Wie man RDP-Authentifizierungsfehler behebt, die durch nicht unterstützte Funktionen verursacht werden

Ich bin häufig auf dieses Problem gestoßen, als ich versucht habe, über den integrierten RDP-Client eine Verbindung zu entfernten Rechnern herzustellen mstsc.exe. Die Fehlermeldung lautet in etwa so:

Remote Desktop Connection An authentication error has occurred. The function requested is not supported. Remote computer: computer_name

Das liegt hauptsächlich daran, dass Windows RDP-Verbindungen zu Computern blockiert, auf denen eine anfällige Version von CredSSP (CVE-2018-0886) läuft. Microsoft hat diese Sicherheitslücke zwar bereits 2018 behoben, aber wenn der Remote-PC diese Updates nicht installiert hat oder Windows Update fehlerhaft war, wird die Verbindung abgelehnt. Das CredSSP-Protokoll authentifiziert Benutzer während des RDP-Handshakes vorab. Ist es veraltet oder anfällig, gibt Windows diese Fehlermeldung aus, um die Sicherheit zu gewährleisten.

Bei manchen Konfigurationen ist es merkwürdig – ich habe beispielsweise erlebt, dass es nach einem Update auf einem Rechner funktionierte, auf einem anderen aber wieder nicht, sogar im selben Netzwerk. Denn natürlich muss Windows es unnötig kompliziert machen.

So beheben Sie das Problem: Ziel ist es, sowohl auf dem Client- als auch auf dem Serverrechner eine kompatible, sichere CredSSP-Version zu installieren oder Windows zumindest dazu zu bringen, die Verbindung vorübergehend zu akzeptieren, während Sie die Update-Probleme lösen.

So beheben Sie RDP-Authentifizierungsfehler unter Windows

Methode 1: Aktualisieren Sie den Remote-Computer (am meisten empfohlen)

  • Warum das hilft: Die Ursache liegt darin, dass auf dem Remote-PC die neuesten Sicherheitsupdates zur Behebung der CredSSP-Schwachstelle nicht installiert sind. Dadurch wird die Sicherheitslücke effektiv geschlossen und der Fehler behoben.
  • Wann dies zutrifft: Wenn Sie Zugriff auf den entfernten Rechner haben oder jemanden bitten können, ihn zu aktualisieren. Bei Servern oder Firmenrechnern ist dies in der Regel der erste Schritt.
  • Was Sie erwarten können: Sobald der Remotehost mit einem aktuellen kumulativen Windows-Update aktualisiert wurde, funktioniert Ihre RDP-Verbindung fehlerfrei. Möglicherweise müssen Sie den Computer neu starten oder Windows Update überprüfen, um sicherzustellen, dass die neuesten Updates installiert sind. Sie können den Befehl `windowsupdate.com` gwmi win32_quickfixengineering | sort installedon -descin PowerShell ausführen, um die Update-Datumsangaben anzuzeigen.
  • Profi-Tipp: Sie können Windows Update manuell nutzen oder das PowerShell-Modul PSWindowsUpdate verwenden, um fehlende Updates zu suchen und zu installieren. Beachten Sie jedoch, dass bei älteren Windows-Versionen oder gesperrten Systemen Updates möglicherweise fehlen oder deaktiviert sind. In diesem Fall benötigen Sie Administratorrechte.

Methode 2: Eine temporäre Verbindung über einen Workaround herstellen (nicht für den langfristigen Einsatz empfohlen).

  • Warum es hilft: Es lockert die CredSSP-Beschränkungen und ermöglicht so die Verbindung auch dann, wenn das Remote-Gerät noch nicht aktualisiert wurde. Etwas ungewöhnlich, aber praktisch, wenn man dringend Zugriff benötigt.
  • Wann dies zutrifft: Normalerweise dann, wenn Sie versuchen, eine Verbindung zu einem Rechner herzustellen, der nicht sofort aktualisiert werden kann – wie beispielsweise ein entfernter Server, der nicht unter Ihrer Kontrolle steht.
  • Was Sie erwartet: Sie können einen Registrierungsschlüssel festlegen, um Windows anzuweisen, unsichere CredSSP-Versionen zu akzeptieren. Führen Sie dazu folgenden Befehl als Administrator in PowerShell oder der Eingabeaufforderung aus: REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 2 /f Dieser Befehl weist Windows an, Verbindungen mit anfälligen CredSSP-Versionen zuzulassen. Nachdem Sie eine Verbindung zum Remotecomputer hergestellt und Updates installiert haben, sollten Sie die Einstellung wieder auf die Standardeinstellungen zurücksetzen.REG ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters /v AllowEncryptionOracle /t REG_DWORD /d 0 /f

Alternativ können Sie die Netzwerkauthentifizierung (NLA) auf dem RDP-Server deaktivieren – was in einer Produktionsumgebung nicht sicher ist, aber beim Testen hilfreich sein kann – indem Sie die gleichen Einstellungen über den Gruppenrichtlinien-Editor ( gpedit.msc) oder die Systemeigenschaften ändern.

NLA in den Systemeigenschaften deaktivieren (schnell und unsauber)

  • Navigieren Sie zu Systemsteuerung > System > Remote-Einstellungen.
  • Deaktivieren Sie unter „Remotedesktop “ das Kontrollkästchen „ Verbindungen nur von Computern zulassen, auf denen Remotedesktop mit Netzwerkauthentifizierung ausgeführt wird (empfohlen) “.
  • In Windows 7 oder Server 2008 R2 heißt die Option „Verbindungen von Computern zulassen, auf denen eine beliebige Version von Remote Desktop ausgeführt wird (weniger sicher)“.

Alternativ können Sie diese Richtlinie über gpedit.msc deaktivieren :

  • Gehen Sie zu Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Remotedesktopdienste > Remotedesktop-Sitzungshost > Sicherheit.
  • Suchen Sie die Richtlinie „ Benutzerauthentifizierung für Remote-Verbindungen mittels Netzwerkauthentifizierung erforderlich “ und stellen Sie sie auf Deaktiviert.
  • Vergessen Sie nicht, gpupdate /forceanschließend das Programm auszuführen oder das System neu zu starten, um die Änderungen anzuwenden.

Beachten Sie jedoch, dass dies die Sicherheit verringert. Führen Sie diese Maßnahme daher nur vorübergehend durch, wenn Sie das Risiko akzeptieren. Sobald der Remote-Patch installiert ist, setzen Sie die Einstellung zurück oder deaktivieren Sie die Umgehungslösung.

Die beste Methode ist natürlich immer ein Update des Remote-Systems, aber manchmal muss es schnell gehen. Vergessen Sie nicht, anschließend Ihre Sicherheitseinstellungen wiederherzustellen, um die Sicherheit zu gewährleisten.

Zusammenfassung

  • Aktualisieren Sie die Remote-PCs, um die neuesten CredSSP-Patches zu erhalten.
  • Lockern Sie vorübergehend die Sicherheitseinstellungen von CredSSP, falls ein Update nicht möglich ist.
  • Deaktivieren Sie NLA in den Systemeinstellungen, falls alle anderen Maßnahmen fehlschlagen (wird langfristig nicht empfohlen).

Zusammenfassung

Dieser Fehler kann lästig sein, besonders wenn man nur schnell etwas reparieren möchte. In den meisten Fällen behebt ein Update des entfernten Windows-Systems mit einem aktuellen Sicherheitspatch das Problem. Die alternativen Lösungen sind etwas riskant – lassen Sie sie nicht dauerhaft aktiviert. Sicherheit sollte schließlich keine Option sein. Ich hoffe, das hilft jemandem, ohne großen Aufwand wieder auf seinen entfernten Rechner zuzugreifen – bei mir hat es funktioniert, ich hoffe, bei Ihnen auch.