The Cable Guy – Januar 2005
Testen von Netzwerkpfaden für die am häufigsten verwendeten Arten von Netzwerkverkehr
Von The Cable Guy
Alle auf Deutsch verfügbaren Cable Guy-Kolumnen finden Sie hier.
Auf dieser Seite
Einführung
Routerbasierte Firewalls verwerfen den Netzwerkverkehr, für den keine Weiterleitung konfiguriert wurde – dies kann sich auf bestimmte Netzwerkfunktionen auswirken. Wenn sich beispielsweise eine Firewall zwischen zwei Microsoft® Windows® Active Directory®-Domänencontrollern befindet und nicht für die zur Active Directory-Replikation benötigten Arten von Netzwerkverkehr konfiguriert wurde, dann kann die Replikation fehlschlagen.
Ein Standardschritt bei der Fehlersuche im Bezug auf Netzwerkfunktionalität ist das Anpingen eines anderen Computers mit dem Tool ping.exe. Ping verwendet ICMP-Echo- und ICMP-Echo-Reply-Nachrichten. Die fehlerhafte Netzwerkfunktionalität verwendet normalerweise aber ein ganz anderes Netzwerkprotokoll. Ob die Firewalls zwischen den beiden Computern ICMP-Netzwerkverkehr nun zulassen oder nicht – der Test mit Ping.exe ist in beiden Fällen nicht sehr aussagekräftig. Außerdem stellt er nicht sonderlich viele Informationen darüber zur Verfügung, welcher Netzwerkverkehr von den Firewalls verworfen oder weitergeleitet wird.
Um eindeutige Diagnoseinformationen zu erhalten, müssen Sie in der Lage sein, genau den Netzwerkverkehr zu erzeugen, der auch von der betroffenen Netzwerkfunktionalität verwendet wird. Nachdem Sie festgestellt haben, welcher Netzwerkverkehr von der Firewall verworfen wird, können Sie die Firewall für eine Weiterleitung konfigurieren und so die betroffene Funktionalität wiederherstellen.
In diesem Artikel beschreiben wir Tools, mit denen Sie Netzwerkpfade für die am häufigsten von Firewalls verworfenen Arten von Netzwerkverkehr testen können.
Tools zum Testen von Netzwerkpfaden für bestimmte Arten von Netzwerkverkehr
Microsoft stellt die folgenden Tools zum Testen von Netzwerkpfaden zur Verfügung:
| • | Port-Query |
| • | PPTP-Ping |
| • | Test-TCP |
Port Query (Portqry.exe und Portqueryui.exe)
Port Query ist ein kostenloses Tool von Microsoft, mit dem Sie Fehler bezüglich der TCP/IP-Konnektivität für bestimmten TCP- und UDP-Netzwerkverkehr feststellen können. Port Query steht in einer Kommandozeilenversion (Portqry.exe - PortQry Command Line Port Scanner Version 2.0 - englischsprachig) und einer grafischen Version (Portqueryui.exe - PortQryUI - User Interface for the PortQry Command Line Port Scanner - englischsprachig) zur Verfügung. Beide Versionen können unter Windows 2000, Windows XP und Windows Server™ 2003 ausgeführt werden.
Portqry.exe bietet die folgenden Features an:
| • | Einen Kommandozeilenmodus, über den TCP, UDP oder beide Protokolle abgefragt werden können – und zwar über einen Port, eine Liste von Ports oder über einen ganzen Portbereich. |
| • | Einen interaktiven Modus, in dem die Eingabe von Befehlen einfacher ist und Sie Tastenkombinationen und vordefinierte Abfragen für die häufigsten Arten von Netzwerkverkehr (zum Beispiel DNS oder LDAP) nutzen können. |
| • | Einen Local Host-Modus, mit dem Sie Informationen über die auf dem lokalen Computer verwendeten TCP- und UDP-Ports abfragen können. |
Weitere Informationen zu den drei Modi, dem Befehlssyntax sowie Beispiele finden Sie im Artikel Neue Features und Funktionen in PortQry Version 2.0 .
