經常使用window伺服器的朋友,最近會發現用戶端遠端桌面連接配接伺服器失敗,騰訊雲,阿裡雲等等雲伺服器更加明顯。
原因在于最近 windows 10系統,悄悄進行了一次強制更新,然後部分電腦遠端登入出現這樣的錯誤提示:
出現身份驗證錯誤。
要求的函數不收支援。
遠端計算機:xxx.xxx.xxx.xxx
遠端計算機 這可能是由于CredSSP加密Oracle修正。
若要了解詳細資訊,請通路 https://go.microsoft.com/fwlink/?linkid=866660
![](https://img.laitimes.com/img/__Qf2AjLwojIjJCLyojI0JCLicmbw5SMw8FNxUDMvwFOxAjMvwVbvNmLzNmb1lXasFmLvFGZn5Wax1ibj1ycz9mLn9GbiNHcn5WZw92Lc9CX6MHc0RHaiojIsJye.png)
新手上雲( 2bit.cn )總結:這類問題非常常見,然而新手往往很慌。實際不用緊張,有以下三種途徑解決這個問題,照做即可
方法一:(倒退型解決)
經過查詢,這是一個系統更新檔導緻的,解決此問題,其中一個辦法是卸掉這個更新檔(KB4103727)。解除安裝更新檔即可解決
可是,不能遠端登入怎麼解除安裝?
這時候就用上了阿裡雲官網控制台的“遠端連接配接”功能,這個遠端連接配接,相當于實體機直接連接配接顯示器的效果,是以不需要執行遠端登入的過程。可以直接輸入密碼進入伺服器。
最後解釋:解除安裝更新是個并不算合理的做法,隻是偷懶有效。
細節解釋:
遠端桌面使用的是“憑據安全支援提供程式協定 (CredSSP) ”,這個協定在未修補的版本中是存在漏洞的。
于是微軟在 2018 年 3 月 13 日在更新檔中解決了這個問題,但是預設并沒有強制使用新的協定,因為一旦強制使用,假如伺服器端和用戶端不比對,将無法連接配接。是以使用者并不會感覺到。
在 2018 年 5 月 8 日,微軟在更新檔中将用戶端政策提嚴了一點,mstsc 登入就會有提示了,就會出現如上的錯誤了,使用者就會知道這事了。
方法二:(進步型解決)
用戶端下載下傳微軟更新檔解決,下載下傳位址:https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2018-0886 ,選擇配套自己的機器的更新檔包進行下載下傳,安裝後即可使用遠端桌面連接配接。
此方法屬于順應微軟處理漏洞的方式,服務端用戶端同時打更新檔更新系統。是以取名進步型解決方法
方法三:(工程師模式)系統管理者請看下文:
(後續内容部分取自:http://www.cftea.com/m/c.asp?docID=8182 )
關于微軟這次更新,有個配置,更改這個配置可以決定是使用以前的那種連接配接,還是修補過的連接配接。這個問題會影響到伺服器端和用戶端 ,是以這個配置在伺服器端和用戶端均可配置。
【針對伺服器端】
如果這個值是 0,那麼要求用戶端必須是修補了 CredSSP 的。
如果這個值是 1,那麼要求用戶端可以是沒修補 CredSSP 的。
如果這個值是 2,那麼要求用戶端可以是沒修補 CredSSP 的。(和 1 一樣)
2018 年 5 月 8 日,微軟将這個預設值修改為了 1。
【針對用戶端】
如果這個值是 0,那麼要求服務端必須是修補了 CredSSP 的。(和 1 一樣)
如果這個值是 1,那麼要求服務端必須是修補了 CredSSP 的。
如果這個值是 2,那麼要求服務端可以是沒修補 CredSSP 的。
2018 年 5 月 8 日,微軟将這個預設值修改為了 1。
也就是說:
0:伺服器端、用戶端都必須是修補了 CredSSP 的。
1:伺服器端沒要求用戶端、但是用戶端要求伺服器端是修補了 CredSSP 的。
2:伺服器端、用戶端都可以是沒修補 CredSSP 的。
怎麼處理?
根據需求,修改這個值,比如現在還沒準備好全部打更新檔,那麼就都修改為 2。
常用方法:
在自己的用戶端電腦中運作 gpedit.msc ,依次找到“計算機配置”->“管理模闆”->“系統”->“憑據配置設定”,這裡面有個“加密 Oracle 修正”,改之。
萬能方法:( Windows 10 家庭版,沒有 gpedit.msc 适用)
那直接改系統資料庫
1,運作框輸入 regedit 指令打開系統資料庫編輯器
2查找路徑 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
建立一個 32 位的、DWORD 類型的 AllowEncryptionOracle,然後為其設定相應的值(建議設定為2),如果此路徑某些節點不存在,手動建立即可。
注意:
系統資料庫中可能沒有相應的項,那就建立之。
還有我是 64 位系統,但是建立的 64 位值無效,我建立了 32 位值才生效。
最後需要重新開機。
原文位址: https://www.opengps.cn/Blog/View.aspx?id=93 文章的更新編輯依此連結為準。歡迎關注源站原創文章!