-
-
-
VMware ESX、Linux KVM、およびCitrix HypervisorでNetScaler ADC VPXのパフォーマンスを最適化する
-
-
-
-
-
-
-
-
-
-
-
-
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
NetScaler 14.1-12.35 ビルドのリリースノート
このリリースノートでは、NetScalerリリースBuild 14.1-12.35の拡張機能や変更、修正された問題と既知の問題について説明します。
メモ
- このリリースノートには、セキュリティ関連の修正は含まれていません。セキュリティに関する修正とアドバイスの一覧については、Citrixセキュリティ情報を参照してください。
- ビルド 14.1-12.35 以降のビルドは、https://support.citrix.com/article/CTX584986で説明されているセキュリティの脆弱性に対処します。
- ビルド 14.1-12.35 がビルド 14.1-12.30 に取って代わります。
新機能
ビルド 14.1-12.35 で利用できる機能強化と変更点。
分析インフラストラクチャ
-
Prometheus スクレイプ設定 YAML ファイルのパラメーターの更新
Prometheus YAML スクレイプ設定ファイルのパラメーターには、以下の変更が加えられています:
-
metrics_pathパラメータはオプションになり、/metricsはデフォルトパスです。YAMLファイルにmetrics_pathの値が定義されていない場合は、Prometheus がパスとして/metricsを追加します。 以前は、metrics_pathパラメーターは必須で、デフォルトパスは/nitro/v1/config/systemfileでした。 -
profilenameパラメーターはオプションになり、ユーザー定義の時系列プロファイル名を受け入れるようになりました。プロファイル名パラメーターがない場合は、ns_analytics_time_series_profileがプロファイル名とみなされます。以前は、 このprofilenameパラメーターは必須でした。
詳しくは、「 PrometheusによるNetScaler、アプリケーション、およびアプリケーションセキュリティの監視」を参照してください。
[ NSANINFRA-599 ]
-
-
管理ログを Splunk に直接エクスポート
NetScalerは、管理ログとホストログ(非パケットエンジンログ)のSplunkまたは外部Syslogサーバーへのエクスポートをサポートするようになりました。エクスポートされたデータをSplunkの視覚化ツールを使用して視覚化し、有意義な洞察を得ることができます。詳しくは、「 NetScalerからSplunkへの管理ログの直接エクスポート」を参照してください。
[ NSANINFRA-516 ]
負荷分散
-
既存の GSLB サイトの名前を変更する
既存の GSLB サイトを削除してサイトを作成する代わりに、名前を変更できるようになりました。GSLB サイトの名前を変更することで、サイトに関連するすべての GSLB 構成エンティティを保持できます。
詳細については、「 基本的な GSLB サイトの設定」を参照してください。
[NSLB-10477]
-
TLS 経由の DNS および ADNS サービスのサポート
NetScalerは、DNSリクエストとレスポンスを暗号化するDNSオーバーTLS(DOT)をサポートするようになりました。このサポートは、DOT サービスタイプを使用する ADNS プロキシモードと DNS プロキシモードの両方に追加されました。このサービスを構成すると、NetScalerは各DNS要求のパケット形式を検証して暗号化し、クライアントに応答します。
詳細については、「 基本的な負荷分散の設定」を参照してください。
[NSLB-9825]
-
DNSSEC キー管理機能の自動化
設定した頻度に基づいて DNSSEC キーロールオーバープロセスを自動化できるようになりました。
詳細については、「 DNSSEC の設定」を参照してください。
[NSLB-9380]
-
GSLB サイトへの DNSSEC キーの自動配布
ゾーン転送パラメータを使用して、GSLB サイト間で DNSSEC キーを同期できるようになりました。
詳細については、「 ゾーンメンテナンス」を参照してください。
[NSLB-9379]
その他
-
API 仕様を使用した高度なポリシー表現
NetScalerにインポートされたAPI仕様を使用して高度なポリシー式を作成できるようになりました。式に基づいて、着信 API トラフィックに適切なアクションを設定できます。受信 API トラフィックのタイプは gRPC でも REST でもかまいません。
詳細については、「 API 仕様を使用した高度なポリシー表現」を参照してください。
[ NSAPISEC-2558 ]
-
API 仕様の検証
これで、インポートされた API 仕様に対して受信トラフィックを検証できます。この機能を使用すると、API リクエストによってデータの品質と一貫性が保証されます。トラフィックの検証に加えて、特定のトラフィックのスキーマ検証チェックをバイパスするように緩和ルールを設定することもできます。
詳細については、「 API 仕様の検証」を参照してください。
[ NSAPISEC-2555 ]
-
API 仕様のインポート
Web App Firewall ページのインポートオプションを使用して、API仕様ファイルをNetScalerにインポートできるようになりました。Web App Firewall は、API 仕様ファイルで指定されたスキーマに対してユーザーリクエストを検証します。
詳細については、「 インポート」を参照してください。
[ NSAPISEC-2351 ]
NetScaler SDXアプライアンス
-
NetScaler SDXでのインスタンスライセンスチェックアウトの制限の解除
プールライセンスを使用するNetScaler SDXでは、最小数のインスタンスライセンスをチェックアウトするという制限がなくなりました。つまり、少なくとも 1 つのインスタンスライセンスをチェックアウトできます。以前は、チェックアウトできるインスタンスライセンスの最小数はプラットフォームによって異なりました。
詳しくは、「 NetScalerプール容量」の表1を参照してください。
[ NSSVM-5881 ]
-
NetScaler SDX 16000のライセンス制限の引き上げ
NetScaler SDX 16000のライセンス制限が240Gから250Gに引き上げられました。
[ NSSVM-5807 ]
ネットワーク
-
PBRベースのGREトンネルにおけるNetScaler内部トラフィックのサポート
デフォルトでは、NetScalerアプライアンスはPBRベースのGREトンネルで一部の種類のNetScaler内部トラフィックを送信しません。
トラフィックがPBRルールに一致した場合に、PBRベースのGREトンネルで次のNetScaler内部トラフィックを許可するために、グローバルレイヤー3(L3)パラメーターの暗黙的PBR(
ImplicitPBR)が導入されました。デフォルトでは、このグローバル L3 パラメータは無効になっています。- BGP トラフィック-ポート 179
- ゼボスシンクトラフィック-ポート 4001
- RIP および IPv6 RIP トラフィック-ポート 520
- RPC トラフィック-ポート 3008、3009、3010、および 3011
- UDP トラフィック-ポート 520
- 高可用性 UDP トラフィック-ポート 3003
- 高可用性 TCP トラフィック-ポート 22
- クラスタ UDP トラフィックポート 7000
- ssh グローバルトラフィック
Implicit PBR (
ImplicitPBR) パラメータを有効にすると、新しいセッションに関連するトラフィックのみが PBR ベースのトンネルで許可されます。たとえば、トラフィックが PBR ルールに一致する場合、新しいセッションの BGP トラフィックだけが PBR ベースの GRE トンネルで許可されます。既存の BGP セッションは、引き続き PBR の代わりに通常の宛先ベースのルーティングを使用します。[NSNET-28989]
-
NetScalerクラスターでの安全なハートビートメッセージのサポート
NetScalerは、クラスター構成で安全なハートビートメッセージをサポートするようになりました。セキュアハートビートメッセージを有効にすると、NetScalerはハートビートパケットを認証し、パケットの整合性をチェックして、改ざん攻撃やリプレイ攻撃などのネットワーク攻撃から保護します。
詳細については、「 安全なハートビートの設定」を参照してください。
[NSNET-28009]
-
NetScaler BLX の Ubuntu Linux ホストのサポート
NetScaler BLX は Ubuntu リリース 22.04 でサポートされるようになりました。
[NSNET-27434]
プラットフォーム
-
NetScaler VPXでのクラウドプロファイルの作成を最適化しました
NetScaler VPXは、バックエンドの自動スケーリングを使用する際のクラウドプロファイルの作成にかかる時間を短縮するようになりました。これは、バックエンド自動スケーリンググループの作成時にスケールダウンポリシーをここで指定する必要がないためです。最適化は Azure と AWS クラウドの両方に適用できます。ただし、AWS では、グレースフルタイムアウト機能を使用する場合は、少なくとも 1 つのスケールダウンポリシーを指定する必要があります。
詳細については、「 バックエンド AWS 自動スケーリングサービスの追加」を参照してください。
[ NSPLAT-26628 ]
-
Azure クラウドでのマネージド ID のサポート
NetScaler VPXは、Azureクラウドのマネージドアイデンティティをサポートするようになりました。マネージド ID は、サービスプリンシパルを仮想マシンなどの Azure リソースにリンクするために使用されます。マネージドIDを使用すると、クラウド認証情報を管理する必要がないため、セキュリティリスクを回避できます。
以前は、NetScaler VPXではクラウド認証情報を手動で設定することしかできませんでした。クラウド認証情報は、アプリケーション ID、アプリケーションシークレット、テナント ID で構成されます。
NetScaler VPXでマネージドIDとクラウド認証情報の両方を構成すると、マネージドIDがクラウド認証情報よりも優先されます。現在、NetScaler VPXは、システムによって割り当てられた管理対象IDと単一ユーザーが割り当てた管理対象IDのみをサポートしています。複数ユーザーに割り当てられたマネージド ID はサポートされていません。
詳細については、「 バックエンドの Azure 自動スケーリングサービスの追加」を参照してください。
[NSPLAT-23111]
ポリシー
-
NSPEPIツールを使用した従来のSSLポリシー構成の変換のサポート
NSPEPIツールは、従来のSSLポリシー構成を高度な構成に変換するようになりました。
[NSPOLICY-5422]
-
NetScalerのアップグレード中にNSPEPIツールを実行するオプション
NetScalerのアップグレードの一環としてNSPEPIツールを実行できるようになりました。
アップグレード中にクラシックポリシーを高度なポリシーに変換するには、
./installnsコマンドで-Mオプションを選択します。-Mオプションは NSPEPI ツールを起動し、変更された構成で既存の ns.conf ファイルを更新します。古い構成は、後で参照できるように /nsconfig/ns.conf_old にあります。注:
アップグレードする前に、クラシックポリシーを高度なポリシーに変換することをお勧めします。この機能強化により、アップグレード前にクラシックポリシーを変換し忘れた場合でも、アップグレード中に高度なポリシーに変換することを選択できます。
詳細については、「 NSPEPI ツールを使用したポリシー表現の変換」を参照してください。
[NSPOLICY-5339]
-
式を使用してパッチセットまたはデータセットの名前を導出する; rn これで、PATSETまたはデータセット関連のメソッド (CONTAINS_ANY ()、EQUALS_ANY () など) で式を使用してパターンセットまたはデータセットの名前を導出できるようになりました。; パッチセットまたはデータセットを動的に使用するには、
dynamicパラメータを使用してそのパッチセットまたはデータセットを設定する必要があります。 以前は、静的な名前または文字列しか指定できませんでした。rn詳細については、「 パターンセットの設定」および「 [データセットの設定](https://docs.netscaler.com/ja-jp/citrix-adc/current-release/appexpert/pattern-sets-data-seta/configuring-data-sets)」を参照してください。
[ NSHELP-22114 ]
SSL
-
証明書バンドルの更新操作をサポート
証明書バンドルで更新操作がサポートされるようになりました。証明書バンドルを直接更新できるようになりました。以前は、最初にバンドルをバインド解除して削除し、次に証明書バンドルを追加してバインドする必要がありました。
[ NSSSL-12613 ]
-
SSL 仮想サーバーおよびプロファイルでの EC カーブ 25519 のサポート
SSL 仮想サーバーとプロファイルは、TLS 1.3 ハンドシェイクでの X25519 キー交換をサポートするようになりました。SSL 仮想サーバーまたは SSL プロファイルのバインドコマンドを使用して、この曲線を明示的にバインドします。このカーブはECカーブ名「ALL」にも含まれており、これを使用してすべてのECカーブをSSL仮想サーバーまたはSSLプロファイルにバインドできます。
[NSSSL-1371]
システム
-
1 分間に接続で受信する HTTP/2 RESET フレームの数を制限する
HTTP/2 接続で 1 分間に受信する HTTP/2 RESET フレームの数を制限できるようになりました。RESETフレームの数が構成された制限を超えると、NetScalerはその接続のパケットをサイレントにドロップします。
この拡張機能により、攻撃者が複数の HTTP/2 ストリームを開き、RESET STREAM フレームを送信してこれらのストリームをすぐにキャンセルした場合の HTTP/2 DoS 攻撃を軽減できます。
詳細については、「 HTTP/2 DoS緩和策」を参照してください。
[NSBASE-18564]
-
管理 UI URL のロギングは無効になっています
この機能強化により、特に許可されていない一部の管理 UI URL へのアクセスが禁止されたときに生成される詳細なログメッセージが少なくなります。ログメッセージはアクセスが拒否された URL を識別するのに役立ちますが、ログサイズが大きくなる傾向があります。この機能強化により、NetScalerはデフォルトでログを生成しません。ただし、
nsapimgrノブを使用してログを有効にすることはできます。[NSBASE-18455]
-
NetScalerはプロキシプロトコルV2のTLVの転送をサポートしています
NetScalerは、仮想サーバーとサービスでプロキシプロトコル機能が有効になっている場合、プロキシプロトコルV2で送信されたTLV(Type Length Value)情報をバックエンドサーバーに転送することをサポートします。
NetScaler 14.1-12.30がリリースされる前は、NetScalerはTLVを解析できなかったため、TLVを削除していました。
詳細については、「 プロキシプロトコル」を参照してください。
[NSBASE-18418]
ユーザーインターフェイス
-
NetScaler 次世代API (テクニカルプレビュー)
NetScaler次世代APIは、NetScalerアプライアンスをシンプルで使いやすい方法でプログラム的に構成できるようにする高度で堅牢な
RESTfulAPIです。このAPIは、宣言型で望ましい状態の、アプリケーション中心のインターフェースに基づいています。このAPIは、従来のNetScaler構成の低レベルの複雑さの多くを抽象化して簡素化することを目的としています。これらのAPI機能により、ネットワークやNetScalerの専門家ではないアプリケーション開発者に適しています。
次世代 API のコアコンセプトはアプリケーションです。同じアプリケーションに関連するすべての構成要素がグループ化されているため、変更をアトミックに簡単かつ安全に適用できます。
現在、次世代 API では以下の機能セットがサポートされています:
- コンテンツスイッチング (HTTP、HTTPプロトコル)
- ロード・バランシング (HTTP、HTTPプロトコル)
- SSLオフロード
- HTTP リダイレクト、HTTP レスポンダー
- サーバーヘルスチェック
[NSCONFIG-8040]
-
ルーティング機能の NITRO API ドキュメントの更新
API リファレンスガイドの一部として、以下のダイナミックルーティング関連リソースのドキュメントが公開されました:
- accessList
- bfdInterface
- bgpPrefix
- bgpRouter
- ipRoute
- ospf6Database
- ospf6Interface
- ospf6Neighbor
- ospf6Router
- ospfDatabase
- ospfInterface
- ospfNeighbor
- ospfRouter
- routeMap
NITRO APIドキュメントは 、NetScaler GUIの[ ダウンロード ]タブから入手できます。
[NSCONFIG-7765]
-
システムファイルの NITRO API GET リクエストは、次の条件が満たされるとファイルコンテンツの読み取りに失敗します:
-
ファイルの権限レベルは640に設定されています。
-
