win 2003 AD

comodo не разрешает создавать новых юзеров в AD users and computers

причем режет без логов или всплывающих окошек. отключение application monitor помогает, но это явно не выход :slight_smile:

в мониторе запретов нет. в сетевом мониторе запрешен ping и закрыты 137 и 139 порты.

сносил - ставил заново. ситуация таже. win 2003 server + sp2

same topic in english

https://forums.comodo.com/help_for_v2/active_directory-t20921.0.html

Приветствуем,

Можно попробовать сделать для AD политику “разрешить все вх./исх.”.
Правила по умолчанию (в Третьей версии) для svchost - разрешить tcp/udp исходящий, для winlogon и lserver - вообще нет правил.

Не могу сказать, где точно, но найдите настройки “block fragmented ip datagrams”, “do protocol analysis” и еще 2 на той же вкладке. Выключите их все.

Если не поможет, можно попробовать убрать правила в сетевом мониторе и разрешить все вх./исх. для всех процессов, которые могут иметь отношение к ситуации (экспортировав текущие правила). Если заработает, надо будет выявить нужный процесс.

в том и рпоблема , что я не вижу процесса который за это отвечает.

Правила по умолчанию (в Третьей версии) для svchost - разрешить tcp/udp исходящий, для winlogon и lserver - вообще нет правил.

svchost разрешено локально все.
winlogon тоже
lserver занимается раздачей лицензий для поключений, с ним то я разобрался быстро.

Не могу сказать, где точно, но найдите настройки "block fragmented ip datagrams", "do protocol analysis" и еще 2 на той же вкладке. Выключите их все.

попробую. их я как раз не не убирал, но вряд ли поможет…

Если не поможет, можно попробовать убрать правила в сетевом мониторе и разрешить все вх./исх. для всех процессов, которые могут иметь отношение к ситуации ([url=https://forums.comodo.com/10551086108810911089108910821080_russian/ethsectethdegn%EF%BF%BDn%EF%BF%BDethfrac34_ethmiddotethdegethacuteethdegethsup2ethdegethmicroethfrac14n%EF%BF%BDethmicro_ethsup2ethfrac34ethiquestn%EF%BF%BDethfrac34n%EF%BF%BDn%EF%BF%BD-t20632.0.html;msg141510#msg141510]экспортировав текущие правила[/url]). Если заработает, надо будет выявить нужный процесс.

а в том и фича, что сетевой монитор не причем. отключая монитор приложений я получаю работающую систему. при этом сетевой монитор продолжает фильтровать траффик.
снес все во второй раз. поставил outpost и попытаюсь через его монитор выявить нужные разрешения.

зы с комодо AD поднимается только руками, так как не только DHCP & DNS сервера блокируются намертво, но и есть ряд проблем с применением политик безопасности.а тот же outpost запустил все без проблем. при этом комодо позиционируется имхо не совсем как домашнее решение…

Все верно, мне надо было быть внимательней… Тогда все то же самое, только не удаляя никаких правил из сетевого монитора.

попробую завтра.

но по ощущениям что то блокируется на уровне запуска системы. спасает только отключение монитора приложений + reboot или разрешить все + reboot.

галку "запретить подключения до запуска comodo " снимал - толку ноль

решено.

для приложения lsass при родителе winlogon разрешены все обращения по всем портам для ip адреса 0.0.0.0

насколько это критично для безпасности использование ip 0.0.0.0?

для 127.0.0.1 это правило не срабатывает

К сожалению не в курсе…

как вариант - задать с маской 255.0.0.0, если еще не пробовали