Come usare PortQry per risolvere i problemi di connettività di Active Directory

Questo articolo descrive come eseguire PortQry per testare la connettività di rete per qualsiasi componente o scenario windows in qualsiasi versione di Windows.

Si applica a: Windows Server 2012 R2
Numero KB originale: 816103

Introduzione

PortQry è un'utilità da riga di comando che è possibile usare per risolvere i problemi di connettività TCP/IP usati dai componenti e dalle funzionalità di Windows. L'utilità segnala lo stato della porta delle porte TCP (Transition Control Protocol) e UDP (User Datagram Protocol) in un computer remoto. È possibile eseguire PortQry per testare la connettività di rete per qualsiasi componente o scenario windows in qualsiasi versione di Windows.

Questo articolo descrive come usare portqry per verificare la connettività TCP/IP di base per Active Directory e i componenti correlati ad Active Directory, tra cui:

• Active Directory Domain Services (ADDS)
• Active Directory per LDAP (Lightweight Directory Access Protocol)
• Chiamata di procedura remota (RPC)
• Domain Name Service (DNS)
• Altri componenti correlati a ADDS
• Altri componenti da cui è dipendente ADDS

La verifica della connettività di rete tramite le porte e i protocolli necessari è particolarmente utile quando i controller di dominio vengono distribuiti tra dispositivi intermedi, inclusi i firewall.

Installare PortQry

Scaricare Portqry.exe

PortQry .exe è disponibile per il download dall'Area download Microsoft. Per scaricare il .exe PortQry, visitare il seguente sito Web Microsoft:

Scaricare PortQry Command Line Port Scanner versione 2.0

Per altre informazioni su come scaricare supporto tecnico Microsoft file, vedere la Microsoft Knowledge Base seguente:

119591 Come ottenere file di supporto tecnico Microsoft da Servizi online

Microsoft ha analizzato questo file alla ricerca di virus. Microsoft ha usato il software di rilevamento dei virus più recente disponibile alla data di pubblicazione del file. Il file viene archiviato in server con sicurezza avanzata che consentono di evitare modifiche non autorizzate al file.

Una versione grafica dello strumento PortQry, denominata PortQueryUI, contiene funzionalità aggiuntive che possono semplificare l'uso di PortQry. Per scaricare lo strumento PortQueryUI, visitare il seguente sito Web Microsoft:

Scaricare PortQryUI - Interfaccia utente per lo scanner della porta della riga di comando di PortQry

Ulteriori informazioni

PortQry segnala lo stato di una porta in uno dei tre modi seguenti:

• Ascolto: un processo è in ascolto sulla porta di destinazione nel sistema di destinazione. PortQry ha ricevuto una risposta dalla porta.
• Non in ascolto: nessun processo è in ascolto sulla porta di destinazione nel sistema di destinazione. PortQry ha ricevuto un messaggio ICMP (Internet Control Message Protocol)"Destination Unreachable - Port Unreachable" dalla porta UDP di destinazione. In alternativa, se la porta di destinazione è una porta TCP, Portqry ha ricevuto un pacchetto di riconoscimento TCP con il flag Reset impostato.
• Filtrata: la porta di destinazione nel sistema di destinazione viene filtrata. PortQry non ha ricevuto una risposta dalla porta di destinazione. Un processo può essere in ascolto o meno sulla porta. Per impostazione predefinita, le porte TCP vengono sottoposte a query tre volte e le porte UDP vengono sottoposte a query una volta prima di segnalare che la porta di destinazione viene filtrata.

Con PortQry è anche possibile eseguire query su un servizio LDAP. Invia una query LDAP, usando UDP o TCP, e interpreta la risposta del server LDAP alla query. La risposta del server LDAP viene analizzata, formattata e restituita all'utente.

Le interfacce RPC offerte da Active Directory possono usare porte server dinamiche (la maggior parte sono configurabili). I client usano il mapper endpoint RPC per trovare la porta del server dell'interfaccia RPC di un servizio Active Directory specifico.

Il database del mapper dell'endpoint RPC è in ascolto della porta 135. Ciò significa che la porta TCP 135 è una porta necessaria per la maggior parte delle distribuzioni che vanno oltre le query LDAP di base. È necessario anche per tutti i client membri di un dominio.

Per altre informazioni su PortQry, vedere:

310099 Descrizione dell'utilità da riga di comando Portqry.exe

È possibile trovare un elenco di porte e protocolli usati da Windows, tra cui Active Directory, DFS, DFSR, Servizi certificati e tutti gli altri servizi, nell'articolo knowledge base seguente:

panoramica del servizio 832017 e requisiti delle porte di rete per Windows

Nota

Active Directory e altri servizi che usano porte temporanee devono avere connettività dalla porta 135 a tutti gli elementi elencati nell'articolo Panoramica del servizio e requisiti delle porte di rete per Windows.

Le porte e i protocolli specifici di ACTIVE Directory sono disponibili anche nell'articolo:

179442 Come configurare un firewall per domini e trust

PortQry sa come inviare una query al mapper dell'endpoint RPC (usando UDP e TCP) e interpretare la risposta. Questa query visualizza tutti i punti finali registrati con il mapper dell'endpoint RPC. La risposta del mapper del punto finale viene analizzata, formattata e restituita all'utente.

Se PortQry non è disponibile, è possibile usare LDP.EXE per connettersi al controller di dominio sulla porta 389 con la casella di controllo Senza connessione attivata.

Un'altra alternativa a PortQry è NLTEST, ma non funziona per i server arbitrari. Il server deve essere un controller di dominio nello stesso dominio del computer in cui si esegue lo strumento. In questo caso, è possibile usare Nltest /sc_reset <nome> \ <di dominio nome> computer per forzare un canale di sicurezza su un controller di dominio specifico. Per altre informazioni, vedere Connettività di rete.

Uso di portqry

Esempio 1: Uso di Portqry per testare la connettività su una porta e un protocollo specifici usando la porta UDP 389 come esempio

In questo esempio viene illustrato come usare PortQry per determinare se il servizio LDAP risponde. Esaminando la risposta, è possibile determinare quale servizio LDAP è in ascolto sulla porta e alcuni dettagli sulla relativa configurazione. Queste informazioni possono essere utili per la risoluzione di vari problemi.

Per impostazione predefinita, LDAP è configurato per l'ascolto della porta 389. La chiamata di esempio specifica il server su cui eseguire una query usando il protocollo UDP:

PortQry -n <fqdn> -p udp -e 389

PortQry risolve automaticamente la porta UDP 389 usando il file %SystemRoot%\System32\Drivers\...\Services incluso nei computer Windows Server 2003 e versioni successive. Nell'output di esempio seguente la porta viene risolta in un servizio LDAP attivo e PortQry segnala che la porta è LISTENING o FILTERED.

PortQry invia quindi una query LDAP formattata a cui riceve una risposta. Restituisce l'intera risposta all'utente e segnala che la porta è IN ASCOLTO. Se PortQry non riceve una risposta alla query, segnala che la porta è FILTERED.

Output di esempio

C:\>portqry -n <fqdn> -e 389 -p udp

Esecuzione di query sul sistema di destinazione denominato:

<Fqdn>

Tentativo di risolvere il nome in indirizzo IP...

Nome risolto in 169.254.0.14

Porta UDP 389 (servizio sconosciuto): LISTENING o FILTERED

Invio di query LDAP alla porta UDP 389...

Risposta alla query LDAP:

currentdate: <DateTime> (GMT non corretto)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Settings,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
Nomeserver:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== fine del ======== di risposta alla query LDAP
La porta UDP 389 è IN ASCOLTO

Nota

Il test LDAP su UDP potrebbe non funzionare sui controller di dominio che eseguono Windows Server 2008 e versioni successive. Uno dei motivi può essere che IPv6 è stato disabilitato nel controller di dominio. Per abilitare IPv6, impostare il valore descritto nell'articolo seguente sul valore predefinito 0:
929852 Linee guida per la configurazione di IPv6 in Windows per utenti avanzati

Esempio 2: Identificazione dei servizi registrati con il mapper degli endpoint RPC

Questo esempio illustra come usare PortQry per determinare quali servizi o applicazioni sono registrati con il database di mapper dell'endpoint RPC del server di destinazione. L'output include l'identificatore univoco universale (UUID) di ogni applicazione, il nome con annotazioni (se presente), il protocollo usato dall'applicazione, l'indirizzo di rete a cui è associata l'applicazione e il punto finale dell'applicazione (numero di porta, named pipe tra parentesi quadre). Queste informazioni possono essere utili per la risoluzione di vari problemi.

Per impostazione predefinita, il database del mapper dell'endpoint RPC è configurato per l'ascolto sulla porta 135. La chiamata di esempio specifica il server su cui eseguire una query usando il protocollo UDP:

portqry -n <fqdn> -p udp -e 135

Output di esempio

Esecuzione di query sul sistema di destinazione denominato:

<Fqdn>

Tentativo di risolvere il nome in indirizzo IP...

Nome risolto in 169.254.0.18

Porta UDP 135 (servizio epmap): LISTENING o FILTERED
Esecuzione di query sul database del mapper degli endpoint...
Risposta del server:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 Interfaccia di backup NTDS
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 Interfaccia di ripristino NTDS
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\\MYDC[\pipe\00000580.000]

Endpoint totali trovati: 6

== Fine della risposta alla query del mapper degli endpoint RPC ==

La porta UDP 135 è IN ASCOLTO

PortQry può inviare una query DNS formattata correttamente (usando UDP o TCP). L'utilità invia una query DNS per "portqry.microsoft.com". PortQry attende quindi una risposta dal server DNS di destinazione. Se la risposta DNS alla query è negativa o positiva è irrilevante perché qualsiasi risposta indica che la porta è in ascolto.