Erforderliche Ports und Protokolle für die Hybrid-Identität

Das folgende Dokument ist eine technische Referenz zu den erforderlichen Ports und Protokollen für die Implementierung einer Hybrid-Identitätslösung. Sehen Sie sich die folgende Abbildung und die entsprechende Tabelle an.

Was ist Azure AD Connect?

Tabelle 1: Azure AD Connect und lokales AD

In dieser Tabelle werden die Ports und Protokolle beschrieben, die für die Kommunikation zwischen dem Azure AD Connect-Server und der lokalen AD-Instanz erforderlich sind.

Protokoll Ports BESCHREIBUNG
DNS 53 (TCP/UDP) DNS-Suchen in der Zielgesamtstruktur
Kerberos 88 (TCP/UDP) Kerberos-Authentifizierung für die AD-Gesamtstruktur
MS-RPC 135 (TCP) Wird bei der anfänglichen Konfiguration des Azure AD Connect-Assistenten beim Binden an die AD-Gesamtstruktur sowie bei der Kennwortsynchronisierung verwendet
LDAP 389 (TCP/UDP) Wird zum Importieren von Daten aus AD verwendet. Daten werden per Kerberos Sign & Seal verschlüsselt.
SMB 445 (TCP) Wird bei nahtlosem SSO zum Erstellen eines Computerkontos in der Active Directory-Gesamtstruktur verwendet.
LDAP/SSL 636 (TCP/UDP) Wird zum Importieren von Daten aus AD verwendet. Die Datenübertragung ist signiert und verschlüsselt. Gilt nur bei Verwendung von TLS.
RPC 49152–65535 (zufälliger RPC-Port im hohen Bereich) (TCP) Wird bei der anfänglichen Konfiguration von Azure AD Connect beim Binden an die AD-Gesamtstrukturen und bei der Kennwortsynchronisierung verwendet. Wenn der dynamische Port geändert wurde, müssen Sie diesen Port öffnen. Weitere Informationen finden Sie unter KB929851, KB832017 und KB224196.
WinRM 5985 (TCP) Wird nur verwendet, wenn Sie AD FS mithilfe von gMSA im Azure AD Connect-Assistenten installieren.
AD DS-Webdienste 9389 (TCP) Wird nur verwendet, wenn Sie AD FS mithilfe von gMSA im Azure AD Connect-Assistenten installieren.

Tabelle 2: Azure AD Connect und Azure AD

In dieser Tabelle werden die Ports und Protokolle beschrieben, die für die Kommunikation zwischen dem Azure AD Connect-Server und Azure AD erforderlich sind.

Protokoll Ports BESCHREIBUNG
HTTP 80 (TCP) Wird zum Herunterladen von Zertifikatsperrlisten (CRLs, Certificate Revocation Lists) zur Überprüfung von TLS/SSL-Zertifikaten verwendet.
HTTPS 443 (TCP) Wird zum Synchronisieren mit Azure AD verwendet

Eine Liste der URLs und IP-Adressen, die in der Firewall geöffnet sein müssen, finden Sie unter URLs und IP-Adressbereiche von Office 365 und Azure AD Connect-Konnektivität.

Tabelle 3: Azure AD Connect und AD FS-Verbund-/WAP-Server

In dieser Tabelle werden die Ports und Protokolle beschrieben, die für die Kommunikation zwischen dem Azure AD Connect-Server und AD FS-Verbund-/WAP-Servern erforderlich sind.

Protokoll Ports BESCHREIBUNG
HTTP 80 (TCP) Wird zum Herunterladen von Zertifikatsperrlisten (CRLs, Certificate Revocation Lists) zur Überprüfung von TLS/SSL-Zertifikaten verwendet.
HTTPS 443 (TCP) Wird zum Synchronisieren mit Azure AD verwendet
WinRM 5985 WinRM-Listener

Tabelle 4: WAP- und Verbundserver

In dieser Tabelle werden die Ports und Protokolle beschrieben, die für die Kommunikation zwischen den Verbundservern und WAP-Servern erforderlich sind.

Protokoll Ports BESCHREIBUNG
HTTPS 443 (TCP) Wird für die Authentifizierung verwendet

Tabelle 5: WAP und Benutzer

In dieser Tabelle werden die Ports und Protokolle beschrieben, die für die Kommunikation zwischen Benutzern und den WAP-Servern erforderlich sind.

Protokoll Ports BESCHREIBUNG
HTTPS 443 (TCP) Wird für die Geräteauthentifizierung verwendet
TCP 49443 (TCP) Wird für die Zertifikatauthentifizierung verwendet

Tabellen 6a und 6b: Passthrough-Authentifizierung mit einmaligem Anmelden (SSO) und Kennworthashsynchronisierung mit einmaligem Anmelden (SSO)

In dieser folgenden Tabelle werden die Ports und Protokolle beschrieben, die für die Kommunikation zwischen Azure AD Connect und Azure AD erforderlich sind.

Tabelle 6a: Passthrough-Authentifizierung mit SSO

Protokoll Portnummer BESCHREIBUNG
HTTP 80 Ermöglicht ausgehenden HTTP-Verkehr für die Sicherheitsüberprüfung, z.B. SSL. Wird auch für die ordnungsgemäße Funktion automatischer Updates für den Connector benötigt.
HTTPS 443 Ermöglicht ausgehenden HTTPS-Datenverkehr für Vorgänge wie das Aktivieren und Deaktivieren des Features, das Registrieren von Connectors, das Herunterladen von Connectorupdates und das Verarbeiten aller Benutzeranmeldeanforderungen.

Darüber hinaus muss Azure AD Connect in der Lage sein, direkte IP-Verbindungen mit den IP-Adressbereichen des Azure-Rechenzentrums herzustellen.

Tabelle 6b: Kennworthashsynchronisierung mit SSO

Protokoll Portnummer BESCHREIBUNG
HTTPS 443 Ermöglicht die SSO-Registrierung (nur für den SSO-Registrierungsprozess erforderlich)

Darüber hinaus muss Azure AD Connect in der Lage sein, direkte IP-Verbindungen mit den IP-Adressbereichen des Azure-Rechenzentrums herzustellen. Auch in diesem Fall ist dies nur für den SSO-Registrierungsprozess erforderlich.

Tabelle 7a und 7b: Azure AD Connect Health-Agent für (AD FS/Sync) und Azure AD

In den folgenden Tabellen werden die Endpunkte, Ports und Protokolle beschrieben, die für die Kommunikation zwischen Azure AD Connect Health-Agents und Azure AD erforderlich sind.

Tabelle 7a: Ports und Protokolle für den Azure AD Connect Health-Agent für (AD FS/Sync) und Azure AD

In dieser Tabelle werden die folgenden ausgehenden Ports und Protokolle beschrieben, die für die Kommunikation zwischen Azure AD Connect Health-Agents und Azure AD erforderlich sind.

Protokoll Ports BESCHREIBUNG
HTTPS 443 (TCP) Ausgehend
Azure-Servicebus 5671 (TCP) Ausgehend

Der Azure Service Bus-Port 5671 ist für die neueste Agent-Version nicht mehr erforderlich. Für die neueste Version des Azure AD Connect Health Agents wird nur noch Port 443 benötigt.

Tabelle 7b: Endpunkte für Azure AD Connect Health-Agent für (AD FS/Sync) und Azure AD

Eine Liste mit Endpunkten finden Sie im Abschnitt mit den Anforderungen für den Azure AD Connect Health-Agent.