアバージョン11.1および12.1にアップグレードした後、アプライアンスはNSNotifyRestartトラップを送信する場合があります。

    [NSHELP-18308]

Citrix Gateway

  • VPNセットアップでCPU間でセッション情報をコピーしているときに、Citrix Gatewayアプライアンスがクラッシュすることがあります。

    [Nヘルプ-2665]

  • 接続リンクのエラーにより、サーバーが開始した接続を処理すると、Citrix Gateway アプライアンスがクラッシュします。

    [NSHELP-2598]

  • 次の条件が満たされると、Citrix Gateway アプライアンスが断続的にクラッシュする可能性があります。
    • サーバーがイントラネットへの UDP 接続を開始すると、IP アドレスがユーザーに割り当てられます。
    • 最初のパケットが送信されてから長い間、サーバーは UDP パケットを送信しません。

    [NSHELP-2583]

  • 転送ログオン中に、無効な接続を保存しようとして無効な接続を逆参照しようとすると、Citrix Gateway アプライアンスがクラッシュすることがあります。

    [NSHELP-2568]

  • Citrix ADC アプライアンスは、従来のクライアントレス VPN に設定するとクラッシュする可能性があります。

    [Nヘルプ-2559]

  • まれに、値が 0 の「vpnusers」パラメーターのカウンタが誤ってデクリメントされることがあります。この値を下げると、カウンタが非常に高い値にリセットされ、ライセンスチェックが失敗します。

    [Nヘルプ-2558]

  • Citrix Gateway では、クライアントマシンでEPAスキャンが失敗した場合でも、macOSクライアントが内部リソースにアクセスできるようにする場合があります。
    この問題は、次の構成を含む n コアのマシンでのみ発生します。
    • セッションポリシーは、「ClientSecurityGroup」パラメーターを使用して作成されます。
    • このクライアントセキュリティグループに属するユーザーに対して何らかのアクションを実行するためのレスポンダーポリシーが作成されます。

    [ヘルプ-2262]

  • イントラネットIPアドレスが割り当てられているときにVPNトンネル全体を印刷しようとすると、Citrix Gatewayアプライアンスがクラッシュする可能性があります。
    この問題は、HPステータスプロトコルとWSDAPIプロトコルを使用するHPプリンタで見られます。

    [Nヘルプ-22191]

  • Citrix Gateway でSAML認証が設定されていて、ユーザーがVPNプラグインを介してログオンしようとすると、ブラウザに空白の画面が表示されます。

    [Nヘルプ-2185]

  • Citrix ADCアプライアンスのGUIでは、認証、承認、および監査グループから承認ポリシーのバインドを解除することはできません。

    [NSHELP-2167]

  • XVAイメージを使用して新しいCitrix ADC VPXアプライアンスをCitrix Hypervisorまたはその他のサーバーに展開すると、Windows用のCitrix Gatewayプラグインパッケージがそれぞれの場所に見つかりません。

    [NSHELP-2157]

  • フルトンネル設定と RFWebUI による従来のクライアント証明書認証では、アプライアンスはログイン後に空白ページまたは「Client not able」エラーで応答します。

    [NSHELP-2084]

  • PCoIP アプリまたはデスクトップが起動しないことがあります。

    [NSHELP-2041]

  • Citrix Gateway の高可用性セットアップでは、コア間通信中にセカンダリノードがクラッシュする可能性があります。

    [Nヘルプ-1991]

  • Citrix Gatewayサーバーが社内ネットワーク内のIPアドレスと外部ネットワーク内で異なるIPアドレスに解決すると、外部ネットワークから内部ネットワークへのローミングまたは外部ネットワークから内部ネットワークへのローミングが断続的に失敗します。その結果、Windows で常時オンにする機能は動作しません。

    [Nヘルプ-1956]

  • セッションポリシーでプロキシ設定が構成されていると、Linux VPN クライアントがクラッシュします。

    [Nヘルプ-1955]

  • EPA が nFactor モードで構成されている場合、EPA プラグインのインストールに関連するメッセージは VPN プラグインウィンドウに表示されません。

    [NSHELP-1939]

  • McAfee LiveSafe を使用している場合、EPA チェックは正常に行われません。その結果、中国の製品名の検出は OPSWAT では機能しません。ただし、他の言語では意図したとおりに機能します。

    [NSHELP-1938]

  • Citrix ADCアプライアンスをアップグレードすると、Webインターフェイス機能が意図したとおりに機能しない場合があります。

    [NSHELP-2189]

  • 複数のコアがあり、イントラネットIPアドレスがRFWebUIテーマで有効になっている場合、Citrix Gatewayアプライアンスがクラッシュする可能性があります。

    [ヘルプ-2172]

