La identidad híbrida requería puertos y protocolos
El documento siguiente es una referencia técnica sobre los puertos y protocolos para implementar una solución de identidad híbrida. Use la siguiente ilustración y consulte la tabla correspondiente.
Tabla 1 - Microsoft Entra Connect y AD local
Esta tabla describe los puertos y protocolos necesarios para la comunicación entre el servidor Microsoft Entra Connect y el AD local.
| Protocolo | Puertos | Descripción |
|---|---|---|
| DNS | 53 (TCP/UDP) | Búsquedas DNS en el bosque de destino. |
| Kerberos | 88 (TCP/UDP) | Autenticación Kerberos para el bosque de AD. |
| MS-RPC | 135 (TCP) | Se usa durante la configuración inicial del asistente de Microsoft Entra Connect cuando se vincula al bosque AD, y también durante la sincronización de contraseñas. |
| LDAP | 389 (TCP/UDP) | Se usa para la importación de datos de AD. Los datos se cifran con Kerberos Sign & Seal. |
| SMB | 445 (TCP) | Inicio de sesión único de conexión directa lo usa para crear una cuenta de equipo en el bosque de AD y durante la escritura diferida de contraseñas. Para más información, consulte el artículo que incluye un ejemplo de cambio del tipo de cuenta de un usuario. |
| LDAP/SSL | 636 (TCP/UDP) | Se usa para la importación de datos de AD. La transferencia de datos se firma y se cifra. Solo se utiliza si está usando TLS. |
| RPC | 49152 - 65535 (Puerto RPC alto aleatorio) (TCP) | Se utiliza durante la configuración inicial de Microsoft Entra Connect cuando se vincula a los bosques AD, y durante la sincronización de contraseñas. Si se ha cambiado el puerto dinámico, debe abrir ese puerto. Consulte KB929851, KB832017 y KB224196 para más información. |
| WinRM | 5985 (TCP) | Solo se usa si está instalando AD FS con gMSA a través del asistente de Microsoft Entra Connect |
| Servicios web de AD DS | 9389 (TCP) | Solo se usa si está instalando AD FS con gMSA a través del asistente de Microsoft Entra Connect |
| Catálogo global | 3268 (TCP) | Inicio de sesión único de conexión directa lo usa para consultar el catálogo global en el bosque antes de crear una cuenta de equipo en el dominio. |
Tabla 2: Microsoft Entra Connect y Microsoft Entra ID
En esta tabla se describen los puertos y protocolos necesarios para la comunicación entre el servidor de Microsoft Entra Connect y Microsoft Entra ID.
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTP | 80 (TCP) | Se usa para descargar CRL (listas de revocación de certificados) para comprobar certificados TLS/SSL. |
| HTTPS | 443 (TCP) | Se usa para sincronizar con Microsoft Entra ID. |
Para obtener una lista de direcciones URL y direcciones IP que debe abrir en el firewall, consulte Direcciones URL y rangos de direcciones IP de Office 365 y Solución de problemas de conectividad de Microsoft Entra Connect.
Tabla 3: Microsoft Entra Connect y Servidores de federación AD FS/WAP
En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre el servidor de Microsoft Entra Connect y servidores de federación AD FS/WAP.
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTP | 80 (TCP) | Se usa para descargar CRL (listas de revocación de certificados) para comprobar certificados TLS/SSL. |
| HTTPS | 443 (TCP) | Se usa para sincronizar con Microsoft Entra ID. |
| WinRM | 5985 | Agente de escucha de WinRM |
Tabla 4: Servidores de federación y WAP
En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre los servidores de federación y los servidores WAP.
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTPS | 443 (TCP) | Se usa para autenticación. |
Tabla 5 - WAP y usuarios
En esta tabla se describen los puertos y protocolos que son necesarios para la comunicación entre los usuarios y los servidores WAP.
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTPS | 443 (TCP) | Se usa para la autenticación de dispositivos. |
| TCP | 49443 (TCP) | Se usa para la autenticación de certificados. |
Tabla 6a y 6b: autenticación de paso a través con inicio de sesión único (SSO) y sincronización de Hash de contraseña con inicio de sesión único (SSO)
En las tablas siguientes se describen los puertos y protocolos necesarios para la comunicación entre Microsoft Entra Connect y Microsoft Entra ID.
Tabla 6a: autenticación de paso a través con SSO
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTP | 80 (TCP) | Se usa para descargar CRL (listas de revocación de certificados) para comprobar certificados TLS/SSL. También se necesita para que la funcionalidad de actualización automática del conector se lleve a cabo correctamente. |
| HTTPS | 443 (TCP) | Se usa para habilitar y deshabilitar la característica, registrar conectores, descargar actualizaciones de los conectores y controlar todas las solicitudes de inicio de sesión de los usuarios. |
Además, Microsoft Entra Connect debe ser capaz de establecer conexiones directas de IP con intervalos de direcciones IP del centro de datos de Azure.
Tabla 6b: sincronización de Hash de contraseña con SSO
| Protocolo | Puertos | Descripción |
|---|---|---|
| HTTPS | 443 (TCP) | Se usa para habilitar el registro de SSO (solo es necesario para el proceso de registro de SSO). |
Además, Microsoft Entra Connect debe ser capaz de establecer conexiones directas de IP con intervalos de direcciones IP del centro de datos de Azure. Una vez más, esto solo es necesario para el proceso de registro SSO.
Tabla 7a 7b: Agente Microsoft Entra Connect Health para (AD FS/Sync) y Microsoft Entra ID
En las tablas siguientes se describen los puntos de conexión, puertos y protocolos que son necesarios para la comunicación entre los agentes de Microsoft Entra Connect Health y Microsoft Entra ID
Tabla 7a 7b: Puertos y protocolos para el agente Microsoft Entra Connect Health para (AD FS/Sync) y Microsoft Entra ID
En las tablas siguientes se describen los puertos de salida y protocolos que se requieren para la comunicación entre los agentes de Microsoft Entra Connect Health y Microsoft Entra ID.
| Protocolo | Puertos | Descripción |
|---|---|---|
| Azure Service Bus | 5671 (TCP) | Se usa para enviar información de estado a Microsoft Entra ID. (Se recomienda pero no es necesario en las versiones más recientes). |
| HTTPS | 443 (TCP) | Se usa para enviar información de estado a Microsoft Entra ID. (Conmutación por recuperación). |
Si el puerto 5671 está bloqueado, el agente recurre al 443, aunque se recomienda el uso del 5671. Este punto de conexión no es necesario en la versión más reciente del agente. Las versiones más recientes del agente de Microsoft Entra Connect Health solo necesitan el puerto 443.
7b: Puntos de conexión para el agente de Microsoft Entra Connect Health para (AD FS/Sync) y Microsoft Entra ID
Para obtener una lista de puntos de conexión, consulte la sección Requisitos para el agente de Microsoft Entra Connect Health.