Documento técnico: Puertos de comunicación utilizados por Citrix Technologies
En este artículo se proporciona una descripción general de los puertos comunes que utilizan los componentes de Citrix y que deben considerarse parte de la arquitectura de red, especialmente si el tráfico de comunicaciones atraviesa componentes de red, como firewalls o servidores proxy, donde los puertos deben abrirse para garantizar el flujo de comunicación.
No todos los puertos deben estar abiertos, dependiendo de la implementación y los requisitos.
Citrix SDX
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| Estación de trabajo de administración | Citrix SDX ilumina la administración | TCP | 80, 443 | HTTP o HTTPS - Administración de GUI |
| SVM de Citrix SDX | TCP | 80, 443 | HTTP o HTTPS: comunicación GUI y NITRO | |
| TCP | 22 | Acceso SSH/SCP | ||
| Citrix SDX Hypervisor | TCP | 22 | Acceso SSH/SCP | |
| SVM de Citrix SDX | Instancia de Citrix ADC | TCP | 80, 443 | HTTP o HTTPS: comunicación GUI y NITRO |
| TCP | 22 | Acceso SSH/SCP | ||
| ICMP | Uso del protocolo ICMP para comprobar la disponibilidad de la instancia | |||
| Servidor NTP | UDP | 123 | Puerto de servidor NTP predeterminado para la sincronización con múltiples fuentes de tiempo | |
| Citrix ADC NSIP | SVM de Citrix SDX | SNMP | 161, 162 | Eventos/capturas SNMP de instancias de ADC a SDX SVM |
| ICMP | Uso del protocolo ICMP para comprobar la disponibilidad de la instancia |
Citrix ADC
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| Citrix ADC NSIP | Appliances Citrix ADC en configuración de clúster | UDP | 7000 | Intercambio de latidos del clúster |
| Appliance Citrix ADC (para alta disponibilidad) | UDP | 3003 | Intercambio de paquetes de saludo para comunicar el estado UP/DOWN (latido del corazón) | |
| TCP | 3008 | Sincronización segura de configuración de alta disponibilidad | ||
| TCP | 3009 | Para MEP seguro. | ||
| TCP | 3010 | Sincronización de configuración de alta disponibilidad no segura. | ||
| TCP | 3011 | Para MEP no seguro. | ||
| UDP | 162 | Trampas de ADC a Citrix ADM Center | ||
| TCP | 22 | Utilizado por el proceso rsync durante la sincronización de archivos en la configuración de alta disponibilidad | ||
| Servidor DNS | TCP, UDP | 53 | Resolución de nombres DNS | |
| Servidor NTP | UDP | 123 | Puerto de servidor NTP predeterminado para la sincronización con múltiples fuentes de tiempo | |
| URL de firma del Firewall de aplicaciones | TCP | 443 | Actualizaciones de firmas alojadas en AWS | |
| URL de firma de administración de bots | TCP | 443 | Actualizaciones de firmas alojadas en AWS | |
| ADC ilumina la administración | TCP | 4001, 5900, 623 | Demonio que ofrece administración de configuración completa y unificada de todos los protocolos de redirección | |
| Servidor LDAP | TCP | 636 | Conexión SSL LDAP | |
| TCP | 3268 | Conexión LDAP al catálogo global | ||
| TCP | 3269 | Conexión LDAP al Catálogo Global a través de SSL | ||
| TCP | 389 | Texto sin formato LDAP o TLS | ||
| Servidor RADIUS | UDP | 1813 | Contabilidad RADIUS | |
| UDP | 1645, 1812 | Conexión RADIUS | ||
| Thales HSM | TCP | 9004 | RFS y Thales HSM | |
| Citrix ADC NSIP | Citrix ADM | UDP | 4739 | Para la comunicación de AppFlow |
| SNMP | 161, 162 | Para enviar eventos/capturas SNMP | ||
| Syslog | 514 | Para recibir mensajes syslog en Citrix ADM | ||
| Citrix ADC SNIP | Citrix ADM | TCP | 5563 | Para métricas de ADC (contadores), eventos del sistema y mensajes de registro de auditoría de Citrix ADC a Citrix ADM. |
| TCP | 5557, 5558 | Para la comunicación logstream de Citrix ADC a Citrix ADM. | ||
| Estación de trabajo de administración | Citrix ADC NSIP | TCP | 80, 443 | HTTP o HTTPS - Administración de GUI |
| TCP | 22 | Acceso SSH |
Nota:
Según la configuración de Citrix ADC, el tráfico de red puede originarse desde interfaces SNIP, MIP o NSIP. Si ha configurado Citrix ADC en modo Alta disponibilidad, Citrix ADM utiliza la dirección IP de subred (Management SNIP) de Citrix ADC para comunicarse con Citrix ADC.
