Om du använder Windows XP när du ansluter till servern kan du få ett felmeddelande: "Fjärrdatorn kräver autentisering på nätverksnivå, vilket den här datorn stöder inte".

Detta fel uppstår på grund av det faktum att autentisering på nätverksnivå från början inte implementerades i Windows XP, den här möjligheten utvecklare implementerade det i efterföljande operativsystem. En uppdateringsfil släpptes också senare KB951608 som korrigerade detta fel och tillät Windows XP att implementera autentisering på nätverksnivå.

För att du ska kunna ansluta till en fjärrskrivbordsserver från din dator som kör Windows XP måste du installera Service Pack 3 (SP3) och sedan göra följande:

På den officiella Microsoft-webbplatsen på den ryska sidan https://support.microsoft.com/ru-ru/kb/951608 ladda ner filen för automatisk fix. Rulla ner på sidan och klicka på knappen "Ladda ner" i avsnittet "Hjälp att lösa problemet".

En engelsk sida är också tillgänglig för dig. https://support.microsoft.com/en-us/kb/951608 där du kan ladda ner den här filen genom att klicka på knappen "Ladda ner" i avsnittet "Hur man aktiverar CredSSP"

När filnedladdningen är klar kör du den för körning. Efter lansering av denna fil Du kommer att se ett programfönster. I det första steget, markera rutan "Jag accepterar". I det andra steget klickar du på knappen "Nästa".

När installationen är klar kommer du att se följande fönster med meddelandet "Denna Microsoft Fix den har bearbetats." Allt du behöver göra är att klicka på "Stäng".

När du har klickat på "Stäng"-knappen kommer programmet att indikera att du måste starta om din dator för att ändringarna ska träda i kraft, klicka på "Ja" för att starta om.

Lös problemet själv utan att ladda ner en fil

Om du har administrativ kompetens kan du göra ändringar i din dators register manuellt utan att behöva ladda ner en patchfil.

1. Klicka på knappen Start, Välj föremål Springa, ange kommandot regedit och tryck på knappen Stiga på

Säkerhet och hastighet på servrar har alltid varit ett problem, och varje år växer deras relevans bara. På grund av detta har Microsoft gått från den ursprungliga autentiseringsmodellen på serversidan till autentisering på nätverksnivå.

Vad är skillnaden mellan dessa modeller?
Tidigare, när användaren ansluter till Terminal Services, skapade användaren en session med servern genom vilken den senare skulle ladda en skärm för att ange autentiseringsuppgifter för användaren. Den här metoden förbrukar serverresurser redan innan användaren har verifierat sin legitimitet, vilket gör att en olaglig användare helt kan överväldiga serverresurser med flera inloggningsförfrågningar. En server som inte kan behandla dessa förfrågningar nekar förfrågningar till legitima användare (DoS-attack).

Nätverksnivåautentisering (NLA) tvingar användaren att ange autentiseringsuppgifter i en dialogruta på klientsidan. Som standard, om det inte finns något certifikat för autentiseringskontroll på nätverksnivå på klientsidan, kommer servern inte att tillåta anslutningen och det kommer inte att hända. NLA ber klientdatorn att tillhandahålla sina autentiseringsuppgifter innan en session med servern skapas. Denna process kallas även frontend-autentisering.

NLA introducerades tillbaka i RDP 6.0 och stöddes initialt Windows Vista. Från version RDP 6.1 - stöds av servrar som kör operativsystemet Windows Server 2008 och högre, och klientsupport tillhandahålls för operativsystem Windows XP SP3 (du måste aktivera den nya säkerhetsleverantören i registret) och högre. Metoden använder säkerhetsleverantören CredSSP (Credential Security Support Provider). När du använder en fjärrskrivbordsklient för ett annat operativsystem måste du ta reda på dess NLA-stöd.

Fördelar med NLA:

• Kräver inga betydande serverresurser.
• Ytterligare lager för skydd mot DoS-attacker.
• Påskyndar medlingsprocessen mellan klient och server.
• Låter dig utöka NT-tekniken "single login" till att fungera med en terminalserver.

Nackdelar med NLA:

• Andra säkerhetsleverantörer stöds inte.
• Stöds inte av klientversioner under Windows XP SP3 och serverversioner under Windows Server 2008.
• Nödvändig manuell inställning registret på varje Windows XP SP3-klient.
• Liksom alla system med "enkel inloggning" är det sårbart för stöld av "nycklarna till hela fästningen."
• Det finns inget alternativ att använda funktionen "Kräv lösenordsändring vid nästa inloggning".

Efter att ha installerat uppdatering KB4103718 på min Windows 7-dator kan jag inte fjärransluta till en server som kör Windows Server 2012 R2 via RDP. När jag har angett RDP-serveradressen i mstsc.exe-klientfönstret och klickat på "Anslut", visas felet:

Anslutning till fjärrskrivbord

Ett autentiseringsfel uppstod.

Angiven funktion stöds inte.
Fjärrdator: datornamn

Efter att jag avinstallerade KB4103718-uppdateringen och startade om datorn började RDP-anslutningen fungera bra. Om jag förstår det rätt är detta bara en tillfällig lösning nästa månad kommer ett nytt kumulativt uppdateringspaket att komma och felet kommer tillbaka? Kan du rekommendera något?

Svar

Du har helt rätt i att det är meningslöst att lösa problemet, eftersom du därmed utsätter din dator för risken för utnyttjande av olika sårbarheter som täcks av patchar i denna uppdatering.

Du är inte ensam om ditt problem. Detta fel kan uppstå i alla operationssalar. Windows-system eller Windows Server (inte bara Windows 7). För engelska användare Windows-versioner 10, när du försöker ansluta till en RDP/RDS-server ser ett liknande fel ut så här:

Ett autentiseringsfel har inträffat.

Den begärda funktionen stöds inte.

Fjärrdator: datornamn

RDP-felet "Ett autentiseringsfel har inträffat" kan också visas när du försöker starta RemoteApp-applikationer.

Varför händer det här? Faktum är att din dator har de senaste säkerhetsuppdateringarna (släppta efter maj 2018), som korrigerar en allvarlig sårbarhet i CredSSP-protokollet (Credential Security Support Provider) som används för autentisering på RDP-servrar (CVE-2018-0886) (jag rekommenderar att läsa artikeln). Men på sidan av RDP/RDS-servern som du ansluter till från din dator, installeras inte dessa uppdateringar, och NLA-protokollet (Network Level Authentication) är aktiverat för RDP-åtkomst. NLA-protokollet använder CredSSP-mekanismer för att förautentisera användare via TLS/SSL eller Kerberos. Din dator, på grund av de nya säkerhetsinställningarna som introducerades av uppdateringen du installerade, blockerar helt enkelt anslutningen till fjärrdator, som använder en sårbar version av CredSSP.

Vad kan du göra för att fixa det här felet och ansluta till din RDP-server?

1. Mest korrekt sätt att lösa problemet - installation senaste uppdateringarna Windows säkerhet på datorn/servern du ansluter till via RDP;
2. Tillfällig metod 1 . Du kan inaktivera Network Level Authentication (NLA) på RDP-serversidan (beskrivs nedan);
3. Tillfällig metod 2 . Du kan, på klientsidan, tillåta anslutningar till RDP-servrar med en osäker version av CredSSP, som beskrivs i artikeln som länkas till ovan. För att göra detta måste du ändra registernyckeln TillåtEncryptionOracle(REG ADD kommando
   HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2) eller ändra inställningar lokalpolitik Kryptering Oracle Remediation/ Åtgärda kryptering oracle sårbarhet), ange dess värde = Sårbar / Lämna sårbarhet).

   Detta det enda sättet tillgång till Fjärrserver via RDP, om du inte har möjlighet att logga in på servern lokalt (via ILO-konsolen, virtuell maskin, molngränssnitt, etc.). I det här läget kommer du att kunna ansluta till en fjärrserver och installera säkerhetsuppdateringar, och därmed gå till den rekommenderade metoden 1. Efter att du har uppdaterat servern, glöm inte att inaktivera policyn eller returnera nyckelvärdet AllowEncryptionOracle = 0: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0

Inaktiverar NLA för RDP på ​​Windows

Om NLA är aktiverat på sidan av RDP-servern som du ansluter till, betyder det att CredSPP används för att förautentisera RDP-användaren. Du kan inaktivera nätverksnivåautentisering i systemegenskaperna på fliken Fjärranslutning (Avlägsen) , avmarkera kryssrutan "Tillåt endast anslutning från datorer som kör fjärrskrivbord med nätverksnivåautentisering (rekommenderas)" (Windows 10 / Windows 8).

I Windows 7 kallas det här alternativet annorlunda. På fliken Fjärranslutning du måste välja alternativet " Tillåt anslutningar från datorer som kör valfri version av Remote Desktop (farligt)/ Tillåt anslutningar från datorer som kör valfri version av Remote Desktop (mindre säker)".

Du kan också inaktivera Network Level Authentication (NLA) med hjälp av den lokala redigeraren gruppolicy - gpedit.msc(i Windows 10 Home kan policyredigeraren gpedit.msc startas) eller med hjälp av domänpolicyhanteringskonsolen – GPMC.msc. För att göra detta, gå till avsnittet Datorkonfiguration –> Administrativa mallar –> KomponenterWindows–> Remote Desktop Services – Remote Desktop Session Host –> Säkerhet(Datorkonfiguration –> Administrativa mallar –> Windows-komponenter –> Fjärrskrivbordstjänster – Fjärrskrivbordssessionsvärd –> Säkerhet), Stäng av policy (Kräv användarautentisering för fjärranslutningar genom att använda nätverksnivåautentisering).

Behövs också i politiken" Kräv användning av en speciell säkerhetsnivå för fjärranslutningar via RDP-protokoll» (Kräv användning av specifikt säkerhetslager för fjärranslutningar (RDP) välj Security Layer - RDP.

För att tillämpa de nya RDP-inställningarna måste du uppdatera policyerna (gpupdate /force) eller starta om datorn. Efter detta bör du ansluta till fjärrskrivbordsservern.

Öppna registerredigeraren.

Branch HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Öppna parametern Säkerhetspaket och leta efter ordet tspkg där. Om det inte finns där, lägg till det i de befintliga parametrarna.

Branch HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Öppna parametern SecurityProviders och lägg till credssp.dll till de befintliga leverantörerna om den saknas.

Stäng registerredigeraren.

Nu måste du starta om. Om detta inte görs kommer datorn att fråga oss om ett användarnamn och lösenord, men istället för fjärrskrivbordet svarar den med följande:

Det är allt.

Serveradministratörer på Windows baserad 2008 kan behöva möta följande problem:

Att ansluta via rdp-protokoll till din favoritserver från en Windows XP SP3-station misslyckas med följande fel:

Fjärrskrivbord är inaktiverat.

Fjärrdatorn kräver autentisering på nätverksnivå som datorn inte stöder. Kontakta för hjälp systemadministratör eller kontakta teknisk support.

Och även om den lovande Win7 så småningom hotar att ersätta sin mormor WinXP, kommer problemet att förbli aktuellt i ytterligare ett eller två år.

Här är vad du behöver göra för att aktivera nätverkslagerautentisering:

Öppna registerredigeraren.

Gren HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Öppna parametern Säkerhetspaket och leta efter ordet där tskkg. Om det inte finns där, lägg till det i de befintliga parametrarna.

Gren HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders

Öppna parametern Säkerhetsleverantörer och lägga till befintliga leverantörer credssp.dll, om det inte finns någon.

Stäng registerredigeraren.

Nu måste du starta om. Om detta inte görs kommer datorn att be oss om ett användarnamn och lösenord när vi försöker ansluta, men istället för fjärrskrivbordet kommer den att svara med följande:

Anslutning till fjärrskrivbord

Autentiseringsfel (kod 0x507)

Det är allt.