-
-
-
VMware ESX、Linux KVM、およびCitrix HypervisorでNetScaler ADC VPXのパフォーマンスを最適化する
-
-
NetScalerアプライアンスのアップグレードとダウングレード
-
-
-
-
-
-
-
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
NetScaler 13.1—27.59リリースのリリースノート
このリリースノートドキュメントでは、NetScalerリリースBuild 13.1—27.59に存在する拡張機能と変更、修正された既知の問題について説明します。
メモ
このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティ関連の修正と勧告のリストについては、セキュリティ速報を参照してください。
新機能
ビルド 13.1~27.59 で利用できる機能強化と変更。
認証、承認、監査
新しい Microsoft Graph API で Intune NAC v2 構成をユーザーが使用できるようにする
非推奨の AAD グラフ API の代わりに、新しい Microsoft Graph API で Intune NAC v2 構成を使用できるようになりました。
詳細については、「 Microsoft Intune インテグレーションとAzure AD Graph の拡張サポート」を参照してください。
[NSAUTH-11897]
ボット管理
NetScaler Gateway デバイスでのWAF/ボット管理のためのスタイルブック
NetScaler Gateway デバイスのWAFおよびBOTポリシーを構成して、Gatewayログインページを保護できるようになりました。NetScaler Gateway デバイスのWAF/Bot管理用に、2つの新しいデフォルトスタイルブックが利用可能になりました。
- WAFとBOTを使用したNetScaler Gateway ログオンサイト保護のためのスタイルブック
- WafとBotのセキュリティ違反を伴うWAFとBOTを使用したNetScaler Gateway ログオンサイト保護のためのスタイルブック
ゲートウェイでWAF/Bot管理にデフォルトのStylebookを使用するには、[アプリケーション] > [構成] > [StyleBook] に移動します。 検索フィールドにStyleBookの名前を入力し、Enter キーを押します。 詳しくは、https://docs.citrix.com/en-us/citrix-application-delivery-management-software/current-release/stylebooks/how-to-use-default-stylebooks.html%23to-create-a-configuration-from-a-default-stylebookを参照してください:
[NSBOT-755]
すべてのNetScalerプレミアム資格でボット検出機能を有効にする
ボット検出機能と署名およびIPレピュテーションチェックは、すべてのNetScaler Premium資格に対してデフォルトで有効になりました。
環境に入ってくるボットトラフィックと、NetScalerアプライアンスが実行したアクションを表示できます。また、ADCアプライアンスは、SNMPログメッセージに次のボットトラフィック情報をキャプチャします。
- 検出されたボットの数
- 検出されたボットの上位 2 つのカテゴリ
- 検出されたボットの詳細を確認できる場所
詳細については、「 ボットの検出」を参照してください。
[NSBOT-752]
NetScaler Web App Firewall
新しい署名を自動有効にする
「 新しい署名を自動有効にする 」を選択して、更新後に新しい WAF 署名のデフォルトルールを自動的に有効にできるようになりました。
[NSWAF-8825]
WAF プロファイルの機密フィールド
WAF プロファイルに機密項目を追加できるようになりました。これらのフィールドはマスクされ、違反が発生してもADCログに記録されません。以前は、これらのフィールドは設定を使用してのみ追加できました。
[NSWAF-8525]
HTML ペイロードのカスタムキーワードサポート
任意のキーワードを追加して、これらの設定済みキーワードが HTML ペイロードに存在するかどうかを確認できます。構成されたキーワードが着信要求で検出された場合、NetScalerアプライアンスを構成して、要求をブロックしたり、ログを更新したり、ログカウンタを増やしたりすることができます。
この機能を使用すると、SQL インジェクションおよびコマンドインジェクションチェックでカバーされていないキーワードを追加して、誤検出を減らすことができます。
[NSWAF-8520]
HTML ペイロードでのコマンドインジェクション検出のための文法ベースのアプローチ
NextGen NetScaler Web App Firewall ソリューションは、コマンドインジェクション検出のための文法ベースのアプローチをサポートするように強化されました。このアプローチにより、HTML ペイロードの誤検出が減少します。
以前は、パターンベースのアプローチのみがサポートされていました。
[NSWAF-8270]
ネットワーク
これで、NetScaler CPXのNSIP: 8080ポートを仮想サーバー構成に使用できます。以前は、このポートは予約されており、ユーザー構成には使用できませんでした。
[NSNET-25399]
Geneveトンネルはクラスタセットアップでサポートします
Geneveトンネルは、NetScalerアプライアンスのクラスタ設定でサポートされるようになりました。
[NSNET-24773]
SNMP Trap メッセージを送信する際の重大度レベルを含めるための機能強化
NetScaler VPXアプライアンスでは、SNMPトラップメッセージに重要度レベルが変数バインドとして含まれるようになりました。以下のコマンドを severityInfoIntrap オプションとともに使用します。
- snmp オプションを設定する-severityInfoIntrap 有効
このオプションを有効にすると、トラップの重大度レベルが SNMP トラップメッセージに含まれます。
[NSNET-21603]
プラットフォーム
AWS での NetScaler の高可用性のための IPv6 アドレスのサポート
NetScaler VPXの高可用性ペアは、同じAWSアベイラビリティーゾーン内のIPv6アドレスをサポートするようになりました。以前は、IPv4 アドレスのみがサポートされていました。
[NSPLAT-16672]
ユーザーインターフェイス
Microsoftは、2022年6月からInternet Explorerブラウザのサポートを終了しました。詳しくは、https://support.microsoft.com/en-us/windows/internet-explorer-help-23360e49-9cd3-4dda-ba52-705336cc0de2を参照してください。
NetScalerリリース13.1 27.x以降、NetScalerアプライアンスは、GUIにアクセスするためのInternet Explorerをサポートしなくなりました。
Internet Explorerを使用してNetScaler GUIにアクセスすると、NetScalerアプライアンスは、Internet Explorerがサポートされていないというメッセージを表示します。また、GUIにアクセスするためにサポートされているブラウザのリストも推奨されます。
[NSUI-18224]
NetScaler GUIで機能を有効または無効にするための確認プロンプト
NetScaler GUIで、GUIでNetScaler機能を有効または無効にするときに、操作の確認を求めるプロンプトが表示されるようになりました。確認プロンプトは、NetScaler機能の偶発的な有効化または無効化を防ぎます。
[NSUI-18098]
解決された問題
ビルド 13.1—27.59 で対処された問題。
認証、承認、監査
/logon/LogonPoint/Resources/List and /cgi/Resources/Listなどのエンドポイントの書き換えポリシーはサポートされていません。
[NSHELP-29488]
NetScaler SDXアプライアンス
Citrix Service 仮想マシンのタイムゾーン設定が期待どおりに動作しません 。
[NSHELP-32114]
NetScaler SDXアプライアンスでは、大量のSNMPデータ処理により、より高いメモリ使用量が検出されます。
[NSHELP-30222]
SDX-ROOT-MIB:: XenTableのNetScaler SDXアプライアンスで実行されているSNMPウォークアプリケーションは、予想よりも時間がかかります。
[NSHELP-30085]
NetScaler Gateway
ユーザは、高度なクライアントレス VPN モードでブックマークにアクセスできない場合があります。
[NSHELP-30939]
UDPオーディオ接続用にICAプロキシモードで構成されたNetScaler Gateway アプライアンスは、メモリ破損によりクラッシュすることがあります。
[NSHELP-30919]
ICAアプリの起動は、次の条件で失敗します。
- コンテンツセキュリティポリシー (CSP) 機能が有効になっています。
- ユーザーはブラウザーからログインしますが、Citrix Workspace アプリを使用してアプリを起動します。
[ NSHELP-30534 ]
HDX Insightが有効で、NSAP が無効になっている場合、チャネル解析中にNetScaler Gateway アプライアンスがクラッシュすることがあります。
[NSHELP-30029]
Gateway Insight は、認証ルールがログインフロー内の要求の 1 つと一致するように設定されている場合、ユーザがログイン用の資格情報を送信する前であっても、誤った認証エラーを報告します。
[NSHELP-29313]
セッションプロファイルにStoreFrontのFQDNが含まれていると、資格情報を入力するとアプリの起動に失敗します。次のエラーが表示されます。
‘Http/1.1 内部サーバーエラー 43531’
今回の修正により、お客様はセッションプロファイルの WI アドレスの代わりに FQDN を IP に入力できるようになりました。
[NSHELP-26671]
NetScaler Web App Firewall
No user-agent header actionおよびmulti user-agent header actionのログは、IP レピュテーションチェックのログメッセージを正しく使用していない可能性があります。
[NSHELP-31935]
NetScalerアプライアンスは、低速のDNSサーバーでBOT署名ルックアップを処理中にクラッシュすることがあります。
[NSHELP-31642]
署名ルールでクロスサイトスクリプティングが有効になっていると、NetScalerアプライアンスがクラッシュすることがあります。
[NSHELP-31617]
負荷分散
場合によっては、サービスの状態がモニターの状態と同期していません。
[NSHELP-31747]
次の条件が満たされると、ネームサーバーの削除中にNetScalerアプライアンスがクラッシュします。
- DNS サーバーとネームサーバーは、同じ IP アドレスとポートで構成されます。
- リッスンポリシーは DNS サーバーに設定されます。
[NSHELP-31142]
永続性エントリが存在し、多数のダミー負荷分散仮想サーバーとグループ仮想サーバーが構成されている場合、NetScalerアプライアンスがクリア構成中にクラッシュする可能性があります。
[ NSHELP-30051 ]
NetScalerアプライアンスに未解決のWIHOME構成が存在する場合、ワイルドカード仮想サービスの作成は失敗します。
[NSHELP-25627]
その他
NetScalerアプライアンスでは、追加のHDDがアプライアンスに追加されると、クラッシュフォルダー/var/crash/nslogに/var/nslogファイルへのリンクが作成されます 。クラッシュフォルダにあるnewnslogファイルは、テクニカルサポートが生成するコレクタフォルダには収集されません。
[NSHELP-31354]
リソースに割り当てられたメモリが解放されないと、NetScaler SWGアプライアンスがクラッシュし、トラフィックがない場合でもメモリ使用量が高くなる可能性があります。
[NSHELP-31290]
公開鍵システム認証が構成されたNetScalerクラスターセットアップでは、次の問題が発生します。
- VTYSH は、クラスタ構成コーディネータ (CCO) のすべてのクラスタノードの情報を表示しません。
[NSHELP-28762]
プラットフォーム
SDX 26000プラットフォーム(SDX 26100-100G、26160-100G、26200-100G、26250-100G)では、単一のVPXインスタンスに割り当てることができるCPUコアの最大数が26から25CPUコアに変更されました。
[ NSPLAT-21233 ]
BYOLライセンスは、ALIクラウドプラットフォームで実行されているNetScaler VPXインスタンスには適用できません。
[NSHELP-31546]
SSL
暗号ユニットがVPXインスタンスに割り当てられ、ジャンボ構成が有効になっていると、NetScaler SDXアプライアンスがクラッシュします。
[NSHELP-30950]
NetScalerアプライアンスは、次のシナリオでクラッシュする可能性があります。
- SSL タイプの負荷分散モニターと SSL サービスの名前は同じです
- SSL サービスの名前が変更された
- 負荷分散モニターが削除される
[NSHELP-30445]
SSL インターセプトが有効で、DNS サーバーが有効な DNS 応答を返さない場合、Web サイトへのアクセスはブロックされます。
[ NSHELP-30201 ]
次のすべての状態が発生すると、NetScalerアプライアンスがクラッシュします。
- デフォルトの RSA 証明書とキーのペアは、内部サービスにバインドされています。
- 非 RSA 証明書とキーのペアは、同じサービスにバインドされます。
- 高可用性同期が発生します。
[NSHELP-30084]
rc.netscalerファイルの一部であるカスタマイズは、システムの初期化中に実行されないため、適用されません。
[NSHELP-31914]
システム
管理しているNetScalerコンソールアプライアンスのネットワークMTUが1500を超えると、NetScalerアプライアンスがクラッシュします。
[NSHELP-30835]
クライアント側の測定構成を持つNetScalerアプライアンスは、次の条件下で変数を破損し、ページの読み込みに失敗する可能性があります。
- HTTP レスポンスには、2000 バイトを超える JavaScript 変数が含まれています。
[ NSHELP-30026 ]
NetScalerアプライアンスでは、デフォルトの高度なグローバルポリシーのバインドを解除して構成を保存すると、次回の再起動時に変更が反映されません。
[NSHELP-19867]
NetScalerアプライアンスは、ヘッダー名フィールドにドット文字を含むカスタムHTTPヘッダーを含むパケットをドロップします。このアクションは、AllowOnlyWordCharactersAndHyphen パラメーターがデフォルトの HTTP プロファイルでデフォルトで有効になっているために発生します。
13.1-27.x 以降では、デフォルトの HTTP プロファイルセットの allowOnlyWordCharactersAndHyphen パラメーターがデフォルトで無効になっています。ただし、セキュリティを強化するために、このパラメーターを有効にしておくことをお勧めします。
[NSBASE-16722]
ユーザーインターフェイス
NetScalerバージョン13.0バージョン85.15ビルドでは、GUIを使用して負荷分散サービスグループのメンバーをバインド解除することはできません。
[NSHELP-31474]
NetScaler GUIの [システム] > [診断 ] ページには、Advancedライセンスをお持ちのお客様のページの詳細は表示されません。
[NSHELP-31330]
管理パーティションでは、パケットトレースの記録が期待どおりに動作しない場合があります。
[NSHELP-31321]
CLIインターフェイスでshow runコマンドを実行中にCTRL+Cを入力すると 、NetScalerアプライアンスへの再接続が失敗し、次のエラーが表示されます。
Invalid username or password
この問題は、キーとパスワードの文字が同じ場合に発生します。
[NSHELP-30817]
アップグレードのインストール順序が正しくないため、NetScalerアプライアンスで次の問題が発生します。
- カーネルイメージが最初に更新され、数ステップ後に暗号化キーがコピーされます。これらの手順の間に何らかの障害が発生し、ADCアプライアンスが新しいイメージを作成します。新しいイメージに暗号化キーがないと、復号化に失敗し、設定が失われます。
[ NSHELP-30755 ]
既知の問題
リリース13.1~27.59に存在する問題。
AppFlow
HDX Insightは、ユーザーがアクセスできないアプリケーションまたはデスクトップを起動しようとしたことによるアプリケーションの起動失敗を報告しません。
[ NSINSIGHT-943 ]
認証、承認、監査
NetScalerアプライアンスは、重複したパスワードログインの試行を認証せず、アカウントのロックアウトを防ぎます。
[ NSHELP-563 ]
DualAuthPushOrOTP.xml LoginSchemaが、NetScaler GUIのログインスキーマエディタ画面に正しく表示されません。
[NSAUTH-6106]
ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
show adfsproxyprofile <profile name>
回避方法:
クラスタ内のプライマリのアクティブなNetScalerに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。
[ NSAUTH-5916 ]
次の手順を実行すると、NetScaler GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。
- [LDAP 到達可能性をテスト] オプションが開きます。
- 無効なログイン認証情報が入力され、送信されます。
- 有効なログイン認証情報が入力され、送信されます。
回避方法:
[LDAP 到達可能性のテスト] オプションを閉じて開きます。
[NSAUTH-2147]
キャッシュ
統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、NetScalerアプライアンスがクラッシュすることがあります。
[ NSHELP-22942 ]
NetScaler SDXアプライアンス
NetScaler SDXアプライアンスでは、CLAGがMellanox NIC上に作成されている場合、VPXインスタンスの再起動時にCLAG MACが変更されます。VPXインスタンスへのトラフィックは再起動後に停止します。これは、MACテーブルに古いCLAG MACエントリがあるためです。
[ NSSVM-4333 ]
NetScaler SDXアプライアンスでは、VLANホワイトリストがNetScaler VPXインスタンスに割り当てられたMellanoxインターフェイスの正しい値で更新されません。
[ NSHELP-31849 ]
NetScaler SDXアプライアンスをアップグレードすると、ハイパーバイザーのバージョンが現在のSDXバージョンとアップグレード後のSDXバージョンの両方で同じであっても、管理サービスGUIに次の誤ったイベントが通知されます。
SVMとHypervisorのバージョンが一致しません
[ NSHELP-31769 ]
証明書名またはキー名にスペースが含まれていると、NetScaler SDXアプライアンスへのSSL証明書のインストールが失敗します。
[ NSHELP-31711 ]
NetScaler Gateway
Citrix Secure Accessによって確立されたトンネルの外部にあるリソースへの直接接続は、大幅な遅延または輻輳が発生すると失敗することがあります。
[ NSHELP-31598 ]
Always on が設定されている場合、aoservice.exe ファイルのバージョン番号(1.1.1.1)が正しくないため、ユーザトンネルが失敗します。
[ NSHELP-30662 ]
[NetworkAccessonVPNFailure]プロファイルパラメーターを[フルアクセス]から[OnlyToGateway]に変更すると、ユーザーはNetScaler Gateway アプライアンスに接続できなくなります。
[ NSHELP-30236 ]
ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。この問題を解決するために、次のレジストリ値が導入されます。
\ HKLM\ ソフトウェア\ Citrix\ Secure Access Client
セキュアチャネルリセットタイムアウト (秒) タイプ:DWORD
デフォルトでは、このレジストリ値は設定も追加もされません。SecureChannelResetTimeoutSecondsの値が0の場合、または追加されていない場合、遅延を処理する修正は機能しません。これはデフォルトの動作です。管理者は、このレジストリをクライアントに設定して修正を有効にする必要があります (つまり、ゲートウェイプラグインが VPN トンネルを正常に確立した直後にホームページを表示する)。
[ NSHELP-30189 ]
Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。
[ NSHELP-29675 ]
サーバー証明書が信頼されていると、サーバー検証コードが失敗することがあります。その結果、エンドユーザーはゲートウェイにアクセスできなくなります。
[NSHELP-28942]
rdx.js ファイルにいくつかの Citrix 内部 IP アドレスがあることに気付くかもしれません。
[ NSHELP-28682 ]
macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。
[ NSHELP-28551 ]
クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にNetScaler Gateway からログアウトすることがあります。
[ NSHELP-28404 ]
GUI を使用してクラシック認可ポリシーをバインド解除することはできません。ただし、CLI を使用して認証、承認、および監査認可ポリシーのバインドを解除することはできます。
今回の修正により、GUI を使用して承認ポリシーのバインドを解除できるようになりました。
[NSHELP-27064]
Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。
[ NSHELP-23937 ]
次の条件が満たされている場合、VPN プラグインは Windows のログオン後にトンネルを確立しません。
- NetScaler Gateway アプライアンスが常時オン機能用に構成されている
- アプライアンスは 2 要素認証
offによる証明書ベースの認証用に設定されています。
[ NSHELP-23584 ]
スキーマを参照しているときに、エラーメッセージCannot read property 'type' of undefinedが表示されることがあります。
[ NSHELP-21897 ]
Windowsログオン機能の前に常時接続VPNを使用したい場合は、NetScaler Gateway 13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を活用できます。
[ CGOP-19355 ]
無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight で報告されません。
[ CGOP-13621 ]
Gateway Insightレポートでは、SAML エラーエラーの [認証タイプ] フィールドのSAMLではなく、値Localが誤って表示されます。
[ CGOP-13584 ]
高可用性セットアップでは、NetScalerフェイルオーバー時に、NetScaler Consoleのフェイルオーバー数ではなくストレージリポジトリ数が増加します。
[ CGOP-13511 ]
ICA接続がMAC Receiverバージョン19.6.0.32またはCitrix Virtual Apps and Desktopsバージョン7.18から起動されると、HDX Insight機能は無効になります。
[ CGOP-13494 ]
EDT Insight 機能が有効になっていると、ネットワークの不一致時にオーディオチャネルに障害が発生することがあります。
[ CGOP-13493 ]
ブラウザからローカルホスト接続を受け付けると、macOS の Accept Connection ダイアログボックスには、選択した言語に関係なく英語でコンテンツが表示されます。
[ CGOP-13050 ]
一部の言語では、Citrix SSOアプリ>ホームページのテキストHome Pageが切り捨てられます。
[ CGOP-13049 ]
NetScaler GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。
[ CGOP-11830 ]
Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。
[ CGOP-7269 ]
NetScaler Web App Firewall
NetScalerアプライアンスは、低速のDNSサーバーでBOT署名ルックアップを処理中にクラッシュすることがあります。
[NSHELP-31642]
署名ルールでクロスサイトスクリプティングが有効になっていると、NetScalerアプライアンスがクラッシュすることがあります。
[NSHELP-31617]
負荷分散
高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。
[ NSLB-7679 ]
場合によっては、サービスの状態がモニターの状態と同期していません。
[NSHELP-31747]
次の条件が満たされると、NetScalerアプライアンスがクラッシュしてコアがダンプされる可能性があります。
- 静的近接またはRTTは、プライマリまたはバックアップの負荷分散方法として使用されます。
- 送信元 IP アドレスの永続性が有効になっている
[NSHELP-31735]
entityofs サービスグループのトラップの ServiceGroupName 形式は次のとおりです。
<service(group)name>?<ip/DBS>?<port>
トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (?) はセパレータとして使用されます。NetScalerは、疑問符(?)付きのトラップを送信します。フォーマットはNetScalerコンソールのGUIでも同じように表示されます。これは予想される動作です。
[ NSHELP-28080 ]
特定のシナリオでは、サービスグループにバインドされたサーバーが、無効な Cookie 値を表示します。トレースログで正しい Cookie 値を確認できます。
[ NSHELP-21196 ]
その他
高可用性セットアップで強制同期が実行されると、アプライアンスはセカンダリノードでset urlfiltering parameterコマンドを実行します。
その結果、セカンダリノードは、 TimeOfDayToUpdateDB パラメータで指定された次のスケジュールされた時刻まで、スケジュールされた更新をスキップします。
[NSSWG-849]
レジストリ値が 2000 バイトを超えると、AlwaysOnAllow リストレジストリが期待どおりに動作しません。
[ NSHELP-31836 ]
URLフィルタリングのサードパーティベンダーとの接続の問題が発生した場合、管理CPUの停滞によりNetScalerアプライアンスが再起動することがあります。
[ NSHELP-22409 ]
ネットワーク
DPDKをサポートするNetScaler BLXアプライアンスでは、DPDKIntel i350 NICポートではタグ付きVLANはサポートされません。これは、DPDK ドライバに存在する既知の問題であるため、確認されています。
[ NSNET-25299 ]
DPDKを搭載したNetScaler BLXアプライアンスは、次の条件をすべて満たすと再起動に失敗することがあります:
- NetScaler BLXアプライアンスは、
hugepagesの小さい数が割り当てられます。たとえば、1G です。 - NetScaler BLXアプライアンスには多数のワーカープロセスが割り当てられています。たとえば、28 と入力します。
この問題は、 /var/log/ns.logにエラーメッセージとして記録されます。
BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x
注:x はワーカープロセス数以下の数です。
回避方法:
多数のhugepagesを割り当て、アプライアンスを再起動します。
[ NSNET-25173 ]
DPDKを搭載したNetScaler BLXアプライアンスは、次の条件が満たされると再起動に失敗することがあります。
- NetScaler BLXアプライアンスには
hugepagesの大きい数が割り当てられます。たとえば、16 GB と入力します。
この問題は、 /var/log/ns.logにエラーメッセージとして記録されます。
EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files
回避方法:
この問題を解決するには、次のいずれかの回避策を使用します。
-
ulimitコマンドを使用するか、limits.confファイルを編集して、Linux ホストで開くことができるファイルの上限を増やします。 - 割り当てられた
hugepagesの数を減らします。
[NSNET-24727]
DPDKモードのNetScaler BLXアプライアンスは、DPDK簡易機能のため、再起動に少し時間がかかる場合があります。
[ NSNET-24449 ]
DPDKを搭載したNetScaler BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません:
- 無効化
- 有効化
- リセット
[ NSNET-16559 ]
DebianベースのLinuxホスト(Ubuntuバージョン18以降)では、NetScaler BLXアプライアンスのインストールが次の依存関係エラーで失敗することがあります:
The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable
回避方法:
NetScaler BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。
- dpkg –add-architecture i386
- apt-get update
- apt-get dist-upgrade
- apt-get install libc6:i386
[ NSNET-14602 ]
FTPデータ接続の場合、NetScalerアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対してTCP処理は実行しない場合があります。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。
[ NSNET-5233 ]
NetScalerアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は管理パーティションの新しいメモリ制限に自動的に設定されます。
[ NSHELP-21082 ]
プラットフォーム
高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および NetScaler VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。
- NetScalerアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
- その後、NetScalerアプライアンスを再起動します。
[ NSPLAT-22013 ]
13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがNetScalerアプライアンスにインストールされません。この問題は、次のNetScalerバージョンで修正されています。
- 13.1-4.x
- 13.0-82.31 以降
- 12.1-62.21 以降
NetScaler バージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。
- 任意の 11.1 ビルド
- 12.1-62.21 およびそれ以前
- 13.0-81.x およびそれ以前
[ NSPLAT-21691 ]
NetScaler SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、2番目のノードとCLIPでCLAG MACの不一致があります。
- CLAG はMellanox NIC 上に作成されます。
- クラスターとCLAGセットアップに別のVPXインスタンスを追加します。
その結果、VPXインスタンスへのトラフィックが停止します。
[NSPLAT-21049]
NetScaler SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、CLIPテーブルとMACテーブルでMACアドレスの不一致が原因で最初のノードがダウンします。
- CLAG はMellanox NIC 上に作成されます。
- クラスタから 2 つ目のノードを削除します。
[NSPLAT-21042]
Azureリソースグループからオートスケール設定または仮想マシンスケールセットを削除する場合は、対応するクラウドプロファイル構成をNetScalerインスタンスから削除します。rm cloudprofile コマンドを使用して、プロファイルを削除します。
[ NSPLAT-4520 ]
Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。 回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノード上で設定する必要があります。
[ NSPLAT-4451 ]
NetScalerリリース13.1以降、NetScalerアプライアンスは、8つを超えるVMXNET3ネットワークインターフェイスを備えたESXiハイパーバイザーで起動に失敗します。
[NSHELP-31266]
ポリシー
処理データのサイズが、設定されているデフォルトの TCP バッファサイズを超えると、接続がハングすることがあります。回避策:TCP バッファサイズを、処理が必要なデータの最大サイズに設定します。
[ NSPOLICY-1267 ]
SSL
NetScaler SDX 22000アプライアンスとNetScaler SDX 26000アプライアンスの異機種クラスタでは、SDX 26000アプライアンスを再起動するとSSLエンティティの構成が失われます。
回避方法:
- CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:
set ssl vserver <name> -SSL3 DISABLED。 - 構成を保存します。
[ NSSSL-9572 ]
認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。
[ NSSSL-6478 ]
同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。NetScalerアプライアンスはエラーを返しません。
[ NSSSL-6213 ]
HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。 エラー:CRL 更新は無効です
[ NSSSL-6106 ]
セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)
[ NSSSL-4427 ]
SSL プロファイルの SSL プロトコルまたは暗号を変更しようとすると、不正な警告メッセージWarning: No usable ciphers configured on the SSL vserver/service,が表示されます。
[ NSSSL-4001 ]
期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。[ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]
NetScalerアプライアンスは、次のシナリオでクラッシュする可能性があります。
- SSL タイプの負荷分散モニターと SSL サービスの名前は同じです
- SSL サービスの名前が変更された
- 負荷分散モニターが削除される
[NSHELP-30445]
システム
アプライアンスがクライアントから max_concurrent_stream 設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS 値はデフォルトで 100 に設定されます。
[ NSHELP-21240 ]
mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。
[ NSHELP-10972 ]
クラスタ展開では、非 CCO ノードでforce cluster syncコマンドを実行すると、ns.log ファイルに重複したログエントリが含まれます。[NSBASE-16304、NSGI-1293]
NetScaler ConsoleをKubernetesクラスターにインストールすると、必要なプロセスが実行されない可能性があるため、期待どおりに機能しません。
回避策:管理ポッドを再起動します。
[ NSBASE-15556 ]
LogStream トランスポートタイプが Insight に設定されている場合、HDX Insight SkipFlow レコードでクライアント IP とサーバー IP が反転します。
[NSBASE-8506]
ユーザーインターフェイス
MQTT リライト機能では、GUI のエクスプレッションエディタを使用してエクスプレッションを削除することはできません。
回避方法:
CLI から MQTT タイプの add または edit action コマンドを使用します。
[ NSUI-18049 ]
NetScaler GUIでは、Dashboardタブの下にあるHelpリンクが壊れています。
[ NSUI-14752 ]
CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。
回避方法:
NetScaler GUIまたはCLIを使用して、IPSecプロファイル、IPトンネル、およびPBRルールを追加して、CloudBridge Connectorを構成します。
[ NSUI-13024 ]
GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。
[ NSUI-6838 ]
高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。
- HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。
回避方法:
HA 同期が完了した後(両方のノードが同期成功状態にある)のみ、手動の HA フェールオーバーを連続して実行します。
[ NSHELP-25598 ]
NetScaler BLXアプライアンスの高可用性セットアップでは、プライマリノードが応答しなくなり、CLIまたはAPI要求がブロックされることがあります。
回避方法:
プライマリノードを再起動します。
[NSCONFIG-6601]
あなた(システム管理者)がNetScalerアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたNetScalerアプライアンスにログインできないことがあります。
-
NetScalerアプライアンスをいずれかのビルドにアップグレードします。
- 13.0 52.24 ビルド
- 12.1 57.18 ビルド
- 11.1 65.10 ビルド
- システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
- NetScalerアプライアンスを古いビルドにダウングレードします。
CLI を使用してこれらのシステムユーザーの一覧を表示するには、 コマンドプロンプトで次のように入力します。
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
回避方法:
この問題を修正するには、次の独立したオプションのいずれかを使用します。
- NetScalerアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してNetScalerアプライアンスをダウングレードします。
- アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
- 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。
詳しくは、https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。
[ NSCONFIG-3188 ]
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.