Ошибка RDP подключения: Указанная функция не поддерживается, ошибка шифрования CredSSP
После установки последних обновлений безопасности, вышедших 8 мая 2018 года, на Windows 10 и 7, пользователи стали жаловаться, что при попытке подключится к RemoteApp на RDS серверах под Windows Server 2016 / 2012 R2 / 2008 R2, или удаленным рабочим столам других пользователей по протоколу RDP (на Win 10/8/7), появляется ошибка:
Remote Desktop connection
An authentication error has occurred.
The function is not supported.
Remote Computer: hostname
This could be due to CredSSP encryption oracle remediation.
Подключение к удаленному рабочему столу
Произошла ошибка при проверке подлинности.
Указанная функция не поддерживается.
Причиной ошибки может быть исправление шифрования CredSSP.
Данная ошибка связана с тем, что на Windows Server или обычных десктопных версиях Windows, к котором вы пытаетесь подключится по RDP, с марта 2018 года не устанавливались обновления безопасности. Дело в том, что еще в марте 2018 Microsoft выпустила обновление, закрывающее возможность удаленного выполнения кода с помощью уязвимости в протоколе CredSSP (бюллетень CVE-2018-0886). В мае 2018 было опубликовано дополнительное обновление, в котором по-умолчанию клиентам запрещается подключаться к удаленным RDP серверам с уязвимой (непропатченной) версией протокола CredSSP.
Таким образом, если вы не устанавливали накопительные обновления безопасности на RDS серверах Windows с марта этого года, а клиенты (Win 10 / 8 / 7) установили майские обновления, то на них при попытке подключится к RDS серверам с непропатченной версией CredSSP будет появляется ошибка о невозможности подключения: This could be due to CredSSP encryption oracle remediation.
Ошибка RDP клиента появляется после установки следующих обновлений безопасности:
- Windows 7 / Windows Server 2008 R2 — KB4103718
- Windows 8.1 / Windows Server 2012 R2 — KB4103725
- Windows Server 2016 — KB4103723
- Windows 10 1803 — KB4103721
- Windows 10 1709 — KB4103727
- Windows 10 1703 — KB4103731
- Windows 10 1609 — KB4103723
Для восстановления удаленного подключения к рабочему столу можно удалить указанное обновление (но это не рекомендуется и делать этого не стоит, есть более правильное решение).
Для решения проблемы нужно временно на компьютере, с которого вы подключаетесь по RDP, убрать данное уведомление безопасности, блокирующее подключение.
Это можно сделать через редактор локальных групповых политик. Для этого:
- Запустите редактор локальных GPO: gpedit.msc ;
В том случае, если у вас отсутствует редактор локальных GPO (например, в Home редакциях Windows), вы можете внести изменение, разрешающее RDP подключение к серверам с непропатченной версия CredSSP, напрямую в реестр с помощью команды:
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
Можно внести изменения сразу на множестве компьютеров в AD с помощью доменной GPO или такого PowerShell скрипта (список компьютеров в домене можно получить с помощью командлета Get-ADComputer ):
Import-Module ActiveDirectory
$PSs = (Get-ADComputer -Filter *).DNSHostName
Foreach ($computer in $PCs) <
Invoke-Command -ComputerName $computer -ScriptBlock <
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
>
>
После успешного подключения к удаленному RDP серверу (компьютеру) нужно установить на нем отсутствующие обновления безопасности через службу Windows Update (проверьте, что служба включена) или вручную. Ниже представлены прямые ссылки на обновления для Windows Server, которые обязательно нужно установить:
- Windows Server 2012 R2 / Windows 8: KB4103715
- Windows Server 2008 R2 / Windows 7: KB4103712
- Windows Server 2016 / Windows 10 1607 = KB4103723
После установки обновлений и перезагрузки сервера, не забудьте отключить политику на клиентах (либо выставить ее на Force Updated Clients), или вернуть значение 0 у ключа реестра AllowEncryptionOracle. В этом случае, ваш компьютер не будет подвержен риску подключения к незащищенным хостам с CredSSP и эксплуатации уязвимости.
REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0
Windows server 2008 код ошибки 2012
Вопрос
Ни как не могу избавиться от ошибок в логах Windows на серваке Windows 2008R2
Произошла сетевая ошибка при передаче или получении данных сервером. Редкие сетевые ошибки возможны в любом случае, но большое их число говорит о неправильной настройке сети. Код ошибки содержится в возвращенных данных (форматированных как WORD) и может подсказать причину ошибки.
Ошибка в логах давно уже генерится. Что пробовали сделать:
1) Поменяли коммутатор в серверной куда этот сервак подключен
2) Обновили на этом сервере все микрокоды материнской платы(Сервер IBM x3550 M4)
3) Меняли патчкорд до коммутатора
Эта ошибка генерируется в логе от 4 до 6 раз в секунду.
Это контроллер домена. К нему мапятся два LUNа с СХД. На одном Lun — наша файлопомойка, на втором LUNе — все профили пользователей (они у нас перемещаемые).
Как бы проблем каких-то не замечено, вроде шары не отваливаются, домен нормально функционирует, все бегает и авторизуется. Периодически у пользователей лагает то MS Office, то сеанс в терминальном сервере может зависнуть.
Поэтому я все таки думаю, что эта ошибка в логах неспроста и от нее надо избавляться!
Но пока мне это не удалось! Может есть тут те кто смог избавиться от этой ошибка, если она у Вас была? И как?
Все ответы
— Уточните пожалуйста, какой антивирус установлен на проблемном сервере?
— Как настроен сетевой интерфейс — скорость/дуплекса (speed/duplex) в авто или ручной?
Best Regards, Andrei .
MCP
Ни как не могу избавиться от ошибок в логах Windows на серваке Windows 2008R2
Произошла сетевая ошибка при передаче или получении данных сервером. Редкие сетевые ошибки возможны в любом случае, но большое их число говорит о неправильной настройке сети. Код ошибки содержится в возвращенных данных (форматированных как WORD) и может подсказать причину ошибки.
На этом серваке, т.к. он контроллер домена антивирь не установлен! С него выхода в инет нет и на нем мы не работаем постоянно. Поэтому и антивирь туда ставить не стали.
Интерфейс настроен — статика.
Скорость — auto negotination
Так я же выше написал — Код=2012
Это не код ошибки, а код события (Event ID).
смотрите в data (xml), например:
Best Regards, Andrei .
MCP
Имя журнала: System
Источник: srv
Дата: 24.10.2016 11:39:26
Код события: 2012
Категория задачи:Отсутствует
Уровень: Предупреждение
Ключевые слова:Классический
Пользователь: Н/Д
Компьютер: ServerDC.Firma.local
Описание:
Произошла сетевая ошибка при передаче или получении данных сервером. Редкие сетевые ошибки возможны в любом случае, но большое их число говорит о неправильной настройке сети. Код ошибки содержится в возвращенных данных (форматированных как WORD) и может подсказать причину ошибки.
Xml события:
2012
3
0
0x80000000000000
3680262
System
ServerDC.Firma.local
\Device\LanmanServer
0000040001002C0000000000DC07008000000000840100C0000000000000000000000000000000008F050000
In Words
0000: 00040000 002C0001 00000000 800007DC
0008: 00000000 C0000184 00000000 00000000
0010: 00000000 00000000 0000058F
800007DC = EVENT_SRV_NETWORK_ERROR,
C0000184 = STATUS_INVALID_DEVICE_STATE , The device is not in a valid state to perform this request.
Best Regards, Andrei .
MCP
Да я сейчас в другой режим переключил такое событие, тоже вижу это в таком виде
0000: 00040000 002C0001 00000000 800007DC
0008: 00000000 C0000184 00000000 00000000
0010: 00000000 00000000 0000058F
Получается, раз есть C0000184, то это значит что сетевуха находится в недопустимом состоянии, чтобы выполнить запрос?
