Delen via


PortQry gebruiken om verbindingsproblemen met Active Directory op te lossen

In dit artikel wordt beschreven hoe u PortQry uitvoert om netwerkconnectiviteit te testen voor elk Windows-onderdeel of -scenario in elke versie van Windows.

Oorspronkelijk KB-nummer: 816103

Inleiding

PortQry is een opdrachtregelprogramma dat u kunt gebruiken om problemen met TCP/IP-connectiviteit op te lossen die wordt gebruikt door Windows-onderdelen en -functies. Het hulpprogramma rapporteert de poortstatus van TCP-poorten (Transition Control Protocol) en UDP-poorten (User Datagram Protocol) op een externe computer. U kunt PortQry uitvoeren om netwerkconnectiviteit te testen voor elk Windows-onderdeel of scenario in elke versie van Windows.

In dit artikel wordt beschreven hoe u portqry gebruikt om eenvoudige TCP/IP-connectiviteit te controleren voor Active Directory- en Active Directory-gerelateerde onderdelen, waaronder:

  • Active Directory-domein Services (ADDS)
  • Active Directory voor Lightweight Directory Access Protocol (LDAP)
  • Externe procedureaanroep (RPC)
  • Domain Name Service (DNS)
  • Andere adds-gerelateerde onderdelen
  • Andere onderdelen waarop ADDS afhankelijk is

Het controleren van de netwerkconnectiviteit via de vereiste poorten en protocollen is vooral handig wanneer domeincontrollers worden geïmplementeerd op tussenliggende apparaten, waaronder firewalls.

PortQry installeren

Portqry.exe downloaden

PortQry .exe is beschikbaar om te downloaden via het Microsoft Downloadcentrum. Ga naar de volgende Microsoft-website om de PortQry-.exe te downloaden:

PortQry-opdrachtregel poortscanner versie 2.0 downloaden

Zie de volgende Microsoft Knowledge Base voor meer informatie over het downloaden van Microsoft Ondersteuning bestanden:

119591 Het verkrijgen van Microsoft Ondersteuning bestanden van onlineservices

Microsoft heeft dit bestand gescand op virussen. Microsoft gebruikte de meest recente virusdetectiesoftware die beschikbaar was op de datum waarop het bestand werd gepost. Het bestand wordt opgeslagen op beveiligde servers die helpen bij het voorkomen van onbevoegde wijzigingen in het bestand.

Een grafische versie van het PortQry-hulpprogramma, PortQueryUI genoemd, bevat aanvullende functies die het gebruik van PortQry gemakkelijker kunnen maken. Ga naar de volgende Microsoft-website om het hulpprogramma PortQueryUI te downloaden:

PortQryUI - Gebruikersinterface voor de PortQry-opdrachtregelpoortscanner downloaden

Meer informatie

PortQry rapporteert de status van een poort op drie manieren:

  • Luisteren: Een proces luistert op de doelpoort op het doelsysteem. PortQry heeft een antwoord ontvangen van de poort.
  • Niet luisteren: er luistert geen proces op de doelpoort op het doelsysteem. PortQry heeft een ICMP(Internet Control Message Protocol)"Destination Unreachable - Port Unreachable" bericht ontvangen van de doel-UDP-poort. Als de doelpoort een TCP-poort is, heeft Portqry een TCP-bevestigingspakket ontvangen met de vlag Opnieuw instellen ingesteld.
  • Gefilterd: De doelpoort op het doelsysteem wordt gefilterd. PortQry heeft geen antwoord ontvangen van de doelpoort. Een proces luistert al dan niet op de poort. Tcp-poorten worden standaard drie keer opgevraagd en UDP-poorten worden één keer opgevraagd voordat de doelpoort wordt gefilterd.

Met PortQry kunt u ook query's uitvoeren op een LDAP-service. Er wordt een LDAP-query verzonden met behulp van UDP of TCP en het antwoord van de LDAP-server op de query geïnterpreteerd. Het antwoord van de LDAP-server wordt geparseerd, opgemaakt en geretourneerd aan de gebruiker.

RPC-interfaces die door Active Directory worden aangeboden, kunnen dynamische serverpoorten gebruiken (de meeste zijn configureerbaar.) Clients gebruiken RPC Endpoint Mapper om de serverpoort van de RPC-interface van een specifieke Active Directory-service te vinden.

De RPC-eindpunttoewijzingsdatabase luistert naar poort 135. Dit betekent dat TCP-poort 135 een vereiste poort is voor de meeste implementaties die verder gaan dan eenvoudige LDAP-query's. Het is ook vereist voor alle clients die lid zijn van een domein.

Zie voor meer informatie over PortQry:

310099 Beschrijving van het opdrachtregelprogramma Portqry.exe

U vindt een lijst met poorten en protocollen die windows gebruikt, waaronder Active Directory, DFS, DFSR, Certificate Services en alle andere services in het volgende Knowledge Base-artikel:

832017 Serviceoverzicht en netwerkpoortvereisten voor Windows

Notitie

Active Directory en andere services die tijdelijke poorten gebruiken, moeten verbinding hebben tussen poort 135 en alle vermelde in het artikel Serviceoverzicht en netwerkpoortvereisten voor Windows.

Poorten en protocollen die specifiek zijn voor AD, zijn ook te vinden in het artikel:

179442 Een firewall configureren voor domeinen en vertrouwensrelaties

PortQry weet hoe u een query verzendt naar de RPC-eindpunttoewijzingper (met behulp van UDP en TCP) en het antwoord interpreteert. Met deze query worden alle eindpunten weergegeven die zijn geregistreerd bij de RPC-eindpunttoewijzing. Het antwoord van de eindpunttoewijzingper wordt geparseerd, opgemaakt en geretourneerd aan de gebruiker.

