Requisitos de porta
Para ativar a comunicação dos dispositivos e dos aplicativos com o XenMobile, você abre portas específicas nos seus firewalls. As tabelas a seguir listam as portas que devem estar abertas.
Abrir portas para o Citrix Gateway e o XenMobile gerenciarem aplicativos
Abra as seguintes portas para permitir conexões de usuário do Citrix Secure Hub, do Citrix Receiver e do Citrix Gateway Plug-in por meio do Citrix Gateway com os seguintes componentes:
- XenMobile
- StoreFront
- Citrix Virtual Apps and Desktops
- Conector Citrix Gateway para Exchange ActiveSync
- Outros recursos da rede internos, como sites da intranet
Para ativar o tráfego para iniciar Darkly do Citrix ADC, você pode usar os endereços IP anotados neste artigo do Support Knowledge Center.
Para obter mais informações sobre o Citrix Gateway, consulte a documentação do Citrix Gateway. Essa documentação contém informações sobre os endereços IP do Citrix ADC (NSIP), IP de servidor virtual (VIP) e IP de sub-rede (SNIP).
| Porta TCP | Descrição | Origem | Destino |
|---|---|---|---|
| 21 ou 22 | Usada para enviar pacotes de suporte para um servidor FTP ou SCP. | XenMobile | Servidor FTP ou SCP |
| 53 (TCP e UDP) | Usada para conexões DNS. | Citrix Gateway, XenMobile | Servidor DNS |
| 80 | O Citrix Gateway transmite a conexão VPN para o recurso da rede interna por meio do segundo firewall. Geralmente, essa sitiuação ocorre quando os usuários fazem login com o Citrix Gateway Plug-in. | Citrix Gateway | Sites da Intranet |
| 80 ou 8080; 443 | Porta XML e Secure Ticket Authority (STA) usada para enumeração, emissão de tíquetes e autenticação. A Citrix recomenda usar a porta 443. | Tráfego de rede do StoreFront e Web Interface XML; Citrix Gateway STA | Áreas de trabalho e aplicativos virtuais |
| 123 (TCP e UDP) | Usada para os serviços do protocolo NTP. | Citrix Gateway; XenMobile | Servidor NTP |
| 389 | Usada para conexões LDAP não seguras | Citrix Gateway; XenMobile | Servidor de autenticação LDAP ou do Microsoft Active Directory |
| 443 | Usada para conexões com o StoreFront do Citrix Receiver ou com Receiver para Web para Áreas de trabalho e aplicativos virtuais. | Internet | Citrix Gateway |
| 443 | Usada para conexões com o XenMobile para entrega Web, móvel e de aplicativo SaaS. | Internet | Citrix Gateway |
| 443 | Usada para comunicação geral de dispositivo com o XenMobile Server | XenMobile | XenMobile |
| 443 | Usada para conexões de dispositivos móveis com o XenMobile para registro. | Internet | XenMobile |
| 443 | Usada para conexões do XenMobile ao conector Citrix Gateway para Exchange ActiveSync. | XenMobile | Conector Citrix Gateway para Exchange ActiveSync |
| 443 | Usada para conexões do conector Citrix Gateway do Exchange ActiveSync ao XenMobile. | Conector Citrix Gateway para Exchange ActiveSync | XenMobile |
| 443 | Usada para URL de retorno de chamada em implantações sem autenticação de certificado. | XenMobile | Citrix Gateway |
| 514 | Usada para conexões entre o XenMobile e um servidor syslog. | XenMobile | Servidor Syslog |
| 636 | Usada para conexões LDAP seguras. | Citrix Gateway; XenMobile | Servidor de autenticação LDAP ou do Active Directory |
| 1494 | Usada para conexões ICA com aplicativos baseados em Windows na rede interna. A Citrix recomenda manter essa porta aberta. | Citrix Gateway | Áreas de trabalho e aplicativos virtuais |
| 1812 | Usada para conexões RADIUS. | Citrix Gateway | Servidor de autenticação RADIUS |
| 2598 | Usada para conexões com aplicativos baseados em Windows na rede interna usando confiabilidade de sessão. A Citrix recomenda manter essa porta aberta. | Citrix Gateway | Áreas de trabalho e aplicativos virtuais |
| 3268 | Usada para conexões LDAP inseguras do Microsoft Global Catalog. | Citrix Gateway; XenMobile | Servidor de autenticação LDAP ou do Active Directory |
| 3269 | Usada para conexões LDAP seguras do Microsoft Global Catalog. | Citrix Gateway; XenMobile | Servidor de autenticação LDAP ou do Active Directory |
| 9080 | Usada para tráfego HTTP entre o Citrix ADC e o conector Citrix Gateway para Exchange ActiveSync. | Citrix ADC | Conector Citrix Gateway para Exchange ActiveSync |
| 30001 | API de gerenciamento para preparação inicial do serviço HTTPS | LAN interna | Servidor XenMobile |
| 9443 | Usada para tráfego HTTPS entre o Citrix ADC e o conector Citrix Gateway para Exchange ActiveSync. | Citrix ADC | Conector Citrix Gateway para Exchange ActiveSync |
| 45000; 80 | Usada para comunicação entre duas VMs do XenMobile quando implantadas em um cluster. A porta 80 é para comunicação entre nós e para descarga de SSL. | XenMobile | XenMobile |
| 8443 | Usada para registro, XenMobile Store e gerenciamento de aplicativo móvel (MAM). | XenMobile; Citrix Gateway; Dispositivos; Internet | XenMobile |
| 4443 | Usada para acesso ao console XenMobile por um administrador usando o navegador. Usada também para baixar logs e pacotes de suporte para todos os nós de cluster do XenMobile a partir de um nó. | Ponto de acesso (navegador); XenMobile | XenMobile |
| 27000 | Porta padrão usada para acessar o Citrix License Server externo. | XenMobile | Citrix License Server |
| 7279 | Porta padrão usada para fazer check-in e check-out das licenças da Citrix. | XenMobile | Citrix Vendor Daemon |
| 161 | Usada para tráfego SNMP usando o protocolo UDP. | SNMP Manager | XenMobile |
| 162 | Usada para enviar alertas de interceptação SNMP ao SNMP Manager do XenMobile. A origem é XenMobile e o destino é SNMP Manager. | XenMobile | SNMP Manager |
Abrir portas do XenMobile para gerenciar dispositivos
Abra as seguintes portas para permitir que o XenMobile se comunique na sua rede.
| Porta TCP | Descrição | Origem | Destino |
|---|---|---|---|
| 25 | Porta SMTP padrão do serviço de notificação do XenMobile. Se o seu servidor SMTP usar uma porta diferente, verifique se o firewall bloqueia essa porta. | XenMobile | Servidor SMTP |
| 80 e 443 | Conexão da Loja de Aplicativos da Empresa com Apple iTunes App Store, Google Play (deve usar a porta 80) ou Windows Phone Store. Usado para compra por volume da Apple. Usada para publicar aplicativos das lojas de aplicativos do iOS, Secure Hub para Android ou Secure Hub para Windows Phone. | XenMobile |
ax.apps.apple.com e *.mzstatic.com; vpp.itunes.apple.com; login.live.com; *.notify.windows.com; play.google.com, android.clients.google.com, android.l.google.com
|
| 80 ou 443 | Usada para conexões de saída entre o XenMobile e o Nexmo SMS Notification Relay. | XenMobile | Nexmo SMS Relay Server |
| 389 | Usada para conexões LDAP inseguras. | XenMobile | Servidor de autenticação LDAP ou do Active Directory |
| 443 | Usada para registro e instalação do agente para Android e Windows Mobile. | Internet | XenMobile |
| 443 | Usada para registro e instalação do agente para dispositivos Android e Windows e o Cliente de Suporte Remoto do MDM. | Internet LAN e Wi-Fi | XenMobile |
| 1433 | Usada como padrão para conexões com um servidor do banco de dados remoto (opcional). | XenMobile | Servidor SQL |
| 443 | Usada para enviar notificações de APNs para *.push.apple.com
|
XenMobile | Internet (hosts APN que usam o endereço IP público 17.0.0.0/8 |
| 5223 | Usada para conexões de saída de APNs de dispositivos iOS com *.push.apple.com. |
Dispositivos iOS | Internet (hosts APN que usam o endereço IP público 17.0.0.0/8) |
| 2195 e 2196 | (Legado) Usada para as conexões de saída do serviço Apple Push Notification (APNs) com gateway.push.apple.com para notificações de dispositivo e envio por push da política de dispositivo iOS. |
XenMobile | Internet (hosts APN que usam o endereço IP público 17.0.0.0/8) |
| 8081 | Usada para túneis de aplicativo do Cliente de Suporte Remoto do MDM opcional. Usa o padrão 8081. | Cliente de suporte remoto | XenMobile |
| 8443 | Usada para registro de dispositivos iOS e Windows Phone. | Internet: LAN e Wi-Fi | XenMobile |
Requisito de porta para conectividade do AutoDiscovery Service
Essa configuração de porta garante que os dispositivos Android que se conectam do Secure Hub para Android possam acessar o Citrix AutoDiscovery Service (ADS) na rede interna. Você precisa acessar o ADS para baixar atualizações de segurança disponibilizadas através do ADS.
