設定 Web 主控台的驗證
重要
此版本的 Operations Manager 已終止支援。 建議您 升級至 Operations Manager 2022。
設定 SSL 加密
在 Internet Information Services (IIS) 7.0 和更新版的 Web 伺服器上安裝 Operations Manager Web 主控台伺服器之後,必須採取下列步驟以設定安全通訊端層 (SSL) 加密。 執行這些步驟之前,您應該先檢閱 在 IIS 7 中設定安全套接字層 ,並設定 IIS 為裝載 Web 控制台的網頁伺服器啟用 SSL。
注意
建立憑證時,您必須在 [一般名稱] 欄位中提供主機的完整網域名稱 (FQDN) 和網域名稱,以比對使用者為存取 Web 主控台會在網頁瀏覽器中輸入的地址。
重要
如果您在嘗試存取 Web 控制台時遇到驗證提示的問題,請檢查 FQDN () URL 的完整功能變數名稱是否包含在 控制台 ->Internet Options -Security Tab ->>Local Intranet Sites -Sites ->>Advanced 中。
請確定已在管理伺服器上安裝並設定 SSL 憑證。
在安裝 Operations Manager Web 控制台的 IIS 網站中新增 HTTPs 系結。
完成上述步驟之後,重設裝載 Operations Manager Web 主控台的網站。
注意
只有在您使用 Web 控制台的 HTTPs 系結時,才能在安裝程式中啟用 SSL 複選框。 如需詳細資訊,請參閱如何在 IIS 7 上設定 SSL 7 \(英文\)。
使用純文字編輯器開啟
<PATH>:\Program Files\Microsoft System Center 2016\Operations Manager\WebConsole\WebHost
中的 web.config。在
<services>
根項目中,修改位於<!– Logon Service –>
項目中的下列內容︰<endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService” bindingConfiguration=”DefaultHttpsBinding”/>
在
<services>
根項目中,修改位於<!– Data Access service –>
項目中的下列內容︰<endpoint address=”” binding=”customBinding” contract=”Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService” bindingConfiguration=”DefaultHttpsBinding”/>
完成後,請儲存並關閉檔案。
選取 [開始],選取 [ 執行],輸入 regedit,然後選取 [ 確定]。
在 [HKEY_LOCAL_MACHINE\Software\Microsoft\System Center Operations Manager\12\Setup\WebConsole\] 下,按兩下值 HTTP_GET_ENABLED ,並將其值變更為 false。 按兩下值 BINDING_CONFIGURATION,將其值變更為 DefaultHttpsBinding。
完成上述步驟之後,重設裝載 Operations Manager Web 主控台的網站。
設定符合 FIPS 規範
請遵循 Operations Manager Web 主控台伺服器元件的這些步驟,使用符合美國聯邦資訊處理標準 (FIPS) 的演算法。 若要確保 System Center - Operations Manager 的 FIPS 合規性,您必須使用也符合 FIPS 規範的底層基礎結構 (伺服器 OS 與 Active Directory 等)。
安裝密碼編譯 DLL
- 在裝載 Web 主控台的系統上,使用 [以系統管理員身分執行] 選項開啟命令提示字元視窗。
- 將目錄切換到安裝媒體所在的 SupportTools 目錄,然後將目錄切換到 AMD64。
- 執行下列 gacutil命令:
gacutil.exe –i Microsoft.EnterpriseManagement.Cryptography.dll
。
編輯 machine.config 檔案
使用純文本編輯器在 %WinDir%\Microsoft.NET\Framework\v2.0.50727\CONFIG\中開啟 machine.config 檔案。
如果根元素內
<Configuration>
沒有下列內容,請新增 ,如下所示:<mscorlib> <cryptographySettings> <cryptoNameMapping> <cryptoClasses> <cryptoClass SHA256CSP="System.Security.Cryptography.SHA256CryptoServiceProvider, System.Core, Version=3.5.0.0, Culture=neutral, PublicKeyToken=b77a5c561934e089"/> <cryptoClass HMACSHA256CSP ="Microsoft.EnterpriseManagement.Cryptography.HMACSHA256, Microsoft.EnterpriseManagement.Cryptography, Version=7.0.5000.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> </cryptoClasses> <nameEntry name="SHA256" class="SHA256CSP"/> <nameEntry name="HMACSHA256" class="HMACSHA256CSP"/> </cryptoNameMapping> </cryptographySettings> </mscorlib>
完成後,請儲存並關閉檔案。
針對下列檔案重複先前的步驟︰
- %WinDir%\Microsoft.NET\Framework\v4.0.30319\Config\machine.config
- %WinDir%\Microsoft.NET\Framework64\v4.0.30319\Config\machine.config
若要編輯 WebHost 資料夾中的 web.config 檔案
使用純文字編輯器開啟
<Path>:\Program Files\System Center 2016\Operations Manager\WebConsole\WebHost\web.config
中的 web.config 檔案。在 <加密> 專案中,如果不存在,請新增下列元素:
<symmetricAlgorithm iv="SHA256"/>
在
<connection autoSignIn="true" autoSignOutInterval="30">
元素的 標籤中<session>
,如果不存在,請新增下列屬性: tokenAlgorithm=“SHA256”<connection autoSignIn="True" autoSignOutInterval="30"> <session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">
將下列項目的值由 true 修改為 false︰
<serviceMetadata httpGetEnabled="false"/>
將下列兩個項目的值由 DefaultHttpBinding 變更為 DefaultHttpsBinding:
<endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.Security.Services.ILogonService" bindingConfiguration="DefaultHttpsBinding"/> <endpoint address="" binding="customBinding" contract="Microsoft.EnterpriseManagement.Presentation.DataAccess.Server.IDataAccessService" bindingConfiguration="DefaultHttpsBinding"/>
儲存並關閉檔案。
若要編輯 MonitoringView 資料夾中的 web.config 檔案:
使用純文字編輯器開啟
<PATH>:\Program Files\System Center 2012\Operations Manager\WebConsole\MonitoringView\web.config
中的 web.config 檔案。在 元素中
<encryption>
,如果不存在,請新增下列元素:<symmetricAlgorithm iv="SHA256"/>
。<connection>
在 元素的 元素中<connection autoSignIn="true" autoSignOutInterval="30">
,於標記中<session>
,如果不存在,請新增下列屬性:tokenAlgorithm=“SHA256”<connection autoSignIn="True" autoSignOutInterval="30"> <session encryptionKey="SessionEncryptionKey" tokenAlgorithm="SHA256">
在 元素中
<system.web>
,如果元素不存在,請新增下列元素:<machineKey validationKey="AutoGenerate,IsolateApps" decryptionKey="AutoGenerate,IsolateApps" validation="3DES" decryption="3DES"/>
儲存並關閉檔案。
設定登入會話
注意
如果可用來登入網站,Web 控制台預設會使用 Windows 驗證。 Web 主控台的預設工作階段逾時間隔為 1 天,而這是最大值。
- 若要編輯該值,請使用純文字編輯器開啟
<PATH>:\Program Files\Microsoft System Center\Operations Manager\WebConsole\Dashboard
中的 web.config。 - 在根元素中
<appSettings>
,以分鐘為單位修改下列會話逾時值。<add key="SessionTimeout" value="1440"/>
- 完成上述步驟之後,重設裝載 Operations Manager Web 主控台的網站。
後續步驟
- 若要設定報表伺服器的 FIPS 相容,請參閱 設定報表伺服器的驗證
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應