Als PortQry niet beschikbaar is, kunt u LDP.EXE gebruiken om verbinding te maken met de domeincontroller op poort 389, waarbij het selectievakje Verbindingloos is geactiveerd.

Een ander alternatief voor PortQry is NLTEST, maar het werkt niet voor willekeurige servers. De server moet een domeincontroller in hetzelfde domein zijn als de computer waarop u het hulpprogramma uitvoert. Als dit het geval is, kunt u Nltest /sc_reset domeinnaam computernaam \ >>< gebruiken om een beveiligingskanaal af te dwingen op een specifieke domeincontroller.< Zie Netwerkconnectiviteit voor meer informatie.

Portqry gebruiken

Voorbeeld 1: Portqry gebruiken om connectiviteit via een specifieke poort en protocol te testen met behulp van UDP-poort 389 als voorbeeld

In dit voorbeeld ziet u hoe u PortQry gebruikt om te bepalen of de LDAP-service reageert. Door het antwoord te bekijken, kunt u bepalen welke LDAP-service luistert op de poort en enkele details over de configuratie. Deze informatie kan handig zijn bij het oplossen van verschillende problemen.

LDAP is standaard geconfigureerd om te luisteren naar poort 389. Met de voorbeeldoproep geeft u de server op om een query uit te voeren met behulp van het UDP-protocol:

PortQry -n <fqdn> -p udp -e 389

PortQry lost UDP-poort 389 automatisch op met behulp van het bestand %SystemRoot%\System32\Drivers\...\Services dat is opgenomen in Windows Server 2003 en hoger. In de onderstaande voorbeelduitvoer wordt de poort omgezet in een LDAP-service die actief is en PortQry rapporteert dat de poort LUISTERT of GEFILTERD is.

PortQry verzendt vervolgens een opgemaakte LDAP-query waarnaar een antwoord wordt ontvangen. Het retourneert het hele antwoord op de gebruiker en rapporteert dat de poort LUISTERT. Als PortQry geen antwoord op de query heeft ontvangen, wordt gerapporteerd dat de poort is GEFILTERD.

Voorbeelduitvoer

C:\>portqry -n <fqdn> -e 389 -p udp

Query uitvoeren op doelsysteem met de naam:

<Fqdn>

Poging tot het omzetten van het IP-adres...

Naam omgezet in 169.254.0.14

UDP-poort 389 (onbekende service): LUISTEREN of GEFILTERD

LDAP-query verzenden naar UDP-poort 389...

Antwoord op LDAP-query:

currentdate: <DateTime> (niet-aangepaste GMT)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Instellingen,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuratie,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuratie,DC=reskit,DC=com
configurationNamingContext:
CN=Configuratie,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
serverNaam:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuratie,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== einde van ldap-queryantwoorden ========
UDP-poort 389 luistert

Notitie

De LDAP-test via UDP werkt mogelijk niet op domeincontrollers met Windows Server 2008 en hoger. Een van de redenen hiervoor is dat u IPv6 hebt uitgeschakeld op de domeincontroller. Als u IPv6 wilt inschakelen, stelt u de waarde in die in het onderstaande artikel wordt besproken op de standaardwaarde van 0:
929852 Richtlijnen voor het configureren van IPv6 in Windows voor geavanceerde gebruikers

Voorbeeld 2: Services identificeren die zijn geregistreerd bij RPC-eindpunttoewijzing

In dit voorbeeld ziet u hoe u PortQry gebruikt om te bepalen welke services of toepassingen zijn geregistreerd bij de RPC-eindpunttoewijzingsdatabase van de doelserver. De uitvoer bevat de UUID (Universally Unique Identifier) van elke toepassing, een naam met aantekeningen (indien aanwezig), het protocol dat de toepassing gebruikt, het netwerkadres waaraan de toepassing is gebonden en het eindpunt van de toepassing (poortnummer, benoemde pijp tussen vierkante haken). Deze informatie kan handig zijn bij het oplossen van verschillende problemen.

De RPC-eindpunttoewijzingsdatabase is standaard geconfigureerd om te luisteren naar poort 135. Met de voorbeeldoproep geeft u de server op om een query uit te voeren met behulp van het UDP-protocol:

portqry -n <fqdn> -p udp -e 135

Voorbeelduitvoer

Query uitvoeren op doelsysteem met de naam:

<Fqdn>

Poging tot het omzetten van het IP-adres...

Naam omgezet in 169.254.0.18

UDP-poort 135 (epmap-service): LUISTEREN OF GEFILTERD
Query's uitvoeren op eindpunttoewijzingsdatabase...
Reactie van de server:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np:\\\\\MYDC[\PIPE\lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS Restore Interface
ncacn_np:\\\\\MYDC[\PIPE\lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs-API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs-API
ncacn_np:\\\\MYDC[\pipe\00000580.000]

Totaal aantal gevonden eindpunten: 6

==== Einde van RPC Endpoint Mapper-queryantwoord ====

UDP-poort 135 LUISTERT

PortQry kan een correct opgemaakte DNS-query verzenden (met behulp van UDP of TCP). Het hulpprogramma verzendt een DNS-query voor '.portqry.microsoft.com' PortQry wacht vervolgens op een antwoord van de doel-DNS-server. Of het DNS-antwoord op de query negatief of positief is, is niet relevant omdat een antwoord aangeeft dat de poort luistert.