以下文档是有关实现混合标识解决方案所需的端口和协议的技术参考。 使用下图并引用相应的表。
表 1 - Microsoft Entra Connect 和本地 AD
下表描述了Microsoft Entra Connect 服务器与本地 AD 之间通信所需的端口和协议。
| 协议 | Ports | Description |
|---|---|---|
| DNS | 53 (TCP/UDP) | 目标林上的 DNS 查找。 |
| Kerberos | 88 (TCP/UDP) | 对 AD 林的 Kerberos 身份验证。 |
| MS-RPC | 135 (TCP) | 当Microsoft Entra Connect 向导绑定到 AD 林,并在密码同步期间使用。 |
| LDAP | 389 (TCP/UDP) | 用于从 AD 导入数据。 数据使用 Kerberos 签名和密封进行加密。 |
| SMB | 445 (TCP) | 无缝 SSO 用于在 AD 林和密码写回期间创建计算机帐户。 有关详细信息,请参阅 更改用户帐户的密码。 |
| LDAP/SSL | 636 (TCP/UDP) | 用于从 AD 导入数据。 数据传输已签名并加密。 仅当使用 TLS 时才使用。 |
| RPC | 49152- 65535 (随机高 RPC 端口) (TCP) | 在绑定到 AD 林和密码同步期间,在Microsoft Entra Connect 的初始配置期间使用。 如果动态端口已更改,则需要打开该端口。 有关详细信息,请参阅 KB929851、 KB832017和 KB224196 。 |
| WinRM | 5985 (TCP) | 仅当通过 Microsoft Entra Connect 向导安装具有 gMSA 的 AD FS 时使用 |
| AD DS Web 服务 | 9389 (TCP) | 仅当通过 Microsoft Entra Connect 向导安装具有 gMSA 的 AD FS 时使用 |
| 全局编录 | 3268 (TCP) | 无缝 SSO 用于在域中创建计算机帐户之前查询林中的全局目录。 |
表 2 - Microsoft Entra Connect 和 Microsoft Entra ID
下表描述了Microsoft Entra Connect 服务器与 Microsoft Entra ID 之间通信所需的端口和协议。
| 协议 | Ports | Description |
|---|---|---|
| HTTP | 80 (TCP) | 用于下载 CRL(证书吊销列表)以验证 TLS/SSL 证书。 |
| HTTPS | 443 (TCP) | 用于与 Microsoft Entra ID 同步。 |
有关需要在防火墙中打开的 URL 和 IP 地址的列表,请参阅 Office 365 URL 和 IP 地址范围 以及 Microsoft Entra Connect 连接疑难解答。
表 3 - Microsoft Entra Connect 和 AD FS 联合服务器/WAP
下表描述了Microsoft Entra Connect 服务器和 AD FS 联合/WAP 服务器之间通信所需的端口和协议。
| 协议 | Ports | Description |
|---|---|---|
| HTTP | 80 (TCP) | 用于下载 CRL(证书吊销列表)以验证 TLS/SSL 证书。 |
| HTTPS | 443 (TCP) | 用于与 Microsoft Entra ID 同步。 |
| WinRM | 5985 | WinRM 侦听器 |
表 4 - WAP 和联合服务器
此表描述了联合服务器与 WAP 服务器之间通信所需的端口和协议。
| 协议 | Ports | Description |
|---|---|---|
| HTTPS | 443 (TCP) | 用于身份验证。 |
表 5 - WAP 和用户
此表描述了用户与 WAP 服务器之间通信所需的端口和协议。
| 协议 | Ports | Description |
|---|---|---|
| HTTPS | 443 (TCP) | 用于设备身份验证。 |
| TCP | 49443 (TCP) | 用于证书身份验证。 |