Integration in Citrix Gateway und Citrix ADC
Bei Integration in XenMobile bietet Citrix Gateway für MAM-Geräte einen Authentifizierungsmechanismus für den Remotezugriff auf das interne Netzwerk. Durch die Integration können mobile Produktivitätsapps über ein Micro-VPN auf Unternehmensserver im Intranet zugreifen. Das Micro-VPN wird von den Apps auf dem Mobilgerät zu Citrix Gateway erstellt. Citrix Gateway bietet einen Micro-VPN-Pfad für den Zugriff auf alle Unternehmensressourcen und unterstützt eine starke Multifaktorauthentifizierung.
Der Citrix ADC-Lastausgleich ist für alle XenMobile Server-Gerätemodi in folgenden Fällen erforderlich:
- Sie haben mehrere XenMobile-Server.
- XenMobile Server ist in der DMZ oder dem internen Netzwerk (d. h. der Datenverkehr fließt von den Geräten an Citrix ADC und dann an XenMobile).
Integrationsanforderungen nach XenMobile Server-Modus
Die Integrationsanforderungen für Citrix Gateway und Citrix ADC unterscheiden sich je nach den XenMobile-Servermodus (MAM, MDM oder ENT).
MAM
Mit XenMobile Server im MAM-Modus gilt Folgendes:
- Citrix Gateway ist erforderlich. Citrix Gateway bietet einen Micro-VPN-Pfad für den Zugriff auf alle Unternehmensressourcen und unterstützt eine starke Multifaktorauthentifizierung.
-
Citrix ADC wird für den Lastausgleich empfohlen.
Citrix empfiehlt die Bereitstellung von XenMobile in einer Konfiguration mit hoher Verfügbarkeit, für die ein Load Balancer vor XenMobile erforderlich ist. Weitere Informationen finden Sie unter MAM und Legacy-MAM-Modus.
MDM
Für XenMobile Server im MDM-Modus gilt Folgendes:
- Citrix Gateway ist nicht erforderlich. Für MDM-Bereitstellungen empfiehlt Citrix die Verwendung von Citrix Gateway für VPNs für Mobilgeräte.
-
Citrix ADC wird für die Gewährleistung der Sicherheit und für den Lastausgleich empfohlen.
Citrix empfiehlt die Bereitstellung einer Citrix ADC-Appliance vor XenMobile Server zur Gewährleistung der Sicherheit und zum Lastausgleich. Bei Standardbereitstellungen mit XenMobile in der DMZ empfiehlt Citrix den Citrix ADC für XenMobile-Assistenten und den XenMobile Server-Lastausgleich im SSL-Brückenmodus. Bei Bereitstellungen mit folgenden Eigenschaften kommt auch SSL-Offload in Betracht:
- Der XenMobile-Server ist nicht in der DMZ, sondern im internen Netzwerk.
- Das Sicherheitsteam benötigt eine Konfiguration mit SSL-Bridge.
Citrix rät davon ab, den XenMobile-Server über NAT, Drittanbieter-Proxys oder Load Balancer für MDM dem Internet auszusetzen. Diese Konfigurationen stellen ein Sicherheitsrisiko dar, selbst wenn der SSL-Datenverkehr auf dem XenMobile-Server endet (SSL-Bridge).
In Umgebungen mit hoher Sicherheit erfüllt oder übertrifft Citrix ADC mit der standardmäßigen XenMobile-Konfiguration die Sicherheitsanforderungen.
In MDM-Umgebungen mit höchsten Sicherheitsanforderungen bietet die SSL-Terminierung am Citrix ADC die Möglichkeit, den Datenverkehr am Umkreis zu untersuchen und gewährleistet gleichzeitig eine Ende-zu-Ende-SSL-Verschlüsselung. Weitere Informationen finden Sie unter Sicherheitsanforderungen. Citrix ADC bietet Optionen zum Definieren von SSL-/TLS-Verschlüsselungsverfahren und SSL FIPS Citrix ADC-Hardware.
ENT (MAM+MDM)
Für XenMobile Server im ENT-Modus gilt Folgendes:
-
Citrix Gateway ist erforderlich. Citrix Gateway bietet einen Micro-VPN-Pfad für den Zugriff auf alle Unternehmensressourcen und unterstützt eine starke Multifaktorauthentifizierung.
Wenn XenMobile Server im ENT-Modus betrieben wird und ein Benutzer die MDM-Registrierung ablehnt, wird sein Gerät im Legacy-MAM-Modus betrieben. Im Legacy-MAM-Modus werden Geräte unter Verwendung des Citrix Gateway-FQDN registriert. Weitere Informationen finden Sie unter MAM und Legacy-MAM-Modus.
-
Citrix ADC wird für den Lastausgleich empfohlen. Weitere Informationen finden Sie weiter oben zu Citrix ADC unter “MDM”.
Wichtig:
Bei der erstmaligen Registrierung erfolgt die Authentifizierung für den Datenverkehr von Benutzergeräten auf dem XenMobile-Server, unabhängig davon, ob Sie virtuelle Lastausgleichsserver für SSL-Offload oder SSL-Brücke konfiguriert haben.
Designentscheidungen
Nachfolgend finden Sie eine Zusammenfassung der zahlreichen Designentscheidungen, die bei der Planung einer Citrix Gateway-Integration in XenMobile getroffen werden müssen.
Lizenzierung und Edition
Entscheidungsdetails:
- Welche Edition von Citrix ADC möchten Sie verwenden?
- Haben Sie Plattformlizenzen auf Citrix ADC angewendet?
- Wenn Sie MAM-Funktionalität benötigen, haben Sie die universelle Lizenz für Citrix ADC angewendet?
Designhilfen:
Stellen Sie sicher, dass Sie die richtigen Lizenzen auf das Citrix Gateway anwenden. Wenn Sie Citrix Gateway Connector für Exchange ActiveSync verwenden, ist möglicherweise integriertes Zwischenspeichern erforderlich. Daher muss die korrekte Citrix ADC-Edition vorliegen.
Zum Aktivieren von Citrix ADC-Features gelten folgende Lizenzanforderungen:
- XenMobile-MDM-Lastausgleich erfordert mindestens eine Standardplattformlizenz für Citrix ADC.
- ShareFile-Lastausgleich mit Speicherzonencontroller erfordert mindestens eine Standardplattformlizenz für Citrix ADC.
- Die XenMobile Advanced Edition (on-premises) oder Citrix Endpoint Management (Cloud) enthält die erforderlichen Citrix Gateway Universallizenzen für MAM.
- Exchange-Lastausgleich erfordert eine Platinum- oder Enterprise-Plattformlizenz für Citrix ADC sowie eine zusätzliche Integrated Caching-Lizenz.
Citrix ADC-Version für XenMobile
Entscheidungsdetails:
- Welche Citrix ADC-Version wird in der XenMobile-Umgebung ausgeführt?
- Benötigen Sie eine separate Instanz?
Designhilfen:
Citrix empfiehlt die Verwendung einer dedizierten Citrix ADC-Instanz für den virtuellen Citrix Gateway-Server. Stellen Sie sicher, dass Citrix ADC-Version und -Build in der für die XenMobile-Umgebung geltenden Mindestversion vorliegen. Normalerweise empfiehlt sich die Verwendung der neuesten kompatiblen Citrix ADC-Version für XenMobile. Wenn ein Upgrade von Citrix Gateway die vorhandene Umgebung beeinträchtigen würde, ist möglicherweise eine zweite, dedizierte Instanz für XenMobile die geeignete Lösung.
Wenn Sie eine Citrix ADC-Instanz für XenMobile und eine andere App, die VPN-Verbindungen verwendet, nutzen möchten, stellen Sie sicher, dass Sie genügend VPN-Lizenzen für beides haben. Hinweis: Eine Test- und eine Produktionsumgebung für XenMobile können keine Citrix ADC-Instanz gemeinsam nutzen.
Zertifikate
Entscheidungsdetails:
- Benötigen Sie ein höheres Maß an Sicherheit für Registrierungen und den Zugriff auf die XenMobile-Umgebung?
- Ist LDAP keine Option?
Designhilfen:
Standardmäßig ist XenMobile für die Authentifizierung per Benutzernamen und Kennwort konfiguriert. Als zusätzliche Sicherheitsstufe für die Registrierung bei und den Zugriff auf die XenMobile-Umgebung ist die zertifikatbasierte Authentifizierung in Betracht zu ziehen. Sie können Zertifikate mit LDAP für die zweistufige Authentifizierung verwenden und so ohne RSA-Server ein höheres Maß an Sicherheit gewährleisten.
Wenn Sie LDAP nicht zulassen und Smartcards oder ähnliche Methoden verwenden, können Sie durch Konfigurieren von Zertifikaten XenMobile eine Smartcard präsentieren. Die Benutzer registrieren sich in diesem Fall mit einer eindeutigen PIN, die von XenMobile generiert wird. Sobald ein Benutzer Zugriff hat, erstellt XenMobile das Zertifikat, das für die Authentifizierung bei der XenMobile-Umgebung verwendet wird, und stellt dieses bereit.
XenMobile unterstützt Zertifikatsperrlisten (CRL) nur für Drittanbieterzertifizierungsstellen. Wenn Sie eine Microsoft-Zertifizierungsstelle konfiguriert haben, wird in XenMobile zum Verwalten der Zertifikatsperre Citrix ADC verwendet. Bedenken Sie beim Konfigurieren der Clientzertifikatauthentifizierung, ob Sie die Citrix ADC-Einstellung für Zertifikatsperrlisten (CRL) Enable CRL Auto Refresh konfigurieren. Dadurch wird sichergestellt, dass Benutzer von bei MAM registrierten Geräten keine Authentifizierung mit einem existierenden Zertifikat am Gerät durchführen können. XenMobile stellt ein neues Zertifikat aus, da es Benutzer nicht daran hindert, ein Benutzerzertifikat zu generieren, wenn eines gesperrt wird. Diese Einstellung erhöht die Sicherheit von PKI-Entitäten, wenn über die Zertifikatsperrliste auf abgelaufene PKI-Entitäten geprüft wird.
Netzwerktopologie
Entscheidungsdetails:
- Welche Citrix ADC-Topologie ist erforderlich?
Designhilfen:
Citrix empfiehlt die Verwendung einer Citrix ADC-Instanz für XenMobile. Allerdings ist ein Datenfluss vom internen Netzwerk an die DMZ vielleicht unerwünscht. In diesem Fall sollten Sie eine zusätzliche Citrix ADC-Instanz einrichten. Verwenden Sie eine Citrix ADC-Instanz für interne Benutzer und eine für externe Benutzer. Wenn Benutzer zwischen dem internen und externen Netzwerk wechseln, werden durch das Zwischenspeichern von DNS-Datensätzen evtl. mehr Secure Hub-Anmeldeaufforderungen erzeugt.
XenMobile unterstützt Citrix Gateway-Double-Hop nicht.
Dedizierte oder gemeinsam genutzt Citrix Gateway-VIPs
Entscheidungsdetails:
- Verwenden Sie zurzeit Citrix Gateway für Virtual Apps and Desktops?
- Soll XenMobile das gleiche Citrix Gateway wie Virtual Apps and Desktops nutzen?
- Welche Authentifizierungsanforderungen gelten für beide Datenströme?
