Windowsのターミナルサービスのライセンスの確認をしてみてください

自己レスです。
原因が判りましたので、お知らせします。

Windows2000ServicePack4用の更新プログラムロールアップ１(KB891861)
を適用した時の中に含まれるMS04-011を適用されたことが起因でした。
参考までに
http://support.microsoft.com/default.aspx?scid=kb;ja;323597


－　以上　-

>CSG経由で問題なく動作可能ですが、icaファイル(launch.ica)の中身を見ると、
MetaサーバIP : 1494 と記述があります。
→上記で問題ないと思います。
　SGはあくまでもゲートウェイなので、クライアントから見れば、
　MetaFrameサーバの所在が分からなければ、アクセスできません。
　launch.icaに記載されている「MetaサーバIP : 1494」というのは、
　クライアントへの指示ではなく、SGに対しての指示です。
　SGとMetaFrame間は当然1494/icaで通信しますから、この情報が必要です。
　そしてMetaFrameから1494で流れてきたパケットは、SGによってSSLでカプセル化され、
　443でクライアント側に提供されます。

＞きくりんさん
丁寧なご解説有難うござます。
launch.icaファイルはSGに対してのファイルなんですね。
大変納得させて頂きました。

尚、CSG経由ではなく、WI ⇔ Meta 構成のlaunch.icaファイルに書いてある
[MetaサーバIP:1494]は、当然の事ながらクライアントに対しての指示という事になりますね。

とてもスッキリ致しました。有難うございます。
またの機会ございましたら、ご教授お願い致します。

まだ見てらっしゃるか分かりませんが。。。

これって本当に、SG経由で通信してますか？
SGを使用した構成であれば、STAでチケッティングされて、MetaFrameサーバ
アドレスは隠蔽されるはずです。
launch.icaファイルのAddressの欄は、一見すると何だか分からない文字列
になるはずですが。
一度、WIの設定を確認されることをお勧めいたします。
ちゃんとSGを使う設定（DMZの設定）を行っていますか？
可能であれば、パケットキャプチャも行って、TLSもしくはSSLv3通信を行って
いることを確認した方が良いと思います。

＞ひさ様

詳細なご指摘有難うございます。
現状、当方検証環境ですので、すべて同一Subnet環境になっております。
DMZ環境を作りだして、再度確認させて頂きます。

尚、図々しいお願いで大変恐縮ですが、
launch.icaファイルの中身を掲載することは可能でしょうか？
参考程度に拝見できる程度で結構ですので、可能であれば、掲載して頂けると
非常に助かります。

以上、宜しくお願い致します。

DMZ設定となっていますが、同一サブネットでもテストとしては問題ないと思いますよ。
ちゃんとSG経由で通信していることを確認するためには、間にFWなどを入れてアクセス
制御をかけた方が分かりやすいとは思いますが。

SGを経由していないと、クライアント→(TCP/1494)→MetaFrameという接続になりま
すので、MetaFrameサーバにパーソナルFWを設定して、クライアントからの直接接続を
できないようにしてみるのも良いでしょう。
SGを経由していれば、クライアント→（TCP/443）→SG→(TCP/1494)→MetaFrameの
経路になります。

私の手元には、CPS4.0 の検証環境しかないので多少違うのですが、4.0では
１）WIのDMZ設定で、SecureGatewayを使う設定
２）WIのSecureGatewayの設定で、SGのFQDNとポート、STAのURL
の2つの設定を行う必要があります。

launch.icaファイルも一応載せておきます。
Notepadを公開アプリにしています。

---ここから

[Encoding]
InputEncoding=SJIS

[WFClient]
ClientName=WI_iDNWO9TBpujEbrfD9
ProxyFavorIEConnectionSetting=Yes
ProxyTimeout=30000
ProxyType=Auto
ProxyUseFQDN=Off
RemoveICAFile=yes
TransparentKeyPassthrough=Local
TransportReconnectEnabled=Off
Version=2
VirtualCOMPortEmulation=Off

[ApplicationServers]
Notepad=

[Notepad]
Address=;10;STA11874C4582AE;F882F33D960565BD2AD1E0EE0FA20B6A
AudioBandwidthLimit=2
AutologonAllowed=ON
BrowserProtocol=HTTPonTCP
ClearPassword=D7443BB9E2C27A
ClientAudio=On
DesiredColor=8
DesiredHRES=640
DesiredVRES=480
Domain=\19D99877D182D5A8
HTTPBrowserAddress=!
InitialProgram=#Notepad
Launcher=WI
LongCommandLine=
ProxyTimeout=30000
ProxyType=Auto
SSLCiphers=all
SSLEnable=On
SSLProxyHost=sg.mfdom.local:443
SecureChannelProtocol=Detect
SessionsharingKey=8-basic-basic-mfdom-user01-FARM1
TWIMode=On
TransportDriver=TCP/IP
Username=user01
WinStationDriver=ICA 3.0

