Product Documentation

Configuration système requise

27 mars 2018

En attendant la mise à disposition de XenMobile par Citrix, assurez-vous de préparer votre déploiement de XenMobile Service en installant Cloud Connector. Si Citrix héberge et met à disposition votre solution XenMobile Service, il est nécessaire de configurer la communication et les ports. Cette configuration connecte l’infrastructure XenMobile Service aux services d’entreprise, tels que Active Directory.

Configuration requise pour Cloud Connector

Citrix utilise Cloud Connector pour intégrer l’architecture XenMobile Service dans votre infrastructure existante. Cloud Connector intègre en toute sécurité les emplacements de ressources suivants à XenMobile Service via le port 443 : LDAP, serveur PKI, requêtes DNS internes et énumération Citrix Receiver.

  • Au moins deux machines Windows Server 2012 R2 ou Windows Server 2016 dédiées appartenant à votre domaine Active Directory Les machines peuvent être physiques ou virtuelles. La machine sur laquelle vous installez le Connector doit être synchronisée avec l’heure UTC pour assurer une installation et un fonctionnement appropriés. Pour obtenir une liste complète des dernières exigences, consultez les documents de déploiement fournis par votre équipe de compte Citrix.

    L’assistant d’intégration vous guide à travers l’installation de Cloud Connector sur ces machines.

  • Pour plus d’informations sur la configuration système requise pour la plate-forme, consultez la section Citrix Cloud Connector.

Configuration requise pour NetScaler Gateway

XenMobile Service requiert l’installation d’une passerelle NetScaler Gateway dans votre emplacement de ressources pour les scénarios suivants :

  • Vous avez besoin d’un micro-VPN pour accéder aux ressources réseau internes pour les applications métier. Ces applications sont encapsulées avec la technologie Citrix MDX. Le micro-VPN a besoin de NetScaler Gateway pour se connecter aux infrastructures back-end internes.
  • Vous envisagez d’utiliser des applications XenMobile, telles que Citrix Secure Mail.
  • Vous envisagez d’intégrer XenMobile à Microsoft Intune/EMS.

Configuration requise :

Pour plus d’informations, consultez l’article de support Citrix Comment ajouter un ensemble de certificats SSL au boîtier NetScaler.

  • Adresse IP publique non utilisée pour le serveur virtuel NetScaler Gateway
  • Nom de domaine complet (FQDN) pouvant être résolu publiquement pour le serveur virtuel NetScaler Gateway
  • Certificats racine et intermédiaire XenMobile hébergés sur le cloud (fournis dans le bundle de script)
  • Adresse IP privée interne non utilisée pour l’adresse IP d’équilibrage de charge du proxy
  • Pour plus d’informations sur les ports, reportez-vous à la section « Configuration requise pour les ports NetScaler Gateway », plus loin dans cet article.
  • Intégration de XenMobile avec Microsoft EMS/Intune
  • Déploiement de Citrix NetScaler VPX sur Microsoft Azure

Pour obtenir des informations sur la configuration requise pour NetScaler, consultez les documents de déploiement fournis par votre équipe de compte Citrix.

Configuration requise pour ShareFile

Les services de synchronisation et de partage de fichiers ShareFile sont disponibles dans l’offre XenMobile Premium Service. ShareFile StorageZones Controller étend le stockage sur le cloud ShareFile SaaS en fournissant à votre compte ShareFile des zones de stockage privées.

Configuration requise pour ShareFile StorageZones Controller :

  • Une machine physique ou virtuelle dédiée
  • Windows Server 2012 R2 ou Windows Server 2016
  • 2 processeurs virtuels
  • 4 Go de RAM
  • 50 Go d’espace disque
  • Rôles de serveur pour le serveur Web (IIS) :

    • Développement d’applications : ASP. NET 4.5.2
    • Sécurité : authentification de base
    • Sécurité : authentification Windows

Configuration requise pour la plateforme ShareFile :

  • Le programme d’installation de ShareFile requiert des privilèges d’administration sur Windows Server
  • Nom d’utilisateur admin ShareFile

Configuration requise pour les ports

Pour autoriser des appareils et des applications à communiquer avec XenMobile Service, vous devez ouvrir des ports spécifiques dans vos pare-feu. Le schéma suivant illustre le flux du trafic pour XenMobile Service.

