Come usare PortQry per risolvere i problemi di connettività di Active Directory

In questo articolo viene descritto come eseguire PortQry per testare la connettività di rete per qualsiasi Windows o scenario in qualsiasi versione di Windows.

Si applica a:   Windows Server 2012 R2
Numero KB originale:   816103

Introduzione

PortQry è un'utilità da riga di comando che è possibile utilizzare per risolvere i problemi di connettività TCP/IP utilizzati Windows componenti e funzionalità. L'utilità segnala lo stato della porta delle porte TCP (Transition Control Protocol) e UDP (User Datagram Protocol) in un computer remoto. È possibile eseguire PortQry per testare la connettività di rete per qualsiasi Windows o scenario in qualsiasi versione di Windows.

In questo articolo viene descritto come utilizzare portqry per verificare la connettività TCP/IP di base per Active Directory e i componenti correlati ad Active Directory, tra cui:

  • Servizi di dominio Active Directory (ADDS)
  • Active Directory per LDAP (Lightweight Directory Access Protocol)
  • Chiamata di procedura remota (RPC)
  • DNS (Domain Name Service)
  • Altri componenti correlati a ADDS
  • Altri componenti da cui dipende ADDS

La verifica della connettività di rete sulle porte e sui protocolli necessari è particolarmente utile quando i controller di dominio vengono distribuiti su dispositivi intermedi, inclusi i firewall.

Installare PortQry

Scarica Portqry.exe

PortQry .exe è disponibile per il download dall'Area download Microsoft. Per scaricare il .exe PortQry, visitare il seguente sito Web Microsoft:

Scaricare PortQry Command Line Port Scanner versione 2.0

Per ulteriori informazioni su come scaricare i file del Supporto Tecnico Microsoft, vedere la Microsoft Knowledge Base seguente:

119591 come ottenere file di supporto Microsoft dai servizi online

Microsoft ha analizzato questo file alla ricerca di virus. Microsoft ha utilizzato il software di rilevamento dei virus più aggiornato disponibile alla data di pubblicazione del file. Il file viene archiviato in server con protezione avanzata che consentono di impedire modifiche non autorizzate al file.

Una versione grafica dello strumento PortQry, denominata PortQueryUI, contiene funzionalità aggiuntive che possono semplificare l'utilizzo di PortQry. Per scaricare lo strumento PortQueryUI, visitare il seguente sito Web Microsoft:

Scarica PortQryUI - Interfaccia utente per PortQry Command Line Port Scanner

Altre informazioni

PortQry segnala lo stato di una porta in uno dei tre modi seguenti:

  • Ascolto: un processo è in attesa sulla porta di destinazione nel sistema di destinazione. PortQry ha ricevuto una risposta dalla porta.
  • Non in attesa: nessun processo è in ascolto sulla porta di destinazione nel sistema di destinazione. PortQry ha ricevuto un messaggio ICMP (Internet Control Message Protocol)"Destination Unreachable - Port Unreachable" dalla porta UDP di destinazione. In caso contrario, se la porta di destinazione è una porta TCP, Portqry ha ricevuto un pacchetto di riconoscimento TCP con il flag Reset impostato.
  • Filtrato: la porta di destinazione nel sistema di destinazione viene filtrata. PortQry non ha ricevuto una risposta dalla porta di destinazione. Un processo può essere in attesa o meno sulla porta. Per impostazione predefinita, le porte TCP vengono interrogate tre volte e le porte UDP vengono interrogate una sola volta prima di segnalare che la porta di destinazione viene filtrata.

Con PortQry, è anche possibile eseguire query su un servizio LDAP. Invia una query LDAP, utilizzando UDP o TCP, e interpreta la risposta del server LDAP alla query. La risposta dal server LDAP viene analizzata, formattata e restituita all'utente.

Le interfacce RPC offerte da Active Directory possono utilizzare porte server dinamiche (la maggior parte è configurabile). I client utilizzano Rpc Endpoint Mapper per trovare la porta del server dell'interfaccia RPC di uno specifico servizio Active Directory.

Il database del mapping degli endpoint RPC è in ascolto della porta 135. Ciò significa che la porta TCP 135 è una porta necessaria per la maggior parte delle distribuzioni che vanno oltre le query LDAP di base. È inoltre necessario per tutti i client membri di un dominio.

Per ulteriori informazioni su PortQry, vedere:

310099 Descrizione dell'utilità Portqry.exe riga di comando

È possibile trovare un elenco di porte e protocolli utilizzati da Windows, tra cui Active Directory, DFS, DFSR, Servizi certificati e tutti gli altri servizi nell'articolo della Knowledge Base seguente:

832017 panoramica del servizio e requisiti delle porte di rete per Windows

Nota

Active Directory e altri servizi che utilizzano porte effimeri devono disporre della connettività dalla porta 135 a tutti gli elementi elencati nell'articolo Service overview and network port requirements for Windows.

Le porte e i protocolli specifici di AD sono disponibili anche nell'articolo:

179442 come configurare un firewall per domini e trust

PortQry sa come inviare una query al mapper dell'endpoint RPC (utilizzando UDP e TCP) e interpretare la risposta. Questa query visualizza tutti i punti finali registrati con il mapping di endpoint RPC. La risposta dal mapping dell'endpoint viene analizzata, formattata e restituita all'utente.

Se PortQry non è disponibile, è possibile utilizzare LDP.EXE per connettersi al controller di dominio sulla porta 389 con la casella di controllo Senza connessione attivata.

Un'altra alternativa a PortQry è NLTEST, ma non funziona per i server arbitrari. Il server deve essere un controller di dominio nello stesso dominio del computer in cui si esegue lo strumento. In questo caso, è possibile utilizzare Nltest /sc_reset per forzare un canale di sicurezza <domain name> \ <computer name> su un controller di dominio specifico. Per ulteriori informazioni, vedere Connettività di rete.

Utilizzo di portqry

Esempio 1: Utilizzo di Portqry per testare la connettività su una porta e un protocollo specifici utilizzando la porta UDP 389 come esempio

In questo esempio viene illustrato come utilizzare PortQry per determinare se il servizio LDAP risponde. Esaminando la risposta, è possibile determinare quale servizio LDAP è in ascolto sulla porta e alcuni dettagli sulla relativa configurazione. Queste informazioni possono essere utili per la risoluzione di vari problemi.

Per impostazione predefinita, LDAP è configurato per l'ascolto della porta 389. La chiamata di esempio specifica il server su cui eseguire query utilizzando il protocollo UDP:

PortQry -n <fqdn> -p udp -e 389

PortQry risolve automaticamente la porta UDP 389 utilizzando il file %SystemRoot%\System32\Drivers \ ...\Services incluso nei computer Windows Server 2003 e versioni successive. Nell'output di esempio seguente, la porta viene risolta in un servizio LDAP attivo e PortQry segnala che la porta è LISTENING o FILTERED.

PortQry invia quindi una query LDAP formattata a cui riceve una risposta. Restituisce l'intera risposta all'utente e segnala che la porta è LISTENING. Se PortQry non riceve una risposta alla query, segnala che la porta è FILTRATA.

Output di esempio

C: \>portqry -n <fqdn> -e 389 -p udp

Query sul sistema di destinazione denominato:

<fqdn>

Tentativo di risoluzione del nome nell'indirizzo IP in corso...

Nome risolto in 169.254.0.14

Porta UDP 389 (servizio sconosciuto): LISTENING o FILTERED

Invio della query LDAP alla porta UDP 389...

Risposta query LDAP:

currentdate: <DateTime> (GMT non giustificato)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Impostazioni,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
serverName:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

========= Fine della risposta alla query LDAP =========
La porta UDP 389 è LISTENING

Nota

Il test LDAP su UDP potrebbe non funzionare nei controller di dominio che eseguono Windows Server 2008 e versioni successive. Uno dei motivi può essere che IPv6 è stato disabilitato nel controller di dominio. Per abilitare IPv6, impostare il valore predefinito 0 nell'articolo seguente:
929852 guida per la configurazione di IPv6 in Windows per gli utenti avanzati

Esempio 2: identificazione dei servizi registrati con il mapping degli endpoint RPC

In questo esempio viene illustrato come utilizzare PortQry per determinare quali servizi o applicazioni sono registrati nel database del mapping degli endpoint RPC del server di destinazione. L'output include l'UUID (Universally Unique Identifier) di ogni applicazione, il nome annotato (se presente), il protocollo utilizzato dall'applicazione, l'indirizzo di rete a cui è associata l'applicazione e il punto finale dell'applicazione (numero di porta, named pipe tra parentesi quadre). Queste informazioni possono essere utili per la risoluzione di vari problemi.

Per impostazione predefinita, il database del mapping degli endpoint RPC è configurato per l'ascolto della porta 135. La chiamata di esempio specifica il server su cui eseguire query utilizzando il protocollo UDP:

portqry -n <fqdn> -p udp -e 135

Output di esempio

Query sul sistema di destinazione denominato:

<fqdn>

Tentativo di risoluzione del nome nell'indirizzo IP in corso...

Nome risolto in 169.254.0.18

Porta UDP 135 (servizio epmap): LISTENING o FILTERED
Query sul database di Endpoint Mapper in corso...
Risposta del server:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 Interfaccia backup NTDS
ncacn_np: \ \ \ \MYDC[ \ PIPE \ lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 Interfaccia di ripristino NTDS
ncacn_np: \ \ \ \MYDC[ \ PIPE \ lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 Servizio NtFrs
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np: \ \ \ \MYDC[ \ pipe \ 00000580.000]

Totale endpoint trovati: 6

==== Fine della risposta di query rpc Endpoint Mapper ====

La porta UDP 135 è LISTENING

PortQry può inviare una query DNS formattata correttamente (utilizzando UDP o TCP). L'utilità invia una query DNS per " portqry.microsoft.com ." PortQry attende quindi una risposta dal server DNS di destinazione. Se la risposta DNS alla query è negativa o positiva non è rilevante perché qualsiasi risposta indica che la porta è in attesa.