ADC

PDFを表示

NetScaler 14.1-8.50 ビルドのリリースノート

March 20, 2024

寄稿者:

このリリースノートドキュメントでは、NetScalerリリースBuild 14.1-8.50の機能強化と変更、修正された問題と既知の問題について説明します。

メモ

このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。
ビルド 14.1-8.50 以降のビルドは、https://support.citrix.com/article/CTX579459で説明されているセキュリティの脆弱性に対処します。

新機能

ビルド 14.1-8.50 で利用できる機能強化と変更点。

分析インフラストラクチャ

時系列指標のSplunkへの直接エクスポートのサポート

NetScalerからSplunkに時系列メトリックを直接エクスポートできるようになりました。Splunk ダッシュボードを使用してエクスポートされたデータを視覚化し、有意義なインサイトを得ることができます。

[ NSANINFRA-3349 ]

その他

テクニカルサポートバンドルをアップロードするための認証トークン

テクニカルサポートバンドルをNetScalerからCitrixテクニカルサポートサーバーに直接アップロードする場合、認証トークンが必要になりました。以前は、テクニカルサポートバンドルをアップロードするにはCitrixのユーザー名とパスワードが必要でした。詳細については、「アプライアンスの問題を解決するためのテクニカルサポートバンドルを生成する方法」を参照してください。

[ NSTOOLS-3019 ]

NetScaler Gateway

仮想チャネルのスマートコントロールの強化

NetScaler Gatewayは、SmartControl機能の機能をCitrix Virtual Apps and Desktopsのより多くのICA仮想チャネルに拡張します。この拡張機能により、NetScaler GatewayとICA仮想チャネル間のやり取りが改善されます。

拡張SmartControl機能の機能を活用するには、 add ica accessprofile <name> コマンドで次のCLIパラメータを使用できます。
- ClientTWAINDeviceRedirection
- WIARedirection
- DragAndDrop
- SmartCardRedirection
- FIDO2Redirection
詳細については、「スマートコントロールの設定」を参照してください。

[ GOPHDX-3259 ]
HDX 用リデューサーの新バージョンをサポート

NetScaler Gatewayは、HDX用のリデューサーの新しいバージョンをサポートします。Reducer for HDXは、仮想チャネル全体で機能する汎用コンプレッサーです。新しいリデューサーは、以下の機能によりNetScaler Gatewayの全体的なパフォーマンスを向上させます。
- ICAセッションのネットワーク帯域幅の使用率を下げます。
- 応答が速くなります。
[ GOPHDX-1352 ]

NetScaler SDXアプライアンス

管理サービスのユーザーセッション制限

[構成] > [システム] > [ユーザー管理] > [グループ] では、管理者グループと読み取り専用グループのメンバーには、デフォルトで40のユーザーセッションが割り当てられます。他のグループのメンバーには、デフォルトで 20 のユーザーセッションが割り当てられます。

詳細については、「認証と承認の設定」を参照してください。

[ NSSVM-5772 ]
クラスタノードを削除するときの警告メッセージの変更

クラスタ設定で、スポット構成のバックアップ機能がサポートされているノードを削除すると、Management Service GUIに次の警告が表示されるようになりました。

「スポット設定はすべて失われます。CLI のコマンドshell spottedconfig <node ID to be deleted>を使用して、ノード ID (削除するノード ID) のスポット構成のバックアップを作成します。クラスタノードを削除してもよろしいですか?」

以前は、ノードがスポット構成のバックアップ機能をサポートしていなくても警告が表示されていました。

[ NSSVM-5657 ]
リブランディングの変更

Citrix SDXはNetScaler SDXにリブランドされました。新しいブランドに合わせて、SDX GUIも更新されました。

[ NSSVM-5554 ]

NetScaler Web App Firewall

Web App Firewall ポリシーを VPN 仮想サーバーにバインドする

Web App Firewall ポリシーを VPN 仮想サーバーにバインドすることで、VPN 仮想サーバーの背後にあるすべてのアプリケーションを保護できるようになりました。

詳細については、「 Web App Firewall ポリシーのバインド」を参照してください。

[ NSWAF-9727 ]

ネットワーク

大規模 NAT 機能は廃止されました

NetScalerの大規模NAT機能は、このリリースでは廃止されました。

注:廃止された機能はすぐには削除されません。NetScalerアプライアンスは、将来のリリースで削除されるまで、廃止された機能を引き続きサポートします。

[ NSNET-27990 ]
クラスターノード内のスポット構成のリスト表示のサポート

スポット構成が失われないように、 shell spottedconfig <nodeID> コマンドを使用してクラスターノードのスポット構成を一覧表示し、クラスターからノードを削除する前にバックアップを取ることができるようになりました。詳細については、「クラスターノードの削除」を参照してください。

[ NSNET-24559 ]

