6. Comandos Interesantes




PORTQRY

Se utiliza para solucionar problemas de conectividad TCP/IP e informa sobre el estado de un puerto TCP/IP con tres posibles respuestas:
  • Listening: Hay un proceso a la escucha en el puerto del equipo seleccionado. Portqry.exe recibió una respuesta desde el puerto.
  • Not Listening: No hay ningún proceso a la escucha en el puerto de destino del sistema de destino. Portqry.exe recibió el mensaje "Destino inalcanzable: Puerto inaccesible" de Protocolo de mensajes de control de Internet (ICMP) para el puerto UDP de destino. O bien, si el puerto de destino es un puerto TCP, Portqry recibió un paquete de confirmación TCP con el indicador Reset.
  • Filtered: El puerto del equipo que seleccionó tiene activado un filtro. Portqry.exe no recibió una respuesta desde el puerto. Es posible que haya un proceso a la escucha en el puerto. De manera predeterminada, los puertos TCP se consultan tres veces y los puertos UDP una antes de que el informe indique que el puerto tiene activado un filtro.
Ejemplos
A parte de los siguientes ejemplos que vamos a ver a continuación tenemos una tool PortqueryUI con interfaz gráfica para realizar lo mismo de modo visual.
El comando siguiente intenta resolver "midominio.com" y a continuación, consulta el puerto TCP 25 en el host correspondiente (el root dns de la zona, leg00dc3)
portqry -n midominio.com -p tcp -e 25

El comando siguiente intenta resolver en la ip "172.25.126.17" y después consulta los puertos TCP 143, 110 y 25 (en ese orden) en el host que seleccionó. Este comando también crea un archivo de registro.
portqry -n 169.254.0.11 -p tcp -o 143,110,25 -l portqry.log

El comando siguiente intenta resolver miServidor como una dirección IP y después consulta el intervalo especificado de puertos UDP (135-139) en orden secuencial en el host correspondiente. Este comando también crea un archivo de registro.
portqry -n leg00dc3 -p udp -r 135:139 -l miServidor.txt

En nuestro caso, los puertos 25, 110 y 143 al ser smtp, pop e imap están cerrados y las respuestas son: NOT LISTENING
Sin embargo, si hacemos un portquery al 389 para el mismo host o zona, obtenemos LISTENING, ya que se trata del puerto de comunicación para LDAP (AD).
Por tanto, para nosotros, los puertos lo normal es obtener, FILTERED or NOT LISTENING salvo los conocidos y admitidos como el 389 que están en LISTENING.

 Existe para descargar portqryUI.exe como herramienta visual para realizar los comandos de portqry.

NSLOOKUP midominio.com

Nslookup.exe es para probar y solucionar problemas de los servidores DNS. Se puede ejecutar en dos modos: interactivo y no interactivo.

Una ejecución básica no-interactiva de nslookup con el nombre del dominio sobre el que queremos preguntar, nos devuelve en primer lugar el DNS con el que estamos trabajando (desde el que ejecutamos la consulta) y nos entrega más abajo los DNS de la zona (entre los cuales se encuentra él mismo), en nuestro caso, todos los DC. Debemos tener en cuenta que prácticamente todas las respuestas son autoritativas en nuestro caso, ya que de recibir respuesta de algún servidor no autoritativo se puede leer la cabecera Non-authoritative.

C:\Archivos de programa\Support Tools>nslookup midominio.com
Servidor:  dc1.midominio.com
Address:  192.168.1.10

Nombre: midominio.com
Addresses:...


 Si ahora decidimos preguntar por los registros mx (mail Exchange) para nuestro dominio midominio.com, lo podemos hacer con la opción type=mx , obtenemos:

C:\Archivos de programa\Support Tools>nslookup -type=mx midominio.com
Servidor: dc1.midominio.com
Address:  192.168.1.10

midominio.com
        primary name server = leg00dc3.midominio.com
        responsible mail addr = admin.midominio.com
        serial  = 1194905
        refresh = 900 (15 mins)
        retry   = 600 (10 mins)
        expire  = 86400 (1 day)
                    default TTL = 3600 (1 hour)

Y lo que obtenemos lógicamente es que no tenemos registros mx en la zona ya que no hay servidores de correo en la misma. Simplemente nos ha entregado el registro de SOA.

Ahora encuestamos para ver quién es el SOA de la zona midominio.com (Start of Authority):

C:\Archivos de programa\Support Tools>nslookup -type=soa midominio.com
Servidor:  dc1.midominio.com
Address:  192.168.1.10

midominio.com
        primary name server = leg00dc3.midominio.com
        responsible mail addr = admin.midominio.com
        serial  = 1194908
        refresh = 900 (15 mins)
        retry   = 600 (10 mins)
        expire  = 86400 (1 day)
        default TTL = 3600 (1 hour)
leg00dc3.midominio.com        internet address = 172.25.126.17

Que en nuestro caso coincide con la respuesta de arriba ya que nos entrega efectivamente nuestro registro SOA de midominio.com



Si ahora decidimos preguntar por los registros ns (Name Servers) para nuestro dominio midominio.com, lo podemos hacer con la opción type=ns , obtenemos:

C:\Archivos de programa\Support Tools>nslookup -type=ns midominio.
Servidor:  dc1.midominio.com
Address:  192.168.1.10

midominio.com nameserver =....
.......

Por ultimo, para obtener más información (equivalente a verbose) vamos a establecer set=debug (lo hacemos en modo interactivo esta vez):

C:\Archivos de programa\Support Tools>nslookup
Servidor predeterminado: dc1.midominio.com
Address:  192.168.1.10

> set debug
> midominio.com
Servidor:  dc1.midominio.com
Address:  192.168.1.10

------------
Got answer:
    HEADER:
        opcode = QUERY, id = 2, rcode = NXDOMAIN
        header flags:  response, auth. answer, want recursion, recursion avail.
        questions = 1,  answers = 0,  authority records = 1,  additional = 0

    QUESTIONS:
        midominio.com.midominio.com, type = A, class = IN
    AUTHORITY RECORDS:
    ->  midominio.com
        ttl = 3600 (1 hour)
        primary name server = dc1.midominio.com
        responsible mail addr = admin.midominio.com
        serial  = 1194912
        refresh = 900 (15 mins)
        retry   = 600 (10 mins)
        expire  = 86400 (1 day)
        default TTL = 3600 (1 hour)

------------
------------
.......


DSASTAT

Nos sirve para comparar las réplicas del dominio entre diferentes controladores de dominio. Puede ser usado para comparar dos directorios entre réplicas en el mismo dominio, en nuestro caso midominio.com y también puede ser usado entre distintos dominios en un GC. Nos devuelve, por ejemplo: capacidad, estadísticas y objetos por servidor así como realizar comparaciones entre objetos replicados.

Como ejemplo más claro, si queremos comprobar cuales son las diferencias entre dos DCs , en este caso el dc1 y dc2 para todo el árbol del Directorio activo.


dsastat -s:dc1.midominio.com;dc2.midominio.com


Si por ejemplo queremos pasarlo para una OU concreta:

dsastat -s:dc1.midominio.com;dc2.midominio.com –b: OU=oficina1,DC=midominio,DC=com

Como resultado final debemos obtener algo parecido a esta salida, tras pasar el primer comando:

                        . . . . . . . . . . . . . .

Bytes per server:
Server                         Bytes
dc1.midominio.com       10278621


                        . . . . . . . . . . . . . .
Checking for missing replies...
        No missing replies!INFO: Server sizes are not equal (min=10278621, max=10641009).
*** Identical Directory Information Trees ***
                -=>> PASS <<=-
closing connections...
   dc1.midominio.com; dc2.midominio.com;


NLTEST



Para que todos los DC se “anuncien” en el DNS y todos encuentren a todos correctamente, necesitan que todos los SRV records estén en la zona midominio.com para encontrar a cualquier servidor que posea el servicio ADDS desde cualquier servidor DNS y así mejorar los resultados de búsqueda y réplica del mismo.


En la TechNet de Microsoft observamos que existen al menos 2 maneras de forzar a un DC para que registre su SRV en el DNS. Una de ellas reiniciando el servicio Netlogon y otra sin reiniciarlo. 

Realizamos el registro de los SRV sin reiniciar el Netlogon con el siguiente comando:

Nltest /server:dc1.justicia.gva.es /dsregdns          #por ejemplo para dc1

Y comprobamos posteriormente que el registro en DNS se ha producido, tarda unas horas hasta que se replica al resto de DNS correctamente ya que esta replica se produce con la de AD. Después verificamos si lo hace bien con el siguiente comando,

Dcdiag /test:DNS /DNSRecordRegistration /s:dc1.justicia.gva.es 

La salida de este Test, nos da successfull, lo que significa que se registrará ok en él mismo, luego hay que esperar que replique. Esperamos a ver que el DNS se replica correctamente y el registro SRV aparece en todos los DNS de la zona.
Podemos comprobar entonces como se va llenando la zona correspondiente con los registros SRV y que las réplicas se van transmitiendo correctamente.
 

Comentarios

Publicar un comentario

Entradas populares de este blog

10. Eliminacion de metadatos en Directorio Activo.

En un DC del AD y con el administrador del dominio, ejecutamos los siguientes comandos: ntdsutil metadata cleanup connections connect to DCx                #debemos conectar a otro DC distinto al que queremos eliminar    select operation target    list domains    select domain x                  #dominio del miembro que estoy quitando    list sites    select site x                        #site del miembro que estoy quitando    list servers in site    select server x                    #donde server es el dc que nos ha caido y queremos borrar todo rastro    quit  metada...
Leer más

5. Test con NetDiag a nivel de Red y conexiones.

Netdiag nos ofrece una batería de test de red, en la que testeamos la habilidad de los servidores para operar como por ejemplo el NIC binding ( el orden en el que Windows carga los NICs y cual pone como primario) así como las capacidades Lan/Wan. ¿Qué chequea NETDIAG? Básicamente estas 6 cosas.  Conexión entre servidores Tuneles VPN en la Wan Problemas DNS NIC Binding IPSEC Winsock   LDAP entre DCs. Netdiag /v > c:\netdiag.txt   # con ello lanzamos los test anteriormente descritos El comando arriba indicado lanza todos los test completos , pero se pueden lanzar por separado con  netdiag /test: X    #donde X seria cualquiera de los siguientes Ndis - Netcard queries Test IpConfig - IP config Test Member - Domain membership Test NetBTTransports - NetBT transports Test Autonet - Autonet address Test IpLoopBk - IP loopback ping Test DefGw - Default gateway Test NbtNm - NetBT name Test WINS - WIN...
Leer más

7.NTP Servers en dominios Microsoft. Chequeos con w32tm y Net Time.

Equipos cliente En la variable de registro siguiente tenemos el setting para el Time Service de nuestros clientes HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters . El valor Type, debe ser en cualquier máquina de nuestro dominio NT5DS y significa que nuestra maquina (sea cliente o servidor miembro, o incluso DC) está cogiendo el tiempo de nuestra jerarquía de dominio, entregado por el PDC Emulator. Si eso no ocurre, haremos lo siguiente, que es básicamente, resetear el Servicio de tiempo en esa máquina que tiene mal dicho servicio. Esto mismo que vamos a hacer es válido en otras situaciones, como por ejemplo, ante un fallo de kerberos el cual se apoya en él (event id 4 o 5) . net stop w32time w32tm /unregister w32tm /register net start w32time Con ello debe haber puesto el valor a NT5DS. Nota: Si encontramos NTPServer en este valor, puede ser porque aún no lo ha cambiado y antes de estar en el dominio lo tenía puesto. Con los comandos de arriba...
Leer más