Fix: RDP – verificatiefout is opgetreden-de gevraagde functie wordt niet ondersteund

na het installeren van de nieuwste beveiligingsupdates op mijn Windows 10-bureaublad, kan ik op afstand geen verbinding maken met mijn nieuwe VDS-server (met Windows Server 2012 R2) met behulp van het Extern bureaublad. Wanneer ik de RDP-servernaam opgeef in de mstsc.exe client venster en klik op “Connect”, een fout verschijnt:

verbinding met Extern bureaublad
er is een verificatiefout opgetreden.
de gevraagde functie wordt niet ondersteund.
computer op afstand: computer_naam

win 7-Er is een authenticatiefout opgetreden. De gevraagde functie wordt niet ondersteund

nadat ik de laatste updates had verwijderd en mijn computer opnieuw had opgestart, kon ik verbinding maken met een externe server via RDP. Ik begrijp dat dit een tijdelijke oplossing is. Een nieuwe cumulatieve Windows update pakket zal aankomen en zal worden geïnstalleerd volgende maand, en de RDP authenticatie fout zal terugkeren. Kun je me iets adviseren?

antwoord

u hebt volkomen gelijk. Het is zinloos om dit probleem op te lossen door geïnstalleerde Windows update te verwijderen, omdat u uw computer blootstelt aan het risico van het benutten van de verschillende kwetsbaarheden die deze update fixes. De RDP-fout “Er is een verificatiefout opgetreden” kan ook worden weergegeven wanneer u een RemoteApp-toepassing probeert uit te voeren.

waarom gebeurt dit? Het feit is dat de nieuwste beveiligingsupdates (uitgebracht na mei 2018) zijn geïnstalleerd op uw Windows 10 desktop. Deze updates repareren een ernstige kwetsbaarheid in het CredSSP-protocol (Credential Security Support Provider) gebruikt voor authenticatie op RDP-servers (CVE-2018-0886 – lees aandachtig het artikel RDP authentication error: CredSSP encryptie Oracle herstel). Deze updates worden niet geïnstalleerd op uw RDP / RDS-server en de NLA (Network Level Authentication) is ingeschakeld voor Extern bureaublad. NLA gebruikt CredSSP-mechanismen om RDP-gebruikers vooraf te verifiëren via TLS / SSL of Kerberos. Uw computer blokkeert gewoon de verbinding met Extern bureaublad naar een server die de kwetsbare versie van CredSSP gebruikt.

Wat kunt u doen om dit probleem op te lossen en verbinding te maken met uw RDP-server?

  1. de meest correcte manier om het probleem op te lossen is door de laatste cumulatieve Windows-beveiligingsupdates te installeren op een externe computer of RDS-server (waarmee u verbinding probeert te maken via RDP);
  2. Workaround 1. U kunt NLA (network Level Authentication) op de RDP-server uitschakelen (zoals hieronder beschreven);
  3. Workaround 2. U kunt uw desktops opnieuw configureren door ze toe te staan verbinding te maken met het externe bureaublad met een onveilige versie van CredSSP (zoals beschreven in het artikel op de link hierboven). Om dit te doen, wijzigt u de registerparameter AllowEncryptionOracle (gebruik de opdracht: REG ADD
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
    ) of wijzigt u de lokale beleidsversleuteling Oracle-herstel door de waarde op kwetsbaar in te stellen. Dit is de enige manier om toegang te krijgen tot een externe server via RDP als u niet lokaal kunt inloggen op de server (via de ILO, virtual machine console of cloud provider web-interface). U kunt in deze modus verbinding maken met een externe server en de nieuwste beveiligingsupdates installeren. Vergeet na het updaten van de server niet het beleid uit te schakelen of de waarde van de registerparameter AllowEncryptionOracle terug te geven naar 0 (REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0).

NLA uitschakelen voor Extern bureaublad in Windows

als NLA is ingeschakeld op uw RDP-server, betekent dit dat CredSSP wordt gebruikt voor de pre-authenticatie van RDP-gebruikers. U kunt verificatie op netwerkniveau uitschakelen in de Systeemeigenschappen op het tabblad Extern door het vinkje uit de opties “alleen verbinding toestaan vanaf computers met Extern bureaublad met verificatie op netwerkniveau (aanbevolen)” (Windows 10 /8.1 of Windows Server 2012R2/2016).

schakel NLA-instellingen op afstand uit

in Windows 7 (Windows Server 2008 R2) wordt deze optie anders genoemd. Selecteer op het tabblad Extern de optie “verbindingen toestaan vanaf computers waarop een versie van Remote Desktop (minder veilig) wordt uitgevoerd”.

windows 7 / server 2008r2 NLA uitschakelen voor rdp-verbinding

u kunt ook Network Level Authentication (NLA) uitschakelen met behulp van de lokale groepsbeleid – editor-gpedit.msc (u kunt de gpedit uitvoeren.msc in Windows 10 Home edition als deze) of met behulp van de domein Group policy management console-GPMC.msc. Ga In de beleidseditor naar de sectie Computerconfiguratie –> Beheersjablonen –> Windows –onderdelen –> Extern bureaublad –Services – > Extern bureaublad-sessiehost – > beveiliging, zoek en schakel het beleid uit “gebruikersverificatie vereisen voor externe verbindingen door verificatie op netwerkniveau te gebruiken”.

GPO: Gebruikersverificatie voor externe verbindingen vereisen door verificatie op netwerkniveau

te gebruiken, moet u ook de RDP-beveiligingslaag selecteren in de beleidsinstellingen” gebruik van specifieke beveiligingslaag voor externe (RDP) verbindingen vereisen”.

als u nieuwe RDP-instellingen wilt toepassen, moet u het groepsbeleid op een lokale computer bijwerken (gpupdate / force) of uw bureaublad opnieuw opstarten. Daarna, moet u met succes verbinding maken met de Remote desktop.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.