Configuration requise pour les ports

Pour autoriser des appareils et des applications à communiquer avec XenMobile, vous devez ouvrir des ports spécifiques dans vos pare-feu. Les tableaux suivants répertorient les ports qui doivent être ouverts.

Ouvrir des ports pour NetScaler Gateway et XenMobile afin de gérer des applications

Ouvrez les ports suivants pour autoriser les connexions utilisateur à partir de Citrix Secure Hub, Citrix Receiver et NetScaler Gateway Plug-in via NetScaler Gateway pour les composants suivants :

  • XenMobile
  • StoreFront
  • XenDesktop
  • Citrix Gateway Connector pour Exchange ActiveSync
  • Autres ressources du réseau interne telles que les sites Web intranet

Pour activer le trafic vers Launch Darkly depuis NetScaler, vous pouvez utiliser les adresses IP indiquées dans cet article du centre de connaissances.

Pour plus d’informations sur NetScaler Gateway, consultez la documentation NetScaler Gateway. Cette documentation contient des informations sur les adresses IP de NetScaler (NSIP), du serveur virtuel (VIP) et de sous-réseau (SNIP).

Port TCP Description Source Destination
21 ou 22 Utilisé pour envoyer des packs d’assistance à un serveur FTP ou SCP XenMobile Serveur FTP ou SCP
53 (TCP et UDP) Utilisé pour les connexions DNS. NetScaler Gateway, XenMobile Serveur DNS
80 NetScaler Gateway transmet la connexion VPN à ressource du réseau interne via le second pare-feu. Cette situation se produit généralement si les utilisateurs ouvrent une session à l’aide de NetScaler Gateway Plug-in. NetScaler Gateway Sites Web intranet
80 ou 8080 ; 443 Port XML et Secure Ticket Authority (STA) utilisé pour l’énumération, la fonctionnalité de ticket et l’authentification. Citrix recommande d’utiliser le port 443. Trafic réseau XML de StoreFront et l’Interface Web ; STA NetScaler Gateway XenDesktop ou XenApp
123 (TCP et UDP) Utilisé pour les services NTP (Network Time Protocol). NetScaler Gateway ; XenMobile Serveur NTP
389 Utilisé pour les connexions LDAP non sécurisées NetScaler Gateway ; XenMobile Serveur d’authentification LDAP ou Microsoft Active Directory
443 Utilisé pour les connexions à StoreFront à partir de Citrix Receiver ou Receiver pour Web vers XenApp et XenDesktop. Internet NetScaler Gateway
443 Utilisé pour les connexions à XenMobile pour la mise à disposition d’applications Web, mobiles et SaaS. Internet NetScaler Gateway
443 Utilisé pour la communication des appareils avec XenMobile Server XenMobile XenMobile
443 Utilisé pour les connexions à partir d’appareils mobiles à XenMobile pour l’inscription. Internet XenMobile
443 Utilisé pour les connexions de XenMobile vers Citrix Gateway Connector pour Exchange ActiveSync. XenMobile Citrix Gateway Connector pour Exchange ActiveSync
443 Utilisé pour les connexions de Citrix Gateway Connector pour Exchange ActiveSync vers XenMobile. Citrix Gateway Connector pour Exchange ActiveSync XenMobile
443 Utilisé pour les URL de rappel dans les déploiements sans authentification par certificat. XenMobile NetScaler Gateway
514 Utilisé pour les connexions entre XenMobile et un serveur syslog. XenMobile Serveur Syslog
636 Utilisé pour les connexions LDAP sécurisées. NetScaler Gateway ; XenMobile Serveur d’authentification LDAP ou Active Directory
1494 Utilisé pour les connexions ICA à des applications Windows dans le réseau interne. Citrix recommande de conserver ce port ouvert. NetScaler Gateway XenApp ou XenDesktop
1812 Utilisé pour les connexions RADIUS. NetScaler Gateway Serveur d’authentification RADIUS
2598 Utilisé pour les connexions aux applications Windows dans le réseau interne à l’aide de la fiabilité de session. Citrix recommande de conserver ce port ouvert. NetScaler Gateway XenApp ou XenDesktop
3268 Utilisé pour les connexions LDAP non sécurisées au Microsoft Global Catalog. NetScaler Gateway ; XenMobile Serveur d’authentification LDAP ou Active Directory
3269 Utilisé pour les connexions LDAP sécurisées au Microsoft Global Catalog. NetScaler Gateway ; XenMobile Serveur d’authentification LDAP ou Active Directory
9080 Utilisé pour le trafic HTTP entre NetScaler et Citrix Gateway Connector pour Exchange ActiveSync. NetScaler Citrix Gateway Connector pour Exchange ActiveSync
30001 API de gestion pour la gestion intermédiaire du service HTTPS Réseau local interne XenMobile Server
9443 Utilisé pour le trafic HTTPS entre NetScaler et Citrix Gateway Connector pour Exchange ActiveSync. NetScaler Citrix Gateway Connector pour Exchange ActiveSync
45000 ; 80 Utilisé pour la communication entre deux VM XenMobile lors du déploiement dans un cluster. Le port 80 est utilisé pour la communication entre les nœuds et le déchargement SSL. XenMobile XenMobile
8443 Utilisé pour l’inscription, XenMobile Store et la gestion des applications mobiles (MAM). XenMobile ; NetScaler Gateway ; Appareils ; Internet XenMobile
4443 Utilisé pour l’accès à la console XenMobile par un administrateur via le navigateur. Également utilisé pour le téléchargement des journaux et des packs d’assistance pour tous les nœuds de cluster XenMobile à partir d’un seul nœud. Point d’accès (navigateur) ; XenMobile XenMobile
27000 Port par défaut utilisé pour l’accès au serveur de licences Citrix externe. XenMobile Serveur de licences Citrix
7279 Port par défaut utilisé pour la libération et l’obtention de licences Citrix. XenMobile Démon vendeur Citrix
161 Utilisé pour le trafic SNMP à l’aide du protocole UDP. Gestionnaire SNMP XenMobile
162 Utilisé pour l’envoi d’alertes d’interruption SNMP vers le gestionnaire SNMP à partir de XenMobile. La source est XenMobile et la destination est le gestionnaire SNMP. XenMobile Gestionnaire SNMP

