Sdílet prostřednictvím

Konfigurace správy distribuovaných klíčů v nástroji VMM

  • Článek

 

Platí pro: System Center 2012 SP1 - Virtual Machine Manager, System Center 2012 R2 Virtual Machine Manager, System Center 2012 - Virtual Machine Manager

Během instalace serveru pro správu Virtual Machine Manager (VMM) je potřeba rozhodnout, jestli chcete ukládat klíče pro šifrovaná data v místním počítači nebo nakonfigurovat správu distribuovaných klíčů. Na stránce Konfigurujte účet služby a správu distribuovaných klíčů instalačního programu můžete zvolit použití správy distribuovaných klíčů pro ukládání šifrovacích klíčů ve službě AD DS (Active Directory Domain Services) místo v počítači, ve kterém je nainstalovaný server pro správu VMM.

VMM standardně šifruje některá data v databázi VMM pomocí rozhraní DPAPI (Data Protection Application Programming Interface). VMM šifruje například přihlašovací údaje a hesla účtu Spustit jako v profilech hostovaných operačních systémů. VMM taky šifruje informace o kódu Product Key ve vlastnostech virtuálního pevného disku pro scénáře a konfiguraci role virtuálního počítače. Šifrování těchto dat se váže na konkrétní počítač, ve kterém je VMM nainstalovaný, a účet služby, který VMM používá. Proto se při přesunutí instalace nástroje VMM do jiného počítače šifrovaná data nezachovají. V takovém případě je nutné objekty nástroje VMM opravit ručním zadáním těchto dat.

Správa distribuovaných klíčů však ukládá šifrovací klíče ve službě AD DS. Takže v případě, že bude nutné instalaci nástroje VMM přesunout do jiného počítače, VMM zachová šifrovaná data, protože k šifrovacím klíčům ve službě AD DS bude mít přístup jiný počítač.

System_CAPS_ICON_important.jpg Důležité

Pokud se pro role virtuálního počítače šifrovaná data nezachovají, nebude možné je zadat ručně, takže nebudete moct spravovat role.

Pokud se rozhodnete povolit správu distribuovaných klíčů, zajistěte ve spolupráci se správcem služby AD DS vytvoření odpovídajícího kontejneru ve službě AD DS pro ukládání kryptografických klíčů.

Požadavky a předpoklady pro použití správy distribuovaných klíčů v nástroji VMM:

  • Před instalací nástroje VMM je nutné vytvořit kontejner ve službě AD DS. Kontejner se dá vytvořit pomocí Editoru ADSI (Active Directory Service Interface). Editor ADSI nainstalujete tak, že ve Správci serveru v části Nástroje pro vzdálenou správu serveru přidáte funkci Nástroje služby AD DS. Po dokončení instalace se ve Správci serveru v nabídce Nástroje zobrazí položka Editor ADSI.

  • Kontejner je nutné vytvořit ve stejné doméně jako uživatelský účet, pomocí kterého instalujete nástroj VMM. Pokud zadáváte účet domény, který bude služba VMM používat, musí být tento účet taky ve stejné doméně.

    Pokud je například účet instalace i účet služby v doméně corp.contoso.com, je nutné kontejner vytvořit v této doméně. Pokud tedy chcete vytvořit kontejner s názvem VMMDKM, zadáte umístění kontejneru takto: CN=VMMDKM,DC=corp,DC=contoso,DC=com.

  • Po vytvoření kontejneru správcem služby AD DS musí mít účet, pomocí kterého VMM instalujete, ke kontejneru ve službě AD DS oprávnění Úplné řízení. Oprávnění se navíc musí vztahovat na tento objekt a na všechny odvozené objekty kontejneru.

  • Pokud instalujete server pro správu VMM s vysokou dostupností, je nutné pro ukládání šifrovacích klíčů ve službě AD DS použít správu distribuovaných klíčů.

    Správu distribuovaných klíčů je nutné v tomto scénáři použít proto, že v případě, že služba Virtual Machine Manager selže a služby při tomto selhání převezme jiný uzel v clusteru, služba Virtual Machine Manager dál potřebuje přístup k šifrovacím klíčům, aby mohla získat přístup k datům v databázi VMM. Tento přístup je možný jenom v případě, že šifrovací klíče jsou uložené v centrálním umístění, jako je služba AD DS.

  • Pro budoucí upgrady, které zahrnují role virtuálních počítačů, doporučujeme během instalace používat správu distribuovaných klíčů. Pomůže to zajistit, aby role virtuálních počítačů byly správně upgradované a abyste je po upgradu mohli spravovat.

  • Na stránce Konfigurujte účet služby a správu distribuovaných klíčů je nutné zadat (napsat) umístění kontejneru ve službě AD DS. Například napíšete: CN=VMMDKM,DC=corp,DC=contoso,DC=com.