Dieser Artikel richtet sich an Netzwerkadministratoren aus dem Unternehmens- und Bildungssektor.
Apple-Produkte benötigen für eine Reihe von Diensten den Zugriff auf die Internet-Hosts in diesem Artikel. So stellen Ihre Geräte eine Verbindung zu Hosts her und funktionieren mit Proxys:
- Netzwerkverbindungen zu den unten aufgeführten Hosts werden vom Gerät hergestellt, nicht von Hosts, die von Apple betrieben werden.
- Apple-Dienste können keine Verbindung herstellen, die HTTPS Interception (SSL Inspection) verwendet. Wenn der HTTPS-Datenverkehr einen Web-Proxy durchläuft, deaktivieren Sie HTTPS Interception für die in diesem Artikel aufgeführten Hosts.
Stellen Sie sicher, dass Ihre Apple-Geräte auf die unten aufgeführten Hosts zugreifen können.
Push-Benachrichtigungen von Apple
Erfahren Sie, wie Sie Probleme bei der Verbindung mit dem Push-Benachrichtigungsdienst von Apple (APNs) beheben können. Für Geräte, die den gesamten Datenverkehr über einen HTTP-Proxy senden, können Sie den Proxy entweder manuell auf dem Gerät oder mit einem Konfigurationsprofil konfigurieren. Verbindungen zu APNs schlagen fehl, wenn Geräte für die Verwendung des HTTP-Proxy mit einer PAC-Datei (automatische Proxy-Konfiguration) konfiguriert sind.
Geräteeinrichtung
Der Zugriff auf die folgenden Hosts kann erforderlich sein, wenn Sie Ihr Gerät einrichten oder das Betriebssystem installieren, aktualisieren oder wiederherstellen.
| Hosts | Ports | Protokoll | Betriebssystem | Beschreibung | Unterstützt Proxys |
|---|---|---|---|---|---|
| albert.apple.com | 443 | TCP | iOS, tvOS und macOS | Ja | |
| captive.apple.com | 443, 80 | TCP | iOS, tvOS und macOS | Überprüfung der Internetverbindung für Netzwerke, die Captive-Portale verwenden | Ja |
| gs.apple.com | 443 | TCP | iOS, tvOS und macOS | Ja | |
| time-ios.apple.com | 123 | UDP | Nur iOS | Wird von Geräten zum Einstellen von Datum und Uhrzeit verwendet | Nein |
| time.apple.com | 123 | UDP | iOS, tvOS und macOS | Wird von Geräten zum Einstellen von Datum und Uhrzeit verwendet | Nein |
| time-macos.apple.com | 123 | UDP | Nur macOS | Wird von Geräten zum Einstellen von Datum und Uhrzeit verwendet | Nein |
Geräteverwaltung
Für Geräte, die beim Mobile Device Management (MDM) registriert sind, ist möglicherweise ein Netzwerkzugriff auf die folgenden Hosts erforderlich:
| Hosts | Ports | Protokoll | Betriebssystem | Beschreibung | Unterstützt Proxys |
|---|---|---|---|---|---|
| *.push.apple.com | 443, 80, 5223, 2197 | TCP | iOS, tvOS und macOS | Push-Benachrichtigungen | Weitere Informationen über APNs und Proxys |
| gdmf.apple.com | 443 | TCP | iOS, tvOS und macOS | MDM-Server, um zu ermitteln, welche Softwareaktualisierungen für Geräte verfügbar sind, die verwaltete Softwareaktualisierungen verwenden | Ja |
| deviceenrollment.apple.com | 443 | TCP | iOS, tvOS und macOS | Vorläufige DEP-Registrierung | – |
| deviceservices-external.apple.com | 443 | TCP | iOS, tvOS und macOS | – | |
| identity.apple.com | 443 | TCP | iOS, tvOS und macOS | Portal zum Anfordern von Zertifikaten für APNs | Ja |
| iprofiles.apple.com | 443 | TCP | iOS, tvOS und macOS | Host-Registrierungsprofile, die bei der Registrierung von Geräten über die Geräteregistrierung in Apple School Manager oder Apple Business Manager verwendet werden | Ja |
| mdmenrollment.apple.com | 443 | TCP | iOS, tvOS und macOS | MDM-Server zum Hochladen von Registrierungsprofilen, die von Clients verwendet werden, die sich über die Geräteregistrierung in Apple School Manager oder Apple Business Manager registrieren, sowie zum Nachschlagen von Geräten und Accounts | Ja |
| vpp.itunes.apple.com | 443 | TCP | iOS, tvOS und macOS | MDM-Server zum Ausführen von Aktionen für Apps und Bücher, z. B. Zuweisen oder Widerrufen von Lizenzen auf einem Gerät | Ja |
Softwareaktualisierungen
Stellen Sie sicher, dass Sie auf die folgenden Ports zugreifen können, um macOS und Apps aus dem Mac App Store zu aktualisieren und das Inhaltscaching nutzen zu können.