Ouvrir des ports XenMobile pour gérer des appareils

Ouvrez les ports suivants pour autoriser XenMobile à communiquer dans votre réseau.

Port TCP Description Source Destination
25 Port SMTP par défaut du service de notification XenMobile. Si votre serveur SMTP utilise un port différent, assurez-vous que votre pare-feu ne bloque pas ce port. XenMobile Serveur SMTP
80 et 443 Connexion de l’App Store d’entreprise à Apple iTunes App Store, Google Play (doit utiliser 80) ou Windows Phone Store. Utilisé pour le programme d’achats en volume Apple. Utilisé pour la publication d’applications à partir des magasins d’application via Citrix Mobile Self-Serve sur iOS, Secure Hub pour Android, ou Secure Hub pour Windows Phone. XenMobile ax.itunes.apple.com et *.mzstatic.com ; vpp.itunes.apple.com ; login.live.com ; *.notify.windows.com ; play.google.com, android.clients.google.com, android.l.google.com
80 ou 443 Utilisé pour les connexions sortantes entre XenMobile et Nexmo SMS Notification Relay. XenMobile Serveur Nexmo SMS Relay
389 Utilisé pour les connexions LDAP non sécurisées. XenMobile Serveur d’authentification LDAP ou Active Directory
443 Utilisé pour l’inscription et l’installation de l’agent pour Android et Windows Mobile. Internet XenMobile
443 Utilisé pour l’inscription et l’installation de l’agent pour appareils Android et Windows, la console Web XenMobile et le client d’assistance à distance MDM. Réseau local Internet et Wi-Fi XenMobile
1433 Utilisé par défaut pour les connexions à un serveur de base de données distant (facultatif). XenMobile SQL Server
2195 Utilisé pour les connexions sortantes Apple Push Notification Service (APNS) à gateway.push.apple.com pour les notifications sur les appareils iOS et la transmission de stratégies aux appareils. XenMobile Internet (hôtes APNs utilisant l’adresse IP publique 17.0.0.0/8)
2196 Utilisé pour les connexions sortantes APNS à feedback.push.apple.com pour les notifications sur les appareils iOS et la transmission de stratégies aux appareils.    
5223 Utilisé pour les connexions sortantes APNS à partir d’appareils iOS sur les réseaux Wi-Fi sur *.push.apple.com. Appareils iOS sur les réseaux Wi-Fi Internet (hôtes APNs utilisant l’adresse IP publique 17.0.0.0/8)
8081 Utilisé pour les tunnels applicatifs depuis le client d’assistance à distance MDM (facultatif). La valeur par défaut est 8081. Client d’assistance à distance XenMobile
8443 Utilisé pour l’inscription d’appareils iOS et Windows Phone. Internet ; Réseau local et Wi-Fi XenMobile

Exigences en matière de port pour la connectivité au service de détection automatique

La configuration de ce port permet de s’assurer que les appareils Android qui se connectent à partir de Secure Hub pour Android peuvent accéder au service de détection automatique (ADS) de Citrix depuis le réseau interne. L’accès au service ADS est important lors du téléchargement de mises à jour de sécurité mises à disposition via ADS.

Remarque :

Les connexions ADS peuvent ne pas prendre en charge votre serveur proxy. Dans ce scénario, autorisez la connexion ADS à contourner le serveur proxy.

Si vous souhaitez autoriser le certificate pinning, procédez comme suit :

  • Collecter les certificats de XenMobile Server et de NetScaler. Les certificats doivent être au format PEM et doivent être des certificats de clé publique et non de clé privée.
  • Contacter l’assistance Citrix et demander l’activation du certificate pinning. Lors de cette opération, vous êtes invité à fournir vos certificats.

Le certificate pinning nécessite que les appareils se connectent à ADS avant l’inscription de l’appareil. Cela garantit que Secure Hub dispose des dernières informations de sécurité pour l’environnement dans lequel l’appareil s’inscrit. Pour que Secure Hub puisse inscrire un appareil, l’appareil doit contacter le service ADS. Par conséquent, il est primordial d’autoriser l’accès à ADS dans le réseau interne pour permettre aux appareils de s’inscrire.

Pour autoriser l’accès à ADS pour Secure Hub pour Android, ouvrez le port 443 pour les adresses IP et les noms de domaine complets suivants :

Nom de domaine complet Adresse IP Port Utilisation adresse IP et port
ads.xm.cloud.com 34.194.83.188 443 Secure Hub - Communication ADS
ads.xm.cloud.com 34.193.202.23 443 Secure Hub - Communication ADS

Remarque :

Pour les versions de Secure Hub antérieures à 10.6.15, le nom de domaine complet est discovery.mdm.zenprise.com. Ouvrez le port 443 pour les adresses IP 52.5.138.94 et 52.1.30.122.