ADC

PDFを表示

NetScaler 13.1-45.64リリースのリリースノート

March 20, 2024

寄稿者:

このリリースノートドキュメントでは、NetScalerリリースBuild 13.1-45.64の機能強化と変更、修正された問題と既知の問題について説明します。

メモ

このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。
ビルド13.1-45.61以降のビルドは、CTX477714で説明されているセキュリティの脆弱性に対処します。
ビルド 13.1-45.64 がビルド 13.1-45.61 とビルド 13.1-45.63 に置き換わります。ただし、Build 13.1-45.61 にアップグレードした場合、構成が失われる可能性があります。修復手順については、 CTX547038を参照してください。
ビルド13.1-45.63には、NSSSL-12761とNSHELP-35058の修正に加えて、ビルド13.1-45.61で利用できるすべての拡張機能とバグ修正が含まれています。
ビルド13.1-45.64には、NSBASE-18162（NSHELP-35288）の修正と、ビルド13.1-45.63で利用可能なすべての機能強化とバグ修正が含まれています。

新機能

ビルド 13.1-45.64 で利用できる機能強化と変更点。

NetScaler SDXアプライアンス

SDX アプライアンスのアップグレード中の追加チェック

これで、管理サービスからXenServer/Citrix HypervisorへのSecure Shell（SSH）接続に障害が発生した場合、NetScaler SDXアプライアンスのアップグレードは許可されません。

[NSSVM-5114]
管理者プロファイルの作成時にパスワードの複雑さを有効または無効にする

NetScaler SDXアプライアンスは、GUIまたはCLIを使用してVPXインスタンスのパスワードの複雑性を有効または無効にできるようになりました。
- パスワードの複雑性が有効になっている場合、パスワードの最小長は 4 文字ですが、以前は 6 文字でした。
- パスワードの複雑度が無効になっている場合、必要なパスワードの最小長は 1 文字です。
[NSSVM-4889]

NetScaler Web App Firewall

NetScaler Web App Firewall、ボット、IPレピュテーションのプロキシ認証の設定

NetScaler Web App Firewallの署名更新、ボット署名の更新、およびレピュテーション更新のプロキシ認証を構成できるようになりました。プロキシ認証は、アプライアンスのセキュリティをさらに強化します。プロキシ認証が有効になっているNetScalerアプライアンスは、インターネットからアップデートをダウンロードする前に、プロキシサーバーで認証を行います。これにより、アプライアンスを悪意のあるダウンロードから保護できます。
プロキシ認証を設定するには、次のセキュリティ機能の設定でプロキシのユーザー名とパスワードを指定します。
- NetScaler Web App Firewall。詳細については、「エンジン設定」を参照してください。
- ボット。詳細については、「ボット検出」を参照してください。
- IP レピュテーション。詳細については、「 IP レピュテーション」を参照してください。
[NSWAF-9532]
apache_mode 属性は廃止されました

add appfw profileコマンドのinvalidPercentHandlingパラメータのapache_mode属性は廃止されました。

[NSWAF-4110]

負荷分散

カスタムエントリの最大数の増加

IP アドレス範囲のロケーション修飾子を指定するために、最大 3000 のカスタムロケーションエントリを追加できるようになりました。これらのエンティティは、GSLBの静的近接方式やロケーションマッチポリシーで使用されます。

詳細については、「静的近接データベースへのカスタムエントリの追加」を参照してください。

[NSLB-9755]

ネットワーク

NetScaler BLXアプライアンスの自動構成サポート

NetScaler BLXアプライアンスには次の自動構成機能が追加されました。
- NetScaler BLXアプライアンスは、すべてのLinuxホストNICポートをアプライアンスの専用ポートとして自動的に追加するように構成できます。この自動構成では、 blx-managed-host を1に設定し、NetScaler BLX構成ファイル（） interface のパラメーターを含む両方の行にコメントする必要があります。blx.conf アプライアンスは、すべての Linux ホスト NIC ポートを専用ポートとして自動的に追加します。また、アプライアンスはDPDK互換のNICポートを自動的に検出し、Linuxホスト上のDPDK VFIOモジュールにバインドします。
- NetScaler BLXアプライアンスを専用モードで構成して、アプライアンスのNSIPアドレスとデフォルトゲートウェイを自動的に設定できます。この自動構成では、 blx-managed-hostを1に設定し、NetScaler BLX構成ファイル（blx.conf）内のipaddressおよびdefaultパラメーターを含む行にコメントする必要があります。アプライアンスは、Linuxホストで最も優先順位の高いゲートウェイルートを持つデフォルトポートとして、専用のNICポートの1つを選択します。デフォルトポートのIPアドレスとデフォルトゲートウェイは、NetScaler BLXアプライアンスのNSIPアドレスとデフォルトゲートウェイとして設定されます。
[ NSNET-27468 ]
NetScaler BLXアプライアンスに対するRHELバージョン9.xのサポート

NetScaler BLXアプライアンスは、Red Hat Enterprise Linux (RHEL) バージョン 9.x プラットフォームでサポートされるようになりました。

[ NSNET-27421 ]

ポリシー

NetScaler BLXおよびCPXアプライアンスでNSPEPIツールを使用する機能

NSPEPIと無効チェック構成ツールがNetScaler CPXおよびBLXアプライアンスでサポートされるようになりました。

[NSPOLICY-4872]

SSL

不明なサーバー名で SSL ハンドシェイクを続行

NetScalerアプライアンスでは、不明なサーバー名でもSSLハンドシェイクを続行できるようになり、ハンドシェイクの削除または完了の決定はクライアントに任されています。

以前、アプライアンスは、不明なサーバー名のクライアント hello を受信したときに SSL ハンドシェイクを終了していました。

[ NSSSL-10918 ]

システム

HTTP PUTリクエストメソッドの圧縮サポート
NetScalerアプライアンスは、PUTリクエストメソッドを使用するHTTPリクエストについて、サーバーから受信したHTTPレスポンスを圧縮するようになりました。

[ NSHELP-32695 ]
メトリックコレクターのエクスポート頻度の設定

デフォルトでは、メトリクスコレクターは 30 秒ごとの時系列分析データのエクスポートをサポートします。時系列分析プロファイルデータをNetScalerからエクスポートする間隔を決定できるように、30秒から300秒までの値として構成できるようになりました。

[NSBASE-17561]
監査ログの Splunk への直接エクスポートのサポート

監査ログを使用すると、NetScalerのさまざまなモジュールによって収集されたNetScalerの状態とステータス情報を記録できます。監査ログをNetScalerからSplunkにエクスポートして、トラブルシューティングに役立つ有意義な洞察を得ることができます。この機能により、Splunkが提供するHTTPイベントコレクターを使用して、監査ログをHTTP（またはHTTPS）経由でNetScalerからSplunkに直接送信できます。

[NSBASE-17559]
ウェブソケット HTTP/2 接続マルチプレクシングのサポート

NetScalerアプライアンスは、WebSocket接続の多重化をサポートするようになりました。WebSocket 接続は HTTP/2 経由でサポートされています。CLI または GUI を使用して WebSocket 接続を有効にできます。

[NSBASE-17307]

解決された問題

ビルド13.1-45.64で対処されている問題。

AppFlow

NetScalerインスタンスのメトリックコレクターが断続的に応答を停止します。その結果、メトリックスコレクターが応答を停止しても、1 間隔 (30 秒) の分析データがエクスポートされないことがあります。

[ NSHELP-34048 ]

認証、承認、監査

GSLBが有効になっている一部のNetScalerアプライアンスでは、URL計算が無効なため、認証仮想サーバーから負荷分散仮想サーバーへのリダイレクトが失敗します。

[ NSHELP-33459 ]
NetScalerをOpenIDプロバイダー（OAuth IdP）として使用し、GSLBがそれを使用して構成されている場合、依存パーティ（RP）でのOAuth認証はトークンの検証中に失敗し、OAuthリレーパーティ（RP）での認証が失敗する可能性があります。

[ NSHELP-33455 ]
NetScalerアプライアンスがSAMLサービスプロバイダーとして構成され、SSL証明書が更新されると、クラッシュする可能性があります。

[NSHELP-33243、NSHELP-32966、NSHELP-33242、NSHELP-34366]
NetScalerアプライアンスでのOAuth認証は、トークンの解析に関する問題により失敗します。

[ NSHELP-31573 ]

ボット管理

NetScalerアプライアンスは、IPレピュテーション機能が無効になっている場合、IPデータベースデータのダウンロードを試みます。

[ NSHELP-34488 ]

キャッシュ

キャッシュされたオブジェクトのCache-ControlヘッダーのMax-Age値がバックエンドサーバーで変更されると、NetScalerアプライアンスが再起動することがあります。

[ NSHELP-34078 ]
クラスタ設定で CLIP アドレスを使用してクラスタ設定にアクセスすると、GUI または CLI に表示されるキャッシュグローバルポリシー情報が不完全になります。

