Product Documentation

端口要求

Jan 10, 2017

要使设备和应用程序能够与 XenMobile 通信,需要在防火墙中打开特定端口。 下表列出了必须打开的端口。

Opening Ports for NetScaler Gateway and XenMobile to Manage Apps

You must open the following ports to allow user connections from Citrix Secure Hub, Citrix Receiver, and the NetScaler Gateway Plug-in through NetScaler Gateway to XenMobile, StoreFront, XenDesktop, the XenMobile NetScaler Connector, and to other internal network resources, such as intranet websites. For more information about NetScaler Gateway, see Configuration Settings for your XenMobile Environment in the NetScaler Gateway documentation. For more information about NetScaler-owned IP address, such as the NetScaler IP (NSIP) virtual server IP (VIP), and subnet IP (SNIP) addresses, see How a NetScaler Communicates with Clients and Servers in the NetScaler documentation.

TCP port

Description

Source

Destination

21 or 22

Used to send support bundles to an FTP or SCP server.

XenMobile

FTP or SCP server

53 (TCP and UDP)

Used for DNS connections.

NetScaler Gateway

XenMobile

DNS server

80

NetScaler Gateway passes the VPN connection to the internal network resource through the second firewall. This typically occurs if users log on with the NetScaler Gateway Plug-in.

NetScaler Gateway

Intranet websites

80 or 8080

XML and Secure Ticket Authority (STA) port used for enumeration, ticketing, and authentication.

Citrix recommends using port 443.

StoreFront and Web Interface XML network traffic

NetScaler Gateway STA

XenDesktop or XenApp

443

123 (TCP and UDP)

Used for Network Time Protocol (NTP) services.

NetScaler Gateway

XenMobile

NTP server

389

Used for insecure LDAP connections.

NetScaler Gateway

XenMobile

LDAP authentication server or Microsoft Active Directory

443

Used for connections to StoreFront from Citrix Receiver or Receiver for Web to XenApp and XenDesktop.

Internet

NetScaler Gateway

Used for connections to XenMobile for web, mobile, and SaaS app delivery.

Internet

NetScaler Gateway

Used for general device communication to XenMobile server

XenMobile

XenMobile

Used for connections from mobile devices to XenMobile for enrollment.

Internet

XenMobile

Used for connections from XenMobile to XenMobile NetScaler Connector.

XenMobile

XenMobile NetScaler Connector

Used for connections from XenMobile NetScaler Connector to XenMobile.

XenMobile NetScaler Connector

XenMobile

Used for Callback URL in deployments without certificate authentication.

XenMobile

NetScaler Gateway

514

Used for connections between XenMobile and a syslog server.

XenMobile

Syslog server

636

Used for secure LDAP connections.

NetScaler Gateway

XenMobile

LDAP authentication server or Active Directory

1494

Used for ICA connections to Windows-based applications in the internal network. Citrix recommends keeping this port open.

NetScaler Gateway

XenApp or XenDesktop

1812

Used for RADIUS connections.

NetScaler Gateway

RADIUS authentication server

2598

Used for connections to Windows-based applications in the internal network using session reliability. Citrix recommends keeping this port open.

NetScaler Gateway

XenApp or XenDesktop

3268

Used for Microsoft Global Catalog insecure LDAP connections.

NetScaler Gateway

XenMobile

LDAP authentication server or Active Directory

3269

Used for Microsoft Global Catalog secure LDAP connections.

NetScaler Gateway

XenMobile

LDAP authentication server or Active Directory

9080

Used for HTTP traffic between NetScaler and the XenMobile NetScaler Connector.

NetScaler

XenMobile NetScaler Connector

9443

Used for HTTPS traffic between NetScaler and the XenMobile NetScaler Connector.

NetScaler

XenMobile NetScaler Connector

45000

80

Used for communication between two XenMobile VMs when deployed in a cluster.

XenMobile

XenMobile

8443

Used for enrollment, XenMobile Store and mobile app management (MAM).

XenMobile

NetScaler Gateway

Devices

Internet

XenMobile

4443

Used for accessing the XenMobile console by an administrator through the browser.

Access point (browser)

XenMobile

Used for downloading logs and support bundles for all XenMobile cluster nodes from one node.

