Порты и протоколы, необходимые для гибридной идентификации

Следующий документ представляет собой технический справочник по портам и протоколам, которые необходимы для реализации решения для гибридной идентификации. Используйте приведенный ниже рисунок и соответствующую таблицу.

Что такое Azure AD Connect?

Таблица 1. Azure AD Connect и локальная служба AD

В этой таблице описываются порты и протоколы, необходимые для взаимодействия между сервером Azure AD Connect и локальной службой AD.

Протокол порты; Описание
DNS 53 (TCP или UDP) Поиски DNS в лесу назначения.
Kerberos 88 (TCP или UDP) Проверка подлинности Kerberos для леса AD.
MS-RPC 135 (TCP) Используется во время начальной настройки мастера Azure AD Connect, когда он выполняет привязку к лесу AD, а также при синхронизации паролей.
LDAP 389 (TCP или UDP) Используется для импорта данных из AD. Данные шифруются с помощью функции подписи и запечатывания Kerberos.
SMB 445 (TCP) Используется функцией простого единого входа для создания учетной записи компьютера в лесу AD и во время обратной записи паролей. Дополнительные сведения см. в статье Изменение пароля учетной записи пользователя.
LDAP или SSL 636 (TCP или UDP) Используется для импорта данных из AD. Передача данных подписывается и шифруется. Используется только с SSL.
RPC 49152- 65535 (произвольные верхние порты RPC) (TCP) Используется во время начальной настройки мастера Azure AD Connect, когда он выполняет привязку к лесам AD, а также во время синхронизации паролей. Если динамический порт был изменен, необходимо открыть этот порт. Дополнительную информацию см. в статьях базы знаний KB929851, KB832017 и KB224196.
WinRM 5985 (TCP) Используется только при установке AD FS с помощью мастера Azure AD Connect gMSA.
Веб-службы AD DS 9389 (TCP) Используется только при установке AD FS с помощью мастера Azure AD Connect gMSA.
Глобальный каталог 3268 (TCP) Используется функцией простого единого входа для запроса глобального каталога в лесу перед созданием учетной записи компьютера в домене.

Таблица 2. Azure AD Connect и Azure AD

В этой таблице описываются порты и протоколы, которые необходимы для взаимодействия между сервером Azure AD Connect и Azure AD.

Протокол порты; Описание
HTTP 80 (TCP) Используется для скачивания CRL (списки отзыва сертификатов) для проверки сертификатов TLS/SSL.
HTTPS 443 (TCP) Используется для синхронизации с Azure AD.

Список адресов URL и IP-адресов, которые необходимо открыть в брандмауэре, см. в статьеURL-адреса и диапазоны IP-адресов Office 365 и разделе Устранение неполадок с подключениями Azure AD Connect.

Таблица 3. Azure AD Connect и серверы федерации AD FS и WAP

В этой таблице описываются порты и протоколы, необходимые для взаимодействия между сервером Azure AD Connect и серверами федерации AD FS и WAP.

Протокол порты; Описание
HTTP 80 (TCP) Используется для скачивания CRL (списки отзыва сертификатов) для проверки сертификатов TLS/SSL.
HTTPS 443 (TCP) Используется для синхронизации с Azure AD.
WinRM 5985 Прослушиватель WinRM

Таблица 4. Серверы WAP и серверы федерации

В этой таблице описываются порты и протоколы, необходимые для взаимодействия между серверами федерации и серверами WAP.

Протокол порты; Описание
HTTPS 443 (TCP) Используется для проверки подлинности.

Таблица 5. WAP и пользователи

В этой таблице описываются порты и протоколы, необходимые для взаимодействия между пользователями и серверами WAP.

Протокол порты; Описание
HTTPS 443 (TCP) Используется для проверки подлинности устройств.
TCP 49443 (TCP) Используется для проверки подлинности с помощью сертификата.

Таблицы 6a и 6b. Сквозная проверка подлинности с помощью единого входа (SSO) и синхронизация хэша паролей с помощью единого входа (SSO)

В следующих таблицах описываются порты и протоколы, которые необходимы для взаимодействия между Azure AD Connect и Azure AD.

Таблица 6a. Сквозная аутентификация с помощью SSO

Протокол порты; Описание
HTTP 80 (TCP) Используется для скачивания CRL (списки отзыва сертификатов) для проверки сертификатов TLS/SSL. Оно также требуется для правильной работы автоматического обновления соединителя.
HTTPS 443 (TCP) Используется для включения и отключения функции, регистрации соединителей, загрузки обновлений соединителя и обработки всех запросов пользователей на вход.

Кроме того, Azure AD Connect требуется возможность устанавливать прямые IP-подключения к диапазонам IP-адресов центра обработки данных Azure.

Таблица 6b. Синхронизация хэша паролей с помощью SSO

Протокол порты; Описание
HTTPS 443 (TCP) Используется для включения регистрации единого входа (требуется только для процесса регистрации единого входа).

Кроме того, Azure AD Connect требуется возможность устанавливать прямые IP-подключения к диапазонам IP-адресов центра обработки данных Azure. Опять же, это необходимо только для процесса регистрации единого входа.

Таблицы 7а и 7б. Агент Azure AD Connect Health для AD FS и синхронизации и Azure AD

В следующих таблицах описываются конечные точки, порты и протоколы, необходимые для взаимодействия между агентами Azure AD Connect Health и Azure AD.

Таблица 7а. Порты и протоколы для агента Azure AD Connect Health для AD FS и синхронизации и Azure AD

В этой таблице описываются следующие исходящие порты и протоколы, необходимые для взаимодействия между агентами Azure AD Connect Health и Azure AD.

Протокол порты; Описание
Служебная шина Azure 5671 (TCP) Используется для отправки сведений о работоспособности в Azure AD. (рекомендуется, но не требуется в последних версиях)
HTTPS 443 (TCP) Используется для отправки сведений о работоспособности в Azure AD. (восстановление размещения)

Если порт 5671 заблокирован, агент возвращается к 443, но рекомендуется использовать 5671. Эта конечная точка не требуется в последней версии агента. Для последних версий агента Azure AD Connect Health требуется только порт 443.

Таблица 7б. Конечные точки для агента Azure AD Connect Health для AD FS и синхронизации и Azure AD

Список конечных точек см. в разделе "Требования" для агента Azure AD Connect Health.