[ NSCACHE-521 ]

NetScaler SDXアプライアンス

管理サービスダッシュボードから「コア割り当て」にアクセスしようとすると、NetScaler SDXアプライアンスがクラッシュすることがあります。

[ NSHELP-34537 ]
VPXインスタンスに割り当てられた非対称暗号ユニット（ACU）と対称暗号ユニット（SCU）がパケットエンジン（PE）コアの倍数でない場合、NetScaler SDXアプライアンスが期待どおりに動作しないことがあります。つまり、1000* 個の PE コア数です。

[ NSHELP-34389 ]
管理サービスUIからVPXインスタンスのプロパティのいずれかを編集しているときに、管理サービス（SVM）がクラッシュする可能性があります。

[ NSHELP-34297 ]
[ 構成] > [システム] > [セットアップウィザード] > [管理ネットワーク] > [サポートIPの編集] に移動してNetScaler SDXアプライアンスのサポートIPアドレスを変更しようとすると、変更を保存できません。プロンプトで「はい」をクリックすると、変更が停止します。未定義の参照エラーがブラウザに表示されます。

修正:参照する前に未定義のオブジェクトを確認してください。

[ NSHELP-34141 ]

NetScaler Gateway

アップグレード後、HDX Insightが有効になっていると、NetScalerアプライアンスがクラッシュすることがあります。

[ NSHELP-35058 ]
アップグレード後、RDPプロキシ接続を起動するとNetScalerアプライアンスがクラッシュする可能性があります。

[ NSHELP-33420 ]
VPN セッションアクションを再設定すると、VPN セッションアクションの Always On プロファイルは設定解除されます。

[ NSHELP-33396 ]
アップグレード後、NetScalerアプライアンスは最初のHA同期中にクラッシュする可能性があります。

[ NSHELP-32957 ]

NetScaler Web App Firewall

Web App Firewallの署名ルールに次のオブジェクトのいずれかが含まれている場合、HA展開中にNetScalerアプライアンスがクラッシュする可能性があります。
- Patsets
- データセット
- 文字列マップ
- 名前付き表現
[ NSHELP-34338 ]
緩和ルールをエクスポートすると、ダウンロードに時間がかかり、ファイルが完全にダウンロードされません。この問題は、ファイルサイズが 5 MB を超える場合に発生します。

[ NSHELP-34044 ]
Web App Firewall ポリシーが仮想サーバー上で更新されると、次の問題が発生します。
- NetScaler GUIとCLIが応答しなかったか、通常よりも時間がかかりました。
- パケットの CPU 使用率が 100% に増加しました
- パーシスタンスセッションの数が増えました。
[ NSHELP-33975 ]
JSON コマンドインジェクション緩和ルールは、緩和ルールにセミコロン (;) またはピリオド (.) が含まれていると機能しない場合があります。

[ NSHELP-33606 ]

負荷分散

次の条件が満たされ、すべてのサービスをバインド解除して再度バインドすると、NetScalerアプライアンスがクラッシュします。
- 負荷分散仮想サーバーは、ハッシュベースの方法で構成されます。
- サービスは優先的にこの仮想サーバーにバインドされます。
[ NSHELP-34314 ]
HAセットアップでは、複数の仮想サーバーにバインドされているサービスグループを削除すると、NetScalerアプライアンスがクラッシュします。

[NSHELP-34029]
NetScalerアプライアンスの負荷分散構成を追加または変更すると、次のエラーが表示されることがあります。

構成に一貫性がない可能性があります。「show configstatus」コマンドで確認するか、再起動してください。

この問題は、set lb vserver コマンドを httpsRedirectURL パラメーターと RedirectFromPort パラメーターとともに使用した場合に発生します。

[ NSHELP-33912 ]
まれに、nsmap がクラッシュすることがあります。その結果、位置情報データベースを使用する一部のNetScalerアプライアンスが意図したとおりに機能しない場合があります。

[ NSHELP-33840 ]
高可用性設定でサービスを無効にしてから有効にすると、フェイルオーバーが発生したときに一部のモニターが SKIP_OFS 状態になることがあります。

[ NSHELP-33717 ]
show cs vserver コマンドでは、パラメータがコンテンツスイッチングポリシーで設定され、コンテンツスイッチング仮想サーバにバインドされていても、ルールパラメータは表示されません。

