Comment utiliser PortQry pour résoudre les problèmes de connectivité Active Directory

Cet article explique comment exécuter PortQry pour tester la connectivité réseau pour n’importe quel composant Ou scénario Windows sur n’importe quelle version de Windows.

Numéro de base de connaissances d’origine : 816103

Introduction

PortQry est un utilitaire de ligne de commande que vous pouvez utiliser pour résoudre les problèmes de connectivité TCP/IP utilisées par les composants et fonctionnalités Windows. L’utilitaire signale l’état du port des ports TCP (Transition Control Protocol) et UDP (User Datagram Protocol) sur un ordinateur distant. Vous pouvez exécuter PortQry pour tester la connectivité réseau pour n’importe quel composant Ou scénario Windows sur n’importe quelle version de Windows.

Cet article explique comment utiliser portqry pour vérifier la connectivité TCP/IP de base pour Active Directory et les composants associés à Active Directory, notamment :

• services de domaine Active Directory (ADDS)
• Active Directory pour le protocole LDAP (Lightweight Directory Access Protocol)
• Appel de procédure distante (RPC)
• Service de nom de domaine (DNS)
• Autres composants liés à ADDS
• Autres composants sur lesquels ADDS dépend

La vérification de la connectivité réseau sur les ports et protocoles requis est particulièrement utile lorsque les contrôleurs de domaine sont déployés sur des appareils intermédiaires, notamment des pare-feu.

Installer PortQry

Télécharger Portqry.exe

PortQry .exe est disponible en téléchargement à partir du Centre de téléchargement Microsoft. Pour télécharger le .exe PortQry, visitez le site web Microsoft suivant :

Télécharger le scanneur de port de ligne de commande PortQry version 2.0

Pour plus d’informations sur le téléchargement de fichiers Support Microsoft, consultez la Base de connaissances Microsoft :

119591 Comment obtenir des fichiers Support Microsoft à partir des services en ligne

Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est stocké sur des serveurs améliorés de sécurité qui permettent d’empêcher toute modification non autorisée du fichier.

Une version graphique de l’outil PortQry, appelée PortQueryUI, contient des fonctionnalités supplémentaires qui peuvent faciliter l’utilisation de PortQry. Pour télécharger l’outil PortQueryUI, visitez le site web Microsoft suivant :

Télécharger PortQryUI - Interface utilisateur pour le scanneur de port de ligne de commande PortQry

Plus d’informations

PortQry signale l’état d’un port de l’une des trois manières suivantes :

• Écoute : un processus écoute sur le port cible sur le système cible. PortQry a reçu une réponse du port.
• Non à l’écoute : aucun processus n’écoute sur le port cible sur le système cible. PortQry a reçu un message ICMP (Internet Control Message Protocol) « Destination inaccessible - Port inaccessible » à partir du port UDP cible. Ou, si le port cible est un port TCP, Portqry a reçu un paquet d’accusé de réception TCP avec l’indicateur de réinitialisation défini.
• Filtré : le port cible sur le système cible est filtré. PortQry n’a pas reçu de réponse du port cible. Un processus peut ou non être à l’écoute sur le port. Par défaut, les ports TCP sont interrogés trois fois et les ports UDP sont interrogés une fois avant de signaler que le port cible est filtré.

Avec PortQry, vous pouvez également interroger un service LDAP. Il envoie une requête LDAP, à l’aide d’UDP ou TCP, et interprète la réponse du serveur LDAP à la requête. La réponse du serveur LDAP est analysée, mise en forme et retournée à l’utilisateur.

Les interfaces RPC offertes par Active Directory peuvent utiliser des ports de serveur dynamique (la plupart sont configurables.) Les clients utilisent le mappeur de point de terminaison RPC pour rechercher le port du serveur de l’interface RPC d’un service Active Directory spécifique.

La base de données du mappeur de point de terminaison RPC écoute le port 135. Cela signifie que le port TCP 135 est un port requis pour la plupart des déploiements qui vont au-delà des requêtes LDAP de base. Il est également nécessaire pour tous les clients membres d’un domaine.

Pour plus d’informations sur PortQry, consultez :

310099 Description de l’utilitaire de ligne de commande Portqry.exe

Vous trouverez la liste des ports et protocoles utilisés par Windows, notamment Active Directory, DFS, DFSR, Certificate Services et tous les autres services de l’article base de connaissances suivant :

832017 Vue d’ensemble du service et exigences relatives aux ports réseau pour Windows

Note

Active Directory et d’autres services qui utilisent des ports éphémères doivent disposer d’une connectivité entre le port 135 et tous les ports répertoriés dans la vue d’ensemble du service et les exigences de port réseau pour l’article Windows.

Les ports et protocoles spécifiques à AD sont également disponibles dans l’article :

179442 Comment configurer un pare-feu pour les domaines et les approbations

PortQry sait comment envoyer une requête au mappeur de point de terminaison RPC (à l’aide d’UDP et TCP) et interpréter la réponse. Cette requête affiche tous les points de terminaison inscrits auprès du mappeur de points de terminaison RPC. La réponse du mappeur de point de terminaison est analysée, mise en forme et retournée à l’utilisateur.

Si PortQry n’est pas disponible, vous pouvez utiliser LDP.EXE pour vous connecter au contrôleur de domaine sur le port 389 avec la case à cocher Sans connexion activée.

Une autre alternative à PortQry est NLTEST, mais elle ne fonctionne pas pour les serveurs arbitraires. Le serveur doit être un contrôleur de domaine dans le même domaine que la machine sur laquelle vous exécutez l’outil. Si c’est le cas, vous pouvez utiliser Nltest /sc_reset nom d’ordinateur de nom><> \ de domaine pour forcer un canal de sécurité sur un contrôleur de domaine spécifique.< Pour plus d’informations, consultez Connectivité réseau.

Utilisation de portqry

Exemple 1 : Utilisation de Portqry pour tester la connectivité sur un port et un protocole spécifiques à l’aide du port UDP 389 comme exemple

Cet exemple montre comment utiliser PortQry pour déterminer si le service LDAP répond. En examinant la réponse, vous pouvez déterminer quel service LDAP écoute sur le port et quelques détails sur sa configuration. Ces informations peuvent être utiles pour résoudre différents problèmes.

Par défaut, LDAP est configuré pour écouter le port 389. L’exemple d’appel spécifie le serveur à interroger à l’aide du protocole UDP :

PortQry -n <fqdn> -p udp -e 389

PortQry résout automatiquement le port UDP 389 à l’aide du fichier %SystemRoot%\System32\Drivers\...\Services inclus dans les ordinateurs Windows Server 2003 et versions ultérieures. Dans l’exemple de sortie ci-dessous, le port se résout vers un service LDAP actif et les rapports PortQry que le port écoute ou FILTRE.

PortQry envoie ensuite une requête LDAP mise en forme à laquelle elle reçoit une réponse. Elle retourne toute la réponse à l’utilisateur et signale que le port écoute. Si PortQry n’a pas reçu de réponse à la requête, il signale que le port est FILTRÉ.

Exemple de sortie

C :\>portqry -n <fqdn> -e 389 -p udp

Interrogation du système cible appelé :

<fqdn>

Tentative de résolution du nom en adresse IP...

Nom résolu à 169.254.0.14

Port UDP 389 (service inconnu) : ÉCOUTE ou FILTRE

Envoi d’une requête LDAP au port UDP 389...

Réponse de requête LDAP :

currentdate : <DateTime> (GMT non ajusté)
subschemaSubentry :
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName : CN=NTDS
Paramètres,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts : DC=reskit,DC=com
defaultNamingContext : DC=reskit,DC=com
schemaNamingContext :
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext :
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext : DC=reskit,DC=com
supportedControl : 1.2.840.113556.1.4.319
supportedLDAPVersion : 3
supportedLDAPPolicies : MaxPoolThreads
highestCommittedUSN : 815431405
supportedSASLMechanisms : GSSAPI
dnsHostName : <HostName>
ldapServiceName : <ServiceName>
serverName :
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities : 1.2.840.113556.1.4.800
isSynchronized : TRUE
isGlobalCatalogReady : TRUE

======== fin de la réponse de requête LDAP ========
Le port UDP 389 écoute

Note

Le test LDAP sur UDP peut ne pas fonctionner sur les contrôleurs de domaine exécutant Windows Server 2008 et versions ultérieures. Pour cette raison, vous avez désactivé IPv6 sur le contrôleur de domaine. Pour activer IPv6, définissez la valeur décrite dans l’article ci-dessous sur la valeur par défaut 0 :
929852 Conseils pour la configuration d’IPv6 dans Windows pour les utilisateurs avancés

Exemple 2 : Identification des services inscrits auprès du mappeur de point de terminaison RPC

Cet exemple montre comment utiliser PortQry pour déterminer quels services ou applications sont inscrits auprès de la base de données du mappeur de point de terminaison RPC du serveur cible. La sortie inclut l’identificateur UUID (Universally Unique Identifier) de chaque application, le nom annoté (le cas échéant), le protocole utilisé par l’application, l’adresse réseau à laquelle l’application est liée et le point de terminaison de l’application (numéro de port, canal nommé entre crochets). Ces informations peuvent être utiles pour résoudre différents problèmes.

Par défaut, la base de données du mappeur de point de terminaison RPC est configurée pour écouter le port 135. L’exemple d’appel spécifie le serveur à interroger à l’aide du protocole UDP :

portqry -n <fqdn> -p udp -e 135

Exemple de sortie

Interrogation du système cible appelé :

<fqdn>

Tentative de résolution du nom en adresse IP...

Nom résolu à 169.254.0.18

Port UDP 135 (service epmap) : ÉCOUTE ou FILTRE
Interrogation de la base de données Endpoint Mapper…
Réponse du serveur :

UUID : eac0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np :\\\\MYDC[\PIPE\lsass]

UUID : 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS Restore Interface
ncacn_np :\\\\MYDC[\PIPE\lsass]

UUID : e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp :169.254.0.18[1027]

UUID : f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp :169.254.0.18[1130]

UUID : d049b186-814f-11d1-9a3c-00c04fc9b232 API NtFrs
ncacn_ip_tcp :169.254.0.18[1130]

UUID : d049b186-814f-11d1-9a3c-00c04fc9b232 API NtFrs
ncacn_np :\\\\MYDC[\pipe\00000580.000]

Nombre total de points de terminaison trouvés : 6

==== Fin de la réponse de requête du mappeur de point de terminaison RPC ====

Le port UDP 135 écoute

PortQry peut envoyer une requête DNS correctement mise en forme (à l’aide du protocole UDP ou TCP). L’utilitaire envoie une requête DNS pour «portqry.microsoft.com ». PortQry attend ensuite une réponse du serveur DNS cible. Si la réponse DNS à la requête est négative ou positive n’est pas pertinente, car toute réponse indique que le port écoute.