リモートデスクトップ接続で、認証エラー(要求された関数はサポートされません)が発生した場合の対処

事象

2018年5月のWindows Update以後、リモートデスクトップ利用時に、以下のようなエラーメッセージが表示され、接続できない

認証エラーが発生しました。
要求された関数はサポートされていません

リモート コンピューター: remotehostname
原因は CredSSP 暗号化オラクルの修復である可能性があります。
詳細については、https://go.microsoft.com/fwlink/?linkid=866660 を参照してください

原因

リモートデスクトップのクライアント、サーバそれぞれで利用できる認証プロバイダ（CredSSP）のバージョンに差が生じたため。

リモートデスクトップの脆弱性に関わり、Windows Updateでは次のような動きがあった。

• 2018年3月のWindows Updateで、CredSSPの更新プログラムをリリースCVE-2018-0886
  (但し、古いバージョンの利用はデフォルト許可とした状態でリリース)
• 2018年5月以後のWindows Updateで、CredSSPで利用するバージョンを強化(古いバージョンを切り捨て)した
  (Encryption Oracle Remediationの既定値をVulnerableからMitigateにした）

クライアント、サーバともに最新のWindows Updateであれば問題は無い。
但し、クライアントは最新のWindows Updateで、サーバは遅れているというような場合、利用できるCredSSPのバージョンに差が生じて、
接続できない原因となっている

詳細

2018 年 5 月の更新プログラム適用によるリモート デスクトップ接続への影響
https://blogs.technet.microsoft.com/askcorejp/2018/05/02/2018-05-rollup-credssp-rdp/

回避策

※ セキュリティレベルを下げているので、あくまで回避策。根本対処をするの適切。
ローカルグループポリシー エディター(gpedit.msc)で、次の設定を行う

[コンピューターの構成]
-> [管理用テンプレート]
-> [システム]
-> [資格情報の委任]
ポリシー名 : Encryption Oracle Remediation (暗号化オラクルの修復)
設定 : Vulnerable (脆弱)

※ クライアント側は2018/05以後のWindows Updateを実行済みだが、サーバ側が2018/03より古い場合の回避策。

根本対処

クライアント側も、サーバ側も2018年5月以後のWindows Updateを実施する

KBページを読むための用語のざっくり説明

NLA(Network Level Authentication)
→ リモートデスクトップ接続などで、RDPセッションを確立する（リモートの画面を表示する）前に、認証ダイアログで認証を行う仕組み。(Vista/Windows server 2008以後はこちらが既定)

→ NLAを利用しないと、RDPセッションが確立された（リモート画面を表示した）のち、ユーザ名・パスワードを入力する。(XP/Windows Server 2003まではこちらが既定。画像は、2012にNLAを無効にした状態で接続したもの)

CredSPP(Credential Security Support Provider)
NLAで利用される認証プロバイダー