Я пробовал нюхать сеть своей компании, чтобы попытаться очистить часть трафика, и заметил, что один из наших контроллеров домена Server 2008 отправляет ARP каждую секунду или две примерно на 15 разных адресов в 169.254.0.0/16 подсеть. Контроллер домена находится в подсети 10.10.0.0/23. Кто-нибудь знает, что может вызывать эти ARP? Насколько я могу судить, в сети нет клиентов с адресами 169.254.x.x, поэтому я понятия не имею, почему DC пытается их найти.
На сервере есть два сетевых адаптера, но подключен только один из них. Вчера я отключил неиспользуемую сетевую карту, когда заметил ARPing, чтобы посмотреть, изменит ли это что-нибудь, но сегодня это не так.
Вывод ipconfig / all:
Windows IP Configuration
Host Name . . . . . . . . . . . . : server-snip
Primary Dns Suffix . . . . . . . : snip.com
Node Type . . . . . . . . . . . . : Hybrid
IP Routing Enabled. . . . . . . . : No
WINS Proxy Enabled. . . . . . . . : No
DNS Suffix Search List. . . . . . : snip.com
Ethernet adapter Local Area Connection 3:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : Intel(R) PRO/1000 GT Desktop Adapter
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Link-local IPv6 Address . . . . . : fe80::885:cbff:b468:f229%13(Preferred)
IPv4 Address. . . . . . . . . . . : 10.10.0.63(Preferred)
Subnet Mask . . . . . . . . . . . : 255.255.254.0
Default Gateway . . . . . . . . . : 10.10.0.6
DNS Servers . . . . . . . . . . . : 10.10.0.63
10.10.0.64
NetBIOS over Tcpip. . . . . . . . : Enabled
Tunnel adapter Local Area Connection* 9:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : isatap.{CD1C279E-711E-4426-84F6-FD1FF423B
521}
Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
DHCP Enabled. . . . . . . . . . . : No
Autoconfiguration Enabled . . . . : Yes
Если все остальное не позволяет определить причину, и ipconfig /all не показывает адаптеров, привязанных к этому диапазону, вы можете использовать Сетевой монитор для идентификации процесса, исходящего трафика.
Если процесс окажется spoolsv.exe, например, вы сможете узнать, какие принтеры настроены на этих адресах.
Причина ARP оказалась в том, что в других подсетях есть несколько хостов с адресами 169.254.0.0/16, которые пытаются достичь NTP на сервере Windows. Наш маршрутизатор маршрутизирует трафик, но, конечно, Windows Server не знает, как ответить. Мне все еще нужно выяснить, почему эти хосты не получают адреса DHCP, но, по крайней мере, я знаю, что Windows Server не виноват.