macOS, iOS und tvOS
Netzwerkzugriff auf die folgenden Hostnamen ist erforderlich, um macOS, iOS und tvOS zu installieren, wiederherzustellen und zu aktualisieren:
| Hosts | Ports | Protokoll | Betriebssystem | Beschreibung | Unterstützt Proxys |
|---|---|---|---|---|---|
| appldnld.apple.com | 80 | TCP | Nur iOS | iOS-Aktualisierungen | Nein |
| gg.apple.com | 443, 80 | TCP | Nur macOS | macOS-Aktualisierungen | Ja |
| gnf-mdn.apple.com | 443 | TCP | Nur macOS | macOS-Aktualisierungen | Ja |
| gnf-mr.apple.com | 443 | TCP | Nur macOS | macOS-Aktualisierungen | Ja |
| gs.apple.com | 443, 80 | TCP | Nur macOS | macOS-Aktualisierungen | Ja |
| ig.apple.com | 443 | TCP | Nur macOS | macOS-Aktualisierungen | Ja |
| mesu.apple.com | 443, 80 | TCP | iOS, tvOS und macOS | Hostet Kataloge mit Softwareaktualisierungen | Nein |
| ns.itunes.apple.com | 443 | TCP | Nur iOS | Ja | |
| oscdn.apple.com | 443, 80 | TCP | Nur macOS | macOS-Wiederherstellung | Nein |
| osrecovery.apple.com | 443, 80 | TCP | Nur macOS | macOS-Wiederherstellung | Nein |
| skl.apple.com | 443 | TCP | Nur macOS | macOS-Aktualisierungen | – |
| swcdn.apple.com | 80 | TCP | Nur macOS | macOS-Aktualisierungen | Nein |
| swdist.apple.com | 443 | TCP | Nur macOS | macOS-Aktualisierungen | Nein |
| swdownload.apple.com | 443, 80 | TCP | Nur macOS | macOS-Aktualisierungen | Ja |
| swpost.apple.com | 80 | TCP | Nur macOS | macOS-Aktualisierungen | Ja |
| swscan.apple.com | 443 | TCP | Nur macOS | macOS-Aktualisierungen | Nein |
| updates-http.cdn-apple.com | 80 | TCP | iOS, tvOS und macOS | Nein | |
| updates.cdn-apple.com | 443 | TCP | iOS, tvOS und macOS | Nein | |
| xp.apple.com | 443 | TCP | iOS, tvOS und macOS | Ja |
App Store
Zum Aktualisieren von Apps ist möglicherweise Zugriff auf die folgenden Hosts erforderlich:
| Hosts | Ports | Protokoll | Betriebssystem | Beschreibung | Unterstützt Proxys |
|---|---|---|---|---|---|
| *.itunes.apple.com | 443, 80 | TCP | iOS, tvOS und macOS | Speichern von Inhalten wie Apps, Bücher und Musik | Ja |
| *.apps.apple.com | 443 | TCP | iOS, tvOS und macOS | Speichern von Inhalten wie Apps, Bücher und Musik | Ja |
| *.mzstatic.com | 443 | TCP | iOS, tvOS und macOS | Speichern von Inhalten wie Apps, Bücher und Musik | – |
| itunes.apple.com | 443, 80 | TCP | iOS, tvOS und macOS | Ja | |
| ppq.apple.com | 443 | TCP | iOS, tvOS und macOS | Validierung von Unternehmens-Apps | – |
Inhaltscaching
Für einen Mac, der das Inhaltscaching in macOS verwendet, ist der Zugriff auf den folgenden Host erforderlich:
| Hosts | Ports | Protokoll | Betriebssystem | Beschreibung | Unterstützt Proxys |
|---|---|---|---|---|---|
| lcdn-registration.apple.com | 443 | TCP | Nur macOS | Registrierung des Inhaltscaching-Servers | Ja |
App-Beurkundung
Ab macOS 10.14.5 wird eine Software vor dem Ausführen auf Beurkundung überprüft. Damit diese Überprüfung erfolgreich ist, muss ein Mac auf dieselben Hosts zugreifen können, die im Abschnitt "Ensure Your Build Server Has Network Access" (Sicherstellen, dass Ihr Build-Server über Netzwerkzugriff verfügt) unter Customizing the Notarization Workflow (Anpassen des Beurkundungs-Workflows) aufgeführt sind:
| Hosts | Ports | Protokoll | Betriebssystem | Beschreibung | Unterstützt Proxys |
|---|---|---|---|---|---|
| 17.248.128.0/18 | 443 | TCP | Nur macOS | Ticket-Bereitstellung | – |
| 17.250.64.0/18 | 443 | TCP | Nur macOS | Ticket-Bereitstellung | – |
| 17.248.192.0/19 | 443 | TCP | Nur macOS | Ticket-Bereitstellung | – |
Validierung von Zertifikaten
Apple-Geräte müssen eine Verbindung zu den folgenden Hosts herstellen können, um die von den oben aufgeführten Hosts verwendeten digitalen Zertifikate zu validieren:
| Hosts | Ports | Protokoll | Betriebssystem | Beschreibung | Unterstützt Proxys |
|---|---|---|---|---|---|
| crl.apple.com | 80 | TCP | iOS, tvOS und macOS | Validierung von Zertifikaten | – |
| crl.entrust.net | 80 | TCP | iOS, tvOS und macOS | Validierung von Zertifikaten | – |
| crl3.digicert.com | 80 | TCP | iOS, tvOS und macOS | Validierung von Zertifikaten | – |
| crl4.digicert.com | 80 | TCP | iOS, tvOS und macOS | Validierung von Zertifikaten | – |
| ocsp.apple.com | 80 | TCP | iOS, tvOS und macOS | Validierung von Zertifikaten | – |
| ocsp.digicert.com | 80 | TCP | iOS, tvOS und macOS | Validierung von Zertifikaten | – |
| ocsp.entrust.net | 80 | TCP | iOS, tvOS und macOS | Validierung von Zertifikaten | – |
| ocsp.verisign.net | 80 | TCP | iOS, tvOS und macOS | Validierung von Zertifikaten | – |
Firewalls
Wenn Ihre Firewall die Verwendung von Hostnamen unterstützt, können Sie möglicherweise die meisten der oben genannten Apple-Dienste nutzen, indem Sie ausgehende Verbindungen zu *.apple.com zulassen. Wenn Ihre Firewall nur mit IP-Adressen konfiguriert werden kann, lassen Sie ausgehende Verbindungen zu 17.0.0.0/8 zu. Der gesamte Adressblock 17.0.0.0/8 ist Apple zugewiesen.
HTTP-Proxy
Sie können Apple-Dienste über einen Proxy verwenden, wenn Sie die Paketprüfung und -authentifizierung für den Datenverkehr zu und von den aufgelisteten Hosts deaktivieren. Ausnahmen hierzu sind oben angegeben. Versuche, eine Inhaltsprüfung für verschlüsselte Kommunikationen zwischen Apple-Geräten und -Diensten durchzuführen, führen zu einem Verbindungsabbruch, um die Plattformsicherheit und den Datenschutz der Benutzer zu gewährleisten.
- Sehen Sie sich die Liste der von Apple-Softwareprodukten verwendeten TCP- und UDP-Ports an.
- Finden Sie heraus, welche Ports vom Profil-Manager in macOS Server verwendet werden.
- Erfahren Sie mehr über macOS-, iOS- und iTunes-Server-Hostverbindungen und iTunes-Hintergrundprozesse.
- Passen Sie den Beurkundungs-Workflow an.