Table of contents

Fehlermeldung

Die Anmeldung mittels Azure Remote Desktop Client (MSI) war nach Eingabe von Benutzername und Passwort nicht erfolgreich und es kam folgende Fehlermeldung:

An authentication error has occurred. 
The requested function is not supported.

Remote computer: cpc-
This could be due to NTLM authentication being blocked on the remote computer.
This could also be due to CredSSP encryption oracle remediation.
(see https://go.microsoft.com/fwlink/?linkid=866660)

Die ersten Eingrenzungen

Bei der Microsoft Dev Box gibt es die Möglichkeit Single-Sign-On (SSO) zu konfigurieren. Die Maschinen sind Entra-ID-Only (AADJ) Geräte. Die Fehlermeldung kam allerdings nur bei jenen Maschinen die in einem Pool waren, die nicht SSO konfiguriert hatten. Maschinen mit SSO haben weiterhin, ohne Probleme, funktioniert.

NTLM authentication

Der erste Teil der Fehlermeldung verweist darauf, dass die NTLM Authentifizierung blockiert ist. Das ist überraschend, aus zwei Gründen:

1. NTLM ist auf den Maschinen seit schon von Anfang an geblockt
   1.1. Network security: Restrict NTLM: NTLM authentication in this domain
   1.2. Network security: Restrict NTLM: Incoming NTLM traffic
   1.3. Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
2. NTLM sollte auch gar nicht als Authentifizierungsprotokoll verwendet werden
   2.1. Das verwendete Protokoll ist PKU2U. Details dazu How Authentication works when you use remote desktop von Steve Syfuhs

NTLM sollte also keine Rolle spielen für die Anmeldung an die Dev Box.

CredSSP Oracle Remediation

Es gibt ein paar Hinweise / Erklärungen auf der Website Error when you try to RDP to a Windows VM in Azure: CredSSP encryption oracle remediation.
Um die Thematik abzukürzen, Geräte mit einem halbwegs aktuellen Patchstand haben keine Probleme. Sowohl mein Client als auch die Microsoft Dev Box ist vollständig gepatched.

Die Fehlermeldung hilft uns also nicht wirklich das Problem weiter einzugrenzen oder gar zu lösen.

Microsoft-Windows-AAD/Operational

Im Eventlog Microsoft-Windows-AAD/Operational finden sich folgende Einträge:

1301 [4]04BC.40F8::03/11/25-22:53:26.1771681 [Microsoft-Windows-AAD/Operational ] OAuth response error: invalid_resource

1302 Error description: AADSTS50001: The service principal for resource 'urn:p2p_cert' is disabled. This indicate that a subscription within the tenant has lapsed, or that the administrator for this tenant has disabled the application, preventing tokens from being issued for it. Trace ID: 5028XXXX-1548-465f-bcfd-0acb66c6XXXX Correlation ID: b5d0XXXX-fd35-4327-924b-b840e251XXXX Timestamp: 2025-03-12 05:53:26Z

1322 [7]04BC.40F8::03/11/25-22:53:26.1787419 [Microsoft-Windows-AAD/Operational ] Update P2P device certificate failure. Status: 0xC000008A Correlation ID: b5d08fcb-fd35-4327-924b-b840e251XXXX

1345 [7]04BC.40F8::03/11/25-22:53:26.1788003 [Microsoft-Windows-AAD/Operational ] Logon failure. Status: 0xC000008A Correlation ID: b5d08fcb-fd35-4327-924b-b840e251XXXX

Wenn wir nach urn:p2p_cert googeln, finden wir folgender Artikel What is the P2P Server application and why is it registered in my tenant?. The P2P Server application is application registered by Microsoft Entra ID to enable Remote Desktop Protocol (RDP) connections to any Microsoft Entra joined or Microsoft Entra hybrid joined Windows devices in your tenant.

Das klingt nicht uninteressant - der nächste Schritt ist also im Entra ID zu prüfen wie der Status der P2P Applikation ist.

Das klingt nicht richtig. Nachdem es wieder aktiviert wurde, hat die Anmeldung problemlos funktioniert.

Zusammenfassung

Die Fehlermeldung war nicht sonderlich hilfreich, allerdings hat das Eventlog einen guten Hinweis geliefert. Nachdem die Enterprise Application wieder für User erlaubt wurde, funktionierte die Anmeldung für die Microsoft Dev Box wieder mit Username und Passwort.

Happy Troubleshooting!