この記事では、リモート デスクトップ接続を使用して Windows ベースの Simple Application Server に接続する際に発生することがある「認証エラーが発生しました。要求された関数はサポートされていません」エラーの症状、原因、および解決方法について説明します。
症状
オンプレミスデバイスでリモート デスクトップ接続を使用して Windows ベースの Simple Application Server に接続しようとすると、次のエラーメッセージが表示されます。"An authentication error has occurred. The function requested is not supported."
原因
2018 年 5 月、Microsoft は Credential Security Support Provider プロトコル (CredSSP) の更新をリリースし、認証要求プロセスが変更されました。この更新がオンプレミスデバイスと Simple Application Server の両方に一貫して適用されていない場合、接続エラーが発生することがあります。
この接続エラーは、次のいずれかのシナリオで発生します。
-
シナリオ 1:オンプレミスデバイスに更新がインストールされていないが、Simple Application Server にはインストールされており、サーバーの暗号化オラクルの修復ポリシーが「クライアントの更新を強制」に設定されている。
このエラーを解決するには、「解決方法 1:リモート デスクトップ接続を許可する」をご参照ください。
-
シナリオ 2: 暗号化オラクルの修正ポリシーが [更新されたクライアントを強制する] に設定されているオンプレミスデバイスに更新がインストールされているが、Simple Application Server には更新がインストールされていない。
このエラーを解決するには、「解決方法 2:更新をインストールする」または「解決方法 3:レジストリを変更する」をご参照ください。
-
シナリオ 3: オンプレミスデバイスでは Encryption Oracle Remediation ポリシーが [緩和済み] に設定され、更新プログラムがインストールされていますが、Simple Application Server にはインストールされていません。
このエラーを解決するには、「解決方法 2:更新をインストールする」または「解決方法 3:レジストリを変更する」をご参照ください。
-
インストールされていない:2018 年 5 月以降にリリースされた CredSSP 関連の更新がインストールされていないシステムを指します。
-
インストール済み:2018 年 5 月以降にリリースされた CredSSP 関連の更新が 1 つ以上インストールされているシステムを指します。
-
暗号化オラクルの修復ポリシー設定の詳細については、「CredSSP updates for CVE-2018-0886」をご参照ください。
ソリューション
この問題は、サーバーへのリモート デスクトップ接続を許可するか、必要な更新をインストールするか、レジストリを変更することで解決できます。以下のセクションでは、詳細な手順を説明します。
解決方法 1:リモート デスクトップ接続を許可する
手順は Windows のバージョンによって若干異なる場合があります。このセクションでは、Windows Server 2008 R2、Windows Server 2012 R2、および Windows Server 2016 Datacenter Edition の手順を説明します。
Windows Server 2008 R2
-
仮想ネットワークコンソール (VNC) を使用して Simple Application Server に接続します。
手順については、「仮想ネットワークコンソール (VNC) を使用してサーバーに接続する」をご参照ください。
-
[スタート] をクリックし、[コンピューター] を右クリックし、[プロパティ] を選択します。
-
[コントロール パネル ホーム] エリアで、[リモート設定] をクリックします。
-
[システムのプロパティ] ダイアログ ボックスで、[リモート デスクトップを実行しているコンピューターからの接続を許可する (セキュリティが低い)] を選択し、[OK] をクリックします。
Windows Server 2012 R2
-
仮想ネットワークコンソール (VNC) を使用して Simple Application Server に接続します。
手順については、「仮想ネットワークコンソール (VNC) を使用してサーバーに接続する」をご参照ください。
-
スタートアイコンをクリックし、[この PC] を右クリックして[プロパティ] を選択します。 -
[コントロールパネル ホーム] ページで、[リモート設定] をクリックします。
-
[リモート] タブで、[ネットワーク レベル認証でリモート デスクトップを実行しているコンピューターからのみ接続を許可する (推奨)] のチェックボックスをオフにし、[OK] をクリックします。
Windows Server 2016 Datacenter Edition
-
仮想ネットワークコンソール (VNC) を使用して Simple Application Server に接続します。
手順については、「仮想ネットワークコンソール (VNC) を使用してサーバーに接続する」をご参照ください。
-
スタート アイコンをクリックし、次に[Windows システム]をクリックします。 -
[この PC] を右クリックし、[その他 > プロパティ] を選択します。
-
[コントロールパネルホーム] ページで、[リモート設定] をクリックします。
-
[リモート] タブで、[ネットワーク レベル認証でリモート デスクトップを実行しているコンピューターからのみ接続を許可する (推奨)] のチェックを外し、[OK] をクリックします。
解決方法 2:更新をインストールする
この例では Windows Server 2016 を使用します。手順は他の Windows バージョンでも同様です。
-
仮想ネットワークコンソール (VNC) を使用して Simple Application Server に接続します。
手順については、「仮想ネットワークコンソール (VNC) を使用してサーバーに接続する」をご参照ください。
-
スタート アイコンをクリックし、次に[設定]をクリックします。 -
[Windows の設定] ページで、[更新[と]セキュリティ] をクリックします。
-
[更新ステータス] ページで、[更新の確認] をクリックします。更新がダウンロードされ、インストールされるまで待ちます。
説明CredSSP のセキュリティ更新パッケージを手動でインストールするには、「Microsoft Update カタログ」にアクセスして、お使いのシステムに適したパッケージをダウンロードしてください。
-
Simple Application Server で、
スタート アイコン >
電源 アイコン > [再起動] を選択してサーバーを再起動し、変更を適用します。
解決方法 3:レジストリを変更する
この解決方法は、オンプレミスデバイスは更新されているが Simple Application Server が更新されていない場合に使用します。次の例では Windows Server 2016 を使用していますが、手順は他のバージョンでも同様です。次のいずれかの方法を選択して、サーバーのレジストリを変更してください。
レジストリを誤って変更すると、Windows オペレーティングシステムに深刻な問題が発生する可能性があります。この操作に伴うすべてのリスクはお客様が負うものとします。操作を開始する前に、スナップショットを作成してサーバーをバックアップすることを強く推奨します。スナップショットの作成方法については、「スナップショットの作成」をご参照ください。
(推奨) スクリプトを使用してレジストリを変更する
-
仮想ネットワークコンソール (VNC) を使用して Simple Application Server に接続します。
手順については、「仮想ネットワークコンソール (VNC) を使用してサーバーに接続する」をご参照ください。
-
コマンド プロンプトを開きます。
-
スタートアイコンを右クリックし、[ファイル名を指定して実行] を選択します。 -
[ファイル名を指定して実行] ダイアログボックスで、
cmdを入力します。 -
[OK] をクリックします。
コマンド プロンプト ウィンドウが開きます。
Microsoft Windows [Version 10.0.14393] (c) 2016 Microsoft Corporation. All rights reserved. C:\Users\Administrator>
-
-
次のコマンドを実行して PowerShell を起動します。
powershell -
次の PowerShell スクリプトを実行してレジストリを変更します。
New-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System -Name CredSSP -Force New-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP -Name Parameters -Force Get-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters | New-ItemProperty -Name AllowEncryptionOracle -Value 2 -PropertyType DWORD -Force -
Simple Application Server で、
スタートアイコン >
電源アイコン > [再起動] を選択してサーバーを再起動し、変更を適用します。説明この方法を使用して、後でオンプレミスデバイスと Simple Application Server の両方にセキュリティ更新プログラムをインストールする場合は、セキュリティを強化するため、
AllowEncryptionOracleの [値のデータ] を0または1に設定することを推奨します。AllowEncryptionOracleの [値のデータ] の詳細については、「CVE-2018-0886 の CredSSP の更新プログラム」をご参照ください。
レジストリを手動で変更する
-
仮想ネットワークコンソール (VNC) を使用して Simple Application Server に接続します。
手順については、「仮想ネットワークコンソール (VNC) を使用してサーバーに接続する」をご参照ください。
-
レジストリ エディターを開きます。
-
スタートアイコンを右クリックし、[実行] を選択します。 -
[ファイル名を指定して実行] ダイアログボックスに
regeditと入力します。 -
[OK] をクリックします。
レジストリ エディター ウィンドウが開きます。
-
-
[レジストリ エディター] で、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parametersに移動します。AllowEncryptionOracleエントリの [値のデータ] を 2. に設定します。説明AllowEncryptionOracleエントリの [値のデータ] の詳細については、「CVE-2018-0886 の CredSSP 更新プログラム」をご参照ください。CredSSPまたはParametersキーが存在しない場合は、作成してください。次に、AllowEncryptionOracleという名前の新しいREG_DWORD値を作成します。CredSSPとParametersキーの両方が存在しない場合は、次の手順に従ってください。-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Systemの下にCredSSPキーを作成します。-
右側のペインにある空の領域を右クリックし、[新規 > キー] を選択します。
-
新しいキーに
CredSSPという名前を付け、Enterキーを押します。
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSPの下にParametersキーを作成します。 -
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parametersキーの下に、AllowEncryptionOracleという名前の新しいDWORD (32 ビット) 値を作成します。 -
AllowEncryptionOracleエントリの [値データ] を変更します。-
AllowEncryptionOracleエントリを右クリックし、[変更...] を選択します。 -
ダイアログボックスで、[値のデータ] を 2 に設定し、[OK] をクリックします。
-
-
-
Simple Application Server で、
開始アイコン >
電源アイコン > [再起動] を選択してサーバーを再起動し、変更を適用します。