适用于 Windows 的 Citrix Secure Access 发行说明

适用于 Windows 的 Citrix Secure Access 客户端现已独立发布，与所有 NetScaler 版本兼容。我们建议您使用最新版本的 Citrix Secure Access 客户端，因为它包含最新的修复和增强功能。

Citrix Secure Access 客户端版本遵循 YY.MM.Release.Build 的格式。

发行说明描述了新增功能、现有功能的增强功能以及已修复的问题。

新增功能：当前版本中提供的新功能和增强功能。

已修复的问题：当前版本中修复的问题。

有关受支持功能的详细信息，请参阅 NetScaler Gateway 产品文档。

备注：

• 适用于 Windows 的 Citrix Secure Access Client 版本 23.7.1.1 及更高版本包含对 https://support.citrix.com/article/CTX564833 的修复。

• 适用于 Windows 的 Citrix Secure Access 23.5.1.3 及更高版本解决了 https://support.citrix.com/article/CTX561480/citrix-secure-access-client-for-windows-security-bulletin-for-cve202324491 中描述的安全漏洞。

• Citrix Secure Access 客户端（以前称为 Windows 版 NetScaler Gateway 插件）构建 21.9.1.2 及更高版本包含的修复程序 https://support.citrix.com/article/CTX341455。

24.4.1.7（2024 年 4 月 30 日）

已修复的问题

在 Microsoft Edge WebView 模式下自动登录失败时，最终用户无法登录 Citrix Secure Access。

[CSACLIENTS-10005]

当客户端应用程序发送 AAAA 记录类型的 DNS 查询时，某些后端资源的 DNS 解析失败。

[SPAHELP-288]、[CSACLIENTS-10460]

如果客户端运行几个小时，Citrix Secure Access 可能无法在 WFP 驱动模式下建立新的连接。

[NSHELP-37427]、[NSHELP-37124]、[SPAHELP-280]

尽管语言设置为英语，但 Citrix Secure Access 以不同的语言显示设备证书失败的 EPA 扫描错误消息。

[NSHELP-37477]

如果在 WFP 模式下配置了始终可用的 VPN，则长时间的 VPN 会话后，Internet 和内联网连接可能会丢失。

[NSHELP-37283]

配置“文件时间”参数后，EPA 扫描失败。

[NSHELP-37564]

在 EPA 扫描期间，文件的 MD5 校验和配置失败。

[NSHELP-37491]

尽管 VPN 不处于始终可用的 VPN 模式，Windows 凭据管理器屏幕仍显示 Citrix Secure Access 图标。

[NSHELP-37205]

Citrix Secure Access 日志以相反的顺序显示 IP 地址。例如，如果将 Microsoft Edge 浏览器连接到 NetScaler（IP：192.20.4.5:24），则日志消息显示为，

"Application msedge.exe has opened a connection to 5.4.20.192:24 |Making a connection to 5.4.20.192:24 by msedge.exe |"

[NSHELP-37314]

升级后，当用户单击 Citrix Secure Access GUI 上的主页按钮时，主页 URL 无法在默认浏览器上启动。

[NSHELP-37659]

在 Citrix Secure Private Access 部署中，如果证书由中间 CA 而不是根 CA 签署，则设备证书检查将失败。

[SPAHELP-287]

24.2.1.15（2024 年 3 月 4 日）

新增功能

• 支持 SNI

  在 Citrix Secure Private Access 部署中，Citrix Secure Access 客户端现在支持所有预身份验证请求的服务器名称指示 (SNI) 扩展名。

  [SPAHELP-236]

• 支持 TLS 1.3

  Citrix Secure Access 客户端现在支持 TLS 1.3 协议。以下平台支持 TLS 1.3：

  • Windows 11 及更高版本
  • Windows Server 2022 及更高版本

  有关如何在 NetScaler 上配置 TLS 1.3 的详细信息，请参阅支持 TLS 1.3 协议。

  [CSACLIENTS-6106]

• 支持 HTTP 标头中的 Windows 操作系统详细信息

  Citrix Secure Access Client 现在将 Windows 操作系统的详细信息作为 HTTP 标头（用户代理）字符串的一部分。

  [NSHELP-36732]

已修复的问题

如果在客户端网络适配器上启用 IPv6，DNS 解析会间歇性失败。

[NSHELP-35708]

如果用户同时尝试使用自动登录登录，则用户可能无法登录 Citrix Secure Access 客户端。

[NSHELP-35768]

在非英语客户端计算机上启用智能应用程序控制时，Citrix Secure Access 安装失败。

[NSHELP-36126]，[NSHELP-36907]

如果使用 WFP 驱动程序配置了 Citrix Secure Access 客户端，则用户无法通过 VPN 访问某些应用程序。此问题是由于修改了防火墙策略而发生的。

