ファイアウォールなしでフィルタリングされた RPC 接続

ファイアウォールなしでフィルタリングされた RPC 接続

PC1RPC (TCP/135) 経由でドメイン コントローラーと通信できないワークステーション ( ) があります。

C:\PortQryV2> portqry.exe -n 192.168.1.1 -p tcp -o 135

Querying target system called:

 192.168.1.1

Attempting to resolve IP address to a name...

IP address resolved to dc.domain.local

querying...

TCP port 135 <epmap service>: FILTERED

PC2同じサブネットおよび VLAN 内の別のワークステーション ( ) で同じコマンドを実行すると、LISTENINGサーバーの RPC エンドポイントがすべて表示されます。

C:\>netsh int ipv4 show dynamicport tcp

Protocol tcp Dynamic Port Range
---------------------------------
Start Port      : 49152
Number of Ports : 16384

動的ポート範囲はPC1と の両方で同じですPC2

PC1と は両方ともPC2Windows 7 Enterprise SP1 を実行しています。

McAfee Host Instruction Prevention (HIPS) ソフトウェアは にインストールされていましたPC1が、トラブルシューティング プロセス中に削除されました。 にはインストールされたままですPC2PC1と は両方ともPC2同じ HIPS ポリシーを使用します。

Windows ファイアウォールは現在無効になっていますPC1

C:\>netsh advfirewall show allprofiles

Domain Profile Settings:
----------------------------------------------------------------------
State                                 OFF
Firewall Policy                       AllowInbound,AllowOutbound
LocalFirewallRules                    N/A (GPO-store only)
LocalConSecRules                      N/A (GPO-store only)
InboundUserNotification               Enable
RemoteManagement                      Disable
UnicastResponseToMulticast            Enable

Logging:
LogAllowedConnections                 Disable
LogDroppedConnections                 Disable
FileName                              %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize                           4096


Private Profile Settings:
----------------------------------------------------------------------
State                                 OFF
Firewall Policy                       AllowInbound,AllowOutbound
LocalFirewallRules                    N/A (GPO-store only)
LocalConSecRules                      N/A (GPO-store only)
InboundUserNotification               Enable
RemoteManagement                      Disable
UnicastResponseToMulticast            Enable

Logging:
LogAllowedConnections                 Disable
LogDroppedConnections                 Disable
FileName                              %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize                           4096


Public Profile Settings:
----------------------------------------------------------------------
State                                 OFF
Firewall Policy                       AllowInbound,AllowOutbound
LocalFirewallRules                    N/A (GPO-store only)
LocalConSecRules                      N/A (GPO-store only)
InboundUserNotification               Enable
RemoteManagement                      Disable
UnicastResponseToMulticast            Enable

Logging:
LogAllowedConnections                 Disable
LogDroppedConnections                 Disable
FileName                              %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize                           4096

Ok.

portqry.exeWireshark を使用してからの RPC 接続をキャプチャしたところ、 TCP SYNDPU は送信されたものの、ACK受信されていないことがわかりました。TCP SYN はさらに 2 回送信され、Wireshark では と表示されています[TCP Retransmission]。その後、Wireshark を使用してドメイン コントローラーで同じ RPC 通信をキャプチャしました。着信は確認できましたTCP SYNが、応答はありませんでしたSYN ACK。ドメイン コントローラーが、このポートでこのコンピューターだけを恣意的に無視しているかのようです。 からの Kerberos (UDP/88) のクエリは問題なく機能することに注意してくださいPC1

また、 の TCP/IP スタックの再構築も試みましたがPC1、効果はありませんでした。

この通信を妨げている原因について何か考えはありますか?

答え1

多くのトラブルシューティングを行った結果、Windowsファイアウォールのルールが有効になっていて、接続が安全な場合にPC1のみ接続を許可することが判明しました。TCP/135TCP/1027高度なセキュリティを備えた Windows ファイアウォール->インバウンドルール疑わしいルールのプロパティに入りました。[全般]タブの[アクション]で、安全な場合は接続を許可するが選択されました。カスタマイズ画面で、認証され、整合性が保護されている場合は接続を許可するが強調表示されました。その項目の説明は次のとおりです。

Allow only connections that are both authenticated and integrity-protected 
by using IPsec.  Compatible with Windows Vista and later.

ここに画像の説明を入力してください

何らかの理由で、このルールはドメインのグループ ポリシーを通じて確立されました。このルールは管理者によって作成された可能性が高いですが、PC1この通信を必要とするソフトウェアがドメイン管理者アカウントを使用してインストールされた場合、そのソフトウェアによってルールが作成された可能性もあります。

関連情報