Udostępnij za pośrednictwem

Jak używać usługi PortQry do rozwiązywania problemów z łącznością z usługą Active Directory

  • Artykuł

W tym artykule opisano sposób uruchamiania usługi PortQry w celu przetestowania łączności sieciowej dla dowolnego składnika lub scenariusza systemu Windows w dowolnej wersji systemu Windows.

Oryginalny numer KB: 816103

Wprowadzenie

PortQry to narzędzie wiersza polecenia, którego można użyć do rozwiązywania problemów z łącznością TCP/IP używaną przez składniki i funkcje systemu Windows. Narzędzie zgłasza stan portu portów protokołu TCP (Transition Control Protocol) i user Datagram Protocol (UDP) na komputerze zdalnym. PortQry można uruchomić, aby przetestować łączność sieciową dla dowolnego składnika lub scenariusza systemu Windows w dowolnej wersji systemu Windows.

W tym artykule opisano sposób używania portqry do weryfikowania podstawowej łączności TCP/IP dla usług Active Directory i składników powiązanych z usługą Active Directory, w tym:

  • domena usługi Active Directory Services (ADDS)
  • Usługa Active Directory dla protokołu LDAP (Lightweight Directory Access Protocol)
  • Zdalne wywołanie procedury (RPC)
  • Usługa nazw domen (DNS)
  • Inne składniki związane z usługą ADDS
  • Inne składniki, na których jest zależna funkcja ADDS

Weryfikowanie łączności sieciowej za pośrednictwem wymaganych portów i protokołów jest szczególnie przydatne, gdy kontrolery domeny są wdrażane na urządzeniach pośrednich, w tym zapór.

Instalowanie usługi PortQry

Pobieranie Portqry.exe

.exe PortQry można pobrać z Centrum pobierania Microsoft. Aby pobrać .exe PortQry, odwiedź następującą witrynę sieci Web firmy Microsoft:

Pobierz skaner portów wiersza polecenia PortQry w wersji 2.0

Aby uzyskać więcej informacji na temat pobierania plików pomoc techniczna firmy Microsoft, zobacz bazę wiedzy Microsoft Knowledge Base:

119591 Jak uzyskać pliki pomoc techniczna firmy Microsoft z usług online

Firma Microsoft przeskanowała ten plik pod kątem wirusów. Firma Microsoft użyła najbardziej aktualnego oprogramowania do wykrywania wirusów, które było dostępne w dniu opublikowania pliku. Plik jest przechowywany na serwerach rozszerzonych o zabezpieczenia, które pomagają zapobiec wszelkim nieautoryzowanym zmianom w pliku.

Graficzna wersja narzędzia PortQry o nazwie PortQueryUI zawiera dodatkowe funkcje, które mogą ułatwić korzystanie z usługi PortQry. Aby pobrać narzędzie PortQueryUI, odwiedź następującą witrynę sieci Web firmy Microsoft:

Pobierz portQryUI — interfejs użytkownika skanera portów wiersza polecenia PortQry

Więcej informacji

PortQry zgłasza stan portu na jeden z trzech sposobów:

  • Nasłuchiwanie: proces nasłuchuje na porcie docelowym w systemie docelowym. PortQry odebrał odpowiedź z portu.
  • Nie słuchaj: żaden proces nie nasłuchuje na porcie docelowym w systemie docelowym. PortQry otrzymał komunikat Internet Control Message Protocol (ICMP)"Destination Unreachable — Port Unreachable" komunikat z powrotem z docelowego portu UDP. Lub jeśli port docelowy jest portem TCP, portqry otrzymał pakiet potwierdzenia TCP z ustawioną flagą Resetuj.
  • Filtrowane: port docelowy w systemie docelowym jest filtrowany. PortQry nie otrzymał odpowiedzi z portu docelowego. Proces może lub nie nasłuchuje na porcie. Domyślnie porty TCP są sprawdzane trzy razy, a porty UDP są odpytywane jeden raz przed odfiltrowany port docelowy.

Za pomocą usługi PortQry można również wykonywać zapytania dotyczące usługi LDAP. Wysyła zapytanie LDAP przy użyciu protokołu UDP lub TCP i interpretuje odpowiedź serwera LDAP na zapytanie. Odpowiedź z serwera LDAP jest analizowana, sformatowana i zwracana do użytkownika.

Interfejsy RPC oferowane przez usługę Active Directory mogą używać dynamicznych portów serwera (większość z nich można skonfigurować). Klienci używają mapatora punktów końcowych RPC, aby znaleźć port serwera interfejsu RPC określonej usługi Active Directory.

Baza danych mapowania punktów końcowych RPC nasłuchuje portu 135. Oznacza to, że port TCP 135 jest wymagany dla większości wdrożeń wykraczających poza podstawowe zapytania LDAP. Jest to również wymagane dla wszystkich klientów, którzy są członkami domeny.

Aby uzyskać więcej informacji na temat usługi PortQry, zobacz:

310099 opis narzędzia wiersza polecenia Portqry.exe

Listę portów i protokołów używanych przez system Windows, takich jak Active Directory, DFS, DFSR, Usługi certyfikatów i wszystkie inne usługi, można znaleźć w następującym artykule baza wiedzy:

832017 Przegląd usług i wymagania dotyczące portów sieciowych w systemie Windows.

Uwaga 16.

Usługi Active Directory i inne usługi korzystające z portów efemerycznych muszą mieć łączność z portu 135 do wszystkich wymienionych w artykule Omówienie usługi i wymagania dotyczące portów sieciowych dla systemu Windows.

Porty i protokoły specyficzne dla usługi AD można również znaleźć w artykule:

179442 Jak skonfigurować zaporę sieciową dla domen i relacji zaufania

PortQry wie, jak wysłać zapytanie do mapowania punktu końcowego RPC (przy użyciu protokołu UDP i TCP) i interpretować odpowiedź. To zapytanie wyświetla wszystkie punkty końcowe zarejestrowane za pomocą mapowania punktu końcowego RPC. Odpowiedź z mapowania punktu końcowego jest analizowana, sformatowana i zwracana do użytkownika.

Jeśli portQry nie jest dostępny, możesz użyć LDP.EXE, aby nawiązać połączenie z kontrolerem domeny na porcie 389 z aktywowanym polem wyboru Bez połączenia.

Inną alternatywą dla portQry jest NLTEST, ale nie działa w przypadku dowolnych serwerów. Serwer musi być kontrolerem domeny w tej samej domenie co maszyna, na której uruchomiono narzędzie. W takim przypadku można użyć nltest /sc_reset <nazwy> komputera nazwy> \ <domeny, aby wymusić kanał zabezpieczeń na określonym kontrolerze domeny. Aby uzyskać więcej informacji, zobacz Łączność sieciowa.

Korzystanie z portqry

Przykład 1: Używanie portqry do testowania łączności za pośrednictwem określonego portu i protokołu przy użyciu portu UDP 389 jako przykładu

W tym przykładzie pokazano, jak używać usługi PortQry do określenia, czy usługa LDAP odpowiada. Sprawdzając odpowiedź, możesz określić, która usługa LDAP nasłuchuje na porcie i jakieś szczegóły dotyczące jego konfiguracji. Te informacje mogą być przydatne podczas rozwiązywania różnych problemów.

Domyślnie protokół LDAP jest skonfigurowany do nasłuchiwania portu 389. Przykładowe wywołanie określa serwer do wykonywania zapytań przy użyciu protokołu UDP:

PortQry -n <fqdn> -p udp -e 389

PortQry automatycznie rozpoznaje port UDP 389 przy użyciu %SystemRoot%\System32\Drivers\...\Services pliku zawartego w systemie Windows Server 2003 i nowszych komputerach. W poniższych przykładowych danych wyjściowych port jest rozpoznawany jako usługa LDAP, która jest aktywna, a portQry zgłasza, że port nasłuchuje lub FILTRUJE.

