Verwenden von PortQry zur Behandlung von Active Directory-Konnektivitätsproblemen

In diesem Artikel wird beschrieben, wie PortQry ausgeführt wird, um die Netzwerkkonnektivität für jede Windows Komponente oder jedes Szenario in einer beliebigen Version von Windows zu testen.

Gilt für:   Windows Server 2012 R2
Ursprüngliche KB-Nummer:   816103

Einführung

PortQry ist ein Befehlszeilenprogramm, mit dem Sie Probleme mit tcp/IP-Verbindungen beheben können, die von Windows Komponenten und Features verwendet werden. Das Hilfsprogramm meldet den Portstatus von TCP-Ports (Transition Control Protocol) und UDP-Ports (User Datagram Protocol) auf einem Remotecomputer. Sie können PortQry ausführen, um die Netzwerkkonnektivität für jede Windows Komponente oder jedes Szenario in einer beliebigen Version von Windows zu testen.

In diesem Artikel wird beschrieben, wie Sie portqry verwenden, um die grundlegende TCP/IP-Konnektivität für Active Directory- und Active Directory-bezogene Komponenten zu überprüfen, einschließlich:

  • Active Directory Domain Services (ADDS)
  • Active Directory für Lightweight Directory Access Protocol (LDAP)
  • Remoteprozeduraufruf (RPC)
  • Domain Name Service (DNS)
  • Andere ADD-bezogene Komponenten
  • Andere Komponenten, von denen ADDS abhängig ist

Die Überprüfung der Netzwerkkonnektivität über die erforderlichen Ports und Protokolle ist besonders hilfreich, wenn Domänencontroller auf Zwischengeräten einschließlich Firewalls bereitgestellt werden.

Installieren von PortQry

Herunterladen Portqry.exe

PortQry .exe steht im Microsoft Download Center zum Download zur Verfügung. Um die PortQry-.exe herunterzuladen, besuchen Sie die folgende Microsoft-Website:

PortQry Command Line Port Scanner Version 2.0 herunterladen

Weitere Informationen zum Herunterladen von Microsoft-Supportdateien finden Sie in der Microsoft Knowledge Base:

119591 Erhalten von Microsoft-Supportdateien von Onlinediensten

Microsoft hat diese Datei auf Viren überprüft. Microsoft hat die neueste Virenerkennungssoftware verwendet, die am Datum der Veröffentlichung der Datei verfügbar war. Die Datei wird auf Servern mit erhöhter Sicherheit gespeichert, die dazu beitragen, nicht autorisierte Änderungen an der Datei zu verhindern.

Eine grafische Version des PortQry-Tools namens PortQueryUI enthält zusätzliche Features, die die Verwendung von PortQry vereinfachen können. Um das PortQueryUI-Tool herunterzuladen, besuchen Sie die folgende Microsoft-Website:

PortQryUI herunterladen – Benutzeroberfläche für den PortQry-Befehlszeilenportscanner

Weitere Informationen

PortQry meldet den Status eines Ports auf eine von drei Arten:

  • Überwachung: Ein Prozess überwacht den Zielport auf dem Zielsystem. PortQry hat eine Antwort vom Port erhalten.
  • Not Listening: Kein Prozess lauscht auf dem Zielport auf dem Zielsystem. PortQry hat eine ICMP-Nachricht (Internet Control Message Protocol) "Destination Unreachable - Port Unreachable" vom Ziel-UDP-Port empfangen. Wenn es sich bei dem Zielport um einen TCP-Port handelt, hat Portqry ein TCP-Bestätigungspaket empfangen, für das das Flag "Zurücksetzen" festgelegt ist.
  • Gefiltert: Der Zielport auf dem Zielsystem wird gefiltert. PortQry hat keine Antwort vom Zielport erhalten. Möglicherweise lauscht ein Prozess auf dem Port. Standardmäßig werden TCP-Ports dreimal abgefragt, und UDP-Ports werden einmal abgefragt, bevor der Zielport gefiltert wird.

Mit PortQry können Sie auch einen LDAP-Dienst abfragen. Es sendet eine LDAP-Abfrage mithilfe von UDP oder TCP und interpretiert die Antwort des LDAP-Servers auf die Abfrage. Die Antwort vom LDAP-Server wird analysiert, formatiert und an den Benutzer zurückgegeben.

Von Active Directory angebotene RPC-Schnittstellen können dynamische Serverports verwenden (die meisten sind konfigurierbar).) Clients verwenden den RPC-Endpunkt-Mapper, um den Serverport der RPC-Schnittstelle eines bestimmten Active Directory-Diensts zu finden.

Die RPC-Endpunktzuordnungsdatenbank überwacht Port 135. Dies bedeutet, dass TCP-Port 135 ein erforderlicher Port für die meisten Bereitstellungen ist, die über grundlegende LDAP-Abfragen hinausgehen. Er ist auch für alle Clients erforderlich, die Mitglied einer Domäne sind.

Weitere Informationen zu PortQry finden Sie unter:

310099 Beschreibung des Befehlszeilenprogramms Portqry.exe

Eine Liste der Ports und Protokolle, die Windows verwendet, einschließlich Active Directory, DFS, DFSR, Zertifikatdienste und alle anderen Dienste, finden Sie im folgenden Knowledge Base-Artikel:

832017 Dienstübersicht und Netzwerkportanforderungen für Windows

Hinweis

Active Directory und andere Dienste, die kurzlebige Ports verwenden, müssen über Konnektivität von Port 135 zu allen in der Dienstübersicht aufgeführten Und Netzwerkportanforderungen für Windows Artikel verfügen.

Ad-spezifische Ports und Protokolle finden Sie auch im Artikel:

179442 Konfigurieren einer Firewall für Domänen und Vertrauensstellungen

PortQry weiß, wie eine Abfrage an die RPC-Endpunktzuordnung (mit UDP und TCP) gesendet und die Antwort interpretiert wird. Diese Abfrage zeigt alle Endpunkte an, die bei der RPC-Endpunktzuordnung registriert sind. Die Antwort vom Endpunkt-Mapper wird analysiert, formatiert und an den Benutzer zurückgegeben.

Wenn PortQry nicht verfügbar ist, können Sie LDP.EXE verwenden, um eine Verbindung mit dem Domänencontroller an Port 389 herzustellen, wobei das Kontrollkästchen "Verbindung ohne" aktiviert ist.

Eine weitere Alternative zu PortQry ist NLTEST, funktioniert jedoch nicht für beliebige Server. Der Server muss ein Domänencontroller in derselben Domäne wie der Computer sein, auf dem Sie das Tool ausführen. Wenn dies der Fall ist, können Sie Nltest /sc_reset <domain name> \ <computer name> verwenden, um einen Sicherheitskanal auf einem bestimmten Domänencontroller zu erzwingen. Weitere Informationen finden Sie unter "Netzwerkkonnektivität".

Verwenden von Portqry

Beispiel 1: Verwenden von Portqry zum Testen der Konnektivität über einen bestimmten Port und ein bestimmtes Protokoll mithilfe von UDP-Port 389 als Beispiel

In diesem Beispiel wird veranschaulicht, wie PortQry verwendet wird, um festzustellen, ob der LDAP-Dienst antwortet. Wenn Sie die Antwort untersuchen, können Sie ermitteln, welcher LDAP-Dienst den Port überwacht, sowie einige Details zur Konfiguration. Diese Informationen können bei der Behandlung verschiedener Probleme hilfreich sein.

Standardmäßig ist LDAP für das Überwachen von Port 389 konfiguriert. Der Beispielaufruf gibt den Server an, der mithilfe des UDP-Protokolls abgefragt werden soll:

PortQry -n <fqdn> -p udp -e 389

PortQry löst UDP-Port 389 automatisch mithilfe der Datei "%SystemRoot%\System32\Drivers \ ...\Services" auf, die in Windows Server 2003- und höher-Computern enthalten ist. In der folgenden Beispielausgabe wird der Port in einen aktiven LDAP-Dienst aufgelöst, und PortQry meldet, dass der Port ÜBERWACHT oder GEFILTERT ist.

PortQry sendet dann eine formatierte LDAP-Abfrage, auf die eine Antwort empfangen wird. Es gibt die gesamte Antwort an den Benutzer zurück und meldet, dass der Port LISTENING ist. Wenn PortQry keine Antwort auf die Abfrage erhält, wird gemeldet, dass der Port GEFILTERT ist.

Beispielausgabe

C: \>portqry -n <fqdn> -e 389 -p udp

Abfragezielsystem aufgerufen:

<fqdn>

Beim Versuch, den Namen in eine IP-Adresse aufzulösen...

Name aufgelöst in 169.254.0.14

UDP-Port 389 (unbekannter Dienst): ÜBERWACHEN oder FILTERN

Senden einer LDAP-Abfrage an UDP-Port 389...

LDAP-Abfrageantwort:

currentdate: <DateTime> (unadjusted GMT)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Einstellungen,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMeméisms: GSSAPI
Dnshostname: <HostName>
ldapServiceName: <ServiceName>
Servername:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

das Ende der LDAP-Abfrageantwort .?
UDP-Port 389 überwacht

Hinweis

Der LDAP-Test über UDP funktioniert möglicherweise nicht für Domänencontroller, die Windows Server 2008 und höher ausgeführt werden. Ein Grund dafür kann sein, dass Sie IPv6 auf dem Domänencontroller deaktiviert haben. Um IPv6 zu aktivieren, legen Sie den im folgenden Artikel erläuterten Wert auf den Standardwert 0 fest:
929852 Anleitung zum Konfigurieren von IPv6 in Windows für fortgeschrittene Benutzer

Beispiel 2: Identifizieren von Diensten, die mit RPC-Endpunktzuordnung registriert wurden

In diesem Beispiel wird veranschaulicht, wie PortQry verwendet wird, um zu bestimmen, welche Dienste oder Anwendungen in der RPC-Endpunktzuordnungsdatenbank des Zielservers registriert sind. Die Ausgabe enthält die Universally Unique Identifier (UUID) jeder Anwendung, den kommentierten Namen (falls vorhanden), das Protokoll, das die Anwendung verwendet, die Netzwerkadresse, an die die Anwendung gebunden ist, und den Endpunkt der Anwendung (Portnummer, Named Pipe in eckigen Klammern). Diese Informationen können bei der Behandlung verschiedener Probleme hilfreich sein.

Standardmäßig ist die RPC-Endpunktzuordnungsdatenbank so konfiguriert, dass port 135 überwacht wird. Der Beispielaufruf gibt den Server an, der mithilfe des UDP-Protokolls abgefragt werden soll:

portqry -n <fqdn> -p udp -e 135

Beispielausgabe

Abfragezielsystem aufgerufen:

<fqdn>

Beim Versuch, den Namen in eine IP-Adresse aufzulösen...

Name aufgelöst in 169.254.0.18

UDP-Port 135 (epmap-Dienst): LISTENING oder FILTERED
Abfragen der Endpunktzuordnungsdatenbank...
Antwort des Servers:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np: \ \ \ \MYDC[ \ PIPE \ lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS Restore Interface
ncacn_np: \ \ \ \MYDC[ \ PIPE \ lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np: \ \ \ \MYDC[ \ pipe \ 00000580.000]

Gesamtzahl der gefundenen Endpunkte: 6

==== Ende der RPC Endpoint Mapper-Abfrageantwort ====

UDP-Port 135 überwacht

PortQry kann eine korrekt formatierte DNS-Abfrage senden (mit UDP oder TCP). Das Hilfsprogramm sendet eine DNS-Abfrage für portqry.microsoft.com "." PortQry wartet dann auf eine Antwort vom DNS-Zielserver. Ob die DNS-Antwort auf die Abfrage negativ oder positiv ist, ist irrelevant, da jede Antwort darauf hinweist, dass der Port lauscht.