まず事象の整理（事実）

以下は、いただいた情報から確実に言える事実です。

• Citrix Virtual Apps and Desktops 2203 LTSR CU2 を使用している
• Citrix License Server を 11.17.2.0 にアップグレードしている
• オンプレ License Server を Citrix Cloud に登録・移行済み
• Citrix Licensing Manager 上では
  • 「Citrix Cloud に登録済み」 と表示されている
  • しかし ライセンスは青色のまま
  • 使用状況：『Citrixサーバに接続できません』 と表示されている
• プロキシは設定していない
• インターネットの一般Web（Yahoo系）は閲覧可能

ここまでは事実です。

ここから先は「推測です」と明記します

推測①

FW / UTM で Citrix Cloud 宛のアウトバウンド 443/TCP が遮断されている可能性が高いです。
（特に「業務系クラウドのみ制限」ポリシーの場合）

推測②

プロキシ未使用でも、
SSLインスペクションやカテゴリ制御により
cis.citrix.com への通信が失敗している可能性があります。

推測③

License Server 側ログ
log_ctxuploader.log
に Cloud 通信エラーが記録されている可能性があります。

※これは確認していないため推測です。

社保守SEとしての「確実な切り分けポイント」

以下は事実ベースで必ず確認すべき点です。

1. License Server から
   • cis.citrix.com:443 への 直接通信可否
2. FW/UTM 側で
   • 宛先FQDN制御
   • SSLインスペクション
   • 業務クラウド通信制限
     が有無
3. License Server の
   • log_ctxuploader.log に SUCCESS が一度でも出ているか

---

明日やるべき対処

Step1：TLS 1.2 有効状態の確認（確実）

レジストリ確認（読み取りのみ）

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2

確認ポイント

• Client
• Server

それぞれに：

• Enabled = 1
• DisabledByDefault = 0

👉

• キーが無い／値が無い → TLS 1.2 未有効（確実）

---

✅ Step2：WinHTTP が TLS 1.2 を使えるか確認（確実）

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp

確認値

DefaultSecureProtocols

正常値（代表）

• 0xAA0（TLS 1.1 + 1.2 有効）
• 0xA00（TLS 1.2 のみ）

👉

• 存在しない / 0x0A0 のまま → WinHTTP が TLS 1.2 を使わない（確実） [learn.microsoft.com]

---

✅ Step3：.NET Framework の設定確認（確実）

Citrix Licensing Manager は .NET を使用します。

確認キー（64bit / 32bit 両方）

HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319
HKLM\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319

必須値

SchUseStrongCrypto = 1
SystemDefaultTlsVersions = 1

👉

• どちらか欠けていると TLS 1.2 で通信しない（確実） [learn.microsoft.com], [learn.microsoft.com]

---

✅ Step4：再起動（確実）

• TLS / SChannel / WinHTTP / .NET の設定は
  再起動しないと反映されません

👉 再起動必須（確実）

再起動後、以下を実施。

Test-NetConnection cis.citrix.com -Port 443

結果解釈

• True
  → TLS/OS 側はほぼクリア（確実）
• False
  → 推測です：UTM/FW 側要因が濃厚

それでもダメだった場合（最終ログ）

TLS 対処後に必ず取得。

必須ログ

C:\Program Files (x86)\Citrix\Licensing\LS\Logs\log_ctxuploader.log

見るべき点（文字列）

• SSL
• handshake
• protocol
• TLS

👉

• TLS エラーが残る → OS起因が確定
• TLS エラー消失・timeout → 推測です：UTM要因

---

まず前提（確実）

• Citrix License Server 11.17.2.x は Citrix Cloud と定期的に通信する
• 通信は Outbound HTTPS（TCP/443）
• 通信不可の場合でも「登録済み」表示は出ることがある
• ただし
  • ライセンスは青色
  • 「Citrixサーバに接続できません」
    となる [support.citrix.com], [dennisspan.com]

