混合标识所需的端口和协议

以下文档是用于实现混合标识解决方案所需的端口和协议的技术参考。 使用下图并参考相应的表格。

What is Microsoft Entra Connect

表 1 - Microsoft Entra Connect 和本地 AD

此表介绍了 Microsoft Entra Connect 服务器与本地 AD 之间通信所需的端口和协议。

协议 端口 说明
DNS 53 (TCP/UDP) 在目标林中进行 DNS 查找。
Kerberos 88 (TCP/UDP) 对 AD 林进行 Kerberos 身份验证。
MS-RPC 135 (TCP) 该端口绑定到 AD 林后,会在初始配置 Microsoft Entra Connect 向导期间及密码同步期间使用。
LDAP 389 (TCP/UDP) 用于从 AD 导入数据。 使用 Kerberos 签名和封装加密数据。
SMB 445 (TCP) 由无缝 SSO 用于在 AD 林中以及密码写回期间创建计算机帐户。 有关详细信息,请参阅更改用户帐户的密码
LDAP/SSL 636 (TCP/UDP) 用于从 AD 导入数据。 数据传输经过签名和加密。 仅在使用 TLS 时使用。
RPC 49152-65535(随机高 RPC 端口)(TCP) 该端口绑定到 AD 林后,会在初始配置 Microsoft Entra Connect 期间及密码同步期间使用。 如果动态端口已更改,则需打开该端口。 有关详细信息,请参阅 KB929851KB832017KB224196
WinRM 5985 (TCP) 仅在通过 Microsoft Entra Connect 向导使用 gMSA 安装 AD FS 时使用
AD DS Web 服务 9389 (TCP) 仅在通过 Microsoft Entra Connect 向导使用 gMSA 安装 AD FS 时使用
全局目录 3268 (TCP) 由无缝 SSO 用于在域中创建计算机帐户之前查询林中的全局目录。

表 2 - Microsoft Entra Connect 和 Microsoft Entra ID

此表介绍了 Microsoft Entra Connect 服务器与 Microsoft Entra ID 之间通信所需的端口和协议。

协议 端口 说明
HTTP 80 (TCP) 用于下载 CRL(证书吊销列表)以验证 TLS/SSL 证书。
HTTPS 443 (TCP) 用于与 Microsoft Entra ID 同步。

有关需要在防火墙中打开的 URL 和 IP 地址的列表,请参阅 Office 365 URL 和 IP 地址范围Microsoft Entra Connect 连接故障排除

表 3 - Microsoft Entra Connect 和 AD FS 联合身份验证服务器/WAP

此表介绍了 Microsoft Entra Connect 服务器与 AD FS 联合身份验证服务器/WAP 服务器之间通信所需的端口和协议。

协议 端口 说明
HTTP 80 (TCP) 用于下载 CRL(证书吊销列表)以验证 TLS/SSL 证书。
HTTPS 443 (TCP) 用于与 Microsoft Entra ID 同步。
WinRM 5985 WinRM 侦听器

表 4 - WAP 和联合服务器

此表描述了联合服务器与 WAP 服务器之间通信所需的端口和协议。

协议 端口 说明
HTTPS 443 (TCP) 用于身份验证。

表 5 - WAP 和用户

此表描述了用户与 WAP 服务器之间通信所需的端口和协议。

协议 端口 说明
HTTPS 443 (TCP) 用于设备身份验证。
TCP 49443 (TCP) 用于证书身份验证。