ADC

Citrix ADC 13.0-84.11 リリースのリリースノート

このリリースノートドキュメントでは、Citrix ADCリリースBuild 13.0-84.11の機能強化と変更、修正された問題と既知の問題について説明します。

メモ

  • このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。
  • ビルド 13.0-84.11 がビルド 13.0-84.10 に置き換わります。
  • このビルドには、NSWAF-8668 の問題の修正も含まれています。

新機能

ビルド 13.0-84.11 で利用できる機能強化と変更点。

認証、承認、監査

  • 最新バージョンの Intune NAC API のサポート

    Intune NAC API の最新バージョンでは、Citrix Gateway の Intune ネットワークアクセス制御(NAC)のサポートが強化されました。

    [NSAUTH-9722]

プラットフォーム

  • Citrix ハイパーバイザーでのIntel イーサネットコントローラー X710 および XL710 シリーズのサポート

    Citrix Hypervisorで実行されているCitrix ADC VPXインスタンスを、次のNICでシングルルートI/O仮想化(SR-IOV)を使用して構成できるようになりました。

    • Intel X710 10G
    • Intel XL710 40G

    [NSPLAT-21410]

解決された問題

これらの問題はビルド 13.0-84.11 で対処されています。

認証、承認、監査

  • 電子メールOTPが構成されている場合、Citrix ADCアプライアンスがクラッシュします。

    [NSHELP-29312]

  • 次の条件を満たすと、Citrix ADCアプライアンスがクラッシュすることがあります。

    1. アプライアンスにメモリ不足が加えられています。
    2. 監査ログは有効で、INFO レベルに設定されています。
    3. ユーザー認証が進行中です。

    [NSHELP-29053]

  • Citrix ADCアプライアンスが認証用にSameSite Cookie属性とドメイン属性に対して構成されている場合 、認証は失敗します。これは、 SameSite Cookie 属性値と Domain 属性がセミコロンで区切られていないために発生します。

    [NSHELP-28971]

  • 次の条件を満たすと、Citrix ADCアプライアンスがクラッシュすることがあります。

    1. アプライアンスにメモリ不足が加えられています。
    2. SAML は認証方法の 1 つとして設定されています。

    [NSHELP-28855]

  • ネイティブ OTP 暗号化ツールでは、デバイス名に特殊文字を使用できません。

    [NSHELP-28795]

  • VPN 仮想サーバーが SAML SP として設定されている場合、誤ったログアウト (「/cgi/tmlogout」) URL が返されます。この問題は、SAML メタデータに誤ったログアウト URL が生成されたために発生します。

    [NSHELP-28726]

  • マルチコア環境では、クライアントブラウザが Authentication、Authentication、Authorization、および auditing-TM 仮想サーバーの背後にあるリソースにアクセスできないことがあります。

    [NSHELP-28474]

  • Citrix ADCアプライアンスにログインすると、次の両方の条件が満たされると、空白のパスワードフィールドが表示されます。

    • Duo の 2 要素認証が設定されている
    • RFWebUI ポータルテーマが使用されています

    [NSHELP-27868]

  • Citrix ADCアプライアンスが401ベースの認証用に構成されている場合、SameSite Cookie属性は認証Cookieに追加されません。

    [NSHELP-27764]

  • ユーザーが SAML ログアウトを実行しても、ログアウトはすぐには行われず、次のエラーメッセージが表示されます。

    「Assertion にサポートされていないメカニズムが見つかりました。管理者に問い合わせてください。「

    このエラーは、顧客が設定した IDP が異なる URL エンコード技術を使用して、応答内の署名アルゴリズムパラメータをエンコードしているために発生します。この修正により、複数の URL エンコード技術を使用した SAML レスポンスの署名アルゴリズムパラメーターのエンコードがサポートされるようになりました。

    [NSHELP-27621]

  • 場合によっては、認証、承認、および Auditing-TM 仮想サーバーへの HTTP POST 要求に認証Cookie がないと、正しく処理されないことがあります。POST 本文は処理中に失われます。

    [NSHELP-27227]

  • まれに、次の条件を満たすと、高可用性セットアップのセカンダリノードがクラッシュすることがあります。

    • 「AAAグループ」および/または「AAAユーザ」はCitrix ADCアプライアンスで設定されます。

    [NSHELP-26732]

ボット管理

  • 自動生成されたボットトラップURL機能を使用すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSBOT-780]

  • 「botprofile_captcha_binding」ニトロ API リクエストのレスポンスには、デフォルトの CAPTCHA 設定値が含まれていません。

    [NSBOT-748]

  • ボットトラップの URL チェックは、ホワイトリストに登録されたクライアントでトリガーされます。

    [NSBOT-581]

  • ユーザーエージェントのヘッダーフィールド値に「Android」キーワードが含まれている場合、ボットデバイスの指紋検出技術は失敗します。

    [NSBOT-577]

Citrix ADC SDXアプライアンス

  • インターフェイス速度の値が 4 Gbps を超えると、整数のオーバーフローにより間違った値が返されます。

    [NSHELP-29658]

  • Citrix ADC SDXアプライアンスでは、電源、電圧、またはディスクの障害が複数回発生した場合、管理サービスはsyslogまたは電子メール通知を送信しません。

    [NSHELP-29443]

  • Citrix ADC SDX 14000-40G、15000、および15000-50Gのプラットフォームでは、CLIを使用してインターフェイス速度を設定すると失敗します。

    [NSHELP-29388]

  • Citrix ADC SDXプラットフォームでホストされているADCインスタンスのプロファイルを変更すると、ログファイルに「save config」コマンドのエントリがいくつか追加されていることに気付く場合があります。

    [NSHELP-29343]

  • Citrix ADC SDXアプライアンスでは、管理サービスで実行されているSNMPエージェントが、存在しないOIDに対して誤ったエラーコードを返します。

    [NSHELP-29209]

Citrix Gateway

  • HTTPルールを含むAppFlowポリシーがCitrix Gateway にバインドされている場合、VPNログオン中にCitrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-28705]

  • 3G /テザー接続ユーザーの場合、Citrix Gateway のログオンページを読み込めないことがあります。

    [NSHELP-28367]

  • EPAが構成され、十分なメモリが利用できない場合、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-28329]

  • ns_aaa_json.c ファイルに NS_AUDITLOG_STR* ログ用の余分な行が表示される場合があります。

    [NSHELP-28160]

  • まれに、Citrix Gateway ポータルページのInternet ExplorerブラウザーにEPAプラグインの[ ダウンロード ]ボタンが表示されないことがあります。

    [NSHELP-27849]

  • VPN 接続が確立されると、DNS 登録は機能しません。

    この問題を修正するには、nsapimgr ノブ nsapimgr_wr.sh-ys call=toggle_vpn_configured_dns_disable_override を有効にする必要があります。

    [NSHELP-27760]

  • クライアントレスVPNを使用してCitrix Gateway アプライアンスにアクセスすると、コアダンプが生成されることがあります。

    [NSHELP-27653]

  • Citrix Gateway アプライアンスは、サーバーが開始するUDPトラフィックの処理中にクラッシュすることがあります。

    [ NSHELP-27611 ]

  • Citrix Gateway ポータルのローカライズは、Internet Explorerブラウザーでは機能しません。

    [NSHELP-26822]

  • Citrix Gateway ポータルのエンタープライズブックマーク機能は、次のプロトコルのみをサポートします。他のブックマークはすべてブロックされます。 http://、 https://、 rdp://、および ftp://。

    [CGOP-19543]

Citrix Web App Firewall

  • WAF 署名を使用している場合は、ビルドをアップグレードした後、デフォルトの署名を含むすべての WAF 署名を最新バージョンに更新する必要があります。次に、必要なシグニチャルールを再度有効にします。

    [NSWAF-8668]

  • ボット管理システムでトラップURLが自動生成されると、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-29339]

  • Web App Firewall 署名ID 1048は、Citrix Gateway ページの読み込みをブロックします。

    [NSHELP-29113]

負荷分散

  • ワイルドカードを含むポリシー表現を含む「add dns action」および「add location」コマンドの差分同期が失敗する。

    [NSHELP-29301]

  • 失敗したコマンドに ENUM 値が欠落しているため、GSLB サービスグループはモニターの更新を処理できません。

    [NSHELP-29050]

  • ZONE タイプの DNS レコードが親ドメインで使用できる場合、既存の NS レコードを持つ子ドメインのクエリを実行すると、子ドメイン NS レコードではなく親ドメインの SOA レコードになります。

    [NSHELP-28793]

  • Citrix ADCアプライアンスは、GSLB仮想サーバーが次のように構成されている場合、期待されるGSLBサービスIPアドレスによるGSLBドメインクエリに応答できない場合があります。
    永続性タイプ:ソースIPアドレス、
    負荷分散アルゴリズム:
    静的近接バックアップ負荷分散方法:ラウンドトリップ時間(RTT)

    [NSHELP-28668]

  • Autoscaleを有効にしてGSLBサービスグループを構成すると、VPXプライマリサイトとセカンダリサイトがクラッシュしました。

    [NSHELP-28530]

  • HTTPプローブの監視中にHTTP応答を送信した後、NSBメモリが解放されないため、HAセットアップのCitrix ADCアプライアンスは接続を失います。

    [NSHELP-28466]

  • GSLB サービスグループにバインドされたモニターに対して、最後の応答メッセージが正しく表示されない。

    [NSHELP-28393]

  • 高可用性フェイルオーバー後、またはCitrix ADCアプライアンスが再起動されると、LBグループの永続性構成が失われます。

    [NSHELP-28071]

  • GET 操作中に cookieTimeout 値が正しく設定されないため、CS 仮想サーバーの更新操作が失敗します。

    [NSHELP-27979]

  • マルチ PE システムでは、システムに数回障害が発生しても、ドメインベースのグループが UP 状態に回復しないことがあります。この問題は、CLI と内部モニターの競合状態が原因で発生します。

    [NSHELP-27965]

  • デフォルトモニタがサービスにバインドされている場合でも、デフォルトモニタの設定済み状態は無効と表示されます。

    [NSHELP-27669]

