VMware Horizon 使用 TCP 和 UDP 端口进行组件之间的网络访问。
在安装过程中,VMware Horizon 可以选择性地配置 Windows 防火墙规则以打开默认使用的端口。要在安装后更改默认端口,必须手动重新配置 Windows 防火墙规则以允许通过更新后的端口进行访问。请参阅《Horizon 安装指南》文档中的“替换 VMware Horizon 服务的默认端口”。
有关 VMware Horizon 用于进行与 TrueSSO 解决方案有关的证书登录的端口列表,请参阅 VMware Horizon TrueSSO 端口。
源 | 端口 | 目标 | 端口 | 协议 | 说明 |
---|---|---|---|---|---|
连接服务器或 Unified Access Gateway 设备 | 55000 | Horizon Agent | 4172 | UDP | PCoIP(非 SALSA20)(如果使用 PCoIP 安全网关)。 |
连接服务器或 Unified Access Gateway 设备 | 4172 | Horizon Client | * | UDP | PCoIP(非 SALSA20)(如果使用 PCoIP 安全网关)。
注: 由于目标端口有所不同,请参阅此表格下面的注释。
|
连接服务器或 Unified Access Gateway 设备 | * | Horizon Agent | 3389 | TCP | 指向 VMware Horizon 桌面的 Microsoft RDP 流量(使用安全加密链路连接时)。 |
连接服务器或 Unified Access Gateway 设备 | * | Horizon Agent | 9427 | TCP | Windows 多媒体重定向、客户端驱动器重定向、Microsoft Teams 优化、HTML5 多媒体重定向、VMware 打印机重定向和 USB 重定向(使用安全加密链路连接时)。 |
连接服务器或 Unified Access Gateway 设备 | * | Horizon Agent | 32111 | TCP | USB 重定向和时区同步(使用安全加密链路连接时)。 |
连接服务器或 Unified Access Gateway 设备 | * | Horizon Agent | 4172 | TCP | PCoIP(如果使用 PCoIP 安全网关)。 |
连接服务器或 Unified Access Gateway 设备 | * | Horizon Agent | 22443 | TCP | VMware Blast Extreme(如果使用 Blast 安全网关)。 |
连接服务器或 Unified Access Gateway 设备 | * | Horizon Agent | 22443 | TCP | HTML Access(如果使用 Blast 安全网关)。 |
Horizon Agent | 4172 | Horizon Client | * | UDP | PCoIP(如果未使用 PCoIP 安全网关)。
注: 由于目标端口有所不同,请参阅此表格下面的注释。
|
Horizon Agent | 4172 | 连接服务器或 Unified Access Gateway 设备 | 55000 | UDP | PCoIP(非 SALSA20)(如果使用 PCoIP 安全网关)。 |
Horizon Agent | 4172 | Unified Access Gateway 设备 | * | UDP | PCoIP。VMware Horizon 桌面和应用程序将 PCoIP 数据从 UDP 端口 4172 发回到 Unified Access Gateway 设备。 UDP 目标端口将作为已接收 UDP 数据包的源端口,由于是回复数据,通常不需要为此添加明确的防火墙规则。 |
Horizon Agent(未受管) | * | 连接服务器实例 | 389 | TCP | 在安装未受管代理过程中进行 AD LDS 访问。
注: 有关此端口的其他用途,请参阅此表下面的注释。
|
Horizon Client | * | 连接服务器或 Unified Access Gateway 设备 | 80 | TCP | 默认情况下启用 TLS(HTTPS 访问)进行客户端连接,但是在特定情况下可以使用端口 80(HTTP 访问)。请参阅VMware Horizon 中的 HTTP 重定向。 |
Horizon Client | * | 连接服务器或 Unified Access Gateway 设备 | 443 | TCP | 用于登录 VMware Horizon 的 HTTPS。(在使用安全加密链路连接时此端口还用于转发)。 |
Horizon Client | * | 连接服务器或 Unified Access Gateway 设备 | 4172 | TCP 和 UDP | PCoIP(如果使用 PCoIP 安全网关)。 |
