- چرا پیام «The logon attempt failed» هنگام اتصال RDP نمایش داده میشود؟
- غیرفعال کردن تنظیمات the logon attempt failed rdp ویندوز سرور — چی و چرا؟
- روشهای عملی برای غیرفعال کردن یا مدیریت پیام/لاگ “The logon attempt failed”
- مثالهای عملی و دستورات سریع
- بهترین شیوهها برای میزبانی RDP روی زیرساخت ابری
- نکات ویژه برای مدیران وب/DevOps، تریدرها و گیمرها
- Conclusión
- Preguntas frecuentes
چرا پیام «The logon attempt failed» هنگام اتصال RDP نمایش داده میشود؟
پیغام “The logon attempt failed” هنگام اتصال از طریق RDP به ویندوز سرور میتواند نشانهای از چند مشکل مختلف باشد. این خطا ممکن است ناشی از *اعتبارسنجی نادرست (نامکاربری/رمز عبور)*، مشکلات مربوط به *Network Level Authentication (NLA)*، محدودیتهای سیاستی حساب، یا حتی حملات تکراری brute-force باشد.
قبل از اقدام به غیرفعالسازی یا تغییر تنظیمات ثبت لاگ، مهم است که علت واقعی خطا را تشخیص دهید تا از ایجاد ریسکهای امنیتی غیرضروری جلوگیری شود.
غیرفعال کردن تنظیمات the logon attempt failed rdp ویندوز سرور — چی و چرا؟
این پیام معمولاً به یکی از موارد زیر اشاره دارد:
- نامکاربری یا رمز عبور نادرست.
- Estar activo NLA و عدم تطابق تنظیمات کلاینت.
- محدودیتهای سیاستی مثل Allowed Logon Hours.
- حملات brute-force که باعث تولید لاگهای متعدد با event ID 4625 میشوند.
- تنظیمات اعتبارسنجی روی کلاینت که باعث نمایش مکرر پنجرهی خطا میشود.
Nota importante: حذف یا غیرفعال کردن ثبت لاگهای Failed Logon باعث از بین رفتن اطلاعات Forensics و شناسایی حملات میشود. بهتر است بهجای حذف کامل لاگ، از راهحلهای جایگزین استفاده کنید.
روشهای عملی برای غیرفعال کردن یا مدیریت پیام/لاگ “The logon attempt failed”
۱) حذف نمایش پیغام روی کلاینت (راهکار کاربرمحور، بدون حذف لاگ سرور)
اگر هدف جلوگیری از نمایش مکرر پنجره خطا روی کلاینت است، میتوانید از گزینههای زیر استفاده کنید:
- Utilice la opción Save credentials در Remote Desktop Connection یا ساخت یک فایل
.rdpبا تنظیمات مناسب تا هر بار درخواست اعتبارنامه حذف شود. - برای کلاینتهای سازمانی، استفاده از GPO برای تنظیم delegation یا Credential Delegation (Computer Configuration → Administrative Templates → System → Credentials Delegation).
نمونه محتوای فایل .rdp که برای ذخیره اعتبارنامه مفید است:
enablecredsspsupport:i:1
prompt for credentials:i:0
username:s:DOMAIN\username
۲) غیرفعالسازی ثبت لاگهای Failed Logon در سرور (با هشدار)
غیرفعال کردن ثبت لاگهای شکست ورود با استفاده از Advanced Audit Policy ممکن است از تولید Event ID 4625 جلوگیری کند، اما امنیت سرور را کاهش میدهد.
مراحل (GPO یا لوکال):
- باز کردن Local Group Policy Editor یا Group Policy Management: Computer Configuration → Windows Settings → Security Settings → Advanced Audit Policy Configuration → Audit Policies → Logon/Logoff → Audit Logon
- برای جلوگیری از ثبت شکستها، گزینه Failure را غیرفعال کنید.
دستورات برای مشاهده و تغییر با ابزار auditpol:
auditpol /get /category:*
auditpol /set /subcategory:"Logon" /success:disable /failure:disable
# or to disable only failure
auditpol /set /subcategory:"Logon" /failure:disable
۳) مدیریت حملات brute-force و کاهش تولید لاگهای نامربوط
بهتر است پیش از غیرفعالسازی لاگ، از راهکارهای کاهش حملات و تولید لاگ استفاده کنید:
- Activar Account Lockout Policy (مثال: Threshold = 5, Reset = 30 minutes).
- Activar Network Level Authentication (NLA) برای RDP.
- محدود کردن دسترسی RDP با فایروال بر اساس آدرسهای IP معتبر.
- استفاده از RD Gateway یا VPN برای جلوگیری از باز بودن پورت RDP در اینترنت عمومی.
