RPC-соединение, отфильтрованное без брандмауэров

1954
Micah Røckstår Henning

У меня есть рабочая станция ( PC1), которая не может связаться с контроллером домена через RPC (TCP / 135).

C:\PortQryV2> portqry.exe -n 192.168.1.1 -p tcp -o 135  Querying target system called:  192.168.1.1  Attempting to resolve IP address to a name...  IP address resolved to dc.domain.local  querying...  TCP port 135 <epmap service>: FILTERED

Выполнение этой же команды на другой рабочей станции ( PC2) в той же подсети и VLAN отображается LISTENINGвместе со всеми конечными точками RPC сервера.

C:\>netsh int ipv4 show dynamicport tcp  Protocol tcp Dynamic Port Range --------------------------------- Start Port : 49152 Number of Ports : 16384

Динамический диапазон портов одинаков для обоих PC1и PC2.

Оба PC1и PC2работают под управлением Windows 7 Enterprise SP1.

Программное обеспечение McAfee Host Intrusion Prevention (HIPS) использовалось для установки, PC1но было удалено в процессе устранения неполадок. Он остается установленным на PC2. Оба PC1и PC2использовали одну и ту же политику HIPS.

Брандмауэр Windows в настоящее время отключен PC1.

C:\>netsh advfirewall show allprofiles  Domain Profile Settings: ---------------------------------------------------------------------- State OFF Firewall Policy AllowInbound,AllowOutbound LocalFirewallRules N/A (GPO-store only) LocalConSecRules N/A (GPO-store only) InboundUserNotification Enable RemoteManagement Disable UnicastResponseToMulticast Enable  Logging: LogAllowedConnections Disable LogDroppedConnections Disable FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log MaxFileSize 4096   Private Profile Settings: ---------------------------------------------------------------------- State OFF Firewall Policy AllowInbound,AllowOutbound LocalFirewallRules N/A (GPO-store only) LocalConSecRules N/A (GPO-store only) InboundUserNotification Enable RemoteManagement Disable UnicastResponseToMulticast Enable  Logging: LogAllowedConnections Disable LogDroppedConnections Disable FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log MaxFileSize 4096   Public Profile Settings: ---------------------------------------------------------------------- State OFF Firewall Policy AllowInbound,AllowOutbound LocalFirewallRules N/A (GPO-store only) LocalConSecRules N/A (GPO-store only) InboundUserNotification Enable RemoteManagement Disable UnicastResponseToMulticast Enable  Logging: LogAllowedConnections Disable LogDroppedConnections Disable FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log MaxFileSize 4096  Ok.

Я перехватил соединение RPC с portqry.exeпомощью Wireshark и обнаружил, что TCP SYNDPU был отправлен, но не ACKполучен. TCP SYN был отправлен в два раза больше, отображая в Wireshark как [TCP Retransmission]. Позже я перехватил ту же связь RPC на контроллере домена с помощью Wireshark. Я видел входящие, TCP SYNно не увидел SYN ACKответа. Как будто контроллер домена произвольно игнорирует только этот компьютер только на этом порту. Обратите внимание, что запрос Kerberos (UDP / 88) работает просто отлично PC1.

Я также попытался восстановить стек TCP / IP PC1, но безрезультатно.

Есть идеи, что может помешать этому общению?

1
Wireshark на другой машине видит входящее соединение? Optichip 9 лет назад 0
Я не могу установить Winpcap на контроллере домена, так как мы находимся в защищенной среде. Это займет некоторое время, чтобы получить необходимые разрешения. Micah Røckstår Henning 9 лет назад 0
ты можешь телнет к порту? Это подключается? Optichip 9 лет назад 0
`telnet 192.168.1.1 135` завершается неудачно на` PC1`, но успешно на `PC2`. Micah Røckstår Henning 9 лет назад 0
У вас там какое-то блокирование. ПК1 это ваша проблема. Можете ли вы создать на нем правило брандмауэра, чтобы разрешить вход с порта 135 компьютера? Optichip 9 лет назад 0
Брандмауэр Windows отключен. Однако я попытался включить его и создал правило, разрешающее использование TCP / 135, но безрезультатно. Я также попытался восстановить настройки брандмауэра Windows по умолчанию, но безрезультатно. Micah Røckstår Henning 9 лет назад 0
Давайте [продолжим это обсуждение в чате] (http://chat.stackexchange.com/rooms/20490/discussion-between-optichip-and-micah-rockstar-henning). Optichip 9 лет назад 0

1 ответ на вопрос

1
Micah Røckstår Henning

После большого количества устранения неполадок я смог определить, что было включено правило брандмауэра Windows, которое разрешало бы только соединения PC1поверх TCP/135и, TCP/1027если соединение является безопасным. В Брандмауэре Windows в режиме повышенной безопасности -> Входящие правила я вошел в свойства подозрительного правила. На вкладке «Общие» в разделе «Действие» выберите « Разрешить подключение», если оно было безопасным . На экране «Настройка» выделите Разрешить соединение, если оно аутентифицировано и защищено . Описание этого элемента выглядит следующим образом:

Allow only connections that are both authenticated and integrity-protected  by using IPsec. Compatible with Windows Vista and later.

enter image description here

Каким-то образом это правило было установлено через групповую политику в домене. Скорее всего, администратор создал это правило; однако возможно, что программное обеспечение, которое используется для PC1этого взаимодействия, могло создать правило, если оно было установлено с использованием учетной записи администратора домена.

Похожие вопросы