Designhilfen:
Wenn Ihre Citrix Umgebung sowohl XenMobile als auch Citrix Virtual Apps and Desktops enthält, können Sie für beides dieselbe Citrix ADC-Instanz und denselben virtuellen Citrix Gateway-Server verwenden. Aufgrund möglicher Versionskonflikte und der Umgebungsisolierung werden eine dedizierte Citrix ADC-Instanz und ein dediziertes Citrix Gateway für jede XenMobile-Umgebung empfohlen. Ist eine dedizierte Citrix ADC-Instanz nicht möglich, empfiehlt Citrix, einen dedizierten virtuellen Citrix Gateway-Server zu verwenden, um die Datenströme für Secure Hub zu trennen. Diese Konfiguration ist die Alternative zu einem von XenMobile und Virtual Apps and Desktops gemeinsam genutzten virtuellen Server.
Wenn Sie die LDAP-Authentifizierung verwenden, ist eine Authentifizierung von Receiver und Secure Hub bei demselben Citrix Gateway problemlos möglich. Bei Verwendung der zertifikatbasierten Authentifizierung überträgt XenMobile ein Zertifikat in den MDX-Container und Secure Hub verwendet das Zertifikat zur Authentifizierung beim Citrix Gateway. Receiver ist von Secure Hub getrennt und kann für die Authentifizierung bei demselben Citrix Gateway nicht dasselbe Zertifikat verwenden.
Mit folgendem Workaround können Sie denselben FQDN für zwei Citrix Gateway-VIPs verwenden:
- Erstellen Sie zwei Citrix Gateway-VIPs mit derselben IP-Adresse. Die VIP für Secure Hub verwendet den Standardport 443 und die VIP für Citrix Virtual Apps and Desktops (= Receiver-Bereitstellung) den Port 444.
- Ein FQDN wird dann in die gleiche IP-Adresse aufgelöst.
- Für diesen Workaround konfigurieren Sie StoreFront so, dass eine ICA-Datei für Port 444 anstelle des Standardports 443 zurückgegeben wird. Der Workaround erfordert keine Eingabe einer Portnummer durch die Benutzer.
Citrix Gateway-Timeouts
Entscheidungsdetails:
- Wie möchten Sie die Citrix Gateway-Timeouts für den XenMobile-Datenverkehr konfigurieren?
Designhilfen:
Citrix Gateway enthält die Einstellungen “Session time-out” und “Forced time-out”. Weitere Informationen finden Sie unter Empfohlene Konfigurationen. Beachten Sie, dass es für Hintergrunddienste, Citrix ADC und für den Offlinezugriff auf Anwendungen unterschiedliche Timeoutwerte gibt.
IP-Adresse des XenMobile Load Balancers für MAM
Entscheidungsdetails:
- Verwenden Sie interne oder externe IP-Adressen für virtuelle IP-Adressen?
Designhilfen:
In Umgebungen, in denen öffentliche IP-Adressen als Citrix Gateway-VIP verwendet werden können, führt eine solche Zuweisung der XenMobile Load Balancer-VIP zu Fehlern bei der Registrierung.
Stellen Sie sicher, dass für die Load Balancer-VIP eine interne IP-Adresse verwendet wird, um Registrierungsfehler zu vermeiden. Die virtuelle IP-Adresse muss dem Standard RFC 1918 für private IP-Adressen entsprechen. Wenn Sie für diesen virtuellen Server keine private IP-Adresse verwenden, kann Citrix ADC XenMobile Server bei der Authentifizierung nicht kontaktieren. Einzelheiten finden Sie unter https://support.citrix.com/article/CTX200430.
MDM-Lastausgleichsmechanismus
Entscheidungsdetails:
- Wie erfolgt der Lastausgleich zwischen den XenMobile-Servern durch Citrix Gateway?
Designhilfen:
Verwenden Sie SSL-Brücke, wenn XenMobile in der DMZ ist. Verwenden Sie SSL-Offload, sofern dies zur Erfüllung von Sicherheitsstandards erforderlich ist, wenn XenMobile im internen Netzwerk ist.
- Bei einem XenMobile-Lastausgleich mit Citrix ADC-VIPs im SSL-Brückenmodus fließt der Internetdatenverkehr direkt an XenMobile Server, wo die Verbindungen enden. Der SSL-Brückenmodus ist im Hinblick auf Einrichtung und Problembehandlung am einfachsten.
- Bei einem XenMobile Server-Lastausgleich mit Citrix ADC-VIPs im SSL-Offload-Modus fließt der Internetdatenverkehr direkt an Citrix ADC, wo die Verbindungen enden. Es werden dann neue Sitzungen von Citrix ADC zu XenMobile Server eingerichtet. Der SSL-Offload-Modus ist bei Einrichtung und Problembehandlung etwas komplexer.
Dienstport für MDM-Lastausgleich mit SSL-Offload
Entscheidungsdetails:
- Wenn Sie den SSL-Offload-Modus für den Lastausgleich verwenden, welchen Port verwendet der Back-End-Dienst?
Designhilfen:
Wählen Sie für den SSL-Offload Port 80 oder 8443:
- Verwenden Sie Port 80 an XenMobile Server für echtes Offloading.
- End-to-End-Verschlüsselung, d. h. eine erneute Verschlüsselung des Datenverkehrs, wird nicht unterstützt. Weitere Informationen finden Sie in dem Citrix Support-Artikel Supported Architectures Between NetScaler and XenMobile Server.
Registrierungs-FQDN
Entscheidungsdetails:
- Welcher FQDN soll für die Registrierung und die XenMobile-Instanz/Lastausgleichs-VIP verwendet werden?
Designhilfen:
Für die Konfiguration des ersten XenMobile-Servers in einem Cluster müssen Sie den XenMobile-Server-FQDN eingeben. Dieser FQDN muss der MDM-VIP-URL und der internen MAM-LB-VIP-URL entsprechen. (Ein interner Citrix ADC-Adressdatensatz löst die MAM-LB-VIP auf.) Weitere Informationen finden Sie weiter unten unter “Registrierungs-FQDN für die einzelnen Verwaltungsmodi”.
Außerdem müssen Sie das gleiche Zertifikat verwenden wie Folgendes:
- XenMobile SSL-Listenerzertifikat
- Internes MAM-LB-VIP-Zertifikat
- MDM-VIP-Zertifikat (bei Verwendung von SSL-Offload für MDM-VIP)
Wichtig:
Nachdem Sie den Registrierungs-FQDN konfiguriert haben, können Sie ihn nicht mehr ändern. Ein neuer Registrierungs-FQDN erfordert eine neue SQL Server-Datenbank und die Neuerstellung von XenMobile Server.
Secure Web-Datenverkehr
Entscheidungsdetails:
- Soll Secure Web auf das interne Webbrowsing beschränkt werden?
- Soll Secure Web für das interne und das externe Webbrowsing aktiviert werden?
Designhilfen:
Wenn Sie Secure Web nur für das interne Webbrowsing verwenden, bereitet das Konfigurieren von Citrix Gateway keine Probleme. Secure Web muss alle internen Sites standardmäßig erreichen. Möglicherweise müssen Sie Firewalls und Proxyserver konfigurieren.
Wenn Sie Secure Web für das interne und das externe Browsing verwenden möchten, müssen Sie für die SNIP ausgehenden Internetzugriff aktivieren. Geräte, die (mit dem MDX-Container) registriert wurden, werden in der Regel als Erweiterung des Unternehmensnetzwerks angesehen. Daher ist es normalerweise erwünscht, dass Secure Web-Verbindungen zu Citrix ADC zurückgehen und über einen Proxyserver in das Internet führen. Standardmäßig verwendet Secure Web pro Anwendung einen VPN-Tunnel zurück zum internen Netzwerk für den gesamten Netzwerkzugriff. Citrix ADC verwendet Split-Tunnel-Einstellungen.
Eine Beschreibung von Secure Web-Verbindungen finden Sie unter Konfigurieren von Benutzerverbindungen.
