edit-icon download-icon

Windows リモートデスクトップにより接続時 CredSSP 認証エラーの解決方法

最終更新日: Mar 06, 2019

現象

Microsoft の RDP プロトコルクライアントから Windows インスタンスへリモート接続時、次のエラーが発生しました。

「認証エラーが発生しました、要求された関数はサポートされていません。」

 

原因分析

Microsoft は 2018 年 5 月に CredSSP 関連のパッチと認証方法を正式に更新しました。この接続エラーは、次のいずれかの構成ポリシーで構成された場合に発生します。

  • 構成ポリシー 1::クライアントのポリシーはパッチが適用されておらず、サーバーのポリシーは強制的に更新されるクライアントです。

  • 構成ポリシー 2 :クライアントポリシーは強制更新されたクライアントであり、サーバーのポリシーはパッチ未適用です。

  • 構成ポリシー 3 :クライアントのポリシーは緩和、サーバーのポリシーはパッチ未適用です。

解決策

(推奨) 方法1 セキュリティアップデートをダウンロードする

すべてのクライアントと Windows インスタンスで最新の更新プログラムをインストールします。 May 2018.

  1. リモート接続機能を使用して Windows インスタンスにログインします。

  2. Windows の更新プログラムを検索し、結果の一覧で [Windows Update] をクリックします。

  3. [更新プログラムの確認] をクリックして、累積的な更新プログラムパッチをダウンロードします。

    Download

  4. 更新プログラムのインストールが完了したら、インスタンスを再起動して更新を有効にします。

  5. (オプション)クライアントの OS が Windows の場合は、蓄積されたすべてのセキュリティ更新プログラムをクライアントにインストールします。

使用のオペレーティングシステムに基づいて、Windows インスタンスおよびクライアントに CredSSP 用のセキュリティ更新プログラムをインストールすることもできます。

方法2 レジストリを変更する

レジストリを手動で変更するか、用意された PowerShell スクリプトを実行可能です。

警告:レジストリエディタなどの方法を使用してレジストリを誤って変更すると、深刻な問題が発生することがあります。これらの問題により、オペレーティングシステムを再インストールする必要が生じる場合があります。方法2は、ローカルコンピュータまたはインスタンスのセキュリティを低下させ、レジストリ変更のリスクは自己責任で行う必要があります。したがって、[方法1] (#Solution1)を使用することをお勧めします。


説明

  • エラーの原因が構成ポリシー 1 の場合は、VNCにより ECS インスタンスへの接続を使用して対象のECSインスタンスにログインし、修復する必要があります。原因が構成ポリシー 2と3の場合は、ローカルクライアントを修復する必要があります。
  • レジストリを変更する前に、スナップショットの作成でデータをバックアップし、データの損失を防ぐことをお勧めします。

手動で変更する

  1. インスタンスまたはローカルコンピュータにログインします。

  2. スタート> 実行をクリックし、 regeditと入力して OK をクリックします。

  3. HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters キーに移動します。CredSSP またはParametersキーが存在しない場合は、新しい CredSSPまたはParametersキーを作成します。

  4. Parametersキーの下に DWORD AllowEncryptionOracleを作成し、値を 2に設定します。
      

  5. インスタンスまたはローカルコンピュータを再起動します。

スクリプトにより変更

  1. インスタンスまたはローカルコンピュータにログインします。

  2. 次の PowerShell スクリプトを管理者として実行します。

    1. New-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System -Name CredSSP -Force
    2. New-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP -Name Parameters -Force
    3. Get-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters | New-ItemProperty -Name AllowEncryptionOracle -Value 2 -PropertyType DWORD -Force

3. インスタンスまたはローカルコンピュータを再起動します。

手順:方法2を使用してレジストリを変更し、その後、クライアントとECSインスタンスセキュリティパッチを更新する場合は、AllowEncryptionOracle の値を 0 または 1 に設定することをお勧めします。

リファレンスリンク