ADC

Citrix ADC 13.1-42.47 リリースのリリースノート

このリリースノートドキュメントでは、Citrix ADCリリースビルド13.1-42.47の機能強化と変更、修正された問題と既知の問題について説明します。

メモ

  • このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティ関連の修正と勧告のリストについては、セキュリティ速報を参照してください。

新機能

ビルド 13.1-42.47 で利用できる機能強化と変更。

ボット管理

  • ボット設定でのIPレピュテーションのダウンロード停止のサポート

    IPレピュテーション機能を無効にしたら、 **NetScalerのボット管理設定でデフォルトの非侵入プロファイルをBOT_BYPASSに設定します** 。この設定では、IP レピュテーションのダウンロードが停止します。

    ボット管理設定を変更するには、[ セキュリティ] > [NetScaler bot 管理] > [NetScaler bot 管理設定の変更] に移動します。

    [NSBOT-1050、NSHELP-34310、NSHELP-33835、NSHELP-34410]

  • NetScaler ADM GUI に新しいボット違反が表示される

    NetScaler ADM GUIには、次のボット違反が新たに導入されました。

    • ユーザーエージェントヘッダーなし
    • 複数のユーザーエージェントヘッダー

    アプリケーションサーバーは、ユーザーエージェントヘッダー情報を使用して、受信したリクエストの詳細を知ります。一部のボットリクエストには、複数のユーザーエージェントヘッダーがある場合や、ユーザーエージェントヘッダーがない場合があります。このようなボット違反は、NetScalerのボット管理プロファイルを使用して検出できます。次に、NetScaler ADM GUIを使用してボットの違反を監視します。詳細については、「 違反カテゴリ」を参照してください。

    [NSBOT-1023]

NetScaler SDXアプライアンス

  • SD-WANサポートは管理サービスから廃止されました

    リリース13.1ビルド42.x以降では、NetScaler SDXアプライアンスからSD-WANサポートが廃止されました。

    [NSSVM-5465]

  • VPXのプロビジョニングまたは編集中は、「ゲートウェイ」フィールドと「ネクストホップ」フィールドはオプションです

    NetScaler SDXアプライアンス管理サービスでは、次の条件が満たされると、VPXのプロビジョニング、編集、バックアップの作成、または復元にGatewayおよびNexthopフィールドが必須ではなくなります。

    • 次のいずれかのオプションに該当します。
      • VPXでは「内部ネットワーク経由の管理」が有効になっています。
      • VPX IPアドレスは、管理サービスのIPアドレスと同じサブネットにあります。
    • VPXは、バージョン13.0-88.9または13.1-37.8、およびそれらの上位バージョンでプロビジョニングされます。

    詳しくは、「 NetScaler インスタンスのプロビジョニング」を参照してください。

    [NSSVM-5307]

NetScaler Gateway

  • EDT の DF ビット伝播をデフォルトで有効にするサポート

    NetScaler Gateway アプライアンスでは、EDTパス最大伝送ユニット検出(PMTUD)オプションのDFビットエンフォースメントがデフォルトで有効になりました。このオプションは、パフォーマンスの低下やセッション確立の失敗につながる可能性のある EDT フラグメンテーションを防ぎます。以前は、このオプションはデフォルトで無効になっていました。管理者はICAパラメータ設定を使用してオプションを有効にする必要がありました。

    [CGOP-22615]

NetScaler Web App Firewall

  • CLIまたはAPIを使用してCitrix Web App Firewall ールの署名を有効にする

    CLIコマンドまたはAPI呼び出しを使用して、NetScaler Web App Firewallで個々の署名を有効にできるようになりました。そのためには、署名を ID またはカテゴリで選択し、アクションを設定します。以前は、署名ファイルをアップロードすることによってのみ署名を有効にできました。

    Example-1:

    import appfw signature DEFAULT object_name -sigRuleId 1001 9882 2000 1250 810 -Enabled ON -Action LOG BLOCK

    例 2:
    import appfw signature DEFAULT object_name -sigCategory web-misc -Enabled ON -Action LOG BLOCK

    CLI を使用して個々の署名を追加するには、を参照してください。

    [NSWAF-9333]

  • NetScaler Web App Firewall シグネチャの新しいマッチパターン

    NetScaler Web App Firewall シグネチャでは、次の新しいマッチパターンを選択できるようになりました。

    • コマンドインジェクション
    • SQL インジェクション文法
    • コマンドインジェクション文法

    NetScaler Web App Firewall は、選択したパターンを探して攻撃を分類します。

    注:シグニチャルールパターンを変更できるのは、カスタムシグニチャだけです。

    詳細については、「 署名ルールパターンの追加」を参照してください。

    [NSWAF-9280]

  • WAF をバイパスするか、リクエストを拒否するようにグローバルリストを設定する

    NetScaler Web App Firewall プロファイルのグローバルリストを構成して、Web App Firewall をバイパスしたり、リクエストを拒否したりできるようになりました。受信リクエストがグローバルバイパスリストと一致する場合、Citrix ADCのWeb App Firewallはスキップされます。受信要求がグローバル拒否リストと一致する場合、NetScaler Web App Firewallはそれらの要求をブロックし、定義されたアクションを適用します。

    バイパスリストと拒否リストは、URL、IPv4、および IPv6 アドレスをサポートします。リテラル、PCRE、および式を使用して指定できます。詳しくは、「 グローバルリストを管理してWAFをバイパスするか、リクエストを拒否する」を参照してください。

    [NSWAF-8981]

  • NetScaler Web App Firewall プロファイルの作成を簡略化してCVEから保護しました

    NetScaler Web App Firewall に適切な署名を適用して、Citrix ADCアプライアンスを保護します。他のセキュリティチェックを行わずに、アプライアンスを CVE から保護したい場合があります。この場合、NetScaler Web App Firewall からの残りのチェックを無効にするプロファイルを作成できるようになりました。

    NetScaler Web App Firewall プロファイルで、デフォルトとして CVE オプションを選択します。このオプションでは、署名を追加してバインドするだけで済みます。残りのチェックは自動的に無効になります。以前は、プロファイルからセキュリティチェックを 1 つずつ手動で無効にする必要がありました。

    詳細については、「 Web App Firewall プロファイルの作成」を参照してください。

    [NSWAF-8970]

プラットフォーム

  • VMware vSphere 8.0.0b のサポート

    NetScaler VPXインスタンスがVMware vSphere 8.0.0b(ビルド20513097)をサポートするようになりました。

    [NSPLAT-25844]

  • パブリッククラウドの同じ Autoscaling グループによる複数のサービスのサポート

    パブリッククラウドのバックエンド自動スケーリング機能では、NetScaler VPXインスタンスが同じ自動スケーリンググループの複数のサービスをサポートするようになりました。この機能は Azure、AWS、および GCP クラウドでサポートされています。NetScaler GUIでは、クラウド内の同じ自動スケーリンググループを使用して、さまざまなサービスに対して(異なるポートを使用して)さまざまなクラウドプロファイルを作成できます。

    以前は、NetScaler VPXインスタンスのサポートは、自動スケーリンググループごとに1つのサービスに制限されていました。サービスごとに異なる自動スケーリンググループを追加する必要がありました。

    [NSPLAT-21596]

  • VMware ESXi ハイパーバイザでの SR-IOV 搭載Mellanox ConnectX-4 NIC のサポート

    NetScaler VPX インスタンスは、VMware ESXi ハイパーバイザー上の SR-IOV を搭載した Mellanox ConnectX-4 NIC をサポートするようになりました。

    [NSPLAT-20295]

ポリシー

  • パターンセットにバインドできるパターンの制限の増加

    Citrix ADCアプライアンスでは、50000個のパターンをパターンセットにバインドできるようになりました。パターンセットファイルでは、パターンセットにバインドできるパターンは 10000 個だけです。また、パターンセットをストリーミングで使用する場合、そのパターンセットにバインドできるパターンは 5000 個だけです。ストリーミング用のパターンセットは、リライトアクションの検索パラメータ、HTTP 本文、または TCP ペイロードベースの式で使用されます。以前は、パターンセットにバインドできるパターンは 5000 個まででした。

    [NSPOLICY-2733]

  • クライアント側とサーバー側の UDP ヘッダーとペイロードに関連するすべての表現のサポート

    クライアント側とサーバー側の UDP ヘッダーとペイロードに対して以下の拡張が行われました。

    • UDP プロトコルに関連する式は、クライアント側とサーバー側の式に分けられます。
    • 以前のサポートはクライアント側の式のみで、サーバー側でも同じ式が使用されていました。
    • UDP プロトコルがサーバー側の表現をサポートするようになりました。この式を使用して、UDP送信元ポート、宛先ポート、長さ、チェックサム、およびペイロードを抽出できます。
    • クライアント側の表現も強化され、特定の UDP パケットから長さ、チェックサム、ペイロードを抽出できるようになりました。
    • 下位互換性のため、クライアント側の式がサーバー側で使用されている場合は引き続きサポートされます。Citrixでは、サーバー側にはサーバー側の式を使用することをお勧めします。

    詳細については、「 TCP、UDP、および VLAN データの式」を参照してください。

    [NSPOLICY-1829]

SSL

  • クロス署名証明書検証のサポート

    Citrix ADCアプライアンスはクロス署名証明書検証をサポートするようになりました。証明書が複数の発行者によって署名されている場合、ルート証明書への有効なパスが少なくとも 1 つあれば検証は成功します。

    以前は、証明書チェーン内の証明書の 1 つがクロス署名されていて、ルート証明書へのパスが複数ある場合、ADC アプライアンスはパスを 1 つだけチェックしていました。そのパスが有効でない場合、検証は失敗しました。

    [NSSSL-11259]

システム

  • NetScaler アプライアンスから Prometheus へのメトリクスの直接エクスポートのサポート

    Citrix ADCは、Prometheusへのメトリクスの直接エクスポートをサポートするようになりました。この機能により、Prometheusは外部のエクスポーターを必要とせずに、NetScaler インスタンスから直接メトリクスを取得できます。以前は、Citrix ADCからPrometheusサーバーにメトリックをエクスポートするには、アプライアンスの外部にエクスポーターリソースが必要でした。

    詳しくは、「 Prometheusを使用したCitrix ADCとアプリケーションの監視」を参照してください。

    [NSBASE-17100]

ユーザーインターフェイス

  • systemfile NITRO API の 8 MB のアップロード制限サポート

    systemfile NITRO API の最大アップロード制限が 2 MB から 8 MB に引き上げられました。

    [NSCONFIG-7089]

