Résoudre l'erreur RDP « Compte verrouillé » (0xd07)

L’erreur 0xd07 (« Compte verrouillé ») apparaît lorsque le seuil de verrouillage de compte Windows est atteint après plusieurs échecs de connexion — souvent à cause d’attaques par force brute sur le port RDP 3389. Ce guide permet de débloquer l’accès et de mieux protéger le serveur.

Prérequis

• Accès à la console d’urgence (KVM, VNC, Serial Console) fournie par votre hébergeur — indispensable si vous ne pouvez plus vous connecter en RDP
• Droits administrateur sur le VPS

Diagnostic

En cas de verrouillage, la connexion RDP échoue avant même la saisie du mot de passe. La cause typique : des tentatives de connexion répétées sur le port 3389, très souvent ciblé par des robots. Une fois le seuil de verrouillage atteint (par défaut 5 échecs), le compte est bloqué pendant la durée définie dans la stratégie.

Méthode A : Désactiver temporairement le verrouillage (secpol.msc)

Ouvrez Stratégie de sécurité locale (secpol.msc) → Stratégies de compte → Stratégie de verrouillage de compte :

• Seuil de verrouillage : mettre à 0 pour désactiver le verrouillage (à utiliser uniquement en dépannage).
• Durée du verrouillage et Réinitialiser le compteur après : à adapter si vous gardez le verrouillage actif.

Cela permet de vous reconnecter, mais ne règle pas la cause (exposition du port 3389). Il est préférable de combiner avec la méthode B.

Méthode B (recommandée) : Changer le port RDP et sécuriser le pare-feu

L’objectif : que RDP n’écoute plus sur 3389 pour limiter le balayage automatique, et que le pare-feu n’autorise le nouveau port qu’après sa configuration.

Étape 1 : Accès de secours

Si vous êtes verrouillé, utilisez la console KVM/VNC de votre hébergeur pour vous connecter en local. Déverrouillez le compte si besoin : Gestionnaire de l’ordinateur → Utilisateurs → propriétés du compte → décocher « Verrouiller le compte ».

Étape 2 : Ajouter une règle pare-feu pour le nouveau port

Choisissez un port entre 10000 et 65000, peu commun (ex. 55000). Ajoutez d’abord la règle pour ne pas perdre l’accès lors du basculement :

New-NetFirewallRule -DisplayName "RDP Custom 55000" -Direction Inbound -Protocol TCP -LocalPort 55000 -Action Allow -Profile Any

Étape 3 : Modifier le port RDP dans le registre

Ouvrez Regedit (regedit) et allez à :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp

Modifiez PortNumber : base Décimale, valeur 55000 (ou le port choisi). Redémarrez le VPS ou le service TermService.

Étape 4 : Connexion

Connectez-vous en RDP avec IP:55000 (ex. 192.0.2.10:55000). Vérifiez que tout fonctionne avant de désactiver ou restreindre l’ancienne règle sur le port 3389.

Script PowerShell pour changer le port RDP

# Exécuter en Administrateur. Remplacer 55000 par le port souhaité.
$port = 55000

# Pare-feu
New-NetFirewallRule -DisplayName "RDP $port" -Direction Inbound -Protocol TCP -LocalPort $port -Action Allow -Profile Any -ErrorAction SilentlyContinue

# Registre
Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" -Name PortNumber -Value $port -Type DWord

Write-Host "Port RDP défini sur $port. Redémarrez le service TermService ou le serveur, puis connectez-vous avec IP:$port"

Dépannage

Bonnes pratiques

• Conserver un accès KVM/VNC utilisable en cas d’erreur de config.
• Restreindre la règle RDP à votre IP ou à un VPN lorsque c’est possible.
• Consulter windows-firewall pour une gestion plus fine des ports et rdp-windows pour la connexion côté client.

Ressources

• Documentation Microsoft – Configuration du port RDP
• Documentation Microsoft – Stratégie de verrouillage

Cet article s’inscrit dans notre série de guides hébergement et gaming. Pour un serveur sur-mesure, contact.