-
-
-
VMware ESX、Linux KVM、およびCitrix HypervisorでNetScaler ADC VPXのパフォーマンスを最適化する
-
-
NetScalerアプライアンスのアップグレードとダウングレード
-
-
-
-
-
-
-
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
NetScaler 13.1-33.54リリースのリリースノート
このリリースノートドキュメントでは、NetScalerリリースビルド13.1-33.54の機能強化と変更、修正された問題と既知の問題について説明します。
メモ
- このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティ関連の修正と勧告のリストについては、セキュリティ速報を参照してください。
- ビルド 13.1-33.47 以降のビルドは、 https://support.citrix.com/article/CTX463706で説明されているセキュリティの脆弱性を解決します。
- ビルド 33.54 は、ビルド 33.52、ビルド 33.49、ビルド 33.47 を置き換えます。
- ビルド 33.54 には、NSHELP-33250、NSHELP-33345、および NSHELP-33063 の問題に対する修正が含まれています。
- ビルド 33.52 には、NSHELP-32907 の問題の修正が含まれています。
- ビルド 33.49 には、NSHELP-32709、NSHELP-32697、NSHELP-32410、NSHELP-31790、NSHELP-31478、および NSCONFIG-7098 の問題に対する修正が含まれていました。
新機能
ビルド 13.1-33.54 で利用できる機能強化と変更点。
ボット管理
-
BOT 関連の新表現
次の式が追加され、BOT プロファイルがロギングモードに設定されている場合に使用できます。
-
HTTP.REQ.BOT.IS_SUSPECTED
-クライアントが BOT であると疑われる場合は true を返します。 -
HTTP.REQ.BOT.TYPE.EQ(<bot type>)
-クライアントの BOT タイプが引数と同じ場合は true を返します。ボットタイプに設定可能な値:良好、不良、不明 -
HTTP.REQ.BOT.TYPE.NE(<bot type>)
-クライアントの BOT タイプが引数と同じでない場合は true を返します。ボットタイプに設定可能な値:良好、不良、不明 -
HTTP.REQ.BOT.TYPE.ENUM_NAME
-BOT タイプを文字列で返します。たとえば、良い、悪い、不明。 -
HTTP.REQ.BOT.DETECTION_METHODS
-クライアントをBOTとして検出するために使用される検出手法のリスト。
[NSBOT-842]
-
NetScaler Gateway
-
SmartControl を設定すると、対応する認証、承認、および監査セッションが存在しない場合でも、セッションの信頼性がサポートされます。ネットワーク障害からの回復後にNetScalerアプライアンスがクライアントデバイスから受信した再接続要求は、対応する認証、承認、および監査セッションが存在しない場合でも処理されます。
[CGOP-21040]
NetScaler Web App Firewall
-
新しいデフォルト Web App Firewall プロファイル
コアWAF保護機能を備えたコアと呼ばれる新しいデフォルトプロファイルが利用可能になりました。コアプロファイルでは次のチェックが有効になっています。
- 文法ベースの SQL インジェクション
- 文法ベースの CMD インジェクション
- XSSか
- BOF
- ブロック表現
[NSWAF-9133]
-
JSON ペイロードのカスタムキーワードサポート
任意のキーワードを追加して、設定したキーワードが JSON ペイロードに存在するかどうかを確認できます。構成されたキーワードが着信要求で検出された場合、NetScalerアプライアンスを構成して、要求をブロックしたり、ログを更新したり、ログカウンタを増やしたりすることができます。
利点は、SQL インジェクションとコマンドインジェクションのチェックでカバーされていないキーワードを追加して、誤検出を減らすことができることです。
[NSWAF-9076]
プラットフォーム
-
NetScaler ライセンスの不正使用を防ぐ
NetScalerアプライアンスをバージョン13.1にアップグレードする場合、NetScalerライセンスシステムは、Customer Success Services 有効期限に従ってライセンス検証を実施するようになりました。この日付がCustomer Success Services 対象日より前の場合、既存のライセンスはアップグレードされたバージョンのADCアプライアンスでは機能しません。この動作により、ライセンスの不正使用を防ぐことができます。
NetScaler製品とその対象期間の一覧については、https://support.citrix.com/article/CTX111618/citrix-product-customer-success-services-eligibility-datesを参照してください。
[NSPLAT-24522]
-
Azure 高速ネットワークでの動的 NIC 削除の処理
NetScaler VPXインスタンスは、Azureアクセラレーテッドネットワークでの動的なNICの取り外しと、取り外されたNICの再接続をシームレスに処理できるようになりました。
Azure では、ホストのメンテナンス作業のために、高速ネットワークのシングルルート I/O 仮想化 (SR-IOV) 仮想機能 (VF) NIC を削除できます。NICがAzure VMから削除されるたびに、NetScaler VPXインスタンスはインターフェイスのステータスを「リンクダウン」と表示し、トラフィックは仮想インターフェイスのみを経由します。取り外したNICが再接続されると、VPXインスタンスは再接続されたSR-IOV VF NICを使用します。このプロセスはシームレスに行われ、設定は不要です。
[NSPLAT-23300]
-
Python 3.7 のサポート
Python 2.7が廃止されたため、NetScalerアプライアンスはPython 3.7をサポートするようになりました。
現在の Python スクリプトを Python 3.7 と互換性を持たせるにはアップグレードする必要があります。
[NSPLAT-20832]
SSL
-
証明書の有効期限が切れるまでの定期的な通知のサポート
NetScalerアプライアンスは、証明書の有効期限が切れるまで、1日に1つの通知を送信するようになりました。以前は、証明書の有効期限が切れる前に設定された日数だけ通知が送信されていました。
[ NSSSL-11874 ]
-
証明書作成リクエストのメールアドレスの長さの増加
NetScalerアプライアンスでは、証明書作成要求の電子メールアドレスの制限が255文字に引き上げられました。以前の制限は 39 文字でした。
[NSSSL-10917]
-
Intel Coleto およびIntel Lewisburg ベースのプラットフォームでの Thales Luna HSM のサポート
Thales Luna HSMは現在、NetScaler、Intel Coleto、およびIntel Lewisburg SSLチップベースのプラットフォームでサポートされています。
以下のアプライアンスには、Intel Coleto チップが搭載されています。
- MPX 5900
- MPX/SDX 8900
- MPX/SDX 15000
- MPX/SDX 15000-50G
- MPX/SDX 26000
- MPX/SDX 26000-50S
- MPX/SDX 26000-100G
以下のプラットフォームには、Intel Lewisburg チップが付属しています。
- MPX 9100
- SDX 9100
[NSSSL-9707]
システム
-
HTTP プロファイルに新しいパラメータが追加されました
バックエンドサーバーへの攻撃を防ぐために、新しいパラメーター PassProtocolUpgrade が HTTP プロファイルに追加されました。このパラメータの状態に応じて、アップグレードヘッダーはバックエンドサーバーに送信されるリクエストで渡されるか、リクエストを送信する前に削除されます。
- PassProtocolUpgrade パラメーターが有効になっている場合、アップグレードヘッダーはバックエンドに渡されます。サーバーはアップグレード要求を受け入れ、応答で通知します。
- このパラメータを無効にすると、アップグレードヘッダーが削除され、残りのリクエストがバックエンドに送信されます。
PassProtocolUpgrade パラメータが次のプロファイルに追加されます。
- nshttp_default_profile はデフォルトで有効になっています
- nshttp_default_strict_validation デフォルトでは無効になっています
- nshttp_default_internal_apps はデフォルトで無効になっています