XenMobile

XenMobile

27000

Default port used for accessing the external Citrix License Server

XenMobile

Citrix License Server

7279

Default port used for checking Citrix licenses in and out.

XenMobile

Citrix Vendor Daemon

打开 XenMobile 端口以管理设备

必须打开以下端口以允许 XenMobile 在网络中通信。

TCP 端口

说明

目标

25

用于 XenMobile 通知服务的 SMTP 端口。 如果 SMTP 服务器使用其他端口,请确保防火墙不会阻止该端口。

XenMobile

SMTP 服务器

80 和 443

与 Apple iTunes App Store (ax.itunes.apple.com)、Google Play(必须使用 80)或 Windows Phone 应用商店建立的企业应用商店连接。 用于通过 iOS 上的 Citrix Mobile Self-Serve、适用于 Android 的 Secure Hub 或适用于 Windows Phone 的 Secure Hub 从应用商店发布应用程序。

XenMobile

Apple iTunes App Store(ax.itunes.apple.com 和 *.mzstatic.com)

Apple Volume Purchase Program (vpp.itunes.apple.com)

对于 Windows Phone:login.live.com 和 *.notify.windows.com

Google Play (play.google.com)

80 或 443

用于 XenMobile 与 Nexmo SMS Notification Relay 之间的出站连接。

XenMobile

Nexmo SMS Relay 服务器

389

用于非安全 LDAP 连接。

XenMobile

LDAP 身份验证服务器或 Active Directory

443

用于 Android 和 Windows Mobile 的注册和代理安装。

Internet

XenMobile

用于 Android 和 Windows 设备、XenMobile Web 控制台和 MDM 远程支持客户端的注册和代理安装。

内部 LAN 和 WiFi

1433

默认用于与远程数据库服务器的连接(可选)。

XenMobile

SQL Server

2195

用于 Apple 推送通知服务 (APNs) 到 gateway.push.apple.com 的出站连接,适用于 iOS 设备通知和设备策略推送。

XenMobile

Internet(使用公用 IP 地址 17.0.0.0/8 的 APNs 主机)

2196

用于到 feedback.push.apple.com 的 APNs 出站连接,适用于 iOS 设备通知和设备策略推送。

5223

用于从 Wi-Fi 网络上的 iOS 设备到 *.push.apple.com 的 APNs 出站连接。

WiFi 网络上的 iOS 设备

Internet(使用公用 IP 地址 17.0.0.0/8 的 APNs 主机)

8081

用于来自可选 MDM 远程支持客户端的应用程序通道。 默认为 8081。

远程支持客户端

Internet,针对用户设备的应用程序通道(仅适用于 Android 和 Windows)

8443

用于 iOS 和 Windows Phone 设备注册。

Internet

XenMobile

LAN 和 WiFi

自动发现服务连接的端口要求

此端口配置可确保从 Secure Hub for Android 10.2 和 10.3 版连接的 Android 设备能够从内部网络访问 Citrix 自动发现服务 (ADS)。 下载通过 ADS 提供的任何安全更新时能够访问 ADS 非常重要。

注意:ADS 连接可能不适用于您的代理服务器。 在这种情况下,允许 ADS 连接绕过代理服务器。

对启用证书固定功能感兴趣的客户必须完成以下必需操作:

  • 收集 XenMobile 服务器和 NetScaler 证书。 证书的格式必须为 PEM,并且必须是公用证书,而非私钥。
  • 联系 Citrix 技术支持并请求启用证书固定功能。 在此过程中,系统会要求您提供证书。

新的证书固定改进功能要求设备先连接到 ADS, 然后再注册。 这样可确保最新的安全信息对正在其中注册设备的环境中的 Secure Hub 可用。 Secure Hub 不注册无法访问 ADS 的设备。 因此,在内部网络中打开 ADS 访问功能对启用设备注册非常重要。

要允许访问 Secure Hub 10.2 for Android 的 ADS,请为以下 FQDN 和 IP 地址打开端口 443:

FQDN

IP 地址

discovery.mdm.zenprise.com

54.225.219.53

54.243.185.79

107.22.184.230

107.20.173.245

184.72.219.144

184.73.241.73

54.243.233.48

204.236.239.233

107.20.198.193