Citrix Endpoint Management

系统要求

在等待 Citrix 配置 Citrix Endpoint Management 时,请务必通过安装 Cloud Connector 为 Citrix Endpoint Management 部署做好准备。尽管 Citrix 托管和交付您的 Citrix Endpoint Management 解决方案,但仍需要一些通信和端口设置。该设置将 Citrix Endpoint Management 基础架构连接到企业服务,例如 Active Directory。

Cloud Connector 要求

Citrix 使用 Cloud Connector 将 Citrix Endpoint Management 架构集成到您的现有基础架构中。Cloud Connector 通过端口 443 将以下资源位置安全地集成到 Citrix Endpoint Management 中:LDAP、PKI 服务器、内部 DNS 查询和 Citrix Workspace 枚举。

  • 至少两台加入到您的 Active Directory 域的专用 Windows Server 计算机。这些计算机可以是虚拟机,也可以是物理机。要安装 Connector 的计算机必须与 UTC 时间同步,才能正确安装和操作。有关最新要求的完整列表,请参阅 Citrix 帐户团队提供的部署材料。

    入门向导引导您完成在这些计算机上安装 Cloud Connector 的过程。

  • 有关更多平台系统要求,请参阅 Citrix Cloud Connector

支持的 Active Directory 功能级别

与 Citrix Endpoint Management 一起使用时,Citrix Cloud Connector 支持 Active Directory 中的以下林和域功能级别。

林功能级别 域功能级别 支持的域控制器
Windows Server 2016 Windows Server 2016 Windows Server 2016、Windows Server 2019
Windows Server 2016 Windows Server 2019 Windows Server 2019
Windows Server 2019 Windows Server 2019 Windows Server 2019

注意:

Windows Servers 2012 R2、2012 和 2008 R2 已达到生命周期已结束状态,因此不再受支持。有关详细信息,请参阅 Microsoft 产品生命周期文档

NetScaler Gateway 要求

Citrix Endpoint Management 要求在您的资源位置安装 NetScaler Gateway 以应对以下情况:

  • 您需要 Micro VPN 才能访问业务线应用的内部网络资源。这些应用程序通过 Citrix MDX 技术封装。Micro VPN 需要 NetScaler Gateway 连接到内部后端基础结构。
  • 您计划使用 Citrix 移动生产力应用程序,例如 Citrix Secure Mail。
  • 您计划将 Citrix Endpoint Management 与 Microsoft Endpoint Manager 集成。

要求:

  • 域 (LDAP) 身份验证
  • NetScaler Gateway 12.1 或更高版本,具有平台/通用许可证

有关详细信息,请参阅 许可

  • 公用 SSL 证书。

有关详细信息,请参阅在 Citrix ADC 设备上创建和使用 SSL 证书

有关 NetScaler Gateway 要求的信息,请参阅您的 Citrix 客户团队提供的部署材料。

有关 Android Enterprise 要求的信息,请参阅 Android Enterprise 部分。

Citrix Files 要求

Citrix Files 文件同步和共享服务在 Citrix Endpoint Management 高级服务产品中提供。存储区域控制器通过向您的 Citrix Files 帐户提供私有数据存储来扩展 Citrix Files 软件即服务 (SaaS) 云存储。

存储区域控制器要求:

  • 专用物理机或虚拟机
  • Windows Server 2012 R2(Datacenter、Standard 或 Essentials)、Windows Server 2016、Windows Server 2019 或 Windows Server 2022
  • 2 个 vCPU
  • 4 GB RAM
  • 50 GB 硬盘空间
  • Web 服务器 (IIS) 的服务器角色:

    • 应用程序开发:ASP. NET 4.5.2
    • 安全性:基本身份验证
    • 安全性:Windows 身份验证

Citrix Files 平台要求:

  • Citrix Files 安装程序要求在 Windows Server 上具有管理权限
  • Citrix Files 管理员用户名

端口要求

要使设备和应用程序能够与 Citrix Endpoint Management 通信,您需要在防火墙中打开特定端口。下图显示了 Citrix Endpoint Management 的流量。

Citrix Endpoint Management 流量管理

以下部分列出了必须打开的端口。有关移动生产力应用程序使用的 URL 的信息,请参阅 功能标志管理

NetScaler Gateway 端口要求

打开端口,允许用户通过 NetScaler Gateway 从 Citrix Secure Hub 和 Citrix Workspace 连接到:

