Så här använder du PortQry för att felsöka problem med Active Directory-anslutningar

Den här artikeln beskriver hur du kör PortQry för att testa nätverksanslutningen för alla Windows-komponenter eller -scenarion i valfri version av Windows.

Gäller för: Windows Server 2012 R2
Ursprungligt KB-nummer: 816103

Inledning

PortQry är ett kommandoradsverktyg som du kan använda för att felsöka TCP/IP-anslutningar som används av Windows-komponenter och -funktioner. Verktyget rapporterar portstatusen för TCP-portar (Transition Control Protocol) och UDP-portar (User Datagram Protocol) på en fjärrdator. Du kan köra PortQry för att testa nätverksanslutningen för alla Windows-komponenter eller -scenarion på valfri version av Windows.

Den här artikeln beskriver hur du använder portqry för att verifiera grundläggande TCP/IP-anslutning för Active Directory- och Active Directory-relaterade komponenter, inklusive:

• Active Directory Domain Services (LÄGGER TILL)
• Active Directory för Lightweight Directory Access Protocol (LDAP)
• Remote Procedure Call (RPC)
• Dns (Domain Name Service)
• Andra ADDS-relaterade komponenter
• Andra komponenter som ADDS är beroende av

Att verifiera nätverksanslutningen via de portar och protokoll som krävs är särskilt användbart när domänkontrollanter distribueras på mellanliggande enheter, inklusive brandväggar.

Installera PortQry

Ladda ned Portqry.exe

PortQry .exe kan laddas ned från Microsoft Download Center. Om du vill ladda ned PortQry-.exe går du till följande Microsoft-webbplats:

Ladda ned PortQry-kommandoradsportläsare version 2.0

Mer information om hur du laddar ned Microsoft Support filer finns i följande Microsoft Knowledge Base:

119591 Hämta Microsoft Support-filer från onlinetjänster

Microsoft genomsökt den här filen efter virus. Microsoft använde den senaste virusidentifieringsprogramvaran som var tillgänglig samma dag som filen publicerades. Filen lagras på säkerhetsförbättrade servrar som hjälper till att förhindra obehöriga ändringar i filen.

En grafisk version av PortQry-verktyget, som kallas PortQueryUI, innehåller ytterligare funktioner som kan göra det enklare att använda PortQry. Om du vill ladda ned PortQueryUI-verktyget går du till följande Microsoft-webbplats:

Ladda ned PortQryUI – Användargränssnitt för PortQry-kommandoradsportläsaren

Mer information

PortQry rapporterar status för en port på något av tre sätt:

• Lyssnar: En process lyssnar på målporten i målsystemet. PortQry tog emot ett svar från porten.
• Lyssnar inte: Ingen process lyssnar på målporten i målsystemet. PortQry tog emot ett ICMP-meddelande (Internet Control Message Protocol)"Destination Unreachable - Port Unreachable" tillbaka från udp-målporten. Eller, om målporten är en TCP-port, tog Portqry emot ett TCP-bekräftelsepaket med flaggan Återställ inställd.
• Filtrerad: Målporten i målsystemet filtreras. PortQry fick inget svar från målporten. En process kanske eller kanske inte lyssnar på porten. Som standard efterfrågas TCP-portar tre gånger och UDP-portar efterfrågas en gång innan målporten rapporteras filtreras.

Med PortQry kan du också fråga en LDAP-tjänst. Den skickar en LDAP-fråga med UDP eller TCP och tolkar LDAP-serverns svar på frågan. Svaret från LDAP-servern parsas, formateras och returneras till användaren.

RPC-gränssnitt som erbjuds av Active Directory kan använda dynamiska serverportar (de flesta är konfigurerbara.) Klienter använder RPC-slutpunktsmapparen för att hitta serverporten för RPC-gränssnittet för en specifik Active Directory-tjänst.

RPC-slutpunktsmappningsdatabasen lyssnar på port 135. Det innebär att TCP-port 135 är en nödvändig port för de flesta distributioner som går utöver grundläggande LDAP-frågor. Det krävs också för alla klienter som är medlemmar i en domän.

Mer information om PortQry finns i:

310099 Beskrivning av kommandoradsverktyget för Portqry.exe

Du hittar en lista över portar och protokoll som Windows använder, inklusive Active Directory, DFS, DFSR, Certificate Services och alla andra tjänster i följande kunskapsbas artikel:

översikt över 832017 Service och krav på nätverksportar för Windows

Obs!

Active Directory och andra tjänster som använder tillfälliga portar måste ha anslutning från port 135 till alla som anges i artikeln Tjänstöversikt och nätverksportkrav för Windows.

