Condividi tramite


Come usare PortQry per risolvere i problemi di connettività di Active Directory

Questo articolo descrive come eseguire PortQry per testare la connettività di rete per qualsiasi componente o scenario di Windows in qualsiasi versione di Windows.

Numero KB originale: 816103

Introduzione

PortQry è un'utilità della riga di comando che è possibile usare per risolvere i problemi di connettività TCP/IP usati dai componenti e dalle funzionalità di Windows. L'utilità segnala lo stato della porta delle porte TCP (Transition Control Protocol) e UDP (User Datagram Protocol) in un computer remoto. È possibile eseguire PortQry per testare la connettività di rete per qualsiasi componente o scenario di Windows in qualsiasi versione di Windows.

Questo articolo descrive come usare portqry per verificare la connettività TCP/IP di base per Active Directory e i componenti correlati ad Active Directory, tra cui:

  • Dominio di Active Directory Services (ADDS)
  • Active Directory for Lightweight Directory Access Protocol (LDAP)
  • Remote procedure call (RPC)
  • Domain Name Service (DNS)
  • Altri componenti correlati a ADDS
  • Altri componenti in base ai quali ADDS dipende

La verifica della connettività di rete sulle porte e i protocolli necessari è particolarmente utile quando i controller di dominio vengono distribuiti tra dispositivi intermedi, inclusi i firewall.

Installare PortQry

Scaricare Portqry.exe

PortQry .exe è disponibile per il download dall'Area download Microsoft. Per scaricare il .exe PortQry, visitare il seguente sito Web Microsoft:

Scaricare lo scanner della porta della riga di comando di PortQry versione 2.0

Per altre informazioni su come scaricare supporto tecnico Microsoft file, vedere la Microsoft Knowledge Base seguente:

119591 Come ottenere file di supporto tecnico Microsoft da Servizi online

Microsoft ha analizzato questo file per individuare i virus. Microsoft ha usato il software di rilevamento di virus più recente disponibile alla data in cui è stato pubblicato il file. Il file viene archiviato in server avanzati per la sicurezza che consentono di evitare modifiche non autorizzate al file.

Una versione grafica dello strumento PortQry, denominata PortQueryUI, contiene funzionalità aggiuntive che possono semplificare l'uso di PortQry. Per scaricare lo strumento PortQueryUI, visitare il seguente sito Web Microsoft:

Scaricare PortQryUI - Interfaccia utente per lo scanner della porta della riga di comando di PortQry

Ulteriori informazioni

PortQry segnala lo stato di una porta in uno dei tre modi seguenti:

  • Ascolto: un processo è in ascolto sulla porta di destinazione nel sistema di destinazione. PortQry ha ricevuto una risposta dalla porta.
  • Non in ascolto: nessun processo è in ascolto sulla porta di destinazione nel sistema di destinazione. PortQry ha ricevuto un messaggio ICMP (Internet Control Message Protocol)"Destination Unreachable - Port Unreachable" dalla porta UDP di destinazione. In alternativa, se la porta di destinazione è una porta TCP, Portqry ha ricevuto un pacchetto di riconoscimento TCP con il set di flag Reset.
  • Filtrato: la porta di destinazione nel sistema di destinazione viene filtrata. PortQry non ha ricevuto una risposta dalla porta di destinazione. Un processo può essere o meno in ascolto sulla porta. Per impostazione predefinita, le porte TCP vengono sottoposte a query tre volte e le porte UDP vengono eseguite una sola volta prima di segnalare che la porta di destinazione viene filtrata.

Con PortQry è anche possibile eseguire query su un servizio LDAP. Invia una query LDAP tramite UDP o TCP e interpreta la risposta del server LDAP alla query. La risposta del server LDAP viene analizzata, formattata e restituita all'utente.

Le interfacce RPC offerte da Active Directory possono usare porte server dinamiche (la maggior parte è configurabile). I client usano il mapper endpoint RPC per trovare la porta server dell'interfaccia RPC di un servizio Active Directory specifico.

Il database del mapper del punto finale RPC è in ascolto della porta 135. Ciò significa che la porta TCP 135 è necessaria per la maggior parte delle distribuzioni che vanno oltre le query LDAP di base. È anche necessario per tutti i client membri di un dominio.

Per altre informazioni su PortQry, vedere:

310099 Descrizione dell'utilità della riga di comando Portqry.exe

È possibile trovare un elenco di porte e protocolli usati da Windows, tra cui Active Directory, DFS, DFSR, Servizi certificati e tutti gli altri servizi nell'articolo della Knowledge Base seguente:

832017 Panoramica del servizio e requisiti delle porte di rete per Windows

Note

Active Directory e altri servizi che usano porte temporanee devono avere connettività dalla porta 135 a tutti gli elementi elencati nell'articolo Panoramica del servizio e requisiti delle porte di rete per Windows.

Le porte e i protocolli specifici di Active Directory sono disponibili anche nell'articolo:

179442 Come configurare un firewall per domini e trust

PortQry sa come inviare una query al mapper del punto finale RPC (usando UDP e TCP) e interpretare la risposta. Questa query visualizza tutti i punti finali registrati con il mapper di endpoint RPC. La risposta del mapper del punto finale viene analizzata, formattata e restituita all'utente.

Se PortQry non è disponibile, è possibile usare LDP.EXE per connettersi al controller di dominio sulla porta 389 con la casella di controllo Senza connessione attivata.

Un'altra alternativa a PortQry è NLTEST, ma non funziona per i server arbitrari. Il server deve essere un controller di dominio nello stesso dominio del computer in cui si esegue lo strumento. In questo caso, è possibile usare Nltest /sc_reset nome computer del nome \ >>< di dominio per forzare un canale di sicurezza in un controller di dominio specifico.< Per altre informazioni, vedere Connettività di rete.

Uso di portqry

Esempio 1: Uso di Portqry per testare la connettività tramite una porta e un protocollo specifici usando la porta UDP 389 come esempio

In questo esempio viene illustrato come usare PortQry per determinare se il servizio LDAP risponde. Esaminando la risposta, è possibile determinare quale servizio LDAP è in ascolto sulla porta e alcuni dettagli sulla relativa configurazione. Queste informazioni possono essere utili per la risoluzione di vari problemi.

Per impostazione predefinita, LDAP è configurato per l'ascolto della porta 389. La chiamata di esempio specifica il server su cui eseguire query usando il protocollo UDP:

PortQry -n <fqdn> -p udp -e 389

PortQry risolve automaticamente la porta UDP 389 usando il file %SystemRoot%\System32\Drivers\...\Services incluso nei computer Windows Server 2003 e versioni successive. Nell'output di esempio seguente la porta viene risolta in un servizio LDAP attivo e PortQry segnala che la porta è LISTENING o FILTERED.

PortQry invia quindi una query LDAP formattata a cui riceve una risposta. Restituisce l'intera risposta all'utente e segnala che la porta è LISTENING. Se PortQry non ha ricevuto una risposta alla query, segnala che la porta è FILTRATA.

Output di esempio

C:\>portqry -n <fqdn> -e 389 -p udp

Esecuzione di query sul sistema di destinazione denominato:

<fqdn>

Tentativo di risolvere il nome a indirizzo IP in corso...

Nome risolto in 169.254.0.14

Porta UDP 389 (servizio sconosciuto): ASCOLTO o FILTRATO

Invio della query LDAP alla porta UDP 389...

Risposta di query LDAP:

currentdate: <DateTime> (GMT non rettificato)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Settings,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
serverName:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== Fine della risposta di query LDAP ========
La porta UDP 389 è IN ASCOLTO

Note

Il test LDAP su UDP potrebbe non funzionare su controller di dominio che eseguono Windows Server 2008 e versioni successive. Un motivo per questo può essere che è stato disabilitato IPv6 nel controller di dominio. Per abilitare IPv6, impostare il valore descritto nell'articolo seguente sul valore predefinito 0:
929852 Indicazioni per la configurazione di IPv6 in Windows per utenti avanzati

Esempio 2: Identificazione dei servizi registrati con il mapper di endpoint RPC

In questo esempio viene illustrato come usare PortQry per determinare quali servizi o applicazioni sono registrati nel database del mapper rpc del server di destinazione. L'output include l'identificatore univoco universale (UUID) di ogni applicazione, il nome con annotazioni (se presente), il protocollo usato dall'applicazione, l'indirizzo di rete a cui è associata l'applicazione e il punto finale dell'applicazione (numero di porta, named pipe tra parentesi quadre). Queste informazioni possono essere utili per la risoluzione di vari problemi.

Per impostazione predefinita, il database del mapper di endpoint RPC è configurato per l'ascolto della porta 135. La chiamata di esempio specifica il server su cui eseguire query usando il protocollo UDP:

portqry -n <fqdn> -p udp -e 135

Output di esempio

Esecuzione di query sul sistema di destinazione denominato:

<fqdn>

Tentativo di risolvere il nome a indirizzo IP in corso...

Nome risolto in 169.254.0.18

Porta UDP 135 (servizio epmap): LISTENING o FILTERED
Esecuzione di query sul database del mapper dell'endpoint...
Risposta del server:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 INTERFACCIA di ripristino NTDS
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\\MYDC[\pipe\00000580.000]

Totale endpoint trovati: 6

==== Fine della risposta della query mapper endpoint RPC ====

La porta UDP 135 è IN ASCOLTO

PortQry può inviare una query DNS formattata correttamente (tramite UDP o TCP). L'utilità invia una query DNS per "portqry.microsoft.com". PortQry attende quindi una risposta dal server DNS di destinazione. Se la risposta DNS alla query è negativa o positiva è irrilevante perché qualsiasi risposta indica che la porta è in ascolto.