Konfigurowanie rozproszonego zarządzania kluczami w programie VMM
Dotyczy: System Center 2012 SP1 - Virtual Machine Manager, System Center 2012 R2 Virtual Machine Manager, System Center 2012 - Virtual Machine Manager
Podczas instalacji serwera zarządzania programu Virtual Machine Manager (VMM) należy określić, czy użytkownik chce, aby klucze były przechowywane w postaci zaszyfrowanych danych na komputerze lokalnym, czy chce skonfigurować rozproszone zarządzanie kluczami. Na stronie Konfiguruj konta usługi i rozproszone zarządzanie kluczami w oknie dialogowym Konfiguracja można określić, aby klucze szyfrowania były przechowywane przy użyciu rozproszonego zarządzania kluczami w usługach domenowych Active Directory zamiast na komputerze, na którym jest zainstalowany serwer zarządzania programu VMM.
Domyślnie program VMM szyfruje określone dane w bazie danych programu VMM przy użyciu interfejsu programowania aplikacji ochrony danych (DPAPI). Na przykład program VMM szyfruje poświadczenia i hasła konta Uruchom jako w profilach systemu operacyjnego gościa. Program VMM szyfruje również informacje o kluczu produktu we właściwościach wirtualnego dysku twardego dla scenariuszy ról maszyn wirtualnych i konfiguracji. Szyfrowanie tych danych jest powiązane z komputerem, na którym jest zainstalowany program VMM oraz na którym znajduje się konto usługi używane przez program VMM. Z tego względu w przypadku przeniesienia instalacji programu VMM na inny komputer szyfrowane dane nie zostaną zachowane w programie VMM. W takiej sytuacji należy ręcznie wprowadzić te dane, aby naprawić obiekty programu VMM.
Funkcja rozproszonego zarządzania kluczami przechowuje jednak klucze szyfrowania w usługach AD DS. W związku z tym, jeśli konieczne będzie przeniesienie instalacji programu VMM na inny komputer, zaszyfrowane dane zostaną zachowane w programie VMM, ponieważ inny komputer będzie miał dostęp do kluczy szyfrowania w usługach domenowych AD.
Ważne |
---|
W przypadku ról maszyn wirtualnych, jeśli szyfrowane dane nie zostaną zachowane, nie ma możliwości ręcznego wprowadzania danych, dlatego zarządzanie rolami będzie niemożliwe. |
Jeśli wybrano włączenie rozproszonego zarządzania kluczami, należy uzgodnić z administratorem usług domenowych AD utworzenie odpowiedniego kontenera w usługach domenowych AD do przechowywania kluczy kryptograficznych.
Poniżej przedstawiono wymagania i informacje dotyczące korzystania z funkcji rozproszonego zarządzania kluczami w programie VMM:
Przed zainstalowaniem programu VMM należy utworzyć kontener w usługach domenowych AD. Kontener można utworzyć przy użyciu narzędzia Edytor interfejsów usług Active Directory (Edytor ADSI). Aby zainstalować narzędzie Edytor ADSI, w Menedżerze serwera dodaj funkcję Narzędzia usług domenowych w usłudze AD w obszarze Narzędzia administracji zdalnej serwera. Po instalacji narzędzie Edytor ADSI jest dostępne w menu Narzędzia w Menedżerze serwera.
Kontener należy utworzyć w tej samej domenie, w której znajduje się konto użytkownika używane do zainstalowania programu VMM. Ponadto w przypadku określenia konta domeny, którego będzie używać usługa VMM, to konto musi należeć do tej samej domeny.
Jeżeli na przykład konta instalacji i usługi znajdują się w domenie corp.contoso.com, należy utworzyć w niej kontener. Dlatego, aby utworzyć kontener o nazwie VMMDKM, należy określić lokalizację kontenera
CN=VMMDKM,DC=corp,DC=contoso,DC=com
.Po utworzeniu kontenera przez administratora usług domenowych AD konto używane do instalacji programu VMM musi mieć uprawnienia Pełna kontrola do kontenera w usługach domenowych AD. Ponadto uprawnienia muszą dotyczyć tego obiektu i wszystkich obiektów zależnych kontenera.
W przypadku instalowania serwera zarządzania programu VMM o dużej dostępności należy użyć rozproszonego zarządzania kluczami w celu przechowywania kluczy w usługach domenowych AD.
Rozproszone zarządzanie kluczami jest wymagane w tym scenariuszu, ponieważ w przypadku pracy usługi programu Virtual Machine Manager w trybie failover przy użyciu innego węzła w klastrze usługa programu Virtual Machine Manager nadal musi mieć dostęp do kluczy szyfrowania, aby uzyskać dostęp do danych w bazie danych programu VMM. Jest to możliwe tylko w przypadku przechowywania kluczy szyfrowania w centralnej lokalizacji, takiej jak usługi domenowe AD.
W ramach przyszłych uaktualnień obejmujących role maszyn wirtualnych zaleca się korzystanie z funkcji rozproszonego zarządzania kluczami podczas instalacji. Zapewni to prawidłowe uaktualnianie ról maszyn wirtualnych i umożliwi zarządzanie nimi po uaktualnieniu.
Na stronie Konfiguruj konta usługi i rozproszone zarządzanie kluczami należy wpisać lokalizację kontenera w usługach AD DS. Przykładowo wpisz
CN=VMMDKM,DC=corp,DC=contoso,DC=com
.