Використання PortQry для усунення проблем із підключенням до служби Active Directory

Вступ

PortQry — це утиліта командного рядка, яку можна використовувати для усунення підключення TCP/IP, що використовується компонентами та функціями Windows. Програма повідомляє про стан порту для портів протоколу переходу (TCP) та протоколів користувацьких дейтаграм (UDP) на віддаленому комп'ютері. Ви можете запустити PortQry для перевірки мережного підключення для будь-якого компонента Windows або сценарію на будь-якій версії Windows.

У цій статті описується використання portqry, щоб перевірити основні TCP/IP підключення для Active Directory і Active Directory пов'язані компоненти, включаючи:

  • Служби доменів Active Directory (ДОДАЄТЬСЯ)

  • Active Directory для легкого протоколу доступу до каталогів (LDAP)

  • Віддалений виклик процедур (RPC)

  • Служба доменних імен (DNS)

  • Інші ДОДАЄ пов'язані компоненти

  • Інші компоненти, на яких ДОДАЄТЬСЯ залежить

Перевірка підключення до мережі через необхідні порти та протоколи особливо корисна, коли контролери домену розгорнуті через проміжні пристрої, включаючи брандмауери.

Встановити PortQry

Завантажити Portqry. exe

Portqry. exe можна завантажити з центру завантажень Microsoft. Щоб завантажити Portqry. exe, відвідайте веб-сайт корпорації Майкрософт:

https://www.microsoft.com/en-us/download/details.aspx?id=17148

Щоб отримати додаткові відомості про те, як завантажити файли підтримки Microsoft, див .

як отримати файли підтримки Майкрософт від онлайнових служб

Цей файл перевірено на наявність вірусів. Корпорація Майкрософт використовувала поточне програмне забезпечення для виявлення вірусів, доступне на дату публікації файлу. Файл зберігається на захищених серверах, які допомагають запобігти внесенню до файлу будь-яких несанкціонованих змін. Графічна версія PortQry інструмент, званий Portqry, містить додаткові функції, які можуть зробити за допомогою PortQry простіше у використанні. Щоб завантажити засіб PortQueryUI, перейдіть на веб-сайт корпорації Майкрософт:

www.microsoft.com/en-us/download/details.aspx?id=24009

Додаткова інформація

Portqry повідомляє про стан порту в одному з трьох способів:

  • Слухання: процес прослуховування цільового порту на цільовій системі. Portqry отримав відповідь від порту.

  • Не слухав: жоден процес не слухає цільового порту на цільовій системі. Portqry , отримав протокол керування повідомлення Інтернету (ICMP) "призначення недоступний-Порт недоступний" повідомлення з ЦІЛЬОВОГО порту UDP. Або, якщо цільовий порт TCP-порт, Portqry отримав пакет TCP підтвердження з набору прапор скидання.

  • Відфільтровано: фільтруються цільовий порт на цільовій системі. Portqry не отримав відповідь від цільового порту. Процес може або не може бути прослуховуванням порту. За промовчанням TCP-порти запит три рази і UDP-порти, запит один раз, перш ніж звітування цільового порту фільтрується.

За допомогою Portqryможна також ЗАПИТУВАТИ службу LDAP. Надсилає запит LDAP, за допомогою UDP або TCP, і інтерпретує відповідь сервера LDAP на запит. Відповідь від сервера LDAP аналізується, відформатовано та повернуто користувачу.

Інтерфейси RPC, пропоновані Active Directory, можна використовувати порти динамічного сервера (більшість настроюються.) Клієнти за допомогою віддаленого виклику процедур кінцевої точки-зіставлення знайти сервер порт інтерфейсу RPC певної служби Active Directory.

База даних засобу зіставлення кінцевої точки RPC прослуховує порт 135. Це означає, що TCP-порт 135 необхідний порт для більшості розгортання, які виходять за рамки базових запитів LDAP. Це також потрібно для всіх клієнтів, які є членом домену.

Щоб отримати додаткові відомості про Portqryдив.:

310099 Опис утиліти для командного рядка Portqry. exe

Можна знайти список портів і протоколів, які Windows використовує в тому числі Active Directory, DFS, DFSR, служби сертифікації та всі інші служби в такій статті бази знань Knowledge Base:

832017 огляд служби та вимоги до мережного порту для Windows

Примітка Active Directory та інші служби, які використовують тимчасових портів, потрібно мати підключення з порту 135 до всіх перелічених у службі огляд і мережного порту вимоги для Windows статті.

Порти та протоколи, специфічні для ОГОЛОШЕНЬ, також можна знайти у статті:

179442 як налаштувати брандмауер для доменів і довіри

Portqry вміє надсилати запит до зіставлення кінцевої точки віддаленого виклику процедур (за допомогою UDP і TCP) і інтерпретувати відповідь. Цей запит відображає всі кінцеві точки, зареєстровані з метою зіставлення кінцевої точки RPC. Відповідь на зіставлення кінцевої точки аналізується, форматується та повертається користувачу.

Якщо Portqry недоступна, ви можете використовувати ЛДП. EXE, щоб підключитися до контролера домену порт 389, з підключенням до без підключення активовано. Іншою альтернативою Portqry є NLТЕСТ, але він не працює для довільних серверів. Сервер має бути контролером домену в тому самому домені, що й машина, на якій запущено засіб. Якщо це так, ви можете використовувати Nntest/sc_reset < доменне ім'я >\< ім'я комп'ютера > , щоб примусити канал безпеки на певному контролері домену. Для отримання додаткових відомостей див .

Використання portqry

Приклад 1: використання Portqry для перевірки підключення через певний порт і протокол за допомогою UDP-порт 389 як приклад

 

У цьому прикладі показано, як використовувати Portqry , щоб визначити, чи служба LDAP відповідає. Переглянувши відповідь, можна визначити, яка служба LDAP прослуховує порт і деякі відомості про його конфігурацію. Ця інформація може бути корисною для усунення несправностей у різних проблемах.

За промовчанням LDAP настроєно для прослуховування порт 389. Приклад виклику задає сервер для запиту за допомогою протоколу UDP:

Portqry -n MyServer-p UDP-e 389

Portqry автоматично вирішує UDP-порт 389 за допомогою%SystemRoot%\sytrs32\dorcdupe..e.prcu2003 s \ служби файл, У прикладі нижче, порт, вирішує служби LDAP, активний і Portqry повідомляє, що порт прослуховує або фільтрується.

Потім Portqry надсилає ФОРМАТОВАНИЙ запит LDAP, до якого він отримує відповідь. Він повертає всю відповідь на користувача і повідомляє, що порт СЛУХАЄ. Якщо Portqry не отримав відповідь на запит, він повідомляє, що порт фільтрується.

Приклад виводу

C \ > portqry-n mydc.reskit.com-e 389-p UDP Запит цільової системи називається: mydc.reskit.com Спроба виправити ім'я на IP-адресу... Ім'я вирішено 169.254.0.14 UDP-порт 389 (невідома служба): ПРОСЛУХОВУВАННЯ або ВІДФІЛЬТРОВАНІ Надсилання запиту LDAP до порту UDP 389... Відповідь запиту LDAP: Поточна дата: 10/11/2001 23:10:21 (нескоригована GMT) Субсхемі: CN = агрегатний, CN = схеми, CN = конфігурація, DC = reskit, DC = com Назва сайту: CN = NTDS Настройки, CN = mydc, CN = сервери, CN = eu, CN = сайтів, CN = Конфігурація, DC = reskit, DC = com Namingконтексти: DC = reskit, DC = com defaultNamingContext: DC = reskit, DC = com Контекст схеми: CN = схеми, CN = конфігурація, DC = reskit, DC = com configurationNamingContext: CN = конфігурація, DC = reskit, DC = com Доменнийконтекст: DC = reskit, DC = com Керування для підтримки: 1.2.840.113556.1.4.319 Версія для підтримки: 3 Політики підтримки: Maxпулі потоків Високий комітет: 815431405 Підтримки механізмів: GSSAPI Назва: MYDC.reskit.com Назва _ пакета: reskit. com: mydc $ @RESKIT. COM Ім'я сервера: CN = MYDC, CN = сервери, CN = EU, CN = сайти, CN = конфігурація, DC = reskit, DC = com Можливості підтримки: 1.2.840.113556.1.4.800 isSynchronized: TRUE isGlobalCatalogReady: TRUE = = = = = = = = Кінець запиту LDAP = = = = = = = = Порт UDP 389 ПРОСЛУХОВУЄ

Зверніть увагу Тест LDAP, через UDP, може не працювати з контролерів домену, під керуванням Windows Server 2008 і пізніших версій. Однією з причин цього може бути те, що ви вимкнув IPv6 на контролері домену. Щоб увімкнути IPv6, встановіть значення, що обговорюється в статті нижче за замовчуванням "0":

929852 інструкції з налаштування IPv6 в ОС Windows для досвідчених користувачів

Приклад 2: визначення служб, які зареєстровано за допомогою віддаленого виклику процедур кінцевої точки зіставлення

У цьому прикладі показано, як використовувати Portqry , щоб визначити, які служби або програми зареєстровано на цільовий сервер, кінцева точка-зіставлення бази даних. Вивід включає в себе універсальний унікальний ідентифікатор кожного застосунку (UUID), анотований ім'я (якщо такий існує), протокол використовує застосунок, мережну адресу, до якої прив'язано застосунок, а кінцева точка застосунку (номер порту, Іменований канал у квадратних дужках). Ця інформація може бути корисною для усунення несправностей у різних проблемах.

За промовчанням, базу даних зіставлення кінцевої точки віддаленого виклику процедур настроєно для прослуховування порт 185. Приклад виклику задає сервер для запиту за допомогою протоколу UDP:

portqry-n mydc.reskit.com-p UDP-e 135

Приклад виводу

Запит цільової системи називається: mydc.reskit.com Спроба виправити ім'я на IP-адресу... Ім'я вирішено 169.254.0.18 UDP-порт 135 (служба EPMAP): ПРОСЛУХОВУВАННЯ або ФІЛЬТРУВАННЯ Запит до бази даних зіставлення кінцевої точки... Відповідь сервера: UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS Backup інтерфейс ncacn_np: \\\\MYDC [\\PIPE\\lsass] UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS відновлення інтерфейсу ncacn_np: \\\\MYDC [\\PIPE\\lsass] UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT каталог інтерфейс DRS ncacn_ip_tcp: 169.254.0.18 [1027] UUID: служба f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs ncacn_ip_tcp: 169.254.0.18 [1130] UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API ncacn_ip_tcp: 169.254.0.18 [1130] UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API ncacn_np: \\\\MYDC [\ \ \ n\000050.000] Всього кінцевих точок знайдено: 6 = = = = Кінець відповіді на запит зіставлення кінцевої точки RPC = = = = Порт UDP 135 ПРОСЛУХОВУЄ

PortQry можна надіслати правильно відформатований DNS-запиту (за допомогою UDP або TCP). Утиліта надсилає запит DNS для "portqry.microsoft.com". Portqry потім чекає відповіді від цільового DNS-сервера. Чи відповідь DNS на запит негативно або позитивна не має значення, оскільки будь-яка відповідь вказує на прослуховування порту.

 

Потрібна додаткова довідка?

Отримуйте нові функції раніше за інших
Приєднатися до Microsoft оцінювачів

Чи були ці відомості корисні?

Дякуємо за ваш відгук!

Дякуємо, що знайшли час і надіслали нам відгук! Можливо, у нас не буде часу відповісти на кожен коментар, але докладемо максимум зусиль, щоб переглянути їх усі. Вас цікавить, як ми використовуємо ваші відгуки?

×