強化 VMM 資料庫伺服器
適用於: Virtual Machine Manager 2008, Virtual Machine Manager 2008 R2, Virtual Machine Manager 2008 R2 SP1
本主題說明使用 Microsoft SQL Server 2008 或 Microsoft SQL Server 2005 遠端執行個體搭配 System Center Virtual Machine Manager (VMM) 的安全性需求與最佳安全性做法。您會在安裝 VMM 伺服器時設定 VMM 的資料庫設定。如果您計畫使用遠端 SQL Server 執行個體,必須先在 SQL Server 中執行組態更新,然後再安裝 VMM 伺服器以啟用遠端存取、啟用加密,以及在 SQL Server 中提供必要的認證。
準備 SQL Server
如果您計畫將 SQL Server 的遠端執行個體用於 VMM 資料庫,則需要先在 SQL Server 中更新下列組態,然後再安裝 VMM 伺服器。
確定遠端 SQL Server 執行個體的遠端存取已啟用。
根據預設,許多版本的 Microsoft SQL Server 2005 和 Microsoft SQL Server 2008 (例如 Express Edition 和 Evaluation Edition) 都設定成只允許本機連線。
如需設定 SQL Server 2008 之遠端連線的詳細資訊,請參閱下列主題:連接到 SQL Server Database Engine (https://go.microsoft.com/fwlink/?LinkId=127719) 與將 Windows 防火牆設定成允許 SQL Server 存取 (https://go.microsoft.com/fwlink/?LinkId=128365)。
如需設定 SQL Server 2005 之遠端連線的詳細資訊,請參閱如何將 SQL Server 2005 設定為允許遠端連接 (https://go.microsoft.com/fwlink/?LinkId=119974)。
注意
如果您尚未決定要將哪個版本的 SQL Server 用於 VMM,請參閱系統需求:VMM 資料庫 (https://go.microsoft.com/fwlink/?LinkID=162993) 以取得支援的 SQL Server 版本清單與調整建議。
將 VMM 伺服器安裝精靈用來與 SQL Server 通訊的網域帳戶新增至 SQL Server 的系統管理員伺服器角色。
執行 VMM 伺服器安裝精靈之前,請先確認您用來登入以執行精靈的使用者帳戶或是您將在精靈的 [SQL Server 設定] 頁面上提供的認證,是所要指定之遠端 SQL Server 執行個體中系統管理員伺服器角色的成員。這是讓安裝精靈在遠端 SQL Server 執行個體上建立 VMM 資料庫的必要條件。
注意
您在安裝時提供的認證不能是 VMM 服務帳戶。
如需將帳戶新增至系統管理員伺服器角色的詳細資訊,請參閱下列任一主題:
如果遠端 SQL Server 執行個體不是以本機系統的身分執行,請建立 SQL Server 服務的 SPN。
如果遠端 SQL Server 執行個體是以網路服務帳戶或網域帳戶執行,而非預設的本機系統帳戶,您必須建立 SQL Server 服務的服務主要名稱 (SPN)。如需詳細資訊與組態指示,請參閱 Microsoft 知識庫文章 811889 (https://go.microsoft.com/fwlink/?LinkId=88057) (機器翻譯文章)。
啟用安全通訊端層 (SSL) 加密。
為了強化安全性,我們強烈建議您針對 VMM 與遠端 SQL Server 執行個體間的通訊啟用 SSL 加密。若要進行設定,請依照 Microsoft 知識庫文章 316898 (https://go.microsoft.com/fwlink/?LinkId=89722) (機器翻譯文章) 的說明修改連線字串。
在 VMM 中設定遠端資料庫伺服器
安裝 VMM 伺服器時,您可以在 SQL Server 遠端執行個體上指定 VMM 的認證,以及 VMM 與 SQL Server 間通訊使用的通訊埠。如需完整的安裝指示,請參閱安裝 VMM 伺服器 (https://go.microsoft.com/fwlink/?LinkID=162988)。
帳戶需求 — 如同先前說明,對於遠端 SQL Server 執行個體,您必須在安裝期間使用屬於 SQL Server 遠端執行個體之系統管理員伺服器角色成員的網域帳戶,才能在 VMM 與 SQL Server 間通訊。這個帳戶可以是您用來登入以執行 VMM 伺服器安裝精靈的帳戶,也可以是您在精靈的 [SQL Server 設定] 頁面上提供的認證。您不能使用 VMM 服務帳戶作為此用途。
指定通訊埠 — SQL Server 使用表格式資料流 (TDS) 通訊協定,搭配預設通訊埠 1433 來與 VMM 伺服器通訊。若要變更 VMM 伺服器使用的預設通訊埠,請在安裝 VMM 伺服器時,使用下列語法將通訊埠號碼附加至 SQL Server 執行個體後:
instance name, port。注意
在安裝期間,VMM 會在執行 SQL Server 的遠端伺服器上使用 TCP 通訊埠 445,以填入來自遠端伺服器的資料庫執行個體。如果通訊埠 445 遭到防火牆封鎖,您可以手動輸入 SQL Server 執行個體的名稱。
重要
在 VMM 伺服器安裝期間,VMM 會將 VMM 服務帳戶新增至 Virtual Machine Manager 資料庫 (預設為 VirtualManagerDB) 的 db_owner 固定資料庫角色。如果您稍候變更 VMM 服務帳戶並且使用 SQL Server 的遠端執行個體,則必須手動將帳戶新增至 db_owner 角色。如需指示,請參閱資料庫層級角色 (SQL Server 2008) (https://go.microsoft.com/fwlink/?LinkId=143202) 或 資料庫層級角色 (SQL Server 2005) (https://go.microsoft.com/fwlink/?LinkId=143203)。
使用 SQL Server 遠端執行個體的最佳安全性做法
若要在將 SQL Server 的遠端執行個體用於 VMM 時強化安全性,請遵循下列最佳安全性做法:
針對 VMM 與 SQL Server 遠端執行個體間的通訊啟用單一通訊端層 (SSL) 加密。
基於最佳安全性做法,請勿將預設通訊埠 (通訊埠 1433) 使用在 VMM 與 SQL Server 遠端執行個體間的通訊。
強烈建議您建立新的專用 VMM 服務帳戶以在 VMM 伺服器使用期間內使用,安裝之後也不應該變更 VMM 服務帳戶的識別。如果變更 VMM 服務帳戶的識別,VMM 資料庫中所有加密的資料將會遺失。如果您確實需要變更服務帳戶,必須在變更完成後,重新建立所有主機及程式庫伺服器上之 VMM 代理程式與 VMM 伺服器的關聯。如果您將 SQL Server 的遠端執行個體用於 VMM,還必須手動將新帳戶新增至 VMM 資料庫的 db_owner 角色。如需將帳戶新增至 db_owner 角色的詳細資訊,請參閱資料庫層級角色 (SQL Server 2008) (https://go.microsoft.com/fwlink/?LinkId=143202)。
請遵循下列主題說明的 SQL Server 最佳安全性做法: