-
-
-
VMware ESX、Linux KVM、およびCitrix HypervisorでNetScaler ADC VPXのパフォーマンスを最適化する
-
-
NetScalerアプライアンスのアップグレードとダウングレード
-
-
-
-
-
-
-
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
NetScaler 13.1—30.52リリースのリリースノート
このリリースノートドキュメントでは、NetScalerリリースBuild 13.1—30.52に存在する拡張機能と変更、修正された既知の問題について説明します。
メモ
このリリースノートドキュメントには、セキュリティ関連の修正は含まれていません。セキュリティ関連の修正とアドバイザリのリストについては、セキュリティ速報を参照してください。
新機能
ビルド 13.1~30.52 で利用できる機能強化と変更。
ネットワーク
ASDOT 形式の 4 バイト BGP ASN のサポート
NetScalerアプライアンスは、RFC 5396で定義されているasdot形式の4バイトのBGP自律システム番号(ASN)の構成と表示をサポートするようになりました。NetScalerアプライアンスは、BGP ASNに対して次の2つの形式を全体的にサポートしています。
-
asplain-2バイトと4バイトの両方のASNが10進数値で表される10進値表記。たとえば、65527 は 2 バイト ASN で、234567 は 4 バイト ASN です。
-
asdot-自律システムのドット表記。2 バイトの ASN は 10 進数値で表され (asplain と同じ)、4 バイトの ASN はドット表記で表されます。たとえば、65527は2バイトASNで、3.37959は4バイトASNです(3.37959は234567の10進数のドット形式です)。
[NSNET-26101]
NetScaler BLX アプライアンスに対する AWS クラウド上の Amazon Linux 2 のサポート
NetScaler BLX アプライアンスは、AWS クラウド上の Amazon Linux 2 でサポートされるようになりました。NetScaler BLX は、Amazon Linux 2 の DPDK ポートとして AWS エラスティックネットワークアダプター (ENA) での実行をサポートします。
[NSNET-25802]
利用可能なルートにモニタープローブを均等に分散
13.1〜30.xから、NetScalerアプライアンスは、次の5つのタプルに基づくハッシュアルゴリズムを使用して、負荷分散モニタープローブのルートを選択します。
- 送信元 IP アドレス
- 送信元ポート
- 宛先 IP アドレス
- 送信先ポート
- プロトコル番号
5つのタプル情報に基づいてルートを選択することで、利用可能なルートにモニタープローブが均等に分散されます。この均等な分散により、ルート内のトラフィックの過負荷を防ぐことができます。
詳しくは、https://docs.citrix.com/en-us/citrix-adc/13-1/networking/ip-routing/route-selection-based-on-five-tuples.htmlを参照してください。
[NSNET-24646]
SSL
OCSP マルチホチキス止めソリューションのサポート
TLS 1.3 プロトコルを使用すると、すべての中間証明書に、クライアントからのステータス要求への応答に OCSP 応答拡張が含まれるようになりました。以前は、サーバー証明書のみが、クライアントからのステータス要求への応答にこの拡張を含んでいました。
[NSSSL-9281]
ユーザーインターフェイス
より短い時間でライセンスを取得できるようにshow ns licenseserverpool
コマンドを最適化しました
show ns licenseserverpool
コマンドを実行すると、ライセンスの取得にかかる時間が短くなります。ライセンスモードを指定する新しいパラメーターlicensemode
がadd ns licenseserver
コマンドに追加されます。そのため、show ns licenseserverpool
コマンドは指定されたライセンスモードに基づくライセンスのみを表示します。すべてのライセンスのインベントリが必要な場合は、show ns licenseserverpool -get alllicenses
コマンドを使用してください。
以前は、show ns licenseserverpool
コマンドは、設定されているライセンスモードに関係なくすべてのライセンスを表示するために使用されていました。その結果、コマンドがすべてのライセンスを取得するのに時間がかかっていました。
詳しくは、https://docs.citrix.com/en-us/citrix-adc/13-1/licensing.html#citrix-adc-self-managed-pool-licenseを参照してください:
[NSCONFIG-6961]
セルフマネージドプールライセンスのサポート
