首页 › IT技术› 热点问题 › 查看内容

系统开机有异常网络链接占用问题分析

热点问题 3626 0 2019-9-4 18:19

问题现象：近日收到技术反馈，为啥派网路由上显示网吧系统开机的时候有访问www.msftncsi.com以及dns.msftncsi.com这个网站？而在客户机上又抓不到是哪个程序访问的，刷的一下很快就没了。排查方法：１通常遇到这 ...

问题现象：近日收到技术反馈，为啥派网路由上显示网吧系统开机的时候有访问www.msftncsi.com以及dns.msftncsi.com这个网站？而在客户机上又抓不到是哪个程序访问的，刷的一下很快就没了。
排查方法：
１通常遇到这类问题，首先需要反复开机测试该问题的几率，当实际测试是100%出现的时候，则需要首先在客户机ping或者用nslookup命令，取得该域名所对应的IP地址
２在获取IP地址后，那么则需要检查PC机器的应用程序网络监听状态，可以使用netstat -ao命令或者PChunter网络功能进行查看。PChunter可以直接查看到进程的ID（也叫PID、身份标识符），那么很快可以查到哪个程序访问

而netstat -ao命令中，第一列是协议、第二列本地地址、第三列远程地址、第四列状态、第五列进程PID

３如果程序启动非常快的消失了，可以试用ProcessMonitor功能开机完成抓取过程，可以试用命令行的方式静默启动。例如C:\Tool\ProcessMonitor.exe /Minimized /Quiet /Accepteula，三个参数分别是自动接受用户协议、不显示筛选器对话框、最小化方式启动。

我们通过日志发现是svchost.exe，访问的www.msftncsi.com。通过查阅相关资料发现这个域名发现是微软系统的NCSI网络判断机制时候所用的。微软的相关说法为：

解决方法：了解NCSI判断机制后，如果想要解决的话也比较简单，可以修改注册表禁用NCSI服务HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet，将EnableActiveProbing数值改成0，默认为1。重启计算机即可解决了解NCSI判断机制后，如果想要解决的话也比较简单，可以修改注册表禁用NCSI服务HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters\Internet，将EnableActiveProbing数值改成0，默认为1。重启计算机即可解决