Доброй ночи всем формучанам!
На работе имеется веб сервер на w2k8 sp2 eng. Он не входит в домен и размещен в публичном сегменте сети. То есть у провайдера куплена целая подсеть с маской/24 белых ip адресов. На нем включен аудит успешных и не успешных входов в систему. Подключаюсь к нему через rdc(remote desktop connection). Почему в журнале событий в разделе Безопасность при успешном подключении к серверу пишется адрес порт из 5 знаком? У RDP использует 3389. То есть я имею ввиду что соединение должно идти используя порт 3389.
Пример

An account was successfully logged on.

Subject:
Security ID: SYSTEM
Account Name: <Имя хоста>
Account Domain: WORKGROUP
Logon ID: <удалил>

Logon Type: 10

New Logon:
Security ID: <Имя хоста>\<Имя пользователя>
Account Name: <Имя пользователя>
Account Domain: <Имя хоста>
Logon ID: <удалил>
Logon GUID: <удалил>

Process Information:
Process ID: 0x178c
Process Name: C:\Windows\System32\winlogon.exe

Network Information:
Workstation Name: <Имя хоста>
Source Network Address: <удалил>
Source Port: 49643

Detailed Authentication Information:
Logon Process: User32
Authentication Package: Negotiate
Transited Services: -
Package Name (NTLM only): -
Key Length: 0

Source Network Address: <удалил>
Source Port: 49643 »
Здесь указаны адрес и порт абонента, то есть не к какому порту, а с какого порта подключаются.
В данном случае соединение было установлено с I.P.адрес.клиента:49643 на I.P.адрес.сервера:3389

Разумеется, номера клиентских портов при подключении к какому-либо серверу выбираются случайным образом из числа свободных. Обычно клиентские порты начинаются с пятизначных чисел - меньшие используются для приёма входящих подключений. Номера портов до 1024 зарезервированы для входящих подключений основных системных сервисов, впрочем сейчас этот список расширен до номера 4048.

Спасибо