У нас есть еще один точно такой же сервак, с такой же Виндой, только он не КД, а там SQL крутится. На нем настройки сетевухи аналогичные и таких ошибок нет. Висит на том же коммутаторе
Подозрения на возникновения проблем из-за роли файлового сервера.
Уточните пожалуйста ночью схожие предупреждения логируются?
Также уточните пожалуйста, какие свичи у Вас используются и используете vlan в сети?
P.S. в какой-то момент не правильно завершается доступ к расширенным ресурсам/папкам (File Shares).
Best Regards, Andrei .
MCP
Best Regards, Andrei .
MCP
Подозрения на возникновения проблем из-за роли файлового сервера.
Уточните пожалуйста ночью схожие предупреждения логируются?
Также уточните пожалуйста, какие свичи у Вас используются и используете vlan в сети?
P.S. в какой-то момент не правильно завершается доступ к расширенным ресурсам/папкам (File Shares).
Best Regards, Andrei .
MCP
В ночное время события этого рода тоже есть в достаточном, но немного меньшем объеме, чем в будни!
Коммутаторы у нас Juniper EX2200.
VLAN у нас на эти серваки не задействованы — в общем vlan. А вот IP телефония в отдельном
Может попробовать все таки все обновы Windows Update поставить? Хотя бы наиболее критичные.
На сторонних форумах пишут , что схожая проблема была из-за стороннего ПО Евфрат с её устанавливаемыми дополнительным компонентом «Поддержка регистрации из MS Office», У Вас используется указанное ПО?
Best Regards, Andrei .
MCP
Best Regards, Andrei .
MCP
А на момент появления предупреждений, в событие безопасности (Security) что-то логируется?
Best Regards, Andrei .
MCP
Аудит вроде как настроен по умолчанию. Регистриуются успешные события типа:
Выполнен выход учетной записи из системы.
Субъект:
ИД безопасности: Firma\Ivanov.I
Имя учетной записи: ivanov.i
Домен учетной записи: FIRMA
Код входа: 0x369b3da
Компьютер попытался проверить учетные данные учетной записи.
Пакет проверки подлинности: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Учетная запись входа: Kobzev.I
Исходная рабочая станция: \\192.168.1.110
Код ошибки: 0x0
Best Regards, Andrei .
MCP
Уточните пожалуйста пропускаете/настроены ли соединения для протокола SMB через NAT?
Best Regards, Andrei .
MCP
Я бы предположил что проблемы с сетевым контроллером. Может быть с конкретным экземпляром, а может все они такие.
Попробуйте зайти в свойства адаптера, закладка «Advanced». Найдите и отключите там все опции где написано «Offload». Так же можно для проверки отключить Jumbo Frames если включены.
Можно так же попробовать использовать другой порт.
This posting is provided «AS IS» with no warranties, and confers no rights.
Jumbo у меня стоит в Disable а вот опции со словом Offload все включены.
Но тут еще одну интересную вещь нашел.
Начал сравнивать параметры сетевого адаптера проблемного сервера (IBM x3550) с таким же сервером который не имеет указанных в этой теме ошибок в логах Windows — он у нас с ролью SQL. Адаптеры то у них одинаковые — Intel(R) I350 Gigabit Network Connection, версия драйвера 13.10.2014 — 12.11.97.0.
Но окна управления настройками сетевого адаптера на этих серверах немного различаются!
На проблемном — вроде все стандартно!
На другом серваке, который SQL — в окне управления настройками адаптера есть еще дополнительные вкладки — VLAN, Teaming, LinkSpeed. Но есть догадка, что это из-за установленного ПО Intel(R) Network Connection 20.0.10.0 Но это так просто из наблюдений за этими серверами ))
Но я хочу сначала все таки почитать, за что отвечают параметры Offload прежде чем их выключить. Так для собственного понимания.