Hola.
En mi opinión lo primero que deberías hacer es mirar las conexiones que van por tu red, es decir, que tráfico hay entre los distintos PC y servidores, tanto de salida como de entrada. Para ello puedes usar wireshark o cualquier otro programa que sirva para monitorización del tráfico de red.
Configúralo de forma que te sea fácil ver los paquetes que te interesan, en este caso los paquetes que van por el puerto 3389. En el wireshark se pueden poner colores para poder ver mejor las conexiones, esto te irá bien porque con tanto PC tendrás un gran número de paquetes por tu red LAN. También se pueden filtras las conexiones de un único host.
Mira atentamente que PC's hacen conexiones masivas a puertos, como si estuvieran haciendo un escaneado de puertos, en ese caso podría ser un worm o algún virus que intenta expandirse por tu red.
Yo si tuviera en mi labor controlar un grupo de trabajo tan grande que en caso de que se colapse, se infecte o deje de funcionar en general dejaría a una plantilla de trabajadores sin poder hacer su trabajo intentaría poner un poco de esmero en controlar la red, al menos que un servidor analizase el tráfico de red y hiciera de firewall a la vez contra ataques internos y externos.
No se como tendrás configurada la red, pero este documento que te adjunto abajo está bastante bien para hacer un servidor (o varios) que controlen la red, para poder cortar de raíz este tipo de problemas.
El pdf está aquí:
http://www.proyectoamparo.net/files/InformefinalAmparo-CLCERT.pdfEs bastante actual y no lo he montado pero tiene pinta de ir bien para estas cosas.
Tengo una red de unos 60 pc´s con XP, también con 3 servidores 2003 server, conectada a otras sedes mediante vpn.
Cuidado con la VPN, porque si han conseguido entrar en la red podrían haber entrado también en las VPN y seguir por ahí. Consúltalo con los administradores de esas redes. Y si te encargas tu mismo de ellas haz lo mismo, vigila el tráfico.
los servidores tenía...900 conexiones por el puerto 3389 que según el hombre es el de Escritorio remoto
Volvía a loguearme con su correspondiente usuario y de nuevo cuando quería me cerraba la sesión de los pc´s que han dado problemas y me salía de nuevo la pantalla de login con el usuario sql.
Mira si en los ordenadores afectados tienes usuarios que no están puestos con el consentimiento de la administración. Y también si se ha habilitado el escritorio remoto sin vuestro consentimiento. Si es así seguro que os ha entrado algún bicho.
Bueno, espero haber ayudado y suerte con tu administración.
Unos ultimos consejos, elimina servicios que no necesites y deja solo los puertos extrictamente necesarios, manten actualizados tanto los PC's como los servidores (en la medida de lo posible, ya que son Windows 2003 y XP) y pasaros a Linux, es mas seguro que windows y mas económico
Saludos