系统需求
在等待Citrix准备端点管理时,请确保通过安装云连接器为端点管理部署做好准备。虽然Citrix托管并交付您的端点管理解决方案,但仍然需要一些通信和端口设置。该设置将端点管理基础设施连接到企业服务(如活动目录)。
云连接器需求
Citrix使用Cloud Connector将端点管理体系结构集成到您现有的基础设施中。Cloud Connector将以下资源位置通过端口443安全地集成到端点管理中:LDAP、PKI服务器、内部DNS查询和Citrix工作区枚举。
至少两台专用Windows Server计算机已连接到您的Active Directory域。这些机器可以是虚拟的也可以是物理的。安装连接器的机器必须与UTC时间同步,才能进行正确的安装和操作。有关最新需求的完整列表,请参阅您的Citrix帐户团队提供的部署材料。
安装向导将指导您在这些机器上安装Cloud Connector。
有关更多平台系统需求,请参见Citrix云连接器.
支持Active Directory功能级别
为了与端点管理一起使用,Citrix云连接器在Active Directory中支持以下林和域功能级别。
| 森林功能水平 | 域功能水平 | 支持域控制器 |
|---|---|---|
| Windows Server 2008 R2 | Windows Server 2008 R2 | Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 | Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 | Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2016 | Windows Server 2016 | Windows Server 2016 |
Citrix网关的需求
在以下情况下,端点管理需要在您的资源位置安装Citrix网关:
- 您需要一个微型VPN来访问业务线应用程序的内部网络资源。这些应用程序都采用了Citrix MDX技术。micro VPN需要Citrix Gateway连接内部后端基础设施。
- 你计划使用Citrix移动办公应用程序,比如Citrix Secure Mail。
- 您计划将端点管理与Microsoft端点管理器集成。
要求:
- 域(LDAP)身份验证
- Citrix Gateway 12.1或以上版本,并具有平台/通用许可证
有关详细信息,请参见许可.
- 公众的SSL证书。
有关详细信息,请参见在Citrix ADC设备上创建和使用SSL证书.
- Citrix网关虚拟服务器未使用的公网IP地址
- Citrix网关虚拟服务器的可公开解析的完全限定域名(FQDN)
- 云托管的中间端点管理和根证书(在脚本包中提供)
- 代理负载均衡器IP未使用的内部私有IP地址
- 端口要求请参见Citrix网关端口要求本文稍后将介绍。
- Citrix端点管理与微软端点管理器集成
- 在微软Azure上部署Citrix ADC VPX实例
有关Citrix Gateway需求的信息,请参阅您的Citrix帐户团队提供的部署材料。
有关Android企业要求的信息,请参见Android的企业部分。
Citrix文件要求
Citrix Files文件同步和共享服务可在端点管理高级服务产品中使用。存储区域控制器通过为您的Citrix Files帐户提供私有数据存储,扩展了Citrix Files软件作为服务(SaaS)云存储。
存储分区控制器要求:
- 专用的物理或虚拟机
- Windows Server 2012 R2或Windows Server 2016
- 2个vcpu
- 4 GB内存
- 50gb硬盘空间
Web服务器(IIS)的服务器角色:
- 应用程序开发:ASP。4.5.2净
- 安全:基本身份验证
- 安全:Windows身份验证
Citrix文件平台要求:
- Citrix文件安装程序需要Windows服务器上的管理权限
- Citrix Files管理员用户名
港口的要求
要使设备和应用程序能够与Endpoint Management通信,您需要在防火墙中打开特定的端口。下图显示端点管理的流量流。
以下部分列出了必须打开的端口。有关移动办公应用程序使用的url的信息,请参见功能标志管理.
Citrix网关端口要求
打开端口,允许用户通过Citrix网关从Citrix安全集集器和Citrix工作区连接到:
- 端点管理
- 店面
- 其他内部网络资源,如内网网站
有关Citrix Gateway的更多信息,请参见为您的Citrix端点管理环境配置设置在Citrix Gateway文档中。有关IP地址的信息,请参见Citrix网关如何使用IP地址在Citrix Gateway文档中。
| TCP端口 | 描述 | 源 | 目的地 |
|---|---|---|---|
| 53 (TCP和UDP) | 用于DNS连接。 | Citrix网关剪断 | DNS服务器 |
| 80/443 | Citrix Gateway通过第二台防火墙将微VPN连接到内部网络资源。 | Citrix网关剪断 | 内联网网站 |
| 123 (TCP和UDP协议) | 用于NTP服务。 | Citrix网关剪断 | 国家结核控制规划服务器 |
| 389 | 用于不安全的LDAP连接。 | Citrix网关NSIP(或者,如果使用负载均衡器,SNIP) | LDAP认证服务器或Microsoft Active Directory |
| 443 | 用于从Citrix工作区连接到Citrix虚拟应用程序和桌面到StoreFront。 | 互联网 | Citrix网关 |
| 443 | 用于连接到端点管理,用于web、移动和SaaS应用程序交付。 | 互联网 | Citrix网关 |
| 443 | 用于云连接器通信- LDAP, DNS, PKI和Citrix工作区枚举 | 云连接器服务器 | https://*.citrixworkspacesapi.net, https://*.cloud.com(商业),https://*.cloud.us(政府),https://*.blob.core.windows.net/, https://*.servicebus.windows.net |
| 443 | 用于通过浏览器访问终端管理自助Portal。 | 访问点(浏览器) | 端点管理(https:// < sitename > / zdm /轴马力) |
| 636 | 用于安全LDAP连接。 | Citrix网关NSIP(或者,如果使用负载均衡器,SNIP) | LDAP认证服务器或Active Directory |
| 1494 | 用于ICA连接内部网络中的windows应用。Citrix建议保持此端口打开。 | Citrix网关剪断 | Citrix虚拟应用和桌面 |
| 1812 | 用于RADIUS连接。 | Citrix网关NSIP | 半径的认证服务器 |
| 2598 | 用于连接内部网络中的windows应用程序,使用会话可靠性。Citrix建议保持此端口打开。 | Citrix网关剪断 | Citrix虚拟应用和桌面 |
| 3269 | 用于Microsoft Global Catalog安全LDAP连接。 | Citrix网关NSIP(或者,如果使用负载均衡器,SNIP) | LDAP认证服务器或Active Directory |
| 4443 | 用于管理员通过浏览器访问Endpoint Management控制台。 | 访问点(浏览器) | 端点管理 |
| 8443 | 用于注册、应用商店和MAM (mobile app management)。 | Citrix网关剪断 | 端点管理 |
| 8443 | 用于安全邮件认证令牌的STA (Secure Ticket Authority)端口 | Citrix网关剪断 | 端点管理 |
网络和防火墙要求
要使设备和应用程序能够与Endpoint Management通信,您需要在防火墙中打开特定的端口。下表列出了这些端口。
开放内部网络到Citrix Cloud的端口:
| TCP端口 | 源IP | 描述 | 目的地 | 目的地IP |
|---|---|---|---|---|
| 443 | 云连接器 | https://*.citrixworkspacesapi.net, https://*.cloud.com(商业),https://*.cloud.us(政府),https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net |
||
| 443 | 管理控制台 | https://*.citrixworkspacesapi.net, https://*.cloud.com(商业),https://*.cloud.us(政府),https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads |
||
| 443 | 终端管理自助门户通过浏览器访问(如果启用了门户) | 端点管理 | ||
| 4443 | 通过浏览器访问端点管理控制台 | 端点管理 |
开放从Internet到DMZ的端口:
| TCP端口 | 描述 | 源IP | 目的地 | 目的地IP |
|---|---|---|---|---|
| 443 | 端点管理客户端设备 | Citrix网关IP | ||
| 443 | 端点管理客户端设备 | Citrix网关贵宾 | ||
| 443 | Citrix文件公共IP | CTX208318 | Citrix网关贵宾 |
从DMZ到内部网络的开放端口:
| TCP端口 | 描述 | 源IP | 目的地 | 目的地IP |
|---|---|---|---|---|
| 389年或636年 | Citrix网关NSIP | Active Directory IP | ||
| 53 (UDP) | Citrix网关NSIP | DNS服务器的IP | ||
