La identidad híbrida requería puertos y protocolos

El documento siguiente es una referencia técnica sobre los puertos y protocolos para implementar una solución de identidad híbrida. Use la siguiente ilustración y consulte la tabla correspondiente.

Qué es Azure AD Connect

Tabla 1: Azure AD Connect y AD local

En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre el servidor de Azure AD Connect y AD local.

Protocolo Puertos Descripción
DNS 53 (TCP/UDP) Búsquedas DNS en el bosque de destino.
Kerberos 88 (TCP/UDP) Autenticación Kerberos para el bosque de AD.
MS-RPC 135 (TCP) Se usa durante la configuración inicial del Asistente para Azure AD Connect, cuando se enlaza con el bosque de AD, además de durante la sincronización de contraseñas.
LDAP 389 (TCP/UDP) Se usa para la importación de datos de AD. Los datos se cifran con Kerberos Sign & Seal.
SMB 445 (TCP) Inicio de sesión único de conexión directa lo usa para crear una cuenta de equipo en el bosque de AD y durante la escritura diferida de contraseñas. Para más información, consulte el artículo que incluye un ejemplo de cambio del tipo de cuenta de un usuario.
LDAP/SSL 636 (TCP/UDP) Se usa para la importación de datos de AD. La transferencia de datos se firma y se cifra. Solo se utiliza si está usando TLS.
RPC 49152 - 65535 (Puerto RPC alto aleatorio) (TCP) Se usa durante la configuración inicial de Azure AD Connect, cuando se enlaza con los bosques de AD, además de durante la sincronización de contraseñas. Si se ha cambiado el puerto dinámico, debe abrir ese puerto. Consulte KB929851, KB832017 y KB224196 para más información.
WinRM 5985 (TCP) Solo se usa si va a instalar AD FS con gMSA del asistente Azure AD Connect.
Servicios web de AD DS 9389 (TCP) Solo se usa si va a instalar AD FS con gMSA del asistente Azure AD Connect.
Catálogo global 3268 (TCP) Inicio de sesión único de conexión directa lo usa para consultar el catálogo global en el bosque antes de crear una cuenta de equipo en el dominio.

Tabla 2: Azure AD Connect y Azure AD

En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre el servidor de Azure AD Connect y Azure AD.

Protocolo Puertos Descripción
HTTP 80 (TCP) Se usa para descargar CRL (listas de revocación de certificados) para comprobar certificados TLS/SSL.
HTTPS 443 (TCP) Se usa para sincronizar con Azure AD.

Para obtener una lista de las direcciones URL y direcciones IP que necesita abrir en el firewall, consulte URL de Office 365 e intervalos de direcciones IP y Solución de problemas de conectividad en Azure AD Connect.

Tabla 3: Azure AD Connect y servidores de federación AD FS/WAP

En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre el servidor de Azure AD Connect y servidores de federación AD FS/WAP.

Protocolo Puertos Descripción
HTTP 80 (TCP) Se usa para descargar CRL (listas de revocación de certificados) para comprobar certificados TLS/SSL.
HTTPS 443 (TCP) Se usa para sincronizar con Azure AD.
WinRM 5985 Agente de escucha de WinRM

Tabla 4: Servidores de federación y WAP

En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre los servidores de federación y los servidores WAP.

Protocolo Puertos Descripción
HTTPS 443 (TCP) Se usa para autenticación.

Tabla 5 - WAP y usuarios

En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre los usuarios y los servidores WAP.

Protocolo Puertos Descripción
HTTPS 443 (TCP) Se usa para la autenticación de dispositivos.
TCP 49443 (TCP) Se usa para la autenticación de certificados.

Tabla 6a y 6b: autenticación transferida con inicio de sesión único (SSO) y sincronización de hash de contraseña con inicio de sesión único (SSO)

Las siguientes tablas describen los puertos y protocolos que son necesarios para la comunicación entre Azure AD Connect y Azure AD.

Tabla 6a: autenticación de paso a través con SSO

Protocolo Puertos Descripción
HTTP 80 (TCP) Se usa para descargar CRL (listas de revocación de certificados) para comprobar certificados TLS/SSL. También se necesita para que la funcionalidad de actualización automática del conector se lleve a cabo correctamente.
HTTPS 443 (TCP) Se usa para habilitar y deshabilitar la característica, registrar conectores, descargar actualizaciones de los conectores y controlar todas las solicitudes de inicio de sesión de los usuarios.

Además, Azure AD Connect debe ser capaz de establecer conexiones directas de IP con intervalos de direcciones IP del centro de datos de Azure.

Tabla 6b: sincronización de Hash de contraseña con SSO

Protocolo Puertos Descripción
HTTPS 443 (TCP) Se usa para habilitar el registro de SSO (solo es necesario para el proceso de registro de SSO).

Además, Azure AD Connect debe ser capaz de establecer conexiones directas de IP con intervalos de direcciones IP del centro de datos de Azure. Una vez más, esto solo es necesario para el proceso de registro SSO.

Tabla 7a y 7b: agente de Azure AD Connect Health para (AD FS/sincronización) y Azure AD

En las tablas siguientes se describen los puntos de conexión, puertos y protocolos que son necesarios para la comunicación entre los agentes de Azure AD Connect Health y Azure AD.

Tabla 7a: Puertos y protocolos para el agente de Azure AD Connect Health para (AD FS/sincronización) y Azure AD

En esta tabla se describen los siguientes puertos y protocolos de salida que son necesarios para la comunicación entre los agentes de Azure AD Connect Health y Azure AD.

Protocolo Puertos Descripción
Azure Service Bus 5671 (TCP) Se usa para enviar información sobre el estado a Azure AD. (Se recomienda pero no es necesario en las versiones más recientes).
HTTPS 443 (TCP) Se usa para enviar información sobre el estado a Azure AD. (Conmutación por recuperación).

Si el puerto 5671 está bloqueado, el agente recurre al 443, aunque se recomienda el uso del 5671. Este punto de conexión no es necesario en la versión más reciente del agente. Las versiones más recientes del agente de Azure AD Connect Health solo necesitan el puerto 443.

7b: Puntos de conexión para el agente de Azure AD Connect Health para (AD FS/sincronización) y Azure AD

Para ver una lista de puntos de conexión, consulte la sección de requisitos para el agente de Azure AD Connect Health.