Requisitos del sistema

Mientras espera a que Citrix aprovisione Endpoint Management, puede prepararse para la implementación de Endpoint Management instalando Cloud Connector. Aunque Citrix aloja y entrega su solución de Endpoint Management, se requiere que configure determinados puertos y vías de comunicación. Esa configuración conecta la infraestructura de Endpoint Management a los servicios de empresa, tales como Active Directory.

Requisitos de Cloud Connector

Citrix usa Cloud Connector para integrar la arquitectura de Endpoint Management en la infraestructura que usted tenga. Cloud Connector integra de forma segura las siguientes ubicaciones de recursos en Endpoint Management a través del puerto 443: LDAP, servidor PKI, consultas DNS internas y enumeración de Citrix Workspace.

  • Al menos dos máquinas Windows Server 2012 R2 o Windows Server 2016 dedicadas que estén unidas a su dominio de Active Directory. Pueden ser máquinas físicas o virtuales. Para una instalación y un funcionamiento óptimos, la máquina donde se va a instalar Cloud Connector debe estar sincronizada con la hora UTC. Para obtener una lista completa de los requisitos más recientes, consulte el material de implementación que le facilite su equipo de cuentas de Citrix.

    El asistente de incorporación le guiará a través de la instalación de Cloud Connector en esas máquinas.

  • Para obtener más requisitos del sistema para la plataforma, consulte Citrix Cloud Connector.

Requisitos de NetScaler Gateway

En estos casos, Endpoint Management requiere un NetScaler Gateway instalado en su ubicación de recursos:

  • Necesita una micro VPN para que las aplicaciones de línea de negocio puedan acceder a los recursos de la red interna. Esas aplicaciones están empaquetadas con la tecnología MDX de Citrix. La micro VPN necesita NetScaler Gateway para conectarse a las infraestructuras back-end internas.
  • Quiere usar aplicaciones de productividad móvil de Citrix, como Citrix Secure Mail.
  • Quiere integrar Endpoint Management con Microsoft Intune/EMS.

Los requisitos:

  • Autenticación de dominio (LDAP)
  • NetScaler 10.5 compilación 66.9 o posterior, con una licencia de plataforma o universal.

    Para obtener más información, consulte el artículo How to License a NetScaler Gateway Appliance de asistencia de Citrix.

  • Certificado SSL público

Para obtener más información, consulte el artículo How to Add an SSL Certificate Bundle on the NetScaler Appliance de asistencia de Citrix.

  • Dirección IP pública no utilizada para el servidor virtual NetScaler Gateway
  • Nombre de dominio completo (FQDN) que pueda resolverse públicamente para el servidor virtual NetScaler Gateway
  • Certificados raíz e intermedios de Endpoint Management alojado en Cloud (suministrados en el paquete de script)
  • Dirección IP privada no utilizada para asignarla como IP del equilibrador de carga del proxy
  • Para conocer los requisitos de puertos, consulte “Requisitos de puertos para NetScaler Gateway” más adelante en este artículo.
  • Integración de Endpoint Management con Microsoft Intune/EMS
  • Implementación de Citrix NetScaler VPX en Microsoft Azure

Para obtener información acerca de los requisitos de NetScaler, consulte el material de implementación que le facilite su equipo de cuentas de Citrix.

Requisitos de ShareFile

Los servicios de intercambio y sincronización de archivos que ofrece ShareFile están disponibles en la oferta Premium de Endpoint Management Service. ShareFile StorageZones Controller amplía el almacenamiento en nube SaaS de ShareFile porque ofrece una cuenta de ShareFile con almacenamiento de datos privado.

Requisitos de ShareFile StorageZones Controller:

  • Una máquina física o virtual dedicada
  • Windows Server 2012 R2 o Windows Server 2016
  • 2 CPU virtuales
  • 4 GB de RAM
  • 50 GB de espacio en disco
  • Roles del servidor para el servidor Web (IIS):

    • Desarrollo de aplicaciones: ASP. NET 4.5.2
    • Seguridad: Autenticación básica
    • Seguridad: Autenticación de Windows

Requisitos de plataforma para ShareFile:

  • El instalador de ShareFile requiere privilegios de administrador en el servidor Windows
  • Nombre de usuario del administrador de ShareFile

Requisitos de puertos

Para que dispositivos y aplicaciones puedan comunicarse con Endpoint Management, debe abrir puertos específicos en los firewalls. El siguiente diagrama muestra el flujo del tráfico de Endpoint Management.

Diagrama del flujo de tráfico de Endpoint Management

En los siguientes apartados se ofrece una lista de los puertos que se deben abrir.

Requisitos de puertos para NetScaler Gateway

Abra puertos para permitir las conexiones de usuario desde Citrix Secure Hub y Citrix Workspace a través de NetScaler Gateway a:

  • Endpoint Management
  • StoreFront
  • Otros recursos de red interna, como los sitios Web de intranet

Para obtener más información sobre NetScaler Gateway, consulte Configuración de parámetros para el entorno de Endpoint Management en la documentación de NetScaler Gateway. Para obtener información acerca de las direcciones IP pertenecientes a NetScaler, consulte How a NetScalerCommunicates with Clients and Servers en la documentación de NetScaler. Esa sección contiene información sobre las direcciones IP de NetScaler (NSIP), las direcciones IP virtuales (VIP) y las direcciones IP de subred (SNIP).

Puerto TCP Descripción Origen Destino
53 (TCP y UDP) Se utiliza para las conexiones DNS. SNIP de NetScaler Gateway Servidor DNS
80/443 NetScaler Gateway transfiere la conexión micro VPN al recurso de la red interna a través del segundo firewall. SNIP de NetScaler Gateway Sitios Web de la intranet
123 (TCP y UDP) Se usa para los servicios del protocolo de tiempo de red (NTP). SNIP de NetScaler Gateway Servidor NTP
389 Se usa para conexiones de protocolo LDAP no seguras. IP de NetScaler Gateway (o, si usa un equilibrador de carga, SNIP) Servidor de autenticación LDAP o Microsoft Active Directory
443 Se usa para las conexiones a StoreFront desde Citrix Workspace a XenApp y XenDesktop. Internet NetScaler Gateway
443 Se utiliza para las conexiones a Endpoint Management con el objetivo de entregar aplicaciones Web, aplicaciones para móvil y aplicaciones SaaS. Internet NetScaler Gateway
443 Se utiliza para la comunicación de Cloud Connector: enumeración de LDAP, DNS, PKI y Citrix Workspace Servidores de Cloud Connectors https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.blob.core.windows.net/, https://*.servicebus.windows.net
636 Se usa para conexiones seguras de protocolo LDAP. IP de NetScaler Gateway (o, si usa un equilibrador de carga, SNIP) Servidor de autenticación LDAP o Active Directory
1494 Se usa para las conexiones ICA a aplicaciones Windows en la red interna. Citrix recomienda mantener este puerto abierto. SNIP de NetScaler Gateway XenApp y XenDesktop
1812 Se utiliza para las conexiones RADIUS. IP de NetScaler Gateway Servidor de autenticación RADIUS
2598 Se utiliza para las conexiones a aplicaciones Windows en la red interna mediante la función de fiabilidad de la sesión. Citrix recomienda mantener este puerto abierto. SNIP de NetScaler Gateway XenApp y XenDesktop
3269 Se usa para conexiones seguras LDAP del catálogo global de Microsoft. IP de NetScaler Gateway (o, si usa un equilibrador de carga, SNIP) Servidor de autenticación LDAP o Active Directory
8443 Se utiliza para la inscripción, la administración de aplicaciones para móvil (MAM) y la tienda de aplicaciones. SNIP de NetScaler Gateway Endpoint Management
8443 El puerto Secure Ticket Authority (STA) se utiliza para el token de autenticación de Secure Mail. SNIP de NetScaler Gateway Endpoint Management
4443 Se utiliza para que un administrador acceda a la consola de Endpoint Management a través del explorador. Punto de acceso (explorador) Endpoint Management

Requisitos de red y firewall

Para que dispositivos y aplicaciones puedan comunicarse con Endpoint Management, debe abrir puertos específicos en los firewalls. En las siguientes tablas, se ofrece una lista de esos puertos.

Abra puertos desde la red interna a Citrix Cloud:

Puerto TCP IP de origen Descripción Destino IP de destino
443   Cloud Connector https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net  
443   Consola de administración https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads  
4443   Acceso a consola de Endpoint Management a través de un navegador Endpoint Management  

Abra puertos desde Internet a la zona DMZ:

Puerto TCP Descripción IP de origen Destino IP de destino
443 Dispositivo cliente Endpoint Management   IP de NetScaler Gateway  
443 Dispositivo cliente Endpoint Management   IP virtual de NetScaler para ShareFile  
443 IP pública de ShareFile CTX208318 IP virtual de NetScaler para ShareFile  

Abra puertos desde la zona DMZ a la red interna:

Puerto TCP Descripción IP de origen Destino IP de destino
389 o 636 IP de NetScaler   IP de Active Directory  
53 (UDP) IP de NetScaler   IP del servidor DNS  
443 SNIP de NetScaler   IP del servidor Exchange (EAS)  
443 SNIP de NetScaler   Aplicaciones/Servicios Web internos  
443 SNIP de NetScaler   IP de ShareFile StorageZone Controller  

Abra puertos desde la red interna a la zona DMZ:

Puerto TCP Descripción IP de origen Destino IP de destino
443 Cliente de administración   IP de NetScaler  

Abra puertos desde la red interna a Internet:

Puerto TCP Descripción IP de origen Destino IP de destino
443 IP del servidor Exchange (EAS)   Agentes de escucha para notificaciones push de Endpoint Management (1)  
443 IP de ShareFile StorageZone Controller   Plano de control de ShareFile CTX208318

(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com

Abra puertos desde la red inalámbrica de empresa a Internet:

Puerto TCP Descripción IP de origen Destino IP de destino
5223 Dispositivo cliente Endpoint Management   Servidores Apple APNS 17.0.0.0/8
5228 Dispositivo cliente Endpoint Management   Google Cloud Messaging android.apis.google.com
5229 Dispositivo cliente Endpoint Management   Google Cloud Messaging android.apis.google.com
5230 Dispositivo cliente Endpoint Management   Google Cloud Messaging android.apis.google.com
443 Dispositivo cliente Endpoint Management   Servicio de notificaciones push de Windows *.notify.windows.com
443 / 80 Dispositivo cliente Endpoint Management   Tienda de aplicaciones iTunes de Apple ax.itunes.apple.com, *.mzstatic.com, vpp.itunes.apple.com
443 / 80 Dispositivo cliente Endpoint Management   Google Play play.google.com, android.clients.google.com, android.l.google.com
443 / 80 Dispositivo cliente Endpoint Management   Tienda de aplicaciones de Microsoft login.live.com, *.notify.windows.com
443 Dispositivo cliente Endpoint Management   Endpoint Management Auto Discovery Service discovery.mdm.zenprise.com
8443 / 443 Dispositivo cliente Endpoint Management   Endpoint Management  
443 IP de ShareFile StorageZone Controller   Plano de control de ShareFile CTX208318

Requisito de puerto para la conectividad con el servicio de detección automática

Esta configuración de puerto garantiza que los dispositivos Android que se conectan desde Secure Hub para Android puedan acceder al servicio de detección automática de Citrix ADS (Auto Discovery Service) desde dentro de la red interna. La capacidad de acceder a ADS es importante en el momento de descargar las actualizaciones de seguridad que están disponibles a través del servicio ADS.

Nota

Puede que las conexiones ADS no admitan su servidor proxy. En este caso, permita que la conexión ADS circunvale el servidor proxy.

Si quiere habilitar la fijación de certificados, debe cumplir los siguientes requisitos previos:

  • Obtenga certificados para el servidor Endpoint Management y NetScaler. Los certificados deben estar en formato PEM y deben ser un certificado público y no la clave privada.
  • Póngase en contacto con la asistencia técnica de Citrix y solicite la habilitación de la fijación de certificados. Durante este proceso, se le pedirán los certificados.

La fijación de certificados requiere que los dispositivos se conecten al servicio ADS antes de que el dispositivo se inscriba. Ese requisito garantiza que Secure Hub disponga de la información de seguridad más actualizada. Para que Secure Hub inscriba un dispositivo, éste debe contactar con el servicio ADS. Por lo tanto, es vital abrir el acceso al servicio ADS dentro de la red interna para permitir la inscripción de dispositivos.

Para que Secure Hub para Android acceda al servicio ADS, abra el puerto 443 para el nombre de dominio completo (FQDN) y las direcciones IP siguientes:

Nombre de dominio completo (FQDN) Dirección IP Puerto Uso de IP y puerto
discovery.mdm.zenprise.com 52.5.138.94 443 Secure Hub - Comunicación ADS
discovery.mdm.zenprise.com 52.1.30.122 443 Secure Hub - Comunicación ADS
ads.xm.cloud.com 34.194.83.188 443 Secure Hub - Comunicación ADS
ads.xm.cloud.com 34.193.202.23 443 Secure Hub - Comunicación ADS