Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come disabilitare RC4 durante l'installazione di Operations Manager.
Quando si installa Operations Manager in un ambiente con protezione avanzata, l'installazione tende a non riuscire nel passaggio di configurazione dell'account se le autorizzazioni appropriate non sono configurate correttamente.
Nota
È consigliabile non usare l'utente NTAuthority\SYSTEM per l'installazione di System Center Operations Manager.
Informazioni importanti
In un ambiente RC4 disabilitato, quando si tenta di installare Operations Manager, non è possibile passare la fase di convalida dell'account se i passaggi nella sezione Prima di iniziare non sono implementati e nell'installazione di Operations Manager verrà visualizzato l'errore seguente:
Operations Manager usa internamente un'API Sicurezza di Windows come parte del processo di convalida delle credenziali e il tipo di crittografia richiesto non è supportato dal KDC. Il client e il servizio devono supportare lo stesso tipo di crittografia per la comunicazione.
Quando viene richiesto un ticket di servizio, il controller di dominio seleziona il tipo di crittografia del ticket in base all'attributo msDS-SupportedEncryptionTypes dell'account associato al nome SPN richiesto.
Per impostazione predefinita, gli account utente non hanno un valore impostato, a meno che non sia stato abilitato manualmente AES; i ticket per gli account di servizio vengono crittografati con RC4. Per altre informazioni, vedere Decrittografia della selezione dei tipi di crittografia Kerberos supportati - Microsoft Tech Community.
Per altre informazioni sulle voci del Registro di sistema sul protocollo di autenticazione Kerberos versione 5, vedere Voci del Registro di sistema del protocollo Kerberos e chiavi di configurazione KDC in Windows.
Operazioni preliminari
Prima di iniziare, implementare i passaggi nella sezione seguente:
Configurare i tipi di crittografia consentiti per Kerberos
Per informazioni su come configurare i tipi di crittografia consentiti per Kerberos, vedere Sicurezza di rete Configurare i tipi di crittografia consentiti per Kerberos - Sicurezza di Windows | Microsoft Docs.
In un ambiente con RC4 disabilitato verificare che vengano implementati i passaggi seguenti:
L'account utente usato per installare Operations Manager dispone di attributi AES abilitati nel controller di dominio. Passare all'oggetto utente in Active Directory e verificare che le opzioni Account abbiano le opzioni seguenti:
- Selezionare Questo account supporta la crittografia Kerberos AES a 128 bit.
- Selezionare Questo account supporta la crittografia Kerberos AES a 256 bit.
Il tipo di crittografia AES è consentito per Kerberos nel computer in cui deve essere installato Management Server. Nel server di gestione passare a >locali Sicurezza Opzioni>di sicurezza: Configurare i tipi di crittografia consentiti per Kerberos>Abilita crittografia AES
- Controllare AES128_HMAC_SHA1
- Controllare AES256_HMAC_SHA1
Nota
Se l'agente e il server di gestione si trovano in domini diversi dalla stessa foresta (dominio figlio/padre), seguire il metodo 3: Configurare l'attendibilità per supportare la crittografia AES128 e AES 256 anziché la crittografia RC4.
Disabilitare RC4 in Operations Manager
Per disabilitare RC4 in un server di gestione di Operations Manager, seguire questa procedura:
Nel server di gestione passare a >>
- Deselezionare RC4_HMAC_MD5
Eseguire un
gpupdate /forcecomando in un prompt dei comandi con privilegi elevati per assicurarsi che le modifiche vengano eseguite.
Installare Operations Manager
Installare Operations Manager usando le informazioni seguenti: