Windows活动目录相关(3)
RPC连接:
在RPC通讯中,Endpoint Mapper 是一个用来存储RPC服务信息的数据库。RPC服务侦听TCP135端口来获知哪个客户端尝试调用相关的RPC请求。当得到相关的客户请求,RPC服务则动态分配一个端口供客户端的服务器通讯使用。由此可见在检测RPC连接时我们需要检测一下一些内容:
1. 检测域控制器的TCP 135端口没有被封闭。
2. 检测目录服务在侦听该端口。
3. 检测被分配的动态端口没有被封闭。
为了进行上述检测,你可以使用portqry.exe 和rpcdump.exe两个工具。比如下面这个案例是用来检测TCP端口135是否打开,并且DRS RPC endpoint的通讯是否正常:
1. 用rpcdump来查询DRS endpoint 是否已经在RPC的endpoint mapper 数据库里进行了注册
C:>Rpcdump /s
2. 打开endpoint.txt 文件,查看ncacn_ip_tcp 一段里是否有e3514235-4b06-11d1-ab04-00c04fc2dcd2 的UUID。比如:
ProtSeq:ncacn_ip_tcp
Endpoint:1025
NetOpt:
Annotation:MS NT Directory DRS Interface
IsListening:YES
StringBinding:ncacn_ip_tcp:65.53.63.15[1025]
UUID:e3514235-4b06-11d1-ab04-00c04fc2dcd2
ComTimeOutValue:RPC_C_BINDING_DEFAULT_TIMEOUT
VersMajor 4 VersMinor 0
3. 如果IsListening栏里显示的是“YES”,则TCP 135端口和DRS接口的通讯是畅通无阻的。从上面的报告,你还可以知道DRS接口使用1025动态端口。
4. 如果IsListening栏里显示“NO”,或者报告第一行就显示查寻错误,或者没有任何注册的endpoint,那么则问题可能和端口被封有关,你需要和您的网络供应商联系察看一下哪个网络设备阻断了该端口。比如:
Querying Endpoint Mapper Database...
137 registered endpoints found.
安全:
活动目录复制使用Kerberos来进行双方的身份验证,同时服务器上的安全策略配置也直接影响目录复制的正常进行。在您进行安全方面的检测时,你需要察看是否双方的服务器时间相一致,否则kerberos认证会返回相关错误。并且,您需要检测服务器是否注册相应的SPN 名字 (e3514235-4b06-11d1-ab04-00c04fc2dcd2/ntdsa_objectGUID/domainname),保证双方的计算机密码在双方的数据库里是同步的。这里枚举了一些你在安全方面必须要进行检查的内容和步骤:
检测“Access this computer from network user right”
在MPS报告里,找到 <computername>_userrights.txt 文件,确认everyone,authenticated users,以及enterprise domain controllers 组拥有该权限。
网友评论