Requisitos del sistema
Mientras espera a que Citrix aprovisione Endpoint Management, puede prepararse para la implementación de Endpoint Management instalando Cloud Connector. Aunque Citrix aloja y entrega su solución de Endpoint Management, se requiere que configure determinados puertos y vías de comunicación. Esa configuración conecta la infraestructura de Endpoint Management a los servicios de empresa, tales como Active Directory.
Requisitos de Cloud Connector
Citrix usa Cloud Connector para integrar la arquitectura de Endpoint Management en la infraestructura que usted tenga. Cloud Connector integra de forma segura las siguientes ubicaciones de recursos en Endpoint Management a través del puerto 443: LDAP, servidor PKI, consultas DNS internas y enumeración de Citrix Workspace.
-
Al menos dos máquinas Windows Server dedicadas que estén unidas a su dominio de Active Directory. Pueden ser máquinas físicas o virtuales. Para una instalación y un funcionamiento óptimos, la máquina donde se va a instalar Cloud Connector debe estar sincronizada con la hora UTC. Para obtener una lista completa de los requisitos más recientes, consulte el material de implementación que le facilite su equipo de cuentas de Citrix.
El asistente de incorporación le guiará a través de la instalación de Cloud Connector en esas máquinas.
-
Para obtener más requisitos del sistema para la plataforma, consulte Citrix Cloud Connector.
Niveles funcionales admitidos de Active Directory
Para el uso con Endpoint Management, Citrix Cloud Connector admite los siguientes niveles funcionales de bosque y dominio de Active Directory.
| Nivel funcional de bosque | Nivel funcional de dominio | Controladores de dominio admitidos |
|---|---|---|
| Windows Server 2008 R2 | Windows Server 2008 R2 | Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 | Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 | Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2016 | Windows Server 2016 | Windows Server 2016 |
Requisitos de Citrix Gateway
En estos casos, Endpoint Management requiere un Citrix Gateway instalado en su ubicación de recursos:
- Necesita una micro VPN para que las aplicaciones de línea de negocio puedan acceder a los recursos de la red interna. Esas aplicaciones están empaquetadas con la tecnología MDX de Citrix. La micro VPN necesita Citrix Gateway para conectarse a las infraestructuras back-end internas.
- Quiere usar aplicaciones de productividad móvil de Citrix, como Citrix Secure Mail.
- Tiene previsto integrar Endpoint Management en Microsoft Endpoint Manager.
Los requisitos:
- Autenticación de dominio (LDAP)
- Citrix Gateway 12.1 o una versión posterior, con una licencia universal o de plataforma
Para obtener información detallada, consulte Licencias.
- Certificado SSL público.
Para obtener información detallada, consulte Crear y utilizar certificados SSL en un dispositivo Citrix ADC.
- Dirección IP pública no utilizada para el servidor virtual Citrix Gateway
- Nombre de dominio completo (FQDN) que pueda resolverse públicamente para el servidor virtual Citrix Gateway
- Certificados raíz e intermedios de Endpoint Management alojado en Cloud (suministrados en el paquete de script)
- Dirección IP privada no utilizada para asignarla como IP del equilibrador de carga del proxy
- Para conocer los requisitos de puertos, consulte Requisitos de puertos para Citrix Gateway más adelante en este artículo.
- Integración de Citrix Endpoint Management en Microsoft Endpoint Manager
- Implementar una instancia de Citrix ADC VPX en Microsoft Azure
Para obtener información acerca de los requisitos de Citrix Gateway, consulte el material de implementación que le facilite su equipo de cuentas de Citrix.
Para obtener información sobre los requisitos de Android Enterprise, consulte la sección Android Enterprise.
Requisitos de Citrix Files
Los servicios de intercambio y sincronización de archivos que ofrece Citrix Files están disponibles en la oferta Premium de Endpoint Management Service. El controlador de zonas de almacenamiento amplía el almacenamiento en la nube de software como servicio (SaaS) de Citrix Files al ofrecer almacenamiento privado de datos a su cuenta de Citrix Files.
