ADC

PDFを表示

NetScaler 13.1-50.23 ビルドのリリースノート

February 15, 2024

寄稿者:

このリリースノートドキュメントでは、NetScalerリリースビルド13.1-50.23に存在する機能強化と変更、修正された問題と既知の問題について説明します。

メモ

このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。

新機能

ビルド 13.1-50.23 で利用できる機能強化と変更。

その他

テクニカルサポートバンドルをアップロードするための認証トークン

テクニカルサポートバンドルをNetScalerからCitrixテクニカルサポートサーバーに直接アップロードする場合、認証トークンが必要になりました。以前は、テクニカルサポートバンドルをアップロードするにはCitrix のユーザー名とパスワードが必要でした。詳細については、「アプライアンスの問題を解決するためのテクニカルサポートバンドルを生成する方法」を参照してください。

[ NSTOOLS-3019 ]

プラットフォーム

レート制限メトリック用の新しい SNMP MIB のサポート

NetScalerの1秒あたりのパケット数とビット/秒を取得するための新しいSNMP MIBを追加しました。このMIBは、NetScalerの現在のレート制限メトリックを理解するのに役立ちます。詳しくは、「 NetScaler 13.1 SNMPOIDリファレンス」を参照してください。

[ NSPLAT-26679 ]
10G/25G/40G NICを搭載したNetScaler SDXのアップデートされたNICドライバーとファームウェアのサポート

シングルバンドルイメージ (SBI) バージョン 14.1-8.x 以降または 13.1-50.x 以降にアップグレードすると、次のプラットフォームで 10G/25G/40G NIC ドライバとファームウェアが自動的にバージョン 8.70 にアップグレードされます。NIC ファームウェアバージョン 8.70 は CVE-2020-8690、CVE-2020-8691、CVE-2020-8692、および CVE-2020-8693 を修正します。
- SDX 8900
- SDX 14000-40G
- SDX 15000
- SDX 15000-50G
- SDX 25000-40G
- SDX 16000
- SDX 9100
- SDX 26000
- SDX 26000-50S
[ NSPLAT-23460 ]

解決された問題

ビルド13.1-50.23で対処されている問題。

分析インフラストラクチャ

複数のAppFlowポリシーがNetScalerにグローバルにバインドされている場合、1つのポリシーのバインドを解除すると、他のポリシーも無効になります。

[NSHELP-35960]
次の条件がすべて満たされると、NetScalerがクラッシュする可能性があります：
- イベント、監査ログ、またはメトリックスは、分析プロファイルまたはAppFlowパラメータで有効になっています。
- 応答側の書き換えポリシーが設定されます。
[ NSHELP-35550 ]
NetScalerを再起動すると、SNMPアラームは以前に無効になっていても自動的に再び有効になります。

[ NSHELP-34745 ]
多要素認証が構成されたNetScalerは、ポリシー評価中にクラッシュします。

[ NSHELP-33674 ]
再起動後、newnslog構成ファイルが空の場合、VPXは再起動を続けます。

[ NSHELP-33373 ]
クラスタ展開では、非CCOノードは、ノードで「強制クラスタ同期」または「再起動」操作を実行しても、TCP Syslogメッセージを外部Syslogサーバに送信しません。

[ NSHELP-32925 ]
show syslogActionコマンドは、次の条件の両方が満たされると、出力に未解決の IP アドレスを表示します。
- トランスポートモード UDP でドメイン名を指定した SYSLOG アクションが使用されます。
- ICMP はサーバ上で無効になっています。
この問題は、サーバに ICMP 経由でアクセスできないため、ping のデフォルトモニタがサービスを DOWN とマークするために発生します。そのため、IP アドレスは解決されても出力には表示されません。

[ NSHELP-32886, NSHELP-33392 ]
ns.log このファイルは、監査ログレベルが「なし」に設定されていて、設定されたファイルサイズ制限を超えている場合でも、デバッグログを生成します。この問題は、詳細ポリシーが不要であってもローカルロギングにバインドされていることが原因で発生します。

[ NSHELP-32404, NSCXLCM-1374, NSCXLCM-1551, NSCXLCM-1708 ]
クラスター環境では、syslogポリシーがlb仮想サーバーにバインドされると、NetScalerでnsppeがクラッシュすることがあります。

[ NSHELP-30983, NSANINFRA-21 ]

認証、承認、監査

アップグレード後、NetScalerログファイルに「AAA DHT: サブタイプ1が無効なため、VPNエントリ再開通知が失敗しました」というメッセージが繰り返し表示されます。

[ NSHELP-35649 ]
アップグレード後、ユーザーは期限切れのNetScaler Gatewayパスワードをリセットできません。この問題は、二重認証ログインスキーマによるStoreFront 認証がnfactorフローの第2要素として構成されている場合に発生します。

[ NSHELP-35631 ]
NetScaler GUI認証サーバーページ（［構成］>［認証］>［ダッシュボード］）で、［ステータス］列が正しく読み込まれず、「処理中の小さな画像」というメッセージが表示されます。この問題は、サーバー構成が進行中のエントリで発生します。

