Citrix Secure Access for Windows リリースノート

Windows向けCitrix Secure Accessクライアントは現在スタンドアロンベースでリリースされており、すべてのNetScalerバージョンと互換性があります。最新の修正と拡張機能が含まれている最新バージョンのCitrix Secure Accessクライアントを使用することをお勧めします。

Citrix Secure Access クライアントのリリースは、YY.MM.Release.build という形式になっています。

リリースノートでは、新機能、既存機能の拡張、修正された問題について説明しています。

新機能:現在のリリースで利用可能な新機能と機能強化。

修正された問題:現在のリリースで修正された問題。

サポートされる機能について詳しくは、 NetScaler Gateway 製品ドキュメントを参照してください。

メモ：

• Citrix Secure Access バージョン24.6.1.18が24.6.1.17に取って代わり、一般公開されました。

• Windows向けCitrix Secure Accessクライアントビルド23.7.1.1以降には、https://support.citrix.com/article/CTX564833の修正が含まれています。

• Citrix Secure Access for Windows 23.5.1.3以降のリリースでは、https://support.citrix.com/article/CTX561480/citrix-secure-access-client-for-windows-security-bulletin-for-cve202324491で説明されているセキュリティの脆弱性に対処しています。

• Citrix Secure Access クライアント（以前はWindows用NetScaler Gatewayプラグインとして知られていました）ビルド21.9.1.2以降には、https://support.citrix.com/article/CTX341455の修正が含まれています。

24.6.1.18 (2024年7月24日)

重要な更新：

Citrix Secure Access バージョン24.6.1.18は24.6.1.17に代わるもので、現在一般公開されています。

新機能

• EPA スキャンによるCitrix Workspaceアプリのバージョンの確認

  Citrix Secure Access は、Windowsマシン上のCitrix Workspaceバージョンを検証する新しいEPAスキャン「CWAバージョン」をサポートしています。サポートされている EPA スキャンの詳細については、「 式文字列」を参照してください。

  [AAUTH-4870]

• Citrix Workspaceアプリを使用したCitrix Secure Accessへの自動シングルサインオン

  Citrix Workspaceアプリは、Citrix Secure Access 向けの統一されたクライアント管理エクスペリエンスを提供します。ユーザーがCitrix Workspaceアプリにログオンすると、Citrix Secure Accessに自動的にサインオンし、複数のクライアントアプリケーションを手動で構成してサインインしなくても、TCP/UDPアプリケーションにシームレスにアクセスできます。詳しくは、「 Windows向けCitrix Workspaceアプリを介したCitrix Secure Accessへの自動シングルサインオン-プレビュー」を参照してください。

  [CSACLIENTS-6418]

• Secure Private Accessでのトンネル除外サポート

  Citrix Secure Accessは、レジストリ、ExcludeDomainsFromTunnelを使用して特定のアプリケーショントラフィックをトンネリングから除外できるようになりました。

  example.comが複数のアプリケーションをホストするイントラネットドメインで、sshhost.example.com、rdphost.example.com、*.ftphost.example.comなどの特定のアプリケーションを除外したい場合は、このレジストリを使用できます。

  詳しくは、「 NetScaler Gateway Windows VPN クライアントレジストリキー」を参照してください。

  [CSACLIENTS-8972]

• TCP ベースの DNS リクエストの IP アドレススプーフィング

  Citrix Secure Accessは、以下のシナリオでTCPベースのDNSリクエストのIPアドレススプーフィングをサポートします：

  • FQDNベースのトンネリングルールはNetScaler Gatewayで構成されます。
  • FQDNは、Citrix Secure Private Access 環境のDNSサフィックスと一致します。

  [CSACLIENTS-8328]

• サードパーティのセキュア Web ゲートウェイとの相互運用性の強化

  Citrix Secure Accessのユーザーエージェント文字列が更新され、サードパーティのセキュアWebゲートウェイとの相互運用性が強化されました。

  [CSACLIENTS-8593]

• オンプレミス向けCitrix Secure Private Access サポート

  Citrix Secure Accessは、オンプレミス向けのCitrix Secure Private Access サポートするようになりました。

  [CSACLIENTS-10543]

• EPA スキャン暗号化の強化

  EPA スキャンのセキュリティ暗号化は、楕円曲線ディフィー・ヘルマン (ECDH) キーによって強化されています。

  [CSACLIENTS-8308]

• 署名作成用のハッシュキー

  管理者はSHA-384ハッシュキーを使用してデバイス証明書認証の署名を作成できるようになりました。

  [CSACLIENTS-8296]

• POP 障害時のシームレス接続

  Secure Private Access環境では、現在の POP への接続に障害が発生すると、VPN ユーザは手動で操作しなくても自動的に別のポイントオブプレゼンス（POP）に再接続されます。

  [CSACLIENTS-6396]

• 診断機能の強化

  Citrix Secure Accessの診断機能が強化され、TCP/UDPアプリでのアクセス問題のトラブルシューティングに役立つフィールドが追加されました。

  [CSACLIENTS-8335]

解決された問題

• Windows 管理インストルメンテーションコマンドライン (WMIC) 機能が無効になっていると、Windows 11 デバイスで DNS 解決が失敗します。

  [NSHELP-37603]

• Citrix Secure Accessは、NetScaler GatewayでリバーススプリットトンネリングとイントラネットIPアドレスが構成されている場合、IPv6トラフィックがループバックインターフェイスを介してルーティングされないようにします。

  [NSHELP-37096], [NSHELP-37534]

• イントラネットアプリケーションのIPアドレス範囲がワイルドカードサブネットマスクで構成されている場合、Citrix Secure Accessがクラッシュします。

  [NSHELP-37788]

• NetScaler GatewayでリバーススプリットトンネリングとイントラネットIPアドレスが構成されている場合、アップグレード後にユーザーはMicrosoftアプリケーションに接続できません。

  [NSHELP-37876]

• Citrix Secure Access ClientがWFPを使用して構成されている場合、アクティブなセッション中、またはログインとログアウトが複数回発生すると、VPN接続が失われます。

  [NSHELP-37881]

• クライアントマシン上のアプリケーションがAおよびAAAAレコードタイプのDNS クエリを送信すると、DNS 解決が遅れます。

  [NSHELP-38067]

• Citrix Secure Private Access 環境では Kerberos 認証が失敗します。

  [SPAHELP-286]

24.4.1.7 (2024年4月30日)

解決された問題

Microsoft Edge WebViewモードで自動ログオンが失敗した場合、エンドユーザーはCitrix Secure Accessにログオンできません。

[CSACLIENTS-10005]

クライアントアプリケーションが AAAA レコードタイプの DNS クエリを送信すると、一部のバックエンドリソースの DNS 解決が失敗します。

[SPAHELP-288], [CSACLIENTS-10460]

Citrix Secure Accessは、クライアントを数時間実行すると、WFPドライバーモードで新しい接続を確立できないことがあります。

[NSHELP-37427], [NSHELP-37124], [SPAHELP-280]

Citrix Secure Accessでは、言語が英語に設定されていても、デバイス証明書が失敗したことを示すEPAスキャンエラーメッセージが別の言語で表示されます。

[NSHELP-37477]

WFP モードで Always On VPN が設定されている場合、VPN セッションが長引くと、インターネットとイントラネットの接続が失われる可能性があります。

[NSHELP-37283]

「filetime」パラメータが設定されている場合、EPA スキャンは失敗します。

[NSHELP-37564]

EPA スキャン中にファイルの MD5 チェックサム設定が失敗します。

[NSHELP-37491]

VPNが常時接続VPNモードになっていない場合でも、Windowsの資格情報マネージャー画面にはCitrix Secure Accessアイコンが表示されます。

[NSHELP-37205]

Citrix Secure Accessログには、IP アドレスが逆の順序で表示されます。たとえば、Microsoft EdgeブラウザーがNetScaler (IP: 192.20.4.5:24)に接続されている場合、ログメッセージは次のように表示されます。

"Application msedge.exe has opened a connection to 5.4.20.192:24 |Making a connection to 5.4.20.192:24 by msedge.exe |"

[NSHELP-37314]

アップグレード後、ユーザーがCitrix Secure Access GUIの ［ホーム］ ページボタンをクリックすると、ホームページのURLがデフォルトのブラウザーで起動しません。

[NSHELP-37659]

Citrix Secure Private Access環境では、証明書がルートCAではなく中間CAによって署名されている場合、デバイス証明書のチェックは失敗します。

[SPAHELP-287]

24.2.1.15 (2024年3月4日)

新機能

• SNI のサポート

  Citrix Secure Private Access環境では、Citrix Secure Accessクライアントはすべての事前認証要求でサーバー名表示（SNI）拡張をサポートするようになりました。

  [SPAHELP-236]

• TLS 1.3 のサポート

  Citrix Secure Accessクライアントは TLS 1.3 プロトコルをサポートするようになりました。TLS 1.3 は次のプラットフォームでサポートされています：

  • Windows 11以降
  • Windows Server 2022以降

  NetScalerでTLS 1.3を構成する方法について詳しくは、「TLS 1.3プロトコルのサポート」を参照してください。

  [CSACLIENTS-6106]

• HTTP ヘッダーの Windows OS 詳細のサポート

  Citrix Secure Accessクライアントには、Windows OSの詳細がHTTPヘッダー（ユーザーエージェント）文字列の一部として含まれるようになりました。

  [NSHELP-36732]

解決された問題

クライアントネットワークアダプタで IPv6 が有効になっていると、DNS 解決が断続的に失敗します。

[NSHELP-35708]

自動ログオンを使用して同時にログインしようとすると、ユーザーはCitrix Secure Accessクライアントにログオンできないことがあります。

[NSHELP-35768]

英語以外のクライアントマシンでスマートアプリコントロールが有効になっていると、Citrix Secure Accessのインストールが失敗します。

[NSHELP-36126], [NSHELP-36907]

Citrix Secure AccessクライアントがWFPドライバーで構成されている場合、ユーザーはVPN経由で一部のアプリケーションにアクセスできません。この問題は、ファイアウォールポリシーの変更が原因で発生します。

[NSHELP-36254], [NSHELP-36312]

EPA スキャン中にポップアップダイアログが表示されます。ただし、ユーザーが「OK」をクリックすると、EPA スキャンは通常どおり機能します。この問題は、Citrix Secure AccessクライアントUIでスウェーデン語を選択した場合（［構成］>［言語］）に発生します。

[NSHELP-36408]

Always On VPNモードでは、NetScaler Gatewayでユーザー証明書認証が構成されていると、マシンレベルのトンネルがセッションを転送できません。

[NSHELP-36492]

Citrix Secure Access クライアントで Windows フィルタリングプラットフォーム（WFP）ドライバーが有効になっていると、イントラネットリソースへのアクセスが断続的に失敗します。

[NSHELP-36568]

ユーザーが［ホーム］ボタンをクリックすると、Citrix Secure AccessクライアントのUIページが断続的にフリーズします。

[NSHELP-37046]

管理者以外のユーザーは、次の条件が満たされている場合、完全な VPN トンネルに接続できません：

• EPA は nFactor フローのファクターとして設定されます。
• Edge WebViewは有効になっています。
• Citrix EPAクライアントのコントロールアップグレード設定が［NetScaler Gatewayの常時オン ］に設定されており、クライアントデバイスとNetScalerの間でCitrix EPAクライアントのバージョンが一致していません。

[NSHELP-37340]

クライアントマシンのシステム証明書ストアにデバイス証明書が 1 つしか含まれていない場合、EPA デバイス証明書スキャンは失敗します。

[NSHELP-37371]

Citrix Secure Private Access サービスに接続すると、Citrix Secure Access クライアントのログインページが断続的に空白になります。

[SPAHELP-202]

Windows Server 2019 以降のバージョンを使用している場合、エンドユーザーは VPN 経由でクライアントマシンをドメインに接続できないことがあります。

[SPAHELP-219]

Citrix Device Postureサービスが有効になっていると、Citrix Secure AccessクライアントUIの接続ドロップダウンリストに不要なエントリが表示されます 。

[SPAHELP-271]

Citrix Secure Accessクライアントでシングルサインオン機能が有効になっている場合、エンドユーザーはイントラネットリソースにアクセスできません。

[CSACLIENTS-9940]

23.10.1.7 (2023年11月29日)

新機能

• サーバーが開始する接続のプライベートポート範囲の設定

  サーバーが開始する接続用に、49152 ～ 64535 の範囲のプライベートポートを設定できるようになりました。 プライベートポートを構成することで、ポートを使用してCitrix Secure Accessクライアントとクライアントマシン上のサードパーティアプリとの間でソケットを作成するときに発生する可能性のある競合を回避できます。 プライベートポートは、「SicBeginPort」の Windows VPN レジストリを使用して設定できます。または、NetScalerのVPNプラグインカスタマイズJSONファイルを使用してプライベートポート範囲を構成することもできます。

  詳しくは、「 サーバー起動接続の構成」および 「 NetScaler Gateway WindowsVPNクライアントのレジストリキー」を参照してください。

  [NSHELP-36627]

• シームレスな自動ログオンを実現する Kerberos 認証サポート

  Citrix Secure Accessクライアントは、自動ログオンにKerberos認証方法を使用するようになりました。このサポートの一環として、VPN クライアントのレジストリキー「EnableKerberosAuth」が導入されました。前提条件として、管理者はNetScalerとクライアントマシンでKerberos認証を構成する必要があります。エンドユーザーは、自分のマシンに Microsoft Edge WebView をインストールして、Kerberos 認証方法を有効にする必要があります。詳しくは、「 Kerberos 認証による自動ログオン」を参照してください。

  [CSACLIENTS-3128]

• スプーフィング IP アドレス範囲の自動割り当て

  Citrix Secure Access Clientは、管理者が構成したスプーフィングIPアドレス範囲とIPベースのアプリケーションまたはエンドユーザーのネットワークとの間に競合がある場合に、新しいスプーフィングIPアドレス範囲を検出して適用できるようになりました。

  [CSACLIENTS-6132]

• Microsoft通知

  Citrix Secure Accessクライアントの通知が、Windowsマシンの通知パネルにMicrosoftの通知として表示されるようになりました。

  [CSACLIENTS-6136]

• ログ収集の改善

  ログ収集とトラブルシューティングを強化するため、Verbose ログレベルがデフォルトのデバッグログレベルとして使用されるようになりました。ログについて詳しくは、「 クライアントユーザーインターフェイスを使用してログを構成する」を参照してください。

  [CSACLIENTS-8151]

解決された問題

Always Onサービスのマシントンネルがクライアントデバイスの場所を検出できない場合、Citrix Secure Accessクライアントは「接続中」状態のままになります。

[CSACLIENTS-1174]

Citrix Secure Access クライアントで Microsoft Edge WebView が有効になっていると、ログオン転送機能が動作しません。

[CSACLIENTS-6655]

Always Onサービスモードでは、デバイス証明書ベースの従来の認証ポリシーがVPN仮想サーバーにバインドされている場合、Citrix Secure AccessクライアントはNetScaler Gatewayとのマシンレベルのトンネルを確立できません。

[NSHELP-33766]

ユーザが VPN に接続すると、着信および発信の Webex コールが失敗します。この問題は、Citrix Secure Accessクライアントで確定的ネットワークエンハンサー（DNE）ドライバーではなくWindowsフィルタープラットフォーム（WFP）ドライバーが有効になっている場合に発生します。

[NSHELP-34651]

次の条件が満たされると、Citrix Secure Access クライアントがクラッシュします：

• SAML ポリシーが VPN 仮想サーバーにバインドされると、接続が切り替わります。
• Internet Explorer  WebView サポートが有効になっています。

[NSHELP-35366]

Citrix Secure Access クライアントのユーザーインターフェイスには、自動ログオン中に「接続」ボタンが表示されます。この問題は、UserCert 認証方法を使用して VPN に接続する場合に発生します。

[NSHELP-36134]

マシンレベルのトンネルが構成されている場合、ローカルLANアクセス機能はCitrix Secure Accessクライアントでは機能しません。

今回のリリースでは、ローカルLANアクセス機能をマシンレベルのトンネル構成で設定できます。これを実現するには、マシントンネルモードを使用するときにローカル LAN アクセスパラメータを FORCESD に設定する必要があります。詳細については、「 ADC構成に基づいてエンドユーザーにローカルLANアクセスを強制する」を参照してください。

[NSHELP-36214]

クライアントマシンがスリープモードから複数回起動すると、Citrix Secure AccessクライアントはイントラネットアプリケーションとのVPN接続を確立できません。

[NSHELP-36221]

23.8.1.11 (2023年10月19日)

解決された問題

NetScaler Gatewayでフォワードプロキシサポートが構成されている場合、epaPackage.exe ファイルのダウンロードに失敗することがあります。

[CSACLIENTS-6917]

Cドライブへのアクセスが制限されている管理者以外のユーザーでは、Citrix EPAクライアントのインストールが失敗します。

[NSHELP-36590]

23.8.1.5 (2023年8月9日)

解決された問題

Citrix Secure Private Access・サービスを介してアプリケーションに接続すると、Kerberos SSOが失敗します。

[CSACLIENTS-912]

Citrix Secure Private Accessサービスによるアプリケーションアクセスが断続的に失敗します。この問題は、Citrix Secure AccessクライアントがTCPまたはUDPトラフィックの誤った宛先IPアドレスを共有している場合に発生します。

[CSACLIENTS-1151, CSACLIENTS-6326]

DNSキャッシュの問題により、Citrix Secure Accessクライアントが断続的にアプリケーションを起動できなくなります。

[CSACLIENTS-1170]

Citrix Secure Access クライアントが Citrix 仮想アダプタに DNS サフィックスを適用できません。この問題は、Citrix 仮想アダプターが Active Directory による認証に失敗した場合に発生します。

[NSHELP-33817]

次の条件が満たされると、Citrix Secure Access クライアントがクラッシュします：

• NetScaler Gateway仮想サーバーには、nFactor認証の要素としてクライアント証明書が含まれています。
• Microsoft Edge WebView サポートが有効になっています。

[CSACLIENTS-6171]

VPN に接続していると、Microsoft KB5028166 を適用した後にバックエンドリソースにアクセスできなくなる場合があります。

[NSHELP-35909]

ポータルのカスタマイズが許可されている制限を超えると、Citrix Secure AccessクライアントはNetScaler Gatewayからの構成のダウンロードに断続的に失敗します。

[NSHELP-35971]

既知の問題

転送ログオン機能はCitrix Secure Accessクライアントでは動作しません。この問題は、Microsoft Edge WebView が有効になっている場合に発生します。

回避策:Web ブラウザを使用してログオンし、セッションを転送します。

23.7.1.1 (2023 年 7 月 14 日)

解決された問題

リリースバージョン23.x.x.xにアップグレードした後、NetScalerでイントラネットIP範囲が構成されていると、トラフィックがVPNトンネルを通過できず、VPNアクセスがブロックされることがあります。これは、クロスプロファイルファイアウォールルールが VPN アプリケーションに適用されていない場合に発生します。

[NSHELP-35766]

23.5.1.3 (2023 年 6 月 2 日)

解決された問題

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client下の「useNewLogger」レジストリを使用して改善されたログ収集を有効にすると、Always On サービスがクラッシュします。

[CGOP-24462]

23.4.1.5 (2023 年 4 月 14 日)

新機能

• Microsoft Edge WebView サポート

  Windows 向けCitrix Secure Accessクライアントでの Microsoft Edge WebView サポートにより、エンドユーザーエクスペリエンスが強化されました。この機能はデフォルトでは無効になっています。詳細については、「 Windows Citrix Secure Access の Microsoft Edge WebView サポート」を参照してください。

  [CGOP-22245]

• IP アドレスに FQDN を解決するための DNS サフィックスの追加

  管理者は、オペレーティングシステムレベルでアプリケーションにサフィックスを追加できるようになりました。これにより、Citrix Secure Accessクライアントは、名前解決時に完全修飾されていないドメイン名を解決できます。

  管理者は、エンドユーザーが対応するFQDNを使用してアプリケーションにアクセスできるように、IPアドレス（IP CIDR/IP範囲）を使用してアプリケーションを設定することもできます。詳細については、「 FQDN を IP アドレスに変換するための DNS サフィックス」を参照してください。

  [ACS-2490]

• ログ収集の改善

  Windows Secure Access クライアントのログ機能が改善され、ログの収集とデバッグが可能になりました。ロギング機能に次の変更が加えられました。

  • ユーザーがログファイルの最大サイズを 600 MB 未満の値に変更できるようにします。
  • ユーザーがログファイルの数を 5 個未満に更新できるようにします。
  • 新しいロギング機能のログレベルを 3 に増やしてください。

  これらの変更により、管理者とエンドユーザーは現在のセッションと過去のセッションからログを収集できます。以前は、ログの収集は現在のセッションのみに制限されていました。詳細については、「 Windows クライアントのログ収集の改善」を参照してください。

  注：

  デバッグログを有効にするには、「 ログレベルの選択」ドロップダウンリストから「Logging」>「Verbose」を選択します 。Citrix Secure AccessクライアントのWindows 23.4.1.5リリースより前のリリースでは、［ 構成］>［デバッグログを有効にする］チェックボックスを使用してデバッグログを有効にできました 。

  [CGOP-23537]

• Citrix Analytics サービスへのイベント送信のサポート

  Windows向けCitrix Secure Accessクライアントは、セッションの作成、セッションの終了、Citrix Analyticsサービスへのアプリケーション接続などのイベントの送信をサポートするようになりました。その後、これらのイベントはCitrix Secure Private Accessダッシュボードに記録されます。

  [SPA-2197]

解決された問題

• Citrix WorkspaceアプリによるクラウドエンドポイントへのCitrix Secure Accessクライアントのシングルサインオン認証は、Unicodeユーザーでは失敗します。

  [CGOP-22334]

• Citrix Secure Private Accessでホスト名ベースのアプリケーションをDNSサフィックスと一緒に構成すると、リソースへのアクセスが失敗します。

  [SPA-4430]

• ゲートウェイの仮想サーバーへの到達性の問題により、Always-On VPN 接続が起動時に断続的に失敗します。

  [NSHELP-33500]

• Citrix Secure Accessクライアントで分割トンネルがオフに設定されていると、なりすましIPアドレス範囲と重複するイントラネットリソースにアクセスできません。

  [NSHELP-34334]

• Citrix Secure Accessクライアントが認証スキーマの読み込みに失敗し、Citrix Secure Private Accessサービスへのログインが失敗します。

  [SPAHELP-98]

23.1.11 (2023 年 2 月 20 日)

このリリースでは、Citrix Secure Private Accessサービスの全体的なパフォーマンスと安定性の向上に役立つ問題が修正されています。

23.1.1.8 (2023 年 2 月 8 日)

解決された問題

• DNS解決の失敗は、Citrix Secure AccessがIPv4パケットをIPv6パケットよりも優先しない場合に発生します。

  [NSHELP-33617]

• OSのフィルタリングルールは、Citrix Secure AccessクライアントがWindowsフィルタリングプラットフォーム（WFP）モードで実行されているときにキャプチャされます。

  [NSHELP-33715]

• Citrix Secure AccessクライアントがCitrix Deministic Network Enhancer（DNE）モードで実行されている場合、スプーフィングされたIPアドレスがIPベースのイントラネットアプリケーションに使用されます。

  [NSHELP-33722]

• Windows フィルタリングプラットフォーム (WFP) ドライバーを使用する場合、VPN を再接続した後にイントラネットアクセスが機能しないことがあります。

  [NSHELP-32978]

• Windows 10 および Windows 11 Enterprise のマルチセッションデスクトップで、OS バージョンチェック用のエンドポイント分析 (EPA) スキャンが失敗します。

  [NSHELP-33534]

• Windows クライアントは、デフォルトで 64 KB の構成ファイルサイズをサポートしているため、ユーザーは構成ファイルにさらにエントリを追加することが制限されます。このサイズは、HKEY_LOCAL_MACHINE\ SOFTWARE\ Citrix\ Secure Access Clientのレジストリ値ConfigSizeを設定することで増やすことができます。ConfigSizeレジストリキータイプはREG_DWORDで、キーデータは<Bytes size>です 。構成ファイルのサイズがデフォルト値 (64 KB) より大きい場合は、64 KB を追加するたびに ConfigSize レジストリ値を (バイトに変換後) 5 x 64 KB に設定する必要があります。たとえば、64 KB を追加する場合は、レジストリ値を 64 x 1024 x 5 = 327680 に設定する必要があります。同様に、128 KB を追加する場合は、レジストリ値を 64 x 1024 x (5+5) = 655360 に設定する必要があります。

  [SPA-2865]

• VPN ログオフ時に、SearchList レジストリの DNS サフィックスリストのエントリは、1 つ以上のカンマで区切られた逆の順序で書き換えられます。

  [NSHELP-33671]

• NetScaler ADCアプライアンスがウイルス対策のEPAスキャンを完了すると、プロキシ認証は失敗します。

  [NSHELP-30876]

• Citrix Secure Access関連のレジストリ値が1500文字を超える場合、ログコレクターはエラーログを収集できません。

  [NSHELP-33457]

22.10.1.9 (2022年11月8日)

新機能

• GSLB での接続プロキシタイプのサイトパーシステンスに対する EPA サポート

  Windows EPA スキャンは、スキャンをブラウザーから開始するときの GSLB での接続プロキシタイプのサイトパーシステンスをサポートするようになりました。以前は、Windows 用 EPA スキャンは、ブラウザが開始する EPA スキャンの接続プロキシパーシステンスタイプをサポートしていませんでした。

  [CGOP-21545]

• ワークスペース URL のシームレスなシングルサインオン (クラウドのみ)

  Citrix Secure Accessクライアントは、ユーザーがCitrix Workspaceアプリですでにログオンしている場合、ワークスペースURLのシングルサインオン（クラウドのみ）をサポートするようになりました。詳しくは、「 Citrix Workspaceアプリを使用してログインしたユーザーのワークスペースURLのシングルサインオンサポート」を参照してください。

  [ACS-2427]

• Citrix Workspace アプリ（クラウドのみ）を使用してCitrix Secure Accessクライアントおよび/またはEPAプラグインバージョンを管理

  Citrix Workspaceアプリでは、Global App Configuration Serviceを介して最新バージョンのCitrix Secure AccessまたはEPAプラグインをダウンロードしてインストールできるようになりました。詳細については、「 Global App Configuration Service」を参照してください。

  [ACS-2426]

• デバッグロギング制御の強化

  Citrix Secure Accessクライアントのデバッグログ制御は、NetScaler Gateway に依存せず、マシントンネルとユーザートンネルの両方のプラグインUIから有効または無効にできるようになりました。

  [NSHELP-31968]

• プライベートネットワークアクセスのプリフライトリクエストのサポート

  Citrix Secure Access Client for Windowsは、公開WebサイトからプライベートネットワークリソースにアクセスするときにChromeブラウザによって発行されるプライベートネットワークアクセスのプリフライトリクエストをサポートするようになりました。

  [CGOP-20544]

解決された問題

• Citrix Secure Accessクライアントのバージョン21.7.1.1以降では、管理者権限のないユーザーが新しいバージョンにアップグレードできません。

  これは、Citrix Secure AccessクライアントのアップグレードがNetScaler ADCアプライアンスから行われた場合にのみ適用されます。詳しくは、「 Citrix Secure Access クライアントのアップグレード/ダウングレードの問題」を参照してください。

  [NSHELP-32793]

• EPA の障害が断続的に発生するため、ユーザーは VPN にログオンできません。

  [NSHELP-32138]

• マシントンネルのみモードのCitrix Secure Accessクライアントは、マシンがスリープモードから復帰した後に、自動的にマシントンネルを確立しないことがあります。

  [NSHELP-30110]

• Always on service モードでは、マシントンネルのみが構成されていても、ユーザートンネルは起動を試みます。

  [NSHELP-31467]

• Microsoft Edgeがデフォルトのブラウザの場合、Citrix Secure Access UIのホームページリンクは機能しません。

  [NSHELP-31894]

• カスタマイズされたEPA障害ログメッセージはNetScaler Gateway ポータルには表示されず、代わりに「内部エラー」というメッセージが表示されます。

  [NSHELP-31434]

• ユーザーがWindows向けCitrix Secure Access画面の［ホームページ］タブをクリックすると、ページに接続拒否エラーが表示されます。

  [NSHELP-32510]

• 一部のクライアントマシンでは、Citrix Secure Accessクライアントがプロキシ設定を検出できず、ログオンが失敗します。

  [SPAHELP-73]

既知の問題

• Windows Update チェックベースの EPA スキャンは、Windows 11 22H2 バージョンでは機能しません。詳細については、「 Windows11 22H2 の EPA チェックが失敗する」を参照してください。

  [NSHELP-33068]

22.6.1.5 (2022年6月17日)

新機能

• ログインとログアウトのスクリプト設定

  Citrix Secure Accessクライアントは、Citrix Secure AccessクライアントがCitrix Secure Private Accessクラウドサービスに接続するときに、次のレジストリからログインおよびログアウトスクリプト構成にアクセスします。

  レジストリパス： HKEY_LOCAL_MACHINE>ソフトウェア>Citrix>Secure Access Client

  レジストリ値:

  • SecureAccessLoginScript タイプ REG_SZ-ログインスクリプトへのパス
  • SecureAccessLogoutScript タイプ REG_SZ-ログアウトスクリプトへのパス

  [ACS-2776]

• Windows フィルタリングプラットフォーム (WFP) を使用する Windows Citrix Secure Accessクライアント

  WFPは、ネットワークフィルタリングアプリケーションを作成するためのプラットフォームを提供する一連のAPIおよびシステムサービスです。WFP は、DNE ドライバーで使用されていたネットワークドライバーインターフェイス仕様 (NDIS) フィルターという、以前のパケットフィルター技術を置き換えるように設計されています。詳しくは、「 Windows フィルタリングプラットフォームを使用する Windows Citrix Secure Accessクライアント」を参照してください。

  [CGOP-19787]

• FQDN ベースの逆分割トンネルのサポート

  WFP ドライバーが FQDN ベースの REVERSE 分割トンネリングのサポートを有効にするようになりました。DNE ドライバーではサポートされていません。リバース分割トンネルの詳細については、 分割トンネリングオプションを参照してください。

  [CGOP-16849]

解決された問題

• ユーザーが Always On サービスモードで Windows マシンにログインすると、Windows 自動ログオンが機能しない場合があります。マシントンネルはユーザートンネルに移行せず、VPN プラグインの UI に「 接続中 」というメッセージが表示されます。

  [NSHELP-31357]

• VPN ログオフ時に、SearchList (コンピューター\ HKEY_LOCAL_MACHINE\ SOFTWARE\ Citrix\ Secure Access Client) レジストリ内の DNS サフィックスリストのエントリは、1 つ以上のカンマで区切られた逆の順序で書き換え

  [NSHELP-31346]

• なりすましIPアドレスは、NetScaler ADCイントラネットアプリケーションの構成がFQDNベースからIPベースのアプリケーションに変更された後でも使用されます。

  [NSHELP-31236]

• ゲートウェイのホームページは、ゲートウェイプラグインが VPN トンネルを正常に確立した直後には表示されません。

  今回の修正により、次のレジストリ値が導入されました。

  \HKLM\Software\Citrix\Secure Access Client\SecureChannelResetTimeoutSeconds

  種類：DWORD

  デフォルトでは、このレジストリ値は設定も追加もされません。「SecureChannelResetTimeoutSeconds」の値が0または追加されていない場合、遅延を処理するための修正が機能しません。これはデフォルトの動作です。管理者は、このレジストリをクライアントに設定して修正を有効にする必要があります (つまり、ゲートウェイプラグインが VPN トンネルを正常に確立した直後にホームページを表示する)。

  [NSHELP-30189]

• レジストリ値が 2000 バイトを超えると、AlwaysOnAllow リストレジストリが期待どおりに動作しません。

  [NSHELP-31836]

• Windows向けCitrix Secure Accessクライアントは、すでに接続されているCitrix Secure Private Accessサービスリージョンにアクセスできなくなった場合でも、新しいTCP接続をバックエンドTCPサーバーにトンネリングしません。ただし、これはオンプレミスのゲートウェイ接続には影響しません。

  [ACS-2714]

22.3.1.5 (2022年3月24日)

解決された問題

• Windows EPAプラグイン名は、NetScaler Gateway EPAプラグインに戻されます。

  [CGOP-21061]

既知の問題

• Windows向けCitrix Secure Accessクライアントは、すでに接続されているCitrix Secure Private Accessサービスリージョンにアクセスできなくなった場合でも、新しいTCP接続をバックエンドTCPサーバーにトンネリングしません。ただし、これはオンプレミスのゲートウェイ接続には影響しません。

  [ACS-2714]

22.3.1.4 (2022年3月10日)

新機能

• ADC 構成に基づいてエンドユーザーにローカル LAN アクセスを強制する

  管理者は、エンドユーザーがクライアントマシンのローカル LAN アクセスオプションを無効にすることを制限できます。既存のローカル LAN アクセスパラメータ値に、FORCED という新しいオプションが追加されました。ローカル LAN アクセス値が FORCED に設定されている場合、クライアントマシンのエンドユーザーはローカル LAN アクセスが常に有効になります。エンドユーザーは、Citrix Secure AccessクライアントUIを使用してローカルLAN設定を無効にすることはできません。管理者がエンドユーザーにローカルLANアクセスを有効または無効にするオプションを提供したい場合は、ローカルLANアクセスパラメーターをONに再構成する必要があります。

  GUI を使用して FORCED オプションを有効にするには、次の手順を実行します：

  1. ［ NetScaler Gateway］>［グローバル設定］>［グローバル設定の変更］に移動します。
  2. [ クライアントエクスペリエンス ] タブをクリックし、[ 詳細設定] をクリックします。
  3. [ ローカル LAN アクセス] で [ 強制] を選択します

  CLI を使用して FORCED オプションを有効にするには、次のコマンドを実行します。

   set vpn parameter -localLanAccess FORCED
   <!--NeedCopy-->
  

  [CGOP-19935]

• EPA OS スキャンでの Windows サーバー 2019 および 2022 のサポート

  EPA OS スキャンで、Windows サーバー 2019 および 2022 がサポートされるようになりました。

  GUI を使用して新しいサーバを選択できます。

  1. NetScaler Gateway > ポリシー > 事前認証に移動します。
  2. 新しい事前認証ポリシーを作成するか、既存のポリシーを編集します。
  3. [ OPSWAT EPA エディタ] リンクをクリックします。
  4. 式エディタで、[ ウィンドウ] > [Windows Update ] を選択し、[ + ] アイコンをクリックします。
  5. [ OS Name] で、要件に従ってサーバを選択します。

  EPA OS スキャンで Windows サーバー 2019 および 2022 を使用するには、OPSWAT バージョン 4.3.2744.0 にアップグレードできます。

  [CGOP-20061]

• 不足しているセキュリティパッチに対する新しい EPA スキャン分類タイプ

  不足しているセキュリティパッチの EPA スキャンに、次の新しい分類タイプが追加されました。クライアントに次の不足しているセキュリティパッチのいずれかがある場合、EPA スキャンは失敗します。

  • アプリケーション
  • コネクタ
  • クリティカルなアップデート
  • 定義更新
  • developerKits
  • FeaturePack
  • ガイダンス
  • セキュリティアップデート
  • ServicePack
  • ツール
  • UpdateRollUps
  • アップデート

  GUI を使用して分類タイプを設定できます。

  1. NetScaler Gateway > ポリシー > 事前認証に移動します。
  2. 新しい事前認証ポリシーを作成するか、既存のポリシーを編集します。
  3. ((OPSWAT EPA エディタ)) リンクをクリックします。
  4. 式エディタで [ ウィンドウ] > [Windows Update] を選択します。
  5. [ 次の Windows Update 分類タイプの未適用パッチがあってはならない] で、未適用のセキュリティパッチの分類タイプを選択します。
  6. ［OK］ をクリックします。

  OPSWAT バージョン 4.3.2744.0 にアップグレードして、これらのオプションを使用できます。

  • Windows サーバ更新サービス分類 GUID の詳細については、https://docs.microsoft.com/en-us/previous-versions/windows/desktop/ff357803(v=vs.85)を参照してください。
  • Microsoftのソフトウェア更新プログラムの用語については、「https://docs.microsoft.com/en-us/troubleshoot/windows-client/deployment/standard-terminology-software-updates」を参照してください。

  以前は、欠落しているセキュリティパッチの EPA スキャンは、Windows クライアントの重大度 (重大、重要、中、低) で行われていました。

  [CGOP-19465]

• EPA スキャン用の複数デバイス証明書のサポート

  Always on VPN 設定では、複数のデバイス証明書が設定されている場合、有効期限が最も長い証明書が VPN 接続で試行されます。この証明書で EPA スキャンが正常に許可されると、VPN 接続が確立されます。この証明書がスキャンプロセスで失敗すると、次の証明書が使用されます。このプロセスは、すべての証明書が試行されるまで続きます。

  以前は、複数の有効な証明書が構成されていて、1 つの証明書の EPA スキャンが失敗すると、他の証明書に対してスキャンは試行されませんでした。

  [CGOP-19782]

解決された問題

• VPN 仮想サーバーを構成するときに SSL プロファイルで ClientCert パラメーターが「オプション」に設定されている場合、スマートカードを選択するように求めるメッセージが複数回表示されます。

  [NSHELP-30070]

• ［NetworkAccessonVPNFailure］プロファイルパラメーターを［フルアクセス］から［OnlyToGateway］に変更すると、ユーザーはNetScaler Gateway アプライアンスに接続できなくなります。

  [NSHELP-30236]

• Always on が設定されている場合、aoservice.exe ファイルのバージョン番号（1.1.1.1）が正しくないため、ユーザトンネルが失敗します。

  [NSHELP-30662]

• 内部リソースと外部リソースに対する DNS 解決は、長期間の VPN セッションでは機能しなくなります。

  [NSHELP-30458]

• Windows VPN クライアントは、サーバからの「SSL close notify」アラートを尊重せず、同じ接続で転送ログイン要求を送信します。

  [NSHELP-29675]

• レジストリ EPA は「==」と「!=」演算子は一部のレジストリエントリで失敗します。

  [NSHELP-29582]

22.1.103 (2022年2月17日)

解決された問題

• Chrome 98 または Edge 98 ブラウザバージョンにアップグレードすると、ユーザーは EPA プラグインまたは VPN プラグインを起動できません。この問題を解決するには、次の手順に従います。

  1. VPN プラグインをアップグレードする場合、エンドユーザーは最初に VPN クライアントを使用して接続し、各自のマシンで修正プログラムを取得する必要があります。それ以降のログイン試行では、接続するブラウザまたはプラグインを選択できます。

  2. EPA のみのユースケースでは、エンドユーザにはゲートウェイに接続するための VPN クライアントがありません。この場合は、次の操作を行います。

     1. ブラウザを使用してゲートウェイに接続します。
     2. ダウンロードページが表示されるのを待ち、nsepa_setup.exe をダウンロードします。
     3. ダウンロード後、ブラウザを閉じて nsepa_setup.exe ファイルをインストールします。
     4. クライアントを再起動します。

  [NSHELP-30641]

21.12.1.4 (17-Dec-2021)

新機能

• リブランディングの変更

  Windows 用NetScaler Gatewayプラグインは、Citrix Secure Accessクライアントにリブランドされました。

  [ACS-2044]

• TCP/HTTP (S) プライベートアプリケーションのサポート

  Citrix Secure Accessクライアントは、Citrix Workspace Secure Accessサービスを通じてリモートユーザー向けのTCP/HTTP (S) プライベートアプリケーションをサポートするようになりました。

  [ACS-870]

• 追加言語のサポート

  NetScaler Gateway 用のWindows VPNおよびEPAプラグインで、次の言語がサポートされるようになりました。

  • 韓国語
  • ロシア語
  • 繁体字中国語

  [CGOP-17721]

• Windows 11でのCitrix Secure Accessのサポート

  Citrix Secure AccessクライアントがWindows 11でサポートされるようになりました。

  [CGOP-18923]

• ユーザーが同じマシンからログインしていて、Always on が構成されている場合の自動転送ログオン

  Always on が構成され、ユーザーが同じマシンからログインしている場合に、ユーザーの介入なしに自動ログイン転送が行われるようになりました。以前は、システムの再起動やネットワーク接続の問題などのシナリオでクライアント (ユーザ) が再ログインすると、ポップアップメッセージが表示されていました。ユーザーは移管ログインを確認する必要がありました。この機能強化により、ポップアップウィンドウは無効になりました。

  [CGOP-14616]

• NetScaler ADCが提供するネットマスクからCitrix仮想アダプタのデフォルトゲートウェイIPアドレスを導出する

  Citrix仮想アダプタのデフォルトゲートウェイIPアドレスは、NetScaler ADCが提供するネットマスクから導出されるようになりました。

  [CGOP-18487]

解決された問題

• 分割トンネル ON モードで VPN トンネルが確立されると、ユーザがインターネットにアクセスできなくなることがあります。Citrix Virtualアダプターのデフォルトルートに誤りがあると、このネットワークの問題が発生します。

  [NSHELP-26779]

• 分割トンネルが「リバース」に設定されている場合、イントラネットドメインの DNS 解決は失敗します。

  [NSHELP-29371]

21.9.100.1 (2021年12月30日)

新機能

• Windows 11でのCitrix Secure Accessのサポート

  Citrix Secure AccessクライアントがWindows 11でサポートされるようになりました。

  [CGOP-18923]

解決された問題

• 分割トンネル ON モードで VPN トンネルが確立されると、ユーザがインターネットにアクセスできなくなることがあります。Citrix Virtualアダプターのデフォルトルートに誤りがあると、このネットワークの問題が発生します。

  [NSHELP-26779]

• 分割トンネルが「リバース」に設定されている場合、イントラネットドメインの DNS 解決は失敗します。

  [NSHELP-29371]

21.9.1.2（04-Oct-2021）

解決された問題

• VPN の切断後、DNS リゾルバがホスト名の解決に失敗することがあります。これは、VPN の切断中に DNS サフィックスが削除されるためです。

  [NSHELP-28848]

• クライアントのアイドルタイムアウトが設定されていると、ユーザーが数秒以内にNetScaler Gateway からログアウトすることがあります。

  [NSHELP-28404]

• Windows プラグインは、認証中にクラッシュすることがあります。

  [NSHELP-28394]

• Always On サービスモードでは、Windows 用 VPN プラグインは、ユーザーが Windows マシンにログオンした後、ユーザートンネルを自動的に確立できません。

  [NSHELP-27944]

• トンネルの確立後、以前のゲートウェイ IP アドレスで DNS サーブルートを追加する代わりに、Windows プラグインはデフォルトゲートウェイアドレスを持つルートを追加します。

  [NSHELP-27850]

V21.7.1.1 (27-Aug-2021)

新機能

• 新しい MAC アドレススキャン

  新しい MAC アドレススキャンのサポートが追加されました。

  [CGOP-16842]

• EPA スキャンで Windows OS とそのビルドバージョンを確認する

  Windows OS とそのビルドバージョンを確認するための EPA スキャンを追加しました。

  [CGOP-15770]

• EPA スキャンで特定の値の存在をチェックする

  レジストリ EPA スキャンの新しいメソッドは、特定の値の存在をチェックするようになりました。

  [CGOP-10123]

解決された問題

• ネットワークエラーが原因でログイン中に JavaScript エラーが発生した場合、後続のログイン試行は同じ JavaScript エラーで失敗します。

  [NSHELP-27912]

• McAfee アンチウイルスの最終更新時刻のチェックで EPA スキャンが失敗する。

  [NSHELP-26973]

• VPN トンネルが確立されると、ユーザがインターネットにアクセスできなくなることがあります。

  [NSHELP-26779]

• VPN プラグインのスクリプトエラーが nFactor 認証中に表示されることがあります。

  [NSHELP-26775]

• ネットワークの中断が発生した場合、ネットワークが中断する前に開始された UDP トラフィックフローは、最大 5 分間はドロップされません。

  [NSHELP-26577]

• DNS 登録に予想よりも長い時間がかかる場合、VPN トンネルの開始に遅延が生じることがあります。

  [NSHELP-26066]

V21.3.1.2 (31-Mar-2021)

新機能

• アップグレードされた EPA ライブラリ

  EPA ライブラリは、EPA スキャンで使用されるソフトウェアアプリケーションの最新バージョンをサポートするようにアップグレードされます。

  [NSHELP-26274]

• NetScaler Gateway 仮想アダプタの互換性

  NetScaler Gateway 仮想アダプターは、Hyper-VおよびMicrosoft Wi-Fi Direct仮想アダプター（プリンターで使用）と互換性があります。

  [NSHELP-26366]

解決された問題

• Windows VPN ゲートウェイプラグインは、VPN トンネルでの「CTRL + P」と「CTRL + O」の使用をブロックします。

  [NSHELP-26602]

• Windows向けNetScaler Gateway プラグインは、マシン名の"nslookup"アクションが要求されたときに、Active Directory に登録されたイントラネットIPアドレスでのみ応答します。

  [NSHELP-26563]

• スプリット DNS が「ローカル」または「両方」に設定されている場合、IIP の登録および登録解除は断続的に失敗します。

  [NSHELP-26483]

• Always On が構成されている場合、Windows VPN ゲートウェイプラグインへの自動ログオンが失敗します。

  [NSHELP-26297]

• Windows VPN ゲートウェイプラグインが IPv6 DNS パケットのドロップに失敗し、DNS 解決に問題が生じます。

  [NSHELP-25684]

• Windows VPN ゲートウェイプラグインは、Internet Explorer のプロキシ除外リストのブラウザー制限のためにプロキシ除外リストがオーバーフローした場合でも、既存のプロキシ除外リストを維持します。

  [NSHELP-25578]

• Windows VPN ゲートウェイプラグインは、VPN クライアントが Always On モードでログオフすると、プロキシ設定を復元できません。

  [NSHELP-25537]

• Windows 用 VPN プラグインは、次の条件が満たされている場合、Windows へのログオン後にトンネルを確立しません。

  • NetScaler Gateway アプライアンスは、常時オン機能用に構成されています。
  • アプライアンスは、2 要素認証が「off」の証明書ベースの認証用に設定されています。

  [NSHELP-23584]