-
-
-
VMware ESX、Linux KVM、およびCitrix HypervisorでNetScaler ADC VPXのパフォーマンスを最適化する
-
-
NetScalerアプライアンスのアップグレードとダウングレード
-
-
-
-
-
-
-
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
NetScaler 13.1—12.51 リリースのリリースノート
このリリースノートドキュメントでは、NetScalerリリースBuild 13.1—12.51に存在する機能強化と変更、修正された問題と既知の問題について説明します。
ビルド 13.1 ~ 12.51 は、ビルド 13.1 ~ 12.50 を置き換えます。
このビルドには、NSWAF-8668 の問題の修正も含まれています。
メモ
このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティ関連の修正と勧告のリストについては、セキュリティ速報を参照してください。
新機能
ビルド 13.1 ~ 12.51 で利用できる機能強化と変更。
認証、承認、監査
最新バージョンの Intune NAC API のサポート
Intune NAC API の最新バージョンでは、NetScaler Gateway の Intune ネットワークアクセス制御(NAC)のサポートが強化されました。
[NSAUTH-9722]
接続プロキシを使用した nFactor 認証のための GSLB アクティブ/アクティブ展開のサポート
接続プロキシを使用した nFactor 認証の GSLB アクティブ/アクティブ展開のサポートが追加されました。このサポートは、NetScaler Gateway と認証、承認、監査の両方のシナリオに適用されます。 現在、nFactor 認証にさまざまな要素が設定されていて、ゲートウェイが GSLB 用に設定されている場合、クライアントのリクエストが異なる GSLB サイトに到達すると、認証が中断する可能性があります。
たとえば、LDAP が第 1 要素として設定され、RADIUS が 2 番目の要素として設定されている場合、次のシナリオでは認証が中断される可能性があります。
- LDAP に対するクライアント要求が GSLB サイト 1 に届く。
- RADIUS要求は GSLB サイト 2 に到着します。 認証を完了してトラフィックを処理するために、要求を正しい GSLB サイトにルーティングするために、接続プロキシが使用されるようになりました。
[NSAUTH-7141]
NetScaler SDXアプライアンス
NetScaler SDXアプライアンスでは、管理サービスがバックグラウンドでNetScalerインスタンスをポーリングして、SSL証明書、ネットワーク機能、構成監査などの操作を確認します。これで、要件に応じてこのポーリングを有効または無効にできます。このポーリングを無効にすると、管理サービスと ADC インスタンスのパフォーマンスが向上します。
[NSSVM-4991]
NetScaler Web App Firewall
JSON セキュリティーチェック (SQL、CMD、および XSS) の冗長ロギング
NetScalerアプライアンスでは、JSONセキュリティチェック用のパターン、パターンペイロード、HTTPヘッダーの詳細などの違反の詳細をログに記録するための詳細なログレベルパラメーターを構成できるようになりました。ログの詳細は、監視とトラブルシューティングのためにNetScaler Consoleサーバーに送信されます。詳細ログメッセージは ns.log ファイルには保存されません。
[NSWAF-8269]
Web App Firewall Classic 監査ログポリシーを廃止する
Web App Firewall ポリシーをグローバルにバインドするために、bind audit syslogGlobalおよびbind audit nslogGlobalコマンドで新しいグローバルバインディングタイプAPPFW_GLOBALを構成できるようになりました。グローバルバインドされた監査ログポリシーは、Web App Firewall のロギングコンテキストで評価されます。
[NSWAF-406]
負荷分散
MQTT プロトコルの書き換えポリシーサポート
リライト機能で MQTT プロトコルがサポートされるようになりました。MQTT クライアント要求とサーバ応答のパラメータに基づいてアクションを実行するように、書き換えポリシーを設定できます。
[NSLB-8661]
サービスの優先順位
サービスの優先順位機能を使用すると、負荷分散の選択プリファレンスに基づいて、サービスまたはサービスグループの順序に優先順位を付けることができます。サービスまたはサービスグループを LB または GSLB 仮想サーバにバインドするときに、サービスの選択順序を設定できるようになりました。新しいパラメータ-order <number> が bind コマンドに追加され、サービスセレクションプリファレンスが設定されます。
既定では、最小の順序番号が優先されます。ただし、この既定の選択動作を延期することはできます。新しい LB action コマンドと policy コマンドを使用して、着信クライアントトラフィックに基づいてサービスセレクション順序を設定できるようになりました。
サービスの優先順位付け機能は、より少ない構成コマンドでプライマリおよびバックアップ仮想サーバチェーン機能の動作を模倣します。
[NSLB-8039]
ネットワーク
セッションレス負荷分散を設定するには、IP Tunnel 外部ヘッダーにクライアント IP アドレスを挿入します
次の設定のセッションレス負荷分散構成では、カプセル化器のNetScalerアプライアンスは、IPトンネルの外部ヘッダーのソースIPとして、クライアントIPアドレスではなくSNIPアドレスを使用します。
-
負荷分散仮想サーバ:
- リダイレクションモード (m): IP トンネル
-
セッションレス:有効
-
IP トンネルグローバルパラメータ:
- クライアントソース IP アドレスを使用 (useClientSourceIP): 有効
ただし、一部のシナリオでは、トンネルカプセル化解除(バックエンド NetScaler またはバックエンドサーバー)がクライアントのIPアドレスを認識する必要があります。
この要件を満たすために、NetScalerアプライアンスは、IPトンネルの外部ヘッダーのソースIPとしてクライアントIPアドレスを使用するようになりました。
詳細については、「IP Over IP を使用して DSR モードで負荷分散を構成する」を参照してください。
[NSNET-21804]
プラットフォーム
VMware ESXi イメージが仮想ハードウェアバージョン 13 まで起動する
VMware ESXiイメージ(12.1以降)からNetScaler VPXインスタンスを展開すると、仮想マシンはデフォルトでハードウェアバージョン13で起動します。
[NSPLAT-21416]
Citrix Hypervisor でのIntel イーサネットコントローラー X710 および XL710 シリーズのサポート
Citrix Hypervisorで実行されているNetScaler VPXインスタンスを、次のNICでシングルルートI/O仮想化(SR-IOV)を使用して構成できるようになりました。
- Intel X710 10G
- Intel XL710 40G
[NSPLAT-21410]
AWS 共有 VPC でプライベート IP アドレスを使用して VPX 高可用性ペアをデプロイする
AWS 共有仮想プライベートクラウド (VPC) を使用して、異なる AWS ゾーンのプライベート IP アドレスを使用して VPX 高可用性ペアをデプロイできるようになりました。VPC 共有により、複数の AWS アカウントがアプリケーションリソースを、一元管理された共有の VPC に作成できます。NetScaler VPX インスタンスは、AWS 共有 VPC 内に作成できます。共有 VPC を使用すると、作成および管理する VPC の数が減り、請求とアクセスコントロールには個別のアカウントが使用されます。
[NSPLAT-21401]
SSL
JA3 SSL フィンガープリントに基づいてマルウェアを検出する新しい表現
新しい SSL 式 CLIENT.SSL.JA3_FINGERPRINT が追加されました。この式は、設定された JA3 フィンガープリントとリクエストを比較することで、悪意のあるリクエストを識別するのに役立ちます。
例:
add ssl policy ja3_pol -rule "CLIENT.SSL.JA3_FINGERPRINT.EQ(bb4c15a90e93a25ddc16274395bce4c6)" -action reset
[NSSSL-10156]
クラスタでの証明書バンドルのサポート
証明書バンドルがクラスタセットアップでサポートされるようになりました。
[NSSSL-9854]
SSL 証明書バンドルのサポート
証明書バンドル機能が拡張され、バンドルがエンティティとして扱われるようになりました。したがって、中間証明書ごとにファイルを作成する必要はありません。2 つの証明書バンドルで、中間証明書チェーンの一部を共有できるようになりました。証明書バンドルの一部でもある同じサーバ証明書とキーを使用して、証明書とキーのペアを追加することもできます。証明書バンドルの削除も簡略化されます。
以前は、証明書バンドルを追加すると、設定に複数のコマンドが追加されていました。2 つのバンドルが共通の中間証明書を共有している場合、別の証明書バンドルを追加することはできません。削除も手動のプロセスでした。
[NSSSL-9425]
システム
html インジェクション関連のコマンドは 13.1 リリースで削除されました。この変更により、すべてのバックエンドコードが削除されます。
[NSBASE-14742]
解決された問題
ビルド 13.1—12.51 で対処される問題。
認証、承認、監査
電子メールOTPが構成されている場合、NetScalerアプライアンスがクラッシュします。
[NSHELP-29312]
ネイティブ OTP 暗号化ツールでは、デバイス名に特殊文字を使用できません。
[NSHELP-28795]
NetScalerアプライアンスにログインすると、次の両方の条件が満たされると、空白のパスワードフィールドが表示されます。
- Duo の 2 要素認証が設定されている
- RFWebUI ポータルテーマが使用されています
[NSHELP-27868]
次の条件が満たされると、サービスへのアクセスは拒否されます。
- このサービスは認証仮想サーバにバインドされます。
- 401 認証は、サービスとサービスがバインドされている仮想サーバーで構成されます。
[NSHELP-26903]
まれに、次の条件を満たすと、高可用性セットアップのセカンダリノードがクラッシュすることがあります。
-
aaa groupsおよび/またはaaa usersはNetScalerアプライアンスで構成されます。
[NSHELP-26732]
LDAP、RADIUS、またはTACACSサービスの管理者パスワードに二重引用符(”)が含まれている場合、NetScalerアプライアンスはTest Connectivityチェック中にそれを削除し、接続に失敗します。
[ NSHELP-23630 ]
NetScaler SDXアプライアンス
NetScaler SDX 14000-40G、15000、および15000-50Gのプラットフォームでは、CLIを使用してインターフェイス速度を設定すると失敗します。
[NSHELP-29388]
NetScaler SDX プラットフォームでホストされている ADC インスタンスのプロファイルを変更すると、ログファイルにsave configコマンドのエントリが追加されることがあります。
[NSHELP-29343]
NetScaler SDXアプライアンスでは、管理サービスで実行されているSNMPエージェントが、存在しないOIDに対して誤ったエラーコードを返します。
[NSHELP-29209]
データレコードの総数が 5000 未満の場合、ADC イベントテーブルのデータをページ間でソートできるようになりました。
[NSHELP-29170]
NetScaler Gateway
EPAが構成され、十分なメモリが利用できない場合、NetScalerアプライアンスがクラッシュすることがあります。
[ NSHELP-28329 ]
ディレクトリ /var/netscaler/logon/logonPoint/Custom/ は、ディレクトリが最初に存在しなかった場合、アップグレード後に作成されません。
[NSHELP-28223]
ns_aaa_json.c ファイルに NS_AUDITLOG_STR* ログ用の余分な行が表示される場合があります。
[NSHELP-28160]
VPN 接続が確立されると、DNS 登録は機能しません。
この問題を修正するには、nsapimgr ノブ nsapimgr_wr.sh-ys call=toggle_vpn_configured_dns_disable_override を有効にする必要があります。
[NSHELP-27760]
転送ログイン中に、イントラネット IP サブネットがクライアント側で正しく表示されないことがあります。
[NSHELP-26904]
L7レイテンシーが有効になっている場合、セッションのICAレイテンシーはCitrix Directorで64,000ミリ秒と誤って記録されます。L7 レイテンシーは、 nsapimgrノブenable_ica_l7_latencyが 1 に設定されているときに有効になります。
[NSHELP-23459]
ユーザーがNetScaler Gateway アプライアンスにログインしてICAアプリにアクセスすると、Gateway Insightログファイルに次のメッセージが殺到します。
GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero
Oct 25 23:01:31 <local0.err> 10.217.24.1Oct 25 23:01:31 <local0.err> 10.217.24.101 10/26/2021:06:01:31 GMT NSGWTHDR 0-PPE-0 : default SSLVPN Message 10491736 0 : GwInsight: Func=ns_aaa_copy_email_id_to_vpn_record input hash_attrs_len is zero
[CGOP-19685]
NetScaler Gateway ポータルのエンタープライズブックマーク機能は、次のプロトコルのみをサポートします。その他のブックマークはすべてブロックされます。http://、https://、rdp://、およびftp://。
[CGOP-19543]
NetScaler Web App Firewall
WAF 署名を使用している場合は、ビルドをアップグレードした後、デフォルトの署名を含むすべての WAF 署名を最新バージョンに更新する必要があります。次に、必要なシグニチャルールを再度有効にします。
[NSWAF-8668]
ボット管理システムでトラップURLが自動生成されると、NetScalerアプライアンスがクラッシュすることがあります。
[NSHELP-29339]
負荷分散
失敗したコマンドに ENUM 値が欠落しているため、GSLB サービスグループはモニターの更新を処理できません。
[NSHELP-29050]
NetScalerアプライアンスは、解放されているパーティションとは異なるパーティションに割り当てられているメモリを解放しようとするとクラッシュします。
[NSHELP-29038]
ZONE タイプの DNS レコードが親ドメインで使用できる場合、既存の NS レコードを持つ子ドメインのクエリを実行すると、子ドメイン NS レコードではなく親ドメインの SOA レコードになります。
[NSHELP-28793]
GSLB仮想サーバーが次のように構成されている場合、NetScalerアプライアンスは、予想されるGSLBサービスIPアドレスを持つGSLBドメインクエリに応答しないことがあります。 永続タイプ: 送信元IPアドレス負荷分散アルゴリズム: 静的近接バックアップ負荷分散方式:ラウンドトリップタイム (RTT)
[NSHELP-28668]
ワイルドカードポートを使用すると、負荷分散または GSLB ドメインベースの Autoscale サービスグループの状態は DOWN のままになります。
[NSHELP-28548]
GSLB サービスグループにバインドされたモニターに対して、最後の応答メッセージが正しく表示されない。
[NSHELP-28393]
GET 操作中に cookieTimeout 値が正しく設定されないため、CS 仮想サーバーの更新操作が失敗します。
[NSHELP-27979]
MySQLタイプのモニターのモニタープローブを処理すると、アプライアンスが失敗し、最終的にシステムが再起動することがあります。
[NSHELP-27953]
その他
64ビットアーキテクチャと1 TBのファイルストレージを備えたLinuxシステムで実行されているNetScaler CPXインスタンスは、証明書とキーファイルをロードできるようになりました。
[ NSHELP-28986 ]
IDNA2008 標準ドメインでは、URL セットのパターンマッチングが失敗します。
[NSHELP-28902]
VXLAN で MAC ベース転送(MBF)が有効になっていると、ステートフル TCP セッションが確立されていませんでした。
[NSHELP-27125]
ネットワーク
管理パーティションを持つNetScalerアプライアンスをアップグレードすると、次の条件が満たされると、構成が一部失われることがあります。
- 使用可能なシステムメモリ全体が管理パーティションに割り当てられている場合。
[NSNET-23031]
制限事項-
VLAN ID 2 は内部使用のために予約されています
VLAN ID 2 は、ブリッジおよび none モードでの展開のための内部使用のために予約されています。NetScaler CPXは、0/1以外のすべてのインターフェイスをVLAN ID 2にバインドし、VLAN ID 2のMTU(最大伝送ユニット)はeth0インターフェイスのMTUと等しく設定されます。VLAN を設定し、それにインターフェイスをバインドする場合は、インターフェイス MTU が 1500 バイト未満の場合は、VLAN の MTU を Linux で設定されているとおりにインターフェイスの MTU に設定します。
[NSNET-22807]
Webアプリケーションファイアウォールプロファイルが高度なセキュリティ保護チェックで構成されている場合、DPDKモードのNetScaler BLXアプライアンスがクラッシュすることがあります。
[NSNET-22654]
次の条件が満たされると、関連サービスのモニタープローブの作成中にNetScalerアプライアンスがクラッシュすることがあります。
- IPv4 アドレスが 1 つ以上あり、IPv6 アドレスがない IP セットを持つネットプロファイル。ネットプロファイルはモニターにバインドされ、モニターは IPv6 サービスに設定されます。
- IPv6 アドレスが 1 つ以上あり、IPv4 アドレスがない IP セットを持つネットプロファイル。ネットプロファイルはモニターにバインドされ、モニターは IPv4 サービスに設定されます。
[NSHELP-29382]
NetScalerアプライアンスでは、メモリ割り当ての失敗後にパッシブFTPデータ接続が失われることがあります。
[NSHELP-26522]
プラットフォーム
VMXNET3 ドライバーを使用する NetScaler VPX インスタンスは、インスタンスが次のいずれかの NetScaler ビルドで実行されている場合、ランダムにクラッシュすることがあります。
- NetScaler 13.1 ビルド 4.x
- NetScaler 13.1 ビルド 9.x
[NSHELP-29120]
ポリシー
NetScalerアプライアンスは、次の条件でクラッシュすることがあります。
- 監査メッセージアクションは、リクエストの本文に 1 つ以上の REGEX 関数を適用した文字列ビルダ式で構成されます。
- [ストリーミング] オプションを有効にして構成されたアプリケーションファイアウォールプロファイル。
たとえば、HTTP.REQ.BODY (10000000) .REGEX_SELECT (再/名前= [^\ r\ n] * [\ r\ n] +/) などです。
[NSHELP-27895]
SSL
リクエストバインドポイントですでにバインドされているポリシーに対してポリシーアクションがForwardに設定されている場合、HTTPリクエストの処理中にNetScalerアプライアンスがクラッシュします。
[NSHELP-29115]
NetScalerアプライアンスは、次の手順を実行するとクラッシュします。
- SSL タイプのモニタが追加されます。
- 証明書とキーのペアがモニタにバインドされます。
- モニタが取り外される。
- 同じ名前のモニタがもう1つ追加されます。
- 証明書とキーのペアが更新されます。
[NSHELP-28666]
SAN 証明書内のすべての IP アドレスが表示されます。以前は、SAN 証明書に含まれるすべての IP アドレスのうち、最後の SAN IP アドレスのみが表示されていました。
[NSHELP-27336]
外部 HSM で DH 暗号を使用すると、SSL ハンドシェイクが失敗します。
[NSHELP-25307]
システム
NetScalerアプライアンスがクライアントからHTTP/2 GOWAYフレームを受信すると、ストリームIDが約束ID(最後にピアが開始したストリーム識別子)よりも大きいストリームがすべて誤ってリセットされます。
[NSHELP-29328]
NetScaler コンソールでは、ADM-エージェントの問題が原因で、ADM-エージェントから高いメモリ使用量が報告されることがあります。
[NSHELP-29285]
NetScalerアプライアンスは、次の条件をすべて満たすとクラッシュします。
- サーバの IP アドレスを持つコンテンツ検査アクションでは、サービスの内部データがすでに設定されている場合はそれを使用します。
- その結果、CI アクションが削除されると、サービスの内部データも削除されます。
