Citrixサポートブログ

  • トラブルシューティング
2019.03.11

Windows ファイアウォール使用してXenApp(Citrix Virtual Apps)のポートをブロックする動作テストの方法

Windows ファイアウォール使用してXenApp(Citrix Virtual Apps)のポートをブロックする動作テストの方法

こんにちは。Citrix製品のサポートを担当している川東(かわひがし)です。

Citrix XenApp(※現在の製品名はCitrix Virtual Apps)の公開アプリケーションの通信はTCP/2598もしくはTCP/1494が使用されますが、こちらのポートをブロックした場合、どのようなエラーメッセージが表示されるかを、Windowsファイアウォールを使用して確認した内容をご紹介します。

【本記事に関する注点意 2020年7月1日に追記】
Citrix Virtual Apps and Virtual Desktops 7 1912 LTSR のデフォルト設定は、UDP/2598 もしくは UDP/1494 の通信がデフォルトになっています。こちらのポートがブロックされていると、TCP/2598 もしくは TCP/1494に自動で切り替えて通信をします。

Citrix Virtual Apps and Virtual Desktops 7 1912 LTSRを使用して本記事の動作確認をして頂く場合は、Citrix Studio から設定できるCitrixのポリシーにて「HDX アダプティブ トランスポート」「オフ」に変更してください。

こちらのUDPの動作については、Citrix社の
CTX220732 の記事もご参照下さい。

  • 製品名の変更の詳細はこちら をご参照ください。

補足説明:公開アプリケーションの通信で使用されるポートについて


XenAppのデフォルト設定はセッション画面の保持機能が有効になっているため、TCP/2598が使用されます(緑線)。セッション画面の保持が無効の場合はTCP/1494が使用されます (橙線)。

公開アプリケーションの通信で使用されるポート

本記事で説明しているXenApp7.15環境の構成図

本記事では以下の構成イメージの検証環境で動作テストをしました。
公開アプリケーションの通信は、クライアント端末とVDAサーバ間で行われますが、今回は、VDAサーバ側で Windows ファイアウォールを使用してTCP/2598をブロックした動作確認後、TCP/1494をブロックして再度確認します。クライアント端末のIPアドレスは、100.0.0.14、VDAサーバのIPアドレスは、100.0.0.22です。

XenApp6.5の構成イメージ

クライアント端末とVDAサーバのOSと製品バージョンは以下になります。

OSバージョン Citrix製品バージョン
クライアント端末 Windows 10 バージョン1809 Receiver 4.9.5000
VDAサーバ Windows Server 2016 XenApp 7.15 LTSR CU3

クライアント端末からVDAサーバへのTCP/2598の通信をブロックした場合のイメージ図

クライアント端末からVDAサーバへのTCP/2598の通信をブロックした場合のイメージ図

WindowsファイアウォールでTCP/2598をブロックする設定手順


サーバ側の設定

① VDAサーバにてWindowsのコントロールパネルから「Windows ファイアウォール」を起動します。

FireWall_Image_01

② 本記事では、「Windows ファイアウォールの有効化または無効化」をクリックして、すべてのネットワークプロファイルに対して有効にします。以下の図はすべて有効にした後の状態です。

FireWall_Image_02

③ 「詳細設定」をクリックします。

FireWall_Image_03

④ 「受信の規則」上で右クリック後、「新しい規則」をクリックします。

FireWall_Image_04

「カスタム」を選択後、「次へ」をクリックします。

FireWall_Image_05

本資料ではプログラムに関する設定はしないため、「次へ」をクリックします。

FireWall_Image_06

⑦ 「プロトコルの種類をTCP」「ローカルポートを特定のポートから2598」に変更して「次へ」をクリックします。本記事では使用しませんが、プロトコルの種類をUDPにすることもできます。

FireWall_Image_07

⑧ 「この規則を適用するリモートIPアドレスを選択してください」から「追加」ボタンをクリックして、クライアント端末側のIPアドレスを設定します。
クライアント端末は、設定するWindowsファイアウォールから見てリモート側にありますのでローカルIP側に設定しないように注意してください。

FireWall_Image_08

⑨ 「接続をブロックする」を選択後、「次へ」をクリックします。

FireWall_Image_09

⑩ 本記事はすべてのプロファイルにチェックつけて「次へ」をクリックします。

FireWall_Image_10

⑪ 任意の名前を入力して「完了」をクリックします。

FireWall_Image_11

クライアント側の準備

⑫ クライアント端末からVDAサーバ(10.0.0.22)へ TCP/2598 の通信が出来ないことをテストをします。Microsoft社のサイトから PortQryUI をダウンロードします。PortQryUI.exeクライアント端末に配置します。


ダウンロードページ
https://www.microsoft.com/en-us/download/details.aspx?id=24009

FireWall_Image_12

⑬ PortQryUI.exeを起動します。ライセンス同意画面にて「Yes」をクリックします。

FireWall_Image_13

⑭ PortQryUI.exeを起動します。「Unzip」をクリックします。以下の画面の状態で UnzipボタンをクリックするとCドライブ直下にPortQryUIフォルダが自動生成されます。

FireWall_Image_14

クライアント側の動作確認

⑮ PortQryUIフォルダ内の portqueryui.exe を起動します。以下を設定して「Query」をクリックします。

・Enter destination IP or FQDN to query: 100.0.0.22 (VDAサーバ)
・Ports to query: 2598 / Protocol: TCP

下図は、「Query」ボタンクリック後、疎通が失敗したメッセージです。FILTEREDのメッセージが表示されている場合はブロックされています。

FireWall_Image_15

⑯ 手順⑪で作成したファイアウォール規則を無効化後、PortQryUIの Queryボタンを再度実行して
TCP/2598の疎通確認が成功することを確認します。

※手順⑪で作成した規則の無効化

FireWall_Image_16

※手順⑪で作成した規則の無効化後の画面

FireWall_Image_17

※無効化後に、PortQryUIの Queryボタンを再度押下した際の画面です。LISTENING のメッセージが表示された場合は疎通できています。

FireWall_Image_18

⑰ 再度、Windows ファイアウォールの規則を有効化します。

FireWall_Image_19

※有効化後の画面

FireWall_Image_20

⑱ クライアント端末のCitrix Receiverから公開アプリケーションを起動します。TCP/2598をブロックしているため接続に失敗すると予想していましたが、公開アプリケーションが起動できました。

FireWall_Image_21

⑲ クライアント端末側、もしくは、VDAサーバ側で、netstat –ano | findstr “クライアント端末のIPアドレス” を実行するとTCP/1494に接続されていることが確認できます。
※以下の画面はVDAサーバ側で実行した結果です。

FireWall_Image_22

確認後、公開アプリケーションを終了してください。

こちらの結果から、TCP/2598の通信ができないため、TCP/1494の通信に切り替えてVDAサーバに接続している動作になることが分かりました。

2598がブロックされた場合の動作イメージ

※補足説明
TCP/1494に対して接続している場合は、セッション画面の保持機能は使用されない状態になります。
そのため、こちらの接続状態でVDAサーバのNICを無効化すると、30秒程度で公開アプリケーションの画面が消えて、Receiverの再接続画面が表示されます。TCP/2598に対して接続をしている場合はセッション画面の保持機能を使用した状態になるため、VDAサーバのNICを無効化しても180秒(デフォルト設定)は公開アプリケーションの画面が表示され続けます。また、NICを有効化後、公開アプリケーションを継続して使用できます。

⑳ VDAサーバ側のWindows ファイアウォールにて、10.0.0.14の端末からのTCP/1494の通信をブロックする規則も作成します。

FireWall_Image_23

㉑ VDAサーバのTCP/2598とTCP/1494がブロックされている状態で、クライアント端末から公開アプリケーションの起動をすると「アプリケーションを起動できません。ヘルプデスクに次の情報を知らせてください。Citrix XenAppサーバに接続できません。指定されたアドレスには Citrix XenAppサーバがありません」のメッセージが表示されて起動に失敗することを確認します。

FireWall_Image_25

いかがでしたか?接続元のIPアドレスに対して、特定ポートへの通信をブロックした場合の挙動を確認する場合、本資料のWindowsファイアウォールの設定を参考にしてください。


Citrix製品紹介セミナーも定期開催しています

クライアント仮想化の基礎知識から、仮想化製品「Citrix Virtual Apps and Desktops(XenAppおよびXenDesktop)」の製品概要、導入検討時に注意すべき点などをご紹介します。
今お持ちのお悩みを解決し、Citrix製品をより有効に活用する方法を具体的に学ぶことができる内容になっております。


Citrixの設定・トラブル対処方法の良くあるFAQ10選プレゼント中

アシストのCitrixサポートセンターに良くある設定・トラブル対処方法のFAQ10選の資料を無料プレゼント中です。また、Citrix XenApp/XenDesktopの問題発生時に原因を切り分ける方法も掲載しております。以下のバナーからお気軽にダウンロードください。


筆者情報:川東健吾

アシストに入社し、テスト系製品のカスタマーサポートを担当後、現在はCitrix製品を担当しています。XenAppとXenDesktopのトラブルシューティングや運用に役立つ情報を、長年のサポート対応の視点で分かりやすくお伝えしていきます。
学生時代から続けている映像制作の趣味の延長で、Citrixトラブシューティング入門動画も制作しました。こちらからご視聴頂けます。

関連している記事

  • トラブルシューティング
2022.04.05

StoreFrontのトレースログ採取手順の一例

今回の記事は、StoreFrontのトレースログを採取する手順の一例をご紹介します。Citrix社にログの解析依頼をする際に、トレースログの採取が必要となります。ご参考にして頂けますと幸いです。

  • トラブルシューティング
2022.03.29

動作検証用のStoreFrontストア作成手順の一例

Citrix Virtual Apps and Desktopsのトラブルシューティングをする際に、StoreFrontのストアが影響しているかどうかを切り分けるため、追加で動作確認用のストアを作成したい場合があると思います。今回は、こちらの作成手順の一例をご紹介します。

  • トラブルシューティング
2022.03.28

Microsoft EdgeにてStoreFrontのWebサイトに接続する際に「このサイトは、 Citrix Workspace Launcherを開こうとしています」が表示される事象の解消方法

今回は、Microsoft EdgeにてStoreFrontのWebサイトに接続する際に「このサイトは、 Citrix Workspace Launcherを開こうとしています」が表示される事象の解消方法をご紹介させていただきます。

ページの先頭へ戻る