Så här använder du PortQry för att felsöka problem med Active Directory-anslutningar

I den här artikeln beskrivs hur du kör PortQry för att testa nätverksanslutningen för alla Windows-komponenter eller -scenarion i valfri version av Windows.

Ursprungligt KB-nummer: 816103

Introduktion

PortQry är ett kommandoradsverktyg som du kan använda för att felsöka TCP/IP-anslutningar som används av Windows-komponenter och -funktioner. Verktyget rapporterar portstatusen för TCP-portar (Transition Control Protocol) och UDP-portar (User Datagram Protocol) på en fjärrdator. Du kan köra PortQry för att testa nätverksanslutningen för alla Windows-komponenter eller -scenarion på valfri version av Windows.

Den här artikeln beskriver hur du använder portqry för att verifiera grundläggande TCP/IP-anslutning för Active Directory- och Active Directory-relaterade komponenter, inklusive:

• Active Directory-domän Services (ADDS)
• Active Directory för Lightweight Directory Access Protocol (LDAP)
• Remote Procedure Call (RPC)
• Dns (Domain Name Service)
• Andra ADDS-relaterade komponenter
• Andra komponenter som ADDS är beroende av

Det är särskilt användbart att kontrollera nätverksanslutningen via de portar och protokoll som krävs när domänkontrollanter distribueras på mellanliggande enheter, inklusive brandväggar.

Installera PortQry

Ladda ned Portqry.exe

PortQry .exe kan laddas ned från Microsoft Download Center. Om du vill ladda ned PortQry-.exe går du till följande Microsoft-webbplats:

Ladda ned PortQry-kommandoradsportläsare version 2.0

Mer information om hur du laddar ned Microsoft Support-filer finns i följande Microsoft Knowledge Base:

119591 Hämta Microsofts supportfiler från Online Services

Microsoft genomsökt den här filen efter virus. Microsoft använde den senaste virusidentifieringsprogramvaran som var tillgänglig samma dag som filen publicerades. Filen lagras på säkerhetsförbättrade servrar som hjälper till att förhindra obehöriga ändringar i filen.

En grafisk version av PortQry-verktyget, som kallas PortQueryUI, innehåller ytterligare funktioner som kan göra det enklare att använda PortQry. Om du vill ladda ned verktyget PortQueryUI går du till följande Microsoft-webbplats:

Ladda ned PortQryUI – Användargränssnitt för PortQry-kommandoradsportsläsaren

Mer information

PortQry rapporterar status för en port på något av tre sätt:

• Lyssnar: En process lyssnar på målporten i målsystemet. PortQry tog emot ett svar från porten.
• Lyssnar inte: Ingen process lyssnar på målporten i målsystemet. PortQry tog emot ett ICMP-meddelandemeddelande (Internet Control Message Protocol)"Målet kan inte nås – porten kan inte nås" tillbaka från mål-UDP-porten. Eller om målporten är en TCP-port tog Portqry emot ett TCP-bekräftelsepaket med flaggan Återställ inställd.
• Filtrerad: Målporten i målsystemet filtreras. PortQry fick inget svar från målporten. En process kanske eller kanske inte lyssnar på porten. Som standard efterfrågas TCP-portar tre gånger och UDP-portar efterfrågas en gång innan målporten rapporteras filtreras.

Med PortQry kan du även köra frågor mot en LDAP-tjänst. Den skickar en LDAP-fråga med UDP eller TCP och tolkar LDAP-serverns svar på frågan. Svaret från LDAP-servern parsas, formateras och returneras till användaren.

RPC-gränssnitt som erbjuds av Active Directory kan använda dynamiska serverportar (de flesta kan konfigureras.) Klienter använder RPC-slutpunktsmapparen för att hitta serverporten för RPC-gränssnittet för en specifik Active Directory-tjänst.

RPC-slutpunktsmappningsdatabasen lyssnar på port 135. Det innebär att TCP-port 135 är en nödvändig port för de flesta distributioner som går utöver grundläggande LDAP-frågor. Det krävs också för alla klienter som är medlemmar i en domän.

Mer information om PortQry finns i:

310099 Beskrivning av kommandoradsverktyget Portqry.exe

Du hittar en lista över portar och protokoll som Windows använder, inklusive Active Directory, DFS, DFSR, Certificate Services och alla andra tjänster i följande kunskapsbas artikel:

832017 Tjänsteöversikt och krav på nätverksport för Windows

Kommentar

Active Directory och andra tjänster som använder tillfälliga portar måste ha anslutning från port 135 till alla som anges i artikeln Tjänstöversikt och nätverksportkrav för Windows.

Portar och protokoll som är specifika för AD finns också i artikeln:

179442 Konfigurera en brandvägg för domäner och förtroenden

PortQry vet hur du skickar en fråga till RPC-slutpunktsmapparen (med UDP och TCP) och tolkar svaret. Den här frågan visar alla slutpunkter som är registrerade med RPC-slutpunktsmapparen. Svaret från slutpunktsmapparen parsas, formateras och returneras till användaren.

Om PortQry inte är tillgängligt kan du använda LDP.EXE för att ansluta till domänkontrollanten på port 389 med kryssrutan Anslutningslös aktiverad.

Ett annat alternativ till PortQry är NLTEST, men det fungerar inte för godtyckliga servrar. Servern måste vara en domänkontrollant i samma domän som den dator som du kör verktyget på. Om så är fallet kan du använda Nltest /sc_reset domännamnets> \ <datornamn> för att tvinga en säkerhetskanal till en specifik domänkontrollant.< Mer information finns i Nätverksanslutning.

Använda portqry

Exempel 1: Använda Portqry för att testa anslutningen via en specifik port och ett visst protokoll med UDP-port 389 som exempel

Det här exemplet visar hur du använder PortQry för att avgöra om LDAP-tjänsten svarar. Genom att undersöka svaret kan du avgöra vilken LDAP-tjänst som lyssnar på porten och viss information om dess konfiguration. Den här informationen kan vara användbar vid felsökning av olika problem.

Som standard är LDAP konfigurerat att lyssna på port 389. Exempelanropet anger vilken server som ska köra frågor med UDP-protokollet:

PortQry -n <fqdn> -p udp -e 389

PortQry löser automatiskt UDP-port 389 med hjälp av filen %SystemRoot%\System32\Drivers\...\Services som ingår i Windows Server 2003 och senare datorer. I exemplet nedan matchas porten till en LDAP-tjänst som är aktiv och PortQry rapporterar att porten är LYSSNAR eller FILTRERAD.

PortQry skickar sedan en formaterad LDAP-fråga som den tar emot ett svar till. Den returnerar hela svaret till användaren och rapporterar att porten lyssnar. Om PortQry inte har fått något svar på frågan rapporterar den att porten är FILTRERAD.

Exempelutdata

C:\>portqry -n <fqdn> -e 389 -p udp

Köra frågor mot målsystemet med namnet:

<Fqdn>

Försöker lösa namn till IP-adress...

Namnet har matchats till 169.254.0.14

UDP-port 389 (okänd tjänst): LYSSNA eller FILTRERAD

Skickar LDAP-fråga till UDP-port 389...

LDAP-frågesvar:

currentdate: <DateTime> (ojusterad GMT)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Inställningar,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
serverName:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== LDAP-frågesvarets slut ========
UDP-port 389 lyssnar

Kommentar

LDAP-testet över UDP kanske inte fungerar mot domänkontrollanter som kör Windows Server 2008 och senare. En orsak till detta kan vara att du har inaktiverat IPv6 på domänkontrollanten. Om du vill aktivera IPv6 anger du värdet som beskrivs i artikeln nedan till standardvärdet 0:
929852 Vägledning för att konfigurera IPv6 i Windows för avancerade användare

Exempel 2: Identifiera tjänster som har registrerats med RPC-slutpunktsmappning

Det här exemplet visar hur du använder PortQry för att avgöra vilka tjänster eller program som registreras med målserverns RPC-slutpunktsmappningsdatabas. Utdata inkluderar varje programs UUID (Universally Unique Identifier), kommenterat namn (om det finns ett), protokollet som programmet använder, nätverksadressen som programmet är bundet till och programmets slutpunkt (portnummer, namngivet rör inom hakparenteser). Den här informationen kan vara användbar vid felsökning av olika problem.

Som standard är RPC-slutpunktsmappningsdatabasen konfigurerad för att lyssna på port 135. Exempelanropet anger vilken server som ska köra frågor med UDP-protokollet:

portqry -n <fqdn> -p udp -e 135

Exempelutdata

Köra frågor mot målsystemet med namnet:

<Fqdn>

Försöker lösa namn till IP-adress...

Namnet har matchats till 169.254.0.18

UDP-port 135 (epmap-tjänst): LYSSNA eller FILTRERAD
Kör frågor mot slutpunktsmappningsdatabas...
Serverns svar:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np:\\\MYDC[\PIPE\lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS Restore Interface
ncacn_np:\\\MYDC[\PIPE\lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\\MYDC[\pipe\0000580.000]

Totalt antal slutpunkter hittades: 6

==== Slut på RPC Endpoint Mapper-frågesvar ====

UDP-port 135 lyssnar

PortQry kan skicka en korrekt formaterad DNS-fråga (med UDP eller TCP). Verktyget skickar en DNS-fråga för "portqry.microsoft.com". PortQry väntar sedan på ett svar från dns-målservern. Om DNS-svaret på frågan är negativt eller positivt är irrelevant eftersom något svar indikerar att porten lyssnar.