La identidad híbrida requería puertos y protocolos
El documento siguiente es una referencia técnica sobre los puertos y protocolos para implementar una solución de identidad híbrida. Use la siguiente ilustración y consulte la tabla correspondiente.
Tabla 1: Azure AD Connect y AD local
En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre el servidor de Azure AD Connect y AD local.
| Protocolo | Puertos | Descripción |
|---|---|---|
| DNS | 53 (TCP/UDP) | Búsquedas DNS en el bosque de destino. |
| Kerberos | 88 (TCP/UDP) | Autenticación Kerberos para el bosque de AD. |
| MS-RPC | 135 (TCP) | Se usa durante la configuración inicial del Asistente para Azure AD Connect, cuando se enlaza con el bosque de AD, además de durante la sincronización de contraseñas. |
| LDAP | 389 (TCP/UDP) | Se usa para la importación de datos de AD. Los datos se cifran con Kerberos Sign & Seal. |
| SMB | 445 (TCP) | Inicio de sesión único de conexión directa lo usa para crear una cuenta de equipo en el bosque de AD y durante la escritura diferida de contraseñas. Para más información, consulte el artículo que incluye un ejemplo de cambio del tipo de cuenta de un usuario. |
| LDAP/SSL | 636 (TCP/UDP) | Se usa para la importación de datos de AD. La transferencia de datos se firma y se cifra. Solo se utiliza si está usando TLS. |
| RPC | 49152 - 65535 (Puerto RPC alto aleatorio) (TCP) | Se usa durante la configuración inicial de Azure AD Connect, cuando se enlaza con los bosques de AD, además de durante la sincronización de contraseñas. Si se ha cambiado el puerto dinámico, debe abrir ese puerto. Consulte KB929851, KB832017 y KB224196 para más información. |
| WinRM | 5985 (TCP) | Solo se usa si va a instalar AD FS con gMSA del asistente Azure AD Connect. |
| Servicios web de AD DS | 9389 (TCP) | Solo se usa si va a instalar AD FS con gMSA del asistente Azure AD Connect. |
| Catálogo global | 3268 (TCP) | Inicio de sesión único de conexión directa lo usa para consultar el catálogo global en el bosque antes de crear una cuenta de equipo en el dominio. |
Tabla 2: Azure AD Connect y Azure AD
En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre el servidor de Azure AD Connect y Azure AD.
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTP | 80 (TCP) | Se usa para descargar CRL (listas de revocación de certificados) para comprobar certificados TLS/SSL. |
| HTTPS | 443 (TCP) | Se usa para sincronizar con Azure AD. |
Para obtener una lista de las direcciones URL y direcciones IP que necesita abrir en el firewall, consulte URL de Office 365 e intervalos de direcciones IP y Solución de problemas de conectividad en Azure AD Connect.
Tabla 3: Azure AD Connect y servidores de federación AD FS/WAP
En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre el servidor de Azure AD Connect y servidores de federación AD FS/WAP.
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTP | 80 (TCP) | Se usa para descargar CRL (listas de revocación de certificados) para comprobar certificados TLS/SSL. |
| HTTPS | 443 (TCP) | Se usa para sincronizar con Azure AD. |
| WinRM | 5985 | Agente de escucha de WinRM |
Tabla 4: Servidores de federación y WAP
En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre los servidores de federación y los servidores WAP.
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTPS | 443 (TCP) | Se usa para autenticación. |
Tabla 5 - WAP y usuarios
En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre los usuarios y los servidores WAP.
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTPS | 443 (TCP) | Se usa para la autenticación de dispositivos. |
| TCP | 49443 (TCP) | Se usa para la autenticación de certificados. |
Tabla 6a y 6b: autenticación transferida con inicio de sesión único (SSO) y sincronización de hash de contraseña con inicio de sesión único (SSO)
Las siguientes tablas describen los puertos y protocolos que son necesarios para la comunicación entre Azure AD Connect y Azure AD.
Tabla 6a: autenticación de paso a través con SSO
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTP | 80 (TCP) | Se usa para descargar CRL (listas de revocación de certificados) para comprobar certificados TLS/SSL. También se necesita para que la funcionalidad de actualización automática del conector se lleve a cabo correctamente. |
| HTTPS | 443 (TCP) | Se usa para habilitar y deshabilitar la característica, registrar conectores, descargar actualizaciones de los conectores y controlar todas las solicitudes de inicio de sesión de los usuarios. |
Además, Azure AD Connect debe ser capaz de establecer conexiones directas de IP con intervalos de direcciones IP del centro de datos de Azure.
Tabla 6b: sincronización de Hash de contraseña con SSO
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTPS | 443 (TCP) | Se usa para habilitar el registro de SSO (solo es necesario para el proceso de registro de SSO). |
Además, Azure AD Connect debe ser capaz de establecer conexiones directas de IP con intervalos de direcciones IP del centro de datos de Azure. Una vez más, esto solo es necesario para el proceso de registro SSO.
Tabla 7a y 7b: agente de Azure AD Connect Health para (AD FS/sincronización) y Azure AD
En las tablas siguientes se describen los puntos de conexión, puertos y protocolos que son necesarios para la comunicación entre los agentes de Azure AD Connect Health y Azure AD.
Tabla 7a: Puertos y protocolos para el agente de Azure AD Connect Health para (AD FS/sincronización) y Azure AD
En esta tabla se describen los siguientes puertos y protocolos de salida que son necesarios para la comunicación entre los agentes de Azure AD Connect Health y Azure AD.
| Protocolo | Puertos | Descripción |
|---|---|---|
| Azure Service Bus | 5671 (TCP) | Se usa para enviar información sobre el estado a Azure AD. (Se recomienda pero no es necesario en las versiones más recientes). |
| HTTPS | 443 (TCP) | Se usa para enviar información sobre el estado a Azure AD. (Conmutación por recuperación). |
Si el puerto 5671 está bloqueado, el agente recurre al 443, aunque se recomienda el uso del 5671. Este punto de conexión no es necesario en la versión más reciente del agente. Las versiones más recientes del agente de Azure AD Connect Health solo necesitan el puerto 443.
7b: Puntos de conexión para el agente de Azure AD Connect Health para (AD FS/sincronización) y Azure AD
Para ver una lista de puntos de conexión, consulte la sección de requisitos para el agente de Azure AD Connect Health.