Мы наблюдаем на наших серверах 2012R2, что wmiprvse.exe прослушивает большое количество портов UDP. Со временем он просто продолжает расти. Если сервер работает около месяца, могут прослушиваться сотни (почти тысячи) портов. Все они прослушивают петлевой интерфейс IPv4. Все они имеют очень большое число, например, более 40000. Невозможно определить проблему с помощью procmon, что заставляет порты прослушивать, поэтому я спрашиваю, знает ли кто-нибудь, является ли это ожидаемым поведением или как его решить? К вашему сведению, серверы различаются по дате установки и по тому, какие исправления были установлены в это время. На них установлен агент SCCM, если это поможет кому-нибудь с ответами.
Также см Утечка UDP-порта в Wmiprvse.exe при использовании фильтра групповой политики WMI:
Причина
Каждый раз, когда процесс загружает и выгружает WLDAP32.dll, дескриптор сокета выделяется и не освобождается. Следовательно, эфемерный порт источника остается связанным. Это приводит к истощению исходного порта в течение длительного времени.
Такое поведение является особенностью. Это влияет на то, как WLDAP32.dll использует сокеты для устранения ограничений ядра и предотвращения взаимоблокировки, которая в противном случае могла бы возникнуть в системе.
Мы выяснили, почему срабатывают порты, и смогли, наконец, связать это с запуском расписания gpupdate. Каждый раз при запуске gpupdate открывается порт. У нас также установлен агент SAM (управление активами программного обеспечения), который измеряет использование приложений и т. Д. Порты оставались открытыми, если агент сканирования выполнял сканирование одновременно с gpupdate. Уменьшение интервала сканирования решило проблему для нас.