In das in der Abbildung zu sehenden Port-Query-Fenster können Sie den Namen oder die IP-Adresse des abzufragenden Computers eingeben, einen der vordefinierten Tests, einen bestimmten Port (oder einen Portbereich) und das abzufragende Protokoll (TCP, UDP oder beide) auswählen. Wenn Sie auf Query klicken, werden die Ergebnisse im Feld Query Result angezeigt.
Um festzustellen, welche Ports im Rahmen der vordefinierten Tests abgefragt werden, klicken Sie auf Help und dann auf Predefined Services . Sie können die Liste der abzufragenden Ports jederzeit ändern oder Ihre eigenen vordefinierten Tests anlegen. Hierzu müssen Sie die Datei Config.xml bearbeiten. Weitere Informationen zur Syntax von Config.xml finden Sie im Dokument Portqueryui.doc. Beide Dateien finden Sie im Portqueryui.exe-Installationsordner.
Bei beiden Tools wird einer der folgenden Statusmeldungen für die abgefragten Ports angezeigt:
| • | LISTENING - Port Query erhält eine positive Antwort, und ein Prozess nimmt über den abgefragten TCP- oder UDP-Port Anfragen entgegen. |
| • | NOT LISTENING - Port Query erhält eine negative Antwort, und es gibt keinen Prozess, der Anfragen über den abgefragten TCP- oder UDP-Port entgegennimmt. Im Bezug auf TCP bedeutet dieser Zustand, dass Port Query ein TCP-Connection-Reset-Segment empfangen hat. Bei einem UDP-Port wurde eine ICMP-Destination-Unreachable/Port-Unreachable-Nachricht empfangen. |
| • | FILTERED - Port Query erhält keine Antwort auf die Abfrage. Es könnte sein, dass ein Prozess Anfragen über diesen Port entgegennimmt. Dieser Status zeigt an, dass der Netzwerkverkehr eventuell von einer Firewall verworfen wurde. Standardmäßig unternimmt Port Query bei TCP-Ports drei Versuche und bei UDP-Ports einen. |
PPTP-Ping (Pptpsrv.exe und Pptpclnt.exe)
PPTP-Ping ist ein Paket aus zwei Tools (Pptpsrv.exe und Pptpclnt.exe), die zusammen mit den Windows 2000 oder Windows Server 2003 Support Tools angeboten werden (sie befinden sich im Ordner Support\Tools auf der Windows 2000- oder Windows Server 2003-Installations-CD). Nach der Installation der Support Tools finden Sie Pptpsrv.exe und Pptpclnt.exe im Ordner Programme\Support Tools im Windows-Systemlaufwerk.
Mit PPTP-Ping können Sie testen, ob PPTP-Netzwerkverkehr (dieser wird über TCP-Port 1723 gesendet und nutzt IP-Protokoll 47) erfolgreich zwischen Client und Server ausgetauscht werden kann. PPTP-Ping überprüft nicht, ob eine PTPP-Verbindung erfolgreich aufgebaut werden kann (hierzu wäre ein Benutzerauthentifizierung notwendig). Es wird nur festgestellt, ob PPTP-Netzwerkverkehr gesendet werden kann.
Bezüglich des PPTP-Netzwerkverkehrs besteht ein häufiges Problem darin, dass Firewalls normalerweise GRE-Netzwerkverkehr filtern. Um dies zu beheben, konfigurieren Sie die Firewall so, dass GRE-Netzwerkverkehr weitergeleitet wird (IP-Protokoll 47).
Test-TCP (Ttcp.exe)
Test-TCP (Ttcp.exe) ist ein Tool, mit dem Sie die zwischen zwei Knoten ausgetauschten TCP-Segmente und UDP-Nachrichten abfragen können. Sie finden das Tool im Ordner Valueadd\Msft\Net\Tools auf der Windows Server 2003-Installations-CD.
Test-TCP unterscheidet sich in den folgenden Punkten von Port Query:
| • | Mit Test-TCP können Sie bestimmte TCP- oder UDP-Ports abfragen, ohne dass Sie eine Anwendung oder einen Dienst auf dem Computer installieren müssen. So können Sie die Netzwerkkonnektivität testen, bevor Sie den entsprechenden Dienst installieren. Sie können zum Beispiel die Fähigkeit zur Domänenreplikation testen, bevor Sie einen Computer zum Domänencontroller machen. |
| • | Test-TCP unterstützt IPv6. |
Die grundlegende Syntax von Ttcp.exe auf dem abfragenden Knoten sieht folgendermaßen aus:
| • | ttcp -r –p Port (um einen TCP-Port abzufragen) |
| • | ttcp –r –p Port –u (um einen UDP-Port abzufragen) |
Die grundlegende Syntax von Ttcp.exe auf dem sendenden Knoten sieht folgendermaßen aus:
| • | ttcp -t –p Port (um über einen TCP-Port zu senden) |
| • | ttcp -t –p Port -u (um über einen UDP-Port zu senden) |
Für eine Übersicht mit weiteren Kommandozeilenoptionen geben Sie in der Eingabeaufforderung ttcp ein.
Ttcp.exe kann nur einen einzelnen Port abfragen (beziehungsweise über einen einzelnen Port senden). Um mehrere Ports abzufragen, müssen Sie Ttcp.exe in mehreren Kommandozeilenfenstern starten.
Häufig auftretende Probleme im Bezug auf Netzwerkverkehr
Die folgenden Windows-Netzwerkfunktionalitäten sind am häufigsten von Problemen durch blockierten Netzwerkverkehr betroffen:
| • | Active Directory |
| • | DNS |
| • | VPN |
| • | ICMP |
Active Directory
Netzwerkverkehr im Bezug auf Active Directory kommt unter anderem in den folgenden Situationen zustande:
| • | Active Directory-Replikation zwischen Domänencontrollern |
| • | Einrichten eines neuen Domänencontrollers mit Dcpromo.exe |
| • | Domänenanmeldung |
| • | Domänenauthentifizierung |
| • | Einrichtung von Domänen-Vertrauenstellungen |
Der in solchen Situationen entstehende Netzwerkverkehr wird im Artikel Konfigurieren einer Firewall für Domänen und Vertrauensstellungen genauer beschrieben. Unter anderem handelt es sich um die folgenden Port/Protokoll-Kombinationen:
| • | TCP-Port 135 - RPC |
| • | TCP-Port 398 und UDP-Port 389 - LDAP |
| • | TCP-Port 636 - LDAP über SSL |
| • | TCP-Port 3268 - LDAP bei globalen Katalogservern |
| • | TCP-Port 3269 - LDAP über SSL bei globalen Katalogservern |
| • | TCP-Port 53 und UDP-Port 53 - DNS |
| • | TCP-Port 88 und UDP-Port 88 - Kerberos |
| • | TCP-Port 445 - SMB beziehungsweise CIFS |
Wenn der Domänencontroller bereits vorhanden ist, können Sie mit dem Tool Portyrq.exe die Netzwerkpfade für diese Art von Netzwerkverkehr auf Basis der einzelnen Ports testen. Alternativ können Sie Ttcp.exe nutzen, um solchen Netzwerkverkehr vor der Einrichtung von Domänencontrollern zu testen.
Der einfachste Weg, alle relevanten Ports gleichzeitig zu testen, ist der vordefinierten Test "Domains and Trusts" von Portqueryui.exe. Dieser Test fragt die folgenden Ports ab:
| • | TCP-Port 135 - RPC |
| • | TCP-Port 398 und UDP-Port 389 - LDAP |
| • | TCP-Port 636 - LDAP über SSL |
| • | TCP-Port 3268 - LDAP bei globalen Katalogservern |
| • | TCP-Port 3269 - LDAP über SSL bei globalen Katalogservern |
| • | TCP-Port 53 und UDP-Port 53 - DNS |
| • | TCP-Port 88 und UDP-Port 88 - Kerberos |
| • | TCP-Port 445 - SMB |
| • | UDP-Port 137 (NetBIOS-Namensauflösung) |
| • | UDP-Port 138 (NetBIOS-NetLogon und -Suchdienst) |
| • | TCP-Port 139 (NetBIOS-Sitzungen) |
| • | TCP-Port 42 (WINS-Replikation) |
DNS
Um den DNS-Netzwerkverkehr zu testen, gehen Sie folgendermaßen vor:
| • | Verwenden Sie Portqry.exe mit der folgenden Syntax: portqry -nDNS-Servername_oder_IP-Addresse–p BOTH –e 53 (Alternativ können Sie den Befehl q dns in der interaktiven Eingabeaufforderung von Portqry.exe verwenden.) |
| • | Verwenden Sie Portqueryui.exe und den vordefinierten Test "Networking" - dieser testet neben anderen Protokollen auch den DNS-Netzwerkverkehr. |
VPN
Um den PPTP-basierten VPN-Netzwerkverkehr zu testen, verwenden Sie das Tool PPTP-Ping:
1. | Auf dem VPN-Server:
|
2. | Auf dem VPN-Client:
|
Wenn das Senden von PPTP-Netzwerkverkehr zwischen VPN-Server und -Client erfolgreich verläuft, zeigt Pptpsrv.exe auf dem VPN-Server den Text an, den Sie auf dem VPN-Client eingegeben haben. Danach werden fünf GRE-Nachrichten ausgetauscht. Wenn keine PPTP-Kommunikation möglich ist, zeigt Pptpsrv.exe an, welcher PPTP-Netzwerkverkehr fehlgeschlagen ist.
Wenn Sie eine VPN-Verbindung zwischen zwei Standorten nutzen (eine Router-to-Router-VNP-Verbindung) und beide RAS-Server die VPN-Verbindung aufbauen können, dann führen Sie das oben beschriebene Verfahren ein zweites Mal mit vertauschten Rollen durch. So können Sie sicherstellen, dass der Aufbau der Verbindung von beiden Seiten aus möglich ist.
ICMP
ICMP-Netzwerkverkehr wird unter anderem von Komponenten des Protokollstacks, von Systemdiensten und von diversen Netzwerkanwendungen genutzt. Hierzu gehören zum Beispiel:
| • | Domänencontroller, die feststellen müssen, ob es sich bei der Verbindung zu einem anderen Domänencontroller um eine schnelle oder langsame Verbindung handelt (zum Beispiel für das spätere Übermitteln von Gruppenrichtlinien). Die Domänencontroller verwenden hierzu ICMP-Echo-Nachrichten. |
| • | Peers, die den PMTU-Wert (Path Maximum Transmission Unit) für das Netzwerk ermitteln möchten, über das sie verbunden sind. Hierzu verwendet der Windows-TCP/IP-Stack eine Kombination aus verschiedenen ICMP-Nachrichten. Weitere Informationen finden Sie im Cable Guy-Artikel vom Juli 2004 Path Maximum Transmission Unit (PMTU) Black Hole Router . |
Das Ping-Tool können Sie jedoch in allen Szenarien zum Testen des ICMP-Netzwerkverkehrs nutzen.
Weitere Arten von Netzwerkverkehr
Für andere Arten von Netzwerkverkehr können Sie beispielsweise die folgenden Verfahren nutzen:
| • | Testen Sie einzelne Ports mit Portqry.exe. |
| • | Testen Sie einzelne Ports mit Portqueryui.exe, oder verwenden Sie die vordefinierten Tests. |
| • | Verwenden Sie Ttcp.exe, um das Abfragen und Senden von/an Ports zu simulieren. |
Weitere Informationen zu den von Windows-Anwendungen und -Diensten verwendeten TCP- und UDP-Ports finden Sie im Artikel TCP and UDP-Port Assignments (englischsprachig) oder in der Microsoft-Knowledge Base .
Zusätzliche Informationen
Weitere Informationen zum in diesem Artikel besprochenen Thema finden Sie unter: