Portanforderungen

Damit Geräte und Apps mit XenMobile kommunizieren können, öffnen Sie bestimmte Ports in den Firewalls. Die folgenden Tabellen enthalten eine Liste der Ports, die geöffnet sein müssen.

Öffnen von Ports für NetScaler Gateway und XenMobile zum Verwalten von Apps

Öffnen Sie die folgenden Ports, damit Benutzer über NetScaler Gateway Verbindungen von Citrix Secure Hub, Citrix Receiver und dem NetScaler Gateway Plug-In zu den folgenden Komponenten herstellen können:

  • XenMobile
  • StoreFront
  • Citrix Virtual Apps and Desktops
  • Citrix Gateway Connector für Exchange ActiveSync
  • Andere interne Netzwerkressourcen, z. B. Intranet-Websites

Um Datenverkehr für Launch Darkly von NetScaler zu aktivieren, können Sie die in diesem Support Knowledge Center-Artikel aufgeführten IP-Adressen verwenden.

Weitere Informationen zu NetScaler Gateway finden Sie in der NetScaler Gateway-Dokumentation. Diese Dokumentation enthält Informationen zur NetScaler-IP-Adresse (NSIP), IP-Adresse des virtuellen Servers (VIP) und Subnetz-IP-Adresse (SNIP).

TCP-Port Beschreibung Quelle Ziel
21 oder 22 Dient zum Senden von Supportpaketen an einen FTP- oder SCP-Server. XenMobile FTP oder SCP-Server
53 (TCP und UDP) Wird für DNS-Verbindungen verwendet. NetScaler Gateway, XenMobile DNS-Server
80 NetScaler Gateway leitet die VPN-Verbindung mit der internen Netzwerksressource durch die zweite Firewall. Dies geschieht in der Regel, wenn Benutzer sich mit dem NetScaler Gateway Plug-In anmelden. NetScaler Gateway Intranet-Websites
80 oder 8080; 443 XML- und Secure Ticket Authority-Port (STA) für Enumeration, Ticketing und Authentifizierung. Citrix empfiehlt, Port 443 zu verwenden. XML-Netzwerkdatenverkehr mit StoreFront und Webinterface; NetScaler Gateway STA Virtuelle Apps oder Desktops
123 (TCP und UDP) Wird für Network Time Protocol-Dienste (NTP) verwendet. NetScaler Gateway; XenMobile NTP-Server
389 Wird für unsichere LDAP-Verbindungen verwendet. NetScaler Gateway; XenMobile LDAP-Authentifizierungsserver oder Microsoft-Active Directory
443 Wird für Verbindungen zwischen StoreFront und Citrix Receiver und zwischen Receiver für Web und Virtual Apps and Desktops verwendet. Internet NetScaler Gateway
443 Wird für Verbindungen mit XenMobile zur Bereitstellung von Web-, Mobil- und SaaS-Apps verwendet. Internet NetScaler Gateway
443 Wird für die allgemeine Gerätekommunikation mit XenMobile Server verwendet. XenMobile XenMobile
443 Wird für Verbindungen von mobilen Geräten zu XenMobile für die Registrierung verwendet. Internet XenMobile
443 Wird für Verbindungen von XenMobile zum Citrix Gateway Connector für Exchange ActiveSync verwendet. XenMobile Citrix Gateway Connector für Exchange ActiveSync
443 Wird für Verbindungen vom Citrix Gateway Connector für Exchange ActiveSync zu XenMobile verwendet. Citrix Gateway Connector für Exchange ActiveSync XenMobile
443 Wird für die Callback-URL in Bereitstellungen ohne Zertifikatauthentifizierung verwendet. XenMobile NetScaler Gateway
514 Wird für Verbindungen zwischen XenMobile und einem syslog-Server verwendet. XenMobile syslog-Server
636 Wird für sichere LDAP-Verbindungen verwendet. NetScaler Gateway; XenMobile LDAP-Authentifizierungsserver oder Active Directory
1494 Wird für ICA-Verbindungen mit Windows-basierten Anwendungen im internen Netzwerk verwendet. Citrix empfiehlt, diesen Port geöffnet zu lassen. NetScaler Gateway Virtuelle Apps oder Desktops
1812 Wird für RADIUS-Verbindungen verwendet. NetScaler Gateway RADIUS-Authentifizierungsserver
2598 Wird für Verbindungen mit Windows-basierten Anwendungen im internen Netzwerk unter Einsatz der Sitzungszuverlässigkeit verwendet. Citrix empfiehlt, diesen Port geöffnet zu lassen. NetScaler Gateway Virtuelle Apps oder Desktops
3268 Wird für unsichere LDAP-Verbindungen mit dem globalen Microsoft-Katalog verwendet. NetScaler Gateway; XenMobile LDAP-Authentifizierungsserver oder Active Directory
3269 Wird für sichere LDAP-Verbindungen mit dem globalen Microsoft-Katalog verwendet. NetScaler Gateway; XenMobile LDAP-Authentifizierungsserver oder Active Directory
9080 Wird für HTTP-Datenverkehr zwischen NetScaler und dem Citrix Gateway Connector für Exchange ActiveSync verwendet. NetScaler Citrix Gateway Connector für Exchange ActiveSync
30001 Verwaltungs-API für die Erstbereitstellung des HTTPS-Diensts Internes LAN XenMobile Server
9443 Wird für HTTPS-Datenverkehr zwischen NetScaler und dem Citrix Gateway Connector für Exchange ActiveSync verwendet. NetScaler Citrix Gateway Connector für Exchange ActiveSync
45000; 80 Wird in Clusterbereitstellungen für die Kommunikation zwischen zwei XenMobile-VM verwendet. Port 80 ist für die Kommunikation zwischen Knoten und für den SSL-Offload bestimmt. XenMobile XenMobile
8443 Wird für die Registrierung, den XenMobile Store und die Mobilanwendungsverwaltung (MAM) verwendet. XenMobile; NetScaler Gateway; Geräte; Internet XenMobile
4443 Wird von Administratoren für den Zugriff auf die XenMobile-Konsole über einen Browser verwendet. Wird außerdem für den Download von Protokollen und Supportpaketen für alle XenMobile-Clusterknoten von einem Knoten verwendet. Zugriffspunkt (Browser); XenMobile XenMobile
27000 Standardport für den Zugriff auf den externen Citrix Lizenzserver. XenMobile Citrix Lizenzserver
7279 Standardport zum Ein- und Auschecken von Citrix Lizenzen XenMobile Citrix Vendor Daemon
161 Wird für den SNMP-Datenverkehr mit UDP-Protokoll verwendet. SNMP-Manager XenMobile
162 Wird zum Senden von SNMP-Traps von XenMobile an den SNMP-Manager verwendet. XenMobile ist die Quelle und der SNMP-Manager ist das Ziel. XenMobile SNMP-Manager

Öffnen von XenMobile-Ports zum Verwalten von Geräten

Öffnen Sie die folgenden Ports, damit XenMobile im Netzwerk kommunizieren kann.

TCP-Port Beschreibung Quelle Ziel
25 Standard-SMTP-Port für den XenMobile-Benachrichtigungsdienst Wenn Ihr SMTP-Server einen anderen Port verwendet, stellen Sie sicher, dass die Firewall diesen Port nicht sperrt. XenMobile SMTP-Server
80 und 443 Verbindung zwischen dem firmeninternen App-Store und dem Apple iTunes-App-Store, Google Play (muss 80 verwenden) oder Windows Phone Store. Wird für das Apple-Programm für Volumenlizenzen verwendet. Wird zum Veröffentlichen von Apps aus den App-Stores über Citrix Mobile Self-Serve unter iOS, Secure Hub für Android oder Secure Hub für Windows Phone verwendet. XenMobile ax.apps.apple.com und *.mzstatic.com; vpp.itunes.apple.com; login.live.com; *.notify.windows.com; play.google.com, android.clients.google.com, android.l.google.com
80 oder 443 Wird für ausgehende Verbindungen zwischen XenMobile und Nexmo SMS Notification Relay verwendet. XenMobile Nexmo SMS Relay-Server
389 Wird für unsichere LDAP-Verbindungen verwendet. XenMobile LDAP-Authentifizierungsserver oder Active Directory
443 Wird für die Registrierung und das Agent-Setup für Android und Windows Mobile verwendet. Internet XenMobile
443 Wird für die Registrierung und das Agent-Setup für Android- und Windows-Geräte, die XenMobile-Webkonsole und den MDM-Client für Remotesupport verwendet. Internet - LAN und Wi-Fi XenMobile
1433 Wird standardmäßig für Verbindungen mit einem Remotedatenbankserver verwendet (optional). XenMobile SQL Server
2195 Wird für ausgehende Verbindungen vom Apple Dienst für Pushbenachrichtigungen (APNs) zu gateway.push.apple.com für iOS-Gerätebenachrichtigungen und die Push-Anwendung von Geräterichtlinien verwendet. XenMobile Internet (APNs-Hosts mit öffentlicher IP-Adresse 17.0.0.0/8)
2196 Wird für ausgehende APNs-Verbindungen mit feedback.push.apple.com für die iOS-Gerätebenachrichtigung und die Push-Anwendung von Geräterichtlinien verwendet.    
5223 Wird für ausgehende APNs-Verbindungen von iOS-Geräten in WiFi-Netzwerken zu *.push.apple.com verwendet. iOS-Geräte in WiFi-Netzwerken Internet (APNs-Hosts mit öffentlicher IP-Adresse 17.0.0.0/8)
8081 Wird für die App-Tunnel des optionalen MDM-Remotesupportclients verwendet. Standardwert: 8081. Remotesupportclient XenMobile
8443 Für die Registrierung von iOS- und Windows Phone-Geräten. Internet; LAN und Wi-Fi XenMobile

Portanforderungen für die Verbindung mit Auto Discovery Service

Diese Portkonfiguration gewährleistet, dass auf Android-Geräten mit Secure Hub für Android über das interne Netzwerk auf den Citrix Auto Discovery Service (ADS) zugegriffen werden kann. Der Zugriff auf den ADS ist zum Herunterladen von Sicherheitsupdates wichtig, die über diesen Dienst zur Verfügung gestellt werden.

Hinweis:

ADS-Verbindungen unterstützen Ihren Proxyserver eventuell nicht. Lassen Sie in diesem Szenario zu, dass die ADS-Verbindung den Proxy-Server umgeht.

Wenn Sie Zertifikatpinning aktivieren möchten, treffen Sie folgende Vorbereitungen:

  • Sammeln von XenMobile Server- und NetScaler-Zertifikaten: Die Zertifikate müssen im PEM-Format vorliegen und öffentlich sein, d. h. keine privaten Schlüssel sind zulässig.
  • Öffnen Sie einen Supportfall beim Citrix Support zum Aktivieren von Zertifikatpinning: Bei diesem Prozess werden Ihre Zertifikate angefordert.

Zertifikatpinning erfordert, dass Geräte vor der Registrierung eine Verbindung mit ADS herstellen. Damit wird sichergestellt, dass Secure Hub über die aktuellen Sicherheitsinformationen für die Umgebung verfügt, in der das Gerät registriert wird. Für eine Registrierung in Secure Hub muss das Gerät mit ADS verbunden sein. Daher ist die Aktivierung des Zugriffs auf ADS im internen Netzwerk erforderlich, damit Geräte registriert werden können.

Damit der Zugriff auf ADS für Secure Hub für Android möglich ist, öffnen Sie Port 443 für die folgenden IP-Adressen und FQDNs:

FQDN IP-Adresse Port IP- und Port-Nutzung
ads.xm.cloud.com 34.194.83.188 443 Secure Hub - ADS-Kommunikation
ads.xm.cloud.com 34.193.202.23 443 Secure Hub - ADS-Kommunikation

Hinweis:

Bei Secure Hub-Versionen vor 10.6.15 lautet der FQDN discovery.mdm.zenprise.com. Öffnen Sie Port 443 für die IP-Adressen 52.5.138.94 und 52.1.30.122.

Netzwerkanforderungen für Android Enterprise

Beim Einrichten von Netzwerkumgebungen für Android Enterprise müssen Sie verschiedene ausgehende Verbindungen beachten.

Portanforderungen für die Geräte

Zielhost Port Beschreibung
*.googleapis.com TCP/443 Wird für Google Mobile Management, Google APIs, Google Play Store APIs verwendet
play.google.com, android.com google-analytics.com, android.clients.google.com TCP/443 Wird für Google Play und Updates über android.clients.google.com verwendet. Download von Apps, Updates und Google Play Store-APIs
cm.googleapis.com TCP/443 Wird für Firebase Cloud Messaging verwendet
android.apis.google.com, cm.googleapis.com TCP/5228, 5229, 5230 Wird für Firebase Cloud Messaging ausgehend, Internetkommunikation für Geräte-Wi-Fi verwendet
connectivitycheck.android.com, www.google.com TCP/443 Wird für die Konnektivitätsprüfung vor CloudDPC v470 verwendet. Für die ab Android N-MR1 durchgeführte Android-Konnektivitätsprüfung muss https://www.google.com/generate_204 erreichbar sein oder das vorliegende Wi-Fi-Netzwerk auf eine erreichbare PAC-Datei verweisen.

Portanforderungen für XenMobile

Wenn eine EMM-Konsole im eigenen Rechenzentrum ist, müssen die folgenden Zielhosts vom Netzwerk erreichbar sein, um ein Managed Google Play-Unternehmen zu erstellen und auf den ​Managed Google Play iFrame zuzugreifen. Google hat den Managed Play iFrame für EMM-Entwickler freigegeben, um die Suche und Genehmigung von Apps zu vereinfachen.

Zielhost Port Beschreibung
play.google.com TCP/443 Wird für die Anmeldung an Google Play Store und Play Enterprise verwendet
accounts.youtube.com, accounts.google.com TCP/443 Für die Kontoauthentifizierung
apis.google.com TCP/443 Für GCM und andere Google-Webdienste
ogs.google.com TCP/443 Für iFrame-UI-Elemente
notifications.google.com TCP/443 Für Desktop- und Mobilbenachrichtigungen
fonts.googleapis.com, *.gstatic.com, *.googleusercontent.com TCP/443 Für benutzergenerierte Google Fonts-Inhalte. Zum Beispiel die App-Symbole im Store
cri.pki.goog, ocsp.pki.goog TCP/443 Wird für die Zertifikatvalidierung verwendet