Folgendes Szenario angenommen:
- Es wird ein In-Place Upgrade des Betriebssystems der Zertifizierungsstelle durchgeführt.
- Nach dem Upgrade ich keine Anmeldung via Remotedesktop mehr möglich. Die Verbindung schlägt mit folgender Fehlermeldung fehl:
An authentication error has occurred. The function requested is not supported. Remote Computer: 192.168.1.149 This could be due to CredSSP encryption oracle remediation. For more information, see https://go.microsoft.com/fwlink/?linkid=866660
Zu deutsch:
Authentifizierungsfehler. Die angeforderte Funktion wird nicht unterstützt. Remotecomputer: 192.168.1.149 Ursache könnte eine CredSSP Encryption Oracle-Abwehr sein. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=866660
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Ursache und Lösung
Das Phänomen kann in bestimmten Fällen auch auftreten, wenn keine Authentifizierung per NTLM erlaubt ist, und/oder zum Verbinden eine IP-Adresse anstatt des vollqualifizierten Hostnamen verwendet wird. Siehe Artikel "Keine Anmeldung per Remotedesktop von außerhalb der Active Directory Gesamtstruktur möglich".
Nach dem In-Place Upgrade fährt das neue Betriebssystem in folgenden Fällen ohne aktuelle Updates hoch:
- Während der Installation wurde die Option, Updates aus dem Internet zu laden und zu installieren, abgewählt.
- Der Server verfügt nicht über eine Internetverbindung, um die Updates herunterzuladen – was eigentlich der Idealzustand sein sollte.
Üblicherweise sind jedoch die Clients, mit welchen die Remotedesktopverbindung hergestellt wird, auf aktuellen Patch-Stand.
Im Jahr 2018 wurde ein Update gegen die Remotedesktop-Sicherheitslücke CVE-2018-0866 veröffentlicht. Es bewirkt über das Schließen der Sicherheitslücke hinaus auch, dass ein gepatchter Server keine Verbindungen mehr von ungepatchten Clients annimmt und andersherum.
Für alle bis dahin unterstützen Betriebssystemversionen wurde ein entsprechendes Update veröffentlicht, welches unmittelbar nach dem In-Place Upgrade installiert werden kann – dies jedoch von der lokalen Konsole oder PowerShell Remoting aus.
| Betriebssystem | Patch |
|---|---|
| Windows Server 2008 R2 | KB4103712 |
| Windows Server 2012 | KB4103726 |
| Windows Server 2012 R2 | KB4103715 |
| Windows Server 2016 | KB4093120 |
| Windows Server 2019 | KB4551853 |
Grundsätzlich sollten nach dem In-Place Upgrade natürlich alle sicherheitsrelevanten Updates schnellstmöglich installiert werden.
Weiterführende Links:
- Windows Server Migrations-Matrix für die Zertifizierungsstelle
- In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2008 R2
- In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2012
- In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2012
- In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 SP2 oder 2012 R2 zu Windows Server 2016
Externe Quellen
- CredSSP updates for CVE-2018-0886 (Microsoft)
- CVE-2018-0886 | CredSSP Remote Code Execution Vulnerability (Microsoft)
Deutsch 
English
5 Gedanken zu „Keine Remotedesktopverbindung mehr möglich nach In-Place Upgrade des Windows Server Betriebssystems“
Kommentare sind geschlossen.