我们在 2012R2 服务器上遇到 wmiprvse.exe 正在监听大量 UDP 端口的情况。随着时间的推移,这个数字不断增加。如果服务器已经运行了一个月,那么可能会有数百个(近千个)端口在监听。它们都在 IPv4 环回接口上监听。它们的数量非常大,超过 40000。无法找到 procmon 的问题是什么导致端口监听,所以我想问是否有人知道这是预期的行为还是如何解决它?供您参考,服务器的安装日期和当时安装了哪些补丁各不相同。它们安装了 SCCM 代理,如果这能帮助任何人找到答案的话。
答案1
我们调查了端口触发的原因,并最终将其与 gpupdate 计划运行的时间联系起来。每次运行 gpupdate 时,都会打开一个端口。我们还安装了一个 SAM(软件资产管理)代理,用于测量应用程序使用情况等。如果扫描代理在 gpupdate 运行的同时进行扫描,端口将保持打开状态。降低扫描间隔为我们解决了这个问题。
答案2
另请参阅使用 WMI 组策略过滤器时,Wmiprvse.exe 中出现 UDP 端口泄漏:
原因
每次进程加载和卸载 WLDAP32.dll 时,都会分配一个套接字句柄,并且不会释放。因此,源临时端口保持绑定状态。这会导致源端口长时间耗尽。
此行为是设计使然。它会影响 WLDAP32.dll 使用套接字的方式,以解决内核限制并防止系统中可能出现的死锁。