「暗号化オラクルの修復」が原因でリモートデスクトップ接続できない時の簡単な対処方法

仕事のこと

Windows OSをインストールしたばかりのサーバーにリモートデスクトップで接続しようとした時、次のエラーが出て接続できないことがあります。(Windows Server 2016をインストールした直後に出会うことが多いと思います)

原因は CredSSP 暗号化オラクルの修復である可能性があります

この原因は 2018年5月の更新プログラムによるもので、構築したサーバー(接続先)と作業用PC(接続元)の間で更新プログラムの適用状態の組み合わせによって接続できないケースがあります。

詳しいことは以下のサイトに書いてあるのですが、ちょっと難しいですし、そんなことより早く接続したいですよね。
そんなあなたのために、簡単に接続できるようにするための 2つの方法を紹介します。

方法1:Windows Updateを適用する

多くの場合、接続元のPCは最新の状態になっているはずなので、接続先のサーバーにWindows Updateを適用して最新の状態にしてしまえば、接続先と接続元のレベルが揃って あっさり接続できるようになります。
これが一番簡単で確実な対応方法です。

方法2:接続元のセキュリティレベルを下げる

例えば、構築している環境がインターネットに接続できないなど、接続先のサーバーにWindows Updateを適用できない場合があります。その場合には接続元のPCの設定を変更し、セキュリティレベルを下げることで接続できるようになります。

この方法はあくまでも暫定対応です。
原因となった更新プログラムは、リモートデスクトップで使われている CredSSPと呼ばれる認証プロトコルの脆弱性に関する対策として提供されたものです。
この脆弱性を悪用されるとユーザーの資格情報を中継し、標的のシステムでコードを実行される可能性があります。
本来とるべき対応は、接続先のサーバー更新プログラムを適用することです。それが終わったら接続元のPC設定も元に戻すことをおすすめします。

ローカルグループポリシーを変更する

作業用PCのローカルグループポリシーを変更することで、構築したサーバーに接続できるようにします。

  1. ファイル名を指定して実行で「gpedit.msc」を入力して ローカルグループポリシーエディターを起動します。
  2. コンピューターの構成 > 管理用テンプレート > システム > 資格情報の委任 の順にツリーを展開し、「暗号化オラクルの修復」を開きます。
  3. 暗号化オラクルの修復を「有効」にして、保護レベルを「脆弱」にします。
ローカルグループポリシーを変更

これにより、接続先のサーバーにも接続できるようなります。

以上、「暗号化オラクルの修復」が原因でリモートデスクトップ接続できない時の対処方法でした。

タイトルとURLをコピーしました