查看 PDF

端口要求

September 24, 2019

Contributed by: C

要使设备和应用程序能够与 XenMobile 通信，应在防火墙中打开特定端口。以下各表列出了必须打开的端口。

为 NetScaler Gateway 和 XenMobile 打开端口以管理应用程序

打开下列端口以允许用户通过 NetScaler Gateway 从 Citrix Secure Hub、Citrix Receiver、 NetScaler Gateway 插件连接到以下组件：

XenMobile
StoreFront
Citrix Virtual Apps and Desktops
适用于 Exchange ActiveSync 的 Citrix Gateway 连接器
其他内部网络资源，例如 Intranet Web 站点

要实现从 NetScaler 到 Launch Darkly 的通信，可以使用此支持知识中心文章中所述的 IP 地址。

有关 NetScaler Gateway 的详细信息，请参阅 NetScaler Gateway 文档。该文档包括有关 NetScaler IP (NSIP) 虚拟服务器 IP (VIP) 和子网 IP (SNIP) 地址的信息。

TCP 端口	说明	源	目标
21 或 22	用于将支持包发送到 FTP 或 SCP 服务器。	XenMobile	FTP 或 SCP 服务器
53（TCP 和 UDP）	用于 DNS 连接。	NetScaler Gateway、XenMobile	DNS 服务器
80	NetScaler Gateway 通过第二个防火墙将 VPN 连接传递到内部网络资源。用户使用 NetScaler Gateway 插件登录时，通常会发生此情况。	NetScaler Gateway	Intranet Web 站点
80 或 8080，443	用于枚举、票证记录和身份验证的 XML 和 Secure Ticket Authority (STA) 端口。Citrix 建议使用端口 443。	StoreFront 和 Web Interface XML 网络流量，NetScaler Gateway STA	虚拟应用程序或桌面
123（TCP 和 UDP）	用于网络时间协议 (NTP) 服务。	NetScaler Gateway、XenMobile	NTP 服务器
389	用于非安全 LDAP 连接	NetScaler Gateway、XenMobile	LDAP 身份验证服务器或 Microsoft Active Directory
443	用于从 Citrix Receiver 连接到 StoreFront 或从 Receiver for Web 连接到 Virtual Apps and Desktops。	Internet	NetScaler Gateway
443	用于连接到 XenMobile 以实现 Web、移动和 SaaS 应用程序交付。	Internet	NetScaler Gateway
443	用于与 XenMobile Server 的一般设备通信。	XenMobile	XenMobile
443	注册时用于从移动设备到 XenMobile 的连接。	Internet	XenMobile
443	用于从 XenMobile 连接到适用于 Exchange ActiveSync 的 Citrix Gateway 连接器。	XenMobile	适用于 Exchange ActiveSync 的 Citrix Gateway 连接器
443	用于从适用于 Exchange ActiveSync 的 Citrix Gateway 连接器连接到 XenMobile。	适用于 Exchange ActiveSync 的 Citrix Gateway 连接器	XenMobile
443	用于在未进行证书身份验证的部署中的回调 URL。	XenMobile	NetScaler Gateway
514	用于 XenMobile 与 Syslog 服务器之间的连接。	XenMobile	Syslog 服务器
636	用于安全 LDAP 连接。	NetScaler Gateway、XenMobile	LDAP 身份验证服务器或 Active Directory
1494	用于与内部网络中基于 Windows 应用程序的 ICA 连接。Citrix 建议保持此端口处于打开状态。	NetScaler Gateway	虚拟应用程序或桌面
1812	用于 RADIUS 连接。	NetScaler Gateway	RADIUS 身份验证服务器
2598	用于使用会话可靠性连接到内部网络中基于 Windows 的应用程序。Citrix 建议保持此端口处于打开状态。	NetScaler Gateway	虚拟应用程序或桌面
3268	用于 Microsoft Global Catalog 非安全 LDAP 连接。	NetScaler Gateway、XenMobile	LDAP 身份验证服务器或 Active Directory
3269	用于 Microsoft Global Catalog 安全 LDAP 连接。	NetScaler Gateway、XenMobile	LDAP 身份验证服务器或 Active Directory
9080	用于传输 NetScaler 和适用于 Exchange ActiveSync 的 Citrix Gateway 连接器之间的 HTTP 流量。	NetScaler	适用于 Exchange ActiveSync 的 Citrix Gateway 连接器
30001	HTTPS 服务的初始分段的管理 API	内部 LAN	XenMobile Server
9443	用于传输 NetScaler 和适用于 Exchange ActiveSync 的 Citrix Gateway 连接器之间的 HTTPS 流量。	NetScaler	适用于 Exchange ActiveSync 的 Citrix Gateway 连接器
45000、80	用于部署在群集中的两个 XenMobile VM 之间的通信。端口 80 用于节点间通信和 SSL 卸载。	XenMobile	XenMobile
8443	用于注册、XenMobile Store 和移动应用程序管理 (MAM)。	XenMobile、NetScaler Gateway、设备、Internet	XenMobile
4443	用于管理员通过浏览器访问 XenMobile 控制台。还用于从一个节点为所有 XenMobile 群集节点下载日志和支持包。	接入点（浏览器）、XenMobile	XenMobile
27000	用于访问外部 Citrix 许可证服务器的默认端口。	XenMobile	Citrix 许可证服务器
7279	用于签入和签出 Citrix 许可证的默认端口。	XenMobile	Citrix 供应商守护程序
161	用于使用 UDP 协议的 SNMP 流量。	SNMP 管理器	XenMobile
162	用于从 XenMobile 向 SNMP 管理器发送 SNMP 陷阱警报。来源为 XenMobile，目标为 SNMP 管理器。	XenMobile	SNMP 管理器