- nshttp_default_http_quic_profile はデフォルトで有効になっています
Citrixでは、このパラメータをデフォルトでは無効にすることを推奨しています。詳細については、『 NetScaler セキュア導入ガイド』を参照してください。
[NSBASE-17423]
-
複数の時系列プロファイルのサポート
NetScalerアプライアンスは、最大3つの時系列プロファイル構成をサポートするようになりました。
各時系列プロファイルには次の内容を設定できます。- そのコレクター
- メトリクスコレクターがエクスポートするのに必要なカウンターのセットを含むスキーマファイル
- メトリックをエクスポートできるデータ形式。
- 指標、監査ログ、イベントを有効または無効にするオプション。
複数の時系列プロファイルがサポートされているため、メトリックコレクターは(構成されたスキーマファイルに基づいて)メトリックの異なるセットを異なるフォーマット(AVRO、Prometheus、Influx)のさまざまなコレクターに同時にエクスポートできます。
詳細については、「 AppFlow機能の構成」を参照してください。
[NSBASE-16809]
-
syslog は、特定の時間間隔で TCP 経由でエクスポートされません。この状態のため、syslog は監査バッファーに無期限に留まり、ログがないことが認識されます。この syslog は、バッファーがいっぱいになったときにのみ送信されます。
今回の修正により、syslog は、監査バッファーがいっぱいになったとき、または 20 秒おきに、いずれか早いほうの間隔で TCP 経由でエクスポートされます。
[NSBASE-16698]
-
QUIC の暗号オフロードサポート
NetScalerアプライアンスは、ソフトウェアからハードウェアへの暗号処理のオフロードをサポートするようになりました。これにより、QUICトランザクションが高速化されます。NetScalerアプライアンスには、暗号アクセラレーションを透過的に実行するSSLハードウェアチップが搭載されています。
詳細については、 QUICを参照してください。
[NSBASE-12046]
ユーザーインターフェイス
-
内部サービスのTLS 1.2設定に基づく安全なRPC通信
NetScalerアプライアンスを以下のいずれかのビルドからリリース13.1ビルド33.x以降にアップグレードすると、内部RPCSおよびKRPCSサービスのTLS 1.2設定(有効または無効)に基づいて、RPCノードの「セキュア」オプションが有効または無効になります。
- リリース13.0ビルド64.35以前
- リリース 12.1 ビルド 61.18 またはそれ以前
「セキュア」オプションが有効になっている場合、RPC通信は次の設定のNetScaler ノード間で暗号化されます。
- 高可用性
- クラスター
- GSLBか
「セキュア」オプションでは、NetScalerノード間のRPC接続にセキュアプロトコルTLS1.2とポート番号3008および3009を使用します。
安全なRPC通信を確保するために、Citrixではこれらのセットアップをアップグレードする前に次の操作を実行することをお勧めします。
- 内部 RPCS および KRPCS サービスでは TLS 1.2 を有効にする必要があります。
- nsrpcs-127.0.0.1-3008
- nskrpcs-127.0.0.1-3009
- nsrpcs-: 1l-3008
- 3008と3009は、NetScalerノード間のファイアウォールでブロック解除する必要があります。
NetScaler CLIまたはGUIを使用して、セキュアオプションを有効または無効にできます。
[NSCONFIG-6485]
-
NetScaler CPXライセンスアグリゲーターのサポート
これで、NetScalerが提供する新しいKubernetesマイクロサービスであるNetScaler CPXライセンスアグリゲーターを使用して、NetScaler CPXのライセンスを取得できるようになりました。NetScaler CPXを起動するときは、NetScaler CPXライセンスアグリゲーターのIPアドレスまたはドメイン名を使用して環境変数CLAを構成する必要があります。環境変数が構成されている場合、NetScaler CPXライセンスアグリゲーターは、接続されているすべてのNetScaler CPXの集約ライセンスをチェックアウトします。
[NSCONFIG-6394]
-
NITRO API インストールの非同期オプションのサポート「NITRO API
のインストール」に新しいオプション「async」が導入されました。「async」オプションはインストール操作のジョブ ID を返します。これを「nsjob NITRO」API 呼び出しで使用すると、インストール操作のステータスの詳細を取得できます。例:
次の curl リクエストの例では、インストール NITRO API を async オプションとともに使用しています。レスポンスペイロードにはジョブ ID が 2 として含まれています。
Curl要求:
“curl -v -X POST -H “Content-Type: application/json” -u nsroot:examplepasswordhttp://192.0.0.33/nitro/v1/config/install?warning=yes
-d ‘{“install”: {“url”: “https://example-repo.citrite.net/build-13.1-36.11_nc_64.tgz
”, “async”:”1”}}’”レスポンスペイロード:
”{ “install”:{ “url”:
"<file path>"
, “y”: false, “l”: false, “a”: false, “enhancedupgrade”: false, “resizeswapvar”: false, “async”: true, “id”: “2” }”次の curl リクエストの例では、「nsjob NITRO API」を使用して、インストール操作の ID であるジョブ ID 2 のステータス詳細を取得します。
Curl要求:
“curl -v -X GET -H “Content-Type: application/json” -u nsroot:examplepasswordhttp://192.0.0.33/nitro/v1/config/nsjob/2
”レスポンスペイロード:
”{ “errorcode”: 0, “message”: “Done”, “severity”: “NONE”, “nsjob”: [
{ “name”: “install”, “id”: “2”, “status”: “Success”, “progress”: “nInstallation has completed.nnReboot is required for configuration changes to take effect.Installation succeeded. Reboot required.n”, “timeelapsed”: 148, “errorcode”: “5221”, “message”: “The configuration changes will not take effect until the system is rebootedn” }
]}”
[NSCONFIG-5870]
解決された問題
ビルド13.1-33.54で対処されている問題。
認証、承認、監査
-
NetScalerアプライアンスは、MEM_SSLVPNモジュールのメモリリークにより要求の処理を停止します。
[NSHELP-32646]
-
NetScaler Gateway Duo 認証ログオンページは、RFWebUI 以外のテーマでは読み込まれません。
[ NSHELP-32463 ]
-
デバイスをNetScaler Gateway アプライアンスに登録すると、Citrix Secure Access(Citrix SSO)に「プッシュ登録に失敗しました」というメッセージが表示されます。
[ NSHELP-32461 ]
-
LDAP認証とSAML認証の両方がカスケードで構成されている場合、ログオン中にエラーページが表示されます。
[NSHELP-32378]
-
Citrix Workspaceアプリを使用したゲートウェイへの認証が成功しないことがあります。
[ NSHELP-32333 ]
-
NetScalerアプライアンスでコンテンツセキュリティポリシー(CSP)機能が有効になっている場合、SAML認証は失敗します。
[ NSHELP-32203 ]
キャッシュ
-
統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、NetScalerアプライアンスがクラッシュすることがあります。
[ NSHELP-22942 ]
NetScaler SDXアプライアンス
-
NetScaler SDXアプライアンスでは、リリース13.1ビルド30.52からそれ以前のリリースまたはビルドにダウングレードしても、クリーンインストールオプションが機能しません。
