Document technique : Ports de communication utilisés par Citrix Technologies
Cet article fournit une vue d’ensemble des ports courants utilisés par les composants Citrix et doivent être considérés comme faisant partie de l’architecture de mise en réseau, en particulier si le trafic de communication traverse des composants réseau tels que des pare-feu ou des serveurs proxy où les ports doivent être ouverts pour assurer le flux de communication.
Tous les ports ne doivent pas être ouverts, en fonction de votre déploiement et de vos exigences.
NetScaler SDX
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| Poste de travail administrateur | Gestion de la mise sous/hors tension NetScaler SDX | TCP | 80, 443 | HTTP ou HTTPS - Administration de l’interface graphique |
| SVM NetScaler SDX | TCP | 80, 443 | HTTP ou HTTPS - communication GUI et NITRO | |
| TCP | 22 | Accès SSH/SCP | ||
| Hyperviseur NetScaler SDX | TCP | 22 | Accès SSH/SCP | |
| SVM NetScaler SDX | Instance NetScaler | TCP | 80, 443 | HTTP ou HTTPS - communication GUI et NITRO |
| TCP | 22 | Accès SSH/SCP | ||
| ICMP | Utilisation du protocole ICMP pour vérifier la disponibilité des instances | |||
| Serveur NTP | UDP | 123 | Port de serveur NTP par défaut pour la synchronisation avec plusieurs sources de temps | |
| NetScaler NSIP | SVM NetScaler SDX | SNMP | 161, 162 | Événements/interruptions SNMP des instances ADC vers la SVM SDX |
| ICMP | Utilisation du protocole ICMP pour vérifier la disponibilité des instances |
NetScaler
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| NetScaler NSIP | Appliances NetScaler dans la configuration d’un cluster | UDP | 7000 | Échange de pulsations cardiaques du cluster |
| Appliance NetScaler (pour une haute disponibilité) | UDP | 3003 | Échange de paquets bonjour pour communiquer l’état UP/DOWN (pulsations) | |
| Appliance NetScaler (pour une haute disponibilité) | TCP | 3008 | Synchronisation sécurisée de la configuration haute disponibilité | |
| Appliance NetScaler (pour l’équilibrage de la charge globale du site) | TCP | 3009 | Pour le protocole MEP sécurisé. | |
| Appliance NetScaler (pour une haute disponibilité) | TCP | 3010 | Synchronisation de configuration haute disponibilité non sécurisée. | |
| Appliance NetScaler (pour l’équilibrage de la charge globale du site) | TCP | 3011 | Pour les MEP non sécurisés. | |
| Appliance NetScaler ADM | UDP | 162 | Interruptions d’ADC vers NetScaler ADM Center1 | |
| Appliance NetScaler (pour une haute disponibilité) | TCP | 22 | Utilisé par le processus rsync lors de la synchronisation de fichiers dans la configuration haute disponibilité | |
| Serveur DNS | TCP, UDP | 53 | Résolution de nom DNS | |
| Serveur NTP | UDP | 123 | Port de serveur NTP par défaut pour la synchronisation avec plusieurs sources de temps | |
| URL de signature du pare-feu d’application | TCP | 443 | Mise à jour des signatures hébergées sur AWS | |
| URL de signature de la gestion de bot | TCP | 443 | Mise à jour des signatures hébergées sur AWS | |
| Gestion de la mise sous/hors tension ADC | TCP | 4001, 5900, 623 | Démon qui offre une gestion complète et unifiée de la configuration de tous les protocoles de routage | |
| Serveur LDAP | TCP | 636 | Connexion SSL LDAP | |
| TCP | 3268 | Connexion LDAP au catalogue global | ||
| TCP | 3269 | Connexion LDAP au catalogue global via SSL | ||
| TCP | 389 | Texte en clair LDAP ou TLS | ||
| Serveur RADIUS | UDP | 1813 | Comptabilité RADIUS | |
| UDP | 1645, 1812 | Connexion RADIUS | ||
| Thales HSM | TCP | 9004 | RFS et Thales HSM | |
| NetScaler NSIP | NetScaler ADM | UDP | 4739 | Pour la communication AppFlow |
| SNMP | 161, 162 | Pour envoyer des événements/interruptions SNMP | ||
| Syslog | 514 | Pour recevoir des messages Syslog dans NetScaler ADM | ||
| SNIP NetScaler | NetScaler ADM | TCP | 5563 | Pour les métriques ADC (compteurs), les événements système et les messages du journal d’audit transmis par NetScaler à NetScaler ADM. |
| TCP | 5557, 5558 | Pour les communications logstream entre NetScaler et NetScaler ADM. | ||
| Poste de travail administrateur | NetScaler NSIP | TCP | 80, 443 | HTTP ou HTTPS - Administration de l’interface graphique |
| TCP | 22 | Accès SSH |
Remarque :
Selon la configuration de NetScaler, le trafic réseau peut provenir des interfaces SNIP, MIP ou NSIP. Si vous avez configuré NetScalers en mode haute disponibilité, NetScaler ADM utilise l’adresse IP du sous-réseau NetScaler (Management SNIP) pour communiquer avec NetScaler.
NetScaler ADM
| Source | Destination | Type | Port | Détails |
| ———————– | —————————————– | —— | —————- | ————————————————————————————————————————————————————- |
| NetScaler ADM | Instance NetScaler NSIP ou Citrix SD-WAN | TCP | 80, 443 | Pour la communication NITRO |
| | | TCP | 22 | Pour la communication SSH |
| | | ICMP | Aucun port réservé | Pour détecter l’accessibilité du réseau entre les instances NetScaler ADM et ADC, les instances SD-WAN ou le serveur NetScaler ADM secondaire déployé en mode haute disponibilité. |
| | NetScaler ADM | TCP | 22 | Pour la synchronisation entre les serveurs NetScaler ADM déployés en mode haute disponibilité. |
| | | TCP | 5454 | Port par défaut pour la communication et la synchronisation des bases de données entre les nœuds NetScaler ADM en mode haute disponibilité. |
| | Utilisateurs | TCP | 25 | Pour envoyer des notifications SMTP depuis NetScaler ADM aux utilisateurs. |
| | Serveur d’authentification externe LDAP | TCP | 389, 636 | Port par défaut pour le protocole d’authentification. Pour la communication entre NetScaler ADM et le serveur d’authentification externe LDAP. |
| | Serveur NTP | UDP | 123 | Port du serveur NTP par défaut pour la synchronisation avec plusieurs sources temporelles. |
| | Serveur d’authentification externe RADIUS | RADIUS | 1812 | Port par défaut pour le protocole d’authentification. Pour la communication entre NetScaler ADM et le serveur d’authentification externe RADIUS. |
| | Serveur d’authentification externe TACACS | TACACS | 49 | Port par défaut pour le protocole d’authentification. Pour la communication entre NetScaler ADM et le serveur d’authentification externe TACACS. |
| Instance NetScaler/CPX | Serveur/agent de licences NetScaler ADM | TCP | 27000 | Port de licence pour la communication entre le serveur/agent de licences NetScaler ADM et l’instance ADC/CPX. |
| | | TCP | 7279 | Port du démon fournisseur Citrix. |
| | Citirx ADM | UDP | 5005
| Port pour échanger des pulsations entre les nœuds HA. |
| | NetScaler SNIP | TCP | 161 | Pour envoyer des événements SNMP |
| NetScaler NSIP | NetScaler ADM | UDP | 162 | Pour recevoir des interruptions SNMP depuis NetScaler |
| | | UDP | 4739 | Pour recevoir les données du journal d’analyse ADC à l’aide du protocole IPFIX |
| | | UDP | 514 | Pour recevoir des messages syslog depuis NetScaler ADM |
| NetScaler SNIP | NetScaler ADM | TCP | 5563 | Pour recevoir des métriques ADC (compteurs), des événements système et des messages du journal d’audit de l’instance NetScaler vers NetScaler ADM |
| | | TCP | 5557, 5558 | Pour les communications Logstream (pour Security Insight, Web Insight et HDX Insight) depuis NetScaler |
| NetScaler ADM | NetScaler ADM Agent | TCP | 443, 7443, 8443 | Port de communication entre l’agent NetScaler et NetScaler ADM |
Remarque :
Si vous avez configuré des NetScaler en mode haute disponibilité, NetScaler ADM utilise l’adresse IP du sous-réseau NetScaler (Management SNIP) pour communiquer avec NetScaler.
CTX124386 décrit comment changer la source, pour communiquer des messages syslog à ADM, du NSIP au SNIP
Citrix Cloud
Le seul composant Citrix nécessaire pour servir de canal de communication entre Citrix Cloud et vos emplacements de ressources est un connecteur. Ce connecteur peut être un Connector Appliance ou un Cloud Connector selon votre cas d’utilisation. Pour plus d’informations sur le connecteur dont vous avez besoin, consultez la section Types de ressources.
Appliance Connector
Une fois installé, Connector Appliance initie la communication avec Citrix Cloud via une connexion sortante. Toutes les connexions sont établies depuis Connector Appliance vers le cloud à l’aide du port HTTPS standard (443) et du protocole TCP. Aucune connexion entrante n’est autorisée.
Voici une liste des ports auxquels le Connector Appliance a besoin d’accéder :
| Service | Port | Protocoles de domaine pris en charge | Détails de la configuration |
|---|---|---|---|
| DNS | 53 | TCP/UDP | Ce port doit être ouvert pour la configuration locale |
| NTP | 123 | UDP | Ce port doit être ouvert pour la configuration locale |
| HTTPS | 443 | TCP | Le Connector Appliance nécessite un accès sortant à ce port |
Pour configurer le Connector Appliance, les administrateurs informatiques doivent pouvoir accéder à l’interface d’administration du port 443 (HTTPS) du Connector Appliance.
