Tech Paper: Von Citrix Technologies verwendete Kommunikationsports

Dieser Artikel bietet einen Überblick über allgemeine Ports, die von Citrix Komponenten verwendet werden und als Teil der Netzwerkarchitektur betrachtet werden müssen, insbesondere wenn der Kommunikationsverkehr Netzwerkkomponenten wie Firewalls oder Proxy-Server durchläuft, auf denen Ports geöffnet werden müssen, um den Kommunikationsfluss zu gewährleisten.

Je nach Bereitstellung und Anforderungen müssen nicht alle Ports offen sein.

NetScaler SDX

Quelle Ziel Typ Port Details
Admin-Arbeitsstation NetScaler SDX macht das Management einfach TCP 80, 443 HTTP oder HTTPS - GUI Administration
  NetScaler SDX SVM TCP 80, 443 HTTP oder HTTPS — GUI- und NITRO-Kommunikation
    TCP 22 SSH/SCP-Zugriff
  NetScaler SDX Hypervisor TCP 22 SSH/SCP-Zugriff
NetScaler SDX SVM NetScaler-Instanz TCP 80, 443 HTTP oder HTTPS — GUI- und NITRO-Kommunikation
    TCP 22 SSH/SCP-Zugriff
    ICMP   Verwenden des ICMP-Protokolls zur Überprüfung der Instanzverfügbarkeit
  NTP-Server UDP 123 Standard-NTP-Serverport für die Synchronisierung mit mehreren Zeitquellen
NetScaler NSIP NetScaler SDX SVM SNMP 161, 162 SNMP-Ereignisse/Traps von ADC-Instanzen zur SDX SVM
    ICMP   Verwenden des ICMP-Protokolls zur Überprüfung der Instanzverfügbarkeit

NetScaler

Quelle Ziel Typ Port Details
NetScaler NSIP NetScaler Appliances bei der Clustereinrichtung UDP 7000 Cluster-Heartbeat-Austausch
  NetScaler Appliance (für hohe Verfügbarkeit) UDP 3003 Austausch von Hallo-Paketen zur Kommunikation des UP/DOWN-Status (Heartbeat)
  NetScaler Appliance (für hohe Verfügbarkeit) TCP 3008 Sichere Hochverfügbarkeits-Konfigurationssynchronisierung
  NetScaler Appliance (für globales Standort-Load-Balancing) TCP 3009 Für sicheren MEP.
  NetScaler Appliance (für hohe Verfügbarkeit) TCP 3010 Nicht sichere Konfigurationssynchronisierung mit hoher Verfügbarkeit.
  NetScaler Appliance (für globales Standort-Load-Balancing) TCP 3011 Für unsicheren MEP.
  NetScaler ADM-Einheit UDP 162 Traps vom ADC zum NetScaler ADM Center
  NetScaler Appliance (für hohe Verfügbarkeit) TCP 22 Wird vom rsync-Prozess während der Dateisynchronisierung im Hochverfügbarkeits-Setup verwendet
  DNS-Server TCP, UDP 53 DNS-Namensauflösung
  NTP-Server UDP 123 Standard-NTP-Serverport für die Synchronisierung mit mehreren Zeitquellen
  Signatur-URL der Anwendungsfirewall TCP 443 Gehostete Signaturupdates auf AWS
  URL der Bot-Management-Signatur TCP 443 Gehostete Signaturupdates auf AWS
  ADC Lights-Out Management TCP 4001, 5900, 623 Daemon, der ein vollständiges und einheitliches Konfigurationsmanagement aller Routing-Protokolle bietet
  LDAP-Server TCP 636 LDAP-SSL-Verbindung
    TCP 3268 LDAP-Verbindung mit Global Catalog
    TCP 3269 LDAP-Verbindung zu Global Catalog über SSL
    TCP 389 LDAP Klartext oder TLS
  RADIUS-Server UDP 1813 RADIUS-Buchhaltung
    UDP 1645, 1812 RADIUS-Verbindung
  Thales HSM TCP 9004 RFS und Thales HSM
NetScaler NSIP NetScaler ADM UDP 4739 Für AppFlow-Kommunikation
    SNMP 161, 162 So senden Sie SNMP-Ereignisse/Traps
    Syslog 514 So empfangen Sie Syslog-Nachrichten in NetScaler ADM
NetScaler-SNIP NetScaler ADM TCP 5563 Für ADC-Metriken (Zähler), Systemereignisse und Überwachungsprotokollmeldungen von NetScaler an NetScaler ADM.
    TCP 5557, 5558 Für die Logstream-Kommunikation von NetScaler an NetScaler ADM.
Admin-Arbeitsstation NetScaler NSIP TCP 80, 443 HTTP oder HTTPS - GUI Administration
    TCP 22 SSH-Zugang

Hinweis:

Je nach NetScaler-Konfiguration kann der Netzwerkverkehr von SNIP-, MIP- oder NSIP-Schnittstellen stammen. Wenn Sie NetScalers im Hochverfügbarkeitsmodus konfiguriert haben, verwendet NetScaler ADM die NetScaler-Subnetz-IP-Adresse (Management SNIP) für die Kommunikation mit NetScaler.

Link zu Firewall-Signaturen der Anwendung

Link zu Bot-Management

NetScaler ADM

Quelle Ziel Typ Port Details
NetScaler ADM NetScaler NSIP TCP 80, 443 Für NITRO-Kommunikation
    TCP 22 Für SSH-Kommunikation
    ICMP Kein reservierter Port Zur Erkennung der Netzwerkerreichbarkeit zwischen NetScaler ADM- und ADC-Instanzen oder dem sekundären NetScaler ADM-Server, der im Hochverfügbarkeitsmodus bereitgestellt wird.
  NetScaler ADM TCP 22 Für die Synchronisierung zwischen NetScaler ADM-Servern, die im Hochverfügbarkeitsmodus bereitgestellt werden.
    TCP 5454 Standardport für die Kommunikation und Datenbanksynchronisierung zwischen NetScaler ADM Knoten im Hochverfügbarkeitsmodus.
  Benutzer TCP 25 So senden Sie SMTP-Benachrichtigungen von NetScaler ADM an Benutzer.
  LDAP externer Authentifizierungsserver TCP 389, 636 Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen NetScaler ADM und dem externen LDAP-Authentifizierungsserver.
  NTP-Server UDP 123 Standard-NTP-Serverport zur Synchronisierung mit mehreren Zeitquellen.
  RADIUS externer Authentifizierungsserver RADIUS 1812 Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen NetScaler ADM und dem externen RADIUS-Authentifizierungsserver.
  TACACS externer Authentifizierungsserver TACACS 49 Standardport für Authentifizierungsprotokoll. Für die Kommunikation zwischen NetScaler ADM und dem externen TACACS Authentifizierungsserver.
NetScaler/CPX-Instanz NetScaler ADM-Lizenzserver/-Agent TCP 27000 Lizenzport für die Kommunikation zwischen NetScaler ADM-Lizenzserver/-Agent und ADC/CPX-Instanz.
    TCP 7279 Port für Citrix Vendor Daemon.
  NetScaler ADM UDP 5005 Port zum Austausch von Heartbeats zwischen HA-Knoten.
  NetScaler-SNIP TCP 161 So senden Sie SNMP-Ereignisse
NetScaler NSIP NetScaler ADM UDP 162 So empfangen Sie SNMP-Traps von NetScaler
    UDP 4739 So erhalten Sie ADC-Analytics-Protokolldaten mit dem IPFIX-Protokoll
    UDP 514 So empfangen Sie Syslog-Nachrichten von NetScaler ADM
NetScaler-SNIP NetScaler ADM TCP 5563 So empfangen Sie ADC-Metriken (Zähler), Systemereignisse und Audit-Log-Nachrichten von NetScaler-Instanz an NetScaler ADM
    TCP 5557, 5558 Für die Logstream-Kommunikation (für Security Insight, Web Insight und HDX Insight) von NetScaler
NetScaler ADM NetScaler ADM-Agent TCP 443, 7443, 8443 Port für die Kommunikation zwischen NetScaler Agent und NetScaler ADM

Hinweis:

Wenn Sie NetScalers im Hochverfügbarkeitsmodus konfiguriert haben, verwendet NetScaler ADM die NetScaler-Subnetz-IP-Adresse (Management SNIP) für die Kommunikation mit NetScaler.

CTX124386 beschreibt, wie die Quelle geändert wird, um Syslog-Nachrichten an ADM zu kommunizieren, vom NSIP zum SNIP

Citrix Cloud

Die einzige Citrix-Komponente, die als Kommunikationskanal zwischen Citrix Cloud und Ihren Ressourcenstandorten benötigt wird, ist ein Connector. Dieser Connector kann je nach Anwendungsfall eine Connector Appliance oder ein Cloud Connector sein. Weitere Informationen darüber, welchen Connector Sie benötigen, finden Sie unter Ressourcentypen.

Connector Appliance

Nach der Installation initiiert die Connector Appliance die Kommunikation mit Citrix Cloud über eine ausgehende Verbindung. Alle Verbindungen werden von der Connector Appliance zur Cloud über den HTTPS-Standardport (443) und per TCP-Protokoll hergestellt. Es sind keine eingehenden Verbindungen zugelassen.

Dies ist eine Liste der Ports, auf die die Connector Appliance zugreifen muss:

Service Port Unterstütztes Domänenprotokoll Konfigurationsdetails
DNS 53 TCP/UDP Dieser Port muss für das lokale Setup offen sein.
NTP 123 UDP Dieser Port muss für das lokale Setup offen sein.
HTTPS 443 TCP Für die Connector Appliance ist ausgehender Zugriff auf diesen Port erforderlich.

Zum Konfigurieren der Connector Appliance müssen IT-Administratoren auf Port 443 (HTTPS) der Connector Appliance zugreifen können.

Hinweis: Sie müssen am Anfang der IP-Adresse https:// angeben.

Connector Appliance mit Active Directory

Für die Verwendung von Active Directory mit Connector Appliance sind zusätzliche Ports erforderlich. Die Connector Appliance erfordert eine ausgehende Verbindung zur Active Directory-Domäne über die folgenden Ports:

Service Port Unterstütztes Domänenprotokoll
Kerberos 88 TCP/UDP
End Point Mapper (DCE/RPC Locator Service) 135 TCP
NetBIOS-Namensdienst 137 UDP
NetBIOS-Datagramm 138 UDP
NetBIOS-Sitzung 139 TCP
LDAP 389 TCP/UDP
SMB über TCP 445 TCP
Kerberos kpasswd 464 TCP/UDP
Globaler Katalog 3268 TCP
Dynamische RPC-Ports 49152..65535 TCP

Cloud Connector

Alle Verbindungen werden vom Cloud Connector zur Cloud unter Verwendung des Standard-HTTPS-Ports (443) und des TCP-Protokolls hergestellt. Es werden keine eingehenden Verbindungen akzeptiert.

Cloud Connectors muss eine Verbindung zu Digicert herstellen können, um Zertifikatsperrprüfungen durchzuführen.

Quelle Ziel Typ Port Details
Cloud Connectors http://*.digicert.com HTTP 80 Regelmäßige Prüfungen der Zertifikatsperrliste
  https://*.digicert.com HTTPS 443  
  https://dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt HTTPS 443  
  https://dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt HTTPS 443  

Die Liste der Adressen, die den meisten Citrix Cloud-Diensten gemeinsam sind, und deren Funktion finden Sie in der Produktdokumentation.

Citrix DaaS

Quelle Ziel Typ Port Details
Virtual Delivery Agent Gateway Service TCP, UDP 443 Rendezvous-Protokoll.
Cloud Connectors Cloud Connectors TCP 80 Die Kommunikation zwischen Delivery Controllern ist über WCF gesichert.
    TCP 89 Lokaler Host-Cache, gesichert über WCF.
    TCP 9095 Der Orchestrierungsdienst ist über WCF gesichert.
Cloud Connectors XenServer-Ressourcenpool-Master TCP 80, 443 Kommunikation mit der XenServer-Infrastruktur.
  Microsoft SCVMM Server TCP 8100 Kommunikation mit der Microsoft SCVMM/Hyper-V-Infrastruktur.
  VMware vCenter Server TCP 443 Kommunikation mit der VMware vSphere-Infrastruktur.
  Nutanix AHV TCP 9440 Kommunikation mit der Nutanix AHV-Infrastruktur.
Cloud Connectors Virtual Delivery Agent TCP, UDP 1494 Zugriff auf Anwendungen und virtuelle Desktops durch ICA/HDX EDT erfordert 1494 für UDP.
    TCP 80 Citrix VDA-Registrierung mit dem Citrix Cloud Connector, gesichert über WCF. Die Kommunikation muss bidirektional sein.
    TCP, UDP 2598 Zugriff auf Anwendungen und virtuelle Desktops durch ICA/HDX mit Sitzungszuverlässigkeit. EDT erfordert 2598 für UDP.
Cloud Connectors WEM-Agent TCP 49752 “Agent Port”. Listening-Port auf dem Agent-Host, der über WCF gesicherte Anweisungen vom Cloud Connector empfängt.
Cloud Connectors Dateiserver TCP 139,445 Zugriff auf VDI, das als CSV-Mount-Points für Dateiserver fungiert.
Cloud Connectors Citrix FAS-Server TCP 80 Senden Sie Assertion Identitätsbestätigung des Benutzers, gesichert über WCF.
Citrix Provisioning Server Konsole Cloud Connectors HTTPS 443 Integration des Provisioning Servers mit Citrix Cloud Studio.
Citrix Lizenzserver Citrix Cloud HTTPS 443 Integration des Citrix Lizenzservers mit Citrix Cloud.
Citrix FAS-Server Citrix Cloud HTTPS 443 Verbindung zwischen Citrix FAS und Citrix Cloud.
Citrix DaaS Remote PowerShell-SDK Citrix Cloud HTTPS 443 Jedes System, auf dem Skripts ausgeführt werden, die auf dem Citrix DaaS Remote PowerShell-SDK basieren.
Citrix Workspace-App Virtual Delivery Agent TCP, UDP 1494 Zugriff auf Anwendungen und virtuelle Desktops über ICA/HDX für Direct Workload Connection, die den Citrix Gateway Service für internen Datenverkehr umgeht.
    TCP, UDP 2598 Zugriff auf Anwendungen und virtuelle Desktops über ICA/HDX mit Sitzungszuverlässigkeit für direkte Workload-Verbindung, die den Citrix Gateway Service für internen Datenverkehr umgeht.
WEM-Agent Cloud Connectors TCP 8080 Port, auf dem der on-premises Agent eine Verbindung zum Cloud Connector herstellt. Dieser Port ist für ausgehende LAN-Verbindungen (Local Area Network) verfügbar. Nachrichten über den Port werden mit Sicherheitsfunktionen auf Nachrichtenebene der Windows Communication Foundation (WCF) gesichert.
  Citrix WEM-Dienst HTTPS 443 Port, auf dem der on-premises Agent eine Verbindung zum WEM Service in Citrix Cloud herstellt. Dieser Port ist für ausgehende Internetverbindungen verfügbar.

Lesen Sie hiermehr über die Integration des Citrix Lizenzservers.

Lesen Sie hiermehr über die Integration von Citrix Provisioning Server.

Lesen Sie hier mehr über das Citrix DaaS Remote PowerShell SDK.

Citrix Gateway Service

Standardmäßig dient Gateway Service als Proxy für HDX-Verbindungen über die Citrix Cloud Connectors. Das Rendezvous Protocol ändert jedoch den Fluss der HDX-Verbindungen, um den Virtual Delivery Agent unter Umgehung der Citrix Cloud Connectors direkt mit dem Gateway Service zu verbinden

Rendezvous-Protokoll und HDX Enlightened Data Transport Protocol (EDT)

Quelle Ziel Typ Port Details
Virtual Delivery Agent Gateway Service UDP 443 EDT UDP über 443 an Gateway-Dienst

Die Virtual Delivery Agents müssen https://*.nssvc.netZugriff auf alle Subdomains haben. Oder https://*.c.nssvc.net und https://*.g.nssvc.net.

Hinweis:

Wenn Sie EDT in Microsoft Azure verwenden, muss UDP in der Azure Network Security Group (NSG) definiert sein, die den Virtual Delivery Agent schützt

Lesen Sie hiermehr über die Anforderungen des Rendezvous-Protokolls und des HDX Enlightened Data Transport Protocol (EDT).

Citrix Sitzungsaufzeichnungsdienst

Unter dem folgenden Link finden Sie die Ports des Citrix Sitzungsaufzeichnungsdienstes — Konnektivitätsanforderungen

Citrix Endpoint Management

Unter dem folgenden Link finden Sie Citrix Endpoint Management (XenMobile) Ports — Portanforderungen.

NetScaler Gateway

Quelle Ziel Typ Port Details
NetScaler Gateway-SNIP LDAP-Server (Load Balancing) TCP 636 LDAPS SSL-Verbindung
    TCP 3268 LDAP-Verbindung mit Global Catalog
    TCP 3269 LDAP-Verbindung zu Global Catalog über SSL
    TCP 389 LDAP Klartext oder TLS
  RADIUS-Server (Load Balancing) UDP 1813 RADIUS-Buchhaltung
    UDP 1645, 1812 RADIUS-Verbindung
  Sichere Ticketing Authority (STA) TCP 80, 8080, 443 Secure Ticketing Authority (im XML-Dienst eingebettet)
  Virtual Delivery Agent TCP, UDP 1494 Zugriff auf Anwendungen und virtuelle Desktops durch ICA/HDX EDT erfordert 1494 für UDP.
    TCP, UDP 2598 Zugriff auf Anwendungen und virtuelle Desktops durch ICA/HDX mit Sitzungszuverlässigkeit. EDT erfordert 2598 für UDP.
    TCP, UDP 443 Zugriff auf Anwendungen und virtuelle Desktops durch ICA/HDX über TLS/DTLS.
    UDP 16500..16509 ICA/HDX Audio über UDP Real-time Transport
  StoreFront TCP 80, 443 NetScaler Gateway Kommunikation mit StoreFront
NetScaler Gateway Plug-In VPN/CVAD UDP 3108, 3168, 3188 Für VPN Tunnel mit sicheren ICA-Verbindungen
    TCP, UDP 3148, 3149, 3159 Für VPN Tunnel mit sicheren ICA-Verbindungen
Admin-Arbeitsstation NetScaler Gateway TCP 80, 443 HTTPS - GUI Administration
    TCP 22 SSH-Zugang
NetScaler Gateway DNS TCP, UDP 53 Kommunikation mit dem DNS-Server

Weitere Informationen zu den erforderlichen Ports für NetScaler Gateway im DMZ-Setup finden Sie unter CTX113250.

Hinweis:

Alle oben genannten Ports sind abhängig von Ihrer eigenen Konfiguration nicht obligatorisch.

