É difícil dizer exatamente o que você está dizendo ou o que está perguntando, mas suspeito que você esteja vendo uma atividade relacionada às tentativas de fazer logon no servidor usando um ataque de nome de usuário / senha de força bruta. Você pode confirmar isso assistindo no gerenciador TS / RDS para múltiplas portas de escuta serem criadas e destruídas em rápida sucessão.