Como usar o PortQry para solucionar problemas de conectividade do Active Directory
Este artigo descreve como executar o PortQry para testar a conectividade de rede para qualquer componente ou cenário do Windows em qualquer versão do Windows.
Número original do KB: 816103
Introdução
PortQry é um utilitário de linha de comando que você pode usar para solucionar problemas de conectividade TCP/IP usados por componentes e recursos do Windows. O utilitário relata o status das portas TCP (Transition Control Protocol) e UDP (User Datagram Protocol) em um computador remoto. Você pode executar o PortQry para testar a conectividade de rede para qualquer componente ou cenário do Windows em qualquer versão do Windows.
Este artigo descreve como usar o portqry para verificar a conectividade TCP/IP básica para o Active Directory e componentes relacionados ao Active Directory, incluindo:
- Serviços de Domínio Active Directory (ADDS)
- Active Directory para LDAP (Lightweight Directory Access Protocol)
- RPC (Chamada de Procedimento Remoto)
- DNS (Sistema de Nomes de Domínio)
- Outros componentes relacionados ao ADDS
- Outros componentes dos quais o ADDS depende
A verificação da conectividade de rede nas portas e protocolos necessários é especialmente útil quando os controladores de domínio são implantados em dispositivos intermediários, incluindo firewalls.
Instale o PortQry
Baixar Portqry.exe
O PortQry .exe está disponível para download no Centro de Download da Microsoft. Para baixar o .exe PortQry, visite o seguinte site da Microsoft:
Baixar PortQry Command Line Port Scanner versão 2.0
Para obter mais informações sobre como baixar arquivos de Suporte da Microsoft, consulte a seguinte Base de Dados de Conhecimento da Microsoft:
119591 Como obter arquivos de suporte da Microsoft a partir de serviços online
A Microsoft verificou este arquivo em busca de vírus. A Microsoft utilizou o software de detecção de vírus mais recente disponível na data em que o arquivo foi postado. O arquivo é armazenado em servidores com segurança aprimorada que ajudam a evitar alterações não autorizadas no arquivo.
Uma versão gráfica da ferramenta PortQry, chamada PortQueryUI, contém recursos adicionais que podem facilitar o uso do PortQry. Para baixar a ferramenta PortQueryUI, visite o seguinte site da Microsoft:
Baixar PortQryUI - Interface do usuário para o scanner de porta de linha de comando PortQry
Mais informações
O PortQry relata o status de uma porta de uma das três maneiras:
- Escuta: Um processo está escutando na porta de destino no sistema de destino. PortQry recebeu uma resposta do porto.
- Não escuta: nenhum processo está escutando na porta de destino no sistema de destino. O PortQry recebeu uma mensagem de retorno do Internet Control Message Protocol (ICMP) "Destino inalcançável - Porta inacessível" da porta UDP de destino. Ou, se a porta de destino for uma porta TCP, o Portqry recebeu um pacote de confirmação TCP com o sinalizador Reset definido.
- Filtrado: A porta de destino no sistema de destino está sendo filtrada. O PortQry não recebeu uma resposta da porta de destino. Um processo pode ou não estar escutando na porta. Por padrão, as portas TCP são consultadas três vezes e as portas UDP são consultadas uma vez antes de relatar que a porta de destino é filtrada.
Com o PortQry, você também pode consultar um serviço LDAP. Ele envia uma consulta LDAP, usando UDP ou TCP, e interpreta a resposta do servidor LDAP à consulta. A resposta do servidor LDAP é analisada, formatada e retornada ao usuário.
As interfaces RPC oferecidas pelo Active Directory podem usar portas de servidor dinâmicas (a maioria é configurável). Os clientes usam o Mapeador de Ponto de Extremidade RPC para localizar a porta do servidor da interface RPC de um serviço específico do Active Directory.
O banco de dados do mapeador de ponto de extremidade RPC escuta a porta 135. Isso significa que a porta TCP 135 é uma porta necessária para a maioria das implantações que vão além das consultas LDAP básicas. Também é necessário para todos os clientes que são membros de um domínio.
Para obter mais informações sobre o PortQry, consulte:
310099 Descrição do utilitário de linha de comando Portqry.exe
Você pode encontrar uma lista de portas e protocolos que o Windows usa, incluindo Active Directory, DFS, DFSR, Serviços de Certificados e todos os outros serviços no seguinte artigo da base de dados de conhecimento:
832017 Visão geral do serviço e requisitos de porta de rede para o Windows
Observação
O Active Directory e outros serviços que usam portas efêmeras devem ter conectividade da porta 135 com todos os listados no artigo Visão geral do serviço e requisitos de porta de rede para Windows.
Portas e protocolos específicos para AD também podem ser encontrados no artigo:
179442 Como configurar um firewall para domínios e relações de confiança
O PortQry sabe como enviar uma consulta ao mapeador de ponto final RPC (usando UDP e TCP) e interpretar a resposta. Essa consulta exibe todos os pontos de extremidade registrados com o mapeador de ponto de extremidade RPC. A resposta do mapeador de ponto final é analisada, formatada e retornada ao usuário.
Se o PortQry não estiver disponível, você poderá usar LDP.EXE para se conectar ao Controlador de Domínio na porta 389 com a caixa de seleção Sem Conexão ativada.
