Documento técnico: Puertos de comunicación utilizados por Citrix Technologies

En este artículo se proporciona una descripción general de los puertos comunes que utilizan los componentes de Citrix y que deben considerarse parte de la arquitectura de red, especialmente si el tráfico de comunicaciones atraviesa componentes de red, como firewalls o servidores proxy, donde los puertos deben abrirse para garantizar el flujo de comunicación.

No todos los puertos deben estar abiertos, dependiendo de la implementación y los requisitos.

NetScaler SDX

Origen Destino Tipo Puerto Detalles
Estación de trabajo de administración NetScaler SDX ilumina la administración TCP 80, 443 HTTP o HTTPS - Administración de GUI
  SVM de NetScaler SDX TCP 80, 443 HTTP o HTTPS: comunicación GUI y NITRO
    TCP 22 Acceso SSH/SCP
  Hipervisor NetScaler SDX TCP 22 Acceso SSH/SCP
SVM de NetScaler SDX Instancia de NetScaler TCP 80, 443 HTTP o HTTPS: comunicación GUI y NITRO
    TCP 22 Acceso SSH/SCP
    ICMP   Uso del protocolo ICMP para comprobar la disponibilidad de la instancia
  Servidor NTP UDP 123 Puerto de servidor NTP predeterminado para la sincronización con múltiples fuentes de tiempo
NSIP de NetScaler SVM de NetScaler SDX SNMP 161, 162 Eventos/capturas SNMP de instancias de ADC a SDX SVM
    ICMP   Uso del protocolo ICMP para comprobar la disponibilidad de la instancia

NetScaler

Origen Destino Tipo Puerto Detalles
NSIP de NetScaler Appliances NetScaler en configuración de clúster UDP 7000 Intercambio de latidos del clúster
  Appliance NetScaler (para alta disponibilidad) UDP 3003 Intercambio de paquetes de saludo para comunicar el estado UP/DOWN (latido del corazón)
  Appliance NetScaler (para alta disponibilidad) TCP 3008 Sincronización segura de configuración de alta disponibilidad
  Dispositivo NetScaler (para el equilibrio de carga global del sitio) TCP 3009 Para MEP seguro.
  Appliance NetScaler (para alta disponibilidad) TCP 3010 Sincronización de configuración de alta disponibilidad no segura.
  Dispositivo NetScaler (para el equilibrio de carga global del sitio) TCP 3011 Para MEP no seguro.
  Dispositivo NetScaler ADM UDP 162 Trampas de ADC a NetScaler ADM Center
  Appliance NetScaler (para alta disponibilidad) TCP 22 Utilizado por el proceso rsync durante la sincronización de archivos en la configuración de alta disponibilidad
  Servidor DNS TCP, UDP 53 Resolución de nombres DNS
  Servidor NTP UDP 123 Puerto de servidor NTP predeterminado para la sincronización con múltiples fuentes de tiempo
  URL de firma del Firewall de aplicaciones TCP 443 Actualizaciones de firmas alojadas en AWS
  URL de firma de administración de bots TCP 443 Actualizaciones de firmas alojadas en AWS
  ADC ilumina la administración TCP 4001, 5900, 623 Demonio que ofrece administración de configuración completa y unificada de todos los protocolos de redirección
  Servidor LDAP TCP 636 Conexión SSL LDAP
    TCP 3268 Conexión LDAP al catálogo global
    TCP 3269 Conexión LDAP al Catálogo Global a través de SSL
    TCP 389 Texto sin formato LDAP o TLS
  Servidor RADIUS UDP 1813 Contabilidad RADIUS
    UDP 1645, 1812 Conexión RADIUS
  Thales HSM TCP 9004 RFS y Thales HSM
NSIP de NetScaler NetScaler ADM UDP 4739 Para la comunicación de AppFlow
    SNMP 161, 162 Para enviar eventos/capturas SNMP
    Syslog 514 Para recibir mensajes syslog en NetScaler ADM
SNIP de NetScaler NetScaler ADM TCP 5563 Para métricas de ADC (contadores), eventos del sistema y mensajes de registro de auditoría de NetScaler a NetScaler ADM.
    TCP 5557, 5558 Para la comunicación logstream de NetScaler a NetScaler ADM.
Estación de trabajo de administración NSIP de NetScaler TCP 80, 443 HTTP o HTTPS - Administración de GUI
    TCP 22 Acceso SSH

Nota:

Según la configuración de NetScaler, el tráfico de red puede originarse desde interfaces SNIP, MIP o NSIP. Si ha configurado NetScalers en modo de alta disponibilidad, NetScaler ADM utiliza la dirección IP de subred de NetScaler (SNIP de administración) para comunicarse con NetScaler.

Enlace a firmas de firewall de aplicaciones Enlace a firmas

de administración de bots

NetScaler ADM

Origen Destino Tipo Puerto Detalles
NetScaler ADM NSIP de NetScaler TCP 80, 443 Para comunicación NITRO
    TCP 22 Para comunicación SSH
    ICMP Sin puerto reservado Para detectar la accesibilidad de la red entre las instancias ADM y ADC de NetScaler, o el servidor NetScaler ADM secundario implementado en modo de alta disponibilidad.
  NetScaler ADM TCP 22 Para la sincronización entre los servidores NetScaler ADM implementados en modo de alta disponibilidad.
    TCP 5454 Puerto predeterminado para la comunicación y sincronización de bases de datos entre nodos NetScaler ADM en modo de alta disponibilidad.
  Usuarios TCP 25 Para enviar notificaciones SMTP desde NetScaler ADM a los usuarios.
  Servidor de autenticación externa LDAP TCP 389, 636 Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre NetScaler ADM y el servidor de autenticación externo LDAP.
  Servidor NTP UDP 123 Puerto de servidor NTP predeterminado para sincronizar con varias fuentes de tiempo.
  Servidor de autenticación externa RADIUS RADIUS 1812 Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre NetScaler ADM y el servidor de autenticación externo RADIUS.
  Servidor de autenticación externo TACACS TACACS 49 Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre NetScaler ADM y el servidor de autenticación externo TACACS.
Instancia de NetScaler/CPX Servidor/agente de licencias NetScaler ADM TCP 27000 Puerto de licencia para la comunicación entre el servidor/agente de licencias de NetScaler ADM y la instancia de ADC/CPX.
    TCP 7279 Puerto del demonio de proveedor Citrix.
  Citrix ADM UDP 5005 Puerto para intercambiar latidos entre los nodos HA.
  SNIP de NetScaler TCP 161 Para enviar eventos SNMP
NSIP de NetScaler NetScaler ADM UDP 162 Para recibir capturas SNMP de NetScaler
    UDP 4739 Para recibir datos de registro de análisis de ADC mediante el protocolo IPFIX
    UDP 514 Para recibir mensajes de syslog de NetScaler ADM
SNIP de NetScaler NetScaler ADM TCP 5563 Para recibir métricas ADC (contadores), eventos del sistema y mensajes de registro de auditoría de la instancia de NetScaler a NetScaler ADM
    TCP 5557, 5558 Para la comunicación de flujo de registro (para Security Insight, Web Insight y HDX Insight) desde NetScaler
NetScaler ADM Agente de NetScaler ADM TCP 443, 7443, 8443 Puerto para la comunicación entre el agente de NetScaler y NetScaler ADM

Nota:

Si ha configurado NetScalers en modo de alta disponibilidad, NetScaler ADM utiliza la dirección IP de la subred de NetScaler (SNIP de administración) para comunicarse con NetScaler.

CTX124386 describe cómo cambiar el origen, para comunicar mensajes syslog a ADM, del NSIP al SNIP

Citrix Cloud

El único componente de Citrix necesario para que sirva como canal de comunicación entre Citrix Cloud y sus ubicaciones de recursos es un conector. Este conector puede ser un Connector Appliance o un Cloud Connector, según su caso de uso. Para obtener más información sobre el conector que necesita, consulte Tipos de recursos.

Connector Appliance

Una vez instalado, el Connector Appliance inicie la comunicación con Citrix Cloud a través de una conexión saliente. Todas las conexiones se establecen desde el Connector Appliance hacia la nube mediante el puerto HTTPS estándar (443) y el protocolo TCP. No se permiten conexiones entrantes.

Esta es una lista de los puertos a los que el Connector Appliance necesita acceder:

Servicio Puerto Protocolo de dominio compatible Detalles de configuración
DNS 53 TCP/UDP Este puerto debe estar abierto a la configuración local
NTP 123 UDP Este puerto debe estar abierto a la configuración local
HTTPS 443 TCP El Connector Appliance necesita un acceso saliente a este puerto

Para configurar el Connector Appliance, los administradores de TI deben poder acceder a la interfaz de administración en el puerto 443 (HTTPS) del Connector Appliance.

Nota: Debe incluir https:// al principio de la dirección IP.

Connector Appliance con Active Directory

Se necesitan puertos adicionales para usar Active Directory con Connector Appliance. El Connector Appliance requiere una conexión de salida al dominio de Active Directory a través de los siguientes puertos:

Servicio Puerto Protocolo de dominio compatible
Kerberos 88 TCP/UDP
End Point Mapper (servicio de localización DCE/RPC) 135 TCP
Servicio de nombres de NetBIOS 137 UDP
Datagrama de NetBIOS 138 UDP
Sesión de NetBIOS 139 TCP
LDAP 389 TCP/UDP
SMB por TCP 445 TCP
Contraseña de Kerberos 464 TCP/UDP
Catálogo global 3268 TCP
Puertos RPC dinámicos 49152..65535 TCP

Cloud Connector

Todas las conexiones se establecen desde Cloud Connector hacia la nube mediante el puerto HTTPS estándar (443) y el protocolo TCP. No se aceptan conexiones entrantes.

Cloud Connectors debe poder conectarse a Digicert para comprobar la revocación de certificados.

Origen Destino Tipo Puerto Detalles
Cloud Connectors http://*.digicert.com HTTP 80 Comprobaciones periódicas de la lista de revocación
  https://*.digicert.com HTTPS 443  
  https://dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt HTTPS 443  
  https://dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt HTTPS 443  

Para encontrar la lista de direcciones que son comunes a la mayoría de los servicios de Citrix Cloud y su función, consulte la documentación del producto.

Citrix DaaS

Origen Destino Tipo Puerto Detalles
Virtual Delivery Agent Gateway Service TCP, UDP 443 Protocolo de cita.
Cloud Connectors Cloud Connectors TCP 80 La comunicación entre Delivery Controllers está asegurada mediante WCF.
    TCP 89 Caché de host local protegida mediante WCF.
    TCP 9095 Servicio de orquestación protegido mediante WCF.
Cloud Connectors Maestro del grupo de recursos de XenServer TCP 80, 443 Comunicación con la infraestructura de XenServer.
  Servidor SCVMM de Microsoft TCP 8100 Comunicación con la infraestructura SCVMM/Hyper-V de Microsoft.
  Servidor VMware vCenter TCP 443 Comunicación con la infraestructura VMware vSphere.
  Nutanix AHV TCP 9440 Comunicación con la infraestructura AHV de Nutanix.
Cloud Connectors Virtual Delivery Agent TCP, UDP 1494 Acceso a aplicaciones y escritorios virtuales por ICA/HDX. El protocolo de transporte de datos más ligero (EDT) requiere que 1494 esté abierto para UDP.
    TCP 80 El registro de Citrix VDA con Citrix Cloud Connector está protegido mediante WCF. La comunicación debe ser bidireccional.
    TCP, UDP 2598 Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX con fiabilidad de sesión. El protocolo de transporte de datos más ligero (EDT) requiere que 2598 esté abierto para UDP.
Cloud Connectors Agente de WEM TCP 49752 “Puerto del agente”. El puerto de escucha del host del agente que recibe las instrucciones de Cloud Connector está protegido mediante WCF.
Cloud Connectors Servidor de archivos TCP 139,445 Acceso a VDI que actúa como puntos de montaje de CSV del servidor de archivos.
Cloud Connectors Servidor FAS de Citrix TCP 80 Envíe la afirmación de identidad del usuario protegida mediante WCF.
Consola del servidor de Citrix Provisioning Cloud Connectors HTTPS 443 Integración del servidor de Provisioning con Citrix Cloud Studio.
Citrix License Server Citrix Cloud HTTPS 443 Integración del servidor de licencias de Citrix con Citrix Cloud.
Servidor FAS de Citrix Citrix Cloud HTTPS 443 Conexión entre Citrix FAS y Citrix Cloud.
SDK de PowerShell remoto de Citrix DaaS Citrix Cloud HTTPS 443 Cualquier sistema que ejecute scripts basados en el SDK de PowerShell remoto de Citrix DaaS.
Aplicación Citrix Workspace Virtual Delivery Agent TCP,UDP 1494 Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX para una conexión directa de carga de trabajo que evita el tráfico interno de Citrix Gateway Service.
    TCP,UDP 2598 Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX con fiabilidad de sesión para una conexión directa de carga de trabajo que evita el tráfico interno de Citrix Gateway Service.
Agente de WEM Cloud Connectors TCP 8080 Puerto en el que el agente local se conecta a Cloud Connector. Este puerto está disponible para conexiones LAN (red de área local) de salida. Los mensajes a través del puerto están protegidos con la seguridad a nivel de mensajes de Windows Communication Foundation (WCF).
  Servicio WEM de Citrix HTTPS 443 Puerto en el que el agente local se conecta al WEM Service de Citrix Cloud. Este puerto está disponible para conexiones a Internet salientes.

Obtenga más información sobre la integración del servidor de licencias de Citrix aquí.

Obtenga más información sobre la integración de Citrix Provisioning Server aquí.

Obtenga más información sobre el SDK de PowerShell remoto de Citrix DaaS aquí.

Citrix Gateway Service

De forma predeterminada, Gateway Service hará de intermediario en conexiones HDX a través de Citrix Cloud Connectors; sin embargo, el protocolo Rendezvous cambia el flujo de conexiones HDX en un intento de conectar directamente el agente de entrega virtual al servicio de puerta de enlace sin pasar por alto los conectores de Citrix Cloud

Protocolo de encuentro y Protocolo de HDX Enlightened Data Transport (EDT)

Origen Destino Tipo Puerto Detalles
Virtual Delivery Agent Gateway Service UDP 443 EDT UDP más de 443 a Gateway Service

Los agentes de entrega virtuales deben tener acceso a https://*.nssvc.net, incluidos todos los subdominios. O https://*.c.nssvc.net y https://*.g.nssvc.net.

Nota:

Si utiliza EDT en Microsoft Azure, UDP debe definirse en el grupo de seguridad de red de Azure (NSG) que protege el agente de entrega virtual

Obtenga más información sobre los requisitos del protocolo Rendezvous y del protocolo Enlightened Data Transport (EDT) de HDX aquí.

Servicio de grabación de sesiones de Citrix

Consulte el siguiente enlace para conocer los puertos del Servicio de grabación de sesiones de Citrix: Requisitos de conectividad

Citrix Endpoint Management

Consulte el siguiente enlace para ver los requisitos de puertos de Citrix Endpoint Management (XenMobile): Requisitos de puertos.

NetScaler Gateway

Origen Destino Tipo Puerto Detalles
Dirección IP de subred de NetScaler Gateway Servidor LDAP (equilibrio de carga) TCP 636 Conexión SSL LDAPS
    TCP 3268 Conexión LDAP al catálogo global
    TCP 3269 Conexión LDAP al Catálogo Global a través de SSL
    TCP 389 Texto sin formato LDAP o TLS
  Servidor RADIUS (equilibrio de carga) UDP 1813 Contabilidad RADIUS
    UDP 1645, 1812 Conexión RADIUS
  Secure Ticketing Authority (STA) TCP 80, 8080, 443 Secure Tíquet Authority (incrustada en el servicio XML)
  Virtual Delivery Agent TCP, UDP 1494 Acceso a aplicaciones y escritorios virtuales por ICA/HDX. El protocolo de transporte de datos más ligero (EDT) requiere que 1494 esté abierto para UDP.
    TCP, UDP 2598 Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX con fiabilidad de sesión. El protocolo de transporte de datos más ligero (EDT) requiere que 2598 esté abierto para UDP.
    TCP, UDP 443 Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX a través de TLS/DTLS.
    UDP 16500..16509 Transporte de audio en tiempo real ICA/HDX por UDP
  StoreFront TCP 80, 443 Comunicación de NetScaler Gateway con StoreFront
Plug-in de NetScaler Gateway VPN/CVAD UDP 3108, 3168, 3188 Para túnel VPN con conexiones ICA seguras
    TCP, UDP 3148, 3149, 3159 Para túnel VPN con conexiones ICA seguras
Estación de trabajo de administración NetScaler Gateway TCP 80, 443 HTTPS - Administración de GUI
    TCP 22 Acceso SSH
NetScaler Gateway DNS TCP, UDP 53 Comunicación con el servidor DNS

Para obtener más información sobre los puertos necesarios para NetScaler Gateway en la configuración de DMZ, consulte CTX113250.

Nota:

Todos los puertos anteriores no son obligatorios, dependiendo de su propia configuración.

