技术论文:Citrix 科技使用的通信端口
本文概述了 Citrix 组件使用的常见端口,必须被视为网络体系结构的一部分,尤其是当通信流量穿过网络组件(如防火墙或代理服务器)时,必须打开端口以确保通信流动。
并非所有端口都需要打开,具体取决于您的部署和要求。
NetScaler SDX
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| 管理员工作站 | NetScaler SDX 关闭了管理 | TCP | 80, 443 | HTTP 或 HTTPS-GUI 管理 |
| NetScaler SDX SVM | TCP | 80, 443 | HTTP 或 HTTPS-GUI 和 NITRO 通信 | |
| TCP | 22 | SSH/SCP 访问 | ||
| NetScaler SDX 虚拟机管理程序 | TCP | 22 | SSH/SCP 访问 | |
| NetScaler SDX SVM | NetScaler 实例 | TCP | 80, 443 | HTTP 或 HTTPS-GUI 和 NITRO 通信 |
| TCP | 22 | SSH/SCP 访问 | ||
| ICMP | 使用 ICMP 协议检查实例可用性 | |||
| NTP 服务器 | UDP | 123 | 用于与多个时间源同步的默认 NTP 服务器端口 | |
| NetScaler NSIP | NetScaler SDX SVM | SNMP | 161, 162 | 从 ADC 实例到 SDX SVM 的 SNMP 事件/陷阱 |
| ICMP | 使用 ICMP 协议检查实例可用性 |
NetScaler
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| NetScaler NSIP | 群集设置中的 NetScaler 设备 | UDP | 7000 | 群集检测信号交换 |
| NetScaler 设备(用于高可用性) | UDP | 3003 | 交换 hello 数据包以传达 UP/DOWN 状态(检测信号) | |
| NetScaler 设备(用于高可用性) | TCP | 3008 | 安全的高可用性配置同步 | |
| NetScaler 设备(用于全球站点负载平衡) | TCP | 3009 | 为了安全的 MEP。 | |
| NetScaler 设备(用于高可用性) | TCP | 3010 | 非安全的高可用性配置同步。 | |
| NetScaler 设备(用于全球站点负载平衡) | TCP | 3011 | 对于不安全的 MEP。 | |
| NetScaler ADM 设备 | UDP | 162 | 从 ADC 到 NetScaler ADM 中心的陷阱 | |
| NetScaler 设备(用于高可用性) | TCP | 22 | 在高可用性设置中,rsync 进程在文件同步期间使用 | |
| DNS 服务器 | TCP、UDP | 53 | DNS 名称解析 | |
| NTP 服务器 | UDP | 123 | 用于与多个时间源同步的默认 NTP 服务器端口 | |
| 应用防火墙签名 URL | TCP | 443 | 在 AWS 上托管签名更新 | |
| 计算机人管理签名 URL | TCP | 443 | 在 AWS 上托管签名更新 | |
| ADC 关掉管理 | TCP | 4001, 5900, 623 | Daemon 为所有路由协议提供完整统一的配置管理 | |
| LDAP 服务器 | TCP | 636 | LDAP SSL 连接 | |
| TCP | 3268 | LDAP 连接到全球目录 | ||
| TCP | 3269 | LDAP 通过 SSL 连接到全局目录 | ||
| TCP | 389 | LDAP 纯文本或 TLS | ||
| RADIUS 服务器 | UDP | 1813 | RADIUS 会计 | |
| UDP | 1645, 1812 | RADIUS 连接 | ||
| Thales HSM | TCP | 9004 | RFS 和 Thales HSM | |
| NetScaler NSIP | NetScaler ADM | UDP | 4739 | 用于 AppFlow 通信 |
| SNMP | 161, 162 | 发送 SNMP 事件/陷阱 | ||
| Syslog | 514 | 在 NetScaler ADM 中接收系统日志消息 | ||
| NetScaler SNIP | NetScaler ADM | TCP | 5563 | 用于从 NetScaler 到 NetScaler ADM 的 ADC 指标(计数器)、系统事件和审核日志消息。 |
| TCP | 5557, 5558 | 用于从 NetScaler 到 NetScaler ADM 的日志流通信。 | ||
| 管理员工作站 | NetScaler NSIP | TCP | 80, 443 | HTTP 或 HTTPS-GUI 管理 |
| TCP | 22 | SSH 访问 |
注意:
根据 NetScaler 配置,网络流量可能来自 SNIP、MIP 或 NSIP 接口。 如果您将 NetScaler 配置为高可用性模式,则 NetScaler ADM 使用 NetScaler 子网 IP(管理 SNIP)地址与 NetScaler 通信。
NetScaler ADM
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
| ———————– | —————————————– | —— | —————- | ————————————————————————————————————————————————————- |
