系统要求
等待Citrix预配端点管理时,请务必通过安装云连接器来为您的端点管理部署做好准备。虽然Citrix托管和交付您的端点管理解决方案,但是仍需要某些通信和端口设置。该设置将端点管理体系结构连接到企业服务,例如Active Directory。
云连接器要求
Citrix使用云连接器将端点管理体系结构集成到您的现有体系结构中。云连接器通过端口 443 将以下资源位置安全地集成到 Endpoint Management 中:LDAP、PKI 服务器、内部 DNS 查询以及 Citrix Workspace 枚举。
至少两台加入到您的活动目录域的专用Windows Server计算机。这些计算机可以是虚拟机,也可以是物理机。要在其中安装连接器的计算机必须与UTC时间同步,以实现正确的安装和操作。有关最新要求的完整列表,请参阅您的Citrix帐户团队提供的部署资料。
入门向导引导您完成在这些计算机上安装云连接器的过程。
有关更多平台系统要求,请参阅Citrix云连接器。
支持的Active Directory功能级别
Citrix云连接器支持Active Directory中的以下林和域功能级别,以便与端点管理结合使用。
| 林功能级别 | 域功能级别 | 支持的域控制器 |
|---|---|---|
| Windows Server 2008 R2 | Windows Server 2008 R2 | Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 | Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2008 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 | Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 |
| Windows Server 2012 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2012 R2 | Windows Server 2012 R2, Windows Server 2016 |
| Windows Server 2012 R2 | Windows Server 2016 | Windows Server 2016 |
| Windows Server 2016 | Windows Server 2016 | Windows Server 2016 |
Citrix Gateway要求
端点管理要求针对以下场景在您的资源位置中安装Citrix网关:
- 您需要Micro VPN才能访问业务线应用的内部网络资源。这些应用程序通过Citrix MDX技术封装。Micro VPN需要Citrix Gateway连接到内部后端基础结构。
- 您计划使用Citrix移动生产力应用程序,例如Citrix安全邮件。
- 您计划将Endpoint Management与Microsoft Endpoint Manager集成。
要求:
- 域(ldap)身份验证
- Citrix Gateway 12.1或更高版本,具有平台/通用许可证
有关详细信息,请参阅许可。
- 公用SSL证书。
有关详细信息,请参阅在Citrix ADC设备上创建和使用SSL证书。
- Citrix Gateway虚拟服务器的未使用公用IP地址
- Citrix Gateway虚拟服务器的公共可解析完全限定域名(FQDN)
- 云托管端点管理中间证书和根证书(在脚本包中提供)
- 代理负载平衡器IP的未使用内部专用IP地址
- 有关端口要求,请参阅本文后面的Citrix Gateway端口要求。
- Citrix端点管理与微软端点管理器的集成
- 在微软Azure上部署Citrix ADC VPX实例
有关Citrix Gateway要求的信息,请参阅Citrix客户团队提供的部署材料。
有关Android Enterprise要求的信息,请参阅Android的企业部分。
Citrix文件要求
Citrix文件文件同步和共享服务在端点管理溢价服务方案中可用。存储区域控制器通过向Citrix文件帐户提供专用数据存储来扩展Citrix文件软件即服务(SaaS)云存储。
存储区域控制器要求:
- 专用物理机或虚拟机
- Windows Server 2012 R2或Windows Server 2016
- 2个vCPU
- 4 gb ram
- 50gb硬盘空间
Web服务器(IIS)的服务器角色:
- 应用程序开发:asp。4.5.2净
- 安全性:基本身份验证
- 安全性:Windows身份验证
Citrix文件平台要求:
- Citrix Files安装程序要求在Windows Server上具有管理权限
- Citrix文件管理员用户名
端口要求
要使设备和应用程序能够与端点管理通信,应在防火墙中打开特定端口。下图显示了终端管理的流量图。
以下部分列出了必须打开的端口。有关移动生产力应用程序使用的url的信息,请参阅功能标志管理。
Citrix Gateway端口要求
打开端口以允许用户通过Citrix Gateway从Citrix Secure Hub和Citrix Workspace连接到:
- 端点管理
- 店面
- 其他内部网络资源,例如内网Web站点
有关Citrix Gateway的更多信息,请参阅Citrix Gateway文档中的配置Citrix Endpoint Management环境的设置。有关IP地址的信息,请参阅Citrix Gateway文档中的Citrix Gateway如何使用IP地址。
| TCP端口 | 说明 | 源 | 目标 |
|---|---|---|---|
| 53(tcp和udp) | 用于DNS连接。 | Citrix Gateway SNIP | DNS服务器 |
| 80/443 | Citrix Gateway通过第二个防火墙将Micro VPN连接传递到内部网络资源。 | Citrix Gateway SNIP | 内网Web站点 |
| 123(tcp和udp) | 用于网络时间协议(ntp)服务。 | Citrix Gateway SNIP | NTP服务器 |
| 389 | 用于非安全ldap连接。 | Citrix Gateway NSIP(或者SNIP,如果使用负载平衡器) | LDAP身份验证服务器或Microsoft Active Directory |
| 443 | 用于从Citrix Workspace到Citrix Virtual Apps and desktop与StoreFront的连接。 | 互联网 | Citrix网关 |
| 443 | 用于连接到端点管理以实现网络,移动和SaaS应用程序交付。 | 互联网 | Citrix网关 |
| 443 | 用于Cloud Connector通信- LDAP、DNS、PKI和Citrix Workspace枚举 | 云连接器服务器 | https://*.citrixworkspacesapi.net, https://*.cloud.com(商业),https://*.cloud.us(政府),https://*.blob.core.windows.net/, https://*.servicebus.windows.net |
| 443 | 用于通过浏览器访问端点管理自助服务门户(如果已启用)。 | 访问点(浏览器) | 终结点管理(https:// < sitename > / zdm /轴马力) |
| 636 | 用于安全ldap连接。 | Citrix Gateway NSIP(或者SNIP,如果使用负载平衡器) | LDAP身份验证服务器或Active Directory |
| 1494 | 用于与内部网络中基于Windows应用程序的ICA连接。思杰建议保持此端口处于打开状态。 | Citrix Gateway SNIP | Citrix虚拟应用程序和桌面 |
| 1812 | 用于radius连接。 | Citrix Gateway NSIP | 半径身份验证服务器 |
| 2598 | 用于使用会话可靠性连接到内部网络中基于Windows的应用程序。思杰建议保持此端口处于打开状态。 | Citrix Gateway SNIP | Citrix虚拟应用程序和桌面 |
| 3269 | 用于微软全球目录安全LDAP连接。 | Citrix Gateway NSIP(或者SNIP,如果使用负载平衡器) | LDAP身份验证服务器或Active Directory |
| 4443 | 用于管理员通过浏览器访问终端管理控制台。 | 访问点(浏览器) | 端点管理 |
| 8443 | 用于注册,应用商店和移动应用程序管理(妈)。 | Citrix Gateway SNIP | 端点管理 |
| 8443 | 用于安全邮件身份验证令牌的安全票务机构(STA)端口 | Citrix Gateway SNIP | 端点管理 |
网络和防火墙要求
要使设备和应用程序能够与端点管理通信,应在防火墙中打开特定端口。下表列出了这些端口。
打开从内部网络到思杰云的端口:
| TCP端口 | 源IP | 说明 | 目标 | 目标IP |
|---|---|---|---|---|
| 443 | 云连接器 | https://*.citrixworkspacesapi.net, https://*.cloud.com(商业),https://*.cloud.us(政府),https://*.sharefile.com, https://cwsproduction.blob.core.wind ows.net/downloads, https://*.servicebus.windows.net |
||
| 443 | 管理控制台 | https://*.citrixworkspacesapi.net, https://*.cloud.com(商业),https://*.cloud.us(政府),https://*.citrix.com, https://cwsproduction.blob.core.windows.net/downloads |
||
| 443 | 端点管理自助服务门户通过浏览器访问(如果启用了该门户) | 端点管理 | ||
| 4443 | 通过浏览器访问终端管理控制台 | 端点管理 |
打开从互联网到DMZ的端口:
| TCP端口 | 说明 | 源IP | 目标 | 目标IP |
|---|---|---|---|---|
| 443 | 端点管理客户端设备 | Citrix网关IP | ||
| 443 | 端点管理客户端设备 | Citrix Gateway VIP | ||
| 443 | Citrix Files公用IP | CTX208318 | Citrix Gateway VIP |
打开从DMZ到内部网络的端口:
| TCP端口 | 说明 | 源IP | 目标 | 目标IP |
|---|---|---|---|---|
| 389 或 636 | Citrix Gateway NSIP | Active Directory IP | ||
| 53 (UDP) | Citrix Gateway NSIP | DNS服务器IP地址 | ||
| 443 | Citrix Gateway SNIP | EAS (Exchange)服务器IP | ||