[NSSVM-5419]
-
NetScaler VPXインスタンスをSDXとADMを使用してバックアップすると、いくつかの冗長ハードウェアセキュリティモジュール(HSM)構成ファイルもバックアップされます。
[ NSHELP-32539 ]
-
NetScaler SDXアプライアンスの管理サービスSyslogには、日付が誤って2回表示されます。
[NSHELP-32311]
NetScaler Gateway
-
Gateway InsightとWeb Insightの機能のいずれかまたは両方が有効になっていると、NetScalerアプライアンスがクラッシュします。
[ NSHELP-33345 ]
-
接続ブローカーの存在下では、RDP プロキシが機能しないことがあります。
[ NSHELP-33063 ]
-
HDX Insightが有効になっていて、ユーザーがログアウト後すぐにStoreFront にログインすると、NetScaler Gateway アプライアンスがクラッシュすることがあります。
[ NSHELP-32907, NSHELP-33079, NSHELP-33289 ]
-
Patset ベースの MAC アドレス EPA スキャンは、デバイス証明書スキャンと同じ要素では機能しません。
[ NSHELP-32760 ]
-
NetScalerアプライアンスは、認証トラフィックに使用される認証方法が不明なHTTPパケットをすべてドロップします。認証トラフィックに認証および承認仮想サーバーが使用されている場合、認証方法が不明な場合、負荷分散操作で問題が発生し、展開が中断されます。不明な認証方法は、デフォルトでは無効になっています。
[NSHELP-32709]
-
[ログイン情報の転送] ダイアログボックスには [転送] ボタンは表示されません。
[ NSHELP-32614 ]
-
StoreFrontでコールバックURLが構成されている場合、StoreFront サーバーからのログアウト要求POST /CitrixAuthservice.asmxを処理中にNetScalerアプライアンスがクラッシュします。
[ NSHELP-32207 ]
-
NetScaler Gateway アプライアンスでは、VPNパラメーターがセッションアクションレベルで設定されていない場合、グローバルVPNパラメーターは有効になりません。
高可用性セットアップをアップグレードする前に、セカンダリアプライアンスの HA 同期を手動で無効にしてください。詳細については、 https://docs.citrix.com/en-us/citrix-adc/13-1/upgrade-downgrade-citrix-adc-appliance/upgrade-downgrade-ha-pair.htmlを参照してください
[ NSHELP-31478, CGOP-21737 ]
-
NetScaler Gateway ログオンページのタイトルとポータルテーマが正しく表示されません。
[ NSHELP-29202 ]
-
IIPプール(IPアドレスとマスク)の構成中に、IPアドレスが範囲内の最初のIPアドレスと一致しない場合、NetScaler CLIおよびGUIには1つのブロックのみが表示され、すべては表示されません。
例:
バインド VPN vserver vpn_ssl-IntraneTip 172.168.1.1 255.255.255.0
バインド VPN vserver vpn_ssl-IntranetIP 172.168.2.1 255.255.255.0この場合、VPN vserver vpn_ssl を表示しているときの CLI または GUI には 172.168.2.1 プールのみが表示され、172.168.2.2 は表示されません。
[ NSHELP-29084 ]
NetScaler Web App Firewall
-
次のソフトウェアバージョンでCitrix Web App Firewallのシグネチャオブジェクトを構成すると、スタンドアロンのNetScalerアプライアンスまたはHAセットアップのセカンダリモードがクラッシュする可能性があります。
- 13.0 ビルド 88.5 およびそれ以降
- 13.1 ビルド 33.41 およびそれ以降
[ NSHELP-33250 ]
-
プロキシサーバーとプロキシポートが設定されている場合、WAF シグネチャの更新は失敗します。シグネチャ自動更新プロセスの毎時実行中、ADCアプライアンスは、設定されたプロキシサーバーとプロキシポートを経由する代わりに、自動更新ホストに接続して更新されたファイルをダウンロードします。その結果、自動更新ホストにアクセスできないと、更新が失敗します。
[ NSHELP-32613 ]
-
次の条件が満たされると、NetScalerアプライアンスがクラッシュする可能性があります。
- アプライアンスに高い負荷がかかっています。
- 構成の変更が行われています。
- 署名の削除には長い時間がかかります。
[ NSHELP-32454 ]
-
ボットデバイスの指紋認証セッションリプレイ攻撃は、ドロップされるのではなくログに記録されます。
[NSHELP-31949]
負荷分散
-
useencryptedPersistenceCookie
set lb param
コマンドでオプションを有効にすると、サービスグループを変更すると Cookie ハッシュが変更されます。[NSHELP-32697]
-
まれに、コンテンツスイッチング仮想サーバーでSSLセッションIDベースの永続性とSSLセッションチケットベースの処理が有効になっていると、NetScalerアプライアンスがクラッシュしてコアダンプを生成することがあります。
[ NSHELP-32228 ]
-
設定した属性がサーバに存在しない場合でも、LDAP モニタのステータスはアップのままです。
[ NSHELP-32025 ]
その他
-
ns_hw_err.bash
がNetScalerアプライアンスで実行してハードウェアの問題を検出すると、正常なディスクがあっても「起動時にHDDが見つかりません」というエラーが表示されることがあります。[ NSHELP-31571 ]
-
次の条件が満たされると、クラスターノードはパケットループに入ります。
- 宛先 IP アドレスが CLIP の UDP パケットがクラスタノードに送信されます。
- CCO は、クラスターインスタンスの存続期間中に 1 つのノードから別のノードに変更されました。
[ NSHELP-30804 ]
ネットワーク
-
ConfigMapsでファイルベースのスタートアップ構成を使用すると、クラッシュ後にNetScaler CPXがデフォルトのルート構成を復元できません。この動作により、接続が失われます。
[NSNET-27124]
-
NetScalerアプライアンスが、UDPパケットのIPヘッダーに誤ったIPチェックサムを追加する可能性があります。
[ NSHELP-32587 ]
-
NetScaler BLXクラスター設定では、次の条件が満たされると、VTYSHが起動しないことがあります。
- Linuxホストが再起動すると、NetScaler BLXルートヘルスインジェクション(RHI)プロセスのオーダーループが発生します。
[ NSHELP-32473 ]
-
仮想サーバーを削除すると、次の条件が満たされている場合、NetScalerアプライアンスは関連するVIP RHI状態を誤ってDOWNに設定します。
- 仮想サーバーにはバックアップ仮想サーバーがあります。
- 仮想サーバは DOWN 状態で、少なくとも 1 つのバックアップ仮想サーバが UP 状態です。
[ NSHELP-29972 ]
プラットフォーム
-
AMDプロセッサ上で動作するNetScalerアプライアンスは、ソフトウェアバージョンをリリース13.1ビルド30.xにアップグレードすると、起動中にクラッシュすることがあります。
[NSPLAT-24968、NSHELP-32808]
-
高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および NetScaler VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。
- NetScalerアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
- その後、NetScalerアプライアンスを再起動します。
[ NSPLAT-22013 ]
-
Mellanox NICを含むNetScaler SDXアプライアンスを、VLANフィルタリングが無効になっているビルドからアップグレードし、管理サービスがアップグレードの一環としてVLANフィルタリングを無効にしようとすると、操作が失敗します。その結果、すべてのインターフェイスとチャネルで VLAN フィルタリングが有効になります。
[ NSHELP-32759 ]
-
ファームウェアのアップグレード後、NetScaler MPX 5900/8900アプライアンスの管理インターフェイスがダウンする可能性があります。その結果、アプライアンスにアクセスできなくなります。
[ NSHELP-31587 ]
ポリシー
-
次の条件が満たされると、NetScalerアプライアンスがpatsetによるポリシー追加中にクラッシュすることがあります。
- NSB に関連するフラグが TCP の書き換えシナリオで間違った順序で設定されています。
[ NSHELP-31064 ]
SSL
-
仮想サーバーは、無効なパディングを含む TLS 1.3 レコードを受信すると、「予期しないメッセージ」アラートの代わりに、致命的な「decode_error」アラートを送信します。
[ NSSSL-11890 ]
-
Intel QAT対応の暗号アクセラレーションハードウェアを搭載したNetScaler MPXおよびSDXプラットフォームでは、TLS 1.3接続を介して仮想サーバーに送信される要求に、SOURCEIPパーシステンスタイプが一貫して適用されません。つまり、1 つの送信元 IP アドレスから送信されたリクエストは、複数の異なるバックエンドサーバーに分散される可能性があります。
[ NSHELP-32410, NSHELP-32895, NSHELP-32572, NSHELP-32688 ]
-
Cavium SSLカードを搭載したNetScalerアプライアンスが、クライアントにDTLS ALERTメッセージを送信しているときにクラッシュすることがあります。
[ NSHELP-32031 ]
-
証明書認証ルールが評価され、同じ要求で2回トリガーされると、NetScalerアプライアンスがクラッシュする可能性があります。
[ NSHELP-31785 ]
システム
-
管理者パーティションでAppFlow機能を有効にできるのは、デフォルトパーティションでULFDモードを有効にした後だけです。
[ NSHELP-32670 ]
-
NetScalerアプライアンスは、受信TCPセグメントに部分的なHTTP要求メソッドが存在する場合、HTTP要求を無効な要求として扱うことがあります。
[ NSHELP-32462 ]
-
次の条件が満たされると、NetScalerアプライアンスがクラッシュする可能性があります。
- HTTP2とSSLの組み合わせでメモリ使用量が多い場合、NetScalerアプライアンスはメモリを割り当てることができません。
[ NSHELP-32255 ]
-
IPまたはPORTフィルターを使用してnstraceパケットキャプチャを開始すると、NetScalerアプライアンスがVPNセットアップでクラッシュします。
[NSHELP-31790]
-
以下の条件が満たされると、gRPC クライアントは gRPC ステータスヘッダーの解析に失敗します。
- gRPC ステータスヘッダーは、末尾ヘッダーだけに追加されるのではなく、先頭ヘッダーと末尾ヘッダーの両方に追加されます。
[ NSHELP-31640 ]
-
SACKを有効にすると、NetScalerアプライアンスは再送信リストの最後の1バイトTCPセグメントを再送信しません。理由は次のとおりです。アプライアンスは、最後の1バイトのTCPセグメントを再送信リストの最後を示すダミーセグメントとして使用します。
[ NSHELP-28778 ]
ユーザーインターフェイス
-
NetScaler GUIを使用してGSLBサービスをGSLB仮想サーバーにバインドすることはできません。 GSLBサービスグループバインディング > GSLBサービスバインディング > GSLBサービスのリストが空と表示されているためです 。
[ NSHELP-32236 ]
-
NetScaler GUI([システム] > [ネットワーク] > [ルート])を使用して静的ルートを変更すると、次のエラーメッセージが表示されて誤って失敗することがあります。
- 「必要な引数が見つかりません [ゲートウェイ]」
[ NSHELP-32024 ]
-
HA/Cluster セットアップでは、RSA 以外の SSH キーを設定すると、設定の同期が失敗します。たとえば、ECDSA キーや DSA キーなどです。
[ NSHELP-31675 ]
-
NetScaler GUIで、 [システム] > [SNMP] > [トラップ] の下に既存のSNMPトラップ宛先がある場合、その宛先の編集に失敗し、次のエラーメッセージが表示されます。
- 「SNMP トラップを取得中にエラーが発生しました」
[NSHELP-3161]
-
NetScalerアプライアンスのGUIには、構成済みのSAMLおよびOAuth IDPポリシーの正しい数が表示されません。
[ NSHELP-31480 ]
-
NetScalerアプライアンスでは、GUIインターフェイスを使用しているときに、レスポンダーポリシーページに次の問題が表示されます。
- カスタム作成されたレスポンダーポリシーは、組み込みレスポンダーポリシーの下に表示される場合があります。
[ NSHELP-31428 ]
-
NetScaler HAセットアップでは、構成を保存して更新ボタンをクリックすると、NetScaler GUIに次の問題が発生します。
- アプライアンスに未保存の設定変更がない場合でも、GUI の [保存] ボタンにオレンジ色のドットが誤って表示されます。
[ NSHELP-30031 ]
-
GSLB 仮想サーバーの統計情報は、管理パーティションモードでは使用できません。
[ NSHELP-28524 ]
-
NetScaler ConsoleからライセンスをチェックアウトしたNetScalerアプライアンスは、アプライアンスがADMから切断されると猶予期間に入ります。アプライアンスはADMではライセンスされていないように見え、ADMに再接続した後も猶予期間中も継続します。
[ NSCONFIG-7098 ]
既知の問題
リリース13.1-33.54に存在する問題。
AppFlow
-
HDX Insightは、ユーザーがアクセスできないアプリケーションまたはデスクトップを起動しようとしたことによるアプリケーションの起動失敗を報告しません。
[ NSINSIGHT-943 ]
認証、承認、監査
-
CWA クライアントまたはネイティブ VPN クライアントによるゲートウェイ認証は、
ns_aaa_relaystate_param_whitelist
patset に文字列がないために失敗する可能性があります。回避方法:
bind policy patset ns_aaa_relaystate_param_whitelist "citrixauthwebviewdone://" -index 1 -charset ASCII
bind policy patset ns_aaa_relaystate_param_whitelist "citrixsso://" -index 2 -charset ASCII
bind policy patset ns_aaa_relaystate_param_whitelist "citrixng://" -index 3 -charset ASCII
[ NSHELP-33054 ]
-
NetScalerアプライアンスは、Content-Typeヘッダーの文字セットサフィックスを削除し、次の両方を構成した場合に
Content-Type: application/x-www-form-urlencoded
を送信します。- SSO フォームベース認証
nsapimgr knob - nsapimgr_wr.sh -ys call=ns_formsso_use_ctype_simple_enable knob
[ NSHELP-31977 ]
-
SAML 認証が設定されている場合、ログアウト時に問題が発生する可能性があります。
[ NSHELP-31962 ]
-
NetScalerアプライアンスは、重複したパスワードログインの試行を認証せず、アカウントのロックアウトを防ぎます。
[ NSHELP-563 ]
-
ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
show adfsproxyprofile <profile name>
回避策:クラスター内のアクティブなプライマリのNetScalerに接続し、
show adfsproxyprofile <profile name>
コマンドを実行します。プロキシプロファイルの状態が表示されます。[ NSAUTH-5916 ]
-
次の手順を実行すると、NetScaler GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。
- [LDAP 到達可能性をテスト] オプションが開きます。
- 無効なログイン認証情報が入力され、送信されます。
- 有効なログイン認証情報が入力され、送信されます。
回避策:「LDAP 到達可能性テスト」オプションを閉じて開きます。
[NSAUTH-2147]
キャッシュ
-
キャッシュされたコンテンツがクライアントに提供されると、NetScalerアプライアンスがクラッシュします。
[ NSHELP-31760 ]
-
統合キャッシュ機能が有効で、アプライアンスのメモリが不足している場合、NetScalerアプライアンスがクラッシュすることがあります。
[ NSHELP-22942 ]
NetScaler SDXアプライアンス
-
次の条件が満たされている場合、NetScaler SDXアプライアンスでホストされているVPXインスタンスでパケットドロップが表示されます。
- スループット割り当てモードはバーストです。
- スループットと最大バーストキャパシティには大きな違いがあります。
[ NSHELP-21992 ]
NetScaler Gateway
-
Citrix Secure Accessクライアントのバージョン21.7.1.2以降では、管理者権限のないユーザーが新しいバージョンにアップグレードできません。この問題は、Citrix Secure AccessクライアントのアップグレードがNetScalerアプライアンスから行われる場合にのみ発生します。
[ NSHELP-32793 ]
-
ユーザーがWindows向けCitrix Secure Access画面の[ホームページ]タブをクリックすると、ページに接続拒否エラーが表示されます。
[ NSHELP-32510 ]
-
Chrome を使用する Mac デバイスで、2 つの FQDN にアクセス中に VPN 拡張機能がクラッシュします。
[ NSHELP-32144 ]
-
EPA の障害が断続的に発生するため、ユーザーは VPN にログオンできません。
[NSHELP-32138]
-
デバイスに適切なクライアント証明書がない場合、オプションのクライアント証明書による nFactor 認証は失敗します。
[NSHELP-32127]
-
HDX Insightが有効になっていると、NetScaler Gatewayアプライアンスがクラッシュする可能性があります。
[ NSHELP-32120 ]
-
クラスターセットアップでは、CGP_FINISH_REQUEST要求をクライアントに送信中にNetScalerアプライアンスがクラッシュします。
[ NSHELP-32029 ]
-
UDP セッションを起動すると、セッションを閉じた後でも古い接続が存在しているように見えます。ただし、これらは実際には古い接続ではなく、カウンタの問題です。
[ NSHELP-32009 ]
-
NetScaler Gateway リリース13.0または13.1のプロキシ設定が空の場合、Citrix SSOによって不適切なプロキシ設定が作成されることがあります。
[ NSHELP-31970 ]
-
Citrix Secure Accessクライアントのデバッグログ制御は、NetScaler Gateway に依存せず、マシントンネルとユーザートンネルの両方のプラグインUIから有効または無効にできるようになりました。
[ NSHELP-31968 ]
-
Microsoft Edgeがデフォルトのブラウザの場合、Citrix Secure Access UIのホームページリンクは機能しません。
[ NSHELP-31894 ]
-
ユーザーがNetScalerアプライアンスにログオンし、Citrix Workspaceがインストールされていない場合、Citrix Workspaceをダウンロードするためのリンクが誤ってCitrix Receiverを指します。
[ NSHELP-31877 ]
-
Gateway Insight の認証失敗レコードには、NOAUTH が第 1 要素として設定されていて、認証情報が無効であるために 2 番目の要素認証が失敗した場合、ユーザー名は「匿名」と表示されます。この問題は、nFactor ビジュアライザーでは設計上、1 番目のファクターが NOAUTH として設定されているため、nFactor ビジュアライザーを使用して構成を実行した場合にのみ発生します。
[ NSHELP-31795 ]
-
Citrix Secure Accessによって確立されたトンネルの外部にあるリソースへの直接接続は、大幅な遅延または輻輳が発生すると失敗することがあります。
[ NSHELP-31598 ]
-
カスタマイズされたEPA障害ログメッセージは、NetScaler Gateway ポータルには表示されません。代わりに、「内部エラー」というメッセージが表示されます。
[ NSHELP-31434 ]
-
ユーザーが Always-On サービスモードで Windows マシンにログインすると、Windows 自動ログオンが機能しないことがあります。マシントンネルはユーザートンネルに遷移しません。「Connecting…」というメッセージが VPN プラグイン UI に表示されます。
[ NSHELP-31357, CGOP-21192 ]
-
ポリシーベースルーティング(PBR)ポリシーは、VPN 経由の DNS トラフィックには有効になりません。
[ NSHELP-31123 ]
-
Always on が設定されている場合、aoservice.exe ファイルのバージョン番号(1.1.1.1)が正しくないため、ユーザトンネルが失敗します。
[ NSHELP-30662 ]
-
[NetworkAccessonVPNFailure]プロファイルパラメーターを[フルアクセス]から[OnlyToGateway]に変更すると、ユーザーはNetScaler Gateway アプライアンスに接続できなくなります。
[ NSHELP-30236 ]
-
ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。この問題を解決するために、次のレジストリ値が導入されます。
HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
タイプ: DWORDデフォルトでは、このレジストリ値は設定も追加もされません。「SecureChannelResetTimeoutSeconds」の値が0または追加されていない場合、遅延を処理するための修正が機能しません。これはデフォルトの動作です。管理者は、このレジストリをクライアントに設定して修正を有効にする必要があります (つまり、ゲートウェイプラグインが VPN トンネルを正常に確立した直後にホームページを表示する)。
[ NSHELP-30189 ]
-
Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。
[ NSHELP-29675 ]
-
IIPプール(IPアドレスとマスク)の構成中に、IPアドレスが範囲内の最初のIPアドレスと一致しない場合、NetScaler CLIおよびGUIには1つのブロックのみが表示され、すべては表示されません。
例:
バインド VPN vserver vpn_ssl-IntraneTip 172.168.1.1 255.255.255.0
バインド VPN vserver vpn_ssl-IntranetIP 172.168.2.1 255.255.255.0この場合、VPN vserver vpn_ssl を表示しているときの CLI または GUI には 172.168.2.1 プールのみが表示され、172.168.2.2 は表示されません。
回避策:範囲内の最初の IP アドレスを使用して IIP ブロックを設定します。
例:
bind vpn vserver vpn_ssl -intranetIP 172.168.1.0 255.255.255.0
bind vpn vserver vpn_ssl -intranetIP 172.168.2.0 255.255.255.0[ NSHELP-29084 ]
-
サーバー証明書が信頼されていると、サーバー検証コードが失敗することがあります。その結果、エンドユーザーはゲートウェイにアクセスできなくなります。
[NSHELP-28942]
-
rdx.js ファイルにいくつかの Citrix 内部 IP アドレスがあることに気付くかもしれません。
[ NSHELP-28682 ]
-
macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。
[ NSHELP-28551 ]
-
クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にNetScaler Gateway からログアウトすることがあります。
[ NSHELP-28404 ]
-
次の条件を満たす場合、Windows ログオン後に VPN プラグインはトンネルを確立しません。
- NetScaler Gateway アプライアンスが常時オン機能用に構成されている
- アプライアンスは、2 要素認証を「オフ」にした証明書ベースの認証用に設定されています。
[ NSHELP-23584 ]
-
スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。
[ NSHELP-21897 ]
-
「show vpn icaconnection」コマンドでは、ICA接続のシリアル番号が正しく表示されません。この問題は、「show vpn icaconnection」コマンドの実行時にシリアル番号が任意にリセットされるために発生します。
[ CGOP-22205 ]
-
Windowsログオン機能の前に常時接続VPNを使用したい場合は、NetScaler Gateway 13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を活用できます。
[ CGOP-19355 ]
-
無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight では報告されません。
[ CGOP-13621 ]
-
Gateway Insight レポートでは、SAML エラーエラーの認証タイプフィールドに「SAML」ではなく「Local」という値が誤って表示されます。
[ CGOP-13584 ]
-
高可用性セットアップでは、NetScalerフェイルオーバー時に、NetScaler Consoleのフェイルオーバー数ではなくストレージリポジトリ数が増加します。
[ CGOP-13511 ]
-
ICA接続がMAC Receiverバージョン19.6.0.32またはCitrix Virtual Apps and Desktopsバージョン7.18から起動されると、HDX Insight機能は無効になります。
[ CGOP-13494 ]
-
EDT Insight 機能が有効になっていると、ネットワークの不一致時にオーディオチャネルに障害が発生することがあります。
[ CGOP-13493 ]
-
ブラウザからローカルホスト接続を受け付けると、macOS の Accept Connection ダイアログボックスには、選択した言語に関係なく英語でコンテンツが表示されます。
[ CGOP-13050 ]
-
一部の言語では、 Citrix SSOアプリ>ホームページの「ホームページ 」というテキストが切り捨てられます。
[ CGOP-13049 ]
-
NetScaler GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。
[ CGOP-11830 ]
-
Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。
[ CGOP-7269 ]
NetScaler Web App Firewall
-
NetScaler Web App Firewallは、コマンドインジェクションの検出に時間がかかることがあります。その結果、Pitboss は NetScaler アプライアンスを再起動します。
[ NSHELP-32654 ]
-
ボットデバイスの指紋認証セッションリプレイ攻撃は、ドロップされるのではなくログに記録されます。
[NSHELP-31949]
負荷分散
-
高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。
[ NSLB-7679 ]
-
GSLB仮想サーバーで次の設定が構成されている場合、NetScalerアプライアンスはGSLBドメインクエリの正しいサービスIPアドレスで応答しません。
- ECS オプションは有効です。
- 静的近接は負荷分散方法として設定されます。
[NSHELP-32879]
-
ユーザー監視スクリプトが1024バイトを超える応答を返すと、NetScalerアプライアンスがクラッシュしてコアがダンプされる可能性があります。
[NSHELP-32097]
-
設定した属性がサーバに存在しない場合でも、LDAP モニタのステータスはアップのままです。
[ NSHELP-32025 ]
-
まれに競合状態が発生するため、ローカルサイトとリモートサイトの間に不整合がある可能性があります。この不整合は、リモートサイトがローカルサイトから動的メンバーを学習していないことが原因である可能性があります。
リモートサイトの動的メンバーの削除は、パケットエンジン間の通信中に問題が発生したため、正常に削除されない場合があります。
[NSHELP-31982]
-
vserverAdvancesSLConfigTable OID に対応する SNMP WALK 要求は、仮想サーバーの優先順位が構成されているときにコアダンプになります。
[NSHELP-31704]
-
サービスグループの
entityofs
トラップの ServiceGroupName 形式は次のとおりです。
<service(group)name>?<ip/DBS>?<port>
トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (“?”) は区切り文字として使用されます。NetScalerは、疑問符(”?”)。フォーマットはNetScalerコンソールのGUIでも同じように表示されます。これは予想される動作です。
[ NSHELP-28080 ]
-
特定のシナリオでは、サービスグループにバインドされたサーバーが、無効な Cookie 値を表示します。トレースログで正しい Cookie 値を確認できます。
[ NSHELP-21196 ]
その他
-
高可用性セットアップで強制同期が行われると、アプライアンスはセカンダリノードで「set urlfilter parameter」コマンドを実行します。
その結果、セカンダリノードは、「TimeOfDayToUpdateDB」パラメーターで指定された次のスケジュール時刻まで、スケジュールされた更新をスキップします。[NSSWG-849]
-
レジストリ値が 2000 バイトを超えると、AlwaysOnAllow リストレジストリが期待どおりに動作しません。
[ NSHELP-31836 ]
-
次の条件が満たされると、クラスターノードはパケットループに入ります。
- 宛先 IP アドレスが CLIP の UDP パケットがクラスタノードに送信されます。
- CCO は、クラスターインスタンスの存続期間中に 1 つのノードから別のノードに変更されました。
回避策:宛先IPアドレスをCLIPアドレスとする特定のUDPパケットにドロップACLを適用することで、このパケットループを回避または終了できます。
[ NSHELP-30804 ]
-
URLフィルタリングのサードパーティベンダーとの接続の問題が発生した場合、管理CPUの停滞によりNetScalerアプライアンスが再起動することがあります。
[ NSHELP-22409 ]
ネットワーク
-
DPDKをサポートするNetScaler BLXアプライアンスでは、DPDKIntel i350 NICポートではタグ付きVLANはサポートされません。これは、DPDK ドライバに存在する既知の問題であるため、確認されています。
[ NSNET-25299 ]
-
DPDKを搭載したNetScaler BLXアプライアンスは、次の条件をすべて満たすと再起動に失敗することがあります:
- NetScaler BLXアプライアンスには、少数の「巨大ページ」が割り当てられています。たとえば、1G です。
- NetScaler BLXアプライアンスには多数のワーカープロセスが割り当てられています。たとえば、28 と入力します。
この問題は、エラーメッセージとして「/var/log/ns.log」に記録されます。
- 「BLX-DPDK: DPDK メモリプールを PE-x 用に初期化できませんでした」
注:x はワーカープロセス数以下の数です。
回避策:「巨大ページ」を多数割り当ててから、アプライアンスを再起動します。
[ NSNET-25173 ]
-
DPDKモードのNetScaler BLXアプライアンスは、DPDK簡易機能のため、再起動に少し時間がかかる場合があります。
[ NSNET-24449 ]
-
DPDKを搭載したNetScaler BLXアプライアンスのIntel
X710 10G (i40e)
インターフェイスでは、次のインターフェイス操作はサポートされていません:- 無効化
- 有効化
- リセット
[ NSNET-16559 ]
-
DebianベースのLinuxホスト(Ubuntuバージョン18以降)では、NetScaler BLXアプライアンスのインストールが次の依存関係エラーで失敗することがあります:
「次のパッケージの依存関係は満たされていません:blx-core-libs: i386: preDepends: libc6: i386 (>= 2.19) しかしインストールできません」
回避策:NetScaler BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します:
- dpkg –add-architecture i386
- apt-get update
- apt-get dist-upgrade
- apt-get install libc6:i386
[ NSNET-14602 ]
-
FTPデータ接続の場合、NetScalerアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対してTCP処理は実行しない場合があります。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。
[ NSNET-5233 ]
-
NetScalerアプライアンスでECMPが構成されている場合、SSH負荷分散接続で次の問題が発生する可能性があります。
- NetScalerアプライアンスは、最初のパケットを同じフローの他のパケットとは異なるルートで送信します。
[ NSHELP-32089 ]
-
次の条件が満たされると、NetScalerアプライアンスが一部のシナリオでクラッシュする可能性があります。
- NetScalerアプライアンスは、オフセットが異なる複数の最初のフラグメントを受信します。
- NetScalerアプライアンスはフラグメントを再構成しません。
[ NSHELP-32084 ]
-
仮想サーバーで「セッションレス」オプションを有効にし、サーバー側で ECMP を有効にした負荷分散構成では、次の問題が発生する可能性があります。
- NetScalerアプライアンスは、常に同じルートでパケットをサーバーに送信します。
[ NSHELP-32061 ]
-
次の条件をすべて満たすと、NetScalerアプライアンスがクラッシュする可能性があります。
- TTL ベースの ACL がタイムアウト
- NetScalerアプライアンスには多数のACLが設定されています。
[ NSHELP-31307 ]
-
仮想サーバーを削除すると、次の条件が満たされている場合、NetScalerアプライアンスは関連するVIP RHI状態を誤ってDOWNに設定します。
- 仮想サーバーにはバックアップ仮想サーバーがあります。
- 仮想サーバは DOWN 状態で、少なくとも 1 つのバックアップ仮想サーバが UP 状態です。
[ NSHELP-29972 ]
-
NetScalerアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は管理パーティションの新しいメモリ制限に自動的に設定されます。
[ NSHELP-21082 ]
プラットフォーム
-
高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および NetScaler VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。
- NetScalerアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
- その後、NetScalerアプライアンスを再起動します。
[ NSPLAT-22013 ]
-
13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがNetScalerアプライアンスにインストールされません。この問題は、次のNetScalerバージョンで修正されています。
- 13.1-4.x
- 13.0-82.31 以降
- 12.1-62.21 以降
NetScaler バージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。
- 任意の 11.1 ビルド
- 12.1-62.21 およびそれ以前
- 13.0-81.x およびそれ以前
[ NSPLAT-21691 ]
-
Azureリソースグループからオートスケール設定または仮想マシンスケールセットを削除する場合は、対応するクラウドプロファイル構成をNetScalerインスタンスから削除します。「rm cloudprofile」コマンドを使用してプロファイルを削除します。
[ NSPLAT-4520 ]
-
Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。
回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノード上で設定する必要があります。[ NSPLAT-4451 ]
-
NetScaler SDX 8015/8400/8600プラットフォームでは、Xenサーバーのメモリ消費量が増加する可能性があります。
回避策:Xen Serverで次のコマンドを実行し、アプライアンスを再起動します。
/opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”[ NSHELP-32260 ]
-
NetScalerリリース13.1以降、NetScalerアプライアンスは、8つを超えるVMXNET3ネットワークインターフェイスを備えたESXiハイパーバイザーで起動に失敗します。
[NSHELP-31266]
ポリシー
-
処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。
回避策:TCP バッファサイズを、処理が必要なデータの最大サイズに設定します。
[ NSPOLICY-1267 ]
-
NetScalerアプライアンスでは、NSPEPIツールを使用して従来のポリシーから高度なポリシーに移行されたコンテンツスイッチポリシーは、次の条件が満たされると機能しない場合があります。
- ポリシーはコンテンツスイッチ仮想サーバーにバインドされます。
- 「CaseSensitive」パラメータはオフに設定されています。
[ NSHELP-31951 ]
-
次の条件が満たされると、NetScalerアプライアンスがpatsetによるポリシー追加中にクラッシュすることがあります。
- NSB に関連するフラグが TCP の書き換えシナリオで間違った順序で設定されています。
[ NSHELP-31064 ]
SSL
-
NetScaler SDX 22000アプライアンスとNetScaler SDX 26000アプライアンスの異機種クラスタでは、SDX 26000アプライアンスを再起動するとSSLエンティティの構成が失われます。
回避方法:
- CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:
set ssl vserver <name> -SSL3 DISABLED
。 - 構成を保存します。
[ NSSSL-9572 ]
- CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:
-
認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。
[ NSSSL-6478 ]
-
同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。NetScalerアプライアンスはエラーを返しません。
[ NSSSL-6213 ]
-
HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。
エラー:CRL 更新が無効です[ NSSSL-6106 ]
-
セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)
[ NSSSL-4427 ]
-
SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。
[ NSSSL-4001 ]
-
期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。
[ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]
-
Cavium SSLカードを搭載したNetScalerアプライアンスが、クライアントにDTLS ALERTメッセージを送信しているときにクラッシュすることがあります。
[ NSHELP-32031 ]
-
次の条件が満たされると、SSL ハンドシェイクが失敗することがあります。
- Hello 検証要求 (HVR) は DTLS で有効になっています。
- NetScalerアプライアンスはHVRをクライアントに送信します。
- クライアントは HVR を受信しません。
- クライアントは、HVR にセッション Cookie で応答する代わりに、最初のクライアント hello を再送信しようとします。
注:再送信されたクライアントの hello メッセージに応答して、ADC アプライアンスは HVR をクライアントに最大 3 回送信します。適切な応答が受信されない場合、アプライアンスはハンドシェイクに失敗します。
[ NSHELP-31808 ]
-
証明書認証ルールが評価され、同じ要求で2回トリガーされると、NetScalerアプライアンスがクラッシュする可能性があります。
[ NSHELP-31785 ]
-
クラスタIP(CLIP)アドレスを介してアクセスされるNetScaler GUIには、SSL仮想サーバーへのサーバー証明書バインディングは表示されません。
[ NSHELP-31602 ]
-
有効な CA 証明書がデフォルトの証明書バンドルに存在しない場合、SSL インターセプト中に OCSP 応答検証が失敗することがあります。この失敗は、設定された証明書バンドルの代わりにデフォルトの証明書バンドルを使用して OCSP 応答検証が誤って行われたことが原因です。
[ NSHELP-30594 ]
-
ソフトウェアモードでSSLトラフィックを処理すると、NetScalerアプライアンスがクラッシュする可能性があります。
[ NSHELP-29996 ]
システム
-
NetScalerアプライアンスでは、ヘッダー変更フレームワークによりメモリが破損します。この状態は、NetScalerアプライアンスが消費するクッキーが転送される前に特定の順序で削除された場合に発生します。
[ NSHELP-32799 ]
-
NetScalerアプライアンスでは、HTTPプロファイルの「MaxHeaderFieldLen」パラメーターのデフォルト値により、次の問題が発生します。
- 13.0ビルドにアップグレードした後のトラフィック障害。
[ NSHELP-32079 ]
-
AppFlowがクライアント側でのみ有効になっていると、NetScalerアプライアンスがクラッシュすることがあります。
[NSHELP-31892]
-
SSLサービスで構成されたNetScalerアプライアンスは、アプライアンスがTCP FIN制御パケットの後にTCP RESET制御パケットを受信するとクラッシュします。
[ NSHELP-31656 ]
-
以下の条件が満たされると、gRPC クライアントは gRPC ステータスヘッダーの解析に失敗します。
- gRPC ステータスヘッダーは、末尾ヘッダーだけに追加されるのではなく、先頭ヘッダーと末尾ヘッダーの両方に追加されます。
[ NSHELP-31640 ]
-
次の条件が満たされると、TCP 接続の RTT が高くなります。
- 最大輻輳ウィンドウ(> 4 MB)が高く設定されている
- TCP NILE アルゴリズムは有効になっています
NetScalerアプライアンスがNILEアルゴリズムを使用して輻輳制御を行うには、条件がスロースタートのしきい値と最大輻輳ウィンドウを合わせた値を超える必要があります
そのため、設定された最大輻輳時間帯に達するまで、NetScalerはデータを受け付け続け、最終的にはRTTが高くなります。
[ NSHELP-31548 ]
-
NetScalerアプライアンスでは、コンテンツスイッチングまたは負荷分散仮想IP(VIP)のHTTP/2構成を有効にすると、次の問題が発生します。
-
コンテンツ検査機能を使用する場合、ペイロードによるRewriteヘッダーの挿入が正しく機能しない場合があります。
[ NSHELP-30088 ]
-
アプライアンスがクライアントから max_concurrent_stream 設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS 値はデフォルトで 100 に設定されます。
[ NSHELP-21240 ]
-
mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。
[ NSHELP-10972 ]
-
クラスタ展開では、CCO 以外のノードで「force cluster sync」コマンドを実行すると、ns.log ファイルには重複するログエントリが含まれます。
[NSBASE-16304、NSGI-1293]
-
NetScaler ConsoleをKubernetesクラスターにインストールすると、必要なプロセスが実行されない可能性があるため、期待どおりに機能しません。
回避策 :管理ポッドを再起動します。
[ NSBASE-15556 ]
-
LogStream トランスポートタイプが Insight 用に構成されている場合、クライアントIPとサーバーIPはHDX Insight SkipFlowレコードで反転されます。
[NSBASE-8506]
ユーザーインターフェイス
-
MQTT リライト機能では、GUI のエクスプレッションエディタを使用してエクスプレッションを削除することはできません。
回避策:CLI を使用して MQTT タイプのアクションの追加または編集コマンドを使用します。
[ NSUI-18049 ]
-
NetScaler GUIでは、「ダッシュボード」タブの下にある「ヘルプ」リンクが壊れています。
[ NSUI-14752 ]
-
CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。
回避策:NetScaler GUIまたはCLIを使用してIPSecプロファイル、IPトンネル、およびPBRルールを追加してCloudBridge Connectorを構成します。
[ NSUI-13024 ]
-
GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。
[ NSUI-6838 ]
-
NetScaler Web App Firewallのプロファイルを作成し、[ システム] > [レポート] でアプリケーションファイアウォールの構成レポートを生成しようとすると、次のエラーが表示されます。
「PDF ドキュメントを読み込めませんでした。」
[ NSHELP-32469 ]
-
高可用性 (HA) セットアップで、nsconf ツールのローカル IP アドレスをフェッチしているときに、次の問題が発生します。
- ローカルホスト接続ログインに失敗しました。この障害は、RPC ノードのパスワードが HA セットアップのプライマリノードとセカンダリノードで異なる場合に発生します。
回避策:HA セットアップでは、プライマリノードとセカンダリノードの両方の RPC ノードパスワードが同じであることを確認します。
[NSHELP-32083]
-
NetScaler リリース13.0では、[ 優先負荷分散仮想サーバーサービスの構成 ]ページの [OK ]ボタンがグレー表示になっています。
[ NSHELP-32007 ]
-
ユーザーがログインした後、NetScalerアプライアンスのログインページに有効なユーザー名が表示されない場合があります。
[ NSHELP-31759 ]
-
HA/Cluster セットアップでは、RSA 以外の SSH キーを設定すると、設定の同期が失敗します。たとえば、ECDSA キーや DSA キーなどです。
[ NSHELP-31675 ]
-
NetScaler GUIで、 [システム] > [SNMP] > [トラップ] の下に既存のSNMPトラップ宛先がある場合、その宛先の編集に失敗し、次のエラーメッセージが表示されます。
- 「SNMP トラップを取得中にエラーが発生しました」
[NSHELP-3161]
-
NetScalerアプライアンスのGUIには、構成済みのSAMLおよびOAuth IDPポリシーの正しい数が表示されません。
[ NSHELP-31480 ]
-
NetScalerアプライアンスでは、GUIインターフェイスを使用しているときに、レスポンダーポリシーページに次の問題が表示されます。
- カスタム作成されたレスポンダーポリシーは、組み込みレスポンダーポリシーの下に表示される場合があります。
[ NSHELP-31428 ]
-
NetScaler HAセットアップでは、構成を保存して更新ボタンをクリックすると、NetScaler GUIに次の問題が発生します。
- アプライアンスに未保存の設定変更がない場合でも、GUI の [保存] ボタンにオレンジ色のドットが誤って表示されます。
[ NSHELP-30031 ]
-
GSLB 仮想サーバーの統計情報は、管理パーティションモードでは使用できません。
[ NSHELP-28524 ]
-
高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。
- HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。
回避策:HA 同期が完了した後にのみ、手動で HA フェイルオーバーを連続して実行してください(両方のノードが同期成功状態になっています)。
[ NSHELP-25598 ]
-
NetScaler BLXアプライアンスの高可用性セットアップでは、プライマリノードが応答しなくなり、CLIまたはAPI要求がブロックされることがあります。
回避策:プライマリノードを再起動します。
[NSCONFIG-6601]
-
あなた(システム管理者)がNetScalerアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたNetScalerアプライアンスにログインできないことがあります。
- NetScalerアプライアンスをいずれかのビルドにアップグレードします
- 13.0 52.24 ビルド
- 12.1 57.18 ビルド
- 11.1 65.10 ビルド
- システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
- NetScalerアプライアンスを古いビルドにダウングレードします。
CLI を使用してこれらのシステムユーザーのリストを表示するには、
コマンドプロンプトで次のように入力します。query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
回避策:この問題を解決するには、以下のいずれかの独立したオプションを使用してください。
- NetScalerアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してNetScalerアプライアンスをダウングレードします。
- アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
- 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。
詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。
[ NSCONFIG-3188 ]
- NetScalerアプライアンスをいずれかのビルドにアップグレードします
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.