本文提供通过微软的RDP协议客户端远程连接Windows实例时报错:出现身份验证错误,要求的函数不受支持(The function requested is not supported)的解决方法。


The function requested is not supported

问题原因

微软官方2018年5月更新了凭据安全支持提供程序协议(CredSSP)相关补丁和身份验证请求方式。当出现以下任一情景时会出现该连接错误:

  • 情景一:客户端未更新该补丁,服务器端已更新该补丁且加密Oracle修正的策略为强制更新的客户端。
  • 情景二:客户端已更新该补丁且加密Oracle修正的策略为强制更新的客户端,服务器端未更新该补丁。
  • 情景三:客户端已更新该补丁且加密Oracle修正的策略为缓解,服务器端未更新该补丁。
    说明
    • 未更新该补丁指没有更新自2018年5月起至今的任意版本补丁(包括最新版本补丁)。
    • 已更新该补丁指更新过自2018年5月起至今的任意版本补丁或者所有版本补丁(包括最新版本补丁)。
    • 加密Oracle修正的策略路径为计算机配置 > 管理模板 > 系统 > 凭据分配 > 加密 Oracle 修正。更多信息请参考相关文档

解决方法一:服务器端允许任意版本的远程桌面连接

警告 此操作将允许较低安全级别的远程桌面连接。为了保证您的信息安全,建议您先使用方法一快速登录实例,再采用方法二,最后将方法一的配置做反向修改,关闭 允许运行任意版本远程桌面的计算机连接(较不安全)特性。

Windows Server 2008 R2

  1. 通过远程连接功能登录Windows实例。
  2. 打开开始,右键单击计算机,选择属性
    The function requested is not supported
  3. 在系统控制面板中,单击远程设置,在弹出的远程桌面选项中选择允许运行任意版本远程桌面的计算机连接(较不安全)并单击确定
    The function requested is not supported

Windows Server 2012 R2

  1. 通过远程连接功能登录Windows实例。
  2. 在开始界面,右键单击这台电脑,选择属性
    The function requested is not supported
  3. 在系统控制面板中,单击远程设置,在弹出的远程桌面选项中取消选择仅允许运行使用网络级别身份验证的远程桌面的计算机连接(建议)并单击确定
    The function requested is not supported

Windows Server 2016

  1. 通过远程连接功能登录Windows实例。
  2. 打开开始 > Windows系统 > 此电脑,右键单击此电脑,选择更多 > 属性
    The function requested is not supported
  3. 在系统控制面板中,单击远程设置,在弹出的远程桌面选项中取消选择仅允许运行使用网络级别身份验证的远程桌面的计算机连接(建议) 并单击确定
    The function requested is not supported

解决方法二:下载Windows安全更新

  1. 通过远程连接功能登录Windows实例。
    说明 如果您的客户端是Windows系统,请同样执行如下操作。
  2. 搜索并打开Windows更新。
  3. 单击检查更新下载积累的更新。
    The function requested is not supported
  4. 等待更新下载和安装。
  5. 重启实例以完成安装更新。

您也可以根据自己的操作系统,在Windows实例和客户端上安装CredSSP对应的安全更新安装包:

解决方法三:修改注册表

针对已经更新CredSSP相关补丁的客户端或者服务器端,您可以手动修改注册表,也可以运行我们为您准备的PowerShell脚本。

警告
  • 使用注册表编辑器或其他方法修改注册表不当,可能会出现严重问题,您需要自行承担修改注册表风险。修改注册表之前,建议您先通过创建快照备份数据,以免数据丢失。
  • 本方法会降低您本地计算机或实例的安全性,我们建议您使用方法二

手动修改

  1. 登录实例或者本地计算机。
  2. 单击开始 > 运行,输入regedit,单击确定
  3. 定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters键,如果CredSSP或者Parameters键不存在,请新建CredSSP或者Parameters键。
  4. Parameters键下新建DWORDAllowEncryptionOracle,并设置数据为2
    The function requested is not supported
  5. 重启实例或者本地计算机。

脚本修改

  1. 登录实例或者本地计算机。
  2. 以管理员身份运行Windows PowerShell。
  3. 执行如下脚本。
    New-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System -Name CredSSP -Force
    New-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP -Name Parameters -Force
    Get-Item -Path HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters | New-ItemProperty -Name AllowEncryptionOracle -Value 2 -PropertyType DWORD -Force
    
  4. 重启实例或者本地计算机。
    说明 若您优先使用本方法修改了注册表,随后又更新了客户端和ECS实例安全补丁,我们建议您将 AllowEncryptionOracle的值设为 0或者 1以获得更高的安全性。

相关文档