[Compress]
DriverNameWin16=pdcompw.dll
DriverNameWin32=pdcompn.dll

[EncRC5-0]
DriverNameWin16=pdc0w.dll
DriverNameWin32=pdc0n.dll

[EncRC5-128]
DriverNameWin16=pdc128w.dll
DriverNameWin32=pdc128n.dll

[EncRC5-40]
DriverNameWin16=pdc40w.dll
DriverNameWin32=pdc40n.dll

[EncRC5-56]
DriverNameWin16=pdc56w.dll
DriverNameWin32=pdc56n.dll

すいません、私のミスでした。
確かにMetaFrameのアドレスはセキュア化されて、平文では表記されません。
最近WI＋SGを使った案件がなかったので、ボケてました。
申し訳ありません。
恐らくWIの設定に問題があると思われますので、
WIadminの画面から「サーバーの設定」→「DMZ設定」の「ネットワークアドレス変換」および
「SecureGatewayの設定」を再確認してみてください。
また、ドキュメントセンターの「SecureGateway for MetaFrame インストール チェックリスト」も
確認してみてください。

ドメイン環境下であれば、ADのポリシーでサーバのドライブを非表示、
若しくはアクセス禁止にできます。

「直接クライアント自身のドライブに接続」というのは、
保存を選んだ時に保存のダイアログにデフォルトで表示されるドライブを
クライアントのドライブにしたいということでしょうか？
MS Officeでしたらカレントドライブの変更で可能ですが、
それ以外のアプリケーションについては申し訳ありませんがわかりません。

因みにOfficeの場合は、ORKの「カスタムインストールウィザード」を利用して
予めカレントドライブを変更してMetaFrameサーバへOfficeをインストールすれば、
全てのユーザのカレントドライブが変更され、
例えば「V:\Documents and Settings\%USERNAME%\My Documents」に設定した場合、
保存を選ぶと、クライアントのマイドキュメントが最初にダイアログに表示されます。

きくりんさんレスありがとうございます。
言いわすれてましたが、環境はワークグループで、アプリケーションはVBです。
MSOffice以外は分からないということなので、解決には至りませんでしたが
大変勉強になりました。
もう少し調べてみようと思います。ありがとうございました。

ワークグループでしたら、サーバのローカルポリシーでドライブを非表示にできます。
MetaFrameサーバ上で「ファイル名を指定して実行」から「gpedit.msc」で起動してください。
[ユーザの構成]→[管理用テンプレート]→[Windowsコンポーネント]→[エクスプローラ]を開くと
「指定したドライブを[マイコンピュータ]内で非表示にする」という項目がありますので、
それを開き、プルダウンメニューから非表示にしたいドライブの組み合わせを選んでください。

これで保存のダイアログにはサーバのドライブは表示されません。
保存先については、デフォルトでローカルドライブが表示されるかどうかはわかりませんので、
ユーザが自分で選択という形になると思います。

※ポリシーを有効にする前にAdministratorのデスクトップ上にドライブのショートカットを
作成しておいてください。ADで適用するポリシーと違い、Administrator上からもドライブが
非表示になってしまい、作業がなにかとやりづらくなります。

きくりんさん、ありがとうございます。
サーバのドライブを非表示にすることができました。
できれば使用できないようにしたいのですが無理みたいですね・・。
デフォルトでローカルドライブを表示させる方法はまだ分かっていないので
引き続き調べていきたいと思います。
ありがとうございました。

ウィンドウというのは、どのウィンドウを指しているのでしょう？
また、ダイヤルアップでというのは、インターネット接続という意味ですか？
それともVPN接続のことでしょうか？

インターネット接続であれば、WI＋SSLリレーですか？それともWI＋SGですか？
VPNであれば、VPNルータでポート1494は通っていますか？
ターミナルサービス(RemoteDesktop)では3389を利用しますが、
ICAプロトコルは1494を利用します。
また、インターネット接続であれば、ICAをSSL(443)でカプセル化します。
それから、WIやSGは普通DMZに置いていると思いますが、
MetaFrameサーバやライセンスサーバ、DBサーバの名前解決ができていることが前提です。

設定が合っていて通らない様子であれば、DMZ上でスニッフィングしてみるのも手だと思います。

きくりん様、お返事ありがとうございます。

今度は、MetaFrameサーバー上からMetaFrame(自分自身)に接続しようとすると、
MetaFrameのウィンドウは表示されるのですが、やはりログオン画面が出てきません。
青い画面のままです。
ローカルエリア内のノートPCでは、通常通り接続はできるのですが・・・

お手数ですがご返答の方よろしくお願いします。

自分自身でということはPMを利用してですよね？
一度アプリケーションセットを再作成してみてはいかがでしょうか？

若しくはこちらに該当しませんでしょうか？
http://support.citrix.com/kb/entry.jspa?externalID=CTX107060&categoryID=118

遅くなりましたが、上記のhotfixを摘要したら解決することができました。
きくりん様、ありがとうございました。

>Meta環境下のWindowsTSCALはデバイスCALとユーザCALどちらを導入するのでも構わないのでしょうか？
→運用により変わると思います。
　MetaFrameを利用するユーザに変更が発生しないという前提であれば
　UCALの方がいいと思います。

>これはMetaServer上のターミナルサーバライセンスの事だと思いますが、間違いないのでしょうか？
→TSCALではなく普通のCALのことです。

>デバイスCALの場合、接続クライアントがリプレースした時ライセンスの移行はServer上で可能なのでしょうか？
→手動で失効させることができます。失効したライセンスは一旦プールに戻りますので、
　新しいデバイスからのアクセスがあった場合、プールからライセンスを発行します。

Windows Server 2003のTSライセンスについては、
詳細は以下のドキュメントをご参照ください。
http://www.microsoft.com/japan/windowsserver2003/techinfo/overview/termservlic.mspx
また、CALについてはこちらをご参照ください。
http://www.microsoft.com/japan/windowsserver2003/howtobuy/licensing/caloverview.mspx

きくりん様
非常に初歩的な質問にも関わらず詳細にご回答下さりありがとうございました。
ライセンスの件了解致しました。不勉強で申し訳ございません。

きくりん様

先日はありがとうございました。
ご回答の中の

>デバイスCALの場合、接続クライアントがリプレースした時ライセンスの移行はServer上で可能なのでしょうか？
→手動で失効させることができます。失効したライセンスは一旦プールに戻りますので、
　新しいデバイスからのアクセスがあった場合、プールからライセンスを発行します。

の手順を詳しくご教示頂けないでしょうか。
ご多忙のところ恐縮ですが、よろしくお願い致します。
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

MetaFrameXP FR3 SP4と同時にICAクライアント(9.1)もアップデートすると直ります
ICAクライアントを最新(9.1)にすると印刷速度が改善されます。以前より早くなります。

citrixからパッチが提供されています。
↓
http://support.citrix.com/kb/entry.jspa?externalID=CTX107060&categoryID=118

ご指摘有難う御座いました。
早速試してみて解決致しました。
パッチの見落としなんて情けないことしていたとは＾＾;

切断のステータスはライセンスの消費はありません。
http://support.citrix.com/kb/entry!default.jspa?categoryID=122&externalID=CTX104852&fromSearchPage=true

しゅーまっは様、有難うございます。
欲しかったのはまさにこの文書です。

全くの素人でこの度MetaFrameを導入するのですが、運用の際に必要なWindows Serverのターミナルサービスにつきご教示頂きたいと思います。

・Windows Server 2003
・Citrix Presentation Server 4.0
・全80ユーザーにて基幹アプリを運用　ユーザー数＝デバイス数

Meta環境下のWindowsTSCALはデバイスCALとユーザCALどちらを導入するのでも構わないのでしょうか？以前このサイトの問い合わせに対する回答に下記の事例がありました。


［MetaFrameに接続できない］（2005/09/11）に対する回答

ターミナルサービス環境では「同時使用ユーザー数」モードでの運用は許可されて
おりません。「接続クライアント数」モードで運用する必要があります。
＃購入元ベンダーがちゃんと説明しておいてほしいものです・
記述のソースは通常ここにあります。
C:\WINNT\system32\eula.txt



これはMetaServer上のターミナルサーバライセンスの事だと思いますが、間違いないのでしょうか？
デバイスCALの場合、接続クライアントがリプレースした時ライセンスの移行はServer上で可能なのでしょうか？

大変初歩的な質問で恐縮ですが、よろしくお願い申し上げます。

ターミナルCALではなく、通常のサーバーCALの事です。

お世話になります。

当方の環境においても、
公開アプリケーションのショートカットをダブルクリックした後、
時間がかかり、しまいには、「コネクションセンターを起動できません。」とエラーになってしまいます。

これが、多いときでは、５、６回発生し、何回も何回も公開アプリケーションの起動をかけると
うまく接続できるようになります。

何が原因なのでしょうか？

SV:WIN2003Server（パッチ適用なし）
META：CPS4
ICAクライアント：Citrix Presentation Server Client Packager - Version 9.150
クライアント：WIN2000　WIN XP　混在

よろしくお願いします。

マシンの起動時のみ発生するのであれば、まずは常駐ソフトを一旦全て
起動しない状態にして同じ現象が発生するか？を確かめられた方が良いと思います。
それで起動がうまくいくのであれば、単純にリソースが不足しているかもしれません。
もしくはパーソナルファイアーウォールやウィルスチェックソフトの様に
クライアントから送信されるパケットの送信可否を制御するソフト等が
上がりきっていないことによる弊害も考えられます。

pancra　さん

アドバイスありがとうございます。

リソース不足か？
ウィルスソフト等の影響か？
を切り分けてみます。