XenMobile Server

Configuration requise pour les ports

Pour autoriser des appareils et des applications à communiquer avec XenMobile, vous devez ouvrir des ports spécifiques dans vos pare-feu. Les tableaux suivants répertorient les ports qui doivent être ouverts.

Ouvrir des ports pour Citrix Gateway et XenMobile afin de gérer des applications

Ouvrez les ports suivants pour autoriser les connexions utilisateur à partir de Citrix Secure Hub, Citrix Receiver et Citrix Gateway Plug-in via Citrix Gateway pour les composants suivants :

  • XenMobile
  • StoreFront
  • Citrix Virtual Apps and Desktops
  • Citrix Gateway Connector pour Exchange ActiveSync
  • Autres ressources du réseau interne telles que les sites Web intranet

Pour activer le trafic vers Launch Darkly depuis Citrix ADC, vous pouvez utiliser les adresses IP indiquées dans cet article du centre de connaissances.

Pour plus d’informations sur Citrix Gateway, consultez la documentation relative à Citrix Gateway. Cette documentation contient des informations sur les adresses IP de Citrix ADC (NSIP), du serveur virtuel (VIP) et de sous-réseau (SNIP).

Port TCP Description Source Destination
21 ou 22 Utilisé pour envoyer des packs d’assistance à un serveur FTP ou SCP XenMobile Serveur FTP ou SCP
53 (TCP et UDP) Utilisé pour les connexions DNS. Citrix Gateway, XenMobile Serveur DNS
80 Citrix Gateway transmet la connexion VPN à la ressource du réseau interne via le second pare-feu. Cette situation se produit généralement si les utilisateurs ouvrent une session à l’aide de Citrix Gateway Plug-in. Citrix Gateway Sites Web intranet
80 ou 8080 ; 443 Port XML et Secure Ticket Authority (STA) utilisé pour l’énumération, la fonctionnalité de ticket et l’authentification. Citrix recommande d’utiliser le port 443. Trafic réseau XML de StoreFront et l’Interface Web ; STA Citrix Gateway Virtual Apps ou Desktops
123 (TCP et UDP) Utilisé pour les services NTP (Network Time Protocol). Citrix Gateway ; XenMobile Serveur NTP
389 Utilisé pour les connexions LDAP non sécurisées Citrix Gateway ; XenMobile Serveur d’authentification LDAP ou Microsoft Active Directory
443 Utilisé pour les connexions à StoreFront à partir de Citrix Receiver ou Receiver pour Web vers Virtual Apps and Desktops. Internet Citrix Gateway
443 Utilisé pour les connexions à XenMobile pour la mise à disposition d’applications Web, mobiles et SaaS. Internet Citrix Gateway
443 Utilisé pour la communication des appareils avec XenMobile Server XenMobile XenMobile
443 Utilisé pour les connexions à partir d’appareils mobiles à XenMobile pour l’inscription. Internet XenMobile
443 Utilisé pour les connexions de XenMobile vers Citrix Gateway Connector pour Exchange ActiveSync. XenMobile Citrix Gateway Connector pour Exchange ActiveSync
443 Utilisé pour les connexions de Citrix Gateway Connector pour Exchange ActiveSync vers XenMobile. Citrix Gateway Connector pour Exchange ActiveSync XenMobile
443 Utilisé pour les URL de rappel dans les déploiements sans authentification par certificat. XenMobile Citrix Gateway
514 Utilisé pour les connexions entre XenMobile et un serveur syslog. XenMobile Serveur Syslog
636 Utilisé pour les connexions LDAP sécurisées. Citrix Gateway ; XenMobile Serveur d’authentification LDAP ou Active Directory
1494 Utilisé pour les connexions ICA à des applications Windows dans le réseau interne. Citrix recommande de conserver ce port ouvert. Citrix Gateway Virtual Apps ou Desktops
1812 Utilisé pour les connexions RADIUS. Citrix Gateway Serveur d’authentification RADIUS
2598 Utilisé pour les connexions aux applications Windows dans le réseau interne à l’aide de la fiabilité de session. Citrix recommande de conserver ce port ouvert. Citrix Gateway Virtual Apps ou Desktops
3268 Utilisé pour les connexions LDAP non sécurisées au Microsoft Global Catalog. Citrix Gateway ; XenMobile Serveur d’authentification LDAP ou Active Directory
3269 Utilisé pour les connexions LDAP sécurisées au Microsoft Global Catalog. Citrix Gateway ; XenMobile Serveur d’authentification LDAP ou Active Directory
9080 Utilisé pour le trafic HTTP entre Citrix ADC et Citrix Gateway Connector pour Exchange ActiveSync. Citrix ADC Citrix Gateway Connector pour Exchange ActiveSync
30001 API de gestion pour la gestion intermédiaire du service HTTPS Réseau local interne XenMobile Server
9443 Utilisé pour le trafic HTTPS entre Citrix ADC et Citrix Gateway Connector pour Exchange ActiveSync. Citrix ADC Citrix Gateway Connector pour Exchange ActiveSync
45000; 80 Utilisé pour la communication entre deux VM XenMobile lors du déploiement dans un cluster. Le port 80 est utilisé pour la communication entre les nœuds et le déchargement SSL. XenMobile XenMobile
8443 Utilisé pour l’inscription, XenMobile Store et la gestion des applications mobiles (MAM). XenMobile ; Citrix Gateway ; Appareils ; Internet XenMobile
4443 Utilisé pour l’accès à la console XenMobile par un administrateur via le navigateur. Également utilisé pour le téléchargement des journaux et des packs d’assistance pour tous les nœuds de cluster XenMobile à partir d’un seul nœud. Point d’accès (navigateur) ; XenMobile XenMobile
27000 Port par défaut utilisé pour l’accès au serveur de licences Citrix externe. XenMobile Serveur de licences Citrix
7279 Port par défaut utilisé pour la libération et l’obtention de licences Citrix. XenMobile Démon vendeur Citrix
161 Utilisé pour le trafic SNMP à l’aide du protocole UDP. Gestionnaire SNMP XenMobile
162 Utilisé pour l’envoi d’alertes d’interruption SNMP vers le gestionnaire SNMP à partir de XenMobile. La source est XenMobile et la destination est le gestionnaire SNMP. XenMobile Gestionnaire SNMP

Ouvrir des ports XenMobile pour gérer des appareils

Ouvrez les ports suivants pour autoriser XenMobile à communiquer dans votre réseau.

Port TCP Description Source Destination
25 Port SMTP par défaut du service de notification XenMobile. Si votre serveur SMTP utilise un port différent, assurez-vous que votre pare-feu ne bloque pas ce port. XenMobile Serveur SMTP
80 et 443 Connexion de l’App Store d’entreprise à Apple iTunes App Store ou Google Play (doit utiliser 80). Utilisé pour l’achat en volume Apple. Utilisé pour la publication d’applications à partir des magasins d’application via iOS ou Secure Hub pour Android. XenMobile ax.apps.apple.com et *.mzstatic.com ; vpp.itunes.apple.com ; login.live.com ; *.notify.windows.com ; play.google.com, android.clients.google.com, android.l.google.com
80 ou 443 Utilisé pour les connexions sortantes entre XenMobile et Nexmo SMS Notification Relay. XenMobile Serveur Nexmo SMS Relay
389 Utilisé pour les connexions LDAP non sécurisées. XenMobile Serveur d’authentification LDAP ou Active Directory
443 Utilisé pour l’inscription et l’installation de l’agent pour Android. Internet XenMobile
443 Utilisé pour l’inscription et l’installation de l’agent pour appareils Android et Windows, ainsi que le client d’assistance à distance MDM. Réseau local Internet et Wi-Fi XenMobile
1433 Utilisé par défaut pour les connexions à un serveur de base de données distant (facultatif). XenMobile SQL Server
443 ou 2197 Utilisé pour envoyer des notifications APNs à *.push.apple.com XenMobile Internet (hôtes APNs utilisant l’adresse IP publique 17.0.0.0/8)
5223 Utilisé pour les connexions sortantes APNs à partir d’appareils iOS sur *.push.apple.com. Appareils iOS Internet (hôtes APNs utilisant l’adresse IP publique 17.0.0.0/8)
8081 Utilisé pour les tunnels applicatifs depuis le client d’assistance à distance MDM (facultatif). La valeur par défaut est 8081. Client d’assistance à distance XenMobile
8443 Utilisé pour l’inscription d’appareils iOS. Internet ; Réseau local et Wi-Fi XenMobile

Exigences en matière de port pour la connectivité au service de détection automatique

La configuration de ce port permet de s’assurer que les appareils Android qui se connectent à partir de Secure Hub pour Android peuvent accéder au service de détection automatique (ADS) de Citrix depuis le réseau interne. Vous devez accéder à ADS pour télécharger les mises à jour de sécurité mises à disposition via ADS.

Remarque :

Les connexions ADS peuvent ne pas prendre en charge votre serveur proxy. Dans ce scénario, autorisez la connexion ADS à contourner le serveur proxy.

Si vous souhaitez autoriser le certificate pinning, procédez comme suit :

  • Collecter les certificats de XenMobile Server et de Citrix ADC. Les certificats doivent être au format PEM et doivent être des certificats de clé publique et non de clé privée.
  • Contacter l’assistance Citrix et demander l’activation du certificate pinning. Lors de cette opération, vous êtes invité à fournir vos certificats.

Le certificate pinning nécessite que les appareils se connectent à ADS avant l’inscription de l’appareil. Cela garantit que Secure Hub dispose des dernières informations de sécurité. Pour que Secure Hub puisse inscrire un appareil, l’appareil doit contacter le service ADS. Par conséquent, il est primordial d’autoriser l’accès à ADS dans le réseau interne pour permettre aux appareils de s’inscrire.

Pour autoriser l’accès à ADS pour Secure Hub pour Android ou iOS, ouvrez le port 443 pour les noms de domaine complets suivants :

Nom de domaine complet Port Utilisation adresse IP et port
discovery.cem.cloud.us 443 Secure Hub - Communication ADS via CloudFront

Pour plus d’informations sur les adresses IP prises en charge, consultez Cloud-based storage centers from AWS.

Configuration réseau requise pour Android Enterprise

Pour plus d’informations sur les connexions sortantes à prendre en compte lors de la configuration d’environnements réseau pour Android Enterprise, consultez l’article de support Google Android Enterprise Network Requirements.

Exigences en matière de port requises par XenMobile

Les hôtes de destination suivants doivent être accessibles à partir du réseau pour créer une instance Google Play d’entreprise et accéder à ​Managed Google Play iFrame. Google a mis le composant Managed Play iFrame à la disposition des développeurs EMM afin de simplifier la recherche et l’approbation des applications. Pour pouvoir utiliser Managed Play iFrame, le navigateur à partir duquel vous accédez à la console XenMobile doit avoir accès à Google Play.

Hôte de destination Port Description
play.google.com TCP/443 Utilisé pour l’inscription à Google Play Store et Play Enterprise
*.googleapis.com TCP/443 Utilisé pour la gestion des appareils mobiles Google, les API Google et les API Google Play Store, FCM
accounts.youtube.com, accounts.google.com TCP/443 Utilisé pour l’authentification du compte
apis.google.com TCP/443 Utilisé pour les services Web de Google
ogs.google.com TCP/443 Utilisé pour les éléments de l’interface utilisateur iFrame
notifications.google.com TCP/443 Utilisé pour les notifications de bureaux et d’appareils mobiles
fonts.googleapis.com, *.gstatic.com, *.googleusercontent.com TCP/443 Utilisé pour le contenu généré par l’utilisateur Google Fonts, par exemple, les icônes de l’application dans le magasin
cri.pki.goog, ocsp.pki.goog TCP/443 Utilisé pour la validation du certificat
Configuration requise pour les ports