沒有防火牆過濾 RPC 連接

tag-icon tag-icon windows-7 firewall tcp windows-domain rpc
沒有防火牆過濾 RPC 連接

我的工作站 ( PC1) 無法透過 RPC (TCP/135) 與網域控制站通訊。

C:\PortQryV2> portqry.exe -n 192.168.1.1 -p tcp -o 135

Querying target system called:

 192.168.1.1

Attempting to resolve IP address to a name...

IP address resolved to dc.domain.local

querying...

TCP port 135 <epmap service>: FILTERED

PC2在同一子網路和 VLAN 中的另一個工作站 ( ) 上執行相同的命令會顯示LISTENING所有伺服器的 RPC 端點。

C:\>netsh int ipv4 show dynamicport tcp

Protocol tcp Dynamic Port Range
---------------------------------
Start Port      : 49152
Number of Ports : 16384

PC1和上的動態連接埠範圍相同PC2

PC1和都PC2執行 Windows 7 Enterprise SP1。

曾經安裝過 McAfee Host Intrusion Prevention (HIPS) 軟體,PC1但在故障排除過程中已移除。它仍然安裝在PC2.兩者PC1PC2使用相同的 HIPS 策略。

Windows 防火牆目前在PC1.

C:\>netsh advfirewall show allprofiles

Domain Profile Settings:
----------------------------------------------------------------------
State                                 OFF
Firewall Policy                       AllowInbound,AllowOutbound
LocalFirewallRules                    N/A (GPO-store only)
LocalConSecRules                      N/A (GPO-store only)
InboundUserNotification               Enable
RemoteManagement                      Disable
UnicastResponseToMulticast            Enable

Logging:
LogAllowedConnections                 Disable
LogDroppedConnections                 Disable
FileName                              %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize                           4096


Private Profile Settings:
----------------------------------------------------------------------
State                                 OFF
Firewall Policy                       AllowInbound,AllowOutbound
LocalFirewallRules                    N/A (GPO-store only)
LocalConSecRules                      N/A (GPO-store only)
InboundUserNotification               Enable
RemoteManagement                      Disable
UnicastResponseToMulticast            Enable

Logging:
LogAllowedConnections                 Disable
LogDroppedConnections                 Disable
FileName                              %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize                           4096


Public Profile Settings:
----------------------------------------------------------------------
State                                 OFF
Firewall Policy                       AllowInbound,AllowOutbound
LocalFirewallRules                    N/A (GPO-store only)
LocalConSecRules                      N/A (GPO-store only)
InboundUserNotification               Enable
RemoteManagement                      Disable
UnicastResponseToMulticast            Enable

Logging:
LogAllowedConnections                 Disable
LogDroppedConnections                 Disable
FileName                              %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize                           4096

Ok.

我使用 Wireshark 捕獲了 RPC 連接portqry.exe,發現TCP SYNDPU 已發送,但ACK從未收到。 TCP SYN 又發送了兩次,在 Wireshark 中顯示為[TCP Retransmission]。後來,我使用 Wireshark 在網域控制器上捕獲了相同的 RPC 通訊。我看到了來電TCP SYN​​,但沒有看到SYN ACK回覆。就好像網域控制器任意忽略了該連接埠上的這台電腦。請注意,查詢 Kerberos (UDP/88) 在PC1.

我還嘗試在 上重建 TCP/IP 堆疊PC1,但無濟於事。

關於什麼可能阻止這種溝通的任何想法?

答案1

經過大量故障排除後,我能夠確定啟用了 Windows 防火牆規則,該規則僅允許來自PC1外部的連線TCP/135並且TCP/1027連線是否安全。在具有進階安全性的 Windows 防火牆->入境規則,我進入了可疑的規則屬性。在“常規”選項卡上的“操作”下,如果安全,則允許連接被選中。在自訂螢幕上,如果連線已通過驗證且完整性受保護,則允許連線被突出顯示。該項目的描述如下:

Allow only connections that are both authenticated and integrity-protected 
by using IPsec.  Compatible with Windows Vista and later.

在此輸入影像描述

不知何故,該規則是透過網域上的群組原則建立的。很可能是管理員建立了此規則;但是,如果使用網域管理員帳戶安裝,則需要此通訊的軟體可能PC1已經建立了規則。

相關內容