NetScalerアプライアンスがセルフマネージドプールライセンスをサポートするようになりました。これにより、購入後のライセンスサーバーへのライセンスファイルのアップロードが簡単かつ自動化されます。NetScaler Consoleを使用して、共通の帯域幅またはvCPUとインスタンスプールで構成されるライセンスフレームワークを作成できます。
詳しくは、https://docs.citrix.com/en-us/citrix-adc/13-1/licensing.html#citrix-adc-self-managed-pool-licenseを参照してください:
[NSCONFIG-6592]
NetScaler CPXライセンスアグリゲーターのサポート
これで、NetScalerが提供する新しいKubernetesマイクロサービスであるNetScaler CPXライセンスアグリゲーターを使用して、NetScaler CPXのライセンスを取得できるようになりました。NetScaler CPXを起動するときは、NetScaler CPXライセンスアグリゲーターのIPアドレスまたはドメイン名を使用して環境変数CLAを構成する必要があります。環境変数が構成されている場合、NetScaler CPXライセンスアグリゲーターは、接続されているすべてのNetScaler CPXの集約ライセンスをチェックアウトします。
[NSCONFIG-6394]
解決された問題
ビルド 13.1—30.52 で対処された問題。
認証、承認、監査
構成内のSAMLメタデータURLがバックスラッシュ(/)で終わらない、またはバックスラッシュ(/)を含んでいない場合、NetScalerアプライアンスがクラッシュする可能性があります。
[NSHELP-31937]
Syslog サーバを設定した場合、SAML 関連のログが 2 行に 1 つ表示されます。
[NSHELP-31750]
認証仮想サーバーでコンテンツセキュリティポリシー (CSP) の書き換えポリシーを適用する際に、アプリケーションの書き換えに問題が発生する可能性があります。
[NSHELP-31583]
LDAP アクションが IP アドレスではなく FQDN に設定されている場合、非 ASCII 文字が nsvpn.log に記録されます。
[ NSHELP-27281 ]
NetScaler GUIには、VPN仮想サーバーにバインドされたデフォルトのキャッシュポリシーが表示されません。
[NSHELP-26874]
NetScaler SDXアプライアンス
NetScaler SDXアプライアンスでは、システムグループの作成または編集が失敗します。
[NSHELP-32359]
NetScaler SDXアプライアンスは、ハイパーバイザーディスクの使用状況に関するSNMPトラップをNetScalerコンソールに送信しません。
[ NSHELP-32323 ]
NetScaler SDXアプライアンスでは、VLANホワイトリストがNetScaler VPXインスタンスに割り当てられたMellanoxインターフェイスの正しい値で更新されません。
[ NSHELP-31849 ]
NetScaler SDXアプライアンスをアップグレードすると、ハイパーバイザーのバージョンが現在のSDXバージョンとアップグレード後のSDXバージョンの両方で同じであっても、管理サービスGUIに次の誤ったイベントが通知されます。
SVMとHypervisorのバージョンが一致しません
[ NSHELP-31769 ]
証明書名またはキー名にスペースが含まれていると、NetScaler SDXアプライアンスへのSSL証明書のインストールが失敗します。
[ NSHELP-31711 ]
NetScaler SDXアプライアンスを13.0から13.1ファームウェアにアップグレードすると、プラットフォームのアップグレード中にインストール後のスクリプトファイル(postinst.sh)のCitrix Hypervisorへのアップロードが失敗することがあります。
[ NSHELP-31125 ]
NetScaler Gateway
クラスターセットアップでは、CGP_FINISH_REQUEST要求をクライアントに送信中にNetScalerアプライアンスがクラッシュします。
[ NSHELP-32029 ]
イントラネットIPアドレスをクライアントに割り当てるときに、NetScalerアプライアンスがクラッシュすることがあります。
[NSHELP-31712]
ポリシーベースルーティング(PBR)ポリシーは、VPN 経由の DNS トラフィックには有効になりません。
[ NSHELP-31123 ]
従来のEPAポリシーとnFactor認証が構成されている場合、認証に成功した場合のGateway InsightイベントはNetScalerApplication Delivery Managementに送信されません。
[NSHELP-30901]
ns_aaa_json.c ファイルに NS_AUDITLOG_STR* ログ用の余分な行が表示される場合があります。
[NSHELP-28160]
GUI を使用してクラシック認可ポリシーをバインド解除することはできません。ただし、CLI を使用して認証、承認、および監査認可ポリシーのバインドを解除することはできます。
今回の修正により、GUI を使用して承認ポリシーのバインドを解除できるようになりました。
[NSHELP-27064]
Gateway Insight は、VPN ユーザに関する正確な情報を表示しません。