Pushbenachrichtigungen für Secure Mail
Entscheidungsdetails:
- Möchten Sie Pushbenachrichtigungen verwenden?
Designhilfe für iOS:
Ihre Citrix Gateway-Konfiguration kann eine STA enthalten, wobei Split-Tunneling deaktiviert ist. Das Citrix Gateway muss Datenverkehr von Secure Mail zu den für Secure Mail-Pushbenachrichtigungen für iOS angegebenen Citrix Listenerdienst-URLs zulassen.
Designhilfe für Android:
Steuern Sie mit Firebase Cloud Messaging (FCM), wie und wann Android-Geräte eine Verbindung zu XenMobile herstellen. Wenn FCM konfiguriert ist, lösen Sicherheitsaktionen oder Bereitstellungsbefehle eine Pushbenachrichtigung an Secure Hub aus, sodass der Benutzer aufgefordert wird, eine erneute Verbindung mit XenMobile Server herzustellen.
HDX-STAs
Entscheidungsdetails:
- Welche STAs sollte man bei Integration des Zugriffs auf HDX-Anwendungen verwenden?
Designhilfen:
HDX STAs müssen mit den STAs in StoreFront übereinstimmen und für die Virtual Apps and Desktops-Farm gültig sein.
Citrix Files und ShareFile
Entscheidungsdetails:
- Möchten Sie Speicherzonencontroller in der Umgebung verwenden?
- Welche Citrix Files-VIP-URL möchten Sie verwenden?
Designhilfen:
Wenn die Umgebung Speicherzonencontroller enthält, müssen Sie Folgendes korrekt konfigurieren:
- Citrix Files Switch-VIP (zur Kommunikation zwischen Citrix Files-Steuerungsebene und Speicherzonencontroller-Servern)
- Citrix Files-Lastausgleichs-VIPs
- Alle erforderlichen Richtlinien und Profile
Weitere Informationen finden Sie in der Dokumentation für den Speicherzonencontroller.
SAML-Identitätsanbieter
Entscheidungsdetails:
- Wenn für Citrix Files SAML erforderlich ist, soll XenMobile als SAML-Identitätsanbieter verwendet werden?
Designhilfen:
Die empfohlene bewährte Methode ist die Integration von Citrix Files in XenMobile Advanced Edition oder XenMobile Enterprise Edition (on-premises) oder Citrix Endpoint Management (Cloud) – eine einfachere Alternative zur Konfiguration eines SAML-basierten Verbunds. Wenn Sie Citrix Files mit diesen XenMobile-Editionen verwenden, stellt XenMobile für Citrix Files Folgendes bereit:
- Authentifizierung per Single Sign-On (SSO) für Benutzer mobiler Produktivitätsapps
- Active Directory-basiertes Benutzerkontoprovisioning.
- Umfassende Richtlinien zur Zugriffssteuerung
Mit der XenMobile-Konsole können Sie Citrix Files konfigurieren sowie Servicelevel und Lizenznutzung überwachen.
Es gibt zwei Arten von Citrix Files-Clients: Citrix Files für XenMobile-Clients (“umschlossenes Citrix Files”) und mobile Citrix Files-Clients (“nicht umschlossenes Citrix Files”). Die Unterschiede werden unter Unterschiede zwischen Citrix Files für XenMobile-Clients und mobilen Citrix Files-Clients erläutert.
Sie können XenMobile und ShareFile so konfigurieren, dass Sie mit SAML per SSO auf Folgendes zugreifen können:
- Mobile Citrix Files-Apps
- Nicht umschlossene Citrix Files-Clients, z. B. die Website, das Outlook-Plug-in oder Synchronisierungsclients
Zur Verwendung von XenMobile als SAML-IdP für Citrix Files stellen Sie sicher, dass die richtigen Konfigurationen vorhanden sind. Weitere Informationen finden Sie unter SAML für SSO bei Citrix Files.
Direkte ShareConnect-Verbindungen
Entscheidungsdetails:
- Müssen Benutzer von einem Computer oder Mobilgerät mit ShareConnect direkt auf einen Hostcomputer zugreifen?
Designhilfen:
Mit ShareConnect können Benutzer sichere Verbindungen von iPads sowie Android-Tablets und -Telefonen mit ihren Computern herstellen und auf Dateien und Anwendungen zugreifen. Bei direkten Verbindungen bietet XenMobile über Citrix Gateway sicheren Benutzerzugriff auf Ressourcen außerhalb des lokalen Netzwerks. Informationen zur Konfiguration finden Sie unter ShareConnect.
Registrierungs-FQDN für jeden Verwaltungsmodus
Verwaltungsmodus | Registrierungs-FQDN |
Enterprise (MDM + MAM) mit verbindlicher MDM-Registrierung | FQDN des XenMobile-Servers |
Enterprise (MDM + MAM) mit optionaler MDM-Registrierung | FQDN des XenMobile-Servers oder Citrix Gateways |
Nur MDM | FQDN des XenMobile-Servers |
Nur-MAM (Legacy) | Citrix Gateway-FQDN |
Nur MAM | FQDN des XenMobile-Servers |
Zusammenfassung der Bereitstellung
Citrix empfiehlt die Verwendung des Assistenten für Citrix ADC für XenMobile zur Gewährleistung einer ordnungsgemäßen Konfiguration. Sie können den Assistenten nur einmal verwenden. Wenn Sie mehrere XenMobile-Instanzen haben (z. B. für die Test-, die Entwicklungs- und die Produktionsumgebung), müssen Sie Citrix ADC für die zusätzlichen Umgebungen manuell konfigurieren. Bei einer funktionierenden Umgebung notieren Sie sich die Einstellungen, bevor Sie Citrix ADC manuell für XenMobile konfigurieren.
Die wichtigste Entscheidung, die Sie bei Verwendung des Assistenten treffen, ist die Wahl zwischen HTTPS und HTTP für die Kommunikation mit dem XenMobile-Server. HTTPS bietet eine sichere Back-End-Kommunikation, da der Datenverkehr zwischen Citrix ADC und XenMobile verschlüsselt wird. Die erneute Verschlüsselung hat allerdings Auswirkungen auf die Leistung von XenMobile Server. HTTP bietet die bessere XenMobile Server-Leistung. Der Datenverkehr zwischen Citrix ADC und XenMobile ist nicht verschlüsselt. Die folgenden Tabellen enthalten die erforderlichen HTTP- und HTTPS-Ports für Citrix ADC und XenMobile Server.
HTTPS
Citrix empfiehlt normalerweise die Verwendung einer SSL-Brücke für Citrix ADC in Konfigurationen mit virtuellem MDM-Server. Bei Verwendung von SSL-Offload für Citrix ADC mit virtuellen MDM-Servern unterstützt XenMobile nur Port 80 als Back-End-Dienst.
Verwaltungsmodus | Citrix ADC-Lastausgleichsmethode | SSL-Neuverschlüsselung | XenMobile-Serverport |
MDM | SSL-Brücke | – | 443, 8443 |
MAM | SSL-Offload | Aktiviert | 8443 |
Enterprise | MDM: SSL-Brücke | – | 443, 8443 |
Enterprise | MAM: SSL-Offload | Aktiviert | 8443 |
HTTP
Verwaltungsmodus | Citrix ADC-Lastausgleichsmethode | SSL-Neuverschlüsselung | XenMobile-Serverport |
MDM | SSL-Offload | Nicht unterstützt | 80 |
MAM | SSL-Offload | Aktiviert | 8443 |
Enterprise | MDM: SSL-Offload | Nicht unterstützt | 80 |
Enterprise | MAM: SSL-Offload | Aktiviert | 8443 |
Diagramme von Citrix Gateway in XenMobile-Bereitstellungen finden Sie in unter Referenzarchitektur für On-Premises-Bereitstellungen.