O Firewall do Windows descarta pacotes RPC baseados em regras estranhas

Navegue suas respostas
0

Tentei registrar a Task Scheduled usando a interface TaskScheduler do RPC (86D35949-83C9-4044-B424-DB363231FD0C versão 1.0).

Funciona em um controlador de domínio, mas não funciona em um servidor.

Depurando ainda mais, descobri que o firewall bloqueia os pacotes para a porta dinâmica. A razão para isso é estranha. Eu segui este excelente manual Como saber qual regra de firewall do windows está bloqueando o tráfego   e encontrei o pacote e a regra bloqueados.

O evento (pacote bloqueado) 

ProcessId 804 
Application \device\harddiskvolume1\windows\system32\svchost.exe 
Direction %%14592 
SourceAddress 10.211.55.2 
SourcePort 51023 
DestAddress 10.211.55.7 
DestPort 49154 
Protocol 6 
FilterRTID 66717 
LayerName %%14610 
LayerRTID 44

A regra (por FilterId): 

<item>
  <filterKey>{1ebfb9c5-caa5-4048-816d-82bae83513f9}</filterKey>
  <displayData>
      <name>Query User</name>
      <description>Prompt the User for a decision corresponding this Inbound Traffic</description>
  </displayData>
  <flags/>
  <providerKey>{decc16ca-3f33-4346-be1e-8fb4ae0f3d62}</providerKey>
  <providerData>
      <data>3600000000000000</data>
      <asString>6.......</asString>
  </providerData>
  <layerKey>FWPM_LAYER_ALE_AUTH_RECV_ACCEPT_V4</layerKey>
  <subLayerKey>{b3cdd441-af90-41ba-a745-7c6008ff2301}</subLayerKey>
  <weight>
      <type>FWP_UINT8</type>
      <uint8>8</uint8>
  </weight>
  <filterCondition numItems="1">
      <item>
          <fieldKey>FWPM_CONDITION_ORIGINAL_PROFILE_ID</fieldKey>
          <matchType>FWP_MATCH_EQUAL</matchType>
          <conditionValue>
              <type>FWP_UINT32</type>
              <uint32>3</uint32>
          </conditionValue>
      </item>
  </filterCondition>
  <action>
      <type>FWP_ACTION_BLOCK</type>
      <filterType/>
  </action>
  <rawContext>0</rawContext>
  <reserved/>
  <filterId>66717</filterId>
  <effectiveWeight>
      <type>FWP_UINT64</type>
      <uint64>9223372036854776256</uint64>
  </effectiveWeight>

Parece que o pacote está bloqueado por causa da categoria de rede (yeh, Isso é o que id de perfil significa). Mas isso é estremecimento, já que parece ser o mesmo tanto para o DC quanto para o servidor - Domain Network.

Alguém sabe disso e pode ajudar?

Obrigado,

Eyal

    
por eyal karni 12.02.2018 / 22:07

0 respostas

Tags

Disco USB externo de 4 unidades está desconectando do Windows 10 quando deixado ocioso por alguns minutos montar e desmontar unidades de armazenamento - sem o GUID