[NSHELP-36254]，[NSHELP-36312]

在 EPA 扫描期间会出现一个弹出对话框。但是，当用户单击“确定”时，EPA 扫描将照常运行。在 Citrix Secure Access 客户端 UI 上选择瑞典语（配置 > 语言）时，会出现此问题。

[NSHELP-36408]

在始终可用的 VPN 模式下，在 NetScaler Gateway 上配置用户证书身份验证后，计算机级通道无法传输会话。

[NSHELP-36492]

在 Citrix Secure Access 客户端上启用 Windows 过滤平台 (WFP) 驱动程序时，对 Intranet 资源的访问会间歇性失败。

[NSHELP-36568]

当用户单击“主页”按钮时，Citrix Secure Access 客户端 UI 页面会间歇性地冻结。

[NSHELP-37046]

如果满足以下条件，非管理员用户将无法连接到完整的 VPN 通道：

• EPA 被配置为 nFactor 流中的一个因素。
• Edge WebView 已启用。
• Citrix EPA 客户端的控制升级设置在 NetScaler Gateway 上设置为始终，客户设备和 NetScaler 之间的 Citrix EPA 客户端版本不匹配。

[NSHELP-37340]

如果客户端计算机的系统证书存储区仅包含一个设备证书，EPA 设备证书扫描将失败。

[NSHELP-37371]

连接到 Citrix Secure Private Access 服务时，Citrix Secure Access 客户端的登录页面间歇性地变为空白。

[SPAHELP-202]

如果使用Windows Server 2019或更高版本，则最终用户可能无法通过VPN将客户端计算机连接到域。

[SPAHELP-219]

启用 Citrix 设备状态服务后，不需要的条目会显示在 Citrix Secure Access 客户端 UI 的“连接”下拉列表中。

[SPAHELP-271]

如果在 Citrix Secure Access 客户端上启用单点登录功能，则最终用户无法访问 Intranet 资源。

[CSACLIENTS-9940]

23.10.1.7（2023 年 11 月 29 日）

新增功能

• 为服务器启动的连接配置专用端口范围

  现在，您可以为服务器启动的连接配置从 49152 到 64535 的专用端口。 配置专用端口可以避免在使用端口在 Citrix Secure Access 客户端与客户端上的第三方应用程序之间创建套接字时可能出现的冲突。 您可以使用 SicBeginPort Windows VPN 注册表配置专用端口。或者，您可以使用 NetScaler 上的 VPN 插件自定义 JSON 文件配置专用端口范围。

  有关更多信息，请参阅配置服务器启动的连接和 NetScaler Gateway Windows VPN 客户端注册表项。

  [NSHELP-36627]

• Kerberos 身份验证支持无缝自动登录

  Citrix Secure Access 客户端现在使用 Kerberos 身份验证方法进行自动登录。作为这项支持的一部分，引入了 VPN 客户端注册表项“EnableKerberosAuth”。作为必备条件，管理员必须在 NetScaler 及其客户端上配置 Kerberos 身份验证。最终用户必须在其计算机上安装 Microsoft Edge WebView 才能启用 Kerberos 身份验证方法。有关更多信息，请参阅使用 Kerberos 身份验证自动登录。

  [CSACLIENTS-3128]

• 自动分配欺骗 IP 地址范围

  如果管理员配置的欺骗 IP 地址范围与基于 IP 的应用程序或最终用户的网络之间存在冲突，Citrix Secure Access 客户端现在可以检测并应用新的欺骗 IP 地址范围。

  [CSACLIENTS-6132]

• Microsoft 通知

  Citrix Secure Access 客户端通知现在以 Microsoft 通知的形式显示在 Windows 计算机的通知面板上。

  [CSACLIENTS-6136]

• 改进了日志收集

  Verbose 日志级别现在用作默认的调试日志记录级别，用于增强日志收集和故障排除。有关日志记录的更多信息，请参阅使用客户端用户界面配置日志记录。

  [CSACLIENTS-8151]

已修复的问题

如果 AlwaysOn 服务的计算机通道无法检测到客户端设备的位置，则 Citrix Secure Access 客户端仍处于“连接”状态。

[CSACLIENTS-1174]

在 Citrix Secure Access 客户端中启用 Microsoft Edge WebView 时，转移登录功能将失效。

[CSACLIENTS-6655]

在 AlwaysOn 服务模式下，如果基于设备证书的经典身份验证策略绑定到 VPN 虚拟服务器，则 Citrix Secure Access 客户端无法与 NetScaler Gateway 建立计算机级通道。

[NSHELP-33766]

当用户连接到 VPN 时，传入和传出 Webex 呼叫失败。在 Citrix Secure Access 客户端上启用 Windows 过滤平台 (WFP) 驱动程序而不是确定性网络增强器 (DNE) 驱动程序时，就会出现此问题。

[NSHELP-34651]

如果满足以下条件，Citrix Secure Access 客户端就会崩溃：

• 当 SAML 策略绑定到 VPN 虚拟服务器时，连接会切换。
• Internet Explorer WebView 支持已启用。

[NSHELP-35366]

Citrix Secure Access 客户端用户界面在自动登录期间显示“连接”按钮。如果使用 UserCert 身份验证方法连接到 VPN，则会出现此问题。

[NSHELP-36134]

如果配置了计算机级通道，则本地 LAN 访问功能无法与 Citrix Secure Access 客户端一起使用。

在此版本中，可以使用计算机级通道配置来设置本地局域网访问功能。为此，在使用计算机通道模式时，必须将本地局域网访问参数配置为 FORCED。有关更多详细信息，请参阅根据 ADC 配置强制最终用户访问本地局域网。

[NSHELP-36214]

当客户端多次从睡眠模式中醒来时，Citrix Secure Access 客户端无法与 Intranet 应用程序建立 VPN 连接。

[NSHELP-36221]

23.8.1.11（2023 年 10 月 19 日）

已修复的问题

如果在 NetScaler Gateway 上配置了正向代理支持，epaPackage.exe 文件可能无法下载。

[CSACLIENTS-6917]

对于 C 盘访问权限受限的非管理员用户，Citrix EPA 客户端安装失败。

[NSHELP-36590]

23.8.1.5 (2023 年 8 月 9 日)

已修复的问题

通过 Citrix Secure Private Access Private Access 服务连接时，应用程序的 Kerberos SSO 会失败。

[CSACLIENTS-912]

使用 Citrix Secure Private Access Private Access 服务的应用程序访问会间歇性失败。当 Citrix Secure Access 客户端共享错误的 TCP 或 UDP 流量的目标 IP 地址时，就会出现此问题。

[CSACLIENTS-1151，CSACLIENTS-6326]

由于 DNS 缓存问题，Citrix Secure Access 客户端无法间歇性地启动应用程序。

[CSACLIENTS-1170]

Citrix Secure Access 客户端无法将 DNS 后缀应用于 Citrix 虚拟适配器。当 Citrix 虚拟适配器无法通过 Active Directory 进行身份验证时，就会出现此问题。

[NSHELP-33817]

如果满足以下条件，Citrix Secure Access 客户端就会崩溃：

• NetScaler Gateway 虚拟服务器包含客户端证书作为 nFactor 身份验证的一个因素。
• Microsoft Edge WebView 支持已启用。

[CSACLIENTS-6171]

连接到 VPN 后，在应用 Microsoft KB5028166 后，您可能无法访问后端资源。

[NSHELP-35909]

当门户自定义超过允许的限制时，Citrix Secure Access 客户端间歇性地无法从 NetScaler Gateway 下载配置。

[NSHELP-35971]

已知问题

转移登录功能无法与 Citrix Secure Access 客户端配合使用。启用 Microsoft Edge WebView 时会出现此问题。

解决办法：使用 Web 浏览器登录以传输会话。

23.7.1.1 (2023 年 7 月 14 日)

已修复的问题

在某些情况下，升级到发行版 23.x.x.x 后，流量无法通过 VPN 通道，从而导致 NetScaler 上配置Intranet IP 范围时 VPN 访问被阻止。当跨配置文件防火墙规则未应用于 VPN 应用程序时，就会发生这种情况。

[NSHELP-35766]

23.5.1.3 (2023 年 6 月 2 日)

已修复的问题

使用 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client 下的“useNewLogger”注册表启用改进的日志收集时，Always On 服务会崩溃。

[CGOP-24462]

23.4.1.5（2023 年 4 月 14 日）

新增功能

• Microsoft Edge WebView 支持

  适用于 Windows 的 Citrix Secure Access 客户端上的 Microsoft Edge WebView 支持引入了增强的最终用户体验。默认情况下，此功能处于禁用状态。有关详细信息，请参阅 Microsoft Edge WebView 对 Windows Citrix Secure Access 的支持。

  [CGOP-22245]

• 添加 DNS 后缀以将 FQDN 解析为 IP 地址

  管理员现在可以在操作系统级别为应用程序添加后缀。这有助于 Citrix Secure Access 客户端在域名解析期间解析不完全合格的域名。

  管理员还可以使用 IP 地址（IP CIDR/IP 范围）配置应用程序，以便最终用户可以使用相应的 FQDN 访问应用程序。有关详细信息，请参阅用于将 FQDN 解析为 IP 地址的 DNS 后缀。

  [ACS-2490]

• 改进了日志收集

  Windows Secure Access 客户端的日志记录功能现已改进，可用于日志收集和调试。对日志功能进行了以下更改。

  • 允许用户将最大日志文件大小更改为小于 600 MB 的值。
  • 使用户能够将日志文件数更新到小于 5。
  • 将新日志功能的日志级别增加到三级。

  通过这些更改，管理员和最终用户可以收集当前会话和过去会话的日志。以前，日志的收集仅限于当前会话。有关详细信息，请参阅 改进了 Windows 客户端的日志收集。

  注意：

  要启用调试日志记录，请从“选择日志级别”下拉列表中选择“日志记录”>“详细”。在适用于 Windows 23.4.1.5 的 Citrix Secure Access 客户端发布之前，可以使用“配置”>“启用调试日志记录”复选框启用调试日志记录。

  [CGOP-23537]

• 支持向 Citrix Analytics 服务发送事件

  适用于 Windows 的 Citrix Secure Access 客户端现在支持向 Citrix Analytics 服务发送会话创建、会话终止和应用程序连接等事件。然后，这些事件将记录在 Citrix Secure Private Access 控制面板中。

  [SPA-2197]

已修复的问题

• 对于 Unicode 用户，使用 Citrix Workspace 应用程序进行云端点的 Citrix Secure Access 客户端单点登录身份验证失败。

  [CGOP-22334]

• 在 Citrix Secure Private Access 中配置基于主机名的应用程序以及 DNS 后缀时，对资源的访问将失败。

  [SPA-4430]

• 由于网关虚拟服务器的可访问性问题，始终启用的 VPN 连接在启动时间歇性失败。

  [NSHELP-33500]

• 在 Citrix Secure Access 客户端上将拆分通道设置为“关”时，无法访问与欺诈 IP 地址范围重叠的 Intranet 资源。

  [NSHELP-34334]

• Citrix Secure Access 客户端无法加载身份验证架构，导致 Citrix Secure Private Access 服务登录失败。

  [SPAHELP-98]

23.1.1.11（2023 年 2 月 20 日）

此版本解决了有助于提高 Citrix Secure Private Access 服务的整体性能和稳定性的问题。

23.1.1.8（2023 年 2 月 8 日）

已修复的问题

• DNS 解析失败是因为 Citrix Secure Access 未能将 IPv4 数据包优先于 IPv6 数据包。

  [NSHELP-33617]

• 操作系统筛选规则是在 Citrix Secure Access 客户端在 Windows 筛选平台 (WFP) 模式下运行时捕获的。

  [NSHELP-33715]

• 当 Citrix Secure Access 客户端在 Citrix Deterministic Network Enhancer (DNE) 模式下运行时，欺诈 IP 地址用于基于 IP 的Intranet应用程序。

  [NSHELP-33722]

• 使用 Windows 筛选平台 (WFP) 驱动程序时，有时在重新连接 VPN 后无法访问Intranet。

  [NSHELP-32978]

• 在 Windows 10 和 Windows 11 Enterprise 多会话桌面上，端点分析 (EPA) 扫描操作系统版本检查失败。

  [NSHELP-33534]

• 默认情况下，Windows 客户端支持 64 KB 配置文件大小，这限制了用户在配置文件中添加更多条目。此大小可以通过在 HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client 中设置 ConfigSize 注册表值来增加。ConfigSize 注册表项类型为 REG_DWORD，注册表项数据为 <Bytes size>。如果配置文件大小大于默认值 (64 KB)，则每增加 64 KB，就必须将 ConfigSize 注册表值设置为 5 x 64 KB（转换为字节后）。例如，如果您要额外增加 64 KB，则必须将注册表值设置为 64 x 1024 x 5 = 327680。同样，如果您要增加 128 KB，则必须将注册表值设置为 64 x 1024 x (5+5) = 655360。

  [SPA-2865]

• VPN 注销时，SearchList 注册表中的 DNS 后缀列表条目将以相反的顺序重写，由一个或多个逗号分隔。

  [NSHELP-33671]

• 当 NetScaler 设备完成 EPA 防病毒扫描时，代理身份验证失败。

  [NSHELP-30876]

• 如果与 Citrix Secure Access 相关的注册表值大于 1500 个字符，日志收集器将无法收集错误日志。

  [NSHELP-33457]

22.10.1.9（2022 年 11 月 8 日）

新增功能

• EPA 支持 GSLB 中的连接代理类型站点持久性

  Windows EPA 扫描现在支持从浏览器启动扫描时在 GSLB 中保留连接代理类型的站点。以前，适用于 Windows 的 EPA 扫描不支持浏览器启动的 EPA 扫描的连接代理持久性类型。

  [CGOP-21545]

• Workspace URL 的无缝单点登录（仅限云端）

  如果用户已经通过 Citrix Workspace 应用程序登录，Citrix Secure Access 客户端现在支持 Workspace URL 的单点登录（仅限云端）。有关更多详细信息，请参阅通过 Citrix Workspace 应用程序登录的用户对 Workspace URL 的单点登录支持。

  [ACS-2427]

• 通过 Citrix Workspace 应用程序管理 Citrix Secure Access 客户端和/或 EPA 插件版本（仅限云端）

  Citrix Workspace 应用程序现在能够通过全球应用程序配置服务下载和安装最新版本的 Citrix Secure Access 和/或 EPA 插件。有关更多详细信息，请参阅 全球应用程序配置服务。

  [ACS-2426]

• 调试日志控制增强

  Citrix Secure Access 客户端的调试日志控制现在独立于 NetScaler Gateway，可以从插件 UI 中为计算机和用户通道启用或禁用它。

  [NSHELP-31968]

• 支持专用网络访问预检请求

  适用于 Windows 的 Citrix Secure Access 客户端现在支持 Chrome 浏览器在从公共网站访问专用网络资源时发出的专用网络访问预检请求。

  [CGOP-20544]

已修复的问题

• 对于没有管理权限的用户，Citrix Secure Access 客户端（版本 21.7.1.1 及更高版本）无法升级到更高版本。

  这仅在通过 NetScaler 设备完成 Citrix Secure Access 客户端升级时适用。有关详细信息，请参阅 Citrix Secure Access 客户端上的升级/降级问题。

  [NSHELP-32793]

• 由于 EPA 间歇性故障，用户无法登录 VPN。

  [NSHELP-32138]

• 有时，处于仅限计算机通道模式的 Citrix Secure Access 客户端在计算机从睡眠模式中唤醒后不会自动建立计算机通道。

  [NSHELP-30110]

• 在 Always on 服务模式下，即使只配置了计算机通道，用户通道也会尝试启动。

  [NSHELP-31467]

• 如果 Microsoft Edge 是默认浏览器，则 Citrix Secure Access 用户界面上的主页链接将不起作用。

  [NSHELP-31894]

• NetScaler Gateway 门户上不显示自定义 EPA 故障日志消息，而是显示“内部错误”消息。

  [NSHELP-31434]

• 当用户单击适用于 Windows 的 Citrix Secure Access 屏幕上的“主页”选项卡时，该页面会显示连接被拒绝的错误。

  [NSHELP-32510]

• 在某些客户端计算机上，Citrix Secure Access 客户端无法检测到代理设置，这会导致登录失败。

  [SPAHELP-73]

已知问题

• Windows Update 基于支票的 EPA 扫描不适用于 Windows 11 22H2 版本。有关详细信息，请参阅 Windows11 22H2 的 EPA 检查失败。

  [NSHELP-33068]

22.6.1.5（2022 年 6 月 17 日）

新增功能

• 登录和注销脚本配置

  当 Citrix Secure Access 客户端连接到 Citrix Secure Access 云服务时，Citrix Secure Private Access 客户端将从以下注册表访问登录和注销脚本配置。

  注册表路径：HKEY_LOCAL_MACHINE>SOFTWARE>Citrix > Secure Access Client

  注册表值：

  • SecureAccessLogInScript 类型 REG_SZ - 登录脚本的路径
  • SecureAccessLogOutScript 类型 REG_SZ - 注销脚本的路径

  [ACS-2776]

• 使用 Windows 筛选平台 (WFP) 的 Windows Citrix Secure Access 客户端

  WFP 是一组 API 和系统服务，为创建网络过滤应用程序提供了一个平台。WFP 旨在取代以前的包过滤技术，即与 DNE 驱动程序一起使用的网络驱动程序接口规范 (NDIS) 过滤器。有关详细信息，请参阅使用 Windows 筛选平台的 Windows Citrix Secure Access 客户端。

  [CGOP-19787]

• 基于 FQDN 的反向拆分通道支持

  WFP 驱动程序现在支持基于 FQDN 的反向拆分通道。DNE 驱动程序不支持此功能。有关反向分割通道的更多详细信息，请参阅分割通道选项。

  [CGOP-16849]

已修复的问题

• 有时，当用户以“始终开启”服务模式登录到 Windows 计算机时，Windows 自动登录不起作用。计算机通道不会转换为用户通道，VPN 插件 UI 中会显示消息“正在连接”。

  [NSHELP-31357]

• VPN 注销时，SearchList (Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\Secure Access Client) 注册表中的 DNS 后缀列表条目将以相反的顺序重写，并用一个或多个逗号分隔。

  [NSHELP-31346]

• 即使在 NetScaler Intranet应用程序配置从基于 FQDN 的应用程序更改为基于 IP 的应用程序之后，也会使用欺骗 IP 地址。

  [NSHELP-31236]

• 网关插件成功建立 VPN 通道后，不会立即显示网关主页。

  通过此修复，引入了以下注册表值。

  \HKLM\Software\Citrix\Secure Access Client\SecureChannelResetTimeoutSeconds

  类型：DWORD

  默认情况下，不设置或添加此注册表值。当“SecureChannelResetTimeoutSeconds”的值为 0 或未添加时，处理延迟的修复不起作用，这是默认行为。管理员必须在客户端上设置此注册表才能启用此修复（即在网关插件成功建立 VPN 通道后立即显示主页）。

  [NSHELP-30189]

• 如果注册表值大于 2000 字节，AlwaysOnAllow 列表注册表将无法按预期工作。

  [NSHELP-31836]

• 如果无法访问已经连接的 Citrix Secure Private Access 服务区域，则适用于 Windows 的 Citrix Secure Private Access 客户端不会通过通道将新的 TCP 连接通过通道连接到后端 TCP 服务器。但是，这不会影响本地网关连接。

  [ACS-2714]

22.3.1.5（2022 年 3 月 24 日）

已修复的问题

• Windows EPA 插件名称将恢复为 NetScaler Gateway EPA 插件。

  [CGOP-21061]

已知问题

• 如果无法访问已经连接的 Citrix Secure Private Access 服务区域，则适用于 Windows 的 Citrix Secure Private Access 客户端不会通过通道将新的 TCP 连接通过通道连接到后端 TCP 服务器。但是，这不会影响本地网关连接。

  [ACS-2714]

22.3.1.4（2022 年 3 月 10 日）

新增功能

• 根据 ADC 配置对最终用户实施本地 LAN 访问

  管理员可以限制最终用户在其客户端计算机上禁用本地局域网访问选项。一个新选项“强制”将添加到现有的“本地局域网访问”参数值中。当本地局域网访问值设置为 FORCED 时，客户端计算机上始终为最终用户启用本地局域网访问。最终用户无法使用 Citrix Secure Access 客户端用户界面禁用本地局域网设置。如果管理员想要为最终用户提供启用或禁用本地局域网访问的选项，则他们必须将本地局域网访问参数重新配置为“开”。

  要使用 GUI 启用 FORCED 选项，请执行以下操作：

  1. 导航到 NetScaler Gateway > 全局设置 > 更改全局设置。
  2. 单击“客户端体验”选项卡，然后单击“高级设置”。
  3. 在 本地局域网访问中，选择 强制。

  要使用 CLI 启用 FORCED 选项，请运行以下命令：

   set vpn parameter -localLanAccess FORCED
   <!--NeedCopy-->
  

  [CGOP-19935]

• 在 EPA 操作系统扫描中支持 Windows 服务器 2019 和 2022

  EPA 操作系统扫描现在支持 Windows 服务器 2019 和 2022。

  您可以使用 GUI 选择新服务器。

  1. 导航到 NetScaler Gateway > 策略 > 预身份验证。
  2. 创建新的预身份验证策略或编辑现有策略。
  3. 单击 OPSWAT EPA 编辑器 链接。
  4. 在 表达式编辑器中，选择“窗口”>“Windows 更新”，然后单击“+”图标。
  5. 在 操作系统名称中，根据需要选择服务器。

  您可以升级到 OPSWAT 版本 4.3.2744.0，以便在 EPA 操作系统扫描中使用 Windows Server 2019 和 2022。

  [CGOP-20061]

• 缺失安全补丁的新 EPA 扫描分类类型

  以下新的分类类型将添加到 EPA 扫描中以查找缺失的安全补丁程序。如果客户端缺少以下任何安全修补程序，则 EPA 扫描将失败。

  • 应用程序
  • 连接器
  • CriticalUpdates
  • DefinitionUpdates
  • DeveloperKits
  • FeaturePacks
  • 指导
  • SecurityUpdates
  • ServicePacks
  • 工具
  • UpdateRollups
  • 更新

  您可以使用 GUI 配置分类类型。

  1. 导航到 NetScaler Gateway > 策略 > 预身份验证。
  2. 创建新的预身份验证策略或编辑现有策略。
  3. 单击 ((OPSWAT EPA Editor)) 链接。
  4. 在表达式编辑器中，选择“窗口”>“Windows 更新”。
  5. 在 不应该缺少以下 Windows 更新分类类型的修补程序中，为缺失的安全修补程序选择分类类型
  6. 单击确定。

  您可以升级到 OPSWAT 版本 4.3.2744.0 以使用这些选项。

  • 有关 Windows 服务器更新服务分类 GUID 的详细信息，请参阅 https://docs.microsoft.com/en-us/previous-versions/windows/desktop/ff357803(v=vs.85)
  • 有关 Microsoft 软件更新术语的说明，请参阅 https://docs.microsoft.com/en-us/troubleshoot/windows-client/deployment/standard-terminology-software-updates

  早些时候，EPA 扫描缺失的安全补丁程序是在严重级别上进行的：Windows 客户端上的“严重”、“重要”、“中”和“低”。

  [CGOP-19465]

• 支持用于 EPA 扫描的多个设备证书

  在始终可用的 VPN 配置中，如果配置了多个设备证书，则会尝试使用有效期最长的证书用于 VPN 连接。如果此证书允许 EPA 成功扫描，则会建立 VPN 连接。如果此证书在扫描过程中失败，则使用下一个证书。此过程将一直持续到尝试所有证书为止。

  以前，如果配置了多个有效证书，如果一个证书的 EPA 扫描失败，则不会尝试对其他证书进行扫描。

  [CGOP-19782]

已修复的问题

• 如果在配置 VPN 虚拟服务器时在 SSL 配置文件中将 clientCert 参数设置为“可选”，则系统会多次提示用户选择智能卡。

  [NSHELP-30070]

• 将“networkAccessOnVPNFailure”始终开启配置文件参数从“fullAccess”更改为“onlyToGateway”后，用户无法连接到 NetScaler Gateway 设备。

  [NSHELP-30236]

• 如果配置了“始终打开”，则由于 aoservice.exe 文件中的版本号 (1.1.1.1) 不正确，用户通道将失败。

  [NSHELP-30662]

• 对内部和外部资源的 DNS 解析在长时间的 VPN 会话中停止工作。

  [NSHELP-30458]

• Windows VPN 客户端不接受来自服务器的“SSL 关闭通知”警报，而是在同一连接上发送转移登录请求。

  [NSHELP-29675]

• 注册局 EPA 检查“==”和“!=”运算符对某些注册表项失败。

  [NSHELP-29582]

22.2.1.103（2022 年 2 月 17 日）

已修复的问题

• 升级到 Chrome 98 或 Edge 98 浏览器版本后，用户无法启动 EPA 插件或 VPN 插件。要修复此问题，请执行以下步骤：

  1. 对于 VPN 插件升级，最终用户必须首次使用 VPN 客户端进行连接，才能在其计算机上进行修复。在随后的登录尝试中，用户可以选择要连接的浏览器或插件。

  2. 对于仅适用于 EPA 的用例，最终用户将没有 VPN 客户端连接到网关。在这种情况下，请执行以下操作：

     1. 使用浏览器连接到网关。
     2. 等待下载页面出现并下载 nsepa_setup.exe。
     3. 下载完成后，关闭浏览器并安装 nsepa_setup.exe 文件。
     4. 重新启动客户端。

  [NSHELP-30641]

21.12.1.4（2021 年 12 月 17 日）

新增功能

• 品牌重塑变更

  适用于 Windows 的 NetScaler Gateway 插件已更名为 Citrix Secure Access 客户端。

  [ACS-2044]

• 支持 TCP/HTTP (S) 专用应用程序

  Citrix Secure Access 客户端现在支持通过 Citrix Workspace Secure Access 服务为远程用户提供的 TCP/HTTP(S) 专用应用程序。

  [ACS-870]

• 其他语言支持

  适用于 NetScaler Gateway 的 Windows VPN 和 EPA 插件现在支持以下语言：

  • 韩语
  • 俄语
  • 繁体中文

  [CGOP-17721]

• Windows 11 支持 Citrix Secure Access

  Windows 11 现在支持 Citrix Secure Access 客户端。

  [CGOP-18923]

• 当用户从同一台计算机登录并且配置了 AlwaysOn 时，自动转移登录

  现在，当配置了 AlwaysOn 且用户从同一台计算机登录时，无需任何用户干预即可实现自动登录传输。以前，当客户端（用户）在系统重启或网络连接问题等情况下必须重新登录时，会出现弹出消息。用户必须确认转移登录。通过此增强功能，弹出窗口将被禁用。

  [CGOP-14616]

• 从 NetScaler 提供的网络掩码中获取 Citrix 虚拟适配器默认网关 IP 地址

  Citrix 虚拟适配器默认网关 IP 地址现在来自 NetScaler 提供的网络掩码。

  [CGOP-18487]

已修复的问题

• 有时，在拆分通道开启模式下建立 VPN 通道后，用户将无法访问 Internet。Citrix 虚拟适配器的错误默认路由会导致此网络问题。

  [NSHELP-26779]

• 当拆分通道设置为“反向”时，Intranet 域的 DNS 解析将失败。

  [NSHELP-29371]

21.9.100.1（2021 年 12 月 30 日）

新增功能

• Windows 11 支持 Citrix Secure Access

  Windows 11 现在支持 Citrix Secure Access 客户端。

  [CGOP-18923]

已修复的问题

• 有时，在拆分通道开启模式下建立 VPN 通道后，用户将无法访问 Internet。Citrix 虚拟适配器的错误默认路由会导致此网络问题。

  [NSHELP-26779]

• 当拆分通道设置为“反向”时，Intranet 域的 DNS 解析将失败。

  [NSHELP-29371]

21.9.1.2（2021 年 10 月 4 日）

已修复的问题

• 有时，断开 VPN 连接后，DNS 解析器无法解析主机名，因为在 VPN 断开连接期间会删除 DNS 后缀。

  [NSHELP-28848]

• 有时，设置客户端空闲超时后，用户会在几秒钟内注销 NetScaler Gateway。

  [NSHELP-28404]

• Windows 插件可能会在身份验证期间崩溃。

  [NSHELP-28394]

• 在“始终开机”服务模式下，Windows 的 VPN 插件无法在用户登录到 Windows 计算机后自动建立用户通道。

  [NSHELP-27944]

• 通道建立后，Windows 插件将添加具有默认网关地址的路由，而不是使用先前的网关 IP 地址添加 DNS 服务器路由。

  [NSHELP-27850]

V21.7.1.1（2021 年 8 月 27 日）

新增功能

• 新的 MAC 地址扫描

  添加了对较新 MAC 地址扫描的支持。

  [CGOP-16842]

• EPA 扫描以检查 Windows 操作系统及其构建版本

  添加了 EPA 扫描以检查 Windows 操作系统及其构建版本。

  [CGOP-15770]

• EPA 扫描以检查是否存在特定值

  注册表 EPA 扫描中的一种新方法现在可以检查是否存在特定值。

  [CGOP-10123]

已修复的问题

• 如果由于网络错误而在登录过程中出现 JavaScript 错误，则随后的登录尝试将失败并出现相同的 JavaScript 错误。

  [NSHELP-27912]

• 对于 McAfee 防病毒软件的上次更新时间检查，EPA 扫描失败。

  [NSHELP-26973]

• 有时，在建立 VPN 通道后，用户会失去互联网访问权限。

  [NSHELP-26779]

• 在 nFactor 身份验证期间，可能会显示 VPN 插件的脚本错误。

  [NSHELP-26775]

• 如果发生网络中断，则在网络中断之前开始的 UDP 流量最多不会下降 5 分钟。

  [NSHELP-26577]

• 如果 DNS 注册所花费的时间比预期的长，您可能会遇到 VPN 通道启动延迟的情况。

  [NSHELP-26066]

V21.3.1.2（2021 年 3 月 31 日）

新增功能

• 升级后的 EPA 库

  EPA 库已升级，以支持 EPA 扫描中使用的最新版本的软件应用程序。

  [NSHELP-26274]

• NetScaler Gateway 虚拟适配器兼容性

  NetScaler Gateway 虚拟适配器现在与 Hyper-V 和 Microsoft Wi-Fi 直接虚拟适配器（用于打印机）兼容。

  [NSHELP-26366]

已修复的问题

• Windows VPN 网关插件阻止在 VPN 通道上使用“CTRL+P”和“CTRL + O”。

  [NSHELP-26602]

• 当请求对计算机名称执行 "nslookup" 操作时，适用于 Windows 的 NetScaler Gateway 插件仅使用在 Active Directory 中注册的 Intranet IP 地址进行响应。

  [NSHELP-26563]

• 如果拆分 DNS 设置为“本地”或“两者兼而有之”，则 IIP 注册和注销会间歇性失败。

  [NSHELP-26483]

• 如果配置了“始终开启”，则自动登录 Windows VPN 网关插件将失败。

  [NSHELP-26297]

• Windows VPN 网关插件无法丢弃 IPv6 DNS 数据包，从而导致 DNS 解析出现问题。

  [NSHELP-25684]

• Windows VPN 网关插件会保留现有的代理例外列表，即使由于 Internet Explorer 代理例外列表上的浏览器限制而溢出列表也是如此。

  [NSHELP-25578]

• 在始终开启模式下注销 VPN 客户端时，Windows VPN 网关插件无法还原代理设置。

  [NSHELP-25537]

• 如果满足以下条件，则 Windows 的 VPN 插件在登录到 Windows 后不会建立通道：

  • NetScaler Gateway 设备已配置为“始终开启”功能。
  • 设备配置为基于证书的身份验证，双因素身份验证“关闭”。

  [NSHELP-23584]