Pare o Windows Server 2012, ferramentas do Foundation Edition OEM de telefonar para casa

Navegue suas respostas
2

Em um DELL PowerEdge T110 II, o pré-instalado Windows Server 2012 R2 (edição base) continua solicitando a página limwinsemea02.mfg.ie.dell.com pela porta http 80. Sabemos disso por causa de um log de firewall, que regista ~ 250k bloqueou pedidos em poucos meses. Até agora, não consegui descobrir qual componente / processo de serviço / inicialização está causando isso. O que preciso configurar, desinstalar ou desativar para que esse comportamento de "telefone residencial" pare sem afetar a operação normal do servidor?

EDIT : o monitor do processo sysinternals revelou isso:

a porta 80 foi uma interpretação ou suposição errada. é um UDP enviado para 163.244.79.191 na porta conhecida "netbios-ns" (decimal 137). Esse IP está em um intervalo atribuído a "Dell, Inc.".

PID 4="Sistema", Stack mostra que, além do ntoskrnl.exe, o netbt.sys e o tdx.sys estão envolvidos.

Eu entendo agora que o protocolo netbios está envolvido, mas por que (e onde) está configurado para inundar esse endereço DELL com vários conectores por segundo?

EDIT 2 : onde quer que o domínio ou endereço IP esteja armazenado, ele não está no registro. ou mexidos.

    
por dlatikay 28.11.2016 / 14:22

2 respostas

1

O protocolo que usa a porta 137 (resolução de nomes netbios) funciona usando broadcasts dentro dos limites da LAN local. Não é roteável. Muitas pessoas que utilizam VPN em seu local de trabalho reclamam por não conseguirem resolver os nomes de suas redes de computadores de trabalho e recebem idéias para hospedar um ou mais servidores DNS aqui e ali para superar essa limitação. Ou compre um roteador VPN específico que permita SMB sobre VPN.

A última vez que vi alguém abrindo o seu porto 137 (8 ou 9) para a rede pública foi por volta de 1998-1999 quando usamos internet discada em linhas POTS, efetivamente nos abrindo para todos, oh, a nostalgia . Então, o DELL provavelmente não o abre.

À luz disso, vejo uma pequena possibilidade de que isso seja intencionalmente "telefonar para casa". O processo do sistema PID4 , que hospeda alguns serviços de rede, permite que o NetBios (SMB) bombardeie todos que podem a partir de sua porta 137, a fim de, por exemplo, anunciar o nome do netbios e o tipo de nó do servidor. Em seguida, a ligação é deixada por um curto período de tempo em algum estado final, por ex. TEMPO DE ESPERA. A verdadeira questão é por que o MS ainda permite que o Windows faça, o que há 16 anos era considerado estúpido (veja o 7º e o 8º post em este encadeamento para mencionar que os logs do firewall estão cheios de conexões SMB descartadas).

Eu acho que algum aplicativo em seu servidor pode ter procurado por atualizações e foi assim que o servidor armazenou esse IP, que então foi objeto do comportamento do NetBios, que realmente é o IMHO culpado.

    
por 29.11.2016 / 01:18
2

Estou razoavelmente certo de que o Process Monitor do sysinternals permitirá que você capture dados para mostrar qual processo está fazendo a solicitação de DNS para esse local.

Se você usá-lo para capturar a atividade da rede, você verá o PID e o nome do processo. Em seguida, procure pacotes UDP, você terá que digitar 'IP de origem: 53' indo para o servidor DNS e, em seguida, o domínio real - Eu suspeito que você terá que faff um pouco com isso para obtê-lo indo embora desculpe .

    
por 28.11.2016 / 14:26

Tags

500 erro apenas no chrome (funciona no firefox) Como mover a VM para uma nova rede virtual no Portal do Azure