系统要求
在等待 Citrix 配置 Citrix Endpoint Management 时,请务必通过安装 Cloud Connector 为 Citrix Endpoint Management 部署做好准备。尽管 Citrix 托管和交付您的 Citrix Endpoint Management 解决方案,但仍需要一些通信和端口设置。该设置将 Citrix Endpoint Management 基础架构连接到企业服务,例如 Active Directory。
Cloud Connector 要求
Citrix 使用 Cloud Connector 将 Citrix Endpoint Management 架构集成到您的现有基础架构中。Cloud Connector 通过端口 443 将以下资源位置安全地集成到 Citrix Endpoint Management 中:LDAP、PKI 服务器、内部 DNS 查询和 Citrix Workspace 枚举。
-
至少两台加入到您的 Active Directory 域的专用 Windows Server 计算机。这些计算机可以是虚拟机,也可以是物理机。要安装 Connector 的计算机必须与 UTC 时间同步,才能正确安装和操作。有关最新要求的完整列表,请参阅 Citrix 帐户团队提供的部署材料。
入门向导引导您完成在这些计算机上安装 Cloud Connector 的过程。
-
有关更多平台系统要求,请参阅 Citrix Cloud Connector。
支持的 Active Directory 功能级别
与 Citrix Endpoint Management 一起使用时,Citrix Cloud Connector 支持 Active Directory 中的以下林和域功能级别。
| 林功能级别 | 域功能级别 | 支持的域控制器 |
|---|---|---|
| Windows Server 2016 | Windows Server 2016 | Windows Server 2016、Windows Server 2019 |
| Windows Server 2016 | Windows Server 2019 | Windows Server 2019 |
| Windows Server 2019 | Windows Server 2019 | Windows Server 2019 |
注意:
Windows Servers 2012 R2、2012 和 2008 R2 已达到生命周期已结束状态,因此不再受支持。有关详细信息,请参阅 Microsoft 产品生命周期文档。
NetScaler Gateway 要求
Citrix Endpoint Management 要求在您的资源位置安装 NetScaler Gateway 以应对以下情况:
- 您需要 Micro VPN 才能访问业务线应用的内部网络资源。这些应用程序通过 Citrix MDX 技术封装。Micro VPN 需要 NetScaler Gateway 连接到内部后端基础结构。
- 您计划使用 Citrix 移动生产力应用程序,例如 Citrix Secure Mail。
- 您计划将 Citrix Endpoint Management 与 Microsoft Endpoint Manager 集成。
要求:
- 域 (LDAP) 身份验证
- NetScaler Gateway 12.1 或更高版本,具有平台/通用许可证
有关详细信息,请参阅 许可。
- 公用 SSL 证书。
有关详细信息,请参阅在 Citrix ADC 设备上创建和使用 SSL 证书。
- NetScaler Gateway 虚拟服务器的未使用公用 IP 地址
- NetScaler Gateway 虚拟服务器的公共可解析完全限定域名 (FQDN)
- 云托管的 Citrix Endpoint Management 中间证书和根证书(在脚本包中提供)
- 代理负载平衡器 IP 的未使用内部专用 IP 地址
- 有关端口要求,请参阅本文后面的 NetScaler Gateway 端口要求 。
- Citrix Endpoint Management 与 Microsoft Endpoint Manager 的集成
- 在 Microsoft Azure 上部署 Citrix ADC VPX 实例
有关 NetScaler Gateway 要求的信息,请参阅您的 Citrix 客户团队提供的部署材料。
有关 Android Enterprise 要求的信息,请参阅 Android Enterprise 部分。
Citrix Files 要求
Citrix Files 文件同步和共享服务在 Citrix Endpoint Management 高级服务产品中提供。存储区域控制器通过向您的 Citrix Files 帐户提供私有数据存储来扩展 Citrix Files 软件即服务 (SaaS) 云存储。
存储区域控制器要求:
- 专用物理机或虚拟机
- Windows Server 2012 R2(Datacenter、Standard 或 Essentials)、Windows Server 2016、Windows Server 2019 或 Windows Server 2022
- 2 个 vCPU
- 4 GB RAM
- 50 GB 硬盘空间
-
Web 服务器 (IIS) 的服务器角色:
- 应用程序开发:ASP. NET 4.5.2
- 安全性:基本身份验证
- 安全性:Windows 身份验证
Citrix Files 平台要求:
- Citrix Files 安装程序要求在 Windows Server 上具有管理权限
- Citrix Files 管理员用户名
端口要求
要使设备和应用程序能够与 Citrix Endpoint Management 通信,您需要在防火墙中打开特定端口。下图显示了 Citrix Endpoint Management 的流量。
以下部分列出了必须打开的端口。有关移动生产力应用程序使用的 URL 的信息,请参阅 功能标志管理。
NetScaler Gateway 端口要求
打开端口,允许用户通过 NetScaler Gateway 从 Citrix Secure Hub 和 Citrix Workspace 连接到:
- Citrix Endpoint Management
- StoreFront
- 其他内部网络资源,例如 Intranet Web 站点
有关 NetScaler Gateway 的更多信息,请参阅 NetScaler Gateway 文档中的配置 Citrix Endpoint Management 环境的设 置。有关 IP 地址的信息,请参阅 NetScaler Gateway 文档中的 NetScaler Gateway 如何使用 IP 地址 。
| TCP 端口 | 说明 | 源 | 目标 |
|---|---|---|---|
| 53(TCP 和 UDP) | 用于 DNS 连接。 | NetScaler Gateway SNIP | DNS 服务器 |
| 80/443 | NetScaler Gateway 通过第二个防火墙将 Micro VPN 连接传递到内部网络资源。 | NetScaler Gateway SNIP | Intranet Web 站点 |
| 123(TCP 和 UDP) | 用于网络时间协议 (NTP) 服务。 | NetScaler Gateway SNIP | NTP 服务器 |
| 389 | 用于非安全 LDAP 连接。 | NetScaler Gateway NSIP(或者 SNIP,如果使用负载平衡器) | LDAP 身份验证服务器或 Microsoft Active Directory |
| 443 | 用于从 Citrix Workspace 到 Citrix Virtual Apps and Desktops 与 StoreFront 的连接。 | Internet | NetScaler Gateway |
| 443 | 用于连接到 Citrix Endpoint Management 以进行网络、移动和 SaaS 应用程序交付。 | Internet | NetScaler Gateway |
| 443 | 用于 Cloud Connector 通信 – LDAP、DNS、PKI 和 Citrix Workspace 枚举 | Cloud Connector 服务器 | https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.blob.core.windows.net/, https://*.servicebus.windows.net |
| 443 | 用于通过浏览器访问 Citrix Endpoint Management 自助门户(如果启用)。 | 访问点(浏览器) | Citrix Endpoint Management ()https://<sitename>/zdm/shp
|
| 636 | 用于安全 LDAP 连接。 | NetScaler Gateway NSIP(或者 SNIP,如果使用负载平衡器) | LDAP 身份验证服务器或 Active Directory |
| 1494 | 用于与内部网络中基于 Windows 应用程序的 ICA 连接。Citrix 建议保持此端口处于打开状态。 | NetScaler Gateway SNIP | Citrix Virtual Apps and Desktops |
| 1812 | 用于 RADIUS 连接。 | NetScaler Gateway NSIP | RADIUS 身份验证服务器 |
| 2598 | 用于使用会话可靠性连接到内部网络中基于 Windows 的应用程序。Citrix 建议保持此端口处于打开状态。 | NetScaler Gateway SNIP | Citrix Virtual Apps and Desktops |
| 3269 | 用于 Microsoft Global Catalog 安全 LDAP 连接。 | NetScaler Gateway NSIP(或者 SNIP,如果使用负载平衡器) | LDAP 身份验证服务器或 Active Directory |
| 4443 | 用于管理员通过浏览器访问 Citrix Endpoint Management 控制台。 | 访问点(浏览器) | Citrix Endpoint Management |
| 8443 | 用于注册、应用商店和移动应用程序管理 (MAM)。 | NetScaler Gateway SNIP | Citrix Endpoint Management |
| 8443 | 用于 Citrix Secure Mail 身份验证令牌的 Secure Ticket Authority (STA) 端口 | NetScaler Gateway SNIP | Citrix Endpoint Management |
网络和防火墙要求
要使设备和应用程序能够与 Citrix Endpoint Management 通信,您需要在防火墙中打开特定端口。下表列出了这些端口。
打开从内部网络到 Citrix Cloud 的端口:
| TCP 端口 | 源 IP | 说明 | 目标 | 目标 IP |
|---|---|---|---|---|
| 443 | Cloud Connector | https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net |
||
| 443 | 管理控制台 | https://*.citrixworkspacesapi.net, https://*.cloud.com (commercial), https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads |
||
| 443 | 通过浏览器访问 Citrix Endpoint Management 自助门户(如果已启用该门户) | Citrix Endpoint Management | ||
| 4443 | 通过浏览器访问 Citrix Endpoint Management 控制台 | Citrix Endpoint Management |
打开从 Internet 到 DMZ 的端口:
| TCP 端口 | 说明 | 源 IP | 目标 | 目标 IP |
|---|---|---|---|---|
| 443 | Citrix Endpoint Management 客户端设备 | NetScaler Gateway IP | ||
| 443 | Citrix Endpoint Management 客户端设备 | NetScaler Gateway VIP | ||
| 443 | Citrix Files 公用 IP | CTX208318 | NetScaler Gateway VIP |
打开从 DMZ 到内部网络的端口:
| TCP 端口 | 说明 | 源 IP | 目标 | 目标 IP |
|---|---|---|---|---|
| 389 或 636 | NetScaler Gateway NSIP | Active Directory IP | ||
| 53 (UDP) | NetScaler Gateway NSIP | DNS 服务器 IP | ||
| 443 | NetScaler Gateway SNIP | Exchange (EAS) Server IP | ||
| 443 | NetScaler Gateway SNIP | 内部 Web 应用程序/服务 | ||
| 443 | NetScaler Gateway SNIP | 存储区域控制器 IP |
打开从内部网络到 DMZ 的端口:
| TCP 端口 | 说明 | 源 IP | 目标 | 目标 IP |
|---|---|---|---|---|
| 443 | 管理客户端 | NetScaler Gateway NSIP |
