Exigences de port
Pour permettre aux appareils et aux applications de communiquer avec XenMobile®, vous devez ouvrir des ports spécifiques dans vos pare-feu. Les tableaux suivants répertorient les ports qui doivent être ouverts.
Ports à ouvrir pour la gestion des applications par Citrix Gateway et XenMobile
Ouvrez les ports suivants pour autoriser les connexions utilisateur depuis Citrix Secure Hub™, Citrix Receiver et le plug-in Citrix Gateway via Citrix Gateway vers les composants suivants :
- XenMobile
- StoreFront™
- Citrix Virtual Apps and Desktops™
- Connecteur Citrix Gateway™ pour Exchange ActiveSync
- Autres ressources réseau internes, telles que les sites web intranet
Pour activer le trafic vers Launch Darkly depuis Citrix ADC, vous pouvez utiliser les adresses IP mentionnées dans cet article du Centre de connaissances du support.
Pour plus d’informations sur Citrix Gateway, consultez la documentation Citrix Gateway. Cette documentation inclut des informations sur les adresses IP de Citrix ADC (NSIP), les adresses IP de serveur virtuel (VIP) et les adresses IP de sous-réseau (SNIP).
| Port TCP | Description | Source | Destination |
|---|---|---|---|
| 21 ou 22 | Utilisé pour envoyer des bundles de support à un serveur FTP ou SCP. | XenMobile | Serveur FTP ou SCP |
| 53 (TCP et UDP) | Utilisé pour les connexions DNS. | Citrix Gateway, XenMobile | Serveur DNS |
| 80 | Citrix Gateway transmet la connexion VPN à la ressource réseau interne via le second pare-feu. Cette situation se produit généralement si les utilisateurs se connectent avec le plug-in Citrix Gateway. | Citrix Gateway | Sites web intranet |
| 80 ou 8080 ; 443 | Port XML et STA (Secure Ticket Authority) utilisé pour l’énumération, l’émission de tickets et l’authentification. Citrix recommande d’utiliser le port 443. | Trafic réseau XML StoreFront et Web Interface ; STA Citrix Gateway | Virtual Apps ou Desktops |
| 123 (TCP et UDP) | Utilisé pour les services NTP (Network Time Protocol). | Citrix Gateway ; XenMobile | Serveur NTP |
| 389 | Utilisé pour les connexions LDAP non sécurisées | Citrix Gateway ; XenMobile | Serveur d’authentification LDAP ou Microsoft Active Directory |
| 443 | Utilisé pour les connexions à StoreFront depuis Citrix Receiver™ ou Receiver pour Web vers Virtual Apps et Desktops. | Internet | Citrix Gateway |
| 443 | Utilisé pour les connexions à XenMobile pour la livraison d’applications web, mobiles et SaaS. | Internet | Citrix Gateway |
| 443 | Utilisé pour la communication générale des appareils avec XenMobile Server. | XenMobile | XenMobile |
| 443 | Utilisé pour les connexions des appareils mobiles à XenMobile pour l’inscription. | Internet | XenMobile |
| 443 | Utilisé pour les connexions de XenMobile au connecteur Citrix Gateway pour Exchange ActiveSync. | XenMobile | Connecteur Citrix Gateway pour Exchange ActiveSync |
| 443 | Utilisé pour les connexions du connecteur Citrix Gateway pour Exchange ActiveSync à XenMobile. | Connecteur Citrix Gateway pour Exchange ActiveSync | XenMobile |
| 443 | Utilisé pour l’URL de rappel dans les déploiements sans authentification par certificat. | XenMobile | Citrix Gateway |
| 514 | Utilisé pour les connexions entre XenMobile et un serveur syslog. | XenMobile | Serveur syslog |
| 636 | Utilisé pour les connexions LDAP sécurisées. | Citrix Gateway ; XenMobile | Serveur d’authentification LDAP ou Active Directory |
| 1494 | Utilisé pour les connexions ICA® aux applications Windows du réseau interne. Citrix recommande de maintenir ce port ouvert. | Citrix Gateway | Virtual Apps ou Desktops |
| 1812 | Utilisé pour les connexions RADIUS. | Citrix Gateway | Serveur d’authentification RADIUS |
| 2598 | Utilisé pour les connexions aux applications Windows du réseau interne à l’aide de la fiabilité de session. Citrix recommande de maintenir ce port ouvert. | Citrix Gateway | Virtual Apps ou Desktops |
| 3268 | Utilisé pour les connexions LDAP non sécurisées du catalogue global Microsoft. | Citrix Gateway ; XenMobile | Serveur d’authentification LDAP ou Active Directory |
| 3269 | Utilisé pour les connexions LDAP sécurisées du catalogue global Microsoft. | Citrix Gateway ; XenMobile | Serveur d’authentification LDAP ou Active Directory |
| 9080 | Utilisé pour le trafic HTTP entre Citrix ADC et le connecteur Citrix Gateway pour Exchange ActiveSync. | Citrix ADC | Connecteur Citrix Gateway pour Exchange ActiveSync |
| 30001 | API de gestion pour la mise en scène initiale du service HTTPS | LAN interne | XenMobile Server |
| 9443 | Utilisé pour le trafic HTTPS entre Citrix ADC et le connecteur Citrix Gateway pour Exchange ActiveSync. | Citrix ADC | Connecteur Citrix Gateway pour Exchange ActiveSync |
| 45000 ; 80 | Utilisé pour la communication entre deux machines virtuelles XenMobile lorsqu’elles sont déployées en cluster. Le port 80 est destiné à la communication inter-nœuds et au déchargement SSL. | XenMobile | XenMobile |
| 8443 | Utilisé pour l’inscription, le magasin XenMobile et la gestion des applications mobiles (MAM). | XenMobile ; Citrix Gateway ; Appareils ; Internet | XenMobile |
| 4443 | Utilisé pour l’accès à la console XenMobile par un administrateur via le navigateur. Également utilisé pour télécharger les journaux et les bundles de support pour tous les nœuds du cluster XenMobile à partir d’un seul nœud. | Point d’accès (navigateur) ; XenMobile | XenMobile |
| 27000 | Le port par défaut utilisé pour accéder au serveur de licences Citrix externe. | XenMobile | Serveur de licences Citrix |
| 7279 | Le port par défaut utilisé pour l’enregistrement et le retrait des licences Citrix. | XenMobile | Démon du fournisseur Citrix |
| 161 | Utilisé pour le trafic SNMP utilisant le protocole UDP. | Gestionnaire SNMP | XenMobile |
| 162 | Utilisé pour envoyer des alertes d’interruption SNMP au gestionnaire SNMP depuis XenMobile. La source est XenMobile et la destination est le gestionnaire SNMP. | XenMobile | Gestionnaire SNMP |
Ports XenMobile à ouvrir pour gérer les appareils
Ouvrez les ports suivants pour permettre à XenMobile de communiquer dans votre réseau.
| Port TCP | Description | Source | Destination |
|---|---|---|---|
| 25 | Port SMTP par défaut pour le service de notification XenMobile. Si votre serveur SMTP utilise un port différent, assurez-vous que votre pare-feu ne bloque pas ce port. | XenMobile | Serveur SMTP |
| 80 et 443 | Connexion de l’Enterprise App Store à l’Apple iTunes App Store ou à Google Play (doit utiliser le port 80). Utilisé pour l’achat en volume Apple. Utilisé pour la publication d’applications depuis les magasins d’applications iOS ou Secure Hub pour Android. | XenMobile |
ax.apps.apple.com et *.mzstatic.com ; vpp.itunes.apple.com ; login.live.com ; *.notify.windows.com ; play.google.com, android.clients.google.com, android.l.google.com
|
| 80 ou 443 | Utilisé pour les connexions sortantes entre XenMobile et le relais de notification SMS Nexmo. | XenMobile | Serveur relais SMS Nexmo |
| 389 | Utilisé pour les connexions LDAP non sécurisées. | XenMobile | Serveur d’authentification LDAP ou Active Directory |
| 443 | Utilisé pour l’inscription et la configuration de l’agent pour Android. | Internet | XenMobile |
| 443 | Utilisé pour l’inscription et la configuration de l’agent pour les appareils Android et Windows et le client de support à distance MDM. | LAN Internet et Wi-Fi | XenMobile |
| 1433 | Utilisé par défaut pour les connexions à un serveur de base de données distant (facultatif). | XenMobile | SQL Server |
| 443 ou 2197 | Utilisé pour envoyer des notifications APNs à *.push.apple.com
|
XenMobile | Internet (hôtes APNs utilisant l’adresse IP publique 17.0.0.0/8 |
| 5223 | Utilisé pour les connexions sortantes APNs depuis les appareils iOS vers *.push.apple.com. |
Appareils iOS | Internet (hôtes APNs utilisant l’adresse IP publique 17.0.0.0/8) |
| 8081 | Utilisé pour les tunnels d’applications depuis le client de support à distance MDM facultatif. Par défaut, 8081. | Client de support à distance | XenMobile |
| 8443 | Utilisé pour l’inscription des appareils iOS. | Internet ; LAN et Wi-Fi | XenMobile |
Exigence de port pour la connectivité du service AutoDiscovery
Cette configuration de port garantit que les appareils Android se connectant depuis Secure Hub pour Android peuvent accéder au service Citrix AutoDiscovery (ADS) depuis le réseau interne. Vous avez besoin d’un accès à l’ADS pour télécharger les mises à jour de sécurité disponibles via l’ADS.
Remarque :
Les connexions ADS peuvent ne pas prendre en charge votre serveur proxy. Dans ce scénario, autorisez la connexion ADS à contourner le serveur proxy.
Si vous souhaitez activer l’épinglage de certificat, effectuez les prérequis suivants :
- Collectez les certificats XenMobile Server et Citrix ADC. Les certificats doivent être au format PEM et doivent être un certificat public et non la clé privée.
- Contactez le support Citrix et faites une demande pour activer l’épinglage de certificat. Au cours de ce processus, vos certificats vous seront demandés.
L’épinglage de certificat exige que les appareils se connectent à l’ADS avant l’inscription de l’appareil. Cette exigence garantit que les dernières informations de sécurité sont disponibles pour Secure Hub. Pour que Secure Hub puisse inscrire un appareil, l’appareil doit atteindre l’ADS. Par conséquent, l’ouverture de l’accès ADS au sein du réseau interne est essentielle pour permettre aux appareils de s’inscrire.
Pour autoriser l’accès à l’ADS pour Secure Hub pour Android ou iOS, ouvrez le port 443 pour le FQDN suivant :
| FQDN | Port | Utilisation de l’IP et du port |
|---|---|---|
discovery.cem.cloud.us |
443 | Secure Hub - Communication ADS via CloudFront |
Pour plus d’informations sur les adresses IP prises en charge, consultez les centres de stockage basés sur le cloud d’AWS.
Exigences réseau d’Android Enterprise
Pour plus d’informations sur les connexions sortantes à prendre en compte lors de la configuration des environnements réseau pour Android Enterprise, consultez l’article d’assistance Google, Exigences réseau d’Android Enterprise.
Exigences de port pour XenMobile
Les hôtes de destination suivants doivent être accessibles depuis le réseau pour créer une entreprise Google Play gérée et pour accéder à l’iFrame Google Play gérée. Google a mis l’iFrame Google Play gérée à la disposition des développeurs EMM pour simplifier la recherche et l’approbation des applications. Pour utiliser l’iFrame Google Play gérée, le navigateur à partir duquel vous accédez à la console XenMobile doit avoir accès à Google Play.
| Hôte de destination | Port | Description |
|---|---|---|
play.google.com |
TCP/443 | Utilisé pour le Google Play Store, l’inscription à Play Enterprise |
*.googleapis.com |
TCP/443 | Utilisé pour Google Mobile Management, les API Google, les API du Google Play Store, FCM |
accounts.youtube.com, accounts.google.com
|
TCP/443 | Utilisé pour l’authentification du compte |
apis.google.com |
TCP/443 | Utilisé pour les services web Google |
ogs.google.com |
TCP/443 | Utilisé pour les éléments d’interface utilisateur iFrame |
notifications.google.com |
TCP/443 | Utilisé pour les notifications de bureau et mobiles |
fonts.googleapis.com, *.gstatic.com, *.googleusercontent.com
|
TCP/443 | Utilisé pour le contenu généré par l’utilisateur de Google Fonts. Par exemple, les icônes d’application dans le magasin |
cri.pki.goog, ocsp.pki.goog
|
TCP/443 | Utilisé pour la validation des certificats |