如何解决远程连接轻量应用服务器的身份验证错误的问题？

问题描述

当尝试从本地电脑使用远程桌面连接工具连接到Windows系统的轻量应用服务器时，可能会收到“出现身份验证错误，要求的函数不受支持”的错误提示。

问题原因

2018年5月，微软发布了针对凭据安全支持提供程序协议（CredSSP）的相关补丁和身份验证请求方式的更新。如果本地电脑与轻量应用服务器之间存在以下情况之一，则可能导致上述连接错误：

• 本地电脑未更新该补丁，而轻量应用服务器已更新该补丁且加密Oracle修正的策略为强制更新的客户端。
• 本地电脑已更新该补丁且加密Oracle修正的策略为强制更新的客户端，但轻量应用服务器未更新该补丁。
• 本地电脑已更新该补丁且加密Oracle修正的策略为缓解，但轻量应用服务器未更新该补丁。

解决方案

方案一：允许轻量应用服务器远程桌面连接

对于不同版本的Windows系统，允许远程桌面连接的操作步骤有所不同。以下是针对Windows 2008 R2、Windows 2012 R2 和 Windows 2016 数据中心版的示例步骤：

Windows 2008 R2

1. 通过VNC连接轻量应用服务器。
2. 单击开始，右键单击计算机，然后单击属性。

3. 在控制面板主页区域，单击远程设置。

4. 在系统属性对话框中，选中允许运行任意版本远程桌面的计算机连接（较不安全），然后单击确定。

Windows 2012 R2

1. 通过VNC连接轻量应用服务器。
2. 单击开始图标，右键单击这台电脑，然后单击属性。

3. 在控制面板主页上，单击远程设置。

4. 在远程页签下，取消选中仅允许运行使用网络级别身份验证的远程桌面的计算机连接（建议），然后单击确定。

Windows 2016 数据中心版

1. 通过VNC连接轻量应用服务器。
2. 单击开始图标，然后单击Windows系统。
3. 右键单击此电脑，然后选择属性。

4. 在控制面板主页上，单击远程设置。

5. 在远程页签下，取消选中仅允许运行使用网络级别身份验证的远程桌面的计算机连接（建议），然后单击确定。

方案二：安装补丁

1. 通过VNC连接轻量应用服务器。
2. 单击开始图标，单击设置。

3. 在Windows 设置页面，单击更新和安全。

4. 在更新状态页面，单击检查更新，等待更新下载和安装。

5. 重启轻量应用服务器更新配置。

方案三：修改注册表

使用脚本修改注册表

1. 通过VNC连接轻量应用服务器。
2. 打开CMD命令提示行。
3. 执行以下命令，进入PowerShell模式：powershell
4. 执行以下命令以管理员身份运行PowerShell脚本：

   New-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System -Name CredSSP -Force
   New-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP -Name Parameters -Force
   Get-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters | New-ItemProperty -Name AllowEncryptionOracle -Value 2 -PropertyType DWORD -Force

5. 重启轻量应用服务器更新配置。

手动修改注册表

1. 通过VNC连接轻量应用服务器。
2. 打开注册表编辑器(运行->regedit)。

3. 在注册表编辑器页面的HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters路径下，将注册表项AllowEncryptionOracle的数值数据设置为2。

4. 重启轻量应用服务器更新配置。

相关文档

• CVE-2018-0886 | CredSSP 远程执行代码漏洞