関連するディレクトリには実行権限がありません。
[NSCONFIG-7732]
-
解決された問題
ビルド 14.1-12.35 で対処されている問題。
分析インフラストラクチャ
-
/netscaler/nsconmsgコマンドを実行すると、NetScalerは管理パーティション上の仮想サーバーの不完全なデバッグ情報を表示します。[ NSHELP-36185 ]
-
複数のAppFlowポリシーがNetScalerにグローバルにバインドされている場合、1つのポリシーのバインドを解除すると、他のポリシーも無効になります。
[NSHELP-35960]
-
クラスタ展開では、非CCOノードは、ノードで「強制クラスタ同期」または「再起動」操作を実行しても、TCP Syslogメッセージを外部Syslogサーバに送信しません。
[ NSHELP-32925 ]
認証、承認、監査
-
場合によっては、OAuth IdPがSP証明書の古いコピーをキャッシュすると、OAuth SPとして構成されたNetScalerがクラッシュすることがあります。
[ NSHELP-36150 ]
-
OAuth IdPとして構成されたNetScalerは、依存当事者への応答時に誤ったコンテンツタイプヘッダーを送信することがあります。
[ NSHELP-35918 ]
-
SAMLサービスプロバイダーとして構成されたNetScalerは、SAML IdPサーバーに送信された要求への応答を期待するとクラッシュすることがあります。
[ NSHELP-35771 ]
-
アップグレード後、NetScalerログファイルに「AAA DHT: サブタイプ1が無効なため、VPNエントリ再開通知が失敗しました」というメッセージが繰り返し表示されます。
[ NSHELP-35649 ]
-
TACACS認証がNAT IPアドレスで構成されている場合、NetScaler CLIを使用してコマンドを実行する際に遅延が発生する可能性があります。
[ NSHELP-32960 ]
ボット管理
-
まれに、デバイスの指紋検出技術を使用すると、Web ページが読み込まれないことがあります。
[ NSHELP-34742 ]
負荷分散
-
HA セットアップでは、以下の条件が満たされると、DNS サーバーは GSLB ドメインクエリに対して空の応答を断続的に送信することがあります。
- パーシスタンスは GSLB 仮想サーバーで設定されます。
- 多数の負荷分散デプロイメントが設定されています。
- HA フェールオーバーが発生します。
[ NSHELP-35981 ]
-
ADNS 展開では、DNS サーバーが意図しないユーザーに DNS ビューの IP アドレスで応答することがあります。この問題は、DNSレスポンダーポリシーにドロップアクションを設定した場合に発生することがあります。
[ NSHELP-35928 ]
-
NetScalerは要求を受信すると、詳細を返信する代わりにクエリを返します。この問題は、次の条件が満たされた場合に発生することがあります:
- ADNSサービスとDNS負荷分散仮想サーバーは同じNetScaler上に構成されています。
- DNS クエリが仮想サーバーに送信され、仮想サーバーは否定的な応答を受け取ります。ただし、キャッシュ期間中は、同じクエリが ADNS サービスに送信されます。
[ NSHELP-35878 ]
-
GLSBレスポンスに300を超えるIPアドレスが含まれていると、NetScalerがクラッシュすることがあります。
[NSHELP-35792]
-
HA フェイルオーバー後、パーシスタンスタイムアウト期間が終了しても、パーシスタンスセッションのエントリはプライマリノードから削除されません。セッションエントリは、セカンダリノードが稼働するまで保持されます。
[ NSHELP-34378 ]
その他
-
NetScaler BLXをDPDKサポートで構成すると、NetScaler BLXは一部のファームウェアバージョンのNICでDPDK互換のNICポートを検出できないことがあります。その結果、NICポートは非DPDKポートとしてNetScaler BLXに追加されます。
[ NSHELP-36290 ]
-
ICA接続がアクティブなVPN仮想サーバーの名前を変更すると、NetScalerがクラッシュすることがあります。
[NSHELP-35804]
NetScaler Gateway
-
次の条件が満たされている場合、「トラフィック管理」>「SSL」>「SSL ファイル」オプションが GUI に表示されません:
- NetScaler Gatewayライセンスが使用されます。
- ソフトウェアはNetScalerリリース13.0ビルド9.1.xにアップグレードされます。
[ NSHELP-36186 ]
-
バックエンドサーバーが HTTP/1.0 モードのプロキシリクエストを拒否するため、一部のアプリケーション (内部および外部) にアクセスできない場合があります。
[ NSHELP-35919 ]
-
NetScaler Gateway GUIを使用してDTLS仮想サーバーを構成する場合、DTLS仮想サーバーでデフォルトのSSLプロファイルが有効になっていると、SSL設定は削除されます。
[ NSHELP-34723 ]
-
バッファオーバーフロー状態のため、NetScalerでEPAスキャンが断続的に失敗します。
[ NSHELP-34039 ]
NetScaler SDXアプライアンス
-
管理サービスUIでVPXインスタンスを編集すると、 ゲートウェイIPv6アドレスが管理サービスUIに表示されないため 、管理サービスはインベントリから値を削除します。
[ NSSVM-5865 ]
-
デフォルトの認証情報を使用してルート管理者としてManagement Service UIに初めてログオンする場合、デフォルトのパスワードを変更する必要があります。
[NSSVM-5767]
-
NetScaler SDXダッシュボードでは、スループットデータとグラフは表示されません。
[ NSHELP-36586 ]
-
NetScaler SDXバージョン13.1をビルド42.47からビルド49.13にアップグレードすると、管理サービスからXenServer へのSCP/SSH接続のタイムアウトが原因で失敗することがあります。管理サービス UI に次のエラーメッセージが表示されます:
Attempted to upgrade on Platform but it did not come up with new version。[NSHELP-36311、NSCXLCM-2086]
-
管理サービス UI のダウンロードページから SDX-MIB-SMIV2.mib ファイルをダウンロードしても、LAST-UPDATEDフィールドは更新されません。
[ NSHELP-36174 ]
NetScaler Web App Firewall
-
変換ファイル要求のデバッグログは、URL 変換プロファイルが要求に適用されたときに生成されます。
[NSWAF-10356]
-
クラスター展開では、Web App Firewall機能を有効にするとNetScalerがクラッシュすることがあります。
[ NSHELP-36362 ]
-
SQL 文法ベースの保護機能が有効になっている場合、特定の定義済みキーワードを使用すると、誤検知が発生する可能性があります。
[ NSHELP-36138 ]
-
JSON コマンド・インジェクションの文法保護チェックは、日付形式を含むリクエストをブロックします。ただし、ログファイルのデータは更新されず、カウンタは増加しません。
[ NSHELP-35577 ]
-
有効なセッションの Cookie が別のセッションで再利用されると、Cookie ハイジャック保護機能が意図したとおりに機能しません。NetScalerは要求をブロックせずに許可します。
[ NSHELP-33723 ]
ネットワーク
-
NetScaler BLXの管理対象ホストを有効にしても、ホスト上で構成されているすべてのIPアドレスがNetScaler BLXに追加されるわけではありません。
[ NSNET-30389 ]
-
NetScaler BLXをアップグレードしても、nitro-pythonパッケージが更新されない場合があります。その結果、アップグレード中に次のエラーが表示されることがあります:
tar: /var/netscaler/nitro/ns_nitro-python_artesa_xx_xx.tar: Not found in archive[ NSNET-27927 ]
-
大規模NAT(LSN)セットアップでは、LSNフロントエンド接続とバックエンド接続で内部数の不一致があると、NetScalerアプライアンスがクラッシュすることがあります。
[ NSHELP-36391 ]
-
認証の失敗がユーザ名またはコミュニティ名と照合されると、SNMPv2 認証トラップロギングメッセージにユーザ名またはコミュニティ名の無効な値が表示されます。
[ NSHELP-36213, NSCXLCM-1848 ]
-
大規模NAT(LSN)セットアップでは、ビットエンコーディング操作が正しくないためにNetScalerアプライアンスがクラッシュすることがあります。
[ NSHELP-36124 ]
-
IP over IP 構成の HA セットアップでは、HA フェイルオーバー中にセカンダリノードがクラッシュする可能性があります。
[ NSHELP-36060 ]
-
アップグレード後、SSL VPNで構成されたNetScalerは、HDXインサイトの処理中にエラーが発生したためにクラッシュします。
[ NSHELP-35895, NSCXLCM-1519, NSCXLCM-2321 ]
-
データセットベースのACLを構成すると、NetScalerアプライアンスがクラッシュすることがあります。
[ NSHELP-35744, NSCXLCM-2170, NSCXLCM-2195, NSCXLCM-2203, NSCXLCM-2376, NSCXLCM-2748 ]
-
MIB ファイルと実際の varbind が一致しない場合、SNMP トラップモニタリングがトラップの読み取りに失敗することがあります。
[ NSHELP-35629 ]
-
大規模NAT(LSN)セットアップでは、LSNフロントエンド接続とバックエンド接続で内部数の不一致があると、NetScalerアプライアンスがクラッシュすることがあります。
[ NSHELP-35318 ]
-
デフォルト以外の HTTPS ポート上の内部 SSL サービスの場合、デフォルトの SSL 証明書のバインドを変更してアプライアンスを再起動しても、デフォルトの証明書は引き続き内部サービスにバインドされます。
[ NSHELP-24034 ]
SSL
-
ログファイルが異常に大きいと、NetScalerがクラッシュすることがあります。たとえば、SSL ハンドシェイクログを監視するためにログレベルを DEBUG に設定した場合、ファイルには他のモジュールの詳細なデバッグログも含まれるため、ログファイルのサイズが大幅に増加します。SSL デバッグログは、「nsapimgr」ノブを使用してログレベルを INFO に設定することで取得できます。その結果、ログファイルのサイズも小さくなります。
[ NSSSL-13206 ]
-
TLS 1.3クライアントが証明書の送信を拒否すると、認証仮想サーバーが次の(フォールバック)認証ポリシーを適用できない場合があります。
[ NSHELP-36479 ]
-
TLS 1.3構成でジャンボフレームを使用すると、NetScalerがクラッシュすることがあります。
[ NSHELP-36153 ]
-
NetScalerは、クライアントが以前のハンドシェイクメッセージを再送信すると、エラーメッセージを返します。
[ NSHELP-34608, NSCXLCM-348 ]
システム
-
TLS HTTP/2接続では、事前にTCP FINフラグがない状態でTLSクローズ通知メッセージを受信しても、NetScalerはHTTP/2ゴーアウェイメッセージを送信しません。
[NSHELP-36248]
-
start コマンドと stop コマンドは設定コマンドとして扱われるため、設定が変更されていなくても設定を保存するように求められます。
