端口要求
要使设备和应用程序能够与 XenMobile 通信,应在防火墙中打开特定端口。以下各表列出了必须打开的端口。
为 Citrix Gateway 和 XenMobile 打开端口以管理应用程序
打开下列端口以允许用户通过 Citrix Gateway 从 Citrix Secure Hub、Citrix Receiver、Citrix Gateway 插件连接到以下组件:
- XenMobile
- StoreFront
- Citrix Virtual Apps and Desktops
- 适用于 Exchange ActiveSync 的 Citrix Gateway 连接器
- 其他内部网络资源,例如 Intranet Web 站点
要实现从 Citrix ADC 到 Launch Darkly 的通信,可以使用此支持知识中心文章中所述的 IP 地址。
有关 Citrix Gateway 的详细信息,请参阅 Citrix Gateway 文档。该文档包括有关 Citrix ADC IP (NSIP) 虚拟服务器 IP (VIP) 和子网 IP (SNIP) 地址的信息。
TCP 端口 | 说明 | 源 | 目标 |
---|---|---|---|
21 或 22 | 用于将支持包发送到 FTP 或 SCP 服务器。 | XenMobile | FTP 或 SCP 服务器 |
53(TCP 和 UDP) | 用于 DNS 连接。 | Citrix Gateway、XenMobile | DNS 服务器 |
80 | Citrix Gateway 通过第二个防火墙将 VPN 连接传递到内部网络资源。用户使用 Citrix Gateway 插件登录时,通常会发生此情况。 | Citrix Gateway | Intranet Web 站点 |
80 或 8080,443 | 用于枚举、票证记录和身份验证的 XML 和 Secure Ticket Authority (STA) 端口。Citrix 建议使用端口 443。 | StoreFront 和 Web Interface XML 网络流量,Citrix Gateway STA | 虚拟应用程序或桌面 |
123(TCP 和 UDP) | 用于网络时间协议 (NTP) 服务。 | Citrix Gateway;XenMobile | NTP 服务器 |
389 | 用于非安全 LDAP 连接 | Citrix Gateway;XenMobile | LDAP 身份验证服务器或 Microsoft Active Directory |
443 | 用于从 Citrix Receiver 连接到 StoreFront 或从 Receiver for Web 连接到 Virtual Apps and Desktops。 | Internet | Citrix Gateway |
443 | 用于连接到 XenMobile 以实现 Web、移动和 SaaS 应用程序交付。 | Internet | Citrix Gateway |
443 | 用于与 XenMobile Server 的一般设备通信。 | XenMobile | XenMobile |
443 | 注册时用于从移动设备到 XenMobile 的连接。 | Internet | XenMobile |
443 | 用于从 XenMobile 连接到适用于 Exchange ActiveSync 的 Citrix Gateway 连接器。 | XenMobile | 适用于 Exchange ActiveSync 的 Citrix Gateway 连接器 |
443 | 用于从适用于 Exchange ActiveSync 的 Citrix Gateway 连接器连接到 XenMobile。 | 适用于 Exchange ActiveSync 的 Citrix Gateway 连接器 | XenMobile |
443 | 用于在未进行证书身份验证的部署中的回调 URL。 | XenMobile | Citrix Gateway |
514 | 用于 XenMobile 与 Syslog 服务器之间的连接。 | XenMobile | Syslog 服务器 |
636 | 用于安全 LDAP 连接。 | Citrix Gateway;XenMobile | LDAP 身份验证服务器或 Active Directory |
1494 | 用于与内部网络中基于 Windows 应用程序的 ICA 连接。Citrix 建议保持此端口处于打开状态。 | Citrix Gateway | 虚拟应用程序或桌面 |
1812 | 用于 RADIUS 连接。 | Citrix Gateway | RADIUS 身份验证服务器 |
2598 | 用于使用会话可靠性连接到内部网络中基于 Windows 的应用程序。Citrix 建议保持此端口处于打开状态。 | Citrix Gateway | 虚拟应用程序或桌面 |
3268 | 用于 Microsoft Global Catalog 非安全 LDAP 连接。 | Citrix Gateway;XenMobile | LDAP 身份验证服务器或 Active Directory |
3269 | 用于 Microsoft Global Catalog 安全 LDAP 连接。 | Citrix Gateway;XenMobile | LDAP 身份验证服务器或 Active Directory |
