ドメインコントローラー上のワークステーションからのパケットをブロックするWindowsフィルタリングプラットフォーム

プライマリDNSサーバー（DHCP構成で指定）はWindows Server 2008 R2を実行しており、ドメインコントローラーの1つでもあります。

そのセキュリティイベントログでは、クライアントマシンがNetBIOSパケットと奇妙な高数ポートUDPパケットでサーバーを「スパム」しているように見える、フィルタリングプラットフォームパケットドロップカテゴリに何百もの失敗監査があることがわかります。

CurrPorts を使用すると、高数ポートのUDPパケットが送信されるローカルポートがDNSサービスに登録されていることがわかります。しかし、それらの最も奇妙なことは、宛先が255.255.255.255であるということです。

そのような例の1つは次のとおりです。

 Windowsフィルタリングプラットフォームがパケットをブロックしました。
 
アプリケーション情報：
プロセスID：0 
アプリケーション名：-
 
ネットワーク情報：
方向：インバウンド
送信元アドレス：<クライアント/ワークステーションアドレス> 
送信元ポート：51515 
宛先アドレス：255.255。 255.255 
宛先ポート：51515 
プロトコル：17 
 
フィルター情報：
フィルター実行時ID：69825 
レイヤー名：トランスポート
レイヤーランタイムID：13 

これはNetBIOSのものです：

 Windowsフィルタリングプラットフォームがパケットをブロックしました。
 
アプリケーション情報：
プロセスID：0 
アプリケーション名：-
 
ネットワーク情報：
方向：インバウンド
送信元アドレス：<クライアント/ワークステーションアドレス> 
送信元ポート：137 
宛先アドレス：<DNSサーバーのアドレス> 
宛先ポート：137 
プロトコル：17 
 
フィルター情報：
フィルター実行時ID：69825 
レイヤー名：トランスポート
レイヤーランタイムID：13 

NetBIOSの名前解決がブロックされている理由がわかりません...

DNS宛ての上記のパケットに何が含まれているかを確認するためのパケットキャプチャはまだ行っていません。これを行うには、ファイアウォールを無効にする必要があるためです。

私が見る限り、私には次の選択肢があります：

• トラフィックを許可するファイアウォール例外を追加します（しかし、そもそもなぜそれを取得するのですか？）
• クライアントマシンを調査して、送信する理由と内容を確認します
• トラフィックを無視しますか？

DC）のセキュリティログには、ADロールからの実際の認証ログよりも多くのこのネットワークスパムを含む障害監査があります。

誰かがこれに似たものを見たことがありますか？

EDIT 2011-07-26：同じサーバーで、関連している可能性のある次の問題も発生しています。特にレイヤー名「ICMPエラー」で、アウトバウンドICMPパケットがブロックされる理由がわかりません...

 Windowsフィルタリングプラットフォームがパケットをブロックしました。
 
アプリケーション情報：
プロセスID：0 
アプリケーション名：-
 
ネットワーク情報：
方向：送信
送信元アドレス：10.2.0.240 
送信元ポート：0 
宛先アドレス：10.2.1.46 
宛先ポート：0 
プロトコル：1 
 
フィルター情報：
フィルター実行時ID：69827 
レイヤー名：ICMPエラー
レイヤーランタイムID：32