[ NSHELP-34534 ]
Kerberos SSO は、同時に大量の要求を受信すると失敗することがあります。

[ NSHELP-34177 ]
TACACS認証がNAT IPアドレスで構成されている場合、NetScaler CLIを使用してコマンドを実行する際に遅延が発生する可能性があります。

[ NSHELP-32960 ]
SAMLサービスプロバイダーとして構成されたNetScalerは、SAMLログアウト要求に対して2つの応答を送信する場合があります。この問題は、ログアウトリクエストに「SAML Request」パラメータが含まれている場合に発生します。

[ NSHELP-32555 ]
認証仮想サーバーをデフォルト以外のパーティションで使用すると、NetScalerがクラッシュすることがあります。

[ NSHELP-32054, NSCXLCM-640, NSCXLCM-1577 ]
次の認証方法のいずれかを第2要素として使用し、その後にnFactorフローでユーザー操作を必要とする要素が設定されると、NetScalerがクラッシュする可能性があります。
- SAML
- OAuth
- クライアント証明書
[ NSHELP-29573, NSCXLCM-492, NSCXLCM-872, NSCXLCM-1216, NSHELP-32631, NSHELP-32765 ]

ボット管理

まれに、デバイスの指紋検出技術を使用しているときに Web ページが読み込まれないことがあります。

[ NSHELP-34742 ]

負荷分散

セカンダリノードの RPC パスワードが変更されると、セカンダリノードの GSLB 同期が失敗します。

[ NSLB-9788 ]
GLSBレスポンスに300を超えるIPアドレスが含まれていると、NetScalerがクラッシュすることがあります。

[NSHELP-35792]
トラフィックドメインの展開では、ネットプロファイルが DNS 仮想サーバーにバインドされると、DNS クエリの負荷分散が失敗することがあります。

[ NSHELP-35675 ]
次の一連の条件が満たされた後にドメイン名ベースのサービス（DBS）を参照すると、NetScalerがクラッシュすることがあります。
1. ロケーションエントリは、DBS ドメイン名の解決先となる IP アドレスに設定されます。
2. DBS ドメイン名が削除され、ネームサーバーから NXDOMAIN 応答が返されます。
3. ロケーションエントリが削除されます。
[ NSHELP-35370 ]
まれに、次の条件が満たされると、NetScalerアプライアンスがクラッシュしてコアダンプが生成されることがあります：
- TCP ベースの DNS モニタプローブは、バックエンドサービスのモニタリングに使用されます。
- アプライアンスのメモリが不足しています。
[ NSHELP-35289 ]
HA セットアップでは、セカンダリノードを再起動すると静的近接データベースがロードされないことがあります。

[ NSHELP-35271 ]
NTLM モニターは以下のオプションをサポートしていません。
- NTLM バージョン 1 とバージョン 2 の両方の構成のモニターによる同時プロービング。
- 「ScriptArg」パラメータの URL が別の IP アドレスに解決されたときに、プローブをサーバーの IP アドレスに転送します。
- NTLM バージョン 2。
[ NSHELP-35185 ]
30 を超えるサービスがユーザーモニターにバインドされている場合、ユーザーモニターにバインドされているサービスが断続的に使用できなくなる可能性があります。

[ NSHELP-34669, NSCXLCM-1373 ]
8 ノード以上のクラスタ構成では、レート制限識別機能が意図したとおりに動作しない場合があります。

[ NSHELP-34555 ]
タイムアウトの計算が正しくないため、StoreFront ユーザーモニターへのプローブが失敗することがあります。この問題は、StoreFront ユーザーモニターの構成時にタイムアウト値が1秒または2秒に設定されている場合に発生します。

[ NSHELP-34418 ]
HA フェイルオーバー後、パーシスタンスタイムアウト期間が終了しても、パーシスタンスセッションのエントリはプライマリノードから削除されません。セッションエントリは、セカンダリノードが稼働するまで保持されます。

[ NSHELP-34378 ]
静的近接が GSLB 方式として設定されていて、データベースからのクライアントロケーション検索が失敗すると、CPU 使用率が高くなる可能性があります。

[ NSHELP-33823 ]
高可用性セットアップでは、フェールオーバー後にパーティションを削除すると、CPU 使用率が高くなる可能性があります。

[ NSHELP-33701 ]
次の条件が満たされると、NetScalerがクラッシュする可能性があります：
- 負荷分散仮想サーバーは、複数のパーティションのリダイレクト URL で構成されます。
- メモリ回復がトリガーされます。
[ NSHELP-33638, NSCXLCM-227, NSCXLCM-509 ]
SOA の連絡先情報では、複数のドット文字を含む電子メールアドレス (例:john.doe.example.com) を入力すると、john@doe.example.comに変換されます。バックスラッシュ () をエスケープ文字として使用できるようになりました。その結果、john.doe.example.com はjohn.doe@example.comに翻訳されます。

[ NSHELP-33610 ]
キャッシュリダイレクト機能は無効になっていますが、仮想サーバーは引き続きトラフィックを処理します。この問題は、キャッシュリダイレクト仮想サーバーの IP アドレスとポート番号が GSLB サービスに追加された場合に発生します。

[ NSHELP-33495 ]
インクリメンタル同期を実行する場合、モニターの「resptimeout」パラメーターが変更されると完全同期がトリガーされます。

[ NSHELP-31987 ]

その他

ns.log ファイルの STA 応答ログは、デバッグレベルで出力されます。

[ NSHELP-35956 ]
NetScalerがNetScalerが生成したCookie を受信HTTP要求から削除してから上流のHTTPサーバーに送信すると、上流のサーバーはその要求を拒否することがあります。この問題は、Cookie の名前と値のペアを削除すると、Cookie ヘッダーフィールドが HTTP プロトコルの仕様を満たさなくなる可能性があるために発生します。

[ NSHELP-35855 ]
ICA接続がアクティブなVPN仮想サーバーの名前を変更すると、NetScalerがクラッシュすることがあります。

[NSHELP-35804]
次の条件が満たされると、NetScalerがクラッシュする可能性があります：
- EDT経由のアクティブなICA接続があります。
- Citrix VDAと同じIPアドレスとポート番号のUDPサービスが追加されます。
- NetScaler Gateway とCitrix VDAの間には接続の問題があります。
[ NSHELP-35637 ]
アップグレード後、HDX Insightが有効になっていると、NetScalerアプライアンスがクラッシュすることがあります。

[NSHELP-35058、NSCXLCM-1220、NSCXLCM-1467]
クラスタ設定がアイドル状態の場合、ノード間メッセージング（NNM）は、指定されたsndbufサイズ（-Sオプション付きのpingコマンド）のpingパケットに20ミリ秒の遅延を追加することがあります。

[ NSHELP-34774 ]
HDX Insightで構成されたNetScalerは、セカンダリノードが処理対象のパケットを受信すると再起動することがあります。

[ NSHELP-34152 ]
NetScaler Gatewayは、承認されたアクセス要求をSSO障害としてNetScaler ADMに報告します。その結果、NetScaler ADM UIの［Gateway ］ >［Gateway Insight ］ページに、誤ったアラームの原因となる誤ったSSO障害レポートが表示されます。

[ NSHELP-27992 ]
EDT ICA接続が開始されると、NetScalerがクラッシュします。この問題は、HDX InsightのAppFlow分析プロファイルがVPN仮想サーバーにバインドされている場合に発生します。

[ GOPHDX-5014 ]

NetScaler Gateway

バックエンドサーバーが HTTP/1.0 モードのプロキシリクエストを拒否するため、一部のアプリケーション (内部および外部) にアクセスできない場合があります。

[ NSHELP-35919 ]
NetScaler GUIでは、バインドに成功しても、VPN仮想サーバーとのSAML IdPポリシーバインディングは表示されません。

[ NSHELP-35663 ]
NetScaler Gatewayで高度なクライアントレスVPNアクセスを構成すると、ブックマークされたURLからページを読み込めないことがあります。

[ NSHELP-33771 ]
NetScaler Gateway経由でVPN接続を確立すると、URLに誤ったテキストが含まれたホームページにリダイレクトされることがあります。この問題は、NetScalerがRFWebUIポータルテーマで構成されている場合に発生します。

[ NSHELP-30097, NSCXLCM-481 ]
EULAエンティティを作成すると、NetScaler GatewayのRFWebUIポータルテーマにテキストが1行で表示されます。この問題は、HTML <br> の改行タグが原因で発生します。使用許諾契約書では、 <br> すべてのHTMLタグが一時的に無効になっています。「n」を使用して改行を追加してみることができます。

[ CGOP-24534 ]
NetScalerリリース13.1ビルド50.23以降、NetScaler Gateway仮想サーバーまたは認証仮想サーバーを介してアクセスすると、すべてのディレクトリでPHPファイルへのアクセスがブロックされます。

[CHOP-22974]

NetScaler SDXアプライアンス

NetScaler SDX FIPSでは、NetScalerインスタンスをプロビジョニングまたは変更している間は、「FIPSを有効にする」オプションは使用できません。

[ NSSVM-5848 ]
VPXを内部管理ネットワークがサポートされていないバージョンからサポートされているバージョンにアップグレードした場合、NetScaler VPXの内部管理ネットワークを有効にすることはできません。

[ NSSVM-5634 ]
NetScaler SDXに存在するVPXのIPアドレスで、それぞれのオクテットの桁数が異なる場合、 snmpwalk get呼び出しではすべてのVPXに対して応答が返されないことがあります。

[ NSHELP-35877 ]
25G、40G、または 100G ポートを使用する LACP チャネル作成の最大スループットチェックの検証が失敗します。

[ NSHELP-35743 ]

NetScaler Secure Web Gateway

まれに、NetScalerがパケットキャプチャ中にクラッシュすることがあります。この問題は、PCB 構造の TCP プロファイル変数に NULL 値がある場合に発生することがあります。

[ NSHELP-36081 ]

NetScaler Web App Firewall

変換ファイル要求のデバッグログは、URL 変換プロファイルが要求に適用されたときに生成されます。

[NSWAF-10356]
SQL 文法ベースの保護機能が有効になっている場合、特定の定義済みキーワードを使用すると、誤検知が発生する可能性があります。

[ NSHELP-36138 ]
BOT レート制限トラフィックフィルターは、 Bursty フィルターとして設定されていても、 内部的にはスムーズフィルターとして機能します 。

[ NSHELP-36095 ]
Web App Firewallプロファイルに、SQLインジェクション保護をチェックする署名がバインドされていると、NetScalerがクラッシュすることがあります。

[ NSHELP-35989 ]
URL 変換ポリシーを使用してホストヘッダーを更新すると、応答ヘッダーはポート番号で 2 回更新されます。

[ NSHELP-35840 ]
ルールがキーと値のペアで構成されている場合、NetScaler GUIを使用してJSONクロスサイトスクリプティング緩和ルールを編集または削除することはできません。

[NSHELP-35610]
JSON コマンド・インジェクションの文法保護チェックは、日付形式を含むリクエストをブロックします。ただし、ログファイルのデータは更新されず、カウンタは増加しません。

[ NSHELP-35577 ]
まれに、構成されたメモリが少なくてWeb App Firewallプロファイルを使用すると、NetScalerがクラッシュすることがあります。

[ NSHELP-35463 ]
有効なセッションの Cookie が別のセッションで再利用されると、Cookie ハイジャック保護機能が意図したとおりに機能しません。NetScalerは要求をブロックせずに許可します。

[ NSHELP-33723 ]

ネットワーク

NetScaler BLXアプライアンスを実行中にアンインストールしても、NetScaler BLX NICの設定がLinuxホストに残っている場合があります。

回避策。アプライアンスをアンインストールする前に、NetScaler BLXアプライアンスを停止してください。

[NSNET-29109]
デフォルト以外のパーティションからルートモニターをバインドすると、「Operation not permitted」というエラーメッセージが表示されます。ただし、対応するルートがデフォルト以外のパーティションに存在する場合、ルートモニターのステータスは UP と表示されます。

[ NSNET-28589 ]
NetScaler BLXをアップグレードした後、新しい「blx.config」ファイルに「blx-managed-host」パラメーターと「ホストIPアドレス」パラメーターがありません。その結果、管理対象ホストの IP アドレスへのアクセスが失われます。

[ NSHELP-36092 ]
NetScalerアプライアンスが「SNMP GETBULK」リクエストに応答しないことがあります。

[ NSHELP-35902 ]
VTYSH ターミナルは、VTYSH プロンプトに戻る前に show コマンド出力の最後に「more」と表示します。この問題は、NetScalerアプライアンスの基盤となるFreeBSD OSがバージョン11.4にアップグレードされたために発生します。

[ NSHELP-35829 ]
管理パーティションの1つを削除すると、NetScalerは他のパーティションのパケットバッファーも削除する場合があります。その結果、パケットバッファーが削除されたパーティションを削除すると、NetScalerがクラッシュすることがあります。

[ NSHELP-35595 ]
大規模NAT（LSN）セットアップでは、LSNフロントエンド接続とバックエンド接続で内部数の不一致があると、NetScalerアプライアンスがクラッシュすることがあります。

[ NSHELP-35318 ]
大規模な統合キャッシュまたは大規模NAT構成を含むNetScalerアプライアンスをリリース12.1または13.0からリリース13.1または14.1にアップグレードすると、パケットエンジンクラッシュからの回復時間は、アップグレード前のバージョンよりも比較的長くなります。

[ NSHELP-33797 ]
高可用性セットアップでは、次の条件がすべて満たされると、ノードの状態が UP になるまでに 60 秒以上かかります：
- HA セットアップではフェイルセーフが有効になっています
- HA モニタリングは複数のインターフェイスで有効になっています
- HA モニタリング対応インターフェイスの 1 つがアクセス不能になる
- HA モニタリングインターフェイスの少なくとも 1 つにアクセス可能
今回の修正により、これらの条件がすべて満たされると、ノードの状態は直ちに UP になります。

[NSHELP-32157]

プラットフォーム

ESXハイパーバイザー上のNetScaler VPXは、VMXNET3インターフェイスでクラッシュする可能性があります。

[NSPLAT-27262、NSHELP-36781、NSCXLCM-3163]
まれに、10G NICを使用してバージョン13.1を実行しているNetScalerが、トラフィックがごくわずかなときにクラッシュすることがあります。

[NSHELP-36274]
Mellanox ConnectX3 NICによるAzureアクセラレーテッドネットワーキングをサポートするNetScaler VPXインスタンスでは、トラフィックが断続的にドロップすることがあります。

[ NSHELP-35666 ]
Intel Fortville NICを搭載したNetScaler SDXでは、VPXインスタンスにFortvilleインターフェイスが追加されるたびに、VPXインスタンスの管理CPU使用率が 1% 増加します。

[ NSHELP-35445, NSCXLCM-768 ]
SSLv3、TLS 1.0、TLS 1.1などの従来のSSLプロトコルを使用してNetScaler SDXでホストされているCitrix Hypervisorにアクセスすることはできなくなりました。

[ NSHELP-33196 ]

SSL

ログファイルが異常に大きいと、NetScalerがクラッシュすることがあります。たとえば、SSL ハンドシェイクログを監視するためにログレベルを DEBUG に設定した場合、ファイルには他のモジュールの詳細なデバッグログも含まれるため、ログファイルのサイズが大幅に増加します。SSL デバッグログは、「nsapimgr」ノブを使用してログレベルを INFO に設定することで取得できます。その結果、ログファイルのサイズも小さくなります。

[ NSSSL-13206 ]
NetScalerのメモリ使用量が高く、構成が頻繁にクリアされる場合、デフォルトのCA証明書グループを削除するとNetScalerがクラッシュすることがあります。

[ NSHELP-35441 ]
クライアントからの再送信されたハンドシェイクフライトの処理中にメモリが適切に解放されないため、NetScalerでDTLSトラフィックのメモリが大量に蓄積されることがあります。

[NSHELP-35359、NSCXLCM-999、NSCXLCM-1968、NSCXLCM-2405、NSCXLCM-2482]
ハイブリッドモードで動作するNetScaler MPX/SDX 14000 FIPSでは、キー交換の一環として破損したデータを受信すると、キーメモリがリセットされることがあります。

[ NSHELP-35020 ]
クライアントアプリケーションが TLS1.3 SSL 接続を介してパディング付きの大きなファイルをアップロードすると、アップロードが失敗することがあります。この障害は、パディングされたバイトが受信バッファから解放されないため、TCP 受信バッファがいっぱいになったために発生します。

[ NSHELP-34490 ]
キー交換中にDH 512暗号を使用すると、Intel ColetoまたはIntel Lewisburgチップを搭載したNetScalerアプライアンスがクラッシュする可能性があります。

[ NSHELP-34094 ]
Coletoチップを搭載したNetScalerプラットフォームでは、ハンドシェイクメッセージのサイズが量子サイズよりも大きいと、SSL再ネゴシエーションハンドシェイクが失敗します。

[ NSHELP-33924 ]
SSL ハンドシェイクで交換されるクライアント、サーバー、および CA 証明書の合計サイズが 16K の制限を超えると、トラフィックが集中しているときに一時的にパフォーマンスに影響が出る可能性があります。

[ NSHELP-33905 ]
SSL_TCP（フロントエンド）仮想サーバーとTCP（バックエンド）サービスを備えたNetScaler展開環境では、クライアント要求が断続的に失敗することがあります。この障害は、NetScalerがフロントエンドで受信したSSLクライアントのHelloメッセージを転送するが、バックエンドでは処理できず、要求が失敗するために発生します。

[ NSHELP-32806 ]
OpenSSL 3.x ベースの TLS クライアントは、RFC 5746 (再ネゴシエーション指示拡張またはセキュア・リネゴシエーション) のサポートに関するクライアントのアドバタイズメントをサーバーが承認しない限り、ハンドシェイクを途中で終了します。フロントエンドの仮想サーバーは、再ネゴシエーションが無効になっている場合、このアドバタイズメントを無視し、接続障害の原因となります。今回の修正により、再ネゴシエーションが無効になっていてもフロントエンドの仮想サーバーがアドバタイズメントを確認するようになり、互換性が向上しました。

[NSHELP-35120]

システム

TLS HTTP/2接続では、事前にTCP FINフラグがない状態でTLSクローズ通知メッセージを受信しても、NetScalerはHTTP/2ゴーアウェイメッセージを送信しません。

[NSHELP-36248]
AppFlowとHTTP圧縮の両方の機能が有効になっていると、NetScalerが誤った応答を送信することがあります。

[ NSHELP-35862 ]
NetScalerは、クライアントTCP接続でCONNECT HTTP要求を受信しても、「407プロキシ認証が必要です」というHTTP応答がすでに送信されている以前のサーバーTCP接続を再利用しません。代わりに、NetScalerは新しいTCP接続でCONNECT HTTPリクエストをバックエンドサーバーに転送します。新しい TCP 接続で要求を転送すると、同じ TCP 接続で複数の HTTP 認証メッセージを交換する必要がある NTLM などのプロキシ認証プロトコルが破られます。

[NSHELP-35717、NSCXLCM-1514、NSCXLCM-1835、NSCXLCM-1910]
まれに、フロントエンド最適化（FEO）機能を有効にするとNetScalerがクラッシュすることがあります。

[ NSHELP-34861 ]
次の条件が満たされると、NetScalerはデータ転送を停止することがあります。
- 複数の機能が有効になっています。
- 複数の機能が TCP または HTTP ペイロードの同じ部分を削除しようとしています。
[NSHELP-33793、NSCXLCM-1512、NSCXLCM-1954]
バックエンドサーバーがHTTPリクエストに対して464エラーを送信すると、NetScalerはそのエラーをクライアントに転送しないため、クライアント側の接続は停止します。

[ NSHELP-33571, NSCXLCM-1098 ]
NetScalerは、HTTPベースの機能が大量のアプリケーションデータをバッファしようとすると、HTTP/2接続でのデータ転送を停止することがあります。

[ NSHELP-32612 ]
SSLサービスで構成されたNetScalerアプライアンスは、アプライアンスがTCP FIN制御パケットの後にTCP RESET制御パケットを受信するとクラッシュします。

[ NSHELP-31656 ]

ユーザーインターフェイス

HA セットアップでは、プライマリノードとセカンダリノードの NSIP アドレスに一意の SSL 証明書があっても、セカンダリノードの証明書はプライマリノードの証明書によって上書きされます。

[ NSHELP-35938 ]
NetScaler GUIでGSLB仮想サーバーを編集すると、負荷分散ポリシーを仮想サーバーにバインドした後、 ポリシーセクションがGSLB仮想サーバーページに表示されません 。

[ NSHELP-35899 ]
SSL デフォルトプロファイルが有効になっている場合、DTLS タイプの負荷分散仮想サーバーの暗号設定を GUI を使用して構成することはできません。

[ NSHELP-35704 ]
CLI または GUI を使用して GSLB 構成を強制的に同期すると、同期が失敗し、次のメッセージが表示されます。「一部のコマンドが失敗しました」。

この問題は、設定で bind DNS グローバルコマンドを使用している場合に発生します。

[ NSHELP-35699 ]
NetScaler ADC インスタンスの作成時には、一部の組み込み構成を使用できません。

[ NSHELP-33451, NSCXLCM-502 ]
NetScaler GUIでは、nFactor認証が失敗し、「認証中にアクティブなポリシーはありません」というエラーが表示されます。この問題は、割り当てアクションが設定されているが、認証ポリシーにバインドされていない場合に発生します。

[ NSHELP-33339 ]

既知の問題

リリース 13.1-50.23 に存在する問題。

分析インフラストラクチャ

クラスタ導入環境では、CCO 以外のノードで「force cluster sync」コマンドを実行すると、ns.log ファイルに重複するログエントリが含まれます。

[NSANINFRA-2850、NSGI-1293]
NetScaler ADMをKubernetesクラスターにインストールすると、必要なプロセスが実行されない可能性があるため、期待どおりに動作しません。

回避策：管理ポッドを再起動します。

[ NSANINFRA-1504 ]

認証、承認、監査

iOS向けCitrix SSOのアップグレード後、認証のために受信するプッシュ通知に音が鳴らないことがあります。

[ NSHELP-27525 ]
管理者は、認証情報が無効であることが原因で発生した認証エラーに対してカスタムロギングを実行することはできません。この問題は、NetScaler Responderポリシーがログインエラーのエラーを検出できないために発生します。

[ NSAUTH-11151 ]
ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。 show adfsproxyprofile <profile name>

回避策：クラスター内のアクティブなプライマリのNetScalerに接続し、show adfsproxyprofile <profile name>コマンドを実行します。プロキシプロファイルの状態が表示されます。

[ NSAUTH-5916 ]
次の手順を実行すると、NetScaler GUIの［認証LDAPサーバーの構成］ページが応答しなくなります。
- [LDAP 到達可能性をテスト] オプションが開きます。
- 無効なログイン認証情報が入力され、送信されます。
- 有効なログイン認証情報が入力され、送信されます。
回避策：「LDAP 到達可能性テスト」オプションを閉じて開きます。

[NSAUTH-2147]

負荷分散

高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

[ NSLB-7679 ]
レート制限レコードの取得とレコードのエージングプロセスの間のタイミングの問題により、NetScalerがクラッシュする可能性があります。

[ NSHELP-33349 ]
いくつかの内部仮想サーバーでモニタープローブが失敗すると、NetScalerがクラッシュすることがあります。

[ NSHELP-30985 ]
ユーザーがドメインベースのサーバーをサービスグループにバインドまたはバインド解除すると、モニタープローブは失敗します。

[ NSHELP-29330 ]
NetScaler GUIを使用して次の手順を実行すると、実行構成に余分なCNAMEレコードが表示されます：
1. DNS レコードタイプ CNAME の GSLB 仮想サーバーを作成します。
2. DNS レコードタイプ CNAME を設定します。
3. 構成を保存します
この問題は表面的なもので、機能には影響しません。

[ NSHELP-29217 ]
entityofs サービスグループのトラップの ServiceGroupName 形式は次のとおりです。 <service(group)name>?<ip/DBS>?<port>

トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (“?”) は区切り文字として使用されます。NetScalerは、疑問符（”?”)。このフォーマットは、NetScaler ADM GUIでも同じように表示されます。これは予想される動作です。

[ NSHELP-28080 ]

NetScaler Gateway

次の条件をすべて満たすと、NetScalerがクラッシュします：
- VPN 仮想サーバーは IPv6 アドレスで構成されます。
- IPv6 仮想サーバーでは、IPv4 IIP アドレスのみ (IPv6 IIP アドレスなし) が設定されます。
[ NSHELP-35559 ]
NetScaler Gateway経由でVPNに接続している場合、アップグレード後にNetScaler GUIにHTTP経由でアクセスできなくなることがあります。

[ NSHELP-35015 ]
スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。

[ NSHELP-21897 ]
Windows OSオプションは、NetScaler GUIの事前認証ポリシーと認証アクションの「エクスプレッションエディタ」ドロップダウンリストに表示されません。ただし、GUIまたはCLIを使用して以前のNetScalerビルドでWindows OSスキャンをすでに構成している場合は、アップグレードしても機能に影響はありません。必要に応じて CLI を使用して変更を加えることができます。

回避方法：

設定には CLI コマンドを使用します。
- nFactor 認証で高度な EPA アクションを設定するには、次のコマンドを使用します。認証 epaAction adv_win_scan-csecexpr「sys.client_expr (「sys_0_win-os_name_Anyof_win-10 [コメント:Windows OS]」)」を追加
- 従来の事前認証アクションを設定するには、次のコマンドを使用します。 add aaa preauthenticationaction win_scan_action ALLOW add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action
[ CGOP-22966 ]
Windowsログオン機能の前に常時接続VPNを使用するには、NetScaler Gatewayを13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を使用できます。

[ CGOP-19355 ]
NetScaler GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

[ CGOP-11830 ]
Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、[ 重大なエラー ] ダイアログボックスが表示されます。また、ページが応答しなくなります。

[ CGOP-7269 ]

NetScaler Secure Web Gateway

URLフィルタリングのサードパーティベンダーで接続の問題が発生した場合、管理CPUの停滞によりNetScalerアプライアンスが再起動することがあります。

[ NSHELP-22409 ]

ネットワーク

NetScaler BLXをアップグレードしても、nitro-pythonパッケージが更新されない場合があります。その結果、アップグレード中に次のエラーが表示されることがあります：

「tar: /var/netscaler/nitro/ns_nitro-python_artesa_xx_xx.tar: アーカイブに見つかりません」

回避方法：

NetScaler BLX をアップグレードする前に、「rm-rf /var/netscaler/nitro/ns_nitro-python_ *.tar」コマンドを実行する必要があります。

[ NSNET-27927 ]
DPDKをサポートするNetScaler BLXアプライアンスでは、DPDKIntel i350 NICポートではタグ付きVLANはサポートされません。これは、DPDK ドライバに存在する既知の問題であるため、確認されています。

[ NSNET-25299 ]
DPDKを搭載したNetScaler BLXアプライアンスは、次の条件をすべて満たすと再起動に失敗することがあります：
- NetScaler BLXアプライアンスには、少数の「巨大ページ」が割り当てられています。たとえば、1G です。
- NetScaler BLXアプライアンスには多数のワーカープロセスが割り当てられています。たとえば、28 と入力します。
この問題は、エラーメッセージとして「/var/log/ns.log」に記録されます。
- 「BLX-DPDK: DPDK メモリプールを PE-x 用に初期化できませんでした」
注:x はワーカープロセス数以下の数です。

回避策：「巨大ページ」を多数割り当ててから、アプライアンスを再起動します。

[ NSNET-25173 ]
DPDKモードのNetScaler BLXアプライアンスは、DPDK簡易機能のため、再起動に少し時間がかかる場合があります。

[ NSNET-24449 ]
DPDKを搭載したNetScaler BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません：
- 無効化
- 有効化
- リセット
[ NSNET-16559 ]
NetScaler BLXアプライアンスのインストールは、DebianベースのLinuxホスト（Ubuntuバージョン18以降）で失敗し、次の依存関係エラーが発生することがあります：

「次のパッケージは依存関係が満たされていません:blx-core-libs: i386: preDepends: libc6: i386 (>= 2.19) でもインストールできません」

回避策：NetScaler BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します：
- dpkg –add-architecture i386
- apt-get update
- apt-get install libc6:i386
[ NSNET-14602 ]
FTPデータ接続の場合、NetScalerアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対してTCP処理は実行しない場合があります。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。

[ NSNET-5233 ]
NetScaler BLXをDPDKサポートで構成すると、NetScaler BLXは一部のファームウェアバージョンのNICでDPDK互換のNICポートを検出できないことがあります。その結果、NICポートは非DPDKポートとしてNetScaler BLXに追加されます。

[ NSHELP-36290 ]
NetScalerアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は管理パーティションの新しいメモリ制限に自動的に設定されます。

[ NSHELP-21082 ]

プラットフォーム

ソフトウェアを 14.1-8.x 以降または 13.1-50.x 以降にアップグレードすると、銅線の 1G SFP トランシーバを備えた 25G インターフェイスがリモートスイッチまたはネットワークデバイスに接続できなくなります。

この問題は、25G NIC を搭載した次のプラットフォームで発生します：
- SDX 9100
- SDX 15000
- SDX 16000
- SDX 26000
- SDX 26000-50S
[ NSPLAT-27864 ]
Azureリソースグループからオートスケール設定または仮想マシンスケールセットを削除する場合は、対応するクラウドプロファイル構成をNetScalerインスタンスから削除します。「rm cloudprofile」コマンドを使用してプロファイルを削除します。

[ NSPLAT-4520 ]
Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノードで設定する必要があります。

[ NSPLAT-4451 ]
高可用性セットアップのセカンダリNetScaler SDXが共有CPUコアで構成され、高可用性ハートビートがVLAN経由で交換される場合、プライマリノードへの移行は失敗します。

[NSHELP-32412、NSCXLCM-789、NSCXLCM-1847、NSCXLCM-2063、NSHELP-36440]

ポリシー

処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

回避策:TCP バッファサイズを処理する必要があるデータの最大サイズに設定します。

[ NSPOLICY-1267 ]

SSL

NetScaler SDX 22000アプライアンスとNetScaler SDX 26000アプライアンスの異機種クラスタでは、SDX 26000アプライアンスを再起動するとSSLエンティティの構成が失われます。

回避方法：
1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例：set ssl vserver <name> -SSL3 DISABLED。
2. 構成を保存します。
[ NSSSL-9572 ]
認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

[ NSSSL-6478 ]
同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。NetScalerアプライアンスはエラーを返しません。

[ NSSSL-6213 ]
HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。エラー:CRL 更新は無効です

[ NSSSL-6106 ]
セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

[ NSSSL-4427 ]
SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。

[ NSSSL-4001 ]
期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。

[ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]

システム

次の条件が満たされると、TCP 接続で高い RTT が発生します：
- 最大輻輳ウィンドウ（> 4 MB）が高く設定されている
- TCP NILE アルゴリズムは有効になっています
NetScalerアプライアンスがNILEアルゴリズムを使用して輻輳制御を行うには、条件がスロースタートのしきい値と最大輻輳ウィンドウを合わせた値を超える必要があります

そのため、設定された最大輻輳時間帯に達するまで、NetScalerはデータを受け付け続け、最終的にはRTTが高くなります。

[ NSHELP-31548 ]
mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。

[NSBASE-18295]
unset nstcpprofile コマンドを使用してTCPプロファイルパラメーターの設定を解除すると、NetScalerがコアをダンプすることがあります。

回避策：代わりに、目的のパラメーター値を指定したset nstcpprofileコマンドを使用してください。

[NSBASE-18724]
まれに、次の条件がすべて満たされると、NetScalerがHTTP/2クライアント接続で内部エラーでHTTP/2 GoAwayフレームを開始することがあります：
- クライアントまたはバックエンドサーバーは、クライアントの HTTP/2 接続で最後の WebSocket または Connect ストリームを閉じようとします。
- 多重化は有効になっています。
このエラーは、クライアントの HTTP/2 接続で進行中のトランザクションには影響しません。

回避策:以下のコマンドを使用して、関連する HTTP/2 プロファイルの接続多重化を無効にします：

“set httpProfile <name> [-conMultiplex ( ENABLED DISABLED )]”

[NSBASE-17449]
InsightのLogStream転送タイプが構成されている場合、HDX Insight SkipFlowレコードではクライアントIPとサーバーIPが逆になります。

[NSBASE-8506]

ユーザーインターフェイス

GUIを使用してテクニカルサポートバンドルをCitrix テクニカルサポートサーバーにアップロードすることはできません。

回避策：CLI を使用してテクニカルサポートバンドルをアップロードします。

[ NSUI-19315 ]
NetScaler GUIでは、「ダッシュボード」タブの下にある「ヘルプ」リンクが壊れています。

[ NSUI-14752 ]
CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。

回避策：NetScaler GUI または CLI を使用して IPsec プロファイル、IP トンネル、および PBR ルールを追加してCloudBridge Connectorを構成します。

[ NSUI-13024 ]
GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。

[ NSUI-6838 ]
GUIを使用してNetScalerをアップグレードすると、GUIまたはSSHを使用してシステムアップグレードページにアクセスできなくなります。

[ NSHELP-35785 ]
次の条件が満たされると、ユーザーはダウングレードされたNetScalerアプライアンスにログインできないことがあります：
1. 次の手順のいずれかを実行します。
  - 現在のビルドにアップグレードしたら、システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更して、設定を保存します。
  - 現在のビルドで新しいNetScaler VPX、BLX、またはCPXインスタンスをプロビジョニングします。
2. アプライアンスを以下のいずれかのビルドにダウングレードします。
  - 13.1-4.x
  - 13.0-82.x またはそれ以前
  - 12.1-62.x またはそれ以前
ダウングレード後に影響を受けたユーザーのリストを表示するには、コマンドプロンプトに「 query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>] 回避策:影響を受けたユーザーのパスワードをリセットする」と入力します。詳細については、「 [ルート管理者 (nsroot) のパスワードをリセットする方法](https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html」を参照してください。注:以前にアップグレードしたビルドをダウングレードする場合は、ダウングレード中に、以前のビルドのバックアップされた構成ファイル (ns.conf) を使用してこの問題を回避してください。

[NSCONFIG-8068]
次の条件が満たされると、ユーザーはダウングレードされたNetScalerアプライアンスにログインできないことがあります：
1. 次の手順のいずれかを実行します。
  - 現在のビルドにアップグレードしたら、システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更して、設定を保存します。
  - 現在のビルドで新しいVPX、BLX、またはCPXインスタンスをプロビジョニングします。
2. アプライアンスを以下のいずれかのビルドにダウングレードします。
  - 13.0-47.x またはそれ以前
  - 12.1-56.x またはそれ以前
  - 11.1-64.x またはそれ以前
ダウングレード後に影響を受けるユーザーのリストを表示するには、コマンドプロンプトで次のように入力します。

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

回避策:影響を受けるユーザーのパスワードをリセットします。詳細については、「 [ルート管理者 (nsroot) のパスワードをリセットする方法](https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html」を参照してください。

注:以前にアップグレードしたビルドをダウングレードする場合は、ダウングレード中に以前のビルドのバックアップされた構成ファイル (ns.conf) を使用してこの問題を回避してください。

[ NSCONFIG-3188 ]

このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。

NetScaler 13.1-50.23 ビルドのリリースノート

February 15, 2024

寄稿者:

February 15, 2024

寄稿者: