Uso de PortQry para solucionar problemas de conectividad de Active Directory

  • Artículo

En este artículo se describe cómo ejecutar PortQry para probar la conectividad de red para cualquier componente o escenario de Windows en cualquier versión de Windows.

Se aplica a: Windows Server 2012 R2
Número de KB original: 816103

Introducción

PortQry es una utilidad de línea de comandos que puede usar para solucionar problemas de conectividad TCP/IP que usan componentes y características de Windows. La utilidad notifica el estado del puerto de los puertos Protocolo de control de transición (TCP) y Protocolo de datagramas de usuario (UDP) en un equipo remoto. Puede ejecutar PortQry para probar la conectividad de red para cualquier componente o escenario de Windows en cualquier versión de Windows.

En este artículo se describe cómo usar portqry para comprobar la conectividad TCP/IP básica para los componentes relacionados con Active Directory y Active Directory, entre los que se incluyen:

  • Servicios de dominio de Active Directory (ADDS)
  • Protocolo ligero de acceso a directorios (LDAP) de Active Directory
  • Llamada a procedimiento remoto (RPC)
  • Servicio de nombres de dominio (DNS)
  • Otros componentes relacionados con ADDS
  • Otros componentes en los que ADDS depende

La comprobación de la conectividad de red a través de los puertos y protocolos necesarios es especialmente útil cuando los controladores de dominio se implementan en dispositivos intermedios, incluidos los firewalls.

Instalación de PortQry

Descargar Portqry.exe

PortQry .exe está disponible para su descarga desde el Centro de descarga de Microsoft. Para descargar la .exe PortQry, visite el siguiente sitio web de Microsoft:

Descarga de PortQry Command Line Port Scanner versión 2.0

Para obtener más información sobre cómo descargar Soporte técnico de Microsoft archivos, consulte el artículo sobre Microsoft Knowledge Base:

119591 Cómo obtener archivos Soporte técnico de Microsoft de Online Services

Microsoft ha examinado este archivo en busca de virus. Microsoft usó el software de detección de virus más actual que estaba disponible en la fecha en que se publicó el archivo. El archivo se almacena en servidores mejorados de seguridad que ayudan a evitar cambios no autorizados en el archivo.

Una versión gráfica de la herramienta PortQry, denominada PortQueryUI, contiene características adicionales que pueden facilitar el uso de PortQry. Para descargar la herramienta PortQueryUI, visite el siguiente sitio web de Microsoft:

Descargar PortQryUI: interfaz de usuario para el analizador de puertos de la línea de comandos de PortQry

Más información

PortQry informa del estado de un puerto de una de estas tres maneras:

  • Escucha: un proceso está escuchando en el puerto de destino en el sistema de destino. PortQry recibió una respuesta del puerto.
  • No escuchar: ningún proceso está escuchando en el puerto de destino en el sistema de destino. PortQry recibió un mensaje de protocolo de mensajes de control de Internet (ICMP)"Destino inaccesible- Puerto inaccesible" desde el puerto UDP de destino. O bien, si el puerto de destino es un puerto TCP, Portqry recibió un paquete de confirmación TCP con la marca Restablecer establecida.
  • Filtrado: se está filtrando el puerto de destino del sistema de destino. PortQry no recibió una respuesta del puerto de destino. Un proceso puede o no estar escuchando en el puerto. De forma predeterminada, los puertos TCP se consultan tres veces y los puertos UDP se consultan una vez antes de filtrar el puerto de destino.

Con PortQry, también puede consultar un servicio LDAP. Envía una consulta LDAP, mediante UDP o TCP, e interpreta la respuesta del servidor LDAP a la consulta. La respuesta del servidor LDAP se analiza, se da formato y se devuelve al usuario.

Las interfaces RPC que ofrece Active Directory pueden usar puertos de servidor dinámicos (la mayoría son configurables). Los clientes usan el asignador de puntos de conexión RPC para buscar el puerto de servidor de la interfaz RPC de un servicio de Active Directory específico.

La base de datos del asignador de punto final RPC escucha el puerto 135. Esto significa que el puerto TCP 135 es un puerto necesario para la mayoría de las implementaciones que van más allá de las consultas LDAP básicas. También es necesario para todos los clientes que son miembros de un dominio.

Para obtener más información sobre PortQry, consulte:

310099 Descripción de la utilidad de línea de comandos Portqry.exe

Puede encontrar una lista de puertos y protocolos que Windows usa, incluidos Active Directory, DFS, DFSR, Servicios de certificados y todos los demás servicios en el siguiente artículo knowledge base:

832017 Service overview and network port requirements for Windows (Introducción al servicio de 832017 y requisitos de puerto de red para Windows)

Nota:

Active Directory y otros servicios que usan puertos efímeros deben tener conectividad desde el puerto 135 a todos los que se enumeran en el artículo Información general del servicio y requisitos de puerto de red para Windows.

En el artículo también se pueden encontrar puertos y protocolos específicos de AD:

179442 Configuración de un firewall para dominios y confianzas

PortQry sabe cómo enviar una consulta al asignador de punto final RPC (mediante UDP y TCP) e interpretar la respuesta. Esta consulta muestra todos los puntos finales registrados con el asignador de punto final RPC. La respuesta del asignador de punto final se analiza, se da formato y se devuelve al usuario.

Si PortQry no está disponible, puede usar LDP.EXE para conectarse al controlador de dominio en el puerto 389 con la casilla Sin conexión activada.

Otra alternativa a PortQry es NLTEST, pero no funciona para servidores arbitrarios. El servidor debe ser un controlador de dominio en el mismo dominio que el equipo en el que se ejecuta la herramienta. Si este es el caso, puede usar nltest /sc_reset <nombre> \ <de dominio nombre> de equipo para forzar un canal de seguridad en un controlador de dominio específico. Para obtener más información, consulte Conectividad de red.

Uso de portqry

Ejemplo 1: Uso de Portqry para probar la conectividad a través de un puerto y protocolo específicos mediante el puerto UDP 389 como ejemplo

En este ejemplo se muestra cómo usar PortQry para determinar si el servicio LDAP responde. Al examinar la respuesta, puede determinar qué servicio LDAP está escuchando en el puerto y algunos detalles sobre su configuración. Esta información puede ser útil para solucionar diversos problemas.

De forma predeterminada, LDAP está configurado para escuchar el puerto 389. La llamada de ejemplo especifica el servidor que se va a consultar mediante el protocolo UDP:

PortQry -n <fqdn> -p udp -e 389

PortQry resuelve automáticamente el puerto UDP 389 mediante el archivo %SystemRoot%\System32\Drivers\...\Services incluido en Windows Server 2003 y equipos posteriores. En la salida de ejemplo siguiente, el puerto se resuelve en un servicio LDAP que está activo y PortQry informa de que el puerto está ESCUCHANDO o FILTRADO.

A continuación, PortQry envía una consulta LDAP con formato a la que recibe una respuesta. Devuelve toda la respuesta al usuario e informa de que el puerto está ESCUCHANDO. Si PortQry no recibe una respuesta a la consulta, notifica que el puerto está FILTRADO.

Salida de ejemplo

C:\>portqry -n <fqdn> -e 389 -p udp

Consulta del sistema de destino llamado:

<Fqdn>

Intentar resolver el nombre en la dirección IP...

Nombre resuelto en 169.254.0.14

Puerto UDP 389 (servicio desconocido): LISTENING o FILTERED

Envío de una consulta LDAP al puerto UDP 389...

Respuesta de consulta LDAP:

currentdate: <DateTime> (GMT sin ajustar)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Settings,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
Nombredeservidor:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
funcionalidades admitidas: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== ======== de respuesta de consulta de fin de LDAP
El puerto UDP 389 es LISTENING

Nota:

Es posible que la prueba LDAP a través de UDP no funcione con controladores de dominio que ejecutan Windows Server 2008 y versiones posteriores. Una de las razones de esto puede ser que ha deshabilitado IPv6 en el controlador de dominio. Para habilitar IPv6, establezca el valor descrito en el artículo siguiente en el valor predeterminado 0:
929852 Guía para configurar IPv6 en Windows para usuarios avanzados

Ejemplo 2: Identificación de servicios que se han registrado con el asignador de puntos de conexión RPC

En este ejemplo se muestra cómo usar PortQry para determinar qué servicios o aplicaciones se registran con la base de datos del asignador de punto final RPC del servidor de destino. La salida incluye el identificador único universal (UUID) de cada aplicación, el nombre anotado (si existe), el protocolo que usa la aplicación, la dirección de red a la que está enlazada la aplicación y el punto final de la aplicación (número de puerto, canalización con nombre entre corchetes). Esta información puede ser útil para solucionar diversos problemas.

De forma predeterminada, la base de datos del asignador de punto final RPC está configurada para escuchar el puerto 135. La llamada de ejemplo especifica el servidor que se va a consultar mediante el protocolo UDP:

portqry -n <fqdn> -p udp -e 135

Salida de ejemplo

Consulta del sistema de destino llamado:

<Fqdn>

Intentar resolver el nombre en la dirección IP...

Nombre resuelto en 169.254.0.18

Puerto UDP 135 (servicio epmap): LISTENING o FILTERED
Consulta de la base de datos del asignador de puntos de conexión...
Respuesta del servidor:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS Restore Interface
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\\MYDC[\pipe\00000580.000]

Total de puntos de conexión encontrados: 6

==== Fin de la respuesta de consulta del asignador de puntos de conexión RPC ====

El puerto UDP 135 está ESCUCHANDO

PortQry puede enviar una consulta DNS con formato correcto (mediante UDP o TCP). La utilidad envía una consulta DNS para "portqry.microsoft.com". A continuación, PortQry espera una respuesta del servidor DNS de destino. Si la respuesta DNS a la consulta es negativa o positiva es irrelevante porque cualquier respuesta indica que el puerto está escuchando.