プラットフォーム

AWS Autoscaling グループのスタンバイサーバーのコネクションドレインサポート

AWS AutoscalingグループのバックエンドサーバーがInService状態からスタンバイ状態に変更されると、NetScaler VPXはスタンバイ状態のサーバーへの新しいクライアント接続の送信を停止します。ただし、スタンバイサーバーは、既存のクライアント接続を閉じるまで処理し続けます。スタンバイサーバーはまだ自動スケーリンググループの一部ですが、ロードバランサーからの新しいトラフィックをアクティブに処理しません。この機能を使用すると、スタンバイサーバーのコネクションドレインを実現できます。サーバーの更新やトラブルシューティング、ユースケースに基づくスケールダウンなどのシナリオでは、サーバーをスタンバイ状態にすることができます。

以前は、NetScaler VPXは、スタンバイ状態のサーバーにも新しいクライアント接続を送信していました。

[ NSPLAT-27119 ]
NetScaler MPX 11500 のサポートの削除

NetScaler MPX 11500/13500/14500/16500/18500/20500 と MPX 11504/11515/11520/11530/11540/11542 は NetScaler ファームウェア 14.1 ではサポートされていません。

[ NSPLAT-26924 ]
レート制限メトリック用の新しい SNMP MIB のサポート

NetScalerの1秒あたりのパケット数とビット/秒を取得するための新しいSNMP MIBを追加しました。このMIBは、NetScalerの現在のレート制限メトリックを理解するのに役立ちます。詳細については、「 Citrix ADC 14.1 SNMPOID リファレンス」を参照してください。

[ NSPLAT-26679 ]
Mellanox ConnectX5 NICのサポート

Linux KVM上のNetScaler VPXがMellanox ConnectX5 NICをサポートするようになりました。詳細については、「 VPXプラットフォームvs. NICマトリックステーブル」を参照してください。

[ NSPLAT-26640 ]
AWS M6i インスタンスタイプのサポート

AWSクラウド上のNetScaler VPXがM6iインスタンスタイプをサポートするようになりました。詳細については、 AWS-VPXサポートマトリックスを参照してください。

[ NSPLAT-25994 ]
10G/25G/40G NICを搭載したNetScaler SDXのアップデートされたNICドライバーとファームウェアのサポート

シングルバンドルイメージ (SBI) バージョン 14.1-8.50 以降または 13.1-50.x 以降にアップグレードすると、10G/25G/40G NIC ドライバとファームウェアは次のプラットフォームでバージョン 8.70 に自動的にアップグレードされます。NIC ファームウェアバージョン 8.70 は CVE-2020-8690、CVE-2020-8691、CVE-2020-8692、および CVE-2020-8693 を修正します。
- SDX 8900
- SDX 14000-40G
- SDX 15000
- SDX 15000-50G
- SDX 25000-40G
- SDX 16000
- SDX 9100
- SDX 26000
- SDX 26000-50S
[ NSPLAT-23460 ]

ポリシー

廃止されたコマンドとパラメーターを検証するように強化された事前構成チェックツールNetScalerをアップグレードする前に実行することが推奨されている事前構成チェックツールは、リリース内の廃止されたパラメーターとコマンドに関連する構成をチェックするようになりました。詳細については、「事前構成チェックツール」を参照してください。

[NSPOLICY-5183]

SSL

SSL エンティティの SSL パラメータの設定は廃止される予定です。

SSL エンティティの SSL パラメータの設定は、まもなく廃止される予定です。デフォルト (拡張) プロファイルを使用してこれらのパラメータを設定します。

デフォルトプロファイルについて詳しくは、「デフォルトプロファイルを有効にする」を参照してください。

設定をデフォルトプロファイルに移行する方法については、「SSL 設定を拡張 SSL プロファイルに移行する」を参照してください。

[ NSSSL-12424 ]
再起動中のログ証明書とキーのペアの読み込み失敗

証明書ファイルまたは秘密鍵ファイルがNetScalerメモリにアップロードされた後は、アプライアンスを再起動しない限り、ソースファイルへの変更は反映されません。証明書ファイルは更新されているがキーファイルは更新されていない、更新されたファイルが破損している、新しいキーファイルがパスワードで保護されている、パスワードが変更されたなどの理由で再起動が失敗することがあります。

証明書またはキーファイルの変更による証明書とキーのペアの追加時のエラーがログに記録されるようになりました。

詳細については、「再起動中の証明書とキーのペアの読み込みエラーをログに記録する」を参照してください。

[NSSSL-11980]

システム

HTTP QUIC VPN 仮想サーバー

これで、ブラウザーで HTML5 を使用して QUIC 経由で ICA トラフィックを送信し、Citrix DaaS セッションを起動できるようになりました。CLI を使用してサービスタイプが HTTP QUIC の VPN 仮想サーバーを作成し、クライアントプラグインソフトウェアなしで HTML5 クライアント上の QUIC 経由で Citrix DaaS アプリケーションを起動します。詳細については、「 HTTP QUIC VPN 仮想サーバー」を参照してください。

[NSBASE-16981]

解決された問題

ビルド 14.1-8.50 で対処されている問題。

分析インフラストラクチャ

次の条件がすべて満たされると、NetScalerがクラッシュする可能性があります：
- イベント、監査ログ、またはメトリックは、分析プロファイルまたはAppFlowパラメータで有効になっています。
- 応答側の書き換えポリシーが設定されます。
[ NSHELP-35550 ]
NetScalerを再起動すると、SNMPアラームは以前に無効になっていても自動的に再び有効になります。

[ NSHELP-34745 ]
多要素認証が構成されたNetScalerは、ポリシー評価中にクラッシュします。

[ NSHELP-33674 ]
再起動後、newnslog構成ファイルが空の場合、VPXは再起動を続けます。

[ NSHELP-33373 ]
show syslogActionコマンドは、次の条件の両方が満たされると、出力に未解決の IP アドレスを表示します。
- トランスポートモード UDP でドメイン名を指定した SYSLOG アクションが使用されます。
- ICMP はサーバ上で無効になっています。
この問題は、サーバに ICMP 経由でアクセスできないため、ping のデフォルトモニタがサービスを DOWN とマークするために発生します。そのため、IP アドレスは解決されても出力には表示されません。

[ NSHELP-32886, NSHELP-33392 ]
クラスター環境では、Syslogポリシーが負荷分散仮想サーバーにバインドされると、NetScalerがクラッシュすることがあります。

[ NSHELP-30983, NSANINFRA-21 ]

認証、承認、監査

アップグレード後、ユーザーは期限切れのNetScaler Gatewayパスワードをリセットできません。この問題は、二重認証ログインスキーマによるStoreFront 認証がnfactorフローの2番目の要素として構成されている場合に発生します。

[ NSHELP-35631 ]
NetScaler GUI認証サーバーページ（［構成］>［認証］>［ダッシュボード］）で、［ステータス］列が正しく読み込まれず、「処理中の小さな画像」というメッセージが表示されます。この問題は、サーバー構成が進行中のエントリで発生します。

[ NSHELP-34534 ]
Kerberos SSO は、大量の要求が同時に受信されると失敗することがあります。

[ NSHELP-34177 ]
SAMLサービスプロバイダーとして構成されたNetScalerは、SAMLログアウト要求に対して2つの応答を送信する場合があります。この問題は、ログアウトリクエストに「SAML Request」パラメータが含まれている場合に発生します。

[ NSHELP-32555 ]
次の認証方法のいずれかを第2要素として使用し、その後にnFactorフローでユーザー操作を必要とする要素が設定されると、NetScalerがクラッシュする可能性があります。
- SAML
- OAuth
- クライアント証明書
[ NSHELP-29573, NSCXLCM-492, NSCXLCM-872, NSCXLCM-1216, NSHELP-32631, NSHELP-32765 ]

負荷分散

トラフィックドメインの展開では、netprofile が DNS 仮想サーバーにバインドされている場合、DNS クエリの負荷分散が失敗することがあります。

[ NSHELP-35675 ]
次の一連の条件が満たされた後にドメイン名ベースのサービス（DBS）を参照すると、NetScalerがクラッシュすることがあります。
1. ロケーションエントリは、DBS ドメイン名の解決先となる IP アドレスに設定されます。
2. DBS ドメイン名が削除され、ネームサーバーから NXDOMAIN 応答が返されます。
3. ロケーションエントリが削除されます。
[ NSHELP-35370 ]
まれに、TCPタイプの仮想サーバーに永続性を構成すると、NetScalerがクラッシュすることがあります。

[ NSHELP-35360 ]
HA セットアップでは、セカンダリノードを再起動すると静的近接データベースがロードされないことがあります。

[ NSHELP-35271 ]
NTLM モニターは以下のオプションをサポートしていません。
- NTLM バージョン 1 とバージョン 2 の両方の構成のモニターによる同時プロービング。
- 「ScriptArg」パラメータの URL が別の IP アドレスに解決されたときに、プローブをサーバーの IP アドレスに転送します。
- NTLM バージョン 2。
[ NSHELP-35185 ]
30 を超えるサービスがユーザーモニターにバインドされている場合、ユーザーモニターにバインドされているサービスが断続的に使用できなくなる可能性があります。

[ NSHELP-34669, NSCXLCM-1373 ]
StoreFront ユーザーモニターへのプローブは、タイムアウトの計算が正しくないために失敗することがあります。この問題は、StoreFront ユーザーモニターの構成時にタイムアウト値が1秒または2秒に設定されている場合に発生します。

[ NSHELP-34418 ]
静的近接が GSLB 方式として設定されていて、データベースからのクライアントロケーション検索が失敗すると、CPU 使用率が高くなる可能性があります。

[ NSHELP-33823 ]
高可用性セットアップでは、フェールオーバー後にパーティションを削除すると、CPU 使用率が高くなる可能性があります。

[ NSHELP-33701 ]
次の条件が満たされると、NetScalerがクラッシュする可能性があります：
- 負荷分散仮想サーバーは、複数のパーティションのリダイレクト URL で構成されます。
- メモリ回復がトリガーされます。
[ NSHELP-33638, NSCXLCM-227, NSCXLCM-509 ]
SOA の連絡先情報では、複数のドット文字を含む電子メールアドレス (例:john.doe.example.com) を入力すると、john@doe.example.comに変換されます。バックスラッシュ (「\」) をエスケープ文字として使用できるようになりました。その結果、john.doe.example.com はjohn.doe@example.comに翻訳されます。

[ NSHELP-33610 ]
キャッシュリダイレクト機能は無効になっていますが、仮想サーバーは引き続きトラフィックを処理します。この問題は、キャッシュリダイレクト仮想サーバーの IP アドレスとポート番号が GSLB サービスに追加された場合に発生します。

[ NSHELP-33495 ]
インクリメンタル同期を実行する場合、モニターの「resptimeout」パラメーターが変更されると完全同期がトリガーされます。

[ NSHELP-31987 ]
いくつかの内部仮想サーバーでモニタープローブが失敗すると、NetScalerがクラッシュすることがあります。

[ NSHELP-30985 ]
NetScaler GUIを使用して次の手順を実行すると、実行構成に余分なCNAMEレコードが表示されます：
1. DNS レコードタイプ CNAME の GSLB 仮想サーバーを作成します。
2. DNS レコードタイプ CNAME を設定します。
3. 構成を保存します
この問題は表面的なもので、機能には影響しません。

[ NSHELP-29217 ]

その他

NetScalerがNetScalerが生成したCookie を受信HTTP要求から削除してから上流のHTTPサーバーに送信すると、上流のサーバーはその要求を拒否することがあります。この問題は、Cookie の名前と値のペアを削除すると、Cookie ヘッダーフィールドが HTTP プロトコルの仕様を満たさなくなる可能性があるために発生します。

[ NSHELP-35855 ]

NetScaler Gateway

次の条件が満たされると、NetScalerがクラッシュする可能性があります：
- EDT経由のアクティブなICA接続があります。
- Citrix VDAと同じIPアドレスとポート番号のUDPサービスが追加されます。
- NetScaler Gateway とCitrix VDAの間には接続の問題があります。
[ NSHELP-35637 ]
NetScaler Gateway は、VPN ログインセッションをNetScaler ADM にレポートできません。この問題は、ユーザーがCitrix WorkspaceアプリからNetScaler Gatewayにログインしたときに発生します。

[ NSHELP-35367 ]
EDT ICA接続が開始されると、NetScalerがクラッシュします。この問題は、HDX InsightのAppFlow分析プロファイルがVPN仮想サーバーにバインドされている場合に発生します。

[ GOPHDX-5014 ]
NetScaler GUIでは、バインドに成功しても、VPN仮想サーバーとのSAML IdPポリシーバインディングは表示されません。

[ NSHELP-35663 ]
次の条件をすべて満たすと、NetScalerがクラッシュします：
- VPN 仮想サーバーは IPv6 アドレスで構成されます。
- IPv6 仮想サーバーでは、IPv4 IIP アドレスのみ (IPv6 IIP アドレスなし) が設定されます。
[ NSHELP-35559 ]
NetScaler Gateway経由でVPNに接続している場合、アップグレード後にNetScaler GUIにHTTP経由でアクセスできなくなることがあります。

[ NSHELP-35015 ]
HDX Insightで構成されたNetScalerは、セカンダリノードが処理対象のパケットを受信すると再起動することがあります。

[ NSHELP-34152 ]
NetScaler Gatewayは、承認されたアクセス要求をSSO障害としてNetScaler ADMに報告します。その結果、NetScaler ADM UIの［Gateway ］ >［Gateway Insight ］ページに、誤ったアラームの原因となる誤ったSSO障害レポートが表示されます。

[ NSHELP-27992 ]

NetScaler SDXアプライアンス

NetScaler SDX FIPSでは、NetScalerインスタンスをプロビジョニングまたは変更している間は、「FIPSを有効にする」オプションは使用できません。

[ NSSVM-5848 ]
VPXを内部管理ネットワークがサポートされていないバージョンからサポートされているバージョンにアップグレードした場合、NetScaler VPXの内部管理ネットワークを有効にすることはできません。

