混合标识所需的端口和协议
以下文档是用于实现混合标识解决方案所需的端口和协议的技术参考。 使用下图并参考相应的表格。
表 1 - Microsoft Entra Connect 和本地 AD
此表介绍了 Microsoft Entra Connect 服务器与本地 AD 之间通信所需的端口和协议。
| 协议 | 端口 | 说明 |
|---|---|---|
| DNS | 53 (TCP/UDP) | 在目标林中进行 DNS 查找。 |
| Kerberos | 88 (TCP/UDP) | 对 AD 林进行 Kerberos 身份验证。 |
| MS-RPC | 135 (TCP) | 该端口绑定到 AD 林后,会在初始配置 Microsoft Entra Connect 向导期间及密码同步期间使用。 |
| LDAP | 389 (TCP/UDP) | 用于从 AD 导入数据。 使用 Kerberos 签名和封装加密数据。 |
| SMB | 445 (TCP) | 由无缝 SSO 用于在 AD 林中以及密码写回期间创建计算机帐户。 有关详细信息,请参阅更改用户帐户的密码。 |
| LDAP/SSL | 636 (TCP/UDP) | 用于从 AD 导入数据。 数据传输经过签名和加密。 仅在使用 TLS 时使用。 |
| RPC | 49152-65535(随机高 RPC 端口)(TCP) | 该端口绑定到 AD 林后,会在初始配置 Microsoft Entra Connect 期间及密码同步期间使用。 如果动态端口已更改,则需打开该端口。 有关详细信息,请参阅 KB929851、KB832017 和 KB224196。 |
| WinRM | 5985 (TCP) | 仅在通过 Microsoft Entra Connect 向导使用 gMSA 安装 AD FS 时使用 |
| AD DS Web 服务 | 9389 (TCP) | 仅在通过 Microsoft Entra Connect 向导使用 gMSA 安装 AD FS 时使用 |
| 全局目录 | 3268 (TCP) | 由无缝 SSO 用于在域中创建计算机帐户之前查询林中的全局目录。 |
表 2 - Microsoft Entra Connect 和 Microsoft Entra ID
此表介绍了 Microsoft Entra Connect 服务器与 Microsoft Entra ID 之间通信所需的端口和协议。
| 协议 | 端口 | 说明 |
|---|---|---|
| HTTP | 80 (TCP) | 用于下载 CRL(证书吊销列表)以验证 TLS/SSL 证书。 |
| HTTPS | 443 (TCP) | 用于与 Microsoft Entra ID 同步。 |
有关需要在防火墙中打开的 URL 和 IP 地址的列表,请参阅 Office 365 URL 和 IP 地址范围和 Microsoft Entra Connect 连接故障排除。
表 3 - Microsoft Entra Connect 和 AD FS 联合身份验证服务器/WAP
此表介绍了 Microsoft Entra Connect 服务器与 AD FS 联合身份验证服务器/WAP 服务器之间通信所需的端口和协议。
| 协议 | 端口 | 说明 |
|---|---|---|
| HTTP | 80 (TCP) | 用于下载 CRL(证书吊销列表)以验证 TLS/SSL 证书。 |
| HTTPS | 443 (TCP) | 用于与 Microsoft Entra ID 同步。 |
| WinRM | 5985 | WinRM 侦听器 |
表 4 - WAP 和联合服务器
此表描述了联合服务器与 WAP 服务器之间通信所需的端口和协议。
| 协议 | 端口 | 说明 |
|---|---|---|
| HTTPS | 443 (TCP) | 用于身份验证。 |
表 5 - WAP 和用户
此表描述了用户与 WAP 服务器之间通信所需的端口和协议。
| 协议 | 端口 | 说明 |
|---|---|---|
| HTTPS | 443 (TCP) | 用于设备身份验证。 |
| TCP | 49443 (TCP) | 用于证书身份验证。 |