ADC

Citrix ADC 13.0-87.9 リリースのリリースノート

このリリースノートドキュメントでは、Citrix ADCリリースBuild 13.0-87.9の機能強化と変更、修正された問題と既知の問題について説明します。

メモ

  • このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。

新機能

ビルド 13.0-87.9 で利用できる機能強化と変更点。

認証、承認、監査

負荷分散

  • ユーザーモニター用のセキュアなスクリプト引数のサポート

    「lb モニタを追加」コマンドに-secureargs という新しいパラメータが追加されました。このパラメータは、スクリプト引数をプレーンテキスト形式ではなく暗号化された形式で格納します。このパラメータ(ユーザ名やパスワードなど)を使用して、ユーザモニタ用のスクリプトに関連する機密データを保護できます。スクリプトに関連する機密データについては、パラメーター-scriptargsの代わりにパラメーター-secureargsを使用することをお勧めします。両方のパラメータを一緒に使用する場合、-scriptname で指定されたスクリプトは、の順序で引数を受け入れる必要があります。<scriptargs> <secureargs>。つまり、引数の定義順序を維持して、<scriptargs>の最初のいくつかのパラメータと、<secureargs>の残りのパラメータを指定する必要があります。Secure 引数は内部ディスパッチャにのみ適用されます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/load-balancing/load-balancing-custom-monitors/configure-user-monitor.htmlを参照してください。

    [NSLB-7310]

ネットワーク

  • SNMP Trap メッセージを送信する際の重大度レベルを含めるための機能強化

    Citrix ADC VPXアプライアンスでは、SNMPトラップメッセージに重要度レベルが変数バインドとして含まれるようになりました。以下のコマンドを severityInfoIntrap オプションとともに使用します。

    • snmp オプションを設定する-severityInfoIntrap 有効

    このオプションを有効にすると、トラップの重要度レベルが SNMP トラップメッセージに含まれます。

    [NSNET-21603]

システム

  • スロースタートしきい値パラメータを構成する

    Citrix ADCアプライアンスは、以下の問題を解決するスロースタートしきい値パラメータの設定をサポートするようになりました。

    • Citrix ADCアプライアンスによって処理されるTCPトラフィックの動的ラウンドトリップ時間(RTT)は高くなります。
    • RTT を輻輳制御と見なす TCP 輻輳制御プロトコルバリアント Nile は動作しません。設定されている混雑時間帯はずっと大きく、Nileのスロースタートしきい値にマッピングされています。

    詳細については、「 [TCP 構成]」を参照してください。(https://docs.citrix.com/en-us/citrix-adc/current-release/system/tcp-configurations.html)

    [NSBASE-16509]

解決された問題

ビルド13.0-87.9で対処されている問題。

認証、承認、監査

  • 構成内のSAMLメタデータURLがバックスラッシュ(/)で終わらない、またはバックスラッシュ(/)を含んでいない場合、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-31937]

  • Syslog サーバを設定した場合、1 つの SAML 関連のログが 2 行に表示されます。

    [NSHELP-31750]

  • 認証仮想サーバーでコンテンツセキュリティポリシー (CSP) の書き換えポリシーを適用しているときに、アプリケーションの書き換えで問題が発生する可能性があります。

    [NSHELP-31583]

  • プライマリコントローラカードとセカンダリコントローラカード間でセッションとキー構成の同期が行われると、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-26891]

Citrix Gateway

  • 場合によっては、イントラネットIPアドレスをクライアントに割り当てているときにCitrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-31712]

  • 従来のEPAポリシーとnFactor認証が構成されている場合、認証が成功するためのGateway InsightイベントはCitrix Application Delivery Management に送信されません。

    [NSHELP-30901]

  • GUI を使用してクラシック認可ポリシーをバインド解除することはできません。ただし、CLI を使用して認証、承認、および監査認可ポリシーのバインドを解除することはできます。

    今回の修正により、GUI を使用して承認ポリシーのバインドを解除できるようになりました。

    [NSHELP-27064]

  • セッションプロファイルにStorefrontのFQDNが含まれていると、資格情報を入力するとアプリの起動に失敗します。次のエラーが表示されます。

    ‘Http/1.1 内部サーバーエラー 43531’

