Tech Paper: Von Citrix Technologies verwendete Kommunikationsports
Dieser Artikel bietet einen Überblick über allgemeine Ports, die von Citrix Komponenten verwendet werden und als Teil der Netzwerkarchitektur betrachtet werden müssen, insbesondere wenn der Kommunikationsverkehr Netzwerkkomponenten wie Firewalls oder Proxy-Server durchläuft, auf denen Ports geöffnet werden müssen, um den Kommunikationsfluss zu gewährleisten.
Je nach Bereitstellung und Anforderungen müssen nicht alle Ports offen sein.
NetScaler SDX
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Admin-Arbeitsstation | NetScaler SDX macht das Management einfach | TCP | 80, 443 | HTTP oder HTTPS - GUI Administration |
| NetScaler SDX SVM | TCP | 80, 443 | HTTP oder HTTPS — GUI- und NITRO-Kommunikation | |
| TCP | 22 | SSH/SCP-Zugriff | ||
| NetScaler SDX Hypervisor | TCP | 22 | SSH/SCP-Zugriff | |
| NetScaler SDX SVM | NetScaler-Instanz | TCP | 80, 443 | HTTP oder HTTPS — GUI- und NITRO-Kommunikation |
| TCP | 22 | SSH/SCP-Zugriff | ||
| ICMP | Verwenden des ICMP-Protokolls zur Überprüfung der Instanzverfügbarkeit | |||
| NTP-Server | UDP | 123 | Standard-NTP-Serverport für die Synchronisierung mit mehreren Zeitquellen | |
| NetScaler NSIP | NetScaler SDX SVM | SNMP | 161, 162 | SNMP-Ereignisse/Traps von ADC-Instanzen zur SDX SVM |
| ICMP | Verwenden des ICMP-Protokolls zur Überprüfung der Instanzverfügbarkeit |
NetScaler
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| NetScaler NSIP | NetScaler Appliances bei der Clustereinrichtung | UDP | 7000 | Cluster-Heartbeat-Austausch |
| NetScaler Appliance (für hohe Verfügbarkeit) | UDP | 3003 | Austausch von Hallo-Paketen zur Kommunikation des UP/DOWN-Status (Heartbeat) | |
| NetScaler Appliance (für hohe Verfügbarkeit) | TCP | 3008 | Sichere Hochverfügbarkeits-Konfigurationssynchronisierung | |
| NetScaler Appliance (für globales Standort-Load-Balancing) | TCP | 3009 | Für sicheren MEP. | |
| NetScaler Appliance (für hohe Verfügbarkeit) | TCP | 3010 | Nicht sichere Konfigurationssynchronisierung mit hoher Verfügbarkeit. | |
| NetScaler Appliance (für globales Standort-Load-Balancing) | TCP | 3011 | Für unsicheren MEP. | |
| NetScaler ADM-Einheit | UDP | 162 | Traps vom ADC zum NetScaler ADM Center | |
| NetScaler Appliance (für hohe Verfügbarkeit) | TCP | 22 | Wird vom rsync-Prozess während der Dateisynchronisierung im Hochverfügbarkeits-Setup verwendet | |
| DNS-Server | TCP, UDP | 53 | DNS-Namensauflösung | |
| NTP-Server | UDP | 123 | Standard-NTP-Serverport für die Synchronisierung mit mehreren Zeitquellen | |
| Signatur-URL der Anwendungsfirewall | TCP | 443 | Gehostete Signaturupdates auf AWS | |
| URL der Bot-Management-Signatur | TCP | 443 | Gehostete Signaturupdates auf AWS | |
| ADC Lights-Out Management | TCP | 4001, 5900, 623 | Daemon, der ein vollständiges und einheitliches Konfigurationsmanagement aller Routing-Protokolle bietet | |
| LDAP-Server | TCP | 636 | LDAP-SSL-Verbindung | |
| TCP | 3268 | LDAP-Verbindung mit Global Catalog | ||
| TCP | 3269 | LDAP-Verbindung zu Global Catalog über SSL | ||
| TCP | 389 | LDAP Klartext oder TLS | ||
| RADIUS-Server | UDP | 1813 | RADIUS-Buchhaltung | |
| UDP | 1645, 1812 | RADIUS-Verbindung | ||
| Thales HSM | TCP | 9004 | RFS und Thales HSM | |
| NetScaler NSIP | NetScaler ADM | UDP | 4739 | Für AppFlow-Kommunikation |
| SNMP | 161, 162 | So senden Sie SNMP-Ereignisse/Traps | ||
| Syslog | 514 | So empfangen Sie Syslog-Nachrichten in NetScaler ADM | ||
| NetScaler-SNIP | NetScaler ADM | TCP | 5563 | Für ADC-Metriken (Zähler), Systemereignisse und Überwachungsprotokollmeldungen von NetScaler an NetScaler ADM. |
| TCP | 5557, 5558 | Für die Logstream-Kommunikation von NetScaler an NetScaler ADM. | ||
| Admin-Arbeitsstation | NetScaler NSIP | TCP | 80, 443 | HTTP oder HTTPS - GUI Administration |
| TCP | 22 | SSH-Zugang |
Hinweis:
Je nach NetScaler-Konfiguration kann der Netzwerkverkehr von SNIP-, MIP- oder NSIP-Schnittstellen stammen. Wenn Sie NetScalers im Hochverfügbarkeitsmodus konfiguriert haben, verwendet NetScaler ADM die NetScaler-Subnetz-IP-Adresse (Management SNIP) für die Kommunikation mit NetScaler.
