PortQry gebruiken om verbindingsproblemen met Active Directory op te lossen

  • Artikel

In dit artikel wordt beschreven hoe u PortQry uitvoert om de netwerkverbinding te testen voor elk Windows-onderdeel of -scenario op elke versie van Windows.

Van toepassing op: Windows Server 2012 R2
Origineel KB-nummer: 816103

Inleiding

PortQry is een opdrachtregelprogramma dat u kunt gebruiken voor het oplossen van problemen met TCP/IP-connectiviteit die wordt gebruikt door Windows-onderdelen en -functies. Het hulpprogramma rapporteert de poortstatus van TCP-poorten (Transition Control Protocol) en UDP-poorten (User Datagram Protocol) op een externe computer. U kunt PortQry uitvoeren om de netwerkverbinding te testen voor elk Windows-onderdeel of -scenario op elke versie van Windows.

In dit artikel wordt beschreven hoe u portqry gebruikt om eenvoudige TCP/IP-connectiviteit te controleren voor active directory- en Active Directory-gerelateerde onderdelen, waaronder:

  • Active Directory Domain Services (ADDS)
  • Active Directory voor Lightweight Directory Access Protocol (LDAP)
  • Externe procedureaanroep (RPC)
  • Domain Name Service (DNS)
  • Andere adds-gerelateerde onderdelen
  • Andere onderdelen waarvan ADDS afhankelijk is

Het controleren van de netwerkverbinding via de vereiste poorten en protocollen is met name handig wanneer domeincontrollers worden geïmplementeerd op tussenliggende apparaten, inclusief firewalls.

PortQry installeren

Portqry.exe downloaden

PortQry .exe is beschikbaar om te downloaden in het Microsoft Downloadcentrum. Als u de PortQry-.exe wilt downloaden, gaat u naar de volgende Microsoft-website:

PortQry-opdrachtregelpoortscanner versie 2.0 downloaden

Zie De Microsoft Knowledge Base volgen voor meer informatie over het downloaden van Microsoft Ondersteuning-bestanden:

119591 Microsoft Ondersteuning-bestanden verkrijgen via onlineservices

Microsoft heeft dit bestand gescand op virussen. Microsoft heeft de meest recente virusdetectiesoftware gebruikt die beschikbaar was op de datum waarop het bestand werd gepost. Het bestand wordt opgeslagen op servers met verbeterde beveiliging die helpen bij het voorkomen van onbevoegde wijzigingen in het bestand.

Een grafische versie van het hulpprogramma PortQry, genaamd PortQueryUI, bevat aanvullende functies die het gebruik van PortQry eenvoudiger kunnen maken. Als u het hulpprogramma PortQueryUI wilt downloaden, gaat u naar de volgende Microsoft-website:

PortQryUI - Gebruikersinterface voor de PortQry-opdrachtregelpoortscanner downloaden

Meer informatie

PortQry rapporteert de status van een poort op een van de volgende drie manieren:

  • Luisteren: een proces luistert op de doelpoort op het doelsysteem. PortQry heeft een antwoord van de poort ontvangen.
  • Niet luisteren: er wordt geen proces geluisterd op de doelpoort op het doelsysteem. PortQry heeft het bericht 'Destination Unreachable - Port Unreachable' van de doel-UDP-poort ontvangen. Of als de doelpoort een TCP-poort is, heeft Portqry een TCP-bevestigingspakket ontvangen met de vlag Opnieuw instellen ingesteld.
  • Gefilterd: de doelpoort op het doelsysteem wordt gefilterd. PortQry heeft geen antwoord ontvangen van de doelpoort. Een proces luistert mogelijk al dan niet op de poort. Tcp-poorten worden standaard drie keer opgevraagd en UDP-poorten worden één keer opgevraagd voordat de doelpoort wordt gefilterd.

Met PortQry kunt u ook een query uitvoeren op een LDAP-service. Hiermee wordt een LDAP-query verzonden, met behulp van UDP of TCP, en wordt het antwoord van de LDAP-server op de query geïnterpreteerd. Het antwoord van de LDAP-server wordt geparseerd, opgemaakt en geretourneerd aan de gebruiker.

RPC-interfaces die door Active Directory worden aangeboden, kunnen gebruikmaken van dynamische serverpoorten (de meeste kunnen worden geconfigureerd.) Clients gebruiken de RPC Endpoint Mapper om de serverpoort van de RPC-interface van een specifieke Active Directory-service te vinden.

De RPC-eindpunttoewijzingsdatabase luistert naar poort 135. Dit betekent dat TCP-poort 135 een vereiste poort is voor de meeste implementaties die verder gaan dan eenvoudige LDAP-query's. Dit is ook vereist voor alle clients die lid zijn van een domein.

Zie voor meer informatie over PortQry:

310099 Beschrijving van het opdrachtregelprogramma Portqry.exe

In het volgende Knowledge Base artikel vindt u een lijst met poorten en protocollen die door Windows worden gebruikt, waaronder Active Directory, DFS, DFSR, Certificate Services en alle andere services:

Overzicht van 832017 Service en netwerkpoortvereisten voor Windows

Opmerking

Active Directory en andere services die gebruikmaken van tijdelijke poorten moeten verbinding hebben tussen poort 135 en alle services die worden vermeld in het artikel Serviceoverzicht en netwerkpoortvereisten voor Windows.

Poorten en protocollen die specifiek zijn voor AD vindt u ook in het artikel:

179442 Een firewall configureren voor domeinen en vertrouwensrelaties

PortQry weet hoe een query moet worden verzonden naar de RPC-eindpunttoewijzingper (met behulp van UDP en TCP) en hoe het antwoord wordt geïnterpreteerd. Met deze query worden alle eindpunten weergegeven die zijn geregistreerd bij de RPC-eindpunttoewijzing. Het antwoord van de eindpunttoewijzing wordt geparseerd, opgemaakt en geretourneerd aan de gebruiker.

Als PortQry niet beschikbaar is, kunt u LDP.EXE gebruiken om verbinding te maken met de domeincontroller op poort 389 met het selectievakje Verbindingsloos ingeschakeld.

Een ander alternatief voor PortQry is NLTEST, maar het werkt niet voor willekeurige servers. De server moet een domeincontroller zijn in hetzelfde domein als de computer waarop u het hulpprogramma uitvoert. Als dit het geval is, kunt u Nltest /sc_reset <domeinnaam> \ <computernaam> gebruiken om een beveiligingskanaal op een specifieke domeincontroller af te dwingen. Zie Netwerkconnectiviteit voor meer informatie.

Portqry gebruiken

Voorbeeld 1: Portqry gebruiken om de connectiviteit via een specifieke poort en protocol te testen met behulp van UDP-poort 389 als voorbeeld

In dit voorbeeld ziet u hoe u PortQry gebruikt om te bepalen of de LDAP-service reageert. Door het antwoord te bekijken, kunt u bepalen welke LDAP-service luistert op de poort en enkele details over de configuratie ervan. Deze informatie kan handig zijn bij het oplossen van verschillende problemen.

LDAP is standaard geconfigureerd om te luisteren naar poort 389. De voorbeeldoproep geeft aan welke server moet worden opgevraagd met behulp van het UDP-protocol:

PortQry -n <fqdn> -p udp -e 389

PortQry lost UDP-poort 389 automatisch op met behulp van het bestand %SystemRoot%\System32\Drivers\...\Services dat is opgenomen in computers met Windows Server 2003 en hoger. In de onderstaande voorbeelduitvoer wordt de poort omgezet in een LDAP-service die actief is en PortQry meldt dat de poort LUISTERT of GEFILTERD is.

PortQry verzendt vervolgens een opgemaakte LDAP-query waarop een antwoord wordt ontvangen. Het retourneert het volledige antwoord naar de gebruiker en meldt dat de poort LUISTERT. Als PortQry geen antwoord op de query heeft ontvangen, wordt gemeld dat de poort IS GEFILTERD.

Voorbeelduitvoer

C:\>portqry -n <fqdn> -e 389 -p udp

Query's uitvoeren op het doelsysteem met de naam:

<Fqdn>

Naam omzetten in IP-adres...

Naam omgezet in 169.254.0.14

UDP-poort 389 (onbekende service): LUISTEREN of GEFILTERD

LDAP-query verzenden naar UDP-poort 389...

LDAP-queryantwoord:

currentdate: <DateTime> (niet-aangepaste GMT)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Instellingen,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuratie,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuratie,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
Servernaam:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== einde van ldap-queryantwoord ========
UDP-poort 389 luistert

Opmerking

De LDAP-test via UDP werkt mogelijk niet op domeincontrollers met Windows Server 2008 en hoger. Een reden hiervoor kan zijn dat u IPv6 hebt uitgeschakeld op de domeincontroller. Als u IPv6 wilt inschakelen, stelt u de waarde die in het onderstaande artikel wordt besproken in op de standaardwaarde 0:
929852 Richtlijnen voor het configureren van IPv6 in Windows voor geavanceerde gebruikers

Voorbeeld 2: Services identificeren die zijn geregistreerd bij RPC-eindpunttoewijzing

In dit voorbeeld ziet u hoe u PortQry gebruikt om te bepalen welke services of toepassingen zijn geregistreerd bij de RPC-eindpunttoewijzingsdatabase van de doelserver. De uitvoer bevat de UUID (Universally Unique Identifier) van elke toepassing, de naam met aantekeningen (indien aanwezig), het protocol dat de toepassing gebruikt, het netwerkadres waaraan de toepassing is gebonden en het eindpunt van de toepassing (poortnummer, benoemde pijp tussen vierkante haken). Deze informatie kan handig zijn bij het oplossen van verschillende problemen.

Standaard is de RPC-eindpunttoewijzingsdatabase geconfigureerd om te luisteren naar poort 135. De voorbeeldoproep geeft aan welke server moet worden opgevraagd met behulp van het UDP-protocol:

portqry -n <fqdn> -p udp -e 135

Voorbeelduitvoer

Query's uitvoeren op het doelsysteem met de naam:

<Fqdn>

Naam omzetten in IP-adres...

Naam omgezet in 169.254.0.18

UDP-poort 135 (epmap-service): LUISTEREN of GEFILTERD
Query's uitvoeren op eindpunttoewijzingsdatabase...
Antwoord van de server:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS Restore Interface
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\\MYDC[\pipe\00000580.000]

Totaal aantal gevonden eindpunten: 6

==== Einde van RPC Endpoint Mapper-queryantwoord ====

UDP-poort 135 luistert

PortQry kan een correct opgemaakte DNS-query verzenden (met behulp van UDP of TCP). Het hulpprogramma verzendt een DNS-query voor 'portqry.microsoft.com'. PortQry wacht vervolgens op een antwoord van de doel-DNS-server. Of het DNS-antwoord op de query negatief of positief is, is niet relevant omdat een antwoord aangeeft dat de poort luistert.