[ NSHELP-33506 ]
接続ミラーリング中に、書き換えポリシーが30バイトを超えると、NetScalerアプライアンスがクラッシュします。

[NSHELP-32902]
帯域幅の使用量が設定された制限内であっても、SNMPアラートが生成されます。この問題は、2 つの異なるデータ型を比較し、インクリメントするときに 1 つのパラメーターがラップアラウンドする場合に発生します。

[ NSHELP-32509 ]
接続ミラーリングが設定されたNetScalerアプライアンスは、ジャンボパケットが送信されるとクラッシュします。

[ NSHELP-31072 ]
NetScaler VPXアプライアンスは、次の条件が満たされるとクラッシュします。
1. autosync オプションは設定を他の GSLB サイトと同期させるために使われます。
2. GSLB キャッシュの取得に使用されるインカネーション番号は 1024 の倍数です。
[ NSHELP-30075 ]
GSLB 設定では、SSL 証明書が下位サイトに見当たりません。この問題は、自動同期オプションが有効になっていて、下位サイトにマスターサイトでは使用できない SSL 証明書がある場合に発生します。

[NSHELP-29309]

その他

NetScalerアプライアンスで「ns_hw_err.bash」スクリプトを実行すると、次のエラーメッセージが表示されます。
「エラー：ファイル ‘ns_hw_plugins.py’ を開けません:[Errno 2] そのようなファイルまたはディレクトリはありません」

[ NSHELP-32991 ]
クラスタ設定では、クラスタIPアドレスがNSIPアドレスのサブネットとは異なるサブネットに設定されている場合、ファイルの自動同期は失敗します。

[ NSHELP-29988 ]

プラットフォーム

ADCアプライアンスをリリース13.1ビルド42.47にアップグレードした後、一部のパブリッククラウドVPX展開では、HTTPとTCPサービスのアップ状態とダウン状態の間でフラップが発生する場合があります。

[NSPLAT-26310]
BMC ファームウェアバージョン 4.08 を実行している SDX アプライアンスで、13.0 ビルド 84.X から 1 つのバンドルアップグレードを実行すると、システム起動中に Lightout Management（LOM）ファームウェアの 4.14 へのアップグレードが断続的に停止し、30 分後にタイムアウトすることがあります。

[NSPLAT-26148]
AWSクラウド上のNetScaler VPXインスタンスのHAセットアップでは、/var/log/の場所に保存されている「cloud-ha-daemon.log」ファイルのコンテンツが1回ではなく2回印刷されます。

[ NSPLAT-25687 ]
NetScaler SDXアプライアンスでは、トラフィックのバーストを処理するのに十分なスループットがSDXアプライアンスに用意されている場合でも、VPXインスタンスはバーストモードの一部として構成された最小スループット値で動作する場合があります。

[NSHELP-33875、NSHELP-34667]
NetScaler MPX 9100、MPX 9100T、MPX 16000、およびMPX 16000Tプラットフォームでは、ライセンスホストIDが変更されると、アプライアンスがライセンスなしで起動することがあります。

[NSHELP-33745、NSHELP-33756、NSHELP-33801]

SSL

証明書とキーのペアと ECC カーブを SSL サービス、サービスグループ、または内部サービスにバインドするコマンドは、設定 (ns.conf) に保存されません。

[NSSSL-12761]
リリース13.1ビルド37.xにアップグレードすると、構成が変更されていなくても、TLSv1.0プロトコルを使用してネゴシエートできなくなる場合があります。

[ NSHELP-34345 ]

システム

NetScalerアプライアンスによって圧縮されたHTTP応答は、Content-Length HTTP応答ヘッダーフィールドの値に先頭にスペース文字が追加されるため、一部のHTTP (S) クライアントで障害が発生する可能性があります。

[ NSHELP-34660 ]
すべてのHTTPヘッダーをログに記録するように構成されたNetScalerアプライアンスは、20を超える長いヘッダーを含むHTTP要求または応答を受信するとクラッシュします。

[ NSHELP-34145 ]
管理パーティションにrestタイプのAppFlowコレクターが設定されている場合、NetScalerアプライアンスがクラッシュする可能性があります。

[ NSHELP-33600 ]
NetScalerバージョン13.1ビルド33.47以降では、GUIまたはCLIを使用してイベント、指標、および監査ログパラメーターを有効または無効にすることはできません。

[ NSHELP-33247 ]
以下の条件が満たされると、gRPC クライアントは gRPC ステータスヘッダーの解析に失敗します。
- gRPC ステータスヘッダーは、末尾ヘッダーだけに追加されるのではなく、先頭ヘッダーと末尾ヘッダーの両方に追加されます。
[ NSHELP-31640 ]
次の両方の条件が満たされると、NetScalerアプライアンスでメモリリークが発生する可能性があります。
- HTTP 圧縮機能が有効になっています。
- 接続はトランザクションの途中でリセットされます。
[ NSHELP-30631 ]
HTTP/2対応の仮想サーバーがバックエンドサービスに要求を転送するのではなく、HTTP/2要求に対する応答を生成すると、Citrix ADCアプライアンスがクラッシュする可能性があります。

[NSBASE-18162、NSHELP-35288]
NetScalerアプライアンスからクライアントへのヘッダーのみのgRPC応答には、gRPCステータスおよびgRPCメッセージは含まれません。

[NSBASE-17802]

ユーザーインターフェイス

管理パーティションを使用している場合、GUI を使用して SSL 証明書を削除することはできません。

[ NSHELP-34429 ]
NetScaler GUIの［ コンテンツスイッチングポリシーバインドの設定］ページの［バインド先］列には、ポリシーがバインドされているコンテンツスイッチ仮想サーバーの実際の名前の代わりに 、「CS Virtual Server」という文字列が表示されます。

[ NSHELP-34374 ]
NetScaler GUIを使用すると、HTTPプロファイルの代替サービスを構成できないことがあります。

[ NSHELP-34304 ]
AppFW プロファイルをログ表現にバインドすると、state パラメータはデフォルトで有効に設定されます。ただし、システムをアップグレードすると、パラメータは無効に戻されます。

[NSHELP-34187]
NetScaler GUIの [診断] ページ（[システム] > [診断]）にあるコアファイルのダウンロードは、エラーで失敗することがあります。

[ NSHELP-33644 ]
NetScaler GUIでは、特定のタイプのSNMPトラップの編集ボタンをクリックすると、特定タイプのSNMPトラップの代わりに汎用タイプのSNMPトラップの詳細が表示されます。

[ NSHELP-33520 ]
NITRO Python SDK GETを名前で呼び出すと、次のリソースに対して「割り当て前にローカル変数 ‘response’ が参照されました」というエラーメッセージが表示されて失敗します。
- appfwhtmlerrorpage
- appfwjsonerrorpage
- appfwprotofile
- appfwsignatures
- appfwwsdl
- appfwxmlerrorpage
- appfwxmlschema
- botsignature
- responderhtmlpage
[ NSHELP-32525 ]
クラスタ設定では、CLIPアドレスに対して実行されるshow HTTP monitor操作では、複数値の HTTP 応答コードは表示されません。

[NSCONFIG-7107]

既知の問題

リリース13.1-45.64に存在する問題。

認証、承認、監査

認証仮想サーバーをデフォルト以外のパーティションで使用すると、NetScalerアプライアンスがクラッシュする可能性があります。

[NSHELP-32054]
管理者は、認証情報が無効であることが原因で発生した認証エラーのカスタムロギングを実行できません。この問題は、NetScaler Responderポリシーがログインエラーのエラーを検出できないために発生します。

[ NSAUTH-11151 ]
ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
show adfsproxyprofile <profile name>

回避策：クラスター内のアクティブなプライマリのNetScalerに接続し、show adfsproxyprofile <profile name>コマンドを実行します。プロキシプロファイルの状態が表示されます。

[ NSAUTH-5916 ]
次の手順を実行すると、NetScaler GUIの［認証LDAPサーバーの構成］ページが応答しなくなります。
- [LDAP 到達可能性をテスト] オプションが開きます。
- 無効なログイン認証情報が入力され、送信されます。
- 有効なログイン認証情報が入力され、送信されます。
回避策：「LDAP 到達可能性テスト」オプションを閉じて開きます。

[NSAUTH-2147]

NetScaler Gateway

Citrix Secure Accessクライアントでスプリットトンネルがオフに設定されていると、なりすましIPアドレス範囲と重複するイントラネットリソースにアクセスできません。

[ NSHELP-34334 ]
ゲートウェイサーバーにアクセスできるため、常時接続の VPN 接続が起動時に断続的に失敗します。

[ NSHELP-33500 ]
Citrix Secure Access関連のレジストリ値が1500文字を超える場合、ログコレクターはエラーログを収集できません。

[ NSHELP-33457 ]
Windows フィルタリングプラットフォーム (WFP) ドライバを使用している場合、VPN の再接続後にイントラネットアクセスが機能しないことがあります。

[ NSHELP-32978 ]
Citrix Secure Accessクライアントのバージョン21.7.1.2以降では、管理者権限のないユーザーが新しいバージョンにアップグレードできません。この問題は、Citrix Secure AccessクライアントのアップグレードがNetScalerアプライアンスから行われる場合にのみ発生します。

[ NSHELP-32793 ]
ユーザーがWindows向けCitrix Secure Access画面の［ホームページ］タブをクリックすると、ページに接続拒否エラーが表示されます。

[ NSHELP-32510 ]
Chrome を使用する Mac デバイスで、2 つの FQDN にアクセス中に VPN 拡張機能がクラッシュします。

[ NSHELP-32144 ]
NetScaler Gateway 13.0または13.1のプロキシ設定が空の場合、Citrix SSOが不適切なプロキシ設定を作成することがあります。

[ NSHELP-31970 ]
Citrix Secure Accessによって確立されたトンネルの外部にあるリソースへの直接接続は、大幅な遅延または輻輳が発生すると失敗することがあります。

[ NSHELP-31598 ]
カスタマイズされたEPA障害ログメッセージは、NetScaler Gateway ポータルには表示されません。代わりに、「内部エラー」というメッセージが表示されます。

[ NSHELP-31434 ]
ユーザーが Always-On サービスモードで Windows マシンにログインすると、Windows 自動ログオンが機能しないことがあります。マシントンネルはユーザートンネルに遷移しません。「Connecting…」というメッセージが VPN プラグイン UI に表示されます。

[NSHELP-31357、CGOP-21192、NSHELP-34211]
Always on が設定されている場合、aoservice.exe ファイルのバージョン番号（1.1.1.1）が正しくないため、ユーザトンネルが失敗します。

[ NSHELP-30662 ]
［NetworkAccessonVPNFailure］プロファイルパラメーターを［フルアクセス］から［OnlyToGateway］に変更すると、ユーザーはNetScaler Gateway アプライアンスに接続できなくなります。

[ NSHELP-30236 ]
ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。この問題を解決するために、次のレジストリ値が導入されます。

HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
タイプ: DWORD

デフォルトでは、このレジストリ値は設定も追加もされません。「SecureChannelResetTimeoutSeconds」の値が0または追加されていない場合、遅延を処理するための修正が機能しません。これはデフォルトの動作です。管理者は、このレジストリをクライアントに設定して修正を有効にする必要があります (つまり、ゲートウェイプラグインが VPN トンネルを正常に確立した直後にホームページを表示する)。

[ NSHELP-30189 ]
Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。

[ NSHELP-29675 ]
macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。

[ NSHELP-28551 ]
クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にNetScaler Gateway からログアウトすることがあります。

[ NSHELP-28404 ]
次の条件を満たす場合、Windows ログオン後に VPN プラグインはトンネルを確立しません。
- NetScaler Gateway アプライアンスが常時オン機能用に構成されている
- アプライアンスは、2 要素認証を「オフ」にした証明書ベースの認証用に設定されています。
[ NSHELP-23584 ]
スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。

[ NSHELP-21897 ]
NetScalerクラスター設定では、HDX InsightとGateway Insightを同時に有効にすることはできません。

[CGOP-23570]
Windows OSオプションは、NetScaler GUIの事前認証ポリシーと認証アクションの「エクスプレッションエディタ」ドロップダウンリストに表示されません。ただし、GUIまたはCLIを使用して以前のNetScalerビルドでWindows OSスキャンをすでに構成している場合は、アップグレードしても機能に影響はありません。必要に応じて CLI を使用して変更できます。

回避方法：

設定には CLI コマンドを使用します。
- nFactor 認証で高度な EPA アクションを設定するには、次のコマンドを使用します。
  add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
- 従来の事前認証アクションを設定するには、次のコマンドを使用します。
  add aaa preauthenticationaction win_scan_action ALLOW
  add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action
[ CGOP-22966 ]
Windowsログオン機能の前に常時接続VPNを使用したい場合は、NetScaler Gateway 13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を活用できます。

[ CGOP-19355 ]
Gateway Insight レポートでは、SAML エラーエラーの認証タイプフィールドに「SAML」ではなく「Local」という値が誤って表示されます。

[ CGOP-13584 ]
高可用性セットアップでは、NetScalerフェイルオーバー時に、NetScaler Consoleのフェイルオーバー数ではなくストレージリポジトリ数が増加します。

[ CGOP-13511 ]
ICA接続がMAC Receiverバージョン19.6.0.32またはCitrix Virtual Apps and Desktopsバージョン7.18から起動されると、HDX Insight機能は無効になります。

