Eu tenho um Windows Server 2012 que a cada poucos segundos envia pacotes destinados à porta 445 em IPs locais em outras sub-redes. Os IPs em outras sub-redes que ele está tentando acessar são dispositivos como telefones VoIP, por exemplo. Eu entendo que a porta 445 está relacionada ao Samba e / ou serviço de replicação de arquivos e, claro, um telefone VoIP não deve ter interesse em serviços como esses. Eu posso ver o tráfego porque o nosso firewall sentado na 'cabeça' das sub-redes VLAN está soltando corretamente os pacotes.
Eu estou querendo saber o que faz com que o sistema operacional Windows Server 'fique sabendo' da existência desses endereços IP e, portanto, decidam spamá-los consistentemente na porta 445. A partir disso, espero impedir que isso aconteça, pois está sendo preenchido meu firewall registra com ruído.
O servidor em questão é um controlador de domínio e o primeiro no domínio (sei que o PDC é um termo obsoleto agora). Talvez isso seja relevante.
É exatamente como você descreve, descoberta de compartilhamento de arquivos SMB e usa as credenciais do controlador de domínio para pesquisar compartilhamentos. Se você não estiver usando o SMB, ele pode ser desativado desativando o serviço no servidor Windows ou você pode filtrar seus logs no firewall.
O OP indicou que estava pesquisando em redes que o servidor não deveria ter conhecimento. A Descoberta de Compartilhamento de Arquivos SMB só deve estar fazendo descobertas em redes locais conectadas e não as veríamos nos logs do firewall.
Para informações futuras, resolvi nosso problema e foi devido ao firewall. Usa o logon único. Quando um usuário tenta acessar a Internet de outras redes, seja convidado ou VoIP, o firewall tenta determinar o usuário consultando o servidor, que então consulta o dispositivo cliente em 445. Se o dispositivo cliente estiver em uma sub-rede diferente, veja estes pacotes negados.
Este é um post muito antigo, mas talvez útil para os outros, já que inicialmente ficou sem resposta por mais de três anos.
~ Jon