Nota:
As conexões do ADS podem não dar suporte ao seu servidor proxy. Nesse cenário, permita que a conexão do ADS ignore o servidor proxy.
Se quiser permitir a fixação de certificado, oss seguintes pré-requisitos devem ser atendidos:
- Coletar certificados do XenMobile Server e Citrix ADC. Os certificados precisam estar no formato PEM e devem ser um certificado público e não a chave privada.
- Entre em contato com a Citrix Support e faça uma solicitação para permitir a fixação de certificado. Durante este processo, você será solicitado a fornecer seus certificados.
A fixação de certificado requer que os dispositivos se conectem ao ADS antes que o dispositivo seja registrado. Esse requisito garante que as informações de segurança mais recentes estejam disponíveis para o Secure Hub. Para que o Secure Hub registre um dispositivo, o dispositivo deve atingir o ADS. Portanto, a abertura do acesso ao ADS na rede interna é essencial para possibilitar que os dispositivos sejam registrados.
Para permitir o acesso ao ADS para o Secure Hub para Android, abra a porta 443 para os seguintes endereços IP e FQDN:
| FQDN | Endereço IP | Porta | Uso de IP e porta |
|---|---|---|---|
ads.xm.cloud.com |
34.194.83.188 | 443 | Secure Hub - ADS Communication |
ads.xm.cloud.com |
34.193.202.23 | 443 | Secure Hub - ADS Communication |
Nota:
Para versões do Secure Hub anteriores a 10.6.15, o FQDN é
discovery.mdm.zenprise.com. Abra a porta 443 para os endereços IP 52.5.138.94 e 52.1.30.122.
Requisitos de rede do Android Enterprise
Existem algumas conexões de saída que devem ser levadas em consideração ao configurar ambientes de rede para o Android Enterprise.
Requisitos de porta para os dispositivos
| Host de destino | Porta | Descrição |
|---|---|---|
*.googleapis.com |
TCP/443 | Usada para o gerenciamento de dispositivos móveis do Google, APIs do Google, APIs da loja do Google Play |
play.google.com, android.com google-analytics.com, android.clients.google.com |
TCP/443 | Usada para o Google Play e atualizações através de android.clients.google.com. Baixar aplicativos, atualizações e APIs da loja do Google Play |
fcm.googleapis.com |
TCP/443 | Usada para o Firebase Cloud Messaging |
android.apis.google.com, fcm.googleapis.com |
TCP/5228, 5229, 5230 | Usada para o Firebase Cloud Messaging de saída, comunicação com a Internet para dispositivo Wi-Fi |
connectivitycheck.android.com, www.google.com |
TCP/443 | Usada para a verificação de conectividade antes do CloudPC v470. A verificação de conectividade Android começando com N MR1 requer que https://www.google.com/generate_204 esteja acessível, ou que uma rede Wi-Fi específica aponte para um arquivo PAC acessível |
Requisitos de porta para o XenMobile
Os seguintes hosts de destino deverão estar acessíveis a partir da rede para criar um Google Play Enterprise gerenciado e para acessar o Google Play iFrame gerenciado. A Google disponibilizou o Play iFrame gerenciado para os desenvolvedores de EMM para simplificar a pesquisa e a aprovação de aplicativos. Para usar o Play iFrame gerenciado, o navegador a partir do qual você acessa o console XenMobile deve ter acesso ao Google Play.
| Host de destino | Porta | Descrição |
|---|---|---|
play.google.com |
TCP/443 | Usada para entrar na loja Google Play, Play Enterprise |
*.googleapis.com |
TCP/443 | Usada para o gerenciamento de dispositivos móveis do Google, APIs do Google, APIs da loja do Google Play |
accounts.youtube.com, accounts.google.com
|
TCP/443 | Usada para a autenticação da conta |
apis.google.com |
TCP/443 | Usada para GCM e outros serviços da Web do Google |
ogs.google.com |
TCP/443 | Usada para elementos IFrame IU |
notifications.google.com |
TCP/443 | Usada para notificações de desktop e móveis |
fonts.googleapis.com, *.gstatic.com, *.googleusercontent.com
|
TCP/443 | Usada para conteúdo gerado pelo usuário do Google Fonts. Por exemplo, os ícones do aplicativo na loja |
cri.pki.goog, ocsp.pki.goog
|
TCP/443 | Usada para a validação do certificado |