Como usar o PortQry para solucionar problemas de conectividade do Active Directory
Este artigo descreve como executar o PortQry para testar a conectividade de rede para qualquer componente ou cenário do Windows em qualquer versão do Windows.
Aplica-se a: Windows Server 2012 R2
Número de KB original: 816103
Introdução
O PortQry é um utilitário de linha de comando que você pode usar para solucionar problemas de conectividade TCP/IP usados por componentes e recursos do Windows. O utilitário relata as portas status das portas TCP (Protocolo de Controle de Transição) e protocolo UDP (User Datagram Protocol) em um computador remoto. Você pode executar o PortQry para testar a conectividade de rede para qualquer componente ou cenário do Windows em qualquer versão do Windows.
Este artigo descreve como usar o portqry para verificar a conectividade TCP/IP básica para componentes relacionados ao Active Directory e ao Active Directory, incluindo:
- Active Directory Domain Services (ADDS)
- LDAP (Active Directory for Lightweight Directory Access Protocol)
- RPC (Chamada de procedimento remoto)
- DNS (Serviço de Nome de Domínio)
- Outros componentes relacionados ao ADDS
- Outros componentes nos quais o ADDS é dependente
Verificar a conectividade de rede nas portas e protocolos necessários é especialmente útil quando os controladores de domínio são implantados em dispositivos intermediários, incluindo firewalls.
Instalar o PortQry
Baixar Portqry.exe
O PortQry .exe está disponível para download no Centro de Download da Microsoft. Para baixar o portQry .exe, visite o seguinte site da Microsoft:
Baixar o Scanner de Porta de Linha de Comando do PortQry Versão 2.0
Para obter mais informações sobre como baixar Suporte da Microsoft arquivos, confira a seguir a Base de Dados de Conhecimento da Microsoft:
119591 Como obter arquivos de Suporte da Microsoft dos serviços online
A Microsoft examinou esse arquivo em busca de vírus. A Microsoft usou o software de detecção de vírus mais atual que estava disponível na data em que o arquivo foi postado. O arquivo é armazenado em servidores aprimorados pela segurança que ajudam a evitar alterações não autorizadas no arquivo.
Uma versão gráfica da ferramenta PortQry, chamada PortQueryUI, contém recursos adicionais que podem facilitar o uso do PortQry. Para baixar a ferramenta PortQueryUI, visite o seguinte site da Microsoft:
Baixar PortQryUI – Interface do Usuário para o Scanner de Porta de Linha de Comando do PortQry
Mais informações
O PortQry relata o status de uma porta de uma das três maneiras:
- Escuta: um processo está ouvindo na porta de destino no sistema de destino. O PortQry recebeu uma resposta da porta.
- Não escuta: nenhum processo está ouvindo na porta de destino no sistema de destino. O PortQry recebeu uma mensagem ICMP (Protocolo de Mensagem de Controle da Internet)"Destino Inacessível – Porta Inacessível" de volta da porta UDP de destino. Ou, se a porta de destino for uma porta TCP, o Portqry recebeu um pacote de reconhecimento TCP com o conjunto de sinalizadores Reset.
- Filtrado: a porta de destino no sistema de destino está sendo filtrada. O PortQry não recebeu uma resposta da porta de destino. Um processo pode ou não estar ouvindo na porta. Por padrão, as portas TCP são consultadas três vezes e as portas UDP são consultadas uma vez antes de relatar que a porta de destino é filtrada.
Com o PortQry, você também pode consultar um serviço LDAP. Ele envia uma consulta LDAP, usando UDP ou TCP, e interpreta a resposta do servidor LDAP à consulta. A resposta do servidor LDAP é analisada, formatada e retornada ao usuário.
As interfaces RPC oferecidas pelo Active Directory podem usar portas de servidor dinâmicas (a maioria é configurável.) Os clientes usam o Mapeador de Ponto de Extremidade do RPC para localizar a porta do servidor da interface RPC de um serviço específico do Active Directory.
O banco de dados mapeador de ponto de extremidade RPC escuta a porta 135. Isso significa que a porta TCP 135 é uma porta necessária para a maioria das implantações que vão além das consultas LDAP básicas. Ele também é necessário para todos os clientes que são membros de um domínio.
Para obter mais informações sobre o PortQry, confira:
310099 Descrição do utilitário de linha de comando Portqry.exe
Você pode encontrar uma lista de portas e protocolos que o Windows usa, incluindo Active Directory, DFS, DFSR, Certificate Services e todos os outros serviços no seguinte artigo base de dados de conhecimento:
Visão geral do serviço 832017 e requisitos de porta de rede para Windows
Observação
O Active Directory e outros serviços que usam portas efêmeras devem ter conectividade da porta 135 para todos os listados na visão geral do serviço e nos requisitos da porta de rede para o artigo do Windows.
Portas e protocolos específicos do AD também podem ser encontrados no artigo:
179442 Como configurar um firewall para domínios e trusts
O PortQry sabe como enviar uma consulta para o mapeador de ponto de extremidade do RPC (usando UDP e TCP) e interpretar a resposta. Essa consulta exibe todos os pontos finais registrados com o mapeador de ponto de extremidade RPC. A resposta do mapeador do ponto de extremidade é analisada, formatada e retornada ao usuário.
Se o PortQry não estiver disponível, você poderá usar LDP.EXE para se conectar ao Controlador de Domínio na porta 389 com a caixa marcar sem conexão ativada.
Outra alternativa ao PortQry é o NLTEST, mas não funciona para servidores arbitrários. O servidor deve ser um Controlador de Domínio no mesmo domínio que o computador em que você executa a ferramenta. Se esse for o caso, você poderá usar onome> do computador nltest /sc_reset<<nome> \ de domínio para forçar um canal de segurança a um controlador de domínio específico. Para obter mais informações, consulte Conectividade de Rede.
Usando o portqry
Exemplo 1: usar o Portqry para testar a conectividade em uma porta e protocolo específicos usando a porta UDP 389 como exemplo
Este exemplo demonstra como usar o PortQry para determinar se o serviço LDAP está respondendo. Examinando a resposta, você pode determinar qual serviço LDAP está ouvindo na porta e alguns detalhes sobre sua configuração. Essas informações podem ser úteis para solucionar vários problemas.
Por padrão, o LDAP está configurado para ouvir a porta 389. A chamada de exemplo especifica o servidor para consultar usando o protocolo UDP:
PortQry -n <fqdn> -p udp -e 389
O PortQry resolve automaticamente a porta UDP 389 usando o arquivo %SystemRoot%\System32\Drivers\...\Services incluído nos computadores Windows Server 2003 e posteriores. Na saída de exemplo abaixo, a porta se resolve para um serviço LDAP que está ativo e o PortQry informa que a porta é LISTENING ou FILTERED.
O PortQry então envia uma consulta LDAP formatada à qual recebe uma resposta. Ele retorna toda a resposta ao usuário e relata que a porta é LISTENING. Se o PortQry não receber uma resposta à consulta, ele informará que a porta é FILTRADA.
Saída de exemplo
C:\>portqry -n <fqdn> -e 389 -p udp
Sistema de destino de consulta chamado:
<Fqdn>
Tentando resolve nome para endereço IP...
Nome resolvido para 169.254.0.14
Porta UDP 389 (serviço desconhecido): LISTENING ou FILTERED
Enviando consulta LDAP para a porta UDP 389...
Resposta de consulta LDAP:
currentdate: <DateTime> (GMT não ajustado)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Configurações,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
Schemanamingcontext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
Configurationnamingcontext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
Servername:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE======== Fim da ======== de resposta à consulta LDAP
A porta UDP 389 é LISTENING
Observação
O teste LDAP em UDP pode não funcionar em relação aos controladores de domínio que estão executando o Windows Server 2008 e posterior. Um dos motivos para isso pode ser que você desabilitou o IPv6 no Controlador de Domínio. Para habilitar o IPv6, defina o valor discutido no artigo abaixo como o padrão de 0:
929852 Diretrizes para configurar o IPv6 no Windows para usuários avançados
Exemplo 2: Identificar serviços registrados com mapeador de ponto de extremidade RPC
Este exemplo demonstra como usar o PortQry para determinar quais serviços ou aplicativos estão registrados com o banco de dados mapeador de ponto de extremidade RPC do servidor de destino. A saída inclui o UUID (Identificador Universalmente Exclusivo) de cada aplicativo, o nome anotado (se existir), o protocolo que o aplicativo usa, o endereço de rede ao qual o aplicativo está vinculado e o ponto de extremidade do aplicativo (número da porta, pipe nomeado em colchetes). Essas informações podem ser úteis para solucionar vários problemas.
Por padrão, o banco de dados mapeador de ponto de extremidade RPC está configurado para ouvir a porta 135. A chamada de exemplo especifica o servidor para consultar usando o protocolo UDP:
portqry -n <fqdn> -p udp -e 135
Saída de exemplo
Sistema de destino de consulta chamado:
<Fqdn>
Tentando resolve nome para endereço IP...
Nome resolvido para 169.254.0.18
Porta UDP 135 (serviço de epmap): LISTENING ou FILTERED
Consultando o Banco de Dados mapeador de ponto de extremidade...
Resposta do servidor:UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup Interface
ncacn_np:\\\MYDC[\PIPE\lsass]UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS Restore Interface
ncacn_np:\\\MYDC[\PIPE\lsass]UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS Interface
ncacn_ip_tcp:169.254.0.18[1027]UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\MYDC[\pipe\0000580.000]Total de pontos de extremidade encontrados: 6
==== End of RPC Endpoint Mapper query response ====
A porta UDP 135 é LISTENING
O PortQry pode enviar uma consulta DNS formatada corretamente (usando UDP ou TCP). O utilitário envia uma consulta DNS para "portqry.microsoft.com
". O PortQry aguarda uma resposta do servidor DNS de destino. Se a resposta DNS à consulta é negativa ou positiva é irrelevante porque qualquer resposta indica que a porta está ouvindo.
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários