混合标识所需的端口和协议
以下文档是用于实现混合标识解决方案所需的端口和协议的技术参考。 使用下图并参考相应的表格。
表 1 - Microsoft Entra Connect 和本地 AD
此表介绍了 Microsoft Entra Connect 服务器与本地 AD 之间通信所需的端口和协议。
| 协议 | 端口 | 说明 |
|---|---|---|
| DNS | 53 (TCP/UDP) | 在目标林中进行 DNS 查找。 |
| Kerberos | 88 (TCP/UDP) | 对 AD 林进行 Kerberos 身份验证。 |
| MS-RPC | 135 (TCP) | 该端口绑定到 AD 林后,会在初始配置 Microsoft Entra Connect 向导期间及密码同步期间使用。 |
| LDAP | 389 (TCP/UDP) | 用于从 AD 导入数据。 使用 Kerberos 签名和封装加密数据。 |
| SMB | 445 (TCP) | 由无缝 SSO 用于在 AD 林中以及密码写回期间创建计算机帐户。 有关详细信息,请参阅更改用户帐户的密码。 |
| LDAP/SSL | 636 (TCP/UDP) | 用于从 AD 导入数据。 数据传输经过签名和加密。 仅在使用 TLS 时使用。 |
| RPC | 49152-65535(随机高 RPC 端口)(TCP) | 该端口绑定到 AD 林后,会在初始配置 Microsoft Entra Connect 期间及密码同步期间使用。 如果动态端口已更改,则需打开该端口。 有关详细信息,请参阅 KB929851、KB832017 和 KB224196。 |
| WinRM | 5985 (TCP) | 仅在通过 Microsoft Entra Connect 向导使用 gMSA 安装 AD FS 时使用 |
| AD DS Web 服务 | 9389 (TCP) | 仅在通过 Microsoft Entra Connect 向导使用 gMSA 安装 AD FS 时使用 |
| 全局目录 | 3268 (TCP) | 由无缝 SSO 用于在域中创建计算机帐户之前查询林中的全局目录。 |
表 2 - Microsoft Entra Connect 和 Microsoft Entra ID
此表介绍了 Microsoft Entra Connect 服务器与 Microsoft Entra ID 之间通信所需的端口和协议。
| 协议 | 端口 | 说明 |
|---|---|---|
| HTTP | 80 (TCP) | 用于下载 CRL(证书吊销列表)以验证 TLS/SSL 证书。 |
| HTTPS | 443 (TCP) | 用于与 Microsoft Entra ID 同步。 |
有关需要在防火墙中打开的 URL 和 IP 地址的列表,请参阅 Office 365 URL 和 IP 地址范围和 Microsoft Entra Connect 连接故障排除。
表 3 - Microsoft Entra Connect 和 AD FS 联合身份验证服务器/WAP
此表介绍了 Microsoft Entra Connect 服务器与 AD FS 联合身份验证服务器/WAP 服务器之间通信所需的端口和协议。
| 协议 | 端口 | 说明 |
|---|---|---|
| HTTP | 80 (TCP) | 用于下载 CRL(证书吊销列表)以验证 TLS/SSL 证书。 |
| HTTPS | 443 (TCP) | 用于与 Microsoft Entra ID 同步。 |
| WinRM | 5985 | WinRM 侦听器 |
表 4 - WAP 和联合服务器
此表描述了联合服务器与 WAP 服务器之间通信所需的端口和协议。
| 协议 | 端口 | 说明 |
|---|---|---|
| HTTPS | 443 (TCP) | 用于身份验证。 |
表 5 - WAP 和用户
此表描述了用户与 WAP 服务器之间通信所需的端口和协议。
| 协议 | 端口 | 说明 |
|---|---|---|
| HTTPS | 443 (TCP) | 用于设备身份验证。 |
| TCP | 49443 (TCP) | 用于证书身份验证。 |
表 6a 和 6b - 通过单一登录 (SSO) 进行直通身份验证和通过单一登录 (SSO) 进行密码哈希同步
下表介绍了 Microsoft Entra Connect 与 Microsoft Entra ID 之间通信所需的端口和协议。
表 6a - 通过 SSO 进行直通身份验证
| 协议 | 端口 | 说明 |
|---|---|---|
| HTTP | 80 (TCP) | 用于下载 CRL(证书吊销列表)以验证 TLS/SSL 证书。 连接器自动更新功能要正常工作也需要完成此操作。 |
| HTTPS | 443 (TCP) | 用于启用和禁用该功能、注册连接器、下载连接器更新以及处理所有用户登录请求。 |
此外,Microsoft Entra Connect 需要能够建立到 Azure 数据中心 IP 范围的直接 IP 连接。
表 6b - 通过 SSO 进行密码哈希同步
| 协议 | 端口 | 说明 |
|---|---|---|
| HTTPS | 443 (TCP) | 用于启用 SSO 注册(只有 SSO 注册过程才需要)。 |
此外,Microsoft Entra Connect 需要能够建立到 Azure 数据中心 IP 范围的直接 IP 连接。 同样,这只是 SSO 注册过程所需的。
表 7a 和 7b - Microsoft Entra Connect Health 代理(AD FS/同步)和 Microsoft Entra ID
下表介绍了在 Microsoft Entra Connect Health 代理与 Microsoft Entra ID 之间通信所需的终结点、端口、协议
表 7a - Microsoft Entra Connect Health 代理(AD FS/同步)和 Microsoft Entra ID 的端口和协议
此表介绍了 Microsoft Entra Connect Health 代理与 Microsoft Entra ID 之间通信所需的以下出站端口和协议。
| 协议 | 端口 | 说明 |
|---|---|---|
| Azure 服务总线 | 5671 (TCP) | 用于将运行状况信息发送到 Microsoft Entra ID。 (在最新版本中建议使用,但不是必需的) |
| HTTPS | 443 (TCP) | 用于将运行状况信息发送到 Microsoft Entra ID。 (故障回复) |
如果阻止了 5671,代理将故障回复到 443,但建议使用 5671。 最新版本的代理不需要此终结点。 最新的 Microsoft Entra Connect Health 代理版本仅需端口 443。
7b - Microsoft Entra Connect Health 代理(AD FS/同步)和 Microsoft Entra ID 的终结点
有关终结点的列表,请参阅 Microsoft Entra Connect Health 代理的要求部分。