Outra alternativa ao PortQry é o NLTEST, mas não funciona para servidores arbitrários. O servidor deve ser um controlador de domínio no mesmo domínio que o computador em que você executa a ferramenta. Se esse for o caso, você poderá usar Nltest /sc_reset <nome \ <>de domínio nome> de computador para forçar um canal de segurança em um controlador de domínio específico. Para obter mais informações, consulte Conectividade de rede.
Usando portqry
Exemplo 1: Usando o Portqry para testar a conectividade em uma porta e protocolo específicos usando a porta UDP 389 como exemplo
Este exemplo demonstra como usar o PortQry para determinar se o serviço LDAP está respondendo. Examinando a resposta, você pode determinar qual serviço LDAP está escutando na porta e alguns detalhes sobre sua configuração. Essas informações podem ser úteis na solução de vários problemas.
Por padrão, o LDAP é configurado para escutar a porta 389. A chamada de exemplo especifica o servidor a ser consultado usando o protocolo UDP:
PortQry -n <fqdn> -p udp -e 389
O PortQry resolve automaticamente a porta UDP 389 usando o arquivo %SystemRoot%\System32\Drivers\...\Services incluído no Windows Server 2003 e em computadores posteriores. Na saída de exemplo abaixo, a porta é resolvida para um serviço LDAP que está ativo e o PortQry relata que a porta está LISTENING ou FILTERED.
O PortQry então envia uma consulta LDAP formatada para a qual recebe uma resposta. Ele retorna toda a resposta ao usuário e relata que a porta está LISTENING. Se o PortQry não receber uma resposta à consulta, ele relatará que a porta está FILTERED.
Saída de exemplo
C:\>portqry -n <fqdn> -e 389 -p udp
Consultando o sistema de destino chamado:
<fqdn>
Tentando resolver o nome para o endereço IP...
Nome resolvido para 169.254.0.14
Porta UDP 389 (serviço desconhecido): LISTENING ou FILTERED
Enviando consulta LDAP para a porta UDP 389...
Resposta da consulta LDAP:
currentdate: <DateTime> (GMT não ajustado)
subschemaSubentry:
CN=Agregado,CN=Esquema,CN=Configuração,DC=reskit,DC=com
dsServiceName: CN=NTDS
Configurações,CN=mydc,CN=Servidores,CN=eu,CN=Sites,CN
=Configuração,DC=reskit,DC=com
contextos de nomenclatura: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN = Esquema, CN = Configuração, DC = reskit, DC = com
configurationNamingContext:
CN=Configuração,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
suportadoLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
SASLMechanismos suportados: GSSAPI
dnsHostName: <Nome do host>
ldapServiceName: <ServiceName>
nome_do_servidor:
CN=MYDC,CN=Servidores,CN=EU,CN=Sites,CN=Configuração,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: VERDADEIRO
isGlobalCatalogReady: TRUE======== ======== de resposta de fim da consulta LDAP
A porta UDP 389 está ESCUTANDO
Observação
O teste LDAP sobre UDP pode não funcionar em controladores de domínio que executam o Windows Server 2008 e posterior. Um motivo para isso pode ser que você desabilitou o IPv6 no Controlador de Domínio. Para habilitar o IPv6, defina o valor discutido no artigo abaixo como o padrão de 0:
929852 Diretrizes para configurar o IPv6 no Windows para usuários avançados
Exemplo 2: Identificando serviços que se registraram com o mapeador de ponto de extremidade RPC
Este exemplo demonstra como usar o PortQry para determinar quais serviços ou aplicativos são registrados no banco de dados do mapeador de ponto de extremidade RPC do servidor de destino. A saída inclui o UUID (Identificador Universalmente Exclusivo) de cada aplicativo, o nome anotado (se houver), o protocolo que o aplicativo usa, o endereço de rede ao qual o aplicativo está vinculado e o ponto de extremidade do aplicativo (número da porta, pipe nomeado entre colchetes). Essas informações podem ser úteis na solução de vários problemas.
Por padrão, o banco de dados do mapeador de ponto de extremidade RPC é configurado para escutar a porta 135. A chamada de exemplo especifica o servidor a ser consultado usando o protocolo UDP:
portqry -n <fqdn> -p udp -e 135
Saída de exemplo
Consultando o sistema de destino chamado:
<fqdn>
Tentando resolver o nome para o endereço IP...
Nome resolvido para 169.254.0.18
Porta UDP 135 (serviço epmap): LISTENING ou FILTERED
Consultando banco de dados do ponto de extremidade do mapeador...
Resposta do servidor:UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np:\\\\MYDC[\PIPE\lsass]UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 Interface de restauração NTDS
ncacn_np:\\\\MYDC[\PIPE\lsass]UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 Interface DRS do diretório MS NT
ncacn_ip_tcp:169.254.0.18[1027]UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 Serviço NtFrs
ncacn_ip_tcp:169.254.0.18[1130]UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\\MYDC[\pipe\00000580.000]Total de endpoints encontrados: 6
==== Fim da resposta da consulta do RPC Endpoint Mapper ====
A porta UDP 135 está ESCUTANDO
O PortQry pode enviar uma consulta DNS formatada corretamente (usando UDP ou TCP). O utilitário envia uma consulta DNS para "portqry.microsoft.com
." O PortQry aguarda uma resposta do servidor DNS de destino. Se a resposta DNS à consulta é negativa ou positiva é irrelevante porque qualquer resposta indica que a porta está escutando.