Порты и протоколы, необходимые для гибридной идентификации
Следующий документ представляет собой технический справочник по портам и протоколам, которые необходимы для реализации решения для гибридной идентификации. Используйте приведенный ниже рисунок и соответствующую таблицу.
Таблица 1. Azure AD Connect и локальная служба AD
В этой таблице описываются порты и протоколы, необходимые для взаимодействия между сервером Azure AD Connect и локальной службой AD.
| Протокол | порты; | Описание |
|---|---|---|
| DNS | 53 (TCP или UDP) | Поиски DNS в лесу назначения. |
| Kerberos | 88 (TCP или UDP) | Проверка подлинности Kerberos для леса AD. |
| MS-RPC | 135 (TCP) | Используется во время начальной настройки мастера Azure AD Connect, когда он выполняет привязку к лесу AD, а также при синхронизации паролей. |
| LDAP | 389 (TCP или UDP) | Используется для импорта данных из AD. Данные шифруются с помощью функции подписи и запечатывания Kerberos. |
| SMB | 445 (TCP) | Используется функцией простого единого входа для создания учетной записи компьютера в лесу AD и во время обратной записи паролей. Дополнительные сведения см. в статье Изменение пароля учетной записи пользователя. |
| LDAP или SSL | 636 (TCP или UDP) | Используется для импорта данных из AD. Передача данных подписывается и шифруется. Используется только с SSL. |
| RPC | 49152- 65535 (произвольные верхние порты RPC) (TCP) | Используется во время начальной настройки мастера Azure AD Connect, когда он выполняет привязку к лесам AD, а также во время синхронизации паролей. Если динамический порт был изменен, необходимо открыть этот порт. Дополнительную информацию см. в статьях базы знаний KB929851, KB832017 и KB224196. |
| WinRM | 5985 (TCP) | Используется только при установке AD FS с помощью мастера Azure AD Connect gMSA. |
| Веб-службы AD DS | 9389 (TCP) | Используется только при установке AD FS с помощью мастера Azure AD Connect gMSA. |
| Глобальный каталог | 3268 (TCP) | Используется функцией простого единого входа для запроса глобального каталога в лесу перед созданием учетной записи компьютера в домене. |
Таблица 2. Azure AD Connect и Azure AD
В этой таблице описываются порты и протоколы, которые необходимы для взаимодействия между сервером Azure AD Connect и Azure AD.
| Протокол | порты; | Описание |
|---|---|---|
| HTTP | 80 (TCP) | Используется для скачивания CRL (списки отзыва сертификатов) для проверки сертификатов TLS/SSL. |
| HTTPS | 443 (TCP) | Используется для синхронизации с Azure AD. |
Список адресов URL и IP-адресов, которые необходимо открыть в брандмауэре, см. в статьеURL-адреса и диапазоны IP-адресов Office 365 и разделе Устранение неполадок с подключениями Azure AD Connect.
Таблица 3. Azure AD Connect и серверы федерации AD FS и WAP
В этой таблице описываются порты и протоколы, необходимые для взаимодействия между сервером Azure AD Connect и серверами федерации AD FS и WAP.
| Протокол | порты; | Описание |
|---|---|---|
| HTTP | 80 (TCP) | Используется для скачивания CRL (списки отзыва сертификатов) для проверки сертификатов TLS/SSL. |
| HTTPS | 443 (TCP) | Используется для синхронизации с Azure AD. |
| WinRM | 5985 | Прослушиватель WinRM |
Таблица 4. Серверы WAP и серверы федерации
В этой таблице описываются порты и протоколы, необходимые для взаимодействия между серверами федерации и серверами WAP.
| Протокол | порты; | Описание |
|---|---|---|
| HTTPS | 443 (TCP) | Используется для проверки подлинности. |
Таблица 5. WAP и пользователи
В этой таблице описываются порты и протоколы, необходимые для взаимодействия между пользователями и серверами WAP.
| Протокол | порты; | Описание |
|---|---|---|
| HTTPS | 443 (TCP) | Используется для проверки подлинности устройств. |
| TCP | 49443 (TCP) | Используется для проверки подлинности с помощью сертификата. |
Таблицы 6a и 6b. Сквозная проверка подлинности с помощью единого входа (SSO) и синхронизация хэша паролей с помощью единого входа (SSO)
В следующих таблицах описываются порты и протоколы, которые необходимы для взаимодействия между Azure AD Connect и Azure AD.
Таблица 6a. Сквозная аутентификация с помощью SSO
| Протокол | порты; | Описание |
|---|---|---|
| HTTP | 80 (TCP) | Используется для скачивания CRL (списки отзыва сертификатов) для проверки сертификатов TLS/SSL. Оно также требуется для правильной работы автоматического обновления соединителя. |
| HTTPS | 443 (TCP) | Используется для включения и отключения функции, регистрации соединителей, загрузки обновлений соединителя и обработки всех запросов пользователей на вход. |
Кроме того, Azure AD Connect требуется возможность устанавливать прямые IP-подключения к диапазонам IP-адресов центра обработки данных Azure.
Таблица 6b. Синхронизация хэша паролей с помощью SSO
| Протокол | порты; | Описание |
|---|---|---|
| HTTPS | 443 (TCP) | Используется для включения регистрации единого входа (требуется только для процесса регистрации единого входа). |
Кроме того, Azure AD Connect требуется возможность устанавливать прямые IP-подключения к диапазонам IP-адресов центра обработки данных Azure. Опять же, это необходимо только для процесса регистрации единого входа.
Таблицы 7а и 7б. Агент Azure AD Connect Health для AD FS и синхронизации и Azure AD
В следующих таблицах описываются конечные точки, порты и протоколы, необходимые для взаимодействия между агентами Azure AD Connect Health и Azure AD.
Таблица 7а. Порты и протоколы для агента Azure AD Connect Health для AD FS и синхронизации и Azure AD
В этой таблице описываются следующие исходящие порты и протоколы, необходимые для взаимодействия между агентами Azure AD Connect Health и Azure AD.
| Протокол | порты; | Описание |
|---|---|---|
| Служебная шина Azure | 5671 (TCP) | Используется для отправки сведений о работоспособности в Azure AD. (рекомендуется, но не требуется в последних версиях) |
| HTTPS | 443 (TCP) | Используется для отправки сведений о работоспособности в Azure AD. (восстановление размещения) |
Если порт 5671 заблокирован, агент возвращается к 443, но рекомендуется использовать 5671. Эта конечная точка не требуется в последней версии агента. Для последних версий агента Azure AD Connect Health требуется только порт 443.
Таблица 7б. Конечные точки для агента Azure AD Connect Health для AD FS и синхронизации и Azure AD
Список конечных точек см. в разделе "Требования" для агента Azure AD Connect Health.