| 443 | Citrix Gateway SNIP | 内部Web应用程序/服务 | ||
| 443 | Citrix Gateway SNIP | 存储区域控制器IP |
打开从内部网络到DMZ的端口:
| TCP端口 | 说明 | 源IP | 目标 | 目标IP |
|---|---|---|---|---|
| 443 | 管理客户端 | Citrix Gateway NSIP |
打开从内部网络到互联网的端口:
| TCP端口 | 说明 | 源IP | 目标 | 目标IP |
|---|---|---|---|---|
| 443 | EAS (Exchange)服务器IP | 端点管理推送通知侦听器(1) | ||
| 443 | 存储区域控制器IP | Citrix文件控制平面 | CTX208318 |
(1) us-east 1.mailboxlistener.xm.citrix.com, eu-west1.mailboxlistener.xm.citrix.com, ap-southet-1.mailboxlistener.xm.citrix.com
打开从企业Wi-Fi到互联网的端口:
| TCP端口 | 说明 | 源IP | 目标 | 目标IP |
|---|---|---|---|---|
| 8443/443 | 端点管理客户端设备 | 端点管理 | ||
| 5223 | 端点管理客户端设备 | 苹果APNS服务器 | 17.0.0.0/8 |
|
| 5228 | 端点管理客户端设备 | Firebase云消息传递 | android.apis.google.com, fcm.googleapis.com |
|
| 5229 | 端点管理客户端设备 | Firebase云消息传递 | android.apis.google.com, fcm.googleapis.com |
|
| 5230 | 端点管理客户端设备 | Firebase云消息传递 | android.apis.google.com, fcm.googleapis.com |
|
| 443 | 端点管理客户端设备 | Firebase云消息传递 | fcm.googleapis.com |
|
| 443 | 端点管理客户端设备 | Windows推送通知服务 | * .notify.windows.com |
|
| 443/80 | 端点管理客户端设备 | 苹果iTunes应用商店 | Ax.apps.apple.com, *.mzstatic.com, vpp.itunes.apple.com |
|
| 443/80 | 端点管理客户端设备 | 谷歌玩 | play。google.com, android.clients.google.com, android.l.google.com, android.com, m.giftsix.com |
|
| 443/80 | 端点管理客户端设备 | 微软应用商店 | login.live.com, .notify.windows.com * |
|
| 443 | 端点管理客户端设备 | 适用于iOS和Android的Endpoint Management自动发现服务 | discovery.cem.cloud.us |
|
| 443 | 端点管理客户端设备 | 适用于Windows的Endpoint Management自动发现服务 | enterpriseenrollment.mycompany.com,discovery.cem.cloud.us |
|
| 443 | 存储区域控制器IP | Citrix文件控制平面 | CTX208318 | |
| 443 | 端点管理客户端设备 | 谷歌移动管理,谷歌API,谷歌播放应用商店API | * .googleapis.com |
|
| 443 | 端点管理客户端设备 | v470之前的CloudDPC版本的连接性检查。自N MR1起的Android连接检查要求https://www.google.com/generate_204可访问,或者要求指定的Wi-Fi网络指向可访问的PAC文件) |
connectivitycheck.android.com, www.google.com |
自动发现服务连接的端口要求
此端口配置可确保安全中心从Android连接的Android设备能够从内部网络访问端点管理自动发现服务(广告)。下载通过广告提供的任何安全更新时能够访问广告非常重要。
注意:
广告连接可能不支持您的代理服务器。在这种情况下,允许广告连接跳过代理服务器。
如果您希望启用证书固定,请完成以下必备条件:
- 收集Endpoint Management服务器和Citrix Gateway证书:证书必须采用pem格式,且必须是公有证书而不是私钥。
- 请联系Citrix支持部门并发出启用证书固定的请求:在此过程中,系统会要求您提供证书。
证书固定功能要求设备先连接到广告,然后再注册。此要求可确保最新的安全信息对安全中心可用。为了安全中心注册设备,该设备必须访问ADS。因此,在内部网络中打开广告访问功能对启用设备注册非常重要。
要允许访问适用于Android / iOS的安全中心的广告,请为以下FQDN打开端口443:
| FQDN | 端口 | IP和端口用法 |
|---|---|---|
discovery.cem.cloud.us |
443 | 安全中心-通过CloudFront进行的ADS |
有关支持的IP地址的信息,请参阅Aws提供的基于云的存储中心。
Android Enterprise网络要求
有关为Android企业设置网络环境时要考虑的出站连接的信息,请参阅谷歌支持文章Android企业网需求(Android Enterprise网络要求)。