查看 PDF
端口要求
要使设备和应用程序能够与 XenMobile 通信,应在防火墙中打开特定端口。以下各表列出了必须打开的端口。
为 NetScaler Gateway 和 XenMobile 打开端口以管理应用程序
打开下列端口以允许用户通过 NetScaler Gateway 从 Citrix Secure Hub、Citrix Receiver、 NetScaler Gateway 插件连接到以下组件:
- XenMobile
- StoreFront
- XenDesktop
- 适用于 Exchange ActiveSync 的 Citrix Gateway 连接器
- 其他内部网络资源,例如 Intranet Web 站点
要实现从 NetScaler 到 Launch Darkly 的通信,可以使用此支持知识中心文章中所述的 IP 地址。
有关 NetScaler Gateway 的详细信息,请参阅 NetScaler Gateway 文档。该文档包括有关 NetScaler IP (NSIP) 虚拟服务器 IP (VIP) 和子网 IP (SNIP) 地址的信息。
| TCP 端口 | 说明 | 源 | 目标 |
|---|---|---|---|
| 21 或 22 | 用于将支持包发送到 FTP 或 SCP 服务器。 | XenMobile | FTP 或 SCP 服务器 |
| 53(TCP 和 UDP) | 用于 DNS 连接。 | NetScaler Gateway、XenMobile | DNS 服务器 |
| 80 | NetScaler Gateway 通过第二个防火墙将 VPN 连接传递到内部网络资源。用户使用 NetScaler Gateway 插件登录时,通常会发生此情况。 | NetScaler Gateway | Intranet Web 站点 |
| 80 或 8080,443 | 用于枚举、票证记录和身份验证的 XML 和 Secure Ticket Authority (STA) 端口。Citrix 建议使用端口 443。 | StoreFront 和 Web Interface XML 网络流量,NetScaler Gateway STA | XenDesktop 或 XenApp |
| 123(TCP 和 UDP) | 用于网络时间协议 (NTP) 服务。 | NetScaler Gateway、XenMobile | NTP 服务器 |
| 389 | 用于非安全 LDAP 连接 | NetScaler Gateway、XenMobile | LDAP 身份验证服务器或 Microsoft Active Directory |
| 443 | 用于从 Citrix Receiver 连接到 StoreFront 或从 Receiver for Web 连接到 XenApp 和 XenDesktop。 | Internet | NetScaler Gateway |
| 443 | 用于连接到 XenMobile 以实现 Web、移动和 SaaS 应用程序交付。 | Internet | NetScaler Gateway |
| 443 | 用于与 XenMobile Server 的一般设备通信。 | XenMobile | XenMobile |
| 443 | 注册时用于从移动设备到 XenMobile 的连接。 | Internet | XenMobile |
| 443 | 用于从 XenMobile 连接到适用于 Exchange ActiveSync 的 Citrix Gateway 连接器。 | XenMobile | 适用于 Exchange ActiveSync 的 Citrix Gateway 连接器 |
| 443 | 用于从适用于 Exchange ActiveSync 的 Citrix Gateway 连接器连接到 XenMobile。 | 适用于 Exchange ActiveSync 的 Citrix Gateway 连接器 | XenMobile |
| 443 | 用于在未进行证书身份验证的部署中的回调 URL。 | XenMobile | NetScaler Gateway |
| 514 | 用于 XenMobile 与 Syslog 服务器之间的连接。 | XenMobile | Syslog 服务器 |
| 636 | 用于安全 LDAP 连接。 | NetScaler Gateway、XenMobile | LDAP 身份验证服务器或 Active Directory |
| 1494 | 用于与内部网络中基于 Windows 应用程序的 ICA 连接。Citrix 建议保持此端口处于打开状态。 | NetScaler Gateway | XenApp 或 XenDesktop |
| 1812 | 用于 RADIUS 连接。 | NetScaler Gateway | RADIUS 身份验证服务器 |
| 2598 | 用于使用会话可靠性连接到内部网络中基于 Windows 的应用程序。Citrix 建议保持此端口处于打开状态。 | NetScaler Gateway | XenApp 或 XenDesktop |
| 3268 | 用于 Microsoft Global Catalog 非安全 LDAP 连接。 | NetScaler Gateway、XenMobile | LDAP 身份验证服务器或 Active Directory |
| 3269 | 用于 Microsoft Global Catalog 安全 LDAP 连接。 | NetScaler Gateway、XenMobile | LDAP 身份验证服务器或 Active Directory |
| 9080 | 用于传输 NetScaler 和适用于 Exchange ActiveSync 的 Citrix Gateway 连接器之间的 HTTP 流量。 | NetScaler | 适用于 Exchange ActiveSync 的 Citrix Gateway 连接器 |
| 30001 | HTTPS 服务的初始分段的管理 API | 内部 LAN | XenMobile Server |
| 9443 | 用于传输 NetScaler 和适用于 Exchange ActiveSync 的 Citrix Gateway 连接器之间的 HTTPS 流量。 | NetScaler | 适用于 Exchange ActiveSync 的 Citrix Gateway 连接器 |
| 45000、80 | 用于部署在群集中的两个 XenMobile VM 之间的通信。端口 80 用于节点间通信和 SSL 卸载。 | XenMobile | XenMobile |
| 8443 | 用于注册、XenMobile Store 和移动应用程序管理 (MAM)。 | XenMobile、NetScaler Gateway、设备、Internet | XenMobile |
| 4443 | 用于管理员通过浏览器访问 XenMobile 控制台。还用于从一个节点为所有 XenMobile 群集节点下载日志和支持包。 | 接入点(浏览器)、XenMobile | XenMobile |
| 27000 | 用于访问外部 Citrix 许可证服务器的默认端口。 | XenMobile | Citrix 许可证服务器 |
| 7279 | 用于签入和签出 Citrix 许可证的默认端口。 | XenMobile | Citrix 供应商守护程序 |
| 161 | 用于使用 UDP 协议的 SNMP 流量。 | SNMP 管理器 | XenMobile |
| 162 | 用于从 XenMobile 向 SNMP 管理器发送 SNMP 陷阱警报。来源为 XenMobile,目标为 SNMP 管理器。 | XenMobile | SNMP 管理器 |
打开 XenMobile 端口以管理设备
打开以下端口以允许 XenMobile 在网络中通信。
| TCP 端口 | 说明 | 源 | 目标 |
|---|---|---|---|
| 25 | 用于 XenMobile 通知服务的 SMTP 端口。如果 SMTP 服务器使用其他端口,请确保防火墙不会阻止该端口。 | XenMobile | SMTP 服务器 |
| 80 和 443 | 与 Apple iTunes App Store、Google Play(必须使用 80)或 Windows Phone 应用商店的企业应用商店连接。用于 Apple 批量购买计划。用于通过 iOS 上的 Citrix Mobile Self-Serve、适用于 Android 的 Secure Hub 或适用于 Windows Phone 的 Secure Hub 从应用商店发布应用程序。 | XenMobile |
ax.apps.apple.com 和 *.mzstatic.com,vpp.itunes.apple.com,login.live.com,*.notify.windows.com, play.google.com, android.clients.google.com, android.l.google.com
|
| 80 或 443 | 用于 XenMobile 与 Nexmo SMS Notification Relay 之间的出站连接。 | XenMobile | Nexmo SMS Relay 服务器 |
| 389 | 用于非安全 LDAP 连接。 | XenMobile | LDAP 身份验证服务器或 Active Directory |
| 443 | 用于 Android 和 Windows Mobile 的注册和代理安装。 | Internet | XenMobile |
| 443 | 用于 Android 和 Windows 设备、XenMobile Web 控制台和 MDM 远程支持客户端的注册和代理安装。 | Internet LAN 和 Wi-Fi | XenMobile |
| 1433 | 默认用于与远程数据库服务器的连接(可选)。 | XenMobile | SQL Server |
| 2195 | 用于到 gateway.push.apple.com 的 Apple 推送通知服务 (APNs) 出站连接,适用于 iOS 设备通知和设备策略推送。 |
XenMobile | Internet(使用公用 IP 地址 17.0.0.0/8 的 APNs 主机) |
| 2196 | 用于到 feedback.push.apple.com 的 APNs 出站连接,适用于 iOS 设备通知和设备策略推送。 |
||
| 5223 | 用于从 Wi-Fi 网络上的 iOS 设备到 *.push.apple.com 的 APNs 出站连接。 |
Wi-Fi 网络上的 iOS 设备 | Internet(使用公用 IP 地址 17.0.0.0/8 的 APNs 主机) |
| 8081 | 用于来自可选 MDM 远程支持客户端的应用程序通道。默认值为 8081。 | 远程支持客户端 | XenMobile |
| 8443 | 用于 iOS 和 Windows Phone 设备注册。 | Internet,LAN 和 Wi-Fi | XenMobile |
自动发现服务连接的端口要求
此端口配置可确保从 Secure Hub for Android 连接的 Android 设备能够从内部网络访问 Citrix AutoDiscovery Service (ADS)。下载通过 ADS 提供的任何安全更新时能够访问 ADS 非常重要。
注意:
ADS 连接可能不支持您的代理服务器。在这种情况下,允许 ADS 连接跳过代理服务器。
如果您希望启用证书固定,应满足以下必备条件:
- 收集 XenMobile Server 和 NetScaler 证书。证书必须采用 PEM 格式,并且必须是公用证书,而非私钥。
- 联系 Citrix 技术支持并请求启用证书固定功能。在此过程中,系统会要求您提供证书。
证书固定功能要求设备先连接到 ADS,然后再注册。此要求可确保最新的安全信息对正在其中注册设备的环境的 Secure Hub 可用。为了 Secure Hub 注册设备,该设备必须访问 ADS。因此,在内部网络中打开 ADS 访问功能对启用设备注册非常重要。
要允许访问 Secure Hub for Android 的 ADS,请为以下 FQDN 和 IP 地址打开端口 443:
| FQDN | IP 地址 | 端口 | IP 和端口用法 |
|---|---|---|---|
ads.xm.cloud.com |
34.194.83.188 | 443 | Secure Hub - ADS 通信 |
ads.xm.cloud.com |
34.193.202.23 | 443 | Secure Hub - ADS 通信 |
注意:
对于 10.6.15 之前的 Secure Hub 版本,FQDN 为
discovery.mdm.zenprise.com。为 IP 地址 52.5.138.94 和 52.1.30.122 打开端口 443。
Android Enterprise 网络要求
在为 Android Enterprise 设置网络环境时,需要识别一些出站连接。
设备的端口要求
| 目标主机 | 端口 | 说明 |
|---|---|---|
| *.googleapis.com | TCP/443 | 用于 Google Mobile Management、Google API、Google Play 应用商店 API |
| play.google.com、android.com google-analytics.com、android.clients.google.com | TCP/443 | 通过 android.clients.google.com 用于 Google Play 和更新。下载应用程序、更新和 Google Play 应用商店 API |
| cm.googleapis.com | TCP/443 | 用于 Firebase Cloud Messaging |
| android.apis.google.com、cm.googleapis.com | TCP/5228、5229、5230 | 用于设备 Wi-Fi 的 Firebase Cloud Messaging 传出 Internet 通信 |
| connectivitycheck.android.com、www.google.com | TCP/443 | 用于 CloudDPC v470 之前的连接检查。自 N MR1 起的 Android 连接检查要求 https://www.google.com/generate_204 可访问,或者要求指定的 Wi-Fi 网络指向可访问的 PAC 文件) |
XenMobile 的端口要求
如果 EMM 控制台位于本地,则需要从网络中访问以下目标主机,以创建托管 Google Play Enterprise 以及访问 托管 Google Play iFrame。Google 已为 EMM 开发人员提供了托管 Play iFrame,以简化应用程序的搜索和审批。
| 目标主机 | 端口 | 说明 |
|---|---|---|
| play.google.com | TCP/443 | 用于 Google Play 应用商店,Play Enterprise 注册 |
| accounts.youtube.com、accounts.google.com | TCP/443 | 用于帐户身份验证 |
| apis.google.com | TCP/443 | 用于 GCM 和其他 Google Web 服务 |
| ogs.google.com | TCP/443 | 用于 iFrame UI 元素 |
| notifications.google.com | TCP/443 | 用于桌面和移动通知 |
| fonts.googleapis.com、*.gstatic.com、*.googleusercontent.com | TCP/443 | 用于 Google 字体用户生成的内容。例如,应用商店中的应用程序图标 |
| cri.pki.goog、ocsp.pki.goog | TCP/443 | 用于证书验证 |