| 443 | Citrix网关剪断 | EAS (Exchange)服务器IP | ||
| 443 | Citrix网关剪断 | 内部Web应用程序/服务 | ||
| 443 | Citrix网关剪断 | 存储分区控制器IP |
开放从内部网络到DMZ的端口:
| TCP端口 | 描述 | 源IP | 目的地 | 目的地IP |
|---|---|---|---|---|
| 443 | 管理客户端 | Citrix网关NSIP |
开放内部网络到Internet的端口:
| TCP端口 | 描述 | 源IP | 目的地 | 目的地IP |
|---|---|---|---|---|
| 443 | EAS (Exchange)服务器IP | 端点管理推送通知监听器(1) | ||
| 443 | 存储分区控制器IP | Citrix文件控制平面 | CTX208318 |
(1) us-east-1.mailboxlistener.xm.citrix.com, eu-west-1.mailboxlistener.xm.citrix.com, ap-southeast-1.mailboxlistener.xm.citrix.com
开放公司Wi-Fi到互联网的端口:
| TCP端口 | 描述 | 源IP | 目的地 | 目的地IP |
|---|---|---|---|---|
| 8443/443 | 端点管理客户端设备 | 端点管理 | ||
| 5223 | 端点管理客户端设备 | 苹果前置服务器 | 17.0.0.0/8 |
|
| 5228 | 端点管理客户端设备 | 云重火力点消息 | android.apis.google.com, fcm.googleapis.com |
|
| 5229 | 端点管理客户端设备 | 云重火力点消息 | android.apis.google.com, fcm.googleapis.com |
|
| 5230 | 端点管理客户端设备 | 云重火力点消息 | android.apis.google.com, fcm.googleapis.com |
|
| 443 | 端点管理客户端设备 | 云重火力点消息 | fcm.googleapis.com |
|
| 443 | 端点管理客户端设备 | Windows推送通知服务 | * .notify.windows.com |
|
| 443/80 | 端点管理客户端设备 | 苹果iTunes应用商店 | ax.apps.apple.com, .mzstatic.com, vpp.itunes.apple.com |
|
| 443/80 | 端点管理客户端设备 | 谷歌玩 | Play.google.com, android.clients.google.com, android.l.google.com, android.com, m.giftsix.com |
|
| 443/80 | 端点管理客户端设备 | 微软的应用程序商店 | login.live.com, .notify.windows.com * |
|
| 443 | 端点管理客户端设备 | 终端管理自动发现服务的iOS和Android | discovery.cem.cloud.us |
|
| 443 | 端点管理客户端设备 | 端点管理自动发现服务为Windows | enterpriseenrollment.mycompany.com,discovery.cem.cloud.us |
|
| 443 | 存储分区控制器IP | Citrix文件控制平面 | CTX208318 | |
| 443 | 端点管理客户端设备 | 谷歌移动管理,谷歌api,谷歌Play Store api | * .googleapis.com |
|
| 443 | 端点管理客户端设备 | 对v470以前版本的cloudddpc进行连接性检查。Android连接检查以N MR1要求开始https://www.google.com/generate_204或让给定的Wi-Fi网络指向可达的PAC文件) |
connectivitycheck.android.com, www.google.com |
自动发现服务连接性的端口需求
此端口配置确保通过Secure Hub for Android连接的Android设备可以在内网访问终端管理自动发现服务ADS (Endpoint Management AutoDiscovery service)。在下载ADS提供的任何安全更新时,访问ADS的能力是非常重要的。
注意:
ADS连接可能不支持代理服务器。在这种情况下,允许ADS连接绕过代理服务器。
如果您想要启用证书pin,请完成以下先决条件:
- 收集Endpoint Management服务器和Citrix Gateway证书:证书必须为PEM格式,且必须是公共证书,而不是私钥。
- 联系Citrix Support并请求启用证书pin:在此过程中,要求您提供证书。
证书固定要求设备在注册之前连接到ADS。此要求确保安全集线器可以获得最新的安全信息。安全Hub注册设备时,设备必须到达ADS,因此在内网开放ADS访问是设备注册的关键。
为了允许访问ADS for Secure Hub for Android/iOS,请为以下FQDN打开端口443:
| FQDN | 港口 | IP和端口使用情况 |
|---|---|---|
discovery.cem.cloud.us |
443 | 安全中心-通过CloudFront的ADS通信 |
有关支持的IP地址的信息,请参见AWS的云存储中心.
Android企业网络需求
有关为Android Enterprise设置网络环境时需要考虑的出站连接的信息,请参阅谷歌支持文章,Android企业网络要求.