Comment utiliser PortQry pour résoudre les problèmes de connectivité Active Directory
Cet article explique comment exécuter PortQry pour tester la connectivité réseau pour n’importe quel composant ou scénario Windows sur n’importe quelle version de Windows.
S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 816103
Introduction
PortQry est un utilitaire en ligne de commande que vous pouvez utiliser pour résoudre les problèmes de connectivité TCP/IP utilisés par les composants et fonctionnalités Windows. L’utilitaire signale le port status des ports TCP (Transition Control Protocol) et UDP (User Datagram Protocol) sur un ordinateur distant. Vous pouvez exécuter PortQry pour tester la connectivité réseau pour n’importe quel composant ou scénario Windows sur n’importe quelle version de Windows.
Cet article explique comment utiliser portqry pour vérifier la connectivité TCP/IP de base pour Active Directory et les composants associés à Active Directory, notamment :
- services de domaine Active Directory (ADDS)
- Active Directory pour ldap (Lightweight Directory Access Protocol)
- Appel de procédure distante (RPC)
- Service DNS (Domain Name Service)
- Autres composants associés à ADDS
- Autres composants dont ADDS dépend
La vérification de la connectivité réseau sur les ports et protocoles requis est particulièrement utile lorsque des contrôleurs de domaine sont déployés sur des appareils intermédiaires, y compris des pare-feu.
Installer PortQry
Télécharger Portqry.exe
PortQry .exe est disponible en téléchargement à partir du Centre de téléchargement Microsoft. Pour télécharger le .exe PortQry, visitez le site web Microsoft suivant :
Télécharger PortQry Command Line Port Scanner version 2.0
Pour plus d’informations sur le téléchargement de fichiers Support Microsoft, consultez la Base de connaissances Microsoft :
119591 Comment obtenir des fichiers Support Microsoft à partir des services en ligne
Microsoft a analysé ce fichier à la recherche de virus. Microsoft a utilisé le logiciel de détection de virus le plus actuel disponible à la date de publication du fichier. Le fichier est stocké sur des serveurs à sécurité renforcée qui permettent d’empêcher toute modification non autorisée du fichier.
Une version graphique de l’outil PortQry, appelée PortQueryUI, contient des fonctionnalités supplémentaires qui peuvent faciliter l’utilisation de PortQry. Pour télécharger l’outil PortQueryUI, visitez le site web Microsoft suivant :
Télécharger PortQryUI - Interface utilisateur pour le scanneur de port en ligne de commande PortQry
Plus d’informations
PortQry signale l’status d’un port de l’une des trois manières suivantes :
- Écoute : un processus est à l’écoute sur le port cible sur le système cible. PortQry a reçu une réponse du port.
- Non à l’écoute : aucun processus n’écoute sur le port cible sur le système cible. PortQry a reçu un message ICMP (Destination inaccessible - Port Inaccessible) du port UDP cible. Ou, si le port cible est un port TCP, Portqry a reçu un paquet d’accusé de réception TCP avec l’indicateur De réinitialisation défini.
- Filtré : le port cible sur le système cible est filtré. PortQry n’a pas reçu de réponse du port cible. Un processus peut ou non être à l’écoute sur le port. Par défaut, les ports TCP sont interrogés trois fois et les ports UDP sont interrogés une fois avant de signaler que le port cible est filtré.
Avec PortQry, vous pouvez également interroger un service LDAP. Il envoie une requête LDAP, en utilisant UDP ou TCP, et interprète la réponse du serveur LDAP à la requête. La réponse du serveur LDAP est analysée, mise en forme et retournée à l’utilisateur.
Les interfaces RPC proposées par Active Directory peuvent utiliser des ports de serveur dynamiques (la plupart sont configurables). Les clients utilisent le mappeur de point de terminaison RPC pour rechercher le port de serveur de l’interface RPC d’un service Active Directory spécifique.
La base de données du mappeur de point de terminaison RPC écoute le port 135. Cela signifie que le port TCP 135 est un port requis pour la plupart des déploiements qui vont au-delà des requêtes LDAP de base. Elle est également requise pour tous les clients membres d’un domaine.
Pour plus d’informations sur PortQry, consultez :
310099 Description de l’utilitaire de ligne de commande Portqry.exe
Vous trouverez la liste des ports et protocoles que Windows utilise, notamment Active Directory, DFS, DFSR, services de certificats et tous les autres services dans l’article base de connaissances suivant :
Vue d’ensemble du service 832017 et configuration requise des ports réseau pour Windows
Remarque
Active Directory et les autres services qui utilisent des ports éphémères doivent disposer d’une connectivité du port 135 à tous les éléments répertoriés dans l’article Vue d’ensemble du service et configuration requise des ports réseau pour Windows.
Les ports et protocoles spécifiques à AD sont également disponibles dans l’article :
179442 Comment configurer un pare-feu pour les domaines et les approbations
PortQry sait comment envoyer une requête au mappeur de point de terminaison RPC (à l’aide d’UDP et TCP) et interpréter la réponse. Cette requête affiche tous les points de terminaison inscrits auprès du mappeur de point de terminaison RPC. La réponse du mappeur de point de terminaison est analysée, mise en forme et retournée à l’utilisateur.
Si PortQry n’est pas disponible, vous pouvez utiliser LDP.EXE pour vous connecter au contrôleur de domaine sur le port 389 avec la zone case activée sans connexion activée.
