Die Konfiguration von Portfilter-Regeln für die Bereitstellung eines Microsoft Windows Servers mit Active Directory ist mitunter ziemlich nervig. Ein AD benötigt je nach Konfiguration sehr viele unterschiedliche Ports.

Fehlermeldungen in der Ereignisanzeige

Wenn du am Client oder zweiten AD-Server Fehlermeldungen wie RPC server not available o.ä. vorfindest, solltest du erst einmal den Antivirus bzw. die Endpoint Protection überprüfen. Wenn du alle Anwendungen und auch die Windows Firewall überprüft hast, hilft eigentlich nur noch ein weniger bekanntes Tool, um dem Problem effektiv entgegenzuwirken.

Active Directory-Konnektivitätsprobleme mit PortQry identifizieren

Die häufig verwendeten Tools ping, nslookup oder nmap helfen bei der Identifizierung von Konnektivitätsproblemen mit AD-Servern nur bedingt. Sie sind nicht dazu ausgelegt, die speziellen AD-Ports und Funktionen zu überprüfen.

Download: PortQryUI – GUI

Version: 1.0 | Größe: 213 KB

Im Tool kannst du mit „Domains & Trusts“ zwischen AD oder/und Client oder auch einem anderen AD die Verbindung auf blockierte AD-Ports oder nicht korrekt funktionierende AD-Funktionen überprüfen.

Die Anwendung gibt bei Problemen mit Ports „NOTLISTENING“, 0x00000001 oder 0x0000000002 aus. Wenn Probleme bei den UDP-Ports 389 und/oder 88 auftreten, können diese in den meisten Fällen ignoriert werden. Bei TCP 42-Fehlern kann dies bedeuten, dass kein WINS auf dem AD aktiv ist. WINS wird nur noch in wenigen Szenarien benötigt.

AD Firewall-Ports und die Erklärung

Protokoll und PortErklärung bzw. ZweckDienst
TCP/25ReplikationSMTP
TCP/42Verwendung von WINS in einem Domain-Trust-Szenario mit NetBIOS-AuflösungWINS
TCP/135ReplikationRPC, EPM
TCP/137NetBIOS-NamensauflösungNetBIOS
TCP/139Benutzer- und Computer-Authentifizierung, ReplikationDFSN, NetBIOS-Sitzungsdienst, NetLogon
TCP und UDP/389Verzeichnis, Replikation, Benutzer- und Computer-Authentifizierung, Gruppenrichtlinien, TrustsLDAP
TCP/636Verzeichnis, Replikation, Benutzer- und Computer-Authentifizierung, Gruppenrichtlinien, TrustsLDAP SSL
TCP/3268Verzeichnis, Replikation, Benutzer- und Computer-Authentifizierung, Gruppenrichtlinien, TrustsLDAP GC
TCP/3269Verzeichnis, Replikation, Benutzer- und Computer-Authentifizierung, Gruppenrichtlinien, TrustsLDAP GC SSL
TCP und UDP/88Benutzer- und Computer-Authentifizierung, Forest Level TrustsKerberos
TCP und UDP/53Benutzer- und Computer-Authentifizierung, Namensauflösung, TrustsDNS
TCP und UDP/445Replikation, Benutzer- und Computer-Authentifizierung, Gruppenrichtlinien, TrustsSMB, CIFS, SMB2, DFSN, LSARPC, NbtSS, NetLogonR, SamR, SrvSvc
TCP/9389AD DS-WebdiensteSOAP
TCP/5722Datei-ReplikationRPC, DFSR (SYSVOL)
TCP und UDP/464Replikation, Benutzer- und Computer-Authentifizierung, TrustsKerberos-Kennwort ändern/einstellen
UDP/123Windows-Zeit, TrustsWindows-Zeit
UDP/137Benutzer- und Computer-AuthentifizierungNetLogon, NetBIOS-Namensauflösung
UDP/138DFS, Gruppenrichtlinien, NetBIOS NetlogonDFSN, NetLogon, NetBIOS-Datagrammdienst
UDP/67 und 2535DHCP (Hinweis: DHCP ist kein zentraler AD DS-Dienst, aber diese Anschlüsse können für andere Funktionen neben DHCP, wie z. B. WDS, erforderlich sein)DHCP, MADCAP, PXE