Eventualmente você poderá se deparar com um erro interno ao tentar acessar a área de trabalho remota de um servidor ou computador com sistema operacional Windows.
Ao pesquisar essa erro na internet, você irá encontrar algumas postagens orientando a instalar um hotfix distribuído pela Microsoft, em outras postagens orientando a redefinir aos configurações de rede, orientações sobre incompatibilidade de certificados SSL / TLS e outras orientações.
O interessante é que em todas as postagens você encontra dezenas de pessoas relatando que, mesmo após realizar todos os procedimentos, o problema persiste!
Ao me deparar com esse erro interno ao tentar acessar a área de trabalho remota de um servidor windows nosso eu iniciei uma pesquisa do que estava causando o problema. Fiz a análise dos logs do windows porém sem indicação do que estava causando o problema e apliquei as orientações indicadas pela Microsoft sem solução do problema.
Ao continuar a pesquisa,me deparei com a seguinte situação ao consultar as conexões que estavam sendo direcionadas para a porta do serviço que atende a Área de Trabalho Remota do nosso servidor:
Eu já não utiliza a porta padrão (3389) de conexão à área de trabalho remota porém mesmo assim estou sofrendo ataque de força bruta nela. A consequência desse ataque é o erro interno que nos deparamos eventualmente, causando a negação de acesso ao serviço.
Depois de criar uma regra no firewall do servidor windows impedindo o acesso a porta do serviço de conexão remota à área de trabalho o problema será resolvido e você passará a visualizar apenas o seu IP acessando a porta do serviço:
Espero que tenha ajudado você a resolver o seu problema! Deixe seu comentário caso o problema tenha sido resolvido ou sua dica do que estava causando o erro interno para você.
Como realizo esse bloqueio? Regra de Entrada/Saída no UDP e TCP?
Diniz,
Recomendo que você suba um bloqueio no firewall do Windows (ou no seu firewall físico, se possuir) bloqueando o acesso à porta utilizada pelo seu RDP apenas para um IP confiável (é preciso que você tenha um IP fixo ou tenha acesso a mudança dessa regra do firewall por outra porta, caso seu IP seja dinâmico).
Abraço!
Boa tarde Bruno, estou tendo esse problema de erro interno, porem sou meio leigo para inserir no firewall. poderia orientar melhor em qual tela entrar e como inserir o ip mais detalhado por favor. Muito obrigado pela ajuda 🙂
Bernardo,
O seu servidor Windows utiliza algum painel de controle (exemplo: Plesk) ou apenas o sistema operacional Windows?
Abraço, Bruno.
Boa tarde bruno, Aqui usamos windows server 2016 🙂
Bernardo,
Você deverá logar no terminal do servidor, clicar no ícone do Windows à esquerda e pesquisar por Windows Firewall with Advanced Security. Dentro dessa opção, na aba Inbound Rules você irá criar a regra de entrada para a porta que roda o seu serviço de acesso remoto (a porta padrão é 3389 porém o ataque normalmente ocorre por conta disso). Você tem duas opções, primeiro trocar a porta para outra aleatória (isso irá proteger você por algum tempo de ataques até que ela seja descoberta) ou fechar todo o acesso para a porta 3389 e liberar apenas para um IP ou faixa de IP (certifique-se que o seu IP seja fixo e não troque com frequência senão você terá problemas – se for um servidor local, dentro da sua empresa, não terá problema pois se precisar basta ir fisicamente até o servidor e logar).
Boa sorte! Abraço, Bruno.
Muito obrigado bruno, deu tudo certo agora
Que bom que deu tudo certo Bernardo!
Abraço, Bruno.
me ajudou, deu certo aqui, no meu caso eu fechei o redirecionamento da porta no firewall e acesso agora apenas por VPN, obrigado pela dica
Ádison,
Que bom que nossa dica ajudou você na solução do problema. Obrigado por acompanhar o nosso blog.
Abraço!
Na mosca! Parabéns pela orientação técnica.
Monitorado a porta;
Ataque identificado;
Origem do ataque bloqueado;
5 segundos após, teste realizado e tudo funcionando.
Na mosca!
Parabéns por partilhar o conhecimento!
Parabéns!
Em 02-dez-2022
Quem bom que o artigo ajudou você Clodoaldo! \o/
Abraço, Bruno.
Bruno, tambem estava com esse problema e subi a regra no firewall e resolveu o problema. Estava observando aqui os ips que aparecem aqui são os mesmos que apareceu pra voce. Isso são Bots que ficam tentando conexão nas portas ?
Danilo,
Exatamente, são bots de força bruta que ficam varrendo os IPs a procura de conexão ao RDP e testando senhas de fácil dedução para o usuário administrator principalmente (uma vez que é um usuário quase sempre existente no servidor com acesso ao RDP). Nos meus testes, mesmo mudando a porta de acesso ao RDP, depois de um tempo o problema volta a ocorrer na nova porta de acesso ao RDP, a única solução é deixar o acesso RDP fechado para toda a internet e liberado apenas para determinados IPs ou faixas.
Abraço, Bruno.
Compreendi exatamente a sua analise, porém o meu caso é o seguinte. Só permito acesso ao TS quem estiver conectado a VPN e apenas um IP externo diretamente. E as vezes do nada uma maquina da filial apresenta esse erro ai eu tenho que trocar o IP privado dela tipo 192.168.3.185 por outro 192.168.3.186 ai volta a funcionar o acesso ao WTS Windows server 2012 R2. Não tenho esse servidor aberto para a internet.
Otávio,
O resultado do comando abaixo mostra muitas conexões abertas para o seu TS do seu IP local ou externo permitido?
netstat -an | findstr PORTA-TS
Já pensou na possibilidade de algum equipamento da rede estar infectado tentando força bruta?
Abraço, Bruno.
BOM DIA, ESTOU TENTANDO ACESSO REMOTO DIRETO NO SERVIDOR, COLANDO ONIP DO MESMO E ME APARECE ESSE ERRO, DEVO REALIZAR O MESMO PROCEDIMENTO?
Dener,
Se o comportamento é o mesmo do artigo, basta seguir a orientação que o problema será resolvido.
Abraço, Bruno.