适用于 Windows 的 Citrix Secure Access 发行说明

适用于 Windows 的 Citrix Secure Access 代理现已独立发布,并且与所有 Citrix ADC 版本兼容。Citrix Secure Access 代理版本遵循 YY.MM Release.Build 的格式。

发行说明描述了新增功能、现有功能的增强功能以及已修复的问题。

新增功能:当前版本中提供的新功能和增强功能。

已修复的问题:当前版本中已修复的问题。

有关受支持功能的详细信息,请参阅 Citrix Gateway 产品文档

注意:

Citrix Secure Access 代理(以前称为适用于 Windows 的 Citrix Gateway 插件)版本为 21.9.1.2 及更高版本包含 https://support.citrix.com/article/CTX341455 的修复程序。

22.6.1.5 (2022 年 6 月 17 日)

新增功能

  • 登录和注销脚本配置

    当 Citrix Secure Access 客户端连接到 Citrix Secure Access 云服务时,Citrix Secure Private Access 客户端将从以下注册表访问登录和注销脚本配置。

    注册表路径:HKEY_LOCAL_MACHINE>SOFTWARE>Citrix > Secure Access Client

    注册表值:

    • SecureAccessLogInScript 类型 REG_SZ - 登录脚本的路径
    • SecureAccessLogoutScript 类型 REG_SZ - 注销脚本的路径

    [ACS-2776]

  • 使用 Windows 筛选平台 (WFP) 的 Windows Citrix Secure Access 代理

    WFP 是一组 API 和系统服务,为创建网络过滤应用程序提供了一个平台。WFP 旨在取代以前的包过滤技术,即与 DNE 驱动程序一起使用的网络驱动程序接口规范 (NDIS) 过滤器。有关详细信息,请参阅使用 Windows 筛选平台的 Windows Citrix Secure Access 代理

    [CGOP-19787]

  • 基于 FQDN 的反向拆分通道支持

    WFP 驱动程序现在支持基于 FQDN 的反向拆分通道。DNE 驱动程序不支持此功能。有关反向分割通道的更多详细信息,请参阅分割通道选项

    [CGOP-16849]

已修复的问题

  • 有时,当用户以“始终开启”服务模式登录到 Windows 计算机时,Windows 自动登录不起作用。计算机通道不会转换为用户通道,VPN 插件 UI 中会显示消息“正在连接”。

    [NSHELP-31357]

  • VPN 注销时,SearchList(计算机\ HKEY_LOCAL_MACHINE\ SOFTWARE\ Citrix\ Secure Access Client)注册表中的 DNS 后缀列表条目将以相反的顺序重写,并用一个或多个逗号分隔。

    [NSHELP-31346]

  • 即使在 Citrix ADC 内联网应用程序配置从基于 FQDN 的应用程序更改为基于 IP 的应用程序之后,也会使用欺骗 IP 地址。

    [NSHELP-31236]

  • 网关插件成功建立 VPN 通道后,不会立即显示网关主页。

    通过此修复,引入了以下注册表值。

    \HKLM\Software\Citrix\Secure Access Client\SecureChannelResetTimeoutSeconds

    类型:DWORD

    默认情况下,不设置或添加此注册表值。当“SecureChannelResetTimeoutSeconds”的值为 0 或未添加时,处理延迟的修复不起作用,这是默认行为。管理员必须在客户端上设置此注册表才能启用此修复(即在网关插件成功建立 VPN 通道后立即显示主页)。

    [NSHELP-30189]

  • 如果注册表值大于 2000 字节,AlwaysOnAllow 列表注册表将无法按预期工作。

    [NSHELP-31836]

  • 如果已连接的 Secure Private Access 服务区域变得无法访问,适用于 Windows 的 Citrix Secure Access 代理不会通过通道将新的 TCP 连接传输到后端 TCP 服务器。但是,这不会影响本地网关连接。

    [ACS-2714]

22.3.1.5 (2022 年 3 月 24 日)

已修复的问题

  • Windows EPA 插件名称将恢复为 Citrix Gateway EPA 插件。

    [CGOP-21061]

已知问题

  • 如果已连接的 Secure Private Access 服务区域变得无法访问,适用于 Windows 的 Citrix Secure Access 代理不会通过通道将新的 TCP 连接传输到后端 TCP 服务器。但是,这不会影响本地网关连接。

    [ACS-2714]

22.3.1.4 (2022 年 3 月 10 日)

新增功能

  • 根据 ADC 配置对最终用户实施本地 LAN 访问

    管理员现在可以限制最终用户在其客户端计算机上启用或禁用本地局域网访问选项。一个新选项“强制”将添加到现有的“本地局域网访问”参数值中。将“本地局域网访问”值设置为“强制”时,将限制最终用户在其客户端计算机上使用本地 LAN 访问选项。如果最终用户必须启用或禁用本地 LAN 访问,管理员必须相应地在 Citrix ADC 设备中重新配置“本地局域网访问”选项。

    要使用 GUI 启用“强制”选项,请执行以下操作:

    1. 导航到 Citrix Gateway > 全局设置 > 更改全局设置
    2. 单击“客户端体验”选项卡,然后单击“高级设置”
    3. 本地局域网访问中,选择 强制

    要使用 CLI 启用 FORCED 选项,请运行以下命令:

     set vpn parameter -localLanAccess FORCED
     <!--NeedCopy-->
    

    [CGOP-19935]

  • 在 EPA 操作系统扫描中支持 Windows 服务器 2019 年和 2022 年

    EPA 操作系统扫描现在支持 Windows 服务器 2019 年和 2022 年。

    您可以使用 GUI 选择新服务器。

    1. 导航到 Citrix Gateway > 策略 > 预身份验证
    2. 创建新的预身份验证策略或编辑现有策略。
    3. 单击 OPSWAT EPA 编辑器 链接。
    4. 表达式编辑器中,选择“窗口”>“Windows 更新”,然后单击“+”图标。
    5. 操作系统名称中,根据需要选择服务器。

    你可以升级到 OPSWAT 版本 4.3.2744.0,以便在 EPA 操作系统扫描中使用 Windows Server 2019 和 2022。

    [CGOP-20061]

  • 缺失安全补丁的新 EPA 扫描分类类型

    以下新的分类类型将添加到 EPA 扫描中以查找缺失的安全补丁程序。如果客户端缺少以下任何安全修补程序,则 EPA 扫描将失败。

    • 应用程序
    • 连接器
    • 关键更新
    • 定义更新
    • 开发者套件
    • 功能包
    • 指导
    • 安全更新
    • 服务包
    • 工具
    • 更新汇总
    • 更新

    您可以使用 GUI 配置分类类型。

    1. 导航到 Citrix Gateway > 策略 > 预身份验证
    2. 创建新的预身份验证策略或编辑现有策略。
    3. 单击 ((OPSWAT EPA 编辑器)) 链接。
    4. 在表达式编辑器中,选择“窗口”>“Windows 更新”。
    5. 不应该缺少以下 Windows 更新分类类型的修补程序中,为缺失的安全修补程序选择分类类型
    6. 单击确定

    您可以升级到 OPSWAT 版本 4.3.2744.0 以使用这些选项。

    早些时候,EPA 扫描缺失的安全补丁程序是在严重级别上进行的:Windows 客户端上的“严重”、“重要”、“中”和“低”。

    [CGOP-19465]

  • 支持用于 EPA 扫描的多个设备证书

    在 Always on VPN 配置中,如果配置了多个设备证书,则会尝试使用有效期最长的证书用于 VPN 连接。如果此证书允许 EPA 成功扫描,则会建立 VPN 连接。如果此证书在扫描过程中失败,则使用下一个证书。此过程将一直持续到尝试所有证书为止。

    以前,如果配置了多个有效证书,如果一个证书的 EPA 扫描失败,则不会尝试对其他证书进行扫描。

    [CGOP-19782]

已修复的问题

  • 如果在配置 VPN 虚拟服务器时在 SSL 配置文件中将 ClientCert 参数设置为“可选”,则系统会多次提示用户选择智能卡。

    [NSHELP-30070]

  • 将“networkAccessonVPNFailure”始终开启配置文件参数从“完全访问”更改为“OnlyToGateway”后,用户无法连接到 Citrix Gateway 设备。

    [NSHELP-30236]

  • 如果配置了“始终打开”,则由于 aoservice.exe 文件中的版本号 (1.1.1.1) 不正确,用户通道将失败。

    [NSHELP-30662]

  • 对内部和外部资源的 DNS 解析在长时间的 VPN 会话中停止工作。

    [NSHELP-30458]

  • Windows VPN 客户端不接受来自服务器的“SSL 关闭通知”警报,而是在同一连接上发送转移登录请求。

    [NSHELP-29675]

  • 注册局 EPA 检查“==”和“!=”运算符对某些注册表项失败。

    [NSHELP-29582]

22.2.1.103 (2022 年 2 月 17 日)

已修复的问题

  • 升级到 Chrome 98 或 Edge 98 浏览器版本后,用户无法启动 EPA 插件或 VPN 插件。要修复此问题,请执行以下步骤:

    1. 对于 VPN 插件升级,最终用户必须首次使用 VPN 客户端进行连接,才能在其计算机上进行修复。在随后的登录尝试中,用户可以选择要连接的浏览器或插件。
    2. 对于仅适用于 EPA 的用例,最终用户将没有 VPN 客户端连接到网关。在这种情况下,请执行以下操作:

      1. 使用浏览器连接到网关。
      2. 等待下载页面出现并下载 nsepa_setup.exe。
      3. 下载完成后,关闭浏览器并安装 nsepa_setup.exe 文件。
      4. 重新启动客户端。

    [NSHELP-30641]

21.12.1.4 (2021 年 12 月 17 日)

新增功能

  • 品牌重塑变更

    适用于 Windows 的 Citrix Gateway 插件已更名为 Citrix Secure Access 代理。

    [ACS-2044]

  • 支持 TCP/HTTP (S) 私有应用程序

    Citrix Secure Access 代理现在通过 Citrix Workspace Secure Access 服务支持远程用户的 TCP/HTTP (S) 私有应用程序。

    [ACS-870]

  • 其他语言支持

    适用于 Citrix Gateway 的 Windows VPN 和 EPA 插件现在支持以下语言:

    • 韩语
    • 俄语
    • 繁体中文

    [CGOP-17721]

  • Citrix Secure Access 支持 Windows 11

    Windows 11 现在支持 Citrix Secure Access 代理。

    [CGOP-18923]

  • 当用户从同一台计算机登录并且配置了 Always on 时,自动转移登录

    现在,当配置了 Always on 且用户从同一台计算机登录时,无需任何用户干预即可实现自动登录传输。以前,当客户端(用户)在系统重启或网络连接问题等情况下必须重新登录时,会出现弹出消息。用户必须确认转移登录。通过此增强功能,弹出窗口将被禁用。

    [CGOP-14616]

  • 从 Citrix ADC 提供的网络掩码中获取 Citrix 虚拟适配器默认网关 IP 地址

    Citrix 虚拟适配器默认网关 IP 地址现在来自 Citrix ADC 提供的网络掩码。

    [CGOP-18487]

已修复的问题

  • 有时,在拆分通道开启模式下建立 VPN 通道后,用户将无法访问 Internet。Citrix 虚拟适配器的错误默认路由会导致此网络问题。

    [NSHELP-26779]

  • 当拆分通道设置为“反向”时,Intranet 域的 DNS 解析将失败。

    [NSHELP-29371]

21.9.100.1 (2021 年 12 月 30 日)

新增功能

  • Citrix Secure Access 支持 Windows 11

    Windows 11 现在支持 Citrix Secure Access 代理。

    [CGOP-18923]

已修复的问题

  • 有时,在拆分通道开启模式下建立 VPN 通道后,用户将无法访问 Internet。Citrix 虚拟适配器的错误默认路由会导致此网络问题。

    [NSHELP-26779]

  • 当拆分通道设置为“反向”时,Intranet 域的 DNS 解析将失败。

    [NSHELP-29371]

21.9.1.2 (2021 年 10 月 4 日)

已修复的问题

  • 有时,断开 VPN 连接后,DNS 解析器无法解析主机名,因为在 VPN 断开连接期间会删除 DNS 后缀。

    [NSHELP-28848]

  • 有时,设置客户端空闲超时后,用户会在几秒钟内注销 Citrix Gateway。

    [NSHELP-28404]

  • Windows 插件可能会在身份验证期间崩溃。

    [NSHELP-28394]

  • 在“始终开机”服务模式下,Windows 的 VPN 插件无法在用户登录到 Windows 计算机后自动建立用户通道。

    [NSHELP-27944]

  • 通道建立后,Windows 插件将添加具有默认网关地址的路由,而不是使用先前的网关 IP 地址添加 DNS 服务器路由。

    [NSHELP-27850]

V21.7.1.1 (27-Aug-2021)

新增功能

  • 新的 MAC 地址扫描

    添加了对较新 MAC 地址扫描的支持。

    [CGOP-16842]

  • EPA 扫描以检查 Windows 操作系统及其构建版本

    添加了 EPA 扫描以检查 Windows 操作系统及其构建版本。

    [CGOP-15770]

  • EPA 扫描以检查是否存在特定值

    注册表 EPA 扫描中的一种新方法现在可以检查是否存在特定值。

    [CGOP-10123]

已修复的问题

  • 如果由于网络错误而在登录过程中出现 JavaScript 错误,则随后的登录尝试将失败并出现相同的 JavaScript 错误。

    [NSHELP-27912]

  • 对于 McAfee 防病毒软件的上次更新时间检查,EPA 扫描失败。

    [NSHELP-26973]

  • 有时,在建立 VPN 通道后,用户会失去互联网访问权限。

    [NSHELP-26779]

  • 在 nFactor 身份验证期间,可能会显示 VPN 插件的脚本错误。

    [NSHELP-26775]

  • 如果发生网络中断,则在网络中断之前开始的 UDP 流量最多不会下降 5 分钟。

    [NSHELP-26577]

  • 如果 DNS 注册所花费的时间比预期的长,您可能会遇到 VPN 通道启动延迟的情况。

    [NSHELP-26066]

V21.3.1.2 (31-Mar-2021)

新增功能

  • 升级后的 EPA 库

    EPA 库已升级,以支持 EPA 扫描中使用的最新版本的软件应用程序。

    [NSHELP-26274]

  • Citrix Gateway 虚拟适配器兼容性

    Citrix Gateway 虚拟适配器现在与 Hyper-V 和微软 Wi-Fi 直接虚拟适配器(用于打印机)兼容。

    [NSHELP-26366]

已修复的问题

  • Windows VPN 网关插件阻止在 VPN 通道上使用“CTRL+P”和“CTRL + O”。

    [NSHELP-26602]

  • 当请求对计算机名称执行操作时,适用于 Windows 的 Citrix Gateway 插件仅使用在 Active Directory 中注册的 Intranet IP 地址进 "nslookup" 行响应。

    [NSHELP-26563]

  • 如果拆分 DNS 设置为“本地”或“两者兼而有之”,则 IIP 注册和注销会间歇性失败。“

    [NSHELP-26483]

  • 如果配置了“始终开启”,则自动登录 Windows VPN 网关插件将失败。

    [NSHELP-26297]

  • Windows VPN 网关插件无法丢弃 IPv6 DNS 数据包,从而导致 DNS 解析出现问题。

    [NSHELP-25684]

  • Windows VPN 网关插件会保留现有的代理例外列表,即使由于 Internet Explorer 代理例外列表上的浏览器限制而溢出列表也是如此。

    [NSHELP-25578]

  • 在始终开启模式下注销 VPN 客户端时,Windows VPN 网关插件无法还原代理设置。

    [NSHELP-25537]

  • 如果满足以下条件,则 Windows 的 VPN 插件在登录到 Windows 后不会建立通道:

    • Citrix Gateway 设备已配置为“始终开启”功能。
    • 设备配置为基于证书的身份验证,双因素身份验证“关闭”。“

    [NSHELP-23584]