Ich habe einen Windows Server 2012, der alle paar Sekunden Pakete an Port 445 an lokale IPs in anderen Subnetzen sendet. Die IPs in anderen Subnetzen, die er zu erreichen versucht, sind beispielsweise Geräte wie VoIP-Telefone. Ich verstehe, dass Port 445 mit Samba und/oder dem Dateireplikationsdienst zusammenhängt, und natürlich sollte ein VoIP-Telefon kein Interesse an derartigen Diensten haben. Ich kann den Datenverkehr sehen, weil unsere Firewall am „Kopf“ der VLAN-Subnetze die Pakete zu Recht verwirft.
Ich frage mich, warum das Windows Server-Betriebssystem „Wind“ von der Existenz dieser IP-Adressen bekommt und sich deshalb entscheidet, sie ständig über Port 445 zu spammen. Auf diese Weise hoffe ich, dies zu verhindern, da es meine Firewall-Protokolle mit Lärm füllt.
Der betreffende Server ist ein Domänencontroller und der erste in der Domäne (ich weiß, dass der Begriff PDC mittlerweile veraltet ist). Vielleicht ist das relevant.
- Wie erfährt das Windows-Betriebssystem von diesen IP-Adressen im Netzwerk? Logischerweise besteht für sie, abgesehen von gelegentlichen DNS-Suchen von den VoIP-Geräten, kein Grund, über Subnetze hinweg zu interagieren.
- Wie kann ich herausfinden, welcher Prozess oder Dienst die Geräte abfragt/spammt/versucht, sie zu suchen?
- Und wie kann ich das Windows-Betriebssystem daran hindern, dies zu tun, oder das Gerät, das kein Domänenmitglied ist, anderweitig aus seinem Repository der besagten Dinge „entfernen“, um es zu „spammen“.
Antwort1
Der OP gab an, dass er in Netzwerken suchte, von denen der Server keine Kenntnis haben sollte. Die SMB-Dateifreigabeerkennung sollte nur lokal verbundene Netzwerke erkennen und wir würden sie nicht in den Firewall-Protokollen sehen.
Zur Information: Ich habe unser Problem gelöst und es lag an der Firewall. Sie verwendet Single Sign-On. Wenn ein Benutzer versucht, von anderen Netzwerken aus auf das Internet zuzugreifen, sei es Gast oder VoIP, versucht die Firewall, den Benutzer zu ermitteln, indem sie den Server abfragt, der dann das Clientgerät unter 445 abfragt. Wenn sich das Clientgerät in einem anderen Subnetz befindet, werden wir diese abgelehnten Pakete sehen.
Dies ist ein wirklich alter Beitrag, aber vielleicht ist er für andere hilfreich, da er zunächst über drei Jahre lang unbeantwortet blieb.
~Jon
Antwort2
Es funktioniert genau so, wie Sie es beschreiben, nämlich SMB-Dateifreigabeerkennung, und es verwendet die Anmeldeinformationen des Domänencontrollers, um nach Freigaben zu suchen. Wenn Sie SMB nicht verwenden, kann es deaktiviert werden, indem Sie den Dienst auf dem Windows-Server ausschalten, oder Sie können Ihre Protokolle in der Firewall filtern.