Requisitos de puertos
Para que dispositivos y aplicaciones puedan comunicarse con XenMobile, debe abrir puertos específicos en los firewalls. En la siguiente tabla se ofrece una lista de los puertos que se deben abrir.
Abrir puertos para que Citrix Gateway y XenMobile administren aplicaciones
Abra los siguientes puertos para permitir las conexiones de usuario desde Citrix Secure Hub, Citrix Receiver y Citrix Gateway Plug-in a través de Citrix Gateway a los siguientes componentes:
- XenMobile
- StoreFront
- Citrix Virtual Apps and Desktops
- Conector de Citrix Gateway para Exchange ActiveSync
- Otros recursos de red interna, como los sitios web de intranet
Para permitir el tráfico desde Citrix ADC al servicio Launch Darkly, puede utilizar las direcciones IP que se indican en este artículo de asistencia de Knowledge Center.
Para obtener más información sobre Citrix Gateway, consulte la documentación de Citrix Gateway. Esa documentación contiene información sobre las direcciones IP de Citrix ADC (NSIP), las direcciones IP virtuales (VIP) y las direcciones IP de subred (SNIP).
Puerto TCP | Descripción | Origen | Destino |
---|---|---|---|
21 o 22 | Se usa para enviar paquetes de asistencia a un servidor FTP o SCP. | XenMobile | Servidor SCP o FTP |
53 (TCP y UDP) | Se utiliza para las conexiones DNS. | Citrix Gateway, XenMobile | Servidor DNS |
80 | Citrix Gateway transfiere la conexión VPN al recurso de la red interna a través del segundo firewall. Por regla general, esta situación ocurre si los usuarios inician sesión con Citrix Gateway Plug-in. | Citrix Gateway | Sitios web de la intranet |
80 u 8080, 443 | El puerto XML y Secure Ticket Authority (STA) se usa para la enumeración, la generación de tíquets y la autenticación. Citrix recomienda el uso del puerto 443. | Tráfico de red XML de StoreFront y la Interfaz Web; Citrix Gateway STA | Virtual Apps o Virtual Desktops |
123 (TCP y UDP) | Se usa para los servicios del protocolo de tiempo de red (NTP). | Citrix Gateway; XenMobile | Servidor NTP |
389 | Se usa para conexiones de protocolo LDAP no seguras. | Citrix Gateway; XenMobile | Servidor de autenticación LDAP o Microsoft Active Directory |
443 | Se usa para las conexiones a StoreFront desde Citrix Receiver o desde Receiver para Web a Virtual Apps and Desktops. | Internet | Citrix Gateway |
443 | Se utiliza para las conexiones a XenMobile con el objetivo de entregar aplicaciones web, aplicaciones para móvil y aplicaciones SaaS. | Internet | Citrix Gateway |
443 | Se utiliza para la comunicación general del dispositivo con XenMobile Server. | XenMobile | XenMobile |
443 | Se usa para las conexiones desde dispositivos móviles hacia XenMobile para la inscripción. | Internet | XenMobile |
443 | Se usa para las conexiones desde XenMobile al conector de Citrix Gateway para Exchange ActiveSync. | XenMobile | Conector de Citrix Gateway para Exchange ActiveSync |
443 | Se usa para las conexiones desde el conector de Citrix Gateway para Exchange ActiveSync a XenMobile. | Conector de Citrix Gateway para Exchange ActiveSync | XenMobile |
443 | Se usa para la URL de respuesta en implementaciones sin la autenticación de certificado. | XenMobile | Citrix Gateway |
514 | Se usa para las conexiones entre XenMobile y un servidor syslog. | XenMobile | Servidor syslog |
636 | Se usa para conexiones seguras de protocolo LDAP. | Citrix Gateway; XenMobile | Servidor de autenticación LDAP o Active Directory |
1494 | Se usa para las conexiones ICA a aplicaciones Windows en la red interna. Citrix recomienda mantener este puerto abierto. | Citrix Gateway | Virtual Apps o Virtual Desktops |
1812 | Se utiliza para las conexiones RADIUS. | Citrix Gateway | Servidor de autenticación RADIUS |
2598 | Se utiliza para las conexiones a aplicaciones Windows en la red interna mediante la función de fiabilidad de la sesión. Citrix recomienda mantener este puerto abierto. | Citrix Gateway | Virtual Apps o Virtual Desktops |
3268 | Se usa para conexiones LDAP no seguras del catálogo global de Microsoft. | Citrix Gateway; XenMobile | Servidor de autenticación LDAP o Active Directory |
3269 | Se usa para conexiones seguras LDAP del catálogo global de Microsoft. | Citrix Gateway; XenMobile | Servidor de autenticación LDAP o Active Directory |
