Deaktivieren von RC4 bei der Installation von Operations Manager
Wichtig
Diese Version von Operations Manager hat das Supportende erreicht. Sie sollten ein Upgrade auf Operations Manager 2019 durchführen.
In diesem Artikel wird das Deaktivieren von RC4 bei der Installation von Operations Manager beschrieben.
Wenn Sie Operations Manager in einer besonders sicheren Umgebung installieren, tritt bei der Einrichtung während der Kontokonfiguration meist ein Fehler auf, wenn die Berechtigungen nicht ordnungsgemäß konfiguriert sind.
Wichtige Informationen
Wenn Sie in einer Umgebung mit deaktiviertem RC4 versuchen Operations Manager 2016 oder 2019 zu installieren, können Sie die Kontovalidierungsphase nicht ausführen, bevor die Schritte im Abschnitt Vorbereitung abgeschlossen wurden. Der folgende Fehler wird beim Setup von Operations Manager angezeigt:

Operations Manager verwendet intern beim Überprüfungsprozess für Anmeldeinformationen eine Windows-Sicherheit-API, und der angeforderte Verschlüsselungstyp wird von KDC nicht unterstützt. Der Client und der Dienst sollten denselben Verschlüsselungstyp für die Kommunikation unterstützen.
Wenn ein Dienstticket angefordert wird, wählt der Domänencontroller den Ticketverschlüsselungstyp basierend auf dem msDS-SupportedEncryptionTypes-Attribut des Kontos aus, das dem angeforderten SPN zugeordnet ist.
Standardmäßig ist für Benutzerkonten nur dann ein Wert festgelegt, wenn Sie AES manuell für diese aktiviert haben. Tickets für Dienstkonten werden mit RC4 verschlüsselt. Weitere Informationen finden Sie in der Microsoft Tech Community unter Decrypting the Selection of Supported Kerberos Encryption Types (Entschlüsseln der Auswahl unterstützter Kerberos-Verschlüsselungstypen).
Weitere Informationen zu Registrierungseinträgen für das Kerberos-Authentifizierungsprotokoll Version 5 finden Sie unter KDC-Konfigurationsschlüssel in Windows und Kerberos-Protokoll-Registrierungseinträge.
Vorbereitung
Bevor Sie beginnen, führen Sie die Schritte im folgenden Abschnitt aus:
Konfigurieren der für Kerberos zulässigen Verschlüsselungstypen
Informationen zum Konfigurieren der für Kerberos zulässigen Verschlüsselungstypen finden Sie unter Netzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurieren – Windows-Sicherheit | Microsoft-Dokumentation.
In einer Umgebung mit deaktiviertem RC4 müssen die folgenden Schritte ausgeführt werden:
Für das Benutzerkonto, das zum Installieren von Operations Manager verwendet wird, sind AES-Attribute auf dem Domänencontroller aktiviert.

Der AES-Verschlüsselungstyp ist für Kerberos auf dem Computer zulässig, auf dem der Verwaltungsserver installiert werden muss.

Hinweis
Wenn sich der Agent und der Verwaltungsserver in unterschiedlichen Domänen derselben Gesamtstruktur (untergeordnete/übergeordnete Domäne) befinden, befolgen Sie Methode 3: Konfigurieren der Vertrauensstellung zur Unterstützung der AES 128- und AES 256-Verschlüsselung anstelle der RC4-Verschlüsselung.
Deaktivieren von RC4 in Operations Manager
Um RC4 auf einem Operations Manager-Verwaltungsserver zu deaktivieren, führen Sie die folgenden Schritte aus:
Wechseln Sie auf dem Verwaltungsserver zu Editor für lokale GruppenrichtlinienComputerkonfigurationWindows-EinstellungenSicherheitseinstellungenLokale RichtlinienSicherheitsoptionenNetzwerksicherheit: Für Kerberos zulässige Verschlüsselungstypen konfigurierenRC4 deaktivieren.

Führen Sie den Befehl
gpupdate /forcean einer Eingabeaufforderung mit erhöhten Rechten aus, um sicherzustellen, dass die Änderungen angewandt wurden.
Installieren von Operations Manager
Nutzen Sie für die Installation von Operations Manager folgende Informationen: