Las desconexiones instantáneas al intentar conectarse por Remote Desktop a servidores Windows Server 2022 son un quebradero de cabeza habitual en entornos con máquinas heredadas. Aunque los equipos se dejan administrar sin problemas de forma local, la sesión RDP ajena se cierra al segundo de autenticarse con el temido mensaje de error. En esta guía exhaustiva aprenderás a diagnosticar, corregir y prevenir la causa raíz sin depender de soluciones rápidas ni reinstalaciones dolorosas.

Causas frecuentes detrás de la desconexión inmediata

De forma resumida, el problema suele estar provocado por uno o varios de los siguientes factores:

• Bloqueos de red o puertos mal reenviados (firewall, VPN, NAT, SD‑WAN)
• Estado incorrecto del listener rdp-tcp
• Puerto RDP personalizado sin reglas de firewall coherentes
• Certificado autofirmado expirado o ausente
• Licenciamiento RDS o NLA mal configurado
• GPO que limitan o finalizan la sesión
• Parches de seguridad de Remote Desktop pendientes
• Software de seguridad que intercepta la negociación TLS/CredSSP

Diagnóstico estructurado paso a paso

Abordar el fallo con un orden lógico evita saltar pruebas o repetir chequeos. A continuación encontrarás un itinerario comprobado en decenas de entornos de producción:

Prueba en bucle local

mstsc /v:localhost

Si el inicio de sesión local funciona, la pila RDP del sistema operativo es sana. Cualquier bloqueo se encuentra fuera del host (red, ACL, IPS, etc.). Si falla igual que desde tu portátil, céntrate en investigar el propio servidor.

Inspección del listener con qwinsta

C:> qwinsta
 SESSIONNAME       USERNAME                 ID  STATE   TYPE        DEVICE
 services                                    0  Disc
 console                                     1  Conn
> rdp-tcp                                     7  Listen

La clave es que rdp-tcp aparezca en STATE Listen. Si no existe, reinicia el servicio TermService o reactiva «Permitir conexiones remotas» en System Properties → Remote. Una GPO restrictiva puede deshabilitarlo; confirma los Resultant Set of Policy.

Verificación del registro para el puerto

Abre regedit.exe como administrador y navega hasta:

HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Winstations\RDP-Tcp

El valor PortNumber debe ser decimal 3389. Si un ingeniero cambió el puerto sin documentarlo, la regla de firewall por defecto dejará de coincidir. Mantén consistencia entre registro y políticas.

Integridad del certificado autofirmado

Remote Desktop cifra cada sesión con TLS. Si el certificado autofirmado caduca, la negociación TLS falla y la conexión se corta. Compruébalo en:

MMC → Certificates → Computer account → Remote Desktop

¿Está expirado o falta?
– Bórralo y reinicia TermService. Se emitirá al vuelo uno nuevo.
– Si usas certificados públicos, asegúrate de incluir la clave privada y la cadena intermedia correcta.

Revisión de eventos críticos

Log	Origen	ID habitual	Interpretación rápida
TerminalServices‑RemoteConnectionManager	Microsoft‑Windows‑TermService	1057	Error de autenticación (NLA)
TerminalServices‑LocalSessionManager	Microsoft‑Windows‑TermService	140	Licencia RDS no válida
System	Schannel	36884	Problema con el certificado TLS

Filtra por Critical y Error. Si encuentras Evento 140, confirma que tu Session Host tenga asignado un servidor de licencias válido y CAL vigentes.

Soluciones detalladas por escenario

Cuando el puerto o la ruta de red están bloqueados

1. Ejecuta desde tu equipo de administración:

telnet IPServidor 3389

2. Si no abre sesión Telnet, revisa:

• ACLs en firewalls intermedios
• NAT con reenvío incorrecto
• Reglas de IPS/IDS que bloquean StartTLS en RDP

3. Implementa reglas de geo‑blocking y rate‑limiting solo tras confirmar la conectividad básica.

Cuando el listener no aparece

La ausencia suele ligar a permisos modificados. Vuelve a registrar TermService:

sc config TermService type= share
sc start TermService

Después habilita RDP vía PowerShell:

Set-ItemProperty `
  -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" `
  -Name fDenyTSConnections -Value 0

Cuando el certificado ha expirado

El procedimiento de eliminación es seguro porque Windows genera uno nuevo en segundos:

Stop-Service TermService -Force
Remove-Item -Path "Cert:\LocalMachine\Remote Desktop\*" -Recurse
Start-Service TermService

Ahora vuelve a conectarte. Si la autoridad raíz corporativa intercepta el tráfico con un aparato de inspección TLS, importa allí el nuevo certificado o excluye la IP del servidor.

Cuando hay licencias RDS caducadas

En host Session Broker:

rdpshell.exe /manage:licenses

Asegúrate de asignar el servidor de licencias correcto en:

Server Manager → Remote Desktop Services → Collections

Reinicia todos los Session Hosts para que tomen los cambios.

Cuando las GPO fuerzan NLA o desconexiones

1. Abre gpresult /h resultado.html y busca:

Network security: Restrict NTLM:
   Incoming NTLM traffic

2. Si está en Deny all accounts, ajusta a Allow all o actualiza los clientes modernos.

3. Revisa:

Computer Configuration\Administrative Templates\
Windows Components\Remote Desktop Services\Remote Desktop Session Host\
Connections

Las directivas «Limitar número de conexiones» y «Establecer un tiempo límite de desconexión» deberían quedar deshabilitadas para pruebas.

Cuando faltan parches de seguridad

Los cumulativos de marzo 2023 (KB5023705) y posteriores incluyen correcciones para la autenticación RDP. Usa Windows Update o PowerShell:

Install-WindowsUpdate -AcceptAll -AutoReboot

Si tu política corporativa no permite WU directo, descarga el .msu correspondiente desde el Catálogo de Microsoft Update.

Cuando un antivirus inspecciona el tráfico RDP

Muchas suites de EDR insertan DLL en svchost.exe. Para aislar el problema:

1. Activa el modo Bypass sólo en ese servidor y prueba.
2. Si funciona, excluye C:\Windows\System32\TermService.dll y C:\Windows\System32\rdpwsx.dll.
3. Actualiza la base de firmas del EDR y revierte las exclusiones.

Procedimiento mínimo recomendado

1. Comprueba RDP a localhost desde consola.
2. Valida el listener con qwinsta.
3. Revisa puerto y reglas de firewall.
4. Renueva el certificado autofirmado.
5. Aplica los parches de seguridad recientes.

Estos cinco pasos resuelven alrededor del 90 % de las desconexiones súbitas.

Automatización de la auditoría con PowerShell

Para reducir el tiempo de diagnóstico, emplea el siguiente script. Exporta un reporte CSV con el estado del listener, puerto, certificado y parches:

param([string]$Server)

Invoke-Command -ComputerName \$Server -ScriptBlock {
\$listener = (qwinsta | Select-String 'rdp-tcp').ToString()
\$port = Get-ItemProperty `        'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp'`
-Name PortNumber | % PortNumber
\$cert = Get-ChildItem Cert:\LocalMachine\Remote\* | Select-Object NotBefore,NotAfter,Subject
\$patch = Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 1
\[PSCustomObject]@{
Server     = \$env\:COMPUTERNAME
Listener   = \$listener
Port       = \$port
CertExpiry = \$cert.NotAfter
LatestCU   = \$patch.HotFixID
}
} | Export-Csv "RDP\Audit\\$Server.csv" -NoTypeInformation

Integra la tarea en Task Scheduler y obtén alertas proactivas vía correo electrónico antes de que el usuario final detecte el fallo.

Buenas prácticas de prevención a largo plazo

• Centraliza las actualizaciones mediante WSUS o Azure Update Management.
• Emite un certificado comercial comodín para todos los Session Hosts.
• Implementa MFA sin NLA deshabilitando NTLM y habilitando credenciales Kerberos mediante Azure AD Sign‑In.
• Limita la superficie RDP detrás de una pasarela RD Gateway o Azure Bastion.
• Despliega alertas de eventos críticos con Microsoft Defender for Cloud.

Preguntas frecuentes

¿Puede una clave de registro incorrecta en la rama WinStations bloquear RDP?
Sí. Valores como UserAuthentication = 1 obligan a NLA. Si los clientes son antiguos, negocian NTLM y se desconectan.

¿Qué ocurre si cambio el puerto RDP y un parche lo revierte?
Los cumulativos no suelen modificar PortNumber, pero una GPO mal aplicada puede forzarlo a 3389. Documenta y gestiona la configuración con DSC o políticas de Intune para consistencia.

¿Cómo verifico la compatibilidad de cifrados TLS?
Ejecuta Nmap –script ssl‑enums ‑p3389 <IP>. RDP 8.0 y posterior soportan TLS 1.2; habilita HKEYLOCALMACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2.

Conclusión

Restaurar el acceso RDP fiable a servidores Windows Server 2022 es eminentemente un ejercicio de diagnóstico ordenado: verifica el listener, el puerto, el certificado y el licenciamiento antes de culpar a la red. Siguiendo la guía paso a paso, resolverás la mayoría de los casos en menos de una hora, garantizarás la continuidad operativa y reforzarás la postura de seguridad a largo plazo.