Tech Paper: Von Citrix Technologies verwendete Kommunikationsports
Dieser Artikel bietet einen Überblick über allgemeine Ports, die von Citrix Komponenten verwendet werden und als Teil der Netzwerkarchitektur betrachtet werden müssen, insbesondere wenn der Kommunikationsverkehr Netzwerkkomponenten wie Firewalls oder Proxy-Server durchläuft, auf denen Ports geöffnet werden müssen, um den Kommunikationsfluss zu gewährleisten.
Je nach Bereitstellung und Anforderungen müssen nicht alle Ports offen sein.
Citrix SDX
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Admin-Arbeitsstation | Citrix SDX Lights-Out Management | TCP | 80, 443 | HTTP oder HTTPS - GUI Administration |
| Citrix SDX SVM | TCP | 80, 443 | HTTP oder HTTPS — GUI- und NITRO-Kommunikation | |
| TCP | 22 | SSH/SCP-Zugriff | ||
| Citrix SDX Hypervisor | TCP | 22 | SSH/SCP-Zugriff | |
| Citrix SDX SVM | Citrix ADC-Instanz | TCP | 80, 443 | HTTP oder HTTPS — GUI- und NITRO-Kommunikation |
| TCP | 22 | SSH/SCP-Zugriff | ||
| ICMP | Verwenden des ICMP-Protokolls zur Überprüfung der Instanzverfügbarkeit | |||
| NTP-Server | UDP | 123 | Standard-NTP-Serverport für die Synchronisierung mit mehreren Zeitquellen | |
| Citrix ADC NSIP | Citrix SDX SVM | SNMP | 161, 162 | SNMP-Ereignisse/Traps von ADC-Instanzen zur SDX SVM |
| ICMP | Verwenden des ICMP-Protokolls zur Überprüfung der Instanzverfügbarkeit |
Citrix ADC
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Citrix ADC NSIP | Citrix ADC Appliances bei der Clustereinrichtung | UDP | 7000 | Cluster-Heartbeat-Austausch |
| Citrix ADC Appliance (für hohe Verfügbarkeit) | UDP | 3003 | Austausch von Hallo-Paketen zur Kommunikation des UP/DOWN-Status (Heartbeat) | |
| TCP | 3008 | Sichere Hochverfügbarkeits-Konfigurationssynchronisierung | ||
| TCP | 3009 | Für sicheren MEP. | ||
| TCP | 3010 | Nicht sichere Konfigurationssynchronisierung mit hoher Verfügbarkeit. | ||
| TCP | 3011 | Für unsicheren MEP. | ||
| UDP | 162 | Traps vom ADC zum Citrix ADM Center | ||
| TCP | 22 | Wird vom rsync-Prozess während der Dateisynchronisierung im Hochverfügbarkeits-Setup verwendet | ||
| DNS-Server | TCP, UDP | 53 | DNS-Namensauflösung | |
| NTP-Server | UDP | 123 | Standard-NTP-Serverport für die Synchronisierung mit mehreren Zeitquellen | |
| Signatur-URL der Anwendungsfirewall | TCP | 443 | Gehostete Signaturupdates auf AWS | |
| URL der Bot-Management-Signatur | TCP | 443 | Gehostete Signaturupdates auf AWS | |
| ADC Lights-Out Management | TCP | 4001, 5900, 623 | Daemon, der ein vollständiges und einheitliches Konfigurationsmanagement aller Routing-Protokolle bietet | |
| LDAP-Server | TCP | 636 | LDAP-SSL-Verbindung | |
| TCP | 3268 | LDAP-Verbindung mit Global Catalog | ||
| TCP | 3269 | LDAP-Verbindung zu Global Catalog über SSL | ||
| TCP | 389 | LDAP Klartext oder TLS | ||
| RADIUS-Server | UDP | 1813 | RADIUS-Buchhaltung | |
| UDP | 1645, 1812 | RADIUS-Verbindung | ||
| Thales HSM | TCP | 9004 | RFS und Thales HSM | |
| Citrix ADC NSIP | Citrix ADM | UDP | 4739 | Für AppFlow-Kommunikation |
| SNMP | 161, 162 | So senden Sie SNMP-Ereignisse/Traps | ||
| Syslog | 514 | So empfangen Sie Syslog-Nachrichten in Citrix ADM | ||
| Citrix ADC SNIP | Citrix ADM | TCP | 5563 | Für ADC-Metriken (Zähler), Systemereignisse und Überwachungsprotokollmeldungen von Citrix ADC an Citrix ADM. |
| TCP | 5557, 5558 | Für die Logstream-Kommunikation von Citrix ADC an Citrix ADM. | ||
| Admin-Arbeitsstation | Citrix ADC NSIP | TCP | 80, 443 | HTTP oder HTTPS - GUI Administration |
| TCP | 22 | SSH-Zugang |
Hinweis:
Je nach Citrix ADC-Konfiguration kann der Netzwerkverkehr von SNIP-, MIP- oder NSIP-Schnittstellen stammen. Wenn Sie Citrix ADCs im Modus “Hohe Verfügbarkeit” konfiguriert haben, verwendet Citrix ADM die IP-Adresse des Citrix ADC-Subnetzes (Management SNIP) für die Kommunikation mit Citrix ADC.