Remarque : vous devez inclure
https://au début de l’adresse IP.
Connector Appliance avec Active Directory
Des ports supplémentaires sont nécessaires pour utiliser Active Directory avec Connector Appliance. L’Connector Appliance nécessite une connexion sortante vers le domaine Active Directory via les ports suivants :
| Service | Port | Protocoles de domaine pris en charge |
|---|---|---|
| Kerberos | 88 | TCP/UDP |
| Mappeur de points finaux (service de localisation DCE/RPC) | 135 | TCP |
| Service de noms NetBIOS | 137 | UDP |
| Datagramme NetBIOS | 138 | UDP |
| Session NetBIOS | 139 | TCP |
| LDAP | 389 | TCP/UDP |
| SMB sur TCP | 445 | TCP |
| Kerberos kpasswd | 464 | TCP/UDP |
| Global Catalog | 3268 | TCP |
| Ports RPC dynamiques | 49152..65535 | TCP |
Cloud Connector
Toutes les connexions sont établies depuis le Cloud Connector vers le cloud à l’aide du port HTTPS standard (443) et du protocole TCP. Aucune connexion entrante n’est acceptée.
Cloud Connector doit pouvoir se connecter à Digicert pour les vérifications de révocation de certificats.
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| Cloud Connector | http://*.digicert.com |
HTTP | 80 | Vérifications périodiques de la liste de révocation de certificats |
https://*.digicert.com |
HTTPS | 443 | ||
https://dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | ||
https://dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 |
Pour obtenir la liste des adresses communes à la plupart des services Citrix Cloud et leur fonction, consultez la documentation produit.
Citrix DaaS
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| Virtual Delivery Agent | Service de passerelle | TCP, UDP | 443 | Protocole Rendezvous. |
| Cloud Connector | Cloud Connector | TCP | 80 | Communication entre Delivery Controller sécurisés via WCF. |
| TCP | 89 | Cache d’hôte local sécurisé via WCF. | ||
| TCP | 9095 | Service d’orchestration sécurisé via WCF. | ||
| Cloud Connector | Maître du pool de ressources XenServer | TCP | 80, 443 | Communication avec l’infrastructure XenServer. |
| Serveur Microsoft SCVMM | TCP | 8100 | Communication avec l’infrastructure Microsoft SCVMM/Hyper-V. | |
| VMware vCenter Server | TCP | 443 | Communication avec l’infrastructure VMware vSphere. | |
| Nutanix AHV | TCP | 9440 | Communication avec l’infrastructure Nutanix AHV. | |
| Cloud Connector | Virtual Delivery Agent | TCP, UDP | 1494 | Accès aux applications et postes de travail virtuels par ICA/HDX. Avec le protocole EDT, 1494 doit être ouvert pour UDP. |
| TCP | 80 | Enregistrement de Citrix VDA auprès du Citrix Cloud Connector sécurisé via WCF. La communication doit être bidirectionnelle. | ||
| TCP, UDP | 2598 | Accès aux applications et postes de travail virtuels par ICA/HDX avec fiabilité de session. Avec le protocole EDT, 2598 doit être ouvert pour UDP. | ||
| Cloud Connector | Agent WEM | TCP | 49752 | « Port de l’agent ». Port d’écoute sur l’hôte de l’agent qui reçoit les instructions du Cloud Connector sécurisé via WCF. |
| Cloud Connector | Serveur de fichiers | TCP | 139,445 | Accès au VDI agissant en tant que points de montage CSV du serveur de fichiers. |
| Cloud Connector | Serveur Citrix FAS | TCP | 80 | Envoyez une assertion d’identité de l’utilisateur sécurisée via WCF. |
| Console du serveur Citrix Provisioning | Cloud Connector | HTTPS | 443 | Intégration du serveur Provisioning à Citrix Cloud Studio. |
| Serveur de licences Citrix | Citrix Cloud | HTTPS | 443 | Intégration du serveur de licences Citrix à Citrix Cloud. |
| Serveur Citrix FAS | Citrix Cloud | HTTPS | 443 | Connexion entre Citrix FAS et Citrix Cloud. |
| SDK Remote PowerShell Citrix DaaS | Citrix Cloud | HTTPS | 443 | Tout système exécutant des scripts basés sur le SDK Citrix DaaS Remote PowerShell. |
| Application Citrix Workspace | Virtual Delivery Agent | TCP, UDP | 1494 | Accès aux applications et aux bureaux virtuels par ICA/HDX pour une connexion directe à la charge de travail qui contourne le service Citrix Gateway pour le trafic interne. |
| TCP, UDP | 2598 | Accès aux applications et aux bureaux virtuels par ICA/HDX avec fiabilité de session pour une connexion directe à la charge de travail qui contourne le service Citrix Gateway pour le trafic interne. | ||
| Agent WEM | Cloud Connector | TCP | 8080 | Port sur lequel l’agent local se connecte à Cloud Connector. Ce port est disponible pour les connexions LAN (réseau local) sortantes. Les messages via le port sont sécurisés par la sécurité au niveau des messages de Windows Communication Foundation (WCF). |
| Service WEM Citrix | HTTPS | 443 | Port sur lequel l’agent local se connecte au service WEM dans Citrix Cloud. Ce port est disponible pour les connexions Internet sortantes. |
En savoir plus sur l’intégration du serveur de licences Citrix ici.
Pour en savoir plus sur l’intégration de Citrix Provisioning Server, cliquez ici.
Pour en savoir plus sur le SDK Citrix DaaS Remote PowerShell, cliquez ici
Citrix Gateway Service
Par défaut, le service de passerelle procurera des connexions HDX via Citrix Cloud Connector, mais Rendezvous Protocol modifie le flux des connexions HDX dans une tentative de connecter directement Virtual Delivery Agent au service de passerelle en contournant Citrix Cloud Connector
Protocole Rendezvous et protocole EDT (HDX Enlightened Data Transport Protocol)
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| Virtual Delivery Agent | Service de passerelle | UDP | 443 | EDT UDP plus de 443 vers le service de passerelle |
Les agents de livraison virtuels doivent avoir accès https://*.nssvc.net, y compris tous les sous-domaines. Ou https://*.c.nssvc.net et https://*.g.nssvc.net.
Remarque :
si vous utilisez EDT dans Microsoft Azure, UDP doit être défini sur Azure Network Security Group (NSG) protégeant l’agent de livraison virtuel
Pour en savoir plus sur les exigences relatives au protocole Rendezvous et au protocole EDT (HDX Enlightened Data Transport Protocol), cliquez ici.
Service d’enregistrement de session Citrix
Reportez-vous au lien suivant pour les ports du service d’enregistrement de session Citrix - Exigences de connectivité
Citrix Endpoint Management
Reportez-vous au lien suivant pour les ports Citrix Endpoint Management (XenMobile) : exigences relatives aux ports.
Citrix Gateway
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| SNIP NetScaler Gateway | Serveur LDAP (équilibrage de charge) | TCP | 636 | Connexion SSL LDAPS |
| TCP | 3268 | Connexion LDAP au catalogue global | ||
| TCP | 3269 | Connexion LDAP au catalogue global via SSL | ||
| TCP | 389 | Texte en clair LDAP ou TLS | ||
| Serveur RADIUS (équilibrage de charge) | UDP | 1813 | Comptabilité RADIUS | |
| UDP | 1645, 1812 | Connexion RADIUS | ||
| Secure Ticketing Authority (STA) | TCP | 80, 8080, 443 | Secure Ticketing Authority (intégré au service XML) | |
| Virtual Delivery Agent | TCP, UDP | 1494 | Accès aux applications et postes de travail virtuels par ICA/HDX. Avec le protocole EDT, 1494 doit être ouvert pour UDP. | |
| TCP, UDP | 2598 | Accès aux applications et postes de travail virtuels par ICA/HDX avec fiabilité de session. Avec le protocole EDT, 2598 doit être ouvert pour UDP. | ||
| TCP, UDP | 443 | Accès aux applications et postes de travail virtuels par ICA/HDX via TLS/DTLS. | ||
| UDP | 16500..16509 | Transport en temps réel audio ICA/HDX sur UDP | ||
| StoreFront | TCP | 80, 443 | Communication NetScaler Gateway avec StoreFront | |
| Plug-in NetScaler Gateway | VPN/CVAD | UDP | 3108, 3168, 3188 | Pour tunnel VPN avec connexions ICA sécurisées |
| TCP, UDP | 3148, 3149, 3159 | Pour tunnel VPN avec connexions ICA sécurisées | ||
| Poste de travail administrateur | Citrix Gateway | TCP | 80, 443 | HTTPS - Administration de l’interface graphique |
| TCP | 22 | Accès SSH | ||
| Citrix Gateway | DNS | TCP, UDP | 53 | Communication avec le serveur DNS |
Pour plus d’informations sur les ports requis pour NetScaler Gateway dans la configuration DMZ, reportez-vous à CTX113250.
Remarque :
Tous les ports ci-dessus ne sont pas obligatoires, en fonction de votre propre configuration.
XenServer
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| Citrix Hypervisor | Citrix Hypervisor | TCP | 443 | Communication intra-hôte entre les membres d’un pool de ressources à l’aide de XenAPI |
| Service NTP | TCP, UDP | 123 | Synchronisation de l’heure | |
| Contrôleur de domaine de service DNS | TCP, UDP TCP | 53, 389 | Authentification utilisateur DNS lors de l’utilisation de l’intégration Active Directory (LDAP) | |
| TCP | 636 | LDAP sur SSL (LDAPS) | ||
| FileServer | TCP, UDP | 139 | ISOStore:NetBIOSSessionService | |
| TCP, UDP | 445 | ISOStore:Microsoft-DS | ||
| Contrôleur SAN | TCP | 3260 | Stockage iSCSI | |
| Tête NAS /serveur de fichiers | TCP | 2049 | Stockage NFS | |
| Syslog | TCP | 514 | Envoie des données à un emplacement central pour le classement | |
| Clustering | TCP | 8892, 21064 | Communication entre tous les membres du pool d’un pool en cluster. | |
| UDP | 5404, 5405 | |||
| Station de travail d’administration (XenCenter) | XenServer | TCP | 22 | SSH |
| TCP | 443 | Gestion à l’aide de XenAPI | ||
| Machine virtuelle | TCP | 5900 | VNC pour les invités Linux | |
| TCP | 3389 | RDP pour invités Windows |
En savoir plus sur la configuration requise pour le serveur de licences Citrix ici
Remarque :
Si le nom de domaine complet est utilisé à la place de l’IP en tant que ressource, assurez-vous qu’il est résoluble.
Serveur de licences Citrix
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| Tout composant Citrix | Serveur de licences Citrix | TCP | 27000 | Gère le point de contact initial pour les demandes de licence |
| TCP | 7279 | Enregistrement/extraction des licences Citrix | ||
| Delivery Controller | Serveur de licences Citrix | TCP | 8082 | Console d’administration Web (Lmadmin.exe) |
| TCP | 8083 | Port de Simple License Service (requis pour CVAD) | ||
| Poste de travail administrateur | Serveur de licences Citrix | TCP | 8082 | Console d’administration Web (Lmadmin.exe) |
| TCP | 8083 | Port de Simple License Service (requis pour CVAD) | ||
| TCP | 80 | Service de composant logiciel enfichable PowerShell Config Licence | ||
| Serveur de licences Citrix | https://cis.citrix.com |
HTTPS | 443 | Génération automatique de rapports de télémétrie sur les licences Citrix |
Citrix SD-WAN
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| SD-WAN Standard et Enterprise Edition | SD-WAN Standard et Enterprise Edition | UDP | 4980 | Tunnels Statiques Virtual Path et Dynamic Virtual Path entre les périphériques SD-WAN SE/EE. |
| SD-WAN Center | TCP | 2156 | Communication de rapports entre le Centre SD-WAN et les périphériques SE/EE SD-WAN. | |
| Service de déploiement Citrix Cloud Zero Touch | TCP | 443 | Communication d’authentification entre les périphériques SD-WAN et Citrix Cloud Services. | |
| RADIUS | TCP | 1812 | Port par défaut pour le protocole d’authentification. Pour la communication entre SD-WAN SE/EE et le serveur d’authentification externe RADIUS. | |
| TACACS+ | TACACS | 49 | Port par défaut pour le protocole d’authentification. Pour la communication entre SD-WAN SE/EE et le serveur d’authentification externe TACACS. | |
| SNMP | UDP | 161, 162 | Authentification SNMP et interrogation sur les périphériques SE/EE SD-WAN. | |
| NetFlow | UDP | 2055 | Sondage NetFlow sur les périphériques SE/EE SD-WAN. | |
| AppFlow (NetScaler ADM) | TCP | 4739 | Pour la communication AppFlow entre NetScaler ADM et les appareils SD-WAN SE/EE. | |
| API | TCP | 80, 443 | Pour la communication de l’API NITRO aux périphériques SD-WAN SE/EE. | |
| SD-WAN Center | Service de déploiement Citrix Cloud Zero Touch | TCP | 443 | Communication d’authentification entre les périphériques SD-WAN et Citrix Cloud Services. |
| SD-WAN WANOP Edition | SD-WAN WANOP Edition | TCP | S/O | SD-WAN WO Edition optimise de manière transparente le trafic TCP entre deux sites. La destination source et le port d’origine restent inchangés dans tous les segments du réseau. |
| API (NetScaler ADM) | TCP | 80, 443 | Pour la communication par API NITRO entre les appareils NetScaler ADM et SD-WAN WANOP. | |
| SSH (NetScaler ADM) | TCP | 22 | Pour la communication SSH entre les appareils NetScaler ADM et SD-WAN WANOP. | |
| AppFlow (NetScaler ADM) | TCP | 4739 | Pour la communication AppFlow entre NetScaler ADM et les appareils SD-WAN WANOP. | |
| NetScaler ADM | ICMP | S/O | Pour l’accessibilité du réseau entre les appareils NetScaler ADM et SD-WAN WANOP. | |
| RADIUS | TCP | 1812 | Port par défaut pour le protocole d’authentification. Pour la communication entre SD-WAN WO et le serveur d’authentification externe RADIUS. | |
| TACACS+ | TACACS | 49 | Port par défaut pour le protocole d’authentification. Pour la communication entre SD-WAN WO et le serveur d’authentification externe TACACS. | |
| SNMP | UDP | 161, 162 | Authentification SNMP et interrogation sur les périphériques WO SD-WAN. | |
| SD-WAN WANOP Edition (accélération SSL activée) | SD-WAN WANOP Edition (accélération SSL activée) | TCP | 443 | La fonction d’appairage sécurisé SD-WAN WO Edition crypte le trafic entre homologues SD-WAN. |
| Citrix Orchestrator sur site | 9.9.9.9 | UDP/TCP | 53 | Résolution DNS des domaines de services cloud pertinents |
| SD-WAN Standard et Enterprise Edition | TCP | 443 | Communication entre Orchestrator sur site et les périphériques SD-WAN SE/EE | |
| Citrix Cloud | TCP | 443 | Communication d’authentification avec les services Citrix Cloud | |
| SD-WAN Standard et Enterprise Edition | SSH | 22 | Communication entre Orchestrator sur site et les périphériques SD-WAN SE/EE |
Citrix Virtual Apps and Desktops
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| Delivery Controller | Maître du pool de ressources XenServer | TCP | 80, 443 | Communication avec l’infrastructure XenServer |
| Serveur Microsoft SCVMM | TCP | 8100 | Communication avec l’infrastructure Hyper-V | |
| VMware vCenter Server | TCP | 443 | Communication avec l’infrastructure vSphere | |
| Nutanix AHV | TCP | 9440 | Communication avec l’infrastructure Nutanix AHV | |
| Microsoft SQL Server | TCP | 1433 | Microsoft SQL Server | |
| Virtual Delivery Agent | TCP | 80 (bidirectionnel) | Delivery Controller initie la connexion lors de la découverte d’applications locales ou pour la collecte d’informations sur les processus locaux, les données de performance, etc. | |
| Delivery Controller | TCP | 80 | Communication entre Delivery Controller | |
| TCP | 89 | Cache d’hôte local (cette utilisation du port 89 peut changer dans les prochaines versions.) | ||
| TCP | 9095 | Service d’orchestration | ||
| Director | Delivery Controller | TCP | 80, 443 | Communication avec Citrix Delivery Controllers |
| Citrix Director et Admin Workstation | Virtual Delivery Agent | TCP | 135,3389 | Communication entre Citrix Director et Virtual Delivery Agent pour l’assistance à distance |
| TCP | 389 | Remarque LDAP : Pour l’étape de connexion, Citrix Director ne contacte pas AD mais effectue une ouverture de session locale à l’aide de l’API Windows native - LoginUser (qui peut contacter l’AD en interne). | ||
| Application Citrix Workspace | StoreFront | TCP, UDP | 80,443 | Communication avec StoreFront |
| Virtual Delivery Agent | TCP, UDP | 1494 | Accès aux applications et aux bureaux virtuels par ICA/HDX pour une connexion directe à la charge de travail qui contourne le service Citrix Gateway pour le trafic interne. | |
| Virtual Delivery Agent | TCP, UDP | 2598 | Accès aux applications et aux bureaux virtuels par ICA/HDX avec fiabilité de session pour une connexion directe à la charge de travail qui contourne le service Citrix Gateway pour le trafic interne. | |
| UDP | 16500.. 16509 (bidirectionnel) | Ports pour UDP ICA/HDX audio | ||
| Virtual Delivery Agent | Delivery Controller | TCP | 80 (bidirectionnel) | Utilisé par le processus ‘WorkstationAgent.exe’ pour la communication avec Delivery Controller. |
| Poste de travail administrateur | Serveur Director | TCP | 80, 443 | Accès au site Web Citrix Director |
| Delivery Controller | TCP | 80, 443 | Lors de l’utilisation d’une console Citrix Studio installée localement ou du SDK pour accéder directement à Delivery Controller. | |
| Virtual Delivery Agent | TCP, UDP | 49152..65535 | Port élevé alloué dynamiquement lors du lancement d’une session d’assistance à distance à partir d’une machine Windows vers un Virtual Delivery Agent. | |
| HdxVideo.js | Virtual Delivery Agent | TCP | 9001 | Redirection vidéo HTML5 et redirection du contenu du navigateur Le service WebSocket sécurisé est nécessaire pour rediriger les sites Web HTTPS. WebSocketService.exe - s’exécute sur le système local et effectue la terminaison SSL et le mappage de session utilisateur. TLS Secure WebSocket écoutant le port 9001 127.0.0.1. |
En savoir plus sur la configuration requise pour le serveur de licences Citrix ici
Citrix App Layering
Reportez-vous au lien suivant pour les ports Citrix App Layering - Ports de pare-feu.
Service d’authentification fédérée
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| StoreFront | Serveur FAS | TCP | 80 | Pour envoyer l’assertion d’identité de l’utilisateur. |
| Serveur FAS | Autorité de certification Microsoft | DCOM | 135 | Par défaut, l’autorité de certification Microsoft utilise DCOM pour l’accès. Cela peut compliquer la mise en place d’un pare-feu de sécurité, par conséquent Microsoft permet le basculement vers un port TCP statique. Reportez-vous à la section Configurer MS CA DCOM pour plus d’informations. |
| Virtual Delivery Agent | Serveur FAS | TCP | 80 | Récupère le certificat utilisateur à partir du serveur FAS. |
Provisioning Services
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| Serveur Provisioning Server | Serveur Provisioning Server | UDP | 6890..6909 | Communication entre serveurs |
| Microsoft SQL Server | TCP | 1433 | Communication avec Microsoft SQL Server | |
| Serveur de licences Citrix | TCP | 27000 | « Port du serveur de licences Citrix ». Port sur lequel le serveur de licences Citrix écoute et auquel le service d’infrastructure se connecte ensuite pour valider les licences. | |
| TCP | 7279 | Port utilisé par le composant Citrix dédié (démon) dans le serveur de licences Citrix pour valider les licences. | ||
| Contrôleur de domaine | TCP | 389 | Communication avec Active Directory | |
| Machine cible | UDP | 6901, 6902, 6905 | Communication entre machine cible vers Citrix Provisioning (non configurable) | |
| Citrix Hypervisor | TCP | 80, 443 | Communication avec l’infrastructure Citrix Hypervisor | |
| VMware vCenter Server | TCP | 443 | Communication avec l’infrastructure vSphere | |
| Microsoft Hyper-V | TCP | 8100 | Communication avec l’infrastructure Hyper-V | |
| Microsoft Azure | TCP | 443 | Communication avec l’infrastructure Azure | |
| Google Cloud Platform | TCP | 443 | Communication avec l’infrastructure Google Cloud | |
| Machine cible | Diffusion/DHCPServer | UDP | 66, 67 | Seules les options DHCP : obtention des options DHCP de démarrage réseau 66-TFTP Server Name (Bootstrap Protocol Server) et 67 Boot name (Bootstrap Protocol Client). |
| Diffusion/PXeService | UDP | 69 | Transfert de fichiers trivial (TFTP) pour la livraison Bootstrap | |
| Serveur TFTP | UDP | 6910 | Connexion à l’équipement cible à Provisioning Services | |
| Serveur Provisioning Server | UDP | 6910..6930 | Diffusion de disque virtuel (service de diffusion en continu) (configurable) | |
| UDP | 6901, 6902, 6905 | Communication entre machine cible vers Citrix Provisioning (non configurable) | ||
| UDP | 6969, 2071 | Seulement BDM : Boot en deux étapes (BDM). Utilisé dans le démarrage à partir de scénarios ISO ou USB uniquement. | ||
| TCP | 54321..54323 | Service SOAP : utilisé par Imaging Wizards | ||
| Poste de travail administrateur | Serveur Provisioning Server | TCP | 54321..54323 | Service SOAP : utilisé par la console et les API (MCLI, PowerShell, etc.) |
| Delivery Controller | TCP | 80 | Lors de l’utilisation de CVAD sur site - utilisé par les assistants de console lors de la création de catalogues Broker | |
| Service CVAD | TCP | 443 | Lors de l’utilisation de CVADS - utilisé par les assistants de console lors de la création de catalogues Broker |
Serveur d’impression universelle
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| Virtual Delivery Agent | Serveur d’impression universelle | UDP | 7229 | Port de flux de données d’impression (CGP) du serveur d’impression universel (configurable) |
| Virtual Delivery Agent | Serveur d’impression universelle | TCP | 8080 | Port du service Web du serveur d’impression universelle (HTTP/SOAP) (configurable) |
Remote PC Access
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| Poste de travail administrateur | Virtual Delivery Agent | UDP | 9 | Wake on LAN pour la gestion de l’alimentation Remote PC Access |
| Proxy WOL | Virtual Delivery Agent | TCP | 135 | Wake Up Proxy pour la gestion de l’alimentation Remote PC Access |
Remarque :
Remote PC Access utilise les mêmes ports Virtual Delivery Agent que les bureaux virtuels ordinaires
Enregistrement de session
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| Virtual Delivery Agent | Serveur d’enregistrement de session | TCP | 80, 443 | Communication entre l’agent d’enregistrement de session installé sur Virtual Delivery Agent pour se connecter au serveur d’enregistrement de session. L’installation par défaut utilise HTTPS/SSL pour sécuriser les communications. Si SSL n’est pas configuré, utilisez HTTP. |
| Console de stratégie d’enregistrement de session | Serveur d’enregistrement de session | TCP | 80, 443 | Communication entre le serveur sur lequel la console de stratégie d’enregistrement de session est installée et le serveur d’enregistrement de session |
| Lecteur d’enregistrement de session | Serveur d’enregistrement de session | TCP | 80, 443 | Communication entre le poste de travail sur lequel le lecteur d’enregistrement de session est installé et le serveur d’enregistrement de session. |
StoreFront
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| Périphérique utilisateur | Serveur StoreFront | TCP | 80, 443 | Connexion au magasin hébergé sur le serveur StoreFront |
