连接健康代理-防火墙规则(出站连接到Azure服务端点)

Question

我正在寻找关于这篇文章的一些指导：

Azure AD连接健康代理安装

https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-health-agent-install

在下面：

https://learn.microsoft.com/en-us/azure/active-directory/hybrid/how-to-connect-health-agent-install#outbound-connectivity-to-the-azure-service-endpoints

我们不确定必须为前4个“通用公共”端点打开哪些端口：

.blob.core.windows.net

.aadconnecthealth.azure.com

.servicebus.windows.net -端口: 5671 (代理的最新版本不需要这个端点)。

.ad杂交瘤健康.azure.com

我并不真正关心3号，假设我不应该对最新的经纪人有问题。但是对于1,2和4，我不知道在防火墙上打开端口443是否足够。

Answer 1

·仅在您的本地环境中打开端口443以出站连接到指定的URL是不够的，您还需要检查防火墙上是否启用了TLS过滤器检查，以及是否启用了证书检查和验证，如果启用了，则绕过HTTPS检查排除列表中指定的端点URL。

·此外，绕过Internet Explorer中的端点URL列表，在Azure AD Connect服务器上增强允许网站的安全列表，同时确保在安装Azure AD连接健康代理的服务器上禁用FIPS (联邦信息处理标准)。如果在您的环境中启用了FIPS，则可以通过组策略禁用FIPS，方法是在该服务器上不应用该GPO。

·一旦Azure AD Connect Health Agent安装在服务器上，并且在防火墙和网关过滤设备的出站配置中绕过所有先决条件端口和所需的端点URL，通过在该服务器上执行以下命令并检查其结果，测试到Azure中Azure AD Connect健康检查服务的连接性。

  ‘ Test-AzureADConnectHealthConnectivity ’

欲知详情，请参阅以下连结：

https://learn.microsoft.com/en-us/previous-versions/tn-archive/ee796230(v=technet.10)