9080 | Se usa para el tráfico HTTP entre Citrix ADC y el conector de Citrix Gateway para Exchange ActiveSync. | Citrix ADC | Conector de Citrix Gateway para Exchange ActiveSync |
30001 | Una API de administración para la organización inicial del servicio HTTPS | LAN interna | XenMobile Server |
9443 | Se usa para el tráfico HTTPS entre Citrix ADC y el conector de Citrix Gateway para Exchange ActiveSync. | Citrix ADC | Conector de Citrix Gateway para Exchange ActiveSync |
45000; 80 | Se utiliza para la comunicación entre dos máquinas virtuales de XenMobile cuando se implementan en un clúster. El puerto 80 es para la comunicación entre los nodos y para la descarga de SSL. | XenMobile | XenMobile |
8443 | Se utiliza para la inscripción, XenMobile Store y la administración de aplicaciones móviles (MAM). | XenMobile; Citrix Gateway; Dispositivos; Internet | XenMobile |
4443 | Se utiliza para que un administrador acceda a la consola de XenMobile a través del explorador. También se utiliza para la descarga de registros y paquetes de asistencia de todos los nodos en clúster de XenMobile desde un nodo. | Punto de acceso (explorador web); XenMobile | XenMobile |
27000 | Puerto predeterminado utilizado para acceder al servidor de licencias de Citrix externo. | XenMobile | Citrix License Server |
7279 | Puerto predeterminado utilizado para registrar o anular licencias de Citrix. | XenMobile | Demonio de proveedor de Citrix |
161 | Se usa para el tráfico SNMP mediante el protocolo UDP. | SNMP Manager | XenMobile |
162 | Se usa para enviar las alertas de captura SNMP al SNMP Manager desde XenMobile. El origen es XenMobile y el destino es el SNMP Manager. | XenMobile | SNMP Manager |
Abrir puertos de XenMobile para administrar dispositivos
Abra los siguientes puertos para permitir la comunicación de XenMobile en la red.
Puerto TCP | Descripción | Origen | Destino |
---|---|---|---|
25 | El puerto SMTP predeterminado para el servicio de notificaciones de XenMobile. Si el servidor SMTP utiliza otro puerto, compruebe que el firewall no bloquea ese puerto. | XenMobile | Servidor SMTP |
80 y 443 | Conexión de la tienda de aplicaciones empresariales al iTunes Store de Apple o a Google Play (se debe usar el puerto 80). Se utiliza para las compras por volumen de Apple. Se usa para publicar aplicaciones de las tiendas de aplicaciones de iOS o Secure Hub para Android. | XenMobile |
ax.apps.apple.com y *.mzstatic.com ; vpp.itunes.apple.com ; login.live.com ; *.notify.windows.com ; play.google.com, android.clients.google.com, android.l.google.com
|
80 o 443 | Se utiliza para las conexiones salientes entre XenMobile y la retransmisión de notificaciones SMS de Nexmo. | XenMobile | Servidor de retransmisión de SMS de Nexmo |
389 | Se usa para conexiones de protocolo LDAP no seguras. | XenMobile | Servidor de autenticación LDAP o Active Directory |
443 | Se usa para la inscripción y la instalación de agentes para Android. | Internet | XenMobile |
443 | Se utiliza para la inscripción y la instalación de agentes en el caso de dispositivos Android y Windows y el cliente Remote Support para la administración MDM. | Wi-Fi y LAN | XenMobile |
1433 | Se utiliza para las conexiones a un servidor remoto de bases de datos (optativo). | XenMobile | SQL Server |
443 o 2197 | Se utiliza para enviar notificaciones del servicio de notificaciones push de Apple (APNs) a *.push.apple.com
|
XenMobile | Internet (hosts APNs con la dirección IP pública 17.0.0.0/8) |
5223 | Se usa para las conexiones salientes de APNs desde dispositivos iOS a *.push.apple.com . |
Dispositivos iOS | Internet (hosts APNs con la dirección IP pública 17.0.0.0/8) |
8081 | Se utiliza para los túneles de aplicaciones desde el cliente optativo Remote Support Client para MDM. El valor predeterminado es 8081. | Cliente Remote Support | XenMobile |
8443 | Se usa para la inscripción de dispositivos iOS. | Internet; LAN y Wi-Fi | XenMobile |
Requisito de puerto para la conectividad con AutoDiscovery Service
Esta configuración de puerto garantiza que los dispositivos Android que se conectan desde Secure Hub para Android puedan acceder al servicio de detección automática de Citrix ADS (AutoDiscovery Service) desde dentro de la red interna. Necesita acceso a ADS para descargar las actualizaciones de seguridad disponibles a través de ADS.
