Server 2012: SYN, sem ACKs, em portas TCP superiores a 6000

Parece ridículo lê-lo em voz alta, mas estou perdido aqui.

Servidor 2012 Standard. Executa um daemon para um pacote de estatísticas no TCP 12502; em algum momento, o servidor parou de aceitar conexões com o daemon, aproximadamente na semana passada, mas estava trabalhando há duas semanas. O servidor foi reinicializado.

netstat confirma que está escutando em todas as interfaces. O Firewall do Windows está desativado para todos os três (Domínio, Público, Particular) *. Correndo Wireshark no servidor, eu posso ver os SYNs, mas nenhum ACKd ou SYN-ACKd. SMB, DNS, etc. todos estão trabalhando alegremente da estação de trabalho para o servidor.

Eu parei o daemon e peguei netcat e tentei por diversão ouvir em outra porta não-padrão / não-MS, 1250, telnet'ed da máquina cliente, conexão TCP OK.

Dividindo meus portos de cima para baixo até que eu possa reduzi-lo ... e chego à porta TCP 6000. Sucesso Telnet.
Porta TCP 6001, sem dados.
Porta TCP 6002, sem dados.
Lave e repita mais uma dúzia de vezes. Veja cada SYN, mas nenhum ACK.

Existe algo sobre portas > TCP 6000? Quem sabe. O Google não.

Eu gostaria de ter outro Servidor 2012 para verificar, mas não tenho. Eu fui on-line para pesquisar quaisquer novos recursos de segurança para 2012 que possam estar causando isso, mas ele estava funcionando há algumas semanas e nada parecia óbvio.

A Patch Tuesday veio e foi embora, e há alguns que foram instalados e que eu estou analisando, mas nada ainda.

* A única coisa que eu não tinha certeza com o Firewall do Windows é onde ele diz "Não conectado" na lista suspensa para cada um dos públicos e privados. Eles estavam "desligados", mas não tinham certeza do que significa "não conectado".