とあるサーバーにリモートデスクトップ接続したところ、パスワードを入力した後に、
以下のような認証エラーが発生し接続できませんでした。
認証エラーが発生しましました。
要求された関数はサポートされていません
リモートコンピューター:<リモートデスクトップ接続先>
原因は CredSSP 暗号化オラクルの修復である可能性があります。
詳細については、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください
Oracleなんてインストールした覚えはないですが、暗号化オラクルって一体!?
そして何故、突然リモートデスクトップ接続出来なくなったのでしょうか!?
レジュメ
環境・前提条件
AWS上で
- 以前作成したWindows Server 2016へ、
- 最近作成したWindows Server 2016からリモートデスクトップ接続した時
結論、リモートデスクトップの脆弱性問題でWindows Updateによる修正があった(2018年5月)ため、Windows Updateの違いによりリモートデスクトップ接続出来ないケースがある
- リモートデスクトップ接続元の方が、Windows Updateが最新で(2018年5月以降。セキュリティレベルが高い)
- リモートデスクトップ接続先の方が、Windows Updateが古い(2018年5月以前。セキュリティレベルが低い)の場合、
このリモートデスクトップ接続出来ない、認証エラー(CredSSP暗号化オラクルの修復問題)が発生します。
一番良い解決方法は、接続元も接続先も、最新のWindows Update状態になっているのがベストですが、
リモートデスクトップ接続先のサーバーにアクセス出来ないこの状況で(AWSの場合は特に)、Windows Updateするにもどう接続したら良いのでしょうか?
回避策、リモートデスクトップ接続元のセキュリティレベルを下げる方法
一時的な回避策として、リモートデスクトップ接続元(脆弱性をパッチした状態)のセキュリティレベルを設定で下げることが可能です(脆弱性がある状態にする)。
リモートデスクトップ接続元のマシンに対し、グループポリシーエディタから
「コンピューターの構成」-「管理用テンプレート」-「システム」-「資格情報の委任」
を開き、「暗号化オラクルの修復」を開き、「未構成」を「有効」にし保護レベルを「脆弱」にします。
「脆弱」という設定キーワードが、痛々しいですが・・・
このグループポリシーに、まさに
- CredSSPコンポーネント
- 暗号化オラクル対策
とか、キーワードが出ているます(意味は分からなくとも)。
これで再びリモートデスクトップ接続をすれば、リモートデスクトップ接続が出来るようになっていますので、
リモートデスクトップ接続先のWindows Updateを最新にする検討をしましょう。
あと、リモートデスクトップ接続元の「暗号化オラクルの修復」設定も「脆弱から」元に戻しておきましょう。