Windowsインスタンス：リモートログイン時に認証エラーが表示される

最終更新日:2025-09-05 17:37:51
Windowsインスタンス：リモートログイン時に認証エラーが表示される
最終更新日: 2025-09-05 17:37:51
問題の説明
リモートデスクトップ接続クライアントを使用してWindowsインスタンスにログインする場合は、次のエラーが発生します。
「認証エラーが発生しました。この関数に提供されたトークンは無効です」。
「認証エラーが発生しました。要求された関数はサポートされていません」。
問題の分析
Microsoftは2018年3月にセキュリティ更新プログラムを公開しました。このセキュリティ更新プログラムは、認証プロセス中にCredSSPプロトコルが要求を検証する方法を修正することにより、CredSSPのリモートでコードが実行される脆弱性を解決します。 クライアントとサーバーの両方にセキュリティ更新プログラムをインストールする必要があります。そうしないと、そうしなければ「問題の説明」のような状況が発生する可能性があります。
インスタンスにリモートでログインできない場合、主に次の3つの原因が考えられます。 
原因 1:セキュリティ更新プログラムはサーバーにインストールされていますが、クライアントにはインストールされておらず、「強制的に更新されたクライアント」ポリシーが構成されています。
原因 2：セキュリティ更新プログラムはクライアントにインストールされていますが、サーバーにはインストールされておらず、「強制的に更新されたクライアント」ポリシーが構成されています。
原因 3：セキュリティ更新プログラムはクライアントにインストールされていますが、サーバーにはインストールされておらず、「緩和」ポリシーが構成されています。
対処方法
説明：
ローカルクライアントのみをアップグレードする場合は、解決策 1：セキュリティ更新プログラムのインストール（推奨）を直接実行してください。
VNC経由でCVMにログインする
1. ﻿CVMコンソール にログインします。
2. 下図のように、インスタンスの管理画面で目的のCVMインスタンスを見つけ、ログインをクリックします。
﻿
﻿
3. ポップアップした「標準ログイン | Windowsインスタンス」ウィンドウで、VNCログインを選択します。
4. 下図のように、ポップアップしたログインウィンドウの中で、左上の「リモートコマンドの送信」を選択し、 Ctrl-Alt-Deleteをクリックしてシステムログイン画面に進みます。
﻿
﻿
5. ログインパスワードを入力し、Enterを押せば、Windows CVMにログインできます。
解決策 1：セキュリティ更新プログラムのインストール（推奨）
パッチが適用されていないクライアントまたはサーバーにセキュリティ更新プログラムをインストールします。各システムに対応する更新の状況については、CVE-2018-0886 | CredSSPのリモートでコードが実行される脆弱性 をご参照ください。このソリューションではWindows Server 2016を例とします。
その他のOSの場合は、以下の操作を参照してWindows Updateに進んでください。
Windows Server 2012：
﻿
 > コントロールパネル > システムとセキュリティ > Windows Update
Windows Server 2008：スタート > コントロールパネル > システムとセキュリティ > Windows Update
Windows10：
﻿
 > 設定 > 更新とセキュリティ
Windows 7：
﻿
 > コントロールパネル > システムとセキュリティ > Windows Update
1. OSの画面で、
﻿
をクリックし、表示されたメニューから設定をクリックします。
2. 「設定」が表示されます。更新とセキュリティをクリックします。
3. 「更新とセキュリティ」画面が表示されます。画面の左側からWindows Updateをクリックし、右側に表示された更新プログラムのチェックをクリックします。
4. 画面の表示に従って、インストールの開始をクリックします。
5. インストールの完了後にインスタンスを再起動すると、更新が完了します。
解決策 2. ポリシーの設定変更
セキュリティ更新プログラムがインストールされているCVMインスタンスで、暗号化オラクルの修復ポリシーを「脆弱」に設定します。このソリューションでは、Windows Server 2016を例とします。操作手順は次のとおりです。
ご注意：
Windows 10 HomeのOSで、グループポリシーエディタがない場合は、レジストリを変更することで実装できます。操作手順については、解決策 3：レジストリの変更 をご参照ください。
1. OS画面で、
﻿
をクリックし、gpedit.mscと入力し、Enterを押して、「ローカルグループポリシーエディタ」を開きます。
説明：
ショートカットキー「Win+R」を使用して実行画面を開くこともできます。
2. 左側ナビゲーションツリーで、コンピューターの構成 > 管理用テンプレート>システム > 資格情報の委任を選択し、暗号化オラクルの修復をダブルクリックします。
3. 「暗号化オラクルの修復」画面が表示されます。有効を選択し、保護レベルを脆弱に設定します。
4. OKをクリックして設定を完了します。
解決策 3：レジストリの変更
1. OS画面で、
﻿
をクリックし、regeditと入力し、Enterを押して、レジストリエディタを開きます。
説明：
ショートカットキー「Win+R」を使用して実行画面を開くこともできます。
2. 左側ナビゲーションツリーで、順にコンピュータ > HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > Policies > System > CredSSP > Parameters ディレクトリを開きます。
説明：
ディレクトリパスが存在しない場合は、手動で作成してください。
3. Parametersを右クリックし、新規作成 > DWORD(32ビット)値を選択し、ファイル名を「AllowEncryptionOracle」とします。
4. 新規作成した「AllowEncryptionOracle」ファイルをダブルクリックし、「数値データ」を「2」に設定し、OKをクリックします。
5. インスタンスを再起動します。
関連ドキュメント
CVE-2018-0886 | CredSSPのリモートでコードが実行される脆弱性
CVE-2018-0886のCredSSPの更新プログラム