NetScaler ADM
| Quelle | Ziel | Typ | Port | Details | | ———————– | —————————————– | —— | —————- | ————————————————————————————————————————————————————- | | NetScaler ADM | NetScaler-NSIP oder Citrix SD-WAN-Instanz | TCP | 80, 443 | Für NITRO-Kommunikation | | | | TCP | 22 | Für SSH-Kommunikation | | | | ICMP | Kein reservierter Port | Erkennen der Erreichbarkeit von Netzwerken zwischen NetScaler ADM- und ADC-Instanzen, SD-WAN-Instanzen oder dem sekundären NetScaler ADM Server, der im Hochverfügbarkeitsmodus bereitgestellt wird. | | | NetScaler ADM | TCP | 22 | Für die Synchronisierung zwischen NetScaler ADM-Servern, die im Hochverfügbarkeitsmodus bereitgestellt werden. | | | | TCP | 5454 | Standardport für die Kommunikation und Datenbanksynchronisierung zwischen NetScaler ADM Knoten im Hochverfügbarkeitsmodus. | | | Benutzer | TCP | 25 | So senden Sie SMTP-Benachrichtigungen von NetScaler ADM an Benutzer. | | | LDAP externer Authentifizierungsserver | TCP | 389, 636 | Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen NetScaler ADM und dem externen LDAP-Authentifizierungsserver. | | | NTP-Server | UDP | 123 | Standard-NTP-Serverport zur Synchronisierung mit mehreren Zeitquellen. | | | RADIUS externer Authentifizierungsserver | RADIUS | 1812 | Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen NetScaler ADM und dem externen RADIUS-Authentifizierungsserver. | | | TACACS externer Authentifizierungsserver | TACACS | 49 | Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen NetScaler ADM und dem externen TACACS Authentifizierungsserver. | | NetScaler/CPX-Instanz | NetScaler ADM-Lizenzserver/-Agent | TCP | 27000 | Lizenzport für die Kommunikation zwischen NetScaler ADM-Lizenzserver/-Agent und ADC/CPX-Instanz. | | | | TCP | 7279 | Port für Citrix Vendor Daemon. | | | NetScaler ADM | UDP | 5005 | Port zum Austausch von Heartbeats zwischen HA-Knoten. | | NetScaler SNIP | TCP | 161 | Zum Senden von SNMP-Ereignissen | | NetScaler NSIP | NetScaler ADM | UDP | 162 | Zum Empfangen von SNMP-Traps von NetScaler | | | UDP | 4739 | Zum Empfangen von ADC-Analyseprotokolldaten mithilfe des IPFIX-Protokolls | | | UDP | 514 | Zum Empfangen von Syslog-Meldungen von NetScaler ADM | | NetScaler SNIP | NetScaler ADM | TCP | 5563 | Zum Empfangen von ADC-Metriken (Zähler), Systemereignissen und Audit-Log-Meldungen von der NetScaler-Instanz an NetScaler ADM | | | TCP | 5557, 5558 | Für die Logstream-Kommunikation (für Security Insight, Web Insight und HDX Insight) von NetScaler | | NetScaler ADM | NetScaler ADM Agent | TCP | 443, 7443, 8443 | Port für die Kommunikation zwischen NetScaler Agent und NetScaler ADM |
Hinweis:
Wenn Sie NetScalers im Hochverfügbarkeitsmodus konfiguriert haben, verwendet NetScaler ADM die NetScaler-Subnetz-IP-Adresse (Management SNIP) für die Kommunikation mit NetScaler.
CTX124386 beschreibt, wie die Quelle geändert wird, um Syslog-Nachrichten an ADM zu kommunizieren, vom NSIP zum SNIP
Citrix Cloud
Die einzige Citrix-Komponente, die als Kommunikationskanal zwischen Citrix Cloud und Ihren Ressourcenstandorten benötigt wird, ist ein Connector. Dieser Connector kann je nach Anwendungsfall eine Connector Appliance oder ein Cloud Connector sein. Weitere Informationen darüber, welchen Connector Sie benötigen, finden Sie unter Ressourcentypen.
Connectorgerät
Nach der Installation initiiert die Connector Appliance die Kommunikation mit Citrix Cloud über eine ausgehende Verbindung. Alle Verbindungen werden von der Connector Appliance zur Cloud über den HTTPS-Standardport (443) und per TCP-Protokoll hergestellt. Es sind keine eingehenden Verbindungen zugelassen.
Dies ist eine Liste der Ports, auf die die Connector Appliance zugreifen muss:
| Service | Port | Unterstütztes Domänenprotokoll | Konfigurationsdetails |
|---|---|---|---|
| DNS | 53 | TCP/UDP | Dieser Port muss für das lokale Setup offen sein. |
| NTP | 123 | UDP | Dieser Port muss für das lokale Setup offen sein. |
| HTTPS | 443 | TCP | Für die Connector Appliance ist ausgehender Zugriff auf diesen Port erforderlich. |
Zum Konfigurieren der Connector Appliance müssen IT-Administratoren auf Port 443 (HTTPS) der Connector Appliance zugreifen können.
Hinweis: Sie müssen am Anfang der IP-Adresse
https://angeben.
Connector Appliance mit Active Directory
Für die Verwendung von Active Directory mit Connector Appliance sind zusätzliche Ports erforderlich. Die Connector Appliance erfordert eine ausgehende Verbindung zur Active Directory-Domäne über die folgenden Ports:
| Service | Port | Unterstütztes Domänenprotokoll |
|---|---|---|
| Kerberos | 88 | TCP/UDP |
| End Point Mapper (DCE/RPC Locator Service) | 135 | TCP |
| NetBIOS-Namensdienst | 137 | UDP |
| NetBIOS-Datagramm | 138 | UDP |
| NetBIOS-Sitzung | 139 | TCP |
| LDAP | 389 | TCP/UDP |
| SMB über TCP | 445 | TCP |
| Kerberos kpasswd | 464 | TCP/UDP |
| Globaler Katalog | 3268 | TCP |
| Dynamische RPC-Ports | 49152..65535 | TCP |
Cloud Connector
Alle Verbindungen werden vom Cloud Connector zur Cloud unter Verwendung des Standard-HTTPS-Ports (443) und des TCP-Protokolls hergestellt. Es werden keine eingehenden Verbindungen akzeptiert.
Cloud Connectors muss eine Verbindung zu Digicert herstellen können, um Zertifikatsperrprüfungen durchzuführen.
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Cloud Connectors | http://*.digicert.com |
HTTP | 80 | Regelmäßige Prüfungen der Zertifikatsperrliste |
https://*.digicert.com |
HTTPS | 443 | ||
https://dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | ||
https://dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 |
Die Liste der Adressen, die den meisten Citrix Cloud-Diensten gemeinsam sind, und deren Funktion finden Sie in der Produktdokumentation.
Citrix DaaS
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Virtual Delivery Agent | Gateway Service | TCP, UDP | 443 | Rendezvous-Protokoll. |
| Cloud Connectors | Cloud Connectors | TCP | 80 | Die Kommunikation zwischen Delivery Controllern ist über WCF gesichert. |
| TCP | 89 | Lokaler Host-Cache, gesichert über WCF. | ||
| TCP | 9095 | Der Orchestrierungsdienst ist über WCF gesichert. | ||
| Cloud Connectors | XenServer-Ressourcenpool-Master | TCP | 80, 443 | Kommunikation mit der XenServer-Infrastruktur. |
| Microsoft SCVMM Server | TCP | 8100 | Kommunikation mit der Microsoft SCVMM/Hyper-V-Infrastruktur. | |
| VMware vCenter Server | TCP | 443 | Kommunikation mit der VMware vSphere-Infrastruktur. | |
| Nutanix AHV | TCP | 9440 | Kommunikation mit der Nutanix AHV-Infrastruktur. | |
| Cloud Connectors | Virtual Delivery Agent | TCP, UDP | 1494 | Zugriff auf Anwendungen und virtuelle Desktops durch ICA/HDX EDT erfordert 1494 für UDP. |
| TCP | 80 | Citrix VDA-Registrierung mit dem Citrix Cloud Connector, gesichert über WCF. Die Kommunikation muss bidirektional sein. | ||
| TCP, UDP | 2598 | Zugriff auf Anwendungen und virtuelle Desktops durch ICA/HDX mit Sitzungszuverlässigkeit. EDT erfordert 2598 für UDP. | ||
| Cloud Connectors | WEM-Agent | TCP | 49752 | “Agent Port”. Listening-Port auf dem Agent-Host, der über WCF gesicherte Anweisungen vom Cloud Connector empfängt. |
| Cloud Connectors | Dateiserver | TCP | 139,445 | Zugriff auf VDI, das als CSV-Mount-Points für Dateiserver fungiert. |
| Cloud Connectors | Citrix FAS-Server | TCP | 80 | Senden Sie Assertion Identitätsbestätigung des Benutzers, gesichert über WCF. |
| Citrix Provisioning Server Konsole | Cloud Connectors | HTTPS | 443 | Integration des Provisioning Servers mit Citrix Cloud Studio. |
| Citrix Lizenzserver | Citrix Cloud | HTTPS | 443 | Integration des Citrix Lizenzservers mit Citrix Cloud. |
| Citrix FAS-Server | Citrix Cloud | HTTPS | 443 | Verbindung zwischen Citrix FAS und Citrix Cloud. |
| Citrix DaaS Remote PowerShell-SDK | Citrix Cloud | HTTPS | 443 | Jedes System, auf dem Skripts ausgeführt werden, die auf dem Citrix DaaS Remote PowerShell-SDK basieren. |
| Citrix Workspace-App | Virtual Delivery Agent | TCP, UDP | 1494 | Zugriff auf Anwendungen und virtuelle Desktops über ICA/HDX für Direct Workload Connection, die den Citrix Gateway Service für internen Datenverkehr umgeht. |
| TCP, UDP | 2598 | Zugriff auf Anwendungen und virtuelle Desktops über ICA/HDX mit Sitzungszuverlässigkeit für direkte Workload-Verbindung, die den Citrix Gateway Service für internen Datenverkehr umgeht. | ||
| WEM-Agent | Cloud Connectors | TCP | 8080 | Port, auf dem der on-premises Agent eine Verbindung zum Cloud Connector herstellt. Dieser Port ist für ausgehende LAN-Verbindungen (Local Area Network) verfügbar. Nachrichten über den Port werden mit Sicherheitsfunktionen auf Nachrichtenebene der Windows Communication Foundation (WCF) gesichert. |
| Citrix WEM-Dienst | HTTPS | 443 | Port, auf dem der on-premises Agent eine Verbindung zum WEM Service in Citrix Cloud herstellt. Dieser Port ist für ausgehende Internetverbindungen verfügbar. |
Lesen Sie hiermehr über die Integration des Citrix Lizenzservers.