Citrix ADM
| Quelle | Ziel | Typ | Port | Details | | ———————– | —————————————– | —— | —————- | ————————————————————————————————————————————————————- | | Citrix ADM | Citrix ADC-NSIP oder Citrix SD-WAN-Instanz | TCP | 80, 443 | Für NITRO-Kommunikation | | | | TCP | 22 | Für SSH-Kommunikation | | | | ICMP | Kein reservierter Port | Erkennen der Erreichbarkeit von Netzwerken zwischen Citrix ADM- und ADC-Instanzen, SD-WAN-Instanzen oder dem sekundären Citrix ADM Server, der im Hochverfügbarkeitsmodus bereitgestellt wird. | | | Citrix ADM | TCP | 22 | Für die Synchronisierung zwischen Citrix ADM-Servern, die im Hochverfügbarkeitsmodus bereitgestellt werden. | | | | TCP | 5454 | Standardport für die Kommunikation und Datenbanksynchronisierung zwischen Citrix ADM Knoten im Hochverfügbarkeitsmodus. | | | Benutzer | TCP | 25 | So senden Sie SMTP-Benachrichtigungen von Citrix ADM an Benutzer. | | | LDAP externer Authentifizierungsserver | TCP | 389, 636 | Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen Citrix ADM und dem externen LDAP-Authentifizierungsserver. | | | NTP-Server | UDP | 123 | Standard-NTP-Serverport zur Synchronisierung mit mehreren Zeitquellen. | | | RADIUS externer Authentifizierungsserver | RADIUS | 1812 | Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen Citrix ADM und dem externen RADIUS-Authentifizierungsserver. | | | TACACS externer Authentifizierungsserver | TACACS | 49 | Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen Citrix ADM und dem externen TACACS Authentifizierungsserver. | | Citrix ADC/CPX-Instanz | Citrix ADM-Lizenzserver/-Agent | TCP | 27000 | Lizenzport für die Kommunikation zwischen Citrix ADM-Lizenzserver/-Agent und ADC/CPX-Instanz. | | | | TCP | 7279 | Port für Citrix Vendor Daemon. | | | Citrix ADM | UDP | 5005 | Port zum Austausch von Heartbeats zwischen HA-Knoten. | | Citrix ADC SNIP | TCP | 161 | Zum Senden von SNMP-Ereignissen | | Citrix ADC NSIP | Citrix ADM | UDP | 162 | Zum Empfangen von SNMP-Traps von Citrix ADC | | | UDP | 4739 | Zum Empfangen von ADC-Analyseprotokolldaten mithilfe des IPFIX-Protokolls | | | UDP | 514 | Zum Empfangen von Syslog-Meldungen von Citrix ADC ADM | | Citrix ADC SNIP | Citrix ADM | TCP | 5563 | Zum Empfangen von ADC-Metriken (Zähler), Systemereignissen und Audit-Log-Meldungen von der Citrix ADC-Instanz an Citrix ADM | | | TCP | 5557, 5558 | Für die Logstream-Kommunikation (für Security Insight, Web Insight und HDX Insight) von Citrix ADC | | Citrix ADM | Citrix ADM Agent | TCP | 443, 7443, 8443 | Port für die Kommunikation zwischen Citrix ADC Agent und Citrix ADM |
Hinweis:
Wenn Sie Citrix ADCs im Hochverfügbarkeitsmodus konfiguriert haben, verwendet Citrix ADM die IP-Adresse des Citrix ADC-Subnetzes (Management SNIP) für die Kommunikation mit Citrix ADC.
CTX124386 beschreibt, wie die Quelle geändert wird, um Syslog-Nachrichten an ADM zu kommunizieren, vom NSIP zum SNIP
Citrix Cloud
Die einzige Citrix-Komponente, die als Kommunikationskanal zwischen Citrix Cloud und Ihren Ressourcenstandorten benötigt wird, ist ein Connector. Dieser Connector kann je nach Anwendungsfall eine Connector Appliance oder ein Cloud Connector sein. Weitere Informationen darüber, welchen Connector Sie benötigen, finden Sie unter Ressourcentypen.
Connector Appliance
Nach der Installation initiiert die Connector Appliance die Kommunikation mit Citrix Cloud über eine ausgehende Verbindung. Alle Verbindungen werden von der Connector Appliance zur Cloud über den HTTPS-Standardport (443) und per TCP-Protokoll hergestellt. Es sind keine eingehenden Verbindungen zugelassen.
Dies ist eine Liste der Ports, auf die die Connector Appliance zugreifen muss:
| Service | Port | Unterstütztes Domänenprotokoll | Konfigurationsdetails |
|---|---|---|---|
| DNS | 53 | TCP/UDP | Dieser Port muss für das lokale Setup offen sein. |
| NTP | 123 | UDP | Dieser Port muss für das lokale Setup offen sein. |
| HTTPS | 443 | TCP | Für die Connector Appliance ist ausgehender Zugriff auf diesen Port erforderlich. |
| HTTP | 3128 | TCP | Wenn die Connector Appliance als Proxy für Citrix Hypervisor-Updates eingerichtet ist, ist ein eingehender Zugriff auf diesen Port erforderlich |
Zum Konfigurieren der Connector Appliance müssen IT-Administratoren auf Port 443 (HTTPS) der Connector Appliance zugreifen können.
Hinweis: Sie müssen am Anfang der IP-Adresse
https://angeben.
Connector Appliance mit Active Directory
Für die Verwendung von Active Directory mit Connector Appliance sind zusätzliche Ports erforderlich. Die Connector Appliance erfordert eine ausgehende Verbindung zur Active Directory-Domäne über die folgenden Ports:
| Service | Port | Unterstütztes Domänenprotokoll |
|---|---|---|
| Kerberos | 88 | TCP/UDP |
| End Point Mapper (DCE/RPC Locator Service) | 135 | TCP |
| NetBIOS-Namensdienst | 137 | UDP |
| NetBIOS-Datagramm | 138 | UDP |
| NetBIOS-Sitzung | 139 | TCP |
| LDAP | 389 | TCP/UDP |
| SMB über TCP | 445 | TCP |
| Kerberos kpasswd | 464 | TCP/UDP |
| Globaler Katalog | 3268 | TCP |
| Dynamische RPC-Ports | 49152–65535 | TCP |
Cloud Connector
Alle Verbindungen werden vom Cloud Connector zur Cloud unter Verwendung des Standard-HTTPS-Ports (443) und des TCP-Protokolls hergestellt. Es werden keine eingehenden Verbindungen akzeptiert.
Cloud Connectors muss eine Verbindung zu Digicert herstellen können, um Zertifikatsperrprüfungen durchzuführen.
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Cloud Connectors | http://*.digicert.com |
HTTP | 80 | Regelmäßige Prüfungen der Zertifikatsperrliste |
https://*.digicert.com |
HTTPS | 443 | ||
https://dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | ||
https://dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 |
Die Liste der Adressen, die den meisten Citrix Cloud-Diensten gemeinsam sind, und deren Funktion finden Sie in der Produktdokumentation.
Citrix DaaS
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Virtual Delivery Agent | Gateway Service | TCP | 443 | Rendezvousprotokoll |
| Cloud Connectors | Cloud Connectors | Der Cloud-Connector fungiert als Proxy für den Delivery Controller. Alle Ports, die im Abschnitt Citrix Virtual Apps and Desktops für Delivery Controller aufgeführt sind, müssen ebenfalls berücksichtigt werden. | ||
| Cloud Connectors | Virtual Delivery Agent | TCP, UDP | 1494 | Zugriff auf Anwendungen und virtuelle Desktops durch ICA/HDX EDT erfordert 1494 für UDP. |
| TCP, UDP | 2598 | Zugriff auf Anwendungen und virtuelle Desktops durch ICA/HDX mit Sitzungszuverlässigkeit. EDT erfordert 2598 für UDP. | ||
| Der Cloud-Connector fungiert als Proxy für den Delivery Controller. Alle Ports, die im Abschnitt Citrix Virtual Apps and Desktops für Delivery Controller to VDA aufgeführt sind, müssen ebenfalls berücksichtigt werden. | ||||
| Dateiserver | TCP | 139,445 | Zugriff auf VDI, der als CSV-Mount-Punkte des Dateiservers | |
| Citrix Provisioning Server Konsole | Cloud Connectors | HTTPS | 443 | Integration von Provisioning Server mit Citrix Cloud Studio |
| Citrix Lizenzserver | Citrix Cloud | HTTPS | 443 | Integration von Citrix Lizenzserver mit Citrix Cloud |
| Citrix FAS-Server | Citrix Cloud | HTTPS | 443 | Verbindung zwischen Citrix FAS und Citrix Cloud |
| CVAD Remote PowerShell SDK | Citrix Cloud | HTTPS | 443 | Jedes System, das Skripts basierend auf dem CVAD Remote PowerShell SDK ausführt |
| Citrix Workspace-App | Virtual Delivery Agent | TCP, UDP | 1494 | Zugriff auf Anwendungen und virtuelle Desktops über ICA/HDX für direkte Workload-Verbindung, die den Citrix Gateway Service für internen Datenverkehr umgeht. |
| 2598 | Zugriff auf Anwendungen und virtuelle Desktops über ICA/HDX mit Sitzungszuverlässigkeit für direkte Workload-Verbindung, die den Citrix Gateway Service für internen Datenverkehr umgeht. |
Lesen Sie hiermehr über die Integration des Citrix Lizenzservers. Lesen Sie hiermehr über die Citrix Provisioning Server-Integration. Lesen Sie hiermehr über das CVAD Remote PowerShell SDK
Citrix Gateway Service
Standardmäßig dient Gateway Service als Proxy für HDX-Verbindungen über die Citrix Cloud Connectors. Das Rendezvous Protocol ändert jedoch den Fluss der HDX-Verbindungen, um den Virtual Delivery Agent unter Umgehung der Citrix Cloud Connectors direkt mit dem Gateway Service zu verbinden
Rendezvous-Protokoll und HDX Enlightened Data Transport Protocol (EDT)
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Virtual Delivery Agent | Gateway Service | UDP | 443 | EDT UDP über 443 an Gateway-Dienst |
Die Virtual Delivery Agents müssen https://*.nssvc.netZugriff auf alle Subdomains haben. Oder https://*.c.nssvc.net und https://*.g.nssvc.net.
