混合标识所需的端口和协议

以下文档是用于实现混合标识解决方案所需的端口和协议的技术参考。 使用下图并参考相应的表格。

What is Microsoft Entra Connect

表 1 - Microsoft Entra Connect 和本地 AD

此表介绍了 Microsoft Entra Connect 服务器与本地 AD 之间通信所需的端口和协议。

协议 端口 说明
DNS 53 (TCP/UDP) 在目标林中进行 DNS 查找。
Kerberos 88 (TCP/UDP) 对 AD 林进行 Kerberos 身份验证。
MS-RPC 135 (TCP) 该端口绑定到 AD 林后,会在初始配置 Microsoft Entra Connect 向导期间及密码同步期间使用。
LDAP 389 (TCP/UDP) 用于从 AD 导入数据。 使用 Kerberos 签名和封装加密数据。
SMB 445 (TCP) 由无缝 SSO 用于在 AD 林中以及密码写回期间创建计算机帐户。 有关详细信息,请参阅更改用户帐户的密码
LDAP/SSL 636 (TCP/UDP) 用于从 AD 导入数据。 数据传输经过签名和加密。 仅在使用 TLS 时使用。
RPC 49152-65535(随机高 RPC 端口)(TCP) 该端口绑定到 AD 林后,会在初始配置 Microsoft Entra Connect 期间及密码同步期间使用。 如果动态端口已更改,则需打开该端口。 有关详细信息,请参阅 KB929851KB832017KB224196
WinRM 5985 (TCP) 仅在通过 Microsoft Entra Connect 向导使用 gMSA 安装 AD FS 时使用
AD DS Web 服务 9389 (TCP) 仅在通过 Microsoft Entra Connect 向导使用 gMSA 安装 AD FS 时使用
全局目录 3268 (TCP) 由无缝 SSO 用于在域中创建计算机帐户之前查询林中的全局目录。

表 2 - Microsoft Entra Connect 和 Microsoft Entra ID

此表介绍了 Microsoft Entra Connect 服务器与 Microsoft Entra ID 之间通信所需的端口和协议。

协议 端口 说明
HTTP 80 (TCP) 用于下载 CRL(证书吊销列表)以验证 TLS/SSL 证书。
HTTPS 443 (TCP) 用于与 Microsoft Entra ID 同步。

有关需要在防火墙中打开的 URL 和 IP 地址的列表,请参阅 Office 365 URL 和 IP 地址范围Microsoft Entra Connect 连接故障排除

表 3 - Microsoft Entra Connect 和 AD FS 联合身份验证服务器/WAP

此表介绍了 Microsoft Entra Connect 服务器与 AD FS 联合身份验证服务器/WAP 服务器之间通信所需的端口和协议。

协议 端口 说明
HTTP 80 (TCP) 用于下载 CRL(证书吊销列表)以验证 TLS/SSL 证书。
HTTPS 443 (TCP) 用于与 Microsoft Entra ID 同步。
WinRM 5985 WinRM 侦听器

表 4 - WAP 和联合服务器

此表描述了联合服务器与 WAP 服务器之间通信所需的端口和协议。

协议 端口 说明
HTTPS 443 (TCP) 用于身份验证。

表 5 - WAP 和用户

此表描述了用户与 WAP 服务器之间通信所需的端口和协议。

协议 端口 说明
HTTPS 443 (TCP) 用于设备身份验证。
TCP 49443 (TCP) 用于证书身份验证。

表 6a 和 6b - 通过单一登录 (SSO) 进行直通身份验证和通过单一登录 (SSO) 进行密码哈希同步

下表介绍了 Microsoft Entra Connect 与 Microsoft Entra ID 之间通信所需的端口和协议。

表 6a - 通过 SSO 进行直通身份验证

协议 端口 说明
HTTP 80 (TCP) 用于下载 CRL(证书吊销列表)以验证 TLS/SSL 证书。 连接器自动更新功能要正常工作也需要完成此操作。
HTTPS 443 (TCP) 用于启用和禁用该功能、注册连接器、下载连接器更新以及处理所有用户登录请求。

此外,Microsoft Entra Connect 需要能够建立到 Azure 数据中心 IP 范围的直接 IP 连接。

表 6b - 通过 SSO 进行密码哈希同步

协议 端口 说明
HTTPS 443 (TCP) 用于启用 SSO 注册(只有 SSO 注册过程才需要)。

此外,Microsoft Entra Connect 需要能够建立到 Azure 数据中心 IP 范围的直接 IP 连接。 同样,这只是 SSO 注册过程所需的。

表 7a 和 7b - Microsoft Entra Connect Health 代理(AD FS/同步)和 Microsoft Entra ID

下表介绍了在 Microsoft Entra Connect Health 代理与 Microsoft Entra ID 之间通信所需的终结点、端口、协议

表 7a - Microsoft Entra Connect Health 代理(AD FS/同步)和 Microsoft Entra ID 的端口和协议

此表介绍了 Microsoft Entra Connect Health 代理与 Microsoft Entra ID 之间通信所需的以下出站端口和协议。

协议 端口 说明
Azure 服务总线 5671 (TCP) 用于将运行状况信息发送到 Microsoft Entra ID。 (在最新版本中建议使用,但不是必需的)
HTTPS 443 (TCP) 用于将运行状况信息发送到 Microsoft Entra ID。 (故障回复)

如果阻止了 5671,代理将故障回复到 443,但建议使用 5671。 最新版本的代理不需要此终结点。 最新的 Microsoft Entra Connect Health 代理版本仅需端口 443。

7b - Microsoft Entra Connect Health 代理(AD FS/同步)和 Microsoft Entra ID 的终结点

有关终结点的列表,请参阅 Microsoft Entra Connect Health 代理的要求部分