| Serveur StoreFront | Contrôleur de domaine | TCP, UDP | 389 | Connexion LDAP pour interroger des noms et des adresses e-mail conviviaux |
| TCP, UDP | 88 | Kerberos | ||
| TCP, UDP | 464 | Protocole d’authentification Windows natif permettant aux utilisateurs de modifier les mots de passe expirés | ||
| Serveur StoreFront | TCP | Port non réservé sélectionné aléatoirement par service. Faites défiler jusqu’à la fin de ce tableau pour la configuration des pare-feu lorsque vous placez StoreFront dans son propre réseau. | Utilisé pour les services peer-to-peer (Credential Wallet, magasin d’abonnements (1 par magasin). Ce service utilise MS .NET NetPeertcpBinding qui négocie un port aléatoire sur chaque serveur entre les homologues. Utilisé uniquement pour la communication au sein du cluster. | |
| TCP | 808 | Utilisé pour les services de réplication d’abonnement. Non installé par défaut. Utilisé pour répliquer les abonnements entre les clusters associés | ||
| Delivery Controller, XenMobile | TCP | 80, 443 | Pour les demandes d’application et de bureau. | |
| NetScaler | StoreFront | TCP | 8000 | Pour le service de surveillance utilisé par l’équilibreur de charge NetScaler. |
| StoreFront | Citrix Gateway | TCP | 443 | URL de rappel pour atteindre NetScaler Gateway à partir de StoreFront |
Utilisez les informations suivantes pour la configuration des pare-feu lorsque vous placez StoreFront dans son propre réseau :
- Localisez les fichiers de configuration :
C:\Program Files\Citrix\Receiver StoreFront\Services\SubscriptionsStoreService\Citrix.DeliveryServices.SubscriptionsStore.ServiceHost.exe.configC:\Program Files\Citrix\Receiver StoreFront\Services\CredentialWallet\Citrix.DeliveryServices.CredentialWallet.ServiceHost.exe.config
-
Modifiez les deux fichiers de configuration en modifiant les valeurs des URI de point de terminaison.
Par exemple -
<endpoint uri="net.p2p://CitrixCredentialWalletReplication">donc toute adresse qui commence parnet.p2p://inclut le port. Vous devriez vous retrouver avec<endpoint uri="net.p2p://CitrixCredentialWalletReplication:93">et<endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store">devient<endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store:93">et ainsi de suite pour toutes les autres adresses net.p2p. - Redémarrez le magasin des abonnements et le portefeuille d’informations d’identification.
- Le pare-feu local inclut des règles permettant d’autoriser l’accès par application, de sorte qu’il n’est pas verrouillé par port.
Workspace Environment Management
| Source | Destination | Type | Port | Détails |
|---|---|---|---|---|
| Service d’infrastructure | Hôte d’agent | TCP | 49752 | « Port de l’agent ». Port d’écoute sur l’hôte de l’agent qui reçoit des instructions du service d’infrastructure. |
| Console d’administration | Service d’infrastructure | TCP | 8284 | « Port d’administration ». Port sur lequel la console d’administration se connecte au service d’infrastructure. |
| Agent | Service d’infrastructure | TCP | 8286 | « Port de service de l’agent ». Port sur lequel l’agent se connecte au serveur d’infrastructure. |
| Processus de synchronisation du cache de l’agent | Service d’infrastructure | TCP | 8285 | « Port de synchronisation du cache ». Applicable à Workspace Environment Management 1909 et versions antérieures ; remplacé par le port de synchronisation des données mis en cache dans Workspace Environment Management 1912 et versions ultérieures. Port sur lequel le processus de synchronisation du cache de l’agent se connecte au service d’infrastructure pour synchroniser le cache de l’agent avec le serveur d’infrastructure. |
| TCP | 8288 | « Port de synchronisation des données mis en cache ». Applicable à Workspace Environment Management 1912 et versions ultérieures ; remplace le port de synchronisation du cache de Workspace Environment Management 1909 et versions antérieures. Port sur lequel le processus de synchronisation du cache de l’agent se connecte au service d’infrastructure pour synchroniser le cache de l’agent avec le serveur d’infrastructure. | ||
| Service de surveillance | Service d’infrastructure | TCP | 8287 | « Port de surveillance WEM ». Port d’écoute sur le serveur d’infrastructure utilisé par le service de surveillance. (Pas encore mis en œuvre.) |
| Service d’infrastructure | Microsoft SQL Server | TCP | 1433 | Pour se connecter à la base de données WEM |
| Serveur de licences Citrix | TCP | 27000 | « Port du serveur de licences Citrix ». Port sur lequel le serveur de licences Citrix écoute et auquel le service d’infrastructure se connecte ensuite pour valider les licences. | |
| TCP | 7279 | Port utilisé par le composant Citrix dédié (démon) dans le serveur de licences Citrix pour valider les licences. |
Pour en savoir plus sur les exigences de Citrix Workspace Environment Management, cliquez
En savoir plus sur la configuration requise pour le serveur de licences Citrix ici
Fichier CSV
Nous aimerions vous fournir un fichier csv des ports de communication Citrix que vous pouvez utiliser pour vos propres besoins.