Eu executo um pequeno cluster de VMs (Windows e Linux) no Hyper-V no Windows Server 2016 (com o hipervisor também sendo o DC) e usando o Monitor de Recursos. Recentemente, notei uma quantidade irregular de tráfego de saída originado de lsass.exe para muitos hosts residenciais (20+), a maioria dessas conexões é consistentemente em torno de 3.000b / s, mas algumas chegam a 250.000b / s, as conexões permanecem por um tempo e depois as novas vêm e vão.
Um pouco de pesquisa indica que o lsass.exe é responsável pelo tráfego da VM, portanto, inspecionei cada VM (usando o Monitor de Recursos / bmon) e nenhuma delas está impulsionando consistentemente esse nível de tráfego. Após mais algumas pesquisas, o processo responsável parece ser "Processo de Autoridade de Segurança Local" que possui 6 subprocessos (Gerenciador de Credenciais, Gerenciador de Contas de Segurança, Serviços de Domínio Active Directory, Netlogon, Isolamento de Chaves CNG, Centro de Distribuição de Chaves Kerberos). como uma aposta segura para dizer que o tráfego está vindo do hipervisor.
Então, minha pergunta é: por que meu hipervisor / DC envia uma grande quantidade de tráfego para hosts residenciais aparentemente aleatórios?
Edit: Também pode valer a pena mencionar que o lsass.exe está escutando TCP 88, 389, 464, 636, 3268, 49667, 49669, 49670 e UDP 88, 389, 464, 50725