
PC1
RPC (TCP/135) 経由でドメイン コントローラーと通信できないワークステーション ( ) があります。
C:\PortQryV2> portqry.exe -n 192.168.1.1 -p tcp -o 135
Querying target system called:
192.168.1.1
Attempting to resolve IP address to a name...
IP address resolved to dc.domain.local
querying...
TCP port 135 <epmap service>: FILTERED
PC2
同じサブネットおよび VLAN 内の別のワークステーション ( ) で同じコマンドを実行すると、LISTENING
サーバーの RPC エンドポイントがすべて表示されます。
C:\>netsh int ipv4 show dynamicport tcp
Protocol tcp Dynamic Port Range
---------------------------------
Start Port : 49152
Number of Ports : 16384
動的ポート範囲はPC1
と の両方で同じですPC2
。
PC1
と は両方ともPC2
Windows 7 Enterprise SP1 を実行しています。
McAfee Host Instruction Prevention (HIPS) ソフトウェアは にインストールされていましたPC1
が、トラブルシューティング プロセス中に削除されました。 にはインストールされたままですPC2
。PC1
と は両方ともPC2
同じ HIPS ポリシーを使用します。
Windows ファイアウォールは現在無効になっていますPC1
。
C:\>netsh advfirewall show allprofiles
Domain Profile Settings:
----------------------------------------------------------------------
State OFF
Firewall Policy AllowInbound,AllowOutbound
LocalFirewallRules N/A (GPO-store only)
LocalConSecRules N/A (GPO-store only)
InboundUserNotification Enable
RemoteManagement Disable
UnicastResponseToMulticast Enable
Logging:
LogAllowedConnections Disable
LogDroppedConnections Disable
FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize 4096
Private Profile Settings:
----------------------------------------------------------------------
State OFF
Firewall Policy AllowInbound,AllowOutbound
LocalFirewallRules N/A (GPO-store only)
LocalConSecRules N/A (GPO-store only)
InboundUserNotification Enable
RemoteManagement Disable
UnicastResponseToMulticast Enable
Logging:
LogAllowedConnections Disable
LogDroppedConnections Disable
FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize 4096
Public Profile Settings:
----------------------------------------------------------------------
State OFF
Firewall Policy AllowInbound,AllowOutbound
LocalFirewallRules N/A (GPO-store only)
LocalConSecRules N/A (GPO-store only)
InboundUserNotification Enable
RemoteManagement Disable
UnicastResponseToMulticast Enable
Logging:
LogAllowedConnections Disable
LogDroppedConnections Disable
FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize 4096
Ok.
portqry.exe
Wireshark を使用してからの RPC 接続をキャプチャしたところ、 TCP SYN
DPU は送信されたものの、ACK
受信されていないことがわかりました。TCP SYN はさらに 2 回送信され、Wireshark では と表示されています[TCP Retransmission]
。その後、Wireshark を使用してドメイン コントローラーで同じ RPC 通信をキャプチャしました。着信は確認できましたTCP SYN
が、応答はありませんでしたSYN ACK
。ドメイン コントローラーが、このポートでこのコンピューターだけを恣意的に無視しているかのようです。 からの Kerberos (UDP/88) のクエリは問題なく機能することに注意してくださいPC1
。
また、 の TCP/IP スタックの再構築も試みましたがPC1
、効果はありませんでした。
この通信を妨げている原因について何か考えはありますか?
答え1
多くのトラブルシューティングを行った結果、Windowsファイアウォールのルールが有効になっていて、接続が安全な場合にPC1
のみ接続を許可することが判明しました。TCP/135
TCP/1027
高度なセキュリティを備えた Windows ファイアウォール->インバウンドルール疑わしいルールのプロパティに入りました。[全般]タブの[アクション]で、安全な場合は接続を許可するが選択されました。カスタマイズ画面で、認証され、整合性が保護されている場合は接続を許可するが強調表示されました。その項目の説明は次のとおりです。
Allow only connections that are both authenticated and integrity-protected
by using IPsec. Compatible with Windows Vista and later.
何らかの理由で、このルールはドメインのグループ ポリシーを通じて確立されました。このルールは管理者によって作成された可能性が高いですが、PC1
この通信を必要とするソフトウェアがドメイン管理者アカウントを使用してインストールされた場合、そのソフトウェアによってルールが作成された可能性もあります。