Citrix ADM
| Origen | Destino | Tipo | Port | Detalles |
| ———————– | —————————————– | —— | —————- | ————————————————————————————————————————————————————- |
| Citrix ADM | Instancia NSIP de Citrix ADC o Citrix SD-WAN | TCP | 80, 443 | Para comunicación NITRO |
| | | TCP | 22 | Para comunicación SSH |
| | | ICMP | Sin puerto reservado | Para detectar la accesibilidad de la red entre las instancias de Citrix ADM y ADC, las instancias SD-WAN o el servidor secundario de Citrix ADM implementado en modo de alta disponibilidad. |
| | Citrix ADM | TCP | 22 | Para la sincronización entre los servidores Citrix ADM implementados en modo de alta disponibilidad. |
| | | TCP | 5454 | Puerto predeterminado para la comunicación y sincronización de bases de datos entre nodos Citrix ADM en modo de alta disponibilidad. |
| | Usuarios | TCP | 25 | Para enviar notificaciones SMTP desde Citrix ADM a los usuarios. |
| | Servidor de autenticación externa LDAP | TCP | 389, 636 | Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre Citrix ADM y el servidor de autenticación externo LDAP. |
| | Servidor NTP | UDP | 123 | Puerto de servidor NTP predeterminado para sincronizar con varias fuentes de tiempo. |
| | Servidor de autenticación externa RADIUS | RADIUS | 1812 | Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre Citrix ADM y el servidor de autenticación externo RADIUS. |
| | Servidor de autenticación externo TACACS | TACACS | 49 | Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre Citrix ADM y el servidor de autenticación externo TACACS. |
| Instancia de Citrix ADC/CPX | Servidor/agente de licencias Citrix ADM | TCP | 27000 | Puerto de licencia para la comunicación entre el servidor/agente de licencias de Citrix ADM y la instancia de ADC/CPX. |
| | | TCP | 7279 | Puerto del demonio de proveedor Citrix. |
| | Citrix ADM | UDP | 5005
| Puerto para intercambiar latidos entre nodos HA. |
| | SNIP de Citrix ADC | TCP | 161 | Para enviar eventos SNMP |
| SNIP de Citrix ADC | Citrix ADM | UDP | 162 | Para recibir trampas SNMP de Citrix ADC |
| | | UDP | 4739 | Para recibir datos de registro de análisis de ADC mediante el protocolo IPFIX |
| | | UDP | 514 | Para recibir mensajes de syslog de Citrix ADC ADM |
| SNIP de Citrix ADC | Citrix ADM | TCP | 5563 | Para recibir métricas de ADC (contadores), eventos del sistema y mensajes de registro de auditoría de la instancia de Citrix ADC a Citrix ADM |
| | | TCP | 5557, 5558 | Para la comunicación de flujo de registro (para Security Insight, Web Insight y HDX Insight) desde Citrix ADC |
| Citrix ADM | Agente de Citrix ADM | TCP | 443, 7443, 8443 | Puerto de comunicación entre el agente Citrix ADC y Citrix ADM |
Nota:
Si ha configurado los ADC de Citrix en modo de alta disponibilidad, Citrix ADM utiliza la dirección IP de subred ADC (Management SNIP) de Citrix para comunicarse con Citrix ADC.
CTX124386 describe cómo cambiar el origen, para comunicar mensajes syslog a ADM, del NSIP al SNIP
Citrix Cloud
El único componente de Citrix necesario para que sirva como canal de comunicación entre Citrix Cloud y sus ubicaciones de recursos es un conector. Este conector puede ser un Connector Appliance o un Cloud Connector, según su caso de uso. Para obtener más información sobre el conector que necesita, consulte Tipos de recursos.
Connector Appliance
Una vez instalado, el Connector Appliance inicia la comunicación con Citrix Cloud a través de una conexión saliente. Todas las conexiones se establecen desde el Connector Appliance hacia la nube mediante el puerto HTTPS estándar (443) y el protocolo TCP. No se permiten conexiones entrantes.
Esta es una lista de los puertos a los que el Connector Appliance necesita acceder:
| Servicio | Puerto | Protocolo de dominio compatible | Detalles de configuración |
|---|---|---|---|
| DNS | 53 | TCP/UDP | Este puerto debe estar abierto a la configuración local |
| NTP | 123 | UDP | Este puerto debe estar abierto a la configuración local |
| HTTPS | 443 | TCP | El Connector Appliance necesita un acceso saliente a este puerto |
| HTTP | 3128 | TCP | Si el Connector Appliance está configurado como proxy para las actualizaciones de Citrix Hypervisor, necesita un acceso entrante a este puerto |
Para configurar el Connector Appliance, los administradores de TI deben poder acceder a la interfaz de administración en el puerto 443 (HTTPS) del Connector Appliance.
Nota: Debe incluir
https://al principio de la dirección IP.
Connector Appliance con Active Directory
Se necesitan puertos adicionales para usar Active Directory con Connector Appliance. El Connector Appliance requiere una conexión de salida al dominio de Active Directory a través de los siguientes puertos:
| Servicio | Puerto | Protocolo de dominio compatible |
|---|---|---|
| Kerberos | 88 | TCP/UDP |
| End Point Mapper (servicio de localización DCE/RPC) | 135 | TCP |
| Servicio de nombres de NetBIOS | 137 | UDP |
| Datagrama de NetBIOS | 138 | UDP |
| Sesión de NetBIOS | 139 | TCP |
| LDAP | 389 | TCP/UDP |
| SMB por TCP | 445 | TCP |
| Contraseña de Kerberos | 464 | TCP/UDP |
| Catálogo global | 3268 | TCP |
| Puertos RPC dinámicos | 49152–65535 | TCP |
Cloud Connector
Todas las conexiones se establecen desde Cloud Connector hacia la nube mediante el puerto HTTPS estándar (443) y el protocolo TCP. No se aceptan conexiones entrantes.
Cloud Connectors debe poder conectarse a Digicert para comprobar la revocación de certificados.
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| Cloud Connectors | http://*.digicert.com |
HTTP | 80 | Comprobaciones periódicas de la lista de revocación |
https://*.digicert.com |
HTTPS | 443 | ||
https://dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | ||
https://dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 |
Para encontrar la lista de direcciones que son comunes a la mayoría de los servicios de Citrix Cloud y su función, consulte la documentación del producto.
Citrix DaaS
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| Virtual Delivery Agent | Gateway Service | TCP | 443 | Protocolo Rendezvous |
| Cloud Connectors | Cloud Connectors | El conector de nube actúa como proxy para el Delivery Controller. También deben tenerse en cuenta todos los puertos enumerados para Delivery Controller a Delivery Controller en la sección Citrix Virtual Apps and Desktops. | ||
| Cloud Connectors | Virtual Delivery Agent | TCP, UDP | 1494 | Acceso a aplicaciones y escritorios virtuales por ICA/HDX. El protocolo de transporte de datos más ligero (EDT) requiere que 1494 esté abierto para UDP. |
| TCP, UDP | 2598 | Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX con fiabilidad de sesión. El protocolo de transporte de datos más ligero (EDT) requiere que 2598 esté abierto para UDP. | ||
| El conector de nube actúa como proxy para el Delivery Controller. También deben tenerse en cuenta todos los puertos enumerados para Delivery Controller a VDA en la sección Citrix Virtual Apps and Desktops. | ||||
| Servidor de archivos | TCP | 139,445 | Acceso a VDI que actúa como puntos de montaje CSV del servidor de archivos | |
| Consola del servidor de Citrix Provisioning | Cloud Connectors | HTTPS | 443 | Integración de Provisioning Server con Citrix Cloud Studio |
| Citrix License Server | Citrix Cloud | HTTPS | 443 | Integración de Citrix License Server con Citrix Cloud |
| Servidor FAS de Citrix | Citrix Cloud | HTTPS | 443 | Conexión entre Citrix FAS y Citrix Cloud |
| SDK de PowerShell remoto de CVAD | Citrix Cloud | HTTPS | 443 | Cualquier sistema que ejecute scripts basados en el CVAD Remote PowerShell SDK |
| Aplicación Citrix Workspace | Virtual Delivery Agent | TCP,UDP | 1494 | Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX para una conexión de carga de trabajo directa que evita Citrix Gateway Service para el tráfico interno. |
| 2598 | Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX con confiabilidad de sesión para una conexión de carga de trabajo directa que evita Citrix Gateway Service para el tráfico interno. |
Obtenga más información sobre la integración del servidor de licencias de Citrix aquí. Obtenga más información sobre la integración de Citrix Provisioning Server aquí. Obtenga más información sobre el CVAD Remote PowerShell SDK aquí
Citrix Gateway Service
De forma predeterminada, Gateway Service hará de intermediario en conexiones HDX a través de Citrix Cloud Connectors; sin embargo, el protocolo Rendezvous cambia el flujo de conexiones HDX en un intento de conectar directamente el agente de entrega virtual al servicio de puerta de enlace sin pasar por alto los conectores de Citrix Cloud
Protocolo de encuentro y Protocolo de HDX Enlightened Data Transport (EDT)
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| Virtual Delivery Agent | Gateway Service | UDP | 443 | EDT UDP más de 443 a Gateway Service |
Los agentes de entrega virtuales deben tener acceso a https://*.nssvc.net, incluidos todos los subdominios. O https://*.c.nssvc.net y https://*.g.nssvc.net.
Nota:
Si utiliza EDT en Microsoft Azure, UDP debe definirse en el grupo de seguridad de red de Azure (NSG) que protege el agente de entrega virtual
Obtenga más información sobre los requisitos del protocolo Rendezvous y del protocolo Enlightened Data Transport (EDT) de HDX aquí.
Servicio de grabación de sesiones de Citrix
Consulte el siguiente enlace para conocer los puertos del Servicio de grabación de sesiones de Citrix: Requisitos de conectividad
Citrix Workspace Environment Management Service
Consulte el siguiente enlace para ver los puertos del firewall de Citrix Workspace Environment Management Service
Lea más sobre los requisitos del servicio Citrix Workspace Environment Management Service aquí.
Citrix Endpoint Management
Consulte el siguiente enlace para conocer los puertos de Citrix Endpoint Management (XenMobile): Requisitos de puertos.
Citrix Gateway
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| Dirección IP de subred de Citrix Gateway | Servidor LDAP (equilibrio de carga) | TCP | 636 | Conexión SSL LDAPS |
| TCP | 3268 | Conexión LDAP al catálogo global | ||
| TCP | 3269 | Conexión LDAP al Catálogo Global a través de SSL | ||
| TCP | 389 | Texto sin formato LDAP o TLS | ||
| Servidor RADIUS (equilibrio de carga) | UDP | 1813 | Contabilidad RADIUS | |
| UDP | 1645, 1812 | Conexión RADIUS | ||
| Secure Ticketing Authority (STA) | TCP | 80, 8080, 443 | Secure Ticket Authority (incrustada en el servicio XML) | |
| Virtual Delivery Agent | TCP, UDP | 1494 | Acceso a aplicaciones y escritorios virtuales por ICA/HDX. El protocolo de transporte de datos más ligero (EDT) requiere que 1494 esté abierto para UDP. | |
| TCP, UDP | 2598 | Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX con fiabilidad de sesión. El protocolo de transporte de datos más ligero (EDT) requiere que 2598 esté abierto para UDP. | ||
| TCP, UDP | 443 | Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX a través de TLS/DTLS. | ||
| UDP | 16500..16509 | Transporte de audio en tiempo real ICA/HDX por UDP | ||
| StoreFront | TCP | 80, 443 | Comunicación de Citrix Gateway con StoreFront | |
| Plug-in de Citrix Gateway | VPN/CVAD | UDP | 3108, 3168, 3188 | Para túnel VPN con conexiones ICA seguras |
| TCP, UDP | 3148, 3149, 3159 | Para túnel VPN con conexiones ICA seguras | ||
| Estación de trabajo de administración | Citrix Gateway | TCP | 80, 443 | HTTPS - Administración de GUI |
| TCP | 22 | Acceso SSH | ||
| Citrix Gateway | DNS | TCP, UDP | 53 | Comunicación con el servidor DNS |
Para obtener más información sobre los puertos necesarios para Citrix Gateway en la configuración de DMZ, consulte CTX113250.
Nota:
Todos los puertos anteriores no son obligatorios, dependiendo de su propia configuración.
Citrix Hypervisor
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| Citrix Hypervisor | Citrix Hypervisor | TCP | 443 | Comunicación dentro del host entre miembros de un grupo de recursos mediante XenAPI |
| Servicio NTP | TCP, UDP | 123 | Sincronización de tiempo | |
| Controlador de dominio del servicio DNS | TCP, UDP TCP | 53, 389 | Autenticación de usuario DNS al utilizar la integración de Active Directory (LDAP) | |
| TCP | 636 | LDAP sobre SSL (LDAPS) | ||
| FileServer | TCP, UDP | 139 | ISOStore:NetBIOSSessionService | |
| TCP, UDP | 445 | ISOStore:Microsoft-DS | ||
| Controlador SAN | TCP | 3260 | Almacenamiento iSCSI | |
| Servidor de archivos/Encabezado NAS | TCP | 2049 | Almacenamiento NFS | |
| Syslog | TCP | 514 | Envía datos a una ubicación central para intercalación | |
| Agrupar en clústeres | TCP | 8892, 21064 | Comunicación entre todos los miembros del grupo de un grupo agrupado en clúster. | |
| UDP | 5404, 5405 | |||
| Estación de trabajo de administración (XenCenter) | Citrix Hypervisor | TCP | 22 | SSH |
| TCP | 443 | Administración con XenAPI | ||
| Máquina virtual | TCP | 5900 | VNC para invitados Linux | |
| TCP | 3389 | RDP para WindowsGuests |
Lea más sobre los requisitos del servidor de licencias de Citrix aquí.
Nota:
Si se utiliza FQDN en lugar de IP como recurso, asegúrese de que se puede resolver.
Citrix License Server
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| Cualquier componente de Citrix | Citrix License Server | TCP | 27000 | Gestiona el punto de contacto inicial para las solicitudes de licencia |
| TCP | 7279 | Registro y salida de licencias de Citrix | ||
| Delivery Controller | Citrix License Server | TCP | 8082 | Consola de administración basada en web (Lmadmin.exe) |
| TCP | 8083 | Puerto Simple License Service (requerido para CVAD) | ||
| Estación de trabajo de administración | Citrix License Server | TCP | 8082 | Consola de administración basada en web (Lmadmin.exe) |
| TCP | 8083 | Puerto Simple License Service (requerido para CVAD) | ||
| TCP | 80 | Servicio de complemento PowerShell de configuración de licencias |
Citrix SD-WAN
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| SD-WAN Standard y Enterprise Edition | SD-WAN Standard y Enterprise Edition | UDP | 4980 | Túneles de ruta virtual estática y ruta virtual dinámica entre dispositivos SD-WAN SE/EE. |
| Centro SD-WAN | TCP | 2156 | Informes de comunicación entre SD-WAN Center y dispositivos SD-WAN SE/EE. | |
| Servicio de implementación de Citrix Cloud Zero Touch | TCP | 443 | Comunicación de autenticación entre dispositivos SD-WAN y Citrix Cloud Services. | |
| RADIUS | TCP | 1812 | Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre SD-WAN SE/EE y el servidor de autenticación externa RADIUS. | |
| TACACS+ | TACACS | 49 | Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre SD-WAN SE/EE y el servidor de autenticación externo TACACS. | |
| SNMP | UDP | 161, 162 | Autenticación SNMP y sondeo a dispositivos SD-WAN SE/EE. | |
| NetFlow | UDP | 2055 | Sondeo de NetFlow a dispositivos SD-WAN SE/EE. | |
| AppFlow (Citrix ADM) | TCP | 4739 | Para la comunicación de AppFlow entre los dispositivos Citrix ADM y SD-WAN SE/EE. | |
| API | TCP | 80, 443 | Para comunicación NITRO API con dispositivos SD-WAN SE/EE. | |
| Centro SD-WAN | Servicio de implementación de Citrix Cloud Zero Touch | TCP | 443 | Comunicación de autenticación entre dispositivos SD-WAN y Citrix Cloud Services. |
| Edición WANOP SD-WAN | Edición WANOP SD-WAN | TCP | N/D | SD-WAN WO Edition optimiza de forma transparente el tráfico TCP entre dos sitios. El destino de origen y el puerto originales no cambian en todos los segmentos de la red. |
| API (Citrix ADM) | TCP | 80, 443 | Para la comunicación NITRO API entre los dispositivos Citrix ADM y SD-WAN WANOP. | |
| SSH (Citrix ADM) | TCP | 22 | Para la comunicación SSH entre los dispositivos Citrix ADM y SD-WAN WANOP. | |
| AppFlow (Citrix ADM) | TCP | 4739 | Para la comunicación de AppFlow entre los dispositivos Citrix ADM y SD-WAN WANOP. | |
| Citrix ADM | ICMP | N/D | Para el acceso a la red entre los dispositivos Citrix ADM y SD-WAN WANOP. | |
| RADIUS | TCP | 1812 | Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre SD-WAN WO y el servidor de autenticación externa RADIUS. | |
| TACACS+ | TACACS | 49 | Puerto predeterminado para el protocolo de autenticación. Para la comunicación entre SD-WAN WO y el servidor de autenticación externo TACACS. | |
| SNMP | UDP | 161, 162 | Autenticación SNMP y sondeo a dispositivos SD-WAN WO. | |
| SD-WAN WANOP Edition (Aceleración SSL habilitada) | SD-WAN WANOP Edition (Aceleración SSL habilitada) | TCP | 443 | La función de emparejamiento seguro SD-WAN WO Edition cifra el tráfico entre pares SD-WAN. |
| Citrix Orchestrator local | 9.9.9.9 | UDP/TCP | 53 | Resolución de DNS de los dominios de servicios en la nube pertinentes |
| SD-WAN Standard y Enterprise Edition | TCP | 443 | Comunicación entre Orchestrator On-Premises y dispositivos SD-WAN SE/EE | |
| Citrix Cloud | TCP | 443 | Comunicación de autenticación con los servicios de Citrix Cloud | |
| SD-WAN Standard y Enterprise Edition | SSH | 22 | Comunicación entre Orchestrator On-Premises y dispositivos SD-WAN SE/EE |
Citrix Virtual Apps and Desktops
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| Delivery Controller | Maestro del grupo de recursos de Citrix Hypervisor | TCP | 80, 443 | Comunicación con la infraestructura de Citrix Hypervisor |
| Servidor SCVMM de Microsoft | TCP | 8100 | Comunicación con la infraestructura de Hyper-V | |
| Servidor VMware vCenter | TCP | 443 | Comunicación con la infraestructura de vSphere | |
| Microsoft SQL Server | TCP | 1433 | Microsoft SQL Server | |
| Virtual Delivery Agent | TCP | 80 (Bidireccional) | El Delivery Controller inicia la conexión al descubrir aplicaciones locales o para recopilar información sobre los procesos locales, los datos de rendimiento, etc. | |
| Director | TCP | 80, 443 | Comunicación con Citrix Director | |
| Delivery Controller | TCP | 80 | Comunicación entre Delivery Controllers | |
| TCP | 89 | Caché de host local (este uso del puerto 89 puede cambiar en futuras versiones). | ||
| TCP | 9095 | Servicio de orquestación | ||
| Estación de trabajo de administrador y Citrix Director | Virtual Delivery Agent | TCP | 135,3389 | Comunicación entre Citrix Director y Virtual Delivery Agent para asistencia remota |
| TCP | 389 | Nota de LDAP: Para el paso de inicio de sesión, Citrix Director no se pone en contacto con AD, sino que realiza un inicio de sesión local mediante la API nativa de Windows, LoginUser (que puede contactar internamente con AD). | ||
| Aplicación Citrix Workspace | StoreFront | TCP, UDP | 80,443 | Comunicación con StoreFront |
| Virtual Delivery Agent | TCP, UDP | 1494 | Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX para una conexión de carga de trabajo directa que evita Citrix Gateway Service para el tráfico interno. | |
| Virtual Delivery Agent | TCP, UDP | 2598 | Acceso a aplicaciones y escritorios virtuales mediante ICA/HDX con confiabilidad de sesión para una conexión de carga de trabajo directa que evita Citrix Gateway Service para el tráfico interno. | |
| UDP | 16500..16509 | Rango de puertos para audio UDP ICA/HDX | ||
| Virtual Delivery Agent | Delivery Controller | TCP | 80 (Bidireccional) | Lo utiliza el proceso “WorkstationAgent.exe” para la comunicación con el Delivery Controller. |
| Estación de trabajo de administración | Servidor de Director | TCP | 80, 443 | Acceso al sitio web de Citrix Director |
| Delivery Controller | TCP | 80, 443 | Cuando se usa una consola de Citrix Studio instalada localmente o el SDK para acceder directamente al Delivery Controller. | |
| Virtual Delivery Agent | TCP, UDP | 49152..65535 | Puerto alto asignado dinámicamente al iniciar una sesión de Asistencia remota desde una máquina Windows a un Virtual Delivery Agent. | |
| HdxVideo.js | Virtual Delivery Agent | TCP | 9001 | La redirección de vídeo HTML5 y la redirección de contenido del explorador web son servicios seguros de WebSocket necesarios para redirigir sitios web HTTPS. WebSocketService.exe: Se ejecuta en el sistema local y realiza la terminación de SSL y la asignación de sesiones de usuario. TLS Secure WebSocket escucha en 127.0.0.1 en el puerto 9001. |
Lea más sobre los requisitos del servidor de licencias de Citrix aquí.
Citrix App Layering
Consulte el siguiente enlace para ver los puertos de Citrix App Layering: Puertos de firewall.
Servicio de autenticación federada
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| StoreFront | Servidor de FAS | TCP | 80 | Para enviar la afirmación de identidad del usuario. |
| Servidor de FAS | Entidad de certificación de Microsoft | TCP | 135 | Solicitud de certificado |
| Virtual Delivery Agent | Servidor de FAS | TCP | 80 | Obtener el certificado de usuario del servidor FAS. |
Provisioning Services
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| Servidor de Provisioning | Servidor de Provisioning | UDP | 6890..6909 | Comunicación entre servidores |
| Microsoft SQL Server | TCP | 1433 | Comunicación con Microsoft SQL Server | |
| Controlador de dominio | TCP | 389 | Comunicación con Active Directory | |
| Dispositivo de destino | UDP | 6901, 6902, 6905 | Comunicación de dispositivo de destino a Citrix Provisioning (no configurable) | |
| XenServer | TCP | 80, 443 | Comunicación con la infraestructura de hipervisores de XenServer | |
| Servidor VMware vCenter | TCP | 443 | Comunicación con la infraestructura de vSphere | |
| Microsoft Hyper-V | TCP | 8100 | Comunicación con la infraestructura de Hyper-V | |
| Microsoft Azure | TCP | 443 | Comunicación con la infraestructura de Azure | |
| Google Cloud Platform | TCP | 443 | Comunicación con la infraestructura de Google Cloud | |
| Dispositivo de destino | Broadcast/DHCPServer | UDP | 66, 67 | Solo opciones DHCP: Obtención de opciones DHCP de arranque de red 66-Nombre de servidor TFTP (servidor de protocolo de arranque) y nombre de archivo 67 de arranque (cliente de protocolo de arranque). |
| Broadcast/PXEService | UDP | 69 | Transferencia de archivos trivial (TFTP) para entrega de Bootstrap | |
| Servidor TFTP | UDP | 6910 | Inicio de sesión del dispositivo de destino en Provisioning Services | |
| Servidor de Provisioning | UDP | 6910..6930 | Transmisión de disco virtual (servicio de transmisión) (configurable) | |
| UDP | 6901, 6902, 6905 | Comunicación de dispositivo de destino a Citrix Provisioning (no configurable) | ||
| UDP | 6969, 2071 | Solo BDM: Arranque en dos etapas (BDM). Se utiliza únicamente en el arranque desde casos ISO o USB. | ||
| TCP | 54321..54323 | Servicio SOAP: Utilizado por los asistentes de creación de imágenes | ||
| Estación de trabajo de administración | Servidor de Provisioning | TCP | 54321..54323 | Servicio SOAP: Utilizado por la consola y las API (MCLI, PowerShell, etc.) |
| Delivery Controller | TCP | 80 | Cuando se utiliza CVAD en las instalaciones: Utilizado por los asistentes de consola al crear catálogos de Broker | |
| Servicio CVAD | TCP | 443 | Al utilizar CVADS: Utilizado por los asistentes de consola al crear catálogos de Broker |
Universal Print Server
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| Virtual Delivery Agent | Universal Print Server | UDP | 7229 | Puerto de flujo de datos de impresión (CGP) de Universal Print Server (configurable) |
| Virtual Delivery Agent | Universal Print Server | TCP | 8080 | Puerto del servicio web de Universal Print Server (HTTP/SOAP) (configurable) |
Acceso con Remote PC
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| Estación de trabajo de administración | Virtual Delivery Agent | UDP | 9 | Wake on LAN para acceso remoto al PC y administración de energía |
| Proxy WOL | Virtual Delivery Agent | TCP | 135 | Proxy de activación para administración de energía con acceso con Remote PC |
Nota: El
acceso con Remote PC utiliza los mismos puertos de Virtual Delivery Agent que los escritorios virtuales normales
Grabación de sesiones
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| Virtual Delivery Agent | Servidor de grabación de sesiones | TCP | 80, 443 | Comunicación entre el agente de Grabación de sesiones instalado en Virtual Delivery Agent para conectarse al servidor de grabación de sesiones. La instalación predeterminada utiliza HTTPS/SSL para proteger las comunicaciones. Si SSL no está configurado, use HTTP. |
| Consola de directivas de grabación de sesiones | Servidor de grabación de sesiones | TCP | 80, 443 | Comunicación entre el servidor donde está instalada la Consola de directivas de grabación de sesiones y el servidor de Grabación de sesiones |
| Reproductor de grabación de sesiones | Servidor de grabación de sesiones | TCP | 80, 443 | Comunicación entre la estación de trabajo donde está instalado el reproductor de Grabación de sesiones y el servidor de Grabación de sesiones. |
StoreFront
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| Dispositivo de usuario | Servidor StoreFront | TCP | 80, 443 | Conexión al almacén alojado en el servidor StoreFront |
| Servidor StoreFront | Controlador de dominio | TCP, UDP | 389 | Conexión LDAP para consultar nombres y direcciones de correo electrónico fáciles de usar |
| TCP, UDP | 88 | Kerberos | ||
