En mi registro de eventos de administrador, veo los siguientes errores:
La capa de seguridad de Terminal Server detectó un error en el protocolo Stream y ha desconectado al cliente. IP del cliente: XXX.XXX.XXX.XXX
A veces veo IP aquí que no creo que deban tener acceso a mi servidor. El servidor es 2008 R2, usa NLA y se encuentra detrás de un Firewall de red robusto. NO veo ningún evento de seguridad (ya sea exitoso o fallido) de la autenticación de estos IP, lo que me lleva a creer que, para empezar, no se autenticaron, pero no soy positivo. Tampoco veo ningún evento RDP \ Terminal Logon o Disconnect de estas IPs.
¿Cómo puedo obtener más información sobre estos eventos después de que ya hayan ocurrido?