Documento técnico: Puertos de comunicación utilizados por Citrix Technologies
En este artículo se proporciona una descripción general de los puertos comunes que utilizan los componentes de Citrix y que deben considerarse parte de la arquitectura de red, especialmente si el tráfico de comunicaciones atraviesa componentes de red, como firewalls o servidores proxy, donde los puertos deben abrirse para garantizar el flujo de comunicación.
No todos los puertos deben estar abiertos, dependiendo de la implementación y los requisitos.
NetScaler SDX
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| Estación de trabajo de administración | NetScaler SDX ilumina la administración | TCP | 80, 443 | HTTP o HTTPS - Administración de GUI |
| SVM de NetScaler SDX | TCP | 80, 443 | HTTP o HTTPS: comunicación GUI y NITRO | |
| TCP | 22 | Acceso SSH/SCP | ||
| Hipervisor NetScaler SDX | TCP | 22 | Acceso SSH/SCP | |
| SVM de NetScaler SDX | Instancia de NetScaler | TCP | 80, 443 | HTTP o HTTPS: comunicación GUI y NITRO |
| TCP | 22 | Acceso SSH/SCP | ||
| ICMP | Uso del protocolo ICMP para comprobar la disponibilidad de la instancia | |||
| Servidor NTP | UDP | 123 | Puerto de servidor NTP predeterminado para la sincronización con múltiples fuentes de tiempo | |
| NSIP de NetScaler | SVM de NetScaler SDX | SNMP | 161, 162 | Eventos/capturas SNMP de instancias de ADC a SDX SVM |
| ICMP | Uso del protocolo ICMP para comprobar la disponibilidad de la instancia |
NetScaler
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| NSIP de NetScaler | Appliances NetScaler en configuración de clúster | UDP | 7000 | Intercambio de latidos del clúster |
| Appliance NetScaler (para alta disponibilidad) | UDP | 3003 | Intercambio de paquetes de saludo para comunicar el estado UP/DOWN (latido del corazón) | |
| Appliance NetScaler (para alta disponibilidad) | TCP | 3008 | Sincronización segura de configuración de alta disponibilidad | |
| Dispositivo NetScaler (para el equilibrio de carga global del sitio) | TCP | 3009 | Para MEP seguro. | |
| Appliance NetScaler (para alta disponibilidad) | TCP | 3010 | Sincronización de configuración de alta disponibilidad no segura. | |
| Dispositivo NetScaler (para el equilibrio de carga global del sitio) | TCP | 3011 | Para MEP no seguro. | |
| Dispositivo NetScaler ADM | UDP | 162 | Trampas de ADC a NetScaler ADM Center | |
| Appliance NetScaler (para alta disponibilidad) | TCP | 22 | Utilizado por el proceso rsync durante la sincronización de archivos en la configuración de alta disponibilidad | |
| Servidor DNS | TCP, UDP | 53 | Resolución de nombres DNS | |
| Servidor NTP | UDP | 123 | Puerto de servidor NTP predeterminado para la sincronización con múltiples fuentes de tiempo | |
| URL de firma del Firewall de aplicaciones | TCP | 443 | Actualizaciones de firmas alojadas en AWS | |
| URL de firma de administración de bots | TCP | 443 | Actualizaciones de firmas alojadas en AWS | |
| ADC ilumina la administración | TCP | 4001, 5900, 623 | Demonio que ofrece administración de configuración completa y unificada de todos los protocolos de redirección | |
| Servidor LDAP | TCP | 636 | Conexión SSL LDAP | |
| TCP | 3268 | Conexión LDAP al catálogo global | ||
| TCP | 3269 | Conexión LDAP al Catálogo Global a través de SSL | ||
| TCP | 389 | Texto sin formato LDAP o TLS | ||
| Servidor RADIUS | UDP | 1813 | Contabilidad RADIUS | |
| UDP | 1645, 1812 | Conexión RADIUS | ||
| Thales HSM | TCP | 9004 | RFS y Thales HSM | |
| NSIP de NetScaler | NetScaler ADM | UDP | 4739 | Para la comunicación de AppFlow |
| SNMP | 161, 162 | Para enviar eventos/capturas SNMP | ||
| Syslog | 514 | Para recibir mensajes syslog en NetScaler ADM | ||
| SNIP de NetScaler | NetScaler ADM | TCP | 5563 | Para métricas de ADC (contadores), eventos del sistema y mensajes de registro de auditoría de NetScaler a NetScaler ADM. |
| TCP | 5557, 5558 | Para la comunicación logstream de NetScaler a NetScaler ADM. | ||
| Estación de trabajo de administración | NSIP de NetScaler | TCP | 80, 443 | HTTP o HTTPS - Administración de GUI |
| TCP | 22 | Acceso SSH |
Nota:
Según la configuración de NetScaler, el tráfico de red puede originarse desde interfaces SNIP, MIP o NSIP. Si ha configurado NetScalers en modo de alta disponibilidad, NetScaler ADM utiliza la dirección IP de subred de NetScaler (SNIP de administración) para comunicarse con NetScaler.