| NetScaler ADM | NetScaler NSIP 或 Citrix SD-WAN 实例 | TCP | 80, 443 | 对于 NITRO 沟通 |
| | | TCP | 22 | 用于 SSH 沟通 |
| | | ICMP | 无保留的端口 | 检测 NetScaler ADM 和 ADC 实例、SD-WAN 实例或以高可用性模式部署的辅助 NetScaler ADM 服务器之间的网络可访问性。 |
| | NetScaler ADM | TCP | 22 | 用于以高可用性模式部署的 NetScaler ADM 服务器之间的同步。 |
| | | TCP | 5454 | 在高可用性模式下,NetScaler ADM 节点之间用于通信和数据库同步的默认端口。 |
| | 用户 | TCP | 25 | 将 SMTP 通知从 NetScaler ADM 发送给用户。 |
| | LDAP 外部身份验证服务器 | TCP | 389, 636 | 用于身份验证协议的默认端口。用于 NetScaler ADM 和 LDAP 外部身份验证服务器之间的通信。 |
| | NTP 服务器 | UDP | 123 | 用于与多个时间源同步的默认 NTP 服务器端口。 |
| | RADIUS 外部身份验证 | RADIUS | 1812 | 用于身份验证协议的默认端口。用于 NetScaler ADM 和 RADIUS 外部身份验证服务器之间的通信。 |
| | TACACS 外部认证服务器 | TACACS | 49 | 用于身份验证协议的默认端口。用于 NetScaler ADM 和 TACACS 外部身份验证服务器之间的通信。 |
| NetScaler/CPX 实例 | NetScaler ADM 许可证服务器/代理 | TCP | 27000 | 用于 NetScaler ADM 许可证服务器/代理与 ADC/CPX 实例之间的通信的许可证端口。 |
| | | TCP | 7279 | Citrix 供应商守护程序端口。 |
| | Citirx ADM | UDP | 5005
| 用于在高可用性节点之间交换检测信号的端口。 |
| | NetScaler SNIP | TCP | 161 | 发送 SNMP 事件 |
| NetScaler NSIP | NetScaler ADM | UDP | 162 | 从 NetScaler 接收 SNMP 陷阱 |
| | | UDP | 4739 | 使用 IPFIX 协议接收 ADC 分析日志数据 |
| | | UDP | 514 | 从 NetScaler ADM 接收 syslog 消息 |
| NetScaler SNIP | NetScaler ADM | TCP | 5563 | 接收 ADC 衡量指标(计数器),以及接收从 NetScaler 实例发送到 NetScaler ADM 的审核日志消息 |
| | | TCP | 5557、5558 | 适用于来自 NetScaler 的 logstream 通信(面向 Security Insight、Web Insight 和 HDX Insight) |
| NetScaler ADM | NetScaler ADM Agent | TCP | 443、7443、8443 | 用于 NetScaler 代理与 NetScaler ADM 之间的通信的端口 |
注意:
如果您将 NetScalers 配置为高可用性模式,则 NetScaler ADM 使用 NetScaler 子网 IP(管理 SNIP)地址与 NetScaler 通信。
CTX124386 描述了如何将源从 NSIP 更改为 SNIP,以将 syslog 消息传达到 ADM
Citrix Cloud
充当 Citrix Cloud 与您的资源位置之间通信的通道所需的唯一一个 Citrix 组件是连接器。此连接器可能是连接器设备或 Cloud Connector,具体取决于您的用例。有关您需要哪个连接器的更多信息,请参阅 资源类型。
连接器设备
安装后,连接器设备将通过出站连接启动与 Citrix Cloud 的通信。从连接器设备到云的所有连接均使用标准 HTTPS 端口 (443) 和 TCP 协议建立。不允许传入连接。
这是连接器设备需要访问的端口列表:
| 服务 | Port(端口) | 支持的域协议 | 配置详细信息 |
|---|---|---|---|
| DNS | 53 | TCP/UDP | 此端口必须对本地设置开放 |
| NTP | 123 | UDP | 此端口必须对本地设置开放 |
| HTTPS | 443 | TCP | 连接器设备需要出站访问此端口 |
要配置连接器设备,IT 管理员必须能够访问连接器设备端口 443 (HTTPS) 上的管理界面。
注意: 必须在 IP 地址的开头加上
https://。
带有 Active Directory 的连接器设备
使用带有连接器设备的 Active Directory 需要额外的端口。连接器设备需要通过以下端口与 Active Directory 域建立出站连接:
| 服务 | Port(端口) | 支持的域协议 |
|---|---|---|
| Kerberos | 88 | TCP/UDP |
| 端点映射器(DCE/RPC 定位器服务) | 135 | TCP |
| NetBIOS 名称服务 | 137 | UDP |
| NetBIOS 数据报 | 138 | UDP |
| NetBIOS 会话 | 139 | TCP |
| LDAP | 389 | TCP/UDP |
| TCP 上的 SMB | 445 | TCP |
| Kerberos kpasswd | 464 | TCP/UDP |
| 全局目录 | 3268 | TCP |
| 动态 RPC 端口 | 49152..65535 | TCP |
Cloud Connector
所有连接都是从 Cloud Connector 到云使用标准 HTTPS 端口 (443) 和 TCP 协议建立的。不接受任何传入连接。
Cloud Connector必须能够连接到 Digicert 进行证书吊销检查。
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| Cloud Connector | http://*.digicert.com |
HTTP | 80 | 定期证书吊销列表检查 |
https://*.digicert.com |
HTTPS | 443 | ||
https://dl.cacerts.digicert.com/DigiCertAssuredIDRootCA.crt |
HTTPS | 443 | ||
https://dl.cacerts.digicert.com/DigiCertSHA2AssuredIDCodeSigningCA.crt |
HTTPS | 443 |
要查找大多数 Citrix Cloud 服务及其功能的通用地址列表,请参阅 产品文档。
Citrix DaaS
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| Virtual Delivery Agent | Gateway 服务 | TCP、UDP | 443 | Rendezvous 协议。 |
| Cloud Connector | Cloud Connector | TCP | 80 | 通过 WCF 保护 Delivery Controller 之间的通信。 |
| TCP | 89 | 通过 WCF 保护本地主机缓存。 | ||
| TCP | 9095 | 通过 WCF 保护编排服务。 | ||
| Cloud Connector | XenServer 资源池主服务器 | TCP | 80, 443 | 与 XenServer 基础架构通信。 |
| Microsoft SCVMM 服务器 | TCP | 8100 | 与 Microsoft SCVMM/Hyper-V 基础架构通信。 | |
| VMware vCenter 服务器 | TCP | 443 | 与 VMware vSphere 基础设施通信。 | |
| Nutanix AHV | TCP | 9440 | 与 Nutanix AHV 基础设施进行通信。 | |
| Cloud Connector | Virtual Delivery Agent | TCP、UDP | 1494 | ICA/HDX 访问应用程序和虚拟桌面。EDT 协议要求为 UDP 开放 1494。 |
| TCP | 80 | 使用 Citrix Cloud Connector 注册 Citrix VDA,通过 WCF 进行保护。通信必须是双向的。 | ||
| TCP、UDP | 2598 | ICA/HDX 使用会话可靠性访问应用程序和虚拟桌面。EDT 协议要求为 UDP 开放 2598。 | ||
| Cloud Connector | WEM 代理 | TCP | 49752 | “代理端口”。代理主机上的侦听端口,用于接收来自通过 WCF 保护的Cloud Connector 指令。 |
| Cloud Connector | 文件服务器 | TCP | 139,445 | 访问充当文件服务器 CSV 装载点的 VDI。 |
| Cloud Connector | Citrix FAS 服务器 | TCP | 80 | 通过WCF发送受保护的用户的身份声明。 |
| Citrix Provisioning 服务器控制台 | Cloud Connector | HTTPS | 443 | Provisioning 服务器与 Citrix Cloud Studio 集成。 |
| Citrix 许可证服务器 | Citrix Cloud | HTTPS | 443 | Citrix 许可证服务器与 Citrix Cloud 集成。 |
| Citrix FAS 服务器 | Citrix Cloud | HTTPS | 443 | Citrix FAS 和 Citrix Cloud 之间的连接。 |
| Citrix DaaS 远程 PowerShell SDK | Citrix Cloud | HTTPS | 443 | 任何运行基于 Citrix DaaS Remote PowerShell SDK 的脚本的系统。 |
| Citrix Workspace 应用程序 | Virtual Delivery Agent | TCP、UDP | 1494 | ICA/HDX 通过直接工作负载连接访问应用程序和虚拟桌面,该连接绕过 Citrix Gateway 服务获取内部流量。 |
| TCP、UDP | 2598 | ICA/HDX 通过直接工作负载连接的会话可靠性访问应用程序和虚拟桌面,绕过 Citrix Gateway 服务获取内部流量。 | ||
| WEM 代理 | Cloud Connector | TCP | 8080 | 本地代理连接到 Cloud Connector。此端口可用于出站 LAN(局域网)连接。通过 Windows Communication Foundation (WCF) 消息级安全保护通过端口发送的消息。 |
| Citrix WEM 服务 | HTTPS | 443 | 本地代理连接到 Citrix Cloud 中 WEM 服务的端口。此端口可用于出站互联网连接。 |
在此处阅读有关 Citrix 许可证服务器集成的 更多信息。
在此处阅读有关 Citrix Provisioning 服务器集成的更多信息。
在此处阅读更多关于 Citrix DaaS Remote PowerShell SDK 的信息
Citrix Gateway 服务
默认情况下,Gateway 服务将通过 Citrix Cloud Connector 代理 HDX 连接,但是汇聚协议会更改 HDX 连接流,以试图绕过 Citrix Cloud Connector 将虚拟交付代理直接连接到网关服务
Rendezvous 协议和 HDX Enlightened Data Transport 协议 (EDT)
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| Virtual Delivery Agent | Gateway 服务 | UDP | 443 | EDT UDP 通过 443 连接到网关服务 |
虚拟交付代理必须有权访问 https://*.nssvc.net,包括所有子域。或者 https://*.c.nssvc.net 和 https://*.g.nssvc.net。
注意:
如果在 Microsoft Azure 中使用 EDT,则必须在保护虚拟交付代理的 Azure 网络安全组 (NSG) 上定义 UDP
在此处阅读有关 Rendezvous 协议和 HDX Enlightened Data Transport 协议 (EDT) 要求的 更多信息。
Citrix Session Recording 服务
有关 Citrix Session Recording 服务端口- 连接要求,请参阅以下链接
Citrix Endpoint Management
有关 Citrix Endpoint Management (XenMobile) 端口,请参阅以下链接 - 端口要求。
Citrix Gateway
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| Citrix Gateway SNIP | LDAP 服务器 (负载平衡) | TCP | 636 | LDAPS SSL 连接 |
| TCP | 3268 | LDAP 连接到全球目录 | ||
| TCP | 3269 | LDAP 通过 SSL 连接到全局目录 | ||
| TCP | 389 | LDAP 纯文本或 TLS | ||
| RADIUS 服务器 (负载平衡) | UDP | 1813 | RADIUS 会计 | |
| UDP | 1645, 1812 | RADIUS 连接 | ||
| 安全票务管理局 (STA) | TCP | 80, 8080, 443 | Secure Ticketing Authority(嵌入在 XML Service 中) | |
| Virtual Delivery Agent | TCP、UDP | 1494 | ICA/HDX 访问应用程序和虚拟桌面。EDT 协议要求为 UDP 开放 1494。 | |
| TCP、UDP | 2598 | ICA/HDX 使用会话可靠性访问应用程序和虚拟桌面。EDT 协议要求为 UDP 开放 2598。 | ||
| TCP、UDP | 443 | ICA/HDX 通过 TLS/DTLS 访问应用程序和虚拟桌面。 | ||
| UDP | 16500..16509 | ICA/HDX 通过 UDP 实时传输音频 | ||
| StoreFront | TCP | 80, 443 | Citrix Gateway 与 StoreFront 通信 | |
| Citrix Gateway 插件 | VPN/CVAD | UDP | 3108, 3168, 3188 | 对于具有安全 ICA 连接的 VPN 隧道 |
| TCP、UDP | 3148, 3149, 3159 | 对于具有安全 ICA 连接的 VPN 隧道 | ||
| 管理员工作站 | Citrix Gateway | TCP | 80, 443 | HTTPS-GUI 管理 |
| TCP | 22 | SSH 访问 | ||
| Citrix Gateway | DNS | TCP、UDP | 53 | 与 DNS 服务器的通信 |
有关 DMZ 设置中 Citrix Gateway 所需端口的更多信息,请参阅 CTX113250。
注意:
上述所有端口都不是强制性的,具体取决于您自己的配置。
XenServer
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| Citrix Hypervisor | Citrix Hypervisor | TCP | 443 | 资源池的成员之间使用 XenAPI 进行主机内通信 |
| NTP 服务 | TCP、UDP | 123 | 时间同步 | |
| DNS 服务域控制器 | TCP,UDP TCP | 53, 389 | 使用 Active Directory 集成 (LDAP) 时的 DNS 用户身份验证 | |
| TCP | 636 | 基于 SSL 的 LDAP (LDAPS) | ||
| 文件服务器 | TCP、UDP | 139 | ISOStore:NetBIOSSessionService | |
| TCP、UDP | 445 | ISOStore:Microsoft-DS | ||
| SAN 控制器 | TCP | 3260 | iSCSI 存储 | |
| NAS 头/文件服务器 | TCP | 2049 | NFS 存储 | |
| Syslog | TCP | 514 | 将数据发送到中心位置进行整理 | |
| 群集 | TCP | 8892, 21064 | 群集池中所有池成员之间的通信。 | |
| UDP | 5404, 5405 | |||
| 管理员工作站 (XenCenter) | XenServer | TCP | 22 | SSH |
| TCP | 443 | 使用 XenAPI 进行管理 | ||
| 虚拟机 | TCP | 5900 | 适用于 Linux 来宾的 VNC | |
| TCP | 3389 | 适用于 Windows 来宾的 RDP |
在此处阅读有关 Citrix 许可证服务器要求的 更多信息。
注意:
如果使用 FQDN 而不是 IP 作为资源,请确保它是可解析的。
Citrix 许可证服务器
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| 任何 Citrix 组件 | Citrix 许可证服务器 | TCP | 27000 | 处理许可证申请的初始联系人 |
| TCP | 7279 | Citrix 许可证的登记入/退出 | ||
| Delivery Controller | Citrix 许可证服务器 | TCP | 8082 | 基于 Web 的管理控制台 (Lmadmin.exe) |
| TCP | 8083 | Simple License Service 端口(CVAD 需要) | ||
| 管理员工作站 | Citrix 许可证服务器 | TCP | 8082 | 基于 Web 的管理控制台 (Lmadmin.exe) |
| TCP | 8083 | Simple License Service 端口(CVAD 需要) | ||
| TCP | 80 | 许可使用 Config PowerShell Snap-in Service | ||
| Citrix 许可证服务器 | https://cis.citrix.com |
HTTPS | 443 | Citrix 许可证自动许可证遥测报告 |
Citrix SD-WAN
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| SD-WAN Standard 和 Enterprise Edition | SD-WAN Standard 和 Enterprise Edition | UDP | 4980 | SD-WAN SE/EE 设备之间的静态虚拟路径和动态虚拟路径隧道。 |
| SD-WAN Center | TCP | 2156 | 报告 SD-WAN Center 和 SD-WAN SE/EE 设备之间的通信。 | |
| Citrix Cloud 零接触部署服务 | TCP | 443 | SD-WAN 设备和 Citrix Cloud 服务之间的身份验证通信。 | |
| RADIUS | TCP | 1812 | 用于身份验证协议的默认端口。用于 SD-WAN SE/EE 和 RADIUS 外部认证服务器之间的通信。 | |
| TACACS+ | TACACS | 49 | 用于身份验证协议的默认端口。用于 SD-WAN SE/EE 和 TACACS 外部身份验证服务器之间的通信。 | |
| SNMP | UDP | 161, 162 | SNMP 身份验证和轮询 SD-WAN SE/EE 设备。 | |
| NetFlow | UDP | 2055 | NetFlow 轮询到 SD-WAN SE/EE 设备。 | |
| AppFlow(NetScaler ADM) | TCP | 4739 | 用于 NetScaler ADM 和 SD-WAN SE/EE 设备之间的 AppFlow 通信。 | |
| API | TCP | 80, 443 | 用于与 SD-WAN SE/EE 设备的 NITRO API 通信。 | |
| SD-WAN Center | Citrix Cloud 零接触部署服务 | TCP | 443 | SD-WAN 设备和 Citrix Cloud 服务之间的身份验证通信。 |
| SD-WAN WANOP 版 | SD-WAN WANOP 版 | TCP | 不适用 | SD-WAN WO Edition 透明地优化了两个站点之间的 TCP 流量。原始源目标和端口在整个网段中保持不变。 |
| API(NetScaler ADM) | TCP | 80, 443 | 用于 NetScaler ADM 和 SD-WAN WANOP 设备之间的 NITRO API 通信。 | |
| SSH(NetScaler ADM) | TCP | 22 | 用于 NetScaler ADM 和 SD-WAN WANOP 设备之间的 SSH 通信。 | |
| AppFlow(NetScaler ADM) | TCP | 4739 | 用于 NetScaler ADM 和 SD-WAN WANOP 设备之间的 AppFlow 通信。 | |
| NetScaler ADM | ICMP | 不适用 | 用于 NetScaler ADM 和 SD-WAN WANOP 设备之间的网络可访问性。 | |
| RADIUS | TCP | 1812 | 用于身份验证协议的默认端口。用于 SD-WAN WO 和 RADIUS 外部认证服务器之间的通信。 | |
| TACACS+ | TACACS | 49 | 用于身份验证协议的默认端口。用于 SD-WAN WO 和 TACACS 外部身份验证服务器之间的通信。 | |
| SNMP | UDP | 161, 162 | SNMP 身份验证和轮询 SD-WAN WO 设备。 | |
| SD-WAN WANOP 版(启用 SSL 加速) | SD-WAN WANOP 版(启用 SSL 加速) | TCP | 443 | SD-WAN WO Edition 安全对等互连功能可加密 SD-WAN 对等体之间的流量。 |
| Citrix 管弦乐队本地 | 9.9.9.9 | UDP/TCP | 53 | 相关云服务域的 DNS 解析 |
| SD-WAN Standard 和 Enterprise Edition | TCP | 443 | Orchestrator 内部部署和 SD-WAN SE/EE 设备之间的通信 | |
| Citrix Cloud | TCP | 443 | 与 Citrix Cloud 服务的身份验证通信 | |