Nota:
Puede que las conexiones ADS no admitan su servidor proxy. En este caso, permita que la conexión ADS circunvale el servidor proxy.
Si quiere habilitar la fijación de certificados, debe cumplir los siguientes requisitos previos:
- Obtener certificados de XenMobile Server y Citrix ADC. Los certificados deben estar en formato PEM y deben ser un certificado público y no la clave privada.
- Póngase en contacto con la asistencia técnica de Citrix y solicite la habilitación de la fijación de certificados. Durante este proceso, se le pedirán los certificados.
La fijación de certificados requiere que los dispositivos se conecten al servicio ADS antes de que el dispositivo se inscriba. Ese requisito garantiza que Secure Hub disponga de la información de seguridad más actualizada. Para que Secure Hub inscriba un dispositivo, éste debe contactar con el servicio ADS. Por lo tanto, es vital abrir el acceso al servicio ADS dentro de la red interna para permitir la inscripción de dispositivos.
Para que Secure Hub para Android o iOS acceda al servicio ADS, abra el puerto 443 para este nombre de dominio completo (FQDN):
FQDN | Puerto | Uso de IP y puerto |
---|---|---|
discovery.cem.cloud.us |
443 | Secure Hub: Comunicación ADS a través de CloudFront |
Para obtener información sobre las direcciones IP admitidas, consulte Cloud-based storage centers from AWS.
Requisitos de red de Android Enterprise
Para obtener información sobre las conexiones salientes que se deben tener en cuenta al configurar entornos de red para Android Enterprise, consulte el artículo Android Enterprise Network Requirements de la asistencia técnica de Google.
Requisitos de puertos para XenMobile
Estos hosts de destino deben ser accesibles desde la red para crear un Google Play Enterprise administrado y acceder al Google Play iFrame administrado. Google ha puesto el iFrame Managed Play a disposición de los desarrolladores de EMM para simplificar la búsqueda y la aprobación de aplicaciones. Para usar el iFrame Managed Play, el explorador web desde el que se accede a la consola de XenMobile debe tener acceso a Google Play.
Host de destino | Puerto | Descripción |
---|---|---|
play.google.com |
TCP/443 | Se utiliza para el registro en Google Play Store y Play Enterprise |
*.googleapis.com |
TCP/443 | Se utiliza para la administración de Google Mobile, las API de Google, las API de Google Play Store y FCM |
accounts.youtube.com , accounts.google.com
|
TCP/443 | Se utiliza para la autenticación de cuentas |
apis.google.com |
TCP/443 | Se utiliza para los servicios web de Google |
ogs.google.com |
TCP/443 | Se utiliza para elementos de la IU de iFrame |
notifications.google.com |
TCP/443 | Se utiliza para notificaciones móviles y de escritorio |
fonts.googleapis.com , *.gstatic.com , *.googleusercontent.com
|
TCP/443 | Se utiliza para el contenido generado por los usuarios de Google Fonts. Por ejemplo, los iconos de la aplicación en el almacén |
cri.pki.goog , ocsp.pki.goog
|
TCP/443 | Se utiliza para la validación de certificados |