メモ
このリリースノートドキュメントでは、Citrix ADCリリースBuild 13.1〜21.50に存在する機能強化と変更、修正された問題、既知の問題について説明します。
このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティ関連の修正と勧告のリストについては、セキュリティ速報を参照してください。
ビルド 13.1-21.50 以降のビルドは、https://support.citrix.com/article/CTX457048で説明されているセキュリティ脆弱性に対処します。
新機能
ビルド 13.1—21.50 で使用できる機能強化と変更点。
ボット管理
ユーザーの地理的位置に基づくボットレート制限手法
ボットレート制限検出技術により、ユーザーの地理的位置に基づいてトラフィックボットを制限できるようになりました。この設定では、国名を URL または Cookie 名に似た値として設定できます。これにより、国ごとに異なるレート制限を適用できます。以前の検出技術では、クライアントの IP アドレス、セッション、または URL のみに基づいてトラフィックをレート制限できました。
[NSBOT-753]
ヘッドレスブラウザ検出のためのデバイスフィンガープリント (DFP) 技術の拡張
ハッカーは、複数ユーザーアカウントの作成、チケットの予約、価格の廃棄、クレデンシャルスタッフィング、チケットスピン攻撃などのプロセスを自動化することで、ヘッドレスブラウザを介してサーバーリソースにアクセスできます。
ボットプロファイルのデバイスフィンガープリント (DFP) 検出技術が、ヘッドレスボットと Web ドライバーボットを検出するインテリジェンスによって強化されました。ヘッドレスブラウザボットトラフィックを軽減するには、[ヘッドレスブラウザ検出] オプションと [デバイスフィンガープリント検出] 機能を有効にする必要があります。
[NSBOT-747]
NetScalerWeb App Firewall
JSON コマンドインジェクション攻撃に対するきめ細かい緩和
Citrix ADCアプライアンスでは、JSONコマンドインジェクション攻撃に対してきめ細かい緩和を構成できるようになりました。
[NSWAF-8511]
JSON クロスサイトスクリプティング攻撃に対するきめ細かい緩和
Citrix ADCアプライアンスでは、JSONクロスサイトスクリプティング攻撃に対してきめ細かい緩和を構成できるようになりました。
[NSWAF-8510]
JSON SQL インジェクション攻撃に対するきめ細かい緩和
Citrix ADCアプライアンスでは、JSON SQLインジェクション攻撃に対してきめ細かい緩和を構成できるようになりました。
[NSWAF-8509]
負荷分散
強化された望ましい状態 API エラーメッセージ
サービスグループメンバーのIPアドレスが、CS仮想サーバーなどの他のCitrix ADCエンティティにすでに関連付けられている場合に表示されるエラーメッセージが拡張されます。失敗の理由がエラーメッセージで明らかになりました。以前は、エラーメッセージが失敗した理由は不明でした。
[NSLB-9005]
Desired State API は、既存のサーバ IP アドレスと名前の再利用をサポート
Desired State API では、サービスグループメンバーの IP アドレスが既存のサーバと一致する場合でも、サービスグループメンバーをサービスグループにバインドできるようになりました。既存のサーバの IP アドレスと名前は、サービスグループメンバーのバインド中に再利用されます。
以前は、IP アドレスが一致すると、サービスグループメンバーをサービスグループにバインドできませんでした。
[NSLB-9004]
ネットワーク
拡張 ACL の IPv4 データセットにおける CIDR ベースのバインディングのサポート
拡張 ACL は、CIDR 表記で指定された IPv4 アドレス範囲を含む IPv4 データセットをサポートするようになりました。
[NSNET-24452]
DPDKモードでのCitrix ADC BLXアプライアンスのソフトウェア受信側スケーリングのサポート
DPDKモードのCitrix ADC BLXアプライアンスは、より多くのパケットエンジンで構成されており、送信(Tx)および受信(Rx)キューの数が少ないNICポートをサポートしません。
DPDKモードのCitrix ADC BLXアプライアンスは、次の両方の条件が満たされる場合、NICポートを使用しません。
- アプライアンスには、限られた数の送信キュー(Tx)と受信キュー(Rx)をサポートするNICポートがあります。たとえば、7 と入力します。
- アプライアンスは、より多くのパケットエンジンを使用して構成されています。たとえば、28 と入力します。
この問題を解決するために、ビルド13.1 21.x以降、NetScaler BLXアプライアンスはソフトウェア受信側スケーリング(RSS)を使用して、受信したパケットを複数のパケットエンジンにわたってNICポートで効率的に分散します。
ソフトウェア RSS モジュールは、各 NIC ポートに Rx と Tx の論理キューペアを割り当てます。その後、キューペアはパケットエンジン PE-0 にマッピングされます。
