我一直在嗅探我公司的网络,试图清理一些流量,并注意到我们的一个 Server 2008 域控制器每隔一两秒就会向 169.254.0.0/16 子网中的大约 15 个不同地址发送 ARP。域控制器位于 10.10.0.0/23 子网中。有人知道是什么导致了这些 ARP?据我所知,网络上没有任何客户端具有 169.254.xx 地址,所以我不知道 DC 为什么要尝试找到它们。
服务器确实有两个 NIC,但只有其中一个连接。昨天,当我注意到 ARPing 时,我禁用了未使用的 NIC,看看这是否会有什么变化,但今天再次查看时,发现并没有变化。
ipconfig /all 输出是:
Windows IP Configuration
Host Name . . . . . . . . . . . . : server-snip
Primary Dns Suffix . . . . . . . : snip.com
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : snip.com
Ethernet adapter Local Area Connection 3:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 GT Desktop Adapter
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::885:cbff:b468:f229%13(Preferred)
IPv4 Address. . . . . . . . . . . : 10.10.0.63(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.254.0
Default Gateway . . . . . . . . . : 10.10.0.6
DNS Servers . . . . . . . . . . . : 10.10.0.63
10.10.0.64
NetBIOS over Tcpip. . . . . . . . : Enabled
Tunnel adapter Local Area Connection* 9:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : isatap.{CD1C279E-711E-4426-84F6-FD1FF423B
521}
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
答案1
如果所有其他方法都无法确定原因,并且ipconfig /all没有显示任何绑定在该范围内的适配器,则可以使用网络监视器识别发起流量的进程。
例如,如果过程是这样的spoolsv.exe,您将能够知道查找在这些地址上配置的打印机。
答案2
ARP 的原因是其他子网上有一些主机具有 169.254.0.0/16 地址,它们正在尝试访问 Windows Server 上的 NTP。我们的路由器正在路由流量,但 Windows Server 当然不知道如何回复。我仍然需要找出这些主机未获取 DHCP 地址的原因,但至少我知道 Windows Server 不是罪魁祸首。