Product Documentation

XenMobile Cloud – Voraussetzungen und Verwaltung

Nov 21, 2016

Die Schritte des Onboarding-Prozesses von Ihrer Anforderung einer XenMobile Cloud-Instanz bis zu den Verwendungstests mit Geräten in Ihrem Unternehmen werden in der folgenden Abbildung dargestellt. Wenn Sie XenMobile Cloud bewerten oder erwerben, leistet das für den Betrieb von XenMobile Cloud verantwortliche Team Hilfe, um sicherzustellen, dass die grundlegenden XenMobile Cloud-Dienste ausgeführt werden und richtig konfiguriert sind.

localized image

Citrix hostet die XenMobile Cloud-Lösung und stellt sie bereit.  Für die Verbindung zwischen der XenMobile Cloud-Infrastruktur und den Diensten in Ihrem Unternehmen gibt es jedoch einige Anforderungen in Bezug auf Kommunikation und Ports (z. B. Active Directory). Bereiten Sie Ihre XenMobile Cloud-Bereitstellung anhand der nachfolgenden Abschnitte vor. 

IPSec-Tunnelgateways für XenMobile Cloud

Sie können unter Verwendung eines XenMobile Enterprise-Connectors eine Verbindung zwischen XenMobile Cloud und Infrastrukturdiensten des Unternehmens wie Active Directory über einen IPsec-Tunnel herstellen.

Die auf der folgenden Amazon Web Services (AWS)-Website aufgeführten IPsec-Gateways sind offiziell getestet und werden für XenMobile Cloud unterstützt: http://aws.amazon.com/vpc/faqs/. Führen Sie einen Bildlauf zum Abschnitt "F: Welche Kunden-Gateway-Geräte kann ich für die Verbindung mit Amazon VPC verwenden?", um die Liste der unterstützten Gateways einzublenden.

Hinweis

Wenn Ihr IPsec-Gateway nicht in der Liste der genehmigten IPsec-Gateways aufgeführt ist, funktioniert es möglicherweise dennoch mit XenMobile Cloud, die Einrichtung kann jedoch länger dauern und es ist eventuell die Verwendung eines der offiziell unterstützten IPSec-Gateways als Ausweichmöglichkeit erforderlich. 

Ihr IPsec-Gateway benötigt eine direkt zugewiesene öffentliche IP-Adresse, für die keine Netzwerkadressübersetzung (NAT) verwendet werden darf.

Ihre AWS-VPN-Verbindung erfordert permanentes Keep-Alive, das von der Kundenseite initiiert wird. Konfigurieren Sie einen permanenten Ping von Ihrer Umgebung zum Amazon VPC-Subnetz, um die Dienstkontinuität sicherzustellen.

Mehrere auf dem IPsec-Gateway konfigurierte Sicherheitszuordnungen werden von Ihrer AWS-VPN-Verbindung nicht unterstützt. Nur ein eindeutiges Sicherheitszuordnungspaar (ein eingehendes und ein ausgehendes) ist pro Tunnel zulässig. Konsolidieren Sie die Regeln und Filter, damit unerwünschter Datenverkehr nicht zugelassen wird.

Die folgende Abbildung zeigt die Konfiguration des IPsec-Tunnels in XenMobile Cloud für die Verbindung mit Unternehmensdiensten über verschiedene Ports. 

localized image

Die folgende Tabelle enthält die Anforderungen im Hinblick auf Kommunikation und Ports für eine XenMobile Cloud-Bereitstellung einschließlich derer für den IPSec-Tunnel.