Sicherer privater Zugriff für on-premises (Secure Private Access-Plugin)

Quelle Ziel Typ Port Details
Admin-Arbeitsstation Plug-in für sicheren privaten Zugriff HTTPS 4443 Secure Private Access-Plugin - Admin-Konsole
Plug-in für sicheren privaten Zugriff NTP-Dienst TCP, UDP 123 Zeitsynchronisierung
  DNS-Dienst TCP, UDP 53 DNS-Suche
  Active Directory TCP, UDP 88 Kerberos
    TCP 389 LDAP über Klartext (LDAP)
    TCP 636 LDAP über SSL (LDAPS)
  Microsoft SQL Server TCP 1433 Secure Private Access-Plugin - Datenbankkommunikation
  StoreFront HTTPS 443 Validierung der Authentifizierung
  NetScaler Gateway HTTPS 443 NetScaler Gateway-Rückruf
StoreFront NTP-Dienst TCP, UDP 123 Zeitsynchronisierung
  DNS-Dienst TCP, UDP 53 DNS-Suche
  Active Directory TCP, UDP 88 Kerberos
    TCP 389 LDAP über Klartext (LDAP)
    TCP 636 LDAP über SSL (LDAPS)
    TCP, UDP 464 Natives Windows-Authentifizierungsprotokoll, mit dem Benutzer abgelaufene Kennwörter ändern können
  Plug-in für sicheren privaten Zugriff HTTPS 443 Authentifizierung und Anwendungsaufzählung
  NetScaler Gateway HTTPS 443 NetScaler Gateway-Rückruf
NetScaler Gateway Plug-in für sicheren privaten Zugriff HTTPS 443 Validierung der Anwendungsautorisierung
  StoreFront HTTPS 443 Authentifizierung und Anwendungsaufzählung
  Webanwendungen HTTP, HTTPS 80, 443 NetScaler Gateway-Kommunikation mit konfigurierten Secure Private Access-Anwendungen (Ports können je nach Anwendungsanforderungen unterschiedlich sein)
Benutzer-Gerät NetScaler Gateway HTTPS 443 Kommunikation zwischen Endbenutzergerät und NetScaler Gateway

XenServer

Quelle Ziel Typ Port Details
Citrix Hypervisor Citrix Hypervisor TCP 443 Host-interne Kommunikation zwischen Mitgliedern eines Ressourcenpools über XenAPI
  NTP-Dienst TCP, UDP 123 Zeit-Synchronisierung
  DNS-Dienstdomänencontroller TCP, UDP TCP 53, 389 DNS-Benutzerauthentifizierung bei Verwendung der Active Directory-Integration (LDAP)
    TCP 636 LDAP über SSL (LDAPS)
  FileServer TCP, UDP 139 ISOStore:NetBIOSSessionService
    TCP, UDP 445 ISOStore:Microsoft-DS
  SAN-Controller TCP 3260 iSCSI-Speicher
  NAS Head/ Dateiserver TCP 2049 NFS-Speicher
  Syslog TCP 514 Sendet Daten zum Zusammenstellen an einen zentralen Ort
  Clustering TCP 8892, 21064 Kommunikation zwischen allen Poolmitgliedern in einem Clusterpool.
    UDP 5404, 5405  
Admin-Workstation (XenCenter) XenServer TCP 22 SSH
    TCP 443 Management mit XenAPI
  Virtuelle Maschine TCP 5900 VNC für Linux-Gäste
    TCP 3389 RDP für WindowsGuests

Lesen Sie hiermehr über die Anforderungen für den Citrix Lizenzserver.

Hinweis:

Wenn FQDN anstelle von IP als Ressource verwendet wird, stellen Sie sicher, dass es auflösbar ist.

Citrix Lizenzserver

Quelle Ziel Typ Port Details
Jede Citrix Komponente Citrix Lizenzserver TCP 27000 Behandelt den ersten Kontakt für Lizenzanfragen
    TCP 7279 Einchecken/Auschecken von Citrix Lizenzen
Delivery Controller Citrix Lizenzserver TCP 8082 Web-basierte Verwaltungskonsole (Lmadmin.exe)
    TCP 8083 Simple License Service Lizenzservice-Port (erforderlich für CVAD)
Admin-Arbeitsstation Citrix Lizenzserver TCP 8082 Web-basierte Verwaltungskonsole (Lmadmin.exe)
    TCP 8083 Simple License Service Lizenzservice-Port (erforderlich für CVAD)
    TCP 80 Lizenzierung des PowerShell-Snap-In-Dienstes
Citrix Lizenzserver https://cis.citrix.com HTTPS 443 Automatisierte Lizenztelemetrieberichterstattung von Citrix License

Citrix Virtual Apps and Desktops

Quelle Ziel Typ Port Details
Delivery Controller XenServer-Ressourcenpool-Master TCP 80, 443 Kommunikation mit der XenServer-Infrastruktur
  Microsoft SCVMM Server TCP 8100 Kommunikation mit der Hyper-V-Infrastruktur
  VMware vCenter Server TCP 443 Kommunikation mit vSphere-Infrastruktur
  Nutanix AHV TCP 9440 Kommunikation mit der Nutanix AHV-Infrastruktur
  Microsoft SQL Server TCP 1433 Microsoft SQL Server
  Virtual Delivery Agent TCP 80 (Bidirektional) Delivery Controller initiiert die Verbindung, wenn lokale Anwendungen erkannt oder Informationen über lokale Prozesse, Leistungsdaten usw. gesammelt werden.
  Delivery Controller TCP 80 Kommunikation zwischen Delivery Controller
    TCP 89 Lokaler Hostcache (Diese Verwendung von Port 89 kann sich in zukünftigen Versionen ändern.)
    TCP 9095 Orchestrierungsdienst
Director Delivery Controller TCP 80, 443 Kommunikation mit Citrix Delivery Controllern
Citrix Director und Admin Workstation Virtual Delivery Agent TCP 135,3389 Kommunikation zwischen Citrix Director und Virtual Delivery Agent für Remoteunterstützung
    TCP 389 LDAP-Hinweis: Für den Anmeldeschritt kontaktiert Citrix Director nicht den AD, sondern führt eine lokale Anmeldung mit der nativen Windows-API LoginUser durch (die möglicherweise intern eine Verbindung zum AD herstellt).
Citrix Workspace-App StoreFront TCP, UDP 80,443 Kommunikation mit StoreFront
  Virtual Delivery Agent TCP, UDP 1494 Zugriff auf Anwendungen und virtuelle Desktops über ICA/HDX für Direct Workload Connection, die den Citrix Gateway Service für internen Datenverkehr umgeht.
  Virtual Delivery Agent TCP, UDP 2598 Zugriff auf Anwendungen und virtuelle Desktops über ICA/HDX mit Sitzungszuverlässigkeit für direkte Workload-Verbindung, die den Citrix Gateway Service für internen Datenverkehr umgeht.
    UDP 16500.. 16509 (Bidirektional) Portbereich für UDP ICA/HDX Audio
Virtual Delivery Agent Delivery Controller TCP 80 (Bidirektional) Wird vom Prozess ‘WorkstationAgent.exe’ für die Kommunikation mit Delivery Controller verwendet.
Admin-Arbeitsstation Director-Server TCP 80, 443 Zugriff auf die Citrix Director-Site
  Delivery Controller TCP 80, 443 Bei Verwendung einer lokal installierten Citrix Studio-Konsole oder des SDK für den direkten Zugriff auf Delivery Controller.
  Virtual Delivery Agent TCP, UDP 49152..65535 Dynamisch zugewiesener hoher Port, wenn eine Remoteunterstützungssitzung von einem Windows-Computer zu einem Virtual Delivery Agent initiiert wird.
HdxVideo.js Virtual Delivery Agent TCP 9001 Der sichere WebSocket-Dienst HTML5-Videoumleitung und die Umleitung von Browserinhalten sind für die Weiterleitung von HTTPS-Websites erforderlich. WebSocketService.exe - wird auf dem lokalen System ausgeführt und führt SSL-Terminierung und Benutzersitzungszuordnung durch. TLS Secure WebSocket überwacht auf 127.0.0.1 an Port 9001.

Lesen Sie hiermehr über die Anforderungen für den Citrix Lizenzserver.

Citrix App Layering

Unter dem folgenden Link finden Sie Citrix App Layering-Ports — Firewall-Ports.

Verbundauthentifizierungsdienst

Quelle Ziel Typ Port Details
StoreFront FAS-Server TCP 80 Um die Identitätsbehauptung des Benutzers zu senden.
FAS-Server Microsoft Zertifizierungsstelle DCOM 135 Standardmäßig verwendet die Microsoft-Zertifizierungsstelle für den Zugriff DCOM. Beim Implementieren von Firewallsicherheit kann dies sehr komplex sein, daher bietet Microsoft die Möglichkeit, zu einem statischen TCP-Port zu wechseln. Weitere Informationen finden Sie unter Konfiguration von MS CA DCOM.
Virtual Delivery Agent FAS-Server TCP 80 Holt das Benutzerzertifikat vom FAS-Server.

Provisioning Services

Quelle Ziel Typ Port Details
Provisioning-Server Provisioning-Server UDP 6890..6909 Interserver-Kommunikation
  Microsoft SQL Server TCP 1433 Kommunikation mit Microsoft SQL Server
  Citrix Lizenzserver TCP 27000 “Port des Citrix Lizenzservers”. Der Port, auf dem der Citrix License Server wartet und mit dem der Infrastrukturdienst dann eine Verbindung herstellt, um die Lizenzierung zu überprüfen.
    TCP 7279 Der Port, der von der dedizierten Citrix-Komponente (Daemon) im Citrix Lizenzserver verwendet wird, um die Lizenzierung zu überprüfen.
  Domänencontroller TCP 389 Kommunikation mit Active Directory
  Zielgerät UDP 6901, 6902, 6905 Zielgerät auf Citrix Provisioning-Kommunikation (nicht konfigurierbar)
  Citrix Hypervisor TCP 80, 443 Kommunikation mit der Citrix Hypervisor Infrastruktur
  VMware vCenter Server TCP 443 Kommunikation mit vSphere-Infrastruktur
  Microsoft Hyper-V TCP 8100 Kommunikation mit der Hyper-V-Infrastruktur
  Microsoft Azure TCP 443 Kommunikation mit der Azure-Infrastruktur
  Google Cloud Platform TCP 443 Kommunikation mit der Google Cloud-Infrastruktur
Zielgerät Broadcast/DHCPServer UDP 66, 67 Nur DHCP-Optionen: Abrufen von Netzwerkboot-DHCP-Optionen 66-TFTP-Servername (Bootstrap Protocol Server) und 67-Boot-Dateiname (Bootstrap Protocol Client).
  Broadcast/PXEService UDP 69 Trivial File Transfer (TFTP) für Bootstrap-Lieferung
  TFTP-Server UDP 6910 Anmeldung für Zielgeräte bei Provisioning Services
  Provisioning-Server UDP 6910..6930 Streaming virtueller Datenträger (Streaming Service) (konfigurierbar)
    UDP 6901, 6902, 6905 Zielgerät auf Citrix Provisioning-Kommunikation (nicht konfigurierbar)
    UDP 6969, 2071 Nur BDM: Two Stage Boot (BDM). Wird nur beim Booten von ISO- oder USB-Szenarien verwendet.
    TCP 54321..54323 SOAP-Dienst — Wird von Imaging Wizards verwendet
Admin-Arbeitsstation Provisioning-Server TCP 54321..54323 SOAP-Dienst — Wird von der Konsole und APIs (MCLI, PowerShell usw.) verwendet
  Delivery Controller TCP 80 Bei Verwendung von On-Prem CVAD - wird von Konsolenassistenten beim Erstellen von Broker-Katalogen verwendet
  CVAD-Dienst TCP 443 Bei Verwendung von CVADS - wird von Konsolenassistenten beim Erstellen von Broker-Katalogen verwendet

Universeller Druckserver

Quelle Ziel Typ Port Details
Virtual Delivery Agent Universeller Druckserver UDP 7229 Universal Print Server Druckdatenstrom (CGP) Port (konfigurierbar)
Virtual Delivery Agent Universeller Druckserver TCP 8080 Port für den Universal Print Server-Webdienst (HTTP/SOAP) (konfigurierbar)

Remote-PC-Zugriff

Quelle Ziel Typ Port Details
Admin-Arbeitsstation Virtual Delivery Agent UDP 9 Wake-on-LAN für Remote-PC-Access-Energieverwaltung
WOL Proxy Virtual Delivery Agent TCP 135 Wake Up Proxy für Remote-PC-Zugriff Energieverwaltung

Hinweis:

Remote-PC-Zugriff verwendet dieselben Virtual Delivery Agent-Ports wie normale virtuelle Desktops

Sitzungsaufzeichnung

Quelle Ziel Typ Port Details
Virtual Delivery Agent Sitzungsaufzeichnungsserver TCP 80, 443 Kommunikation zwischen dem Sitzungsaufzeichnungsagent, der auf dem Virtual Delivery Agent installiert ist, für die Verbindung zum Sitzungsaufzeichnungsserver. Die Standardinstallation verwendet HTTPS/SSL, um die Kommunikation zu sichern. Wenn SSL nicht konfiguriert ist, verwenden Sie HTTP.
Richtlinienkonsole für die Sitzungsaufzeichnung Sitzungsaufzeichnungsserver TCP 80, 443 Kommunikation zwischen Server, auf dem die Richtlinienkonsole für die Sitzungsaufzeichnung installiert ist, und dem
Sitzungsaufzeichnungsplayer Sitzungsaufzeichnungsserver TCP 80, 443 Kommunikation zwischen der Workstation, auf der der Session Recording Player installiert ist, und dem Sitzungsaufzeichnungsserver.

StoreFront

Quelle Ziel Typ Port Details
Benutzer-Gerät StoreFront-Server TCP 80, 443 Herstellen einer Verbindung mit dem auf StoreFront-Server gehosteten
StoreFront-Server Domänencontroller TCP, UDP 389 LDAP-Verbindung zur Abfrage von benutzerfreundlichen Namen und E-Mail-Adressen
    TCP, UDP 88 Kerberos
    TCP, UDP 464 Natives Windows-Authentifizierungsprotokoll, mit dem Benutzer abgelaufene Kennwörter ändern können
  StoreFront-Server TCP Zufällig ausgewählter nicht reservierter Port pro Dienst. Scrollen Sie bis zum Ende dieser Tabelle, um Firewalls zu konfigurieren, wenn Sie StoreFront in einem eigenen Netzwerk platzieren. Wird für Peer-to-Peer-Dienste verwendet (Credential Wallet, Subscriptions Store (1 pro Store). Dieser Dienst verwendet MS .Net NetPeerTcpBinding, das einen zufälligen Port auf jedem Server zwischen den Peers aushandelt. Wird nur für die Kommunikation innerhalb des Clusters verwendet.
    TCP 808 Wird für Abonnement-Replikationsdienste verwendet. Standardmäßig nicht installiert. Wird verwendet, um Abonnements zwischen zugehörigen Clustern zu replizieren
  Delivery Controller, XenMobile TCP 80, 443 Für Anwendungs- und Desktop-Anfragen.
NetScaler StoreFront TCP 8000 Für den Monitoring Service, der vom NetScaler Load Balancer verwendet wird.
StoreFront NetScaler Gateway TCP 443 Callback URL um NetScaler Gateway von StoreFront zu erreichen

Verwenden Sie die folgenden Informationen für die Konfiguration von Firewalls, wenn Sie StoreFront in einem eigenen Netzwerk platzieren:

  1. Lokalisieren Sie die Konfigurationsdateien:
    • C:\Program Files\Citrix\Receiver StoreFront\Services\SubscriptionsStoreService\Citrix.DeliveryServices.SubscriptionsStore.ServiceHost.exe.config
    • C:\Program Files\Citrix\Receiver StoreFront\Services\CredentialWallet\Citrix.DeliveryServices.CredentialWallet.ServiceHost.exe.config
  2. Bearbeiten Sie beide Konfigurationsdateien, indem Sie die Werte für Endpunkt-URIs ändern.

    Zum Beispiel - <endpoint uri="net.p2p://CitrixCredentialWalletReplication"> also net.p2p:// enthält jede Adresse, die mit beginnt, den Port. Sie sollten am Ende mit <endpoint uri="net.p2p://CitrixCredentialWalletReplication:93"> und <endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store"> wird <endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store:93"> und so weiter für alle anderen net.p2p-Adressen.

  3. Starten Sie den Subscriptions Store und die Credential Wallet neu.
  4. Die lokale Firewall enthält Regeln für das Zulassen des Zugriffs pro Anwendung, sodass sie nicht nach Port gesperrt ist.

Workspace Environment Management

Quelle Ziel Typ Port Details
Infrastrukturdienst Agenthost TCP 49752 “Agentport”. Listeningport auf dem Agenthost, der Anweisungen vom Infrastrukturdienst empfängt.
Verwaltungskonsole Infrastrukturdienst TCP 8284 “Administrationsport”. Port, auf dem die Verwaltungskonsole eine Verbindung zum Infrastrukturdienst herstellt.
Agent Infrastrukturdienst TCP 8286 “Agent-Dienstport”. Port, an dem der Agent eine Verbindung zum Infrastrukturserver herstellt.
Agent-Cache-Synchronisierungsprozess Infrastrukturdienst TCP 8285 “Cache-Synchronisationsport”. Gilt für Workspace Environment Management 1909 und früher; ersetzt durch den Port für die zwischengespeicherte Datensynchronisierung in Workspace Environment Management 1912 und höher. Port, auf dem der Agent-Cachesynchronisierungsprozess eine Verbindung zum Infrastrukturdienst herstellt, um den Agent-Cache mit dem Infrastrukturserver zu synchronisieren.
    TCP 8288 “Zwischengespeicherter Datensynchronisationsport”. Anwendbar für Workspace Environment Management 1912 und höher; ersetzt den Cache-Synchronisationsport von Workspace Environment Management 1909 und früher. Port, auf dem der Agent-Cachesynchronisierungsprozess eine Verbindung zum Infrastrukturdienst herstellt, um den Agent-Cache mit dem Infrastrukturserver zu synchronisieren.
Überwachung des Dienstes Infrastrukturdienst TCP 8287 “WEM-Überwachungsanschluss”. Listening-Port auf dem vom Überwachungsdienst verwendeten Infrastrukturserver. (Noch nicht implementiert.)
Infrastrukturdienst Microsoft SQL Server TCP 1433 So stellen Sie eine Verbindung mit WEM-Datenbank
  Citrix Lizenzserver TCP 27000 “Port des Citrix Lizenzservers”. Der Port, auf dem der Citrix License Server wartet und mit dem der Infrastrukturdienst dann eine Verbindung herstellt, um die Lizenzierung zu überprüfen.
    TCP 7279 Der Port, der von der dedizierten Citrix-Komponente (Daemon) im Citrix Lizenzserver verwendet wird, um die Lizenzierung zu überprüfen.

Lesen Sie hiermehr über die Anforderungen von Citrix Workspace Environment Management

Lesen Sie hiermehr über die Anforderungen für den Citrix Lizenzserver.

Optimierung für Microsoft Teams

Quelle Ziel Typ Port Details
Clientgerät Teams Transport Relay UDP 3478 - 3481 Der Datenverkehr von Teams fließt über das Transport Relay. Kunden benötigen zusätzlich Zugriff auf die Adressbereiche: 3.107.64.0/18, 52.112.0.0/14, 52.120.0.0/14.
    TCP 443 Fallback für den Verkehrsfluss von Teams.

CSV-Datei

Wir möchten Ihnen eine CSV-Datei der Citrix Communication Ports zur Verfügung stellen, die Sie für Ihre eigenen Bedürfnisse verwenden können.

Tech Paper: Von Citrix Technologies verwendete Kommunikationsports