| SD-WAN Standard 和 Enterprise Edition | SSH | 22 | Orchestrator 内部部署和 SD-WAN SE/EE 设备之间的通信 |
Citrix Virtual Apps and Desktops
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| Delivery Controller | XenServer 资源池主服务器 | TCP | 80, 443 | 与 XenServer 基础设施通信 |
| Microsoft SCVMM 服务器 | TCP | 8100 | 与 Hyper-V 基础架构的通信 | |
| VMware vCenter 服务器 | TCP | 443 | 与 vSphere 基础架构的通信 | |
| Nutanix AHV | TCP | 9440 | 与 Nutanix AHV 基础设施通信 | |
| Microsoft SQL Server | TCP | 1433 | Microsoft SQL Server | |
| Virtual Delivery Agent | TCP | 80(双向) | Delivery Controller 在发现本地应用程序或收集有关本地进程、性能数据等的信息时启动连接。 | |
| Delivery Controller | TCP | 80 | Delivery Controller 之间的通信 | |
| TCP | 89 | 本地主机缓存(端口 89 的这种用法在将来的版本中可能会改变。) | ||
| TCP | 9095 | 编排服务 | ||
| Director | Delivery Controller | TCP | 80, 443 | 与 Citrix Delivery Controller 通信 |
| Citrix Director 管和管理工作站 | Virtual Delivery Agent | TCP | 135,3389 | Citrix Director 和虚拟交付代理之间的通信以获得远程 |
| TCP | 389 | LDAP 注意:对于登录步骤,Citrix Director 不会联系 AD,而是使用本机 Windows API LoginUser(可能在内部联系 AD)进行本地登录。 | ||
| Citrix Workspace 应用程序 | StoreFront | TCP、UDP | 80,443 | 与 StoreFront 通信 |
| Virtual Delivery Agent | TCP、UDP | 1494 | ICA/HDX 通过直接工作负载连接访问应用程序和虚拟桌面,该连接绕过 Citrix Gateway 服务获取内部流量。 | |
| Virtual Delivery Agent | TCP、UDP | 2598 | ICA/HDX 通过直接工作负载连接的会话可靠性访问应用程序和虚拟桌面,绕过 Citrix Gateway 服务获取内部流量。 | |
| UDP | 16500… 16509(双向) | UDP ICA/HDX 音频的端口范围 | ||
| Virtual Delivery Agent | Delivery Controller | TCP | 80(双向) | 由进程“WorkstationAgent.exe”用于与Delivery Controller 通信。 |
| 管理员工作站 | Director 服务器 | TCP | 80, 443 | 访问 Citrix Director 网站 |
| Delivery Controller | TCP | 80, 443 | 使用本地安装的 Citrix Studio 控制台或 SDK 直接访问Delivery Controller 时。 | |
| Virtual Delivery Agent | TCP、UDP | 49152..65535 | 启动从 Windows 计算机到Virtual Delivery Agent 的远程协助会话时动态分配的高端口。 | |
| HdxVideo.js | Virtual Delivery Agent | TCP | 9001 | 重定向 HTTPS Web 站点需要 HTML5 视频重定向和浏览器内容重定向安全 WebSocket 服务。WebSocketService.exe-在本地系统上运行并执行 SSL 终止和用户会话映射。TLS 安全 WebSocket 侦听 127.0.0.1 端口 9001。 |
在此处阅读有关 Citrix 许可证服务器要求的 更多信息。
Citrix App Layering
有关 Citrix App Layering 端口,请参阅以下链接 - 防火墙端口。
联合身份验证服务
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| StoreFront | FAS 服务器 | TCP | 80 | 发送用户的身份断言。 |
| FAS 服务器 | Microsoft 认证机构 | DCOM | 135 | 默认情况下,Microsoft CA 使用 DCOM 进行访问。这会导致需在实现防火墙安全功能时执行复杂的操作,因此,Microsoft 提供了一个预配项,可用于切换到静态 TCP 端口。有关更多信息,请参阅 配置 MS CA DCOM。 |
| Virtual Delivery Agent | FAS 服务器 | TCP | 80 | 从 FAS 服务器获取用户证书。 |
Provisioning Services
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| Provisioning 服务器 | Provisioning 服务器 | UDP | 6890..6909 | 服务器间通信 |
| Microsoft SQL Server | TCP | 1433 | 与Microsoft SQL Server 的通信 | |
| Citrix 许可证服务器 | TCP | 27000 | “Citrix 许可证服务器端口”。Citrix 许可证服务器正在侦听的端口,然后 Infrastructure Services 连接到该端口以验证许可。 | |
| TCP | 7279 | Citrix 许可证服务器中的专用 Citrix 组件(守护程序)用于验证许可证的端口。 | ||
| 域控制器 | TCP | 389 | 与 Active Directory 的通信 | |
| 目标设备 | UDP | 6901, 6902, 6905 | 目标设备到 Citrix Provisioning 的通信(不可配置) | |
| Citrix Hypervisor | TCP | 80, 443 | 与 Citrix Hypervisor 基础架构通 | |
| VMware vCenter 服务器 | TCP | 443 | 与 vSphere 基础架构的通信 | |
| Microsoft Hyper-V | TCP | 8100 | 与 Hyper-V 基础架构的通信 | |
| Microsoft Azure | TCP | 443 | 与 Azure 基础结构通信 | |
| Google 云端平台 | TCP | 443 | 与 Google Cloud 基础结构通信 | |
| 目标设备 | 广播/DHCP 服务器 | UDP | 66, 67 | 仅 DHCP 选项:获取网络引导 DHCP 选项 66-TFTP 服务器名称(引导协议服务器)和 67 启动文件名(引导协议客户端)。 |
| 广播/PXEService | UDP | 69 | 用于引导交付的简单文件传输 (TFTP) | |
| TFTP 服务器 | UDP | 6910 | 在 Provisioning Services 中登录目标设备 | |
| Provisioning 服务器 | UDP | 6910..6930 | 虚拟磁盘串流(流媒体服务)(可配置) | |
| UDP | 6901, 6902, 6905 | 目标设备到 Citrix Provisioning 的通信(不可配置) | ||
| UDP | 6969, 2071 | 只有 BDM:两阶段启动 (BDM)。仅在从 ISO 或 USB 启动场景中使用。 | ||
| TCP | 54321..54323 | SOAP 服务 - 由映像向导使用 | ||
| 管理员工作站 | Provisioning 服务器 | TCP | 54321..54323 | SOAP 服务 - 由控制台和 API(MCLI、PowerShell 等)使用 |
| Delivery Controller | TCP | 80 | 使用 on-prem CVAD 时-控制台向导在创建经纪商目录时使用 | |
| CVAD 服务 | TCP | 443 | 使用 CVADS 时-控制台向导在创建经纪商目录时使用 |
通用打印服务器
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| Virtual Delivery Agent | 通用打印服务器 | UDP | 7229 | 通用打印服务器打印数据流 (CGP) 端口(可配置) |
| Virtual Delivery Agent | 通用打印服务器 | TCP | 8080 | 通用打印服务器 Web 服务 (HTTP/SOAP) 端口(可配置) |
Remote PC Access
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| 管理员工作站 | Virtual Delivery Agent | UDP | 9 | 在局域网中唤醒,Remote PC Access 电源管理 |
| WOL 代理 | Virtual Delivery Agent | TCP | 135 | 用于 Remote PC Access 电源管理的唤醒代理 |
注意:
Remote PC Access 正在使用与常规虚拟桌面相同的虚拟交付代理端口
Session Recording
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| Virtual Delivery Agent | Session Recording Server | TCP | 80, 443 | 安装在虚拟交付代理上的 Session Recording Agent 之间的通信以连接到 Session Recording Server。默认安装使用 HTTPS/SSL 来确保通信安全。如果未配置 SSL,请使用 HTTP。 |
| 会话录制策略控制台 | Session Recording Server | TCP | 80, 443 | 安装了Session Recording 策略控制台的服务器与 Session Recording Server 之间的通信 |
| Session Recording Player | Session Recording Server | TCP | 80, 443 | 安装 Session Recording Player 的工作站与 Session Recording Server 之间的通信。 |
StoreFront
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| 用户设备 | StoreFront 服务器 | TCP | 80, 443 | 连接到 StoreFront 服务器上托管的商店 |
| StoreFront 服务器 | 域控制器 | TCP、UDP | 389 | LDAP 连接以查询用户友好的姓名和电子邮件地址 |
| TCP、UDP | 88 | Kerberos | ||
| TCP、UDP | 464 | 本机 Windows 身份验证协议,允许用户更改过期的密码 | ||
| StoreFront 服务器 | TCP | 随机选择每个服务的未预留端口。将 StoreFront 置于自己的网络中时,向下滚动到此表的末尾以配置防火墙。 | 用于点对点服务(Credential Wallet、订阅商店(每个商店 1 个)。此服务使用 MS .Net NetPeerTcpBinding,它在对等体之间协商每台服务器上的随机端口。仅用于群集内的通信。 | |
| TCP | 808 | 用于订阅复制服务。默认情况下未安装。用于在关联群集之间复制订阅 | ||
| XenMobile Delivery Controller | TCP | 80, 443 | 用于应用程序和桌面请求。 | |
| NetScaler | StoreFront | TCP | 8000 | 适用于 NetScaler 负载均衡器使用的监视服务。 |
| StoreFront | Citrix Gateway | TCP | 443 | 从 StoreFront 到达 Citrix Gateway 的回调 URL |
将 StoreFront 置于自己的网络中时,请使用以下信息配置防火墙:
- 找到配置文件:
C:\Program Files\Citrix\Receiver StoreFront\Services\SubscriptionsStoreService\Citrix.DeliveryServices.SubscriptionsStore.ServiceHost.exe.configC:\Program Files\Citrix\Receiver StoreFront\Services\CredentialWallet\Citrix.DeliveryServices.CredentialWallet.ServiceHost.exe.config
-
编辑两个配置文件,更改端点 URI 的值。
例如-
<endpoint uri="net.p2p://CitrixCredentialWalletReplication">因此,任何以net.p2p://开头的地址都包括端口。对于所有其他 net.p2p 地址,您应以<endpoint uri="net.p2p://CitrixCredentialWalletReplication:93">结尾,<endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store">将变为<endpoint uri="net.p2p://Citrix-Subscriptions-1__Citrix_Store:93">,以此类推。 - 重新启动订阅商店和凭证钱包。
- 本地防火墙包含允许每个应用程序访问的规则,因此它不会被端口锁定。
Workspace Environment Management
| 源 | 目标 | 类型 | Port(端口) | 详细信息 |
|---|---|---|---|---|
| Infrastructure Services | 代理主机 | TCP | 49752 | “代理端口”。代理主机上接收来自 Infrastructure Services 的指令的侦听端口。 |
| 管理控制台 | Infrastructure Services | TCP | 8284 | “管理端口”。管理控制台连接到 Infrastructure Services 的端口。 |
| 代理 | Infrastructure Services | TCP | 8286 | “代理服务端口”。代理连接到基础结构服务器的端口。 |
| 代理缓存同步过程 | Infrastructure Services | TCP | 8285 | “缓存同步端口”。适用于 1909 及更早版本的 Workspace Environment Management;替换为 Workspace Environment Management 1912 及更高版本中的缓存数据同步端口。代理缓存同步进程连接到 Infrastructure Services 以使代理缓存与基础结构服务器同步的端口。 |
| TCP | 8288 | “缓存的数据同步端口”。适用于 Workspace Environment Management 1912 及更高版本;取代 Workspace Environment Management 1909 及更早版本的缓存同步端口。代理缓存同步进程连接到 Infrastructure Services 以使代理缓存与基础结构服务器同步的端口。 | ||
| 监视服务 | Infrastructure Services | TCP | 8287 | “WEM 监视端口”。监视服务使用的基础结构服务器上的侦听端口。(尚未实施.) |
| Infrastructure Services | Microsoft SQL Server | TCP | 1433 | 连接到 WEM 数据库 |
| Citrix 许可证服务器 | TCP | 27000 | “Citrix 许可证服务器端口”。Citrix 许可证服务器正在侦听的端口,然后 Infrastructure Services 连接到该端口以验证许可。 | |
| TCP | 7279 | Citrix 许可证服务器中的专用 Citrix 组件(守护程序)用于验证许可证的端口。 |
在此处阅读有关 Citrix Workspace Environment Management 要求的 更多信息。
在此处阅读有关 Citrix 许可证服务器要求的 更多信息。
CSV 文件
我们想向您提供 Citrix 通信端口 的 csv 文件,您可以根据自己的需要使用该文件。