Partilhar via


Como usar o PortQry para solucionar problemas de conectividade do Active Directory

Este artigo descreve como executar o PortQry para testar a conectividade de rede para qualquer componente ou cenário do Windows em qualquer versão do Windows.

Número original do KB: 816103

Introdução

PortQry é um utilitário de linha de comando que você pode usar para solucionar problemas de conectividade TCP/IP usados por componentes e recursos do Windows. O utilitário relata o status das portas TCP (Transition Control Protocol) e UDP (User Datagram Protocol) em um computador remoto. Você pode executar o PortQry para testar a conectividade de rede para qualquer componente ou cenário do Windows em qualquer versão do Windows.

Este artigo descreve como usar o portqry para verificar a conectividade TCP/IP básica para o Active Directory e componentes relacionados ao Active Directory, incluindo:

  • Serviços de Domínio Active Directory (ADDS)
  • Active Directory para LDAP (Lightweight Directory Access Protocol)
  • RPC (Chamada de Procedimento Remoto)
  • DNS (Sistema de Nomes de Domínio)
  • Outros componentes relacionados ao ADDS
  • Outros componentes dos quais o ADDS depende

A verificação da conectividade de rede nas portas e protocolos necessários é especialmente útil quando os controladores de domínio são implantados em dispositivos intermediários, incluindo firewalls.

Instale o PortQry

Baixar Portqry.exe

O PortQry .exe está disponível para download no Centro de Download da Microsoft. Para baixar o .exe PortQry, visite o seguinte site da Microsoft:

Baixar PortQry Command Line Port Scanner versão 2.0

Para obter mais informações sobre como baixar arquivos de Suporte da Microsoft, consulte a seguinte Base de Dados de Conhecimento da Microsoft:

119591 Como obter arquivos de suporte da Microsoft a partir de serviços online

A Microsoft verificou este arquivo em busca de vírus. A Microsoft utilizou o software de detecção de vírus mais recente disponível na data em que o arquivo foi postado. O arquivo é armazenado em servidores com segurança aprimorada que ajudam a evitar alterações não autorizadas no arquivo.

Uma versão gráfica da ferramenta PortQry, chamada PortQueryUI, contém recursos adicionais que podem facilitar o uso do PortQry. Para baixar a ferramenta PortQueryUI, visite o seguinte site da Microsoft:

Baixar PortQryUI - Interface do usuário para o scanner de porta de linha de comando PortQry

Mais informações

O PortQry relata o status de uma porta de uma das três maneiras:

  • Escuta: Um processo está escutando na porta de destino no sistema de destino. PortQry recebeu uma resposta do porto.
  • Não escuta: nenhum processo está escutando na porta de destino no sistema de destino. O PortQry recebeu uma mensagem de retorno do Internet Control Message Protocol (ICMP) "Destino inalcançável - Porta inacessível" da porta UDP de destino. Ou, se a porta de destino for uma porta TCP, o Portqry recebeu um pacote de confirmação TCP com o sinalizador Reset definido.
  • Filtrado: A porta de destino no sistema de destino está sendo filtrada. O PortQry não recebeu uma resposta da porta de destino. Um processo pode ou não estar escutando na porta. Por padrão, as portas TCP são consultadas três vezes e as portas UDP são consultadas uma vez antes de relatar que a porta de destino é filtrada.

Com o PortQry, você também pode consultar um serviço LDAP. Ele envia uma consulta LDAP, usando UDP ou TCP, e interpreta a resposta do servidor LDAP à consulta. A resposta do servidor LDAP é analisada, formatada e retornada ao usuário.

As interfaces RPC oferecidas pelo Active Directory podem usar portas de servidor dinâmicas (a maioria é configurável). Os clientes usam o Mapeador de Ponto de Extremidade RPC para localizar a porta do servidor da interface RPC de um serviço específico do Active Directory.

O banco de dados do mapeador de ponto de extremidade RPC escuta a porta 135. Isso significa que a porta TCP 135 é uma porta necessária para a maioria das implantações que vão além das consultas LDAP básicas. Também é necessário para todos os clientes que são membros de um domínio.

Para obter mais informações sobre o PortQry, consulte:

310099 Descrição do utilitário de linha de comando Portqry.exe

Você pode encontrar uma lista de portas e protocolos que o Windows usa, incluindo Active Directory, DFS, DFSR, Serviços de Certificados e todos os outros serviços no seguinte artigo da base de dados de conhecimento:

832017 Visão geral do serviço e requisitos de porta de rede para o Windows

Observação

O Active Directory e outros serviços que usam portas efêmeras devem ter conectividade da porta 135 com todos os listados no artigo Visão geral do serviço e requisitos de porta de rede para Windows.

Portas e protocolos específicos para AD também podem ser encontrados no artigo:

179442 Como configurar um firewall para domínios e relações de confiança

O PortQry sabe como enviar uma consulta ao mapeador de ponto final RPC (usando UDP e TCP) e interpretar a resposta. Essa consulta exibe todos os pontos de extremidade registrados com o mapeador de ponto de extremidade RPC. A resposta do mapeador de ponto final é analisada, formatada e retornada ao usuário.

Se o PortQry não estiver disponível, você poderá usar LDP.EXE para se conectar ao Controlador de Domínio na porta 389 com a caixa de seleção Sem Conexão ativada.

