PortQry를 사용하여 Active Directory 연결 문제를 해결하는 방법

이 문서에서는 PortQry를 실행하여 모든 버전의 Windows에서 Windows 구성 요소 또는 시나리오에 대한 네트워크 연결을 테스트하는 방법을 설명합니다.

원래 KB 번호: 816103

소개

PortQry는 Windows 구성 요소 및 기능에 사용되는 TCP/IP 연결 문제를 해결하는 데 사용할 수 있는 명령줄 유틸리티입니다. 유틸리티는 원격 컴퓨터에서 TCP(전환 제어 프로토콜) 및 UDP(사용자 데이터그램 프로토콜) 포트의 포트 상태를 보고합니다. PortQry를 실행하여 모든 버전의 Windows에서 Windows 구성 요소 또는 시나리오에 대한 네트워크 연결을 테스트할 수 있습니다.

이 문서에서는 portqry를 사용하여 다음과 같은 Active Directory 및 Active Directory 관련 구성 요소에 대한 기본 TCP/IP 연결을 확인하는 방법을 설명합니다.

• ACTIVE Directory Domain Services(ADDS)
• LDAP(Lightweight Directory Access Protocol)용 Active Directory
• RPC(원격 프로시저 호출)
• DNS(Domain Name Service)
• 기타 ADDS 관련 구성 요소
• ADDS가 종속된 기타 구성 요소

필요한 포트 및 프로토콜을 통한 네트워크 연결을 확인하는 것은 도메인 컨트롤러가 방화벽을 포함한 중간 디바이스에 배포될 때 특히 유용합니다.

PortQry 설치

다운로드 Portqry.exe

PortQry .exe Microsoft 다운로드 센터에서 다운로드할 수 있습니다. PortQry .exe 다운로드하려면 다음 Microsoft 웹 사이트를 방문하세요.

PortQry 명령줄 포트 스캐너 버전 2.0 다운로드

Microsoft 지원 파일을 다운로드하는 방법에 대한 자세한 내용은 다음 Microsoft 기술 자료를 참조하세요.

온라인 서비스에서 Microsoft 지원 파일을 가져오는 방법 119591

Microsoft는 이 파일에서 바이러스를 검사했습니다. Microsoft는 파일이 게시된 날짜에 사용할 수 있는 최신 바이러스 감지 소프트웨어를 사용했습니다. 파일은 파일에 대한 무단 변경을 방지하는 데 도움이 되는 보안 강화 서버에 저장됩니다.

PortQueryUI라는 PortQry 도구의 그래픽 버전에는 PortQry를 더 쉽게 사용할 수 있는 추가 기능이 포함되어 있습니다. PortQueryUI 도구를 다운로드하려면 다음 Microsoft 웹 사이트를 방문하세요.

PortQry 명령줄 포트 스캐너용 PortQryUI - 사용자 인터페이스 다운로드

추가 정보

PortQry는 다음 세 가지 방법 중 하나로 포트의 상태를 보고합니다.

• 수신 대기: 프로세스가 대상 시스템의 대상 포트에서 수신 대기하고 있습니다. PortQry는 포트에서 응답을 받았습니다.
• 수신 대기 안 함: 대상 시스템의 대상 포트에서 수신 대기하는 프로세스가 없습니다. PortQry는 대상 UDP 포트에서 ICMP(Internet Control Message Protocol)"Destination Unreachable - Port Unreachable" 메시지를 다시 받았습니다. 또는 대상 포트가 TCP 포트인 경우 Portqry는 재설정 플래그가 설정된 TCP 승인 패킷을 받았습니다.
• 필터링됨: 대상 시스템의 대상 포트가 필터링되고 있습니다. PortQry는 대상 포트에서 응답을 받지 못했습니다. 프로세스가 포트에서 수신 대기 중이거나 수신 대기하지 않을 수 있습니다. 기본적으로 TCP 포트는 세 번 쿼리되고 UDP 포트는 대상 포트를 필터링하기 전에 한 번 쿼리됩니다.

PortQry를 사용하면 LDAP 서비스를 쿼리할 수도 있습니다. UDP 또는 TCP를 사용하여 LDAP 쿼리를 보내고 LDAP 서버의 응답을 쿼리에 해석합니다. LDAP 서버의 응답은 구문 분석, 서식 지정 및 사용자에게 반환됩니다.

Active Directory에서 제공하는 RPC 인터페이스는 동적 서버 포트를 사용할 수 있습니다(대부분은 구성할 수 있습니다.) 클라이언트는 RPC 엔드포인트 매퍼를 사용하여 특정 Active Directory 서비스의 RPC 인터페이스 서버 포트를 찾습니다.

RPC 엔드포인트 매퍼 데이터베이스는 포트 135를 수신 대기합니다. 즉, TCP 포트 135는 기본 LDAP 쿼리를 넘어서는 대부분의 배포에 필요한 포트입니다. 도메인의 구성원인 모든 클라이언트에도 필요합니다.

PortQry에 대한 자세한 내용은 다음을 참조하세요.

310099 Portqry.exe 명령줄 유틸리티에 대한 설명

다음 기술 자료 문서에서 Active Directory, DFS, DFSR, Certificate Services 및 기타 모든 서비스를 포함하여 Windows에서 사용하는 포트 및 프로토콜 목록을 찾을 수 있습니다.

windows용 832017 서비스 개요 및 네트워크 포트 요구 사항

참고

임시 포트를 사용하는 Active Directory 및 기타 서비스는 포트 135에서 Windows용 서비스 개요 및 네트워크 포트 요구 사항에 나열된 모든 항목으로 연결되어 있어야 합니다.

AD와 관련된 포트 및 프로토콜은 다음 문서에서도 찾을 수 있습니다.

179442 도메인 및 트러스트에 대한 방화벽을 구성하는 방법

PortQry는 RPC 엔드포인트 매퍼(UDP 및 TCP 사용)에 쿼리를 보내고 응답을 해석하는 방법을 알고 있습니다. 이 쿼리는 RPC 엔드포인트 매퍼에 등록된 모든 엔드포인트를 표시합니다. 끝점 매퍼의 응답은 구문 분석, 서식 지정 및 사용자에게 반환됩니다.

PortQry를 사용할 수 없는 경우 LDP.EXE 사용하여 연결 없는 확인란이 활성화된 포트 389의 도메인 컨트롤러에 연결할 수 있습니다.

PortQry의 또 다른 대안은 NLTEST이지만 임의 서버에는 작동하지 않습니다. 서버는 도구를 실행하는 컴퓨터와 동일한 도메인의 도메인 컨트롤러여야 합니다. 이 경우 Nltest /sc_reset <도메인 이름 컴퓨터 이름을> \ <> 사용하여 보안 채널을 특정 도메인 컨트롤러에 강제로 적용할 수 있습니다. 자세한 내용은 네트워크 연결을 참조하세요.

portqry 사용

예제 1: 예를 들어 UDP 포트 389를 사용하여 특정 포트 및 프로토콜에 대한 연결을 테스트하는 Portqry 사용

이 예제에서는 PortQry를 사용하여 LDAP 서비스가 응답하는지 확인하는 방법을 보여 줍니다. 응답을 검사하여 포트에서 수신 대기 중인 LDAP 서비스 및 해당 구성에 대한 몇 가지 세부 정보를 확인할 수 있습니다. 이 정보는 다양한 문제를 해결하는 데 유용할 수 있습니다.

기본적으로 LDAP는 포트 389를 수신 대기하도록 구성됩니다. 예제 호출은 UDP 프로토콜을 사용하여 쿼리할 서버를 지정합니다.

PortQry -n <fqdn> -p udp -e 389

PortQry는 Windows Server 2003 이상 컴퓨터에 포함된 %SystemRoot%\System32\Drivers\...\Services 파일을 사용하여 UDP 포트 389를 자동으로 확인합니다. 아래 출력 예제에서 포트는 활성 상태인 LDAP 서비스로 확인되고 PortQry는 포트가 LISTENING 또는 FILTERED임을 보고합니다.

그런 다음 PortQry는 응답을 받는 형식이 지정된 LDAP 쿼리를 보냅니다. 사용자에게 전체 응답을 반환하고 포트가 LISTENING임을 보고합니다. PortQry가 쿼리에 대한 응답을 받지 못하면 포트가 필터링되었음을 보고합니다.

예제 출력

C:\>portqry -n <fqdn> -e 389 -p udp

다음이라는 대상 시스템을 쿼리합니다.

<Fqdn>

이름을 IP 주소로 확인하려고 시도하는 중...

이름이 169.254.0.14로 확인됨

UDP 포트 389(알 수 없는 서비스): 수신 대기 또는 필터링됨

UDP 포트 389로 LDAP 쿼리 보내기...

LDAP 쿼리 응답:

currentdate: <DateTime> (조정되지 않은 GMT)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
설정,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
Servername:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== LDAP 쿼리 응답 종료 ========
UDP 포트 389가 LISTENING입니다.

참고

UDP에 대한 LDAP 테스트는 Windows Server 2008 이상을 실행하는 도메인 컨트롤러에 대해 작동하지 않을 수 있습니다. 한 가지 이유는 도메인 컨트롤러에서 IPv6을 사용하지 않도록 설정했기 때문입니다. IPv6을 사용하도록 설정하려면 아래 문서에서 설명하는 값을 기본값 인 0으로 설정합니다.
고급 사용자를 위해 Windows에서 IPv6을 구성하기 위한 929852 지침

예제 2: RPC 엔드포인트 매퍼에 등록된 서비스 식별

이 예제에서는 PortQry를 사용하여 대상 서버의 RPC 엔드포인트 매퍼 데이터베이스에 등록된 서비스 또는 애플리케이션을 확인하는 방법을 보여 줍니다. 출력에는 각 애플리케이션의 UUID(유니버설 고유 식별자), 주석이 추가된 이름(있는 경우), 애플리케이션이 사용하는 프로토콜, 애플리케이션이 바인딩된 네트워크 주소 및 애플리케이션의 끝점(포트 번호, 대괄호로 명명된 파이프)이 포함됩니다. 이 정보는 다양한 문제를 해결하는 데 유용할 수 있습니다.

기본적으로 RPC 엔드포인트 매퍼 데이터베이스는 포트 135를 수신 대기하도록 구성됩니다. 예제 호출은 UDP 프로토콜을 사용하여 쿼리할 서버를 지정합니다.

portqry -n <fqdn> -p udp -e 135

예제 출력

다음이라는 대상 시스템을 쿼리합니다.

<Fqdn>

이름을 IP 주소로 확인하려고 시도하는 중...

이름이 169.254.0.18로 확인됨

UDP 포트 135(epmap 서비스): LISTENING 또는 FILTERED
엔드포인트 매퍼 데이터베이스 쿼리 중...
서버의 응답:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS 백업 인터페이스
ncacn_np:\\\MYDC[\PIPE\lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS 복원 인터페이스
ncacn_np:\\\MYDC[\PIPE\lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS 인터페이스
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\MYDC[\pipe\00000580.000]

총 엔드포인트 발견: 6

==== RPC 엔드포인트 매퍼 쿼리 응답의 끝 ====

UDP 포트 135가 수신 대기 중

PortQry는 UDP 또는 TCP를 사용하여 올바르게 형식이 지정된 DNS 쿼리를 보낼 수 있습니다. 유틸리티는 "portqry.microsoft.com"에 대한 DNS 쿼리를 보냅니다. 그런 다음, PortQry는 대상 DNS 서버의 응답을 기다립니다. 쿼리에 대한 DNS 응답이 음수인지 양수인지 여부는 응답이 포트가 수신 대기 중임을 나타내기 때문에 관련이 없습니다.