Portar och protokoll som är specifika för AD finns också i artikeln:

179442 Konfigurera en brandvägg för domäner och förtroenden

PortQry vet hur du skickar en fråga till RPC-slutpunktsmapparen (med UDP och TCP) och tolkar svaret. Den här frågan visar alla slutpunkter som har registrerats med RPC-slutpunktsmapparen. Svaret från slutpunktsmapparen parsas, formateras och returneras till användaren.

Om PortQry inte är tillgängligt kan du använda LDP.EXE för att ansluta till domänkontrollanten på port 389 med kryssrutan Anslutningslös aktiverad.

Ett annat alternativ till PortQry är NLTEST, men det fungerar inte för godtyckliga servrar. Servern måste vara en domänkontrollant i samma domän som den dator som du kör verktyget på. I så fall kan du använda Nltest /sc_resetdomännamnsdatornamn<> \ >för att tvinga en säkerhetskanal till en specifik domänkontrollant<. Mer information finns i Nätverksanslutning.

Använda portqry

Exempel 1: Använda Portqry för att testa anslutningen via en specifik port och ett visst protokoll med UDP-port 389 som exempel

Det här exemplet visar hur du använder PortQry för att avgöra om LDAP-tjänsten svarar. Genom att undersöka svaret kan du avgöra vilken LDAP-tjänst som lyssnar på porten och viss information om dess konfiguration. Den här informationen kan vara användbar vid felsökning av olika problem.

Som standard är LDAP konfigurerat för att lyssna på port 389. Exempelanropet anger vilken server som ska frågas med UDP-protokollet:

PortQry -n <fqdn> -p udp -e 389

PortQry löser automatiskt UDP-port 389 med hjälp av filen %SystemRoot%\System32\Drivers\...\Services som ingår i Windows Server 2003 och senare datorer. I exempelutdata nedan matchar porten till en LDAP-tjänst som är aktiv och PortQry rapporterar att porten är LYSSNAR eller FILTRERAD.

PortQry skickar sedan en formaterad LDAP-fråga som den tar emot ett svar till. Det returnerar hela svaret till användaren och rapporterar att porten är LISTENING. Om PortQry inte har fått något svar på frågan rapporterar den att porten är FILTRERAD.

Exempelutdata

C:\>portqry -n <fqdn> -e 389 -p udp

Kör frågor mot målsystemet med namnet:

<Fqdn>

Försöker matcha namn till IP-adress...

Namnet har matchats till 169.254.0.14

UDP-port 389 (okänd tjänst): LYSSNAR eller FILTRERAS

Skickar LDAP-fråga till UDP-port 389...

LDAP-frågesvar:

currentdate: <DateTime> (ojusterad GMT)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Inställningar,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
Servernamn:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== slutet på LDAP-frågesvaret ========
UDP-port 389 lyssnar

Obs!

LDAP-testet över UDP kanske inte fungerar mot domänkontrollanter som kör Windows Server 2008 och senare. En orsak till detta kan vara att du har inaktiverat IPv6 på domänkontrollanten. Om du vill aktivera IPv6 anger du värdet som beskrivs i artikeln nedan till standardvärdet 0:
929852 vägledning för att konfigurera IPv6 i Windows för avancerade användare

Exempel 2: Identifiera tjänster som har registrerats med RPC-slutpunktsmappning

Det här exemplet visar hur du använder PortQry för att avgöra vilka tjänster eller program som har registrerats med målserverns RPC-slutpunktsmappningsdatabas. Utdata innehåller varje programs UUID (Universally Unique Identifier), kommenterat namn (om det finns ett), det protokoll som programmet använder, nätverksadressen som programmet är bundet till och programmets slutpunkt (portnummer, namngivet rör inom hakparenteser). Den här informationen kan vara användbar vid felsökning av olika problem.

Som standard är RPC-slutpunktsmappningsdatabasen konfigurerad för att lyssna på port 135. Exempelanropet anger vilken server som ska frågas med UDP-protokollet:

portqry -n <fqdn> -p udp -e 135

Exempelutdata

Kör frågor mot målsystemet med namnet:

<Fqdn>

Försöker matcha namn till IP-adress...

Namnet har matchats till 169.254.0.18

UDP-port 135 (epmap-tjänst): LYSSNAR eller FILTRERAS
Kör frågor mot slutpunktsmappningsdatabas...
Serverns svar:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np:\\\MYDC[\PIPE\lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS Restore Interface
ncacn_np:\\\MYDC[\PIPE\lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\MYDC[\pipe\00000580.000]

Totalt antal slutpunkter hittades: 6

==== Slut på RPC Endpoint Mapper-frågesvar ====

UDP-port 135 lyssnar

PortQry kan skicka en korrekt formaterad DNS-fråga (med UDP eller TCP). Verktyget skickar en DNS-fråga för "portqry.microsoft.com.". PortQry väntar sedan på ett svar från DNS-målservern. Om DNS-svaret på frågan är negativt eller positivt är irrelevant eftersom något svar indikerar att porten lyssnar.