RSS订阅追求最高效、最简单的解决方案
你的位置:首页 » 解决方案分享 » 正文

系统开机有异常网络链接占用问题分析

选择字号: 超大 标准 技术小哥 发布于2018年10月30日 属于 解决方案分享 栏目  0个评论 2823人浏览

【前言】

近日收到技术反馈,为啥派网路由上显示网吧系统开机的时候有访问www.msftncsi.com以及dns.msftncsi.com这个网站?而在客户机上又抓不到是哪个程序访问的,刷的一下很快就没了。


【思路分析】

1、通常遇到这类问题,首先需要反复开机测试该问题的几率,当实际测试是100%出现的时候,则需要首先在客户机ping或者用nslookup命令,取得该域名所对应的IP地址。

QQ截图20181030151043.jpg


2、在获取IP地址后,那么则需要检查PC机器的应用程序网络监听状态,可以使用netstat -ao命令或者PChunter网络功能进行查看。PChunter可以直接查看到进程的ID(也叫PID、身份标识符),那么很快可以查到哪个程序访问。

QQ截图20181030151319.jpg


而netstat -ao命令中,第一列是协议、第二列本地地址、第三列远程地址、第四列状态、第五列进程PID

QQ截图20181030151544.jpg


3、如果程序启动非常快的消失了,可以试用ProcessMonitor功能开机完成抓取过程,可以试用命令行的方式静默启动。例如C:\Tool\ProcessMonitor.exe /Minimized /Quiet /Accepteula,三个参数分别是自动接受用户协议、不显示筛选器对话框、最小化方式启动。

QQ截图20181030152234.jpg


4、我们通过日志发现是svchost.exe,访问的www.msftncsi.com。通过查阅相关资料发现这个域名发现是微软系统的NCSI网络判断机制时候所用的。微软的相关说法为:

QQ截图20181030152837.jpg


【解决办法】

了解NCSI判断机制后,如果想要解决的话也比较简单,可以修改注册表禁用NCSI服务HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet,将EnableActiveProbing数值改成0,默认为1。重启计算机即可解决。


此篇文章思路可用于排查客户机网络占用异常、流量异常等场景!如果您有更高效解决方案可以与小编私聊探讨!


【参考文献】

什么是网络连接状态指示器NCSI-一丁-51CTO博客

http://blog.51cto.com/yiding/1735000


Win 7 NCSI判断机制 - Microsoft Community

https://answers.microsoft.com/zh-hans/windows/forum/windows_7-networking/win-7-ncsi%E5%88%A4%E6%96%AD%E6%9C%BA%E5%88%B6/ff8e279a-5f08-4279-ad20-7a47fd89f977



【我们不一定每天发文章,但所发的技术文章都会让你开拓知识视角,赶紧关注把】

打赏

标签:

1

猜你喜欢

右侧2016一起努力
最新发布的文章
最新评论

公告

十年相伴 值得信赖 需要定制开发、购买加速器可以联系 QQ1368762345,微信同号