Schéma du flux de trafic de XenMobile Service

Les sections suivantes répertorient les ports que vous devez ouvrir.

Configuration requise pour les ports NetScaler Gateway

Ouvrez les ports pour autoriser les connexions utilisateur à partir de Citrix Secure Hub et Citrix Receiver via NetScaler Gateway pour :

  • XenMobile
  • StoreFront
  • Autres ressources du réseau interne telles que les sites Web intranet

Pour plus d’informations sur NetScaler Gateway, consultez la section Configuration des paramètres de votre environnement XenMobile dans la documentation NetScaler Gateway. Pour de plus amples informations sur les adresses IP NetScaler, consultez la section Comment NetScaler communique avec les clients et les serveurs dans la documentation NetScaler. Cette section contient des informations sur les adresses IP de NetScaler (NSIP), du serveur virtuel (VIP) et de sous-réseau (SNIP).

Port TCP Description Source Destination
53 (TCP et UDP) Utilisé pour les connexions DNS. SNIP NetScaler Gateway Serveur DNS
80/443 NetScaler Gateway transmet la connexion micro VPN à la ressource du réseau interne via le second pare-feu. SNIP NetScaler Gateway Sites Web intranet
123 (TCP et UDP) Utilisé pour les services NTP (Network Time Protocol). SNIP NetScaler Gateway Serveur NTP
389 Utilisé pour les connexions LDAP non sécurisées. NSIP NetScaler Gateway (ou SNIP, si un équilibreur de charge est utilisé) Serveur d’authentification LDAP ou Microsoft Active Directory
443 Utilisé pour les connexions à StoreFront à partir de Citrix Receiver ou Receiver pour Web vers XenApp et XenDesktop. Internet NetScaler Gateway
443 Utilisé pour les connexions à XenMobile pour la mise à disposition d’applications Web, mobiles et SaaS. Internet NetScaler Gateway
443 Utilisé pour la communication Cloud Connector - énumération LDAP, DNS, PKI et Citrix Receiver Serveurs Cloud Connector https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.blob.core.windows.net/, https://*.servicebus.windows.net
636 Utilisé pour les connexions LDAP sécurisées. NSIP NetScaler Gateway (ou SNIP, si un équilibreur de charge est utilisé) Serveur d’authentification LDAP ou Active Directory
1494 Utilisé pour les connexions ICA à des applications Windows dans le réseau interne. Citrix recommande de conserver ce port ouvert. SNIP NetScaler Gateway XenApp ou XenDesktop
1812 Utilisé pour les connexions RADIUS. NSIP NetScaler Gateway Serveur d’authentification RADIUS
2598 Utilisé pour les connexions aux applications Windows dans le réseau interne à l’aide de la fiabilité de session. Citrix recommande de conserver ce port ouvert. SNIP NetScaler Gateway XenApp ou XenDesktop
3269 Utilisé pour les connexions LDAP sécurisées au Microsoft Global Catalog. NSIP NetScaler Gateway (ou SNIP, si un équilibreur de charge est utilisé) Serveur d’authentification LDAP ou Active Directory
8443 Utilisé pour l’inscription, XenMobile Store et la gestion des applications mobiles (MAM). SNIP NetScaler Gateway XenMobile
8443 Port Secure Ticket Authority (STA) utilisé pour le jeton d’authentification de Secure Mail SNIP NetScaler Gateway XenMobile
4443 Utilisé pour l’accès à la console XenMobile par un administrateur via le navigateur. Point d’accès (navigateur) XenMobile

Configuration requise pour le réseau et le pare-feu

Pour autoriser des appareils et des applications à communiquer avec XenMobile Service, vous devez ouvrir des ports spécifiques dans vos pare-feu. Les tableaux suivants répertorient ces ports.

Ports ouverts depuis le réseau interne vers Citrix Cloud :

Port TCP IP source Description Destination IP destination
443   Cloud Connector https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net  
443   Console d’administration https://*.citrixworkspacesapi.net, https://*.cloud.com, https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads  
4443   Accès à la console XenMobile via un navigateur XenMobile  

Ports ouverts depuis Internet vers la DMZ :

Port TCP Description IP source Destination IP destination
443 Appareil client XenMobile   IP NetScaler Gateway  
443 Appareil client XenMobile   NetScaler VIP ShareFile  
443 IP public ShareFile CTX208318 NetScaler VIP ShareFile  

Ports ouverts depuis la DMZ vers le réseau interne :

Port TCP Description IP source Destination IP destination
389 ou 636 NetScaler NSIP   IP Active Directory  
53 (UDP) NetScaler NSIP   IP du serveur DNS  
443 SNIP NetScaler   IP serveur Exchange (EAS)  
443 SNIP NetScaler   Applications/Services Web internes  
443 SNIP NetScaler   IP ShareFile StorageZones Controller  

Ports ouverts depuis le réseau interne vers la DMZ :

Port TCP Description IP source Destination IP destination
443 Client admin   NetScaler NSIP  

Ports ouverts depuis le réseau interne vers Internet :

Port TCP Description IP source Destination IP destination
443 IP serveur Exchange (EAS)   Écouteurs de notifications push XenMobile (1)  
443 IP ShareFile StorageZones Controller   Plan de contrôle ShareFile CTX208318

(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com

Ports ouverts depuis le WiFi de l’entreprise vers Internet :

Port TCP Description IP source Destination IP destination
5223 Appareil client XenMobile   Serveurs APNS Apple 17.0.0.0/8
5228 Appareil client XenMobile   Google Cloud Messaging android.apis.google.com
5229 Appareil client XenMobile   Google Cloud Messaging android.apis.google.com
5230 Appareil client XenMobile   Google Cloud Messaging android.apis.google.com
443 Appareil client XenMobile   Windows Push Notification Service *.notify.windows.com
443/80 Appareil client XenMobile   Apple iTunes App Store ax.itunes.apple.com, *.mzstatic.com, vpp.itunes.apple.com
443/80 Appareil client XenMobile   Google Play play.google.com
443/80 Appareil client XenMobile   Microsoft App Store login.live.com, * .notify.windows.com
443 Appareil client XenMobile   Service de détection automatique XenMobile discovery.mdm.zenprise.com
8443 / 443 Appareil client XenMobile   XenMobile Service  
443 IP ShareFile StorageZones Controller   Plan de contrôle ShareFile CTX208318

Exigences en matière de port pour la connectivité au service de détection automatique

La configuration de ce port permet de s’assurer que les appareils Android qui se connectent à partir de Secure Hub pour Android peuvent accéder au service de détection automatique (ADS) de Citrix depuis le réseau interne. L’accès au service ADS est important lors du téléchargement de mises à jour de sécurité mises à disposition via ADS.

Remarque :

les connexions ADS peuvent ne pas prendre en charge votre serveur proxy. Dans ce scénario, autorisez la connexion ADS à contourner le serveur proxy.

Si vous souhaitez autoriser le certificate pinning, procédez comme suit :

  • Collecter les certificats de XenMobile Server et de NetScaler. Les certificats doivent être au format PEM et doivent être un certificat public et non la clé privée.
  • Contacter l’assistance Citrix et demander l’activation du certificate pinning. Lors de cette opération, vous êtes invité à fournir vos certificats.

Le certificate pinning nécessite que les appareils se connectent à ADS avant l’inscription de l’appareil. Cela garantit que Secure Hub dispose des dernières informations de sécurité. Pour que Secure Hub puisse inscrire un appareil, l’appareil doit contacter le service ADS. Par conséquent, il est primordial d’autoriser l’accès à ADS dans le réseau interne pour permettre aux appareils de s’inscrire.

Pour autoriser l’accès à ADS pour Secure Hub pour Android, ouvrez le port 443 pour les adresses IP et les noms de domaine complets suivants :

Nom de domaine complet IP address Port Utilisation adresse IP et port
discovery.mdm.zenprise.com 52.5.138.94 443 Secure Hub - Communication ADS
discovery.mdm.zenprise.com 52.1.30.122 443 Secure Hub - Communication ADS
ads.xm.cloud.com* 34.194.83.188 443 Secure Hub - Communication ADS
ads.xm.cloud.com* 34.193.202.23 443 Secure Hub - Communication ADS