安裝 Operations Manager 時停用 RC4

本文說明如何在安裝 Operations Manager 時停用 RC4。

當您在安全性強化的環境中安裝 Operations Manager 時，如果未正確設定適當的許可權，安裝程式通常會在帳戶設定步驟中失敗。

注意

建議您不要使用 NTAuthority\SYSTEM 使用者安裝 System Center Operations Manager。

重要資訊

在停用的 RC4 環境中，當您嘗試安裝 Operations Manager 時，如果未實作 [開始之前] 區段中的步驟，則無法通過帳戶驗證階段，而且您會在 Operations Manager 安裝程式中看到下列錯誤：

Operations Manager 會在內部使用 Windows 安全性 API 作為認證驗證程式的一部分，且 KDC 不支援要求的加密類型。 用戶端和服務應該支援相同類型的通訊加密。

要求服務票證時，域控制器會根據 與所要求SPN相關聯之帳戶的 msDS-SupportedEncryptionTypes 屬性，選取票證加密類型。

根據預設，除非您已手動啟用 AES，否則使用者帳戶不會設定值;服務帳戶的票證會使用 RC4 加密。 如需詳細資訊，請參閱 解密選取支援的 Kerberos 加密類型 - Microsoft技術社群。

如需有關 Kerberos 第 5 版驗證通訊協定之登錄專案的詳細資訊，請參閱 Windows 中的 Kerberos 通訊協定登錄專案和 KDC 組態機碼。

開始之前

開始之前，請先實作下一節中的步驟：

設定 Kerberos 允許的加密類型

如需如何設定 Kerberos 允許的加密類型的詳細資訊，請參閱 網路安全性 設定 Kerberos 允許的加密類型 - Windows 安全性 |Microsoft Docs。

在已停用 RC4 的環境中，請確定已實作下列步驟：

1. 用來安裝 Operations Manager 的使用者帳戶已在域控制器上啟用 AES 屬性。 前往 Active Directory 中的用戶物件，並確認 [帳戶] 選項 包括以下內容：

   • 核取 此帳戶支援 Kerberos AES 128 位加密。
   • 檢查此帳戶支援 Kerberos AES 256 位加密。

   

2. 在需要安裝 Management Server 的電腦上，允許 Kerberos 使用 AES 加密類型。 在 [管理伺服器] 上，移至 [本機群組原則編輯器]>[電腦設定]>[Windows 設定]>[安全性設定]>[本機原則]>[安全性選項]>[網路安全性：設定允許 Kerberos 的加密類型]>[啟用 AES 加密]

   • 檢查 AES128_HMAC_SHA1
   • 檢查 AES256_HMAC_SHA1

   

注意

如果代理程式和管理伺服器位於與相同樹系不同的網域（子/父域），請遵循 方法 3：設定信任以支援 AES128 和 AES 256 加密，而不是 RC4 加密。

在 Operations Manager 中停用 RC4

若要在 Operations Manager 管理伺服器中停用 RC4，請遵循下列步驟：

1. 在 [管理伺服器] 上，移至 [本機群組原則編輯器]>[計算機配置]>[原則]>[Windows 設定]>[安全性設定]>[本機原則]>[安全性選項]>[網路安全性：設定 Kerberos 允許的加密類型]>停用 RC4。

   • 取消勾選 RC4_HMAC_MD5

   

2. 在提升許可權的命令提示字元中，執行gpupdate /force命令以確保變更已完成。

安裝 Operations Manager

使用下列資訊安裝 Operations Manager：

• 在單一伺服器上安裝 Operations Manager

• 從命令提示字元安裝 Operations Manager