Hinweis:
Wenn Sie EDT in Microsoft Azure verwenden, muss UDP in der Azure Network Security Group (NSG) definiert sein, die den Virtual Delivery Agent schützt
Lesen Sie hiermehr über die Anforderungen des Rendezvous-Protokolls und des HDX Enlightened Data Transport Protocol (EDT).
Citrix Sitzungsaufzeichnungsdienst
Unter dem folgenden Link finden Sie die Ports des Citrix Sitzungsaufzeichnungsdienstes — Konnektivitätsanforderungen
Citrix Workspace Environment Management Service
Unter dem folgenden Link finden Sie die Firewall-Portsdes Citrix Workspace Environment Management Service
Lesen Sie hiermehr über die Anforderungen des Citrix Workspace Environment Management Service
Citrix Endpoint Management
Unter dem folgenden Link finden Sie Informationen zu Citrix Endpoint Management (XenMobile) -Ports — Portanforderungen.
Citrix Gateway
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Citrix Gateway SNIP | LDAP-Server (Load Balancing) | TCP | 636 | LDAPS SSL-Verbindung |
| TCP | 3268 | LDAP-Verbindung mit Global Catalog | ||
| TCP | 3269 | LDAP-Verbindung zu Global Catalog über SSL | ||
| TCP | 389 | LDAP Klartext oder TLS | ||
| RADIUS-Server (Load Balancing) | UDP | 1813 | RADIUS-Buchhaltung | |
| UDP | 1645, 1812 | RADIUS-Verbindung | ||
| Sichere Ticketing Authority (STA) | TCP | 80, 8080, 443 | Secure Ticketing Authority (im XML-Dienst eingebettet) | |
| Virtual Delivery Agent | TCP, UDP | 1494 | Zugriff auf Anwendungen und virtuelle Desktops durch ICA/HDX EDT erfordert 1494 für UDP. | |
| TCP, UDP | 2598 | Zugriff auf Anwendungen und virtuelle Desktops durch ICA/HDX mit Sitzungszuverlässigkeit. EDT erfordert 2598 für UDP. | ||
| TCP, UDP | 443 | Zugriff auf Anwendungen und virtuelle Desktops durch ICA/HDX über TLS/DTLS. | ||
| UDP | 16500..16509 | ICA/HDX Audio über UDP Real-time Transport | ||
| StoreFront | TCP | 80, 443 | Citrix Gateway Kommunikation mit StoreFront | |
| Citrix Gateway Plug-In | VPN/CVAD | UDP | 3108, 3168, 3188 | Für VPN Tunnel mit sicheren ICA-Verbindungen |
| TCP, UDP | 3148, 3149, 3159 | Für VPN Tunnel mit sicheren ICA-Verbindungen | ||
| Admin-Arbeitsstation | Citrix Gateway | TCP | 80, 443 | HTTPS - GUI Administration |
| TCP | 22 | SSH-Zugang | ||
| Citrix Gateway | DNS | TCP, UDP | 53 | Kommunikation mit dem DNS-Server |
Weitere Informationen zu den erforderlichen Ports für Citrix Gateway im DMZ-Setup finden Sie unter CTX113250.
Hinweis:
Alle oben genannten Ports sind abhängig von Ihrer eigenen Konfiguration nicht obligatorisch.
Citrix Hypervisor
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Citrix Hypervisor | Citrix Hypervisor | TCP | 443 | Intrahost-Kommunikation zwischen Mitgliedern eines Ressourcenpools mit XenAPI |
| NTP-Dienst | TCP, UDP | 123 | Zeit-Synchronisierung | |
| DNS-Dienstdomänencontroller | TCP, UDP TCP | 53, 389 | DNS-Benutzerauthentifizierung bei Verwendung der Active Directory-Integration (LDAP) | |
| TCP | 636 | LDAP über SSL (LDAPS) | ||
| FileServer | TCP, UDP | 139 | ISOStore:NetBIOSSessionService | |
| TCP, UDP | 445 | ISOStore:Microsoft-DS | ||
| SAN-Controller | TCP | 3260 | iSCSI-Speicher | |
| NAS Head/ Dateiserver | TCP | 2049 | NFS-Speicher | |
| Syslog | TCP | 514 | Sendet Daten zum Zusammenstellen an einen zentralen Ort | |
| Clustering | TCP | 8892, 21064 | Kommunikation zwischen allen Poolmitgliedern in einem Clusterpool. | |
| UDP | 5404, 5405 | |||
| Admin-Workstation (XenCenter) | Citrix Hypervisor | TCP | 22 | SSH |
| TCP | 443 | Management mit XenAPI | ||
| Virtuelle Maschine | TCP | 5900 | VNC für Linux-Gäste | |
| TCP | 3389 | RDP für WindowsGuests |
Lesen Sie hiermehr über die Anforderungen für den Citrix Lizenzserver.
