リモートデスクトップ接続すると認証エラー。CredSSP暗号化オラクルの修復

とあるサーバーにリモートデスクトップ接続したところ、パスワードを入力した後に、
以下のような認証エラーが発生し接続できませんでした。

認証エラーが発生しましました。
要求された関数はサポートされていません

リモートコンピューター:<リモートデスクトップ接続先>
原因は CredSSP 暗号化オラクルの修復である可能性があります。
詳細については、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください

image

Oracleなんてインストールした覚えはないですが、暗号化オラクルって一体!?
そして何故、突然リモートデスクトップ接続出来なくなったのでしょうか!?

環境・前提条件

AWS上で

  • 以前作成したWindows Server 2016へ、
  • 最近作成したWindows Server 2016からリモートデスクトップ接続した時

結論、リモートデスクトップの脆弱性問題でWindows Updateによる修正があった(2018年5月)ため、Windows Updateの違いによりリモートデスクトップ接続出来ないケースがある

image

リモートデスクトップ接続元の方が、Windows Updateが最新で(2018年5月以降。セキュリティレベルが高い)
リモートデスクトップ接続先の方が、Windows Updateが古い(2018年5月以前。セキュリティレベルが低い)の場合、

このリモートデスクトップ接続出来ない、認証エラー(CredSSP暗号化オラクルの修復問題)が発生します。

一番良い解決方法は、接続元も接続先も、最新のWindows Update状態になっているのがベストですが、
リモートデスクトップ接続先のサーバーにアクセス出来ないこの状況で(AWSの場合は特に)、Windows Updateするにもどう接続したら良いのでしょうか?

回避策、リモートデスクトップ接続元のセキュリティレベルを下げる方法

一時的な回避策として、リモートデスクトップ接続元(脆弱性をパッチした状態)のセキュリティレベルを設定で下げることが可能です(脆弱性がある状態にする)。

リモートデスクトップ接続元のマシンに対し、グループポリシーエディタから

「コンピューターの構成」-「管理用テンプレート」-「システム」-「資格情報の委任」

image

を開き、「暗号化オラクルの修復」を開き、「未構成」を「有効」にし保護レベルを「脆弱」にします。

image

「脆弱」という設定キーワードが、痛々しいですが・・・
このグループポリシーに、まさに

  • CredSSPコンポーネント
  • 暗号化オラクル対策

とか、キーワードが出ているます(意味は分からなくとも)。

これで再びリモートデスクトップ接続をすれば、リモートデスクトップ接続が出来るようになっていますので、
リモートデスクトップ接続先のWindows Updateを最新にする検討をしましょう。
あと、リモートデスクトップ接続元の「暗号化オラクルの修復」設定も「脆弱から」元に戻しておきましょう。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です