  • NITRO API レスポンスでの 64 ビットの数値のサポート

    以前は、Citrix ADCアプライアンスは、これらのタイプでは整数応答がサポートされていなかったため、NITRO API応答で符号なし整数または長いプロパティタイプの値を文字列として返していました。また、アプライアンスはダブルデータタイプの stats-counter-rate 値を整数として返しました。

    NITRO API は 64 ビットの整数をサポートするようになりました。このサポートにより、アプライアンスは NITRO API レスポンスで以下を返すことができます。

    • 符号なし整数または長整数データ型の文字列の代わりに正確な整数値を指定します。
    • 整数の代わりにシリアル化された正確なカウンタレート値。

    NITRO API で 64ビット整数サポートを有効にするための新しいクエリパラメータlargeintsupportが導入されました。

    NITRO APIリクエストでlargeintsupportyesに設定すると、Citrix ADCアプライアンスはNITRO APIレスポンスで正確な整数値を返します。largeintsupportnoに設定しても 、以前の機能は保持されます。これもデフォルト設定です。

    [NSCONFIG-5399]

解決された問題

ビルド 13.1-42.47 で対処されている問題

認証、承認、監査

  • Citrix ADCアプライアンスをアップグレードすると、ユーザーはRADIUS認証を使用してCitrix ADCアプライアンスにアクセスできなくなります。

    [NSHELP-33200]

  • NetScaler GUIの[ 認証仮想サーバー ]ページの[ 応答ポリシー ]セクションには、応答側タイプのキャッシュポリシーが表示されません。

    [NSHELP-33111]

  • CWA クライアントまたはネイティブ VPN クライアントによるゲートウェイ認証は、 ns_aaa_relaystate_param_whitelist patset に文字列がないために失敗する可能性があります。

    [NSHELP-33054]

  • SSO 認証情報に間違ったユーザープリンシパル名を使用すると、高度な暗号化タイプの Kerberos SSO 偽装が失敗することがあります。

    [NSHELP-32890、NSHELP-34087]

ボット管理

  • 署名ファイルの形式が無効な場合、ボット署名の処理中にCitrix ADCアプライアンスがクラッシュします。

    [NSHELP-33690]

  • NetScaler GUIでは、ユーザー定義のボット署名に誤った基本バージョンが表示されます。

    [NSHELP-33546]

NetScaler SDXアプライアンス

  • NetScaler SDXアプライアンスをアップグレードすると、まれに管理サービスGUIに次の誤ったイベントが表示されます。

    「SVM バージョンとハイパーバイザーバージョンには互換性がありません」

    [NSHELP-32949]

NetScaler Gateway

  • VPN URLのクラシックポリシーを評価すると、Citrix Gatewayアプライアンスがクラッシュします。

    [NSHELP-33683、CGOP-20369、NSHELP-3402、NSHELP-34030、NSHELP-34052、NSHELP-34076、NSHELP-34077、NSHELP-34100、NSHELP-34151、NSHELP-34180、NSHELP-34243、NSHELP-34276、NSHELP-34327、NSHELP-34327 402]

  • NetScalerアプライアンスをアップグレードすると、RDPプロキシURLがX1ポータルテーマで動作せず、
    「Http/1.1オブジェクトが見つかりません」というメッセージが表示されます。

    [NSHELP-3676、NSHELP-3845、NSHELP-33921、NSHELP-34032]

  • Citrix ADCアプライアンスをアップグレードすると、UDPトラフィックの処理中にアプライアンスがクラッシュする可能性があります。

    [NSHELP-3417、NSHELP-34031]

  • Citrix ADCアプライアンスをアップグレードすると、RDPプロキシURLにアクセスできなくなり、「Http/1.1 Object Not Found」というエラーメッセージが表示されます。この問題は、RDP URL のカスタムパラメータにスペースが含まれている場合に発生します。

    [NSHELP-33333]

  • NetScaler Gateway の高可用性設定では、フェイルオーバー中にプライマリアプライアンスとセカンダリアプライアンスがクラッシュする可能性があります。

    [NSHELP-33198、NSHELP-33483]

  • 一部のVPNセッションは、フェイルオーバー後にセカンダリADCアプライアンスからクリアまたは削除されることがあります。

    [NSHELP-33125]

  • HDX Insightが有効になっていて、ユーザーがログアウト後すぐにStoreFront にログインすると、NetScaler Gateway アプライアンスがクラッシュすることがあります。

    [NSHELP-32907、NSHELP-3079、NSHELP-3289]

  • まれに、VPN展開でSTAモニターを取得中にCitrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-32893]

  • NetScaler Gatewayアプライアンスをアップグレードすると、NetScaler GUIに [構成] > [NetScaler製品との統合] セクションが表示されません。

    [NSHELP-32335]

  • CA証明書のドメインが異なる場合、クライアントデバイスのCA証明書を確認するためのEPAスキャンがCitrix ADCアプライアンスで失敗します。

    [NSHELP-32118]

  • NetScalerアプライアンスでGSLBが有効になっていると、macOS用のCitrix EPAプラグインがクラッシュします。

    [CGOP-22722]

NetScaler Web App Firewall

  • NetScaler Web App Firewallでは、ストリーミングとフィールドの一貫性チェックを有効にすると、ペイロードのオリジンサーバーへの転送が遅れます。その結果、ペイロードの POST メソッドは失敗します。

    [NSHELP-33700]

  • Cookie ハイジャックリダイレクトは、リクエスト URL からクエリパラメータを削除します。その結果、リダイレクトされたリクエストが失敗する可能性があります。

    [NSHELP-363、NSHELP-3812]

負荷分散

  • 同じ GSLB 仮想サーバーを複数の GSLB 仮想サーバーのバックアップとして使用すると、セカンダリノードがクラッシュする可能性があります。

    [NSHELP-3400、NSHELP-3424]

  • GSLB仮想サーバーで次の設定が構成されている場合、NetScalerアプライアンスはGSLBドメインクエリの正しいサービスIPアドレスで応答しません。

    1. ECS オプションは有効です。
    2. 静的近接は負荷分散方法として設定されます。

    [NSHELP-32879]

ネットワーク

  • INC モードの高可用性セットアップでは、HA バージョンの不一致があると、セカンダリノードがプライマリノードから無効なルートを学習する可能性があります。

    [NSHELP-33948]

  • OSPFルーティングが設定されたCitrix ADCアプライアンスでは、OSPFデフォルトルートLSAが存在する場合でも、デフォルトルートはインストールされません。

    [NSHELP-33070]

  • SSHセッションのいくつかの受信パケットのnstraceで、次の条件がすべて満たされると、異なる受信インターフェイス番号と VLAN ID が誤って表示されることがあります。

    • SSHセッションのクライアント用のECMPルートは、Citrix ADCアプライアンスにあります。
    • SSH セッションは数秒間アイドル状態です。

    [NSHELP-32734]

  • ファイル内の SNMPトラップ名dataStreamRateLimitHitがキャメルケースではないため、SNMP MIB ファイルをネットワークモーニングツールにロードできないことがあります。

    [NSHELP-32634]

  • 大規模なNAT 64セットアップでは、内部パケットエンジンの不一致の問題によりCitrix ADCアプライアンスがクラッシュする可能性があります。

    [NSHELP-31985]

  • GSLBサイトのIPアドレスが管理パーティションに設定されているGSLBセットアップでは、アップストリームルーターからのこのGSLBサイトIPアドレスに対するARPリクエストが管理パーティションに到達しません。この問題は、次の条件がすべて満たされた場合に発生します。

    • 共有 VLAN は admin パーティションにバインドされます。
    • 共有VLANには、GSLBサイトのIPアドレスと同じサブネットのSNIP IPアドレス、たとえばSNIP-1が存在します。
    • GSLBサイトのIPアドレスと同じサブネットにある別のSNIP IPアドレス、たとえばSNIP-2が追加され、SNIP-1が削除されます。

    [NSHELP-30552]

プラットフォーム

  • VMXNET3インターフェイスを備えたVMware ESXハイパーバイザー上のCitrix ADC VPXリリース13.1ビルド37.38では、高可用性セットアップで次の動作が見られます。

    高可用性ノード間の通信が確立されていないため、NetScaler VPX HAペアは構成されていません。その結果、ピアノードのステータスは UNKNOWN と表示されます。

    [NSPLAT-25677]

  • ESX vSphere クライアントの OVF テンプレートにプレブートユーザーデータを提供すると、ESXi ホストはプレブート構成を適用しません。

    [NSPLAT-24233、NSPLAT-25551]

  • AWS VPC の DHCP オプションセットに 3 つ以上の DNS サーバー名を設定すると、DNS 解決が失敗します。この問題は、13.1ビルド42.xより前のリリースのCitrix ADC VPXインスタンスで見られます。

    [NSHELP-33171]

  • NetScaler SDX 8015/8400/8600プラットフォームでは、Xenサーバーのメモリ消費量が増加する可能性があります。

    [NSHELP-32260]

  • 10Gインターフェイスを備えたCitrix ADC SDXアプライアンスでは、このインターフェイスで大量のトラフィックが送信されると、送信が停止することがあります。

    [NSHELP-31232]

SSL

  • Citrix ADCアプライアンスのメモリが不足し、TLS 1.3ハンドシェイクの開始中にメモリ割り当て要求が失敗するため、TLS1.3接続の失敗により仮想サーバーがクラッシュします。

    この修正により、TLS 1.3接続は失敗しますが、アプライアンスはクラッシュしません。

    [NSSSL-12200]

  • 仮想サーバーは、次の条件が満たされると、TLS decrypt_error 1.3ハンドシェイクをアラートで誤って終了する可能性があります。

    • クライアントは証明書で認証中です。
    • 仮想サーバーは、OCSPまたはCRLを使用して証明書のステータスチェックを実行するように構成されています。
    • クライアントは、証明書メッセージと証明書検証メッセージの両方を同じ TLS レコードで送信します。

    [NSHELP-33355]

  • DEFAULT 暗号をバインド解除した後、仮想サーバー上のプロトコルバージョンを無効にし、後で説明に記載されているこのプロトコルで暗号をバインドしようとすると、次のエラーメッセージが表示されます。

    No usable ciphers configured on the SSL vserver/service

    暗号は仮想サーバーで有効になっている他のプロトコルでサポートされているため、このメッセージは正しくありません。例:

    暗号名:TLS1-ECDHE-RSA-AES256-SHA
    説明:SSLv3 KX=ECC-DHE AU=RSA ENC=AES (256) MAC=SHA1 HEXCODE=0xC014

    この暗号は、SSLv3 以降のすべてのプロトコル (SSLv3、TLS1、TLS11、TLS12) でサポートされています。仮想サーバーでSSLv3を無効にしてからこの暗号をその仮想サーバーにバインドしようとすると、仮想サーバーでTLS1、TLS11、TLS12プロトコルがまだ有効になっていても警告が表示されます。

