安装 Operations Manager 时禁用 RC4

本文介绍如何在安装 Operations Manager 时禁用 RC4。

在安全强化的环境中安装 Operations Manager 时，如果未正确配置适当的权限，则安装程序在帐户配置步骤中往往会失败。

注释

建议不要使用 NTAuthority\SYSTEM 用户安装 System Center Operations Manager。

重要信息

在禁用的 RC4 环境中，尝试安装 Operations Manager 时，如果未实现“开始之前”部分中的步骤，则无法通过帐户验证阶段，并且 Operations Manager 安装程序中会出现以下错误：

Operations Manager 在内部使用 Windows 安全 API 作为其凭据验证过程的一部分，并且 KDC 不支持请求的加密类型。 客户端和服务应支持相同类型的通信加密。

请求服务票证时，域控制器会根据 与请求的 SPN 关联的帐户的 msDS-SupportedEncryptionTypes 属性选择票证加密类型。

默认情况下，用户帐户没有默认值，除非您手动为其启用了 AES；服务帐户的票证使用 RC4 进行加密。 有关详细信息，请参阅 解密支持的 Kerberos 加密类型的选择 - Microsoft技术社区。

有关 Kerberos 版本 5 身份验证协议的注册表项的详细信息，请参阅 Windows 中的 Kerberos 协议注册表项和 KDC 配置密钥。

开始之前

在开始之前，请执行以下部分中的步骤：

配置 Kerberos 允许的加密类型

有关如何配置 Kerberos 允许的加密类型的信息，请参阅 网络安全配置 Kerberos 允许的加密类型 - Windows 安全性 |Microsoft Docs。

在禁用 RC4 的环境中，确保执行以下步骤：

1. 用于安装 Operations Manager 的用户帐户在域控制器上启用了 AES 属性。 导航到 Active Directory 中的用户对象，并验证“帐户”选项是否具有以下内容：

   • 选中“此帐户支持 Kerberos AES 128 位加密。”
   • 选中“此帐户支持 Kerberos AES 256 位加密。”

   

2. 需要安装管理服务器的计算机上允许 Kerberos 使用 AES 加密类型。 在管理服务器上，转到“本地组策略编辑器”“计算机配置”>“Windows 设置”“安全设置”>“本地策略”“安全选项”>“网络安全: 配置 Kerberos 允许的加密类型”“启用 AES 加密”>>>>

   • 选中“AES128_HMAC_SHA1”
   • 选中“AES256_HMAC_SHA1”

   

注释

如果代理和管理服务器位于同一林（子/父域）的不同域中，请按照 方法 3：配置信任以支持 AES128 和 AES 256 加密，而不是 RC4 加密。

在 Operations Manager 中禁用 RC4

若要在 Operations Manager 管理服务器中禁用 RC4，请执行以下步骤：

1. 在管理服务器上，导航到 本地组策略编辑器>计算机配置>策略>Windows 设置>安全设置>本地策略>安全选项>网络安全：配置允许的 Kerberos 加密类型>禁用 RC4。

   • 取消选中“RC4_HMAC_MD5”

   

2. 在提升的命令提示符中运行 gpupdate /force 命令，以确保更改完成。

安装 Operations Manager

使用以下信息安装 Operations Manager：

• 在单个服务器上安装 Operations Manager

• 从命令提示符安装 Operations Manager