NetScaler ADM
| Origen | Destino | Tipo | Puerto | Detalles |
| ———————– | —————————————– | —— | —————- | ————————————————————————————————————————————————————- |
| NetScaler ADM | Instancia NSIP de NetScaler o Citrix SD-WAN | TCP | 80, 443 | Para comunicación NITRO |
| | | TCP | 22 | Para comunicación SSH |
| | | ICMP | Sin puerto reservado | Para detectar la accesibilidad de la red entre las instancias de NetScaler ADM y ADC, las instancias SD-WAN o el servidor secundario de NetScaler ADM implementado en modo de alta disponibilidad. |
| | NetScaler ADM | TCP | 22 | Para la sincronización entre los servidores NetScaler ADM implementados en modo de alta disponibilidad. |
| | | TCP | 5454 | Puerto predeterminado para la comunicación y sincronización de bases de datos entre nodos NetScaler ADM en modo de alta disponibilidad. |
| | Usuarios | TCP | 25 | Para enviar notificaciones SMTP desde NetScaler ADM a los usuarios. |
| | Servidor de autenticación externa LDAP | TCP | 389, 636 | Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre NetScaler ADM y el servidor de autenticación externo LDAP. |
| | Servidor NTP | UDP | 123 | Puerto de servidor NTP predeterminado para sincronizar con varias fuentes de tiempo. |
| | Servidor de autenticación externa RADIUS | RADIUS | 1812 | Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre NetScaler ADM y el servidor de autenticación externo RADIUS. |
| | Servidor de autenticación externo TACACS | TACACS | 49 | Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre NetScaler ADM y el servidor de autenticación externo TACACS. |
| Instancia de NetScaler/CPX | Servidor/agente de licencias NetScaler ADM | TCP | 27000 | Puerto de licencia para la comunicación entre el servidor/agente de licencias de NetScaler ADM y la instancia de ADC/CPX. |
| | | TCP | 7279 | Puerto del demonio de proveedor Citrix. |
| | Citrix ADM | UDP | 5005
| Puerto para intercambiar latidos entre nodos HA. |
| | NSIP de NetScaler | TCP | 161 | Para enviar eventos SNMP |
| NSIP de NetScaler | NetScaler ADM | UDP | 162 | Para recibir trampas SNMP de NetScaler |
| | | UDP | 4739 | Para recibir datos de registro de análisis de ADC mediante el protocolo IPFIX |
| | | UDP | 514 | Para recibir mensajes de syslog de NetScaler ADM |
| SNIP de NetScaler | NetScaler ADM | TCP | 5563 | Para recibir métricas de ADC (contadores), eventos del sistema y mensajes de registro de auditoría de la instancia de NetScaler a NetScaler ADM |
| | | TCP | 5557, 5558 | Para la comunicación de flujo de registro (para Security Insight, Web Insight y HDX Insight) desde NetScaler |
| NetScaler ADM | Agente de NetScaler ADM | TCP | 443, 7443, 8443 | Puerto de comunicación entre el agente NetScaler y NetScaler ADM |
Nota:
Si ha configurado NetScalers en modo de alta disponibilidad, NetScaler ADM utiliza la dirección IP de la subred de NetScaler (SNIP de administración) para comunicarse con NetScaler.
CTX124386 describe cómo cambiar el origen, para comunicar mensajes syslog a ADM, del NSIP al SNIP
Citrix Cloud
El único componente de Citrix necesario para que sirva como canal de comunicación entre Citrix Cloud y sus ubicaciones de recursos es un conector. Este conector puede ser un Connector Appliance o un Cloud Connector, según su caso de uso. Para obtener más información sobre el conector que necesita, consulte Tipos de recursos.
Connector Appliance
Una vez instalado, el Connector Appliance inicia la comunicación con Citrix Cloud a través de una conexión saliente. Todas las conexiones se establecen desde el Connector Appliance hacia la nube mediante el puerto HTTPS estándar (443) y el protocolo TCP. No se permiten conexiones entrantes.
Esta es una lista de los puertos a los que el Connector Appliance necesita acceder:
| Servicio | Puerto | Protocolo de dominio compatible | Detalles de configuración |
|---|---|---|---|
| DNS | 53 | TCP/UDP | Este puerto debe estar abierto a la configuración local |
| NTP | 123 | UDP | Este puerto debe estar abierto a la configuración local |
| HTTPS | 443 | TCP | El Connector Appliance necesita un acceso saliente a este puerto |
Para configurar el Connector Appliance, los administradores de TI deben poder acceder a la interfaz de administración en el puerto 443 (HTTPS) del Connector Appliance.
Nota: Debe incluir
https://al principio de la dirección IP.
Connector Appliance con Active Directory
Se necesitan puertos adicionales para usar Active Directory con Connector Appliance. El Connector Appliance requiere una conexión de salida al dominio de Active Directory a través de los siguientes puertos:
| Servicio | Puerto | Protocolo de dominio compatible |
|---|---|---|
| Kerberos | 88 | TCP/UDP |
| End Point Mapper (servicio de localización DCE/RPC) | 135 | TCP |
| Servicio de nombres de NetBIOS | 137 | UDP |
| Datagrama de NetBIOS | 138 | UDP |
| Sesión de NetBIOS | 139 | TCP |
| LDAP | 389 | TCP/UDP |
| SMB a través de TCP | 445 | TCP |
| Contraseña de Kerberos | 464 | TCP/UDP |
| Catálogo global | 3268 | TCP |
| Puertos RPC dinámicos | 49152..65535 | TCP |
Cloud Connector
Todas las conexiones se establecen desde Cloud Connector hacia la nube mediante el puerto HTTPS estándar (443) y el protocolo TCP. No se aceptan conexiones entrantes.
Cloud Connectors debe poder conectarse a Digicert para comprobar la revocación de certificados.
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| Cloud Connectors | http://*.digicert.com |
HTTP | 80 | Comprobaciones periódicas de la lista de revocación |
https://*.digicert.com |
HTTPS | 443 | ||
https://dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | ||
https://dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 |
Para encontrar la lista de direcciones que son comunes a la mayoría de los servicios de Citrix Cloud y su función, consulte la documentación del producto.
Citrix DaaS
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| Virtual Delivery Agent | Gateway Service | TCP, UDP | 443 | Protocolo de cita. |
| Cloud Connectors | Cloud Connectors | TCP | 80 | La comunicación entre Delivery Controllers está asegurada mediante WCF. |
| TCP | 89 | Caché de host local protegida mediante WCF. | ||
| TCP | 9095 | Servicio de orquestación protegido mediante WCF. | ||
| Cloud Connectors | Maestro del grupo de recursos de XenServer | TCP | 80, 443 | Comunicación con la infraestructura de XenServer. |
| Servidor SCVMM de Microsoft | TCP | 8100 | Comunicación con la infraestructura SCVMM/Hyper-V de Microsoft. | |
| Servidor VMware vCenter | TCP | 443 | Comunicación con la infraestructura VMware vSphere. | |
| Nutanix AHV | TCP | 9440 | Comunicación con la infraestructura AHV de Nutanix. | |
| Cloud Connectors | Virtual Delivery Agent | TCP, UDP | 1494 | Acceso a aplicaciones y escritorios virtuales por ICA/HDX. El protocolo de transporte de datos más ligero (EDT) requiere que 1494 esté abierto para UDP. |
| TCP | 80 | El registro de Citrix VDA con Citrix Cloud Connector está protegido mediante WCF. La comunicación debe ser bidireccional. | ||
| TCP, UDP | 2598 | Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX con fiabilidad de sesión. El protocolo de transporte de datos más ligero (EDT) requiere que 2598 esté abierto para UDP. | ||
| Cloud Connectors | Agente de WEM | TCP | 49752 | “Puerto del agente”. El puerto de escucha del host del agente que recibe las instrucciones de Cloud Connector está protegido mediante WCF. |
| Cloud Connectors | Servidor de archivos | TCP | 139,445 | Acceso a VDI que actúa como puntos de montaje de CSV del servidor de archivos. |
| Cloud Connectors | Servidor FAS de Citrix | TCP | 80 | Envíe la afirmación de identidad del usuario protegida mediante WCF. |
| Consola del servidor de Citrix Provisioning | Cloud Connectors | HTTPS | 443 | Integración del servidor de Provisioning con Citrix Cloud Studio. |
| Citrix License Server | Citrix Cloud | HTTPS | 443 | Integración del servidor de licencias de Citrix con Citrix Cloud. |
| Servidor FAS de Citrix | Citrix Cloud | HTTPS | 443 | Conexión entre Citrix FAS y Citrix Cloud. |
| SDK de PowerShell remoto de Citrix DaaS | Citrix Cloud | HTTPS | 443 | Cualquier sistema que ejecute scripts basados en el SDK de PowerShell remoto de Citrix DaaS. |
| Aplicación Citrix Workspace | Virtual Delivery Agent | TCP,UDP | 1494 | Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX para una conexión directa de carga de trabajo que evita el tráfico interno de Citrix Gateway Service. |
| TCP,UDP | 2598 | Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX con fiabilidad de sesión para una conexión directa de carga de trabajo que evita el tráfico interno de Citrix Gateway Service. | ||
| Agente de WEM | Cloud Connectors | TCP | 8080 | Puerto en el que el agente local se conecta a Cloud Connector. Este puerto está disponible para conexiones LAN (red de área local) de salida. Los mensajes a través del puerto están protegidos con la seguridad a nivel de mensajes de Windows Communication Foundation (WCF). |
| Servicio WEM de Citrix | HTTPS | 443 | Puerto en el que el agente local se conecta al WEM Service de Citrix Cloud. Este puerto está disponible para conexiones a Internet salientes. |
Obtenga más información sobre la integración del servidor de licencias de Citrix aquí.
Obtenga más información sobre la integración de Citrix Provisioning Server aquí.
Obtenga más información sobre el SDK de PowerShell remoto de Citrix DaaS aquí.
Citrix Gateway Service
De forma predeterminada, Gateway Service hará de intermediario en conexiones HDX a través de Citrix Cloud Connectors; sin embargo, el protocolo Rendezvous cambia el flujo de conexiones HDX en un intento de conectar directamente el agente de entrega virtual al servicio de puerta de enlace sin pasar por alto los conectores de Citrix Cloud
Protocolo de encuentro y Protocolo de HDX Enlightened Data Transport (EDT)
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| Virtual Delivery Agent | Gateway Service | UDP | 443 | EDT UDP más de 443 a Gateway Service |
Los agentes de entrega virtuales deben tener acceso a https://*.nssvc.net, incluidos todos los subdominios. O https://*.c.nssvc.net y https://*.g.nssvc.net.
Nota:
Si utiliza EDT en Microsoft Azure, UDP debe definirse en el grupo de seguridad de red de Azure (NSG) que protege el agente de entrega virtual
Obtenga más información sobre los requisitos del protocolo Rendezvous y del protocolo Enlightened Data Transport (EDT) de HDX aquí.
Servicio de grabación de sesiones de Citrix
Consulte el siguiente enlace para conocer los puertos del Servicio de grabación de sesiones de Citrix: Requisitos de conectividad
Citrix Endpoint Management
Consulte el siguiente enlace para ver los requisitos de puertos de Citrix Endpoint Management (XenMobile): Requisitos de puertos.
Citrix Gateway
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| Dirección IP de subred de Citrix Gateway | Servidor LDAP (equilibrio de carga) | TCP | 636 | Conexión SSL LDAPS |
| TCP | 3268 | Conexión LDAP al catálogo global | ||
| TCP | 3269 | Conexión LDAP al Catálogo Global a través de SSL | ||
| TCP | 389 | Texto sin formato LDAP o TLS | ||
| Servidor RADIUS (equilibrio de carga) | UDP | 1813 | Contabilidad RADIUS | |
| UDP | 1645, 1812 | Conexión RADIUS | ||
| Secure Ticketing Authority (STA) | TCP | 80, 8080, 443 | Secure Ticket Authority (incrustada en el servicio XML) | |
| Virtual Delivery Agent | TCP, UDP | 1494 | Acceso a aplicaciones y escritorios virtuales por ICA/HDX. El protocolo de transporte de datos más ligero (EDT) requiere que 1494 esté abierto para UDP. | |
| TCP, UDP | 2598 | Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX con fiabilidad de sesión. El protocolo de transporte de datos más ligero (EDT) requiere que 2598 esté abierto para UDP. | ||
| TCP, UDP | 443 | Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX a través de TLS/DTLS. | ||
| UDP | 16500..16509 | Transporte de audio en tiempo real ICA/HDX por UDP | ||
| StoreFront | TCP | 80, 443 | Comunicación de Citrix Gateway con StoreFront | |
| Plug-in de Citrix Gateway | VPN/CVAD | UDP | 3108, 3168, 3188 | Para túnel VPN con conexiones ICA seguras |
| TCP, UDP | 3148, 3149, 3159 | Para túnel VPN con conexiones ICA seguras | ||
| Estación de trabajo de administración | Citrix Gateway | TCP | 80, 443 | HTTPS - Administración de GUI |
| TCP | 22 | Acceso SSH | ||
| Citrix Gateway | DNS | TCP, UDP | 53 | Comunicación con el servidor DNS |
Para obtener más información sobre los puertos necesarios para Citrix Gateway en la configuración de DMZ, consulte CTX113250.
Nota:
Todos los puertos anteriores no son obligatorios, dependiendo de su propia configuración.
XenServer
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| Citrix Hypervisor | Citrix Hypervisor | TCP | 443 | Comunicación dentro del host entre los miembros de un grupo de recursos mediante XenAPI |
| Servicio NTP | TCP, UDP | 123 | Sincronización de tiempo | |
| Controlador de dominio del servicio DNS | TCP, UDP TCP | 53, 389 | Autenticación de usuario DNS al utilizar la integración de Active Directory (LDAP) | |
| TCP | 636 | LDAP sobre SSL (LDAPS) | ||
| FileServer | TCP, UDP | 139 | ISOStore:NetBIOSSessionService | |
| TCP, UDP | 445 | ISOStore:Microsoft-DS | ||
| Controlador SAN | TCP | 3260 | Almacenamiento iSCSI | |
| Servidor de archivos/Encabezado NAS | TCP | 2049 | Almacenamiento NFS | |
| Syslog | TCP | 514 | Envía datos a una ubicación central para intercalación | |
| Agrupar en clústeres | TCP | 8892, 21064 | Comunicación entre todos los miembros del grupo de un grupo agrupado en clúster. | |
| UDP | 5404, 5405 | |||
| Estación de trabajo de administración (XenCenter) | XenServer | TCP | 22 | SSH |
| TCP | 443 | Administración con XenAPI | ||
| Máquina virtual | TCP | 5900 | VNC para invitados Linux | |
| TCP | 3389 | RDP para WindowsGuests |
Lea más sobre los requisitos del servidor de licencias de Citrix aquí.
Nota:
Si se utiliza FQDN en lugar de IP como recurso, asegúrese de que se puede resolver.
Citrix License Server
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| Cualquier componente de Citrix | Citrix License Server | TCP | 27000 | Gestiona el punto de contacto inicial para las solicitudes de licencia |
| TCP | 7279 | Registro y salida de licencias de Citrix | ||
| Delivery Controller | Citrix License Server | TCP | 8082 | Consola de administración basada en web (Lmadmin.exe) |
| TCP | 8083 | Puerto Simple License Service (requerido para CVAD) | ||
| Estación de trabajo de administración | Citrix License Server | TCP | 8082 | Consola de administración basada en web (Lmadmin.exe) |
| TCP | 8083 | Puerto Simple License Service (requerido para CVAD) | ||
| TCP | 80 | Servicio de complemento PowerShell de configuración de licencias | ||
| Citrix License Server | https://cis.citrix.com |
HTTPS | 443 | Informes de telemetría de licencias automatizados de Citrix License |
Citrix SD-WAN
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| SD-WAN Standard y Enterprise Edition | SD-WAN Standard y Enterprise Edition | UDP | 4980 | Túneles de ruta virtual estática y ruta virtual dinámica entre dispositivos SD-WAN SE/EE. |
| Centro SD-WAN | TCP | 2156 | Informes de comunicación entre SD-WAN Center y dispositivos SD-WAN SE/EE. | |
| Servicio de implementación de Citrix Cloud Zero Touch | TCP | 443 | Comunicación de autenticación entre dispositivos SD-WAN y Citrix Cloud Services. | |
| RADIUS | TCP | 1812 | Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre SD-WAN SE/EE y el servidor de autenticación externa RADIUS. | |
| TACACS+ | TACACS | 49 | Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre SD-WAN SE/EE y el servidor de autenticación externo TACACS. | |
| SNMP | UDP | 161, 162 | Autenticación SNMP y sondeo a dispositivos SD-WAN SE/EE. | |
| NetFlow | UDP | 2055 | Sondeo de NetFlow a dispositivos SD-WAN SE/EE. | |
| AppFlow (NetScaler ADM) | TCP | 4739 | Para la comunicación de AppFlow entre los dispositivos NetScaler ADM y SD-WAN SE/EE. | |
| API | TCP | 80, 443 | Para comunicación NITRO API con dispositivos SD-WAN SE/EE. | |
| Centro SD-WAN | Servicio de implementación de Citrix Cloud Zero Touch | TCP | 443 | Comunicación de autenticación entre dispositivos SD-WAN y Citrix Cloud Services. |
| Edición WANOP SD-WAN | Edición WANOP SD-WAN | TCP | N/D | SD-WAN WO Edition optimiza de forma transparente el tráfico TCP entre dos sitios. El destino de origen y el puerto originales no cambian en todos los segmentos de la red. |
| API (NetScaler ADM) | TCP | 80, 443 | Para la comunicación NITRO API entre los dispositivos NetScaler ADM y SD-WAN WANOP. | |
| SSH (NetScaler ADM) | TCP | 22 | Para la comunicación SSH entre los dispositivos NetScaler ADM y SD-WAN WANOP. | |
| AppFlow (NetScaler ADM) | TCP | 4739 | Para la comunicación de AppFlow entre los dispositivos NetScaler ADM y SD-WAN WANOP. | |
| NetScaler ADM | ICMP | N/D | Para el acceso a la red entre los dispositivos NetScaler ADM y SD-WAN WANOP. | |
| RADIUS | TCP | 1812 | Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre SD-WAN WO y el servidor de autenticación externa RADIUS. | |
| TACACS+ | TACACS | 49 | Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre SD-WAN WO y el servidor de autenticación externo TACACS. | |
| SNMP | UDP | 161, 162 | Autenticación SNMP y sondeo a dispositivos SD-WAN WO. | |
| SD-WAN WANOP Edition (Aceleración SSL habilitada) | SD-WAN WANOP Edition (Aceleración SSL habilitada) | TCP | 443 | La función de emparejamiento seguro SD-WAN WO Edition cifra el tráfico entre pares SD-WAN. |
| Citrix Orchestrator local | 9.9.9.9 | UDP/TCP | 53 | Resolución de DNS de los dominios de servicios en la nube pertinentes |
| SD-WAN Standard y Enterprise Edition | TCP | 443 | Comunicación entre Orchestrator On-Premises y dispositivos SD-WAN SE/EE | |
| Citrix Cloud | TCP | 443 | Comunicación de autenticación con los servicios de Citrix Cloud | |
| SD-WAN Standard y Enterprise Edition | SSH | 22 | Comunicación entre Orchestrator On-Premises y dispositivos SD-WAN SE/EE |
Citrix Virtual Apps and Desktops
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| Delivery Controller | Maestro del grupo de recursos de XenServer | TCP | 80, 443 | Comunicación con la infraestructura de XenServer |
| Servidor SCVMM de Microsoft | TCP | 8100 | Comunicación con la infraestructura de Hyper-V | |
| Servidor VMware vCenter | TCP | 443 | Comunicación con la infraestructura de vSphere | |
| Nutanix AHV | TCP | 9440 | Comunicación con la infraestructura AHV de Nutanix | |
| Microsoft SQL Server | TCP | 1433 | Microsoft SQL Server | |
| Virtual Delivery Agent | TCP | 80 (Bidireccional) | El Delivery Controller inicia la conexión al descubrir aplicaciones locales o para recopilar información sobre los procesos locales, los datos de rendimiento, etc. | |
| Delivery Controller | TCP | 80 | Comunicación entre Delivery Controllers | |
| TCP | 89 | Caché de host local (este uso del puerto 89 puede cambiar en futuras versiones). | ||
| TCP | 9095 | Servicio de orquestación | ||
| Director | Delivery Controller | TCP | 80, 443 | Comunicación con Citrix Delivery Controllers |
| Estación de trabajo de administrador y Citrix Director | Virtual Delivery Agent | TCP | 135,3389 | Comunicación entre Citrix Director y Virtual Delivery Agent para asistencia remota |
| TCP | 389 | Nota de LDAP: Para el paso de inicio de sesión, Citrix Director no se pone en contacto con AD, sino que realiza un inicio de sesión local mediante la API nativa de Windows, LoginUser (que puede contactar internamente con AD). | ||
| Aplicación Citrix Workspace | StoreFront | TCP, UDP | 80,443 | Comunicación con StoreFront |
| Virtual Delivery Agent | TCP, UDP | 1494 | Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX para una conexión directa de carga de trabajo que evita el tráfico interno de Citrix Gateway Service. | |
| Virtual Delivery Agent | TCP, UDP | 2598 | Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX con fiabilidad de sesión para una conexión directa de carga de trabajo que evita el tráfico interno de Citrix Gateway Service. | |
| UDP | 16500..16509 (bidireccional) | Rango de puertos para audio UDP ICA/HDX | ||
| Virtual Delivery Agent | Delivery Controller | TCP | 80 (Bidireccional) | Lo utiliza el proceso “WorkstationAgent.exe” para la comunicación con el Delivery Controller. |
| Estación de trabajo de administración | Servidor de Director | TCP | 80, 443 | Acceso al sitio web de Citrix Director |
| Delivery Controller | TCP | 80, 443 | Cuando se usa una consola de Citrix Studio instalada localmente o el SDK para acceder directamente al Delivery Controller. | |
| Virtual Delivery Agent | TCP, UDP | 49152..65535 | Puerto alto asignado dinámicamente al iniciar una sesión de Asistencia remota desde una máquina Windows a un Virtual Delivery Agent. | |
| HdxVideo.js | Virtual Delivery Agent | TCP | 9001 | La redirección de vídeo HTML5 y la redirección de contenido del explorador web son servicios seguros de WebSocket necesarios para redirigir sitios web HTTPS. WebSocketService.exe: Se ejecuta en el sistema local y realiza la terminación de SSL y la asignación de sesiones de usuario. TLS Secure WebSocket escucha en 127.0.0.1 en el puerto 9001. |
Lea más sobre los requisitos del servidor de licencias de Citrix aquí.
Citrix App Layering
Consulte el siguiente enlace para ver los puertos de Citrix App Layering: Firewall Ports.
Servicio de autenticación federada
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| StoreFront | Servidor de FAS | TCP | 80 | Para enviar la afirmación de identidad del usuario. |
| Servidor de FAS | Entidad de certificación de Microsoft | DCOM | 135 | De forma predeterminada, la entidad de certificación de Microsoft utiliza DCOM para el acceso. Esto puede provocar complicaciones cuando se implemente la seguridad del firewall, por lo que Microsoft puede cambiar a un puerto TCP estático. Consulte Configurar MS CA DCOM para obtener más información. |
| Virtual Delivery Agent | Servidor de FAS | TCP | 80 | Obtener el certificado de usuario del servidor FAS. |
Provisioning Services
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| Servidor de Provisioning | Servidor de Provisioning | UDP | 6890..6909 | Comunicación entre servidores |
| Microsoft SQL Server | TCP | 1433 | Comunicación con Microsoft SQL Server | |
| Citrix License Server | TCP | 27000 | “Puerto Citrix License Server”. Puerto en el que está escuchando Citrix License Server y al que se conecta el servicio de infraestructura para validar las licencias. | |
| TCP | 7279 | Puerto utilizado por el componente dedicado de Citrix (daemon) en el servidor de licencias de Citrix para validar las licencias. | ||
| Controlador de dominio | TCP | 389 | Comunicación con Active Directory | |
| Dispositivo de destino | UDP | 6901, 6902, 6905 | Comunicación de dispositivo de destino a Citrix Provisioning (no configurable) | |
| Citrix Hypervisor | TCP | 80, 443 | Comunicación con la infraestructura de Citrix Hypervisor | |
| Servidor VMware vCenter | TCP | 443 | Comunicación con la infraestructura de vSphere | |
| Microsoft Hyper-V | TCP | 8100 | Comunicación con la infraestructura de Hyper-V | |
| Microsoft Azure | TCP | 443 | Comunicación con la infraestructura de Azure | |
| Google Cloud Platform | TCP | 443 | Comunicación con la infraestructura de Google Cloud | |
| Dispositivo de destino | Broadcast/DHCPServer | UDP | 66, 67 | Solo opciones DHCP: Obtención de opciones DHCP de arranque de red 66-Nombre de servidor TFTP (servidor de protocolo de arranque) y nombre de archivo 67 de arranque (cliente de protocolo de arranque). |
| Broadcast/PXEService | UDP | 69 | Transferencia de archivos trivial (TFTP) para entrega de Bootstrap | |
| Servidor TFTP | UDP | 6910 | Inicio de sesión del dispositivo de destino en Provisioning Services | |
| Servidor de Provisioning | UDP | 6910..6930 | Transmisión de disco virtual (servicio de transmisión) (configurable) | |
| UDP | 6901, 6902, 6905 | Comunicación de dispositivo de destino a Citrix Provisioning (no configurable) | ||
| UDP | 6969, 2071 | Solo BDM: Arranque en dos etapas (BDM). Se utiliza únicamente en el arranque desde casos ISO o USB. | ||
| TCP | 54321..54323 | Servicio SOAP: utilizado por Imaging Wizards | ||
| Estación de trabajo de administración | Servidor de Provisioning | TCP | 54321..54323 | Servicio SOAP: utilizado por la consola y las API (MCLI, PowerShell, etc.) |
| Delivery Controller | TCP | 80 | Cuando se utiliza CVAD en las instalaciones: Utilizado por los asistentes de consola al crear catálogos de Broker | |
| Servicio CVAD | TCP | 443 | Al utilizar CVADS: Utilizado por los asistentes de consola al crear catálogos de Broker |
Universal Print Server
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| Virtual Delivery Agent | Universal Print Server | UDP | 7229 | Puerto de flujo de datos de impresión (CGP) de Universal Print Server (configurable) |
| Virtual Delivery Agent | Universal Print Server | TCP | 8080 | Puerto del servicio web de Universal Print Server (HTTP/SOAP) (configurable) |
Acceso con Remote PC
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| Estación de trabajo de administración | Virtual Delivery Agent | UDP | 9 | Wake on LAN para acceso remoto al PC y administración de energía |
| Proxy WOL | Virtual Delivery Agent | TCP | 135 | Proxy de activación para administración de energía con acceso con Remote PC |
Nota: El
acceso con Remote PC utiliza los mismos puertos de Virtual Delivery Agent que los escritorios virtuales normales
Grabación de sesiones
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| Virtual Delivery Agent | Servidor de grabación de sesiones | TCP | 80, 443 | Comunicación entre el agente de Grabación de sesiones instalado en Virtual Delivery Agent para conectarse al servidor de grabación de sesiones. La instalación predeterminada utiliza HTTPS/SSL para proteger las comunicaciones. Si SSL no está configurado, use HTTP. |
| Consola de directivas de grabación de sesiones | Servidor de grabación de sesiones | TCP | 80, 443 | Comunicación entre el servidor donde está instalada la Consola de directivas de grabación de sesiones y el servidor de Grabación de sesiones |
| Reproductor de grabación de sesiones | Servidor de grabación de sesiones | TCP | 80, 443 | Comunicación entre la estación de trabajo donde está instalado el reproductor de Grabación de sesiones y el servidor de Grabación de sesiones. |
StoreFront
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| Dispositivo de usuario | Servidor StoreFront | TCP | 80, 443 | Conexión al almacén alojado en el servidor StoreFront |
| Servidor StoreFront | Controlador de dominio | TCP, UDP | 389 | Conexión LDAP para consultar nombres y direcciones de correo electrónico fáciles de usar |
| TCP, UDP | 88 | Kerberos | ||
| TCP, UDP | 464 | Protocolo de autenticación nativo de Windows para permitir a los usuarios cambiar contraseñas caducadas | ||
| Servidor StoreFront | TCP | Puerto no reservado seleccionado aleatoriamente por servicio. Desplácese hacia abajo hasta el final de esta tabla para configurar los firewalls cuando coloque StoreFront en su propia red. | Se utiliza para servicios de punto a punto (Credential Wallet, almacén de suscripciones (1 por almacén)). Este servicio utiliza MS .Net NetPeerTcpBinding que negocia un puerto aleatorio en cada servidor entre los pares. Solo se utiliza para la comunicación dentro del clúster. | |
| TCP | 808 | Se utiliza para servicios de replicación de suscripciones No está instalado de forma predeterminada. Se utiliza para replicar suscripciones entre clústeres asociados | ||
| Delivery Controller, XenMobile | TCP | 80, 443 | Para solicitudes de aplicaciones y escritorios. | |
| NetScaler | StoreFront | TCP | 8000 | Para el servicio de supervisión utilizado por el equilibrador de carga de NetScaler. |
| StoreFront | Citrix Gateway | TCP | 443 | URL de devolución de llamada para llegar a Citrix Gateway desde StoreFront |
Utilice la siguiente información para configurar los firewall cuando coloque StoreFront en su propia red:
- Localice los archivos de configuración:
C:\Program Files\Citrix\Receiver StoreFront\Services\SubscriptionsStoreService\Citrix.DeliveryServices.SubscriptionsStore.ServiceHost.exe.configC:\Program Files\Citrix\Receiver StoreFront\Services\CredentialWallet\Citrix.DeliveryServices.CredentialWallet.ServiceHost.exe.config
-
Modifique ambos archivos de configuración cambiando los valores de los URI de los dispositivos de punto final.
Por ejemplo:
<endpoint uri="net.p2p://CitrixCredentialWalletReplication">para que cualquier dirección que comience pornet.p2p://incluya el puerto. Debe terminar por<endpoint uri="net.p2p://CitrixCredentialWalletReplication:93">, y<endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store">se convierte en<endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store:93">y así sucesivamente para todas las demás direcciones net.p2p. - Reinicie el almacén de suscripciones y la cartera de credenciales.
- El firewall local incluye reglas para permitir el acceso por aplicación, por lo que no está bloqueado por puerto.
Workspace Environment Management
| Origen | Destino | Tipo | Puerto | Detalles |
|---|---|---|---|---|
| Servicios de infraestructura | Host del agente | TCP | 49752 | “Puerto del agente”. Puerto de escucha en el host del agente que recibe instrucciones del servicio de infraestructura. |
| Consola de administración | Servicios de infraestructura | TCP | 8284 | “Puerto de administración”. Puerto en el que la consola de administración se conecta al servicio de infraestructura. |
| Agente | Servicios de infraestructura | TCP | 8286 | “Puerto de servicio del agente”. Puerto en el que el agente se conecta al servidor de infraestructura. |
| Proceso de sincronización de la caché del agente | Servicios de infraestructura | TCP | 8285 | “Puerto de sincronización de caché”. Aplicable a Workspace Environment Management 1909 y versiones anteriores; reemplazado por el puerto de sincronización de datos en caché en Workspace Environment Management 1912 y posteriores. Puerto en el que el proceso de sincronización de la caché del agente se conecta al servicio de infraestructura para sincronizar la caché del agente con el servidor de infraestructura. |
| TCP | 8288 | “Puerto de sincronización de datos en caché”. Aplicable a Workspace Environment Management 1912 y versiones posteriores; reemplaza el puerto de sincronización de caché de Workspace Environment Management 1909 y versiones anteriores. Puerto en el que el proceso de sincronización de la caché del agente se conecta al servicio de infraestructura para sincronizar la caché del agente con el servidor de infraestructura. | ||
| Servicio de supervisión | Servicios de infraestructura | TCP | 8287 | “Puerto de supervisión de WEM”. Puerto de escucha en el servidor de infraestructura utilizado por el servicio de supervisión (todavía no se ha aplicado). |
| Servicios de infraestructura | Microsoft SQL Server | TCP | 1433 | Para conectarse a la base de datos WEM |
| Citrix License Server | TCP | 27000 | “Puerto Citrix License Server”. Puerto en el que está escuchando Citrix License Server y al que se conecta el servicio de infraestructura para validar las licencias. | |
| TCP | 7279 | Puerto utilizado por el componente dedicado de Citrix (daemon) en el servidor de licencias de Citrix para validar las licencias. |
Lea más sobre los requisitos de Citrix Workspace Environment Management aquí.
Lea más sobre los requisitos del servidor de licencias de Citrix aquí.
Archivo CSV
Nos gustaría proporcionarle un archivo csv de los puertos de comunicación de Citrix que puede usar para sus propias necesidades.