    今回の修正により、構成で暗号がサポートされていない場合にのみ警告が表示されます。

    [NSHELP-32739]

  • Citrix ADCアプライアンスでは、1970年より古いnotBefore dateの証明書を構成することはできません。

    [NSHELP-32677]

  • 次の条件が満たされると、Citrix ADCアプライアンスがクラッシュする可能性があります。

    • クライアントは、クライアントハローメッセージの TLS1.3 初期データを SSL Insight 仮想サーバーに送信します。
    • この仮想サーバーでは ECDHE 暗号が有効になっています。

    [NSHELP-31560]

システム

  • RFC(RFC 7230)に準拠していないお客様のアプリケーションは、NetScaler 13.1へのアップグレード後に機能しなくなる可能性があります。この障害は、RFC 7230に準拠するようにCitrix ADCアプライアンスに強制的なコンプライアンスチェックが実施されているために発生します。

    修正の一環として、この特定のコンプライアンスチェックは HTTP プロファイルパラメーター「-markrfc7230NonCompliantInVal」に移動されました。 お客様は、以前に実施されたこのコンプライアンスチェックを無効にできます。

    [NSHELP-34046]

  • Citrix ADCアプライアンスは、次の両方の条件が満たされるとクラッシュする可能性があります。

    • コンテンツ検査デバイスが ADC アプライアンスにリセット (RST) 応答を送信しますが、侵入防止システム (IPS) リソースの 1 つが正しくクリアされていません。
    • 以降のトランザクションでは、同じ IPS リソースにアクセスします。

    [NSHELP-33691]

  • 場合によっては、TIME_WAIT状態のサーバー接続から送信された修正確認を処理しているときに、Citrix ADCアプライアンスがクラッシュすることがあります。

    [NSHELP-33469]

  • Citrix ADCアプライアンスは、解放されたICAP上のリソースにアクセスしようとするとクラッシュする可能性があります。この状態は、ICAP が応答修正 (RESPMOD) モードの場合に発生します。

    [NSHELP-33403]

  • NetScalerアプライアンスは、パーティションからLogstreamデータを一貫して送信することができません。

    [NSHELP-33237]

  • NetScalerアプライアンスは、チャンクされた値の解析に失敗すると接続を中止します。この問題は、Transfer-Encoding ヘッダーに複数の値があり、Chunked が最初の値ではない場合に発生します。

    [NSHELP-32420]

  • Citrix ADCアプライアンスは、サーバー側のTCP接続に関連する修正ACKパケットを処理するとクラッシュする可能性があります。

    [NSHELP-32290]

  • SSLサービスで構成されたNetScalerアプライアンスは、アプライアンスがTCP FIN制御パケットの後にTCP RESET制御パケットを受信するとクラッシュします。

    [NSHELP-31656]

ユーザーインターフェイス

  • JSONタイプのCitrix Web App Firewallプロファイルを作成してプロファイル設定を更新しようとするとJSONエラーオブジェクトに空のリストが表示されます

    [NSUI-18453]

  • システムグローバル設定の一部として Allow Default Partition オプションが有効になっていても、管理者パーティションのセットにバインドされたシステムユーザーアカウントは NITRO API を介してデフォルトパーティションにアクセスできない場合があります。

    [NSHELP-33990]

  • NetScalerボット管理プロファイルのリンクが、[ トラフィック管理] > [コンテンツスイッチング ] ページに正しく表示されません。そのリンクをクリックすると、空白のページが表示されます。この問題は、ボットポリシーをコンテンツスイッチング仮想サーバーにバインドした場合に発生します。

    [NSHELP-33697]

  • ユーザー名またはドメイン名に特殊文字が含まれていると、NetScaler GUIへのログオンが失敗します。

    [NSHELP-33684]

  • 実行中のCitrix ADC構成をクリアすると、 RBAconfig パラメータがNOに設定されていても、従来のTACACS構成で作成されたCitrix ADC管理セッションは切断されます。

    [NSHELP-33655]

  • ユーザーがコンテンツスイッチングポリシーのバインドを表示しても、コンテンツスイッチング仮想サーバーの詳細は [ バインディングの表示] の同じ行に表示されません。

    [NSHELP-33149]

  • シャットダウン時の NITRO API でのパワーオフオプションのサポート

    shutdown NITRO APIは、NetScalerアプライアンスをシャットダウンして電源を切る「-p now」オプションをサポートするようになりました。

    例:

    次のcurlリクエストの例では、 shutdown NITRO APIを「-p now」オプションとともに使用して、IPアドレス192.0.0.33のCitrix ADCアプライアンスをシャットダウンして電源を切ります。

    `curl -v -X POST -H Content-Type: application/json -u nsroot:examplepassword http://192.0.0.33/nitro/v1/config/install?warning=yes -d ‘{“shutdown”: {“args”:”-p now”}}’`

    [NSHELP-32915]

  • NetScaler Web App Firewallのプロファイルを作成し、[ システム] > [レポート] でアプリケーションファイアウォールの構成レポートを生成しようとすると、次のエラーが表示されます。

    「PDF ドキュメントを読み込めませんでした。」

    [NSHELP-32469]

  • クラスタ設定では、NetScaler GUIを使用して仮想サーバーを作成すると、プロトコルリストにTFTPオプションが表示されません。

    [NSHELP-32036]

  • NetScaler GUIでは、[システムログファイル] ページ([構成] > [システム] > [監査] > [Syslogメッセージ ])と [ログ] ページ([構成] > [認証] > [ログ]) がログファイルを読み込めません。

    [NSHELP-30868]

  • NetScaler GUIでは、保存済み構成と実行構成画面([システム] > [診断])に、プレーンテキストではなくHTMLタグが誤って表示されます。

    [NSHELP-27169]

  • コンテンツスイッチポリシーラベルにバインドされたポリシーをCitrix ADC GUIで表示すると、そのポリシーラベルにバインドされたポリシーが他にもあっても、25個のポリシーしか表示されません。

    [NSHELP-23428]

既知の問題

リリース13.1-42.47に存在する問題。

AppFlow

  • HDX Insightは、ユーザーがアクセスできないアプリケーションまたはデスクトップを起動しようとしたことによるアプリケーションの起動失敗を報告しません。

    [NSINSIGHT-943]

認証、承認、監査

  • 管理者は、認証情報が無効であることが原因で発生した認証エラーのカスタムロギングを実行できません。この問題は、NetScaler Responderポリシーがログインエラーのエラーを検出できないために発生します。

    [NSAUTH-11151]

  • ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
    show adfsproxyprofile <profile name>

    回避策:クラスター内のプライマリアクティブNetScalerに接続し、コマンドを実行します。 show adfsproxyprofile <profile name> プロキシプロファイルの状態が表示されます。

    [NSAUTH-5916]

  • 次の手順を実行すると、NetScaler GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。

    • [LDAP 到達可能性をテスト] オプションが開きます。
    • 無効なログイン認証情報が入力され、送信されます。
    • 有効なログイン認証情報が入力され、送信されます。

    回避策:「LDAP 到達可能性のテスト」オプションを閉じて開きます。

    [NSAUTH-2147]

NetScaler SDXアプライアンス

  • 次の条件が満たされている場合、NetScaler SDXアプライアンスでホストされているVPXインスタンスでパケットドロップが表示されます。

    • スループット割り当てモードはバーストです。
    • スループットと最大バーストキャパシティには大きな違いがあります。

    [NSHELP-21992]

NetScaler Gateway

  • Citrix Secure Access関連のレジストリ値が1500文字を超える場合、ログコレクターはエラーログを収集できません。

    [NSHELP-33457]

  • Windows フィルタリングプラットフォーム (WFP) ドライバを使用している場合、VPN の再接続後にイントラネットアクセスが機能しないことがあります。

    [NSHELP-32978]

  • Citrix Secure Accessクライアントのバージョン21.7.1.2以降では、管理者権限のないユーザーが新しいバージョンにアップグレードできません。この問題は、Citrix Secure AccessクライアントのアップグレードがNetScalerアプライアンスから行われる場合にのみ発生します。

    [NSHELP-32793]

  • ユーザーがWindows向けCitrix Secure Access画面の[ホームページ]タブをクリックすると、ページに接続拒否エラーが表示されます。

    [NSHELP-32510]

  • Chrome を使用する Mac デバイスで、2 つの FQDN にアクセス中に VPN 拡張機能がクラッシュします。

    [NSHELP-32144]

  • NetScaler Gateway リリース13.0または13.1のプロキシ設定が空の場合、Citrix SSOによって不適切なプロキシ設定が作成されることがあります。

    [NSHELP-31970]

  • Citrix Secure Accessクライアントのデバッグログ制御は、NetScaler Gateway に依存せず、マシントンネルとユーザートンネルの両方のプラグインUIから有効または無効にできるようになりました。

    [NSHELP-31968]

  • Citrix Secure Accessによって確立されたトンネルの外部にあるリソースへの直接接続は、大幅な遅延または輻輳が発生すると失敗することがあります。

    [NSHELP-31598]

  • カスタマイズされたEPA障害ログメッセージは、NetScaler Gateway ポータルには表示されません。代わりに、「内部エラー」というメッセージが表示されます。

    [NSHELP-31434]

  • ユーザーが Always-On サービスモードで Windows マシンにログインすると、Windows 自動ログオンが機能しないことがあります。マシントンネルはユーザートンネルに遷移しません。「Connecting…」というメッセージが VPN プラグイン UI に表示されます。

    [NSHELP-31357、CGOP-21192、NSHELP-34211]

  • Always on が設定されている場合、aoservice.exe ファイルのバージョン番号(1.1.1.1)が正しくないため、ユーザトンネルが失敗します。

    [NSHELP-30662]

  • [NetworkAccessonVPNFailure]プロファイルパラメーターを[フルアクセス]から[OnlyToGateway]に変更すると、ユーザーはCitrix Gateway アプライアンスに接続できなくなります。

    [NSHELP-30236]

  • ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。この問題を解決するために、次のレジストリ値が導入されます。

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    タイプ: DWORD

    デフォルトでは、このレジストリ値は設定も追加もされません。「SecureChannelResetTimeoutSeconds」の値が0または追加されていない場合、遅延を処理するための修正が機能しません。これはデフォルトの動作です。管理者は、このレジストリをクライアントに設定して修正を有効にする必要があります (つまり、ゲートウェイプラグインが VPN トンネルを正常に確立した直後にホームページを表示する)。

    [NSHELP-30189]

  • Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。

    [NSHELP-29675]

  • macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。

    [NSHELP-28551]

  • クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にCitrix Gateway からログアウトすることがあります。

    [NSHELP-28404]

  • 次の条件を満たす場合、Windows ログオン後に VPN プラグインはトンネルを確立しません。

    • NetScaler Gateway アプライアンスが常時オン機能用に構成されている
    • アプライアンスは、2 要素認証が「オフ」の証明書ベースの認証に設定されています

    [NSHELP-23584]

  • スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。

    [NSHELP-21897]

  • Citrix ADCクラスター設定では、HDX InsightとGateway Insightを同時に有効にすることはできません。

    [CGOP-23570]

  • Windows OSオプションは、NetScaler GUIの事前認証ポリシーと認証アクションの「エクスプレッションエディタ」ドロップダウンリストに表示されません。ただし、GUIまたはCLIを使用して以前のCitrix ADCビルドでWindows OSスキャンをすでに構成している場合は、アップグレードしても機能に影響はありません。必要に応じて CLI を使用して変更できます。

    回避方法:

    設定には CLI コマンドを使用します。

    • nFactor 認証で高度な EPA アクションを設定するには、次のコマンドを使用します。
      add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
    • 従来の事前認証アクションを設定するには、次のコマンドを使用します。
      add aaa preauthenticationaction win_scan_action ALLOW
      add aaa preauthenticationpolicy win_scan_policy "CLIENT.SYSTEM('WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]') EXISTS" win_scan_action

    [CGOP-22966]

  • Windowsログオン機能の前に常時接続VPNを使用したい場合は、NetScaler Gateway 13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースにはない、リリース 13.0 で導入された追加の拡張機能を活用できます。

    [CGOP-19355]

  • Gateway Insight レポートでは、SAML エラーエラーの認証タイプフィールドに「SAML」ではなく「Local」という値が誤って表示されます。

    [CGOP-13584]

  • 高可用性セットアップでは、NetScalerフェイルオーバー中に、NetScaler ADMのフェイルオーバー数ではなくストレージリポジトリ数が増加します。

    [CGOP-13511]

  • ICA接続がMAC Receiverバージョン19.6.0.32またはCitrix Virtual Apps and Desktopsバージョン7.18から起動されると、HDX Insight機能は無効になります。

    [CGOP-13494]

  • EDT Insight 機能が有効になっていると、ネットワークの不一致時にオーディオチャネルに障害が発生することがあります。

    [CGOP-13493]

  • ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承認 ] ダイアログボックスには、選択した言語に関係なく、英語でコンテンツが表示されます。

    [CGOP-13050]

  • 一部の言語では、 Citrix SSOアプリ>ホームページの「ホームページ 」というテキストが切り捨てられます。

    [CGOP-13049]

  • NetScaler GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

    [CGOP-11830]

  • Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。

    [CGOP-7269]

負荷分散

  • 高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

    [NSLB-7679]

  • サービスグループのentityofsトラップの ServiceGroupName 形式は次のとおりです。
    <service(group)name>?<ip/DBS>?<port>

    トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (“?”) は区切り文字として使用されます。Citrix ADCは、疑問符(”?”)。このフォーマットは、NetScaler ADM GUIでも同じように表示されます。これは予想される動作です。

    [NSHELP-28080]

その他

  • 高可用性セットアップで強制同期が実行されると、アプライアンスはセカンダリノードでset urlfiltering parameterコマンドを実行します。
    その結果、セカンダリノードは、「TimeOfDaytoUpdateDB」パラメータで指定された次のスケジュールされた時刻まで、スケジュールされた更新をスキップします。

    [NSSWG-849]

  • レジストリ値が 2000 バイトを超えると、AlwaysOnAllow リストレジストリが期待どおりに動作しません。

    [NSHELP-31836]

  • URLフィルタリングのサードパーティベンダーとの接続の問題が発生した場合、管理CPUの停滞によりNetScalerアプライアンスが再起動することがあります。

    [NSHELP-22409]

ネットワーク

  • DPDKをサポートするCitrix ADC BLXアプライアンスでは、DPDKIntel i350 NICポートではタグ付きVLANはサポートされません。これは、DPDK ドライバに存在する既知の問題であるため、確認されています。

    [NSNET-25299]

  • DPDKを搭載したCitrix ADC BLXアプライアンスは、次の条件をすべて満たすと再起動に失敗することがあります。

    • NetScaler BLXアプライアンスは、hugepagesの小さい数が割り当てられます。たとえば、1G です。
    • NetScaler BLXアプライアンスには多数のワーカープロセスが割り当てられています。たとえば、28 と入力します。

    この問題は、エラーメッセージとして「/var/log/ns.log」に記録されます。

    • BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x

    注:x はワーカープロセス数以下の数です。

    回避策: hugepages 多数の数を割り当ててから、アプライアンスを再起動します。

    [NSNET-25173]

  • DPDKモードのNetScaler BLXアプライアンスは、DPDK簡易機能のため、再起動に少し時間がかかる場合があります。

    [NSNET-24449]

  • DPDKを搭載したCitrix ADC BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。

    • 無効化
    • 有効化
    • リセット

    [NSNET-16559]

  • DebianベースのLinuxホスト(Ubuntuバージョン18以降)では、NetScaler BLXアプライアンスのインストールが次の依存関係エラーで失敗することがあります。

    The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable

    回避策:NetScaler BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。

    • dpkg --add-architecture i386
    • apt-get update
    • apt-get install libc6:i386

    [NSNET-14602]

  • FTPデータ接続の場合、NetScalerアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対してTCP処理は実行しない場合があります。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。

    [NSNET-5233]

  • Citrix ADCアプライアンスは、コールドリスタート後に「ColdStart」SNMPトラップメッセージを生成しない場合があります。

    [NSHELP-27917]

  • NetScalerアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は管理パーティションの新しいメモリ制限に自動的に設定されます。

    [NSHELP-21082]

プラットフォーム

  • NetScalerアプライアンスを13.1~4.x以降のバージョンから次のバージョンのいずれかにダウングレードすると、一部のPythonパッケージがインストールされません。

    • 任意の 11.1 ビルド
    • 12.1-62.21 およびそれ以前
    • 13.0-81.x およびそれ以前

    [NSPLAT-21691]

  • Azureリソースグループからオートスケール設定または仮想マシンスケールセットを削除する場合は、対応するクラウドプロファイル構成をNetScalerインスタンスから削除します。rm cloudprofile コマンドを使用して、プロファイルを削除します。

    [NSPLAT-4520]

  • Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。
    回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノード上で設定する必要があります。

    [NSPLAT-4451]

ポリシー

  • 処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

    回避策: TCP バッファサイズを、処理する必要のあるデータの最大サイズに設定します。

    [NSPOLICY-1267]

SSL

  • NetScaler SDX 22000アプライアンスとNetScaler SDX 26000アプライアンスの異機種クラスタでは、SDX 26000アプライアンスを再起動するとSSLエンティティの構成が失われます。

    回避方法:

    1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:set ssl vserver <name> -SSL3 DISABLED
    2. 構成を保存します。

    [NSSSL-9572]

  • 認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

    [NSSSL-6478]

  • 同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。NetScalerアプライアンスはエラーを返しません。

    [NSSSL-6213]

  • HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。
    ERROR: crl refresh disabled

    [NSSSL-6106]

  • セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

    [NSSSL-4427]

  • SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。

    [NSSSL-4001]

  • 期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。

    [NSSSL-3184、NSSSL-1379、NSSSL-1394]

システム

  • 次の条件が満たされると、TCP 接続の RTT が高くなります。

    • 最大輻輳ウィンドウ(> 4 MB)が高く設定されている
    • TCP NILE アルゴリズムは有効になっています

    NetScalerアプライアンスがNILEアルゴリズムを使用して輻輳制御を行うには、条件がスロースタートのしきい値と最大輻輳ウィンドウを合わせた値を超える必要があります

    そのため、設定された最大輻輳時間帯に達するまで、NetScalerはデータを受け付け続け、最終的にはRTTが高くなります。

    [NSHELP-31548]

  • アプライアンスがクライアントから max_concurrent_stream 設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS 値はデフォルトで 100 に設定されます。

    [NSHELP-21240]

  • mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。

    [NSHELP-10972]

  • まれに、HTTP/2 WebSocket ストリームが作成される前に作成されたストリームが、WebSocket のサーバー側接続が閉じると終了することがあります。

    この問題は、Citrix ADCアプライアンスがHTTP/2 WebSocketの接続多重化をサポートしていないために発生します。

    回避策:以下のコマンドを使用して、関連する HTTP2 プロファイルの接続多重化を無効にします。

    set httpProfile <name> [-conMultiplex ( ENABLED | DISABLED )]

    [NSBASE-17449]

  • クラスタ展開では、CCO 以外のノードで「force cluster sync」コマンドを実行すると、ns.log ファイルには重複するログエントリが含まれます。

    [NSBASE-16304、NSGI-1293]

  • NetScaler ADMをKubernetesクラスターにインストールすると、必要なプロセスが実行されない可能性があるため、期待どおりに動作しません。

    回避策:管理ポッドを再起動します。

    [NSBASE-15556]

  • LogStream トランスポートタイプが Insight に設定されている場合、HDX Insight SkipFlow レコードでクライアント IP とサーバー IP が反転します。

    [NSBASE-8506]

ユーザーインターフェイス

  • NetScaler GUIでは、「ダッシュボード」タブの下にある「ヘルプ」リンクが壊れています。

    [NSUI-14752]

  • CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。

    回避策: NetScaler GUI または CLI を使用して IPsec プロファイル、IP トンネル、および PBR ルールを追加して、Cloudbridge Connectorを構成します。

    [NSUI-13024]

  • GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。

    [NSUI-6838]

  • 高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。

    • HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。

    回避策:HA 同期が完了した後にのみ、手動で HA フェイルオーバーを連続して実行してください(両方のノードが同期成功状態になっています)。

    [NSHELP-25598]

  • あなた(システム管理者)がNetScalerアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたNetScalerアプライアンスにログインできないことがあります。

    1. Citrix ADCアプライアンスをいずれかのビルドにアップグレードします
      • 13.0 52.24 ビルド
      • 12.1 57.18 ビルド
      • 11.1 65.10 ビルド
    2. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
    3. NetScalerアプライアンスを古いビルドにダウングレードします。

    CLI を使用してこれらのシステムユーザーのリストを表示するには、
    コマンドプロンプトで次のように入力します。

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    回避策:この問題を解決するには、以下のいずれかの独立したオプションを使用してください。

    • Citrix ADCアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。
    • アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
    • 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。

    詳細については、 /en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。

    [NSCONFIG-3188]

Citrix ADC 13.1-42.47 リリースのリリースノート