9080 | 用于传输 Citrix ADC 和适用于 Exchange ActiveSync 的 Citrix Gateway 连接器之间的 HTTP 流量。 | Citrix ADC | 适用于 Exchange ActiveSync 的 Citrix Gateway 连接器 |
30001 | HTTPS 服务的初始分段的管理 API | 内部 LAN | XenMobile Server |
9443 | 用于传输 Citrix ADC 和适用于 Exchange ActiveSync 的 Citrix Gateway 连接器之间的 HTTPS 流量。 | Citrix ADC | 适用于 Exchange ActiveSync 的 Citrix Gateway 连接器 |
45000、80 | 用于部署在群集中的两个 XenMobile VM 之间的通信。端口 80 用于节点间通信和 SSL 卸载。 | XenMobile | XenMobile |
8443 | 用于注册、XenMobile Store 和移动应用程序管理 (MAM)。 | XenMobile、Citrix Gateway、设备、Internet | XenMobile |
4443 | 用于管理员通过浏览器访问 XenMobile 控制台。还用于从一个节点为所有 XenMobile 群集节点下载日志和支持包。 | 接入点(浏览器)、XenMobile | XenMobile |
27000 | 用于访问外部 Citrix 许可证服务器的默认端口。 | XenMobile | Citrix 许可证服务器 |
7279 | 用于签入和签出 Citrix 许可证的默认端口。 | XenMobile | Citrix 供应商守护程序 |
161 | 用于使用 UDP 协议的 SNMP 流量。 | SNMP 管理器 | XenMobile |
162 | 用于从 XenMobile 向 SNMP 管理器发送 SNMP 陷阱警报。来源为 XenMobile,目标为 SNMP 管理器。 | XenMobile | SNMP 管理器 |
打开 XenMobile 端口以管理设备
打开以下端口以允许 XenMobile 在网络中通信。
TCP 端口 | 说明 | 源 | 目标 |
---|---|---|---|
25 | 用于 XenMobile 通知服务的 SMTP 端口。如果 SMTP 服务器使用其他端口,请确保防火墙不会阻止该端口。 | XenMobile | SMTP 服务器 |
80 和 443 | 与 Apple iTunes App Store、Google Play(必须使用 80)或 Windows Phone 应用商店的企业应用商店连接。用于 Apple 批量购买。用于从 iOS 中的应用商店、Secure Hub for Android 或 Secure Hub for Windows Phone 发布应用程序。 | XenMobile |
ax.apps.apple.com 和 *.mzstatic.com ,vpp.itunes.apple.com ,login.live.com ,*.notify.windows.com , play.google.com, android.clients.google.com, android.l.google.com
|
80 或 443 | 用于 XenMobile 与 Nexmo SMS Notification Relay 之间的出站连接。 | XenMobile | Nexmo SMS Relay 服务器 |
389 | 用于非安全 LDAP 连接。 | XenMobile | LDAP 身份验证服务器或 Active Directory |
443 | 用于 Android 和 Windows Mobile 的注册和代理安装。 | Internet | XenMobile |
443 | 用于 Android 和 Windows 设备以及 MDM 远程支持客户端的注册和代理安装。 | Internet LAN 和 Wi-Fi | XenMobile |
1433 | 默认用于与远程数据库服务器的连接(可选)。 | XenMobile | SQL Server |
443 | 用于将 APNs 通知发送到 *.push.apple.com
|
XenMobile | Internet(使用公用 IP 地址 17.0.0.0/8 的 APNs 主机 |
5223 | 用于从 iOS 设备到 *.push.apple.com 的 APNs 出站连接。 |
iOS 设备 | Internet(使用公用 IP 地址 17.0.0.0/8 的 APNs 主机) |
2195 和 2196 | (旧版)用于到 gateway.push.apple.com 的 Apple 推送通知服务 (APNs) 出站连接,适用于 iOS 设备通知和设备策略推送。 |
XenMobile | Internet(使用公用 IP 地址 17.0.0.0/8 的 APNs 主机) |
8081 | 用于来自可选 MDM 远程支持客户端的应用程序通道。默认值为 8081。 | 远程支持客户端 | XenMobile |
8443 | 用于 iOS 和 Windows Phone 设备注册。 | Internet,LAN 和 Wi-Fi | XenMobile |
自动发现服务连接的端口要求
此端口配置可确保从 Secure Hub for Android 连接的 Android 设备能够从内部网络访问 Citrix AutoDiscovery Service (ADS)。您需要访问 ADS 以下载通过 ADS 提供的安全更新。
注意:
ADS 连接可能不支持您的代理服务器。在这种情况下,允许 ADS 连接跳过代理服务器。
如果您希望启用证书固定,应满足以下必备条件:
- 收集 XenMobile Server 和 Citrix ADC 证书。证书必须采用 PEM 格式,并且必须是公用证书,而非私钥。
- 联系 Citrix 技术支持并请求启用证书固定功能。在此过程中,系统会要求您提供证书。
证书固定功能要求设备先连接到 ADS,然后再注册。此要求可确保最新的安全信息对 Secure Hub 可用。为了 Secure Hub 注册设备,该设备必须访问 ADS。因此,在内部网络中打开 ADS 访问功能对启用设备注册非常重要。
要允许访问 Secure Hub for Android 的 ADS,请为以下 FQDN 和 IP 地址打开端口 443:
FQDN | IP 地址 | 端口 | IP 和端口用法 |
---|---|---|---|
ads.xm.cloud.com |
34.194.83.188 | 443 | Secure Hub - ADS 通信 |
ads.xm.cloud.com |
34.193.202.23 | 443 | Secure Hub - ADS 通信 |
注意:
对于 10.6.15 之前的 Secure Hub 版本,FQDN 为
discovery.mdm.zenprise.com
。为 IP 地址 52.5.138.94 和 52.1.30.122 打开端口 443。
Android Enterprise 网络要求
在为 Android Enterprise 设置网络环境时,需要识别一些出站连接。
设备的端口要求
目标主机 | 端口 | 说明 |
---|---|---|
*.googleapis.com |
TCP/443 | 用于 Google Mobile Management、Google API、Google Play 应用商店 API |
play.google.com, android.com google-analytics.com, android.clients.google.com |
TCP/443 | 用户 Google Play 以及通过 android.clients.google.com 提供的更新。下载应用程序、更新和 Google Play 应用商店 API |
cm.googleapis.com |
TCP/443 | 用于 Firebase Cloud Messaging |
android.apis.google.com, cm.googleapis.com |
TCP/5228、5229、5230 | 用于设备 Wi-Fi 的 Firebase Cloud Messaging 传出 Internet 通信 |
connectivitycheck.android.com, www.google.com |
TCP/443 | 用于 CloudDPC v470 之前的连接检查。自 N MR1 起的 Android 连接检查要求 https://www.google.com/generate_204 可访问,或者要求指定的 Wi-Fi 网络指向可访问的 PAC 文件) |
XenMobile 的端口要求
以下目标主机必须能够从网络访问,才能创建托管 Google Play Enterprise 并访问 托管 Google Play iFrame。Google 为 EMM 开发人员提供了托管 Play iFrame,以简化应用程序的搜索和审批。您访问 XenMobile 控制台所使用的浏览器必须能够访问 Google Play,才能使用托管 Play iFrame。
目标主机 | 端口 | 说明 |
---|---|---|
play.google.com |
TCP/443 | 用于 Google Play 应用商店,Play Enterprise 注册 |
*.googleapis.com |
TCP/443 | 用于 Google Mobile Management、Google API、Google Play 应用商店 API |
accounts.youtube.com , accounts.google.com
|
TCP/443 | 用于帐户身份验证 |
apis.google.com |
TCP/443 | 用于 GCM 和其他 Google Web 服务 |
ogs.google.com |
TCP/443 | 用于 iFrame UI 元素 |
notifications.google.com |
TCP/443 | 用于桌面和移动通知 |
fonts.googleapis.com 、*.gstatic.com 、*.googleusercontent.com
|
TCP/443 | 用于 Google 字体用户生成的内容。例如,应用商店中的应用程序图标 |
cri.pki.goog , ocsp.pki.goog
|
TCP/443 | 用于证书验证 |