Lesen Sie hiermehr über die Integration von Citrix Provisioning Server.
Lesen Sie hier mehr über das Citrix DaaS Remote PowerShell SDK.
Citrix Gateway Service
Standardmäßig dient Gateway Service als Proxy für HDX-Verbindungen über die Citrix Cloud Connectors. Das Rendezvous Protocol ändert jedoch den Fluss der HDX-Verbindungen, um den Virtual Delivery Agent unter Umgehung der Citrix Cloud Connectors direkt mit dem Gateway Service zu verbinden
Rendezvous-Protokoll und HDX Enlightened Data Transport Protocol (EDT)
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Virtual Delivery Agent | Gateway Service | UDP | 443 | EDT UDP über 443 an Gateway-Dienst |
Die Virtual Delivery Agents müssen https://*.nssvc.netZugriff auf alle Subdomains haben. Oder https://*.c.nssvc.net und https://*.g.nssvc.net.
Hinweis:
Wenn Sie EDT in Microsoft Azure verwenden, muss UDP in der Azure Network Security Group (NSG) definiert sein, die den Virtual Delivery Agent schützt
Lesen Sie hiermehr über die Anforderungen des Rendezvous-Protokolls und des HDX Enlightened Data Transport Protocol (EDT).
Citrix Sitzungsaufzeichnungsdienst
Unter dem folgenden Link finden Sie die Ports des Citrix Sitzungsaufzeichnungsdienstes — Konnektivitätsanforderungen
Citrix Endpoint Management
Unter dem folgenden Link finden Sie Citrix Endpoint Management (XenMobile) Ports — Portanforderungen.
Citrix Gateway
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Citrix Gateway SNIP | LDAP-Server (Load Balancing) | TCP | 636 | LDAPS SSL-Verbindung |
| TCP | 3268 | LDAP-Verbindung mit Global Catalog | ||
| TCP | 3269 | LDAP-Verbindung zu Global Catalog über SSL | ||
| TCP | 389 | LDAP Klartext oder TLS | ||
| RADIUS-Server (Load Balancing) | UDP | 1813 | RADIUS-Buchhaltung | |
| UDP | 1645, 1812 | RADIUS-Verbindung | ||
| Sichere Ticketing Authority (STA) | TCP | 80, 8080, 443 | Secure Ticketing Authority (im XML-Dienst eingebettet) | |
| Virtual Delivery Agent | TCP, UDP | 1494 | Zugriff auf Anwendungen und virtuelle Desktops durch ICA/HDX EDT erfordert 1494 für UDP. | |
| TCP, UDP | 2598 | Zugriff auf Anwendungen und virtuelle Desktops durch ICA/HDX mit Sitzungszuverlässigkeit. EDT erfordert 2598 für UDP. | ||
| TCP, UDP | 443 | Zugriff auf Anwendungen und virtuelle Desktops durch ICA/HDX über TLS/DTLS. | ||
| UDP | 16500..16509 | ICA/HDX Audio über UDP Real-time Transport | ||
| StoreFront | TCP | 80, 443 | Citrix Gateway Kommunikation mit StoreFront | |
| Citrix Gateway Plug-In | VPN/CVAD | UDP | 3108, 3168, 3188 | Für VPN Tunnel mit sicheren ICA-Verbindungen |
| TCP, UDP | 3148, 3149, 3159 | Für VPN Tunnel mit sicheren ICA-Verbindungen | ||
| Admin-Arbeitsstation | Citrix Gateway | TCP | 80, 443 | HTTPS - GUI Administration |
| TCP | 22 | SSH-Zugang | ||
| Citrix Gateway | DNS | TCP, UDP | 53 | Kommunikation mit dem DNS-Server |
Weitere Informationen zu den erforderlichen Ports für Citrix Gateway im DMZ-Setup finden Sie unter CTX113250.
Hinweis:
Alle oben genannten Ports sind abhängig von Ihrer eigenen Konfiguration nicht obligatorisch.
XenServer
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Citrix Hypervisor | Citrix Hypervisor | TCP | 443 | Host-interne Kommunikation zwischen Mitgliedern eines Ressourcenpools über XenAPI |
| NTP-Dienst | TCP, UDP | 123 | Zeit-Synchronisierung | |
| DNS-Dienstdomänencontroller | TCP, UDP TCP | 53, 389 | DNS-Benutzerauthentifizierung bei Verwendung der Active Directory-Integration (LDAP) | |
| TCP | 636 | LDAP über SSL (LDAPS) | ||
| FileServer | TCP, UDP | 139 | ISOStore:NetBIOSSessionService | |
| TCP, UDP | 445 | ISOStore:Microsoft-DS | ||
| SAN-Controller | TCP | 3260 | iSCSI-Speicher | |
| NAS Head/ Dateiserver | TCP | 2049 | NFS-Speicher | |
| Syslog | TCP | 514 | Sendet Daten zum Zusammenstellen an einen zentralen Ort | |
| Clustering | TCP | 8892, 21064 | Kommunikation zwischen allen Poolmitgliedern in einem Clusterpool. | |
| UDP | 5404, 5405 | |||
| Admin-Workstation (XenCenter) | XenServer | TCP | 22 | SSH |
| TCP | 443 | Management mit XenAPI | ||
| Virtuelle Maschine | TCP | 5900 | VNC für Linux-Gäste | |
| TCP | 3389 | RDP für WindowsGuests |
Lesen Sie hiermehr über die Anforderungen für den Citrix Lizenzserver.
Hinweis:
Wenn FQDN anstelle von IP als Ressource verwendet wird, stellen Sie sicher, dass es auflösbar ist.
Citrix Lizenzserver
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Jede Citrix Komponente | Citrix Lizenzserver | TCP | 27000 | Behandelt den ersten Kontakt für Lizenzanfragen |
| TCP | 7279 | Einchecken/Auschecken von Citrix Lizenzen | ||
| Delivery Controller | Citrix Lizenzserver | TCP | 8082 | Web-basierte Verwaltungskonsole (Lmadmin.exe) |
| TCP | 8083 | Simple License Service Lizenzservice-Port (erforderlich für CVAD) | ||
| Admin-Arbeitsstation | Citrix Lizenzserver | TCP | 8082 | Web-basierte Verwaltungskonsole (Lmadmin.exe) |
| TCP | 8083 | Simple License Service Lizenzservice-Port (erforderlich für CVAD) | ||
| TCP | 80 | Lizenzierung des PowerShell-Snap-In-Dienstes | ||
| Citrix Lizenzserver | https://cis.citrix.com |
HTTPS | 443 | Automatisierte Lizenztelemetrieberichterstattung von Citrix License |
Citrix SD-WAN
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| SD-WAN Standard und Enterprise Edition | SD-WAN Standard und Enterprise Edition | UDP | 4980 | Static Virtual Path und Dynamic Virtual Path Tunnels zwischen SD-WAN SE/EE-Geräten. |
| SD-WAN Center | TCP | 2156 | Meldung der Kommunikation zwischen SD-WAN Center und SD-WAN SE/EE-Geräten | |
| Citrix Cloud Zero Touch-Bereitstellungsservice | TCP | 443 | Authentifizierungskommunikation zwischen SD-WAN-Devices und Citrix Cloud Services | |
| RADIUS | TCP | 1812 | Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen dem SD-WAN SE/EE und dem externen Authentifizierungsserver von RADIUS. | |
| TACACS+ | TACACS | 49 | Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen SD-WAN SE/EE und dem externen Authentifizierungsserver TACACS. | |
| SNMP | UDP | 161, 162 | SNMP-Authentifizierung und Polling auf SD-WAN SE/EE-Geräte. | |
| NetFlow | UDP | 2055 | NetFlow Polling auf SD-WAN SE/EE Geräte. | |
| AppFlow (NetScaler ADM) | TCP | 4739 | Für die AppFlow-Kommunikation zwischen NetScaler ADM und SD-WAN SE/EE-Geräten. | |
| API | TCP | 80, 443 | Für die NITRO-API-Kommunikation mit SD-WAN SE/EE-Geräten. | |
| SD-WAN Center | Citrix Cloud Zero Touch-Bereitstellungsservice | TCP | 443 | Authentifizierungskommunikation zwischen SD-WAN-Devices und Citrix Cloud Services |
| SD-WAN WANOP Edition | SD-WAN WANOP Edition | TCP | – | SD-WAN WO Edition optimiert transparent den TCP-Verkehr zwischen zwei Standorten. Das ursprüngliche Quellziel und der Port bleiben in den Segmenten des Netzwerks unverändert. |
| API (NetScaler ADM) | TCP | 80, 443 | Für NITRO-API-Kommunikation zwischen NetScaler ADM und SD-WAN WANOP-Geräten. | |
| SSH (NetScaler ADM) | TCP | 22 | Für die SSH-Kommunikation zwischen NetScaler ADM und SD-WAN WANOP-Geräten. | |
| AppFlow (NetScaler ADM) | TCP | 4739 | Für die AppFlow-Kommunikation zwischen NetScaler ADM und SD-WAN WANOP-Geräten. | |
| NetScaler ADM | ICMP | – | Für die Erreichbarkeit von Netzwerken zwischen NetScaler ADM und SD-WAN WANOP-Geräten. | |
| RADIUS | TCP | 1812 | Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen SD-WAN WO und einem externen Authentifizierungsserver von RADIUS. | |
| TACACS+ | TACACS | 49 | Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen SD-WAN WO und dem externen Authentifizierungsserver TACACS. | |
| SNMP | UDP | 161, 162 | SNMP-Authentifizierung und Polling auf SD-WAN WO-Geräten. | |
| SD-WAN WANOP Edition (SSL-Beschleunigung aktiviert) | SD-WAN WANOP Edition (SSL-Beschleunigung aktiviert) | TCP | 443 | Die SD-WAN WO Edition-sichere Peering-Funktion verschlüsselt den Datenverkehr zwischen SD-WAN Peers. |
| Lokaler Citrix Orchestrator | 9.9.9.9 | UDP/TCP | 53 | DNS-Auflösung von relevanten Cloud-Dienstdomänen |
| SD-WAN Standard und Enterprise Edition | TCP | 443 | Kommunikation zwischen Orchestrator On-Premises und SD-WAN SE/EE-Geräten | |
| Citrix Cloud | TCP | 443 | Authentifizierungskommunikation mit Citrix Cloud-Diensten | |
| SD-WAN Standard und Enterprise Edition | SSH | 22 | Kommunikation zwischen Orchestrator On-Premises und SD-WAN SE/EE-Geräten |
Citrix Virtual Apps and Desktops
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Delivery Controller | XenServer-Ressourcenpool-Master | TCP | 80, 443 | Kommunikation mit der XenServer-Infrastruktur |
| Microsoft SCVMM Server | TCP | 8100 | Kommunikation mit der Hyper-V-Infrastruktur | |
| VMware vCenter Server | TCP | 443 | Kommunikation mit vSphere-Infrastruktur | |
| Nutanix AHV | TCP | 9440 | Kommunikation mit der Nutanix AHV-Infrastruktur | |
| Microsoft SQL Server | TCP | 1433 | Microsoft SQL Server | |
| Virtual Delivery Agent | TCP | 80 (Bidirektional) | Delivery Controller initiiert die Verbindung, wenn lokale Anwendungen erkannt oder Informationen über lokale Prozesse, Leistungsdaten usw. gesammelt werden. | |
| Delivery Controller | TCP | 80 | Kommunikation zwischen Delivery Controller | |
| TCP | 89 | Lokaler Hostcache (Diese Verwendung von Port 89 kann sich in zukünftigen Versionen ändern.) | ||
| TCP | 9095 | Orchestrierungsdienst | ||
| Director | Delivery Controller | TCP | 80, 443 | Kommunikation mit Citrix Delivery Controllern |
| Citrix Director und Admin Workstation | Virtual Delivery Agent | TCP | 135,3389 | Kommunikation zwischen Citrix Director und Virtual Delivery Agent für Remoteunterstützung |
| TCP | 389 | LDAP-Hinweis: Für den Anmeldeschritt kontaktiert Citrix Director nicht den AD, sondern führt eine lokale Anmeldung mit der nativen Windows-API LoginUser durch (die möglicherweise intern eine Verbindung zum AD herstellt). | ||
| Citrix Workspace-App | StoreFront | TCP, UDP | 80,443 | Kommunikation mit StoreFront |
| Virtual Delivery Agent | TCP, UDP | 1494 | Zugriff auf Anwendungen und virtuelle Desktops über ICA/HDX für Direct Workload Connection, die den Citrix Gateway Service für internen Datenverkehr umgeht. | |
| Virtual Delivery Agent | TCP, UDP | 2598 | Zugriff auf Anwendungen und virtuelle Desktops über ICA/HDX mit Sitzungszuverlässigkeit für direkte Workload-Verbindung, die den Citrix Gateway Service für internen Datenverkehr umgeht. | |
| UDP | 16500.. 16509 (Bidirektional) | Portbereich für UDP ICA/HDX Audio | ||
| Virtual Delivery Agent | Delivery Controller | TCP | 80 (Bidirektional) | Wird vom Prozess ‘WorkstationAgent.exe’ für die Kommunikation mit Delivery Controller verwendet. |
| Admin-Arbeitsstation | Director-Server | TCP | 80, 443 | Zugriff auf die Citrix Director-Site |
| Delivery Controller | TCP | 80, 443 | Bei Verwendung einer lokal installierten Citrix Studio-Konsole oder des SDK für den direkten Zugriff auf Delivery Controller. | |
| Virtual Delivery Agent | TCP, UDP | 49152..65535 | Dynamisch zugewiesener hoher Port, wenn eine Remoteunterstützungssitzung von einem Windows-Computer zu einem Virtual Delivery Agent initiiert wird. | |
| HdxVideo.js | Virtual Delivery Agent | TCP | 9001 | Der sichere WebSocket-Dienst HTML5-Videoumleitung und die Umleitung von Browserinhalten sind für die Weiterleitung von HTTPS-Websites erforderlich. WebSocketService.exe - wird auf dem lokalen System ausgeführt und führt SSL-Terminierung und Benutzersitzungszuordnung durch. TLS Secure WebSocket überwacht auf 127.0.0.1 an Port 9001. |
Lesen Sie hiermehr über die Anforderungen für den Citrix Lizenzserver.
Citrix App Layering
Unter dem folgenden Link finden Sie Citrix App Layering-Ports — Firewall-Ports.
