포트 및 프로토콜이 필요한 하이브리드 ID
다음 문서는 하이브리드 ID 솔루션을 구현하는 포트 및 프로토콜에 대한 기술 참조입니다. 다음 그림을 사용하고 해당 테이블을 참조합니다.
표 1 - Microsoft Entra Connect 및 온-프레미스 AD
이 테이블은 Microsoft Entra Connect 서버 및 온-프레미스 AD 간의 통신에 필요한 포트와 프로토콜에 대해 설명합니다.
| 프로토콜 | Ports | 설명 |
|---|---|---|
| DNS | 53(TCP/UDP) | DNS는 대상 포리스트에 대해 조회합니다. |
| Kerberos | 88(TCP/UDP) | AD 포리스트에 대한 Kerberos 인증. |
| MS-RPC | 135(TCP) | AD 포리스트를 바인딩할 때 Microsoft Entra Connect 마법사의 초기 구성 중 및 암호 동기화 중에도 사용합니다. |
| LDAP | 389(TCP/UDP) | AD에서 데이터를 가져오기 위해 사용합니다. 데이터가 Kerberos 서명 및 봉인으로 암호화됩니다. |
| SMB | 445(TCP) | Seamless SSO가 AD 포리스트에서 비밀번호 쓰기 저장 중에 컴퓨터 계정을 만드는 데 사용합니다. 자세한 내용은 사용자 계정 암호 변경을 참조하세요. |
| LDAP/SSL | 636(TCP/UDP) | AD에서 데이터를 가져오기 위해 사용합니다. 데이터 전송이 서명 및 암호화합니다. TLS를 사용하는 경우에만 사용됩니다. |
| RPC | 49152- 65535(임의의 높은 RPC 포트)(TCP) | AD 포리스트를 바인딩할 때 Microsoft Entra Connect의 초기 구성 중 및 암호 동기화 중에 사용합니다. 동적 포트가 변경된 경우 해당 포트를 열어야 합니다. 자세한 내용은 KB929851, KB832017 및 KB224196을 참조하세요. |
| WinRM | 5985(TCP) | Microsoft Entra Connect 마법사에서 gMSA를 사용하여 AD FS를 설치하는 경우에만 사용 |
| AD DS 웹 서비스 | 9389(TCP) | Microsoft Entra Connect 마법사에서 gMSA를 사용하여 AD FS를 설치하는 경우에만 사용 |
| 글로벌 카탈로그 | 3268(TCP) | Seamless SSO가 도메인에서 컴퓨터 계정을 만들기 전에 포리스트의 글로벌 카탈로그를 쿼리하는 데 사용합니다. |
표 2 - Microsoft Entra Connect 및 Microsoft Entra ID
이 테이블은 Microsoft Entra Connect 서버 및 Microsoft Entra ID 간의 통신에 필요한 포트와 프로토콜에 대해 설명합니다.
| 프로토콜 | Ports | 설명 |
|---|---|---|
| HTTP | 80(TCP) | TLS/SSL 인증서를 확인하기 위해 CRL(인증서 해지 목록)을 다운로드하는 데 사용됩니다. |
| HTTPS | 443(TCP) | Microsoft Entra ID와 동기화하는 데 사용됩니다. |
방화벽에서 열어야 하는 URL 및 IP 주소 목록은 Office 365 URL 및 IP 주소 범위 및 Microsoft Entra Connect 연결 문제 해결을 참조하세요.
표 3 - Microsoft Entra Connect 및 AD FS 페더레이션 서버/WAP
이 테이블은 Microsoft Entra Connect 서버 및 AD FS 페더레이션 서버/WAP 서버 간의 통신에 필요한 포트와 프로토콜에 대해 설명합니다.
| 프로토콜 | Ports | 설명 |
|---|---|---|
| HTTP | 80(TCP) | TLS/SSL 인증서를 확인하기 위해 CRL(인증서 해지 목록)을 다운로드하는 데 사용됩니다. |
| HTTPS | 443(TCP) | Microsoft Entra ID와 동기화하는 데 사용됩니다. |
| WinRM | 5985 | WinRM 수신기 |
테이블 4 - WAP 및 페더레이션 서버
이 테이블은 페더레이션 서버 및 WAP 서버 간의 통신에 필요한 포트와 프로토콜에 대해 설명합니다.
| 프로토콜 | Ports | 설명 |
|---|---|---|
| HTTPS | 443(TCP) | 인증에 사용합니다. |
테이블 5 - WAP 및 사용자
이 테이블은 사용자 및 WAP 서버 간의 통신에 필요한 포트와 프로토콜에 대해 설명합니다.
| 프로토콜 | Ports | 설명 |
|---|---|---|
| HTTPS | 443(TCP) | 디바이스 인증에 사용합니다. |
| TCP | 49443(TCP) | 인증서 인증에 사용합니다. |
테이블 6a / 6b - Single Sign-on(SSO)으로 통과 인증 및 Single Sign-on(SSO)와 암호 해시 동기화
다음 표에서는 Microsoft Entra Connect 및 Microsoft Entra ID 간의 통신에 필요한 포트와 프로토콜에 대해 설명합니다.
테이블 6a - SSO로 통과 인증
| 프로토콜 | Ports | 설명 |
|---|---|---|
| HTTP | 80(TCP) | TLS/SSL 인증서를 확인하기 위해 CRL(인증서 해지 목록)을 다운로드하는 데 사용됩니다. 커넥터 자동 업데이트 기능이 제대로 작동하는 데도 필요합니다. |
| HTTPS | 443(TCP) | 기능을 사용 및 사용하지 않도록 설정하고, 커넥터를 등록하고, 커넥터 업데이트를 다운로드하고, 모든 사용자 로그인 요청을 처리하는 데 사용됩니다. |
또한 Microsoft Entra Connect가 Azure 데이터 센터 IP 범위에 대한 직접적인 IP 연결을 생성할 수 있어야 합니다.
테이블 6b - SSO와 암호 해시 동기화
| 프로토콜 | Ports | 설명 |
|---|---|---|
| HTTPS | 443(TCP) | SSO 등록을 사용하도록 설정하는 데 사용됩니다(SSO 등록 프로세스에만 필요). |
또한 Microsoft Entra Connect가 Azure 데이터 센터 IP 범위에 대한 직접적인 IP 연결을 생성할 수 있어야 합니다. 다시, SSO 등록 프로세스에만 필요합니다.
표 7a 및 7b - (AD FS/동기화) 및 Microsoft Entra ID에 대한 Microsoft Entra Connect Health 에이전트
다음 표는 Microsoft Entra Connect Health 에이전트와 Microsoft Entra ID 간의 통신에 필요한 엔드포인트, 포트 및 프로토콜에 대해 설명합니다.
표 7a - (AD FS/동기화) 및 Microsoft Entra ID에 대한 Microsoft Entra Connect Health 에이전트의 포트 및 프로토콜
이 테이블은 Microsoft Entra Connect Health 에이전트 및 Microsoft Entra ID 간의 통신에 필요한 다음 아웃바운드 포트와 프로토콜에 대해 설명합니다.
| 프로토콜 | Ports | 설명 |
|---|---|---|
| Azure Service Bus | 5671(TCP) | Microsoft Entra ID에 상태 정보를 보내는 데 사용됩니다. (권장되지만 최신 버전에서는 필요하지 않음) |
| HTTPS | 443(TCP) | Microsoft Entra ID에 상태 정보를 보내는 데 사용됩니다. (장애 복구) |
5671이 차단되면 에이전트는 443으로 대체되지만 5671을 사용하는 것이 좋습니다. 이 엔드포인트는 최신 버전의 에이전트에서 필요하지 않습니다. 최신 Microsoft Entra Connect Health 에이전트 버전에는 포트 443만 필요합니다.
7b - (AD FS/동기화) 및 Microsoft Entra ID에 대한 Microsoft Entra Connect Health 에이전트의 엔드포인트
엔드포인트의 목록에 대한 자세한 내용은 Microsoft Entra Connect Health 에이전트에 대한 요구 사항 섹션을 참조하세요.