Windows ファイアウォール使用してXenApp（Citrix Virtual Apps）のポートをブロックする動作テストの方法

こんにちは。Citrix製品のサポートを担当している川東（かわひがし）です。

Citrix XenApp（※現在の製品名はCitrix Virtual Apps）の公開アプリケーションの通信はTCP/2598もしくはTCP/1494が使用されますが、こちらのポートをブロックした場合、どのようなエラーメッセージが表示されるかを、Windowsファイアウォールを使用して確認した内容をご紹介します。

【本記事に関する注点意　２０２０年７月１日に追記】
Citrix Virtual Apps and Virtual Desktops 7 1912 LTSR のデフォルト設定は、UDP/2598 もしくは UDP/1494 の通信がデフォルトになっています。こちらのポートがブロックされていると、TCP/2598 もしくは TCP/1494に自動で切り替えて通信をします。

Citrix Virtual Apps and Virtual Desktops 7 1912 LTSRを使用して本記事の動作確認をして頂く場合は、Citrix Studio から設定できるCitrixのポリシーにて「HDX アダプティブ トランスポート」を「オフ」に変更してください。

こちらのUDPの動作については、Citrix社の CTX220732 の記事もご参照下さい。

補足説明：公開アプリケーションの通信で使用されるポートについて

XenAppのデフォルト設定はセッション画面の保持機能が有効になっているため、TCP/2598が使用されます（緑線）。セッション画面の保持が無効の場合はTCP/1494が使用されます （橙線）。

本記事では以下の構成イメージの検証環境で動作テストをしました。
公開アプリケーションの通信は、クライアント端末とVDAサーバ間で行われますが、今回は、VDAサーバ側で Windows ファイアウォールを使用してTCP/2598をブロックした動作確認後、TCP/1494をブロックして再度確認します。クライアント端末のIPアドレスは、100.0.0.14、VDAサーバのIPアドレスは、100.0.0.22です。

クライアント端末とVDAサーバのOSと製品バージョンは以下になります。

① VDAサーバにてWindowsのコントロールパネルから「Windows ファイアウォール」を起動します。

② 本記事では、「Windows ファイアウォールの有効化または無効化」をクリックして、すべてのネットワークプロファイルに対して有効にします。以下の図はすべて有効にした後の状態です。

③　「詳細設定」をクリックします。

④　「受信の規則」上で右クリック後、「新しい規則」をクリックします。

⑤ 「カスタム」を選択後、「次へ」をクリックします。

⑥ 本資料ではプログラムに関する設定はしないため、「次へ」をクリックします。

⑦ 「プロトコルの種類をTCP」「ローカルポートを特定のポートから2598」に変更して「次へ」をクリックします。本記事では使用しませんが、プロトコルの種類をUDPにすることもできます。

⑧ 「この規則を適用するリモートIPアドレスを選択してください」から「追加」ボタンをクリックして、クライアント端末側のIPアドレスを設定します。
クライアント端末は、設定するWindowsファイアウォールから見てリモート側にありますのでローカルIP側に設定しないように注意してください。

⑨ 「接続をブロックする」を選択後、「次へ」をクリックします。

⑩ 本記事はすべてのプロファイルにチェックつけて「次へ」をクリックします。

⑪ 任意の名前を入力して「完了」をクリックします。

⑫ クライアント端末からVDAサーバ(10.0.0.22)へ TCP/2598 の通信が出来ないことをテストをします。Microsoft社のサイトから PortQryUI をダウンロードします。PortQryUI.exe をクライアント端末に配置します。

⑬ PortQryUI.exeを起動します。ライセンス同意画面にて「Yes」をクリックします。

⑭ PortQryUI.exeを起動します。「Unzip」をクリックします。以下の画面の状態で UnzipボタンをクリックするとCドライブ直下にPortQryUIフォルダが自動生成されます。

⑮ PortQryUIフォルダ内の portqueryui.exe を起動します。以下を設定して「Query」をクリックします。

・Enter destination IP or FQDN to query: 100.0.0.22　（VDAサーバ）
・Ports to query: 2598 / Protocol: TCP

下図は、「Query」ボタンクリック後、疎通が失敗したメッセージです。FILTEREDのメッセージが表示されている場合はブロックされています。

⑯ 手順⑪で作成したファイアウォール規則を無効化後、PortQryUIの Queryボタンを再度実行して
TCP/2598の疎通確認が成功することを確認します。

※手順⑪で作成した規則の無効化

※手順⑪で作成した規則の無効化後の画面

※無効化後に、PortQryUIの Queryボタンを再度押下した際の画面です。LISTENING のメッセージが表示された場合は疎通できています。

⑰ 再度、Windows ファイアウォールの規則を有効化します。

※有効化後の画面

⑱ クライアント端末のCitrix Receiverから公開アプリケーションを起動します。TCP/2598をブロックしているため接続に失敗すると予想していましたが、公開アプリケーションが起動できました。

⑲ クライアント端末側、もしくは、VDAサーバ側で、netstat –ano | findstr “クライアント端末のIPアドレス” を実行するとTCP/1494に接続されていることが確認できます。
※以下の画面はVDAサーバ側で実行した結果です。

確認後、公開アプリケーションを終了してください。

こちらの結果から、TCP/2598の通信ができないため、TCP/1494の通信に切り替えてVDAサーバに接続している動作になることが分かりました。

※補足説明
TCP/1494に対して接続している場合は、セッション画面の保持機能は使用されない状態になります。
そのため、こちらの接続状態でVDAサーバのNICを無効化すると、30秒程度で公開アプリケーションの画面が消えて、Receiverの再接続画面が表示されます。TCP/2598に対して接続をしている場合はセッション画面の保持機能を使用した状態になるため、VDAサーバのNICを無効化しても180秒（デフォルト設定）は公開アプリケーションの画面が表示され続けます。また、NICを有効化後、公開アプリケーションを継続して使用できます。

⑳ VDAサーバ側のWindows ファイアウォールにて、10.0.0.14の端末からのTCP/1494の通信をブロックする規則も作成します。

㉑ VDAサーバのTCP/2598とTCP/1494がブロックされている状態で、クライアント端末から公開アプリケーションの起動をすると「アプリケーションを起動できません。ヘルプデスクに次の情報を知らせてください。Citrix XenAppサーバに接続できません。指定されたアドレスには Citrix XenAppサーバがありません」のメッセージが表示されて起動に失敗することを確認します。

いかがでしたか？接続元のIPアドレスに対して、特定ポートへの通信をブロックした場合の挙動を確認する場合、本資料のWindowsファイアウォールの設定を参考にしてください。

クライアント仮想化の基礎知識から、仮想化製品「Citrix Virtual Apps and Desktops(XenAppおよびXenDesktop)」の製品概要、導入検討時に注意すべき点などをご紹介します。
今お持ちのお悩みを解決し、Citrix製品をより有効に活用する方法を具体的に学ぶことができる内容になっております。

アシストのCitrixサポートセンターに良くある設定・トラブル対処方法のFAQ10選の資料を無料プレゼント中です。また、Citrix XenApp/XenDesktopの問題発生時に原因を切り分ける方法も掲載しております。以下のバナーからお気軽にダウンロードください。