Requisitos del controlador de zonas de almacenamiento:
- Una máquina física o virtual dedicada
- Windows Server 2012 R2 o Windows Server 2016
- 2 CPU virtuales
- 4 GB de RAM
- 50 GB de espacio en disco
-
Roles del servidor para el servidor web (IIS):
- Desarrollo de aplicaciones: ASP. NET 4.5.2
- Seguridad: Autenticación básica
- Seguridad: Autenticación de Windows
Requisitos de plataforma para Citrix Files:
- El instalador de Citrix Files requiere privilegios de administrador en el servidor Windows
- Nombre de usuario del administrador de Citrix Files
Requisitos de puertos
Para que dispositivos y aplicaciones puedan comunicarse con Endpoint Management, debe abrir puertos específicos en los firewalls. El siguiente diagrama muestra el flujo del tráfico de Endpoint Management.
En los siguientes apartados se ofrece una lista de los puertos que se deben abrir. Para obtener información sobre las direcciones URL que utilizan las aplicaciones móviles de productividad, consulte Administrar marcas de función.
Requisitos de puertos de Citrix Gateway
Abra puertos para permitir las conexiones de usuario desde Citrix Secure Hub y Citrix Workspace a través de Citrix Gateway a:
- Endpoint Management
- StoreFront
- Otros recursos de red interna, como los sitios web de intranet
Para obtener más información sobre Citrix Gateway, consulte Configurar parámetros para el entorno de Citrix Endpoint Management en la documentación de Citrix Gateway. Para obtener información sobre las direcciones IP, consulte Cómo utiliza NetScaler Gateway las direcciones IP en la documentación de NetScaler Gateway.
| Puerto TCP | Descripción | Origen | Destino |
|---|---|---|---|
| 53 (TCP y UDP) | Se utiliza para las conexiones DNS. | Dirección IP de subred de Citrix Gateway | Servidor DNS |
| 80/443 | Citrix Gateway transfiere la conexión micro VPN al recurso de la red interna a través del segundo firewall. | Dirección IP de subred de Citrix Gateway | Sitios web de la intranet |
| 123 (TCP y UDP) | Se usa para los servicios del protocolo de tiempo de red (NTP). | Dirección IP de subred de Citrix Gateway | Servidor NTP |
| 389 | Se usa para conexiones de protocolo LDAP no seguras. | NSIP de Citrix Gateway (o, si usa un equilibrador de carga, SNIP) | Servidor de autenticación LDAP o Microsoft Active Directory |
| 443 | Se usa para conexiones a StoreFront desde Citrix Workspace a Citrix Virtual Apps and Desktops. | Internet | Citrix Gateway |
| 443 | Se utiliza para las conexiones a Endpoint Management con el objetivo de entregar aplicaciones web, aplicaciones para móvil y aplicaciones SaaS. | Internet | Citrix Gateway |
| 443 | Se utiliza para la comunicación de Cloud Connector: enumeración de LDAP, DNS, PKI y Citrix Workspace | Servidores de Cloud Connectors | https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.cloud.us (government), https://*.blob.core.windows.net/, https://*.servicebus.windows.net |
| 443 | Se utiliza para acceder al portal Self-Help Portal de Endpoint Management, si está habilitado, a través del explorador. | Punto de acceso (explorador) | Endpoint Management (https://<sitename>/zdm/shp) |
| 636 | Se usa para conexiones seguras de protocolo LDAP. | NSIP de Citrix Gateway (o, si usa un equilibrador de carga, SNIP) | Servidor de autenticación LDAP o Active Directory |
| 1494 | Se usa para las conexiones ICA a aplicaciones Windows en la red interna. Citrix recomienda mantener este puerto abierto. | Dirección IP de subred de Citrix Gateway | Citrix Virtual Apps and Desktops |
| 1812 | Se utiliza para las conexiones RADIUS. | NSIP de Citrix Gateway | Servidor de autenticación RADIUS |
| 2598 | Se utiliza para las conexiones a aplicaciones Windows en la red interna mediante la función de fiabilidad de la sesión. Citrix recomienda mantener este puerto abierto. | Dirección IP de subred de Citrix Gateway | Citrix Virtual Apps and Desktops |
| 3269 | Se usa para conexiones seguras LDAP del catálogo global de Microsoft. | NSIP de Citrix Gateway (o, si usa un equilibrador de carga, SNIP) | Servidor de autenticación LDAP o Active Directory |
| 4443 | Se utiliza para que un administrador acceda a la consola de Endpoint Management a través del explorador. | Punto de acceso (explorador) | Endpoint Management |
| 8443 | Se utiliza para la inscripción, la administración de aplicaciones para móvil (MAM) y el almacén de aplicaciones. | Dirección IP de subred de Citrix Gateway | Endpoint Management |
| 8443 | El puerto Secure Ticket Authority (STA) se utiliza para el token de autenticación de Secure Mail. | Dirección IP de subred de Citrix Gateway | Endpoint Management |
Requisitos de red y firewall
Para que dispositivos y aplicaciones puedan comunicarse con Endpoint Management, debe abrir puertos específicos en los firewalls. En las siguientes tablas, se ofrece una lista de esos puertos.
Abra puertos desde la red interna a Citrix Cloud:
| Puerto TCP | IP de origen | Descripción | Destino | IP de destino |
|---|---|---|---|---|
| 443 | Cloud Connector | https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.cloud.us (government), https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net |
||
| 443 | Consola de administración | https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.cloud.us (government), https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads |
||
| 443 | Acceso al portal Self-Help Portal de Endpoint Management a través de un explorador (si el portal está habilitado) | Endpoint Management | ||
| 4443 | Acceso a consola de Endpoint Management a través de un explorador | Endpoint Management |
Abra puertos desde Internet a la zona DMZ:
| Puerto TCP | Descripción | IP de origen | Destino | IP de destino |
|---|---|---|---|---|
| 443 | Dispositivo cliente Endpoint Management | IP de Citrix Gateway | ||
| 443 | Dispositivo cliente Endpoint Management | Dirección IP virtual de Citrix Gateway | ||
| 443 | Dirección IP pública de Citrix Files | CTX208318 | Dirección IP virtual de Citrix Gateway |
Abra puertos desde la zona DMZ a la red interna:
| Puerto TCP | Descripción | IP de origen | Destino | IP de destino |
|---|---|---|---|---|
| 389 o 636 | NSIP de Citrix Gateway | IP de Active Directory | ||
| 53 (UDP) | NSIP de Citrix Gateway | IP del servidor DNS | ||
| 443 | Dirección IP de subred de Citrix Gateway | IP del servidor Exchange (EAS) | ||
| 443 | Dirección IP de subred de Citrix Gateway | Aplicaciones/Servicios web internos | ||
| 443 | Dirección IP de subred de Citrix Gateway | IP del controlador de zonas de almacenamiento |
Abra puertos desde la red interna a la zona DMZ:
| Puerto TCP | Descripción | IP de origen | Destino | IP de destino |
|---|---|---|---|---|
| 443 | Cliente de administración | NSIP de Citrix Gateway |
Abra puertos desde la red interna a Internet:
| Puerto TCP | Descripción | IP de origen | Destino | IP de destino |
|---|---|---|---|---|
| 443 | IP del servidor Exchange (EAS) | Agentes de escucha para notificaciones push de Endpoint Management (1) | ||
| 443 | IP del controlador de zonas de almacenamiento | Plano de control de Citrix Files | CTX208318 |
(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com
Abra puertos desde la red Wi-Fi corporativa a Internet:
| Puerto TCP | Descripción | IP de origen | Destino | IP de destino |
|---|---|---|---|---|
| 8443 / 443 | Dispositivo cliente Endpoint Management | Endpoint Management | ||
| 5223 | Dispositivo cliente Endpoint Management | Servidores Apple APNS | 17.0.0.0/8 |
|
| 5228 | Dispositivo cliente Endpoint Management | Firebase Cloud Messaging | android.apis.google.com, fcm.googleapis.com |
|
| 5229 | Dispositivo cliente Endpoint Management | Firebase Cloud Messaging | android.apis.google.com, fcm.googleapis.com |
|
| 5230 | Dispositivo cliente Endpoint Management | Firebase Cloud Messaging | android.apis.google.com, fcm.googleapis.com |
|
| 443 | Dispositivo cliente Endpoint Management | Firebase Cloud Messaging | fcm.googleapis.com |
|
| 443 | Dispositivo cliente Endpoint Management | Servicio de notificaciones push de Windows | *.notify.windows.com |
|
| 443 / 80 | Dispositivo cliente Endpoint Management | Tienda de aplicaciones iTunes de Apple | ax.apps.apple.com, *.mzstatic.com, vpp.itunes.apple.com |
|
| 443 / 80 | Dispositivo cliente Endpoint Management | Google Play | play.google.com, android.clients.google.com, android.l.google.com, android.com, google-analytics.com |
|
| 443 / 80 | Dispositivo cliente Endpoint Management | Tienda de aplicaciones de Microsoft | login.live.com, *.notify.windows.com |
|
| 443 | Dispositivo cliente Endpoint Management | Servicio de detección automática de Endpoint Management para iOS y Android | discovery.cem.cloud.us |
|
| 443 | Dispositivo cliente Endpoint Management | Servicio de detección automática de Endpoint Management para Windows |
enterpriseenrollment.mycompany.com, discovery.cem.cloud.us
|
|
| 443 | IP del controlador de zonas de almacenamiento | Plano de control de Citrix Files | CTX208318 | |
| 443 | Dispositivo cliente Endpoint Management | Administración de Google Mobile, API de Google, API de Google Play Store | *.googleapis.com |
|
| 443 | Dispositivo cliente Endpoint Management | Durante la comprobación de conectividad, se buscan versiones de CloudDPC anteriores a 470. Las comprobaciones de conectividad de Android a partir de N MR1 requieren que https://www.google.com/generate_204 sea accesible, o que la red Wi-Fi en cuestión apunte a un archivo PAC accesible. |
connectivitycheck.android.com, www.google.com |
Requisito de puerto para la conectividad con AutoDiscovery Service
Esta configuración de puerto garantiza que los dispositivos Android que se conectan desde Secure Hub para Android puedan acceder al servicio de detección automática (AutoDiscovery Service/ADS) de Endpoint Management desde dentro de la red interna. La capacidad de acceder a ADS es importante en el momento de descargar las actualizaciones de seguridad que están disponibles a través del servicio ADS.
Nota:
Puede que las conexiones ADS no admitan su servidor proxy. En este caso, permita que la conexión ADS circunvale el servidor proxy.
Si quiere habilitar la fijación de certificados, debe cumplir los siguientes requisitos previos:
- Obtenga certificados para el servidor de Endpoint Management y Citrix Gateway: Los certificados deben estar en formato PEM y deben ser certificados públicos y no las claves privadas.
- Contacte con la asistencia de Citrix y solicite que se habilite la fijación de certificados: Durante este proceso, se le solicitarán los certificados.
La fijación de certificados requiere que los dispositivos se conecten al servicio ADS antes de que el dispositivo se inscriba. Ese requisito garantiza que Secure Hub disponga de la información de seguridad más actualizada. Para que Secure Hub inscriba un dispositivo, éste debe contactar con el servicio ADS. Por lo tanto, es vital abrir el acceso al servicio ADS dentro de la red interna para permitir la inscripción de dispositivos.
Para que Secure Hub para Android/iOS acceda al servicio ADS, abra el puerto 443 para este nombre de dominio completo (FQDN):
| FQDN | Puerto | Uso de IP y puerto |
|---|---|---|
discovery.cem.cloud.us |
443 | Secure Hub: Comunicación ADS a través de CloudFront |
Para obtener información sobre las direcciones IP admitidas, consulte Cloud-based storage centers from AWS.
Requisitos de red de Android Enterprise
Para obtener información sobre las conexiones salientes que se deben tener en cuenta al configurar entornos de red para Android Enterprise, consulte el artículo Android Enterprise Network Requirements de la asistencia técnica de Google.
Requisitos de aplicación
Citrix Endpoint Management permite agregar y mantener hasta 300 aplicaciones. Si supera este límite, el sistema se volverá inestable.