Belirtilen işlev desteklenmiyor. Bir kimlik doğrulama hatası oluştu

Sunucuların güvenliği ve hızı ile ilgili her zaman sorunlar olmuştur ve her yıl alaka düzeyi daha da artmaktadır. Sonuç olarak, Microsoft, orijinal sunucu tarafı kimlik doğrulama modelinden ağ düzeyinde kimlik doğrulamaya geçmiştir.

Bu modeller arasındaki fark nedir?
Önceden, Terminal Hizmetlerine bağlanırken, kullanıcı sunucuyla bir oturum oluşturdu ve bu oturum, sunucunun kullanıcı için kimlik bilgisi giriş ekranını yükledi. Bu yöntem, kullanıcı yasallığını onaylamadan önce bile sunucu kaynaklarını tüketir, bu da yasa dışı bir kullanıcının sunucu kaynaklarını birden çok oturum açma isteğiyle tamamen yüklemesine olanak tanır. Bu istekleri işleyemeyen bir sunucu, meşru kullanıcılara yapılan istekleri işlemeyi reddeder (DoS saldırısı).

Ağ Düzeyinde Kimlik Doğrulama (NLA), kullanıcıyı istemci tarafı iletişim kutusuna kimlik bilgilerini girmeye zorlar. Varsayılan olarak, istemci tarafında ağ düzeyinde kimlik doğrulama yoksa, sunucu bağlantıya izin vermeyecek ve gerçekleşmeyecektir. NLA, sunucuyla bir oturum oluşturmadan önce bile istemci bilgisayardan kimlik doğrulama bilgilerini sağlamasını ister. Bu işleme önden kimlik doğrulama da denir.

NLA, RDP 6.0'da tanıtıldı ve başlangıçta desteklendi Windows Vista... RDP 6.1 sürümünden itibaren - işletim sistemini çalıştıran sunucular tarafından desteklenir Windows Server 2008 ve sonrası ve Windows XP SP3 işletim sistemleri (kayıt defterinde yeni güvenlik sağlayıcısını etkinleştirmeniz gerekir) ve sonrası için müşteri desteği sağlanır. Yöntem, Kimlik Bilgisi Güvenliği Destek Sağlayıcısı (CredSSP) güvenlik sağlayıcısını kullanır. Başka bir işletim sistemi için uzak masaüstü istemcisi kullanıyorsanız, NLA desteği hakkında bilgi almanız gerekir.

• Önemli sunucu kaynakları gerektirmez.
• DoS saldırılarına karşı koruma sağlamak için ek bir katman.
• İstemci ve sunucu arasındaki arabuluculuk sürecini hızlandırır.
• NT "tek oturum açma" teknolojisini bir terminal sunucusuyla çalışacak şekilde genişletmenize olanak tanır.

• Diğer güvenlik sağlayıcıları desteklenmez.
• Windows XP SP3'ten daha düşük istemci sürümleri ve Windows Server 2008'den daha düşük sunucu sürümleri tarafından desteklenmez.
• gerekli manuel ayar her birinde kayıt Windows istemcisi XP SP3.
• Herhangi bir "tek oturum açma" planı gibi, "tüm kalenin anahtarlarının" çalınmasına karşı savunmasızdır.
• "Bir sonraki oturum açmada şifre değişikliği iste" işlevini kullanmak mümkün değildir.

Kayıt defteri düzenleyicisini açın.

Şube HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa

Güvenlik Paketleri parametresini açın ve orada tkkg kelimesini arayın. Orada değilse, mevcut parametrelere ekleyin.

Şube HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders

SecurityProviders parametresini açın ve yoksa, mevcut sağlayıcılara credssp.dll ekleyin.

Kayıt defteri düzenleyicisini kapatın.

Şimdi yeniden başlatmanız gerekiyor. Bu yapılmazsa, bilgisayar bizden bir kullanıcı adı ve şifre isteyecek, ancak uzak masaüstü yerine aşağıdakileri yanıtlayacaktır:

Aslında hepsi bu.

Sunucu yöneticileri açık Windows tabanlı 2008'de aşağıdaki sorunla yüzleşmeniz gerekebilir:

Windows XP SP3 istasyonundan favori sunucunuza rdp protokolü aracılığıyla bağlantı aşağıdaki hatayla başarısız oluyor:

Uzak masaüstü devre dışı.

Uzak bilgisayar ağ düzeyinde kimlik doğrulama gerektirir; bu bilgisayar desteklemez. dan yardım isteyin sistem yöneticisi veya teknik desteğe başvurun.

Ve umut vaat eden Win7, sonunda büyükannesi WinXP'nin yerini almakla tehdit etse de, sorun bir veya iki yıl daha acil olmaya devam edecek.

Ağ katmanı kimlik doğrulama mekanizmasını etkinleştirmek için yapmanız gerekenler:

Kayıt defteri düzenleyicisini açın.

Dal HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa

parametreyi açma Güvenlik Paketleri ve orada bir kelime arıyorum tkkg... Orada değilse, mevcut parametrelere ekleyin.

Dal HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ SecurityProviders

parametreyi açma Güvenlik Sağlayıcılar ve mevcut sağlayıcılara ekleyin credssp.dll eğer hiçbiri yoksa.

Kayıt defteri düzenleyicisini kapatın.

Şimdi yeniden başlatmanız gerekiyor. Bu yapılmazsa, bağlanmaya çalışırken bilgisayar bizden bir kullanıcı adı ve şifre isteyecek, ancak uzak masaüstü yerine aşağıdakileri yanıtlayacaktır:

Uzak Masaüstü Bağlantısı

Kimlik doğrulama hatası (kod 0x507)

Aslında hepsi bu.

KB4103718 güncelleştirmesini Windows 7 bilgisayarıma yükledikten sonra, Windows Server 2012 R2 çalıştıran sunucuya RDP Uzak Masaüstü aracılığıyla uzaktan bağlanamıyorum. mstsc.exe istemci penceresinde RDP sunucusunun adresini belirledikten ve "Bağlan"a tıkladıktan sonra bir hata çıkıyor:

Uzak Masaüstü Bağlantısı

Bir kimlik doğrulama hatası oluştu.

Belirtilen işlev desteklenmiyor.
Uzak bilgisayar: bilgisayar adı

KB4103718 güncellemesini kaldırıp bilgisayarımı yeniden başlattıktan sonra RDP bağlantısı düzgün çalıştı. Doğru anlarsam, bu yalnızca geçici bir çözüm, önümüzdeki ay yeni bir toplu güncelleme paketi gelecek mi ve hata geri dönecek mi? Herhangi bir tavsiye?

Cevap

Sorunu çözmenin anlamsız olduğu konusunda kesinlikle haklısınız, çünkü böylece bilgisayarınızı bu güncellemedeki yamalar tarafından kapatılan çeşitli güvenlik açıklarından yararlanma riskine maruz bırakıyorsunuz.

Sorununuzda yalnız değilsiniz. Bu hata herhangi birinde görünebilir işletim sistemi Windows veya Windows Server (yalnızca Windows 7 değil). İngilizce kullanıcılar Windows sürümleri 10, RDP / RDS sunucusuna bağlanmaya çalışırken şuna benzer bir hata görünür:

Bir kimlik doğrulama hatası oluştu.

İstenen işlev desteklenmiyor.

Uzak bilgisayar: bilgisayar adı

RemoteApp uygulamalarını başlatmaya çalışırken "Bir kimlik doğrulama hatası oluştu" RDP hatası da görünebilir.

Bu neden oluyor? Gerçek şu ki, bilgisayarınız, RDP sunucularında kimlik doğrulama için kullanılan CredSSP (Kimlik Bilgisi Güvenliği Destek Sağlayıcısı) protokolündeki (CVE-2018-0886) ciddi bir güvenlik açığını gideren en son güvenlik güncellemelerine (Mayıs 2018'den sonra yayımlanan) sahiptir ( makaleyi okumanızı tavsiye ederim). Aynı zamanda bilgisayarınızdan bağlandığınız RDP/RDS sunucusu tarafında bu güncellemeler yüklenmez ve RDP erişimi için NLA protokolü (Network Level Authentication) etkinleştirilir. NLA, kullanıcıları TLS / SSL veya Kerberos üzerinden önceden doğrulamak için CredSSP mekanizmalarını kullanır. Bilgisayarınız, yüklediğiniz güncellemenin yeni güvenlik ayarları nedeniyle, yalnızca CredSSP'nin güvenlik açığı bulunan sürümünü kullanan uzak bilgisayarla olan bağlantıyı engeller.

Bu hatayı düzeltmek ve RDP sunucunuza bağlanmak için ne yapılabilir?

1. Çoğu doğru sorunu çözmenin yolu yüklemektir En son güncellemeler RDP üzerinden bağlandığınız bilgisayar/sunucu üzerinde Windows güvenliği;
2. Geçici yöntem 1 ... RDP sunucu tarafında Ağ Düzeyinde Kimlik Doğrulamayı (NLA) devre dışı bırakabilirsiniz (aşağıda açıklanmıştır);
3. Geçici yöntem 2 ... İstemci tarafında, yukarıdaki bağlantıdaki makalede açıklandığı gibi, güvenli olmayan bir CredSSP sürümüne sahip RDP sunucularına bağlantılara izin verebilirsiniz. Bunu yapmak için kayıt defteri anahtarını değiştirmeniz gerekir. AllowEncryptionOracle(REG EKLE komutu
   HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 2) veya yerel ilke ayarlarını değiştirin Şifreleme Oracle Düzeltme/ Şifreleme Oracle güvenlik açığını düzeltin) değerini = Güvenlik Açığı / Güvenlik açığından ayrıl) ayarlayarak düzeltin.

   o tek yol sunucuya yerel olarak giriş yapma olanağınız yoksa (ILO konsolu aracılığıyla, sanal makine, bulut arayüzü vb.). Bu modda, uzak bir sunucuya bağlanabilecek ve güvenlik güncellemelerini yükleyebileceksiniz, böylece önerilen 1 yöntemine gideceksiniz. Sunucuyu güncelledikten sonra, ilkeyi devre dışı bırakmayı veya AllowEncryptionOracle = 0 anahtar değerini döndürmeyi unutmayın: REG ADD HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ System \ CredSSP \ Parameters / v AllowEncryptionOracle / t REG_DWORD / d 0

Windows'ta RDP için NLA'yı devre dışı bırakın

Bağlandığınız RDP sunucusu tarafında NLA etkinleştirilmişse, bu, RDP kullanıcısını önceden doğrulamak için CredSPP'nin kullanıldığı anlamına gelir. Ağ Düzeyinde Kimlik Doğrulamayı sekmedeki sistem özelliklerinde devre dışı bırakabilirsiniz. Uzaktan erişim(Uzak) "Yalnızca ağ düzeyinde kimlik doğrulama ile uzak masaüstü çalıştıran bilgisayarlardan bağlantılara izin ver / Yalnızca çalışan bilgisayarlardan bağlantıya izin ver" kutusunun işaretini kaldırarak Uzak Masaüstü Ağ Düzeyinde Kimlik Doğrulama ile (önerilir) ”(Windows 10 / Windows 8).

Windows 7'nin bu seçenek için farklı bir adı vardır. sekmesinde Uzaktan erişim seçeneğini belirlemeniz gerekiyor" Herhangi bir Uzak Masaüstü sürümüne sahip bilgisayarlardan bağlantılara izin verin (tehlikeli)/ Uzak Masaüstü'nün herhangi bir sürümünü çalıştıran bilgisayarlardan bağlantılara izin ver (daha az güvenli) ".

Yerel Düzenleyici'yi kullanarak Ağ Düzeyinde Kimlik Doğrulamayı (NLA) da devre dışı bırakabilirsiniz. Grup ilkesi - gpedit.msc(Windows 10 Home'da gpedit.msc ilke düzenleyicisi başlatılabilir) veya Etki Alanı İlkesi Yönetim Konsolu - GPMC.msc kullanılarak. Bunu yapmak için bölüme gidin Bilgisayar Yapılandırması -> Yönetim Şablonları -> Bileşenlerpencereler-> Uzak Masaüstü Hizmetleri - Uzak Masaüstü Oturum Ana Bilgisayarı -> Güvenlik(Bilgisayar Yapılandırması -> Yönetim Şablonları -> Windows Bileşenleri -> Uzak Masaüstü Hizmetleri - Uzak Masaüstü Oturum Ana Bilgisayarı -> Güvenlik), bağlantıyı kes ilke (Ağ Düzeyinde Kimlik Doğrulamayı kullanarak uzak bağlantılar için kullanıcı kimlik doğrulaması gerektir).

Siyasette de gerekli” için belirli bir güvenlik düzeyinin kullanılmasını gerektirir. uzak bağlantılar RDP protokolü aracılığıyla»(Uzak (RDP) bağlantılar için belirli bir güvenlik katmanının kullanılmasını gerektirir) Güvenlik Katmanını seçin - RDP.

Yeni RDP ayarlarını uygulamak için ilkeleri güncellemeniz (gpupdate/force) veya bilgisayarı yeniden başlatmanız gerekir. Bundan sonra, sunucunun uzak masaüstüne başarıyla bağlanmalısınız.

Sunucuya bağlanırken Windows XP kullanıyorsanız, bir hata alabilirsiniz: "Uzak bilgisayar, bu bilgisayarın desteklemediği ağ düzeyinde kimlik doğrulaması gerektiriyor."

Bu hata, başlangıçta Windows XP'de ağ düzeyinde kimlik doğrulamanın uygulanmamış olması nedeniyle oluşur, bu fırsat geliştiriciler sonraki işletim sisteminde uygulamıştır. Daha sonra bir güncelleme dosyası da yayınlandı. KB951608 kim düzeltti verilen hata ve Windows XP'nin ağ düzeyinde kimlik doğrulaması uygulamasına izin verdi.

Windows XP çalıştıran bilgisayarınızdan sunucunun uzak masaüstüne bağlanabilmeniz için Service Pack 3'ü (SP3) yüklemeniz ve ardından aşağıdakileri yapmanız gerekir:

Rusça dil sayfasındaki resmi Microsoft web sitesinde https://support.microsoft.com/ru-ru/kb/951608 otomatik düzeltme dosyasını indirin. Sayfayı aşağı kaydırın ve "Sorun çözmede yardım" bölümündeki "İndir" düğmesini tıklayın.

İngilizce bir sayfa da sizin için kullanılabilir https://support.microsoft.com/en-us/kb/951608"CredSSP nasıl açılır" bölümündeki "İndir" düğmesine tıklayarak bu dosyayı nereden indirebilirsiniz?

Dosyayı indirdikten sonra, yürütmek için çalıştırın. Lansmandan sonra bu dosyanın Program penceresini göreceksiniz. İçinde, ilk adımda "Kabul Ediyorum" kutusunu işaretleyin. İkinci adımda, "İleri" düğmesini tıklayın

Kurulum tamamlandıktan sonra, "Bu Microsoft Düzeltmesi işlendi" bildirimi ile aşağıdaki pencereyi göreceksiniz "Kapat" ı tıklamanız yeterlidir.

"Kapat" düğmesine tıkladıktan sonra, program size değişikliklerin geçerli olduğunu söyleyecektir, bilgisayarı yeniden başlatmanız gerekir, yeniden başlatmak için "Evet" e tıklayın.

Dosyayı indirmeden sorunu kendiniz çözün

Yönetim becerileriniz varsa, yama dosyasını indirmek zorunda kalmadan bilgisayarınızın kayıt defterinde manuel olarak değişiklik yapabilirsiniz.

1. Düğmeye bas Başlangıç, Öğeyi seçin Çalıştırmak, komutu girin regedit ve tuşuna basın Girmek