[ CGOP-13494 ]
EDT Insight 機能が有効になっていると、ネットワークの不一致時にオーディオチャネルに障害が発生することがあります。

[ CGOP-13493 ]
ブラウザからローカルホスト接続を受け付けると、macOS の Accept Connection ダイアログボックスには、選択した言語に関係なく英語でコンテンツが表示されます。

[ CGOP-13050 ]
一部の言語では、 Citrix SSOアプリ>ホームページの「ホームページ」というテキストが切り捨てられます。

[ CGOP-13049 ]
NetScaler GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

[ CGOP-11830 ]
Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。

[ CGOP-7269 ]

負荷分散

高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

[ NSLB-7679 ]
サービスグループのentityofsトラップの ServiceGroupName 形式は次のとおりです。
<service(group)name>?<ip/DBS>?<port>

トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (“?”) は区切り文字として使用されます。NetScalerは、疑問符（”?”)。フォーマットはNetScalerコンソールのGUIでも同じように表示されます。これは予想される動作です。

[ NSHELP-28080 ]

その他

高可用性セットアップで強制同期が行われると、アプライアンスはセカンダリノードで「set urlfilter parameter」コマンドを実行します。
その結果、セカンダリノードは、「TimeOfDayToUpdateDB」パラメーターで指定された次のスケジュール時刻まで、スケジュールされた更新をスキップします。

[NSSWG-849]
レジストリ値が 2000 バイトを超えると、AlwaysOnAllow リストレジストリが期待どおりに動作しません。

[ NSHELP-31836 ]
URLフィルタリングのサードパーティベンダーとの接続の問題が発生した場合、管理CPUの停滞によりNetScalerアプライアンスが再起動することがあります。

[ NSHELP-22409 ]

ネットワーク

DPDKをサポートするNetScaler BLXアプライアンスでは、DPDKIntel i350 NICポートではタグ付きVLANはサポートされません。これは、DPDK ドライバに存在する既知の問題であるため、確認されています。

[ NSNET-25299 ]
DPDKを搭載したNetScaler BLXアプライアンスは、次の条件をすべて満たすと再起動に失敗することがあります：
- NetScaler BLXアプライアンスには、少数の「巨大ページ」が割り当てられています。たとえば、1G です。
- NetScaler BLXアプライアンスには多数のワーカープロセスが割り当てられています。たとえば、28 と入力します。
この問題は、エラーメッセージとして「/var/log/ns.log」に記録されます。
- 「BLX-DPDK: DPDK メモリプールを PE-x 用に初期化できませんでした」
注:x はワーカープロセス数以下の数です。

回避策：「巨大ページ」を多数割り当ててから、アプライアンスを再起動します。

[ NSNET-25173 ]
DPDKモードのNetScaler BLXアプライアンスは、DPDK簡易機能のため、再起動に少し時間がかかる場合があります。

[ NSNET-24449 ]
DPDKを搭載したNetScaler BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません：
- 無効化
- 有効化
- リセット
[ NSNET-16559 ]
DebianベースのLinuxホスト（Ubuntuバージョン18以降）では、NetScaler BLXアプライアンスのインストールが次の依存関係エラーで失敗することがあります：

「次のパッケージの依存関係は満たされていません:blx-core-libs: i386: preDepends: libc6: i386 (>= 2.19) しかしインストールできません」

回避策：NetScaler BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します：
- dpkg –add-architecture i386
- apt-get update
- apt-get install libc6:i386
[ NSNET-14602 ]
FTPデータ接続の場合、NetScalerアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対してTCP処理は実行しない場合があります。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。

[ NSNET-5233 ]
NetScalerアプライアンスは、コールドリスタート後に「ColdStart」SNMPトラップメッセージを生成しない場合があります。

[ NSHELP-27917 ]
NetScalerアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は管理パーティションの新しいメモリ制限に自動的に設定されます。

[ NSHELP-21082 ]

プラットフォーム

NetScalerアプライアンスを13.1～4.x以降のバージョンから次のバージョンのいずれかにダウングレードすると、一部のPythonパッケージがインストールされません：
- 任意の 11.1 ビルド
- 12.1-62.21 およびそれ以前
- 13.0-81.x およびそれ以前
[ NSPLAT-21691 ]
Azureリソースグループからオートスケール設定または仮想マシンスケールセットを削除する場合は、対応するクラウドプロファイル構成をNetScalerインスタンスから削除します。「rm cloudprofile」コマンドを使用してプロファイルを削除します。

[ NSPLAT-4520 ]
Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。
回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノード上で設定する必要があります。

[ NSPLAT-4451 ]
メンバーインターフェイスが設定されていないLAチャネルにVRIDをバインドすると、NetScalerアプライアンスがクラッシュします。

回避策：VRID を LA チャネルにバインドする前に、LA チャネルのメンバーインターフェイスを設定します。

[NSPLAT-26707]

ポリシー

処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

回避策:TCP バッファサイズを、処理が必要なデータの最大サイズに設定します。

[ NSPOLICY-1267 ]

SSL

NetScaler SDX 22000アプライアンスとNetScaler SDX 26000アプライアンスの異機種クラスタでは、SDX 26000アプライアンスを再起動するとSSLエンティティの構成が失われます。

回避方法：
1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例：set ssl vserver <name> -SSL3 DISABLED。
2. 構成を保存します。
[ NSSSL-9572 ]
認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

[ NSSSL-6478 ]
同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。NetScalerアプライアンスはエラーを返しません。

[ NSSSL-6213 ]
HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。
エラー:CRL 更新が無効です

[ NSSSL-6106 ]
セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

[ NSSSL-4427 ]
SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。

[ NSSSL-4001 ]
期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。

[ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]

システム

CONNECT HTTP リクエストメソッドを使用する HTTP/2 ストリームが終了すると、HTTP/2 を使用する Web ページが完全に読み込まれないことがあります。

[NSHELP-36407、NSBASE-17449]
次の条件が満たされると、TCP 接続の RTT が高くなります：
- 最大輻輳ウィンドウ（> 4 MB）が高く設定されている
- TCP NILE アルゴリズムは有効になっています
NetScalerアプライアンスがNILEアルゴリズムを使用して輻輳制御を行うには、条件がスロースタートのしきい値と最大輻輳ウィンドウを合わせた値を超える必要があります

そのため、設定された最大輻輳時間帯に達するまで、NetScalerはデータを受け付け続け、最終的にはRTTが高くなります。

[ NSHELP-31548 ]
アプライアンスがクライアントから max_concurrent_stream 設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS 値はデフォルトで 100 に設定されます。

[ NSHELP-21240 ]
mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。

[ NSHELP-10972 ]
クラスタ展開では、CCO 以外のノードで「force cluster sync」コマンドを実行すると、ns.log ファイルには重複するログエントリが含まれます。

[NSBASE-16304、NSGI-1293]
NetScaler ConsoleをKubernetesクラスターにインストールすると、必要なプロセスが実行されない可能性があるため、期待どおりに機能しません。

回避策：管理ポッドを再起動します。

[ NSBASE-15556 ]
LogStream トランスポートタイプが Insight 用に構成されている場合、クライアントIPとサーバーIPはHDX Insight SkipFlowレコードで反転されます。

[NSBASE-8506]

ユーザーインターフェイス

NetScaler GUIでは、「ダッシュボード」タブの下にある「ヘルプ」リンクが壊れています。

[ NSUI-14752 ]
CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。

回避策：NetScaler GUIまたはCLIを使用してIPSecプロファイル、IPトンネル、およびPBRルールを追加してCloudBridge Connectorを構成します。

[ NSUI-13024 ]
GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。

[ NSUI-6838 ]
NetScaler BLXアプライアンスの高可用性セットアップでは、プライマリノードが応答しなくなり、CLIまたはAPI要求がブロックされることがあります。

回避策:プライマリノードを再起動します。

[NSCONFIG-6601]
あなた（システム管理者）がNetScalerアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたNetScalerアプライアンスにログインできないことがあります。
1. NetScalerアプライアンスをいずれかのビルドにアップグレードします
  - 13.0 52.24 ビルド
  - 12.1 57.18 ビルド
  - 11.1 65.10 ビルド
2. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
3. NetScalerアプライアンスを古いビルドにダウングレードします。
CLI を使用してこれらのシステムユーザーのリストを表示するには、
コマンドプロンプトで次のように入力します。

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

回避策:この問題を解決するには、以下のいずれかの独立したオプションを使用してください。
- NetScalerアプライアンスがまだダウングレードされていない場合（上記の手順のステップ3）、同じリリースビルドの以前にバックアップされた構成ファイル（ns.conf）を使用してNetScalerアプライアンスをダウングレードします。
- アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
- 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。
詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。

[ NSCONFIG-3188 ]

このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。

NetScaler 13.1-45.64リリースのリリースノート

March 20, 2024

寄稿者:

March 20, 2024

寄稿者: