ADC

PDFを表示

Citrix ADC 13.0—64.35 リリースのリリースノート

March 20, 2024

寄稿者:

このリリースノートドキュメントでは、Citrix ADCリリースBuild 13.0—64.35の機能強化と変更、修正された問題と既知の問題について説明します。

メモ

このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。
ビルド 13.0—64.35 以降のビルドは、https://support.citrix.com/article/CTX281474で説明されているセキュリティの脆弱性に対処します。

新機能

ビルド 13.0—64.35 で利用できる機能強化と変更点

認証、承認、監査

SAML 属性の個々の最大長値の増加

SAML 属性の個々の最大長が最大 40,000 バイトまで拡張されました。すべての属性のサイズは 40K バイトを超えてはなりません。詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/saml-authentication/citrix-adc-saml-sp.htmlを参照してください。

[NSAUTH-8225]
属性の最大長値の増加

以下の属性の最大長値が次のように変更されました。
- set samlaction <saml-action-name> -samlissuerName - 511 (new max length)
- set samlidPProfile <saml-idp-profile-name> -samlissuerName - 511 (new max length)
- set samlidPProfile <saml-idp-profile-name> -serviceProviderID - 511 (new max length)
- set tm samlSSOProfile <saml-sso-profile-name> -samlissuerName - 511 (new max length)
- set vpn samlSSOProfile <saml-sso-profile-name> -samlissuerName - 511 (new max length)
- set oauthaction <oauth-action-name> -clientSecret - 239 (new max length)
- set oauthaction <oauthidp_profile-name> -clientSecret - 239 (new max length)
[NSAUTH-8180]
脆弱な基本認証、ダイジェスト認証、NTLM認証をグローバルに無効化するためのサポート

以下の脆弱な認証方法をグローバルに無効にすることで、SSO 設定がより安全になりました。
- ベーシック認証
- ダイジェストアクセス認証
- NTLM2 キーまたはネゴシエート署名を設定しないNTLM
詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/enable-sso-for-auth-pol.htmlを参照してください。

[NSAUTH-7747]
nFactor ビジュアライザーのデシジョンブロックで nFactor フローを開始する機能

nFactor ビジュアライザーを使用して、nFactor フローをデシジョンブロックで開始できるようになりました。詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/multi-factor-nfactor-authentication/nfactor-authentication-simplification.htmlを参照してください。

[NSAUTH-7665]
OAuth トークン API でのクライアントアサーションタイプとクライアントアサーションのサポート

OAuth機能は、証明書利用者側（RP）側およびCitrix GatewayおよびCitrix ADCのIdP側からのトークンAPIで次の機能をサポートするようになりました。
- PKCE（コード交換のための証明キー）のサポート
- client_assertion のサポート
詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/oauth-authentication/citrix-adc-oauth-sp.htmlを参照してください。

[NSAUTH-6243]

Citrix ADC SDXアプライアンス

ビルトインエージェントを初期化せずに自動アップグレード

Citrix ADC リリース ADC 13.0 ビルド 61.xx 以降以降、Citrix ADC SDX アプライアンスには ADM サービス接続機能を備えたエージェントが組み込まれています。ADC SDXアプライアンスで使用可能なCitrix ADM組み込みエージェントは、アクティブなデーモンのように起動し、ADMサービスと通信します。ADM サービスとの通信が確立されると、組み込みエージェントは定期的に最新のソフトウェアバージョンに自動的にアップグレードされます。

[NSSVM-3919]
Citrix ADM サービスへの自動オンボーディングを可能にするCitrix ADM サービス接続機能

Citrix Application Delivery Management（ADM）サービス接続機能により、Citrix ADC SDX アプライアンスをCitrix ADM サービスにシームレスにオンボーディングできます。この機能により、ADC SDX アプライアンスは自動的に ADM サービスに接続し、システム、使用状況、およびテレメトリデータを ADM サービスに送信できます。このデータを使用して、Citrix ADM サービス上のCitrix ADCインフラストラクチャに関する洞察と推奨事項を得ることができます。

デフォルトでは、Citrix ADC SDXアプライアンスをインストールまたはアップグレードすると、Citrix ADMサービス接続機能が有効になります。

詳しくは、次のトピックを参照してください：
注：ADMサービス接続機能はCitrix ADCインスタンスとCitrix Gatewayアプライアンスで使用できるようになりましたが、Citrix ADMサービスの対応する機能はまだ使用できません。この機能の利点を最大限に活用できるように、ADMサービスで対応する機能が利用可能になると、Citrix はこのノートを更新します。

[NSSVM-3911]

Citrix Web App Firewall

XSS URL 違反に対する緩和ルールの学習と展開

Citrix Web App Firewallは、XSS URL違反を学習し、誤検知シナリオの緩和ルールを適用できるようになりました。

注:クラスター構成では、XSS URL ルールをデプロイするには、すべてのノードが同じバージョンである必要があります。

詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/top-level-protections/html-cross-site-scripting-check.html%23using-the-learn-feature-with-the-html-cross-site-scripting-checkを参照してください。

[NSWAF-5186]
HTTP投稿の本文サイズ制限の違反をブロックするセキュリティチェックCitrix Web App Firewallプロファイルは、HTTP投稿の本文サイズが最大許容制限を超えた場合に、エラー設定を尊重し、（リダイレクトURLを除く）リクエストをブロックする構成可能なセキュリティチェックとして「PostBodyLimitAction」をサポートするようになりました。セキュリティチェックは、転送エンコーディングヘッダーがチャンクに設定されているリクエストにも適用されます。以前は、投稿本文の制限に違反すると、サーバーからの応答として 400 件でした。

「PostBodyLimitAction」設定のログ形式が、監査ログ形式に従って変更されました。

詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/app-firewall-profile-settings.htmlを参照してください。

[NSWAF-5184]

負荷分散

モニター名の文字数を増やしました

モニター名の文字数が最大255文字に増えました。

[NSLB-5223]

ネットワーク

Citrix ADC BLXアプライアンスのインターフェイス番号スキームの変更

Citrix ADC BLXアプライアンスのインターフェイス番号付けスキームは、他のCitrix ADCプラットフォームと一致するように変更されています。Citrixでは、インターフェイス番号に依存するスクリプトを更新することをお勧めします。

以前は、両方の内部インターフェイスに最初と最後のインターフェイスとして番号が付けられていました。（非DPDKまたはDPDKモードのCitrix ADCアプライアンスの）すべての専用インターフェイスには、最初と最後の内部インターフェイスの間に番号が付けられています。

例1:2つの専用インターフェイスを備えた非DPDKモードのCitrix ADC BLXアプライアンス
- 内部 BLX インターフェイスには 0/1 と 0/4 の番号が付けられています。
- 専用インターフェイスには 0/2 と 0/3 の番号が付けられています。
例2:1つのDPDKインターフェイスを備えたDPDKモードのCitrix ADC BLXアプライアンス:
- 内部 BLX インターフェイスには 0/1 と 0/3 の番号が付けられています。
- DPDK インターフェイスには 0/2 という番号が付けられています。
このリリース以降、Citrix ADCアプライアンスのインターフェイスには次の順序で番号が付けられます。
- 両方の内部インターフェイスには、1 番目と 2 番目のインターフェイスとして番号が付けられています。
- 専用インターフェース。
- DPDKインターフェイス（DPDKモードのCitrix ADCアプライアンス内）。
例1:2つの専用インターフェイスを備えた非DPDKモードのCitrix ADC BLXアプライアンス
- 内部 BLX インターフェイスには 0/1 と 0/2 の番号が付けられています。
- 専用インターフェイスには 0/3 と 0/4 の番号が付けられています。
例2:1つのDPDKインターフェイス（40G）と1つの非DPDK専用インターフェイスを備えたDPDKモードのCitrix ADC BLXアプライアンス：
- 内部 BLX インターフェイスには 0/1 と 0/2 の番号が付けられています。
- DPDK 以外の専用インターフェイスには 0/3 という番号が付けられています。
- DPDK インターフェイス (40G) には 40/1 という番号が付けられています。
[ NSNET-17067 ]
Citrix ADC CPXでのルートユーザーのデフォルト以外のパスワードサポート

Citrix ADC CPXは、ルートユーザー（nsroot）のデフォルト以外のパスワードをサポートするようになりました。CPXを導入すると、ランダムなパスワードが生成され、rootユーザーに割り当てられます。手動で変更することもできます。

[ NSNET-10520 ]
Citrix ADC BLX アプライアンスのサブスクリプションローカルライセンスサポート

ローカルライセンスは永久ライセンスと似ていますが、有効期限があります。ローカルライセンスを構成するソフトウェアサブスクリプションは期間ベースで、ADM をライセンスサーバーとして使用しなくてもインストールできます。

Citrix ADC BLXアプライアンスでは、次の種類のサブスクリプションローカルライセンスを利用できます。

帯域幅ベースのサブスクリプションローカルライセンス。このタイプのライセンスは、特定のCitrix ADC BLXアプライアンスに付与される最大許容スループットで適用されます。各ローカルライセンスは、Citrix ADC ソフトウェアエディション（スタンダード、エンタープライズ、またはプラチナ）のいずれかに結び付けられているため、Citrix ADC BLXアプライアンスでこのエディションのADC機能セットのロックが解除されます。Embedded Select のサポートは、サブスクリプションローカルライセンスの購入に含まれています。

例：

Citrix ADC BLXサブスクリプション10 Gbpsプレミアムエディション-Citrix ADC BLXアプライアンスの最大許容スループットは10 Gbpsです。このライセンスでは、Citrix ADC BLXアプライアンスのプレミアムエディションにリストされているすべてのADC機能のロックも解除されます。

[ NSNET-9189 ]
Mellanox NIC は DPDK モードの Citrix ADC BLX アプライアンスをサポートします。

Citrix ADC BLXアプライアンスは、DPDKモードでの展開用にMLX5ドライバーを搭載したMellanoxNICをサポートするようになりました。

[NSNET-8946]

ポリシー

レスポンダー HTML ページをインポートするためのサーバー証明書の検証「インポートレスポンダー htmlpage」コマンドを使用して HTML エラーレスポンスをクライアントに送信できるようになりました。以前は、HTML ページのインポート中にサーバー証明書の検証は行われませんでした。この問題は、新しいパラメーター「CACertFile」を使用することで解決されるようになりました。HTML ページをインポートするときに、サーバー証明書認証を検証するパラメーターを設定できます。
注:CA 証明書のファイル名を設定しない場合、デフォルトのルート CA 証明書がサーバー証明書の検証に使用されます。
import responder htmlpage [<src>] <name> [-comment <string>] [-overwrite][-CAcertFile <string>]

詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/appexpert/responder/configuring-responder-action.html%23configure-html-page-importを参照してください。

[NSPOLICY-3620]

システム

分析プロファイルのグローバルバインドのサポート分析プロファイルをグローバルにバインドできるようになりました。
以前は、分析プロファイルを各仮想サーバーにバインドする必要がありました。

[NSBASE-11079]
ICAP、IPS、および IDS コンテンツ検査の統計データ

ICAP、IPS、IDS のコンテンツ検査機能で統計データを使用できるようになりました。

詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/content-inspection-statistics-for-icap-ips-ids.htmlを参照してください。

[NSBASE-10447]

ユーザーインターフェイス

ビルトインエージェントを初期化せずに自動アップグレード

Citrix ADCリリース13.0ビルド61.xx以降では、Citrix ADCインスタンスで使用可能なCitrix ADM組み込みエージェントは、それぞれのADCインスタンスで初期化せずにADMサービスと通信します。ADM サービスとの通信が確立されると、組み込みエージェントは定期的に最新のソフトウェアバージョンに自動アップグレードされます。

以前は、ADMサービスとの通信を確立し、定期的な自動アップグレードを行うには、「mastools」コマンドを使用して、Citrix ADC インスタンスの組み込みエージェントを初期化する必要がありました。

[NSCONFIG-4153]
Citrix ADM サービスへの自動オンボーディングを可能にするCitrix ADM サービス接続機能

Citrix Application Delivery Management（ADM）サービス接続機能により、Citrix ADC MPX、SDX、VPXインスタンス、およびCitrix GatewayアプライアンスをCitrix ADMサービスにシームレスにオンボーディングできます。この機能により、ADC インスタンスまたは Gateway アプライアンスは自動的に ADM サービスに接続し、システム、使用状況、およびテレメトリデータを ADM サービスに送信できます。このデータを使用して、Citrix ADM サービス上のCitrix ADCインフラストラクチャに関する洞察と推奨事項が得られます。

デフォルトでは、Citrix ADC MPX、SDX、VPXインスタンスまたはCitrix Gatewayアプライアンスをインストールまたはアップグレードすると、Citrix ADM サービス接続機能が有効になります。

詳しくは、次のトピックを参照してください：
注：ADMサービス接続機能はCitrix ADCインスタンスとCitrix Gatewayアプライアンスで使用できるようになりましたが、Citrix ADMサービスの対応する機能はまだ使用できません。この機能の利点を最大限に活用できるように、ADMサービスで対応する機能が利用可能になると、Citrix はこのノートを更新します。

[NSCONFIG-4150]
Citrix ADM サービスへの自動オンボーディングを可能にするCitrix ADM サービス接続機能

Citrix Application Delivery Management（ADM）サービス接続機能により、Citrix ADC MPX、SDX、VPXインスタンス、およびCitrix GatewayアプライアンスをCitrix ADMサービスにシームレスにオンボーディングできます。この機能により、ADC インスタンスまたは Gateway アプライアンスは自動的に ADM サービスに接続し、システム、使用状況、およびテレメトリデータを ADM サービスに送信できます。このデータを使用して、Citrix ADM サービス上のCitrix ADCインフラストラクチャに関する洞察と推奨事項が得られます。

デフォルトでは、Citrix ADC MPX、SDX、VPXインスタンスまたはCitrix Gatewayアプライアンスをインストールまたはアップグレードすると、Citrix ADM サービス接続機能が有効になります。

詳しくは、次のトピックを参照してください：
注：ADMサービス接続機能はCitrix ADCインスタンスとCitrix Gatewayアプライアンスで使用できるようになりましたが、Citrix ADMサービスの対応する機能はまだ使用できません。この機能の利点を最大限に活用できるように、ADMサービスで対応する機能が利用可能になると、Citrix はこのノートを更新します。

[NSCONFIG-3793]

解決された問題

ビルド13.0—64.35で対処されている問題。

認証、承認、監査

Citrix ADCアプライアンスがOTPログイン用に構成されていて、OTPフィールドが空白のままの場合、認証は失敗します。このようなシナリオでは、アプライアンスはユーザーパスワードを ns.log に記録し、セキュリティ上の問題につながります。

[NSHELP-24027]
場合によっては、属性値に XML タグが含まれていると SAML アサーションが壊れます。その結果、属性抽出が失敗します。

[NSHELP-23940]
Citrix WorkspaceのIDプロバイダー（IdP）として構成されたCitrix ADCアプライアンスは、ユーザーが多数のアクティブディレクトリグループに属している場合にクラッシュする可能性があります。

[ NSHELP-23899 ]
Citrix ADCアプライアンスが間違った仮想サーバー構造から認証構成を要求したため、ユーザーには401認証プロンプトが表示されません。

[ NSHELP-23892 ]
Citrix ADCアプライアンスがCitrix Workspaceのアイデンティティプロバイダー（IdP）として構成され、カスタム属性抽出エラーが発生すると、Citrix Workspaceログインが失敗します。

[NSHELP-23843]
場合によっては、Citrix ADCアプライアンスの「ns.log」ファイルに、「現在のログインスキーマでは許可されているクレーム」というログメッセージが誤って殺到することがあります。

[ NSHELP-23593 ]
Webview nFactor認証方法を使用してVPNクライアントがCitrix ADCアプライアンスにアクセスする場合、認証、承認、および監査ユーザーまたはグループにバインドされたVPNセッションポリシーは適用されません。

[ NSHELP-23526 ]
「システムグローバル認証ポリシーバインディング」ページのCitrix ADC GUIに次のエラーがあります。
- Goto エクスプレッションフィールドに「NEXT」ではなく「END」が誤って表示される。
- バウンド・ネクスト・ファクター・ポリシーは「ネクスト・ファクター」フィールドには反映されません。
[ NSHELP-23474 ]
まれに、次の両方の条件が満たされている場合に、セッションユーザー名が、デバイス証明書の共通名ではなく「匿名」と誤って表示されることがあります。
- Citrix ADC アプライアンスは nFactor 認証用に構成されています。
- デバイス証明書は nFactor 構成の唯一の要素として設定されます。
[ NSHELP-23243 ]
次の両方の条件が満たされると、最後の要素の SAML 認証は失敗します。
- Citrix ADC アプライアンスは SAML SP として構成されています。
- EPA は VPN 仮想サーバーで事前認証ポリシーとして有効になっており、RFWebUI テーマはサーバーにバインドされます。
[ NSHELP-22932, NSHELP-22819 ]
事前認証EPAがnFactor認証とともに構成されている場合、Webviewを使用してCitrix Workspaceアプリからアクセスすると、セッションの確立に失敗します。

[ NSHELP-22845 ]
LDAPとSAMLがプライマリ認証メカニズムとして構成されている場合、Citrix ADCアプライアンスのログインページが正しく表示されません。

[ NSHELP-22713 ]
Citrix Gateway アプライアンスにログオンすると、次の条件が満たされると空白のページが表示されます。
- Citrix Gateway アプライアンスは、ネクストファクターEULAとしてSAMLによるnFactor認証を行うように構成されています
- ログオン処理中に、戻る矢印をクリックして前のページに移動します。
[ NSHELP-22604 ]
OTPデバイスのリストのバッファ上書きによるメモリ破損が原因で、Citrix ADCアプライアンスがクラッシュする場合があります。

[ NSHELP-22478 ]
HTML フォームの HTTP 応答ヘッダーに Set-Cookie が含まれていると、フォームベースの SSO 認証が初めて失敗することがあります。

[ NSHELP-21740 ]

ボット管理

ボット管理 TPS 検出技術に「軽減」アクションが設定されている場合、実行時にサービスが中断する可能性があります。

[NSBOT-124]
アップグレード中に、ボット署名ファイルに長い文字列が含まれていると、Citrix ADCアプライアンスがクラッシュする可能性があります。

[NSBOT-37]
トラフィックの処理中にボット管理プロファイルを変更すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

[ NSBOT-4, NSHELP-25196 ]

Citrix ADC SDXアプライアンス

Citrix ADC SDX 8400、8600、または8015アプライアンスでプールライセンスを構成すると、誤ったプラットフォームモデル文字列が表示されます。

[ NSHELP-24234 ]
1 つの SDX アプライアンスのバックアップを取ると、別の SDX アプライアンス上のインスタンスの復元は失敗します。

[NSHELP-23947]
Citrix ADC SDX 8900アプライアンスでは、アプライアンスをアップグレードすると、プロビジョニングに使用できるインスタンスの数が減少します。

[NSHELP-23808]
Citrix ADC SDXアプライアンスをリリース12.1ビルド57.xにアップグレードすると、管理サービスのプロセスが応答しないために失敗することがあります。

[ NSHELP-23612 ]
Citrix ADC SDXアプライアンスでは、読み取り専用権限を持つユーザーは、SCPやSFTPなどのファイル転送ユーティリティを使用してファイルを管理サービスに転送できます。

[ NSHELP-22638 ]

Citrix Gateway

クライアントレス VPN トラフィックの処理中に cookie_watch JavaScript を追加すると、Citrix Gateway アプライアンスがクラッシュすることがあります。

[NSHELP-24096]
リリース13.0ビルド58.30にアップグレードした後は、Citrix Gateway EPAプラグインをGUIから無効にすることはできません。

[NSHELP-24016]
ログイン時にポート番号が指定されている場合、VPNプラグインはCitrix Gatewayのログオンページを読み込めません。この問題は、アプライアンス上の仮想サーバーに nFactor 認証が設定されている場合にのみ発生します。

[NSHELP-23925]
VPN トンネルがアクティブな場合、次の条件が満たされている場合、ユーザはポータルにアクセスできません。
- ホスト名ベースのイントラネットアプリケーションは、リバーススプリットトンネルとともに構成されます。
- ポータルのホスト名は、イントラネットアプリケーション名と一致します。
[NSHELP-23912]
VPN 仮想サーバーページでは、設定済みのポータルテーマ、ポリシー、およびプロファイルの概要がページの左側に表示されません。

[NSHELP-23903]
まれに、転送ログオンまたはログアウト要求の処理中にCitrix Gatewayアプライアンスがクラッシュすることがあります。

[NSHELP-23863]
RFWebUIポータルテーマがCitrix ADC仮想サーバーにバインドされている場合、Windowsプラグインは常時接続サービスモードでシームレスな転送ログオンを実行できません。

[ NSHELP-23837 ]
VPN プラグインを 13.0 にアップグレードすると、スプリットトンネルが OFF に設定されている場合、DNS クエリはローカルとリモートの両方の DNS サーバーに送信されます。

[NSHELP-23826]
VPN プラグイン経由のローカル DNS クエリが特定の DNS サーバーに対して指定されている場合、クエリはクライアント上でランダムに選択された DNS サーバーに送信されるため、受け付けられません。

[ NSHELP-23743 ]
ネットワークが復旧しても、Windows の認証情報画面は更新されません。

[ NSHELP-23594 ]
SAP フォルダは、高度なクライアントレス VPN 経由でアクセスすると、意図したとおりに動作しません。

[ NSHELP-23561 ]
Citrix Gateway Always Onサービスモードでは、イントラネットIPアドレスが構成されている場合、マシンを再起動してもトンネルは確立されません。

[ NSHELP-23304 ]
「show vpn storeinfo」コマンドを繰り返し実行すると、Citrix ADC アプライアンスがクラッシュします。

[ NSHELP-23144 ]
SOCKS チャネル経由の ICA プロキシアプリケーションの起動が失敗します。

[ NSHELP-23111 ]
マシンがスリープ状態または休止状態から再開すると、ユーザーは VPN 経由でリソースにアクセスできなくなります。

[ NSHELP-23024 ]
Always Onを有効にすると構成が上書きされるため、VPNプラグインはCitrix Gatewayアプライアンスの再起動後にシームレスセッションを確立できません。

[ NSHELP-22674 ]
まれに、アプライアンスがEDT用に構成されていて、HDX InsightがEDTセッションに対応している場合、Citrix ADCアプライアンスが応答しなくなることがあります。

[ NSHELP-22640 ]
RDPプロキシが構成されていて、WINS解決後にDNS解決を試みると、Citrix Gateway アプライアンスがDNSサーバー構成にアクセスするとクラッシュします。

[ NSHELP-22577 ]
Citrix Gateway のダブルホップ高可用性セットアップでは、高可用性フェイルオーバー後にICA接続が失われることがあります。

[ NSHELP-22444 ]
一部のコマンドが実行されないため、Citrix Gateway アプライアンスがクラッシュする可能性があります。

[ NSHELP-22371 ]
Syslogポリシーが構成されている場合、Citrix Gatewayアプライアンスが断続的にクラッシュする可能性があります。

[ NSHELP-22304 ]

Citrix Web App Firewall

応答側またはXMLセキュリティチェックが有効になっていて、ログ式がWeb App Firewallプロファイルで構成されている場合、Citrix ADCアプライアンスがクラッシュする可能性があります。

[NSWAF-6466]
クラスタ構成で、場所を URL として HTML クロスサイトスクリプティングチェック緩和ルールを設定する unbind コマンドは正しく実行されません。

[NSWAF-6463]
クラスター構成では、RPCノードが保護されていると、クラスターコーディネーターノード（CCO）でのCitrix Web App Firewall aslearnデータ集約が失敗します。

[NSWAF-6460]
アップグレード後、既存のCitrix Web App Firewallプロファイルの「BufferOverflowMaxQueryLength」と「BufferOverflowMaxHeaderLength」の値は、展開に適さない場合があります。その結果、正しくない場合は値を変更しなければならない場合があります。

[NSWAF-6346]
外部DNSサーバー構成でボットの署名が有効になっていると、Citrix ADCアプライアンスがクラッシュする可能性があります。

[NSHELP-24190]
シグネチャセットなしでストリーミングが有効になっている場合、コンテンツタイプが「アプリケーション/オクテットストリーム」の POST リクエストは処理されません。

[ NSHELP-22668 ]
高可用性セットアップでは、セカンダリノードの Web App Firewall セッションは古いセッションです。

[ NSHELP-20288 ]

負荷分散

リモートサイトのRPCノードでセキュアオプションが有効になっていると、マスターサイトから下位サイトへのGSLB構成のリアルタイム同期が失敗する可能性があります。

[ NSHELP-24178 ]
GXSessionReporting が有効になっていて、サブスクライバーポリシーを評価しようとすると、Citrix ADC アプライアンスがクラッシュすることがあります。

[NSHELP-24159]
MYSQL-ECVモニターでStoreDBパラメーターが有効になっていると、Citrix ADCアプライアンスがクラッシュします。

[ NSHELP-23983 ]
CLI を使用して「devno」パラメータに同じ値の 2 つのサービスグループを明示的に追加すると、2 番目のサービスグループの追加は失敗します。これは、同じ devno が既に最初のサービスグループに割り当てられているためです。devno は自動的に入力されるため、CLI から明示的に指定しないことをお勧めします。

[NSHELP-23817]
Gx インターフェイスのヘルスチェックオプションが有効になっていて、Gx サーバが応答しない場合、ネガティブ TTL セッションは作成されません。

[ NSHELP-23355 ]
DNS UDP 要求の場合、サブスクライバ式と DNS 表現の両方が同じポリシーで使用されている場合、サブスクライバセッションは送信元 IP アドレスではなく宛先 IP アドレスに基づいて作成されます。

[ NSHELP-22521 ]
クラスタ設定では、VLAN 設定を含む ACL ルールが有効にならないため、パケットが他の ACL ルールにヒットします。

この問題は、クラスタセットアップ上の仮想サーバを削除した結果、クラスタノードがステアリングされたパケットに VLAN 情報を追加しない場合に発生します。

[ NSHELP-22103 ]
高可用性 (HA) セットアップでは、セカンダリノードが再起動すると、セカンダリノードへのセッションの接続ミラーリング中にプライマリノードがクラッシュする可能性があります。

[ NSHELP-21715, NSHELP-34301 ]

その他

cc.netscalerファイルに存在する一部のコマンドは、Citrix ADCアプライアンスの再起動後に正しく適用されないため、アプライアンスが意図したとおりに機能しない可能性があります。

[ NSHELP-22507 ]

ネットワーク

SSH経由で接続され、デフォルトの管理者（nsroot）資格情報を使用してログインしているCitrix ADC BLX CLIでは、nstcpdump.sh スクリプトを実行できません。デフォルトの管理者 (nsroot) には特定のファイルやネットワークリソースにアクセスする権限がないため、スクリプトは失敗します。

[NSNET-16816]
FTP トラフィックの接続ミラーリングを有効にした高可用性セットアップでは、次の条件に当てはまるとセカンダリノードがクラッシュする可能性があります。
- データ接続は、制御接続の前にセカンダリノードに伝播されます
[ NSHELP-24088 ]
L2モードを有効にすると、Citrix ADCアプライアンスはデフォルトパーティションで受信したDHCPブロードキャストパケットを転送します。

[NSHELP-23957]
次の条件に当てはまる場合、受信したIPv6要求パケットのNAT64変換中にCitrix ADCアプライアンスが失敗する可能性があります。

変換後の宛先 IPv4 アドレスである宛先 IPv6 アドレスの最後の 32 ビットが 240.0.0.0（予約済み IP 範囲に含まれる）を超えています。

[NHELP-22742、NHELP-25331]
Citrix ADCアプライアンスが断片化されたIPv6パケットを送信すると、CPU使用率が高くなることがあります。

[ NSHELP-22699 ]
宛先アドレスとして無効な仮想MACアドレスを持つパケットは、Citrix ADCが所有するMACアドレスを持つパケットとして誤って分類されます。

[ NSHELP-22697 ]

プラットフォーム

Citrix ADC SDX 24000プラットフォームでは、アプライアンスをソフトウェアバージョン13.0にアップグレードすると、論理ドライブに関する重要なアラートが生成されます。これは誤検出です。

[NSHELP-23505]
Citrix ADC SDXアプライアンスでは、一部の仮想インスタンスを50Gおよび100GのMellanoxインターフェイスで構成すると、メモリが使い果たされる場合があります。

[ NSHELP-23394 ]
カードからエラーが返されたら、Citrix ADC SDXアプライアンスを再起動してSSLカードをリセットして初期化する必要があります。この修正により、再起動は不要になりました。

[ NSHELP-22725 ]

ポリシー

HTMLページに埋め込まれた多数の式を評価すると、Citrix ADCがクラッシュすることがあります。

[NSPOLICY-1462]

SSL

次の条件が満たされると、Citrix ADCアプライアンスがクラッシュする可能性があります。
- TLS 1.3の初期データ処理は、デフォルト以外の管理パーティションのSSLプロファイルで有効になっています。
- TLS 1.3 の初期データ処理は、デフォルトの admin パーティションのすべての SSL プロファイルで無効になっています。
[NSHELP-23607]
Citrix ADCアプライアンスで、管理パーティションが次のいずれかのエンティティで構成されている場合、「force failover」コマンドまたは「clear config」コマンドを実行するとクラッシュする可能性があります。
- 透明な仮想サーバー。
- ダイナミックサービス。
[NHELP-2321]
次の条件が満たされた場合、Citrix ADCアプライアンスがクラッシュすることがあります。
- 有効期限監視オプションを有効にした状態で、証明書とキーのペアが追加されます。
- 証明書の日付は 1970 年 1 月 1 日より前のものです。
[ NSHELP-22934 ]
クラスタ設定では、SSL ポリシーバインディングを取得する NITRO API クエリは CLIP アドレスからは成功しますが、クラスタノードから実行するとクエリは失敗します。

[ NSHELP-22853 ]
OCSPにキャッシュされたエントリが多数あり、clear configコマンドを実行すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

[ NSHELP-22695 ]
頻繁に更新するように空のCRLを設定すると、Citrix ADCアプライアンスの共有割り当てメモリが使い果たされます。

[NHELP-2216]
次の操作を実行すると、パーティション化されたCitrix ADCアプライアンスが期待どおりに応答しない場合があります。
1. 異なるパーティションに 2 つの OCSP レスポンダーを作成します。
2. 1 つのパーティションの設定を消去します。
3. 他のパーティションの OCSP レスポンダを削除します。
[NSHELP-20861]

システム

フロントエンドの最適化が有効になっている場合、Citrix ADCアプライアンスはJavascriptやCSSなどの大きなオブジェクトを最適化および圧縮しない場合があります。

[NSHELP-24041]
接続ミラーリングで PCB パラメータが同期されないと、最大セグメントサイズ (MSS) やウィンドウスケーリングなどの TCP オプションが失われる可能性があります。

[ NSHELP-23990 ]
TLS v1.2のセッション再利用プロトコルの場合、Citrix ADCアプライアンスでは次の動作が見られます。
- 分類情報はサーバーPCBに保存され、ドメイン情報はクライアントPCBに保存されます。
- データはクライアントPCBからのみAppFlowに送信されるため、セッションを再利用する場合、分類情報はnullとして送信されます。
[ NSHELP-23542 ]
トラフィックを検査しているときに、インラインデバイスを表すサービスがダウンした場合、リソースは適切に解放されません。この解放されたリソースに再びアクセスすると、Citrix ADCアプライアンスがクラッシュします。

[NSHELP-23145]
次の条件が満たされると、Citrix ADCアプライアンスがクラッシュする可能性があります。
- フラッシュキャッシュは有効になっています。
- クライアント接続がリセットされます。
- キュー内のクライアントリクエストは、キャッシュプロセスの一部として処理されます。
[NSHELP-21872]
synflood トラップの生成では、varbind 値をリセットしない場合、アプライアンスは現在の値としきい値の代わりに古いトラップの varbind 値を使用します。

[NSHELP-20653、NSHELP-20401、NSHELP-24490]
マルチパス TCP (MPTCP) では、si_cur_Cur_Clients カウンタと si_Cur_CLNT_ConnoOpenEst カウンタが 2 回インクリメントされます。

[ NSHELP-19896 ]
分析データが ADM サービスに入力されないことがあります。

[NSBASE-11508]

ユーザーインターフェイス

Citrix ADC GUI を使用しても、マルチファクター（nFactor）ログインは機能しません。最初のファクタログインの後、次のファクタログイン入力は機能しません。

[NSHELP-24078]
内部プロセスが最大回数再起動すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

[NHELP-2378]
「stat system」コマンドの「Up since (Local)」行には、年の最後の 3 桁だけが表示されます。

[NHELP-2960]
サービスグループメンバーを直接追加すると成功します。ただし、次の手順を実行すると操作は失敗します。
1. [ トラフィック管理] > [負荷分散] > [サービスグループ] に移動します。
2. サービスグループを選択し、「サービスグループメンバー」をクリックします。
3. エントリの 1 つを右クリックして、[追加] を選択します。
4. 「サービスグループメンバーの作成」で、IPアドレスを変更し、「作成」をクリックします。
[NHELP-21925]
ZeBOSの実行構成を取得するためのNITRO API（ルータダイナミックルーティング）は、大規模な構成（25 行以上）では完全な出力を取得しません。

[NSCONFIG-3535]

既知の問題

リリース13.0-64.35に存在する問題。

認証、承認、監査

GSLBが有効になっている一部のCitrix ADCアプライアンスでは、URL計算が無効なため、認証仮想サーバーから負荷分散仮想サーバーへのリダイレクトが失敗します。

[NHELP-3459]
認証仮想サーバーをデフォルト以外のパーティションで使用すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

[NHELP-32054]
SSO の処理に必要なベアラートークンがないトラフィックで SSO が有効になっていると、シングルサインオン (SSO) が失敗します。

[NHELP-31362、NHELP-33814]
LDAP アクションが IP アドレスではなく FQDN に設定されている場合、非 ASCII 文字が nsvpn.log に記録されます。

[ NSHELP-27281 ]
特定のシナリオでは、ポリシー名がイントラネットアプリケーション名よりも長い場合、[認証、承認、および監査グループのバインド] コマンドが失敗することがあります。

[ NSHELP-25971 ]
Citrix ADCアプライアンスは、NOAUTHが401ベースの認証フローの最初の要素として構成され、後続の要素としてネゴシエートが構成されている場合にコアをダンプします。

[ NSHELP-25203 ]
LDAP、RADIUS、またはTACACSサービスの管理者パスワードに二重引用符（”）文字が含まれている場合、Citrix ADCアプライアンスは「接続テスト」チェック中に二重引用符（”）文字を削除し、接続に失敗します。

[ NSHELP-23630 ]
管理者は、認証情報が無効であることが原因で発生した認証エラーのカスタムロギングを実行できません。この問題は、Citrix ADC レスポンダーポリシーがログイン失敗のエラーを検出できないために発生します。

[ NSAUTH-11151 ]
ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
show adfsproxyprofile <profile name>

回避策：クラスター内のプライマリアクティブCitrix ADCに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

[ NSAUTH-5916 ]

Citrix ADC SDXアプライアンス

Citrix ADC SDXアプライアンスをアップグレードすると、まれに管理サービスGUIに次の誤ったイベントが表示されることがあります。

「SVM バージョンとハイパーバイザーバージョンには互換性がありません」

[ NSHELP-32949 ]
Citrix ADC SDX GUIで、NTP構成ファイル（ntp.conf）のいずれかの行にスペースしか含まれていない場合、NTPサーバーを表示するとユーザーインターフェイスがフリーズする可能性があります。

[ NSHELP-31530 ]

Citrix Gateway

Citrix Secure Accessクライアントでスプリットトンネルがオフに設定されていると、なりすましIPアドレス範囲と重複するイントラネットリソースにアクセスできません。

[NHELP-3434]
ゲートウェイサーバーにアクセスできるため、常時接続の VPN 接続が起動時に断続的に失敗します。

[NHELP-3500]
Citrix Secure Access関連のレジストリ値が1500文字を超える場合、ログコレクターはエラーログを収集できません。

[ NSHELP-33457 ]
HDX Insightが有効になっていて、ユーザーがログアウト後すぐにStoreFront にログインすると、Citrix Gateway アプライアンスがクラッシュすることがあります。

[ NSHELP-32907, NSHELP-33079, NSHELP-33289 ]
Citrix Secure Accessクライアントのバージョン21.7.1.2以降では、管理者権限のないユーザーが新しいバージョンにアップグレードできません。この問題は、Citrix Secure AccessクライアントのアップグレードがCitrix ADCアプライアンスから行われた場合にのみ発生します。

[ NSHELP-32793 ]
ユーザーがWindows向けCitrix Secure Access画面の［ホームページ］タブをクリックすると、ページに接続拒否エラーが表示されます。

[ NSHELP-32510 ]
Chrome を使用する Mac デバイスで、2 つの FQDN にアクセス中に VPN 拡張機能がクラッシュします。

[ NSHELP-32144 ]
ユーザーが Always-On サービスモードで Windows マシンにログインすると、Windows 自動ログオンが機能しないことがあります。マシントンネルはユーザートンネルに遷移しません。「Connecting…」というメッセージが VPN プラグイン UI に表示されます。

[NSHELP-31357、CGOP-21192、NSHELP-34211]
Always on が設定されている場合、aoservice.exe ファイルのバージョン番号（1.1.1.1）が正しくないため、ユーザトンネルが失敗します。

[ NSHELP-30662 ]
［NetworkAccessonVPNFailure］プロファイルパラメーターを［フルアクセス］から［OnlyToGateway］に変更すると、ユーザーはCitrix Gateway アプライアンスに接続できなくなります。

[ NSHELP-30236 ]
ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。この問題を解決するために、次のレジストリ値が導入されます。

HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
タイプ: DWORD

デフォルトでは、このレジストリ値は設定も追加もされません。「SecureChannelResetTimeoutSeconds」の値が0または追加されていない場合、遅延を処理するための修正が機能しません。これはデフォルトの動作です。管理者は、このレジストリをクライアントに設定して修正を有効にする必要があります (つまり、ゲートウェイプラグインが VPN トンネルを正常に確立した直後にホームページを表示する)。

[ NSHELP-30189 ]
Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。

[ NSHELP-29675 ]
macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。

[ NSHELP-28551 ]
クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にCitrix Gateway からログアウトすることがあります。

[ NSHELP-28404 ]
Citrix Gateway アプライアンスは、サーバーが開始するUDPトラフィックの処理中にクラッシュすることがあります。

[ NSHELP-27611 ]
非同期がブロックされ、コンテンツスイッチングポリシーの構成を変更すると、Citrix Gateway アプライアンスがクラッシュすることがあります。

[ NSHELP-27570 ]
セッションポリシーで不明なVPNクライアントオプションが設定されている場合、Citrix Gateway アプライアンスがクラッシュすることがあります。

[ NSHELP-27380 ]
Citrix ADC GUIを使用してRDPクライアントプロファイルを作成しているときに、次の条件が満たされるとエラーメッセージが表示されます。
- デフォルトの事前共有キー (PSK) が設定されています。
- [RDP クッキー有効期間 (秒)] フィールドの RDP クッキー有効性タイマーを変更しようとしています。
[ NSHELP-25694 ]
「show tunnel global」コマンドの出力には、詳細なポリシー名が含まれます。以前は、出力には高度なポリシー名が表示されませんでした。

例：

新しい出力:

show tunnel global
Policy Name: ns_tunnel_nocmp Priority: 0

ポリシー名:ns_adv_tunnel_nocmp タイプ:
詳細ポリシー優先度:1
グローバルバインドポイント:REQ_DEFAULT

ポリシー名:ns_adv_tunnel_msdocs タイプ:
詳細ポリシー優先度:100
グローバルバインドポイント:RES_DEFAULT
完了

前の出力:

トンネルグローバル表示ポリシー名:ns_tunnel_nocmp 優先度:0 無効

高度なポリシー:

グローバルバインドポイント:REQ_DEFAULT
バインドされたポリシーの数:1

Done

[ NSHELP-23496 ]
スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。

[ NSHELP-21897 ]
Citrix ADCクラスター設定では、HDX InsightとGateway Insightを同時に有効にすることはできません。

[CGOP-23570]
Windows OSオプションは、Citrix ADC GUIの事前認証ポリシーと認証アクションの「エクスプレッションエディタ」ドロップダウンリストに表示されません。ただし、GUIまたはCLIを使用して以前のCitrix ADCビルドでWindows OSスキャンをすでに構成している場合は、アップグレードしても機能に影響はありません。必要に応じて CLI を使用して変更できます。

回避方法：

設定には CLI コマンドを使用します。
- nFactor 認証で高度な EPA アクションを設定するには、次のコマンドを使用します。
  add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
- 従来の事前認証アクションを設定するには、次のコマンドを使用します。
  add aaa preauthenticationaction win_scan_action ALLOW add aaa preauthenticationpolicy win_scan_policy "CLIENT.SYSTEM('WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]') EXISTS" win_scan_action
[ CGOP-22966 ]
Gateway Insight レポートでは、SAML エラーエラーの認証タイプフィールドに「SAML」ではなく「Local」という値が誤って表示されます。

[ CGOP-13584 ]
高可用性セットアップでは、Citrix ADC フェイルオーバー中に、Citrix ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。

[ CGOP-13511 ]
ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承認 ] ダイアログボックスには、選択した言語に関係なく、英語でコンテンツが表示されます。

[ CGOP-13050 ]
一部の言語では、 Citrix SSOアプリ>ホームページの「ホームページ」というテキストが切り捨てられます。

[ CGOP-13049 ]
Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

[ CGOP-11830 ]
Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。

[ CGOP-7269 ]

Citrix Web App Firewall

Web App Firewall ポリシーが仮想サーバーで更新されると、次の問題が発生します。
- Citrix ADC GUIとCLIが応答しなかったか、通常よりも時間がかかりました。
- パケットの CPU 使用率が 100% に増加しました
- パーシスタンスセッションの数が増えました。
[NHELP-3975]

負荷分散

高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

[ NSLB-7679 ]
HAセットアップでは、複数の仮想サーバーにバインドされているサービスグループを削除すると、Citrix ADCアプライアンスがクラッシュします。

[NHELP-34029]
接続ミラーリング中に、書き換えポリシーが30バイトを超えると、Citrix ADCアプライアンスがクラッシュします。

[NHELP-32902]
Citrix ADCアプライアンスは、サーバー数の計算が間違っているため、サーバー接続が高い場合に誤ったSNMPアラートをトリガーします。

[NHELP-31582]
GSLB 設定では、SSL 証明書が下位サイトに見当たりません。この問題は、自動同期オプションが有効になっていて、下位サイトにマスターサイトでは使用できない SSL 証明書がある場合に発生します。

[NHELP-29309]
特定のシナリオでは、サービスグループにバインドされたサーバーが、無効な Cookie 値を表示します。トレースログで正しい Cookie 値を確認できます。

[ NSHELP-21196 ]
クラスター設定では、GSLB仮想サーバーバインディングを介してアクセスすると、GSLBサービスのIPアドレスがGUIに表示されません。これは表示上の問題であり、機能に影響はありません。

[ NSHELP-20406 ]

その他

Citrix ADCアプライアンスで「ns_hw_err.bash」スクリプトを実行すると、次のエラーメッセージが表示されます。
「エラー：ファイル ‘ns_hw_plugins.py’ を開けません:[Errno 2] そのようなファイルまたはディレクトリはありません」

[NHELP-2991]
Citrix ADCアプライアンスは、Webサーバーのログ機能のバッファサイズを16 MBではなく3 MBという誤ったデフォルト値に設定しています。

[ NSHELP-32429 ]
レジストリ値が 2000 バイトを超えると、AlwaysOnAllow リストレジストリが期待どおりに動作しません。

[ NSHELP-31836 ]
64ビットアーキテクチャと1 TBのファイルストレージを備えたLinuxシステムで実行されているCitrix ADC CPXインスタンスは、証明書とキーファイルをロードできるようになりました。

[ NSHELP-28986 ]

ネットワーク

Citrix ADC BLXアプライアンスでは、タグ付きの非dpdkインターフェイスでバインドされたNSVLANが期待どおりに機能しない場合があります。タグ付けされていない非dpdkインタフェースでバインドされたNSVLANは正常に動作します。

[ NSNET-18586 ]
DPDKを搭載したCitrix ADC BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。
- 無効化
- 有効化
- リセット
[ NSNET-16559 ]
Debian ベースの Linux ホスト (Ubuntu バージョン 18 以降) では、Citrix ADC BLX アプライアンスは BLX 構成ファイル (「/etc/blx/blx.conf」) の設定に関係なく、常に共有モードでデプロイされます。この問題は、Debian ベースの Linux システムにデフォルトで存在する「mawk」が、「blx.conf」ファイル内にある awk コマンドの一部を実行しないために発生します。

回避策：Citrix ADC BLX アプライアンスをインストールする前に「gawk」をインストールしてください。Linux ホスト CLI で次のコマンドを実行して「gawk」をインストールできます。
- apt-get install gawk
[ NSNET-14603 ]
Debian ベースのLinuxホスト（Ubuntuバージョン18以降）でCitrix ADC BLXアプライアンスのインストールが失敗し、次の依存関係エラーが表示されることがあります。

「次のパッケージの依存関係は満たされていません:blx-core-libs: i386: preDepends: libc6: i386 (>= 2.19) しかしインストールできません」

回避策：Citrix ADC BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。
- dpkg –add-architecture i386
- apt-get update
- apt-get install libc6:i386
[ NSNET-14602 ]
大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にCitrix ADCアプライアンスがクラッシュすることがあります。
- LSN モジュールは、参照カウントのデクリメント中、またはサービスを削除している間は、サービスを検索しません。
[ NSHELP-29134 ]
大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にCitrix ADCアプライアンスがクラッシュすることがあります。
- 古いフィルタリングエントリが原因です。
[ NSHELP-28895 ]
大規模なNAT44展開では、次の理由により、SIPトラフィックの受信中にCitrix ADCアプライアンスがクラッシュすることがあります。
- LSN モジュールが、既に削除されたサービスのメモリ位置にアクセスしました。
[ NSHELP-28815 ]
Citrix ADCアプライアンスは、コールドリスタート後に「ColdStart」SNMPトラップメッセージを生成しない場合があります。

[ NSHELP-27917 ]
高可用性設定では、次の条件が満たされた場合、ダイナミックルーティングが有効な SNIP アドレスは再起動時に VTYSH に公開されません。
- ダイナミックルーティングが有効になっている SNIP アドレスは、デフォルト以外のパーティションの共有 VLAN にバインドされます。
修正の一環として、Citrix ADCアプライアンスでは、動的ルーティングが有効なSNIPアドレスをデフォルト以外のパーティションの共有VLANにバインドできなくなりました

[ NSHELP-24000 ]

プラットフォーム

高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および Citrix ADC VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。
1. Citrix ADCアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
2. その後、Citrix ADCアプライアンスを再起動します。
[NSPLAT-22013、NHELP-3441]
Citrix ADCアプライアンスを13.1-4.xバージョン以降のバージョンから次のバージョンのいずれかにダウングレードすると、一部のpythonパッケージがインストールされません。
- 任意の 11.1 ビルド
- 12.1—62.21 およびそれ以前
- 13.0-81.x およびそれ以前
[ NSPLAT-21691 ]
Citrix ADC SDX 8015/8400/8600プラットフォームでは、Xenサーバーのメモリ消費量が増加する可能性があります。
回避策：Xen Serverで次のコマンドを実行し、アプライアンスを再起動します。
/opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

[ NSHELP-32260 ]
Citrix ADC VPX HA フェイルオーバー中に、IP セットを IP アドレスにバインドせずに IPset を構成すると、AWS クラウドでの Elastic IP アドレスの移動が失敗します。

[ NSHELP-29425 ]
RPC ノードのパスワードに特殊文字が含まれていると、GCP および AWS クラウド上の Citrix ADC VPX インスタンスの高可用性フェイルオーバーが失敗します。

[ NSHELP-28600 ]

ポリシー

Citrix ADC GUIでは、 AppExpert> リライト > アクションで［ビルトインリライトアクションを表示］をクリックした場合にのみリライトアクションが表示されます。

[NSPOLICY-4843]
処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

回避策: TCP バッファサイズを、処理する必要のあるデータの最大サイズに設定します。

[ NSPOLICY-1267 ]

SSL

仮想サーバーは、無効なパディングを含む TLS 1.3 レコードを受信すると、「予期しないメッセージ」アラートの代わりに、致命的な「decode_error」アラートを送信します。

[ NSSSL-11890 ]
Citrix ADC SDX 22000およびCitrix ADC SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。

回避方法：
1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例：set ssl vserver <name> -SSL3 DISABLED。
2. 構成を保存します。
[ NSSSL-9572 ]
認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

[ NSSSL-6478 ]
同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。

[ NSSSL-6213 ]
HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。
エラー:CRL 更新が無効です

[ NSSSL-6106 ]
セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

[ NSSSL-4427 ]
SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。

[ NSSSL-4001 ]

システム

次の条件が満たされると、TCP 接続の RTT が高くなります。
- 最大輻輳ウィンドウ（> 4 MB）が高く設定されている
- TCP NILE アルゴリズムは有効になっています
Citrix ADCアプライアンスがNILEアルゴリズムを使用して輻輳制御を行うには、条件がスロースタートしきい値を超える必要があります。これは、最大輻輳ウィンドウと組み合わされています。

そのため、設定された最大輻輳ウィンドウに達するまで、Citrix ADCは引き続きデータを受け入れ、RTTが高くなります。

[ NSHELP-31548 ]
次の条件が満たされると、Citrix ADCアプライアンスがクラッシュすることがあります。
- 分析プロファイルとAppFlowポリシーの両方がバインドされており、プロファイルでは「HttpAllHDRs」オプションが有効になっています。
[ NSHELP-30628 ]
Citrix ADCアプライアンスは、サービスSYNフラッドカウンターで誤ったSNMPアラームを報告します。

[ NSHELP-28710, NSHELP-28713 ]
パブリッククラウド MPTCP クラスタの展開では、リンクセットが無効になっていると、パケットの再送信が増加します。

[ NSHELP-27410 ]
Citrix ADCアプライアンスは、MPTCP接続で、SACKブロック、タイムスタンプ、MPTCPデータACKなどのTCPオプションとともに、無効なTCPパケットを送信することがあります。

[ NSHELP-27179 ]
Citrix ADCアプライアンスとデータローダーで、Logstreamレコードに不一致が見られます。

[ NSHELP-25796 ]
KubernetesクラスタにCitrix ADMをインストールすると、必要なプロセスが起動しない可能性があるため、期待どおりに動作しません。

回避策:管理ポッドを再起動します。

[ NSBASE-15556 ]
クラスタ構成では、ネットワークの問題により、CCO 優先度のノードが Open vSwitch (OVS) から切断されます。ノードがクラスタ構成に再参加した後は、最新の SYN Cookie を受信しません。

[ NSBASE-14419 ]

ユーザーインターフェイス

CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。

回避策：Citrix ADC GUI または CLI を使用して IPsec プロファイル、IP トンネル、および PBR ルールを追加してCloudBridge Connectorを構成します。

[ NSUI-13024 ]
AppFW プロファイルをログ表現にバインドすると、state パラメータはデフォルトで有効に設定されます。ただし、システムをアップグレードすると、パラメータは無効に戻されます。

[NHELP-34187]
Citrix ADC GUI（[システム] > [ネットワーク] > [ルート]）を使用して静的ルートを変更すると、次のエラーメッセージが表示されて誤って失敗することがあります。
- 「必要な引数が見つかりません [ゲートウェイ]」
[ NSHELP-32024 ]
HA/Cluster セットアップでは、RSA 以外の SSH キーを設定すると、設定の同期が失敗します。たとえば、ECDSA キーや DSA キーなどです。

[ NSHELP-31675 ]
Citrix ADCアプライアンスで、GUIインターフェイスを使用してグローバルまたはデフォルトグローバルをオーバーライドするようにキャッシュポリシーをバインドすると、次のエラーで失敗します。
- 必須の引数がありません。
このエラーは、CLI インターフェイスを使用してキャッシュポリシーをバインドしている間は発生しません。

[ NSHELP-30826 ]
アップグレードのインストール順序が正しくないため、Citrix ADCアプライアンスで次の問題が発生します。
- カーネルイメージが最初に更新され、数ステップ後に暗号化キーがコピーされます。これらの手順の間に何らかの障害が発生し、ADCアプライアンスが新しいイメージを作成します。新しいイメージに暗号化キーがないと、復号化に失敗し、設定が失われます。
[ NSHELP-30755 ]
Citrix ADC GUI が、すべてのクラスタノードではなく1つのノードのみのクラスタテクニカルサポートバンドルを誤って生成することがある。

[ NSHELP-28606 ]
Citrix ADC GUI を使用してクラスターテクニカルサポートバンドルを生成すると、エラーが発生して失敗することがあります。

[ NSHELP-28586 ]
高可用性セットアップまたはクラスタセットアップをリリース 13.0 ビルド 74.14 以降にアップグレードすると、次の理由で設定の同期が失敗することがあります。
- 「ssh_host_rsa_key」プライベートキーとパブリックキーの両方が正しくないペアです。
回避策:「ssh_host_rsa_key」を再生成してください。詳細は、https://support.citrix.com/article/CTX322863を参照してください。

[ NSHELP-27834 ]
Citrix ADC GUIを使用して、サービスまたはサービスグループを優先負荷分散仮想サーバーにバインドすることはできません。

[ NSHELP-27252 ]
Citrix ADC GUIでは、保存済み構成と実行構成画面（[システム] > [診断]）に、プレーンテキストではなくHTMLタグが誤って表示されます。

[ NSHELP-27169 ]
コンテンツスイッチポリシーラベルにバインドされたポリシーをCitrix ADC GUIで表示すると、そのポリシーラベルにバインドされたポリシーが他にもあっても、25個のポリシーしか表示されません。

[NHELP-23428]
アプリケーションファイアウォールのシグネチャが CCO 以外のノードと同期するまでに時間がかかることがあります。その結果、これらのファイルを使用するコマンドは失敗する可能性があります。

[ NSCONFIG-4330 ]
あなた（システム管理者）がCitrix ADCアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。
1. Citrix ADCアプライアンスをいずれかのビルドにアップグレードします
  - 13.0 52.24 ビルド
  - 12.1 57.18 ビルド
  - 11.1 65.10 ビルド
2. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
3. Citrix ADCアプライアンスを古いビルドにダウングレードします。
CLI を使用してこれらのシステムユーザーのリストを表示するには、
コマンドプロンプトで次のように入力します。

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

回避策:この問題を解決するには、以下のいずれかの独立したオプションを使用してください。
- Citrix ADCアプライアンスがまだダウングレードされていない場合（上記の手順のステップ3）、同じリリースビルドの以前にバックアップされた構成ファイル（ns.conf）を使用してCitrix ADCアプライアンスをダウングレードします。
- アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
- 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。
詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。

[ NSCONFIG-3188 ]

このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。

この情報は役に立ちましたか?

Citrix ADC 13.0—64.35 リリースのリリースノート

March 20, 2024

寄稿者:

March 20, 2024

寄稿者:

この情報は役に立ちましたか?