NIC ポートの Rx キュー内のパケットごとに、PE-0 は RSS ハッシュアルゴリズムを使用してパケットエンジンを選択します。次に PE-0 は、選択したパケットエンジンにパケットを送信して処理します。パケットの処理が完了すると、PE-0 は NIC ポートの Tx キューにパケットを送信します。
[NSNET-23133]
NetScaler GUI, NetScaler CLI,またはCitrix ADC硝基美联社Iを使用して、内部HTTP GUIサービスを構成します
Citrix ADCアプライアンスでは/etc/httpd.conf
、NetScaler GUIへの接続を管理する内部HTTP GUIサービスの構成ファイルです。
httpd.conf
ファイルを使用して内部HTTP GUIサービスを構成する代わりに、NetScaler GUI、NetScaler CLI、またはCitrix ADC NITRO APIを使用できるようになりました。たとえば、NetScaler CLIを使用して、内部HTTPサービスに一度に接続できるクライアントの最大数を変更できます。
内部 HTTP GUI サービスの名前形式は次のとおりです。nshttpd-gui-
Citrix ADCサービスコマンド操作を使用して、内部HTTP GUIサービスを構成します。
[NSNET-20350]
プラットフォーム
NetScalerMPX 9100プラットフォームのサポート
このリリースでは、NetScaler MPX 9100 プラットフォームがサポートされています。MPX 9110、MPX 9120、およびMPX9130モデルが含まれています。詳細については、「NetScalerMPX 9100」を参照してください。
[NSPLAT-23308]
NetScalerSDX 9100プラットフォームのサポート
このリリースでは、NetScaler SDX 9100プラットフォームがサポートされています。SDX 9120モデルとSDX 9130モデルが含まれています。詳細については、「NetScalerSDX 9100」を参照してください。
[NSPLAT-23299]
AWS および GCP クラウドで SSL-TPS のパフォーマンスを向上させる
パケットエンジン (PE) の重みを均等に分散することで、AWS と GCP クラウドで SSL-TPS のパフォーマンスを向上させることができます。これを行うには、NetScaler CLIで次のコマンドを実行してPEモードを設定します。
set cpuparam pemode [CPUBOUND | Default]
Azure クラウドでは、PE の重みは既定で均等に分散されます。この機能によって Azure インスタンスのパフォーマンスは向上しません。
[NSPLAT-22570]
NetScalerVPXインスタンスでのVMware ESXi 7.0アップデート3cのサポート
NetScalerVPX インスタンスは、VMware ESXi バージョン 7.0 アップデート 3c(ビルド 19193900)をサポートするようになりました。
[NSPLAT-22468]
SSL
Citrix ADCプラットフォームでのSSLチップ使用率の詳細を表示する
リリース 13.1 ビルド 21.x から、Intel Coleto チップおよび MPX 9100 (Lewisburg) プラットフォームに付属する MPX および SDX プラットフォームでの SSL チップ使用率に関する詳細を表示するカウンタが追加されました。サポートされていないプラットフォームでは、これらのカウンタの値は 0.0 と表示されます。
詳細については、Intel Coleto および Lewisberg SSL チップベースのプラットフォームのサポートを参照してください。
[NSSSL-10996]
DTLS を使用した ECDSA 証明書と暗号のサポート
ECDSA 証明書と暗号は、仮想サーバーやサービスなどの DTLS エンティティで使用できるようになりました。
[NSSSL-9535]
システム
TCP オプションヘッダーでのクライアント詳細の送信に関する拡張機能
- Citrix ADCアプライアンスは、最初のデータパケットに加えて、3ウェイハンドシェイクの最後のACKパケットにクライアントIPアドレスを挿入するようになりました。以前は、アプライアンスは最初のデータパケットでのみクライアント IP アドレスを送信していました。
- Citrix ADCアプライアンスは、挿入モード構成のTCPオプションでクライアントポートの送信をサポートするようになりました。この機能を有効または無効にするためのパラメータ
Send Client Port in Tcp Option (sendClientPortInTcpOption)
が TCPプロファイルに導入されました。
[NSBASE-15635]
解決された問題
ビルド 13.1—21.50 で解決されている問題。
認証、承認、監査
SAML構成で使用されているSSL証明書とキーのペアの更新中にエラーが発生すると、Citrix ADCアプライアンスがクラッシュすることがあります。この問題を解決するには、証明書のバインドを解除し、証明書を更新してから再度バインドします。
