我有一台 Windows Server 2012,每隔几秒钟就会向其他子网上的本地 IP 上的端口 445 发送数据包。它试图访问的其他子网上的 IP 是 VoIP 电话等设备。我知道端口 445 与 Samba 和/或文件复制服务有关,当然 VoIP 电话不应该对这些服务感兴趣。我可以看到流量,因为位于 VLAN 子网“头部”的防火墙正确地丢弃了数据包。
我想知道是什么原因导致 Windows Server 操作系统“察觉”到这些 IP 地址的存在,因此决定在端口 445 上持续向它们发送垃圾邮件。由此,我希望阻止这种情况发生,因为它会用噪音填满我的防火墙日志。
有问题的服务器是域控制器,也是域中的第一个服务器(我知道 PDC 现在是弃用的术语)。也许这是相关的。
- Windows 操作系统如何在网络上了解这些 IP 地址?从逻辑上讲,它们没有理由跨子网交互,除非偶尔从 VoIP 设备进行 DNS 查找。
- 我如何才能找出哪个进程或服务正在轮询/发送垃圾邮件/尝试查找设备?
- 并且,我该如何禁止 Windows 操作系统执行此操作,或者以其他方式将非域成员设备从其所述内容存储库中“删除”为“垃圾邮件”。
答案1
OP 表示它正在搜索服务器不了解的网络。SMB 文件共享发现应该只在本地连接的网络上进行发现,我们不会在防火墙日志中看到它们。
供以后参考,我已经解决了我们的问题,这是防火墙造成的。它使用单点登录。当用户尝试从其他网络(无论是访客还是 VoIP)访问互联网时,防火墙会尝试通过查询服务器来确定用户,然后服务器会查询 445 上的客户端设备。如果客户端设备位于不同的子网上,我们将看到这些被拒绝的数据包。
这是一个非常古老的帖子,但可能对其他人有帮助,因为它最初三年多来都没有得到答复。
〜乔恩
答案2
正如您所描述的,SMB 文件共享发现,它使用域控制器的凭据来搜索共享。如果您不使用 SMB,可以通过关闭 Windows 服务器上的服务来禁用它,或者您可以在防火墙中过滤日志。