  • Citrix ADCアプライアンスは、破損したコレクター情報にアクセスしようとするとクラッシュする可能性があります。

    [NSHELP-21653]

  • キャッシュの強制キャッシュクリーンアップパラメータが有効になっていると、常時稼働サービスが VPN トンネルを確立できません。

    [NSHELP-21645]

  • ポータルファイルに 403 アクセス禁止エラーが断続的に表示されることがあります。

    [NSHELP-21620]

  • UDP アプリケーションのパフォーマンスは、トラフィックの混雑により影響を受けることがあります。

    [NSHELP-2159]

  • nFactor認証を使用するCitrix Gatewayでは、要素としてのEPAが失敗することがあります。

    [NSHELP-2157]

  • サーバーが開始した接続を処理しているときに、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-21532]

  • VPN プラグインは、VPN 接続中に Wi-Fi またはイーサネットアダプターに追加された DNS サフィックスを保持します。

    [Nヘルプ-21492]

  • グローバルサーバーの負荷分散用に構成されたCitrix Gatewayアプライアンスは、親子トポロジで意図したとおりに機能しません。

    [NSHELP-2381]

  • デスクトップの数がアプリの数より少ない場合、アプリの列挙は行われません。

    [NSHELP-2137]

  • マルチコアプロセッサのセットアップでは、Gateway Insight機能が有効になっていて、所有者以外のコアで要求を受信すると、Citrix Gateway アプライアンスがクラッシュします。

    [NSHELP-21089]

  • 次の条件が満たされると、Citrix Gateway アプライアンスがクラッシュする可能性があります。
    • クライアント接続またはサーバー接続には、リンクの代わりにダングリングポインターがあります。
    • リンクされた接続は既に解放されています。
    • アプライアンスは接続をフラッシュしてリンクを解放しようとします。

    [NSHELP-20901]

  • ゲートウェイ構成でクラシックポリシーを使用すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-2007]

  • ネットプロファイルがサービスに追加されると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-19569]

  • Unified Gateway ウィザードで作成されたコンテンツスイッチング仮想サーバでは、DTLS パラメータはデフォルトで ON に設定されています。

    [COP-13213]

  • RFWebUIカスタムテーマは、Citrix Gatewayアプライアンスをリリース13.0にアップグレードした後は機能しません。

    [CGOP-12740]

Citrix Web App Firewall

  • アプライアンスで TLS 1.3 が有効になっているフロントエンドゲートウェイ仮想サーバーで SSL セッション再利用オプションを有効にすると、接続がリセットされます。

    [NSWAF-5268]

  • NITRO では、XML セキュリティチェック「xmlmaxnodescheck」オプションが有効になっている場合、SDK のお客様が WAF を設定することを許可していません。

    [ヘルプ-211]

  • StartURL クロージャ保護チェックを有効にすると、Citrix ADC アプライアンスでメモリリークが発生します。

    [NSHELP-21472]

  • アップグレード後、メモリ使用量が多いためにCitrix ADCアプライアンスがクラッシュする可能性があります。

    [Nヘルプ-21410]

  • シトリックスのADCボット管理では、チャンク化されたデータやFINで終了したデータに対してトラップURLとJavascriptが正しく挿入されません。

    [NSHELP-21289]

  • XML コンテンツに「APPFW_XML_VALIDATION_ERR_INVALID_ELEMENT」パラメータへの参照がネストされている場合、XML 検証は失敗します。

    [NSHELP-2128]

  • クレジットカード検証プロセスのエラーケースが誤って処理された場合、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-20562]

  • ログモードでXML Wellformness保護チェックを有効にすると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-1837]

負荷分散

  • 高可用性セットアップでは、サーバー再利用プールからサーバーPCBを取り出す際にプライマリノードがクラッシュします。このクラッシュは、ループが既に存在し、その結果ループがタイトになるために発生します。

    [Nヘルプ-2149]

  • パケットエンジン(NSPPE)は、ヘッダーが不完全な最初の RTSP データパケットを受信し、続いてヘッダー全体を受信する前に ACK を受信すると、クラッシュする可能性があります。

    [NSHELP-2099]

  • 管理パーティション設定で「stat gslb site」コマンドを実行すると、2 つの GSLB サイト間のメトリック交換またはネットワークメトリック交換の状態が DOWN と表示されます。これは表示上の問題であり、機能に影響はありません。

    [NSHELP-21895]

  • 高可用性同期中に、プールされたライセンスを構成すると、セカンダリデバイスへの接続が失われる可能性があります。

    [NSHELP-2156]

  • クラスタ設定では、ノードを新しいバージョンにアップグレードすると、直径IDの構成が失われます。

    [Nヘルプ-2144]