    今回の修正により、お客様はセッションプロファイルの WI アドレスの代わりに FQDN を IP に入力できるようになりました。

    [NSHELP-26671]

Citrix Web App Firewall

  • 「ユーザーエージェントヘッダーアクションなし」および「マルチユーザーエージェントヘッダーアクション」のログには、IPレピュテーションチェックのログメッセージが誤って使用されている可能性があります。

    [NSHELP-31935]

  • Citrix ADCアプライアンスは、低速のDNSサーバーでBOT署名ルックアップを処理中にクラッシュすることがあります。

    [NSHELP-31642]

負荷分散

  • 高可用性(HA)セットアップでは、ルートは新しいプライマリノードでドロップされ、次の条件が満たされた場合に再度学習されません。

    • 重大なインターフェイス障害により、動的ルートの削除と HA フェールオーバーが同時に発生します。

    [NSHELP-32264]

  • ユーザー監視スクリプトが1024バイトを超える応答を返すと、Citrix ADCアプライアンスがクラッシュしてコアがダンプされる可能性があります。

    [NSHELP-32097]

  • まれに、DNSSEC処理が有効になっていて、DNSゾーン構成が存在する場合、Citrix ADCアプライアンスがクラッシュしてコアをダンプすることがあります。

    [NSHELP-31993]

  • 場合によっては、サービスの状態がモニターの状態と同期していません。

    [NSHELP-31747]

  • Autoscale DNS デプロイメントでは、TROFS 状態のメンバーはヘルスチェックの失敗を検出して応答しません。

    [NSHELP-29628]

  • Autoscale タイプの DNS サービスグループのメンバーが TROFS 状態で、同じメンバーが再びグループに追加された場合、このメンバーの状態は伝達されません。

    [NSHELP-29493]

  • ワイルドカードを含むポリシー表現を含む「add dns action」および「add location」コマンドの差分同期が失敗する。

    [NSHELP-29301]

  • ワイルドカードポートを使用すると、負荷分散または GSLB ドメインベースの Autoscale サービスグループの状態は DOWN のままになります。

    [NSHELP-28548]

その他

  • Citrix ADCアプライアンスでは、アプライアンスにHDDを追加すると、「/var/nslog」ファイルのリンクがクラッシュフォルダー「/var/crash/nslog」に作成されます。クラッシュフォルダーにある「newnslog」ファイルは、テクニカルサポートによって生成されたコレクターフォルダーには収集されません。

    [NSHELP-31354]

  • 公開鍵システム認証が構成されたCitrix ADCクラスターセットアップでは、次の問題が発生します。

    • VTYSH は、クラスタ構成コーディネータ (CCO) のすべてのクラスタノードの情報を表示しません。

    [NSHELP-28762]

プラットフォーム

  • /var/log/waagent フォルダーに保存されているファイルのログローテーションが失敗し、より多くのディスク領域を占有します。この障害は、Citrix ADC VPXインスタンスから取得したバックアップ構成を、復元機能を使用してAzureクラウドでホストされている別のADC VPXインスタンスに適用した場合に表示されます。

    [NSHELP-31599]

ポリシー

  • Citrix ADCアプライアンスでは、次のことが観察されます。
    • まれなケースでのメモリアカウントに関連する問題。
    • 特定のエンティティのメモリ割り当て/割り当て解除に関連する問題。

    さらに、特定のエンティティの割り当て/割り当て解除の追跡が追加/改善されました。

    [NSHELP-29215]

  • ポリシー式で MATCHES_LOCATION () 関数を構成し、フィルタ式を使用して nstrace を起動すると、Citrix ADC アプライアンスがクラッシュする可能性があります。

    [NHELP-2687]

SSL

  • Citrix ADCアプライアンスは、次のシナリオでクラッシュする可能性があります。

    • SSL タイプの負荷分散モニターと SSL サービスの名前は同じです
    • SSL サービスの名前が変更された
    • 負荷分散モニターが削除される

    [NSHELP-30445]

  • 次のすべての状態が発生すると、Citrix ADCアプライアンスがクラッシュします。

    • デフォルトの RSA 証明書とキーのペアは、内部サービスにバインドされています。
    • 非 RSA 証明書とキーのペアは、同じサービスにバインドされます。
    • 高可用性同期が発生します。

    [NSHELP-30084]

システム

  • Citrix ADCアプライアンスでは、HTTPプロファイルの「maxHeaderFieldLen」パラメーターのデフォルト値によって次の問題が発生します。

    • 13.0ビルドにアップグレードした後のトラフィック障害。

    [ NSHELP-32079 ]

  • Citrix ADCアプライアンスでは、コンテンツスイッチングまたは負荷分散仮想IP(VIP)のHTTP/2構成を有効にすると、次の問題が発生します。

    • Citrix ADCアプライアンスを介してHTTP/2ヘッダーとデータフレームをWebサイトに転送する際の遅延が最大100ミリ秒に増加します。

    [NSHELP-30094]

  • Citrix ADCアプライアンスでは、デフォルトの高度なグローバルポリシーのバインドを解除して構成を保存すると、次回の再起動時に変更が反映されません。

    [NSHELP-19867]

ユーザーインターフェイス

  • SSL 仮想サーバーと証明書とキーのペアのバインディングを削除しようとすると、次の例外が Python API SDK で見られます。
    TypeError: ‘str’ オブジェクトと ‘bool’ オブジェクトを連結できません

    [NSHELP-31746]

  • Citrix ADCバージョン13.0バージョン85.15ビルドでは、GUIを使用して負荷分散サービスグループのメンバーをバインド解除することはできません。

    [NSHELP-31474]

  • 管理パーティションの設定で、証明書失効リスト (CRL) ファイルのアップロードと追加が失敗する。

    [NSHELP-20988]

  • 負荷分散サーバーの統計情報が、Citrix ADC GUIダッシュボードでずれている。

    [ NSHELP-20752 ]

既知の問題

リリース13.0-87.9に存在する問題。

認証、承認、監査

  • ADFSPIP URLが「http://」タイプに設定されている場合、Citrix ADCアプライアンスはクラッシュします。ADFSPIP は「https://」URL タイプのみをサポートしています。

    [NSHELP-29838]

  • LDAP アクションが IP アドレスではなく FQDN に設定されている場合、非 ASCII 文字が nsvpn.log に記録されます。

    [ NSHELP-27281 ]

  • RADIUS 認証プロセス中に「認証情報が無効です」というエラーメッセージが表示されることがあります。このエラーは、Google Chromeブラウザを使用してクライアントデバイスからCitrix ADCアプライアンスにアクセスすると表示されます。

    [ NSHELP-27113 ]

  • Citrix ADC GUIには、VPN仮想サーバーにバインドされたデフォルトのキャッシュポリシーは表示されません。

    [NSHELP-26874]

  • 特定のシナリオでは、ポリシー名がイントラネットアプリケーション名よりも長い場合、[認証、承認、および監査グループのバインド] コマンドが失敗することがあります。

    [ NSHELP-25971 ]

  • Citrix ADCアプライアンスは、NOAUTHが401ベースの認証フローの最初の要素として構成され、後続の要素としてネゴシエートが構成されている場合にコアをダンプします。

    [ NSHELP-25203 ]

  • LDAP、RADIUS、またはTACACSサービスの管理者パスワードに二重引用符(”)文字が含まれている場合、Citrix ADCアプライアンスは「接続テスト」チェック中に二重引用符(”)文字を削除し、接続に失敗します。

    [ NSHELP-23630 ]

  • Citrix ADCアプライアンスは、重複したパスワードログイン試行を認証せず、アカウントのロックアウトを防ぎます。

    [ NSHELP-563 ]

  • Citrix ADC GUIのログインスキーマエディター画面に DualAuthPushOrOTP.xml LoginSchema が正しく表示されません。

    [NSAUTH-6106]

  • ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
    show adfsproxyprofile <profile name>

    回避策:クラスター内のプライマリアクティブCitrix ADCに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

    [ NSAUTH-5916 ]

キャッシュ

  • 統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-22942]

Citrix ADC SDXアプライアンス

  • Citrix ADC SDXアプライアンスでは、CLAGがMellanox NIC上に作成されている場合、VPXインスタンスの再起動時にCLAG MACが変更されます。VPXインスタンスへのトラフィックは再起動後に停止します。これは、MACテーブルに古いCLAG MACエントリがあるためです。

    [NSSVM-4333]

  • Citrix ADC SDX GUIで、NTP構成ファイル(ntp.conf)のいずれかの行にスペースしか含まれていない場合、NTPサーバーを表示するとユーザーインターフェイスがフリーズする可能性があります。

    [ NSHELP-31530 ]

Citrix Gateway

  • Always on が設定されている場合、aoservice.exe ファイルのバージョン番号(1.1.1.1)が正しくないため、ユーザトンネルが失敗します。

    [ NSHELP-30662 ]

  • ICAアプリの起動は、次の条件で失敗します。

    • コンテンツセキュリティポリシー (CSP) 機能が有効になっています。
    • ユーザーはブラウザーからログインしますが、Citrix Workspace アプリを使用してアプリを起動します。

    [NSHELP-30534]

  • [NetworkAccessonVPNFailure]プロファイルパラメーターを[フルアクセス]から[OnlyToGateway]に変更すると、ユーザーはCitrix Gateway アプライアンスに接続できなくなります。

    [ NSHELP-30236 ]

  • ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。この問題を解決するために、次のレジストリ値が導入されます。

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    タイプ: DWORD

    デフォルトでは、このレジストリ値は設定も追加もされません。「SecureChannelResetTimeoutSeconds」の値が0または追加されていない場合、遅延を処理するための修正が機能しません。これはデフォルトの動作です。管理者は、このレジストリをクライアントに設定して修正を有効にする必要があります (つまり、ゲートウェイプラグインが VPN トンネルを正常に確立した直後にホームページを表示する)。

    [ NSHELP-30189 ]

  • マシントンネル専用モードのCitrix Secure Access Agent は、マシンがスリープモードから復帰してもマシントンネルを自動的に確立しないことがあります。

    [NSHELP-30110]

  • Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。

    [ NSHELP-29675 ]

  • macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。

    [ NSHELP-28551 ]

  • クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にCitrix Gateway からログアウトすることがあります。

    [ NSHELP-28404 ]

  • EPAが構成され、十分なメモリが利用できない場合、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-28329]

  • Citrix Gateway アプライアンスは、サーバーが開始するUDPトラフィックの処理中にクラッシュすることがあります。

    [ NSHELP-27611 ]

  • 非同期がブロックされ、コンテンツスイッチングポリシーの構成を変更すると、Citrix Gateway アプライアンスがクラッシュすることがあります。

    [ NSHELP-27570 ]

  • セッションポリシーで不明なVPNクライアントオプションが設定されている場合、Citrix Gateway アプライアンスがクラッシュすることがあります。

    [ NSHELP-27380 ]

  • Citrix ADC GUIを使用してRDPクライアントプロファイルを作成しているときに、次の条件が満たされるとエラーメッセージが表示されます。

    • デフォルトの事前共有キー (PSK) が設定されています。
    • [RDP クッキー有効期間 (秒)] フィールドの RDP クッキー有効性タイマーを変更しようとしています。

    [ NSHELP-25694 ]

  • Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。

    [NSHELP-23937]

  • 「show tunnel global」コマンドの出力には、詳細なポリシー名が含まれます。以前は、出力には高度なポリシー名が表示されませんでした。

    例:

    新しい出力:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0
    
     Policy Name: ns_adv_tunnel_nocmp Type: Advanced policy  
     Priority: 1  
     Global bindpoint: REQ_DEFAULT
    
     Policy Name: ns_adv_tunnel_msdocs Type: Advanced policy  
     Priority: 100  
     Global bindpoint: RES_DEFAULT  
     Done  
     >
     <!--NeedCopy-->
    

    前の出力:

     > show tunnel global  
     Policy Name: ns_tunnel_nocmp Priority: 0 Disabled
    
     Advanced Policies:
    
     Global bindpoint: REQ_DEFAULT  
     Number of bound policies: 1
    
     Done
     <!--NeedCopy-->
    

    [ NSHELP-23496 ]

  • スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。

    [ NSHELP-21897 ]

  • 無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight では報告されません。

    [ CGOP-13621 ]

  • Gateway Insight レポートでは、SAML エラーエラーの認証タイプフィールドに「SAML」ではなく「Local」という値が誤って表示されます。

    [ CGOP-13584 ]

  • 高可用性セットアップでは、Citrix ADC フェイルオーバー中に、Citrix ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。

    [ CGOP-13511 ]

  • ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承認 ] ダイアログボックスには、選択した言語に関係なく、英語でコンテンツが表示されます。

    [ CGOP-13050 ]

  • 一部の言語では、 Citrix SSOアプリ>ホームページの「ホームページ 」というテキストが切り捨てられます。

    [ CGOP-13049 ]

  • Citrix ADC GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

    [ CGOP-11830 ]

  • Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。

    [ CGOP-7269 ]

負荷分散

  • 高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

    [ NSLB-7679 ]

  • 特定のシナリオでは、サービスグループにバインドされたサーバーが、無効な Cookie 値を表示します。トレースログで正しい Cookie 値を確認できます。

    [ NSHELP-21196 ]

  • クラスター設定では、GSLB仮想サーバーバインディングを介してアクセスすると、GSLBサービスのIPアドレスがGUIに表示されません。これは表示上の問題であり、機能に影響はありません。

    [ NSHELP-20406 ]

その他

  • レジストリ値が 2000 バイトを超えると、AlwaysOnAllow リストレジストリが期待どおりに動作しません。

    [ NSHELP-31836 ]

  • 64ビットアーキテクチャと1 TBのファイルストレージを備えたLinuxシステムで実行されているCitrix ADC CPXインスタンスは、証明書とキーファイルをロードできるようになりました。

    [ NSHELP-28986 ]

ネットワーク

  • Citrix ADC BLXアプライアンスでは、タグ付きの非dpdkインターフェイスでバインドされたNSVLANが期待どおりに機能しない場合があります。タグ付けされていない非dpdkインタフェースでバインドされたNSVLANは正常に動作します。

    [ NSNET-18586 ]

  • DPDKを搭載したCitrix ADC BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。

    • 無効化
    • 有効化
    • リセット

    [ NSNET-16559 ]

  • Debian ベースの Linux ホスト (Ubuntu バージョン 18 以降) では、Citrix ADC BLX アプライアンスは BLX 構成ファイル (「/etc/blx/blx.conf」) の設定に関係なく、常に共有モードでデプロイされます。この問題は、Debian ベースの Linux システムにデフォルトで存在する「mawk」が、「blx.conf」ファイル内にある awk コマンドの一部を実行しないために発生します。

    回避策:Citrix ADC BLX アプライアンスをインストールする前に「gawk」をインストールしてください。Linux ホスト CLI で次のコマンドを実行して「gawk」をインストールできます。

    • apt-get install gawk

    [ NSNET-14603 ]

  • Debian ベースのLinuxホスト(Ubuntuバージョン18以降)でCitrix ADC BLXアプライアンスのインストールが失敗し、次の依存関係エラーが表示されることがあります。

    「次のパッケージの依存関係は満たされていません:blx-core-libs: i386: preDepends: libc6: i386 (>= 2.19) しかしインストールできません」

    回避策:Citrix ADC BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get dist-upgrade
    • apt-get install libc6:i386

    [ NSNET-14602 ]

  • 大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にCitrix ADCアプライアンスがクラッシュすることがあります。

    • LSN モジュールは、参照カウントのデクリメント中、またはサービスを削除している間は、サービスを検索しません。

    [ NSHELP-29134 ]

  • 大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にCitrix ADCアプライアンスがクラッシュすることがあります。

    • 古いフィルタリングエントリが原因です。

    [ NSHELP-28895 ]

  • 大規模なNAT44展開では、次の理由により、SIPトラフィックの受信中にCitrix ADCアプライアンスがクラッシュすることがあります。

    • LSN モジュールが、既に削除されたサービスのメモリ位置にアクセスしました。

    [ NSHELP-28815 ]

  • 高可用性設定では、次の条件が満たされた場合、ダイナミックルーティングが有効な SNIP アドレスは再起動時に VTYSH に公開されません。

    • ダイナミックルーティングが有効になっている SNIP アドレスは、デフォルト以外のパーティションの共有 VLAN にバインドされます。

    修正の一環として、Citrix ADCアプライアンスでは、動的ルーティングが有効なSNIPアドレスをデフォルト以外のパーティションの共有VLANにバインドできなくなりました

    [ NSHELP-24000 ]

プラットフォーム

  • 高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および Citrix ADC VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。