Usługa PortQry wysyła następnie sformatowane zapytanie LDAP, do którego otrzymuje odpowiedź. Zwraca całą odpowiedź na użytkownika i zgłasza, że port nasłuchuje. Jeśli usługa PortQry nie odebrała odpowiedzi na zapytanie, zgłasza, że port jest FILTROWANY.

Przykładowe dane wyjściowe

C:\>portqry -n <fqdn> -e 389 -p udp

Wykonywanie zapytań względem wywołanego systemu docelowego:

<Fqdn>

Nie rozpoznano nazwy jako adresu IP...

Nazwa rozpoznana jako 169.254.0.14

Port UDP 389 (nieznana usługa): NASŁUCHIWANIE lub FILTROWANIE

Trwa wysyłanie zapytania LDAP do portu UDP 389...

Odpowiedź na zapytanie LDAP:

currentdate: <DateTime> (nieprzychytowany GMT)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Ustawienia,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <Nazwa hosta>
ldapServiceName: <ServiceName>
serverName:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== koniec odpowiedzi zapytania LDAP ========
Port UDP 389 NASŁUCHUJE

Uwaga 16.

Test LDAP za pośrednictwem protokołu UDP może nie działać na kontrolerach domeny z systemem Windows Server 2008 lub nowszym. Jedną z przyczyn tego może być wyłączenie protokołu IPv6 na kontrolerze domeny. Aby włączyć protokół IPv6, ustaw wartość omówiona w poniższym artykule na wartość domyślną 0:
929852 wskazówki dotyczące konfigurowania protokołu IPv6 w systemie Windows dla użytkowników zaawansowanych

Przykład 2. Identyfikowanie usług zarejestrowanych w maperze punktu końcowego RPC

W tym przykładzie pokazano, jak za pomocą usługi PortQry określić, które usługi lub aplikacje są zarejestrowane w bazie danych mapera punktu końcowego RPC serwera docelowego. Dane wyjściowe zawierają unikatowy identyfikator uniwersalny aplikacji (UUID), nazwę adnotacji (jeśli istnieje), protokół używany przez aplikację, adres sieciowy, z którym jest powiązana aplikacja, oraz punkt końcowy aplikacji (numer portu, nazwany potok w nawiasach kwadratowych). Te informacje mogą być przydatne podczas rozwiązywania różnych problemów.

Domyślnie baza danych mapowania punktu końcowego RPC jest skonfigurowana do nasłuchiwania portu 135. Przykładowe wywołanie określa serwer do wykonywania zapytań przy użyciu protokołu UDP:

portqry -n <fqdn> -p udp -e 135

Przykładowe dane wyjściowe

Wykonywanie zapytań względem wywołanego systemu docelowego:

<Fqdn>

Nie rozpoznano nazwy jako adresu IP...

Nazwa rozpoznana jako 169.254.0.18

Port UDP 135 (usługa epmap): NASŁUCHIWANIE lub FILTROWANIE
Trwa wykonywanie zapytań względem bazy danych maperów punktów końcowych...
Odpowiedź serwera:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np:\\\MYDC[\PIPE\lsasss]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS Restore Interface
ncacn_np:\\\MYDC[\PIPE\lsasss]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\MYDC[\pipe\00000580.000]

Znaleziono łączne punkty końcowe: 6

=* Koniec odpowiedzi zapytania mapowania punktu końcowego RPC =*

Port UDP 135 NASŁUCHUJE

Usługa PortQry może wysyłać poprawnie sformatowane zapytanie DNS (przy użyciu protokołu UDP lub TCP). Narzędzie wysyła zapytanie DNS dla "portqry.microsoft.com". Następnie portQry czeka na odpowiedź z docelowego serwera DNS. Niezależnie od tego, czy odpowiedź DNS na zapytanie jest ujemna, czy pozytywna, nie ma znaczenia, ponieważ każda odpowiedź wskazuje, że port nasłuchuje.