Acceso privado seguro para entornos locales (complemento de acceso privado seguro)

Origen Destino Tipo Puerto Detalles
Estación de trabajo de administración Plugin de acceso privado seguro HTTPS 4443 Plugin de acceso privado seguro - Consola de administración
Plugin de acceso privado seguro Servicio NTP TCP, UDP 123 Sincronización horaria
  Servicio de DNS TCP, UDP 53 Búsqueda de DNS
  Active Directory TCP, UDP 88 Kerberos
    TCP 389 LDAP sobre texto plano (LDAP)
    TCP 636 LDAP sobre SSL (LDAPS)
  Microsoft SQL Server TCP 1433 Plugin de acceso privado seguro: comunicación con bases de datos
  StoreFront HTTPS 443 Validación de autenticación
  NetScaler Gateway HTTPS 443 Retrollamada de NetScaler Gateway
StoreFront Servicio NTP TCP, UDP 123 Sincronización horaria
  Servicio de DNS TCP, UDP 53 Búsqueda de DNS
  Active Directory TCP, UDP 88 Kerberos
    TCP 389 LDAP sobre texto plano (LDAP)
    TCP 636 LDAP sobre SSL (LDAPS)
    TCP, UDP 464 Protocolo de autenticación nativo de Windows para permitir a los usuarios cambiar contraseñas caducadas
  Plugin de acceso privado seguro HTTPS 443 Autenticación y enumeración de aplicaciones
  NetScaler Gateway HTTPS 443 Retrollamada de NetScaler Gateway
NetScaler Gateway Plugin de acceso privado seguro HTTPS 443 Validación de autorización de aplicaciones
  StoreFront HTTPS 443 Autenticación y enumeración de aplicaciones
  Aplicaciones web HTTP, HTTPS 80, 443 Comunicación de NetScaler Gateway con aplicaciones de acceso privado seguro configuradas (los puertos pueden diferir según los requisitos de laaplicación)
Dispositivo de usuario NetScaler Gateway HTTPS 443 Comunicación entre el dispositivo del usuario final y NetScaler Gateway

XenServer

Origen Destino Tipo Puerto Detalles
Citrix Hypervisor Citrix Hypervisor TCP 443 Comunicación dentro del host entre los miembros de un grupo de recursos mediante XenAPI
  Servicio NTP TCP, UDP 123 Sincronización de tiempo
  Controlador de dominio del servicio DNS TCP, UDP TCP 53, 389 Autenticación de usuario DNS al utilizar la integración de Active Directory (LDAP)
    TCP 636 LDAP sobre SSL (LDAPS)
  FileServer TCP, UDP 139 ISOStore:NetBIOSSessionService
    TCP, UDP 445 ISOStore:Microsoft-DS
  Controlador SAN TCP 3260 Almacenamiento iSCSI
  Servidor de archivos/Encabezado NAS TCP 2049 Almacenamiento NFS
  Syslog TCP 514 Envía datos a una ubicación central para intercalación
  Agrupar en clústeres TCP 8892, 21064 Comunicación entre todos los miembros del grupo de un grupo agrupado en clúster.
    UDP 5404, 5405  
Estación de trabajo de administración (XenCenter) XenServer TCP 22 SSH
    TCP 443 Administración con XenAPI
  Máquina virtual TCP 5900 VNC para invitados Linux
    TCP 3389 RDP para WindowsGuests

Lea más sobre los requisitos del servidor de licencias de Citrix aquí.

Nota:

Si se utiliza FQDN en lugar de IP como recurso, asegúrese de que se puede resolver.

Citrix License Server

Origen Destino Tipo Puerto Detalles
Cualquier componente de Citrix Citrix License Server TCP 27000 Gestiona el punto de contacto inicial para las solicitudes de licencia
    TCP 7279 Registro y salida de licencias de Citrix
Delivery Controller Citrix License Server TCP 8082 Consola de administración basada en web (Lmadmin.exe)
    TCP 8083 Puerto Simple License Service (requerido para CVAD)
Estación de trabajo de administración Citrix License Server TCP 8082 Consola de administración basada en web (Lmadmin.exe)
    TCP 8083 Puerto Simple License Service (requerido para CVAD)
    TCP 80 Servicio de complemento PowerShell de configuración de licencias
Citrix License Server https://cis.citrix.com HTTPS 443 Informes de telemetría de licencias automatizados de Citrix License

Citrix Virtual Apps and Desktops

Origen Destino Tipo Puerto Detalles
Delivery Controller Maestro del grupo de recursos de XenServer TCP 80, 443 Comunicación con la infraestructura de XenServer
  Servidor SCVMM de Microsoft TCP 8100 Comunicación con la infraestructura de Hyper-V
  Servidor VMware vCenter TCP 443 Comunicación con la infraestructura de vSphere
  Nutanix AHV TCP 9440 Comunicación con la infraestructura AHV de Nutanix
  Microsoft SQL Server TCP 1433 Microsoft SQL Server
  Virtual Delivery Agent TCP 80 (Bidireccional) El Delivery Controller inicie la conexión al descubrir aplicaciones locales o para recopilar información sobre los procesos locales, los datos de rendimiento, etc.
  Delivery Controller TCP 80 Comunicación entre Delivery Controllers
    TCP 89 Caché de host local (este uso del puerto 89 puede cambiar en futuras versiones).
    TCP 9095 Servicio de orquestación
Director Delivery Controller TCP 80, 443 Comunicación con Citrix Delivery Controllers
Estación de trabajo de administrador y Citrix Director Virtual Delivery Agent TCP 135,3389 Comunicación entre Citrix Director y Virtual Delivery Agent para asistencia remota
    TCP 389 Nota de LDAP: Para el paso de inicio de sesión, Citrix Director no se pone en contacto con AD, sino que realiza un inicio de sesión local mediante la API nativa de Windows, LoginUser (que puede contactar internamente con AD).
Aplicación Citrix Workspace StoreFront TCP, UDP 80,443 Comunicación con StoreFront
  Virtual Delivery Agent TCP, UDP 1494 Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX para una conexión directa de carga de trabajo que evita el tráfico interno de Citrix Gateway Service.
  Virtual Delivery Agent TCP, UDP 2598 Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX con fiabilidad de sesión para una conexión directa de carga de trabajo que evita el tráfico interno de Citrix Gateway Service.
    UDP 16500..16509 (bidireccional) Rango de puertos para audio UDP ICA/HDX
Virtual Delivery Agent Delivery Controller TCP 80 (Bidireccional) Lo utiliza el proceso “WorkstationAgent.exe” para la comunicación con el Delivery Controller.
Estación de trabajo de administración Servidor de Director TCP 80, 443 Acceso al sitio web de Citrix Director
  Delivery Controller TCP 80, 443 Cuando se usa una consola de Citrix Studio instalada localmente o el SDK para acceder directamente al Delivery Controller.
  Virtual Delivery Agent TCP, UDP 49152..65535 Puerto alto asignado dinámicamente al iniciar una sesión de Asistencia remota desde una máquina Windows a un Virtual Delivery Agent.
HdxVideo.js Virtual Delivery Agent TCP 9001 La redirección de vídeo HTML5 y la redirección de contenido del explorador web son servicios seguros de WebSocket necesarios para redirigir sitios web HTTPS. WebSocketService.exe: Se ejecuta en el sistema local y realiza la terminación de SSL y la asignación de sesiones de usuario. TLS Secure WebSocket escucha en 127.0.0.1 en el puerto 9001.

Lea más sobre los requisitos del servidor de licencias de Citrix aquí.

Citrix App Layering

Consulte el siguiente enlace para ver los puertos de Citrix App Layering: Firewall Ports.

Servicio de autenticación federada

Origen Destino Tipo Puerto Detalles
StoreFront Servidor de FAS TCP 80 Para enviar la afirmación de identidad del usuario.
Servidor de FAS Entidad de certificación de Microsoft DCOM 135 De forma predeterminada, la entidad de certificación de Microsoft utiliza DCOM para el acceso. Esto puede provocar complicaciones cuando se implemente la seguridad del firewall, por lo que Microsoft puede cambiar a un puerto TCP estático. Consulte Configurar MS CA DCOM para obtener más información.
Virtual Delivery Agent Servidor de FAS TCP 80 Obtener el certificado de usuario del servidor FAS.

