既知の動作と問題

既知の動作

このセクションでは、Juniper Security Directorリリース24.4.1での既知の動作を示します。最新リリースで解決された問題については、サービスリリースを参照してください。

データベース復元の制限事項
- 復元操作は、 Juniper Security Director CLIコマンド service configdb restore <SCP URL>を使用して、同じノードでのみ実行できます。
- データベースを復元する前に、デバイスの検出、イメージのアップロード、イメージの削除などの操作を実行した場合、これらの操作のリソースが復元されたデータベースと同期していない可能性があります。これは、これらの操作に関連するリソースがファイルシステムに直接格納されるためです。
Juniper Security Directorに自動インポートされるSRXシリーズファイアウォールの場合、Juniper Security Directorのデフォルトのコンテンツセキュリティ(UTMとも呼ばれる)設定が、デバイスからインポートされたコンテンツセキュリティ設定よりも優先されます。

競合を防ぐには、次の手順を実行します。
1. デバイスが自動インポートされたら、 SRX > セキュリティサブスクリプションのコンテンツ > コンテンツセキュリティ設定に移動します。
2. コンテンツセキュリティの設定を確認および変更します。
3. [SRX > セキュリティポリシー > SRX ポリシー]に移動し、[グローバルオプション >デフォルトのセキュリティ設定]をクリックします。
4. システムのデフォルトプロファイルを使用して、デフォルトのセキュリティ設定を確認および変更します。
又は
1. [Administration > Organization] に移動し、[Auto Import] を無効にします。
2. Juniper Security Directorにデバイスを手動でインポートします。
3. 競合があった場合は、Juniper Security Directorの設定をデフォルトのコンテンツセキュリティ設定で上書きしてください。
手記：
コンテンツセキュリティ設定はグローバル設定であり、競合を避けるために、自動インポートまたは手動インポートを実行した後に構成する必要があります。
Juniper Security Director は、従来のアプリケーションセキュリティポリシーをサポートしていません。
Juniper Security Director は、グローバルアドレス帳をサポートしていますが、ゾーンアドレス帳はサポートしていません。
サポートされていない設定のルールを含むポリシーをインポートすると、 Juniper Security Director はインポートウィザードの[Summary]にこれらのルールに関する情報を表示します。インポート後、サポートされていない設定を持つこれらのルールはグレー表示され、システム無効なルールとユーザーによって無効にされたルールを区別するために無効なアイコンが表示されます。ルールの説明には、これらのルールを無効にする理由も表示されます。

これらのサポートされていないルールに対して、削除、編集、またはルールアクションを実行することはできません。
Juniper Security Director は、デバイスCLIまたはポータル以外のインターフェイスから直接実行されたユーザー設定を上書きします。

競合を避けるために、設定をインポートし、既存のポリシーからデバイスを再割り当てできます。
ルールにプロキシ ARP が設定されている NAT ポリシーをインポートした後、インポートした NAT ポリシーを編集して [プロキシ ARP の管理 ] を有効にしてから、ポリシーを展開する必要があります。

既知の問題

このセクションでは、Juniper Security Directorリリース24.4.1の既知の問題を示します。最新リリースで解決された問題については、サービスリリースを参照してください。

デバイスへの導入の失敗 — VMを展開し、デバイスをJuniper Security Directorにオンボーディングした後、以下の不一致が観察されます。
- Juniper Security Director UIの[SRX > デバイス管理 > Devices]ページには、デバイス管理ステータスがDownと表示されます。
- デバイスでは、SSHクライアントコマンド show system connections | match 7804 からの出力に、ステータスが ESTABLISHEDであることが示され、接続が古くなっていることを示します。
これらの違いにより、デバイスにバインドされた構成は機能しません。

回避策:

導入を成功させるには、SSHまたはコンソール経由でデバイスにログインし、 restart service-deployment コマンドを実行します。
インポートされたオブジェクトの関連付けの表示 - [Shared Services > Objects > Services ] および [Shared Services > Objects > Addresses ] の [関連付けを表示] フィールドには、オブジェクトの関連付けが正確に表示されない場合があります。この問題は、多数のオブジェクトがインポートされ、オブジェクトが関連付けられていないことを示している場合に発生する可能性があります。
レポート定義の複製の問題 — [レポート定義の監視>>レポート定義 ] から既存のレポート定義を選択して複製すると、複製されたレポート定義に次のレポート定義の正しいレポートタイプが表示されません。
- ユーザーごとの訪問URLレポート
- ネットワーク運用レポート
- トップトーカーレポート
定義タイプが正しくないと、必要なデータが不足したレポートが生成され、意思決定と分析に影響を与えます。

回避策:

