Поделиться через


Порты и протоколы, необходимые для гибридной идентификации

Следующий документ представляет собой технический справочник по портам и протоколам, которые необходимы для реализации решения для гибридной идентификации. Используйте приведенный ниже рисунок и соответствующую таблицу.

What is Microsoft Entra Connect

Таблица 1. Microsoft Entra Подключение и локальная служба AD

В этой таблице описываются порты и протоколы, необходимые для обмена данными между сервером Microsoft Entra Подключение и локальным AD.

Протокол Порты Description
DNS 53 (TCP или UDP) Поиски DNS в лесу назначения.
Kerberos 88 (TCP или UDP) Проверка подлинности Kerberos для леса AD.
MS-RPC 135 (TCP) Используется во время начальной настройки мастера Microsoft Entra Подключение при привязке к лесу AD, а также во время синхронизации паролей.
LDAP 389 (TCP или UDP) Используется для импорта данных из AD. Данные шифруются с помощью функции подписи и запечатывания Kerberos.
SMB 445 (TCP) Используется функцией простого единого входа для создания учетной записи компьютера в лесу AD и во время обратной записи паролей. Дополнительные сведения см. в статье Изменение пароля учетной записи пользователя.
LDAP или SSL 636 (TCP или UDP) Используется для импорта данных из AD. Передача данных подписывается и шифруется. Используется только с SSL.
RPC 49152- 65535 (произвольные верхние порты RPC) (TCP) Используется во время начальной настройки Microsoft Entra Подключение при привязке к лесам AD и во время синхронизации паролей. Если динамический порт был изменен, необходимо открыть этот порт. Дополнительную информацию см. в статьях базы знаний KB929851, KB832017 и KB224196.
WinRM 5985 (TCP) Используется только при установке AD FS с gMSA мастером Microsoft Entra Подключение
Веб-службы AD DS 9389 (TCP) Используется только при установке AD FS с gMSA мастером Microsoft Entra Подключение
Глобальный каталог 3268 (TCP) Используется функцией простого единого входа для запроса глобального каталога в лесу перед созданием учетной записи компьютера в домене.

Таблица 2. Идентификатор Microsoft Entra Подключение и Microsoft Entra

В этой таблице описываются порты и протоколы, необходимые для обмена данными между сервером Microsoft Entra Подключение и идентификатором Microsoft Entra.

Протокол Порты Description
HTTP 80 (TCP) Используется для скачивания CRL (списки отзыва сертификатов) для проверки сертификатов TLS/SSL.
HTTPS 443 (TCP) Используется для синхронизации с идентификатором Microsoft Entra.

Список URL-адресов и IP-адресов, которые необходимо открыть в брандмауэре, см. в разделе URL-адреса Office 365 и диапазоны IP-адресов, а также устранение неполадок с подключением Microsoft Entra Подключение.

Таблица 3. Microsoft Entra Подключение и серверы федерации AD FS/WAP

В этой таблице описываются порты и протоколы, необходимые для обмена данными между сервером Microsoft Entra Подключение и серверами федерации AD FS или WAP.

Протокол Порты Description
HTTP 80 (TCP) Используется для скачивания CRL (списки отзыва сертификатов) для проверки сертификатов TLS/SSL.
HTTPS 443 (TCP) Используется для синхронизации с идентификатором Microsoft Entra.
WinRM 5985 Прослушиватель WinRM

Таблица 4. Серверы WAP и серверы федерации

В этой таблице описываются порты и протоколы, необходимые для взаимодействия между серверами федерации и серверами WAP.

Протокол Порты Description
HTTPS 443 (TCP) Используется для проверки подлинности.

Таблица 5. WAP и пользователи

В этой таблице описываются порты и протоколы, необходимые для взаимодействия между пользователями и серверами WAP.

Протокол Порты Description
HTTPS 443 (TCP) Используется для проверки подлинности устройств.
TCP 49443 (TCP) Используется для проверки подлинности с помощью сертификата.

Таблицы 6a и 6b. Сквозная аутентификация с помощью единого входа (SSO) и синхронизация хэша паролей с помощью единого входа (SSO)

В следующих таблицах описываются порты и протоколы, необходимые для обмена данными между microsoft Entra Подключение и идентификатором Microsoft Entra.

Таблица 6a. Сквозная аутентификация с помощью SSO

Протокол Порты Description
HTTP 80 (TCP) Используется для скачивания CRL (списки отзыва сертификатов) для проверки сертификатов TLS/SSL. Оно также требуется для правильной работы автоматического обновления соединителя.
HTTPS 443 (TCP) Используется для включения и отключения функции, регистрации соединителей, загрузки обновлений соединителя и обработки всех запросов пользователей на вход.

Кроме того, Microsoft Entra Подключение должны иметь возможность выполнять прямые IP-подключения к диапазонам IP-адресов центра обработки данных Azure.

Таблица 6b. Синхронизация хэша паролей с помощью SSO

Протокол Порты Description
HTTPS 443 (TCP) Используется для включения регистрации единого входа (требуется только для процесса регистрации единого входа).

Кроме того, Microsoft Entra Подключение должны иметь возможность выполнять прямые IP-подключения к диапазонам IP-адресов центра обработки данных Azure. Опять же, это необходимо только для процесса регистрации единого входа.

Таблица 7a и 7b — агент работоспособности Microsoft Entra Подключение для (AD FS/Sync) и идентификатор Microsoft Entra

В следующих таблицах описываются конечные точки, порты и протоколы, необходимые для обмена данными между агентами Работоспособности Microsoft Entra Подключение и идентификатором Microsoft Entra.

Таблица 7a. Порты и протоколы для агента работоспособности Microsoft Entra Подключение для (AD FS/Sync) и идентификатора Microsoft Entra

В этой таблице описаны следующие исходящие порты и протоколы, необходимые для обмена данными между агентами Microsoft Entra Подключение Health и идентификатором Microsoft Entra.

Протокол Порты Description
Служебная шина Azure 5671 (TCP) Используется для отправки сведений о работоспособности в идентификатор Microsoft Entra. (рекомендуется, но не требуется в последних версиях)
HTTPS 443 (TCP) Используется для отправки сведений о работоспособности в идентификатор Microsoft Entra. (восстановление размещения)

Если порт 5671 заблокирован, агент возвращается к 443, но рекомендуется использовать 5671. Эта конечная точка не требуется в последней версии агента. Для последних версий агента работоспособности Microsoft Entra Подключение требуется только порт 443.

7b. Конечные точки для агента работоспособности Microsoft Entra Подключение для (AD FS/Sync) и идентификатора Microsoft Entra

Список конечных точек см. в разделе "Требования" для агента Microsoft Entra Подключение Health.