Tenho uma estação de trabalho ( PC1) que não consegue se comunicar com um controlador de domínio por RPC (TCP/135).
C:\PortQryV2> portqry.exe -n 192.168.1.1 -p tcp -o 135
Querying target system called:
192.168.1.1
Attempting to resolve IP address to a name...
IP address resolved to dc.domain.local
querying...
TCP port 135 <epmap service>: FILTERED
A execução do mesmo comando em outra estação de trabalho ( PC2) na mesma sub-rede e VLAN é exibida LISTENINGjunto com todos os terminais RPC do servidor.
C:\>netsh int ipv4 show dynamicport tcp
Protocol tcp Dynamic Port Range
---------------------------------
Start Port : 49152
Number of Ports : 16384
O intervalo de portas dinâmicas é o mesmo em ambos PC1e PC2.
Ambos PC1e PC2estão executando o Windows 7 Enterprise SP1.
O software McAfee Host Intrusion Prevention (HIPS) costumava ser instalado, PC1mas foi removido durante o processo de solução de problemas. Ele permanece instalado em PC2. Ambos PC1usaram PC2a mesma política HIPS.
O firewall do Windows está atualmente desativado em PC1.
C:\>netsh advfirewall show allprofiles
Domain Profile Settings:
----------------------------------------------------------------------
State OFF
Firewall Policy AllowInbound,AllowOutbound
LocalFirewallRules N/A (GPO-store only)
LocalConSecRules N/A (GPO-store only)
InboundUserNotification Enable
RemoteManagement Disable
UnicastResponseToMulticast Enable
Logging:
LogAllowedConnections Disable
LogDroppedConnections Disable
FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize 4096
Private Profile Settings:
----------------------------------------------------------------------
State OFF
Firewall Policy AllowInbound,AllowOutbound
LocalFirewallRules N/A (GPO-store only)
LocalConSecRules N/A (GPO-store only)
InboundUserNotification Enable
RemoteManagement Disable
UnicastResponseToMulticast Enable
Logging:
LogAllowedConnections Disable
LogDroppedConnections Disable
FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize 4096
Public Profile Settings:
----------------------------------------------------------------------
State OFF
Firewall Policy AllowInbound,AllowOutbound
LocalFirewallRules N/A (GPO-store only)
LocalConSecRules N/A (GPO-store only)
InboundUserNotification Enable
RemoteManagement Disable
UnicastResponseToMulticast Enable
Logging:
LogAllowedConnections Disable
LogDroppedConnections Disable
FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize 4096
Ok.
Capturei a conexão RPC portqry.exeusando o Wireshark e descobri que o TCP SYNDPU foi enviado, mas nunca ACKrecebido. O TCP SYN foi enviado mais duas vezes, sendo exibido no Wireshark como [TCP Retransmission]. Posteriormente, capturei a mesma comunicação RPC no controlador de domínio usando o Wireshark. Eu vi a entrada, TCP SYNmas não vi SYN ACKresposta. É como se o controlador de domínio estivesse ignorando arbitrariamente apenas este computador apenas nesta porta. Observe que consultar o Kerberos (UDP/88) funciona perfeitamente no PC1.
Também tentei reconstruir a pilha TCP/IP PC1, sem sucesso.
Alguma ideia sobre o que poderia estar impedindo essa comunicação?
Responder1
Depois de muita solução de problemas, consegui determinar que havia uma regra de firewall do Windows habilitada que só permitiria conexões de PC1cima TCP/135e TCP/1027se a conexão fosse segura. EmFirewall do Windows com segurança avançada->Regras de entrada, entrei nas propriedades da regra suspeita. Na guia Geral, em Ação,Permitir a conexão se for seguraFoi selecionado. Na tela Personalizar,Permitir a conexão se ela for autenticada e protegida por integridadefoi destacado. A descrição desse item é a seguinte:
Allow only connections that are both authenticated and integrity-protected
by using IPsec. Compatible with Windows Vista and later.
De alguma forma, esta regra foi estabelecida através de uma política de grupo no domínio. Muito provavelmente um administrador criou esta regra; no entanto, é possível que o software usado PC1que requer essa comunicação possa ter criado a regra se tiver sido instalado usando uma conta de administrador de domínio.