PortQry を使用して Active Directory 接続の問題をトラブルシューティングする方法

  • [アーティクル]

この記事では、任意のバージョンの Windows で任意の Windows コンポーネントまたはシナリオのネットワーク接続をテストするために PortQry を実行する方法について説明します。

元の KB 番号: 816103

はじめに

PortQry は、Windows のコンポーネントと機能で使用される TCP/IP 接続のトラブルシューティングに使用できるコマンド ライン ユーティリティです。 ユーティリティは、リモート コンピューター上の遷移制御プロトコル (TCP) ポートとユーザー データグラム プロトコル (UDP) ポートのポートの状態を報告します。 PortQry を実行して、任意のバージョンの Windows で任意の Windows コンポーネントまたはシナリオのネットワーク接続をテストできます。

この記事では、portqry を使用して、次のような Active Directory および Active Directory 関連コンポーネントの基本的な TCP/IP 接続を確認する方法について説明します。

  • Active Directory ドメイン サービス (ADDS)
  • ライトウェイト ディレクトリ アクセス プロトコル (LDAP) 用の Active Directory
  • リモート プロシージャ呼び出し (RPC)
  • ドメイン ネーム サービス (DNS)
  • その他の ADDS 関連コンポーネント
  • ADDS が依存しているその他のコンポーネント

必要なポートとプロトコルを介したネットワーク接続の確認は、ドメイン コントローラーがファイアウォールを含む中間デバイスに展開されている場合に特に便利です。

PortQry のインストール

Portqry.exeのダウンロード

PortQry .exeは、Microsoft ダウンロード センターからダウンロードできます。 PortQry .exeをダウンロードするには、次の Microsoft Web サイトを参照してください。

PortQry コマンド ライン ポート スキャナー バージョン 2.0 のダウンロード

Microsoft サポート ファイルをダウンロードする方法の詳細については、次のマイクロソフト サポート技術情報を参照してください。

119591 オンライン サービスからMicrosoft サポート ファイルを取得する方法

Microsoft はこのファイルをスキャンしてウイルスを検出しました。 Microsoft は、ファイルが投稿された日付に利用可能だった最新のウイルス検出ソフトウェアを使用しました。 ファイルは、ファイルに対する未承認の変更を防ぐのに役立つセキュリティ強化サーバーに格納されます。

PortQueryUI と呼ばれる PortQry ツールのグラフィカル バージョンには、PortQry を使いやすくするための追加機能が含まれています。 PortQueryUI ツールをダウンロードするには、次の Microsoft Web サイトを参照してください。

PortQryUI のダウンロード - PortQry コマンド ライン ポート スキャナーのユーザー インターフェイス

詳細

PortQry は、次の 3 つの方法のいずれかでポートの状態を報告します。

  • リッスン中: プロセスがターゲット システムのターゲット ポートでリッスンしています。 PortQry がポートから応答を受信しました。
  • リッスンしていない: ターゲット システムのターゲット ポートでリッスンしているプロセスはありません。 PortQry は、ターゲット UDP ポートからインターネット制御メッセージ プロトコル (ICMP)"宛先到達不能 - ポート到達不能" メッセージを受信しました。 または、ターゲット ポートが TCP ポートの場合、Portqry はリセット フラグが設定された TCP 受信確認パケットを受信しました。
  • フィルター処理: ターゲット システム上のターゲット ポートがフィルター処理されています。 PortQry がターゲット ポートから応答を受信しませんでした。 プロセスがポートでリッスンしている場合とそうでない場合があります。 既定では、TCP ポートは 3 回照会され、UDP ポートは 1 回照会されてからターゲット ポートがフィルター処理されます。

PortQry を使用すると、LDAP サービスに対してクエリを実行することもできます。 UDP または TCP を使用して LDAP クエリを送信し、クエリに対する LDAP サーバーの応答を解釈します。 LDAP サーバーからの応答は解析され、書式設定され、ユーザーに返されます。

Active Directory によって提供される RPC インターフェイスでは、動的サーバー ポートを使用できます (ほとんどは構成可能です)。クライアントは、RPC エンドポイント マッパーを使用して、特定の Active Directory サービスの RPC インターフェイスのサーバー ポートを検索します。

RPC エンドポイント マッパー データベースは、ポート 135 をリッスンします。 つまり、TCP ポート 135 は、基本的な LDAP クエリを超えるほとんどのデプロイに必要なポートです。 また、ドメインのメンバーであるすべてのクライアントにも必要です。

PortQry の詳細については、以下を参照してください。

310099 Portqry.exe コマンド ライン ユーティリティの説明

Active Directory、DFS、DFSR、証明書サービス、その他すべてのサービスなど、Windows で使用されるポートとプロトコルの一覧については、次のサポート情報記事を参照してください。

832017 サービスの概要と Windows のネットワーク ポートの要件

Note

Active Directory およびエフェメラル ポートを使用するその他のサービスでは、ポート 135 から Windows のサービスの概要とネットワーク ポートの要件に関する記事に記載されているすべての接続が必要です。

AD に固有のポートとプロトコルについては、次の記事も参照してください。

179442 ドメインと信頼のファイアウォールを構成する方法

PortQry は、(UDP と TCP を使用して) RPC エンド ポイント マッパーにクエリを送信し、応答を解釈する方法を認識します。 このクエリでは、RPC エンド ポイント マッパーに登録されているすべてのエンドポイントが表示されます。 エンドポイント マッパーからの応答が解析され、書式設定され、ユーザーに返されます。

PortQry を使用できない場合は、LDP.EXEを使用して、 Connectionless チェック ボックスがアクティブになっているポート 389 のドメイン コントローラーに接続できます。

PortQry に代わるもう 1 つの方法は NLTEST ですが、任意のサーバーでは機能しません。 サーバーは、ツールを実行するコンピューターと同じドメイン内のドメイン コントローラーである必要があります。 その場合は、Nltest /sc_reset < ドメイン名> \ <コンピューター名> を使用して、セキュリティ チャネルを特定のドメイン コントローラーに強制的に適用できます。 詳細については、「 Network Connectivity」を参照してください。

portqry の使用

例 1: 例として UDP ポート 389 を使用して、Portqry を使用して特定のポートとプロトコル経由の接続をテストする

この例では、PortQry を使用して LDAP サービスが応答しているかどうかを判断する方法を示します。 応答を調べることで、ポートでリッスンしている LDAP サービスとその構成に関するいくつかの詳細を確認できます。 この情報は、さまざまな問題のトラブルシューティングに役立ちます。

既定では、LDAP はポート 389 をリッスンするように構成されています。 この呼び出し例では、UDP プロトコルを使用してクエリを実行するサーバーを指定します。

PortQry -n <fqdn> -p udp -e 389

PortQry は、Windows Server 2003 以降のコンピューターに含まれる %SystemRoot%\System32\Drivers\...\Services ファイルを使用して UDP ポート 389 を自動的に解決します。 次の出力例では、ポートはアクティブな LDAP サービスに解決され、PortQry はポートがリッスンまたは FILTERED であることを報告します。

その後、PortQry は、応答を受信する形式の LDAP クエリを送信します。 ユーザーに応答全体を返し、ポートがリッスンしていることを報告します。 PortQry は、クエリに対する応答を受信しなかった場合、ポートが FILTERED であることを報告します。

サンプル出力

C:\>portqry -n <fqdn> -e 389 -p udp

呼び出されたターゲット システムに対するクエリ:

<fqdn>

名前を IP アドレスに解決しようとしています...

169.254.0.14 に解決された名前

UDP ポート 389 (不明なサービス): リッスン中またはフィルター処理済み

UDP ポート 389 への LDAP クエリの送信...

LDAP クエリ応答:

currentdate: <DateTime> (調整されていない GMT)
subschemaSubentry:
CN=Aggregate,CN=Schema,CN=Configuration,DC=reskit,DC=com
dsServiceName: CN=NTDS
Settings,CN=mydc,CN=Servers,CN=eu,CN=Sites,CN
=Configuration,DC=reskit,DC=com
namingContexts: DC=reskit,DC=com
defaultNamingContext: DC=reskit,DC=com
schemaNamingContext:
CN=Schema,CN=Configuration,DC=reskit,DC=com
configurationNamingContext:
CN=Configuration,DC=reskit,DC=com
rootDomainNamingContext: DC=reskit,DC=com
supportedControl: 1.2.840.113556.1.4.319
supportedLDAPVersion: 3
supportedLDAPPolicies: MaxPoolThreads
highestCommittedUSN: 815431405
supportedSASLMechanisms: GSSAPI
dnsHostName: <HostName>
ldapServiceName: <ServiceName>
serverName:
CN=MYDC,CN=Servers,CN=EU,CN=Sites,CN=Configuration,DC=reskit,DC=com
supportedCapabilities: 1.2.840.113556.1.4.800
isSynchronized: TRUE
isGlobalCatalogReady: TRUE

======== LDAP クエリ応答の終了========
UDP ポート 389 がリッスンしています

Note

WINDOWS Server 2008 以降を実行しているドメイン コントローラーに対して、UDP 経由の LDAP テストが機能しない可能性があります。 その理由の 1 つは、ドメイン コントローラーで IPv6 を無効にしている可能性があります。 IPv6 を有効にするには、以下の記事で説明する値を既定値の 0 に設定します。
上級ユーザー向けに Windows で IPv6 を構成するための929852 ガイダンス

例 2: RPC エンドポイント マッパーに登録されているサービスの識別

この例では、PortQry を使用して、ターゲット サーバーの RPC エンド ポイント マッパー データベースに登録されているサービスまたはアプリケーションを特定する方法を示します。 出力には、各アプリケーションのユニバーサル一意識別子 (UUID)、注釈付き名前 (存在する場合)、アプリケーションが使用するプロトコル、アプリケーションがバインドされているネットワーク アドレス、およびアプリケーションのエンドポイント (ポート番号、角かっこで囲まれた名前付きパイプ) が含まれます。 この情報は、さまざまな問題のトラブルシューティングに役立ちます。

既定では、RPC エンドポイント マッパー データベースはポート 135 をリッスンするように構成されています。 この呼び出し例では、UDP プロトコルを使用してクエリを実行するサーバーを指定します。

portqry -n <fqdn> -p udp -e 135

サンプル出力

呼び出されたターゲット システムに対するクエリ:

<fqdn>

名前を IP アドレスに解決しようとしています...

169.254.0.18 に解決された名前

UDP ポート 135 (epmap サービス): リッスン中またはフィルター処理済み
エンドポイント マッパー データベースに対するクエリを実行中...
サーバーの応答:

UUID: ecec0d70-a603-11d0-96b1-00a0c91ece30 NTDS バックアップ インターフェイス
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: 16e0cf3a-a604-11d0-96b1-00a0c91ece30 NTDS 復元インターフェイス
ncacn_np:\\\\MYDC[\PIPE\lsass]

UUID: e3514235-4b06-11d1-ab04-00c04fc2dcd2 MS NT Directory DRS インターフェイス
ncacn_ip_tcp:169.254.0.18[1027]

UUID: f5cc59b4-4264-101a-8c59-08002b2f8426 NtFrs Service
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_ip_tcp:169.254.0.18[1130]

UUID: d049b186-814f-11d1-9a3c-00c04fc9b232 NtFrs API
ncacn_np:\\\\MYDC[\pipe\00000580.000]

検出されたエンドポイントの合計数: 6

==== RPC エンドポイント マッパー クエリ応答の終了 ====

UDP ポート 135 がリッスンしています

PortQry は、(UDP または TCP を使用して) 正しく書式設定された DNS クエリを送信できます。 ユーティリティは、"portqry.microsoft.com" の DNS クエリを送信します。その後、PortQry はターゲット DNS サーバーからの応答を待機します。 どの応答もポートがリッスンしていることを示しているため、クエリに対する DNS 応答が否定的か肯定的かは関係ありません。