我在 Windows Server 2016 上的 Hyper-V 下运行了一个小型虚拟机集群(Windows 和 Linux)(其中 Hypervisor 也是 DC),使用资源监视器时,我最近注意到从 lsass.exe 到许多住宅主机(20 多个)的出站流量不规则,其中大多数连接始终保持在约 3,000b/秒左右,但有几个连接高达 250,000b/秒,连接会保持一段时间,然后新的连接来来去去。
经过一番搜索,我发现 lsass.exe 负责虚拟机流量,因此我检查了每台虚拟机(使用资源监视器/bmon),没有一台虚拟机持续推送这种级别的流量。经过进一步研究,负责的进程似乎是“本地安全机构进程”,它有 6 个子进程(凭据管理器、安全帐户管理器、Active Directory 域服务、Netlogon、CNG 密钥隔离、Kerberos 密钥分发中心)——因此可以肯定地说,流量来自虚拟机管理程序。
所以我的问题是,为什么我的 Hypervisor/DC 会向看似随机的住宅主机发送大量流量?
编辑:也许值得一提的是,lsass.exe 正在监听 TCP 88、389、464、636、3268、49667、49669、49670 和 UDP 88、389、464、50725