  • Citrix Endpoint Management
  • StoreFront
  • 其他内部网络资源,例如 Intranet Web 站点

有关 NetScaler Gateway 的更多信息,请参阅 NetScaler Gateway 文档中的配置 Citrix Endpoint Management 环境的设 置。有关 IP 地址的信息,请参阅 NetScaler Gateway 文档中的 NetScaler Gateway 如何使用 IP 地址

TCP 端口 说明 目标
53(TCP 和 UDP) 用于 DNS 连接。 NetScaler Gateway SNIP DNS 服务器
80/443 NetScaler Gateway 通过第二个防火墙将 Micro VPN 连接传递到内部网络资源。 NetScaler Gateway SNIP Intranet Web 站点
123(TCP 和 UDP) 用于网络时间协议 (NTP) 服务。 NetScaler Gateway SNIP NTP 服务器
389 用于非安全 LDAP 连接。 NetScaler Gateway NSIP(或者 SNIP,如果使用负载平衡器) LDAP 身份验证服务器或 Microsoft Active Directory
443 用于从 Citrix Workspace 到 Citrix Virtual Apps and Desktops 与 StoreFront 的连接。 Internet NetScaler Gateway
443 用于连接到 Citrix Endpoint Management 以进行网络、移动和 SaaS 应用程序交付。 Internet NetScaler Gateway
443 用于 Cloud Connector 通信 – LDAP、DNS、PKI 和 Citrix Workspace 枚举 Cloud Connector 服务器 https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.blob.core.windows.net/, https://*.servicebus.windows.net
443 用于通过浏览器访问 Citrix Endpoint Management 自助门户(如果启用)。 访问点(浏览器) Citrix Endpoint Management ()https://<sitename>/zdm/shp
636 用于安全 LDAP 连接。 NetScaler Gateway NSIP(或者 SNIP,如果使用负载平衡器) LDAP 身份验证服务器或 Active Directory
1494 用于与内部网络中基于 Windows 应用程序的 ICA 连接。Citrix 建议保持此端口处于打开状态。 NetScaler Gateway SNIP Citrix Virtual Apps and Desktops
1812 用于 RADIUS 连接。 NetScaler Gateway NSIP RADIUS 身份验证服务器
2598 用于使用会话可靠性连接到内部网络中基于 Windows 的应用程序。Citrix 建议保持此端口处于打开状态。 NetScaler Gateway SNIP Citrix Virtual Apps and Desktops
3269 用于 Microsoft Global Catalog 安全 LDAP 连接。 NetScaler Gateway NSIP(或者 SNIP,如果使用负载平衡器) LDAP 身份验证服务器或 Active Directory
4443 用于管理员通过浏览器访问 Citrix Endpoint Management 控制台。 访问点(浏览器) Citrix Endpoint Management
8443 用于注册、应用商店和移动应用程序管理 (MAM)。 NetScaler Gateway SNIP Citrix Endpoint Management
8443 用于 Citrix Secure Mail 身份验证令牌的 Secure Ticket Authority (STA) 端口 NetScaler Gateway SNIP Citrix Endpoint Management

网络和防火墙要求

要使设备和应用程序能够与 Citrix Endpoint Management 通信,您需要在防火墙中打开特定端口。下表列出了这些端口。

打开从内部网络到 Citrix Cloud 的端口:

TCP 端口 源 IP 说明 目标 目标 IP
443   Cloud Connector https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net  
443   管理控制台 https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads  
443   通过浏览器访问 Citrix Endpoint Management 自助门户(如果已启用该门户) Citrix Endpoint Management  
4443   通过浏览器访问 Citrix Endpoint Management 控制台 Citrix Endpoint Management  

打开从 Internet 到 DMZ 的端口:

TCP 端口 说明 源 IP 目标 目标 IP
443 Citrix Endpoint Management 客户端设备   NetScaler Gateway IP  
443 Citrix Endpoint Management 客户端设备   NetScaler Gateway VIP  
443 Citrix Files 公用 IP CTX208318 NetScaler Gateway VIP  

打开从 DMZ 到内部网络的端口:

TCP 端口 说明 源 IP 目标 目标 IP
389 或 636 NetScaler Gateway NSIP   Active Directory IP  
53 (UDP) NetScaler Gateway NSIP   DNS 服务器 IP  
443 NetScaler Gateway SNIP   Exchange (EAS) Server IP  
443 NetScaler Gateway SNIP   内部 Web 应用程序/服务  
443 NetScaler Gateway SNIP   存储区域控制器 IP  

打开从内部网络到 DMZ 的端口:

TCP 端口 说明 源 IP 目标 目标 IP
443 管理客户端   NetScaler Gateway NSIP  

打开从内部网络到 Internet 的端口:

TCP 端口 说明 源 IP 目标 目标 IP
443 Exchange (EAS) Server IP   Citrix Endpoint Management 推送通知监听器 (1)  
443 存储区域控制器 IP   Citrix Files 控制平面 CTX208318

(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com

打开从企业 Wi-Fi 到 Internet 的端口:

TCP 端口 说明 源 IP 目标 目标 IP
8443 / 443 Citrix Endpoint Management 客户端设备   Citrix Endpoint Management  
5223 Citrix Endpoint Management 客户端设备   Apple APNs 服务器 17.0.0.0/8
5228 Citrix Endpoint Management 客户端设备   Firebase Cloud Messaging android.apis.google.com, fcm.googleapis.com
5229 Citrix Endpoint Management 客户端设备   Firebase Cloud Messaging android.apis.google.com, fcm.googleapis.com
5230 Citrix Endpoint Management 客户端设备   Firebase Cloud Messaging android.apis.google.com, fcm.googleapis.com
443 Citrix Endpoint Management 客户端设备   Firebase Cloud Messaging fcm.googleapis.com
443 Citrix Endpoint Management 客户端设备   Windows 推送通知服务 *.notify.windows.com
443 / 80 Citrix Endpoint Management 客户端设备   Apple iTunes App Store ax.apps.apple.com, *.mzstatic.com, vpp.itunes.apple.com
443 / 80 Citrix Endpoint Management 客户端设备   Google Play play.google.com, android.clients.google.com, android.l.google.com, android.com, google-analytics.com
443 / 80 Citrix Endpoint Management 客户端设备   Microsoft 应用商店 login.live.com, *.notify.windows.com
443 Citrix Endpoint Management 客户端设备   适用于 iOS 和 Android 的 Citrix Endpoint Management 自动发现服务 discovery.cem.cloud.us
443 Citrix Endpoint Management 客户端设备   适用于 Windows 的 Citrix Endpoint Management 自动发现服务 enterpriseenrollment.mycompany.com, discovery.cem.cloud.us
443 存储区域控制器 IP   Citrix Files 控制平面 CTX208318
443 Citrix Endpoint Management 客户端设备   Google Mobile Management、Google API、Google Play 应用商店 API *.googleapis.com
443 Citrix Endpoint Management 客户端设备   v470 之前的 CloudDPC 版本的连接性检查。自 N MR1 起的 Android 连接检查要求 https://www.google.com/generate_204 可访问,或者要求指定的 Wi-Fi 网络指向可访问的 PAC 文件) connectivitycheck.android.com, www.google.com

自动发现服务连接的端口要求

此端口配置可确保从 Citrix Secure Hub for Android 连接的 Android 设备可以从内部网络内部访问 Citrix Endpoint Management AutoDiscovery 服务 (ADS)。下载通过 ADS 提供的任何安全更新时能够访问 ADS 非常重要。

注意:

ADS 连接可能不支持您的代理服务器。在这种情况下,允许 ADS 连接跳过代理服务器。

如果您希望启用证书固定,请完成以下必备条件:

  • 收集 Citrix Endpoint Management 服务器和 NetScaler Gateway 证书: 证书必须采用 PEM 格式,并且必须是公有证书而不是私钥。
  • 联系 Citrix 支持人员并请求启用证书锁定: 在此过程中,系统会要求您提供证书。

证书固定功能要求设备先连接到 ADS,然后再注册。此要求确保 Citrix Secure Hub 可以使用最新的安全信息。要让 Citrix Secure Hub 注册设备,该设备必须到达 ADS。因此,在内部网络内开放 ADS 访问权限对于启用设备注册至关重要。

要允许访问适用于 Android/iOS 的 Citrix Secure Hub 的 ADS,请为以下 FQDN 打开端口 443:

FQDN 端口 IP 和端口用法
discovery.cem.cloud.us 443 Citrix Secure Hub-通过 CloudFront 进行广告通信

有关支持的 IP 地址的信息,请参阅来自 AWS 的基于云的存储中心

Android Enterprise 网络要求

有关为 Android Enterprise 设置网络环境时要考虑的出站连接的信息,请参阅 Google 支持文章 Android Enterprise Network Requirements(Android Enterprise 网络要求)。

应用程序要求

Citrix Endpoint Management 支持添加和维护多达 300 个应用程序。超过此限制会导致您的系统变得不稳定。

系统要求