У нашего клиента есть Isilon (используется только для smb) с несколькими подключенными к нему узлами. Когда я запускаю TCPView, я не понимаю, почему служба svchost установила соединение и почему их так много:
И ip 10.64.4.212:
Я запускаю анализатор svchost, чтобы узнать, какая именно служба стоит за ним, и получаю следующий результат:
Затем, когда я подключаюсь к другому клиентскому серверу с той же ОС Win2012R2 и Isilon, я не вижу этих подключений. Может кто-нибудь сказать, что не так? Почему svchost установил так много соединений с Isilon?
Вы можете сказать, что это трафик RPC из-за подключений к сопоставителю конечных точек RPC на TCP-порту 135 и последующих подключений к порту с высоким номером, например 48471.
Ты можешь использовать порткран и сами запросите средство отображения конечных точек RPC на удаленном устройстве и посмотрите, какая конечная точка RPC зарегистрирована на порту 48471. Я предполагаю, что это будет что-то SAM-R связанных, например, для поиска имени пользователя / членства в группе.
Это также должно быть очевидно при трассировке сети. (Netmon, Wireshark, netsh.exe)