Использование PortQry для устранения неполадок с подключением Active Directory

  • Статья

В этой статье описывается, как запустить PortQry для проверки сетевого подключения для любого компонента Или сценария Windows в любой версии Windows.

Применяется к: Windows Server 2012 R2
Исходный номер базы знаний: 816103

Введение

PortQry — это служебная программа командной строки, которую можно использовать для устранения неполадок подключения TCP/IP, используемого компонентами и функциями Windows. Служебная программа сообщает о состоянии портов TCP и UDP на удаленном компьютере. Вы можете запустить PortQry, чтобы проверить сетевое подключение для любого компонента Или сценария Windows в любой версии Windows.

В этой статье описывается, как использовать portqry для проверки базовых tcp/IP-подключений для Active Directory и связанных компонентов Active Directory, включая:

  • доменные службы Active Directory (ADDS)
  • Active Directory для протокола LDAP
  • Удаленный вызов процедур (RPC)
  • Служба доменных имен (DNS)
  • Другие компоненты, связанные с ADDS
  • Другие компоненты, от которых зависит ADDS

Проверка сетевого подключения через необходимые порты и протоколы особенно полезна, когда контроллеры домена развертываются на промежуточных устройствах, включая брандмауэры.

Установка PortQry

Скачать Portqry.exe

.exe PortQry можно скачать в Центре загрузки Майкрософт. Чтобы скачать .exe PortQry, посетите следующий веб-сайт Майкрософт:

Скачать средство проверки портов из командной строки PortQry версии 2.0

Дополнительные сведения о том, как скачать служба поддержки Майкрософт файлы, см. в разделе Базы знаний Майкрософт:

119591 Получение файлов служба поддержки Майкрософт из веб-служб

Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использовала самое последнее программное обеспечение для обнаружения вирусов, доступное на дату публикации файла. Файл хранится на серверах с повышенной безопасностью, которые помогают предотвратить любые несанкционированные изменения файла.

Графическая версия средства PortQry, называемая PortQueryUI, содержит дополнительные функции, которые упрощают использование PortQry. Чтобы скачать средство PortQueryUI, посетите следующий веб-сайт Майкрософт:

Скачивание PortQryUI — пользовательский интерфейс для сканера портов командной строки PortQry

Дополнительная информация

PortQry сообщает о состоянии порта одним из трех способов:

  • Прослушивание. Процесс прослушивает целевой порт в целевой системе. PortQry получил ответ от порта.
  • Не прослушивается. Процесс не прослушивает целевой порт в целевой системе. PortQry получил сообщение ICMP "Назначение недоступен — порт недоступен" обратно из целевого порта UDP. Или, если целевой порт является TCP-портом, Portqry получил пакет подтверждения TCP с установленным флагом сброса.
  • Отфильтровано: целевой порт в целевой системе фильтруется. PortQry не получил ответ от целевого порта. Процесс может прослушивать порт или не прослушивать его. По умолчанию TCP-порты запрашиваются три раза, а порты UDP — один раз, прежде чем отфильтровать целевой порт.

С помощью PortQry можно также запросить службу LDAP. Он отправляет запрос LDAP с помощью UDP или TCP и интерпретирует ответ сервера LDAP на запрос. Ответ с сервера LDAP анализируется, форматируется и возвращается пользователю.

Интерфейсы RPC, предлагаемые Active Directory, могут использовать динамические порты сервера (большинство из них можно настроить). Клиенты используют сопоставитель конечных точек RPC для поиска порта сервера интерфейса RPC определенной службы Active Directory.

База данных сопоставителя конечной точки RPC прослушивает порт 135. Это означает, что TCP-порт 135 является обязательным портом для большинства развертываний, которые выходят за рамки базовых запросов LDAP. Он также требуется для всех клиентов, входящих в домен.

Дополнительные сведения о PortQry см. в разделе:

310099 описание служебной программы командной строки Portqry.exe

Список портов и протоколов, используемых Windows, включая Active Directory, DFS, DFSR, службы сертификатов и все другие службы, см. в следующей статье база знаний:

Общие сведения о службе 832017 и требования к сетевым портам для Windows

Примечание.

Active Directory и другие службы, использующие временные порты, должны иметь подключение с порта 135 ко всем перечисленным в статье Общие сведения о службах и требования к сетевым портам для Windows.

Порты и протоколы, относящиеся к AD, также можно найти в этой статье:

179442 Настройка брандмауэра для доменов и доверия

PortQry знает, как отправить запрос в сопоставитель конечных точек RPC (с помощью UDP и TCP) и интерпретировать ответ. В этом запросе отображаются все конечные точки, зарегистрированные в средстве сопоставления конечных точек RPC. Ответ от сопоставителя конечных точек анализируется, форматируется и возвращается пользователю.

Если PortQry недоступен, можно использовать LDP.EXE для подключения к контроллеру домена через порт 389 с активированным полем проверка без подключения.

Другой альтернативой PortQry является NLTEST, но он не работает для произвольных серверов. Сервер должен быть контроллером домена в том же домене, что и компьютер, на котором запущено средство. В этом случае можно использовать Nltest /sc_reset <имя компьютера с доменным именем> \ <для принудительного использования канала безопасности на определенном контроллере домена.> Дополнительные сведения см. в разделе Сетевое подключение.

Использование portqry

Пример 1. Использование Portqry для проверки подключения через определенный порт и протокол с использованием порта UDP 389 в качестве примера

В этом примере показано, как с помощью PortQry определить, отвечает ли служба LDAP. Изучив ответ, можно определить, какая служба LDAP прослушивает порт, и некоторые сведения о его конфигурации. Эти сведения могут быть полезны при устранении различных проблем.

По умолчанию протокол LDAP настроен для прослушивания порта 389. В примере вызова указывается сервер для запроса по протоколу UDP:

PortQry -n <fqdn> -p udp -e 389

PortQry автоматически разрешает UDP-порт 389 с помощью файла %SystemRoot%\System32\Drivers\...\Services, включенного в windows Server 2003 и более поздних версий. В приведенном ниже примере выходных данных порт разрешается в активную службу LDAP, и PortQry сообщает, что порт прослушивается или фильтруется.

Затем PortQry отправляет отформатированный запрос LDAP, на который он получает ответ. Он возвращает пользователю полный ответ и сообщает о том, что порт прослушивается. Если PortQry не получил ответ на запрос, он сообщает, что порт фильтруется.

Пример выходных данных

C:\>portqry -n <полное доменное имя> -e 389 -p udp

Запрос целевой системы называется:

<Полное доменное имя>

Попытка разрешения имени в IP-адрес...

Имя разрешено в 169.254.0.14

UDP-порт 389 (неизвестная служба): LISTENING или FILTERED

Отправка запроса LDAP на UDP-порт 389...

Ответ на запрос LDAP:

currentdate: <DateTime> (без корректировок GMT)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Параметры,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
Имя _сервера:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== окончание ======== ответа на запрос LDAP
UDP-порт 389 прослушивается

Примечание.

Тест LDAP по протоколу UDP может не работать с контроллерами домена под управлением Windows Server 2008 и более поздних версий. Одной из причин этого может быть отключение протокола IPv6 на контроллере домена. Чтобы включить IPv6, задайте значение по умолчанию 0, описанное в приведенной ниже статье.
929852 руководство по настройке IPv6 в Windows для опытных пользователей

Пример 2. Определение служб, зарегистрированных в диспетчере сопоставления конечных точек RPC

В этом примере показано, как использовать PortQry для определения служб или приложений, зарегистрированных в базе данных сопоставителя конечной точки RPC целевого сервера. Выходные данные включают универсальный уникальный идентификатор (UUID) каждого приложения, имя с заметками (если оно существует), протокол, используемый приложением, сетевой адрес, к которому привязано приложение, и конечную точку приложения (номер порта, именованный канал в квадратных скобках). Эти сведения могут быть полезны при устранении различных проблем.

По умолчанию база данных сопоставителя конечных точек RPC настроена для прослушивания порта 135. В примере вызова указывается сервер для запроса по протоколу UDP:

portqry -n <fqdn> -p udp -e 135

Пример выходных данных

Запрос целевой системы называется:

<Полное доменное имя>

Попытка разрешения имени в IP-адрес...

Имя разрешено в 169.254.0.18

UDP-порт 135 (служба epmap): LISTENING или FILTERED
Запрос базы данных сопоставителя конечных точек...
Ответ сервера:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS Restore Interface
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\\\MYDC[\pipe\00000580.000]

Всего найдено конечных точек: 6

=== Конец ответа на запрос сопоставителя конечных точек RPC ====

UDP-порт 135 прослушивается

PortQry может отправлять правильно отформатированный DNS-запрос (с помощью UDP или TCP). Служебная программа отправляет DNS-запрос для "portqry.microsoft.com. Затем PortQry ожидает ответа от целевого DNS-сервера. Не имеет значения, является ли ответ DNS на запрос отрицательным или положительным, так как любой ответ указывает на то, что порт прослушивает.