Authentifizierungsfehler. Die angeforderte Funktion wird nicht unterstützt.
Möchtest du dich per Remotedesktopverbindung (RDP) mit einem Server verbinden und erhältst dabei einen Authentifizierungsfehler, liegt dies an einem installierten bzw. noch nicht installierten Windows Update. Die Fehlermeldung im Detail lautet
Authentifizierungsfehler.
Die angeforderte Funktion wird nicht unterstützt.
Remotecomputer:
Ursach könnte eine CrdSSP Encryption Oracle Remediation sein.
Weiter Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=866660
Die Englische Fehlermeldung lautet:
An authentication error has occured.
The function requested is not supported
Remotecomputer:
This could be due CredSSP encryption oracle remediation.
For more information, see https://go.microsoft.com/fwlink/?linkid=866660
Lösung um den Authentifizierungsfehler zu beheben
Das Problem tritt seit dem Microsoft Patchday im Mai 2018 auf. Bereits im März hat Microsoft eine kritische Sicherheitslücke (CVE-2018-0886) im Credential Security Support Provider-Protokoll (CredSSP) geschlossen und das CredSSP-Authentifizierungsprotokoll sowie die Remotdesktopclients der betroffenen Betriebssysteme aktualisiert. Mit den Mai-Updates wurde die Standardeinstellung von Vulnerable in Mitigated geändert. Dies bedeutet dass die Mai-Updates sowohl auf dem Server als auf dem Client installiert sein müssen.
Ist das Windows Update auf dem Client aber nicht auf dem Server installiert, tritt der Authentifizierungsfehler bei der Remotedesktopverbindung auf und es kann keine RDP-Verbindung hergestellt werden.
Die beste Lösung um das Authentifizierungsproblem zu beheben ist natürlich die Windows Updates sowohl auf dem Client als auch auf dem Server auf den aktuellsten Stand zu bringen.
Können die Windows Updates auf dem Server derzeit nicht installiert werden, stehen zwei Workarounds zur Verfügung.
Der bessere der beiden Workarounds ist es, die Standardeinstellung wieder auf Vulnerable zu setzen. Diese Änderung kann in der Registry oder per Gruppenrichtlinie vorgenommen werden.
Füge entweder unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System die Schlüssel \CredSSP\Parameters und den DWORD-Wert AllowEncryptionOracle mit dem Hexadezimalwert 2 hinzu.
oder aktiviere die Richtlinie Encryption Oracle Remediation (Abhilfe gegen Verschlüsselungsorakel)
Zu finden ist die Richtlinie unter Computerkonfiguration > Administrative Vorlagen > System > Delegierung von Anmeldeinformationen
Alternativ kann das Update auf dem Client auch deinstalliert werden, was aus Sicherheitsgründen allerdings nicht empfohlen ist!
Windows 10 1803: KB4103721
Windows 10 1709: KB4103727
Windows 7: KB4103718
Wird das Update deinstalliert, muss das Update auf dem Client ausgeblendet werden, das Update am WSUS gesperrt werden oder der Client vom WSUS getrennt werden, bis das Update auf dem Server installiert werden kann.
Eine Übersicht welche(s) Windows Update(s) (de)installiert werden muss findest du direkt bei Microsoft.
Merci! Die Info hat mir den Tag gerettet!
Hi Alexander,
freut mich wenn dir der Beitrag geholfen hat.
Toller Blog! Sehr gut gemacht.
Danke für dein Feedback ,freut mich sehr!
Vielen Dank für die Info, hat mir sehr geholfen 🙂
Freut mich sehr wenn dir der Beitrag geholfen hat!
Hi Stephan, Vielen Dank! weisst Du welcher KB für Server 2012 R2 eingespielt werden muss?
Hallo Adrian,
für Server 2012R2 ist es KB4103725.
https://support.microsoft.com/de-de/help/4103725/windows-81-update-kb4103725
Hi Stephan,
vielen Dank. Das hat auch mir sehr geholfen!
Hi Pascal,
freut mich wenn der Artikel dir geholfen hat!
Hallo Adrian,
vielen Dank für die Hilfe. Frage: Wie sieht es im umgekehrten Fall aus? Auf dem RDP-Server ist das Patch eingespielt, auf dem Client nicht?
Hallo Mario,
das funktioniert.
Auf der Support-Seite von Microsoft findest du dazu folgendes: „Clientanwendungen, die CredSSP verwenden, können nicht auf unsichere Versionen zurückgesetzt werden, aber Dienste, die CredSSP verwenden, akzeptieren ungepatchte Clients.“ Quelle: https://support.microsoft.com/de-de/help/4093492/credssp-updates-for-cve-2018-0886-march-13-2018
Entschuldigung, meinte natürlich Stephan…
Hallo Stephan,
vielen Dank für Deine Hilfe. Hast mir sehr geholfen.
Hallo Stephan,
mit dem Update KB4343900 vom 14.08.2018 kommt der Fehler wieder. Alerdings hilft hier die oben angesprochene Lösung mit dem Registry-Eintrag nicht mehr. Ich hab mir jetzt auf die Schnelle damit geholfen das Update auf dem Windows 7 Client zu entfernen und das Update zunächst abzulehnen.
Hallo Joachim,
danke für den Tipp!
Bis dato ist dieses Problem bei mir noch nicht aufgetreten.
Eine gewisse Abhängigkeit der Updates scheint zu bestehen.
Kannst du den Status „Vulnerable“ per Richtlinie setzen oder den Server patchen (lassen)?
Gruß
Stephan