Horizon Client | * | Horizon Agent | 3389 | TCP | 指向 VMware Horizon 桌面的 Microsoft RDP 流量(如果使用直接连接而不是安全加密链路连接)。 |
Horizon Client | * | Horizon Agent | 9427 | TCP | Windows 多媒体重定向、客户端驱动器重定向、Microsoft Teams 优化、HTML5 多媒体重定向、VMware 打印机重定向和 USB 重定向(使用直接连接而不是安全加密链路连接时)。 |
Horizon Client | * | Horizon Agent | 32111 | TCP | USB 重定向和时区同步(如果使用直接连接而不是安全加密链路连接)。 |
Horizon Client | * | Horizon Agent | 4172 | TCP 和 UDP | PCoIP(如果未使用 PCoIP 安全网关)。
注: 由于源端口有所不同,请参阅此表格下面的注释。
|
Horizon Client | * | Horizon Agent | 22443 | TCP 和 UDP | VMware Blast |
Horizon Client | * | 连接服务器或 Unified Access Gateway 设备 | 4172 | TCP 和 UDP | PCoIP(非 SALSA20)(如果使用 PCoIP 安全网关)。
注: 由于源端口有所不同,请参阅此表格下面的注释。
|
Web 浏览器 | * | Unified Access Gateway 设备 | 8443 | TCP | HTML Access。 |
连接服务器 | * | 连接服务器 | 48080 | TCP | 用于连接服务器组件之间的内部通信。 |
连接服务器 | * | vCenter Server | 80 | TCP | SOAP 消息(如果对 vCenter Server 访问禁用 TLS)。 |
连接服务器 | * | vCenter Server | 443 | TCP | SOAP 消息(如果对 vCenter Server 访问启用 TLS)。 |
连接服务器 | * | 连接服务器 | 4100 | TCP | JMS 路由器之间的流量。 |
连接服务器 | * | 连接服务器 | 4101 | TCP | JMS TLS 路由器之间的流量。 |
连接服务器 | * | 连接服务器 | 8472 | TCP | 用于 Cloud Pod 架构中的容器间通信。 |
连接服务器 | * | 连接服务器 | 22389 | TCP | 用于在 Cloud Pod 架构中进行全局 LDAP 复制。 |
连接服务器 | * | 连接服务器 | 22636 | TCP | 用于在 Cloud Pod 架构中进行安全的全局 LDAP 复制。 |
连接服务器 | * | 连接服务器 | 32111 | TCP | 密钥共享流量。 |
连接服务器 | * | 证书颁发机构 | * | HTTP、HTTPS | CRL 或 OCSP 查询 |
Unified Access Gateway 设备 | * | 连接服务器或负载均衡器 | 443 | TCP | HTTPS 访问。Unified Access Gateway 设备通过 TCP 端口 443 进行连接,以便与一个连接服务器实例或多个连接服务器实例前面的负载均衡器进行通信。 |
Horizon Help Desk Tool | * | Horizon Agent | 3389 | TCP | 传输到 Horizon 桌面的 Microsoft RDP 流量,用于远程协助。 |
注: 客户端用于 PCoIP 的 UDP 端口号可能会发生更改。如果正在使用端口 50002,客户端将选择 50003。如果正在使用端口 50003,客户端将选择 50004,依此类推。您必须使用
ANY 配置防火墙(表中列出星号 (*) 的情况)。
注: Microsoft Windows Server 要求在
VMware Horizon 环境中的所有连接服务器之间打开一系列动态端口。Microsoft Windows 需要使用这些端口来执行常规的远程过程调用 (RPC) 和 Active Directory 复制操作。有关动态端口范围的更多信息,请参阅 Microsoft Windows Server 文档。
注: 在连接服务器实例上,可通过访问端口 389 来建立不常见的临时连接。在安装此表中所示的未受管代理时、在使用 LDAP 编辑器直接编辑数据库时,以及在使用 repadmin 等工具颁发命令时,可以访问此端口。安装 AD LDS 时,将出于这些目的创建防火墙规则,但是如果不需要访问此端口,可以将其禁用。
注: 默认情况下,VMware Blast Extreme 自适应传输会从临时端口范围 49152-65535 开始,预留一些端口。请参阅知识库文章
52558。