몇 초마다 다른 서브넷의 로컬 IP에 있는 포트 445로 향하는 패킷을 보내는 Windows Server 2012가 있습니다. 예를 들어 연결하려는 다른 서브넷의 IP는 VoIP 전화와 같은 장치입니다. 포트 445는 Samba 및/또는 파일 복제 서비스와 관련이 있으며 물론 VoIP 전화는 이와 같은 서비스에 관심이 없어야 한다는 것을 알고 있습니다. VLAN 서브넷의 '헤드'에 있는 방화벽이 패킷을 올바르게 삭제하고 있기 때문에 트래픽을 볼 수 있습니다.
Windows Server OS가 이러한 IP 주소의 존재를 '파악'하여 포트 445에서 지속적으로 스팸을 보내기로 결정하는 이유가 무엇인지 궁금합니다. 그런 다음 방화벽 로그가 가득 차서 이러한 일이 발생하지 않도록 하려고 합니다. 소음이 있습니다.
문제의 서버는 도메인 컨트롤러이며 도메인의 첫 번째 서버입니다(PDC는 현재 더 이상 사용되지 않는 용어라는 것을 알고 있습니다). 아마도 이것은 관련이 있습니다.
- Windows OS는 네트워크에서 이러한 IP 주소를 어떻게 알 수 있습니까? 논리적으로 VoIP 장치에서 가끔 DNS를 조회하는 경우를 제외하고는 교차 서브넷과 상호 작용할 이유가 없습니다.
- 어떤 프로세스나 서비스가 장치를 폴링/스팸/조회하려고 하는지 어떻게 알 수 있나요?
- 그리고 이 작업을 수행하지 못하도록 Windows OS를 비활성화하거나 도메인이 아닌 구성원 장치를 해당 저장소에서 '스팸'으로 '제거'하려면 어떻게 해야 합니까?
답변1
OP는 서버가 알지 못하는 네트워크를 검색하고 있음을 나타냅니다. SMB 파일 공유 검색은 로컬로 연결된 네트워크에서만 검색을 수행해야 하며 방화벽 로그에는 표시되지 않습니다.
향후 정보를 위해 문제를 해결했는데 이는 방화벽 때문이었습니다. 싱글 사인온(SSO)을 사용합니다. 사용자가 게스트 또는 VoIP 등 다른 네트워크에서 인터넷 액세스를 시도하면 방화벽은 서버에 쿼리한 다음 445에서 클라이언트 장치에 쿼리하여 사용자를 확인하려고 시도합니다. 클라이언트 장치가 다른 서브넷에 있는 경우 거부된 패킷을 확인하세요.
이것은 정말 오래된 게시물이지만 처음에는 3년 넘게 답변이 없었으므로 다른 사람들에게 도움이 될 수 있습니다.
~ 존
답변2
설명하는 것과 정확히 같은 SMB 파일 공유 검색이며 도메인 컨트롤러의 자격 증명을 사용하여 공유를 검색합니다. SMB를 사용하지 않는 경우 Windows 서버에서 서비스를 꺼서 비활성화하거나 방화벽에서 로그를 필터링할 수 있습니다.