    1. Citrix ADCアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
    2. その後、Citrix ADCアプライアンスを再起動します。

    [ NSPLAT-22013 ]

  • 13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがCitrix ADCアプライアンスにインストールされません。この問題は、次のCitrix ADCバージョンで修正されています。

    • 13.1-4.x
    • 13.0-82.31 以降
    • 12.1-62.21 以降

    Citrix ADC バージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。

    • 任意の 11.1 ビルド
    • 12.1-62.21 およびそれ以前
    • 13.0-81.x およびそれ以前

    [ NSPLAT-21691 ]

  • Citrix ADC SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、2番目のノードとCLIPでCLAG MACの不一致があります。

    • CLAG はMellanox NIC 上に作成されます。
    • クラスターとCLAGセットアップに別のVPXインスタンスを追加します。

    その結果、VPXインスタンスへのトラフィックが停止します。

    [NSPLAT-21049]

  • Citrix ADC SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、CLIPテーブルとMACテーブルでMACアドレスの不一致が原因で最初のノードがダウンします。

    • CLAG はMellanox NIC 上に作成されます。
    • クラスタから 2 つ目のノードを削除します。

    [NSPLAT-21042]

  • Citrix ADC VPX HA フェイルオーバー中に、IP セットを IP アドレスにバインドせずに IPset を構成すると、AWS クラウドでの Elastic IP アドレスの移動が失敗します。

    [ NSHELP-29425 ]

  • RPC ノードのパスワードに特殊文字が含まれていると、GCP および AWS クラウド上の Citrix ADC VPX インスタンスの高可用性フェイルオーバーが失敗します。

    [ NSHELP-28600 ]

ポリシー

  • 処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

    回避策: TCP バッファサイズを、処理する必要のあるデータの最大サイズに設定します。

    [ NSPOLICY-1267 ]

  • 次の条件が満たされると、Citrix ADCアプライアンスがpatsetによるポリシー追加中にクラッシュすることがあります。

    • NSB に関連するフラグが TCP の書き換えシナリオで間違った順序で設定されています。

    [NHELP-31064]

SSL

  • Citrix ADC SDX 22000およびCitrix ADC SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。

    回避方法:

    1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:set ssl vserver <name> -SSL3 DISABLED
    2. 構成を保存します。

    [ NSSSL-9572 ]

  • 認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

    [ NSSSL-6478 ]

  • 同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。Citrix ADCアプライアンスはエラーを返しません。

    [ NSSSL-6213 ]

  • HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。
    エラー:CRL 更新が無効です

    [ NSSSL-6106 ]

  • セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

    [ NSSSL-4427 ]

  • SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。

    [ NSSSL-4001 ]

  • 証明書認証ルールが評価され、同じ要求で2回トリガーされると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-31785]

  • SSL インターセプトが有効で、DNS サーバーが有効な DNS 応答を返さない場合、Web サイトへのアクセスはブロックされます。

    [NSHELP-30201]

システム

  • 次の条件が満たされると、仮想サーバーサービスタイプSSL構成のCitrix ADCアプライアンスがクラッシュします。

    • Citrix ADCアプライアンスは、TCP FIN制御パケットを受信し、続いてTCP RESET制御パケットを受信します。

    [NSHELP-31656]

  • Citrix ADCアプライアンスは、サービスSYNフラッドカウンターで誤ったSNMPアラームを報告します。

    [ NSHELP-28710, NSHELP-28713 ]

  • パブリッククラウド MPTCP クラスタの展開では、リンクセットが無効になっていると、パケットの再送信が増加します。

    [ NSHELP-27410 ]

  • Citrix ADCアプライアンスは、MPTCP接続で、SACKブロック、タイムスタンプ、MPTCPデータACKなどのTCPオプションとともに、無効なTCPパケットを送信することがあります。

    [ NSHELP-27179 ]

  • Citrix ADCアプライアンスとデータローダーで、Logstreamレコードに不一致が見られます。

    [ NSHELP-25796 ]

  • TCP プロトコルを使用して外部 SYSLOG サーバにログインすると、一部の SYSLOG メッセージがドロップされます。

    [ NSHELP-24522 ]

