-
-
-
VMware ESX、Linux KVM、およびCitrix HypervisorでNetScaler ADC VPXのパフォーマンスを最適化する
-
-
NetScalerアプライアンスのアップグレードとダウングレード
-
-
-
-
-
-
-
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
NetScaler 13.1-24.38リリースのリリースノート
このリリースノートのドキュメントでは、NetScalerリリースビルド13.1-24.38に存在する機能強化と変更、修正された既知の問題について説明します。
メモ
このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティ関連の修正と勧告のリストについては、セキュリティ速報を参照してください。
ビルド 13.1-24.38 以降のビルドは、 https://support.citrix.com/article/CTX457836で説明されているセキュリティの脆弱性に対処します。
新機能
ビルド 13.1-24.38 で利用できる機能強化と変更。
負荷分散
高可用性INCモードの接続フェイルオーバーサポート
NetScalerは、次の条件がすべて満たされた場合に、高可用性INCモードの接続フェイルオーバーをサポートするようになりました。
- 仮想サーバーのサービスタイプは ANY です。
- モードは DSR (MAC、IPTUNNEL、または TOS) です。
- USIPは、仮想サーバーにバインドされたサービスで有効になっています。
[NSLB-9121]
CAA レコードのサポート
NetScalerアプライアンスは、認証局認証(CAA)レコードの追加をサポートするようになりました。CAA レコードは、ドメインの所有者が、ドメインの SSL 証明書を発行できる認証局 (CA) を指定できるドメインネームシステム (DNS) レコードの一種です。
この機能強化により、Web プレゼンスをさらに保護するレイヤーが提供されます。CAA レコードがないと、誰でもドメインの証明書署名要求 (CSR) を生成し、任意の CA によって署名された証明書を取得できるため、セキュリティ上のリスクが生じる可能性があります。
[NSLB-9007]
プラットフォーム
NetScaler SDX 8015プラットフォームでは、ライトアウト管理(LOM)バージョンが3.21から3.56にアップグレードされます。
NetScaler SDX 14000、SDX 14000-40G、SDX 14000-40S、およびSDX 14000-FIPSプラットフォームでは、LOMバージョンが4.08から4.14にアップグレードされます。
[NSPLAT-23416]
リソースグループ全体でNetScalerバックエンドAutoscale をVMSSでAzureでサポート
NetScaler VPXインスタンスは、次のシナリオでリソースグループ全体でAzureバックエンド自動スケーリングをサポートするようになりました。
Azure VMSSとNetScaler VPXインスタンスは、同じAzure仮想ネットワークに展開されます。 Azure VMSSとNetScaler VPXインスタンスは、同じAzureサブスクリプション内の異なるAzure仮想ネットワークに展開されます。これら 2 つの仮想ネットワークは、Azure の仮想ネットワークピアリング機能を使用して接続する必要があります。
この機能により、アプリケーションとネットワークリソースを異なるリソースグループに分離できます。
以前は、AzureでのNetScalerバックエンドAAutoscale は、VMSSとNetScaler VPXインスタンスが同じリソースグループに展開されている場合にのみ機能します。
[NSPLAT-16664]
システム
メトリクスコレクターのカウンターを購読する
NetScalerアプライアンスは、メトリックコレクターでカウンターをサブスクライブするオプションをサポートするようになりました。 メトリクスコレクターは、AVRO、Prometheus 形式、Influx DB 形式などのさまざまな形式で、30 秒ごとの時系列分析データのエクスポートをサポートします。メトリクスコレクターは、必要なカウンターをスキーマファイルに追加できるカウンターの動的更新をサポートしています。スキーマファイル名は CLI インターフェイスを使用して設定できます。メトリクスコレクターは、スキーマファイルからカウンター名を読み取り、エクスポートします。
以前は、メトリクスコレクターは、コンパイル時に定義済みのカウンターセットのエクスポートのみをサポートしていました。カウンターのリストを変更すると、ビルドのアップグレードが必要でした。 詳細については、https://docs.citrix.com/en-us/citrix-adc/13-1/ns-ag-appflow-intro-wrapper-con/ns-ag-appflow-config-tsk.htmlを参照してください。
[NSBASE-11595]
ユーザーインターフェイス
NetScalerライセンス有効期限アラートを構成する
NetScalerライセンスの有効期限が切れる前の指定された日数から次のアラート操作を実行するようにNetScalerアプライアンスを構成できるようになりました。
- NetScaler GUIにライセンス有効期限の警告バナーを表示します。
- SNMP アラームが有効な場合、ライセンスの有効期限情報を含む
NS_LICENSE_EXPIRY
SNMP トラップを、設定されたトラップリスナーに定期的に送信します。
[NSCONFIG-6360]
解決された問題
ビルド 13.1-24.38 で対処されている問題。
認証、承認、監査
ユニファイドゲートウェイのセットアップでは、認証が成功した後でも、ユニファイドゲートウェイの背後にあるサービスにアクセスすると、まれに再ログインページが表示されることがあります。
[NSHELP-31148、NSHELP-2799]
フォームベースの SSO は、URL クエリで key-value パラメーターを送信するバックエンドサーバーで失敗します。
[NSHELP-30975]
OAuth構成にターゲットURLがないため、大量のメモリ割り当てが原因でNetScalerアプライアンスがクラッシュする可能性があります。
[NSHELP-30963]
Chrome をシークレットモードで使用しているときに、RADIUS 認証で断続的な問題が発生することがあります。
[NSHELP-30944]
NetScalerアプライアンスの認証、承認、およびauditingDモジュールは、パケットエンジンから認証、承認、およびauditingDへの着信パスワードの長さがないか正しくないためにクラッシュする可能性があります。
[NSHELP-30911]
NetScalerアプライアンスは、nFactorプッシュ操作中にクラッシュします。
[NSHELP-30577]
NetScalerアプライアンスによる誤ったヘッダー追加により、Outlookアプリを介してOutlook交換サーバーに接続する際に断続的な障害が発生する可能性があります。
[NSHELP-30555]
NetScalerアプライアンスは、コア間の通信障害時にメモリ破損によりクラッシュする可能性があります。
[NSHELP-30275]
パスワード変更イベントがトリガーされると、認証セッション中にシングルサインオンが失敗します。この問題は、PersistentLogin attempts パラメーターが有効になっている場合にのみ発生します。
[NSHELP-28085]
RADIUS invalid credentials
認証プロセス中にエラーメッセージが表示されることがあります。このエラーは、Google Chromeブラウザを使用してクライアントデバイスからNetScalerアプライアンスにアクセスすると表示されます。
[ NSHELP-27113 ]
NetScalerアプライアンスがネストされたLDAPグループ検索を実行すると、NetScalerアプライアンスの動作が無効なため、Active Directoryのグループ情報の一部が失われます。 groupSearchSubAttribute
パラメータが適切に設定されている場合でも、ADC アプライアンスは誤った値をとります。
[NSHELP-26316]
NetScalerアプライアンスは、NOAUTHが401ベースの認証フローの最初の要素として構成され、後続の要素としてネゴシエートが構成されている場合にコアをダンプします。
[ NSHELP-25203 ]
NetScaler SDXアプライアンス
NetScaler SDX GUIで、NTP構成ファイル(ntp.conf)のいずれかの行にスペースしか含まれていない場合、NTPサーバーを表示するとユーザーインターフェイスがフリーズする可能性があります。
[ NSHELP-31530 ]
Mellanox NICを搭載したNetScaler SDXアプライアンスで、Mellanox NICを持つVPXインスタンスのスループットを変更すると、VPXインスタンスが再起動します。
[NSHELP-31305]
NetScaler SDXアプライアンスをリリース13.1ビルド21.50以降にアップグレードすると、SSL復号化とMAC比較が失敗することがあります。その結果、SSLハンドシェイクの失敗、VPXステータスのフラッピング、VPXインスタンスGUIの利用不能、仮想サーバーとアプリケーションのダウンが発生する可能性があります。
注:この問題は、SDX 8900、SDX 15000、SDX 15000-50G、SDX 26000、およびSDX 26000-50Sのプラットフォームで発生します。
[NSHELP-31672]
NetScaler Gateway
まれに、VPN仮想サーバーで構成されたNetScalerアプライアンスが、NetScaler Gateway へのログインに成功した後にクラッシュすることがあります。
[NSHELP-31481]
ICA DTLS セットアップで、STAチケットを処理するとNetScaler Gateway アプライアンスがクラッシュします。
[NSHELP-31211]
NetScalerアプライアンスは、 UDPFLOWSTAT
承認ポリシーによって拒否されたUDPトラフィックに関するトラフィックを示すメッセージを誤って記録します。 Allowed
[NSHELP-29542]
送信プロキシが構成されている場合、NetScalerアプライアンスでメモリリークが発生する。
[NSHELP-29234]
[アクティブユーザセッション(Active Users Session)] ページには、エントリ数が 1 ページあたり 2000 に変更されない限り、すべてのアクティブユーザセッションは表示されません。
今回の修正により、すべてのユーザーセッションと接続を一覧表示する新しいリンク All user session
(NetScaler Gateway-> 接続を監視 > すべてのユーザーセッション)が管理UIに追加されました。
[NSHELP-29151]
show vpn icaConnection
コマンド出力に、ICA接続のシリアル番号が正しく表示されません。この問題は、 show vpn icaconnection
の実行時にシリアル番号が任意にリセットされるために発生します。
[NSHELP-25646]
NetScaler Web App Firewall
Web App Firewall ポリシーは、構成 (ns.conf
) ファイルに 2 回保存できます。
[NSHELP-30899]
引用符(一重引用符、二重引用符、またはバックティック)を含む WAF SQL インジェクションでは、パターンを攻撃としてマークするために開始引用符と終了引用符が存在する必要があります。ただし、パターンにコメントがある場合、閉じ引用符は不要です。
[NSHELP-30379]
負荷分散
ADCアプライアンスでECSが有効になっていて、場所が見つからない場合、スコーププレフィックスが正しく設定されません。この問題の結果、誤った永続性エントリが作成されます。不正な永続性エントリは、非静的近接ベースの GSLB 方式の要求で受信した ECS IP アドレスではなく、LDNS IP アドレスに基づいて作成されます。
[NSHELP-30846]
まれな競合状態のシナリオでは、NetScalerアプライアンスに次の構成が存在する場合、パケットエンジンがコアダンプでクラッシュする可能性があります。
- GSLB 仮想サーバーは、ソース IP アドレスベースの永続性で構成され、DNS ロギングは ADNS サービスにバインドされた DNS プロファイルで有効になります。
- DNS 負荷分散サーバーは、DNS プロファイルで DNS ログが有効になっていない状態で構成されます。
[NSHELP-29791]
その他
ポータル jQuery UI が 1.12.1 から 1.13.1 に更新され、セキュリティ情報:CVE-2021-41182、CVE-2021-41183、および CVE-2021-41184 で説明されている脆弱性に対処します。
[NSHELP-30209]
ネットワーク
DebianベースのLinuxホスト(Ubuntuバージョン18以降)では、NetScaler BLXアプライアンスは、BLX構成ファイル(/etc/blx/blx.conf
)の設定に関係なく、常に共有モードで展開されます。この問題は、Debian ベースの Linux システムにデフォルトで存在するmawk
が、blx.conf
ファイルにある awk コマンドの一部を実行しないために発生します。
[ NSNET-14603 ]
大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にNetScalerアプライアンスがクラッシュすることがあります。
- LSN フィルタリングとマッピングのエントリは、アプライアンスには存在しません。
[NSHELP-30225]
一部のパケットがACLルールに一致したときに、ACLルールからデータセットをバインド解除すると、NetScalerアプライアンスがクラッシュする可能性があります。
[NSHELP-30221]
大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にNetScalerアプライアンスがクラッシュすることがあります。
- フィルタリングエントリの削除中、セッション参照カウントはゼロではありません。
[NSHELP-29348]
プラットフォーム
シングルバンドルイメージ(SBI)およびVPXバージョン13.1〜24.x以降を備えたNetScaler SDXアプライアンスでは、Fortville NICでVRRPを使用するアクティブ-アクティブ展開がサポートされます。この展開は L2 モードではサポートされていません。
展開には次の点が適用されます。
- 関連するVPXインスタンスをアップグレードまたはダウングレードする前に、管理サービスからVRID構成を削除することをお勧めします。アップグレードまたはダウングレード操作が完了したら、管理サービスから VRID 構成を追加します。
- 前述の推奨事項に従わない場合は、Management ServiceからVPXインスタンスを手動で再検出して、VRRPコンバージェンスを有効にする必要があります。
[NSHELP-30670]
RPCノードのパスワードに特殊文字が含まれていると、GCPおよびAWSクラウド上のNetScaler VPXインスタンスのHAフェイルオーバーが失敗します。
[ NSHELP-28600 ]
ポリシー
一部のシナリオでは、AppExpert変数のクリア操作で割り当てアクションを使用すると、NetScalerアプライアンスがクラッシュすることがあります。
[NSHELP-29766]
SSL
NetScaler MPX/SDX 14000 FIPSアプライアンスは、SAMLなどの内部アプリケーションによる暗号化操作のためのAPIの継続的な使用により、一定期間にわたってクラッシュする可能性があります。
[NSHELP-27952]
システム
AppFlow パラメーターTimeSeriesOverNSIP
が有効になっていても、REST コレクターは停止します。
[NSHELP-30759]
NetScalerアプライアンスでは、次の条件が満たされると、HTTP/2トランザクションで遅延の問題が発生します。
- バックエンドサービスで HTTP/2 SSL 設定が有効になっている
- サービスは HTTP/2 プロトコルをサポートしていません。
[NSHELP-30020]
NetScalerアプライアンスは、サービスSYNフラッドカウンターで誤ったSNMPアラームを報告します。
[ NSHELP-28710, NSHELP-28713 ]
ユーザーインターフェイス
プールライセンスで構成されたNetScalerアプライアンスをアップグレードすると、アプライアンスが部分的な構成で再起動することがあります。
[NSHELP-30926]
NetScalerアプライアンスで、GUIインターフェイスを使用してグローバルまたはデフォルトグローバルをオーバーライドするようにキャッシュポリシーをバインドすると、次のエラーで失敗します。
- 必須の引数がありません。
このエラーは、CLI インターフェイスを使用してキャッシュポリシーをバインドしている間は発生しません。
[ NSHELP-30826 ]
検索フィルターは、NetScaler GUIの[証明書の管理]>[CSR]ページの[名前]キーには使用できません。
[NSHELP-30274]
既知の問題
リリース13.1-24.38に存在する問題。
AppFlow
HDX Insightは、ユーザーがアクセスできないアプリケーションまたはデスクトップを起動しようとしたことによるアプリケーションの起動失敗を報告しません。
[ NSINSIGHT-943 ]
認証、承認、監査
NetScalerアプライアンスは、重複したパスワードログインの試行を認証せず、アカウントのロックアウトを防ぎます。
[ NSHELP-563 ]
DualAuthPushOrOTP.xml LoginSchemaがNetScaler GUIのログインスキーマエディタ画面に正しく表示されません。
[NSAUTH-6106]
ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
show adfsproxyprofile <profile name>
回避方法:
クラスタ内のプライマリのアクティブなNetScalerに接続し、 show adfsproxyprofile <profile name>
コマンドを実行します。プロキシプロファイルの状態が表示されます。
[ NSAUTH-5916 ]
次の手順を実行すると、NetScaler GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。
- [LDAP 到達可能性をテスト] オプションが開きます。
- 無効なログイン認証情報が入力され、送信されます。
- 有効なログイン認証情報が入力され、送信されます。
回避方法:
[LDAP 到達可能性のテスト] オプションを閉じて開きます。
[NSAUTH-2147]
キャッシュ
統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、NetScalerアプライアンスがクラッシュすることがあります。
[ NSHELP-22942 ]
NetScaler SDXアプライアンス
NetScaler SDXアプライアンスでは、CLAGがMellanox NIC上に作成されている場合、VPXインスタンスの再起動時にCLAG MACが変更されます。VPXインスタンスへのトラフィックは再起動後に停止します。これは、MACテーブルに古いCLAG MACエントリがあるためです。
[ NSSVM-4333 ]
証明書名またはキー名にスペースが含まれていると、NetScaler SDXアプライアンスへのSSL証明書のインストールが失敗します。
[ NSHELP-31711 ]
NetScaler Gateway
Always on が設定されている場合、aoservice.exe ファイルのバージョン番号(1.1.1.1)が正しくないため、ユーザトンネルが失敗します。
[ NSHELP-30662 ]
[NetworkAccessonVPNFailure]プロファイルパラメーターを[フルアクセス]から[OnlyToGateway]に変更すると、ユーザーはNetScaler Gateway アプライアンスに接続できなくなります。
[ NSHELP-30236 ]
ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。この問題を解決するために、次のレジストリ値が導入されます。 \HKLM\Software\Citrix\Secure Access Client\SecureChannelResetTimeoutSeconds 種類:DWORD
[ NSHELP-30189 ]
Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。
[ NSHELP-29675 ]
サーバー証明書が信頼されていると、サーバー検証コードが失敗することがあります。その結果、エンドユーザーはゲートウェイにアクセスできなくなります。
[NSHELP-28942]
rdx.js ファイルにいくつかの Citrix 内部 IP アドレスがあることに気付くかもしれません。
[ NSHELP-28682 ]
macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。
[ NSHELP-28551 ]
クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にNetScaler Gateway からログアウトすることがあります。
[ NSHELP-28404 ]
GUI を使用してクラシック認可ポリシーをバインド解除することはできません。ただし、CLI を使用して認証、承認、および監査認可ポリシーのバインドを解除することはできます。
今回の修正により、GUI を使用して承認ポリシーのバインドを解除できるようになりました。
[NSHELP-27064]
Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。
[ NSHELP-23937 ]
次の条件を満たす場合、Windows ログオン後に VPN プラグインはトンネルを確立しません。
- NetScaler Gateway アプライアンスが常時オン機能用に構成されている
- アプライアンスは 2 要素認証
off
による証明書ベースの認証用に設定されています。
[ NSHELP-23584 ]
スキーマを参照しているときに、エラーメッセージCannot read property 'type' of undefined
が表示されることがあります。
[ NSHELP-21897 ]
Windowsログオン機能の前に常時接続VPNを使用したい場合は、NetScaler Gateway 13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を活用できます。
[ CGOP-19355 ]
無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight では報告されません。
[ CGOP-13621 ]
Gateway Insightレポートでは、SAML エラーエラーの [認証タイプ] フィールドのSAML
ではなく、値Local
が誤って表示されます。
[ CGOP-13584 ]
高可用性セットアップでは、NetScalerフェイルオーバー時に、NetScaler Consoleのフェイルオーバー数ではなくストレージリポジトリ数が増加します。
[ CGOP-13511 ]
ICA接続がMAC Receiverバージョン19.6.0.32またはCitrix Virtual Apps and Desktopsバージョン7.18から起動されると、HDX Insight機能は無効になります。
[ CGOP-13494 ]
EDT Insight 機能が有効になっていると、ネットワークの不一致時にオーディオチャネルに障害が発生することがあります。
[ CGOP-13493 ]
ブラウザからローカルホスト接続を受け付けると、macOS の Accept Connection ダイアログボックスには、選択した言語に関係なく英語でコンテンツが表示されます。
[ CGOP-13050 ]
一部の言語では、Citrix SSOアプリ>ホームページのテキストHome Page
が切り捨てられます。
[ CGOP-13049 ]
NetScaler GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。
[ CGOP-11830 ]
Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。
[ CGOP-7269 ]
負荷分散
高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。
[ NSLB-7679 ]
entityofs
サービスグループのトラップの ServiceGroupName 形式は次のとおりです。
<service(group)name>?<ip/DBS>?<port>
トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (?
) はセパレータとして使用されます。NetScalerは、疑問符(?
)付きのトラップを送信します。フォーマットはNetScalerコンソールのGUIでも同じように表示されます。これは予想される動作です。
[ NSHELP-28080 ]
特定のシナリオでは、サービスグループにバインドされたサーバーが、無効な Cookie 値を表示します。トレースログで正しい Cookie 値を確認できます。
[ NSHELP-21196 ]
その他
高可用性セットアップで強制同期が実行されると、アプライアンスはセカンダリノードでset urlfiltering parameter
コマンドを実行します。
その結果、セカンダリノードは、 TimeOfDayToUpdateDB
パラメータで指定された次のスケジュールされた時刻まで、スケジュールされた更新をスキップします。
[NSSWG-849]
URLフィルタリングのサードパーティベンダーとの接続の問題が発生した場合、管理CPUの停滞によりNetScalerアプライアンスが再起動することがあります。
[ NSHELP-22409 ]
ネットワーク
DPDKをサポートするNetScaler BLXアプライアンスでは、DPDKIntel i350 NICポートではタグ付きVLANはサポートされません。これは、DPDK ドライバに存在する既知の問題であるため、確認されています。
[ NSNET-25299 ]
DPDKを搭載したNetScaler BLXアプライアンスは、次の条件をすべて満たすと再起動に失敗することがあります:
- NetScaler BLXアプライアンスは、
hugepages
の小さい数が割り当てられます。たとえば、1G です。 - NetScaler BLXアプライアンスには多数のワーカープロセスが割り当てられています。たとえば、28 と入力します。
この問題は、 /var/log/ns.log
にエラーメッセージとして記録されます。
BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x
注:x はワーカープロセス数以下の数です。
回避方法:
多数のhugepages
を割り当て、アプライアンスを再起動します。
[ NSNET-25173 ]
DPDKを搭載したNetScaler BLXアプライアンスは、次の条件が満たされると再起動に失敗することがあります。
- NetScaler BLXアプライアンスには
hugepages
の大きい数が割り当てられます。たとえば、16 GB と入力します。
この問題は、 /var/log/ns.log
にエラーメッセージとして記録されます。
EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files
回避方法:
この問題を解決するには、次のいずれかの回避策を使用します。
-
ulimit
コマンドを使用するか、limits.conf
ファイルを編集して、Linux ホストで開くことができるファイルの上限を増やします。 - 割り当てられた
hugepages
の数を減らします。
[NSNET-24727]
DPDKモードのNetScaler BLXアプライアンスは、DPDK簡易機能のため、再起動に少し時間がかかる場合があります。
[ NSNET-24449 ]
DPDKを搭載したNetScaler BLXアプライアンスのIntel X710 10G (i40e)
インターフェイスでは、次のインターフェイス操作はサポートされていません:
- 無効化
- 有効化
- リセット
[ NSNET-16559 ]
DebianベースのLinuxホスト(Ubuntuバージョン18以降)では、NetScaler BLXアプライアンスのインストールが次の依存関係エラーで失敗することがあります:
The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable
回避方法:
NetScaler BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。
- dpkg –add-architecture i386
- apt-get update
- apt-get dist-upgrade
- apt-get install libc6:i386
[ NSNET-14602 ]
FTPデータ接続の場合、NetScalerアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対してTCP処理は実行しない場合があります。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。
[ NSNET-5233 ]
NetScalerアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は管理パーティションの新しいメモリ制限に自動的に設定されます。
[ NSHELP-21082 ]
プラットフォーム
高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および NetScaler VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。
- NetScalerアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
- その後、NetScalerアプライアンスを再起動します。
[ NSPLAT-22013 ]
13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがNetScalerアプライアンスにインストールされません。この問題は、次のNetScalerバージョンで修正されています。
- 13.1-4.x
- 13.0-82.31 以降
- 12.1-62.21 以降
NetScaler バージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。
- 任意の 11.1 ビルド
- 12.1-62.21 およびそれ以前
- 13.0-81.x およびそれ以前
[ NSPLAT-21691 ]
NetScaler SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、2番目のノードとCLIPでCLAG MACの不一致があります。
- CLAG はMellanox NIC 上に作成されます。
- クラスターとCLAGセットアップに別のVPXインスタンスを追加します。
その結果、VPXインスタンスへのトラフィックが停止します。
[NSPLAT-21049]
NetScaler SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、CLIPテーブルとMACテーブルでMACアドレスの不一致が原因で最初のノードがダウンします。
- CLAG はMellanox NIC 上に作成されます。
- クラスタから 2 つ目のノードを削除します。
[NSPLAT-21042]
Azureリソースグループからオートスケール設定または仮想マシンスケールセットを削除する場合は、対応するクラウドプロファイル構成をNetScalerインスタンスから削除します。rm cloudprofile
コマンドを使用して、プロファイルを削除します。
[ NSPLAT-4520 ]
Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。 回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノード上で設定する必要があります。
[ NSPLAT-4451 ]
NetScalerリリース13.1以降、NetScalerアプライアンスは、8つを超えるVMXNET3ネットワークインターフェイスを備えたESXiハイパーバイザーで起動に失敗します。
[NSHELP-31266]
ポリシー
処理データのサイズが、設定されているデフォルトの TCP バッファサイズを超えると、接続がハングすることがあります。回避策:TCP バッファサイズを、処理が必要なデータの最大サイズに設定します。
[ NSPOLICY-1267 ]
SSL
NetScaler SDX 22000アプライアンスとNetScaler SDX 26000アプライアンスの異機種クラスタでは、SDX 26000アプライアンスを再起動するとSSLエンティティの構成が失われます。
回避方法:
- CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:
set ssl vserver <name> -SSL3 DISABLED
。 - 構成を保存します。
[ NSSSL-9572 ]
認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。
[ NSSSL-6478 ]
同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。NetScalerアプライアンスはエラーを返しません。
[ NSSSL-6213 ]
HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。 エラー:CRL 更新は無効です
[ NSSSL-6106 ]
セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)
[ NSSSL-4427 ]
SSL プロファイルの SSL プロトコルまたは暗号を変更しようとすると、不正な警告メッセージWarning: No usable ciphers configured on the SSL vserver/service,
が表示されます。
[ NSSSL-4001 ]
期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。[ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]
MPX 8900およびMPX 15000 FIPS認定アプライアンスでは、ECDHEトラフィックを実行するとメモリリークが発生する可能性があります。
[NSHELP-30744]
rc.netscalerファイルの一部であるカスタマイズは、システムの初期化中に実行されないため、適用されません。
[NSHELP-31914]
システム
アプライアンスがクライアントから max_concurrent_stream 設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS 値はデフォルトで 100 に設定されます。
[ NSHELP-21240 ]
mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。
[ NSHELP-10972 ]
クラスタ展開では、非 CCO ノードでforce cluster sync
コマンドを実行すると、ns.log ファイルに重複したログエントリが含まれます。[NSBASE-16304、NSGI-1293]
NetScaler ConsoleをKubernetesクラスターにインストールすると、必要なプロセスが実行されない可能性があるため、期待どおりに機能しません。
回避策 :管理ポッドを再起動します。
[ NSBASE-15556 ]
LogStream トランスポートタイプが Insight 用に構成されている場合、クライアントIPとサーバーIPはHDX Insight SkipFlowレコードで反転されます。
[NSBASE-8506]
NetScalerアプライアンスは、ヘッダー名フィールドにドット(”.”)の付いたカスタムHTTPヘッダーを含むパケットをドロップします。このアクションは、 allowOnlyWordCharactersAndHyphen
パラメータがデフォルトの HTTP プロファイルでデフォルトで有効になっているために発生します。
回避策:デフォルトの HTTPプロファイルでallowOnlyWordCharactersAndHyphen
を無効にします。ただし、Citrix では有効にしておくことをお勧めします。
[NSBASE-16722]
ユーザーインターフェイス
MQTT リライト機能では、GUI のエクスプレッションエディタを使用してエクスプレッションを削除することはできません。
回避方法:
CLI から MQTT タイプの add または edit action コマンドを使用します。
[ NSUI-18049 ]
NetScaler GUIでは、Dashboard
タブの下にあるHelp
リンクが壊れています。
[ NSUI-14752 ]
CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。
回避方法:
NetScaler GUIまたはCLIを使用して、IPsecプロファイル、IPトンネル、およびPBRルールを追加して、CloudBridge Connectorを構成します。
[ NSUI-13024 ]
GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。
[ NSUI-6838 ]
高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。
- HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。
回避方法:
HA 同期が完了した後(両方のノードが同期成功状態にある)のみ、手動の HA フェールオーバーを連続して実行します。
[ NSHELP-25598 ]
NetScaler BLXアプライアンスの高可用性セットアップでは、プライマリノードが応答しなくなり、CLIまたはAPI要求がブロックされることがあります。
回避方法:
プライマリノードを再起動します。
[NSCONFIG-6601]
あなた(システム管理者)がNetScalerアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたNetScalerアプライアンスにログインできないことがあります。
- NetScalerアプライアンスをいずれかのビルドにアップグレードします。
- 13.0 52.24 ビルド
- 12.1 57.18 ビルド
- 11.1 65.10 ビルド
- システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
- NetScalerアプライアンスを古いビルドにダウングレードします。
CLI を使用してこれらのシステムユーザーの一覧を表示するには、 コマンドプロンプトで次のように入力します。
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
回避方法:
この問題を修正するには、次の独立したオプションのいずれかを使用します。
- NetScalerアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してNetScalerアプライアンスをダウングレードします。
- アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
- 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。
詳しくは、https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。
[ NSCONFIG-3188 ]
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.