我有一台 Windows Server 2012,每隔幾秒鐘就會發送一次資料包,發送到其他子網路上的本機 IP 上的連接埠 445。例如,它嘗試存取的其他子網路上的 IP 是 VoIP 電話等裝置。我知道連接埠 445 與 Samba 和/或檔案複製服務相關,當然 VoIP 電話不應該對此類服務感興趣。我可以看到流量,因為位於 VLAN 子網路「頭部」的防火牆正確地丟棄了封包。
我想知道是什麼導致Windows Server 作業系統「得知」這些IP 位址的存在,因此決定在連接埠445 上持續向它們發送垃圾郵件。的防火牆日誌有雜訊。
有問題的伺服器是網域控制器,並且是網域中的第一個伺服器(我知道 PDC 現在是一個已棄用的術語)。也許這是相關的。
- Windows 作業系統如何獲知網路上的這些 IP 位址?從邏輯上講,除了偶爾從 VoIP 裝置進行 DNS 查找之外,它們沒有理由跨子網路互動。
- 如何找出哪個進程或服務正在輪詢/發送垃圾郵件/嘗試尋找裝置?
- 而且,我如何才能停用 Windows 作業系統執行此操作,或以其他方式從其「垃圾郵件」儲存庫中「刪除」非網域成員裝置。
答案1
OP 表示它正在跨網路進行搜索,而伺服器不應該知道這一點。 SMB 檔案共用發現應該只在本地連線的網路上發現,我們不會在防火牆日誌中看到它們。
對於未來的訊息,我已經解決了我們的問題,這是由於防火牆造成的。它使用單一登入。當用戶嘗試從其他網路(無論是訪客還是 VoIP)存取 Internet 時,防火牆會嘗試透過查詢伺服器來確定用戶,然後伺服器在 445 上查詢用戶端裝置。這些被拒絕的資料包。
這是一篇非常古老的帖子,但可能對其他人有幫助,因為它最初已經超過 3 年沒有得到答复。
〜喬恩
答案2
它正如您所描述的那樣,SMB 檔案共用發現,並且它使用網域控制器中的憑證來搜尋共用。如果您不使用 SMB,可以透過關閉 Windows 伺服器上的服務來停用它,或者您可以在防火牆中過濾日誌。