ADC

NetScaler ADC 13.0-89.7 リリースのリリースノート

このリリースノートドキュメントでは、NetScaler ADCリリースビルド13.0-89.7の機能強化と変更、修正された問題と既知の問題について説明します。

メモ

  • このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。

新機能

ビルド 13.0-89.7 で利用できる機能強化と変更。

NetScaler SDXアプライアンス

  • VPXのプロビジョニングまたは編集中は、「ゲートウェイ」フィールドと「ネクストホップ」フィールドはオプションです

    NetScaler ADC SDXアプライアンス管理サービスでは、次の条件が満たされると、VPXのプロビジョニング、編集、バックアップ、または復元に「ゲートウェイ」フィールドと「ネクストホップ」フィールドが必須ではなくなります。

    • 次のいずれかのオプションに該当します。
      • VPXでは「内部ネットワーク経由の管理」が有効になっています。
      • VPX IPアドレスは、管理サービスのIPアドレスと同じサブネットにあります。
    • VPXは、バージョン13.0-88.9または13.1-37.8、およびそれらの上位バージョンでプロビジョニングされます。

    詳しくは、「 NetScaler ADC インスタンスのプロビジョニング」を参照してください。

    [NSSVM-5307]

  • ディスクの存在を正しく表示するための機能強化

    NetScaler ADC SDXアプライアンス上のディスクの状態を判断するための機能が強化されました。ディスクが存在するときに、ディスクの状態が正しく表示されるようになりました。

    [NSSVM-5252]

Citrix Gateway

  • 認証クッキーの HTTPOnly フラグのサポート

    VPN シナリオの認証クッキー、つまり NSC_認証、承認、および監査CおよびNSC_TMAS クッキーで HttpOnly フラグがサポートされるようになりました。NSC_TMAS 認証Cookie は nFactor 認証時に使用され、NSC_Authentication、承認、および AuditingC Cookie は認証セッションに使用されます。Cookie の HTTPOnlyFlag は、JavaScript ドキュメントのCookie オプションを使用してCookie へのアクセスを制限します。これにより、クロスサイトスクリプティングによる Cookie の盗難を防ぐことができます。

    [ CGOP-14004 ]

ユーザーインターフェイス

  • systemfile NITRO API の 8 MB のアップロード制限サポート

    systemfile NITRO API の最大アップロード制限が 2 MB から 8 MB に引き上げられました。

    [NSCONFIG-7089]

解決された問題

ビルド 13.0-89.7 で対処されている問題

AppFlow

  • AppFlowを構成すると、アプライアンスがバックエンドサーバーから空のHTTPチャンク応答を受信すると、NetScaler ADCアプライアンスはTCP接続をリセットします。

    この問題は、関連する AppFlow アクションの「ClientSideMeasurements」パラメーターが有効になっている場合に発生します。

    [ NSHELP-32250 ]

認証、承認、監査

  • NetScaler Gateway GSLBセットアップでは、次の条件が満たされると、GSLBサイト間のプロキシ接続ループが検出されることがあります。

    • すべてのGSLBサイトが同じバージョンではありません。
    • NetScaler Gateway は高度な認証を使用して構成されています。

    [ NSHELP-32487 ]

  • LDAP認証とSAML認証の両方がカスケードで構成されている場合、ログオン中にエラーページが表示されます。

    [NSHELP-32378]

  • SAML 認証が設定されている場合、ログアウト時に問題が発生する可能性があります。

    [ NSHELP-31962 ]

  • NetScaler ADC GUIには、VPN仮想サーバーにバインドされたデフォルトのキャッシュポリシーは表示されません。

    [NSHELP-26874]

Citrix Gateway

  • 一部のVPNセッションは、フェイルオーバー後にセカンダリADCアプライアンスからクリアまたは削除されることがあります。

    [ NSHELP-33125 ]

  • NetScaler Gateway アプライアンスのポートが不足しているため、アプリケーションをNetScaler Gateway経由で起動できない場合があります。

    [ NSHELP-32418 ]

  • クライアントレスVPNアクセス用に構成されたNetScaler Gateway アプライアンスは、ダミーセッションの処理中にクラッシュする可能性があります。

    [ NSHELP-32399 ]

  • HDX Insightが有効になっていると、NetScaler Gatewayアプライアンスがクラッシュする可能性があります。

    [ NSHELP-32120 ]

  • Gateway Insight の認証失敗レコードには、NOAUTH が第 1 要素として設定されていて、認証情報が無効であるために 2 番目の要素認証が失敗した場合、ユーザー名は「匿名」と表示されます。この問題は、nFactor ビジュアライザーでは設計上、1 番目のファクターが NOAUTH として設定されているため、nFactor ビジュアライザーを使用して構成を実行した場合にのみ発生します。

    [ NSHELP-31795 ]

  • NetScaler ADC アプライアンスで GSLB が有効になっていると、macOS 用の Citrix EPA プラグインがクラッシュします。

    [ CGOP-22722 ]

  • 「show vpn icaconnection」コマンドでは、ICA接続のシリアル番号が正しく表示されません。この問題は、「show vpn icaconnection」コマンドの実行時にシリアル番号が任意にリセットされるために発生します。

    [ CGOP-22205 ]

Citrix Web App Firewall

  • cookieHijackingActionをブロック、ログ、または統計に設定すると、NetScaler ADCアプライアンスでメモリリークが発生します。

    [ NSHELP-33187 ]

負荷分散

  • GSLB仮想サーバーで次の設定が構成されている場合、NetScaler ADCアプライアンスはGSLBドメインクエリの正しいサービスIPアドレスで応答しません。

    1. ECS オプションは有効です。
    2. 静的近接は負荷分散方法として設定されます。

    [NSHELP-32879]

  • 永続性エントリが存在し、多数のダミー負荷分散仮想サーバーとグループ仮想サーバーが構成されている場合、NetScaler ADCアプライアンスがクリア構成中にクラッシュする可能性があります。

    [ NSHELP-30051 ]

  • 高可用性セットアップでは、次の条件が満たされると、セカンダリノードがクラッシュする可能性があります。

    • 両方のノードの物理メモリの容量は、互いに異なります。
    • データセッションが正しく同期されていません。

    [ NSHELP-26503, NSHELP-34114 ]

ネットワーク

  • NetScaler ADC BLX クラスタのセットアップで、次の条件が満たされると VTYSH が起動しないことがあります。

    • Linuxホストが再起動すると、NetScaler ADC BLXルートヘルスインジェクション(RHI)プロセスのオーダーループが発生します。

    [ NSHELP-32473 ]

  • 仮想サーバーを削除すると、次の条件が満たされると、NetScaler ADCアプライアンスは関連するVIP RHIの状態を誤ってDOWNに設定します。

    • 仮想サーバーにはバックアップ仮想サーバーがあります。
    • 仮想サーバは DOWN 状態で、少なくとも 1 つのバックアップ仮想サーバが UP 状態です。

    [ NSHELP-29972 ]

SSL

  • クラスタIP(CLIP)アドレスを介してアクセスされるNetScaler ADC GUIには、SSL仮想サーバーへのサーバー証明書バインディングは表示されません。

    [ NSHELP-31602 ]

  • 有効な CA 証明書がデフォルトの証明書バンドルに存在しない場合、SSL インターセプト中に OCSP 応答検証が失敗することがあります。この失敗は、設定された証明書バンドルの代わりにデフォルトの証明書バンドルを使用して OCSP 応答検証が誤って行われたことが原因です。

    [ NSHELP-30594 ]

システム

  • NetScaler ADCアプライアンスは、解放されたICAP上のリソースにアクセスしようとするとクラッシュする可能性があります。この状態は、ICAP が応答修正 (RESPMOD) モードの場合に発生します。

    [ NSHELP-33403 ]

  • NetScaler ADCアプライアンスは、パーティションからログストリームデータを一貫して送信することができません。

    [ NSHELP-33237 ]

  • NetScaler ADCアプライアンスは、チャンクされた値の解析に失敗すると接続を中止します。この問題は、Transfer-Encoding ヘッダーに複数の値があり、Chunked が最初の値ではない場合に発生します。

    [NSHELP-32420]

  • SSLサービスで構成されたNetScaler ADCアプライアンスは、アプライアンスがTCP FIN制御パケットとそれに続くTCP RESET制御パケットを受信するとクラッシュします。

    [NSHELP-31656]

  • NetScaler ADCアプライアンスはICA接続をトレースできません。この問題の原因は、パケットキャプチャ中に IP または PORT フィルタを「start nstrace」と共に使用すると、「nstrace」が一部のパケットを除外してしまうためです。

    [ NSHELP-29009 ]

ユーザーインターフェイス

  • Management Service ライセンスページでは、ライセンスノードにアクセスしたり更新したりしても、プールされたライセンス情報は更新されません。代わりに、プールされたライセンス情報は、ログアウトして再度ログインしたときにのみ更新されます。

    [ NSHELP-33203 ]

  • ユーザーがコンテンツスイッチングポリシーのバインドを表示しても、コンテンツスイッチング仮想サーバーの詳細は [ バインディングの表示] の同じ行に表示されません。

    [ NSHELP-33149 ]

  • シャットダウン時の NITRO API でのパワーオフオプションのサポート

    shutdown NITRO APIは、NetScaler ADCアプライアンスをシャットダウンして電源を切る「-p now」オプションをサポートするようになりました。

    例:

    次のcurlリクエストの例では、 shutdown NITRO APIを「-p now」オプションとともに使用して、IPアドレス192.0.0.33のNetScaler ADCアプライアンスをシャットダウンして電源を切ります。

    `curl -v -X POST -H Content-Type: application/json -u nsroot:examplepassword http://192.0.0.33/nitro/v1/config/install?warning=yes -d ‘{“shutdown”: {“args”:”-p now”}}’`

    [NSHELP-32915]

  • ユーザーがトラフィックポリシーをコンテンツスイッチングまたは負荷分散仮想サーバーにバインドしても、バインディングの詳細は GUI に表示されません。

    [ NSHELP-32751 ]

  • 管理パーティションのあるNetScaler ADCアプライアンスでは、パーティション内の「ns」パラメータ設定は再起動後に失われます。この状態は、組み込み構成が間違っているために発生します。

    [ NSHELP-32486 ]

  • NetScaler ADC GUIで、 [システム] > [SNMP] > [トラップ] の下に既存のSNMPトラップ宛先がある場合、その宛先の編集に失敗し、次のエラーメッセージが表示されます。

    • 「SNMP トラップを取得中にエラーが発生しました」

    [NSHELP-3161]

  • 高可用性セットアップでは、HA 構成の同期後に暗号化された構成がセカンダリノードで失われます。

    [ NSHELP-30897 ]

既知の問題

リリース13.0-89.7に存在する問題

認証、承認、監査

  • SSO の処理に必要なベアラートークンがないトラフィックで SSO が有効になっていると、シングルサインオン (SSO) が失敗します。

    [ NSHELP-31362 ]

  • LDAP アクションが IP アドレスではなく FQDN に設定されている場合、非 ASCII 文字が nsvpn.log に記録されます。

    [ NSHELP-27281 ]

  • 特定のシナリオでは、ポリシー名がイントラネットアプリケーション名よりも長い場合、[認証、承認、および監査グループのバインド] コマンドが失敗することがあります。

    [ NSHELP-25971 ]

  • NetScalerアプライアンスは、NOAUTHが401ベースの認証フローの最初の要素として構成され、後続の要素としてネゴシエートが構成されている場合にコアをダンプします。

    [ NSHELP-25203 ]

  • LDAP、RADIUS、またはTACACSサービスの管理者パスワードに二重引用符(”)文字が含まれている場合、NetScalerアプライアンスは「接続テスト」チェック中に二重引用符(”)文字を削除し、接続に失敗します。

    [ NSHELP-23630 ]

  • NetScaler ADCアプライアンスでコンテンツセキュリティポリシー(CSP)機能が有効になっている場合、DUO認証は失敗します。

    [NSAUTH-12687]

  • 管理者は、認証情報が無効であることが原因で発生した認証エラーのカスタムロギングを実行できません。この問題は、NetScaler レスポンダーポリシーがログイン失敗のエラーを検出できないために発生します。

    [ NSAUTH-11151 ]

  • ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
    show adfsproxyprofile <profile name>

    回避策:クラスター内のプライマリアクティブNetScalerに接続し、 show adfsproxyprofile <profile name> コマンドを実行します。プロキシプロファイルの状態が表示されます。

    [ NSAUTH-5916 ]

NetScaler SDXアプライアンス

  • NetScaler SDXアプライアンスをアップグレードすると、まれに管理サービスGUIに次の誤ったイベントが表示されることがあります。

    「SVM バージョンとハイパーバイザーバージョンには互換性がありません」

    [ NSHELP-32949 ]

  • NetScaler SDX GUIで、NTP構成ファイル(ntp.conf)のいずれかの行にスペースしか含まれていない場合、NTPサーバーを表示するとユーザーインターフェイスがフリーズする可能性があります。

    [ NSHELP-31530 ]

Citrix Gateway

  • Citrix Secure Access関連のレジストリ値が1500文字を超えると、ログコレクターはエラーログを収集できません。

    [ NSHELP-33457 ]

  • Citrix Secure Accessクライアントのバージョン21.7.1.2以降では、管理者権限のないユーザーが新しいバージョンにアップグレードできません。この問題は、Citrix Secure AccessクライアントのアップグレードがNetScalerアプライアンスから行われた場合にのみ発生します。

    [ NSHELP-32793 ]

  • ユーザーがWindows向けCitrix Secure Access画面の[ホームページ]タブをクリックすると、ページに接続拒否エラーが表示されます。

    [ NSHELP-32510 ]

  • Chrome を使用する Mac デバイスで、2 つの FQDN にアクセス中に VPN 拡張機能がクラッシュします。

    [ NSHELP-32144 ]

  • Citrix Secure Accessクライアントのデバッグログ制御は、NetScaler Gateway に依存せず、マシントンネルとユーザートンネルの両方のプラグインUIから有効または無効にできるようになりました。

    [ NSHELP-31357, CGOP-21192 ]

  • Always on が設定されている場合、aoservice.exe ファイルのバージョン番号(1.1.1.1)が正しくないため、ユーザトンネルが失敗します。

    [ NSHELP-30662 ]

  • [NetworkAccessonVPNFailure]プロファイルパラメーターを[フルアクセス]から[OnlyToGateway]に変更すると、ユーザーはNetScaler Gateway アプライアンスに接続できなくなります。

    [ NSHELP-30236 ]

  • ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。この問題を解決するために、次のレジストリ値が導入されます。

    HKLMSoftwareCitrixSecure Access ClientSecureChannelResetTimeoutSeconds
    タイプ: DWORD

    デフォルトでは、このレジストリ値は設定も追加もされません。「SecureChannelResetTimeoutSeconds」の値が0または追加されていない場合、遅延を処理するための修正が機能しません。これはデフォルトの動作です。管理者は、このレジストリをクライアントに設定して修正を有効にする必要があります (つまり、ゲートウェイプラグインが VPN トンネルを正常に確立した直後にホームページを表示する)。

    [ NSHELP-30189 ]

  • Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。

    [ NSHELP-29675 ]

  • macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。

    [ NSHELP-28551 ]

  • クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にNetScaler Gateway からログアウトすることがあります。

    [ NSHELP-28404 ]

  • NetScaler Gateway アプライアンスは、サーバーが開始するUDPトラフィックの処理中にクラッシュすることがあります。

    [ NSHELP-27611 ]

  • 非同期がブロックされ、コンテンツスイッチングポリシーの構成を変更すると、NetScaler Gateway アプライアンスがクラッシュすることがあります。

    [ NSHELP-27570 ]

  • セッションポリシーで不明なVPNクライアントオプションが設定されている場合、NetScaler Gateway アプライアンスがクラッシュすることがあります。

    [ NSHELP-27380 ]

  • NetScaler GUIを使用してRDPクライアントプロファイルを作成しているときに、次の条件が満たされるとエラーメッセージが表示されます。

    • デフォルトの事前共有キー (PSK) が設定されています。
    • [RDP クッキー有効期間 (秒)] フィールドの RDP クッキー有効性タイマーを変更しようとしています。

    [ NSHELP-25694 ]

  • Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。

    [NSHELP-23937]

  • 「show tunnel global」コマンドの出力には、詳細なポリシー名が含まれます。以前は、出力には高度なポリシー名が表示されませんでした。

    例:

    新しい出力:

    show tunnel global
    Policy Name: ns_tunnel_nocmp Priority: 0

    ポリシー名:ns_adv_tunnel_nocmp タイプ:
    詳細ポリシー優先度:1
    グローバルバインドポイント:REQ_DEFAULT

    ポリシー名:ns_adv_tunnel_msdocs タイプ:
    詳細ポリシー優先度:100
    グローバルバインドポイント:RES_DEFAULT
    完了

    前の出力:

    トンネルグローバル表示ポリシー名:ns_tunnel_nocmp 優先度:0 無効

    高度なポリシー:

    グローバルバインドポイント:REQ_DEFAULT
    バインドされたポリシーの数:1

    Done

    [ NSHELP-23496 ]

  • スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。

    [ NSHELP-21897 ]

  • Windows OSオプションは、NetScaler GUIの事前認証ポリシーと認証アクションの「エクスプレッションエディタ」ドロップダウンリストに表示されません。ただし、GUIまたはCLIを使用して以前のNetScalerビルドでWindows OSスキャンをすでに構成している場合は、アップグレードしても機能に影響はありません。必要に応じて CLI を使用して変更できます。

    回避方法:

    設定には CLI コマンドを使用します。

    • nFactor 認証で高度な EPA アクションを設定するには、次のコマンドを使用します。
      add authentication epaAction adv_win_scan -csecexpr “sys.client_expr(“sys_0_WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]”)”
    • 従来の事前認証アクションを設定するには、次のコマンドを使用します。
      add aaa preauthenticationaction win_scan_action ALLOW
      add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action

    [ CGOP-22966 ]

  • NetScalerクラスター設定では、HDX InsightとGateway Insightを同時に有効にすることはできません。

    [ CGOP-22849 ]

  • 無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight では報告されません。

    [ CGOP-13621 ]

  • Gateway Insight レポートでは、SAML エラーエラーの認証タイプフィールドに「SAML」ではなく「Local」という値が誤って表示されます。

    [ CGOP-13584 ]

  • 高可用性セットアップでは、NetScaler フェイルオーバー中に、NetScaler ADM フェールオーバー数の代わりにストレージリポジトリ数が増加します。

    [ CGOP-13511 ]

  • ブラウザからローカルホスト接続を受け付けると、macOS の Accept Connection ダイアログボックスには、選択した言語に関係なく英語でコンテンツが表示されます。

    [ CGOP-13050 ]

  • 一部の言語では、 Citrix SSOアプリ>ホームページの「ホームページ 」というテキストが切り捨てられます。

    [ CGOP-13049 ]

  • NetScaler GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

    [ CGOP-11830 ]

  • Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。

    [ CGOP-7269 ]

負荷分散

  • 高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

    [ NSLB-7679 ]

  • 特定のシナリオでは、サービスグループにバインドされたサーバーが、無効な Cookie 値を表示します。トレースログで正しい Cookie 値を確認できます。

    [ NSHELP-21196 ]

  • クラスター設定では、GSLB仮想サーバーバインディングを介してアクセスすると、GSLBサービスのIPアドレスがGUIに表示されません。これは表示上の問題であり、機能に影響はありません。

    [ NSHELP-20406 ]

その他

  • NetScalerアプライアンスは、Webサーバーのログ機能のバッファーサイズを16MBではなく3MBという誤ったデフォルト値に設定しています。

    [ NSHELP-32429 ]

  • レジストリ値が 2000 バイトを超えると、AlwaysOnAllow リストレジストリが期待どおりに動作しません。

    [ NSHELP-31836 ]

  • 64ビットアーキテクチャと1 TBのファイルストレージを備えたLinuxシステムで実行されているNetScaler CPXインスタンスは、証明書とキーファイルをロードできるようになりました。

    [ NSHELP-28986 ]

ネットワーク

  • NetScaler BLXアプライアンスでは、タグ付きの非dpdkインターフェイスでバインドされたNSVLANが期待どおりに機能しない場合があります。タグ付けされていない非dpdkインタフェースでバインドされたNSVLANは正常に動作します。

    [ NSNET-18586 ]

  • DPDKを搭載したNetScaler BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません。

    • 無効化
    • 有効化
    • リセット

    [ NSNET-16559 ]

  • Debian ベースの Linux ホスト (Ubuntu バージョン 18 以降) では、NetScaler BLX アプライアンスは BLX 構成ファイル (「/etc/blx/blx.conf」) の設定に関係なく、常に共有モードでデプロイされます。この問題は、Debian ベースの Linux システムにデフォルトで存在する「mawk」が、「blx.conf」ファイル内にある awk コマンドの一部を実行しないために発生します。

    回避策:NetScaler BLX アプライアンスをインストールする前に「gawk」をインストールしてください。Linux ホスト CLI で次のコマンドを実行して「gawk」をインストールできます。

    • apt-get install gawk

    [ NSNET-14603 ]

  • Debian ベースのLinuxホスト(Ubuntuバージョン18以降)でNetScaler BLXアプライアンスのインストールが失敗し、次の依存関係エラーが表示されることがあります。

    「次のパッケージの依存関係は満たされていません:blx-core-libs: i386: preDepends: libc6: i386 (>= 2.19) しかしインストールできません」

    回避策:NetScaler BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。

    • dpkg –add-architecture i386
    • apt-get update
    • apt-get install libc6:i386

    [ NSNET-14602 ]

  • 大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にNetScalerアプライアンスがクラッシュすることがあります。

    • LSN モジュールは、参照カウントのデクリメント中、またはサービスを削除している間は、サービスを検索しません。

    [ NSHELP-29134 ]

  • 大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にNetScalerアプライアンスがクラッシュすることがあります。

    • 古いフィルタリングエントリが原因です。

    [ NSHELP-28895 ]

  • 大規模なNAT44展開では、次の理由により、SIPトラフィックの受信中にNetScalerアプライアンスがクラッシュすることがあります。

    • LSN モジュールが、既に削除されたサービスのメモリ位置にアクセスしました。

    [ NSHELP-28815 ]

  • 高可用性設定では、次の条件が満たされた場合、ダイナミックルーティングが有効な SNIP アドレスは再起動時に VTYSH に公開されません。

    • ダイナミックルーティングが有効になっている SNIP アドレスは、デフォルト以外のパーティションの共有 VLAN にバインドされます。

    修正の一環として、NetScalerアプライアンスでは、動的ルーティングが有効なSNIPアドレスをデフォルト以外のパーティションの共有VLANにバインドできなくなりました

    [ NSHELP-24000 ]

プラットフォーム

  • 高可用性フェイルオーバーは AWS および GCP クラウドでは機能しません。AWS および GCP クラウド、および NetScaler VPX オンプレミスでは、管理 CPU が 100% の容量に達する可能性があります。これらの問題はいずれも、次の条件が満たされた場合に発生します。

    1. NetScalerアプライアンスの初回起動時には、プロンプトが表示されたパスワードは保存されません。
    2. その後、NetScalerアプライアンスを再起動します。

    [ NSPLAT-22013 ]

  • NetScalerアプライアンスを13.1-4.xバージョン以降のバージョンから次のバージョンのいずれかにダウングレードすると、一部のpythonパッケージがインストールされません。

    • 任意の 11.1 ビルド
    • 12.1-62.21 およびそれ以前
    • 13.0-81.x およびそれ以前

    [ NSPLAT-21691 ]

  • NetScaler SDX 8015/8400/8600プラットフォームでは、Xenサーバーのメモリ消費量が増加する可能性があります。
    回避策:Xen Serverで次のコマンドを実行し、アプライアンスを再起動します。
    /opt/xensource/libexec/xen-cmdline –set-xen “dom0_mem=1024M,max:1024M”

    [ NSHELP-32260 ]

  • NetScaler VPX HA フェイルオーバー中に、IP セットを IP アドレスにバインドせずに IPset を構成すると、AWS クラウドでの Elastic IP アドレスの移動が失敗します。

    [ NSHELP-29425 ]

  • RPC ノードのパスワードに特殊文字が含まれていると、GCP および AWS クラウド上の NetScaler VPX インスタンスの高可用性フェイルオーバーが失敗します。

    [ NSHELP-28600 ]

ポリシー

  • 処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

    回避策: TCP バッファサイズを、処理する必要のあるデータの最大サイズに設定します。

    [ NSPOLICY-1267 ]

SSL

  • 仮想サーバーは、無効なパディングを含む TLS 1.3 レコードを受信すると、「予期しないメッセージ」アラートの代わりに、致命的な「decode_error」アラートを送信します。

    [ NSSSL-11890 ]

  • NetScaler SDX 22000およびNetScaler SDX 26000アプライアンスの異種クラスタでは、SDX 26000アプライアンスが再起動されると、SSLエンティティの構成が失われます。

    回避方法:

    1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:set ssl vserver <name> -SSL3 DISABLED
    2. 構成を保存します。

    [ NSSSL-9572 ]

  • 認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

    [ NSSSL-6478 ]

  • 同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。NetScalerアプライアンスはエラーを返しません。

    [ NSSSL-6213 ]

  • HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。
    エラー:CRL 更新が無効です

    [ NSSSL-6106 ]

  • セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

    [ NSSSL-4427 ]

  • SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。

    [ NSSSL-4001 ]

システム

  • NetScalerアプライアンスでは、HTTPプロファイルの「maxHeaderFieldLen」パラメーターのデフォルト値によって次の問題が発生します。

    • 13.0ビルドにアップグレードした後のトラフィック障害。

    [ NSHELP-32079 ]

  • 次の条件が満たされると、TCP 接続の RTT が高くなります。

    • 最大輻輳ウィンドウ(> 4 MB)が高く設定されている
    • TCP NILE アルゴリズムは有効になっています

    NetScalerアプライアンスがNILEアルゴリズムを使用して輻輳制御を行うには、条件がスロースタートしきい値を超える必要があります。これは、最大輻輳ウィンドウと組み合わされています。

    そのため、設定された最大輻輳ウィンドウに達するまで、NetScalerは引き続きデータを受け入れ、RTTが高くなります。

    [ NSHELP-31548 ]

  • 次の条件が満たされると、NetScalerアプライアンスがクラッシュすることがあります。

    • 分析プロファイルとAppFlowポリシーの両方がバインドされており、プロファイルでは「HttpAllHDRs」オプションが有効になっています。

    [ NSHELP-30628 ]

  • NetScalerアプライアンスは、サービスSYNフラッドカウンターで誤ったSNMPアラームを報告します。

    [ NSHELP-28710, NSHELP-28713 ]

  • パブリッククラウド MPTCP クラスタの展開では、リンクセットが無効になっていると、パケットの再送信が増加します。

    [ NSHELP-27410 ]

  • NetScalerアプライアンスは、MPTCP接続で、SACKブロック、タイムスタンプ、MPTCPデータACKなどのTCPオプションとともに、無効なTCPパケットを送信することがあります。

    [ NSHELP-27179 ]

  • NetScalerアプライアンスとデータローダーで、Logstreamレコードに不一致が見られます。

    [ NSHELP-25796 ]

  • 特定のシナリオでは、IP アドレスベースのフィルタを適用すると、nstrace パケットキャプチャですべてのパケットが失われます。

    [NSHELP-23483]

  • KubernetesクラスタにNetScaler ADMをインストールすると、必要なプロセスが起動しない可能性があるため、期待どおりに動作しません。

    回避策:管理ポッドを再起動します。

    [ NSBASE-15556 ]

  • クラスタ構成では、ネットワークの問題により、CCO 優先度のノードが Open vSwitch (OVS) から切断されます。ノードがクラスタ構成に再参加した後は、最新の SYN Cookie を受信しません。

    [ NSBASE-14419 ]

ユーザーインターフェイス

  • CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。

    回避策: NetScaler GUI または CLI を使用して IPsec プロファイル、IP トンネル、および PBR ルールを追加して、Cloudbridge Connectorを構成します。

    [ NSUI-13024 ]

  • NetScaler GUI([システム] > [ネットワーク] > [ルート])を使用して静的ルートを変更すると、次のエラーメッセージが表示されて誤って失敗することがあります。

    • 「必要な引数が見つかりません [ゲートウェイ]」

    [ NSHELP-32024 ]

  • HA/Cluster セットアップでは、RSA 以外の SSH キーを設定すると、設定の同期が失敗します。たとえば、ECDSA キーや DSA キーなどです。

    [ NSHELP-31675 ]

  • NetScalerアプライアンスで、GUIインターフェイスを使用してグローバルまたはデフォルトグローバルをオーバーライドするようにキャッシュポリシーをバインドすると、次のエラーで失敗します。

    • 必須の引数がありません。

    このエラーは、CLI インターフェイスを使用してキャッシュポリシーをバインドしている間は発生しません。

    [ NSHELP-30826 ]

  • アップグレードのインストール順序が正しくないため、NetScalerアプライアンスで次の問題が発生します。

    • カーネルイメージが最初に更新され、数ステップ後に暗号化キーがコピーされます。これらの手順の間に何らかの障害が発生し、ADCアプライアンスが新しいイメージを作成します。新しいイメージに暗号化キーがないと、復号化に失敗し、設定が失われます。

    [ NSHELP-30755 ]

  • NetScaler GUI が、すべてのクラスタノードではなく1つのノードのみのクラスタテクニカルサポートバンドルを誤って生成することがある。

    [ NSHELP-28606 ]

  • NetScaler GUI を使用してクラスターテクニカルサポートバンドルを生成すると、エラーが発生して失敗することがあります。

    [ NSHELP-28586 ]

  • 高可用性セットアップまたはクラスタセットアップをリリース 13.0 ビルド 74.14 以降にアップグレードすると、次の理由で設定の同期が失敗することがあります。

    • 「ssh_host_rsa_key」プライベートキーとパブリックキーの両方が正しくないペアです。

    回避策:「ssh_host_rsa_key」を再生成してください。詳細は、https://support.citrix.com/article/CTX322863を参照してください。

    [ NSHELP-27834 ]

  • NetScaler GUIを使用して、サービスまたはサービスグループを優先負荷分散仮想サーバーにバインドすることはできません。

    [ NSHELP-27252 ]

  • 高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。

    • HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。

    回避策:HA 同期が完了した後にのみ、手動で HA フェイルオーバーを連続して実行してください(両方のノードが同期成功状態になっています)。

    [ NSHELP-25598 ]

  • アプリケーションファイアウォールのシグネチャが CCO 以外のノードと同期するまでに時間がかかることがあります。その結果、これらのファイルを使用するコマンドは失敗する可能性があります。

    [ NSCONFIG-4330 ]

  • あなた(システム管理者)がNetScalerアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたNetScalerアプライアンスにログインできないことがあります。

    1. NetScalerアプライアンスをいずれかのビルドにアップグレードします
      • 13.0 52.24 ビルド
      • 12.1 57.18 ビルド
      • 11.1 65.10 ビルド
    2. システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更し、設定を保存します。
    3. NetScalerアプライアンスを古いビルドにダウングレードします。

    CLI を使用してこれらのシステムユーザーのリストを表示するには、
    コマンドプロンプトで次のように入力します。

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    回避策:この問題を解決するには、以下のいずれかの独立したオプションを使用してください。

    • NetScalerアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してNetScalerアプライアンスをダウングレードします。
    • アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
    • 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。

    詳細については、 https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。

    [ NSCONFIG-3188 ]

NetScaler ADC 13.0-89.7 リリースのリリースノート