Verwenden von PortQry zur Behandlung von Active Directory-Konnektivitätsproblemen

  • Artikel

In diesem Artikel wird beschrieben, wie Sie PortQry ausführen, um die Netzwerkkonnektivität für jede Windows-Komponente oder jedes Windows-Szenario unter einer beliebigen Version von Windows zu testen.

Gilt für: Windows Server 2012 R2
Ursprüngliche KB-Nummer: 816103

Einführung

PortQry ist ein Befehlszeilenprogramm, mit dem Sie Probleme mit der TCP/IP-Konnektivität beheben können, die von Windows-Komponenten und -Features verwendet werden. Das Hilfsprogramm meldet den Port status von TCP-Ports (Transition Control Protocol) und UDP-Ports (User Datagram Protocol) auf einem Remotecomputer. Sie können PortQry ausführen, um die Netzwerkkonnektivität für jede Windows-Komponente oder jedes Windows-Szenario unter einer beliebigen Version von Windows zu testen.

In diesem Artikel wird beschrieben, wie Sie portqry verwenden, um die grundlegende TCP/IP-Konnektivität für Active Directory- und Active Directory-bezogene Komponenten zu überprüfen, einschließlich:

  • Active Directory Domain Services (ADDS)
  • Active Directory für Lightweight Directory Access Protocol (LDAP)
  • Remoteprozeduraufruf (RPC)
  • Domain Name Service (DNS)
  • Andere ADDS-bezogene Komponenten
  • Andere Komponenten, von denen ADDS abhängig ist

Die Überprüfung der Netzwerkkonnektivität über die erforderlichen Ports und Protokolle ist besonders nützlich, wenn Domänencontroller auf Zwischengeräten einschließlich Firewalls bereitgestellt werden.

Installieren von PortQry

Portqry.exe herunterladen

PortQry .exe steht im Microsoft Download Center zum Download zur Verfügung. Um die PortQry-.exe herunterzuladen, besuchen Sie die folgende Microsoft-Website:

PortQry Command Line Port Scanner Version 2.0 herunterladen

Weitere Informationen zum Herunterladen Microsoft-Support Dateien finden Sie in der Microsoft Knowledge Base:

119591 Abrufen von Microsoft-Support Dateien aus Onlinediensten

Microsoft hat diese Datei auf Viren überprüft. Microsoft verwendete die aktuellste Virenerkennungssoftware, die zum Zeitpunkt der Veröffentlichung der Datei verfügbar war. Die Datei wird auf Servern mit verbesserter Sicherheit gespeichert, die dazu beitragen, nicht autorisierte Änderungen an der Datei zu verhindern.

Eine grafische Version des PortQry-Tools namens PortQueryUI enthält zusätzliche Features, die die Verwendung von PortQry vereinfachen können. Um das PortQueryUI-Tool herunterzuladen, besuchen Sie die folgende Microsoft-Website:

Herunterladen von PortQryUI – Benutzeroberfläche für den PortQry-Befehlszeilenportscanner

Weitere Informationen

PortQry meldet die status eines Ports auf eine von drei Arten:

  • Lauschen: Ein Prozess lauscht am Zielport auf dem Zielsystem. PortQry hat eine Antwort vom Port empfangen.
  • Nicht lauscht: Kein Prozess lauscht am Zielport auf dem Zielsystem. PortQry hat eine ICMP-Nachricht (Internet Control Message Protocol) "Destination Unreachable - Port Unreachable" (Destination Unreachable – Port Unreachable) vom ZIEL-UDP-Port zurück empfangen. Wenn der Zielport ein TCP-Port ist, hat Portqry ein TCP-Bestätigungspaket mit festgelegtem Reset-Flag empfangen.
  • Gefiltert: Der Zielport auf dem Zielsystem wird gefiltert. PortQry hat keine Antwort vom Zielport empfangen. Ein Prozess lauscht möglicherweise nicht am Port. Standardmäßig werden TCP-Ports dreimal abgefragt, und UDP-Ports werden einmal abgefragt, bevor der Bericht über den Zielport gefiltert wird.