打开从内部网络到 Internet 的端口:
| TCP 端口 | 说明 | 源 IP | 目标 | 目标 IP |
|---|---|---|---|---|
| 443 | Exchange (EAS) Server IP | Citrix Endpoint Management 推送通知监听器 (1) | ||
| 443 | 存储区域控制器 IP | Citrix Files 控制平面 | CTX208318 |
(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com
打开从企业 Wi-Fi 到 Internet 的端口:
| TCP 端口 | 说明 | 源 IP | 目标 | 目标 IP |
|---|---|---|---|---|
| 8443 / 443 | Citrix Endpoint Management 客户端设备 | Citrix Endpoint Management | ||
| 5223 | Citrix Endpoint Management 客户端设备 | Apple APNs 服务器 | 17.0.0.0/8 |
|
| 5228 | Citrix Endpoint Management 客户端设备 | Firebase Cloud Messaging | android.apis.google.com, fcm.googleapis.com |
|
| 5229 | Citrix Endpoint Management 客户端设备 | Firebase Cloud Messaging | android.apis.google.com, fcm.googleapis.com |
|
| 5230 | Citrix Endpoint Management 客户端设备 | Firebase Cloud Messaging | android.apis.google.com, fcm.googleapis.com |
|
| 443 | Citrix Endpoint Management 客户端设备 | Firebase Cloud Messaging | fcm.googleapis.com |
|
| 443 | Citrix Endpoint Management 客户端设备 | Windows 推送通知服务 | *.notify.windows.com |
|
| 443 / 80 | Citrix Endpoint Management 客户端设备 | Apple iTunes App Store | ax.apps.apple.com, *.mzstatic.com, vpp.itunes.apple.com |
|
| 443 / 80 | Citrix Endpoint Management 客户端设备 | Google Play | play.google.com, android.clients.google.com, android.l.google.com, android.com, google-analytics.com |
|
| 443 / 80 | Citrix Endpoint Management 客户端设备 | Microsoft 应用商店 | login.live.com, *.notify.windows.com |
|
| 443 | Citrix Endpoint Management 客户端设备 | 适用于 iOS 和 Android 的 Citrix Endpoint Management 自动发现服务 | discovery.cem.cloud.us |
|
| 443 | Citrix Endpoint Management 客户端设备 | 适用于 Windows 的 Citrix Endpoint Management 自动发现服务 |
enterpriseenrollment.mycompany.com, discovery.cem.cloud.us
|
|
| 443 | 存储区域控制器 IP | Citrix Files 控制平面 | CTX208318 | |
| 443 | Citrix Endpoint Management 客户端设备 | Google Mobile Management、Google API、Google Play 应用商店 API | *.googleapis.com |
|
| 443 | Citrix Endpoint Management 客户端设备 | v470 之前的 CloudDPC 版本的连接性检查。自 N MR1 起的 Android 连接检查要求 https://www.google.com/generate_204 可访问,或者要求指定的 Wi-Fi 网络指向可访问的 PAC 文件) |
connectivitycheck.android.com, www.google.com |
自动发现服务连接的端口要求
此端口配置可确保从 Citrix Secure Hub for Android 连接的 Android 设备可以从内部网络内部访问 Citrix Endpoint Management AutoDiscovery 服务 (ADS)。下载通过 ADS 提供的任何安全更新时能够访问 ADS 非常重要。
注意:
ADS 连接可能不支持您的代理服务器。在这种情况下,允许 ADS 连接跳过代理服务器。
如果您希望启用证书固定,请完成以下必备条件:
- 收集 Citrix Endpoint Management 服务器和 NetScaler Gateway 证书: 证书必须采用 PEM 格式,并且必须是公有证书而不是私钥。
- 联系 Citrix 支持人员并请求启用证书锁定: 在此过程中,系统会要求您提供证书。
证书固定功能要求设备先连接到 ADS,然后再注册。此要求确保 Citrix Secure Hub 可以使用最新的安全信息。要让 Citrix Secure Hub 注册设备,该设备必须到达 ADS。因此,在内部网络内开放 ADS 访问权限对于启用设备注册至关重要。
要允许访问适用于 Android/iOS 的 Citrix Secure Hub 的 ADS,请为以下 FQDN 打开端口 443:
| FQDN | 端口 | IP 和端口用法 |
|---|---|---|
discovery.cem.cloud.us |
443 | Citrix Secure Hub-通过 CloudFront 进行广告通信 |
有关支持的 IP 地址的信息,请参阅来自 AWS 的基于云的存储中心。
Android Enterprise 网络要求
有关为 Android Enterprise 设置网络环境时要考虑的出站连接的信息,请参阅 Google 支持文章 Android Enterprise Network Requirements(Android Enterprise 网络要求)。
应用程序要求
Citrix Endpoint Management 支持添加和维护多达 300 个应用程序。超过此限制会导致您的系统变得不稳定。