[ NSSVM-5634 ]
NetScaler SDXに存在するVPXのIPアドレスで、それぞれのオクテットの桁数が異なる場合、 snmpwalk get呼び出しではすべてのVPXに対して応答が返されないことがあります。

[ NSHELP-35877 ]
25G、40G、または 100G ポートを使用する LACP チャネル作成の最大スループットチェックの検証が失敗します。

[ NSHELP-35743 ]

NetScaler Secure Web Gateway

まれに、NetScalerがパケットキャプチャ中にクラッシュすることがあります。この問題は、PCB 構造の TCP プロファイル変数に NULL 値がある場合に発生することがあります。

[ NSHELP-36081 ]

NetScaler Web App Firewall

BOT レート制限トラフィックフィルターは、 Bursty フィルターとして設定されていても、 内部的にはスムーズフィルターとして機能します 。

[ NSHELP-36095 ]
Web App Firewallプロファイルに、SQLインジェクション保護をチェックする署名がバインドされていると、NetScalerがクラッシュすることがあります。

[ NSHELP-35989 ]
URL 変換ポリシーを使用してホストヘッダーを更新すると、応答ヘッダーはポート番号で 2 回更新されます。

[ NSHELP-35840 ]
ルールがキーと値のペアで構成されている場合、NetScaler GUIを使用してJSONクロスサイトスクリプティング緩和ルールを編集または削除することはできません。

[NSHELP-35610]
まれに、構成されたメモリが少なくてWeb App Firewallプロファイルが使用されると、NetScalerがクラッシュすることがあります。

[ NSHELP-35463 ]

ネットワーク

専用モードでは、NetScaler BLXはHTTPとHTTPSのデフォルトの管理ポートとして、ポート80と443の代わりにポート9080と9443を使用します。

[ NSNET-30095 ]
デフォルト以外のパーティションからルートモニターをバインドすると、「Operation not permitted」というエラーメッセージが表示されます。ただし、対応するルートがデフォルト以外のパーティションに存在する場合、ルートモニターのステータスは UP と表示されます。

[ NSNET-28589 ]
NetScaler BLXをアップグレードした後、新しいblx.configファイルにblx-managed-hostおよびhost-ipaddressパラメーターが見つからない。その結果、管理対象ホストの IP アドレスへのアクセスが失われます。

[ NSHELP-36092 ]
VTYSH ターミナルは、VTYSH プロンプトに戻る前に show コマンド出力の最後に「more」と表示します。この問題は、NetScalerアプライアンスの基盤となるFreeBSD OSがバージョン11.4にアップグレードされたために発生します。

[ NSHELP-35829 ]
管理パーティションの1つを削除すると、NetScalerは他のパーティションのパケットバッファーも削除する場合があります。その結果、パケットバッファーが削除されたパーティションを削除すると、NetScalerがクラッシュすることがあります。

[ NSHELP-35595 ]
大規模な統合キャッシュまたは大規模なNAT構成を含むNetScalerアプライアンスをリリース12.1または13.0からリリース13.1または14.1にアップグレードすると、パケットエンジンクラッシュからの回復時間は、アップグレード前のバージョンよりも比較的長くなります。

[ NSHELP-33797 ]

プラットフォーム

Mellanox ConnectX3 NICによるAzureアクセラレーテッドネットワーキングをサポートするNetScaler VPXインスタンスでは、トラフィックが断続的にドロップすることがあります。

[ NSHELP-35666 ]
AWS Autoscaling サービスをNetScaler VPXインスタンスに追加するためのクラウドプロファイルを作成する際、サービスコントロールポリシーがグローバルに設定されていると失敗することがあります。

[ NSHELP-35562 ]
Intel Fortville NICを搭載したNetScaler SDXでは、VPXインスタンスにFortvilleインターフェイスが追加されるたびに、VPXインスタンスの管理CPU使用率が 1% 増加します。

[ NSHELP-35445, NSCXLCM-768 ]

SSL

NetScalerのメモリ使用量が高く、構成が頻繁にクリアされる場合、デフォルトのCA証明書グループを削除するとNetScalerがクラッシュすることがあります。

[ NSHELP-35441 ]
クライアントからの再送信されたハンドシェイクフライトの処理中にメモリが適切に解放されないため、NetScalerでDTLSトラフィックのメモリが大量に蓄積されることがあります。

[ NSHELP-35359, NSCXLCM-999, NSCXLCM-1968 ]
クライアントアプリケーションが TLS1.3 SSL 接続を介してパディング付きの大きなファイルをアップロードすると、アップロードが失敗することがあります。この障害は、パディングされたバイトが受信バッファから解放されないため、TCP 受信バッファがいっぱいになったために発生します。

[ NSHELP-34490 ]
キー交換中にDH 512暗号を使用すると、Intel ColetoまたはIntel Lewisburgチップを搭載したNetScalerアプライアンスがクラッシュする可能性があります。

[ NSHELP-34094 ]
Coletoチップを搭載したNetScalerプラットフォームでは、ハンドシェイクメッセージのサイズが量子サイズよりも大きいと、SSL再ネゴシエーションハンドシェイクが失敗します。

[ NSHELP-33924 ]
SSL_TCP（フロントエンド）仮想サーバーとTCP（バックエンド）サービスを備えたNetScaler展開環境では、クライアント要求が断続的に失敗することがあります。この障害は、NetScalerがフロントエンドで受信したSSLクライアントのHelloメッセージを転送するが、バックエンドでは処理できず、要求が失敗するために発生します。

[ NSHELP-32806 ]

システム

AppFlowとHTTP圧縮の両方の機能が有効になっていると、NetScalerが誤った応答を送信することがあります。

[ NSHELP-35862 ]
NetScalerは、クライアントTCP接続でCONNECT HTTP要求を受信しても、「407プロキシ認証が必要です」というHTTP応答がすでに送信されている以前のサーバーTCP接続を再利用しません。代わりに、NetScalerは新しいTCP接続でCONNECT HTTPリクエストをバックエンドサーバーに転送します。新しい TCP 接続で要求を転送すると、同じ TCP 接続で複数の HTTP 認証メッセージを交換する必要がある NTLM などのプロキシ認証プロトコルが破られます。

[NSHELP-35717、NSCXLCM-1514、NSCXLCM-1835、NSCXLCM-1910]
まれに、フロントエンド最適化（FEO）機能を有効にするとNetScalerがクラッシュすることがあります。

[ NSHELP-34861 ]
次の条件が満たされると、NetScalerはデータ転送を停止することがあります。
- 複数の機能が有効になっています。
- 複数の機能が TCP または HTTP ペイロードの同じ部分を削除しようとしています。
[NSHELP-33793、NSCXLCM-1512、NSCXLCM-1954]
NetScalerは、HTTPベースの機能が大量のアプリケーションデータをバッファしようとすると、HTTP/2接続でのデータ転送を停止することがあります。

[ NSHELP-32612 ]
SSLサービスで構成されたNetScalerアプライアンスは、アプライアンスがTCP FIN制御パケットの後にTCP RESET制御パケットを受信するとクラッシュします。

[ NSHELP-31656 ]

ユーザーインターフェイス

NetScaler GUIを使用してHAペアを作成すると、「引数が無効です [rpcnode_password]」というエラーメッセージが表示されます。

[ NSHELP-36192 ]
NetScaler GUIでGSLB仮想サーバーを編集すると、負荷分散ポリシーを仮想サーバーにバインドした後、 ポリシーセクションがGSLB仮想サーバーページに表示されません 。

[ NSHELP-35899 ]
GUIを使用してNetScalerをアップグレードすると、GUIまたはSSHを使用してシステムアップグレードページにアクセスできなくなります。

[ NSHELP-35785 ]
SSL デフォルトプロファイルが有効になっている場合、DTLS タイプの負荷分散仮想サーバーの暗号設定は GUI を使用して構成できません。

[ NSHELP-35704 ]
LB アクションの設定ページの 「値」フィールドにスペースが含まれている場合、GUI にはエラーメッセージは表示されません。 スペースを含む値フィールドを編集すると 、GUI はそのスペースをカンマに置き換え、構成が無効になります。

[ NSHELP-35532 ]
次の両方の条件が満たされている場合、NetScalerアプライアンスの管理CPU使用率が高くなることがあります。
- 管理パーティションはアプライアンス上で設定されます。
- アプライアンスはNetScaler ADMによって管理されます。
[NSHELP-34825、NSCXLCM-192、NSCXLCM-501、NSCXLCM-1279]

既知の問題

リリース 14.1-8.50 に存在する問題。

分析インフラストラクチャ

クラスタ展開では、非 CCO ノードでforce cluster syncコマンドを実行すると、ns.log ファイルに重複したログエントリが含まれます。

[NSANINFRA-2850、NSGI-1293]
NetScaler ADMをKubernetesクラスターにインストールすると、必要なプロセスが実行されない可能性があるため、期待どおりに動作しません。

回避策：管理ポッドを再起動します。

[ NSANINFRA-1504 ]

認証、承認、監査

次の条件が満たされると、NetScalerがクラッシュします。
- 401ベースの証明書認証は、負荷分散仮想サーバーを介して行われます。
- 認証仮想サーバーにバインドされた認証ポリシーはありません。
- デバッグログは有効になっています。
[NSAUTH-13259]
管理者は、認証情報が無効であることが原因で発生した認証エラーのカスタムロギングを実行できません。この問題は、NetScaler Responderポリシーがログインエラーのエラーを検出できないために発生します。

[ NSAUTH-11151 ]
ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。 show adfsproxyprofile <profile name>

回避策：クラスター内のアクティブなプライマリのNetScalerに接続し、show adfsproxyprofile <profile name>コマンドを実行します。プロキシプロファイルの状態が表示されます。

[ NSAUTH-5916 ]
次の手順を実行すると、NetScaler GUIの［認証LDAPサーバーの構成］ページが応答しなくなります。
- [LDAP 到達可能性をテスト] オプションが開きます。
- 無効なログイン認証情報が入力され、送信されます。
- 有効なログイン認証情報が入力され、送信されます。
回避策：「LDAP 到達可能性テスト」オプションを閉じて開きます。

[NSAUTH-2147]

負荷分散

高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。

[ NSLB-7679 ]

NetScaler Gateway

スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。

[ NSHELP-21897 ]
Windows OSオプションは、NetScaler GUIの事前認証ポリシーと認証アクションの「エクスプレッションエディタ」ドロップダウンリストに表示されません。ただし、GUIまたはCLIを使用して以前のNetScalerビルドでWindows OSスキャンをすでに構成している場合は、アップグレードしても機能に影響はありません。必要に応じて CLI を使用して変更できます。

回避方法：

設定には CLI コマンドを使用します。
- nFactor 認証で高度な EPA アクションを設定するには、次のコマンドを使用します。認証 epaAction adv_win_scan-csecexpr「sys.client_expr (「sys_0_win-os_name_Anyof_win-10 [コメント:Windows OS]」)」を追加
- 従来の事前認証アクションを設定するには、次のコマンドを使用します。 add aaa preauthenticationaction win_scan_action ALLOW add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action
[ CGOP-22966 ]
Windowsログオン機能の前に常時接続VPNを使用するには、NetScaler Gatewayを13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を活用できます。

[ CGOP-19355 ]
NetScaler GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。

[ CGOP-11830 ]
Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。

[ CGOP-7269 ]

NetScaler Secure Web Gateway

URLフィルタリングのサードパーティベンダーとの接続の問題が発生した場合、管理CPUの停滞によりNetScalerアプライアンスが再起動することがあります。

[ NSHELP-22409 ]

ネットワーク

DPDKを搭載したNetScaler BLXアプライアンスのIntel X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません：
- 無効化
- 有効化
- リセット
[ NSNET-16559 ]
DebianベースのLinuxホスト（Ubuntuバージョン18以降）では、NetScaler BLXアプライアンスのインストールが次の依存関係エラーで失敗することがあります：

「次のパッケージの依存関係は満たされていません:blx-core-libs: i386: preDepends: libc6: i386 (>= 2.19) しかしインストールできません」

回避策：NetScaler BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します：
- dpkg –add-architecture i386
- apt-get update
- apt-get install libc6:i386
[ NSNET-14602 ]
FTPデータ接続の場合、NetScalerアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対してTCP処理は実行しない場合があります。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。

[ NSNET-5233 ]
NetScalerアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は管理パーティションの新しいメモリ制限に自動的に設定されます。

[ NSHELP-21082 ]

プラットフォーム

ソフトウェアを 14.1-8.x 以降または 13.1-50.x 以降にアップグレードすると、銅線の 1G SFP トランシーバを備えた 25G インターフェイスがリモートスイッチまたはネットワークデバイスに接続できなくなります。

この問題は、25G NIC を搭載した次のプラットフォームで発生します：
- SDX 9100
- SDX 15000
- SDX 16000
- SDX 26000
- SDX 26000-50S
[ NSPLAT-27864 ]
NetScalerアプライアンスを13.1～4.x以降のバージョンから次のバージョンのいずれかにダウングレードすると、一部のPythonパッケージがインストールされません：
- 任意の 11.1 ビルド
- 12.1-62.21 およびそれ以前
- 13.0-81.x およびそれ以前
[ NSPLAT-21691 ]
Azureリソースグループからオートスケール設定または仮想マシンスケールセットを削除する場合は、対応するクラウドプロファイル構成をNetScalerインスタンスから削除します。「rm cloudprofile」コマンドを使用してプロファイルを削除します。

[ NSPLAT-4520 ]
Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノード上で設定する必要があります。

[ NSPLAT-4451 ]

ポリシー

処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。

回避策:TCP バッファサイズを、処理が必要なデータの最大サイズに設定します。

[ NSPOLICY-1267 ]

SSL

NetScaler SDX 22000アプライアンスとNetScaler SDX 26000アプライアンスの異機種クラスタでは、SDX 26000アプライアンスを再起動するとSSLエンティティの構成が失われます。

回避方法：
1. CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例：set ssl vserver <name> -SSL3 DISABLED。
2. 構成を保存します。
[ NSSSL-9572 ]
認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。

[ NSSSL-6478 ]
同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。NetScalerアプライアンスはエラーを返しません。

[ NSSSL-6213 ]
HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。エラー:CRL 更新は無効です

[ NSSSL-6106 ]
セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)

[ NSSSL-4427 ]
SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。

[ NSSSL-4001 ]
期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。

[ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]

システム

CONNECT HTTP リクエストメソッドを使用する HTTP/2 ストリームが終了すると、HTTP/2 を使用する Web ページが完全に読み込まれないことがあります。

[NSHELP-36407、NSBASE-17449]
次の条件が満たされると、TCP 接続の RTT が高くなります：
- 最大輻輳ウィンドウ（> 4 MB）が高く設定されている
- TCP NILE アルゴリズムは有効になっています
NetScalerアプライアンスがNILEアルゴリズムを使用して輻輳制御を行うには、条件がスロースタートのしきい値と最大輻輳ウィンドウを合わせた値を超える必要があります

そのため、設定された最大輻輳時間帯に達するまで、NetScalerはデータを受け付け続け、最終的にはRTTが高くなります。

[ NSHELP-31548 ]
unset nstcpprofile コマンドを使用してTCPプロファイルパラメーターの設定を解除すると、NetScalerがコアをダンプすることがあります。

回避策：代わりに、目的のパラメーター値を指定したset nstcpprofileコマンドを使用してください。

[NSBASE-18724]
HTML5ブラウザとQUIC トランスポートプロトコルを使用している場合、ICAセッションは起動後数分以内に失敗することがあります。

回避策:QUIC プロファイルを設定するときに、最大アイドルタイムアウト値を 3600 秒に設定します。

[NSBASE-18402]
mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。

[NSBASE-18295]
LogStream トランスポートタイプが Insight 用に構成されている場合、クライアントIPとサーバーIPはHDX Insight SkipFlowレコードで反転されます。

[NSBASE-8506]

ユーザーインターフェイス

GUIを使用してテクニカルサポートバンドルをCitrix テクニカルサポートサーバーにアップロードすることはできません。

回避策：CLI を使用してテクニカルサポートバンドルをアップロードします。

[ NSUI-19315 ]
NetScaler GUIで、［ ダッシュボード ］タブにある［ ヘルプ ］リンクが壊れています。

[ NSUI-14752 ]
CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。

回避策：NetScaler GUIまたはCLIを使用してIPSecプロファイル、IPトンネル、およびPBRルールを追加してCloudBridge Connectorを構成します。

[ NSUI-13024 ]
GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。

[ NSUI-6838 ]
次の条件が満たされると、ユーザーはダウングレードされたNetScalerアプライアンスにログインできないことがあります：
1. 次の手順のいずれかを実行します。
  - 現在のビルドにアップグレードしたら、システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更して、設定を保存します。
  - 現在のビルドで新しいNetScaler VPX、BLX、またはCPXインスタンスをプロビジョニングします。
2. アプライアンスを以下のいずれかのビルドにダウングレードします。
  - 13.1-4.x
  - 13.0-82.x またはそれ以前
  - 12.1-62.x またはそれ以前
ダウングレード後に影響を受けるユーザーのリストを表示するには、コマンドプロンプトで次のように入力します。 query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

回避策:影響を受けるユーザーのパスワードをリセットします。詳細については、「ルート管理者 (nsroot) パスワードをリセットする方法」を参照してください。

注:以前にアップグレードしたビルドをダウングレードする場合は、ダウングレード時に以前のビルドのバックアップされた設定ファイル (ns.conf) を使用してこの問題を回避してください。

[NSCONFIG-8068]
次の条件が満たされると、ユーザーはダウングレードされたNetScalerアプライアンスにログインできないことがあります：
1. 次の手順のいずれかを実行します。
  - 現在のビルドにアップグレードしたら、システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更して、設定を保存します。
  - 現在のビルドで新しいVPX、BLX、またはCPXインスタンスをプロビジョニングします。
2. アプライアンスを以下のいずれかのビルドにダウングレードします。
  - 13.0-47.x またはそれ以前
  - 12.1-56.x またはそれ以前
  - 11.1-64.x またはそれ以前
ダウングレード後に影響を受けるユーザーのリストを表示するには、コマンドプロンプトで次のように入力します。

query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

回避策:影響を受けるユーザーのパスワードをリセットします。詳細については、「ルート管理者 (nsroot) パスワードをリセットする方法」を参照してください。

注:以前にアップグレードしたビルドをダウングレードする場合は、ダウングレード時に以前のビルドのバックアップされた設定ファイル (ns.conf) を使用してこの問題を回避してください。

[ NSCONFIG-3188 ]

このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。

この情報は役に立ちましたか?

NetScaler 14.1-8.50 ビルドのリリースノート

March 20, 2024

寄稿者:

March 20, 2024

寄稿者:

この情報は役に立ちましたか?