私は Windows Server 2012 を使用していますが、数秒ごとに他のサブネットのローカル IP のポート 445 宛てのパケットを送信しています。他のサブネットの IP は、たとえば VoIP 電話などのデバイスです。ポート 445 は Samba やファイル レプリケーション サービスに関連していると理解していますが、もちろん VoIP 電話はこのようなサービスには関心がないはずです。VLAN サブネットの「先頭」にあるファイアウォールがパケットを正しくドロップしているため、トラフィックを確認できます。
Windows Server OS がこれらの IP アドレスの存在を「察知」し、ポート 445 で継続的にスパム送信することにしたのはなぜなのか、私は疑問に思っています。これにより、ファイアウォール ログがノイズでいっぱいになるため、このような事態を阻止したいと考えています。
問題のサーバーはドメイン コントローラーであり、ドメイン内の最初のサーバーです (PDC は現在では非推奨の用語であることは承知しています)。おそらく、これが関係しているのでしょう。
- Windows OS はネットワーク上のこれらの IP アドレスをどのように認識するのでしょうか? 論理的には、VoIP デバイスからの定期的な DNS ルックアップを除いて、サブネット間でやり取りする理由はありません。
- どのプロセスまたはサービスがデバイスをポーリング/スパム/検索しようとしているかを確認するにはどうすればよいですか?
- また、Windows OS がこれを実行しないようにするにはどうすればよいでしょうか。あるいは、ドメイン メンバーではないデバイスを、スパムの対象となるもののリポジトリから「削除」するにはどうすればよいでしょうか。
答え1
OP は、サーバーが認識すべきではないネットワークを検索していると指摘しました。SMB ファイル共有検出は、ローカル接続されたネットワークでのみ検出を行うはずであり、ファイアウォール ログには表示されません。
今後の情報として、私は問題を解決しました。これはファイアウォールが原因でした。ファイアウォールはシングル サインオンを使用します。ユーザーがゲストまたは VoIP などの他のネットワークからインターネット アクセスを試みると、ファイアウォールはサーバーにクエリを実行してユーザーを特定しようとします。サーバーは次に 445 のクライアント デバイスにクエリを実行します。クライアント デバイスが別のサブネット上にある場合、これらの拒否されたパケットが表示されます。
これは本当に古い投稿ですが、当初 3 年以上回答がなかったため、他の人に役立つかもしれません。
~ジョン
答え2
これはまさに説明どおり、SMB ファイル共有検出であり、ドメイン コントローラーの資格情報を使用して共有を検索します。SMB を使用していない場合は、Windows サーバーでサービスをオフにするか、ファイアウォールでログをフィルターして無効にすることができます。