Как использовать PortQry для устранения неполадок с подключением Active Directory
В этой статье описывается, как запустить PortQry для проверки сетевого подключения для любого компонента Или сценария Windows в любой версии Windows.
Исходный номер базы знаний: 816103
Введение
PortQry — это программа командной строки, которую можно использовать для устранения неполадок с подключением TCP/IP, используемым компонентами и функциями Windows. Служебная программа сообщает о состоянии порта портов протокола управления переходом (TCP) и протокола пользовательской диаграммы данных (UDP) на удаленном компьютере. Вы можете запустить PortQry, чтобы проверить сетевое подключение для любого компонента Или сценария Windows в любой версии Windows.
В этой статье описывается, как использовать portqry для проверки базовых подключений TCP/IP для связанных компонентов Active Directory и Active Directory, включая:
- службы домен Active Directory (ADDS)
- Active Directory для протокола LDAP
- Удаленный вызов процедур (RPC)
- Служба доменных имен (DNS)
- Другие компоненты, связанные с ADDS
- Другие компоненты, на которые зависит ДОБАВЛЕНИЕ
Проверка сетевого подключения по необходимым портам и протоколам особенно полезна при развертывании контроллеров домена на промежуточных устройствах, включая брандмауэры.
Установка PortQry
Скачивание Portqry.exe
PortQry .exe доступен для скачивания из Центра загрузки Майкрософт. Чтобы скачать .exe PortQry, посетите следующий веб-сайт Майкрософт:
Скачивание средства проверки портов командной строки PortQry версии 2.0
Дополнительные сведения о том, как скачать служба поддержки Майкрософт файлы, см. в следующей статье базы знаний Майкрософт:
119591 Получение файлов служба поддержки Майкрософт из веб-служб
Корпорация Майкрософт отсканировал этот файл для вирусов. Корпорация Майкрософт использовала самое актуальное программное обеспечение обнаружения вирусов, которое было доступно на дате публикации файла. Файл хранится на серверах с повышенными безопасностью, которые помогают предотвратить любые несанкционированные изменения в файле.
Графическая версия средства PortQry с именем PortQueryUI содержит дополнительные функции, которые могут упростить использование PortQry. Чтобы скачать средство PortQueryUI, посетите следующий веб-сайт Майкрософт:
Дополнительная информация
PortQry сообщает о состоянии порта одним из трех способов:
- Прослушивание: процесс прослушивает целевой порт в целевой системе. PortQry получил ответ от порта.
- Не прослушивание. Процесс прослушивания целевого порта в целевой системе не выполняется. PortQry получил сообщение "Протокол сообщений управления Интернетом" (ICMP)"Destination Unreachable - Port Unreachable" message back from the target UDP port. Или, если целевой порт является TCP-портом, Порткри получил пакет подтверждения TCP с набором флагов сброса.
- Фильтруется: целевой порт в целевой системе фильтруется. PortQry не получил ответ от целевого порта. Процесс может или не прослушивал порт. По умолчанию TCP-порты запрашиваются три раза, а порты UDP запрашиваются один раз перед фильтрацией целевого порта.
С помощью PortQry можно также запросить службу LDAP. Он отправляет запрос LDAP с помощью UDP или TCP и интерпретирует ответ сервера LDAP на запрос. Ответ от сервера LDAP анализируется, форматируется и возвращается пользователю.
Интерфейсы RPC, предлагаемые Active Directory, могут использовать динамические порты сервера (большинство из них настраиваются.) Клиенты используют RPC Endpoint Mapper для поиска порта сервера интерфейса RPC определенной службы Active Directory.
База данных сопоставления конечных точек RPC прослушивает порт 135. Это означает, что TCP-порт 135 является обязательным портом для большинства развертываний, которые выходят за рамки основных запросов LDAP. Он также необходим для всех клиентов, входящих в домен.
Дополнительные сведения о PortQry см. в следующем разделе:
310099 Описание служебной программы командной строки Portqry.exe
Список портов и протоколов, используемых Windows, включая Active Directory, DFS, DFSR, службы сертификатов и все другие службы в следующей статье база знаний:
832017 Обзор служб и требования к сетевым портам в Windows
Примечание.
Active Directory и другие службы, использующие временные порты, должны иметь подключение от порта 135 ко всем перечисленным в обзоре службы и требованиях к сетевым портам для Windows.
Порты и протоколы, относящиеся к AD, также можно найти в статье:
179442 Настройка брандмауэра для доменов и отношений доверия
PortQry знает, как отправить запрос в конечную точку RPC (с помощью UDP и TCP) и интерпретировать ответ. Этот запрос отображает все конечные точки, зарегистрированные в средстве сопоставления конечных точек RPC. Ответ от интерфейса сопоставления конечных точек анализируется, форматируется и возвращается пользователю.
Если PortQry недоступен, можно использовать LDP.EXE для подключения к контроллеру домена через порт 389 с активированным флажком "Без подключения".
Другой альтернативой PortQry является NLTEST, но он не работает для произвольных серверов. Сервер должен быть контроллером домена в том же домене, что и компьютер, на котором запущено средство. В этом случае можно использовать Nltest /sc_reset <имя> компьютера доменного имени> \ <для принудительного подключения канала безопасности к конкретному контроллеру домена. Дополнительные сведения см. в разделе "Сетевое подключение".
Использование portqry
Пример 1. Использование Portqry для проверки подключения через определенный порт и протокол с помощью порта UDP 389 в качестве примера
В этом примере показано, как использовать PortQry для определения ответа службы LDAP. Проверив ответ, можно определить, какая служба LDAP прослушивает порт и некоторые сведения о его конфигурации. Эти сведения могут быть полезны при устранении различных проблем.
По умолчанию LDAP настроен для прослушивания порта 389. Пример вызова указывает сервер для запроса с помощью протокола UDP:
PortQry -n <fqdn> -p udp -e 389
PortQry автоматически разрешает порт UDP 389 с помощью файла %SystemRoot%\System32\Drivers\...\Services, включенного в windows Server 2003 и более поздних версий. В приведенном ниже примере порт разрешает службу LDAP, которая является активной и portQry сообщает, что порт прослушивается или ФИЛЬТРУется.
Затем PortQry отправляет форматированный запрос LDAP, в который он получает ответ. Он возвращает весь ответ пользователю и сообщает, что порт прослушивается. Если PortQry не получил ответ на запрос, он сообщает о том, что порт фильтруется.
Пример полученных результатов
C:\>portqry -n <fqdn> -e 389 -p udp
Querying target system called:
<fqdn>
Attempting to resolve name to IP address...
Имя разрешено до 169.254.0.14
Порт UDP 389 (неизвестная служба): ПРОСЛУШИВАНИЕ или ФИЛЬТРАЦИЯ
Отправка запроса LDAP в порт UDP 389...
Ответ запроса LDAP:
currentdate: <DateTime> (unadjusted GMT)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Параметры,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
имя сервера:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE======== ответ запроса LDAP ========
Порт UDP 389 — ПРОСЛУШИВАНИЕ
Примечание.
Тест LDAP по протоколу UDP может не работать с контроллерами домена, работающими под управлением Windows Server 2008 и более поздних версий. Одной из причин этого может быть отключение IPv6 на контроллере домена. Чтобы включить IPv6, задайте значение, описанное в следующей статье, значение по умолчанию равно 0:
929852 Руководство по настройке IPv6 в Windows для расширенных пользователей
Пример 2. Определение служб, зарегистрированных в службе сопоставления конечных точек RPC
В этом примере показано, как использовать PortQry для определения служб или приложений, зарегистрированных в базе данных конечных точек RPC целевого сервера. Выходные данные включают универсальный уникальный идентификатор приложения (UUID), аннотированные имена (если есть), протокол, используемый приложением, сетевой адрес, к которому привязано приложение, и конечная точка приложения (номер порта, именованный канал в квадратных скобках). Эти сведения могут быть полезны при устранении различных проблем.
По умолчанию база данных карты конечных точек RPC настроена для прослушивания порта 135. Пример вызова указывает сервер для запроса с помощью протокола UDP:
portqry -n <fqdn> -p udp -e 135
Пример полученных результатов
Querying target system called:
<fqdn>
Attempting to resolve name to IP address...
Имя разрешено до 169.254.0.18
Порт UDP 135 (служба epmap): ПРОСЛУШИВАНИЕ или ФИЛЬТРАЦИЯ
Querying Endpoint Mapper Database...
Ответ сервера:UUID: ec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np:\\\MYDC[\PIPE\lsass]UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS Restore Interface
ncacn_np:\\\MYDC[\PIPE\lsass]UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\MYDC[\pipe\0000580.000]Всего найденных конечных точек: 6
==== Конец ответа запроса запроса mapper конечной точки RPC ====
Порт UDP 135 — ПРОСЛУШИВАНИЕ
PortQry может отправлять правильно отформатированный DNS-запрос (с помощью UDP или TCP). Программа отправляет DNS-запрос для "portqry.microsoft.com". Затем PortQry ожидает ответа от целевого DNS-сервера. Указывает, является ли ответ DNS отрицательным или положительным, так как любой ответ указывает на то, что порт прослушивается.