  • クラスタ設定では、1 つ以上のノードが「DOWN」状態になると、バックアップノードがクラスタノードグループに参加できないことがあります。この障害により、一部のCitrix ADC機能が失敗します。

    [NSHELP-27664]

  • ネットワークレイテンシが高い複数の GSLB サイトで多数の GSLB サービスを構成すると、リモート GSLB サイトで GSLB サービスのステータスが更新されないことがあります。

    [NSHELP-23799]

その他

  • IDNA2008 標準ドメインでは、URL セットのパターンマッチングが失敗します。

    [NSHELP-28902]

  • VXLAN で MAC ベース転送(MBF)が有効になっていると、ステートフル TCP セッションが確立されていませんでした。

    [NSHELP-27125]

ネットワーク

  • 管理パーティションを持つCitrix ADCアプライアンスをアップグレードすると、次の条件が満たされると、構成が一部失われることがあります。

    • 使用可能なシステムメモリ全体が管理パーティションに割り当てられている場合。

    [NSNET-23031]

  • 次の条件が満たされると、関連サービスのモニタープローブの作成中にCitrix ADCアプライアンスがクラッシュすることがあります。

    • IPv4 アドレスが 1 つ以上あり、IPv6 アドレスがない IP セットを持つネットプロファイル。ネットプロファイルはモニターにバインドされ、モニターは IPv6 サービスに設定されます。
    • IPv6 アドレスが 1 つ以上あり、IPv4 アドレスがない IP セットを持つネットプロファイル。ネットプロファイルはモニターにバインドされ、モニターは IPv4 サービスに設定されます。

    [NSHELP-29382]

  • 高可用性設定では、両方のノード間で HA バージョンが一致しない場合、動的ルートはセカンダリノードに同期されません。セカンダリノードのアクセシビリティが動的ルートに依存している場合、セカンダリノードには到達できません。

    修正として、HA バージョンが一致しない場合でも、動的ルートはセカンダリノードに同期されます。

    [NSHELP-28326]

プラットフォーム

  • Citrix ADCアプライアンスは、Citrix ADCアプライアンスがライセンスのPPS制限に達する前であっても、偽のパケット/秒(PPS)レート制限アラートを生成します。

    [NSHELP-26935]

ポリシー

  • Citrix ADCアプライアンスは、次の条件でクラッシュすることがあります。

    • 監査メッセージアクションは、リクエストの本文に 1 つ以上の REGEX 関数を適用した文字列ビルダ式で構成されます。
    • [ストリーミング] オプションを有効にして構成されたアプリケーションファイアウォールプロファイル。

    たとえば、HTTP.REQ.BODY (10000000) .REGEX_SELECT (re/name= [^rn] * [rn] +/)。

    [NSHELP-27895]

SSL

  • リクエストバインドポイントですでにバインドされているポリシーのポリシーアクションが「転送」に設定されている場合、Citrix ADCアプライアンスはHTTPリクエストの処理中にクラッシュします。

    [NSHELP-29115]

  • メモリ割り当ての失敗により、証明書とキーのペアの追加が失敗することがあります。その結果、CA 証明書とキーのペアの検索が失敗し、アプライアンスがクラッシュします。

    [NSHELP-28197]

  • SAN 証明書内のすべての IP アドレスが表示されます。以前は、SAN 証明書に含まれるすべての IP アドレスのうち、最後の SAN IP アドレスのみが表示されていました。

    [NSHELP-27336]

  • 構成ファイル内の組み込み証明書(「ns-server-certificate」)の名前を変更すると、再起動中にCitrix ADCアプライアンスがクラッシュします。

    [NSHELP-26858]

システム

  • Citrix ADCアプライアンスがクライアントからHTTP/2 GOWAYフレームを受信すると、ストリームIDが約束ID(最後にピアが開始したストリーム識別子)よりも大きいストリームがすべて誤ってリセットされます。

    [NSHELP-29328]

  • Citrix ADM では、ADM エージェントの問題が原因で ADM エージェントからメモリ使用量の増加が報告される場合があります。

    [NSHELP-29285]

  • X-Forwarderヘッダーは、Citrix ADCアプライアンスからバックエンドサーバーに送信される一部の要求には追加されません。

    [NSHELP-29142]

  • Citrix ADC侵入防御システム(IPS)では、次の条件が満たされた場合、データの挿入または変更時に書き換えポリシーの問題が確認されます。

    • Citrix ADCアプライアンスは、バックエンドサーバー接続が開く前にデータパケットをIPSサーバーに送信します。

    [NSHELP-28496]

  • 高可用性セットアップでは、次の理由により、セカンダリノードで Admin パーティション設定の HA 同期が失敗します。

    • セカンダリノードでの設定の負荷が大きいため、メモリ不足の問題が発生する

    [NSHELP-28409]

  • Citrix ADCアプライアンスは、次の条件をすべて満たすとクラッシュします。

    • サーバの IP アドレスを持つコンテンツ検査アクションでは、サービスの内部データがすでに設定されている場合はそれを使用します。
    • その結果、CI アクションが削除されると、サービスの内部データも削除されます。
    • 実際のサービスが削除されると、Citrix ADCアプライアンスはすでに削除された内部データへのアクセスと削除を試みます。

    [NSHELP-28293]

  • クライアントが複数の TCP ストリームがある接続をリセットすると、サーバー側のトランザクションレコードは送信されないため、それらのデータストリームの L4 レコードが失われます。

    [NSHELP-28281]

  • 接続チェーンTCPオプションがCitrix ADC RPC接続に追加されます。この問題は、GSLB サイト通信との相互運用性の問題を引き起こします。

    [NSHELP-27417]

  • まれに、Citrix ADCアプライアンスがバックエンドサーバーからクライアントを転送するときに、誤ったTCP SACKシーケンス番号をクライアントに送信することがあります。この問題は、TCP プロファイルで TCP 選択的 ACK(SACK)オプションが有効になっている場合に発生します。

    [NSHELP-24875]

  • Citrix ADCアプライアンスがFINフラグが設定された順序の悪いTCPパケットを受信すると、次の問題が発生することがあります。

    • Citrix ADCアプライアンスが不正なSACKを送信します。これは、アプライアンスが1バイトの順不同のTCPパケットではなく2バイトを受信したことを示します。
    • Citrix ADCアプライアンスは、順番どおりのTCPパケットを受信してTCP FINパケットを認識しません。

    [NSBASE-15735]

  • 接続がリセットされた場合、キャッシュモジュールの TCP シミュレーション機能が「ピットボス」ハートビートに応答するのに間に合わない可能性があります。

    [NSBASE-15367]

ユーザーインターフェイス

  • Citrix ADC GUIを使用して、接続フェイルオーバーがすでに有効になっているACLベースのRNATルールを変更すると、次のエラーで失敗することがあります。

    • 「引数の値が無効です [接続フェイルオーバー]」

    [NSHELP-29243]

  • プールされた容量で構成されたクラスターモードの ADC インスタンスがダウンする。この問題は、クラスタノードにホスト名が設定されている場合や、ノードが起動時に ADM ライセンスサーバに接続するのに時間がかかる場合に発生します。

    [NSHELP-28613]

  • ns.conf ファイルを読み取る操作を実行すると、次の問題が発生します。例:show ns saved config

    • HTTPD プロセスがフリーズし、GUI と NITRO API にアクセスできなくなる可能性があります。

    [NSHELP-28249]

  • 管理パーティションの設定で、証明書失効リスト (CRL) ファイルのアップロードと追加が失敗する。

    [NSHELP-20988]

  • Citrix ADC CLIインターフェイスでは、 コマンドプロンプトでコマンドを入力しているときにTabキーを押しても 、コマンドをバインドするオプションは自動入力されません。

    たとえば、次のコマンドを入力すると、 Tab キーを使用してもオブジェクトは自動入力されません。

    bind authentication vserver <authvservername> -policy <Tab>

    ここで、認証仮想サーバは、RADIUS ポリシー、IdapPolicy、証明書ポリシー、TACAS ポリシー、高度な認証ポリシーなど、複数のオブジェクトタイプにバインドできます。

    [NSCONFIG-6340]

  • ボットプロファイルからレート制限 URL のバインドを解除すると、内部データベースエラーが発生します。

    [NSCONFIG-6231]

既知の問題

リリース13.0-84.11に存在する問題。

AppFlow

  • HDX Insightは、ユーザーがアクセスできないアプリケーションまたはデスクトップを起動しようとしたことによるアプリケーションの起動失敗を報告しません。

    [ NSINSIGHT-943 ]

認証、承認、監査

  • SSO機能をプロキシサーバーで使用すると、Citrix ADCアプライアンスでメモリリークが発生する場合があります。

    [NSHELP-27744]

  • RADIUS 認証プロセス中に「認証情報が無効です」というエラーメッセージが表示されることがあります。このエラーは、Google Chromeブラウザを使用してクライアントデバイスからCitrix ADCアプライアンスにアクセスすると表示されます。

    [ NSHELP-27113 ]

  • 次の条件が満たされると、サービスへのアクセスは拒否されます。

    • このサービスは認証仮想サーバにバインドされます。
    • 401 認証は、サービスとサービスがバインドされている仮想サーバーで構成されます。

    [NSHELP-26903]

  • Citrix ADCアプライアンスは、次の両方の条件が満たされるとクラッシュします。

    • 電子メール OTP が設定されている
    • メールサーバーが応答しない、またはメールサーバーにネットワークの問題がある

    [NSHELP-26137]

  • 特定のシナリオでは、ポリシー名がイントラネットアプリケーション名よりも長い場合、[認証、承認、および監査グループのバインド] コマンドが失敗することがあります。

    [ NSHELP-25971 ]

  • LDAP、RADIUS、またはTACACSサービスの管理者パスワードに二重引用符(”)文字が含まれている場合、Citrix ADCアプライアンスは「接続テスト」チェック中に二重引用符(”)文字を削除し、接続に失敗します。

    [ NSHELP-23630 ]

  • Citrix ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。

    [ NSHELP-563 ]

  • Citrix ADC GUIのログインスキーマエディター画面に DualAuthPushOrOTP.xml LoginSchema が正しく表示されません。

    [NSAUTH-6106]

  • ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを実行すると、プロキシプロファイルのステータスが誤って空白として表示されます。 show adfsproxyprofile <profile name>

    回避策:クラスター内のプライマリアクティブCitrix ADCに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

    [ NSAUTH-5916 ]

  • 次の手順を実行すると、Citrix ADC GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。

    • [LDAP 到達可能性をテスト] オプションが開きます。
    • 無効なログイン認証情報が入力され、送信されます。
    • 有効なログイン認証情報が入力され、送信されます。

    回避策:「LDAP 到達可能性のテスト」オプションを閉じて開きます。

    [NSAUTH-2147]

キャッシュ

  • 統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-22942]

Citrix ADC SDXアプライアンス

  • Citrix ADC SDXアプライアンスでは、CLAGがMellanox NIC上に作成されている場合、VPXインスタンスの再起動時にCLAG MACが変更されます。VPXインスタンスへのトラフィックは再起動後に停止します。これは、MACテーブルに古いCLAG MACエントリがあるためです。

    [NSSVM-4333]

  • データレコードの総数が 5000 未満の場合、ADC イベントテーブルのデータをページ間でソートできるようになりました。

    [NSHELP-29170]

  • 次の条件が満たされると、Citrix ADC SDXアプライアンスでホストされているVPXインスタンスでパケットドロップが表示されます。

    • スループット割り当てモードはバーストです。
    • スループットと最大バーストキャパシティには大きな違いがあります。

    [ NSHELP-21992 ]

Citrix Gateway

  • Citrix Gateway の高可用性セットアップで、Gateway Insightが有効になっていると、セカンダリノードがクラッシュすることがあります。

    [NSHELP-28856]

  • VPN の切断後、DNS リゾルバがホスト名の解決に失敗することがあります。これは、VPN の切断中に DNS サフィックスが削除されるためです。

    [NSHELP-28848]

  • macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。

    [ NSHELP-28551 ]

  • クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にCitrix Gateway からログアウトすることがあります。

    [ NSHELP-28404 ]

  • Windows プラグインは、認証中にクラッシュすることがあります。

    [NSHELP-28394]

  • 非同期がブロックされ、コンテンツスイッチングポリシーの構成を変更すると、Citrix Gateway アプライアンスがクラッシュすることがあります。

    [ NSHELP-27570 ]

  • セッションポリシーで不明なVPNクライアントオプションが設定されている場合、Citrix Gateway アプライアンスがクラッシュすることがあります。

    [ NSHELP-27380 ]

  • GUI を使用してクラシック認可ポリシーをバインド解除することはできません。ただし、CLI を使用して認証、承認、および監査認可ポリシーのバインドを解除することはできます。

    今回の修正により、GUI を使用して承認ポリシーのバインドを解除できるようになりました。

    [NSHELP-27064]

  • 転送ログイン中に、イントラネット IP サブネットがクライアント側で正しく表示されないことがあります。

    [NSHELP-26904]

  • VPNセッションプロファイルを編集すると、Citrix Gateway GUIに「IPアドレスまたはポートが無効です」というメッセージが表示されます。

    [NSHELP-26722]

  • 次のいずれかの状況が発生すると、Citrix ADCアプライアンスがクラッシュします。

    • syslog アクションはドメイン名で設定され、GUI または CLI を使用して設定をクリアします。
    • 高可用性同期はセカンダリノードで行われます。

    回避方法:

    syslog サーバーのドメイン名の代わりに syslog サーバーの IP アドレスを使用して syslog アクションを作成します。

    [NSHELP-25944]

  • Citrix ADC GUIを使用してRDPクライアントプロファイルを作成しているときに、次の条件が満たされるとエラーメッセージが表示されます。

    • デフォルトの事前共有キー (PSK) が設定されています。
    • [RDP クッキー有効期間 (秒)] フィールドの RDP クッキー有効性タイマーを変更しようとしています。

    [ NSHELP-25694 ]

  • 高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。

    • HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。

    回避策:HA 同期が完了した後にのみ、手動で HA フェイルオーバーを連続して実行してください(両方のノードが同期成功状態になっています)。

    [ NSHELP-25598 ]

  • Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。

    [NSHELP-23937]

  • 次の条件を満たす場合、Windows ログオン後に VPN プラグインはトンネルを確立しません。

    • Citrix Gateway アプライアンスが常時オン機能用に構成されている
    • アプライアンスは、2 要素認証を「オフ」にした証明書ベースの認証用に設定されています。

    [ NSHELP-23584 ]

  • 「show tunnel global」コマンドの出力には、詳細なポリシー名が含まれます。以前は、出力には高度なポリシー名が表示されませんでした。

    例:

    新しい出力:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    前の出力:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [ NSHELP-23496 ]

  • スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。

    [ NSHELP-21897 ]

  • Windowsログオン機能の前に常時接続VPNを使用する場合は、Citrix Gateway 13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を活用できます。

    [ CGOP-19355 ]

  • 無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight では報告されません。

    [ CGOP-13621 ]

  • Gateway Insight レポートでは、SAML エラーエラーの認証タイプフィールドに「SAML」ではなく「Local」という値が誤って表示されます。

    [ CGOP-13584 ]

  • 高可用性セットアップでは、Citrix ADC フェイルオーバー中に、Citrix ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。

    [ CGOP-13511 ]

  • ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承認 ] ダイアログボックスには、選択した言語に関係なく、英語でコンテンツが表示されます。

    [ CGOP-13050 ]

  • 一部の言語では、 Citrix SSOアプリ>ホームページの「ホームページ 」というテキストが切り捨てられます。

    [ CGOP-13049 ]

  • Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

    [ CGOP-11830 ]

  • Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。

    [ CGOP-7269 ]

  • クラスタ展開では、CCO 以外のノードで「force cluster sync」コマンドを実行すると、ns.log ファイルには重複するログエントリが含まれます。

    [CGOP-6794]

Citrix Web App Firewall

  • 次のモジュールが有効になっていると、Citrix ADCアプライアンスがクラッシュすることがあります。

    • 高度なセキュリティチェック機能を備えた Web App Firewall
    • Appqoe。

    [NSHELP-28251]

負荷分散

  • 高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

    [ NSLB-7679 ]

  • show コマンドと stat コマンドに表示されるサービスグループの状態が矛盾しています。

    [NSHELP-28931]

  • ワイルドカードポートを使用すると、負荷分散または GSLB ドメインベースの Autoscale サービスグループの状態は DOWN のままになります。

    [NSHELP-28548]

  • クラスター設定では、GSLB仮想サーバーバインディングを介してアクセスすると、GSLBサービスのIPアドレスがGUIに表示されません。これは表示上の問題であり、機能に影響はありません。

    [ NSHELP-20406 ]

その他

  • 高可用性セットアップで強制同期が行われると、アプライアンスはセカンダリノードで「set urlfilter parameter」コマンドを実行します。
    その結果、セカンダリノードは、「TimeOfDaytoUpdateDB」パラメータで指定された次のスケジュールされた時刻まで、スケジュールされた更新をスキップします。

    [NSSWG-849]

  • 64ビットアーキテクチャと1 TBのファイルストレージを備えたLinuxシステムで実行されているCitrix ADC CPXインスタンスは、証明書とキーファイルをロードできるようになりました。

    [ NSHELP-28986 ]

  • URLフィルタリングのサードパーティベンダーで接続の問題が発生した場合、管理CPUの停滞によりCitrix ADCアプライアンスが再起動することがあります。

    [ NSHELP-22409 ]

ネットワーク

  • Citrix ADCアプライアンスは、次の条件をすべて満たすとクラッシュすることがあります。

    • 負荷分散ルートは、アプライアンスのトラフィックドメインに設定されます。
    • アプライアンス上で設定のクリア操作が実行されます。

    [NSNET-23847]

  • Webアプリケーションファイアウォールプロファイルが高度なセキュリティ保護チェックで構成されている場合、DPDKモードのCitrix ADC BLXアプライアンスがクラッシュすることがあります。

    回避策:WAF の高度なセキュリティ保護設定を削除します。

    [NSNET-22654]

  • Citrix ADC BLXアプライアンスでは、タグ付きの非dpdkインターフェイスでバインドされたNSVLANが期待どおりに機能しない場合があります。タグ付けされていない非dpdkインタフェースでバインドされたNSVLANは正常に動作します。

    [ NSNET-18586 ]

  • Citrix ADC BLXアプライアンス13.0 61.xビルドから13.0 64.xビルドにアップグレードすると、BLX構成ファイルの設定が失われます。その後、BLX 構成ファイルがデフォルトにリセットされます。

    [NSNET-17625]

  • DPDKを搭載したCitrix ADC BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。

    • 無効化
    • 有効化
    • リセット

    [ NSNET-16559 ]

  • Debian ベースの Linux ホスト (Ubuntu バージョン 18 以降) では、Citrix ADC BLX アプライアンスは BLX 構成ファイル (「/etc/blx/blx.conf」) の設定に関係なく、常に共有モードでデプロイされます。この問題は、Debian ベースの Linux システムにデフォルトで存在する「mawk」が、「blx.conf」ファイル内にある awk コマンドの一部を実行しないために発生します。

    回避策:Citrix ADC BLX アプライアンスをインストールする前に「gawk」をインストールしてください。Linux ホスト CLI で次のコマンドを実行して「gawk」をインストールできます。

    • apt-get install gawk

    [ NSNET-14603 ]

  • Debian ベースのLinuxホスト(Ubuntuバージョン18以降)でCitrix ADC BLXアプライアンスのインストールが失敗し、次の依存関係エラーが表示されることがあります。

    「次のパッケージの依存関係は満たされていません:blx-core-libs: i386: preDepends: libc6: i386 (>= 2.19) しかしインストールできません」

    回避策:Citrix ADC BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [ NSNET-14602 ]

  • FTPデータ接続の場合、Citrix ADCアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対するTCP処理は実行しません。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。

    [ NSNET-5233 ]

  • 大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にCitrix ADCアプライアンスがクラッシュすることがあります。

    • LSN モジュールは、参照カウントのデクリメント中、またはサービスを削除している間は、サービスを検索しません。

    [ NSHELP-29134 ]

  • 大規模なNAT44展開では、次の理由により、SIPトラフィックの受信中にCitrix ADCアプライアンスがクラッシュすることがあります。

    • LSN モジュールが、既に削除されたサービスのメモリ位置にアクセスしました。

    [ NSHELP-28815 ]

  • 高可用性設定では、次の条件が満たされた場合、ダイナミックルーティングが有効な SNIP アドレスは再起動時に VTYSH に公開されません。

    • ダイナミックルーティングが有効になっている SNIP アドレスは、デフォルト以外のパーティションの共有 VLAN にバインドされます。

    修正の一環として、Citrix ADCアプライアンスでは、動的ルーティングが有効なSNIPアドレスをデフォルト以外のパーティションの共有VLANにバインドできなくなりました

    [ NSHELP-24000 ]

  • Citrix ADCアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は自動的に管理パーティションの新しいメモリ制限に設定されます。

    [ NSHELP-21082 ]

プラットフォーム

  • 高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および Citrix ADC VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。

    1. Citrix ADCアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
    2. その後、Citrix ADCアプライアンスを再起動します。

    [ NSPLAT-22013 ]

  • 13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがCitrix ADCアプライアンスにインストールされません。この問題は、次のCitrix ADCバージョンで修正されています。

    • 13.1-4.x
    • 13.0-82.31 以降
    • 12.1-62.21 以降

    Citrix ADC バージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。

    • 任意の 11.1 ビルド
    • 12.1-62.21 およびそれ以前
    • 13.0-81.x およびそれ以前

    [ NSPLAT-21691 ]

  • Citrix ADC SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、2番目のノードとCLIPでCLAG MACの不一致があります。

    • CLAG はMellanox NIC 上に作成されます。
    • クラスターとCLAGセットアップに別のVPXインスタンスを追加します。

    その結果、VPXインスタンスへのトラフィックが停止します。

    [NSPLAT-21049]

  • Citrix ADC SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、CLIPテーブルとMACテーブルでMACアドレスの不一致が原因で最初のノードがダウンします。

    • CLAG はMellanox NIC 上に作成されます。
    • クラスタから 2 つ目のノードを削除します。

    [NSPLAT-21042]

  • Azureリソースグループから自動スケール設定またはVMスケールセットを削除する場合は、Citrix ADCインスタンスから対応するクラウドプロファイル構成を削除します。「rm cloudprofile」コマンドを使用してプロファイルを削除します。

    [ NSPLAT-4520 ]

  • Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。
    回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノード上で設定する必要があります。

    [ NSPLAT-4451 ]

ポリシー

  • 処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

    回避策: TCP バッファサイズを、処理する必要のあるデータの最大サイズに設定します。

    [ NSPOLICY-1267 ]

SSL

  • Citrix ADC SDX 22000およびCitrix ADC SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。

    回避方法:

    1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:set ssl vserver <name> -SSL3 DISABLED
    2. 構成を保存します。

    [ NSSSL-9572 ]

  • 認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

    [ NSSSL-6478 ]

  • 同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。

    [ NSSSL-6213 ]

  • HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。
    エラー:CRL 更新が無効です

    [ NSSSL-6106 ]

  • セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

    [ NSSSL-4427 ]

  • SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。

    [ NSSSL-4001 ]

  • 期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。

    [NSSSL-3184]

  • クラスタ設定では、インストールされた 2 つの証明書が OCSP AIA 拡張を持つ 1 つのサーバ証明書の発行者である場合、サーバ証明書を削除するとアプライアンスは到達不能になります。

    [NSHELP-28058]

  • VPN展開では、Citrix ADCアプライアンスはセッションを再利用するためにSSLセッションをキャッシュから取得し、プロキシまたはバックエンドサーバーと通信します。これは、クライアントから受信した SNI と、キャッシュされたセッションに存在する SNI を一致させることなく行われます。

    その結果、キャッシュされたデータに応じて SNI が送信されないか、異なる SNI が送信されます。

    [NSHELP-27439]

  • CRL を発行した CA 証明書名は 32 文字に切り捨てられます。ただし、証明書キーの名前は最大 64 文字です。この問題は、CRL フィールドの文字数が 32 文字に制限されているために発生します。

    [NSHELP-26986]

システム

  • パブリッククラウド MPTCP クラスタの展開では、リンクセットが無効になっていると、パケットの再送信が増加します。

    [ NSHELP-27410 ]

  • Citrix ADCアプライアンスは、MPTCP接続で、SACKブロック、タイムスタンプ、MPTCPデータACKなどのTCPオプションとともに、無効なTCPパケットを送信することがあります。

    [ NSHELP-27179 ]

  • Pitboss 障害は、再送信キューに大量のパケットをループさせると発生します。

    [NSHELP-26071]

  • Citrix ADCアプライアンスとデータローダーで、Logstreamレコードに不一致が見られます。

    [ NSHELP-25796 ]

  • クラスタセットアップでは、「set ratecontrol」コマンドはCitrix ADCアプライアンスを再起動した後にのみ機能します。

    回避策: nsapimgr_wr.sh -ys icmp_rate_threshold=<new value> コマンドを使用してください。

    [NSHELP-21811]

  • アプライアンスがクライアントから max_concurrent_stream 設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS 値はデフォルトで 100 に設定されます。

    [ NSHELP-21240 ]

  • mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。

    [ NSHELP-10972 ]

  • gRPC トラフィックの大きなストリームを処理すると、TCP アドバタイズされたウィンドウが指数関数的に増加し、メモリ使用量が増加します。

    [NSBASE-15447]

  • クラスタ構成では、ネットワークの問題により、CCO 優先度のノードが Open vSwitch (OVS) から切断されます。ノードがクラスタ構成に再参加した後は、最新の SYN Cookie を受信しません。

    [ NSBASE-14419 ]

  • LogStream トランスポートタイプが Insight 用に構成されている場合、クライアントIPとサーバーIPはHDX Insight SkipFlowレコードで反転されます。

    [NSBASE-8506]

  • Citrix ADC ICAPサポート

    Citrix ADCアプライアンスは、HTTPおよびHTTPSトラフィックのコンテンツ変換サービスに対してInternet Content Adaptation Protocol(ICAP)をサポートするようになりました。アプライアンスは ICAP クライアントとして機能し、マルウェア対策やデータ漏洩防止 (DLP) などのサードパーティ製 ICAP サーバーと相互運用します。ICAP サーバーは HTTP および HTTPS メッセージでコンテンツ変換を実行し、変更されたメッセージとしてアプライアンスに応答します。適合するメッセージは、HTTP または HTTPS レスポンスまたはリクエストのいずれかです。

    詳細については、 https://docs.citrix.com/en-us/netscaler/12-1/security/icap-for-remote-content-inspection.htmlを参照してください。

    [NSBASE-825]

ユーザーインターフェイス

  • 圧縮ポリシーマネージャ GUI で、関連するバインドポイントと接続タイプを指定して、圧縮ポリシーを HTTP プロトコルにバインドできない。

    [NSUI-17682]

  • Citrix ADC GUIでは、[ダッシュボード] タブの下にある [ヘルプ] リンクが壊れています。

    [ NSUI-14752 ]

  • CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。

    回避策: Citrix ADC GUI または CLI を使用して IPsec プロファイル、IP トンネル、および PBR ルールを追加して、Cloudbridge Connectorを構成します。

    [ NSUI-13024 ]

  • GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。

    [ NSUI-6838 ]

  • Citrix ADC GUI が、すべてのクラスタノードではなく1つのノードのみのクラスタテクニカルサポートバンドルを誤って生成することがある。

    [ NSHELP-28606 ]

  • Citrix ADC GUI を使用してクラスターテクニカルサポートバンドルを生成すると、エラーが発生して失敗することがあります。

    [ NSHELP-28586 ]

  • 高可用性セットアップまたはクラスタセットアップをリリース 13.0 ビルド 74.14 以降にアップグレードすると、次の理由で設定の同期が失敗することがあります。

    • 「ssh_host_rsa_key」プライベートキーとパブリックキーの両方が正しくないペアです。

    回避策:「ssh_host_rsa_key」を再生成してください。詳細は、https://support.citrix.com/article/CTX322863を参照してください。

    [ NSHELP-27834 ]

  • Citrix ADC GUIを使用して、サービスまたはサービスグループを優先負荷分散仮想サーバーにバインドすることはできません。

    [ NSHELP-27252 ]

  • Citrix ADC VPXアプライアンスでは、ライセンスサーバーを追加した後、容量設定操作が失敗することがあります。この問題は、サポートされているタイプのチェックインおよびチェックアウト(CICO)ライセンスの数が多いため、フレクセラ関連コンポーネントの初期化に時間がかかるために発生します。

    [NSHELP-23310]

  • Citrix ADCアプライアンスのバージョン13.0-71.xを以前のビルドにダウングレードすると、ファイル権限が変更されたために一部のNitro APIが機能しないことがあります。

    回避策:「/nsconfig/ns.conf」の権限を 644 に変更します。

    [NSCONFIG-4628]

  • アプリケーションファイアウォールのシグネチャが CCO 以外のノードと同期するまでに時間がかかることがあります。その結果、これらのファイルを使用するコマンドは失敗する可能性があります。

    [ NSCONFIG-4330 ]

  • あなた(システム管理者)がCitrix ADCアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。

    1. Citrix ADCアプライアンスをいずれかのビルドにアップグレードします。

      • 13.0 52.24 ビルド
      • 12.1 57.18 ビルド
      • 11.1 65.10 ビルド
    2. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
    3. Citrix ADCアプライアンスを古いビルドにダウングレードします。

    CLI を使用してこれらのシステムユーザーのリストを表示するには、
    コマンドプロンプトで次のように入力します。

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    回避方法:

    この問題を修正するには、次の独立したオプションのいずれかを使用します。

    • Citrix ADCアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。
    • アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
    • 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。

    [ NSCONFIG-3188 ]

Citrix ADC 13.0-84.11 リリースのリリースノート