- نصب ابزارهای محافظتی مثل RdpGuard یا IPBan برای بلاک خودکار IPهای مخرب.
نمونه دستور فایروال برای اجازه RDP فقط از یک IP مشخص:
netsh advfirewall firewall add rule name="Allow RDP from Office" dir=in action=allow protocol=TCP localport=3389 remoteip=203.0.113.45/32نمونه تغییر پورت RDP با PowerShell (با احتیاط فراوان):
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name 'PortNumber' -Value 3390
Restart-Service TermService -Force
۴) فیلتر کردن یا مدیریت نمایش لاگها در Event Viewer
اگر هدف فقط خوانایی Event Viewer است، حذف لاگ لازم نیست. گزینههای بهتر:
- ساخت یک Custom View در Event Viewer برای فیلتر کردن event ID 4625.
- فوروارد لاگها به SIEM یا ELK/Graylog و انجام فیلترینگ در آنجا.
نمونه PowerShell برای استخراج آخرین رخدادهای ناموفق ورود:
Get-WinEvent -FilterHashtable @{LogName='Security';Id=4625} -MaxEvents 50 | Format-List TimeCreated, Message
مثالهای عملی و دستورات سریع
در اینجا مجموعهای از دستورات مرجع برای اقدامات متداول آورده شده است:
- نمایش سیاستهای Audit فعلی:
auditpol /get /category:* - غیرفعال کردن Failure برای Logon:
auditpol /set /subcategory:"Logon" /failure:disable - اضافه کردن قانون فایروال برای اجازه RDP فقط از IP خاص:
netsh advfirewall firewall add rule name="Allow RDP from Office" dir=in action=allow protocol=TCP localport=3389 remoteip=203.0.113.45/32 - تغییر پورت RDP (ریسکدار — با احتیاط):
Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -Name 'PortNumber' -Value 3390 Restart-Service TermService -Force - استخراج لاگهای 4625:
Get-WinEvent -FilterHashtable @{LogName='Security';Id=4625} -MaxEvents 100
بهترین شیوهها برای میزبانی RDP روی زیرساخت ابری
برای میزبانی امن RDP در محیطهای ابری از راهکارهای زیر استفاده کنید:
- استفاده از VPS مخصوص ترید یا گیم با لوکیشن نزدیک جهت کاهش پینگ و امکان قفل کردن RDP به IP اختصاصی.
- Servidor anti-DDoS و فایروال شبکه برای جلوگیری از حملات پربسامد به RDP.
- Activar NLA y uso RD Gateway Junto con MFA/2FA برای لایههای بیشتر احراز هویت.
- Uso de Private Network / VPC و محدود کردن دسترسی RDP فقط از طریق VPN یا Jump Box.
- برای بارهای کاری سنگین از سرور گرافیکی (GPU Cloud) استفاده کنید و دسترسی مدیریت را محدود نگه دارید.
- مانیتورینگ و فوروارد لاگها به سرویس مانیتورینگ (SIEM) بهجای غیرفعالسازی لاگ محلی.
نکات ویژه برای مدیران وب/DevOps، تریدرها و گیمرها
توصیههایی متناسب با نیازهای مختلف:
- مدیران وردپرس و DevOps: هنگام روشن کردن RDP، از SSH tunneling یا VPN برای دسترسی به پنلهای مدیریت استفاده کنید تا پورت RDP از اینترنت عمومی پنهان بماند.
- تریدرها: سروری در یکی از Más de 85 ubicaciones نزدیک صرافی هدف تهیه کنید و از VPS مخصوص ترید با پینگ پایین و قابلیت Lock IP استفاده کنید.
- گیمرها: برای کمترین پینگ و پایداری، از VPS مخصوص گیم یا سرور ابری با شبکه BGP در لوکیشنهای مناسب استفاده کنید.
Conclusión
غیرفعال کردن کامل ثبت یا نمایش پیام “The logon attempt failed” راهحل بیریسکی نیست. مسیر امنتر این است که ابتدا علت خطا را بررسی کنید و سپس از راهکارهایی مانند محدودسازی دسترسی RDP (فایروال، VPN، RD Gateway)، فعال کردن Account Lockout و استفاده از ابزارهای محافظتی بهره ببرید.
اگر نیاز به میزبانی امن با لوکیشنهای متنوع و امکاناتی مانند VPS مخصوص ترید، سرور ضد DDoS یا سرور گرافیکی دارید، پیشنهاد میشود تنظیمات امنیتی را با تیم پشتیبانی مرتبط بازبینی کنید تا کانفیگ متناسب با نیاز شما اعمال شود.









