既知の問題
オンプレミス向けCitrix Secure Private Accessソリューションには、次の既知の問題があり、将来のリリースで対処される予定です。
ドメインコントローラーの構成
-
異なる AD フォレストにまたがるドメイン間の信頼タイプを「フォレスト」とする一方向または双方向の信頼はサポートされていません。
たとえば、a.comドメインとb.comドメインが2つの異なるADフォレストにあり、ドメインがa.com/b.comに参加しているマシンにSPAがインストールされている場合、他のドメインユーザーはSPA公開アプリにアクセスできません。
-
オンプレミスのSecure Private Accessがインストールされているマシンのドメインが、Secure Private Accessにログインしている管理者のドメインと異なる場合は、以下を実行する必要があります。
- Secure Private Access AdminとRuntimeサービスの両方のIISアプリケーションプールに、IDとして別のドメインサービスアカウントを追加します。
- 代替UPNサフィックスは、イントラネット(StoreFront)ログインおよびインターネット/エクストラネット(ゲートウェイ)アプリ列挙用のSecure Private Accessではサポートされていません。
- 分散グループはSecure Private Accessではサポートされていません。そのため、ポリシーでは分散グループを検索してユーザーとグループの条件を追加することはできません。
- Secure Private Accessは、管理コンソールまたはサービスにドメインの詳細をキャプチャしません。したがって、ユーザーが提供したドメインに完全に依存します。したがって、対応するドメインにアクセスできない場合、またはドメイン名が有効な名前でない場合、そのドメインはサポートされません。
NetScaler Gateway
SSL プロファイル構成の SSL 仮想サーバーは、次のシナリオではサポートされていません。
- お客様はNetScaler Gateway 13.1—48.47以降または14.1—4.42以降を使用しています。
-
ns_vpn_enable_spa_onpremトグルは有効になっています。
回避方法:
SSL プロファイルで構成された SSL パラメータを SSL 仮想サーバーに直接バインドするか、 ns_vpn_enable_spa_onprem トグルを無効にします。
トグルの詳細については、「 スマートアクセスタグのサポート」を参照してください。
RFWeb/ウェブ用ワークスペース
RFWeb/ウェブ用ワークスペースはサポートされていません。アプリは列挙されていますが、アプリの起動が失敗する可能性があります。
アプリケーションアイコン
ICO アイコン形式のみがサポートされています。PNG、JPEG、その他の形式はサポートされていません。
管理者管理
管理者の RBAC ロールの変更は、現在のセッションが無効化された後 (サインアウトまたはトークンの有効期限が切れた後) にのみ反映されます。
アップグレード
ビルド間アップグレードはサポートされていません。オンプレミス用 Secure Private Access では、既存のインストールを削除してビルド間アップグレードで再インストールするよう求められます。
StoreFront
-
「 ストア」>「統合エクスペリエンスの設定」で、
<StoreName>Webサイトのデフォルトレシーバーを/Citrix/Webに設定する必要があります。以前のバージョンのStoreFront では、Webサイトのデフォルトレシーバーは空白の値に設定されており、Secure Private Accessでは機能しません。また、以前のバージョンのReceiver UIがクライアントに表示されます。 -
StoreFront バージョン2308以前を使用している場合、[ ストア]>[Delivery Controllerの管理 ]ページには、[Secure Private Access]プラグインの種類がXenMobileとして表示されます。これは機能には影響しません。
ログ
- クラスターのサポートバンドルの生成はサポートされていません。
- 管理サービスとランタイムサービスのログフォルダは削除しないでください。これらのフォルダを削除すると、Secure Private Accessは再作成できません。
Secure Private Accessをインストールするための管理者アカウント要件
- Secure Private Access をインストールするには、ローカルマシンの管理者アカウントでログインする必要があります。
- Secure Private Accessを設定するには、Secure Private Accessがインストールされているマシンのローカルマシン管理者でもあるドメインユーザーで Secure Private Access 管理コンソールにサインインする必要があります。
- セットアップが完了すると、そのユーザーは最初のSecure Private Access管理者になり、他の管理者を追加できます。
- セットアップ後にSecure Private Accessを管理するには、Secure Private Access管理者アカウントでSecure Private Access管理コンソールにサインインする必要があります。
セキュリティ制限
最初に公開された関連ドメインを別のドメインに置き換えると、アプリに関連するセキュリティ制限が機能しなくなります。
たとえば、関連ドメインをedition.test.comとして使用してアプリを作成し、そのアプリケーションに印刷制限とウォーターマークを適用します。 セキュリティ制限は、アプリケーション URL にアクセスしたときに適用されます。ただし、 同じアプリケーションを編集して関連ドメインedition.test.com を*.1800flowers.comに置き換えると 、新しいアプリケーション URL にアクセスしてもセキュリティ制限は適用されません。
管理コンソール
関連するドメインエントリが変更された後に公開アプリケーションの [アプリの編集] ページ (****[Secure Private Access ] > [アプリケーション] > [アプリケーションの**編集]) が閉じないと、[アプリケーションの編集] ページが自動的に閉じません。
たとえば、アプリの作成時に入力した関連ドメインがwww.example.comだったとします 。アプリが公開されたら、 関連ドメインwww.example.comをabc.comに置き換えて 、[ 保存] をクリックします。 アプリは正常に更新されますが、[アプリの編集] ページは閉じません。
[プログラムのアンインストールまたは変更] ページでのインストーラーの表示
ISO ファイルを使用して Secure Private Access を 2308 から 2311 にアップグレードすると、プログラムのアンインストールまたは変更ページ ([コントロールパネル] > [プログラム ] > [プログラムと機能]) に Secure PrivateAccess インストーラーの最初のエントリが置き換えられずに 2 つのエントリが表示されます。
- シトリックス仮想アプリおよびデスクトップ 7 2311
- Citrix 仮想アプリおよびデスクトップ 7 2308-Secure Private Access
プレビュービルドインストーラーは、 Citrix 仮想アプリおよびデスクトップ 7 2308-Secure Private Accessを選択してアンインストールできます。
注:
この問題は、Secure Private Access 2308 スタンドアロンインストーラーを 2311 スタンドアロンインストーラーを使用してアップグレードした場合には発生しません。