Como usar o PortQry para solucionar problemas de conectividade do Active Directory

Este artigo descreve como executar o PortQry para testar a conectividade de rede para qualquer componente ou cenário do Windows em qualquer versão do Windows.

Aplica-se a: Windows Server 2012 R2
Número de KB original: 816103

Introdução

O PortQry é um utilitário de linha de comando que você pode usar para solucionar problemas de conectividade TCP/IP usados por componentes e recursos do Windows. O utilitário relata as portas status das portas TCP (Protocolo de Controle de Transição) e protocolo UDP (User Datagram Protocol) em um computador remoto. Você pode executar o PortQry para testar a conectividade de rede para qualquer componente ou cenário do Windows em qualquer versão do Windows.

Este artigo descreve como usar o portqry para verificar a conectividade TCP/IP básica para componentes relacionados ao Active Directory e ao Active Directory, incluindo:

• Active Directory Domain Services (ADDS)
• LDAP (Active Directory for Lightweight Directory Access Protocol)
• RPC (Chamada de procedimento remoto)
• DNS (Serviço de Nome de Domínio)
• Outros componentes relacionados ao ADDS
• Outros componentes nos quais o ADDS é dependente

Verificar a conectividade de rede nas portas e protocolos necessários é especialmente útil quando os controladores de domínio são implantados em dispositivos intermediários, incluindo firewalls.

Instalar o PortQry

Baixar Portqry.exe

O PortQry .exe está disponível para download no Centro de Download da Microsoft. Para baixar o portQry .exe, visite o seguinte site da Microsoft:

Baixar o Scanner de Porta de Linha de Comando do PortQry Versão 2.0

Para obter mais informações sobre como baixar Suporte da Microsoft arquivos, confira a seguir a Base de Dados de Conhecimento da Microsoft:

119591 Como obter arquivos de Suporte da Microsoft dos serviços online

A Microsoft examinou esse arquivo em busca de vírus. A Microsoft usou o software de detecção de vírus mais atual que estava disponível na data em que o arquivo foi postado. O arquivo é armazenado em servidores aprimorados pela segurança que ajudam a evitar alterações não autorizadas no arquivo.

Uma versão gráfica da ferramenta PortQry, chamada PortQueryUI, contém recursos adicionais que podem facilitar o uso do PortQry. Para baixar a ferramenta PortQueryUI, visite o seguinte site da Microsoft:

Baixar PortQryUI – Interface do Usuário para o Scanner de Porta de Linha de Comando do PortQry

Mais informações

O PortQry relata o status de uma porta de uma das três maneiras:

• Escuta: um processo está ouvindo na porta de destino no sistema de destino. O PortQry recebeu uma resposta da porta.
• Não escuta: nenhum processo está ouvindo na porta de destino no sistema de destino. O PortQry recebeu uma mensagem ICMP (Protocolo de Mensagem de Controle da Internet)"Destino Inacessível – Porta Inacessível" de volta da porta UDP de destino. Ou, se a porta de destino for uma porta TCP, o Portqry recebeu um pacote de reconhecimento TCP com o conjunto de sinalizadores Reset.
• Filtrado: a porta de destino no sistema de destino está sendo filtrada. O PortQry não recebeu uma resposta da porta de destino. Um processo pode ou não estar ouvindo na porta. Por padrão, as portas TCP são consultadas três vezes e as portas UDP são consultadas uma vez antes de relatar que a porta de destino é filtrada.

Com o PortQry, você também pode consultar um serviço LDAP. Ele envia uma consulta LDAP, usando UDP ou TCP, e interpreta a resposta do servidor LDAP à consulta. A resposta do servidor LDAP é analisada, formatada e retornada ao usuário.

As interfaces RPC oferecidas pelo Active Directory podem usar portas de servidor dinâmicas (a maioria é configurável.) Os clientes usam o Mapeador de Ponto de Extremidade do RPC para localizar a porta do servidor da interface RPC de um serviço específico do Active Directory.

O banco de dados mapeador de ponto de extremidade RPC escuta a porta 135. Isso significa que a porta TCP 135 é uma porta necessária para a maioria das implantações que vão além das consultas LDAP básicas. Ele também é necessário para todos os clientes que são membros de um domínio.

Para obter mais informações sobre o PortQry, confira:

310099 Descrição do utilitário de linha de comando Portqry.exe

Você pode encontrar uma lista de portas e protocolos que o Windows usa, incluindo Active Directory, DFS, DFSR, Certificate Services e todos os outros serviços no seguinte artigo base de dados de conhecimento:

Visão geral do serviço 832017 e requisitos de porta de rede para Windows

Portas e protocolos específicos do AD também podem ser encontrados no artigo:

179442 Como configurar um firewall para domínios e trusts

O PortQry sabe como enviar uma consulta para o mapeador de ponto de extremidade do RPC (usando UDP e TCP) e interpretar a resposta. Essa consulta exibe todos os pontos finais registrados com o mapeador de ponto de extremidade RPC. A resposta do mapeador do ponto de extremidade é analisada, formatada e retornada ao usuário.

Se o PortQry não estiver disponível, você poderá usar LDP.EXE para se conectar ao Controlador de Domínio na porta 389 com a caixa marcar sem conexão ativada.

Outra alternativa ao PortQry é o NLTEST, mas não funciona para servidores arbitrários. O servidor deve ser um Controlador de Domínio no mesmo domínio que o computador em que você executa a ferramenta. Se esse for o caso, você poderá usar onome> do computador nltest /sc_reset<<nome> \ de domínio para forçar um canal de segurança a um controlador de domínio específico. Para obter mais informações, consulte Conectividade de Rede.

Usando o portqry

Exemplo 1: usar o Portqry para testar a conectividade em uma porta e protocolo específicos usando a porta UDP 389 como exemplo

Este exemplo demonstra como usar o PortQry para determinar se o serviço LDAP está respondendo. Examinando a resposta, você pode determinar qual serviço LDAP está ouvindo na porta e alguns detalhes sobre sua configuração. Essas informações podem ser úteis para solucionar vários problemas.

Por padrão, o LDAP está configurado para ouvir a porta 389. A chamada de exemplo especifica o servidor para consultar usando o protocolo UDP:

PortQry -n <fqdn> -p udp -e 389

O PortQry resolve automaticamente a porta UDP 389 usando o arquivo %SystemRoot%\System32\Drivers\...\Services incluído nos computadores Windows Server 2003 e posteriores. Na saída de exemplo abaixo, a porta se resolve para um serviço LDAP que está ativo e o PortQry informa que a porta é LISTENING ou FILTERED.

O PortQry então envia uma consulta LDAP formatada à qual recebe uma resposta. Ele retorna toda a resposta ao usuário e relata que a porta é LISTENING. Se o PortQry não receber uma resposta à consulta, ele informará que a porta é FILTRADA.

Saída de exemplo

C:\>portqry -n <fqdn> -e 389 -p udp

Sistema de destino de consulta chamado:

<Fqdn>

Tentando resolve nome para endereço IP...

Nome resolvido para 169.254.0.14

Porta UDP 389 (serviço desconhecido): LISTENING ou FILTERED

Enviando consulta LDAP para a porta UDP 389...

Resposta de consulta LDAP:

currentdate: <DateTime> (GMT não ajustado)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Configurações,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
Schemanamingcontext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
Configurationnamingcontext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
Servername:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== Fim da ======== de resposta à consulta LDAP
A porta UDP 389 é LISTENING

Exemplo 2: Identificar serviços registrados com mapeador de ponto de extremidade RPC

Este exemplo demonstra como usar o PortQry para determinar quais serviços ou aplicativos estão registrados com o banco de dados mapeador de ponto de extremidade RPC do servidor de destino. A saída inclui o UUID (Identificador Universalmente Exclusivo) de cada aplicativo, o nome anotado (se existir), o protocolo que o aplicativo usa, o endereço de rede ao qual o aplicativo está vinculado e o ponto de extremidade do aplicativo (número da porta, pipe nomeado em colchetes). Essas informações podem ser úteis para solucionar vários problemas.

Por padrão, o banco de dados mapeador de ponto de extremidade RPC está configurado para ouvir a porta 135. A chamada de exemplo especifica o servidor para consultar usando o protocolo UDP:

portqry -n <fqdn> -p udp -e 135

Saída de exemplo

Sistema de destino de consulta chamado:

<Fqdn>

Tentando resolve nome para endereço IP...

Nome resolvido para 169.254.0.18

Porta UDP 135 (serviço de epmap): LISTENING ou FILTERED
Consultando o Banco de Dados mapeador de ponto de extremidade...
Resposta do servidor:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np:\\\MYDC[\PIPE\lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS Restore Interface
ncacn_np:\\\MYDC[\PIPE\lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\MYDC[\pipe\0000580.000]

Total de pontos de extremidade encontrados: 6

==== End of RPC Endpoint Mapper query response ====

A porta UDP 135 é LISTENING

O PortQry pode enviar uma consulta DNS formatada corretamente (usando UDP ou TCP). O utilitário envia uma consulta DNS para "portqry.microsoft.com". O PortQry aguarda uma resposta do servidor DNS de destino. Se a resposta DNS à consulta é negativa ou positiva é irrelevante porque qualquer resposta indica que a porta está ouvindo.