[ NSHELP-23937 ]
ログフラグの脆弱性は、クライアントの送信元 IP アドレスをキャプチャしません。これらのログは次のとおりです。
- 無効なヘッダー/バージョンの HTTP リクエストをドロップしています
- パストラバーサルが検出されました
- 不要な場所に ‘/vpns/’ が見つかりました
- 無効な HTTP リクエストをドロップする
[CGOP-18190]
NetScaler Web App Firewall
NetScalerアプライアンスでは、コンソールにログメッセージが殺到し、アプライアンスがDNSクエリをWebrootパブリッククラウドサービスプロバイダーに送信する可能性があります。これは、IP レピュテーション機能を無効にすると、24 時間に 1 回ではなく 5 分おきに実行されるためです。
[NSWAF-9299]
負荷分散
ユーザー監視スクリプトが1024バイトを超える応答を返すと、NetScalerアプライアンスがクラッシュしてコアがダンプされる可能性があります。
[NSHELP-32097]
まれに、DNSSEC処理が有効になっていて、DNSゾーン構成が存在する場合、NetScalerアプライアンスがクラッシュしてコアをダンプすることがあります。
[NSHELP-31993]
まれに競合状態が発生するため、ローカルサイトとリモートサイトの間に不整合がある可能性があります。この不整合は、リモートサイトがローカルサイトから動的メンバーを学習していないことが原因である可能性があります。
リモートサイトの動的メンバーの削除は、パケットエンジン間の通信中に問題が発生したため、正常に削除されない場合があります。
[NSHELP-31982]
vserverAdvancesSLConfigTable OID に対応する SNMP WALK 要求は、仮想サーバーの優先順位が構成されているときにコアダンプになります。
[NSHELP-31704]
ネットワーク
DPDKを搭載したNetScaler BLXアプライアンスは、次の条件が満たされると再起動に失敗することがあります。
- NetScaler BLXアプライアンスには
hugepages
の大きい数が割り当てられます。たとえば、16 GB と入力します。
この問題は、 /var/log/ns.log
にエラーメッセージとして記録されます。
EAL: rte_mem_virt2phy(): cannot open /proc/self/pagemap: Too many open files
[NSNET-24727]
NetScalerアプライアンスでECMPが構成されている場合、SSH負荷分散接続で次の問題が発生する可能性があります。
- NetScalerアプライアンスは、最初のパケットを同じフローの他のパケットとは異なるルートで送信します。
[ NSHELP-32089 ]
次の条件が満たされると、NetScalerアプライアンスが一部のシナリオでクラッシュする可能性があります。
- NetScalerアプライアンスは、オフセットが異なる複数の最初のフラグメントを受信します。
- NetScalerアプライアンスはフラグメントを再構成しません。
[ NSHELP-32084 ]
仮想サーバーでsessionless
オプションが有効で、サーバー側で ECMP が有効になっている負荷分散構成では、次の問題が発生する可能性があります。
- NetScalerアプライアンスは、常に同じルートでパケットをサーバーに送信します。
[ NSHELP-32061 ]
大規模なNAT44セットアップでは、次の理由により、SIPトラフィックの受信中にNetScalerアプライアンスがクラッシュすることがあります。
- 古いフィルタリングエントリが原因です。
[ NSHELP-28895 ]
プラットフォーム
NetScaler SDXアプライアンスでは、Mellanox インターフェースのリングサイズが1024エントリから2048エントリに増加します。
[ NSPLAT-24539 ]
/var/log/waagent フォルダーに保存されているファイルのログローテーションが失敗し、より多くのディスク領域を占有します。この障害は、NetScaler VPXインスタンスから取得したバックアップ構成を、復元機能を使用してAzureクラウドでホストされている別のNetScaler VPXインスタンスに適用したときに発生します。
[NSHELP-31599]
NetScalerリリース13.1以降、NetScalerアプライアンスは、8つを超えるVMXNET3ネットワークインターフェイスを備えたESXiハイパーバイザーで起動に失敗します。
[NSHELP-31266]
ポリシー
NetScalerアプライアンスでは、次のことが観察されます。
- まれなケースでのメモリアカウントに関連する問題。
- 特定のエンティティのメモリ割り当て/割り当て解除に関連する問題。
また、特定のエンティティの割り当て/割り当て解除の追跡が追加/改善されました。
[NSHELP-29215]
SSL
RSA と ECDSA の両方の証明書とキーのペアが仮想サーバにバインドされ、ピアが互換性のある署名アルゴリズムをサポートしている場合、TLS 1.3 サーバは ECDSA 証明書とキーのペアを選択します。以前は、TLS 1.3 サーバーは RSA 証明書とキーのペアを選択していました。この変更により、TLS 1.3 サーバーは TLS 1.2 サーバーと同じように動作するようになりました。
[NSSSL-11650]
TLS 1.3 サーバーは、複数の TLS レコードに分割 (フラグメント) された TLS 1.3 ハンドシェイクメッセージを検出すると、 decode_error
アラートを返します。これは、クライアントが証明書を使用して認証を行っていて、クライアントの証明書が最大 TLS レコードサイズ (約 16 KB) よりも大きい場合に、ハンドシェイクの正常な完了に影響を与える可能性があります。
[NSSSL-2940]
次の条件が満たされると、SSL ハンドシェイクが失敗することがあります。
- Hello 検証要求 (HVR) は DTLS で有効になっています。
- NetScalerアプライアンスはHVRをクライアントに送信します。
- クライアントは HVR を受信しません。
- クライアントは、セッションCookieを使用してHVRに応答する代わりに、最初のクライアントHelloを再送信しようとします。注:再送信されたクライアントのHelloメッセージに応答して、ADCアプライアンスはHVRをクライアントに最大3回送信します。適切な応答が受信されない場合、アプライアンスはハンドシェイクに失敗します。
[ NSHELP-31808 ]
メモリ使用率が 80% を超えると、SSLトラフィックを処理するように構成されたNetScalerアプライアンスがクラッシュする可能性があります。
[ NSHELP-29996 ]
システム
NetScalerアプライアンスがsyslogアクション構成フローでクラッシュする。このクラッシュは、セカンダリノードでの高可用性同期中に発生します。
[ NSHELP-32254, NSHELP-32397 ]
NetScalerアプライアンスでは、HTTPプロファイルのmaxHeaderFieldLen
パラメータのデフォルト値によって次の問題が発生します。
- 13.0ビルドにアップグレードした後のトラフィック障害。
[ NSHELP-32079 ]
AppFlowがクライアント側でのみ有効になっていると、NetScalerアプライアンスがクラッシュすることがあります。
[NSHELP-31892]
次の条件が満たされると、NetScalerアプライアンスがクラッシュすることがあります。
- 分析プロファイルとAppFlowポリシーの両方がバインドされ、プロファイルで
httpAllHdrs
オプションが有効になっています。
[ NSHELP-30628 ]
NetScalerアプライアンスでは、コンテンツスイッチングまたは負荷分散仮想IP(VIP)のHTTP/2構成を有効にすると、次の問題が発生します。
- NetScalerアプライアンスを介してHTTP/2ヘッダーとデータフレームをWebサイトに転送する際の遅延が最大100ミリ秒に増加します。
[NSHELP-30094、NSHELP-34672]
ユーザーインターフェイス
高可用性 (HA) セットアップで、nsconf ツールのローカル IP アドレスをフェッチしているときに、次の問題が発生します。
- ローカルホスト接続ログインに失敗しました。この障害は、RPC ノードのパスワードが HA セットアップのプライマリノードとセカンダリノードで異なる場合に発生します。
[NSHELP-32083]
SSL 仮想サーバーと証明書とキーのペアのバインディングを削除しようとすると、次の例外が Python API SDK で見られます。 TypeError: ‘str’ オブジェクトと ‘bool’ オブジェクトを連結できません
[NSHELP-31746]
負荷分散サーバーの統計情報が、NetScaler GUIダッシュボードでずれている。
[ NSHELP-20752 ]
既知の問題
リリース13.1~30.52に存在する問題。
AppFlow
HDX Insightは、ユーザーがアクセスできないアプリケーションまたはデスクトップを起動しようとしたことによるアプリケーションの起動失敗を報告しません。
[ NSINSIGHT-943 ]
認証、承認、監査
NetScalerアプライアンスは、重複したパスワードログインの試行を認証せず、アカウントのロックアウトを防ぎます。
[ NSHELP-563 ]
DualAuthPushOrOTP.xml LoginSchemaがNetScaler GUIのログインスキーマエディタ画面に正しく表示されません。
[NSAUTH-6106]
ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
show adfsproxyprofile <profile name>
回避方法:
クラスタ内のプライマリのアクティブなNetScalerに接続し、 show adfsproxyprofile <profile name>
コマンドを実行します。プロキシプロファイルの状態が表示されます。
[ NSAUTH-5916 ]
次の手順を実行すると、NetScaler GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。
- [LDAP 到達可能性をテスト] オプションが開きます。
- 無効なログイン認証情報が入力され、送信されます。
- 有効なログイン認証情報が入力され、送信されます。
回避方法:
[LDAP 到達可能性のテスト] オプションを閉じて開きます。
[NSAUTH-2147]
NetScaler SDXアプライアンス
NetScaler SDXアプライアンスでは、CLAGがMellanox NIC上に作成されている場合、VPXインスタンスの再起動時にCLAG MACが変更されます。VPXインスタンスへのトラフィックは再起動後に停止します。これは、MACテーブルに古いCLAG MACエントリがあるためです。
[ NSSVM-4333 ]
NetScaler Gateway
Chrome を使用している MAC デバイスで、2 つの FQDN にアクセスしているときに VPN 拡張機能がクラッシュする。
[ NSHELP-32144 ]
Citrix Secure Accessによって確立されたトンネルの外部にあるリソースへの直接接続は、大幅な遅延または輻輳が発生すると失敗することがあります。
[ NSHELP-31598 ]
Always on が設定されている場合、aoservice.exe ファイルのバージョン番号(1.1.1.1)が正しくないため、ユーザトンネルが失敗します。
[ NSHELP-30662 ]
[NetworkAccessonVPNFailure]プロファイルパラメーターを[フルアクセス]から[OnlyToGateway]に変更すると、ユーザーはNetScaler Gateway アプライアンスに接続できなくなります。
[ NSHELP-30236 ]
ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。この問題を解決するために、次のレジストリ値が導入されます。
\ HKLM\ ソフトウェア\ Citrix\ Secure Access Client
セキュアチャネルリセットタイムアウト (秒) タイプ:DWORD
デフォルトでは、このレジストリ値は設定も追加もされません。SecureChannelResetTimeoutSeconds
の値が0の場合、または追加されていない場合、遅延を処理する修正は機能しません。これはデフォルトの動作です。管理者は、このレジストリをクライアントに設定して修正を有効にする必要があります (つまり、ゲートウェイプラグインが VPN トンネルを正常に確立した直後にホームページを表示する)。
[ NSHELP-30189 ]
Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。
[ NSHELP-29675 ]
サーバー証明書が信頼されていると、サーバー検証コードが失敗することがあります。その結果、エンドユーザーはゲートウェイにアクセスできなくなります。
[NSHELP-28942]
rdx.js ファイルにいくつかの Citrix 内部 IP アドレスがあることに気付くかもしれません。
[ NSHELP-28682 ]
macOSキーチェーンにクライアント証明書がない場合、Citrix SSO for macOSのクライアント証明書認証が失敗します。
[ NSHELP-28551 ]
クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にNetScaler Gateway からログアウトすることがあります。
[ NSHELP-28404 ]
次の条件が満たされている場合、VPN プラグインは Windows ログオン後にトンネルを確立しません。
- NetScaler Gateway アプライアンスが常時オン機能用に構成されている
- アプライアンスは、二要素認証
off
の証明書ベースの認証用に構成されています
[ NSHELP-23584 ]
スキーマを参照しているときに、エラーメッセージCannot read property 'type' of undefined
が表示されることがあります。
[ NSHELP-21897 ]
Windowsログオン機能の前に常時接続VPNを使用したい場合は、NetScaler Gateway 13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を使用できます。
[ CGOP-19355 ]
無効な STA チケットによるアプリケーションの起動失敗は、Gateway Insight では報告されません。
[ CGOP-13621 ]
Gateway Insight レポートでは、SAML エラーエラーの場合、「認証タイプ」フィールドの値SAML
が誤ってLocal
と表示されます。
[ CGOP-13584 ]
高可用性セットアップでは、NetScalerフェイルオーバー時に、NetScaler Consoleのフェイルオーバー数ではなくストレージリポジトリ数が増加します。
[ CGOP-13511 ]
ICA接続がMAC Receiverバージョン19.6.0.32またはCitrix Virtual Apps and Desktopsバージョン7.18から起動されると、HDX Insight機能は無効になります。
[ CGOP-13494 ]
EDT Insight 機能が有効になっていると、ネットワークの不一致時にオーディオチャネルに障害が発生することがあります。
[ CGOP-13493 ]
ブラウザからローカルホスト接続を受け付けると、macOS の Accept Connection ダイアログボックスには、選択した言語に関係なく英語でコンテンツが表示されます。
[ CGOP-13050 ]
一部の言語では、Citrix SSOアプリ>ホームページのテキストHome Page
が切り捨てられます。
[ CGOP-13049 ]
NetScaler GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。
[ CGOP-11830 ]
Outlook Web App (OWA) 2013 では、[ 設定 ] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。
[ CGOP-7269 ]
負荷分散
高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。
[ NSLB-7679 ]
高可用性(HA)セットアップでは、ルートは新しいプライマリノードでドロップされ、次の条件が満たされた場合に再度学習されません。
- 重大なインターフェイス障害により、動的ルートの削除と HA フェールオーバーが同時に発生します。
[NSHELP-32264]
entityofs
サービスグループのトラップの ServiceGroupName 形式は次のとおりです。
<service(group)name>?<ip/DBS>?<port>
トラップ形式では、サービスグループは IP アドレスまたは DBS 名とポートで識別されます。疑問符 (?
) はセパレータとして使用されます。NetScalerは、疑問符(?
)付きのトラップを送信します。フォーマットはNetScalerコンソールのGUIでも同じように表示されます。これは予想される動作です。
[ NSHELP-28080 ]
特定のシナリオでは、サービスグループにバインドされたサーバーが、無効な Cookie 値を表示します。トレースログで正しい Cookie 値を確認できます。
[ NSHELP-21196 ]
その他
高可用性セットアップで強制同期が行われると、アプライアンスはセカンダリノードでset urlfiltering parameter
コマンドを実行します。
その結果、セカンダリノードは、 TimeOfDayToUpdateDB
パラメータで指定された次のスケジュールされた時刻まで、スケジュールされた更新をスキップします。
[NSSWG-849]
レジストリ値が 2000 バイトを超えると、AlwaysOnAllow リストレジストリが期待どおりに動作しません。
[ NSHELP-31836 ]
URLフィルタリングのサードパーティベンダーで接続の問題が発生した場合、管理CPUの停滞によりNetScalerアプライアンスが再起動することがあります。
[ NSHELP-22409 ]
ネットワーク
DPDKをサポートするNetScaler BLXアプライアンスでは、DPDKIntel i350 NICポートではタグ付きVLANはサポートされません。これは、DPDK ドライバに存在する既知の問題であるため、確認されています。
[ NSNET-25299 ]
DPDKを搭載したNetScaler BLXアプライアンスは、次の条件をすべて満たすと再起動に失敗することがあります:
- NetScaler BLXアプライアンスは、
hugepages
の小さい数が割り当てられます。たとえば、1G です。 - NetScaler BLXアプライアンスには多数のワーカープロセスが割り当てられています。たとえば、28 と入力します。
この問題は、 /var/log/ns.log
にエラーメッセージとして記録されます。
BLX-DPDK:DPDK Mempool could Not be Initialized for PE-x
注:x はワーカープロセス数以下の数です。
回避方法:
多数のhugepages
を割り当て、アプライアンスを再起動します。
[ NSNET-25173 ]
DPDKモードのNetScaler BLXアプライアンスは、DPDK簡易機能のため、再起動に少し時間がかかる場合があります。
[ NSNET-24449 ]
DPDKを搭載したNetScaler BLXアプライアンスのIntel X710 10G (i40e)
インターフェイスでは、次のインターフェイス操作はサポートされていません:
- 無効化
- 有効化
- リセット
[ NSNET-16559 ]
DebianベースのLinuxホスト(Ubuntuバージョン18以降)では、NetScaler BLXアプライアンスのインストールが次の依存関係エラーで失敗することがあります:
The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable
回避方法:
NetScaler BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します。
- dpkg –add-architecture i386
- apt-get update
- apt-get dist-upgrade
- apt-get install libc6:i386
[ NSNET-14602 ]
FTPデータ接続の場合、NetScalerアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対してTCP処理は実行しない場合があります。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。
[ NSNET-5233 ]
NetScalerアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は管理パーティションの新しいメモリ制限に自動的に設定されます。
[ NSHELP-21082 ]
プラットフォーム
13.0/12.1/11.1ビルドから13.1ビルドにアップグレードするか、13.1ビルドから13.0/12.1/11.1ビルドにダウングレードすると、一部のPythonパッケージがNetScalerアプライアンスにインストールされません。この問題は、次のNetScalerバージョンで修正されています。
- 13.1-4.x
- 13.0—82.31 およびそれ以降
- 12.1—62.21 およびそれ以降
NetScaler バージョンを13.1-4.xから次のバージョンのいずれかにダウングレードすると、Pythonパッケージはインストールされません。
- 任意の 11.1 ビルド
- 12.1—62.21 およびそれ以前
- 13.0-81.x およびそれ以前
[ NSPLAT-21691 ]
NetScaler SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、2番目のノードとCLIPでCLAG MACの不一致があります。
- CLAG はMellanox NIC 上に作成されます。
- クラスターとCLAGセットアップに別のVPXインスタンスを追加します。
その結果、VPXインスタンスへのトラフィックが停止します。
[NSPLAT-21049]
NetScaler SDXアプライアンスのクラスタセットアップで、次の条件が満たされると、CLIPテーブルとMACテーブルでMACアドレスの不一致が原因で最初のノードがダウンします。
- CLAG はMellanox NIC 上に作成されます。
- クラスタから 2 つ目のノードを削除します。
[NSPLAT-21042]
Azureリソースグループからオートスケール設定または仮想マシンスケールセットを削除する場合は、対応するクラウドプロファイル構成をNetScalerインスタンスから削除します。rm cloudprofile
コマンドを使用して、プロファイルを削除します。
[ NSPLAT-4520 ]
Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。 回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノードで設定する必要があります。
[ NSPLAT-4451 ]
ポリシー
処理データのサイズが、設定されているデフォルトの TCP バッファサイズを超えると、接続がハングすることがあります。回避策:TCP バッファサイズを、処理が必要なデータの最大サイズに設定します。
[ NSPOLICY-1267 ]
SSL
NetScaler SDX 22000アプライアンスとNetScaler SDX 26000アプライアンスの異機種クラスタでは、SDX 26000アプライアンスを再起動するとSSLエンティティの構成が失われます。
回避方法:
- CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:
set ssl vserver <name> -SSL3 DISABLED
。 - 構成を保存します。
[ NSSSL-9572 ]
認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。
[ NSSSL-6478 ]
同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。NetScalerアプライアンスはエラーを返しません。
[ NSSSL-6213 ]
HSM タイプとして Key Vault を指定せずに HSM キーを削除すると、次のような誤ったエラーメッセージが表示されます。 エラー:CRL 更新は無効です
[ NSSSL-6106 ]
セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)
[ NSSSL-4427 ]
SSL プロファイルの SSL プロトコルまたは暗号を変更しようとすると、不正な警告メッセージWarning: No usable ciphers configured on the SSL vserver/service,
が表示されます。
[ NSSSL-4001 ]
期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。[ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]
NetScaler SDXアプライアンスをリリース13.1ビルド21.50以降にアップグレードすると、SSL復号化とMAC比較が失敗することがあります。その結果、SSLハンドシェイクの失敗、VPXステータスのフラッピング、VPXインスタンスGUIの利用不能、仮想サーバーとアプリケーションのダウンが発生する可能性があります。
注:この問題は、SDX 8900、SDX 15000、SDX 15000-50G、SDX 26000、およびSDX 26000-50Sのプラットフォームで発生します。
[NSHELP-31672]
システム
アプライアンスがクライアントから max_concurrent_stream 設定フレームを受信しない場合、MAX_CONCURRENT_STREAMS 値はデフォルトで 100 に設定されます。
[ NSHELP-21240 ]
mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。
[ NSHELP-10972 ]
クラスタ展開では、非 CCO ノードでforce cluster sync
コマンドを実行すると、ns.log ファイルに重複したログエントリが含まれます。[NSBASE-16304、NSGI-1293]
NetScaler ConsoleをKubernetesクラスターにインストールすると、必要なプロセスが実行されない可能性があるため、期待どおりに機能しません。
回避策:管理ポッドを再起動します。
[ NSBASE-15556 ]
LogStream トランスポートタイプが Insight に設定されている場合、HDX Insight SkipFlow レコードでクライアント IP とサーバー IP が反転します。
[NSBASE-8506]
SSLサービスで構成されたNetScalerアプライアンスは、アプライアンスがTCP FIN制御パケットの後にTCP RESET制御パケットを受信するとクラッシュします。
[ NSHELP-31656 ]
ユーザーインターフェイス
MQTT リライト機能では、GUI のエクスプレッションエディタを使用してエクスプレッションを削除することはできません。
回避方法:
CLI から MQTT タイプの add または edit action コマンドを使用します。
[ NSUI-18049 ]
NetScaler GUIでは、Dashboard
タブの下にあるHelp
リンクが壊れています。
[ NSUI-14752 ]
CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。
回避方法:
NetScaler GUIまたはCLIを使用して、IPSecプロファイル、IPトンネル、およびPBRルールを追加して、CloudBridge Connectorを構成します。
[ NSUI-13024 ]
GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。
[ NSUI-6838 ]
高可用性セットアップでは、次の条件が満たされると、VPN ユーザセッションが切断されます。
- HA 同期の進行中に、2 つ以上の連続した手動の HA フェールオーバー操作が実行される場合。
回避方法:
HA 同期が完了した後(両方のノードが同期成功状態にある)のみ、手動の HA フェールオーバーを連続して実行します。
[ NSHELP-25598 ]
NetScaler BLXアプライアンスの高可用性セットアップでは、プライマリノードが応答しなくなり、CLIまたはAPI要求がブロックされることがあります。
回避方法:
プライマリノードを再起動します。
[NSCONFIG-6601]
あなた(システム管理者)がNetScalerアプライアンスで次の手順をすべて実行すると、システムユーザーがダウングレードされたNetScalerアプライアンスにログインできないことがあります。
-
NetScalerアプライアンスをいずれかのビルドにアップグレードします。
- 13.0 52.24 ビルド
- 12.1 57.18 ビルド
- 11.1 65.10 ビルド
- システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更して、構成を保存します。
- NetScalerアプライアンスを古いビルドにダウングレードします。
CLI を使用してこれらのシステムユーザのリストを表示するには、次の手順を実行します。
コマンドプロンプトで入力します:
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]
回避方法:
この問題を修正するには、次の独立したオプションのいずれかを使用します。
- NetScalerアプライアンスがまだダウングレードされていない場合(上記の手順のステップ3)、同じリリースビルドの以前にバックアップされた構成ファイル(ns.conf)を使用してNetScalerアプライアンスをダウングレードします。
- アップグレードされたビルドでパスワードが変更されていないシステム管理者は、ダウングレードされたビルドにログインし、他のシステムユーザーのパスワードを更新できます。
- 上記のいずれのオプションも機能しない場合、システム管理者はシステムユーザパスワードをリセットできます。
詳しくは、https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.htmlを参照してください。
[ NSCONFIG-3188 ]
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.