  • NAT対応クライアントからの要求では、セッション記述プロトコル(SDP)ペイロードのメディアセクションにNAT IPアドレスが含まれていると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [Nヘルプ-21438]

  • NITRO API では、サービスグループの状態が変更された後に、サービスグループの「tickssincelaststatechange」フィールドが正しく更新されません。

    [Nヘルプ-21425]

  • 高可用性セットアップでは、プライマリノードは、セカンダリノード上の特定のコアへの接続を確立しようとして最大限試行しても、関連する PORT を見つけることができません。そのため、セカンダリ接続テーブルはプライマリ接続テーブルと完全には同期していません。

    [Nヘルプ-21420]

  • ゲートウェイ展開によるGSLBセットアップでは、Citrix
    ADCアプライアンスが次の条件でGSLBサービスのドメイン名を解決できないことがあります。プライマリ負荷分散仮想サーバーがダウンしている場合、バックアップ負荷分散仮想サーバーが稼働していても。

    [NSHELP-21061]

  • Citrix ADCアプライアンスをリリース11.1ビルド56.19からリリース12.1ビルド53.12にアップグレードすると、負荷分散仮想サーバーが稼働していても、GSLBサービスの有効状態はDOWNに設定されます。

    [NSHELP-21025]

  • 安全なHTTPモニターが構成されていて応答サイズが大きい場合、Citrix ADCアプライアンスのメモリ使用量が急増することがあります。

    [Nヘルプ-20712]

ネットワーク

  • Citrix ADCアプライアンスを再起動すると、内部トランスポート層サービスが登録解除されることがあります。その結果、アプライアンスでのトランスポートプロトコルサービスリクエストはすべて失敗します。

    [ネスト-15252]

  • クラスタトポロジでは、ノードをアップグレードまたはダウングレードすると、CCO 以外のノードの「set snmp mib」コマンドが失敗します。その結果、構成が失われます。

    [ネスト-14562]

  • CLIP では GUI オプションを secureonly に設定しているのに、NSIP アドレスでは問題が見られない場合に問題が発生します。
    この問題は、「set ns ip gui」構成をトリガーした場合にのみ発生します。

    [ネスト-14364]

  • Citrix ADCアプライアンスは、次のプロパティを持つ受信パケットをすべて処理して、アクティブなFTPデータ接続を実現します。
    • プロトコル = TCP
    • 送信先 IP アドレス = シトリックス ADC IP (NSIP)
    • 送信元ポート = 20

    その結果、Citrix ADCアプライアンスはパケットをパケットエンジンモジュールではなく内部管理モジュールに送信して処理します。その結果、パケットに予期しない処理が行われます。

    [NSHELP-2637]

  • デフォルト以外のパーティションでレイヤー 2 モードが有効になっている高可用性セットアップでは、セカンダリノードが受信した DHCP パケットを転送し、ネットワークでループが発生する可能性があります。

    [NSHELP-2140]

  • IPv4およびIPv6のポリシーベースのバックプレーンステアリング(PBS)構成のCitrix ADCクラスタセットアップでは、次の条件がすべて満たされると、ICMPv6エラーパケットがクラスタノード間でループすることがあります。

    • ICMPv6 エラーパケットの内部 IP パケットの IP タプルは、アクティブな TCP セッションの 1 つと同じ IP タプルです。
    • 同じ IPv6 アドレスに対して、各クラスタノードに異なる IPv4 マップアドレスが存在します。

    [NSHELP-21815]

  • 制限のない管理パーティションでは、割り当て中のメモリチェックは無効になります。

    [NSHELP-2175]

  • INC モードの高可用性セットアップでは、フェイルオーバー後に、新しいセカンダリノードがプライマリとして機能していたときにアドバタイズした(他の BGP ピアから学習した)デフォルトルートを取り消さない場合があります。この問題により、データトラフィックが新しいセカンダリノードにも届く可能性があります。

    [Nヘルプ-21720]

  • OpenStack では、以下の条件でコマンドの伝播が失敗する可能性があります。

    3 ノードクラスタからノードを削除したときに、削除されたノードから古いハートビートが取得された場合。

    [NSHELP-21432]

  • VIPアドレスにINATルールを追加すると、Citrix ADCアプライアンスは、仮想サーバーのタイプがANYで同じVIPアドレスに設定されている負荷分散構成の追加を誤って許可します。

    [NSHELP-2128]

  • Citrix ADCアプライアンスを再起動すると、インターフェイスのIPアドレスが入力される前にデフォルトルートが開始されます。この問題により、ルートのネクストホップが NULL に設定され、火星エラーにつながります。

    [Nヘルプ-16407]

NSSWG

  • Citrix ADC GUI HTTPSアクセスが停止し、アプリケーションフローURLフィルタリングレコードがNULLになるクラスタ化された高可用性構成では、メモリ管理エラーが発生します。

    [NSSWG-1220]

  • URLカテゴリファイルには、NetStarデータベースからの最新のアップデートは含まれていません。

    [NSSWG-1205]

プラットフォーム

  • Citrix ADC SDXアプライアンスでは、次の条件が満たされると、13.0ビルド58.xより前のソフトウェアバージョンを実行しているVPXインスタンスでTxが停止することがあります。

    • SDX アプライアンスには、10G、25G、または 40G の NIC が含まれています。
    • SDX アプライアンスはバージョン 13.0 ビルド 58.x 以降を実行しています。

    Citrixでは、SDXソフトウェアを13.0-58.xバージョンにアップグレードする前に、VPXインスタンスのソフトウェアバージョンを13.0-58.xにアップグレードすることをお勧めします。

    [NSPLAT-14422]

  • 一部のCitrix ADCプラットフォームでは、構成消去スクリプトが失敗します。この修正により、スクリプトの日付コードが01/14/20に更新され、すべてのプラットフォームがサポートされます。

    [NSPLAT-13498]

  • SDX 8200/8400/8600プラットフォームでは、SDXアプライアンスまたはそこで実行されているVPXインスタンスを複数回再起動すると、SDXアプライアンスがCitrix Hypervisorコンソールでハングアップします。アプライアンスがハングアップすると、「INFO: rcu_sched がCPU/タスクでストールを検知しました」というメッセージが表示されます。

    • 背面の NMI ボタンを押して、SDX アプライアンスを再起動します。
    • LOM GUI から、NMI を使用してアプライアンスを再起動します。
    • LOM を使用して SDX アプライアンスを再起動します。

    [NPLAT-9155]

  • ブート RAID ペアのスロット 1 とスロット 2 の SSD ドライブの 1 つを交換すると、SDX アプライアンスが RAID ペアを再構築できない場合があります。

    [NSHELP-2470]

  • トラフィックが多い場合、Txは50Gインターフェイスを含むCitrix ADCプラットフォームで動作を停止する可能性があります。

    [ヘルプ-2221]

  • 場合によっては、SSL Coletoチップの初期化に失敗したために、Intel Coletoチップを搭載したCitrix ADC SDXアプライアンスでのVPXインスタンスのプロビジョニングが失敗することがあります。

    [NSHELP-2033]

  • 管理インターフェイス(0/1、0/2)なしでSDXアプライアンスに複数のLAチャネルが設定されている場合、VPX CLIを使用して最初のLAチャネルを無効にすると、VPXアプライアンスにアクセスできなくなる可能性があります。

    [Nヘルプ-2189]

  • ADC SDX 14000および15000アプライアンスでは、次の条件が満たされると、最大9秒のトラフィック損失が見られます。
    • 10G ポートは、LA チャネルを使用して VPC セットアップでアクティブまたはパッシブに設定された 2 台のシスコスイッチに接続されます。
    • アクティブまたはプライマリのシスコスイッチへのリンクがバウンスします。

    [NSHELP-21875]

  • 13.0バージョンのシングルバンドルアップグレードを実行しているSDXアプライアンスでは、インスタンスに専用コアが割り当てられていても、VPXインスタンスごとにCPUが重複する可能性があります。

    [Nヘルプ-21729]

  • Citrix ADC MPXプラットフォームでは、次のアクションを実行すると、リンクアグリゲーショングループのメンバーである50Gポートが引き続きダウンします。

    1. 50G ポートは無効になっています。
    2. ピアスイッチのポートは無効になっています。
    3. ピアスイッチのポートは有効になっています。
    4. 50G ポートは有効になっています。

    50G ポートは、有効にしても起動しません。その結果、トラフィックは 50G ポートを通過できません。

    [Nヘルプ-20529]

  • Citrix ADCアプライアンスは、メモリが不足するとクラッシュする可能性があります。

    [NSHELP-2013]

ポリシー

  • 負荷分散仮想サーバーで HTTP コールアウトが設定されている場合、負荷分散仮想サーバーの「現在のクライアント接続数」および「現在のクライアント接続」カウンターに誤った値が表示されます。

    [Nヘルプ-2491]

SSL

  • Citrix ADC MPX 14000 FIPSプラットフォームでは、管理用以外のCPUではすべてのSSL仮想サーバーがダウンしていると表示されます。

    [NSSL-8015]

  • 場合によっては、メモリが少ない状態でDTLSトラフィックを処理しているときに、Citrix ADCアプライアンスがクラッシュすることがあります。

    [Nヘルプ-2611]