[レポート定義>レポート定義の監視(Monitor > Reports Report Definitions)] ページの [作成(Create)] ボタンを使用して、既存のレポート定義を複製する代わりに、新しいレポート定義を作成します。
仮想マシンスナップショットロールバックエラー: [スナップショット> TAKE > SNAPSHOT ] オプションを使用してスナップショットを作成し、 REVERT を使用して以前の仮想マシンバージョンに戻そうとすると、ステータスにスナップショットの反転が完了したことを示す場合があります。ただし、仮想マシンをパワーオンするとエラーが発生し、ロールバックが失敗する可能性があります。

回避策:
1. vSphere Client にログインします。
2. VM を右クリックし、[ アクション] > [電源>オフ] を選択します。
3. VM を右クリックし、 [設定の編集] を選択します
4. [仮想ハードウェア]で、CD/DVDドライブの[ 電源オン時に接続 ]チェックボックスを選択します。
5. VM を右クリックし、[ アクション] > [パワーオン] > を選択します。
ロールバックバージョンの VM は問題なく起動するはずです。
VM 導入時の CLI 管理者パスワード検証—VM 導入中に [テンプレートのカスタマイズ] ページで Juniper Security Director OVA パラメータを設定すると、cliadmin ユーザパスワードフィールドに 8 文字の任意のパスワードが入力されます。ただし、インストールプロセス中に、システムは厳格な検証を実施し、指定された要件を満たさないパスワードを拒否します。この不一致により、インストールが失敗する可能性があります。

回避策:

要件に適合したパスワードを設定するには、以下のステップを実行します。
1. vSphere クライアントで、VM を右クリックし、[ アクション] > [電源>オフ] を選択します。
2. [ はい ] をクリックして確認し、VM の電源をオフにします。
3. VM を右クリックし、 [ > プロパティの構成] を選択します。
4. [CLI_PASSWORD] を選択し、[SET VALUE] を選択します。
5. 次の要件を満たすパスワードを入力します。
  - 長さは 8 文字以上 32 文字以下にする必要があります。
  - 辞書に載っている単語であってはなりません。
  - 次のうち少なくとも3つを含める必要があります。
    - 数字 (0-9)
    - 大文字 (A から Z)
    - 小文字 (a から z)
    - 特殊文字 (~!@#$%^&*()_-+={}[];:"'<,>.?/|\)
6. [ OK] をクリックします。
7. VM を右クリックし、[ アクション] > [電源>オン] を選択します。
8. VM の電源がオンになったら、[ 概要] タブに移動し、[ WEB コンソールの起動 ] をクリックして、ソフトウェアバンドルのインストールステータスを監視します。
9. インストールを成功させるには、約 30 分かかります。インストールが長く続く場合は、Web コンソールでエラーの可能性を確認してください。CLI 管理者ユーザで VM IP に SSH 接続し show bundle install status コマンドを使用してインストールステータスを表示できます。
新規ユーザーのアクティベーション—[Administration] > Users & Roles > UsersページでJuniper Security Directorにユーザーを追加すると、パスワードを設定して組織に参加するためのリンクが記載されたメールがユーザーに届きます。メールには、リンクが 7 日間有効であると誤って記載されています。パスワードを設定するための実際の有効期間は24時間です。ユーザーが 24 時間以内にパスワードを設定しない場合、リンクの有効期限が切れ、無効な要求エラーが表示されます。

回避策:
1. Juniper Security Director UIにログインします。
2. [Administration] > [Users & Roles > Users] に移動し、アクティベーションリンクを再送信するユーザーを選択します。
3. [ その他] > [アクティベーションメールを再送信する] をクリックして、アクティベーションリンクを再送信します。
デバイス検出中のセキュリティログ構成タイムアウト - デバイス検出中に、 configure-security-log ジョブを長時間実行すると、タイムアウトまたは失敗することがあります。その結果、 SRX > デバイス管理 > デバイス>セキュリティログの設定ページには、セキュリティログのステータスが [未設定] と表示されます。

回避策:

セキュリティログを手動で構成します。詳細については、「セキュリティログの構成」を参照してください。
オンボーディング中の SMTP サーバー接続エラー:カスタマーオンボーディングのために Web GUI にログインすると、有効な SMTP サーバーの詳細を入力し、SMTP サーバー認証を有効にして [ Test SMTP サーバー] をクリックした後にエラーメッセージが表示される場合があります。このエラーは、システムがSMTPサーバーに接続できないことを示している可能性があり、SMTP設定を確認することを提案しています。有効な SMTP設定を指定した場合は、エラーメッセージを無視できます。
ICAP プロファイルサーバーの展開の問題 - ルーティングインスタンスを使用してインターネットコンテンツ適応プロトコル (ICAP) プロファイルサーバーを作成すると、展開が失敗することがあります。

回避策:
1. ルーティングインスタンスを使用せずに ICAP プロファイルサーバーを作成します。
2. セキュリティポリシーを使用して ICAP プロファイルサーバーを展開します。
3. 展開後、ICAP プロファイルサーバーにルーティングインスタンスを追加します。
ICAP プロファイルサーバーのインポートによるルーティングインスタンスの削除 - ルーティングインスタンスを含む ICAP プロファイルサーバーをインポートすると、展開プロセスによってプロファイルサーバーからルーティングインスタンスが削除されます。

回避策:
1. ルーティングインスタンスを使用せずに ICAP プロファイルサーバーを作成します。
2. セキュリティポリシーを使用して ICAP プロファイルサーバーを展開します。
3. 展開後、ICAP プロファイルサーバーにルーティングインスタンスを追加します。
帯域外接続ステータスの問題:ジュニパー®ネットワークスSRXシリーズファイアウォールと Juniper Security Director 間の帯域外接続が、SRXシリーズファイアウォールで閉じられません。この問題は、接続を閉じた後に Juniper Security Director のデバイスステータスが DOWN に変わるために発生しますが、SRXシリーズファイアウォールでは接続がアクティブなままです。

回避策:
SRXシリーズファイアウォールでアウトバウンドSSHサービスを再起動すると、SRXシリーズファイアウォールデバイスが Juniper Security Director と再同期され、デバイスのステータスがUPに変更されます。
1. CLIを使用してSRXシリーズファイアウォールにログインします。
2. 次のコマンドを実行して、フローセッションのステータスを確認します。 show security flow session destination-port 7804
3. フローセッションがアクティブであるにもかかわらず、 Juniper Security Director でデバイスのステータスが DOWN または OUT OF SYNC と表示される場合は、 restart service-deployment コマンドを実行して SRXシリーズファイアウォールアウトバウンド SSH サービスを再起動します。
SRX1600およびSRX2300ファイアウォールに対するソフトウェアアップグレードの制限—ジュニパーネットワーク®スSRX1600およびジュニパーネットワーク®スSRX2300ファイアウォールの場合、ジュニパー Security Director はソフトウェアイメージを23.4R1.9から他のバージョンにアップグレードできません。
Juniper Security Directorでのイメージインストールの問題:Juniper Security Directorで使用可能なイメージをインストールすると、障害が発生することがあります。

回避策:
- SRX>デバイス管理>ソフトウェアイメージ」ページからイメージを追加し、デバイスのイメージを導入します。
- デバイスでCLIコマンドを手動で実行してみてください。
隠しコマンドによるセキュリティポリシーのインポート失敗—SRXシリーズファイアウォールに隠しコマンドが存在する場合、バージョンの非互換性によりセキュリティポリシーのインポートと展開が失敗する可能性があります。この問題は、コンテンツセキュリティやセキュリティポリシーなどの設定に影響を与える可能性があります。

回避策:

SRXシリーズファイアウォールから非表示または文書化されていないコマンドをすべて削除し、ポリシー設定を Juniper Security Directorに再インポートしてから、セキュリティポリシーを導入します。
AAMW プロファイルの SMB プロトコルの問題—Junos OS 21.1 より前のバージョンを実行しているデバイスでは、事前定義された AAMW(高度なマルウェア対策)プロファイルで SMB(サーバーメッセージブロック)プロトコルオプションを使用すると、コミットエラーが発生します。

回避策:

既定の AAMW プロファイルを複製し、SMB プロトコルを無効にします。セキュリティポリシーまたはグローバルオプションでクローンプロファイルを使用して、コミットを成功させます。
クロック同期アップグレードの問題—ソフトウェアイメージを使用してデバイスをJunos OS 21.1以降にアップグレードすると、インサービスソフトウェアアップグレード(ISSU)がクロック同期(SyncE)でサポートされていないことを示すエラーメッセージが表示される場合があります。

回避策:

https://prsearch.juniper.net/problemreport/PR1632810 に記載されている回避策を使用して、CLIからクラスタをアップグレードします。
SRXシリーズファイアウォールのログ可視性の制限—Junos OSバージョン21.4 R3-S3.4以降を実行しているSRXシリーズファイアウォール向け Juniper Security Directorでは、特定のログを表示できません。影響を受けるログは次のとおりです。
- Webフィルタリングログ
- ログRT_FLOW
- コンテンツセキュリティログ
詳細については、 https://prsearch.juniper.net/problemreport/PR1716776 を参照してください。
NAT プールの再インポートの競合:事前に設定されたアドレスオブジェクトを使用して NAT プールを再インポートし、NAT ルールを使用して展開しているときに、アドレス名フィールドでオブジェクト競合解決(OCR)が検出されました。
マルチノード高可用性でのピア同期:マルチノード高可用性ソリューションでピア同期が有効になっている場合、導入または設定の変更により、複数の同期ジョブが発生する可能性があります。

回避策:

マルチノード高可用性ソリューションのデバイス設定から set system commit peers-synchronize コマンドを削除します。