  • 特定のシナリオでは、IP アドレスベースのフィルタを適用すると、nstrace パケットキャプチャですべてのパケットが失われます。

    [NSHELP-23483]

  • KubernetesクラスタにCitrix ADMをインストールすると、必要なプロセスが起動しない可能性があるため、期待どおりに動作しません。

    回避策:管理ポッドを再起動します。

    [ NSBASE-15556 ]

  • クラスタ構成では、ネットワークの問題により、CCO 優先度のノードが Open vSwitch (OVS) から切断されます。ノードがクラスタ構成に再参加した後は、最新の SYN Cookie を受信しません。

    [ NSBASE-14419 ]

ユーザーインターフェイス

  • CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。

    回避策: Citrix ADC GUI または CLI を使用して IPsec プロファイル、IP トンネル、および PBR ルールを追加して、Cloudbridge Connectorを構成します。

    [ NSUI-13024 ]

  • Citrix ADCアプライアンスで、GUIインターフェイスを使用してグローバルまたはデフォルトグローバルをオーバーライドするようにキャッシュポリシーをバインドすると、次のエラーで失敗します。

    • 必須の引数がありません。

    このエラーは、CLI インターフェイスを使用してキャッシュポリシーをバインドしている間は発生しません。

    [ NSHELP-30826 ]

  • アップグレードのインストール順序が正しくないため、Citrix ADCアプライアンスで次の問題が発生します。

    • カーネルイメージが最初に更新され、数ステップ後に暗号化キーがコピーされます。これらの手順の間に何らかの障害が発生し、ADCアプライアンスが新しいイメージを作成します。新しいイメージに暗号化キーがないと、復号化に失敗し、設定が失われます。

    [ NSHELP-30755 ]

  • Citrix ADC HAセットアップでは、構成を保存して更新ボタンをクリックすると、Citrix ADC GUIに次の問題が発生します。

    • アプライアンスに未保存の設定変更がない場合でも、GUI の [保存] ボタンにオレンジ色のドットが誤って表示されます。

    [NSHELP-30031]

  • Citrix ADC GUI が、すべてのクラスタノードではなく1つのノードのみのクラスタテクニカルサポートバンドルを誤って生成することがある。

    [ NSHELP-28606 ]

  • Citrix ADC GUI を使用してクラスターテクニカルサポートバンドルを生成すると、エラーが発生して失敗することがあります。

    [ NSHELP-28586 ]

  • 高可用性セットアップまたはクラスタセットアップをリリース 13.0 ビルド 74.14 以降にアップグレードすると、次の理由で設定の同期が失敗することがあります。

    • 「ssh_host_rsa_key」プライベートキーとパブリックキーの両方が正しくないペアです。

    回避策:「ssh_host_rsa_key」を再生成してください。詳細は、https://support.citrix.com/article/CTX322863を参照してください。

    [ NSHELP-27834 ]

  • Citrix ADC GUIを使用して、サービスまたはサービスグループを優先負荷分散仮想サーバーにバインドすることはできません。

    [ NSHELP-27252 ]

  • 高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。

    • HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。

    回避策:HA 同期が完了した後にのみ、手動で HA フェイルオーバーを連続して実行してください(両方のノードが同期成功状態になっています)。

    [ NSHELP-25598 ]

  • アプリケーションファイアウォールのシグネチャが CCO 以外のノードと同期するまでに時間がかかることがあります。その結果、これらのファイルを使用するコマンドは失敗する可能性があります。

    [ NSCONFIG-4330 ]

  • あなた(システム管理者)がCitrix ADCアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたCitrix ADCアプライアンスにログインできないことがあります。

    1. Citrix ADCアプライアンスをいずれかのビルドにアップグレードします。

      • 13.0 52.24 ビルド
      • 12.1 57.18 ビルド
      • 11.1 65.10 ビルド
    2. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
    3. Citrix ADCアプライアンスを古いビルドにダウングレードします。

    CLI を使用してこれらのシステムユーザーのリストを表示するには、
    コマンドプロンプトで次のように入力します。

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]<!--NeedCopy-->

    回避方法:

    この問題を修正するには、次の独立したオプションのいずれかを使用します。

    • Citrix ADCアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。
    • アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
    • 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。

    [ NSCONFIG-3188 ]

Citrix ADC 13.0-87.9 リリースのリリースノート