PortQry を使用して Active Directory 接続の問題をトラブルシューティングする方法

この記事では、PortQry を実行して、任意のバージョンの Windows コンポーネントまたはシナリオのネットワーク接続をテストする方法について説明します。

適用対象: Windows Server 2012 R2
元の KB 番号: 816103

概要

PortQry は、Windows コンポーネントと機能で使用される TCP/IP 接続のトラブルシューティングに使用できるコマンド ライン ユーティリティです。 ユーティリティは、リモート コンピューター上の移行制御プロトコル (TCP) ポートとユーザー データグラム プロトコル (UDP) ポートのポートの状態を報告します。 PortQry を実行して、任意のバージョンの Windows で任意の Windows コンポーネントまたはシナリオのネットワーク接続をテストできます。

この記事では、portqry を使用して、次のような Active Directory および Active Directory 関連コンポーネントの基本的な TCP/IP 接続を確認する方法について説明します。

• Active Directory Domain Services (ADDS)
• ライトウェイト ディレクトリ アクセス プロトコル (LDAP) の Active Directory
• リモート プロシージャ コール (RPC)
• ドメイン ネーム サービス (DNS)
• その他の ADDS 関連コンポーネント
• ADDS が依存しているその他のコンポーネント

必要なポートとプロトコルを介してネットワーク接続を確認することは、ドメイン コントローラーがファイアウォールを含む中間デバイス間に展開されている場合に特に便利です。

PortQry のインストール

Portqry.exe をダウンロードする

PortQry .exe は、Microsoft ダウンロード センターからダウンロードできます。 PortQry .exe をダウンロードするには、次の Microsoft Web サイトにアクセスします。

PortQry コマンド ライン ポート スキャナー バージョン 2.0 をダウンロードする

Microsoft サポート ファイルをダウンロードする方法の詳細については、次のマイクロソフト サポート技術情報を参照してください。

119591 オンライン サービスからMicrosoft サポート ファイルを取得する方法

Microsoft はこのファイルをスキャンしてウイルスを検出しました。 Microsoft では、ファイルが投稿された日付に利用可能な最新のウイルス検出ソフトウェアを使用しました。 ファイルは、ファイルに対する未承認の変更を防ぐのに役立つセキュリティ強化サーバーに格納されます。

PortQueryUI と呼ばれる PortQry ツールのグラフィカル バージョンには、PortQry を使いやすくするための追加機能が含まれています。 PortQueryUI ツールをダウンロードするには、次の Microsoft Web サイトにアクセスします。

PortQryUI のダウンロード - PortQry コマンド ライン ポート スキャナーのユーザー インターフェイス

詳細

PortQry は、次の 3 つの方法のいずれかでポートの状態を報告します。

• リッスン中: プロセスは、ターゲット システムのターゲット ポートでリッスンしています。 PortQry は、ポートから応答を受信しました。
• [リッスンしていない]: ターゲット システム上のターゲット ポートでプロセスがリッスンされていません。 PortQry は、インターネット制御メッセージ プロトコル (ICMP)"宛先到達不能 - ポート到達不能" メッセージをターゲット UDP ポートから受信しました。 または、ターゲット ポートが TCP ポートの場合、Portqry はリセット フラグが設定された TCP 受信確認パケットを受信しました。
• フィルター処理: ターゲット システム上のターゲット ポートがフィルター処理されています。 PortQry がターゲット ポートから応答を受信しませんでした。 プロセスがポートでリッスンしている場合とそうでない場合があります。 既定では、TCP ポートは 3 回照会され、UDP ポートは 1 回クエリされてからターゲット ポートがフィルター処理されます。

PortQry を使用すると、LDAP サービスに対してクエリを実行することもできます。 UDP または TCP を使用して LDAP クエリを送信し、クエリに対する LDAP サーバーの応答を解釈します。 LDAP サーバーからの応答が解析され、書式設定され、ユーザーに返されます。

Active Directory によって提供される RPC インターフェイスでは、動的サーバー ポートを使用できます (ほとんどは構成可能です)。クライアントは、RPC エンドポイント マッパーを使用して、特定の Active Directory サービスの RPC インターフェイスのサーバー ポートを検索します。

RPC エンド ポイント マッパー データベースは、ポート 135 をリッスンします。 つまり、TCP ポート 135 は、基本的な LDAP クエリを超えるほとんどのデプロイに必要なポートです。 また、ドメインのメンバーであるすべてのクライアントにも必要です。

PortQry の詳細については、次を参照してください。

310099 Portqry.exe コマンド ライン ユーティリティの説明

Active Directory、DFS、DFSR、証明書サービス、その他のすべてのサービスなど、Windows が使用するポートとプロトコルの一覧については、次のサポート情報記事を参照してください。

832017 サービスの 概要と Windows のネットワーク ポート要件

AD に固有のポートとプロトコルについては、次の記事も参照してください。

179442 ドメインと信頼のファイアウォールを構成する方法

PortQry は、(UDP と TCP を使用して) RPC エンド ポイント マッパーにクエリを送信し、応答を解釈する方法を認識しています。 このクエリでは、RPC エンド ポイント マッパーに登録されているすべてのエンド ポイントが表示されます。 エンド ポイント マッパーからの応答が解析され、書式設定され、ユーザーに返されます。

PortQry が使用できない場合は、LDP.EXE を使用して、接続レス チェック ボックスがアクティブになっているポート 389 のドメイン コントローラーに接続できます。

PortQry のもう 1 つの代替手段は NLTEST ですが、任意のサーバーでは機能しません。 サーバーは、ツールを実行するコンピューターと同じドメイン内のドメイン コントローラーである必要があります。 この場合は、Nltest /sc_reset <ドメイン名> \ <コンピューター名> を使用して、セキュリティ チャネルを特定のドメイン コントローラーに強制的に適用できます。 詳細については、「 ネットワーク接続」を参照してください。

portqry の使用

例 1: ポートqry を使用して、UDP ポート 389 を例として使用して、特定のポートとプロトコル経由の接続をテストする

この例では、PortQry を使用して LDAP サービスが応答しているかどうかを判断する方法を示します。 応答を調べることで、ポートでリッスンしている LDAP サービスとその構成に関する詳細を確認できます。 この情報は、さまざまな問題のトラブルシューティングに役立ちます。

既定では、LDAP はポート 389 をリッスンするように構成されています。 呼び出しの例では、UDP プロトコルを使用してクエリを実行するサーバーを指定します。

PortQry -n <fqdn> -p udp -e 389

PortQry は、Windows Server 2003 以降のコンピューターに含まれる %SystemRoot%\System32\Drivers\...\Services ファイルを使用して、UDP ポート 389 を自動的に解決します。 次の出力例では、ポートはアクティブな LDAP サービスに解決され、PortQry はポートがリッスンまたはフィルター処理されていることを報告します。

その後、PortQry は、応答を受け取る書式設定された LDAP クエリを送信します。 応答全体がユーザーに返され、ポートがリッスンしていることを報告します。 PortQry がクエリに対する応答を受け取らない場合、ポートが FILTERED であることを報告します。

出力例

C:\>portqry -n <fqdn> -e 389 -p udp

呼び出されたターゲット システムのクエリ:

<Fqdn>

IP アドレスに名前を解決しようとしています...

169.254.0.14 に解決された名前

UDP ポート 389 (不明なサービス): リッスンまたはフィルター処理

UDP ポート 389...への LDAP クエリの送信。

LDAP クエリ応答:

currentdate: <DateTime> (調整されていない GMT)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
設定,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
Servername：
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== LDAP クエリ応答の終了========
UDP ポート 389 がリッスンしています

例 2: RPC エンドポイント マッパーに登録されているサービスの識別

この例では、PortQry を使用して、ターゲット サーバーの RPC エンド ポイント マッパー データベースに登録されているサービスまたはアプリケーションを決定する方法を示します。 出力には、各アプリケーションのユニバーサル一意識別子 (UUID)、注釈付き名前 (存在する場合)、アプリケーションが使用するプロトコル、アプリケーションがバインドされているネットワーク アドレス、アプリケーションのエンドポイント (ポート番号、角かっこで囲まれた名前付きパイプ) が含まれます。 この情報は、さまざまな問題のトラブルシューティングに役立ちます。

既定では、RPC エンド ポイント マッパー データベースはポート 135 をリッスンするように構成されています。 呼び出しの例では、UDP プロトコルを使用してクエリを実行するサーバーを指定します。

portqry -n <fqdn> -p udp -e 135

出力例

呼び出されたターゲット システムのクエリ:

<Fqdn>

IP アドレスに名前を解決しようとしています...

169.254.0.18 に解決された名前

UDP ポート 135 (epmap サービス): リッスンまたはフィルター処理
エンドポイント マッパー データベースのクエリ...
サーバーの応答:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS Restore Interface
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS インターフェイス
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\\MYDC[\pipe\00000580.000]

検出されたエンドポイントの合計数: 6

==== RPC エンドポイント マッパー クエリ応答の終了 ====

UDP ポート 135 がリッスンしています

PortQry は、(UDP または TCP を使用して) 正しい形式の DNS クエリを送信できます。 ユーティリティは、"portqry.microsoft.com" の DNS クエリを送信します。その後、PortQry はターゲット DNS サーバーからの応答を待機します。 どの応答でもポートがリッスンしていることを示しているため、クエリに対する DNS 応答が負か正かは関係ありません。