Compartir a través de

Uso de PortQry para solucionar problemas de conectividad de Active Directory

  • Artículo

En este artículo se describe cómo ejecutar PortQry para probar la conectividad de red para cualquier componente o escenario de Windows en cualquier versión de Windows.

Número de KB original: 816103

Introducción

PortQry es una utilidad de línea de comandos que puede usar para solucionar problemas de conectividad TCP/IP que usan los componentes y características de Windows. La utilidad notifica el estado del puerto de los puertos del Protocolo de control de transición (TCP) y los puertos del Protocolo de datagramas de usuario (UDP) en un equipo remoto. Puede ejecutar PortQry para probar la conectividad de red para cualquier componente o escenario de Windows en cualquier versión de Windows.

En este artículo se describe cómo usar portqry para comprobar la conectividad TCP/IP básica para Los componentes relacionados con Active Directory y Active Directory, entre los que se incluyen:

  • Servicios de dominio de Active Directory (ADDS)
  • Active Directory para el protocolo ligero de acceso a directorios (LDAP)
  • Llamada a procedimiento remoto (RPC)
  • Servicio de nombres de dominio (DNS)
  • Otros componentes relacionados con ADDS
  • Otros componentes en los que ADDS depende

Comprobar la conectividad de red a través de los puertos y protocolos necesarios es especialmente útil cuando los controladores de dominio se implementan en dispositivos intermedios, incluidos los firewalls.

Instalación de PortQry

Descargar Portqry.exe

PortQry .exe está disponible para su descarga desde el Centro de descarga de Microsoft. Para descargar el .exe PortQry, visite el siguiente sitio web de Microsoft:

Descargar PortQry Command Line Port Scanner versión 2.0

Para obtener más información sobre cómo descargar archivos de Soporte técnico de Microsoft, consulte el artículo siguiente a Microsoft Knowledge Base:

119591 Cómo obtener archivos de Soporte técnico de Microsoft de Online Services

Microsoft examinó este archivo en busca de virus. Microsoft usó el software de detección de virus más reciente que había disponible en la fecha en la que se publicó el archivo. El archivo se almacena en servidores mejorados de seguridad que ayudan a evitar cambios no autorizados en el archivo.

Una versión gráfica de la herramienta PortQry, denominada PortQueryUI, contiene características adicionales que pueden facilitar el uso de PortQry. Para descargar la herramienta PortQueryUI, visite el siguiente sitio web de Microsoft:

Descargar PortQryUI: interfaz de usuario para el analizador de puertos de la línea de comandos de PortQry

Más información

PortQry notifica el estado de un puerto de una de estas tres maneras:

  • Escucha: un proceso está escuchando en el puerto de destino en el sistema de destino. PortQry recibió una respuesta del puerto.
  • No escucha: ningún proceso está escuchando en el puerto de destino en el sistema de destino. PortQry recibió un mensaje de protocolo de mensajes de control de Internet (ICMP)"Destination Unreachable - Port Unreachable" del puerto UDP de destino. O bien, si el puerto de destino es un puerto TCP, Portqry recibió un paquete de confirmación TCP con la marca Reset establecida.
  • Filtrado: el puerto de destino del sistema de destino se está filtrando. PortQry no recibió una respuesta del puerto de destino. Es posible que un proceso escuche o no en el puerto. De forma predeterminada, los puertos TCP se consultan tres veces y los puertos UDP se consultan una vez antes de notificar el puerto de destino.

Con PortQry, también puede consultar un servicio LDAP. Envía una consulta LDAP, mediante UDP o TCP, e interpreta la respuesta del servidor LDAP a la consulta. La respuesta del servidor LDAP se analiza, da formato y se devuelve al usuario.

Las interfaces RPC que ofrece Active Directory pueden usar puertos de servidor dinámicos (la mayoría son configurables). Los clientes usan el asignador de puntos de conexión RPC para buscar el puerto del servidor de la interfaz RPC de un servicio de Active Directory específico.

La base de datos del asignador de punto de conexión RPC escucha el puerto 135. Esto significa que el puerto TCP 135 es un puerto necesario para la mayoría de las implementaciones que van más allá de las consultas LDAP básicas. También es necesario para todos los clientes que son miembros de un dominio.

Para obtener más información sobre PortQry, consulte:

310099 Descripción de la utilidad de línea de comandos de Portqry.exe

Puede encontrar una lista de puertos y protocolos que Windows usa, incluidos Active Directory, DFS, DFSR, Servicios de certificados y todos los demás servicios de la siguiente base de conocimiento:

832017 Introducción a los servicios y requisitos de puerto de red para Windows

Nota:

Active Directory y otros servicios que usan puertos efímeros deben tener conectividad desde el puerto 135 a todos los enumerados en el artículo Información general del servicio y requisitos de puertos de red para Windows.

Los puertos y protocolos específicos de AD también se pueden encontrar en el artículo:

179442 Cómo configurar un firewall para dominios y confianzas

PortQry sabe cómo enviar una consulta al asignador de punto de conexión RPC (mediante UDP y TCP) e interpretar la respuesta. Esta consulta muestra todos los puntos de conexión registrados con el asignador de puntos de conexión RPC. La respuesta del asignador de punto final se analiza, da formato y se devuelve al usuario.

Si PortQry no está disponible, puede usar LDP.EXE para conectarse al controlador de dominio en el puerto 389 con la casilla Connectionless activada.

Otra alternativa a PortQry es NLTEST, pero no funciona para servidores arbitrarios. El servidor debe ser un controlador de dominio en el mismo dominio que el equipo en el que se ejecuta la herramienta. Si este es el caso, puede usar Nltest /sc_reset <nombre> de equipo de nombre> \ <de dominio para forzar un canal de seguridad a un controlador de dominio específico. Para obtener más información, consulte Conectividad de red.

Uso de portqry

Ejemplo 1: Uso de Portqry para probar la conectividad a través de un puerto y protocolo específicos mediante el puerto UDP 389 como ejemplo

En este ejemplo se muestra cómo usar PortQry para determinar si el servicio LDAP responde. Al examinar la respuesta, puede determinar qué servicio LDAP está escuchando en el puerto y algunos detalles sobre su configuración. Esta información puede ser útil para solucionar varios problemas.

De forma predeterminada, LDAP está configurado para escuchar el puerto 389. La llamada de ejemplo especifica el servidor que se va a consultar mediante el protocolo UDP:

PortQry -n <fqdn> -p udp -e 389

PortQry resuelve automáticamente el puerto UDP 389 con el archivo %SystemRoot%\System32\Drivers\...\Services incluido en Windows Server 2003 y versiones posteriores. En la salida de ejemplo siguiente, el puerto se resuelve en un servicio LDAP que está activo y PortQry informa de que el puerto está ESCUCHAndo o FILTRADO.

A continuación, PortQry envía una consulta LDAP con formato a la que recibe una respuesta. Devuelve toda la respuesta al usuario e informa de que el puerto está ESCUCHANDO. Si PortQry no recibe una respuesta a la consulta, informa de que el puerto es FILTERED.

Salida de ejemplo

C:\>portqry -n <fqdn> -e 389 -p udp

Consulta del sistema de destino llamado:

<fqdn>

Intentando resolver el nombre a la dirección IP...

Nombre resuelto a 169.254.0.14

Puerto UDP 389 (servicio desconocido): ESCUCHA O FILTRADO

Envío de una consulta LDAP al puerto UDP 389...

Respuesta de consulta LDAP:

currentdate: <DateTime> (GMT sin ajustar)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Settings,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN=Sites
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
serverName:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== fin de la respuesta de consulta LDAP ========
El puerto UDP 389 está ESCUCHANDO

Nota:

Es posible que la prueba LDAP sobre UDP no funcione con controladores de dominio que ejecutan Windows Server 2008 y versiones posteriores. Una razón para esto puede ser que haya deshabilitado IPv6 en el controlador de dominio. Para habilitar IPv6, establezca el valor descrito en el artículo siguiente en el valor predeterminado de 0:
929852 Guía para configurar IPv6 en Windows para usuarios avanzados

Ejemplo 2: Identificación de los servicios que se han registrado con el asignador de puntos de conexión RPC

En este ejemplo se muestra cómo usar PortQry para determinar qué servicios o aplicaciones se registran con la base de datos del asignador de punto de conexión RPC del servidor de destino. La salida incluye el identificador único universal (UUID) de cada aplicación, el nombre anotado (si existe), el protocolo que usa la aplicación, la dirección de red a la que está enlazada la aplicación y el punto final de la aplicación (número de puerto, canalización con nombre entre corchetes). Esta información puede ser útil para solucionar varios problemas.

De forma predeterminada, la base de datos del asignador de punto de conexión RPC está configurada para escuchar el puerto 135. La llamada de ejemplo especifica el servidor que se va a consultar mediante el protocolo UDP:

portqry -n <fqdn> -p udp -e 135

Salida de ejemplo

Consulta del sistema de destino llamado:

<fqdn>

Intentando resolver el nombre a la dirección IP...

Nombre resuelto a 169.254.0.18

Puerto UDP 135 (servicio epmap): ESCUCHA O FILTRADO
Consulta de la base de datos del asignador de puntos de conexión...
Respuesta del servidor:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 Interfaz de copia de seguridad NTDS
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 Interfaz de restauración NTDS
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\\MYDC[\pipe\00000580.000]

Total de puntos de conexión encontrados: 6

==== Fin de la respuesta de consulta del asignador de puntos de conexión RPC ====

El puerto UDP 135 está ESCUCHANDO

PortQry puede enviar una consulta DNS con formato correcto (mediante UDP o TCP). La utilidad envía una consulta DNS para "portqry.microsoft.com". A continuación, PortQry espera una respuesta del servidor DNS de destino. Si la respuesta DNS a la consulta es negativa o positiva es irrelevante porque cualquier respuesta indica que el puerto está escuchando.