Parece que o seu dispositivo de firewall / roteador não suporta "NAT hairpin". Quando os usuários tentam acessar o servidor RDP enquanto estão na LAN, o nome do servidor está sendo resolvido, pelo DNS, para o endereço IP do lado externo do seu firewall. A tentativa de conexão RDP do PC está sendo enviada para o firewall que não está roteando-o de volta para o servidor na LAN.
A "correção" mais fácil para você seria:
-
Instale a função Servidor DNS na máquina do Windows Server (ou em outra máquina do Windows Server, se você tiver uma)
-
Crie uma "zona de pesquisa direta" com o mesmo nome sendo usado pelos usuários para acessar o servidor RDP
-
Crie um registro "A" nesta zona com um nome de host em branco e resolva para o endereço IP da LAN do computador do servidor RDP
-
Reconfigure seu servidor DHCP para fornecer o endereço IP do servidor em que você instalou a função de servidor DNS como o servidor DNS para computadores clientes
Se você estiver usando o nome de domínio "bare" "domain.com" para acessar seu servidor RDP, verá que a técnica acima "quebrará" o acesso a sites da Internet que usam seu domínio (como "www.domain". com "). Nesse caso, seria melhor criar um registro DNS na Internet para algo como "RDP.domain.com" (e a mesma Zona de Pesquisa Direta na sua LAN) para que as consultas de outros nomes "domain.com" possam ser enviadas para seu servidor DNS da Internet.
Finalmente, se você for expor uma máquina do Windows Server diretamente à Internet com o RDP, certifique-se de que seus usuários estejam usando senhas complexas (que, esperamos, não estejam sendo usadas em outros locais), implemente o Windows Política de bloqueio de conta para desativar contas após tentativas consecutivas de logon com falha e considerar novas conexões RDP de entrada com limitação de taxa para o servidor com seu firewall (ou um script de terceiros