Outra alternativa ao PortQry é o NLTEST, mas não funciona para servidores arbitrários. O servidor deve ser um controlador de domínio no mesmo domínio que o computador em que você executa a ferramenta. Se esse for o caso, você poderá usar Nltest /sc_reset <nome \ <>de domínio nome> de computador para forçar um canal de segurança em um controlador de domínio específico. Para obter mais informações, consulte Conectividade de rede.

Usando portqry

Exemplo 1: Usando o Portqry para testar a conectividade em uma porta e protocolo específicos usando a porta UDP 389 como exemplo

Este exemplo demonstra como usar o PortQry para determinar se o serviço LDAP está respondendo. Examinando a resposta, você pode determinar qual serviço LDAP está escutando na porta e alguns detalhes sobre sua configuração. Essas informações podem ser úteis na solução de vários problemas.

Por padrão, o LDAP é configurado para escutar a porta 389. A chamada de exemplo especifica o servidor a ser consultado usando o protocolo UDP:

PortQry -n <fqdn> -p udp -e 389

O PortQry resolve automaticamente a porta UDP 389 usando o arquivo %SystemRoot%\System32\Drivers\...\Services incluído no Windows Server 2003 e em computadores posteriores. Na saída de exemplo abaixo, a porta é resolvida para um serviço LDAP que está ativo e o PortQry relata que a porta está LISTENING ou FILTERED.

O PortQry então envia uma consulta LDAP formatada para a qual recebe uma resposta. Ele retorna toda a resposta ao usuário e relata que a porta está LISTENING. Se o PortQry não receber uma resposta à consulta, ele relatará que a porta está FILTERED.

Saída de exemplo

C:\>portqry -n <fqdn> -e 389 -p udp

Consultando o sistema de destino chamado:

<fqdn>

Tentando resolver o nome para o endereço IP...

Nome resolvido para 169.254.0.14

Porta UDP 389 (serviço desconhecido): LISTENING ou FILTERED

Enviando consulta LDAP para a porta UDP 389...

Resposta da consulta LDAP:

currentdate: <DateTime> (GMT não ajustado)
subschemaSubentry:
CN=Agregado,CN=Esquema,CN=Configuração,DC=reskit,DC=com
dsServiceName: CN=NTDS
Configurações,CN=mydc,CN=Servidores,CN=eu,CN=Sites,CN
=Configuração,DC=reskit,DC=com
contextos de nomenclatura: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN = Esquema, CN = Configuração, DC = reskit, DC = com
configurationNamingContext:
CN=Configuração,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
suportadoLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
SASLMechanismos suportados: GSSAPI
dnsHostName: <Nome do host>
ldapServiceName: <ServiceName>
nome_do_servidor:
CN=MYDC,CN=Servidores,CN=EU,CN=Sites,CN=Configuração,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: VERDADEIRO
isGlobalCatalogReady: TRUE

======== ======== de resposta de fim da consulta LDAP
A porta UDP 389 está ESCUTANDO

Observação

O teste LDAP sobre UDP pode não funcionar em controladores de domínio que executam o Windows Server 2008 e posterior. Um motivo para isso pode ser que você desabilitou o IPv6 no Controlador de Domínio. Para habilitar o IPv6, defina o valor discutido no artigo abaixo como o padrão de 0:
929852 Diretrizes para configurar o IPv6 no Windows para usuários avançados

Exemplo 2: Identificando serviços que se registraram com o mapeador de ponto de extremidade RPC

Este exemplo demonstra como usar o PortQry para determinar quais serviços ou aplicativos são registrados no banco de dados do mapeador de ponto de extremidade RPC do servidor de destino. A saída inclui o UUID (Identificador Universalmente Exclusivo) de cada aplicativo, o nome anotado (se houver), o protocolo que o aplicativo usa, o endereço de rede ao qual o aplicativo está vinculado e o ponto de extremidade do aplicativo (número da porta, pipe nomeado entre colchetes). Essas informações podem ser úteis na solução de vários problemas.

Por padrão, o banco de dados do mapeador de ponto de extremidade RPC é configurado para escutar a porta 135. A chamada de exemplo especifica o servidor a ser consultado usando o protocolo UDP:

portqry -n <fqdn> -p udp -e 135

Saída de exemplo

Consultando o sistema de destino chamado:

<fqdn>

Tentando resolver o nome para o endereço IP...

Nome resolvido para 169.254.0.18

Porta UDP 135 (serviço epmap): LISTENING ou FILTERED
Consultando banco de dados do ponto de extremidade do mapeador...
Resposta do servidor:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 Interface de restauração NTDS
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 Interface DRS do diretório MS NT
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 Serviço NtFrs
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\\MYDC[\pipe\00000580.000]

Total de endpoints encontrados: 6

==== Fim da resposta da consulta do RPC Endpoint Mapper ====

A porta UDP 135 está ESCUTANDO

O PortQry pode enviar uma consulta DNS formatada corretamente (usando UDP ou TCP). O utilitário envia uma consulta DNS para "portqry.microsoft.com." O PortQry aguarda uma resposta do servidor DNS de destino. Se a resposta DNS à consulta é negativa ou positiva é irrelevante porque qualquer resposta indica que a porta está escutando.