Systemanforderungen

Bereiten Sie während der Wartezeit auf die Endpoint Management-Bereitstellung Ihre Endpoint Management-Umgebung vor, indem Sie den Cloud Connector installieren. Citrix hostet zwar Ihre Endpoint Management-Lösung, für die Kommunikation und Ports ist jedoch etwas Setup erforderlich. Bei diesem Setup wird die Endpoint Management-Infrastruktur mit Unternehmensdiensten wie Active Directory verbunden.

Anforderungen für Cloud Connector

Citrix verwendet Cloud Connector, um die Endpoint Management-Architektur in Ihre vorhandene Infrastruktur zu integrieren. Cloud Connector integriert folgende Ressourcenstandorte über Port 443 in den Endpoint Management: LDAP, PKI Server, interne DNS-Abfragen und Citrix Workspace-Enumeration.

  • Mindestens zwei dedizierte Maschinen mit Windows Server 2012 R2 oder Windows Server 2016, die zu der Active Directory-Domäne gehören. Dies können physikalische oder virtuelle Maschinen sein. Die Maschine, auf der Sie den Connector installieren, muss mit der UTC-Zeit synchronisiert sein, um eine korrekte Installation und einen fehlerfreien Betrieb zu gewährleisten. Eine vollständige Liste der aktuellen Anforderungen finden Sie in den Bereitstellungsmaterialien, die Sie von Ihrem Citrix Team erhalten.

    Der Onboarding-Assistent führt Sie durch die Installation des Cloud Connectors auf diesen Maschinen.

  • Weitere Informationen zu Plattformsystemanforderungen finden Sie unter Citrix Cloud Connector.

Anforderungen für Citrix Gateway

Endpoint Management erfordert für folgende Szenarios, dass Citrix Gateway an Ihrem Ressourcenstandort installiert ist:

  • Sie benötigen ein Micro-VPN, damit branchenspezifische Apps auf interne Netzwerkressourcen zugreifen können. Die Apps sind mit der Citrix MDX-Technologie umschlossen. Das Micro-VPN muss über Citrix Gateway eine Verbindung zu internen Backend-Infrastrukturen herstellen.
  • Sie planen, mobile Produktivitätsapps von Citrix wie Citrix Secure Mail zu verwenden.
  • Sie planen eine Integration von Endpoint Management und Microsoft Intune/EMS.

Anforderungen:

  • Domänenauthentifizierung (LDAP)
  • NetScaler 10.5 Build 66.9 oder höher mit einer Plattform-/universellen Lizenz

    Weitere Informationen finden Sie im Citrix Supportartikel How to License a NetScaler Gateway Appliance.

  • Öffentliches SSL-Zertifikat

Weitere Informationen finden Sie im Citrix Supportartikel How to Add an SSL Certificate Bundle on the NetScaler Appliance.

Weitere Informationen zu NetScaler-Anforderungen finden Sie in den Bereitstellungsmaterialien, die Sie von Ihrem Citrix Team erhalten.

Anforderungen für Citrix Files

Die Citrix Files-Dienste zur Dateisynchronisierung und -freigabe sind im Endpoint Management Premium Service-Angebot enthalten. StorageZones Controller erweitert den Cloudspeicher von Citrix Files Software as a Service (SaaS) durch privaten Datenspeicher für Ihr Citrix Files-Konto.

Anforderungen für StorageZones Controller:

  • Eine dedizierte physische oder virtuelle Maschine
  • Windows Server 2012 R2 oder Windows Server 2016
  • 2 vCPUs
  • 4 GB RAM
  • 50 GB Festplattenspeicherplatz
  • Serverrollen für den Webserver (IIS):

    • Anwendungsentwicklung: ASP. NET 4.5.2
    • Sicherheit: Basic-Authentifizierung
    • Sicherheit: Windows-Authentifizierung

Plattformanforderungen für Citrix Files

  • Der Citrix Files-Installer erfordert Administratorrechte auf dem Windows Server
  • Administratorbenutzername für Citrix Files

Portanforderungen

Damit Geräte und Apps mit Endpoint Management kommunizieren können, öffnen Sie bestimmte Ports in den Firewalls. Das folgende Diagramm zeigt den Datenfluss für Endpoint Management.

Diagramm des Endpoint Management-Verkehrsflusses

Nachfolgend sind die Ports aufgeführt, die Sie öffnen müssen.

Portanforderungen für Citrix Gateway

Öffnen Sie folgende Ports, damit Benutzer über Citrix Gateway Verbindungen von Citrix Secure Hub und Citrix Workspace mit diesen Komponenten herstellen können:

  • Endpoint Management
  • StoreFront
  • Andere interne Netzwerkressourcen, z. B. Intranet-Websites

Weitere Informationen zu Citrix Gateway finden Sie unter Configuration Settings for your Endpoint Management Environment in der Citrix Gateway-Dokumentation. Informationen über NetScaler-eigene IP-Adressen finden Sie unter How a NetScaler appliance communicates with clients and servers in der NetScaler-Dokumentation. Dieser Abschnitt enthält Informationen zur NetScaler-IP-Adresse (NSIP), IP-Adresse des virtuellen Servers (VIP) und Subnetz-IP-Adresse (SNIP).

TCP-Port Beschreibung Quelle Ziel
53 (TCP und UDP) Wird für DNS-Verbindungen verwendet. Citrix Gateway SNIP DNS-Server
80/443 Citrix Gateway leitet die Micro-VPN-Verbindung mit der internen Netzwerksressource durch die zweite Firewall. Citrix Gateway SNIP Intranet-Websites
123 (TCP und UDP) Wird für Network Time Protocol-Dienste (NTP) verwendet. Citrix Gateway SNIP NTP-Server
389 Wird für unsichere LDAP-Verbindungen verwendet. Citrix Gateway-NSIP (oder, wenn Sie einen Load Balancer verwenden, SNIP) LDAP-Authentifizierungsserver oder Microsoft-Active Directory
443 Wird für Verbindungen zu StoreFront von Citrix Workspace zu Citrix Virtual Apps and Desktops verwendet. Internet Citrix Gateway
443 Wird für Verbindungen mit Endpoint Management zur Bereitstellung von Web-, Mobil- und SaaS-Apps verwendet. Internet Citrix Gateway
443 Wird für die Cloud Connector-Kommunikation verwendet – LDAP-, DNS-, PKI- und Citrix Workspace-Enumeration Cloud Connector-Server https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.blob.core.windows.net/, https://*.servicebus.windows.net
636 Wird für sichere LDAP-Verbindungen verwendet. Citrix Gateway-NSIP (oder, wenn Sie einen Load Balancer verwenden, SNIP) LDAP-Authentifizierungsserver oder Active Directory
1494 Wird für ICA-Verbindungen mit Windows-basierten Anwendungen im internen Netzwerk verwendet. Citrix empfiehlt, diesen Port geöffnet zu lassen. Citrix Gateway SNIP Citrix Virtual Apps and Desktops
1812 Wird für RADIUS-Verbindungen verwendet. Citrix Gateway NSIP RADIUS-Authentifizierungsserver
2598 Wird für Verbindungen mit Windows-basierten Anwendungen im internen Netzwerk unter Einsatz der Sitzungszuverlässigkeit verwendet. Citrix empfiehlt, diesen Port geöffnet zu lassen. Citrix Gateway SNIP Citrix Virtual Apps and Desktops
3269 Wird für sichere LDAP-Verbindungen mit dem globalen Microsoft-Katalog verwendet. Citrix Gateway-NSIP (oder, wenn Sie einen Load Balancer verwenden, SNIP) LDAP-Authentifizierungsserver oder Active Directory
8443 Wird für die Registrierung, App-Store und die Mobilanwendungsverwaltung (MAM) verwendet. Citrix Gateway SNIP Endpoint Management
8443 STA-Port (Secure Ticket Authority) für das Secure Mail-Authentifizierungstoken Citrix Gateway SNIP Endpoint Management
4443 Wird von Administratoren für den Zugriff auf die Endpoint Management-Konsole über einen Browser verwendet. Zugriffspunkt (Browser) Endpoint Management

Netzwerk- und Firewall-Anforderungen

Damit Geräte und Apps mit Endpoint Management kommunizieren können, öffnen Sie bestimmte Ports in den Firewalls. Diese Ports sind in den folgenden Tabellen aufgelistet.

Öffnen der Ports vom internen Netzwerk zu Citrix Cloud:

TCP-Port Quell-IP Beschreibung Ziel Ziel-IP
443   Cloudconnector https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net  
443   Verwaltungskonsole https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads  
4443   Endpoint Management-Konsolenzugriff über einen Browser Endpoint Management  

Öffnen der Ports vom Internet zur DMZ:

TCP-Port Beschreibung Quell-IP Ziel Ziel-IP
443 Endpoint Management-Clientgerät   Citrix Gateway-IP  
443 Endpoint Management-Clientgerät   NetScaler VIP Citrix Files  
443 Öffentliche IP für Citrix Files CTX208318 NetScaler VIP Citrix Files  

Öffnen der Ports von der DMZ zum internen Netzwerk:

TCP-Port Beschreibung Quell-IP Ziel Ziel-IP
389 oder 636 NetScaler NSIP   Active Directory-IP  
53 (UDP) NetScaler NSIP   DNS-Server-IP  
443 NetScaler-SNIP   Exchange (EAS) Server-IP  
443 NetScaler-SNIP   Interne Web-Apps/Webdienste  
443 NetScaler-SNIP   StorageZone Controller-IP  

Öffnen der Ports vom internen Netzwerk zur DMZ:

TCP-Port Beschreibung Quell-IP Ziel Ziel-IP
443 Administrator-Client   NetScaler NSIP  

Öffnen der Ports vom internen Netzwerk zum Internet:

TCP-Port Beschreibung Quell-IP Ziel Ziel-IP
443 Exchange (EAS) Server-IP   Endpoint Management Push-Benachrichtigungslistener (1)  
443 StorageZone Controller-IP   Citrix Files-Steuerungsebene CTX208318

(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com

Öffnen der Ports vom Wi-Fi des Unternehmens zum Internet:

TCP-Port Beschreibung Quell-IP Ziel Ziel-IP
5223 Endpoint Management-Clientgerät   APNS-Server von Apple 17.0.0.0/8
5228 Endpoint Management-Clientgerät   Google Cloud Messaging android.apis.google.com
5229 Endpoint Management-Clientgerät   Google Cloud Messaging android.apis.google.com
5230 Endpoint Management-Clientgerät   Google Cloud Messaging android.apis.google.com
443 Endpoint Management-Clientgerät   Windows-Pushbenachrichtigungsdienst *.notify.windows.com
443 / 80 Endpoint Management-Clientgerät   Apple iTunes App-Store ax.itunes.apple.com, *.mzstatic.com, vpp.itunes.apple.com
443 / 80 Endpoint Management-Clientgerät   Google Play play.google.com, android.clients.google.com, android.l.google.com
443 / 80 Endpoint Management-Clientgerät   Microsoft App-Store login.live.com, *.notify.windows.com
443 Endpoint Management-Clientgerät   Endpoint Management AutoDiscovery Service ads.xm.cloud.com (Unterstützte Secure Hub-Versionen ab 1. Januar 2019); ( discovery.mdm.zenprise.com (Secure Hub 10.6.15 und früher)
8443 / 443 Endpoint Management-Clientgerät   Endpoint Management  
443 StorageZone Controller-IP   Citrix Files-Steuerungsebene CTX208318

Portanforderungen für die Verbindung mit Auto Discovery Service

Diese Portkonfiguration gewährleistet, dass auf Android-Geräten mit Secure Hub für Android über das interne Netzwerk auf den Management AutoDiscovery Service (ADS) zugegriffen werden kann. Der Zugriff auf den ADS ist zum Herunterladen von Sicherheitsupdates wichtig, die über diesen Dienst zur Verfügung gestellt werden.

Hinweis:

ADS-Verbindungen unterstützen Ihren vorhandenen Proxyserver eventuell nicht. Lassen Sie in diesem Szenario zu, dass die ADS-Verbindung den Proxy-Server umgeht.

Wenn Sie Zertifikatpinning aktivieren möchten, müssen Sie folgende Voraussetzungen erfüllen:

  • Sammeln von Endpoint Management- und NetScaler-Zertifikaten: Die Zertifikate müssen im PEM-Format vorliegen und öffentlich sein, d. h. keine privaten Schlüssel sind zulässig.
  • Öffnen Sie einen Supportfall beim Citrix Support zum Aktivieren von Zertifikatpinning: Bei diesem Prozess werden Ihre Zertifikate angefordert.

Zertifikatpinning erfordert, dass Geräte vor der Registrierung eine Verbindung mit ADS herstellen. Damit wird sichergestellt, dass Secure Hub über die aktuellen Sicherheitsinformationen verfügt. Für eine Registrierung in Secure Hub muss das Gerät mit ADS verbunden sein. Daher ist die Aktivierung des Zugriffs auf ADS im internen Netzwerk erforderlich, damit Geräte registriert werden können.

Damit der Zugriff auf ADS für Secure Hub für Android möglich ist, öffnen Sie Port 443 für die folgenden IP-Adressen und FQDNs:

FQDN IP-Adresse Port IP- und Port-Nutzung
ads.xm.cloud.com (Unterstützte Secure Hub-Versionen ab 1. Januar 2019); ( discovery.mdm.zenprise.com (Secure Hub 10.6.15 und früher) 52.5.138.94 443 Secure Hub - ADS-Kommunikation
ads.xm.cloud.com (Unterstützte Secure Hub-Versionen ab 1. Januar 2019); ( discovery.mdm.zenprise.com (Secure Hub 10.6.15 und früher) 52.1.30.122 443 Secure Hub - ADS-Kommunikation
ads.xm.cloud.com 34.194.83.188 443 Secure Hub - ADS-Kommunikation
ads.xm.cloud.com 34.193.202.23 443 Secure Hub - ADS-Kommunikation