Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano sposób wyłączania wersji RC4 podczas instalowania programu Operations Manager.
Podczas instalowania programu Operations Manager w środowisku ze wzmocnionymi zabezpieczeniami konfiguracja konta zwykle kończy się niepowodzeniem, jeśli odpowiednie uprawnienia nie są prawidłowo skonfigurowane.
Uwaga
Zalecamy, aby nie używać użytkownika NTAuthority\SYSTEM do instalacji programu System Center Operations Manager.
Ważna informacja
W wyłączonym środowisku RC4 podczas próby zainstalowania programu Operations Manager nie można przejść etapu walidacji konta, jeśli kroki opisane w sekcji Przed rozpoczęciem nie zostaną zaimplementowane i w konfiguracji programu Operations Manager zostanie wyświetlony następujący błąd:
Menedżer operacji wewnętrznie używa interfejsu API zabezpieczeń systemu Windows w ramach procesu weryfikacji poświadczeń, jednak żądany typ szyfrowania nie jest obsługiwany przez KDC. Klient i usługa powinny obsługiwać ten sam typ szyfrowania na potrzeby komunikacji.
Po zażądaniu biletu usługi kontroler domeny wybiera typ szyfrowania biletu na podstawie atrybutu msDS-SupportedEncryptionTypes konta skojarzonego z żądaną nazwą SPN.
Domyślnie konta użytkowników nie mają ustawionej wartości, chyba że ręcznie włączono na nich AES; bilety dla kont usług są szyfrowane za pomocą RC4. Aby uzyskać więcej informacji, zobacz Odszyfrowywanie wyboru obsługiwanych typów szyfrowania Kerberos — Społeczność techniczna firmy Microsoft.
Aby uzyskać więcej informacji na temat wpisów rejestru dotyczących protokołu uwierzytelniania Kerberos w wersji 5, zobacz Wpisy rejestru protokołu Kerberos i klucze konfiguracji centrum dystrybucji kluczy w systemie Windows.
Zanim rozpoczniesz
Przed rozpoczęciem zaimplementuj kroki opisane w poniższej sekcji:
Konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos
Aby uzyskać informacje o sposobie konfigurowania typów szyfrowania dozwolonych dla protokołu Kerberos, zobacz Zabezpieczenia sieciowe Konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos — Zabezpieczenia systemu Windows | Microsoft Docs.
W środowisku z wyłączonym rc4 upewnij się, że zostały zaimplementowane następujące kroki:
Konto użytkownika używane do instalowania programu Operations Manager ma włączone atrybuty AES na kontrolerze domeny. Przejdź do obiektu użytkownika w usłudze Active Directory i sprawdź, czy opcje konta mają następujące opcje:
- Sprawdź, czy to konto obsługuje szyfrowanie 128-bitowe kerberos AES.
- Sprawdź, czy to konto obsługuje szyfrowanie Kerberos AES 256-bitowe.
Typ szyfrowania AES jest dozwolony dla protokołu Kerberos na komputerze, na którym należy zainstalować serwer zarządzania. Na serwerze zarządzania przejdź do Edytor lokalnych zasad grupy>Konfiguracja komputera>Ustawienia systemu Windows>Ustawienia zabezpieczeń>Zasady lokalne>Opcje zabezpieczeń>Bezpieczeństwo sieci: Konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos>Włącz szyfrowanie AES
- Sprawdź AES128_HMAC_SHA1
- Sprawdź AES256_HMAC_SHA1
Uwaga
Jeśli agent i serwer zarządzania znajdują się w różnych domenach tego samego lasu (domena podrzędna/nadrzędna), postępuj zgodnie z Metodą 3: Konfiguracja zaufania w celu obsługi szyfrowania AES128 i AES 256 zamiast szyfrowania RC4.
Wyłączanie wersji RC4 w programie Operations Manager
Aby wyłączyć rc4 na serwerze zarządzania programu Operations Manager, wykonaj następujące kroki:
Na serwerze zarządzania przejdź do Edytor lokalnych zasad grupy>Konfiguracja komputera>Zasady>Ustawienia systemu Windows>Ustawienia zabezpieczeń>Zasady lokalne>Opcje zabezpieczeń>Zabezpieczenia sieci: Konfigurowanie typów szyfrowania dozwolonych dla protokołu Kerberos>Wyłącz RC4.
- Usuń zaznaczenie RC4_HMAC_MD5
gpupdate /forceUruchom polecenie w wierszu polecenia z podwyższonym poziomem uprawnień, aby upewnić się, że zmiany zostały wykonane.
Instalowanie programu Operations Manager
Zainstaluj program Operations Manager, korzystając z następujących informacji: