本文中含有需要您注意的重要提示信息,忽略該信息可能對您的業務造成影響,請務必仔細閱讀。
本文介紹遠程連接輕量應用服務器提示“出現身份驗證錯誤,要求的函數不受支持”的問題描述、問題原因及其解決方案。
問題描述
本地電腦使用遠程桌面連接工具連接Windows系統的輕量應用服務器時,提示“出現身份驗證錯誤,要求的函數不受支持”。
問題原因
微軟官方于2018年5月,更新了憑據安全支持提供程序協議(CredSSP)相關補丁和身份驗證請求方式。默認情況下,如果本地電腦與輕量應用服務器一方未安裝此補丁,則可能無法通信。
當遇到以下任一場景時,會出現該連接錯誤:
場景一:本地電腦未更新該補丁,輕量應用服務器已更新該補丁且加密Oracle修正的策略為強制更新的客戶端。
修復該連接錯誤的具體操作,請參見方案一:允許輕量應用服務器遠程桌面連接。
場景二:本地電腦已更新該補丁且加密Oracle修正的策略為強制更新的客戶端,輕量應用服務器未更新該補丁。
場景三:本地電腦已更新該補丁且加密Oracle修正的策略為緩解,輕量應用服務器未更新該補丁。
未更新該補丁,指沒有更新自2018年5月起至今的任意版本補丁,包括最新版本補丁。
已更新該補丁,指更新過自2018年5月起至今的任意版本補丁或者所有版本補丁,包括最新版本補丁。
更多加密數據庫修正的策略信息,請參見CVE-2018-0886的CredSSP更新。
解決方案
您可以通過允許輕量應用服務器遠程桌面連接、安裝補丁或者修改注冊表的方法,修復該問題。具體方案如下:
方案一:允許輕量應用服務器遠程桌面連接
Windows系統版本較多,且各版本之間操作略有差異,此處分別以Windows 2008 R2、Windows 2012 R2和Windows 2016數據中心版為例,操作步驟如下:
Windows 2008 R2
通過VNC連接輕量應用服務器。
具體操作,請參見通過VNC遠程連接(控制臺)。
單擊開始,右鍵單擊計算機,然后單擊屬性。
在控制面板主頁區域,單擊遠程設置。
在系統屬性對話框中,選中允許運行任意版本遠程桌面的計算機連接(較不安全),然后單擊確定。
Windows 2012 R2
通過VNC連接輕量應用服務器。
具體操作,請參見通過VNC遠程連接(控制臺)。
單擊
圖標,右鍵單擊這臺電腦,然后單擊屬性。 
在控制面板主頁上,單擊遠程設置。
在遠程頁簽下,取消選中僅允許運行使用網絡級別身份驗證的遠程桌面的計算機連接(建議) ,然后單擊確定。
Windows 2016數據中心版
通過VNC連接輕量應用服務器。
具體操作,請參見通過VNC遠程連接(控制臺)。
單擊
圖標,然后單擊Windows系統。右鍵單擊此電腦,然后選擇更多 > 屬性。
在控制面板主頁上,單擊遠程設置。
在遠程頁簽下,取消選中僅允許運行使用網絡級別身份驗證的遠程桌面的計算機連接(建議) ,然后單擊確定。
方案二:安裝補丁
此處以Windows Server 2016系統版本為例,其他Windows系統版本操作類似。
通過VNC連接輕量應用服務器。
具體操作,請參見通過VNC遠程連接(控制臺)。
單擊
圖標,單擊設置。
在Windows 設置頁面,單擊更新和安全。
在更新狀態頁面,單擊檢查更新,等待更新下載和安裝。
說明如果需要手動安裝CredSSP對應安全更新包,請訪問微軟官網,然后下載對應版本的安全更新包。
在輕量應用服務器中,選擇
> 
> 重啟,重啟輕量應用服務器更新配置。
方案三:修改注冊表
此處以Windows Server 2016系統版本為例,其他Windows系統版本操作類似。當本地電腦或輕量應用服務器完成CredSSP相關補丁的更新后,請選擇以下一種方式修改注冊表。
如果修改注冊表不當,Windows操作系統可能會出現嚴重問題,您需要自行承擔修改注冊表的風險。修改注冊表之前,建議您先創建快照備份數據,以免數據丟失。創建快照的具體操作,請參見創建快照。
(推薦)使用腳本修改注冊表
通過VNC連接輕量應用服務器。
具體操作,請參見通過VNC遠程連接(控制臺)。
打開CMD命令提示行。
右鍵單擊
圖標,然后單擊運行。
在運行對話框中輸入
cmd。
單擊確定。
進入CMD命令提示行。
執行以下命令,進入PowerShell模式。
powershell執行如下命令,以管理員身份運行
Windows PowerShell腳本。New-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System -Name CredSSP -Force New-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP -Name Parameters -Force Get-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters | New-ItemProperty -Name AllowEncryptionOracle -Value 2 -PropertyType DWORD -Force在輕量應用服務器中,選擇
> > 重啟,重啟輕量應用服務器更新配置。 說明若您先使用本方法修改了注冊表,隨后又更新了本地電腦和輕量應用服務器的安全補丁,建議您將
AllowEncryptionOracle的數值數據設為0或者1以獲得更高的安全性。AllowEncryptionOracle的數值數據信息,請參見CVE-2018-0886的CredSSP更新。
手動修改注冊表
通過VNC連接輕量應用服務器。
具體操作,請參見通過VNC遠程連接(控制臺)。
打開注冊表編輯器。
右鍵單擊
圖標,然后單擊運行。在運行對話框中輸入
regedit。
單擊確定。
進入注冊表編輯器。
在注冊表編輯器頁面的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters路徑下,將注冊表項AllowEncryptionOracle的數值數據設置為2。說明注冊表項
AllowEncryptionOracle的數值數據信息,請參見CVE-2018-0886的CredSSP更新。如果
CredSSP項或Parameters項不存在,請新建對應注冊表項,然后在該注冊表項下新建REG_DWORD類型的注冊表項AllowEncryptionOracle。以CredSSP項和Parameters均不存在為例,操作如下:在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System路徑下新建CredSSP項。右鍵單擊注冊表項空表區域,然后選擇新建(N) > 項(K)。
輸入
CredSSP,按Enter鍵。
在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP路徑下新建Parameters項。
在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters路徑下新建AllowEncryptionOracle項。
修改注冊表項
AllowEncryptionOracle的數值數據。右鍵單擊注冊表項
AllowEncryptionOracle,然后單擊修改(M)。
在對話框中,將數值數據設置為2,然后單擊確定。
在輕量應用服務器中,選擇
> > 重啟,重啟輕量應用服務器更新配置。