Dela via

  • Artikel

Konfigurera DKM (Distributed Key Management) i VMM

 

Gäller för: System Center 2012 SP1 - Virtual Machine Manager, System Center 2012 R2 Virtual Machine Manager, System Center 2012 - Virtual Machine Manager

Under installationen av en Virtual Machine Manager (VMM)-hanteringsserver måste du bestämma om nycklar till krypterade data ska lagras på den lokala datorn eller konfigurera hantering av distribuerad nyckel. På sidan Konfigurera tjänstkonto och hantering av distribuerad nyckel i Inställningar kan du välja att med hjälp av hantering av distribuerad nyckel förvara krypteringsnycklar i Active Directory Domain Services (AD DS) istället för att lagra krypteringsnycklarna på den dator där VMM-hanteringsservern är installerad.

Som standard krypterar VMM vissa data i VMM-databasen med hjälp av Data Protection Application Programming Interface (DPAPI). Exempel: VMM krypterar autentiseringsuppgifter för Kör som-kontot och lösenord i gästoperativsystemprofiler. VMM krypterar även produktnyckelinformation i egenskaperna för virtuell hårddisk för virtuella datorrollsscenarier och konfiguration. Krypteringen av dessa data är knutna till den specifika dator som VMM är installerat på och det tjänstkonto som används av VMM. Om du flyttar VMM-installationen till en annan dator behåller VMM inte krypterade data. I sådana fall måste du ange data manuellt för att åtgärda VMM-objekten.

Med hantering av distribuerad nyckel, däremot, lagras krypteringsnycklarna i AD DS. Om du behöver flytta installationen av VMM till en annan dator kommer därför VMM att behålla krypterade data, eftersom den andra datorn har åtkomst till krypteringsnycklarna i AD DS.

System_CAPS_ICON_important.jpg Viktigt

Om krypterade data inte behålls för virtuella datorroller kommer du inte att kunna ange dem manuellt, vilket gör att du inte kommer att kunna hantera rollerna.

Om du väljer att aktivera hantering av distribuerad nyckel ska du prata med AD DS-administratören så att rätt behållare skapas i AD DS för lagring av de kryptografiska nycklarna.

Följande är krav och överväganden vid användning av hantering av distribuerad nyckel i VMM:

  • Du måste skapa en behållare i AD DS innan du installerar VMM. Du kan skapa behållaren med hjälp av Active Directory Service Interfaces-redigering (ADSI-redigering). Installera ADSI-redigering genom att i Serverhanteraren lägga till funktionen AD DS-verktyg under Fjärrserveradministrationsverktyg. Efter installation anges ADSI-redigering på menyn Verktyg i Serverhantering.

  • Du måste skapa behållaren i samma domän som användarkontot som du använder till att installera VMM. Om du anger ett domänkonto som VMM-tjänsten ska använda måste detta konto dessutom finnas i samma domän.

    Om till exempel installationskontot och tjänstkontot båda finns på domänen corp.contoso.com måste du skapa behållaren i den domänen. Om du vill skapa en behållare med namnet VMMDKM anger du därför behållarens plats som CN=VMMDKM,DC=corp,DC=contoso,DC=com.

  • När Active Directory-administratören har skapat behållaren måste kontot med vilket du installerar VMM ha fullständig behörighet till behållaren i AD DS. Behörigheterna måste också gälla för det här objektet och alla underordnade objekt i behållaren.

  • Om du installerar en VMM-hanteringsserver med hög tillgänglighet måste du lagra krypteringsnycklar i AD DS med hantering av distribuerad nyckel.

    I det här fallet krävs hantering av distribuerad nyckel. Det beror på att när Virtual Machine Manager-tjänsten växlar till en annan nod i klustret måste den fortfarande ha åtkomst till krypteringsnycklarna för att kunna komma åt data i VMM-databasen. Åtkomst är bara möjlig om krypteringsnycklarna lagras centralt, till exempel i AD DS.

  • För framtida uppgraderingar gällande virtuella datorroller rekommenderas att du använder hantering av distribuerad nyckel under konfigurationen. Det garanterar att de virtuella datorrollerna uppgraderas korrekt och att du kan hantera dem efter uppgraderingen.

  • På sidan Konfigurera tjänstkonto och hantering av distribuerad nyckel anger du platsen för behållaren i AD DS genom att skriva in den. Till exempel CN=VMMDKM,DC=corp,DC=contoso,DC=com.