Une autre alternative à PortQry est NLTEST, mais elle ne fonctionne pas pour les serveurs arbitraires. Le serveur doit être un contrôleur de domaine dans le même domaine que l’ordinateur sur lequel vous exécutez l’outil. Si c’est le cas, vous pouvez utiliser Nltest /sc_reset <nom de domaine> \ <nom d’ordinateur> pour forcer un canal de sécurité sur un contrôleur de domaine spécifique. Pour plus d’informations, consultez Connectivité réseau.
Utilisation de portqry
Exemple 1 : Utilisation de Portqry pour tester la connectivité sur un port et un protocole spécifiques à l’aide du port UDP 389 comme exemple
Cet exemple montre comment utiliser PortQry pour déterminer si le service LDAP répond. En examinant la réponse, vous pouvez déterminer quel service LDAP écoute sur le port et quelques détails sur sa configuration. Ces informations peuvent être utiles pour résoudre divers problèmes.
Par défaut, LDAP est configuré pour écouter le port 389. L’exemple d’appel spécifie le serveur à interroger à l’aide du protocole UDP :
PortQry -n <fqdn> -p udp -e 389
PortQry résout automatiquement le port UDP 389 à l’aide du fichier %SystemRoot%\System32\Drivers\...\Services inclus dans les ordinateurs Windows Server 2003 et versions ultérieures. Dans l’exemple de sortie ci-dessous, le port est résolu en service LDAP actif et PortQry signale que le port est LISTENING ou FILTERED.
PortQry envoie ensuite une requête LDAP mise en forme à laquelle il reçoit une réponse. Il retourne l’intégralité de la réponse à l’utilisateur et signale que le port est LISTENING. Si PortQry n’a pas reçu de réponse à la requête, il signale que le port est FILTERED.
Exemple de résultat
C :\>portqry -n <fqdn> -e 389 -p udp
Interrogation du système cible appelé :
<Fqdn>
Tentative de résolution du nom en adresse IP...
Nom résolu en 169.254.0.14
Port UDP 389 (service inconnu) : LISTENING ou FILTERED
Envoi d’une requête LDAP au port UDP 389...
Réponse à la requête LDAP :
currentdate : <DateTime> (GMT non désajusté)
subschemaSubentry :
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName : CN=NTDS
Paramètres,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts : DC=reskit,DC=com
defaultNamingContext : DC=reskit,DC=com
schemaNamingContext :
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext :
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext : DC=reskit,DC=com
supportedControl : 1.2.840.113556.1.4.319
supportedLDAPVersion : 3
supportedLDAPPolicies : MaxPoolThreads
highestCommittedUSN : 815431405
supportedSASLMechanisms : GSSAPI
dnsHostName : <HostName>
ldapServiceName : <ServiceName>
Servername:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities : 1.2.840.113556.1.4.800
isSynchronized : TRUE
isGlobalCatalogReady : TRUE======== fin du ======== de réponse de requête LDAP
Le port UDP 389 est à l’écoute
Remarque
Le test LDAP sur UDP peut ne pas fonctionner sur les contrôleurs de domaine qui exécutent Windows Server 2008 et versions ultérieures. Cela peut être dû au fait que vous avez désactivé IPv6 sur le contrôleur de domaine. Pour activer IPv6, définissez la valeur décrite dans l’article ci-dessous sur la valeur par défaut 0 :
929852 conseils pour la configuration d’IPv6 dans Windows pour les utilisateurs avancés
Exemple 2 : Identification des services qui se sont inscrits auprès du mappeur de point de terminaison RPC
Cet exemple montre comment utiliser PortQry pour déterminer quels services ou applications sont inscrits auprès de la base de données du mappeur de point de terminaison RPC du serveur cible. La sortie inclut l’UUID (Universally Unique Identifier) de chaque application, le nom annoté (le cas échéant), le protocole utilisé par l’application, l’adresse réseau à laquelle l’application est liée et le point de terminaison de l’application (numéro de port, canal nommé entre crochets). Ces informations peuvent être utiles pour résoudre divers problèmes.
Par défaut, la base de données du mappeur de point de terminaison RPC est configurée pour écouter le port 135. L’exemple d’appel spécifie le serveur à interroger à l’aide du protocole UDP :
portqry -n <fqdn> -p udp -e 135
Exemple de résultat
Interrogation du système cible appelé :
<Fqdn>
Tentative de résolution du nom en adresse IP...
Nom résolu en 169.254.0.18
Port UDP 135 (service epmap) : LISTENING ou FILTERED
Interrogation de la base de données du mappeur de point de terminaison...
Réponse du serveur :UUID : ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np :\\\MYDC[\PIPE\lsass]UUID : 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS Restore Interface
ncacn_np :\\\MYDC[\PIPE\lsass]UUID : e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp :169.254.0.18[1027]UUID : f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp :169.254.0.18[1130]UUID : d049b186-814f-11d1-9a3c-00c04fc9b232 API NtFrs
ncacn_ip_tcp :169.254.0.18[1130]UUID : d049b186-814f-11d1-9a3c-00c04fc9b232 API NtFrs
ncacn_np :\\\\MYDC[\pipe\00000580.000]Nombre total de points de terminaison trouvés : 6
==== Fin de la réponse de requête du mappeur de point de terminaison RPC ====
Le port UDP 135 est à l’écoute
PortQry peut envoyer une requête DNS correctement mise en forme (à l’aide d’UDP ou TCP). L’utilitaire envoie une requête DNS pour «portqry.microsoft.com ». PortQry attend ensuite une réponse du serveur DNS cible. Le fait que la réponse DNS à la requête soit négative ou positive n’est pas pertinent, car toute réponse indique que le port est à l’écoute.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour