Windows Admin Center 中的数据包监视扩展

2023-03-09
适用于: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local 2311.2 and later

使用数据包监视扩展，你可以通过 Windows Admin Center 操作和使用数据包监视器。该扩展通过网络堆栈捕获网络流量并将其显示在易于跟踪和操作的日志中，帮助你诊断网络问题。

什么是数据包监视器 (Pktmon)？

数据包监视器 (Pktmon) 是适用于 Windows 的内置跨组件网络诊断工具。此工具可以用于数据包捕获、数据包丢弃检测、数据包筛选和计数。此工具在虚拟化场景（如容器网络和 SDN）中特别有用，因为它提供了网络堆栈中的可见性。

什么是 Windows Admin Center？

Windows Admin Center 是一个在本地部署的基于浏览器的管理工具，让你能够管理 Windows Server，而无需依赖 Azure 或云。利用 Windows Admin Center，你可以完全控制服务器基础结构的各个方面，对于在未连接到 Internet 的专用网络上管理服务器特别有用。 Windows Admin Center 是“内部”管理工具（例如服务器管理器和 MMC）的现代演进版。

开始之前

若要使用此工具，目标服务器需要运行 Windows Server 2019 版本 1903 或更高版本。
安装 Windows Admin Center。
将服务器添加到 Windows Admin Center：
1. 单击“所有连接”下的“+ 添加”。
2. 选择添加一个服务器连接。
3. 键入服务器的名称，并在出现提示时键入要使用的凭据。
4. 单击“提交”完成操作。

服务器将添加到“概述”页上的连接列表中。

入门

若要访问该工具，请导航到在上一步创建的服务器，然后转到“数据包监视”扩展。

应用筛选器

强烈建议在开始任何数据包捕获之前应用筛选器，因为当你专注于单个数据包流时，排查与特定目标的连接的问题会更容易。另一方面，捕获所有网络流量会使输出噪音太大而无法进行分析。因此，该扩展会在开始捕获之前先引导你进入筛选器窗格。可以单击“下一步”跳过此步骤，开始在不使用筛选器的情况下进行捕获。筛选器窗格会指导你通过 3 个步骤添加筛选器。

按网络堆栈组件进行筛选

如果要捕获仅流经特定组件的流量，可以执行筛选器窗格的第一步来显示网络堆栈布局，以便选择要按其进行筛选的组件。这也是分析和了解计算机的网络堆栈布局的绝佳位置。
按数据包参数进行筛选

对于第二步，你可以通过窗格按数据包参数筛选数据包。报告某个数据包的前提是该数据包与至少一个筛选器中指定的所有条件匹配；一次最多支持 8 个筛选器。对于每个筛选器，你可以指定数据包参数，如 MAC 地址、IP 地址、端口、以太网类型、传输协议、VLAN ID。
- 指定两个 MAC、IP 或端口时，该工具不会区分源或目标；它会捕获有两个值的数据包（无论是作为目标还是作为源）。但是，显示筛选器可以做出这种区分；请参阅下面的显示筛选器部分。
- 若要进一步筛选 TCP 数据包，可以选择提供一个列表，其中列出要匹配的 TCP 标志。支持的标志为 FIN、SYN、RST、PSH、ACK、URG、ECE 和 CWR。
- 如果选中“封装”框，该工具会将筛选器应用于封装的内部数据包和外部数据包。支持的封装方法为 VXLAN、GRE、NVGRE 和 IP-in-IP。自定义 VXLAN 端口是可选的，默认为 4789。
按数据包流状态进行筛选

默认情况下，数据包监视器会捕获流动的和丢弃的数据包。若仅捕获丢弃的数据包，请选择“丢弃的数据包”。

之后，将显示所有选定筛选条件的摘要以供审阅。通过“捕获条件”按钮开始捕获后，你将能够检索该视图。

捕获日志

结果显示在一个表中，该表显示了捕获的数据包的主要参数：时间戳、源 IP 地址、源端口、目标 IP 地址、目标端口、以太网类型、协议、TCP 标志、数据包是否被丢弃以及丢弃原因。

每个数据包的时间戳也是一个超链接，可将你重定向到一个不同的页面，你可以在其中找到有关所选数据包的更多信息。请参阅下面的“详细信息页面”部分。
所有丢弃的数据包都会在“已丢弃”选项卡中显示“True”值，并会显示丢弃原因，它们以醒目的红色文本显示。
所有选项卡都可以按升序和降序排序。
可以使用搜索栏在日志的任何列中搜索值。
你可以使用“重启”按钮，通过相同的选定筛选器重启捕获。

详细信息页

此页显示数据包流经本地网络堆栈的每个组件时的快照。此视图显示数据包流路径，让你可以调查数据包在被每个流经的组件处理后如何变化。

数据包快照按每个适配器/交换机堆栈分组；即，适配器/交换机捕获的数据包快照、其筛选器驱动程序及其协议驱动程序将在适配器/交换机名称下分组。这样可以更轻松地跟踪数据包的从一个适配器到另一个适配器的流。
选择快照后，将显示有关此特定快照的更多详细信息，包括原始数据包标头。
所有丢弃的数据包都会在“已丢弃”选项卡中显示“True”值，并会显示丢弃原因，它们以醒目的红色文本显示。

显示筛选器

显示筛选器允许你在捕获数据包后筛选日志。对于每个筛选器，你可以指定数据包参数，如 MAC 地址、IP 地址、端口、以太网类型和传输协议。与捕获筛选器不同：

显示筛选器可以区分 IP 地址、MAC 地址和端口的源和目标。
在应用显示筛选器以更改日志的视图后，可以删除和编辑显示筛选器。
显示筛选器以相反顺序保存在日志中。

保存功能

“保存”按钮允许将日志保存在本地计算机和/或远程计算机上。显示筛选器以相反顺序保存在日志中。

如果日志保存在本地计算机上，则可以以各种格式保存日志：
- 可使用 Microsoft 网络监视器分析的 etl 格式。注意：有关详细信息，请查看此页面。
- 可以使用任何文本编辑器（如 TextAnalysisTool.NET）进行分析的文本格式。
- 可以使用 Wireshark 之类的工具进行分析的 Pcapng 格式。
- 在此转换过程中，大部分数据包监视器元数据将会丢失。有关详细信息，请查看此页面。

打开功能

使用打开功能，你可以重新打开最近保存的五个日志中的任何一个，以便通过工具对其进行分析。