[ NSHELP-28413 ]
-
HTML5ブラウザとQUIC トランスポートプロトコルを使用している場合、ICAセッションは起動後数分以内に失敗することがあります。
[NSBASE-18402]
ユーザーインターフェイス
-
署名オブジェクトを編集または追加すると、「システムファイルの更新リクエストを完了できません」というエラーが表示されることがあります。この問題は、次の条件のいずれかが満たされた場合に発生します:
- 署名オブジェクトはサイズが大きいです。
- コールがタイムアウトになりました。
[ NSHELP-36751 ]
-
NetScaler GUIの[セキュリティ]>[SSL転送プロキシ]>[SSLインターセプトポリシー]からSSLインターセプションポリシーを追加することはできません。
[ NSHELP-36166 ]
-
権限が制限されているユーザーは、より高い権限を持つユーザーが作成したレポートを削除できます。
[ NSHELP-36042 ]
-
外部認証ユーザーに対して大量のアカウンティング要求を受信すると、クラスタファイルの同期が正しく機能しない場合があります。この間、より多くのディスク容量が消費される可能性があります。
[ NSHELP-35985 ]
-
HAセットアップでは、プライマリノードとセカンダリノードのNSIPアドレスに固有のSSL証明書があっても、セカンダリノードの証明書はプライマリノードの証明書によって上書きされます。
[ NSHELP-35938 ]
-
複数のパーティションを作成または削除すると、重複するパーティション ID が生成されることがあります。その結果、パーティションの作成時に次のエラーが表示されることがあります。
「パーティション ID は別のパーティションですでに使用されています」
[ NSHELP-35042 ]
-
NetScalerクラスターセットアップでは、
show nstraceコマンドのCLI出力がクラスターノードのNSIPアドレスに正しく表示されません。[ NSHELP-33712 ]
既知の問題
リリース14.1-12.35に存在する問題。
分析インフラストラクチャ
-
NetScaler ADMをKubernetesクラスターにインストールすると、必要なプロセスが実行されない可能性があるため、期待どおりに動作しません。
回避策 :管理ポッドを再起動します。
[ NSANINFRA-1504 ]
認証、承認、監査
-
管理者は、認証情報が無効であることが原因で発生した認証エラーのカスタムロギングを実行できません。この問題は、NetScaler Responderポリシーがログインエラーのエラーを検出できないために発生します。
[ NSAUTH-11151 ]
-
ADFS プロキシプロファイルは、クラスタ展開で構成できます。次のコマンドを発行すると、プロキシプロファイルのステータスが誤って空白として表示される。
show adfsproxyprofile <profile name>回避策:クラスター内のアクティブなプライマリのNetScalerに接続し、
show adfsproxyprofile <profile name>コマンドを実行します。プロキシプロファイルの状態が表示されます。[ NSAUTH-5916 ]
-
次の手順を実行すると、NetScaler GUIの[認証LDAPサーバーの構成]ページが応答しなくなります。
- [LDAP 到達可能性をテスト] オプションが開きます。
- 無効なログイン認証情報が入力され、送信されます。
- 有効なログイン認証情報が入力され、送信されます。
回避策:「LDAP 到達可能性テスト」オプションを閉じて開きます。
[NSAUTH-2147]
負荷分散
-
GSLBサイトの名前が変更されると、NetScalerで増分同期オプションが有効になっている場合でも、差分同期ではなく構成全体の同期が行われます。
[NSLB-10884]
-
高可用性設定では、プライマリノードのサブスクライバセッションがセカンダリノードに同期されないことがあります。これはまれなケースです。
[ NSLB-7679 ]
その他
-
Oracleクラウド上でNetScaler BLX管理対象ホストを有効にしても、Linuxホストのゲートウェイ構成はNetScaler BLXに追加されません。
[NSLINUX-155]
-
DPDKを搭載したNetScaler BLXアプライアンスのIntel
X710 10G (i40e)インターフェイスでは、次のインターフェイス操作はサポートされていません:- 無効化
- 有効化
- リセット
[NSLINUX-64]
-
DebianベースのLinuxホスト(Ubuntuバージョン18以降)では、NetScaler BLXアプライアンスのインストールが次の依存関係エラーで失敗することがあります:
The following packages have unmet dependencies: blx-core-libs:i386 : PreDepends: libc6:i386 (>= 2.19) but it is not installable回避策:NetScaler BLXアプライアンスをインストールする前に、LinuxホストCLIで次のコマンドを実行します:
- dpkg –add-architecture i386
- apt-get update
- apt-get install libc6:i386
[NSLINUX-5]
NetScaler Gateway
-
スキーマをブラウズしているときに、「未定義のプロパティ「タイプ」を読み取れません」というエラーメッセージが表示されることがあります。
[ NSHELP-21897 ]
-
Windows OSオプションは、NetScaler GUIの事前認証ポリシーと認証アクションの「エクスプレッションエディタ」ドロップダウンリストに表示されません。ただし、GUIまたはCLIを使用して以前のNetScalerビルドでWindows OSスキャンをすでに構成している場合は、アップグレードしても機能に影響はありません。必要に応じて CLI を使用して変更できます。
回避策:
設定には CLI コマンドを使用します。
- nFactor 認証で高度な EPA アクションを設定するには、次のコマンドを使用します。 認証 epaAction adv_win_scan-csecexpr「sys.client_expr (「sys_0_win-os_name_Anyof_win-10 [コメント:Windows OS]」)」を追加
- 従来の事前認証アクションを設定するには、次のコマンドを使用します。 add aaa preauthenticationaction win_scan_action ALLOW add aaa preauthenticationpolicy win_scan_policy “CLIENT.SYSTEM(‘WIN-OS_NAME_anyof_WIN-10[COMMENT: Windows OS]’) EXISTS” win_scan_action
[ CGOP-22966 ]
-
Windowsログオン機能の前に常時接続VPNを使用するには、NetScaler Gatewayを13.0以降にアップグレードすることをお勧めします。これにより、12.1 リリースでは利用できない、リリース 13.0 で導入された追加の拡張機能を活用できます。
[ CGOP-19355 ]
-
NetScaler GUIからセッションポリシーを追加または編集すると、エラーメッセージが表示されます。
[ CGOP-11830 ]
-
Outlook Web App (OWA) 2013 では、[設定] メニューの [ オプション ] をクリックすると、 重大なエラーダイアログボックスが表示されます 。また、ページが応答しなくなります。
[ CGOP-7269 ]
NetScaler Secure Web Gateway
-
URLフィルタリングのサードパーティベンダーとの接続の問題が発生した場合、管理CPUの停滞によりNetScalerアプライアンスが再起動することがあります。
[ NSHELP-22409 ]
ネットワーク
-
FTPデータ接続の場合、NetScalerアプライアンスはNAT操作のみを実行し、TCP MSSネゴシエーションのパケットに対してTCP処理は実行しない場合があります。その結果、最適なインターフェイス MTU は接続に対して設定されません。この誤った MTU 設定により、パケットのフラグメンテーションが発生し、CPU のパフォーマンスに影響します。
[ NSNET-5233 ]
-
NetScalerアプライアンスで管理パーティションのメモリ制限が変更されると、TCPバッファリングメモリ制限は管理パーティションの新しいメモリ制限に自動的に設定されます。
[ NSHELP-21082 ]
プラットフォーム
-
ソフトウェアを 14.1-8.x 以降または 13.1-50.x 以降にアップグレードすると、銅線の 1G SFP トランシーバを備えた 25G インターフェイスがリモートスイッチまたはネットワークデバイスに接続できなくなります。
この問題は、25G NIC を搭載した次のプラットフォームで発生します:
- SDX 9100
- SDX 15000
- SDX 16000
- SDX 26000
- SDX 26000-50S
[ NSPLAT-27864 ]
-
Azureリソースグループからオートスケール設定または仮想マシンスケールセットを削除する場合は、対応するクラウドプロファイル構成をNetScalerインスタンスから削除します。「rm cloudprofile」コマンドを使用してプロファイルを削除します。
[ NSPLAT-4520 ]
-
Azure の高可用性セットアップで、GUI からセカンダリノードにログオンすると、自動スケーリングクラウドプロファイル構成の初回ユーザー (FTU) 画面が表示されます。
回避策:画面をスキップし、プライマリノードにログオンしてクラウドプロファイルを作成します。クラウドプロファイルは、常にプライマリノード上で設定する必要があります。
[ NSPLAT-4451 ]
ポリシー
-
処理データのサイズが設定されたデフォルトの TCP バッファーサイズを超えると、接続がハングアップすることがあります。
回避策:TCP バッファサイズを、処理が必要なデータの最大サイズに設定します。
[ NSPOLICY-1267 ]
SSL
-
NetScaler SDX 22000アプライアンスとNetScaler SDX 26000アプライアンスの異機種クラスタでは、SDX 26000アプライアンスを再起動するとSSLエンティティの構成が失われます。
回避策:
- CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:
set ssl vserver <name> -SSL3 DISABLED。 - 構成を保存します。
[ NSSSL-9572 ]
- CLIP で、仮想サーバ、サービス、サービスグループ、内部サービスなど、既存および新規のすべての SSL エンティティで SSLv3 を無効にします。例:
-
認証 Azure Key Vault オブジェクトが既に追加されている場合は、Azure Key Vault オブジェクトを追加できません。
[ NSSSL-6478 ]
-
同じクライアント ID とクライアントシークレットを持つ複数の Azure Application エンティティを作成できます。NetScalerアプライアンスはエラーを返しません。
[ NSSSL-6213 ]
-
HSM の種類として KEYVAULT を指定せずに HSM キーを削除すると、次の誤ったエラーメッセージが表示されます。 エラー:CRL 更新は無効です
[ NSSSL-6106 ]
-
セッションキーの自動更新がクラスタ IP アドレスで無効と誤って表示される。(このオプションは無効にできません。)
[ NSSSL-4427 ]
-
SSL プロファイル内の SSL プロトコルまたは暗号を変更しようとすると、「警告:SSL vserver/Service で使用可能な暗号が設定されていません」という誤った警告メッセージが表示されます。
[ NSSSL-4001 ]
-
期限切れのセッションチケットは、HA フェールオーバー後、非 CCO ノードと HA ノードで保持されます。
[ NSSSL-3184, NSSSL-1379, NSSSL-1394 ]
システム
-
CONNECT HTTP リクエストメソッドを使用する HTTP/2 ストリームが終了すると、HTTP/2 を使用する Web ページが完全に読み込まれないことがあります。
[NSHELP-36407、NSBASE-17449]
-
次の条件が満たされると、TCP 接続の RTT が高くなります:
- 最大輻輳ウィンドウ(> 4 MB)が高く設定されている
- TCP NILE アルゴリズムは有効になっています
NetScalerアプライアンスがNILEアルゴリズムを使用して輻輳制御を行うには、条件がスロースタートのしきい値と最大輻輳ウィンドウを合わせた値を超える必要があります
そのため、設定された最大輻輳時間帯に達するまで、NetScalerはデータを受け付け続け、最終的にはRTTが高くなります。
[NSHELP-31548、NSCXLCM-159]
-
unset nstcpprofileコマンドを使用してTCPプロファイルパラメーターの設定を解除すると、NetScalerがコアをダンプすることがあります。回避策:代わりに、 目的のパラメーター値を指定した
set nstcpprofileコマンドを使用してください。[NSBASE-18724]
-
HTML5ブラウザとQUIC トランスポートプロトコルを使用している場合、ICAセッションは起動後数分以内に失敗することがあります。
回避策:QUIC プロファイルを設定するときに、最大アイドルタイムアウト値を 3600 秒に設定します。
[NSBASE-18402]
-
mptcp_cur_session_without_subflow カウンタが誤ってゼロではなく負の値にデクリメントします。
[NSBASE-18295]
-
LogStream トランスポートタイプが Insight 用に構成されている場合、クライアントIPとサーバーIPはHDX Insight SkipFlowレコードで反転されます。
[NSBASE-8506]
ユーザーインターフェイス
-
GUIを使用してテクニカルサポートバンドルをCitrix テクニカルサポートサーバーにアップロードすることはできません。
回避策:CLI を使用してテクニカルサポートバンドルをアップロードします。
[ NSUI-19315 ]
-
NetScaler GUIでは、「ダッシュボード」タブの下にある「ヘルプ」リンクが壊れています。
[ NSUI-14752 ]
-
CloudBridge Connector の作成/監視ウィザードが応答しなくなるか、CloudBridge Connector の設定に失敗することがあります。
回避策:NetScaler GUIまたはCLIを使用してIPSecプロファイル、IPトンネル、およびPBRルールを追加してCloudBridge Connectorを構成します。
[ NSUI-13024 ]
-
GUI を使用して ECDSA キーを作成する場合、カーブのタイプは表示されません。
[ NSUI-6838 ]
-
次の条件が満たされると、ユーザーはダウングレードされたNetScalerアプライアンスにログインできないことがあります:
- 次の手順のいずれかを実行します。
- 現在のビルドにアップグレードしたら、システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更して、設定を保存します。
- 現在のビルドで新しいNetScaler VPX、BLX、またはCPXインスタンスをプロビジョニングします。
- アプライアンスを以下のいずれかのビルドにダウングレードします。
- 13.1-4.x
- 13.0-82.x またはそれ以前
- 12.1-62.x またはそれ以前
ダウングレード後に影響を受けるユーザーのリストを表示するには、コマンドプロンプトで次のように入力します。
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]回避策:影響を受けるユーザーのパスワードをリセットします。詳細については、「 ルート管理者 (nsroot) パスワードをリセットする方法」を参照してください。
注:
以前にアップグレードしたビルドをダウングレードする場合は、ダウングレード中に以前のビルドのバックアップされた構成ファイル (ns.conf) を使用してこの問題を回避してください。
[NSCONFIG-8068]
- 次の手順のいずれかを実行します。
-
次の条件が満たされると、ユーザーはダウングレードされたNetScalerアプライアンスにログインできないことがあります:
- 次の手順のいずれかを実行します。
- 現在のビルドにアップグレードしたら、システムユーザーを追加するか、既存のシステムユーザーのパスワードを変更して、設定を保存します。
- 現在のビルドで新しいVPX、BLX、またはCPXインスタンスをプロビジョニングします。
- アプライアンスを以下のいずれかのビルドにダウングレードします。
- 13.0-47.x またはそれ以前
- 12.1-56.x またはそれ以前
- 11.1-64.x またはそれ以前
ダウングレード後に影響を受けるユーザーのリストを表示するには、コマンドプロンプトで次のように入力します。
query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]回避策:影響を受けるユーザーのパスワードをリセットします。詳細については、「 ルート管理者 (nsroot) パスワードをリセットする方法」を参照してください。
注:
以前にアップグレードしたビルドをダウングレードする場合は、ダウングレード中に以前のビルドのバックアップされた構成ファイル (ns.conf) を使用してこの問題を回避してください。
[ NSCONFIG-3188 ]
- 次の手順のいずれかを実行します。
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.