---

② UTM要因時のチェック項目一覧（そのまま依頼可能）

A. アウトバウンド通信制御（最重要）

✅ 確実に確認すべき項目

• 送信元：Citrix License Server
• 宛先：インターネット
• ポート：TCP 443
• 方向：Outbound

👉
「443 は開いている」だけでは不十分
（次項参照）

---

B. 宛先 FQDN / ドメイン制御

✅ 確実に必要な宛先（最低限）

• cis.citrix.com
• *.citrix.com

Citrix のライセンステレメトリおよび LAS（License Activation Service）は
これらの FQDN への通信を使用します [support.citrix.com]

---

推測です

• accounts.cloud.com
• *.cloud.com
• Azure Blob / ServiceBus 系ドメイン

が 内部的にリダイレクトで使用されている可能性があります。
（FQDN 固定制御をしている環境では特に要注意）

---

C. SSLインスペクション（非常に多い原因）

✅ 確実な事実

• Citrix License Server 11.17.2.x は
  TLS 1.2 / 証明書検証に厳格
• SSLインスペクションで
  • 中間証明書差し替え
  • 不完全なチェーン
    があると TLS ハンドシェイクが失敗する [support.citrix.com]

チェック依頼文（そのまま使える）

• Citrix 宛通信に SSL復号/再暗号化が入っていないか
• 例外（SSL bypass）に
  • cis.citrix.com
  • *.citrix.com が含まれているか

---

D. Webフィルタ / カテゴリ制御

✅ 確実な事実

• Citrix Cloud は
  • 「Business / Cloud Service / Software Update」
    等に分類されることがある
• 一般Web（Yahoo等）とは カテゴリが異なる

推測です

• 「業務クラウド」「テレメトリ」「ソフトウェアアップデート」
  カテゴリが 明示的に拒否されている可能性

---

E. プロキシ強制 / 未定義経路

✅ 確実な事実

• License Server は
  • プロキシ未設定の場合は直接通信
• UTM 側で
  • 「HTTP/HTTPS は必ずプロキシ経由」
    が強制されていると 通信失敗します [bing.com]

チェック項目

• UTM に「明示プロキシ必須」ポリシーがあるか
• Direct Outbound HTTPS を許可しているか

---

F. SNI / TLS 拡張制御

推測です（UTMによっては該当）

• SNI（Server Name Indication）での
  FQDN フィルタリング
• TLS1.2 拡張を正しく通過させていない

👉
log_ctxuploader.log に handshake / SSL が出る場合は強く疑う

---

G. レート制限・DoS対策

推測です

• 定期的なテレメトリ送信が
  • Bot通信
  • Beacon通信
    と誤検知されて遮断されるケース

---

③ UTM業者様に渡す「最小チェック依頼テンプレ」

Citrix License Server（11.17.2.x）から
以下通信の許可状況をご確認ください。

・Outbound TCP/443
・宛先：
  - cis.citrix.com
  - *.citrix.com
・SSLインスペクションの有無（Bypass推奨）
・Webカテゴリ制御の有無
・明示プロキシ必須ポリシーの有無

---

④ OS側ログとUTM要因の切り分け（確実）

• TLS設定後
• Test-NetConnection cis.citrix.com -Port 443 が False
• log_ctxuploader.log が timeout / handshake

👉
UTM要因がほぼ確定（確実）

---

⑤ まとめ

確実なこと

• Citrix Cloud Licensing は
  「ただのHTTPS」ではなく、制御に引っかかりやすい
• UTM 側では
  SSLインスペクション / FQDN制御 が最多原因

推測です

• 今回は
  ① TLS整備
  ② UTM SSL / FQDN 制御
  の 複合要因の可能性が高い

---

① UTM業者向け

Citrix License Server 通信許可 依頼文（理由付き）

---

件名

Citrix License Server（11.17.2.x）における Citrix Cloud 通信許可のお願い

---

本文（そのまま使用可）

お世話になっております。

現在、弊社システムにて Citrix Virtual Apps and Desktops（2203 LTSR）を使用しており、
オンプレミスの Citrix License Server（Version 11.17.2.x）を
Citrix Cloud（License Activation Service）へ登録する作業を実施しております。

License Server の Cloud 登録自体は完了しておりますが、
使用状況画面にて「Citrix サーバーに接続できません」と表示され、
Citrix Cloud 側との通信が成立していない状況です。

Citrix の仕様として、License Server 11.17.2.x 以降は
ライセンス有効性確認およびライセンステレメトリ送信のため、
Citrix Cloud への定期的なアウトバウンド HTTPS 通信（TCP/443）が必須となっております。

つきましては、下記通信について
UTM / FW 側での制御状況のご確認および許可設定をご検討ください。

【確認・許可依頼内容】
・送信元：
　Citrix License Server（オンプレミス）

・通信方向：
　Outbound（外向き通信）

・プロトコル / ポート：
　TCP / 443（HTTPS）

・宛先 FQDN（最低限）：
　- cis.citrix.com
　- *.citrix.com

【併せて確認をお願いしたい項目】
・上記通信に対して SSL インスペクション（復号・再暗号化）が
　適用されていないか（可能であれば Bypass 設定を希望）
・Web カテゴリフィルタ／業務クラウド制御等で
　Citrix Cloud 通信が遮断されていないか
・明示プロキシ必須ポリシーが存在し、
　Direct HTTPS 通信が拒否されていないか

本通信は Citrix 製品のライセンス有効性確認および
サポート継続要件に該当するため、業務上必須の通信となります。

ご確認のほど、何卒よろしくお願いいたします。

---

✅ この文書のポイント

• 「443は空いている」だけで済ませられない構成を明示
• SSLインスペクションの存在を自然に確認できる
• Citrix仕様に基づく 正当な業務通信であることを明文化

---

② Citrixサポート提出用

チェック結果まとめ（事実整理）

---

件名

Citrix License Server（11.17.2.x）– Citrix Cloud 通信不可事象 調査結果

---

環境情報（事実）

• 製品：
  • Citrix Virtual Apps and Desktops 2203 LTSR CU2
• License Server：
  • Citrix License Server 11.17.2.x（Build 記録済み）
• 構成：
  • オンプレミス License Server
  • Citrix Cloud（License Activation Service）登録済み

---

発生事象（事実）

• Citrix Licensing Manager にて
  • 「Citrix Cloud に登録済み」と表示される
  • ライセンス状態は 青色
  • 使用状況欄に
    「Citrix サーバーに接続できません」 と表示される

---

実施済み確認内容（事実）

① OS / TLS 周り

• Windows Update を実施
• TLS 1.2 有効化を確認
• .NET Framework の Strong Crypto / SystemDefaultTlsVersions を設定
• 再起動実施

② DNS

• cis.citrix.com の名前解決は正常

③ ネットワーク疎通

• License Server から cis.citrix.com:443 への通信が不成功 （Test-NetConnection 実行結果あり）

---

取得ログ（添付予定）

• C:\Program Files (x86)\Citrix\Licensing\LS\Logs\log_ctxuploader.log
  • Citrix Cloud への通信失敗ログを確認
  • timeout / connection / handshake 系メッセージあり

---

切り分け結果（事実ベース）

• OS / TLS / .NET 設定後も事象継続
• DNS 解決は可能
• Cloud 宛 HTTPS 通信が成立していない

👉
上記より、License Server から Citrix Cloud へのアウトバウンド通信が
ネットワーク（FW / UTM）で制御されている可能性が高いと判断

---

現時点の結論

• License Server の構成・登録手順に問題は見当たらない
• Citrix Cloud 通信が成立しない限り、ライセンス状態は正常化しない

---

✅ このまとめの使い道

• Citrix サポートケースに そのまま貼り付け可能
• 「どこまでやったか」「何が未解決か」が一目で分かる
• 責任の押し付け合いを防ぐ構成