既知の問題
このリリースでは、次の問題が確認されています:
-
スマートカードサービスは、スマートカード認証中にファイル記述子をリークし、新しいスマートカードへのアクセスをブロックします。この問題は、ほとんどのLinuxディストリビューションがデフォルトで、プロセスごとに開くファイルの最大数を1,024に制限しているために発生します。スマートカードサービスがこの制限に達すると、新しい接続を確立できなくなり、その後のスマートカードアクセスが事実上ブロックされます。
この問題は、スマートカードログオンが有効になっているVDAに影響します。現象としては、/var/log/xdl/hdx.logで多数のFailed to accept new connection: Too many open filesエラーが発生し、/proc/${pid}/fd/でファイル記述子が蓄積されます。この${pid}は、ctxscardsdのプロセスIDを表します。PIDを確認するには、次のコマンドを使用します:systemctl status ctxscardsd|grep PID。
この問題を軽減するには、スマートカードサービスのオープンファイルの最大数制限を増やすか、スマートカードサービスを再起動します。サービスを再起動する前に、アクティブなセッションがないことを確認してください。制限を増やすか、サービスを再起動するには、次のコマンドを使用します:
-
スマートカードサービスを再起動するには:
systemctl restart ctxscardsd <!--NeedCopy-->
-
現在のサービスに関してオープンファイルの最大数を照会するには:
cat /proc/${PID}/limits <!--NeedCopy-->
-
スマートカードサービスのオープンファイルの最大数を設定するには:
-
現在の設定を確認するには、ctxscardsd.serviceファイルを読み取り専用モードで開きます:
vim -R /lib/systemd/system/ctxscardsd.service <!--NeedCopy-->
-
制限を増やすには、ctxscardsd.serviceのServiceセクションに次の行を追加します:
LimitNOFILE=65536 <!--NeedCopy-->
-
systemdデーモンを再読み込みし、ctxscardsdサービスを再起動します:
systemctl daemon-reload systemctl restart ctxscardsd <!--NeedCopy-->
-
新しい制限を確認します:
cat /proc/${PID}/limits <!--NeedCopy-->
-
注:
オープンファイルの最大数を増やすと、ファイル記述子が不足するまでの時間を延長できますが、最終的にはctxscardsdの再起動が必要になる可能性があります。
[LNXVDA-17784]
-
-
CTX_XDL_DESKTOP _ENVIRONMENT変数を指定しないままにすると、その後のプロセスでどのデスクトップが使用されるかを知ることができなくなります。その結果、デスクトップ関連の環境変数が構成されず、これらの変数に依存するアプリやプラグインが正常に動作しない可能性があります。[LNXVDA-16212]
-
GNOMEの問題により、RHEL 8.X、Rocky Linux 8.x、RHEL 9.x、およびRocky Linux 9.xでsamba-winbindをバージョン4.18.6にアップグレードすると、Linux VDAが正常に動作しません。詳しくは、https://issues.redhat.com/browse/RHEL-17122を参照してください。
-
セッション起動エラーは、PostgreSQLで設定された最大接続数が同時セッションを処理するには不十分な場合に発生します。この問題を回避するには、postgresql.confファイルのmax_connections設定を変更して最大接続数を増やします。
-
/var/log/xdl/jproxy.logで次のLDAP例外が発生して、VDA登録が失敗する場合があります:
javax.naming.NamingException: LDAP response read timed out, timeout used: 10000 ms. <!--NeedCopy-->
この問題を解決するには、以下の手順に従います。
-
LDAPタイムアウト値を変更します。たとえば、次のコマンドを使用してLDAPタイムアウト値を60 sに変更します。
ctxreg create -k "HKLM\Software\Citrix\GroupPolicy\Defaults" -t "REG_DWORD" -v "LDAPTimeout" -d "0x000EA60" --force <!--NeedCopy-->
-
検索ベースを設定して、LDAPクエリを高速化します。ctxsetup.shのCTX_XDL_SEARCH_BASE変数を使用して、または次のコマンドを使用して検索ベースを設定できます:
ctxreg create -k "HKLM\Software\Citrix\VirtualDesktopAgent" -t "REG_SZ" -v "LDAPComputerSearchBase" -d "<specify a search base instead of the root of the domain to improve search performance>" --force <!--NeedCopy-->
[CVADHELP-20895]
-
-
Microsoftは、2022年11月にWindows 10用の累積更新プログラムKB5019966およびKB5019964をリリースしました。この更新プログラムにより、ドメインへの参加と登録に障害が発生します。この問題を回避するには、Knowledge Centerの記事CTX474888を参照してください。
-
暗号化の種類RC4_HMAC_MD5をKerberosに許可している場合、Linux VDAをControllerに登録できず、次のエラーメッセージが表示されることがあります:
Error: Failure unspecified at GSS-API level (Mechanism level: Encryption type RC4 with HMAC is not supported/enabled)
この問題に対応するには、Active Directoryドメイン(具体的にはOU)でRC4_HMAC_MD5を無効にするか、Linux VDAで弱い暗号化の種類を許可してください。その後、klist -li 0x3e4 purgeコマンドを使用して、ControllerおよびCitrix Cloud Connector上のキャッシュされたKerberosチケットをクリアし、Linux VDAを再起動します。
Active DirectoryドメインでRC4_HMAC_MD5をグローバルに無効にするには、次の手順を実行します:
- グループポリシー管理コンソールを開きます。
- 対象のドメインを見つけて、[既定のドメインポリシー] を選択します。
- [既定のドメインポリシー] を右クリックし、[編集] を選択します。グループポリシー管理エディターが開きます。
- [コンピューターの構成]>[ポリシー]>[Windowsの設定]>[セキュリティの設定]>[ローカルポリシー]>[セキュリティオプション] を選択します。
- [ネットワークセキュリティ:Kerberosで許可する暗号化の種類を構成する] をダブルクリックします。
- [DES_CBC_CRC]、[DES_CBC_MD5]、[RC4_HMAC_MD5] のチェックボックスをオフにして、[AES128_HMAC_SHA1]、[AES256_HMAC_SHA1]、[将来使用する暗号化の種類] をオンにします。
Linux VDAで弱い暗号化の種類を許可するには、次の手順を実行します:
注:
暗号化の種類が弱いと、展開は攻撃に対して脆弱になります。
- Linux VDAで/etc/krb5.confファイルを開きます。
-
[libdefaults]セクションに次の設定を追加します。
allow_weak_crypto= TRUE
-
Linux VDAでは、暗号化でSecureICAはサポートされていません。Linux VDAでSecureICAを有効にすると、セッションの起動に失敗します。
-
GNOMEデスクトップセッションでは、キーボードレイアウトを変更しようとすると失敗する場合があります。[CVADHELP-15639]
-
Ubuntuのグラフィック:HDX 3D Proで、Desktop Viewerをサイズ変更した後、アプリケーションの周囲に黒い枠が表示されたり、まれに背景が黒く表示される場合があります。
-
Linux VDA印刷リダイレクトで作成されたプリンターは、セッションからログアウト後、削除されることがあります。
-
ディレクトリにファイルやサブディレクトリが多数含まれているときに、CDMファイルが欠落します。クライアント側のファイルやディレクトリが非常に多い場合、この問題が生じることがあります。
-
このリリースでは、英語以外の言語ではUTF-8エンコードのみがサポートされます。
-
セッションのローミング時、Android向けCitrix WorkspaceアプリでCapsLockが通常とは反対の状態になる場合があります。Android向けCitrix Workspaceアプリへの既存の接続をローミングすると、CapsLock状態が失われる場合があります。回避策として、拡張キーボードのShiftキーを使用して大文字と小文字を切り替えます。
-
Mac向けCitrix Workspaceアプリを使用してLinux VDAに接続している場合、Altキーを使用するショートカットキーが機能しないことがあります。Mac向けCitrix Workspaceアプリでは、左右どちらのoption/altキーを押しても、デフォルトではAltGrが送信されます。Citrix Workspaceアプリの設定でこの動作を変更することはできますが、結果はアプリケーションによって異なります。
-
Linux VDAをドメインに再度追加すると、登録できません。再度追加することにより、Kerberosキーの新しいセットが生成されます。しかし、ブローカーは、Kerberosキーの以前のセットに基づいた、キャッシュに存在する期限切れのVDAサービスチケットを使用する可能性があります。VDAがブローカーに接続しようとするときに、ブローカーはVDAに返すセキュリティコンテキストを確立できないことがあります。通常見られる現象は、VDA登録の失敗です。
この問題は、VDAサービスチケットが最終的に期限切れとなって更新されると自動的に解決します。ただし、サービスチケットの期限は長いので、それまでに時間がかかることがあります。
この問題を回避するには、ブローカーのチケットキャッシュを消去します。ブローカーを再起動するか、管理者としてコマンドプロンプトからブローカーで次のコマンドを実行します。
klist -li 0x3e4 purge <!--NeedCopy-->
このコマンドにより、Citrix Broker Serviceを実行するNetwork ServiceプリンシパルがLSAキャッシュに保持するサービスチケットはすべて削除されます。これにより、ほかのVDAのサービスチケットが削除されます。また、その他のサービスのサービスチケットも削除される可能性があります。ただし、この処理は悪影響を及ぼしません。これらのサービスチケットは、再度必要になった時にKDCから再取得できます。
-
オーディオのプラグアンドプレイがサポートされません。ICAセッションでオーディオの録音を開始する前に、オーディオキャプチャデバイスをクライアントマシンに接続できます。オーディオ録音アプリケーションの開始後にキャプチャデバイスを接続した場合は、アプリケーションが応答しなくなって再起動する必要が生じる可能性があります。録音中にキャプチャデバイスが取り外されると、同様の問題が発生する可能性があります。
-
Windows向けCitrix Workspaceアプリでオーディオ録音中にオーディオの歪みが生じることがあります。