У мене є робоча станція ( PC1), яка не може спілкуватися з контролером домену через RPC (TCP / 135).
C:\PortQryV2> portqry.exe -n 192.168.1.1 -p tcp -o 135
Querying target system called:
192.168.1.1
Attempting to resolve IP address to a name...
IP address resolved to dc.domain.local
querying...
TCP port 135 <epmap service>: FILTERED
Виконання тієї ж команди на іншій робочій станції ( PC2) в тій самій підмережі та VLAN відображається LISTENINGразом із усіма кінцевими точками RPC сервера.
C:\>netsh int ipv4 show dynamicport tcp
Protocol tcp Dynamic Port Range
---------------------------------
Start Port : 49152
Number of Ports : 16384
Діапазон динамічних портів однаковий для обох PC1та PC2.
І вони, PC1і PC2під керуванням Windows 7 Enterprise SP1.
Програмне забезпечення McAfee Host Intrusion Prevention (HIPS), яке було встановлено, PC1але було видалено в процесі усунення несправностей. Він залишається встановленим на PC2. Обидва PC1і PC2використовував ту ж саму політику HIPS.
Брандмауер Windows зараз відключений PC1.
C:\>netsh advfirewall show allprofiles
Domain Profile Settings:
----------------------------------------------------------------------
State OFF
Firewall Policy AllowInbound,AllowOutbound
LocalFirewallRules N/A (GPO-store only)
LocalConSecRules N/A (GPO-store only)
InboundUserNotification Enable
RemoteManagement Disable
UnicastResponseToMulticast Enable
Logging:
LogAllowedConnections Disable
LogDroppedConnections Disable
FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize 4096
Private Profile Settings:
----------------------------------------------------------------------
State OFF
Firewall Policy AllowInbound,AllowOutbound
LocalFirewallRules N/A (GPO-store only)
LocalConSecRules N/A (GPO-store only)
InboundUserNotification Enable
RemoteManagement Disable
UnicastResponseToMulticast Enable
Logging:
LogAllowedConnections Disable
LogDroppedConnections Disable
FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize 4096
Public Profile Settings:
----------------------------------------------------------------------
State OFF
Firewall Policy AllowInbound,AllowOutbound
LocalFirewallRules N/A (GPO-store only)
LocalConSecRules N/A (GPO-store only)
InboundUserNotification Enable
RemoteManagement Disable
UnicastResponseToMulticast Enable
Logging:
LogAllowedConnections Disable
LogDroppedConnections Disable
FileName %systemroot%\system32\LogFiles\Firewall\pfirewall.log
MaxFileSize 4096
Ok.
Я зафіксував з'єднання RPC portqry.exeза допомогою Wireshark і виявив, що TCP SYNDPU був надісланий, але ніколи ACKне отриманий. TCP SYN було надіслано ще двічі, відображаючи в Wireshark як [TCP Retransmission]. Пізніше я зафіксував те саме повідомлення RPC на контролері домену за допомогою Wireshark. Я бачив вхідні, TCP SYNале не бачив SYN ACKвідповіді. Начебто контролер домену довільно ігнорує саме цей комп’ютер лише на цьому порту. Зауважте, що запит на Kerberos (UDP / 88) працює чудово з PC1.
Я також спробував відновити стек TCP / IP PC1безрезультатно.
Будь-які ідеї щодо того, що може завадити цьому спілкуванню?
telnet 192.168.1.1 135не вдається, PC1але досягає успіху PC2.