Quelle

Ziel

Protokolle

Port

Beschreibung

Externe (Rand-) Firewall – eingehende Regeln

Öffentliche IP-Adressen von XenMobile Cloud (AWS) IPSec-VPN 1

IPSec-Gerät des Kunden

UPD

500

IPSec-IKE-Konfiguration

Öffentliche IP-Adressen von XenMobile Cloud (AWS) IPSec-VPN 1

IPSec-Gerät des Kunden

IP-Protokoll-ID

50

IPSec-ESP-Protokoll

Öffentliche IP-Adressen von XenMobile Cloud (AWS) IPSec-VPN 1

IPSec-Gerät des Kunden

ICMP

 

Zur Problembehandlung (kann nach Einrichtung entfernt werden)

Externe (Rand-) Firewall – ausgehende Regeln

Kunden-DMZ-Subnetz

Öffentliche IP-Adressen von XenMobile Cloud (AWS) IPSec-VPN 1

UDP

500

IPSec-IKE-Konfiguration

Kunden-DMZ-Subnetz

Öffentliche IP-Adressen von XenMobile Cloud (AWS) IPSec-VPN 1

IP-Protokoll-ID

50, 51

IPSec-ESP-Protokoll

Kunden-DMZ-Subnetz

Öffentliche IP-Adressen von XenMobile Cloud (AWS) IPSec-VPN 1

ICMP

 

Zur Problembehandlung (kann nach Einrichtung entfernt werden)

Interne Firewall – eingehende Regeln

Nicht genutztes und routbares /24-Kundensubnetz 2

Interne DNS-Server im Datencenter des Kunden

TCP, UPP, ICMP

53

DNS-Auflösung

Nicht genutztes und routbares /24-Kundensubnetz 2

Active Directory-Domänencontroller im Datencenter des Kunden

LDAP (TCP)

389, 636

3268, 3269

Für Active Directory-Authentifizierung der Benutzer und Verzeichnisanfragen an Domänencontroller

Nicht genutztes und routbares /24-Kundensubnetz 2

Active Directory-Domänencontroller im Datencenter des Kunden

ICMP

 

Zur Problembehandlung (kann nach Abschluss der gesamten Einrichtung entfernt werden)

Nicht genutztes und routbares /24-Kundensubnetz 2

Exchange-Server im Datencenter des Kunden

SMTP (TCP)

25

Optional für die XenMobile-E-Mail-Benachrichtigung

Nicht genutztes und routbares /24-Kundensubnetz 2

Exchange-Server im Datencenter des Kunden

HTTP, HTTPS (TCP)

80, 443

Exchange ActiveSync – wird benötigt, wenn ActiveSync-Daten vom Gerät über den IPSec-Tunnel in die XenMobile Cloud-Infrastruktur an Exchange-Server gesendet werden.

 

NICHT erforderlich, wenn Benutzergeräte mit einem öffentlichen ActiveSync-FQDN über das Internet kommunizieren, ohne dass eine Verbindung über den XenMobile-IPSec-Tunnel mit dem Exchange-Server erforderlich ist.

Nicht genutztes und routbares /24-Kundensubnetz 2

Anwendungsserver, z. B. Intranet-/Webserver, SharePoint-Server usw.

HTTP, HTTPS (TCP)

80, 443

Zugriff auf Intranet- und/oder Anwendungsserver von Mobilgeräten über den XenMobile-IPSec-Tunnel. Jeder Anwendungsserver den Firewallregeln mit der für den Zugriff auf die Anwendung erforderlichen Portnummer (üblicherweise Port 80 und/oder 443) hinzugefügt werden.

Nicht genutztes und routbares /24-Kundensubnetz 2

PKI-Server (falls eine lokale PKI verwendet wird)

HTTPS (TCP)

443

Optional (nicht in XenMobile-POCs verwendet):

Hiermit kann eine Integration zwischen der XenMobile Cloud-Infrastruktur und einer lokalen PKI (z. B. Microsoft ZS) für die zertifikatbasierte Authentifizierung innerhalb von XenMobile hergestellt werden.

Nicht genutztes und routbares /24-Kundensubnetz 2

RADIUS-Server

UDP

1812

Optional (nicht in XenMobile-POCs verwendet):

Hiermit kann die Zweifaktorauthentifizierung innerhalb von XenMobile ermöglicht werden.

Interne Firewall – ausgehende Regeln

Interne Subnetze des Kunden, von wo aus die XenMobile-Konsole verfügbar sein muss

Nicht genutztes und routbares /24-Kundensubnetz 2

TCP

4443

XenMobile App Controller-Konsole (MAM) in der XenMobile Cloud-Infrastruktur

1 Wird vom XenMobile Cloud-Team bei der Bereitstellung der XenMobile Cloud-Instanz und der IPSec-Komponenten in der XenMobile Cloud-Infrastruktur bekannt gegeben.

2 Nicht genutztes, routbares /24-Subnetz, das der Kunde während des Bereitstellungsprozesses zur Verfügung stellt und das keine Konflikte mit internen Subnetzen im Datencenter des Kunden verursacht.

Wenn Sie XenMobile Mail Manager oder XenMobile NetScaler Connector für die native E-Mail-Filterung bereitstellen möchten, z. B. zum Blockieren oder Zulassen von Verbindungen von nativen E-Mail-Clients auf Mobilgeräten, gelten die nachfolgenden zusätzlichen Anforderungen. 

APNS-Zertifikat von Apple für XenMobile

Wenn Sie iOS-Geräte in Ihrer XenMobile Cloud verwalten möchten, benötigen Sie ein APNS-Zertifikat von Apple. Besorgen Sie das Zertifikat vor dem Bereitstellen der XenMobile Cloud-Lösung. Anweisungen finden Sie unter APNs-Zertifikate.

iOS-Pushbenachrichtigungszertifikat für WorxMail

Wenn Sie das Pushbenachrichtigungsfeature in Ihrer WorxMail-Bereitstellung nutzen möchten, beschaffen Sie ein APNS-Zertifikat von Apple für die iOS-Pushbenachrichtigung in WorxMail. Weitere Informationen finden Sie unter Pushbenachrichtigungen für WorxMail für iOS

XenMobile MDX Toolkit

Das MDX Toolkit ist eine Technologie zum Umschließen von Apps, mit der diese für die sichere Bereitstellung mit XenMobile vorbereitet werden. Wenn Sie Apps wie Citrix WorxMail, WorxNotes, QuickEdit usw. umschließen möchten, müssen Sie das MDX Toolkit installieren. Weitere Informationen finden Sie unter Informationen zum MDX Toolkit.  

Wenn Sie iOS-Apps umschließen möchten, brauchen Sie ein Apple Developer-Konto zur Erstellung der erforderlichen Apple-Verteilungsprofile. Weitere Informationen finden Sie im Abschnitt zu den Systemanforderungen für das MDX Toolkit und auf der Website für Apple Developer-Konten

Wenn Sie Apps für Windows Phone 8.1-Geräte umschließen möchten, lesen Sie die Informationen unter Systemanforderungen.

XenMobile-Autodiscovery für die Windows Phone-Registrierung

Wenn XenMobile-Autodiscovery für die Registrierung von Windows Phone-Geräten verwenden möchten, stellen Sie sicher, dass Sie ein öffentliches SSL-Zertifikat zur Verfügung haben. Weitere Informationen finden Sie unter XenMobile Autodiscovery-Dienst.

Die XenMobile-Konsole

Für XenMobile Cloud wird die gleiche Webkonsole wie für eine lokale XenMobile-Bereitstellung verwendet. Daher werden alltägliche Verwaltungsaufgaben in XenMobile Cloud, z. B. Richtlinienverwaltung, App-Verwaltung, Geräteverwaltung usw., auf ähnliche Weise erledigt wie bei einer lokalen XenMobile-Bereitstellung. Informationen zur Verwaltung von Apps und Geräten in der XenMobile-Konsole finden Sie unter Workflows für erste Schritte.

Geräteregistrierung bei XenMobile

Informationen zur Registrierung von Geräten der verschiedenen Plattformtypen bei XenMobile finden Sie unter Benutzerkonten, Rollen und Registrierung.

XenMobile-Support

Informationen zum Zugriff auf entsprechende Informationen und Tools in der XenMobile-Konsole finden Sie unter Überwachen und Support.