Verbundauthentifizierungsdienst
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| StoreFront | FAS-Server | TCP | 80 | Um die Identitätsbehauptung des Benutzers zu senden. |
| FAS-Server | Microsoft Zertifizierungsstelle | DCOM | 135 | Standardmäßig verwendet die Microsoft-Zertifizierungsstelle für den Zugriff DCOM. Beim Implementieren von Firewallsicherheit kann dies sehr komplex sein, daher bietet Microsoft die Möglichkeit, zu einem statischen TCP-Port zu wechseln. Weitere Informationen finden Sie unter Konfiguration von MS CA DCOM. |
| Virtual Delivery Agent | FAS-Server | TCP | 80 | Holt das Benutzerzertifikat vom FAS-Server. |
Provisioning Services
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Provisioning-Server | Provisioning-Server | UDP | 6890..6909 | Interserver-Kommunikation |
| Microsoft SQL Server | TCP | 1433 | Kommunikation mit Microsoft SQL Server | |
| Citrix Lizenzserver | TCP | 27000 | “Port des Citrix Lizenzservers”. Der Port, auf dem der Citrix License Server wartet und mit dem der Infrastrukturdienst dann eine Verbindung herstellt, um die Lizenzierung zu überprüfen. | |
| TCP | 7279 | Der Port, der von der dedizierten Citrix-Komponente (Daemon) im Citrix Lizenzserver verwendet wird, um die Lizenzierung zu überprüfen. | ||
| Domänencontroller | TCP | 389 | Kommunikation mit Active Directory | |
| Zielgerät | UDP | 6901, 6902, 6905 | Zielgerät auf Citrix Provisioning-Kommunikation (nicht konfigurierbar) | |
| Citrix Hypervisor | TCP | 80, 443 | Kommunikation mit der Citrix Hypervisor Infrastruktur | |
| VMware vCenter Server | TCP | 443 | Kommunikation mit vSphere-Infrastruktur | |
| Microsoft Hyper-V | TCP | 8100 | Kommunikation mit der Hyper-V-Infrastruktur | |
| Microsoft Azure | TCP | 443 | Kommunikation mit der Azure-Infrastruktur | |
| Google Cloud Platform | TCP | 443 | Kommunikation mit der Google Cloud-Infrastruktur | |
| Zielgerät | Broadcast/DHCPServer | UDP | 66, 67 | Nur DHCP-Optionen: Abrufen von Netzwerkboot-DHCP-Optionen 66-TFTP-Servername (Bootstrap Protocol Server) und 67-Boot-Dateiname (Bootstrap Protocol Client). |
| Broadcast/PXEService | UDP | 69 | Trivial File Transfer (TFTP) für Bootstrap-Lieferung | |
| TFTP-Server | UDP | 6910 | Anmeldung für Zielgeräte bei Provisioning Services | |
| Provisioning-Server | UDP | 6910..6930 | Streaming virtueller Datenträger (Streaming Service) (konfigurierbar) | |
| UDP | 6901, 6902, 6905 | Zielgerät auf Citrix Provisioning-Kommunikation (nicht konfigurierbar) | ||
| UDP | 6969, 2071 | Nur BDM: Two Stage Boot (BDM). Wird nur beim Booten von ISO- oder USB-Szenarien verwendet. | ||
| TCP | 54321..54323 | SOAP-Dienst — Wird von Imaging Wizards verwendet | ||
| Admin-Arbeitsstation | Provisioning-Server | TCP | 54321..54323 | SOAP-Dienst — Wird von der Konsole und APIs (MCLI, PowerShell usw.) verwendet |
| Delivery Controller | TCP | 80 | Bei Verwendung von On-Prem CVAD - wird von Konsolenassistenten beim Erstellen von Broker-Katalogen verwendet | |
| CVAD-Dienst | TCP | 443 | Bei Verwendung von CVADS - wird von Konsolenassistenten beim Erstellen von Broker-Katalogen verwendet |
Universeller Druckserver
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Virtual Delivery Agent | Universeller Druckserver | UDP | 7229 | Universal Print Server Druckdatenstrom (CGP) Port (konfigurierbar) |
| Virtual Delivery Agent | Universeller Druckserver | TCP | 8080 | Port für den Universal Print Server-Webdienst (HTTP/SOAP) (konfigurierbar) |
Remote-PC-Zugriff
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Admin-Arbeitsstation | Virtual Delivery Agent | UDP | 9 | Wake-on-LAN für Remote-PC-Access-Energieverwaltung |
| WOL Proxy | Virtual Delivery Agent | TCP | 135 | Wake Up Proxy für Remote-PC-Zugriff Energieverwaltung |
Hinweis:
Remote-PC-Zugriff verwendet dieselben Virtual Delivery Agent-Ports wie normale virtuelle Desktops
Sitzungsaufzeichnung
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Virtual Delivery Agent | Sitzungsaufzeichnungsserver | TCP | 80, 443 | Kommunikation zwischen dem Sitzungsaufzeichnungsagent, der auf dem Virtual Delivery Agent installiert ist, für die Verbindung zum Sitzungsaufzeichnungsserver. Die Standardinstallation verwendet HTTPS/SSL, um die Kommunikation zu sichern. Wenn SSL nicht konfiguriert ist, verwenden Sie HTTP. |
| Richtlinienkonsole für die Sitzungsaufzeichnung | Sitzungsaufzeichnungsserver | TCP | 80, 443 | Kommunikation zwischen Server, auf dem die Richtlinienkonsole für die Sitzungsaufzeichnung installiert ist, und dem |
| Sitzungsaufzeichnungsplayer | Sitzungsaufzeichnungsserver | TCP | 80, 443 | Kommunikation zwischen der Workstation, auf der der Session Recording Player installiert ist, und dem Sitzungsaufzeichnungsserver. |
StoreFront
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Benutzer-Gerät | StoreFront-Server | TCP | 80, 443 | Herstellen einer Verbindung mit dem auf StoreFront-Server gehosteten |
| StoreFront-Server | Domänencontroller | TCP, UDP | 389 | LDAP-Verbindung zur Abfrage von benutzerfreundlichen Namen und E-Mail-Adressen |
| TCP, UDP | 88 | Kerberos | ||
| TCP, UDP | 464 | Natives Windows-Authentifizierungsprotokoll, mit dem Benutzer abgelaufene Kennwörter ändern können | ||
| StoreFront-Server | TCP | Zufällig ausgewählter nicht reservierter Port pro Dienst. Scrollen Sie bis zum Ende dieser Tabelle, um Firewalls zu konfigurieren, wenn Sie StoreFront in einem eigenen Netzwerk platzieren. | Wird für Peer-to-Peer-Dienste verwendet (Credential Wallet, Subscriptions Store (1 pro Store). Dieser Dienst verwendet MS .Net NetPeerTcpBinding, das einen zufälligen Port auf jedem Server zwischen den Peers aushandelt. Wird nur für die Kommunikation innerhalb des Clusters verwendet. | |
| TCP | 808 | Wird für Abonnement-Replikationsdienste verwendet. Standardmäßig nicht installiert. Wird verwendet, um Abonnements zwischen zugehörigen Clustern zu replizieren | ||
| Delivery Controller, XenMobile | TCP | 80, 443 | Für Anwendungs- und Desktop-Anfragen. | |
| NetScaler | StoreFront | TCP | 8000 | Für den Monitoring Service, der vom NetScaler Load Balancer verwendet wird. |
| StoreFront | Citrix Gateway | TCP | 443 | Callback URL um Citrix Gateway von StoreFront zu erreichen |
Verwenden Sie die folgenden Informationen für die Konfiguration von Firewalls, wenn Sie StoreFront in einem eigenen Netzwerk platzieren:
- Lokalisieren Sie die Konfigurationsdateien:
C:\Program Files\Citrix\Receiver StoreFront\Services\SubscriptionsStoreService\Citrix.DeliveryServices.SubscriptionsStore.ServiceHost.exe.configC:\Program Files\Citrix\Receiver StoreFront\Services\CredentialWallet\Citrix.DeliveryServices.CredentialWallet.ServiceHost.exe.config
-
Bearbeiten Sie beide Konfigurationsdateien, indem Sie die Werte für Endpunkt-URIs ändern.
Zum Beispiel -
<endpoint uri="net.p2p://CitrixCredentialWalletReplication">alsonet.p2p://enthält jede Adresse, die mit beginnt, den Port. Sie sollten am Ende mit<endpoint uri="net.p2p://CitrixCredentialWalletReplication:93">und<endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store">wird<endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store:93">und so weiter für alle anderen net.p2p-Adressen. - Starten Sie den Subscriptions Store und die Credential Wallet neu.
- Die lokale Firewall enthält Regeln für das Zulassen des Zugriffs pro Anwendung, sodass sie nicht nach Port gesperrt ist.
Workspace Environment Management
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Infrastrukturdienst | Agenthost | TCP | 49752 | “Agentport”. Listeningport auf dem Agenthost, der Anweisungen vom Infrastrukturdienst empfängt. |
| Verwaltungskonsole | Infrastrukturdienst | TCP | 8284 | “Administrationsport”. Port, auf dem die Verwaltungskonsole eine Verbindung zum Infrastrukturdienst herstellt. |
| Agent | Infrastrukturdienst | TCP | 8286 | “Agent-Dienstport”. Port, an dem der Agent eine Verbindung zum Infrastrukturserver herstellt. |
| Agent-Cache-Synchronisierungsprozess | Infrastrukturdienst | TCP | 8285 | “Cache-Synchronisationsport”. Gilt für Workspace Environment Management 1909 und früher; ersetzt durch den Port für die zwischengespeicherte Datensynchronisierung in Workspace Environment Management 1912 und höher. Port, auf dem der Agent-Cachesynchronisierungsprozess eine Verbindung zum Infrastrukturdienst herstellt, um den Agent-Cache mit dem Infrastrukturserver zu synchronisieren. |
| TCP | 8288 | “Zwischengespeicherter Datensynchronisationsport”. Anwendbar für Workspace Environment Management 1912 und höher; ersetzt den Cache-Synchronisationsport von Workspace Environment Management 1909 und früher. Port, auf dem der Agent-Cachesynchronisierungsprozess eine Verbindung zum Infrastrukturdienst herstellt, um den Agent-Cache mit dem Infrastrukturserver zu synchronisieren. | ||
| Überwachung des Dienstes | Infrastrukturdienst | TCP | 8287 | “WEM-Überwachungsanschluss”. Listening-Port auf dem vom Überwachungsdienst verwendeten Infrastrukturserver. (Noch nicht implementiert.) |
| Infrastrukturdienst | Microsoft SQL Server | TCP | 1433 | So stellen Sie eine Verbindung mit WEM-Datenbank |
| Citrix Lizenzserver | TCP | 27000 | “Port des Citrix Lizenzservers”. Der Port, auf dem der Citrix License Server wartet und mit dem der Infrastrukturdienst dann eine Verbindung herstellt, um die Lizenzierung zu überprüfen. | |
| TCP | 7279 | Der Port, der von der dedizierten Citrix-Komponente (Daemon) im Citrix Lizenzserver verwendet wird, um die Lizenzierung zu überprüfen. |
Lesen Sie hiermehr über die Anforderungen von Citrix Workspace Environment Management
Lesen Sie hiermehr über die Anforderungen für den Citrix Lizenzserver.
CSV-Datei
Wir möchten Ihnen eine CSV-Datei der Citrix Communication Ports zur Verfügung stellen, die Sie für Ihre eigenen Bedürfnisse verwenden können.