У нас есть несколько компьютеров (W10 и W2012) под доменом AD.
Мы обнаружили, что на серверах для каждого полученного сетевого пакета регистрируется событие с идентификатором 5156.
Насколько мы понимаем в документации, событие 5156 должен регистрироваться не более одного раза для каждого соединения, а не для каждого пакета соединения.
Обходной путь, который я нашел, состоит в том, чтобы вручную отключить локальную политику «Аудит подключения к платформе фильтрации».
С другой стороны, мы вообще не включили логирование пакетов (проверили локальную и групповую политики).
Есть идеи, что происходит?