- 実際のサービスが削除されると、NetScalerアプライアンスはすでに削除された内部データへのアクセスと削除を試みます。
[NSHELP-28293]
管理者パーティションがあるNetScalerアプライアンスでは、デフォルト以外のパーティションでnstraceユーティリティが正しく実行されないことがある
[NSBASE-15738]
クラスタ構成では、ネットワークの問題により、CCO 優先度のノードが Open vSwitch (OVS) から切断されます。ノードがクラスタ構成に再参加した後は、最新の SYN Cookie を受信しません。
[ NSBASE-14419 ]
ユーザーインターフェイス
プールされた容量で構成されたクラスターモードの ADC インスタンスがダウンする。この問題は、クラスタノードにホスト名が設定されている場合や、ノードが起動時に ADM ライセンスサーバに接続するのに時間がかかる場合に発生します。
[NSHELP-28613]
NetScaler GUIでは、すべてのクラスターノードではなく、1つのノードのみのクラスターテクニカルサポートバンドルを誤って生成することがあります。
[ NSHELP-28606 ]
NetScaler GUI を使用してクラスターテクニカルサポートバンドルを生成すると、エラーが発生して失敗することがあります。
[ NSHELP-28586 ]
NetScaler CLIインターフェイスでは、コマンドプロンプトにコマンドを入力しているときに<Tab>キーを押しても、コマンドをバインドするオプションは自動入力されません。
たとえば、次のコマンドを入力すると、 <Tab> キーを使用するとオブジェクトは自動入力されません。
bind authentication vserver <authvservername> -policy <Tab>。
ここで、認証仮想サーバは、RADIUS ポリシー、IdapPolicy、証明書ポリシー、TACAS ポリシー、高度な認証ポリシーなど、複数のオブジェクトタイプにバインドできます。
[NSCONFIG-6340]
既知の問題
リリース 13.1 ~ 12.51 に存在する問題。
AppFlow
HDX Insightは、ユーザーがアクセスできないアプリケーションまたはデスクトップを起動しようとしたことによるアプリケーションの起動失敗を報告しません。
[ NSINSIGHT-943 ]
認証、承認、監査
SSO機能をプロキシサーバーで使用すると、NetScalerアプライアンスでメモリリークが発生する場合があります。
[NSHELP-27744]
NetScalerアプライアンスは、重複したパスワードログインの試行を認証せず、アカウントのロックアウトを防ぎます。
[ NSHELP-563 ]
DualAuthPushOrOTP.xml LoginSchemaがNetScaler GUIのログインスキーマエディタ画面に正しく表示されません。
[NSAUTH-6106]
ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
show adfsproxyprofile <profile name>
回避方法:
クラスタ内のプライマリのアクティブなNetScalerに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。
[ NSAUTH-5916 ]
次の手順を実行すると、NetScaler GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。
- [LDAP 到達可能性をテスト] オプションが開きます。
- 無効なログイン認証情報が入力され、送信されます。
- 有効なログイン認証情報が入力され、送信されます。
回避方法:
[LDAP 到達可能性のテスト] オプションを閉じて開きます。
[NSAUTH-2147]
キャッシュ
統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、NetScalerアプライアンスがクラッシュすることがあります。
[ NSHELP-22942 ]
NetScaler SDXアプライアンス
NetScaler SDXアプライアンスでは、CLAGがMellanox NIC上に作成されている場合、VPXインスタンスの再起動時にCLAG MACが変更されます。VPXインスタンスへのトラフィックは再起動後に停止します。これは、MACテーブルに古いCLAG MACエントリがあるためです。
[ NSSVM-4333 ]
NetScaler Gateway
サーバー証明書が信頼されていると、サーバー検証コードが失敗することがあります。その結果、エンドユーザーはゲートウェイにアクセスできなくなります。
[NSHELP-28942]
VPN の切断後、DNS リゾルバがホスト名の解決に失敗することがあります。これは、VPN の切断中に DNS サフィックスが削除されるためです。
[NSHELP-28848]
macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。
[ NSHELP-28551 ]
クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にNetScaler Gateway からログアウトすることがあります。
[ NSHELP-28404 ]
Windows プラグインは、認証中にクラッシュすることがあります。
[NSHELP-28394]
Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。
[ NSHELP-23937 ]
次の条件を満たす場合、Windows ログオン後に VPN プラグインはトンネルを確立しません。
- NetScaler Gateway アプライアンスが常時オン機能用に構成されている
- アプライアンスは 2 要素認証
offによる証明書ベースの認証用に設定されています。
[ NSHELP-23584 ]
スキーマを参照しているときに、エラーメッセージCannot read property 'type' of undefinedが表示されることがあります。
[ NSHELP-21897 ]
Windowsログオン機能の前に常時接続VPNを使用したい場合は、NetScaler Gateway 13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を活用できます。
[ CGOP-19355 ]
無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight では報告されません。
[ CGOP-13621 ]
Gateway Insightレポートでは、SAML エラーエラーの [認証タイプ] フィールドのSAMLではなく、値Localが誤って表示されます。
[ CGOP-13584 ]
高可用性セットアップでは、NetScalerフェイルオーバー時に、NetScaler Consoleのフェイルオーバー数ではなくストレージリポジトリ数が増加します。
[ CGOP-13511 ]
ブラウザからローカルホスト接続を受け付けると、macOS の Accept Connection ダイアログボックスには、選択した言語に関係なく英語でコンテンツが表示されます。
[ CGOP-13050 ]
一部の言語では、Citrix SSOアプリ>ホームページのテキストHome Pageが切り捨てられます。
[ CGOP-13049 ]
NetScaler GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。
[ CGOP-11830 ]
Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。
[ CGOP-7269 ]
クラスタ展開では、非 CCO ノードでforce cluster syncコマンドを実行すると、ns.log ファイルに重複したログエントリが含まれます。
[CGOP-6794]
負荷分散
高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。
[ NSLB-7679 ]
entityofs サービスグループのトラップの ServiceGroupName 形式は次のとおりです。
<service(group)name>?<ip/DBS>?<port>
トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (?) はセパレータとして使用されます。NetScalerは、疑問符(?)付きのトラップを送信します。フォーマットはNetScalerコンソールのGUIでも同じように表示されます。これは予想される動作です。
[ NSHELP-28080 ]
その他
高可用性セットアップで強制同期が実行されると、アプライアンスはセカンダリノードでset urlfiltering parameterコマンドを実行します。
その結果、セカンダリノードは、 TimeOfDayToUpdateDB パラメータで指定された次のスケジュールされた時刻まで、スケジュールされた更新をスキップします。
[NSSWG-849]
URLフィルタリングのサードパーティベンダーとの接続の問題が発生した場合、管理CPUの停滞によりNetScalerアプライアンスが再起動することがあります。
[ NSHELP-22409 ]
ネットワーク
NetScaler BLXアプライアンス13.0 61.xビルドから13.0 64.xビルドにアップグレードすると、BLX構成ファイルの設定が失われます。その後、BLX 構成ファイルがデフォルトにリセットされます。
[NSNET-17625]
DPDKを搭載したNetScaler BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません:
- 無効化
- 有効化
- リセット
[ NSNET-16559 ]
DebianベースのLinuxホスト(Ubuntuバージョン18以降)では、NetScaler BLXアプライアンスは、BLX構成ファイル(/etc/blx/blx.conf)の設定に関係なく、常に共有モードで展開されます。この問題は、Debian ベースの Linux システムにデフォルトで存在するmawkが、blx.confファイルにある awk コマンドの一部を実行しないために発生します。
回避方法:
NetScaler BLXアプライアンスをインストールする前にgawkをインストールします。Linux ホスト CLI で次のコマンドを実行してgawkをインストールできます。
- apt-get install gawk
[ NSNET-14603 ]
DebianベースのLinuxホスト(Ubuntuバージョン18以降)では、NetScaler BLXアプライアンスのインストールが次の依存関係エラーで失敗することがあります:
The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable
回避方法:
NetScaler BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。
- dpkg –add-architecture i386
- apt-get update
- apt-get dist-upgrade
- apt-get install libc6:i386
[ NSNET-14602 ]
FTPデータ接続の場合、NetScalerアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対してTCP処理は実行しない場合があります。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。
[ NSNET-5233 ]
高可用性設定では、両方のノード間で HA バージョンが一致しない場合、動的ルートはセカンダリノードに同期されません。セカンダリノードのアクセシビリティが動的ルートに依存している場合、セカンダリノードには到達できません。
修正として、HA バージョンが一致しない場合でも、動的ルートはセカンダリノードに同期されます。
[NSHELP-28326]
NetScalerアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は管理パーティションの新しいメモリ制限に自動的に設定されます。
[ NSHELP-21082 ]
プラットフォーム
高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および NetScaler VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。
- NetScalerアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
- その後、NetScalerアプライアンスを再起動します。
[ NSPLAT-22013 ]
13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがNetScalerアプライアンスにインストールされません。この問題は、次のNetScalerバージョンで修正されています。
- 13.1-4.x
- 13.0-82.31 以降
- 12.1-62.21 以降
NetScaler バージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。
- 任意の 11.1 ビルド
- 12.1-62.21 およびそれ以前
- 13.0-81.x およびそれ以前
[ NSPLAT-21691 ]
バージョン13.1を実行しているNetScaler SDXアプライアンスで、バージョン12.0 XVAでVPXインスタンスをプロビジョニングすると失敗します。
VPX バージョン 12.1 以降のみがサポートされています。SBI をバージョン 13.1 にアップグレードする前に、VPX バージョンをアップグレードします。
[NSPLAT-21442]
NetScaler SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、2番目のノードとCLIPでCLAG MACの不一致があります。
- CLAG はMellanox NIC 上に作成されます。
- クラスターとCLAGセットアップに別のVPXインスタンスを追加します。
その結果、VPXインスタンスへのトラフィックが停止します。
[NSPLAT-21049]
NetScaler SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、CLIPテーブルとMACテーブルでMACアドレスの不一致が原因で最初のノードがダウンします。
- CLAG はMellanox NIC 上に作成されます。
- クラスタから 2 つ目のノードを削除します。
[NSPLAT-21042]
Azureリソースグループからオートスケール設定または仮想マシンスケールセットを削除する場合は、対応するクラウドプロファイル構成をNetScalerインスタンスから削除します。rm cloudprofile コマンドを使用して、プロファイルを削除します。
[ NSPLAT-4520 ]
Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。 回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノード上で設定する必要があります。
[ NSPLAT-4451 ]
ポリシー
処理データのサイズが、設定されているデフォルトの TCP バッファサイズを超えると、接続がハングすることがあります。回避策:TCP バッファサイズを、処理が必要なデータの最大サイズに設定します。
[ NSPOLICY-1267 ]
SSL
NetScaler SDX 22000アプライアンスとNetScaler SDX 26000アプライアンスの異機種クラスタでは、SDX 26000アプライアンスを再起動するとSSLエンティティの構成が失われます。
回避方法:
- CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:
set ssl vserver <name> -SSL3 DISABLED。 - 構成を保存します。
[ NSSSL-9572 ]
Update コマンドは、次の add コマンドでは使用できません。
- Azure アプリケーションの追加
- Azure Key Vaultを追加する
- hsmkey オプションで ssl 証明書キーを追加する
[NSSSL-6484]
認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。
[ NSSSL-6478 ]
同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。NetScalerアプライアンスはエラーを返しません。
[ NSSSL-6213 ]
HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。 エラー:CRL 更新は無効です
[ NSSSL-6106 ]
セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)
[ NSSSL-4427 ]
SSL プロファイルの SSL プロトコルまたは暗号を変更しようとすると、不正な警告メッセージWarning: No usable ciphers configured on the SSL vserver/service,が表示されます。
[ NSSSL-4001 ]
期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。
[NSSSL-3184]
システム
アプライアンスがクライアントから max_concurrent_stream 設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS 値はデフォルトで 100 に設定されます。
[ NSHELP-21240 ]
mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。
[ NSHELP-10972 ]
gRPC トラフィックの大きなストリームを処理すると、TCP アドバタイズされたウィンドウが指数関数的に増加し、メモリ使用量が増加します。
[NSBASE-15447]
LogStream トランスポートタイプが Insight 用に構成されている場合、クライアントIPとサーバーIPはHDX Insight SkipFlowレコードで反転されます。
[NSBASE-8506]
ユーザーインターフェイス
MQTT リライト機能では、GUI のエクスプレッションエディタを使用してエクスプレッションを削除することはできません。
回避方法:
CLI から MQTT タイプの add または edit action コマンドを使用します。
[ NSUI-18049 ]
NetScaler GUIでは、Dashboardタブの下にあるHelpリンクが壊れています。
[ NSUI-14752 ]
CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。
回避方法:
NetScaler GUIまたはCLIを使用して、IPsecプロファイル、IPトンネル、およびPBRルールを追加して、CloudBridge Connectorを構成します。
[ NSUI-13024 ]
GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。
[ NSUI-6838 ]
高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。
- HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。
回避方法:
HA 同期が完了した後(両方のノードが同期成功状態にある)のみ、手動の HA フェールオーバーを連続して実行します。
[ NSHELP-25598 ]
NetScalerアプライアンスのバージョン13.0-71.xを以前のビルドにダウングレードすると、ファイル権限が変更されたために一部のNitro APIが機能しないことがあります。
回避方法:
/nsconfig/ns.conf の権限を 644 に変更します。
[NSCONFIG-4628]
あなた(システム管理者)がNetScalerアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたNetScalerアプライアンスにログインできないことがあります。
- NetScalerアプライアンスをいずれかのビルドにアップグレードします。
- 13.0 52.24 ビルド
- 12.1 57.18 ビルド
- 11.1 65.10 ビルド
- システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
- NetScalerアプライアンスを古いビルドにダウングレードします。
CLI を使用してこれらのシステムユーザーの一覧を表示するには、 コマンドプロンプトで次のように入力します。
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
回避方法:
この問題を修正するには、次の独立したオプションのいずれかを使用します。
- NetScalerアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してNetScalerアプライアンスをダウングレードします。
- アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
- 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。
詳しくは、https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。
[ NSCONFIG-3188 ]
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.