Provisioning Services

Origen Destino Tipo Puerto Detalles
Servidor de Provisioning Servidor de Provisioning UDP 6890..6909 Comunicación entre servidores
  Microsoft SQL Server TCP 1433 Comunicación con Microsoft SQL Server
  Citrix License Server TCP 27000 “Puerto Citrix License Server”. Puerto en el que está escuchando Citrix License Server y al que se conecta el servicio de infraestructura para validar las licencias.
    TCP 7279 Puerto utilizado por el componente dedicado de Citrix (daemon) en el servidor de licencias de Citrix para validar las licencias.
  Controlador de dominio TCP 389 Comunicación con Active Directory
  Dispositivo de destino UDP 6901, 6902, 6905 Comunicación de dispositivo de destino a Citrix Provisioning (no configurable)
  Citrix Hypervisor TCP 80, 443 Comunicación con la infraestructura de Citrix Hypervisor
  Servidor VMware vCenter TCP 443 Comunicación con la infraestructura de vSphere
  Microsoft Hyper-V TCP 8100 Comunicación con la infraestructura de Hyper-V
  Microsoft Azure TCP 443 Comunicación con la infraestructura de Azure
  Google Cloud Platform TCP 443 Comunicación con la infraestructura de Google Cloud
Dispositivo de destino Broadcast/DHCPServer UDP 66, 67 Solo opciones DHCP: Obtención de opciones DHCP de arranque de red 66-Nombre de servidor TFTP (servidor de protocolo de arranque) y nombre de archivo 67 de arranque (cliente de protocolo de arranque).
  Broadcast/PXEService UDP 69 Transferencia de archivos trivial (TFTP) para entrega de Bootstrap
  Servidor TFTP UDP 6910 Inicio de sesión del dispositivo de destino en Provisioning Services
  Servidor de Provisioning UDP 6910..6930 Transmisión de disco virtual (servicio de transmisión) (configurable)
    UDP 6901, 6902, 6905 Comunicación de dispositivo de destino a Citrix Provisioning (no configurable)
    UDP 6969, 2071 Solo BDM: Arranque en dos etapas (BDM). Se utiliza únicamente en el arranque desde casos ISO o USB.
    TCP 54321..54323 Servicio SOAP: utilizado por Imaging Wizards
Estación de trabajo de administración Servidor de Provisioning TCP 54321..54323 Servicio SOAP: utilizado por la consola y las API (MCLI, PowerShell, etc.)
  Delivery Controller TCP 80 Cuando se utiliza CVAD en las instalaciones: Utilizado por los asistentes de consola al crear catálogos de Broker
  Servicio CVAD TCP 443 Al utilizar CVADS: Utilizado por los asistentes de consola al crear catálogos de Broker

Universal Print Server

Origen Destino Tipo Puerto Detalles
Virtual Delivery Agent Universal Print Server UDP 7229 Puerto de flujo de datos de impresión (CGP) de Universal Print Server (configurable)
Virtual Delivery Agent Universal Print Server TCP 8080 Puerto del servicio web de Universal Print Server (HTTP/SOAP) (configurable)

Acceso con Remote PC

Origen Destino Tipo Puerto Detalles
Estación de trabajo de administración Virtual Delivery Agent UDP 9 Wake on LAN para acceso remoto al PC y administración de energía
Proxy WOL Virtual Delivery Agent TCP 135 Proxy de activación para administración de energía con acceso con Remote PC

Nota: El

acceso con Remote PC utiliza los mismos puertos de Virtual Delivery Agent que los escritorios virtuales normales

Grabación de sesiones

Origen Destino Tipo Puerto Detalles
Virtual Delivery Agent Servidor de grabación de sesiones TCP 80, 443 Comunicación entre el agente de Grabación de sesiones instalado en Virtual Delivery Agent para conectarse al servidor de grabación de sesiones. La instalación predeterminada utiliza HTTPS/SSL para proteger las comunicaciones. Si SSL no está configurado, use HTTP.
Consola de directivas de grabación de sesiones Servidor de grabación de sesiones TCP 80, 443 Comunicación entre el servidor donde está instalada la Consola de directivas de grabación de sesiones y el servidor de Grabación de sesiones
Reproductor de grabación de sesiones Servidor de grabación de sesiones TCP 80, 443 Comunicación entre la estación de trabajo donde está instalado el reproductor de Grabación de sesiones y el servidor de Grabación de sesiones.

StoreFront

Origen Destino Tipo Puerto Detalles
Dispositivo de usuario Servidor StoreFront TCP 80, 443 Conexión al almacén alojado en el servidor StoreFront
Servidor StoreFront Controlador de dominio TCP, UDP 389 Conexión LDAP para consultar nombres y direcciones de correo electrónico fáciles de usar
    TCP, UDP 88 Kerberos
    TCP, UDP 464 Protocolo de autenticación nativo de Windows para permitir a los usuarios cambiar contraseñas caducadas
  Servidor StoreFront TCP Puerto no reservado seleccionado aleatoriamente por servicio. Desplácese hacia abajo hasta el final de esta tabla para configurar los firewalls cuando coloque StoreFront en su propia red. Se utiliza para servicios de punto a punto (Credential Wallet, almacén de suscripciones (1 por almacén)). Este servicio utiliza MS .Net NetPeerTcpBinding que negocia un puerto aleatorio en cada servidor entre los pares. Solo se utiliza para la comunicación dentro del clúster.
    TCP 808 Se utiliza para servicios de replicación de suscripciones No está instalado de forma predeterminada. Se utiliza para replicar suscripciones entre clústeres asociados
  Delivery Controller, XenMobile TCP 80, 443 Para solicitudes de aplicaciones y escritorios.
NetScaler StoreFront TCP 8000 Para el servicio de supervisión utilizado por el equilibrador de carga de NetScaler.
StoreFront NetScaler Gateway TCP 443 URL de devolución de llamada para llegar a NetScaler Gateway desde StoreFront

Utilice la siguiente información para configurar los firewall cuando coloque StoreFront en su propia red:

  1. Localice los archivos de configuración:
    • C:\Program Files\Citrix\Receiver StoreFront\Services\SubscriptionsStoreService\Citrix.DeliveryServices.SubscriptionsStore.ServiceHost.exe.config
    • C:\Program Files\Citrix\Receiver StoreFront\Services\CredentialWallet\Citrix.DeliveryServices.CredentialWallet.ServiceHost.exe.config
  2. Modifique ambos archivos de configuración cambiando los valores de los URI de los dispositivos de punto final.

    Por ejemplo: <endpoint uri="net.p2p://CitrixCredentialWalletReplication"> para que cualquier dirección que comience por net.p2p:// incluya el puerto. Debe terminar por <endpoint uri="net.p2p://CitrixCredentialWalletReplication:93">, y <endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store"> se convierte en <endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store:93"> y así sucesivamente para todas las demás direcciones net.p2p.

  3. Reinicie el almacén de suscripciones y la cartera de credenciales.
  4. El firewall local incluye reglas para permitir el acceso por aplicación, por lo que no está bloqueado por puerto.

Workspace Environment Management

Origen Destino Tipo Puerto Detalles
Servicios de infraestructura Host del agente TCP 49752 “Puerto del agente”. Puerto de escucha en el host del agente que recibe instrucciones del servicio de infraestructura.
Consola de administración Servicios de infraestructura TCP 8284 “Puerto de administración”. Puerto en el que la consola de administración se conecta al servicio de infraestructura.
Agente Servicios de infraestructura TCP 8286 “Puerto de servicio del agente”. Puerto en el que el agente se conecta al servidor de infraestructura.
Proceso de sincronización de la caché del agente Servicios de infraestructura TCP 8285 “Puerto de sincronización de caché”. Aplicable a Workspace Environment Management 1909 y versiones anteriores; reemplazado por el puerto de sincronización de datos en caché en Workspace Environment Management 1912 y posteriores. Puerto en el que el proceso de sincronización de la caché del agente se conecta al servicio de infraestructura para sincronizar la caché del agente con el servidor de infraestructura.
    TCP 8288 “Puerto de sincronización de datos en caché”. Aplicable a Workspace Environment Management 1912 y versiones posteriores; reemplaza el puerto de sincronización de caché de Workspace Environment Management 1909 y versiones anteriores. Puerto en el que el proceso de sincronización de la caché del agente se conecta al servicio de infraestructura para sincronizar la caché del agente con el servidor de infraestructura.
Servicio de supervisión Servicios de infraestructura TCP 8287 “Puerto de supervisión de WEM”. Puerto de escucha en el servidor de infraestructura utilizado por el servicio de supervisión (todavía no se ha aplicado).
Servicios de infraestructura Microsoft SQL Server TCP 1433 Para conectarse a la base de datos WEM
  Citrix License Server TCP 27000 “Puerto Citrix License Server”. Puerto en el que está escuchando Citrix License Server y al que se conecta el servicio de infraestructura para validar las licencias.
    TCP 7279 Puerto utilizado por el componente dedicado de Citrix (daemon) en el servidor de licencias de Citrix para validar las licencias.

Lea más sobre los requisitos de Citrix Workspace Environment Management aquí.

Lea más sobre los requisitos del servidor de licencias de Citrix aquí.

Optimización de Microsoft Teams

Origen Destino Tipo Puerto Detalles
Dispositivo cliente Equipos: Transport Relay UDP 3478 - 3481 El tráfico de los equipos fluye a través del relé de transporte. Los clientes también necesitan acceder a los rangos de direcciones: 3.107.64.0/18, 52.112.0.0/14, 52.120.0.0/14.
    TCP 443 Retroceso del flujo de tráfico de los equipos.

Archivo CSV

Nos gustaría proporcionarle un archivo csv de los puertos de comunicación de Citrix que puede usar para sus propias necesidades.

Documento técnico: Puertos de comunicación utilizados por Citrix Technologies