在 VMM 中設定分散式金鑰管理

 

適用於： System Center 2012 SP1 - Virtual Machine Manager、System Center 2012 R2 Virtual Machine Manager、System Center 2012 - Virtual Machine Manager

在安裝 Virtual Machine Manager (VMM) 管理伺服器期間，您必須決定要將金鑰儲存至本機電腦上的加密資料，還是要設定分散式金鑰管理。在安裝程式的 [設定服務帳戶和分散式金鑰管理] 頁面上，您可以選擇使用分散式金鑰管理，將加密金鑰儲存在 Active Directory 網域服務 (AD DS) 中，而不是將加密金鑰儲存在安裝 VMM 管理伺服器的電腦上。

根據預設，VMM 會使用資料保護應用程式發展介面 (DPAPI)，在 VMM 資料庫中，將某些資料加密。例如，VMM 會在客體作業系統設定檔中，將執行身分帳戶認證和密碼加密。VMM 也會在虛擬機器角色案例和組態的虛擬硬碟內容中，將產品金鑰資訊加密。此資料的加密與安裝 VMM 的特定電腦，以及 VMM 所使用的服務帳戶相關聯。因此，如果您將 VMM 安裝移動至其他電腦，VMM 將不會保留加密的資料。在此情況下，您必須手動輸入此資料來修正 VMM 物件。

不過，分散式金鑰管理會將加密金鑰存放於 AD DS 中。因此，如果您必須將 VMM 安裝移至其他電腦，VMM 將會保留加密的資料，因為另一部電腦將具有 AD DS 中的加密金鑰存取權。

重要
針對虛擬機器角色，如果未保留加密的資料，您將無法手動將其輸入，也就無法管理這些角色。

如果您選擇啟用分散式金鑰管理，請與 AD DS 系統管理員協調如何在 AD DS 中建立適當的容器，以存放密碼編譯金鑰。

以下是在 VMM 中使用分散式金鑰管理的需求與考量：

• 安裝 VMM 之前，您必須在 AD DS 中建立容器。您可以使用 Active Directory 服務介面編輯器 (ADSI 編輯器) (英文) 來建立容器。若要安裝 [ADSI 編輯器]，請在 [伺服器管理員] 中，將 [AD DS 工具] 功能加入 [遠端伺服器管理工具] 之下。安裝之後，[ADSI 編輯器] 會列在 [伺服器管理員] 中的 [工具] 功能表中。

• 您必須在與您安裝 VMM 時所用之使用者帳戶相同的網域中建立容器。此外，如果您指定 VMM 服務將會使用的網域帳戶，該帳戶也必須在相同的網域中。

  例如，若安裝帳戶與服務帳戶同時位於 corp.contoso.com 網域中，則您必須在該網域中建立容器。因此，如果您想要建立名為 VMMDKM 的容器，則要將容器位置指定為 CN=VMMDKM,DC=corp,DC=contoso,DC=com。

• 在 AD DS 系統管理員建立容器之後，用來安裝 VMM 的帳戶必須要有 AD DS 中容器的完全控制權限。此外，這些權限必須套用至容器的此物件及所有子系物件。

• 如果您要安裝高可用性的 VMM 管理伺服器，您必須使用分散式金鑰管理，將加密金鑰存放在 AD DS 中。

  此案例中需要分散式金鑰管理，因為當 Virtual Machine Manager 服務容錯移轉至叢集中的另一個節點時，Virtual Machine Manager 服務仍需要存取加密金鑰，才能存取 VMM 資料庫中的資料。加密金鑰必須存放在像 AD DS 之類的中心位置，才有可能存取。

• 未來升級時，如需虛擬機器角色，建議您在安裝時使用分散式金鑰管理。如此有助於確保虛擬機器角色能適當升級，而您能夠在升級後加以管理。

• 在 [設定服務帳戶和分散式金鑰管理] 頁面上，您必須透過鍵入方式來指定容器在 AD DS 的位置。例如，鍵入 CN=VMMDKM,DC=corp,DC=contoso,DC=com。