[NSHELP-30270]
SAMLを使用したログイン要求に「」(一重引用符)以外の空白文字が含まれている場合、ユーザーはCitrix ADCアプライアンスにログインできません。今回の修正により、すべての空白文字が許可されるようになりました。
[NSHELP-29773]
KCD SSOの一部である委任されたユーザーにAS_REQ要求を送信する際、Citrix ADCアプライアンスは、ドメインコントローラー(DC)がすべての暗号化タイプを公開するときに、次の優先度を持つ暗号化タイプを選択します。
- ETYPE_ARCFOUR_HMAC_MD5
- ETYPE_AES128_CTS_HMAC_SHA1_96
- ETYPE_AES256_CTS_HMAC_SHA1_96Instead of
- ETYPE_AES256_CTS_HMAC_SHA1_96
- ETYPE_AES128_CTS_HMAC_SHA1_96
- ETYPE_ARCFOUR_HMAC_MD5
[NSHELP-28681]
認証、承認、および auditing.login.Password を使用すると、認証が失敗することがあります。
[NSHELP-28101]
次の両方の条件が満たされると、Citrix ADCアプライアンスがバックエンドサーバーとSSOループに入り、メモリが蓄積される可能性があります。
- ADC アプライアンスは、バックエンドサーバーとのネゴシエーションおよび NTLM SSO 認証を実行します。
- バックエンドサーバーは両方の認証を実行できません。
[NSHELP-27757]
プライマリコントローラカードとセカンダリコントローラカード間でセッションとキー構成の同期が行われると、Citrix ADCアプライアンスがクラッシュすることがあります。
[NSHELP-26891]
NetScalerSDXアプライアンス
ファクトリパーティションに十分な領域がないためにクリーンインストールが失敗すると、誤ったメッセージが表示されます。
[NSHELP-30136]
[クラスタノードの追加(Add Cluster Node)] ページの [バックプレーン(backplane)] フィールドは、次のいずれかの条件が満たされない
- このノードグループは、レイヤ 3 クラスタ用にすでに存在しています。
- これはレイヤー 2 クラスタです。
[NSHELP-29701]
NetScalerGateway
SAML と EPA が nFactor 認証の連続要素として設定されている場合、VPN クライアントユーザは正常にログアウトできません。今回の修正により、ユーザーは問題なくログアウトできるようになりました。
[NSHELP-30193]
NetScalerGSLBおよびSSL VPNのセットアップで、DTLS ICA接続の処理中にメモリリークが観察されます。その結果、接続が切断され、メモリが増加します。
[NSHELP-30182]
PCoIP アプリとデスクトップをブラウザーから起動すると起動に失敗し、エラーメッセージVMware client missing
が表示されます。この問題は、vmware-view
プロトコルが許可されたプロトコルのリストに追加されていないために発生します。
[NSHELP-30062]
macOS でアンチウイルスの最後のフルシステムスキャンを確認するための EPA スキャンが失敗します。
[NSHELP-29571]
バイナリレスポンスが有効になっていると、NetScaler Gateway VPNフルトンネルが期待どおりに機能しません。その結果、NSAAC Cookie が破損します。今回の修正により、バイナリレスポンスは以前の VPN プラグインで動作するようになりました。ただし、JSON応答と互換性のある最新のVPNプラグインを使用することをお勧めします。
[NSHELP-28729]
負荷分散
パーティション化されたCitrix ADCアプライアンスは、追加のヘッダー(EDNS)を含むDNS要求パケットの処理中にコアをダンプすることがあります。
[NSHELP-30796]
Autoscale DNS デプロイメントでは、TROFS 状態のメンバーはヘルスチェックの失敗を検出して応答しません。
[NSHELP-29628]
次の条件が満たされると、書き換えポリシーを負荷分散仮想サーバーにバインドしているときに、Citrix ADCアプライアンスがクラッシュすることがあります。
- 2 つ目の式を評価すると、進行中の 1 つ目の式のポリシー状態変数が上書きされます。
- DETERMINE_SERVICES ポリシーの状態変数は、負荷分散仮想サーバーによって定義されたルールによって上書きされます。
[NSHELP-29449]
show serviceコマンドを実行したときに表示されるモニタの応答時間が正しくない場合があります。
[NSHELP-28994]
SMPP 再試行メッセージは、要求が成功した場合でもクラスタ内のすべてのノードに送信されます。このシナリオでは、Citrix ADCアプライアンスのメモリ消費量が高くなります。
[NSHELP-28332]
ネットワーク
NetScalerBLXアプライアンスをリリース13.1ビルド17.xにアップグレードすると、アプライアンスが起動しないことがあります。
[NSNET-25002]
jsonschema
ホストにpythonモジュールがない場合、RHELベースのLinuxホストへのCitrix ADC BLXアプライアンスのインストールは失敗します。
[NSNET-24638]
NetScalerBLXアプライアンスをDPDKでアップグレードすると、次の条件がすべて満たされると失敗します。
- NetScalerBLX アプライアンスは Debian ベースの Linux ホストで実行されています
- Citrix ADCリリース13.0ビルド82.x以前からリリース13.1ビルド17.xへのアップグレードが行われます。
[NSNET-24622]
ポート設定で TCP ACL ルールを設定した後に ICMP ACL ルールを設定すると、次の問題が発生する場合があります。
- Citrix ADCアプライアンスは、TCP ACLの同じポート設定をICMP ACLにも誤って追加します。
[NSHELP-31114]
次の条件が満たされると、GUI を使用して INAT ルール内のプライベート IP アドレスを変更すると失敗します。
- INAT ルールでは接続フェールオーバーが有効になっています。
[NSHELP-30792]
Citrix ADCアプライアンスのシリアルコンソールで、VTYSHプロンプトまたはシェルプロンプトに出力が表示されないことがあります。
[NSHELP-30446]
IP セットが既にバインドされているネットプロファイルを変更すると、次のエラーで失敗することがあります。
IP set is already bound to the network profile
[NSHELP-29363]
大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にCitrix ADCアプライアンスがクラッシュすることがあります。
- アプライアンスの LSN モジュールの参照カウントのフィルタリングとマッピングは 0 以外です。
[NSHELP-28842]
プラットフォーム
仮想マシンが起動の初期段階にある場合、AzureクラウドでホストされているCitrix ADC VPXインスタンスのシリアルコンソールにはアクセスできません。
[NSPLAT-23010]
NetScalerVPX HA フェイルオーバー中に、IP セットを IP アドレスにバインドせずに IPset を構成すると、AWS クラウドでの Elastic IP アドレスの移動が失敗します。
[ NSHELP-29425 ]
SSL
RC4 暗号スイートは、Illegal parameter error
メッセージ付きの SSL ハンドシェイク中に失敗します。
[NSSSL-11463]
SSLインターセプトが有効になっていて、期限切れの証明書を使用してバックエンドサーバーにアクセスする複数の並列要求がある場合、Citrix ADCアプライアンスがクラッシュします。
[NSHELP-29520]
クラスタのセットアップでは、次の問題が発生する可能性があります。
- CLIP の SSL 内部サービスにバインドするデフォルトの証明書とキーのペアに対するコマンドがありません。ただし、古いビルドからアップグレードする場合は、デフォルトの証明書とキーのペアを、CLIP 上の影響を受ける SSL 内部サービスにバインドする必要があります。
- 内部サービスに対するデフォルトの set コマンドの CLIP とノード間の設定の不一致。
- ノードで実行される show running config コマンドの出力で、SSL エンティティに対するデフォルトの暗号バインドコマンドがありません。省略は表示上の問題にすぎず、機能への影響はありません。このバインディングは show ssl
コマンドを使用して表示できます。
[NSHELP-25764]
システム
次のいずれかの状況が発生すると、Citrix ADCアプライアンスがクラッシュします。
- syslog アクションはドメイン名で設定され、GUI または CLI を使用して設定をクリアします。
- 高可用性同期はセカンダリノードで行われます。[NSHELP-30987、NSHELP-28121、NSHELP-29843]
Citrix ADCアプライアンスから転送されるすべてのデータパケットには、構成されたTTL値ではなく、クライアントまたはサーバーから送信された値が含まれます。
[NSHELP-30683]
Citrix ADCアプライアンスは、HTTP以外のデータパケットの一部をバックエンドサーバーに転送できません。
[NSHELP-30192]
特定のシナリオでは、次の条件が満たされた場合、Citrix ADCアプライアンスは一部のHTTPパケットをバックエンドサーバーに転送しません。
- NetScaler機能が内部でHTTPパケットのクローンを作成する場合。
[NSHELP-29958]
Citrix ADCアプライアンスが、IPv6トランザクションに関連するAppFlowレコードにIPv4アドレスを誤って追加することがあります。
[NSHELP-29261]
ICAPモジュールからクライアントへのチャンク応答を再生すると、Citrix ADCアプライアンスがクラッシュすることがあります。
[NSHELP-28788]
Pitboss 障害は、再送信キューに大量のパケットをループさせると発生します。
[NSHELP-26071]
TCP プロトコルを使用して外部 SYSLOG サーバにログインすると、一部の SYSLOG メッセージがドロップされます。
[ NSHELP-24522 ]
特定のシナリオでは、IP アドレスベースのフィルタを適用すると、nstrace パケットキャプチャですべてのパケットが失われます。
[NSHELP-23483]
ユーザーインターフェイス
NetScalerGUIでキャッシュフィルタリングが期待どおりに機能しないことがあります。
[NSHELP-30392]
Citrix ADCアプライアンスが外部認証サーバーを使用するように構成されている場合、グローバルに無効に設定されているrbaonResponseパラメーターに関係なく、statコマンドの実行が遅れることがあります。パラメータは GUI または CLI から無効にできます。
[NSHELP-30289]
NetScalerGUIはRAPI呼び出しを処理しないため、GUIの一部のコンポーネントが応答しなくなります。
[NSHELP-30231]
場合によっては、NetScaler GUIの[SSLキー]タブからSSLキーを読み込めないことがあります。
[NSHELP-28870]
フィルター付きの NITRO GET リクエストに対する API レスポンスには、フィルターに記載されていない場合でも追加情報が含まれている場合があります。
[NSHELP-28598]
管理パーティションの設定で、証明書失効リスト (CRL) ファイルのアップロードと追加が失敗する。
[NSHELP-20988]
既知の問題
リリース 13.1 ~ 21.50 に存在する問題。
AppFlow
HDX Insightは、ユーザーがアクセスできないアプリケーションまたはデスクトップを起動しようとしたことによるアプリケーションの起動失敗を報告しません。
[ NSINSIGHT-943 ]
認証、承認、監査
NetScalerアプライアンスは、重複したパスワードログインの試行を認証せず、アカウントのロックアウトを防ぎます。
[ NSHELP-563 ]
DualAuthPushOrOTP.xml LoginSchemaが、NetScaler GUIのログインスキーマエディタ画面に正しく表示されません。
[NSAUTH-6106]
ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。show adfsproxyprofile
回避方法:
クラスタ内のプライマリのアクティブなCitrix ADCに接続し、show adfsproxyprofile
コマンドを実行します。プロキシプロファイルの状態が表示されます。
[ NSAUTH-5916 ]
次の手順を実行すると、NetScaler GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。
- [LDAP 到達可能性をテスト] オプションが開きます。
- 無効なログイン認証情報が入力され、送信されます。
- 有効なログイン認証情報が入力され、送信されます。
回避方法:
[LDAP 到達可能性のテスト] オプションを閉じて開きます。
[NSAUTH-2147]
キャッシュ
統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、Citrix ADCアプライアンスがクラッシュすることがあります。
[NSHELP-22942]
NetScalerSDXアプライアンス
NetScalerSDXアプライアンスでは、CLAGがMellanox NIC上に作成されている場合、VPXインスタンスの再起動時にCLAG MACが変更されます。VPXインスタンスへのトラフィックは再起動後に停止します。これは、MACテーブルに古いCLAG MACエントリがあるためです。
[NSSVM-4333]
Mellanox NICを搭載したCitrix ADC SDXアプライアンスで、Mellanox NICを持つVPXインスタンスのスループットを変更すると、VPXインスタンスが再起動します。
[NSHELP-31305]
NetScalerSDXアプライアンスをリリース13.1ビルド21.50以降にアップグレードすると、SSL復号化とMAC比較が失敗することがあります。その結果、SSLハンドシェイクの失敗、VPXステータスのフラッピング、VPXインスタンスGUIの利用不能、仮想サーバーとアプリケーションのダウンが発生する可能性があります。
注:この問題は、SDX 8900、SDX 15000、SDX 15000-50G、SDX 26000、およびSDX 26000-50Sのプラットフォームで発生します。
[NSHELP-31672]
NetScalerGateway
場合によっては、ポート53を使用する一部の非DNSプロトコル(STUNなど)の問題が原因で、macOS向けのCitrix Secure Accessが接続を切断することがあります。
[NSHELP-31004]
Always on が設定されている場合、aoservice.exe ファイルのバージョン番号(1.1.1.1)が正しくないため、ユーザトンネルが失敗します。
[ NSHELP-30662 ]
[NetworkAccessonVPNFailure]プロファイルパラメーターを[フルアクセス]から[OnlyToGateway]に変更すると、ユーザーはCitrix Gateway アプライアンスに接続できなくなります。
[ NSHELP-30236 ]
Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。
[ NSHELP-29675 ]
サーバー証明書が信頼されていると、サーバー検証コードが失敗することがあります。その結果、エンドユーザーはゲートウェイにアクセスできなくなります。
[NSHELP-28942]
macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。
[ NSHELP-28551 ]
クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にCitrix Gateway からログアウトすることがあります。
[ NSHELP-28404 ]
GUI を使用してクラシック認可ポリシーをバインド解除することはできません。ただし、CLI を使用して認証、承認、および監査認可ポリシーのバインドを解除することはできます。
今回の修正により,GUIを使用して承認ポリシーのバインドを解除できるようになりました。
[NSHELP-27064]
高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。
- HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。
回避方法:
HA 同期が完了した後(両方のノードが同期成功状態にある)のみ、手動の HA フェールオーバーを連続して実行します。
[ NSHELP-25598 ]
Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。
[NSHELP-23937]
次の条件を満たす場合、Windows ログオン後に VPN プラグインはトンネルを確立しません。
- NetScalerGateway アプライアンスが常時オン機能用に構成されている
- アプライアンスは 2 要素認証
off
による証明書ベースの認証用に設定されています。
[ NSHELP-23584 ]
スキーマを参照しているときに、エラーメッセージCannot read property 'type' of undefined
が表示されることがあります。
[ NSHELP-21897 ]
Windowsログオン機能の前に常時接続VPNを使用したい場合は、NetScaler Gateway 13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を活用できます。
[ CGOP-19355 ]
無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight で報告されません。
[ CGOP-13621 ]
SAMLエラーエラーの場合,网关Insightレポートの [認証タイプ] フィールドの値SAML
が誤ってLocal
と表示される。
[ CGOP-13584 ]
高可用性セットアップでは、Citrix ADCフェールオーバー中に、NetScaler ADM フェイルオーバーカウントの代わりにSRカウントが増加します。
[ CGOP-13511 ]
ICA接続をMACレシーバーバージョン19.6.0.32またはCitrix Virtual Apps and Desktopsバージョン7.18から起動すると、HDX Insight機能は無効になります。
[ CGOP-13494 ]
EDT Insight機能を有効にすると、ネットワークの不一致時にオーディオチャンネルが失敗することがあります。
[ CGOP-13493 ]
ブラウザからローカルホスト接続を受け入れると、macOS の [ 接続の承認 ] ダイアログボックスには、選択した言語に関係なく、英語でコンテンツが表示されます。
[ CGOP-13050 ]
一部の言語では、Citrix SSOアプリ > ホームページのテキストHome Page
が切り捨てられます。
[ CGOP-13049 ]
NetScalerGUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。
[ CGOP-11830 ]
Outlook Web App (OWA) 2013 では、[設定] メニューの [オプション] をクリックすると、重大なエラーダイアログボックスが表示されます。また、ページが応答しなくなります。
[ CGOP-7269 ]
負荷分散
高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。
[ NSLB-7679 ]
entityofs
サービスグループのトラップの ServiceGroupName 形式は次のとおりです。
トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (?
) はセパレータとして使用されます。Citrix ADCは、疑問符(?
)付きのトラップを送信します。このフォーマットは、NetScaler ADM GUIでも同じように表示されます。これは予想される動作です。
[ NSHELP-28080 ]
その他
高可用性セットアップで強制同期が行われると、アプライアンスはセカンダリノードでset urlfiltering parameter
コマンドを実行します。 その結果、セカンダリノードは、TimeOfDayToUpdateDB
パラメータで指定された次のスケジュールされた時刻まで、スケジュールされた更新をスキップします。
[NSSWG-849]
URLフィルタリングのサードパーティベンダーで接続の問題が発生した場合、管理CPUの停滞によりCitrix ADCアプライアンスが再起動することがあります。
[ NSHELP-22409 ]
ネットワーク
DPDKをサポートするCitrix ADC BLXアプライアンスでは、DPDKIntel i350 NICポートではタグ付きVLANはサポートされません。これは、DPDK ドライバに存在する既知の問題であるため、確認されています。
[ NSNET-25299 ]
DPDKを搭載したCitrix ADC BLXアプライアンスは、次の条件をすべて満たすと再起動に失敗することがあります。
- NetScalerBLXアプライアンスは、
hugepages
の小さい数が割り当てられます。たとえば、1G です。 - NetScalerBLXアプライアンスには多数のワーカープロセスが割り当てられています。たとえば、28 と入力します。
この問題は、/var/log/ns.log
にエラーメッセージとして記録されます。
BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x
注:x はワーカープロセス数以下の数です。
回避方法:
多数のhugepages
を割り当て、アプライアンスを再起動します。
[ NSNET-25173 ]
DPDKを搭載したCitrix ADC BLXアプライアンスは、次の条件が満たされると再起動に失敗することがあります。
- NetScalerBLXアプライアンスには
hugepages
の大きい数が割り当てられます。たとえば、16 GB と入力します。
この問題は、/var/log/ns.log
にエラーメッセージとして記録されます。
EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files
回避方法:
この問題を解決するには、次のいずれかの回避策を使用します。
ulimit
コマンドを使用するか、limits.conf
ファイルを編集して、Linux ホストで開くことができるファイルの上限を増やします。- 割り当てられた
hugepages
の数を減らします。
[NSNET-24727]
DPDKモードのNetScaler BLXアプライアンスは、DPDK簡易機能のため、再起動に少し時間がかかる場合があります。
[ NSNET-24449 ]
DPDKを搭載したCitrix ADC BLXアプライアンスのIntelX710 10G (i40e)
インターフェイスでは、次のインターフェイス操作はサポートされていません。
- 無効化
- 有効化
- リセット
[ NSNET-16559 ]
DebianベースのLinuxホスト(Ubuntuバージョン18以降)では、NetScaler BLXアプライアンスのインストールが次の依存関係エラーで失敗することがあります。
The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable
回避方法:
NetScalerBLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。
- dpkg –add-architecture i386
- apt-get update
- apt-get dist-upgrade
- apt-get install libc6:i386
[ NSNET-14602 ]
FTPデータ接続の場合、NetScalerアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対してTCP処理は実行しない場合があります。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。
[ NSNET-5233 ]
Citrix ADCアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリの制限は、管理パーティションの新しいメモリ制限に自動的に設定されます。
[ NSHELP-21082 ]
プラットフォーム
高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および NetScaler VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。
- Citrix ADCアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
- その後、Citrix ADCアプライアンスを再起動します。
[ NSPLAT-22013 ]
13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがCitrix ADCアプライアンスにインストールされません。この問題は、次のNetScalerバージョンで修正されています。
- 13.1-4.x
- 13.0—82.31 およびそれ以降
- 12.1—62.21 およびそれ以降
NetScalerバージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。
- 任意の 11.1 ビルド
- 12.1—62.21 およびそれ以前
- 13.0-81.x およびそれ以前
[ NSPLAT-21691 ]
NetScalerSDXアプライアンスのクラスタセットアップで、次の条件が満たされると、2番目のノードとCLIPでCLAG MACの不一致があります。
- CLAG はMellanox NIC 上に作成されます。
- クラスターとCLAGセットアップに別のVPXインスタンスを追加します。
その結果、VPXインスタンスへのトラフィックが停止します。
[NSPLAT-21049]
NetScalerSDXアプライアンスでのクラスター設定では、次の条件が満たされると、CLIPテーブルとMACテーブルでMACアドレスが一致しないため、最初のノードがダウンします。
- CLAG はMellanox NIC 上に作成されます。
- クラスタから 2 つ目のノードを削除します。
[NSPLAT-21042]
Azureリソースグループからオートスケール設定または仮想マシンスケールセットを削除する場合は、対応するクラウドプロファイル構成をNetScalerインスタンスから削除します。rm cloudprofile
コマンドを使用して、プロファイルを削除します。
[ NSPLAT-4520 ]
Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。 回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノードで設定する必要があります。
[ NSPLAT-4451 ]
Citrix ADCリリース13.1以降、Citrix ADCアプライアンスは、8つを超えるVMXNET3ネットワークインターフェイスを備えたESXiハイパーバイザーで起動に失敗します。
[NSHELP-31266]
ポリシー
処理データのサイズが、設定されたデフォルトの TCP バッファサイズを超えると、接続がハングすることがあります。回避策:TCP バッファサイズを、処理が必要なデータの最大サイズに設定します。
[ NSPOLICY-1267 ]
一部のシナリオでは,AppExpert変数のクリア操作で割り当てアクションを使用すると、Citrix ADCアプライアンスがクラッシュすることがあります。
[NSHELP-29766]
SSL
NetScalerSDX 22000アプライアンスとNetScaler SDX 26000アプライアンスの異機種クラスタでは、SDX 26000アプライアンスを再起動するとSSLエンティティの構成が失われます。
回避方法:
- CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:
set ssl vserver
。-SSL3 DISABLED - 構成を保存します。
[ NSSSL-9572 ]
認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。
[ NSSSL-6478 ]
同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。NetScalerアプライアンスはエラーを返しません。
[ NSSSL-6213 ]
HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。 エラー:CRL 更新は無効です
[ NSSSL-6106 ]
セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)
[ NSSSL-4427 ]
SSL プロファイルの SSL プロトコルまたは暗号を変更しようとすると、不正な警告メッセージWarning: No usable ciphers configured on the SSL vserver/service,
が表示されます。
[ NSSSL-4001 ]
期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。
[ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]
MPX 8900およびMPX 15000 FIPS認定アプライアンスでは、ECDHEトラフィックを実行するとメモリリークが発生する可能性があります。
[NSHELP-30744]
rc.netscalerファイルの一部であるカスタマイズは、システムの初期化中に実行されないため、適用されません。
[NSHELP-31914]
システム
アプライアンスがクライアントから max_concurrent_stream 設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS 値はデフォルトで 100 に設定されます。
[ NSHELP-21240 ]
mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。
[ NSHELP-10972 ]
クラスタ展開では、CCO以外のノードでforce cluster sync
コマンドを実行すると、ns.log ファイルに重複するログエントリが含まれます。[NSBASE-16304、NSGI-1293]
NetScalerADMをKubernetesクラスターにインストールすると、必要なプロセスが実行されない可能性があるため、期待どおりに動作しません。
回避策:管理ポッドを再起動します。
[ NSBASE-15556 ]
LogStreamトランスポートタイプがInsight用に構成されている場合、HDX Insight SkipFlowレコードでは、クライアントIPとサーバーIPが反転します。
[NSBASE-8506]
Citrix ADCアプライアンスは、ヘッダー名フィールドにドット(”.”)の付いたカスタムHTTPヘッダーを含むパケットをドロップします。このアクションは、allowOnlyWordCharactersAndHyphen
パラメータがデフォルトの HTTP プロファイルでデフォルトで有効になっているために発生します。
回避策:デフォルトの HTTPプロファイルでallowOnlyWordCharactersAndHyphen
を無効にします。ただし、Citrix では有効にしておくことをお勧めします。
[NSBASE-16722]
ユーザーインターフェイス
MQTT リライト機能では、GUI のエクスプレッションエディタを使用してエクスプレッションを削除することはできません。
回避方法:
CLI から MQTT タイプの add または edit action コマンドを使用します。
[ NSUI-18049 ]
NetScalerGUIでは、Dashboard
タブの下にあるHelp
リンクが壊れています。
[ NSUI-14752 ]
CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。
回避方法:
NetScalerGUIまたはCLIを使用して、IPsecプロファイル、IPトンネル、およびPBRルールを追加して、Cloudbridgeコネクタを構成します。
[ NSUI-13024 ]
GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。
[ NSUI-6838 ]
NetScalerBLXアプライアンスの高可用性セットアップでは、プライマリノードが応答しなくなり、CLIまたはAPI要求がブロックされることがあります。
回避方法:
プライマリノードを再起動します。
[NSCONFIG-6601]
あなた(システム管理者)がNetScalerアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたNetScalerアプライアンスにログインできないことがあります。
- Citrix ADCアプライアンスをいずれかのビルドにアップグレードします。
- 13.0 52.24 ビルド
- 12.1 57.18 ビルド
- 11.1 65.10 ビルド
- システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
- NetScalerアプライアンスを古いビルドにダウングレードします。
CLI を使用してこれらのシステムユーザーの一覧を表示するには、 コマンドプロンプトで次のように入力します。
query ns config -changedpassword [-config
回避方法:
この問題を修正するには、次の独立したオプションのいずれかを使用します。
- Citrix ADCアプライアンスがまだダウングレードされていない場合(前述の手順の手順3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してCitrix ADCアプライアンスをダウングレードします。
- アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
- 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。
詳細については、「ルート管理者 (nsroot) パスワードをリセットする方法」を参照してください。
[ NSCONFIG-3188 ]