Hinweis:
Wenn FQDN anstelle von IP als Ressource verwendet wird, stellen Sie sicher, dass es auflösbar ist.
Citrix Lizenzserver
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Jede Citrix Komponente | Citrix Lizenzserver | TCP | 27000 | Behandelt den ersten Kontakt für Lizenzanfragen |
| TCP | 7279 | Einchecken/Auschecken von Citrix Lizenzen | ||
| Delivery Controller | Citrix Lizenzserver | TCP | 8082 | Web-basierte Verwaltungskonsole (Lmadmin.exe) |
| TCP | 8083 | Simple License Service Lizenzservice-Port (erforderlich für CVAD) | ||
| Admin-Arbeitsstation | Citrix Lizenzserver | TCP | 8082 | Web-basierte Verwaltungskonsole (Lmadmin.exe) |
| TCP | 8083 | Simple License Service Lizenzservice-Port (erforderlich für CVAD) | ||
| TCP | 80 | Lizenzierung des PowerShell-Snap-In-Dienstes |
Citrix SD-WAN
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| SD-WAN Standard und Enterprise Edition | SD-WAN Standard und Enterprise Edition | UDP | 4980 | Static Virtual Path und Dynamic Virtual Path Tunnels zwischen SD-WAN SE/EE-Geräten. |
| SD-WAN Center | TCP | 2156 | Meldung der Kommunikation zwischen SD-WAN Center und SD-WAN SE/EE-Geräten | |
| Citrix Cloud Zero Touch-Bereitstellungsservice | TCP | 443 | Authentifizierungskommunikation zwischen SD-WAN-Devices und Citrix Cloud Services | |
| RADIUS | TCP | 1812 | Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen dem SD-WAN SE/EE und dem externen Authentifizierungsserver von RADIUS. | |
| TACACS+ | TACACS | 49 | Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen SD-WAN SE/EE und dem externen Authentifizierungsserver TACACS. | |
| SNMP | UDP | 161, 162 | SNMP-Authentifizierung und Polling auf SD-WAN SE/EE-Geräte. | |
| NetFlow | UDP | 2055 | NetFlow Polling auf SD-WAN SE/EE Geräte. | |
| AppFlow (Citrix ADM) | TCP | 4739 | Für die AppFlow-Kommunikation zwischen Citrix ADM und SD-WAN SE/EE-Geräten. | |
| API | TCP | 80, 443 | Für die NITRO-API-Kommunikation mit SD-WAN SE/EE-Geräten. | |
| SD-WAN Center | Citrix Cloud Zero Touch-Bereitstellungsservice | TCP | 443 | Authentifizierungskommunikation zwischen SD-WAN-Devices und Citrix Cloud Services |
| SD-WAN WANOP Edition | SD-WAN WANOP Edition | TCP | – | SD-WAN WO Edition optimiert transparent den TCP-Verkehr zwischen zwei Standorten. Das ursprüngliche Quellziel und der Port bleiben in den Segmenten des Netzwerks unverändert. |
| API (Citrix ADM) | TCP | 80, 443 | Für NITRO-API-Kommunikation zwischen Citrix ADM und SD-WAN WANOP-Geräten. | |
| SSH (Citrix ADM) | TCP | 22 | Für die SSH-Kommunikation zwischen Citrix ADM und SD-WAN WANOP-Geräten. | |
| AppFlow (Citrix ADM) | TCP | 4739 | Für die AppFlow-Kommunikation zwischen Citrix ADM und SD-WAN WANOP-Geräten. | |
| Citrix ADM | ICMP | – | Für die Erreichbarkeit von Netzwerken zwischen Citrix ADM und SD-WAN WANOP-Geräten. | |
| RADIUS | TCP | 1812 | Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen SD-WAN WO und einem externen Authentifizierungsserver von RADIUS. | |
| TACACS+ | TACACS | 49 | Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen SD-WAN WO und dem externen Authentifizierungsserver TACACS. | |
| SNMP | UDP | 161, 162 | SNMP-Authentifizierung und Polling auf SD-WAN WO-Geräten. | |
| SD-WAN WANOP Edition (SSL-Beschleunigung aktiviert) | SD-WAN WANOP Edition (SSL-Beschleunigung aktiviert) | TCP | 443 | Die SD-WAN WO Edition-sichere Peering-Funktion verschlüsselt den Datenverkehr zwischen SD-WAN Peers. |
| Lokaler Citrix Orchestrator | 9.9.9.9 | UDP/TCP | 53 | DNS-Auflösung von relevanten Cloud-Dienstdomänen |
| SD-WAN Standard und Enterprise Edition | TCP | 443 | Kommunikation zwischen Orchestrator On-Premises und SD-WAN SE/EE-Geräten | |
| Citrix Cloud | TCP | 443 | Authentifizierungskommunikation mit Citrix Cloud-Diensten | |
| SD-WAN Standard und Enterprise Edition | SSH | 22 | Kommunikation zwischen Orchestrator On-Premises und SD-WAN SE/EE-Geräten |
Citrix Virtual Apps and Desktops
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Delivery Controller | Citrix Hypervisor-Ressourcenpool-Master | TCP | 80, 443 | Kommunikation mit der Citrix Hypervisor Infrastruktur |
| Microsoft SCVMM Server | TCP | 8100 | Kommunikation mit der Hyper-V-Infrastruktur | |
| VMware vCenter Server | TCP | 443 | Kommunikation mit vSphere-Infrastruktur | |
| Microsoft SQL Server | TCP | 1433 | Microsoft SQL Server | |
| Virtual Delivery Agent | TCP | 80 (Bidirektional) | Delivery Controller initiiert die Verbindung, wenn lokale Anwendungen erkannt oder Informationen über lokale Prozesse, Leistungsdaten usw. gesammelt werden. | |
| Director | TCP | 80, 443 | Kommunikation mit Citrix Director | |
| Delivery Controller | TCP | 80 | Kommunikation zwischen Delivery Controller | |
| TCP | 89 | Lokaler Hostcache (Diese Verwendung von Port 89 kann sich in zukünftigen Versionen ändern.) | ||
| TCP | 9095 | Orchestrierungsdienst | ||
| Citrix Director und Admin Workstation | Virtual Delivery Agent | TCP | 135,3389 | Kommunikation zwischen Citrix Director und Virtual Delivery Agent für Remoteunterstützung |
| TCP | 389 | LDAP-Hinweis: Für den Anmeldeschritt kontaktiert Citrix Director nicht den AD, sondern führt eine lokale Anmeldung mit der nativen Windows-API LoginUser durch (die möglicherweise intern eine Verbindung zum AD herstellt). | ||
| Citrix Workspace-App | StoreFront | TCP, UDP | 80,443 | Kommunikation mit StoreFront |
| Virtual Delivery Agent | TCP, UDP | 1494 | Zugriff auf Anwendungen und virtuelle Desktops über ICA/HDX für direkte Workload-Verbindung, die den Citrix Gateway Service für internen Datenverkehr umgeht. | |
| Virtual Delivery Agent | TCP, UDP | 2598 | Zugriff auf Anwendungen und virtuelle Desktops über ICA/HDX mit Sitzungszuverlässigkeit für direkte Workload-Verbindung, die den Citrix Gateway Service für internen Datenverkehr umgeht. | |
| UDP | 16500..16509 | Portbereich für UDP ICA/HDX Audio | ||
| Virtual Delivery Agent | Delivery Controller | TCP | 80 (Bidirektional) | Wird vom Prozess ‘WorkstationAgent.exe’ für die Kommunikation mit Delivery Controller verwendet. |
| Admin-Arbeitsstation | Director-Server | TCP | 80, 443 | Zugriff auf die Citrix Director-Site |
| Delivery Controller | TCP | 80, 443 | Bei Verwendung einer lokal installierten Citrix Studio-Konsole oder des SDK für den direkten Zugriff auf Delivery Controller. | |
| Virtual Delivery Agent | TCP, UDP | 49152..65535 | Dynamisch zugewiesener hoher Port, wenn eine Remoteunterstützungssitzung von einem Windows-Computer zu einem Virtual Delivery Agent initiiert wird. | |
| HdxVideo.js | Virtual Delivery Agent | TCP | 9001 | Der sichere WebSocket-Dienst HTML5-Videoumleitung und die Umleitung von Browserinhalten sind für die Weiterleitung von HTTPS-Websites erforderlich. WebSocketService.exe - wird auf dem lokalen System ausgeführt und führt SSL-Terminierung und Benutzersitzungszuordnung durch. TLS Secure WebSocket überwacht auf 127.0.0.1 an Port 9001. |
Lesen Sie hiermehr über die Anforderungen für den Citrix Lizenzserver.
Citrix App Layering
Unter dem folgenden Link finden Sie Citrix App Layering-Ports — Firewall-Ports.
Verbundauthentifizierungsdienst
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| StoreFront | FAS-Server | TCP | 80 | Um die Identitätsbehauptung des Benutzers zu senden. |
| FAS-Server | Microsoft Zertifizierungsstelle | TCP | 135 | Zertifikat anfordern |
| Virtual Delivery Agent | FAS-Server | TCP | 80 | Holt das Benutzerzertifikat vom FAS-Server. |
Provisioning Services
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Provisioning-Server | Provisioning-Server | UDP | 6890..6909 | Interserver-Kommunikation |
| Microsoft SQL Server | TCP | 1433 | Kommunikation mit Microsoft SQL Server | |
| Domänencontroller | TCP | 389 | Kommunikation mit Active Directory | |
| Zielgerät | UDP | 6901, 6902, 6905 | Zielgerät auf Citrix Provisioning-Kommunikation (nicht konfigurierbar) | |
| XenServer | TCP | 80, 443 | Kommunikation mit der XenServer-Hypervisor-Infrastruktur | |
| VMware vCenter Server | TCP | 443 | Kommunikation mit vSphere-Infrastruktur | |
| Microsoft Hyper-V | TCP | 8100 | Kommunikation mit der Hyper-V-Infrastruktur | |
| Microsoft Azure | TCP | 443 | Kommunikation mit der Azure-Infrastruktur | |
| Google Cloud Platform | TCP | 443 | Kommunikation mit der Google Cloud-Infrastruktur | |
| Zielgerät | Broadcast/DHCPServer | UDP | 66, 67 | Nur DHCP-Optionen: Abrufen von Netzwerkboot-DHCP-Optionen 66-TFTP-Servername (Bootstrap Protocol Server) und 67-Boot-Dateiname (Bootstrap Protocol Client). |
| Broadcast/PXEService | UDP | 69 | Trivial File Transfer (TFTP) für Bootstrap-Lieferung | |
| TFTP-Server | UDP | 6910 | Anmeldung für Zielgeräte bei Provisioning Services | |
| Provisioning-Server | UDP | 6910..6930 | Streaming virtueller Datenträger (Streaming Service) (konfigurierbar) | |
| UDP | 6901, 6902, 6905 | Zielgerät auf Citrix Provisioning-Kommunikation (nicht konfigurierbar) | ||
| UDP | 6969, 2071 | Nur BDM: Two Stage Boot (BDM). Wird nur beim Booten von ISO- oder USB-Szenarien verwendet. | ||
| TCP | 54321..54323 | SOAP Service — Wird von Imaging Wizards verwendet | ||
| Admin-Arbeitsstation | Provisioning-Server | TCP | 54321..54323 | SOAP Service — Wird von Console und APIs verwendet (MCLI, PowerShell usw.) |
| Delivery Controller | TCP | 80 | Bei Verwendung von On-Prem CVAD - wird von Konsolenassistenten beim Erstellen von Broker-Katalogen verwendet | |
| CVAD-Dienst | TCP | 443 | Bei Verwendung von CVADS - wird von Konsolenassistenten beim Erstellen von Broker-Katalogen verwendet |
Universeller Druckserver
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Virtual Delivery Agent | Universeller Druckserver | UDP | 7229 | Universal Print Server Druckdatenstrom (CGP) Port (konfigurierbar) |
| Virtual Delivery Agent | Universeller Druckserver | TCP | 8080 | Port für den Universal Print Server-Webdienst (HTTP/SOAP) (konfigurierbar) |
Remote-PC-Zugriff
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Admin-Arbeitsstation | Virtual Delivery Agent | UDP | 9 | Wake-on-LAN für Remote-PC-Access-Energieverwaltung |
| WOL Proxy | Virtual Delivery Agent | TCP | 135 | Wake Up Proxy für Remote-PC-Zugriff Energieverwaltung |
Hinweis:
Remote-PC-Zugriff verwendet dieselben Virtual Delivery Agent-Ports wie normale virtuelle Desktops
Sitzungsaufzeichnung
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Virtual Delivery Agent | Sitzungsaufzeichnungsserver | TCP | 80, 443 | Kommunikation zwischen dem Sitzungsaufzeichnungsagent, der auf dem Virtual Delivery Agent installiert ist, für die Verbindung zum Sitzungsaufzeichnungsserver. Die Standardinstallation verwendet HTTPS/SSL, um die Kommunikation zu sichern. Wenn SSL nicht konfiguriert ist, verwenden Sie HTTP. |
| Richtlinienkonsole für die Sitzungsaufzeichnung | Sitzungsaufzeichnungsserver | TCP | 80, 443 | Kommunikation zwischen Server, auf dem die Richtlinienkonsole für die Sitzungsaufzeichnung installiert ist, und dem |
| Sitzungsaufzeichnungsplayer | Sitzungsaufzeichnungsserver | TCP | 80, 443 | Kommunikation zwischen der Workstation, auf der der Session Recording Player installiert ist, und dem Sitzungsaufzeichnungsserver. |
StoreFront
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Benutzer-Gerät | StoreFront-Server | TCP | 80, 443 | Herstellen einer Verbindung mit dem auf StoreFront-Server gehosteten |
| StoreFront-Server | Domänencontroller | TCP, UDP | 389 | LDAP-Verbindung zur Abfrage von benutzerfreundlichen Namen und E-Mail-Adressen |
| TCP, UDP | 88 | Kerberos | ||
| TCP, UDP | 464 | Natives Windows-Authentifizierungsprotokoll, mit dem Benutzer abgelaufene Kennwörter ändern können | ||
| StoreFront-Server | TCP | Zufällig ausgewählter nicht reservierter Port pro Dienst. Scrollen Sie bis zum Ende dieser Tabelle, um Firewalls zu konfigurieren, wenn Sie StoreFront in einem eigenen Netzwerk platzieren. | Wird für Peer-to-Peer-Dienste verwendet (Credential Wallet, Subscriptions Store (1 pro Store). Dieser Dienst verwendet MS .Net NetPeerTcpBinding, das einen zufälligen Port auf jedem Server zwischen den Peers aushandelt. Wird nur für die Kommunikation innerhalb des Clusters verwendet. | |
| TCP | 808 | Wird für Abonnement-Replikationsdienste verwendet. Standardmäßig nicht installiert. Wird verwendet, um Abonnements zwischen zugehörigen Clustern zu replizieren | ||
| Delivery Controller, XenMobile | TCP | 80, 443 | Für Anwendungs- und Desktop-Anfragen. | |
| Citrix ADC | TCP | 8000 | Für den Monitoring Service, der vom Citrix ADC Load Balancer verwendet wird. | |
| StoreFront | Citrix Gateway | TCP | 443 | Callback URL um Citrix Gateway von StoreFront zu erreichen |
Verwenden Sie die folgenden Informationen für die Konfiguration von Firewalls, wenn Sie StoreFront in einem eigenen Netzwerk platzieren:
- Lokalisieren Sie die Konfigurationsdateien:
C:\Program Files\Citrix\Receiver StoreFront\Services\SubscriptionsStoreService\Citrix.DeliveryServices.SubscriptionsStore.ServiceHost.exe.configC:\Program Files\Citrix\Receiver StoreFront\Services\CredentialWallet\Citrix.DeliveryServices.CredentialWallet.ServiceHost.exe.config
-
Bearbeiten Sie beide Konfigurationsdateien, indem Sie die Werte für Endpunkt-URIs ändern.
Zum Beispiel -
<endpoint uri="net.p2p://CitrixCredentialWalletReplication">damit jede Adresse, die mitnet.p2p://beginnt, den Port enthält. Sie sollten am Ende<endpoint uri="net.p2p://CitrixCredentialWalletReplication:93”>haben und<endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store">wird<endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store:93">und so weiter für alle anderen net.p2p-Adressen. - Starten Sie den Subscriptions Store und die Credential Wallet neu.
- Die lokale Firewall enthält Regeln für das Zulassen des Zugriffs pro Anwendung, sodass sie nicht nach Port gesperrt ist.
Workspace Environment Management
| Quelle | Ziel | Typ | Port | Details |
|---|---|---|---|---|
| Infrastrukturdienst | Agenthost | TCP | 49752 | “Agentport”. Listeningport auf dem Agenthost, der Anweisungen vom Infrastrukturdienst empfängt. |
| Verwaltungskonsole | Infrastrukturdienst | TCP | 8284 | “Administrationsport”. Port, auf dem die Verwaltungskonsole eine Verbindung zum Infrastrukturdienst herstellt. |
| Agent | Infrastrukturdienst | TCP | 8286 | “Agent-Dienstport”. Port, an dem der Agent eine Verbindung zum Infrastrukturserver herstellt. |
| Agent-Cache-Synchronisierungsprozess | Infrastrukturdienst | TCP | 8285 | “Cache-Synchronisationsport”. Gilt für Workspace Environment Management 1909 und früher; ersetzt durch den Port für die zwischengespeicherte Datensynchronisierung in Workspace Environment Management 1912 und höher. Port, auf dem der Agent-Cachesynchronisierungsprozess eine Verbindung zum Infrastrukturdienst herstellt, um den Agent-Cache mit dem Infrastrukturserver zu synchronisieren. |
| TCP | 8288 | “Zwischengespeicherter Datensynchronisationsport”. Anwendbar für Workspace Environment Management 1912 und höher; ersetzt den Cache-Synchronisationsport von Workspace Environment Management 1909 und früher. Port, auf dem der Agent-Cachesynchronisierungsprozess eine Verbindung zum Infrastrukturdienst herstellt, um den Agent-Cache mit dem Infrastrukturserver zu synchronisieren. | ||
| Überwachung des Dienstes | Infrastrukturdienst | TCP | 8287 | “WEM-Überwachungsanschluss”. Listening-Port auf dem vom Überwachungsdienst verwendeten Infrastrukturserver. (Noch nicht implementiert.) |
| Infrastrukturdienst | Microsoft SQL Server | TCP | 1433 | So stellen Sie eine Verbindung mit WEM-Datenbank |
| Citrix Lizenzserver | TCP | 27000 | “Port des Citrix Lizenzservers”. Der Port, auf dem der Citrix License Server wartet und mit dem der Infrastrukturdienst dann eine Verbindung herstellt, um die Lizenzierung zu überprüfen. | |
| TCP | 7279 | Der Port, der von der dedizierten Citrix-Komponente (Daemon) im Citrix Lizenzserver verwendet wird, um die Lizenzierung zu überprüfen. |
Lesen Sie hiermehr über die Anforderungen von Citrix Workspace Environment Management
Lesen Sie hiermehr über die Anforderungen für den Citrix Lizenzserver.
CSV-Datei
Wir möchten Ihnen eine CSV-Datei der Citrix Communication Ports zur Verfügung stellen, die Sie für Ihre eigenen Bedürfnisse verwenden können.