Пусть брутят, вопрос - что именно блокирует подключения с определённого IP?Не с определённого, а с любого, просто вместо 100% подключений сервер успевает отвечать на 10% или 20% подключений (а может быть 1%). Рандомно в любой момент если повезёт, то попадёте в эти 10% или 20%. Если повторно пытаться подключиться, то с десятой попытки получится. Но толку будет мало - сервер будет дичайше тупить. По сути вы имеете состояние DoS или DDoS, даже если у атакующих нет такой цели. Здесь DoS - побочный эффект атаки.
Ресурсы не перегружены: ОЗУ свбодно 80%, ЦПУ не превышает 10%.Загрузку диска на виртуалке посмотрите. Брутфорс создаёт каждую секунду десятки-сотни записей в лог винды. Виртуалка не успевает писать на диск. А винда достаточно тупая, чтобы это приводило к состоянию DoS.
Порт открылБеда в том, что под этим выражением разные люди понимают разные действия. Одни подразумевают разрешение в брандмауэре Windows, другие - разрешение во внешнем брандмауэре (на роутере и т.п.), третьи вообще так могут назвать проброс порта в NAT на роутере. Без уточнения не ясно, что подразумеваете вы.
Читал что на сервер 1с не рекомендуется устанавливатьМожно ссылку, где такое пишут? Или хотя бы какие аргументы? Всю жизнь устанавливали 1С на терминальном сервере и всё отлично.
хотелось бы поискать другого решенияВынести эту систему на виртуальную машину. К виртуалке будете подключаться по RDP без проблем. Управлять виртуалкой можно и без RDP-подключения на хост. Тем более, что гипервизор может быть и вовсе не виндовый.