  • VPN仮想サーバーでsyslogingとDTLSの両方が有効になっていると、Citrix ADCアプライアンスが大量のトラフィックでクラッシュする可能性があります。

    [Nヘルプ-22195]

  • バックエンドで動的SNIが設定されていて、アプライアンスに正しいライセンスがない場合、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-2081]

  • SSLアクションは、仮想サーバーの名前が変更された後でも古い仮想サーバーを指します。

    [NSHELP-21584]

  • デフォルトのSSLプロファイルが有効になってアプライアンスが再起動すると、負荷分散モニターにバインドされたSSLプロファイルに関する情報は失われます。

    [NSHELP-21321]

  • 次の条件が満たされると、Citrix ADCアプライアンスがクラッシュする可能性があります。
    1. 2 つの OCSP レスポンダが同じホスト名で設定されています。
    2. 両方のレスポンダーは、同じルート証明書とキーのペアにバインドされています。
    3. リクエストはファーストレスポンダーで失敗します。
    4. アプライアンスはリクエストをセカンドレスポンダーに送信しようとしますが、ホスト名は未解決です。

    [NSHELP-21278]

  • Citrix ADCアプライアンスからエクスポートされた誤った暗号により、Citrix ADM は同じ誤った暗号情報を表示します。

    [ヘルプ-2117]

  • インテル Coleto チップを搭載したパーティション分割された Citrix ADC MPX アプライアンスのメモリ割り当てに不一致があります。

    [NSHELP-20853]

システム

  • Citrix ADCアプライアンスは、重複したTCP再送信を検出するとクラッシュする可能性があります。TCP 輻輳制御アルゴリズムのゼロ除算操作が原因で、アプライアンスがクラッシュします。

    [ヘルプ-2693]

  • クライアント接続の途中でAppFlow構成を削除すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [Nヘルプ-2389]

  • クラスター構成では、次の条件が満たされると、Citrix ADCアプライアンスがクラッシュする可能性があります。
    • 接続はフロープロセッサからフローレシーバに誘導されます。
    • TCP 順序の乱れたパケットは、Time-Wait 状態で処理されます。

    [Nヘルプ-21792]

  • Citrix ADCアプライアンスは、次の場合にクラッシュする可能性があります。
    • HTTP/2 クライアントは、キャッシュを有効にした状態でダウンロード中に接続リセットを送信します。
    • バックエンドサーバーは FIN ターミネーションで接続を閉じます。

    [NSHELP-21605]

  • コンテンツスイッチ仮想サーバーの背後にあるVPN仮想サーバーにバインドされたAppFlowポリシーは、適用されません。

    [NSHELP-20816]

  • MPTCP クラスタ導入では、クラスタノード間のパケットループにより帯域幅の使用率が高くなります。

    [NSHELP-20675]

  • クラスター設定では、タイムスタンプが有効になっていると、サーバーに送信されたリクエストの一部がドロップされる可能性があります。

    [NSHELP-20394]

  • クラスター設定では、ログストリームが有効になっていると、Citrix ADCアプライアンスが再起動することがあります。

    [2008年のヘルプ]

  • コネクションチェーンとSSLが有効になっているCitrix ADCアプライアンスは、より多くのMTUデータを送信する可能性があります。

    [Nヘルプ-9411]

  • Citrix ADCアプライアンスは、アプライアンスが以下を受信した場合、HTTP/1.1クライアント接続で誤ったHTTP/2応答を送信します。
    • バックエンドサーバーからの「100回続行」HTTP/2レスポンス。
    • 同じ HTTP/2 ストリームでの別の HTTP/2 レスポンス。

    [NSBASE-10419]

  • メトリックコレクターの監視にpitbossを使用すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSBASE-9743]

  • Citrix ADCアプライアンスは、最初のストリームでのみ接続要求を処理し、アプライアンスで次の条件が満たされた場合、他のストリームでの後続の要求を処理しません。
    • 複数の HTTP リクエストが、1 つの HTTP/2 接続で異なるストリームで受信されます。
    • HTTP/2 はバックエンドサーバーで無効になっています。

    [NSBASE-9510]

  • TCPタイムスタンプシナリオでのメモリ割り当て障害により、Citrix ADCアプライアンスがクラッシュする可能性があります。その結果、アプライアンスはクライアント接続をリセットします。

    [NSBASE-9297]

  • 「set ns config」コマンドを使用してNSIPアドレスを変更しても、「appflow param」コマンドの「ObservationPointId」パラメーターは変更されません。その結果、データはCitrix ADM サーバーに送信されません。

    [NSBASE-8622]

ユーザーインターフェイス

  • システムユーザーがアプライアンスをロックまたはロック解除しようとすると、Citrix ADC GUIに「ユーザーは存在しません」というエラーメッセージが表示されます。

    [NSU-14999]

  • LB Visualizerは、サービスがサービスグループの一部である場合、仮想サーバーにバインドされたサービスを表示しません。ただし、サービスが個別にバインドされている場合、そのサービスは LB Visualizer に表示されます。

    [NSHELP-2436]

  • リングサイズ以外のパラメータ (デュプレックス、速度、HAMon など) を GUI から変更すると、次のエラーメッセージが表示されます。この NIC
    タイプではリングサイズの変更は許可されていません

    [NSHELP-1934]

  • クラスタ設定では、VXLAN がサポートされていないため、次の問題が発生します。
    • IPv6 ネイバーを作成しようとすると、「IPv6 ネイバーの作成」GUI ページに次のエラーメッセージが表示されます。

    「操作はクラスタでサポートされていません」

    • 「IPv6ルートの作成」GUIページで、「作成」ボタンが反応しません。

    [NSHELP-19451]

  • 複数の引数値を持つデータは、Citrix ADC 構成データベースに正しく保存されません。

    [NSHELP-1863]

既知の問題

リリース13.0-58.32に存在する問題

認証、承認、監査

  • Citrix ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。

    [NSHELP-563]

  • 認証仮想サーバーでの IdP セッションの作成中、認証の最初の要素に関連するログインスキーマプロファイルに対して行われた構成は適用されません。ログインスキーマプロファイルが SSO 機能の第 1 要素認証情報を使用するように設定されている場合、その設定は適用されません。

    [NSAUTH-8712]

  • Citrix ADC GUIのログインスキーマエディター画面に DualAuthPushOrOTP.xml LoginSchema が正しく表示されません。

    [NSAUTH-6106]

  • ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
    「adfs プロキシプロファイルを表示」

    回避策:クラスタ内のプライマリアクティブな Citrix ADC に接続し、「show adfsproxyprofile」コマンドを実行します。プロキシプロファイルの状態が表示されます。

    [NSAUTH-5916]

キャッシュ

  • 統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-22942]

Citrix ADC SDXアプライアンス

  • プールライセンスを使用して構成されたCitrix ADC SDXアプライアンスのIPアドレスがSDXで変更された場合、SDXアプライアンスを管理するCitrix ADMは引き続き古いSDX IPアドレスを表示します。

    [NSHELP-23490]

  • Citrix ADC SDXアプライアンスをリリース12.1ビルド56.xにアップグレードすると、プロセス間通信の遅延によりタイムアウトすることがあります。

    [ヘルプ-2644]

  • Citrix ADC SDXアプライアンスでは、読み取り専用権限を持つユーザーは、SCPやSFTPなどのファイル転送ユーティリティを使用して管理サービスにファイルを転送できます。

    [NSHELP-2638]

  • リリース13.0-58.30にアップグレードしようとすると、Citrix ADC SDX UIにアクセスできなくなることがあります。
    回避策:

    1. 「nsrecover」認証情報を使用して SVM の IP アドレスに SSH で接続します。
    2. シェルプロンプトで「svmd stop」と入力してすべての SVM プロセスを停止します。
    3. すべての SVM プロセスが停止したことを確認するには、と入力します ps -ax | grep svm。実行中の SVM プロセスをすべて強制終了するには、と入力します kill -9
    4. vi エディタを使用して /var/mps/mps_featurelist.conf.bak ファイルを編集します。ファイルの最後に「DisableMetricCollection」を追加し、ファイルを保存します。
    5. 「svmd start」と入力して SVM プロセスを再起動します。アップグレードは続行され、約 30 分後に SDX UI が起動します。

    [Nヘルプ-23904]

Citrix Gateway

  • SharePoint にリンクされている Web ベースのオフィスアプリが高度なクライアントレス VPN 経由でアクセスされている場合、これらのアプリを使用してドキュメントを編集する際に問題が発生する可能性があります。

    [NSHELP-2364]

  • Citrix Workspaceアプリを使用してCitrix Gatewayに接続する場合、セッションポリシーがVPN仮想サーバーにバインドされていると、セッションの確立に失敗することがあります。

    回避策:セッションポリシーをユーザーまたはユーザーグループにバインドします。

    [NSHELP-23148]

  • まれに、アプライアンスがEDT用に構成されていて、HDX InsightがEDTセッションに対して有効になっていると、Citrix ADCアプライアンスが応答しなくなることがあります。

    [NSHELP-2640]

  • Citrix Gateway のダブルホップ高可用性セットアップでは、高可用性フェイルオーバー後にICA接続が失われることがあります。
    回避策:FQDN をネクストホップサーバーの IP アドレスに変更します。

    [ヘルプ-2444]