| TCP, UDP | 464 | Protocolo de autenticación nativo de Windows para permitir a los usuarios cambiar contraseñas caducadas | ||
| Servidor StoreFront | TCP | Puerto no reservado seleccionado aleatoriamente por servicio. Desplácese hacia abajo hasta el final de esta tabla para configurar los firewalls cuando coloque StoreFront en su propia red. | Se utiliza para servicios de punto a punto (Credential Wallet, almacén de suscripciones (1 por almacén)). Este servicio utiliza MS .Net NetPeerTcpBinding que negocia un puerto aleatorio en cada servidor entre los pares. Solo se utiliza para la comunicación dentro del clúster. | |
| TCP | 808 | Se utiliza para servicios de replicación de suscripciones No está instalado de forma predeterminada. Se utiliza para replicar suscripciones entre clústeres asociados | ||
| Delivery Controller, XenMobile | TCP | 80, 443 | Para solicitudes de aplicaciones y escritorios. | |
| Citrix ADC | TCP | 8000 | Para el servicio de supervisión utilizado por el equilibrador de carga de Citrix ADC. | |
| StoreFront | Citrix Gateway | TCP | 443 | URL de devolución de llamada para llegar a Citrix Gateway desde StoreFront |
Utilice la siguiente información para configurar los firewall cuando coloque StoreFront en su propia red:
- Localice los archivos de configuración:
C:\Program Files\Citrix\Receiver StoreFront\Services\SubscriptionsStoreService\Citrix.DeliveryServices.SubscriptionsStore.ServiceHost.exe.configC:\Program Files\Citrix\Receiver StoreFront\Services\CredentialWallet\Citrix.DeliveryServices.CredentialWallet.ServiceHost.exe.config
-
Modifique ambos archivos de configuración cambiando los valores de los URI de los dispositivos de punto final.
Por ejemplo,
<endpoint uri="net.p2p://CitrixCredentialWalletReplication">, por lo que cualquier dirección que comience pornet.p2p://incluye el puerto. Debe terminar con<endpoint uri="net.p2p://CitrixCredentialWalletReplication:93”>y<endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store">se convierte en<endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store:93">y así sucesivamente para todas las demás direcciones net.p2p. - Reinicie el almacén de suscripciones y la cartera de credenciales.
- El firewall local incluye reglas para permitir el acceso por aplicación, por lo que no está bloqueado por puerto.
Workspace Environment Management
| Origen | Destino | Tipo | Port | Detalles |
|---|---|---|---|---|
| Servicios de infraestructura | Host del agente | TCP | 49752 | “Puerto del agente”. Puerto de escucha en el host del agente que recibe instrucciones del servicio de infraestructura. |
| Consola de administración | Servicios de infraestructura | TCP | 8284 | “Puerto de administración”. Puerto en el que la consola de administración se conecta al servicio de infraestructura. |
| Agente | Servicios de infraestructura | TCP | 8286 | “Puerto de servicio del agente”. Puerto en el que el agente se conecta al servidor de infraestructura. |
| Proceso de sincronización de la caché del agente | Servicios de infraestructura | TCP | 8285 | “Puerto de sincronización de caché”. Aplicable a Workspace Environment Management 1909 y versiones anteriores; reemplazado por el puerto de sincronización de datos en caché en Workspace Environment Management 1912 y posteriores. Puerto en el que el proceso de sincronización de la caché del agente se conecta al servicio de infraestructura para sincronizar la caché del agente con el servidor de infraestructura. |
| TCP | 8288 | “Puerto de sincronización de datos en caché”. Aplicable a Workspace Environment Management 1912 y versiones posteriores; reemplaza el puerto de sincronización de caché de Workspace Environment Management 1909 y versiones anteriores. Puerto en el que el proceso de sincronización de la caché del agente se conecta al servicio de infraestructura para sincronizar la caché del agente con el servidor de infraestructura. | ||
| Servicio de supervisión | Servicios de infraestructura | TCP | 8287 | “Puerto de supervisión de WEM”. Puerto de escucha en el servidor de infraestructura utilizado por el servicio de supervisión (todavía no se ha aplicado). |
| Servicios de infraestructura | Microsoft SQL Server | TCP | 1433 | Para conectarse a la base de datos WEM |
| Citrix License Server | TCP | 27000 | “Puerto Citrix License Server”. Puerto en el que está escuchando Citrix License Server y al que se conecta el servicio de infraestructura para validar las licencias. | |
| TCP | 7279 | Puerto utilizado por el componente dedicado de Citrix (daemon) en el servidor de licencias de Citrix para validar las licencias. |
Lea más sobre los requisitos de Citrix Workspace Environment Management aquí.
Lea más sobre los requisitos del servidor de licencias de Citrix aquí.
Archivo CSV
Nos gustaría proporcionarle un archivo csv de los puertos de comunicación de Citrix que puede usar para sus propias necesidades.