Freigeben über

Verwenden von PortQry zur Behandlung von Active Directory-Konnektivitätsproblemen

  • Artikel

In diesem Artikel wird beschrieben, wie Sie PortQry ausführen, um die Netzwerkkonnektivität für eine beliebige Windows-Komponente oder jedes Szenario in einer beliebigen Version von Windows zu testen.

Ursprüngliche KB-Nummer: 816103

Einführung

PortQry ist ein Befehlszeilenprogramm, mit dem Sie probleme mit TCP/IP-Konnektivität beheben können, die von Windows-Komponenten und -Features verwendet werden. Das Hilfsprogramm meldet den Portstatus von TCP-Ports (Transition Control Protocol) und UDP-Ports (User Datagram Protocol) auf einem Remotecomputer. Sie können PortQry ausführen, um die Netzwerkkonnektivität für jede Windows-Komponente oder jedes Szenario in einer beliebigen Version von Windows zu testen.

In diesem Artikel wird beschrieben, wie Sie portqry verwenden, um die grundlegende TCP-/IP-Konnektivität für Active Directory- und Active Directory-bezogene Komponenten zu überprüfen, einschließlich:

  • Active Directory-Domäne Services (ADDS)
  • Active Directory für Lightweight Directory Access Protocol (LDAP)
  • Remoteprozeduraufruf (RPC)
  • Domain Name Service (DNS)
  • Weitere ADD-bezogene Komponenten
  • Andere Komponenten, von denen ADD abhängig ist

Die Überprüfung der Netzwerkkonnektivität über die erforderlichen Ports und Protokolle ist besonders nützlich, wenn Domänencontroller auf zwischengeschalteten Geräten einschließlich Firewalls bereitgestellt werden.

Installieren von PortQry

herunterladen Portqry.exe

PortQry .exe steht zum Download über das Microsoft Download Center zur Verfügung. Um das PortQry-.exe herunterzuladen, besuchen Sie die folgende Microsoft-Website:

Port-Befehlszeilenscanner Version 2.0 herunterladen

Weitere Informationen zum Herunterladen Microsoft-Support Dateien finden Sie in der Microsoft Knowledge Base:

119591 Abrufen von Microsoft-Support Dateien von Onlinediensten

Microsoft hat diese Datei auf Viren überprüft. Dazu wurde die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei wird auf Sicherheitsservern gespeichert, die dazu beitragen, nicht autorisierte Änderungen an der Datei zu verhindern.

Eine grafische Version des PortQry-Tools namens PortQueryUI enthält zusätzliche Features, die die Verwendung von PortQry vereinfachen können. Um das PortQueryUI-Tool herunterzuladen, besuchen Sie die folgende Microsoft-Website:

PortQryUI herunterladen – Benutzeroberfläche für den PortQry-Befehlszeilenportscanner

Weitere Informationen

PortQry meldet den Status eines Ports auf eine von drei Arten:

  • Überwachung: Ein Prozess überwacht den Zielport auf dem Zielsystem. PortQry hat eine Antwort vom Port erhalten.
  • Nicht überwachen: Kein Prozess überwacht den Zielport auf dem Zielsystem. PortQry hat ein Internet Control Message Protocol (ICMP)"Destination Unreachable - Port Unreachable" -Nachricht zurück vom Ziel UDP-Port empfangen. Wenn es sich bei dem Zielport um einen TCP-Port handelt, hat Portqry ein TCP-Bestätigungspaket mit dem Attribut "Zurücksetzen" erhalten.
  • Gefiltert: Der Zielport im Zielsystem wird gefiltert. PortQry hat keine Antwort vom Zielport erhalten. Ein Prozess überwacht den Port möglicherweise oder nicht. Standardmäßig werden TCP-Ports dreimal abgefragt, und UDP-Ports werden einmal abgefragt, bevor der Zielport gefiltert wird.