Mit PortQry können Sie auch einen LDAP-Dienst abfragen. Es sendet eine LDAP-Abfrage entweder über UDP oder TCP und interpretiert die Antwort des LDAP-Servers auf die Abfrage. Die Antwort vom LDAP-Server wird analysiert, formatiert und an den Benutzer zurückgegeben.

RPC-Schnittstellen, die von Active Directory angeboten werden, können dynamische Serverports verwenden (die meisten sind konfigurierbar.) Clients verwenden die RPC-Endpunktzuordnung, um den Serverport der RPC-Schnittstelle eines bestimmten Active Directory-Diensts zu ermitteln.

Die RPC-Endpunktzuordnungsdatenbank lauscht an Port 135. Dies bedeutet, dass TCP-Port 135 ein erforderlicher Port für die meisten Bereitstellungen ist, die über grundlegende LDAP-Abfragen hinausgehen. Sie ist auch für alle Clients erforderlich, die Mitglied einer Domäne sind.

Weitere Informationen zu PortQry finden Sie unter:

310099 Beschreibung des Befehlszeilenprogramms Portqry.exe

Eine Liste der Ports und Protokolle, die Von Windows verwendet werden, einschließlich Active Directory, DFS, DFSR, Zertifikatdienste und aller anderen Dienste, finden Sie im folgenden Wissensdatenbank Artikel:

832017 Service – Übersicht und Netzwerkportanforderungen für Windows

Hinweis

Active Directory und andere Dienste, die kurzlebige Ports verwenden, müssen über Konnektivität von Port 135 mit allen im Artikel Dienstübersicht und Netzwerkportanforderungen für Windows aufgeführten Verfügen.

Ports und Protokolle, die für AD spezifisch sind, finden Sie auch im Artikel:

179442 Konfigurieren einer Firewall für Domänen und Vertrauensstellungen

PortQry weiß, wie eine Abfrage an die RPC-Endpunktzuordnung (mithilfe von UDP und TCP) gesendet und die Antwort interpretiert wird. Diese Abfrage zeigt alle Endpunkte an, die bei der RPC-Endpunktzuordnung registriert sind. Die Antwort der Endpunktzuordnung wird analysiert, formatiert und an den Benutzer zurückgegeben.

Wenn PortQry nicht verfügbar ist, können Sie LDP.EXE verwenden, um eine Verbindung mit dem Domänencontroller an Port 389 herzustellen, wobei das Kontrollkästchen Verbindungslos aktiviert ist.

Eine weitere Alternative zu PortQry ist NLTEST, funktioniert aber nicht für beliebige Server. Der Server muss ein Domänencontroller in derselben Domäne sein wie der Computer, auf dem Sie das Tool ausführen. Wenn dies der Fall ist, können Sie nltest /sc_reset <Domänenname> \ <Computername> verwenden, um einen Sicherheitskanal auf einem bestimmten Domänencontroller zu erzwingen. Weitere Informationen finden Sie unter Netzwerkkonnektivität.

Verwenden von portqry

Beispiel 1: Verwenden von Portqry zum Testen der Konnektivität über einen bestimmten Port und protokoll mit UDP-Port 389 als Beispiel

In diesem Beispiel wird veranschaulicht, wie PortQry verwendet wird, um zu bestimmen, ob der LDAP-Dienst antwortet. Indem Sie die Antwort untersuchen, können Sie ermitteln, welcher LDAP-Dienst am Port lauscht, und einige Details zur Konfiguration. Diese Informationen können bei der Behandlung verschiedener Probleme nützlich sein.

Standardmäßig ist LDAP so konfiguriert, dass es an Port 389 lauscht. Der Beispielaufruf gibt den Server an, der mit dem UDP-Protokoll abzufragen ist:

PortQry -n <fqdn> -p udp -e 389

PortQry löst den UDP-Port 389 automatisch mithilfe der Datei %SystemRoot%\System32\Drivers\...\Services auf, die in Computern mit Windows Server 2003 und höher enthalten ist. In der folgenden Beispielausgabe wird der Port in einen aktiven LDAP-Dienst aufgelöst, und PortQry meldet, dass der Port LISTENING oder FILTERED ist.

PortQry sendet dann eine formatierte LDAP-Abfrage, an die eine Antwort empfangen wird. Es gibt die gesamte Antwort an den Benutzer zurück und meldet, dass der Port LAUSCHT ist. Wenn PortQry keine Antwort auf die Abfrage empfangen hat, wird gemeldet, dass der Port FILTERED ist.

Beispielausgabe

C:\>portqry -n <fqdn> -e 389 -p udp

Abfragen des Zielsystems mit dem folgenden Namen:

<Fqdn>

Es wird versucht, den Namen in ip-Adresse aufzulösen...

Name in 169.254.0.14 aufgelöst

UDP-Port 389 (unbekannter Dienst): LISTENING oder FILTERED

Ldap-Abfrage wird an UDP-Port 389 gesendet...

LDAP-Abfrageantwort:

currentdate: <DateTime> (unadjusted GMT)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Settings,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Konfiguration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
Servername:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== End of LDAP query response ========
UDP-Port 389 lauscht

Hinweis

Der LDAP-Test über UDP funktioniert möglicherweise nicht für Domänencontroller, auf denen Windows Server 2008 und höher ausgeführt wird. Ein Grund dafür kann sein, dass Sie IPv6 auf dem Domänencontroller deaktiviert haben. Legen Sie zum Aktivieren von IPv6 den im folgenden Artikel erläuterten Wert auf den Standardwert 0 fest:
929852 Anleitung zum Konfigurieren von IPv6 in Windows für fortgeschrittene Benutzer

Beispiel 2: Identifizieren von Diensten, die bei der RPC-Endpunktzuordnung registriert sind

In diesem Beispiel wird veranschaulicht, wie PortQry verwendet wird, um zu bestimmen, welche Dienste oder Anwendungen bei der RPC-Endpunktzuordnungsdatenbank des Zielservers registriert sind. Die Ausgabe enthält den Universally Unique Identifier (UUID) jeder Anwendung, den mit Anmerkungen versehenen Namen (sofern vorhanden), das von der Anwendung verwendete Protokoll, die Netzwerkadresse, an die die Anwendung gebunden ist, und den Endpunkt der Anwendung (Portnummer, benannte Pipe in eckigen Klammern). Diese Informationen können bei der Behandlung verschiedener Probleme nützlich sein.

Standardmäßig ist die RPC-Endpunktzuordnungsdatenbank so konfiguriert, dass sie an Port 135 lauscht. Der Beispielaufruf gibt den Server an, der mit dem UDP-Protokoll abzufragen ist:

portqry -n <fqdn> -p udp -e 135

Beispielausgabe

Abfragen des Zielsystems mit dem folgenden Namen:

<Fqdn>

Es wird versucht, den Namen in ip-Adresse aufzulösen...

Name in 169.254.0.18 aufgelöst

UDP-Port 135 (epmap-Dienst): LISTENING oder FILTERED
Abfragen der Endpunktzuordnungsdatenbank...
Antwort des Servers:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np:\\\MYDC[\PIPE\lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS Restore Interface
ncacn_np:\\\MYDC[\PIPE\lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\MYDC[\pipe\00000580.000]

Gesamtzahl der gefundenen Endpunkte: 6

== Ende der Abfrageantwort für rpc-Endpunktzuordnungen ==

UDP-Port 135 lauscht

PortQry kann eine ordnungsgemäß formatierte DNS-Abfrage (mithilfe von UDP oder TCP) senden. Das Hilfsprogramm sendet eine DNS-Abfrage für "portqry.microsoft.com.". PortQry wartet dann auf eine Antwort vom DNS-Zielserver. Ob die DNS-Antwort auf die Abfrage negativ oder positiv ist, ist irrelevant, da jede Antwort darauf hinweist, dass der Port lauscht.