  • Citrix Gateway の高可用性セットアップでは、syslogが構成されている場合、フェイルオーバー中にセカンダリノードがクラッシュする可能性があります。

    [NSHELP-2438]

  • 一部のコマンドが実行されないと、Citrix Gateway アプライアンスがクラッシュする可能性があります。

    [NSHELP-2371]

  • Syslogポリシーが構成されている場合、Citrix Gatewayアプライアンスが断続的にクラッシュする可能性があります。

    [Nヘルプ-2304]

  • スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。

    [NSHELP-21897]

  • Syslog サーバを TCP で設定すると、一部のログが断続的に Syslog サーバに送信されません。

    [NSHELP-21624]

  • Citrix ADCアプライアンスがnFactor認証用に構成されている場合、RADIUS認証に失敗すると、Citrix ADMアプライアンスは失敗した認証タイプを「LDAP」と誤って表示します。

    [ヘルプ-2040]

  • Unified Gateway 環境をリリース 13.0 ビルド 58.x 以降にアップグレードすると、ゲートウェイまたは VPN 仮想サーバの前に設定されたコンテンツスイッチング仮想サーバの DTLS ノブが無効になります。アップグレード後、コンテンツスイッチ仮想サーバーの DTLS ノブを手動で有効にする必要があります。設定にウィザードを使用している場合は、DTLS ノブを有効にしないでください。

    [CGOP-13972]

  • Gateway Insight レポートでは、SAML エラーエラーの認証タイプフィールドに「SAML」ではなく「Local」という値が誤って表示されます。

    [CGOP-13584]

  • ユーザーがバージョン6.5のCitrix Virtual App and Desktops(以前のCitrix XenAppおよびXenDesktop)とともにMACレシーバーを使用している場合、ICA接続によりICA解析中にスキップ解析が行われます。
    回避策:レシーバーを最新バージョンのCitrix Workspaceアプリにアップグレードしてください。

    [CGOP-13532]

  • 高可用性セットアップでは、Citrix ADC フェイルオーバー中に、Citrix ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。

    [CGOP-13511]

  • Outlook Web App (OWA) 2013 では、[設定] メニューの [オプション] をクリックすると、[重大なエラー] ダイアログボックスが表示されます。また、ページが応答しなくなります。

    [CGOP-7269]

負荷分散

  • クラスタ設定では、VLAN 設定を含む ACL ルールが有効にならないため、パケットが他の ACL ルールにヒットします。

    この問題は、クラスタセットアップ上の仮想サーバを削除した結果、クラスタノードがステアリングされたパケットに VLAN 情報を追加しない場合に発生します。

    [NSHELP-2103]

  • 高可用性(HA)設定では、セカンダリノードを再起動すると、セカンダリノードへのセッションの接続ミラーリング中にプライマリノードがクラッシュする可能性があります。

    [NSHELP-21715]

  • クライアントが定期的にパケットを送信しても、最初のパケットがアプライアンスでブロックされると、Citrix ADCアプライアンスのメモリが不足することがあります。その結果、パケットはキューに入れられ、アプライアンスはパケットを保存するためのメモリを使い果たします。

    [NSHELP-20871]

ネットワーク

  • Citrix ADC インスタンスのインターフェイスの TrunkAllowedVLAN リストに 100 を超える VLAN を設定すると、次のエラーメッセージが表示されることがあります。
    エラー:
    操作がタイムアウトしましたエラー:パケットエンジンとの通信エラー

    [ネスト-4312]

  • 次の条件に当てはまる場合、受信したIPv6要求パケットのNAT64変換中にCitrix ADCアプライアンスが失敗する可能性があります。

    変換後の宛先 IPv4 アドレスである宛先 IPv6 アドレスの最後の 32 ビットが 240.0.0.0 より大きい(予約済み IP 範囲内)。

    回避策:ACL を追加して、そのようなパケットを拒否します。

    [ヘルプ-2742]

  • 次の条件が満たされると、Citrix ADCアプライアンスが展開中にクラッシュする可能性があります。
    • マルチパス TCP(MPTCP)は MBF と PMTUD で有効になっています
    • MPTCP トラフィックが受信され、応答によって ICMP フラグメンテーションが必要というエラーが発生します。

    [NSHELP-2418]

  • 高可用性セットアップでは、Citrix ADCソフトウェアバージョン13.0 47.24以前のバージョンからそれ以降のバージョンへのインサービスソフトウェアアップグレード(ISSU)を実行すると、Citrix ADCアプライアンスの1つがクラッシュする可能性があります。

    [NSHELP-21701]

  • retainConnectionsOnCluster オプションを有効にしたクラスター設定では、フラグメント化されたパケットの後にフラグメント化されていないパケットが続くと、クラスターノードがクラッシュする可能性があります。

    [NSHELP-21674]

  • Citrix ADCアプライアンスが削除コマンドの一部として多数のサーバー接続をクリーンアップすると、Pitbossプロセスが再起動することがあります。このPitbossの再起動により、ADCアプライアンスがクラッシュする可能性があります。

    [ヘルプ-136]

ポリシー

  • 処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

    回避策:TCP バッファーサイズを、処理が必要なデータの最大サイズに設定します。

    [NSPOLICY-1267]

  • insert_afterタイプの書き換えアクションは、HTTPチャンク応答またはFIN終了応答では機能しない場合があります。

    [ヘルプ-2743]

SSL

  • Update コマンドは、次の add コマンドでは使用できません。
    • Azure アプリケーションの追加
    • Azure キーボールトを追加する
    • hsmkey オプションで ssl 証明書キーを追加する

    [NSSSL-6484]

  • 認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

    [NSSSL-6478]

  • 同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。

    [NSSSL-6213]

  • HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。
    エラー:CRL 更新は無効です

    [NSSSL-6106]

  • セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

    [NSSSL-4427]

  • SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。

    [NSSSL-4001]

  • 次の条件が満たされた場合、Citrix ADCアプライアンスがクラッシュすることがあります。
    • 有効期限監視オプションを有効にした状態で、証明書とキーのペアが追加されます。
    • 証明書の日付は 1970 年 1 月 1 日より前です。

    [NSHELP-2934]

  • 次の設定がすべてSSLプロファイルに適用されている場合、TLS 1.3ハンドシェイクを簡略化(再開した)ときにCitrix ADCアプライアンスがクラッシュする可能性があります。

    • SNIHTTP ホストマッチは CERT に設定されています
    • TLSv1.3 は有効になっています
    • セッションチケットは有効になっています。

    回避策:SNIHTTPHostMatch を STRICT または NO に設定してください。

    [NSHELP-2126]

  • 次の操作を実行すると、分割されたCitrix ADCアプライアンスが期待どおりに応答しない場合があります。
    1) 異なるパーティションに 2 つの OCSP レスポンダーを作成します。
    2) 1 つのパーティションの設定を消去します。
    3) 他のパーティションの OCSP レスポンダを削除します。

    [NSHELP-20861]

  • クラスタ設定では、クラスタ IP (CLIP) アドレスの実行構成には、エンティティにバインドされた DEFAULT_BACKEND 暗号グループが表示されますが、ノードには表示されません。これは表示の問題です。

    [NSHELP-1346]

システム

  • 次の条件が満たされると、Citrix ADCアプライアンスがクラッシュする可能性があります。
    • HTTP/SSL タイプの負荷分散仮想サーバーまたはサービスにバインドされた HTTP プロファイルで HTTP/2 が有効になっています。
    • 負荷分散仮想サーバーまたはサービスにバインドされた HTTP プロファイルでは、接続多重化オプションが無効になっています。

    [NSHELP-2202]

  • synflood トラップ生成では、varBinding値をリセットしない場合、アプライアンスは現在の値やしきい値の代わりに古いトラップvarBinding値を使用します。

    [Nヘルプ-20653]

  • マルチパス TCP (MPTCP) では、SI_CUR_CUR_Clients と SI_CUR_CLNT_ConnoOpenNest カウンタが 2 回増加します。

    [NSHELP-1986]

ユーザーインターフェイス

  • CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge コネクタの設定に失敗することがあります。

    回避策:Citrix ADC GUIまたはCLIを使用してIPsecプロファイル、IPトンネル、およびPBRルールを追加して、CloudBridge Connectorを構成します。

    [NSUI-13024]

  • 「stat system」コマンドの「Up since (Local)」行には、年の最後の 3 桁だけが表示されます。

    [NSHELP-2960]

  • Citrix ADC GUIのSyslogダッシュボードのスクロールバーを使用すると、ページが速くスクロールするか、空白が表示されます。

    [NSHELP-21267]

  • あなた(システム管理者)がCitrix ADCアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。

    1. Citrix ADCアプライアンスをいずれかのビルドにアップグレードします。

      • 13.0 52.24 ビルド
      • 12.1 57.18 ビルド
    2. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
    3. Citrix ADCアプライアンスを古いビルドにダウングレードします。

    CLIを使用してこれらのシステムユーザーのリストを表示するには、
    コマンドプロンプトで次のように入力します。

    query ns config -changedpassword [-config ]

    回避策:

    この問題を修正するには、次の独立したオプションのいずれかを使用します。

    • Citrix ADCアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。

    • アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。

    • 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html
      を参照してください。 [NSCONFIG-3188]

シトリックス ADC 13.0-58.32 リリースのリリースノート