Product Documentation

Systemanforderungen

27. März 2018

Bereiten Sie während der Wartezeit auf die XenMobile Service-Bereitstellung Ihre Umgebung vor, indem Sie den Cloud Connector installieren. Citrix hostet zwar Ihre XenMobile Service-Lösung, einige Kommunikationsanforderungen und Ports sind jedoch von Ihnen einzurichten. Bei diesem Setup wird die XenMobile Service-Infrastruktur mit Unternehmensdiensten wie Active Directory verbunden.

Anforderungen für Cloud Connector

Citrix verwendet Cloud Connector, um die XenMobile Service-Architektur in Ihre vorhandene Infrastruktur zu integrieren. Cloud Connector integriert folgende Ressourcenstandorte über Port 443 in den XenMobile Service: LDAP, PKI Server, interne DNS-Abfragen und Citrix Receiver-Enumeration.

  • Mindestens zwei dedizierte Maschinen mit Windows Server 2012 R2 oder Windows Server 2016, die zu der Active Directory-Domäne gehören. Dies können physikalische oder virtuelle Maschinen sein. Die Maschine, auf der Sie den Connector installieren, muss mit der UTC-Zeit synchronisiert sein, um eine korrekte Installation und einen fehlerfreien Betrieb zu gewährleisten. Eine vollständige Liste der aktuellen Anforderungen finden Sie in den Bereitstellungsmaterialien, die Sie von Ihrem Citrix Team erhalten.

    Der Onboarding-Assistent führt Sie durch die Installation des Cloud Connectors auf diesen Maschinen.

  • Weitere Informationen zu Plattformsystemanforderungen finden Sie unter Citrix Cloud Connector.

Anforderungen für NetScaler Gateway

Für folgende Szenarios muss NetScaler Gateway an Ihrem Ressourcenstandort installiert sein:

  • Sie benötigen ein Micro-VPN, damit branchenspezifische Apps auf interne Netzwerkressourcen zugreifen können. Die Apps sind mit der Citrix MDX-Technologie umschlossen. Das Micro-VPN muss über NetScaler Gateway eine Verbindung zu internen Backend-Infrastrukturen herstellen.
  • Sie planen die Verwendung von XenMobile Apps wie Citrix Secure Mail.
  • Sie planen eine Integration von XenMobile in Microsoft Intune/EMS.

Anforderungen:

  • Domänenauthentifizierung (LDAP)
  • NetScaler 10.5 Build 66.9 oder höher mit einer Plattform-/universellen Lizenz

    Weitere Informationen finden Sie im Citrix Supportartikel How to License a NetScaler Gateway Appliance.

  • Öffentliches SSL-Zertifikat

Weitere Informationen finden Sie im Citrix Supportartikel How to Add an SSL Certificate Bundle on the NetScaler Appliance.

  • Nicht verwendete, öffentliche IP-Adresse für den virtuellen NetScaler Gateway-Server
  • Öffentlich auflösbarer FQDN für den virtuellen NetScaler Gateway-Server
  • Zwischen- und Stammzertifikat für Cloud-gehostetes XenMobile (im Skriptpaket enthalten)
  • Nicht verwendete, interne, private IP-Adresse für den Proxy-Load Balancer
  • Informationen zu Portanforderungen finden Sie weiter unten im Artikel unter “Portanforderungen für NetScaler Gateway”.
  • XenMobile-Integration in Microsoft Intune/EMS
  • Bereitstellen von Citrix NetScaler VPX unter Microsoft Azure

Weitere Informationen zu NetScaler-Anforderungen finden Sie in den Bereitstellungsmaterialien, die Sie von Ihrem Citrix Team erhalten.

Anforderungen für ShareFile

Die ShareFile-Dienste zur Dateisynchronisierung und -freigabe sind im XenMobile Premium Service-Angebot enthalten. ShareFile StorageZones Controller erweitert den Cloudspeicher von ShareFile Software as a Service (SaaS) durch privaten Datenspeicher für Ihr ShareFile-Konto.

Anforderungen für ShareFile StorageZones Controller:

  • Eine dedizierte physische oder virtuelle Maschine
  • Windows Server 2012 R2 oder Windows Server 2016
  • 2 vCPUs
  • 4 GB RAM
  • 50 GB Festplattenspeicherplatz
  • Serverrollen für den Webserver (IIS):

    • Anwendungsentwicklung: ASP. NET 4.5.2
    • Sicherheit: Basic-Authentifizierung
    • Sicherheit: Windows-Authentifizierung

ShareFile-Plattformanforderungen:

  • Administratorrechte für Windows Server zur ShareFile-Installation
  • Benutzername eines ShareFile-Administratorkontos

Portanforderungen

Damit Geräte und Apps mit XenMobile Service kommunizieren können, öffnen Sie bestimmte Ports in den Firewalls. Das folgende Diagramm zeigt den Datenfluss für XenMobile Service.

Diagramm des XenMobile Service-Verkehrsflusses

Nachfolgend sind die Ports aufgeführt, die Sie öffnen müssen.

Portanforderungen für NetScaler Gateway

Öffnen Sie folgende Ports, damit Benutzer über NetScaler Gateway Verbindungen von Citrix Secure Hub und Citrix Receiver mit diesen Komponenten herstellen können:

  • XenMobile
  • StoreFront
  • Andere interne Netzwerkressourcen, z. B. Intranet-Websites

Weitere Informationen zu NetScaler Gateway finden Sie unter Configuration Settings for your XenMobile Environment in der NetScaler Gateway-Dokumentation. Informationen über NetScaler-eigene IP-Adressen finden Sie unter How a NetScaler Communicates with Clients and Servers in der NetScaler-Dokumentation. Dieser Abschnitt enthält Informationen zur NetScaler-IP-Adresse (NSIP), IP-Adresse des virtuellen Servers (VIP) und Subnetz-IP-Adresse (SNIP).

TCP-Port Beschreibung Quelle Ziel
53 (TCP und UDP) Wird für DNS-Verbindungen verwendet. NetScaler Gateway-SNIP DNS-Server
80/443 NetScaler Gateway leitet die Micro-VPN-Verbindung mit der internen Netzwerksressource durch die zweite Firewall. NetScaler Gateway-SNIP Intranet-Websites
123 (TCP und UDP) Wird für Network Time Protocol-Dienste (NTP) verwendet. NetScaler Gateway-SNIP NTP-Server
389 Wird für unsichere LDAP-Verbindungen verwendet. NetScaler Gateway-NSIP (oder, wenn Sie einen Load Balancer verwenden, SNIP) LDAP-Authentifizierungsserver oder Microsoft-Active Directory
443 Wird für Verbindungen zwischen StoreFront und Citrix Receiver und zwischen Receiver für Web und XenApp/XenDesktop verwendet. Internet NetScaler Gateway
443 Wird für Verbindungen mit XenMobile zur Bereitstellung von Web-, Mobil- und SaaS-Apps verwendet. Internet NetScaler Gateway
443 Wird für die Cloud Connector-Kommunikation verwendet – LDAP-, DNS-, PKI- und Citrix Receiver-Enumeration Cloud Connector-Server https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.blob.core.windows.net/, https://*.servicebus.windows.net
636 Wird für sichere LDAP-Verbindungen verwendet. NetScaler Gateway-NSIP (oder, wenn Sie einen Load Balancer verwenden, SNIP) LDAP-Authentifizierungsserver oder Active Directory
1494 Wird für ICA-Verbindungen mit Windows-basierten Anwendungen im internen Netzwerk verwendet. Citrix empfiehlt, diesen Port geöffnet zu lassen. NetScaler Gateway-SNIP XenApp oder XenDesktop
1812 Wird für RADIUS-Verbindungen verwendet. NetScaler Gateway-NSIP RADIUS-Authentifizierungsserver
2598 Wird für Verbindungen mit Windows-basierten Anwendungen im internen Netzwerk unter Einsatz der Sitzungszuverlässigkeit verwendet. Citrix empfiehlt, diesen Port geöffnet zu lassen. NetScaler Gateway-SNIP XenApp oder XenDesktop
3269 Wird für sichere LDAP-Verbindungen mit dem globalen Microsoft-Katalog verwendet. NetScaler Gateway-NSIP (oder, wenn Sie einen Load Balancer verwenden, SNIP) LDAP-Authentifizierungsserver oder Active Directory
8443 Wird für die Registrierung, den XenMobile Store und die Mobilanwendungsverwaltung (MAM) verwendet. NetScaler Gateway-SNIP XenMobile
8443 STA-Port (Secure Ticket Authority) für das Secure Mail-Authentifizierungstoken NetScaler Gateway-SNIP XenMobile
4443 Wird von Administratoren für den Zugriff auf die XenMobile-Konsole über einen Browser verwendet. Zugriffspunkt (Browser) XenMobile

Netzwerk- und Firewall-Anforderungen

Damit Geräte und Apps mit XenMobile Service kommunizieren können, öffnen Sie bestimmte Ports in den Firewalls. Diese Ports sind in den folgenden Tabellen aufgelistet.

Öffnen der Ports vom internen Netzwerk zu Citrix Cloud:

TCP-Port Quell-IP Beschreibung Ziel Ziel-IP
443   Cloud Connector https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net  
443   Verwaltungskonsole https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads  
4443   Zugriff auf XenMobile-Konsole über einen Browser XenMobile  

Öffnen der Ports vom Internet zur DMZ:

TCP-Port Beschreibung Quell-IP Ziel Destination IP
443 XenMobile-Clientgerät   NetScaler Gateway-IP  
443 XenMobile-Clientgerät   NetScaler VIP ShareFile  
443 ShareFile - öffentliche IP CTX208318 NetScaler VIP ShareFile  

Öffnen der Ports von der DMZ zum internen Netzwerk:

TCP-Port Beschreibung Quell-IP Ziel Ziel-IP
389 oder 636 NetScaler NSIP   Active Directory-IP  
53 (UDP) NetScaler NSIP   DNS-Server-IP  
443 NetScaler-SNIP   Exchange (EAS) Server-IP  
443 NetScaler-SNIP   Interne Web-Apps/Webdienste  
443 NetScaler-SNIP   ShareFile StorageZone Controller-IP  

Öffnen der Ports vom internen Netzwerk zur DMZ:

TCP-Port Beschreibung Quell-IP Ziel Ziel-IP
443 Administrator-Client   NetScaler NSIP  

Öffnen der Ports vom internen Netzwerk zum Internet:

TCP-Port Beschreibung Quell-IP Ziel Ziel-IP
443 Exchange (EAS) Server-IP   XenMobile Push-Benachrichtigungslistener (1)  
443 ShareFile StorageZone Controller-IP   ShareFile-Steuerungsebene CTX208318

(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com

Öffnen der Ports vom Wi-Fi des Unternehmens zum Internet:

TCP-Port Beschreibung Quell-IP Ziel Ziel-IP
5223 XenMobile-Clientgerät   APNS-Server von Apple 17.0.0.0/8
5228 XenMobile-Clientgerät   Google Cloud Messaging android.apis.google.com
5229 XenMobile-Clientgerät   Google Cloud Messaging android.apis.google.com
5230 XenMobile-Clientgerät   Google Cloud Messaging android.apis.google.com
443 XenMobile-Clientgerät   Windows-Pushbenachrichtigungsdienst *.notify.windows.com
443 / 80 XenMobile-Clientgerät   Apple iTunes App-Store ax.itunes.apple.com, *.mzstatic.com, vpp.itunes.apple.com
443 / 80 XenMobile-Clientgerät   Google Play play.google.com
443 / 80 XenMobile-Clientgerät   Microsoft App-Store login.live.com, *.notify.windows.com
443 XenMobile-Clientgerät   XenMobile Autodiscovery-Dienst discovery.mdm.zenprise.com
8443 / 443 XenMobile-Clientgerät   XenMobile Service  
443 ShareFile StorageZone Controller-IP   ShareFile-Steuerungsebene CTX208318

Portanforderungen für die Verbindung mit Auto Discovery Service

Diese Portkonfiguration gewährleistet, dass auf Android-Geräten mit Secure Hub für Android über das interne Netzwerk auf den Citrix Auto Discovery Service (ADS) zugegriffen werden kann. Der Zugriff auf den ADS ist zum Herunterladen von Sicherheitsupdates wichtig, die über diesen Dienst zur Verfügung gestellt werden.

Hinweis:

ADS-Verbindungen unterstützen Ihren vorhandenen Proxyserver eventuell nicht. Lassen Sie in diesem Szenario zu, dass die ADS-Verbindung den Proxy-Server umgeht.

Wenn Sie Zertifikatpinning aktivieren möchten, müssen Sie folgende Voraussetzungen erfüllen:

  • Sammeln von XenMobile- und NetScaler-Zertifikaten. Die Zertifikate müssen im PEM-Format vorliegen und öffentlich sein, d. h. nicht der private Schlüssel.
  • Öffnen Sie einen Supportfall beim Citrix Support zum Aktivieren von Zertifikatpinning: Bei diesem Prozess werden Ihre Zertifikate angefordert.

Zertifikatpinning erfordert, dass Geräte vor der Registrierung eine Verbindung mit ADS herstellen. Damit wird sichergestellt, dass Secure Hub über die aktuellen Sicherheitsinformationen verfügt. Für eine Registrierung in Secure Hub muss das Gerät mit ADS verbunden sein. Daher ist die Aktivierung des Zugriffs auf ADS im internen Netzwerk erforderlich, damit Geräte registriert werden können.

Damit der Zugriff auf ADS für Secure Hub für Android möglich ist, öffnen Sie Port 443 für die folgenden IP-Adressen und FQDNs:

FQDN IP-Adresse Port IP- und Port-Nutzung
discovery.mdm.zenprise.com 52.5.138.94 443 Secure Hub - ADS-Kommunikation
discovery.mdm.zenprise.com 52.1.30.122 443 Secure Hub - ADS-Kommunikation
ads.xm.cloud.com 34.194.83.188 443 Secure Hub - ADS-Kommunikation
ads.xm.cloud.com 34.193.202.23 443 Secure Hub - ADS-Kommunikation