リモートデスクトップの「CredSSP 暗号化オラクルの修復である可能性があります。」エラーの対処法
上記エラーメッセージが表示される。
認証エラーが発生しました。
要求された関数はサポートされていません。
原因はCredSSP 暗号化オラクルの修復である可能性があります。
※実は「暗号化オラクル」はOracle Databaseとは関係ありません。
クライアントは常にWindows Updateしていて最新になっているが?
サーバーはWindows Updateしていないので古いままだったりする。
のがよくある話で、サーバーは何かあると大変なのでWindows Updateしないことが運用上よくあります。
解決策:
リモートデスクトップ接続先に 3 月以降の更新プログラムを適用できない場合には以下の回避策がございますが、いずれもセキュリティ リスクが高まりますので、影響をご理解いただいたうえで実施願います。
Microsoftのページより解決策を抜粋
1. リモート デスクトップ接続元 (クライアント) での回避策 1
リモートデスクトップ接続元にて以下のポリシーを変更することでリモートデスクトップ接続先に 3 月以降の更新プログラムが未適用の場合でも接続可能となります。
[コンピューターの構成] -> [管理用テンプレート] -> [システム] -> [資格情報の委任]ポリシー名 : Encryption Oracle Remediation (暗号化オラクルの修復)
設定 : Vulnerable (脆弱)
2. リモート デスクトップ接続元 (クライアント) での回避策 2
リモートデスクトップ接続元にて以下レジストリを手動もしくは REG ADD コマンドで追加いただくことでも回避策 1 と同様の効果が得られます。
レジストリ パス : HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters
値 : AllowEncryptionOracle
データの種類 : DWORD
値 : 2
REG ADD コマンドで追加いただく場合には以下のコマンド ラインとなります。
REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2
※ レジストリ変更後に再起動は必要ございません。
3. リモート デスクトップ接続先 (サーバー) での回避策
リモートデスクトップ接続先 で NLA (Network Level Authentication) を強制しないようにすることで接続可能となります。
NLA を強制しないようにするためには、以下の3つの方法のいずれかで設定できます。
方法1:
以下のポリシー変更にてNLAを強制しないようにすることができます。
[コンピューターの構成] -> [管理用テンプレート] -> [Windows コンポーネント] -> [リモート デスクトップ サービス] -> [リモート デスクトップ サービス セッション ホスト] -> [セキュリティ]ポリシー名 : リモート接続にネットワーク レベル認証を使用したユーザー認証を必要とする
設定 : 無効
方法 2:
[システムのプロパティ] -[リモート] タブにおいて、「ネットワークレベル認証でリモートデスクトップを実行しているコンピューターからのみ接続を許可する」のチェックを外します。
方法 3:
Windows Server 2012 以降のリモート デスクトップ サービス (RDS) 環境にて、RD 接続ブローカーで接続先 (RD セッション ホスト) をコレクション管理している場合には、コレクションのプロパティで以下を変更することでも対処が可能です。
コレクションプロパティ において、
「ネットワークレベル認証でリモートデスクトップを実行しているコンピューターからのみ接続を許可する」
のチェックを外します。
尚、コレクションに参加していないRD 接続ブローカーでは上記方法 1. もしくは方法 2. で NLA を強制しないようにしていただく必要がございます。