Порты и протоколы, необходимые для гибридной идентификацииHybrid Identity Required Ports and Protocols

Следующий документ представляет собой технический справочник по портам и протоколам, которые необходимы для реализации решения для гибридной идентификации.The following document is a technical reference on the required ports and protocols for implementing a hybrid identity solution. Используйте приведенный ниже рисунок и соответствующую таблицу.Use the following illustration and refer to the corresponding table.

Что такое Azure AD Connect?

Таблица 1. Azure AD Connect и локальная служба ADTable 1 - Azure AD Connect and On-premises AD

В этой таблице описываются порты и протоколы, необходимые для взаимодействия между сервером Azure AD Connect и локальной службой AD.This table describes the ports and protocols that are required for communication between the Azure AD Connect server and on-premises AD.

ПротоколProtocol порты;Ports ОПИСАНИЕDescription
DNSDNS 53 (TCP или UDP)53 (TCP/UDP) Поиски DNS в лесу назначения.DNS lookups on the destination forest.
KerberosKerberos 88 (TCP или UDP)88 (TCP/UDP) Проверка подлинности Kerberos для леса AD.Kerberos authentication to the AD forest.
MS-RPCMS-RPC 135 (TCP или UDP)135 (TCP/UDP) Используется во время начальной настройки мастера Azure AD Connect, когда он выполняет привязку к лесу AD, а также при синхронизации паролей.Used during the initial configuration of the Azure AD Connect wizard when it binds to the AD forest, and also during Password synchronization.
LDAPLDAP 389 (TCP или UDP)389 (TCP/UDP) Используется для импорта данных из AD.Used for data import from AD. Данные шифруются с помощью функции подписи и запечатывания Kerberos.Data is encrypted with Kerberos Sign & Seal.
SMBSMB 445 (TCP/UDP)445 (TCP/UDP) Используется функцией простого единого входа для создания учетной записи компьютера в лесу AD.Used by Seamless SSO to create a computer account in the AD forest.
LDAP или SSLLDAP/SSL 636 (TCP или UDP)636 (TCP/UDP) Используется для импорта данных из AD.Used for data import from AD. Передача данных подписывается и шифруется.The data transfer is signed and encrypted. Используется только при применении SSL.Only used if you are using SSL.
RPCRPC 49152- 65535 (произвольные верхние порты RPC) (TCP или UDP)49152- 65535 (Random high RPC Port)(TCP/UDP) Используется во время начальной настройки мастера Azure AD Connect, когда он выполняет привязку к лесам AD, а также во время синхронизации паролей.Used during the initial configuration of Azure AD Connect when it binds to the AD forests, and during Password synchronization. Дополнительную информацию см. в статьях базы знаний KB929851, KB832017 и KB224196.See KB929851, KB832017, and KB224196 for more information.

Таблица 2. Azure AD Connect и Azure ADTable 2 - Azure AD Connect and Azure AD

В этой таблице описываются порты и протоколы, которые необходимы для взаимодействия между сервером Azure AD Connect и Azure AD.This table describes the ports and protocols that are required for communication between the Azure AD Connect server and Azure AD.

ПротоколProtocol порты;Ports ОПИСАНИЕDescription
HTTPHTTP 80 (TCP или UDP)80 (TCP/UDP) Используется для загрузки CRL (списки отзыва сертификатов) для проверки сертификатов SSL.Used to download CRLs (Certificate Revocation Lists) to verify SSL certificates.
HTTPSHTTPS 443 (TCP или UDP)443(TCP/UDP) Используется для синхронизации с Azure AD.Used to synchronize with Azure AD.

Список URL-адресов и IP-адресов, которые необходимо открыть в брандмауэре, см. в статье URL-адреса и диапазоны IP-адресов Office 365.For a list of URLs and IP addresses you need to open in your firewall, see Office 365 URLs and IP address ranges.

Таблица 3. Azure AD Connect и серверы федерации AD FS и WAPTable 3 - Azure AD Connect and AD FS Federation Servers/WAP

В этой таблице описываются порты и протоколы, необходимые для взаимодействия между сервером Azure AD Connect и серверами федерации AD FS и WAP.This table describes the ports and protocols that are required for communication between the Azure AD Connect server and AD FS Federation/WAP servers.

ПротоколProtocol порты;Ports ОПИСАНИЕDescription
HTTPHTTP 80 (TCP или UDP)80 (TCP/UDP) Используется для загрузки CRL (списки отзыва сертификатов) для проверки сертификатов SSL.Used to download CRLs (Certificate Revocation Lists) to verify SSL certificates.
HTTPSHTTPS 443 (TCP или UDP)443(TCP/UDP) Используется для синхронизации с Azure AD.Used to synchronize with Azure AD.
WinRMWinRM 59855985 Прослушиватель WinRMWinRM Listener

Таблица 4. Серверы WAP и серверы федерацииTable 4 - WAP and Federation Servers

В этой таблице описываются порты и протоколы, необходимые для взаимодействия между серверами федерации и серверами WAP.This table describes the ports and protocols that are required for communication between the Federation servers and WAP servers.

ПротоколProtocol порты;Ports ОПИСАНИЕDescription
HTTPSHTTPS 443 (TCP или UDP)443(TCP/UDP) Используется для проверки подлинности.Used for authentication.

Таблица 5. WAP и пользователиTable 5 - WAP and Users

В этой таблице описываются порты и протоколы, необходимые для взаимодействия между пользователями и серверами WAP.This table describes the ports and protocols that are required for communication between users and the WAP servers.

ПротоколProtocol порты;Ports ОПИСАНИЕDescription
HTTPSHTTPS 443 (TCP или UDP)443(TCP/UDP) Используется для проверки подлинности устройств.Used for device authentication.
TCPTCP 49443 (TCP)49443 (TCP) Используется для проверки подлинности с помощью сертификата.Used for certificate authentication.

Таблицы 6a и 6b. Сквозная аутентификация с помощью единого входа (SSO) и синхронизация хэша паролей с помощью единого входа (SSO)Table 6a & 6b - Pass-through Authentication with Single Sign On (SSO) and Password Hash Sync with Single Sign On (SSO)

В следующих таблицах описываются порты и протоколы, которые необходимы для взаимодействия между Azure AD Connect и Azure AD.The following tables describes the ports and protocols that are required for communication between the Azure AD Connect and Azure AD.

Таблица 6a. Сквозная аутентификация с помощью SSOTable 6a - Pass-through Authentication with SSO

ПротоколProtocol Номер портаPort Number ОПИСАНИЕDescription
HTTPHTTP 8080 Разрешение исходящего трафика HTTP для проверки безопасности, например SSL.Enable outbound HTTP traffic for security validation such as SSL. Оно также требуется для правильной работы автоматического обновления соединителя.Also needed for the connector auto-update capability to function properly.
HTTPSHTTPS 443443 Исходящий трафик HTTPS необходимо включить для выполнения таких операций, как включение и отключение функций, регистрация соединителей, скачивание обновлений соединителя и обработка всех запросов пользователя на вход.Enable outbound HTTPS traffic for operations such as enabling and disabling of the feature, registering connectors, downloading connector updates, and handling all user sign-in requests.

Кроме того, Azure AD Connect требуется возможность устанавливать прямые IP-подключения к диапазонам IP-адресов центра обработки данных Azure.In addition, Azure AD Connect needs to be able to make direct IP connections to the Azure data center IP ranges.

Таблица 6b. Синхронизация хэша паролей с помощью SSOTable 6b - Password Hash Sync with SSO

ПротоколProtocol Номер портаPort Number ОПИСАНИЕDescription
HTTPSHTTPS 443443 Включение регистрации SSO (требуется только для процесса регистрации SSO).Enable SSO registration (required only for the SSO registration process).

Кроме того, Azure AD Connect требуется возможность устанавливать прямые IP-подключения к диапазонам IP-адресов центра обработки данных Azure.In addition, Azure AD Connect needs to be able to make direct IP connections to the Azure data center IP ranges. Опять же, это необходимо только для процесса регистрации единого входа.Again, this is only required for the SSO registration process.

Таблицы 7а и 7б. Агент Azure AD Connect Health для AD FS и синхронизации и Azure ADTable 7a & 7b - Azure AD Connect Health agent for (AD FS/Sync) and Azure AD

В следующих таблицах описываются конечные точки, порты и протоколы, необходимые для взаимодействия между агентами Azure AD Connect Health и Azure AD.The following tables describe the endpoints, ports, and protocols that are required for communication between Azure AD Connect Health agents and Azure AD

Таблица 7а. Порты и протоколы для агента Azure AD Connect Health для AD FS и синхронизации и Azure ADTable 7a - Ports and Protocols for Azure AD Connect Health agent for (AD FS/Sync) and Azure AD

В этой таблице описываются следующие исходящие порты и протоколы, необходимые для взаимодействия между агентами Azure AD Connect Health и Azure AD.This table describes the following outbound ports and protocols that are required for communication between the Azure AD Connect Health agents and Azure AD.

ПротоколProtocol порты;Ports ОПИСАНИЕDescription
HTTPSHTTPS 443 (TCP или UDP)443(TCP/UDP) ИсходящиеOutbound
Azure Service BusAzure Service Bus 5671 (TCP или UDP)5671 (TCP/UDP) ИсходящиеOutbound

Таблица 7б. Конечные точки для агента Azure AD Connect Health для AD FS и синхронизации и Azure AD7b - Endpoints for Azure AD Connect Health agent for (AD FS/Sync) and Azure AD

Список конечных точек см. в разделе "Требования" для агента Azure AD Connect Health.For a list of endpoints, see the Requirements section for the Azure AD Connect Health agent.