Document technique : Ports de communication utilisés par Citrix Technologies

Cet article fournit une vue d’ensemble des ports courants utilisés par les composants Citrix et doivent être considérés comme faisant partie de l’architecture de mise en réseau, en particulier si le trafic de communication traverse des composants réseau tels que des pare-feu ou des serveurs proxy où les ports doivent être ouverts pour assurer le flux de communication.

Tous les ports ne doivent pas être ouverts, en fonction de votre déploiement et de vos exigences.

NetScaler SDX

Source Destination Type Port Détails
Poste de travail administrateur Gestion de la mise sous/hors tension NetScaler SDX TCP 80, 443 HTTP ou HTTPS - Administration de l’interface graphique
  SVM NetScaler SDX TCP 80, 443 HTTP ou HTTPS - communication GUI et NITRO
    TCP 22 Accès SSH/SCP
  Hyperviseur NetScaler SDX TCP 22 Accès SSH/SCP
SVM NetScaler SDX Instance NetScaler TCP 80, 443 HTTP ou HTTPS - communication GUI et NITRO
    TCP 22 Accès SSH/SCP
    ICMP   Utilisation du protocole ICMP pour vérifier la disponibilité des instances
  Serveur NTP UDP 123 Port de serveur NTP par défaut pour la synchronisation avec plusieurs sources de temps
NetScaler NSIP SVM NetScaler SDX SNMP 161, 162 Événements/interruptions SNMP des instances ADC vers la SVM SDX
    ICMP   Utilisation du protocole ICMP pour vérifier la disponibilité des instances

NetScaler

Source Destination Type Port Détails
NetScaler NSIP Appliances NetScaler dans la configuration d’un cluster UDP 7000 Échange de pulsations cardiaques du cluster
  Appliance NetScaler (pour une haute disponibilité) UDP 3003 Échange de paquets bonjour pour communiquer l’état UP/DOWN (pulsations)
  Appliance NetScaler (pour une haute disponibilité) TCP 3008 Synchronisation sécurisée de la configuration haute disponibilité
  Appliance NetScaler (pour l’équilibrage de la charge globale du site) TCP 3009 Pour le protocole MEP sécurisé.
  Appliance NetScaler (pour une haute disponibilité) TCP 3010 Synchronisation de configuration haute disponibilité non sécurisée.
  Appliance NetScaler (pour l’équilibrage de la charge globale du site) TCP 3011 Pour les MEP non sécurisés.
  Appliance NetScaler ADM UDP 162 Interruptions d’ADC vers NetScaler ADM Center
  Appliance NetScaler (pour une haute disponibilité) TCP 22 Utilisé par le processus rsync lors de la synchronisation de fichiers dans la configuration haute disponibilité
  Serveur DNS TCP, UDP 53 Résolution de nom DNS
  Serveur NTP UDP 123 Port de serveur NTP par défaut pour la synchronisation avec plusieurs sources de temps
  URL de signature du pare-feu d’application TCP 443 Mise à jour des signatures hébergées sur AWS
  URL de signature de la gestion de bot TCP 443 Mise à jour des signatures hébergées sur AWS
  Gestion de la mise sous/hors tension ADC TCP 4001, 5900, 623 Démon qui offre une gestion complète et unifiée de la configuration de tous les protocoles de routage
  Serveur LDAP TCP 636 Connexion SSL LDAP
    TCP 3268 Connexion LDAP au catalogue global
    TCP 3269 Connexion LDAP au catalogue global via SSL
    TCP 389 Texte en clair LDAP ou TLS
  Serveur RADIUS UDP 1813 Comptabilité RADIUS
    UDP 1645, 1812 Connexion RADIUS
  Thales HSM TCP 9004 RFS et Thales HSM
NetScaler NSIP NetScaler ADM UDP 4739 Pour la communication AppFlow
    SNMP 161, 162 Pour envoyer des événements/interruptions SNMP
    Syslog 514 Pour recevoir des messages Syslog dans NetScaler ADM
SNIP NetScaler NetScaler ADM TCP 5563 Pour les métriques ADC (compteurs), les événements système et les messages du journal d’audit transmis par NetScaler à NetScaler ADM.
    TCP 5557, 5558 Pour les communications logstream entre NetScaler et NetScaler ADM.
Poste de travail administrateur NetScaler NSIP TCP 80, 443 HTTP ou HTTPS - Administration de l’interface graphique
    TCP 22 Accès SSH

Remarque :

Selon la configuration de NetScaler, le trafic réseau peut provenir des interfaces SNIP, MIP ou NSIP. Si vous avez configuré NetScalers en mode haute disponibilité, NetScaler ADM utilise l’adresse IP du sous-réseau NetScaler (Management SNIP) pour communiquer avec NetScaler.

Lien vers les signatures de pare-feu d’application

Lien vers les signatures de gestion des robots

NetScaler ADM

Source Destination Type Port Détails
NetScaler ADM NetScaler NSIP TCP 80, 443 Pour la communication NITRO
    TCP 22 Pour la communication SSH
    ICMP Aucun port réservé Pour détecter l’accessibilité du réseau entre les instances NetScaler ADM et ADC, ou le serveur NetScaler ADM secondaire déployé en mode haute disponibilité.
  NetScaler ADM TCP 22 Pour la synchronisation entre les serveurs NetScaler ADM déployés en mode haute disponibilité.
    TCP 5454 Port par défaut pour la communication et la synchronisation des bases de données entre les nœuds NetScaler ADM en mode haute disponibilité.
  Utilisateurs TCP 25 Pour envoyer des notifications SMTP depuis NetScaler ADM aux utilisateurs.
  Serveur d’authentification externe LDAP TCP 389, 636 Port par défaut pour le protocole d’authentification. Pour la communication entre NetScaler ADM et le serveur d’authentification externe LDAP.
  Serveur NTP UDP 123 Port du serveur NTP par défaut pour la synchronisation avec plusieurs sources temporelles.
  Serveur d’authentification externe RADIUS RADIUS 1812 Port par défaut pour le protocole d’authentification. Pour la communication entre NetScaler ADM et le serveur d’authentification externe RADIUS.
  Serveur d’authentification externe TACACS TACACS 49 Port par défaut pour le protocole d’authentification. Pour la communication entre NetScaler ADM et le serveur d’authentification externe TACACS.
Instance NetScaler/CPX Serveur/agent de licences NetScaler ADM TCP 27000 Port de licence pour la communication entre le serveur/agent de licences NetScaler ADM et l’instance ADC/CPX.
    TCP 7279 Port du démon fournisseur Citrix.
  Citrix ADM UDP 5005 Port pour échanger les pulsations entre les nœuds HA.
  SNIP NetScaler TCP 161 Pour envoyer des événements SNMP
NetScaler NSIP NetScaler ADM UDP 162 Pour recevoir des interruptions SNMP depuis NetScaler
    UDP 4739 Pour recevoir les données du journal d’analyse ADC à l’aide du protocole IPFIX
    UDP 514 Pour recevoir des messages Syslog de NetScaler ADM
SNIP NetScaler NetScaler ADM TCP 5563 Pour recevoir des métriques ADC (compteurs), des événements système et des messages du journal d’audit de l’instance NetScaler vers NetScaler ADM
    TCP 5557, 5558 Pour la communication logstream (pour Security Insight, Web Insight et HDX Insight) depuis NetScaler
NetScaler ADM Agent NetScaler ADM TCP 443, 7443, 8443 Port de communication entre l’agent NetScaler et NetScaler ADM

Remarque :

Si vous avez configuré des NetScaler en mode haute disponibilité, NetScaler ADM utilise l’adresse IP du sous-réseau NetScaler (Management SNIP) pour communiquer avec NetScaler.

CTX124386 décrit comment changer la source, pour communiquer des messages syslog à ADM, du NSIP au SNIP

Citrix Cloud

Le seul composant Citrix nécessaire pour servir de canal de communication entre Citrix Cloud et vos emplacements de ressources est un connecteur. Ce connecteur peut être un Connector Appliance ou un Cloud Connector selon votre cas d’utilisation. Pour plus d’informations sur le connecteur dont vous avez besoin, consultez la section Types de ressources.

Appliance Connector

Une fois installé, Connector Appliance initie la communication avec Citrix Cloud via une connexion sortante. Toutes les connexions sont établies depuis Connector Appliance vers le cloud à l’aide du port HTTPS standard (443) et du protocole TCP. Aucune connexion entrante n’est autorisée.

Voici une liste des ports auxquels le Connector Appliance a besoin d’accéder :

Service Port Protocoles de domaine pris en charge Détails de la configuration
DNS 53 TCP/UDP Ce port doit être ouvert pour la configuration locale
NTP 123 UDP Ce port doit être ouvert pour la configuration locale
HTTPS 443 TCP Le Connector Appliance nécessite un accès sortant à ce port

Pour configurer le Connector Appliance, les administrateurs informatiques doivent pouvoir accéder à l’interface d’administration du port 443 (HTTPS) du Connector Appliance.

Remarque : vous devez inclure https:// au début de l’adresse IP.

Connector Appliance avec Active Directory

Des ports supplémentaires sont nécessaires pour utiliser Active Directory avec Connector Appliance. L’Connector Appliance nécessite une connexion sortante vers le domaine Active Directory via les ports suivants :

Service Port Protocoles de domaine pris en charge
Kerberos 88 TCP/UDP
Mappeur de points finaux (service de localisation DCE/RPC) 135 TCP
Service de noms NetBIOS 137 UDP
Datagramme NetBIOS 138 UDP
Session NetBIOS 139 TCP
LDAP 389 TCP/UDP
SMB sur TCP 445 TCP
Kerberos kpasswd 464 TCP/UDP
Global Catalog 3268 TCP
Ports RPC dynamiques 49152..65535 TCP

Cloud Connector

Toutes les connexions sont établies depuis le Cloud Connector vers le cloud à l’aide du port HTTPS standard (443) et du protocole TCP. Aucune connexion entrante n’est acceptée.

Cloud Connector doit pouvoir se connecter à Digicert pour les vérifications de révocation de certificats.

Source Destination Type Port Détails
Cloud Connector http://*.digicert.com HTTP 80 Vérifications périodiques de la liste de révocation de certificats
  https://*.digicert.com HTTPS 443  
  https://dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt HTTPS 443  
  https://dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt HTTPS 443  

Pour obtenir la liste des adresses communes à la plupart des services Citrix Cloud et leur fonction, consultez la documentation produit.

Citrix DaaS

Source Destination Type Port Détails
Virtual Delivery Agent Service de passerelle TCP, UDP 443 Protocole Rendezvous.
Cloud Connector Cloud Connector TCP 80 Communication entre Delivery Controller sécurisés via WCF.
    TCP 89 Cache d’hôte local sécurisé via WCF.
    TCP 9095 Service d’orchestration sécurisé via WCF.
Cloud Connector Maître du pool de ressources XenServer TCP 80, 443 Communication avec l’infrastructure XenServer.
  Serveur Microsoft SCVMM TCP 8100 Communication avec l’infrastructure Microsoft SCVMM/Hyper-V.
  VMware vCenter Server TCP 443 Communication avec l’infrastructure VMware vSphere.
  Nutanix AHV TCP 9440 Communication avec l’infrastructure Nutanix AHV.
Cloud Connector Virtual Delivery Agent TCP, UDP 1494 Accès aux applications et postes de travail virtuels par ICA/HDX. Avec le protocole EDT, 1494 doit être ouvert pour UDP.
    TCP 80 Enregistrement de Citrix VDA auprès du Citrix Cloud Connector sécurisé via WCF. La communication doit être bidirectionnelle.
    TCP, UDP 2598 Accès aux applications et postes de travail virtuels par ICA/HDX avec fiabilité de session. Avec le protocole EDT, 2598 doit être ouvert pour UDP.
Cloud Connector Agent WEM TCP 49752 « Port de l’agent ». Port d’écoute sur l’hôte de l’agent qui reçoit les instructions du Cloud Connector sécurisé via WCF.
Cloud Connector Serveur de fichiers TCP 139,445 Accès au VDI agissant en tant que points de montage CSV du serveur de fichiers.
Cloud Connector Serveur Citrix FAS TCP 80 Envoyez une assertion d’identité de l’utilisateur sécurisée via WCF.
Console du serveur Citrix Provisioning Cloud Connector HTTPS 443 Intégration du serveur Provisioning à Citrix Cloud Studio.
Serveur de licences Citrix Citrix Cloud HTTPS 443 Intégration du serveur de licences Citrix à Citrix Cloud.
Serveur Citrix FAS Citrix Cloud HTTPS 443 Connexion entre Citrix FAS et Citrix Cloud.
SDK Remote PowerShell Citrix DaaS Citrix Cloud HTTPS 443 Tout système exécutant des scripts basés sur le SDK Citrix DaaS Remote PowerShell.
Application Citrix Workspace Virtual Delivery Agent TCP, UDP 1494 Accès aux applications et aux bureaux virtuels par ICA/HDX pour une connexion directe à la charge de travail qui contourne le service Citrix Gateway pour le trafic interne.
    TCP, UDP 2598 Accès aux applications et aux bureaux virtuels par ICA/HDX avec fiabilité de session pour une connexion directe à la charge de travail qui contourne le service Citrix Gateway pour le trafic interne.
Agent WEM Cloud Connector TCP 8080 Port sur lequel l’agent local se connecte à Cloud Connector. Ce port est disponible pour les connexions LAN (réseau local) sortantes. Les messages via le port sont sécurisés par la sécurité au niveau des messages de Windows Communication Foundation (WCF).
  Service WEM Citrix HTTPS 443 Port sur lequel l’agent local se connecte au service WEM dans Citrix Cloud. Ce port est disponible pour les connexions Internet sortantes.

En savoir plus sur l’intégration du serveur de licences Citrix ici.

Pour en savoir plus sur l’intégration de Citrix Provisioning Server, cliquez ici.

Pour en savoir plus sur le SDK Citrix DaaS Remote PowerShell, cliquez ici

Citrix Gateway Service

Par défaut, le service de passerelle procurera des connexions HDX via Citrix Cloud Connector, mais Rendezvous Protocol modifie le flux des connexions HDX dans une tentative de connecter directement Virtual Delivery Agent au service de passerelle en contournant Citrix Cloud Connector

Protocole Rendezvous et protocole EDT (HDX Enlightened Data Transport Protocol)

Source Destination Type Port Détails
Virtual Delivery Agent Service de passerelle UDP 443 EDT UDP plus de 443 vers le service de passerelle

Les agents de livraison virtuels doivent avoir accès https://*.nssvc.net, y compris tous les sous-domaines. Ou https://*.c.nssvc.net et https://*.g.nssvc.net.

Remarque :

si vous utilisez EDT dans Microsoft Azure, UDP doit être défini sur Azure Network Security Group (NSG) protégeant l’agent de livraison virtuel

Pour en savoir plus sur les exigences relatives au protocole Rendezvous et au protocole EDT (HDX Enlightened Data Transport Protocol), cliquez ici.

Service d’enregistrement de session Citrix

Reportez-vous au lien suivant pour les ports du service d’enregistrement de session Citrix - Exigences de connectivité

Citrix Endpoint Management

Reportez-vous au lien suivant pour les ports Citrix Endpoint Management (XenMobile) : exigences relatives aux ports.

NetScaler Gateway

Source Destination Type Port Détails
SNIP NetScaler Gateway Serveur LDAP (équilibrage de charge) TCP 636 Connexion SSL LDAPS
    TCP 3268 Connexion LDAP au catalogue global
    TCP 3269 Connexion LDAP au catalogue global via SSL
    TCP 389 Texte en clair LDAP ou TLS
  Serveur RADIUS (équilibrage de charge) UDP 1813 Comptabilité RADIUS
    UDP 1645, 1812 Connexion RADIUS
  Secure Ticketing Authority (STA) TCP 80, 8080, 443 Secure Ticketing Authority (intégré au service XML)
  Virtual Delivery Agent TCP, UDP 1494 Accès aux applications et postes de travail virtuels par ICA/HDX. Avec le protocole EDT, 1494 doit être ouvert pour UDP.
    TCP, UDP 2598 Accès aux applications et postes de travail virtuels par ICA/HDX avec fiabilité de session. Avec le protocole EDT, 2598 doit être ouvert pour UDP.
    TCP, UDP 443 Accès aux applications et postes de travail virtuels par ICA/HDX via TLS/DTLS.
    UDP 16500..16509 Transport en temps réel audio ICA/HDX sur UDP
  StoreFront TCP 80, 443 Communication entre NetScaler Gateway et StoreFront
Plug-in NetScaler Gateway VPN/CVAD UDP 3108, 3168, 3188 Pour tunnel VPN avec connexions ICA sécurisées
    TCP, UDP 3148, 3149, 3159 Pour tunnel VPN avec connexions ICA sécurisées
Poste de travail administrateur NetScaler Gateway TCP 80, 443 HTTPS - Administration de l’interface graphique
    TCP 22 Accès SSH
NetScaler Gateway DNS TCP, UDP 53 Communication avec le serveur DNS

Pour plus d’informations sur les ports requis pour NetScaler Gateway dans une configuration DMZ, consultez l’article CTX113250.

Remarque :

Tous les ports ci-dessus ne sont pas obligatoires, en fonction de votre propre configuration.

Secure Private Access pour on-prem (plug-in Secure Private Access)

Source Destination Type Port Détails
Poste de travail administrateur Plugin Secure Private Access HTTPS 4443 Plugin Secure Private Access - Console d’administration
Plugin Secure Private Access Service NTP TCP, UDP 123 Synchronisation de l’heure
  Service DNS TCP, UDP 53 Recherche DNS
  Active Directory TCP, UDP 88 Kerberos
    TCP 389 LDAP sur Plaintext (LDAP)
    TCP 636 LDAP sur SSL (LDAPS)
  Microsoft SQL Server TCP 1433 Plugin Secure Private Access - Communication avec la base de données
  StoreFront HTTPS 443 Validation d’authentification
  NetScaler Gateway HTTPS 443 Rappel NetScaler Gateway
StoreFront Service NTP TCP, UDP 123 Synchronisation de l’heure
  Service DNS TCP, UDP 53 Recherche DNS
  Active Directory TCP, UDP 88 Kerberos
    TCP 389 LDAP sur Plaintext (LDAP)
    TCP 636 LDAP sur SSL (LDAPS)
    TCP, UDP 464 Protocole d’authentification Windows natif permettant aux utilisateurs de modifier les mots de passe expirés
  Plugin Secure Private Access HTTPS 443 Authentification et énumération des applications
  NetScaler Gateway HTTPS 443 Rappel NetScaler Gateway
NetScaler Gateway Plugin Secure Private Access HTTPS 443 Validation des autorisations d’application
  StoreFront HTTPS 443 Authentification et énumération des applications
  Applications Web HTTP, HTTPS 80, 443 Communication NetScaler Gateway vers les applications Secure Private Access configurées (les ports peuvent varier en fonctiondes exigences de l’application)
Périphérique utilisateur NetScaler Gateway HTTPS 443 Communication entre l’appareil de l’utilisateur final et NetScaler Gateway

XenServer

Source Destination Type Port Détails
Citrix Hypervisor Citrix Hypervisor TCP 443 Communication intra-hôte entre les membres d’un pool de ressources à l’aide de XenAPI
  Service NTP TCP, UDP 123 Synchronisation de l’heure
  Contrôleur de domaine de service DNS TCP, UDP TCP 53, 389 Authentification utilisateur DNS lors de l’utilisation de l’intégration Active Directory (LDAP)
    TCP 636 LDAP sur SSL (LDAPS)
  FileServer TCP, UDP 139 ISOStore:NetBIOSSessionService
    TCP, UDP 445 ISOStore:Microsoft-DS
  Contrôleur SAN TCP 3260 Stockage iSCSI
  Tête NAS /serveur de fichiers TCP 2049 Stockage NFS
  Syslog TCP 514 Envoie des données à un emplacement central pour le classement
  Clustering TCP 8892, 21064 Communication entre tous les membres du pool d’un pool en cluster.
    UDP 5404, 5405  
Station de travail d’administration (XenCenter) XenServer TCP 22 SSH
    TCP 443 Gestion à l’aide de XenAPI
  Machine virtuelle TCP 5900 VNC pour les invités Linux
    TCP 3389 RDP pour invités Windows

En savoir plus sur la configuration requise pour le serveur de licences Citrix ici

Remarque :

Si le nom de domaine complet est utilisé à la place de l’IP en tant que ressource, assurez-vous qu’il est résoluble.

Serveur de licences Citrix

Source Destination Type Port Détails
Tout composant Citrix Serveur de licences Citrix TCP 27000 Gère le point de contact initial pour les demandes de licence
    TCP 7279 Enregistrement/extraction des licences Citrix
Delivery Controller Serveur de licences Citrix TCP 8082 Console d’administration Web (Lmadmin.exe)
    TCP 8083 Port de Simple License Service (requis pour CVAD)
Poste de travail administrateur Serveur de licences Citrix TCP 8082 Console d’administration Web (Lmadmin.exe)
    TCP 8083 Port de Simple License Service (requis pour CVAD)
    TCP 80 Service de composant logiciel enfichable PowerShell Config Licence
Serveur de licences Citrix https://cis.citrix.com HTTPS 443 Génération automatique de rapports de télémétrie sur les licences Citrix

Citrix Virtual Apps and Desktops

Source Destination Type Port Détails
Delivery Controller Maître du pool de ressources XenServer TCP 80, 443 Communication avec l’infrastructure XenServer
  Serveur Microsoft SCVMM TCP 8100 Communication avec l’infrastructure Hyper-V
  VMware vCenter Server TCP 443 Communication avec l’infrastructure vSphere
  Nutanix AHV TCP 9440 Communication avec l’infrastructure Nutanix AHV
  Microsoft SQL Server TCP 1433 Microsoft SQL Server
  Virtual Delivery Agent TCP 80 (bidirectionnel) Delivery Controller initie la connexion lors de la découverte d’applications locales ou pour la collecte d’informations sur les processus locaux, les données de performance, etc.
  Delivery Controller TCP 80 Communication entre Delivery Controller
    TCP 89 Cache d’hôte local (cette utilisation du port 89 peut changer dans les prochaines versions.)
    TCP 9095 Service d’orchestration
Director Delivery Controller TCP 80, 443 Communication avec Citrix Delivery Controllers
Citrix Director et Admin Workstation Virtual Delivery Agent TCP 135,3389 Communication entre Citrix Director et Virtual Delivery Agent pour l’assistance à distance
    TCP 389 Remarque LDAP : Pour l’étape de connexion, Citrix Director ne contacte pas AD mais effectue une ouverture de session locale à l’aide de l’API Windows native - LoginUser (qui peut contacter l’AD en interne).
Application Citrix Workspace StoreFront TCP, UDP 80,443 Communication avec StoreFront
  Virtual Delivery Agent TCP, UDP 1494 Accès aux applications et aux bureaux virtuels par ICA/HDX pour une connexion directe à la charge de travail qui contourne le service Citrix Gateway pour le trafic interne.
  Virtual Delivery Agent TCP, UDP 2598 Accès aux applications et aux bureaux virtuels par ICA/HDX avec fiabilité de session pour une connexion directe à la charge de travail qui contourne le service Citrix Gateway pour le trafic interne.
    UDP 16500.. 16509 (bidirectionnel) Ports pour UDP ICA/HDX audio
Virtual Delivery Agent Delivery Controller TCP 80 (bidirectionnel) Utilisé par le processus ‘WorkstationAgent.exe’ pour la communication avec Delivery Controller.
Poste de travail administrateur Serveur Director TCP 80, 443 Accès au site Web Citrix Director
  Delivery Controller TCP 80, 443 Lors de l’utilisation d’une console Citrix Studio installée localement ou du SDK pour accéder directement à Delivery Controller.
  Virtual Delivery Agent TCP, UDP 49152..65535 Port élevé alloué dynamiquement lors du lancement d’une session d’assistance à distance à partir d’une machine Windows vers un Virtual Delivery Agent.
HdxVideo.js Virtual Delivery Agent TCP 9001 Redirection vidéo HTML5 et redirection du contenu du navigateur Le service WebSocket sécurisé est nécessaire pour rediriger les sites Web HTTPS. WebSocketService.exe - s’exécute sur le système local et effectue la terminaison SSL et le mappage de session utilisateur. TLS Secure WebSocket écoutant le port 9001 127.0.0.1.

En savoir plus sur la configuration requise pour le serveur de licences Citrix ici

Citrix App Layering

Reportez-vous au lien suivant pour les ports Citrix App Layering - Ports de pare-feu.

Service d’authentification fédérée

Source Destination Type Port Détails
StoreFront Serveur FAS TCP 80 Pour envoyer l’assertion d’identité de l’utilisateur.
Serveur FAS Autorité de certification Microsoft DCOM 135 Par défaut, l’autorité de certification Microsoft utilise DCOM pour l’accès. Cela peut compliquer la mise en place d’un pare-feu de sécurité, par conséquent Microsoft permet le basculement vers un port TCP statique. Reportez-vous à la section Configurer MS CA DCOM pour plus d’informations.
Virtual Delivery Agent Serveur FAS TCP 80 Récupère le certificat utilisateur à partir du serveur FAS.

Provisioning Services

Source Destination Type Port Détails
Serveur Provisioning Server Serveur Provisioning Server UDP 6890..6909 Communication entre serveurs
  Microsoft SQL Server TCP 1433 Communication avec Microsoft SQL Server
  Serveur de licences Citrix TCP 27000 « Port du serveur de licences Citrix ». Port sur lequel le serveur de licences Citrix écoute et auquel le service d’infrastructure se connecte ensuite pour valider les licences.
    TCP 7279 Port utilisé par le composant Citrix dédié (démon) dans le serveur de licences Citrix pour valider les licences.
  Contrôleur de domaine TCP 389 Communication avec Active Directory
  Machine cible UDP 6901, 6902, 6905 Communication entre machine cible vers Citrix Provisioning (non configurable)
  Citrix Hypervisor TCP 80, 443 Communication avec l’infrastructure Citrix Hypervisor
  VMware vCenter Server TCP 443 Communication avec l’infrastructure vSphere
  Microsoft Hyper-V TCP 8100 Communication avec l’infrastructure Hyper-V
  Microsoft Azure TCP 443 Communication avec l’infrastructure Azure
  Google Cloud Platform TCP 443 Communication avec l’infrastructure Google Cloud
Machine cible Diffusion/DHCPServer UDP 66, 67 Seules les options DHCP : obtention des options DHCP de démarrage réseau 66-TFTP Server Name (Bootstrap Protocol Server) et 67 Boot name (Bootstrap Protocol Client).
  Diffusion/PXeService UDP 69 Transfert de fichiers trivial (TFTP) pour la livraison Bootstrap
  Serveur TFTP UDP 6910 Connexion à l’équipement cible à Provisioning Services
  Serveur Provisioning Server UDP 6910..6930 Diffusion de disque virtuel (service de diffusion en continu) (configurable)
    UDP 6901, 6902, 6905 Communication entre machine cible vers Citrix Provisioning (non configurable)
    UDP 6969, 2071 Seulement BDM : Boot en deux étapes (BDM). Utilisé dans le démarrage à partir de scénarios ISO ou USB uniquement.
    TCP 54321..54323 Service SOAP : utilisé par Imaging Wizards
Poste de travail administrateur Serveur Provisioning Server TCP 54321..54323 Service SOAP : utilisé par la console et les API (MCLI, PowerShell, etc.)
  Delivery Controller TCP 80 Lors de l’utilisation de CVAD sur site - utilisé par les assistants de console lors de la création de catalogues Broker
  Service CVAD TCP 443 Lors de l’utilisation de CVADS - utilisé par les assistants de console lors de la création de catalogues Broker

Serveur d’impression universelle

Source Destination Type Port Détails
Virtual Delivery Agent Serveur d’impression universelle UDP 7229 Port de flux de données d’impression (CGP) du serveur d’impression universel (configurable)
Virtual Delivery Agent Serveur d’impression universelle TCP 8080 Port du service Web du serveur d’impression universelle (HTTP/SOAP) (configurable)

Remote PC Access

Source Destination Type Port Détails
Poste de travail administrateur Virtual Delivery Agent UDP 9 Wake on LAN pour la gestion de l’alimentation Remote PC Access
Proxy WOL Virtual Delivery Agent TCP 135 Wake Up Proxy pour la gestion de l’alimentation Remote PC Access

Remarque :

Remote PC Access utilise les mêmes ports Virtual Delivery Agent que les bureaux virtuels ordinaires

Enregistrement de session

Source Destination Type Port Détails
Virtual Delivery Agent Serveur d’enregistrement de session TCP 80, 443 Communication entre l’agent d’enregistrement de session installé sur Virtual Delivery Agent pour se connecter au serveur d’enregistrement de session. L’installation par défaut utilise HTTPS/SSL pour sécuriser les communications. Si SSL n’est pas configuré, utilisez HTTP.
Console de stratégie d’enregistrement de session Serveur d’enregistrement de session TCP 80, 443 Communication entre le serveur sur lequel la console de stratégie d’enregistrement de session est installée et le serveur d’enregistrement de session
Lecteur d’enregistrement de session Serveur d’enregistrement de session TCP 80, 443 Communication entre le poste de travail sur lequel le lecteur d’enregistrement de session est installé et le serveur d’enregistrement de session.

StoreFront

Source Destination Type Port Détails
Périphérique utilisateur Serveur StoreFront TCP 80, 443 Connexion au magasin hébergé sur le serveur StoreFront
Serveur StoreFront Contrôleur de domaine TCP, UDP 389 Connexion LDAP pour interroger des noms et des adresses e-mail conviviaux
    TCP, UDP 88 Kerberos
    TCP, UDP 464 Protocole d’authentification Windows natif permettant aux utilisateurs de modifier les mots de passe expirés
  Serveur StoreFront TCP Port non réservé sélectionné aléatoirement par service. Faites défiler jusqu’à la fin de ce tableau pour la configuration des pare-feu lorsque vous placez StoreFront dans son propre réseau. Utilisé pour les services peer-to-peer (Credential Wallet, magasin d’abonnements (1 par magasin). Ce service utilise MS .NET NetPeertcpBinding qui négocie un port aléatoire sur chaque serveur entre les homologues. Utilisé uniquement pour la communication au sein du cluster.
    TCP 808 Utilisé pour les services de réplication d’abonnement. Non installé par défaut. Utilisé pour répliquer les abonnements entre les clusters associés
  Delivery Controller, XenMobile TCP 80, 443 Pour les demandes d’application et de bureau.
NetScaler StoreFront TCP 8000 Pour le service de surveillance utilisé par l’équilibreur de charge NetScaler.
StoreFront NetScaler Gateway TCP 443 URL de rappel permettant d’accéder à NetScaler Gateway depuis StoreFront

Utilisez les informations suivantes pour la configuration des pare-feu lorsque vous placez StoreFront dans son propre réseau :

  1. Localisez les fichiers de configuration :
    • C:\Program Files\Citrix\Receiver StoreFront\Services\SubscriptionsStoreService\Citrix.DeliveryServices.SubscriptionsStore.ServiceHost.exe.config
    • C:\Program Files\Citrix\Receiver StoreFront\Services\CredentialWallet\Citrix.DeliveryServices.CredentialWallet.ServiceHost.exe.config
  2. Modifiez les deux fichiers de configuration en modifiant les valeurs des URI de point de terminaison.

    Par exemple - <endpoint uri="net.p2p://CitrixCredentialWalletReplication"> donc toute adresse qui commence par net.p2p:// inclut le port. Vous devriez vous retrouver avec <endpoint uri="net.p2p://CitrixCredentialWalletReplication:93"> et <endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store"> devient <endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store:93"> et ainsi de suite pour toutes les autres adresses net.p2p.

  3. Redémarrez le magasin des abonnements et le portefeuille d’informations d’identification.
  4. Le pare-feu local inclut des règles permettant d’autoriser l’accès par application, de sorte qu’il n’est pas verrouillé par port.

Workspace Environment Management

Source Destination Type Port Détails
Service d’infrastructure Hôte d’agent TCP 49752 « Port de l’agent ». Port d’écoute sur l’hôte de l’agent qui reçoit des instructions du service d’infrastructure.
Console d’administration Service d’infrastructure TCP 8284 « Port d’administration ». Port sur lequel la console d’administration se connecte au service d’infrastructure.
Agent Service d’infrastructure TCP 8286 « Port de service de l’agent ». Port sur lequel l’agent se connecte au serveur d’infrastructure.
Processus de synchronisation du cache de l’agent Service d’infrastructure TCP 8285 « Port de synchronisation du cache ». Applicable à Workspace Environment Management 1909 et versions antérieures ; remplacé par le port de synchronisation des données mis en cache dans Workspace Environment Management 1912 et versions ultérieures. Port sur lequel le processus de synchronisation du cache de l’agent se connecte au service d’infrastructure pour synchroniser le cache de l’agent avec le serveur d’infrastructure.
    TCP 8288 « Port de synchronisation des données mis en cache ». Applicable à Workspace Environment Management 1912 et versions ultérieures ; remplace le port de synchronisation du cache de Workspace Environment Management 1909 et versions antérieures. Port sur lequel le processus de synchronisation du cache de l’agent se connecte au service d’infrastructure pour synchroniser le cache de l’agent avec le serveur d’infrastructure.
Service de surveillance Service d’infrastructure TCP 8287 « Port de surveillance WEM ». Port d’écoute sur le serveur d’infrastructure utilisé par le service de surveillance. (Pas encore mis en œuvre.)
Service d’infrastructure Microsoft SQL Server TCP 1433 Pour se connecter à la base de données WEM
  Serveur de licences Citrix TCP 27000 « Port du serveur de licences Citrix ». Port sur lequel le serveur de licences Citrix écoute et auquel le service d’infrastructure se connecte ensuite pour valider les licences.
    TCP 7279 Port utilisé par le composant Citrix dédié (démon) dans le serveur de licences Citrix pour valider les licences.

Pour en savoir plus sur les exigences de Citrix Workspace Environment Management, cliquez

En savoir plus sur la configuration requise pour le serveur de licences Citrix ici

Optimisation pour Microsoft Teams

Source Destination Type Port Détails
Appareil client Relais de transport d’équipes UDP 3478 - 3481 Le trafic des équipes passe par le relais de transport. Les clients doivent également accéder aux plages d’adresses : 3.107.64.0/18, 52.112.0.0/14, 52.120.0.0/14.
    TCP 443 Solution de repli sur le flux de trafic des équipes.

Fichier CSV

Nous aimerions vous fournir un fichier csv des ports de communication Citrix que vous pouvez utiliser pour vos propres besoins.

Document technique : Ports de communication utilisés par Citrix Technologies