打开 XenMobile 端口以管理设备

打开以下端口以允许 XenMobile 在网络中通信。

TCP 端口	说明	源	目标
25	用于 XenMobile 通知服务的 SMTP 端口。如果 SMTP 服务器使用其他端口，请确保防火墙不会阻止该端口。	XenMobile	SMTP 服务器
80 和 443	与 Apple iTunes App Store、Google Play（必须使用 80）或 Windows Phone 应用商店的企业应用商店连接。用于 Apple 批量购买计划。用于通过 iOS 上的 Citrix Mobile Self-Serve、适用于 Android 的 Secure Hub 或适用于 Windows Phone 的 Secure Hub 从应用商店发布应用程序。	XenMobile	`ax.apps.apple.com` 和 `.mzstatic.com`，`vpp.itunes.apple.com`，`login.live.com`，`.notify.windows.com`， `play.google.com, android.clients.google.com, android.l.google.com`
80 或 443	用于 XenMobile 与 Nexmo SMS Notification Relay 之间的出站连接。	XenMobile	Nexmo SMS Relay 服务器
389	用于非安全 LDAP 连接。	XenMobile	LDAP 身份验证服务器或 Active Directory
443	用于 Android 和 Windows Mobile 的注册和代理安装。	Internet	XenMobile
443	用于 Android 和 Windows 设备、XenMobile Web 控制台和 MDM 远程支持客户端的注册和代理安装。	Internet LAN 和 Wi-Fi	XenMobile
1433	默认用于与远程数据库服务器的连接（可选）。	XenMobile	SQL Server
2195	用于到 `gateway.push.apple.com` 的 Apple 推送通知服务 (APNs) 出站连接，适用于 iOS 设备通知和设备策略推送。	XenMobile	Internet（使用公用 IP 地址 17.0.0.0/8 的 APNs 主机）
2196	用于到 `feedback.push.apple.com` 的 APNs 出站连接，适用于 iOS 设备通知和设备策略推送。
5223	用于从 Wi-Fi 网络上的 iOS 设备到 `*.push.apple.com` 的 APNs 出站连接。	Wi-Fi 网络上的 iOS 设备	Internet（使用公用 IP 地址 17.0.0.0/8 的 APNs 主机）
8081	用于来自可选 MDM 远程支持客户端的应用程序通道。默认值为 8081。	远程支持客户端	XenMobile
8443	用于 iOS 和 Windows Phone 设备注册。	Internet，LAN 和 Wi-Fi	XenMobile

自动发现服务连接的端口要求

此端口配置可确保从 Secure Hub for Android 连接的 Android 设备能够从内部网络访问 Citrix AutoDiscovery Service (ADS)。下载通过 ADS 提供的任何安全更新时能够访问 ADS 非常重要。

注意：

ADS 连接可能不支持您的代理服务器。在这种情况下，允许 ADS 连接跳过代理服务器。

如果您希望启用证书固定，应满足以下必备条件：

收集 XenMobile Server 和 NetScaler 证书。证书必须采用 PEM 格式，并且必须是公用证书，而非私钥。
联系 Citrix 技术支持并请求启用证书固定功能。在此过程中，系统会要求您提供证书。

证书固定功能要求设备先连接到 ADS，然后再注册。此要求可确保最新的安全信息对正在其中注册设备的环境的 Secure Hub 可用。为了 Secure Hub 注册设备，该设备必须访问 ADS。因此，在内部网络中打开 ADS 访问功能对启用设备注册非常重要。

要允许访问 Secure Hub for Android 的 ADS，请为以下 FQDN 和 IP 地址打开端口 443：

FQDN	IP 地址	端口	IP 和端口用法
`ads.xm.cloud.com`	34.194.83.188	443	Secure Hub - ADS 通信
`ads.xm.cloud.com`	34.193.202.23	443	Secure Hub - ADS 通信

注意：

对于 10.6.15 之前的 Secure Hub 版本，FQDN 为 discovery.mdm.zenprise.com。为 IP 地址 52.5.138.94 和 52.1.30.122 打开端口 443。

Android Enterprise 网络要求

在为 Android Enterprise 设置网络环境时，需要识别一些出站连接。

设备的端口要求

目标主机	端口	说明
*.googleapis.com	TCP/443	用于 Google Mobile Management、Google API、Google Play 应用商店 API
play.google.com、android.com google-analytics.com、android.clients.google.com	TCP/443	通过 android.clients.google.com 用于 Google Play 和更新。下载应用程序、更新和 Google Play 应用商店 API
cm.googleapis.com	TCP/443	用于 Firebase Cloud Messaging
android.apis.google.com、cm.googleapis.com	TCP/5228、5229、5230	用于设备 Wi-Fi 的 Firebase Cloud Messaging 传出 Internet 通信
connectivitycheck.android.com、www.google.com	TCP/443	用于 CloudDPC v470 之前的连接检查。自 N MR1 起的 Android 连接检查要求 `https://www.google.com/generate_204` 可访问，或者要求指定的 Wi-Fi 网络指向可访问的 PAC 文件）

XenMobile 的端口要求

如果 EMM 控制台位于本地，则需要从网络中访问以下目标主机，以创建托管 Google Play Enterprise 以及访问托管 Google Play iFrame。Google 已为 EMM 开发人员提供了托管 Play iFrame，以简化应用程序的搜索和审批。

目标主机	端口	说明
play.google.com	TCP/443	用于 Google Play 应用商店，Play Enterprise 注册
accounts.youtube.com、accounts.google.com	TCP/443	用于帐户身份验证
apis.google.com	TCP/443	用于 GCM 和其他 Google Web 服务
ogs.google.com	TCP/443	用于 iFrame UI 元素
notifications.google.com	TCP/443	用于桌面和移动通知
fonts.googleapis.com、.gstatic.com、.googleusercontent.com	TCP/443	用于 Google 字体用户生成的内容。例如，应用商店中的应用程序图标
cri.pki.goog、ocsp.pki.goog	TCP/443	用于证书验证

The official version of this content is in English. Some of the Citrix documentation content is machine translated for your convenience only. Citrix has no control over machine-translated content, which may contain errors, inaccuracies or unsuitable language. No warranty of any kind, either expressed or implied, is made as to the accuracy, reliability, suitability, or correctness of any translations made from the English original into any other language, or that your Citrix product or service conforms to any machine translated content, and any warranty provided under the applicable end user license agreement or terms of service, or any other agreement with Citrix, that the product or service conforms with any documentation shall not apply to the extent that such documentation has been machine translated. Citrix will not be held responsible for any damage or issues that may arise from using machine-translated content.

端口要求

September 24, 2019

Contributed by: C

本文中包含的内容

为 NetScaler Gateway 和 XenMobile 打开端口以管理应用程序
打开 XenMobile 端口以管理设备
自动发现服务连接的端口要求

Edit this article