Konfigurieren der Verwaltung verteilter Schlüssel in VMM
Veröffentlicht: Juli 2016
Gilt für: System Center 2012 SP1 - Virtual Machine Manager, System Center 2012 R2 Virtual Machine Manager, System Center 2012 - Virtual Machine Manager
Während der Installation eines Virtual Machine Manager (VMM)-Verwaltungsservers müssen Sie entscheiden, ob die Schlüssel für verschlüsselte Daten auf dem lokalen Computer gespeichert werden sollen oder ob eine Verwaltung verteilter Schlüssel konfiguriert werden soll. Auf der Seite Dienstkonto und verteilte Schlüsselverwaltung konfigurieren können Sie auswählen, dass Verschlüsselungsschlüssel unter Verwendung der verteilten Schlüsselverwaltung in Active Directory-Domänendiensten (AD DS) und nicht auf dem Computer, auf dem der VMM-Verwaltungsserver installiert ist, gespeichert werden sollen.
Standardmäßig verschlüsselt VMM einige Daten in der VMM-Datenbank unter Verwendung der Data Protection Application Programming Interface (DPAPI). Beispielsweise verschlüsselt VMM Anmeldeinformationen und Kennwörter von ausführenden Kontos in Gastbetriebssystem-Profilen. VMM verschlüsselt außerdem die Product Key-Informationen in den Eigenschaften der virtuellen Festplatte für virtuelle Maschinenrollenszenarien und die Konfiguration. Die Verschlüsselung dieser Daten ist an den bestimmten Computer, auf dem VMM installiert ist, und an das von VMM verwendete Dienstkonto gebunden. Aus diesem Grund behält VMM beim Verschieben Ihrer VMM-Installation auf einen anderen Computer die verschlüsselten Daten nicht bei. In diesem Fall müssen Sie diese Daten manuell eingeben, um die VMM-Objekte zu beheben.
Durch die Verwaltung verteilter Schlüssel werden die Verschlüsselungsschlüssel jedoch in AD DS gespeichert. Daher behält VMM die verschlüsselten Daten bei, wenn Sie Ihre VMM-Installation auf einen anderen Computer verschieben müssen, da der andere Computer auf die Verschlüsselungsschlüssel in AD DS zugreifen kann.
Wichtig |
---|
Bei Rollen für virtuelle Maschinen können Sie die Daten nicht manuell eingeben, wenn die verschlüsselten Daten nicht beibehalten werden, sodass Sie die Rollen nicht verwalten können. |
Wenn Sie die Verwaltung verteilter Schlüssel aktivieren, sprechen Sie sich mit Ihrem AD DS-Administrator über die Erstellung des entsprechenden Containers zum Speichern der Verschlüsselungsschlüssel in AD DS ab.
Im Folgenden finden Sie Anforderungen und Überlegungen für die Verwaltung verteilter Schlüssel in VMM:
Sie müssen einen Container in AD DS erstellen, bevor Sie VMM installieren. Sie können den Container mit dem Active Directory Service Interfaces Editor (ADSI Edit) erstellen. Fügen Sie zum Installieren von ADSI Edit im Server-Manager die Funktion AD DS-Tools unter Remoteserver-Verwaltungstools hinzu. Nach der Installation wird ADSI Edit im Menü Extras unter Server-Manager aufgeführt.
Erstellen Sie den Container in derselben Domäne wie das Benutzerkonto, mit dem Sie VMM installieren. Wenn Sie ein Domänenkonto angeben, das der VMM-Dienst verwendet, muss dieses Konto auch in derselben Domäne sein.
Wenn das Installationskonto und das Dienstkonto sich z. B. in der Domäne „corp.contoso.com“ befinden, müssen Sie den Container in dieser Domäne erstellen. Wenn Sie also einen Container mit dem Namen VMMDKM erstellen möchten, geben Sie den Speicherort des Container als
CN=VMMDKM,DC=corp,DC=contoso,DC=com
an.Nachdem der AD DS-Administrator den Container erstellt hat, muss das Konto, mit dem Sie VMM installieren, Vollzugriff auf den Container in AD DS erhalten. Außerdem müssen die Berechtigungen für dieses und alle untergeordneten Objekte des Containers gelten.
Wenn Sie einen hoch verfügbaren VMM-Verwaltungsserver installieren, müssen Sie die Verwaltung verteilter Schlüssel zum Speichern der Verschlüsselungsschlüssel in AD DS verwenden.
Die Verwaltung verteilter Schlüssel ist in diesem Szenario erforderlich, weil der Virtual Machine Manager-Dienst beim Failover auf einen anderen Knoten im Cluster weiterhin Zugriff auf die Verschlüsselungsschlüssel benötigt, um auf Daten in der VMM-Datenbank zuzugreifen. Dieser Zugriff ist nur möglich, wenn die Verschlüsselungsschlüssel an einem zentralen Ort wie AD DS gespeichert sind.
Für zukünftige Upgrades, von denen Rollen für virtuelle Maschinen betroffen sind, wird empfohlen, die Verwaltung verteilter Schlüssel beim Setup zu verwenden. Dadurch wird sichergestellt, dass das Upgrade für die Rollen der virtuellen Maschinen ordnungsgemäß ausgeführt wird und die Rollen anschließend verwaltet werden können.
Auf der Seite Dienstkonto und verteilte Schlüsselverwaltung konfigurieren müssen Sie den Pfad des Containers in AD DS eingeben, z. B.
CN=VMMDKM,DC=corp,DC=contoso,DC=com
.