Mit PortQry können Sie auch einen LDAP-Dienst abfragen. Sie sendet eine LDAP-Abfrage mit UDP oder TCP und interpretiert die Antwort des LDAP-Servers auf die Abfrage. Die Antwort vom LDAP-Server wird analysiert, formatiert und an den Benutzer zurückgegeben.

RPC-Schnittstellen, die von Active Directory angeboten werden, können dynamische Serverports verwenden (die meisten sind konfigurierbar.) Clients verwenden die RPC-Endpunktzuordnung, um den Serverport der RPC-Schnittstelle eines bestimmten Active Directory-Diensts zu finden.

Die RPC-Endpunktzuordnungsdatenbank lauscht auf Port 135. Dies bedeutet, dass TCP-Port 135 einen erforderlichen Port für die meisten Bereitstellungen erfordert, die über grundlegende LDAP-Abfragen hinausgehen. Sie ist auch für alle Clients erforderlich, die Mitglied einer Domäne sind.

Weitere Informationen zu PortQry finden Sie unter:

310099 Beschreibung des Befehlszeilenprogramms Portqry.exe

Sie finden eine Liste der Ports und Protokolle, die Windows verwendet, einschließlich Active Directory, DFS, DFSR, Zertifikatdienste und aller anderen Dienste im folgenden Wissensdatenbank Artikel:

832017 Dienstübersicht und Netzwerkportanforderungen für Windows

Notiz

Active Directory und andere Dienste, die kurzlebige Ports verwenden, müssen über Konnektivität von Port 135 bis zu allen in der Dienstübersicht und den Netzwerkportanforderungen für Windows aufgeführten verfügen.

Ports und Protokolle, die für AD spezifisch sind, finden Sie auch im Artikel:

179442 Konfigurieren eines Firewalls für Domänen und Vertrauensstellungen

PortQry weiß, wie eine Abfrage an die RPC-Endpunktzuordnung (mithilfe von UDP und TCP) gesendet und die Antwort interpretiert wird. Diese Abfrage zeigt alle Endpunkte an, die bei der RPC-Endpunktzuordnung registriert sind. Die Antwort des Endpunktzuordnungs wird analysiert, formatiert und an den Benutzer zurückgegeben.

Wenn PortQry nicht verfügbar ist, können Sie LDP.EXE verwenden, um eine Verbindung mit dem Domänencontroller am Port 389 herzustellen, wobei das Kontrollkästchen "Ohne Verbindung" aktiviert ist.

Eine weitere Alternative zu PortQry ist NLTEST, funktioniert aber nicht für beliebige Server. Der Server muss ein Domänencontroller in derselben Domäne sein wie der Computer, auf dem Sie das Tool ausführen. Wenn dies der Fall ist, können Sie den Computernamen> \ <> nltest /sc_reset <verwenden, um einen Sicherheitskanal auf einen bestimmten Domänencontroller zu erzwingen. Weitere Informationen finden Sie unter "Netzwerkkonnektivität".

Verwenden von Portqry

Beispiel 1: Verwenden von Portqry zum Testen der Konnektivität über einen bestimmten Port und protokoll mit UDP-Port 389 als Beispiel

In diesem Beispiel wird veranschaulicht, wie PortQry verwendet wird, um festzustellen, ob der LDAP-Dienst antwortet. Indem Sie die Antwort untersuchen, können Sie ermitteln, welcher LDAP-Dienst auf den Port lauscht, und einige Details zur Konfiguration. Diese Informationen können bei der Problembehandlung verschiedener Probleme hilfreich sein.

Standardmäßig ist LDAP so konfiguriert, dass port 389 überwacht wird. Der Beispielaufruf gibt den Server an, der mithilfe des UDP-Protokolls abfragen soll:

PortQry -n <fqdn> -p udp -e 389

PortQry löst den UDP-Port 389 automatisch mit der Datei "%SystemRoot%\System32\Drivers\...\Services" in Windows Server 2003 und höher auf. In der folgenden Beispielausgabe wird der Port in einen AKTIVEN LDAP-Dienst aufgelöst, und PortQry meldet, dass der Port ÜBERWACHT oder GEFILTERT ist.

PortQry sendet dann eine formatierte LDAP-Abfrage, an die sie eine Antwort empfängt. Sie gibt die gesamte Antwort an den Benutzer zurück und meldet, dass der Port ÜBERWACHT wird. Wenn PortQry keine Antwort auf die Abfrage erhalten hat, meldet sie, dass der Port GEFILTERT ist.

Beispielausgabe

C:\>portqry -n <fqdn> -e 389 -p udp

Abfragezielsystem aufgerufen:

<fqdn>

Versucht den Namen in IP-Adresse aufzulösen...

Name wurde auf 169.254.0.14 aufgelöst

UDP-Port 389 (unbekannter Dienst): ÜBERWACHEN oder FILTERN

LDAP-Abfrage an UDP-Port 389 senden...

LDAP-Abfrageantwort:

currentdate: <DateTime> (unadjusted GMT)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Settings,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Konfiguration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Konfiguration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
serverName:
CN=MYDC,CN=Server,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== Ende der LDAP-Abfrageantwort ========
UDP-Port 389 ist ÜBERWACHUNG

Notiz

Der LDAP-Test über UDP funktioniert möglicherweise nicht für Domänencontroller, die Windows Server 2008 und höher ausführen. Ein Grund hierfür kann sein, dass Sie IPv6 auf dem Domänencontroller deaktiviert haben. Um IPv6 zu aktivieren, legen Sie den im folgenden Artikel beschriebenen Wert auf den Standardwert 0 fest:
929852 Anleitung zum Konfigurieren von IPv6 in Windows für erweiterte Benutzer

Beispiel 2: Identifizieren von Diensten, die bei der RPC-Endpunktzuordnung registriert wurden

In diesem Beispiel wird veranschaulicht, wie PortQry verwendet wird, um zu bestimmen, welche Dienste oder Anwendungen bei der RPC-Endpunktzuordnungsdatenbank des Zielservers registriert sind. Die Ausgabe enthält den Universellen Eindeutigen Bezeichner (Universally Unique Identifier, UUID), den kommentierten Namen (sofern vorhanden), das von der Anwendung verwendete Protokoll, die Netzwerkadresse, an die die Anwendung gebunden ist, und den Endpunkt der Anwendung (Portnummer, benannte Pfeife in eckigen Klammern). Diese Informationen können bei der Problembehandlung verschiedener Probleme hilfreich sein.

Standardmäßig ist die RPC-Endpunktzuordnungsdatenbank für das Überwachen von Port 135 konfiguriert. Der Beispielaufruf gibt den Server an, der mithilfe des UDP-Protokolls abfragen soll:

portqry -n <fqdn> -p udp -e 135

Beispielausgabe

Abfragezielsystem aufgerufen:

<fqdn>

Versucht den Namen in IP-Adresse aufzulösen...

Name wurde auf 169.254.0.18 aufgelöst

UDP-Port 135 (epmap-Dienst): ÜBERWACHEN oder FILTERN
Abfrage der Endpunkt-Mapper-Datenbank...
Antwort des Servers:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS Restore Interface
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\\MYDC[\pipe\00000580.000]

Gesamtzahl der gefundenen Endpunkte: 6

– Ende der RPC Endpoint Mapper-Abfrageantwort =

UDP-Port 135 überwacht

PortQry kann eine ordnungsgemäß formatierte DNS-Abfrage (mithilfe von UDP oder TCP) senden. Das Hilfsprogramm sendet eine DNS-Abfrage für "portqry.microsoft.com." PortQry wartet dann auf eine Antwort vom Ziel-DNS-Server. Ob die DNS-Antwort auf die Abfrage negativ oder positiv ist, ist irrelevant, da jede Antwort darauf hinweist, dass der Port überwacht wird.