強化 VMM 伺服器
適用於: Virtual Machine Manager 2008, Virtual Machine Manager 2008 R2, Virtual Machine Manager 2008 R2 SP1
本主題說明如何在 System Center Virtual Machine Manager (VMM) 2008 中設定 VMM 伺服器的安全性,並提供強化 VMM 伺服器的最佳安全性做法。討論的內容提供下列資訊:
說明 VMM 用來與用戶端、虛擬機器主機及程式庫伺服器通訊的通訊埠與通訊協定。
說明 VMM 服務帳戶的帳戶需求。
針對 VMM 伺服器的最佳安全性做法提出建議。
VMM 伺服器使用的通訊埠與通訊協定
下表提供 VMM 伺服器用來與管理之元件通訊的預設通訊埠資訊。
重要
您應該在安裝 VMM 伺服器前決定要使用的通訊埠。安裝完成後便無法經由 VMM 變更設定。
| 連線類型 | 通訊協定 | 預設通訊埠 | 可設定 |
|---|---|---|---|
VMM 伺服器至 Windows Server 主機與程式庫伺服器上的 VMM 代理程式 (控制) |
WS-Management |
80 |
是,在 VMM 伺服器安裝期間 |
VMM 代理程式至 Windows Server 主機與程式庫伺服器的傳輸 |
SMB |
445 |
是,在 VMM 安裝期間 |
VMM 伺服器與 Windows Server 主機間的檔案傳輸 |
BITS |
443 (最大值:32768) |
是,在 VMM 安裝期間 |
VMM 伺服器至遠端 Microsoft SQL Server 資料庫 |
TDS |
1433 |
是,在 VMM 安裝期間 |
VMM 伺服器至 P2V 來源機器上的 VMM 代理程式 |
DCOM |
135 |
無 |
用戶端至 VMM 伺服器:
|
WCF |
8100 |
無 |
VMM 伺服器至 Operations Manager (SDK) |
TCP |
5724 |
無 |
VMM 伺服器至 Operations Manager (連接器架構) |
TCP |
51905 |
無 |
VMM 系統管理員主控台至 SQL Server Reporting Services 伺服器 |
HTTP |
80 |
是,更新 VMM 報告伺服器設定 |
VMM 伺服器至 VMware VirtualCenter 伺服器 (WebServices API) |
TCP/IP |
443 |
是,在將 VMware VirtualCenter 伺服器新增至 VMM 時 |
VMM 伺服器至執行 VMware ESX Server 3.0 或 VMware ESX Server 3.5 的主機 (檔案傳輸) |
SFTP |
22 |
無 |
VMM 伺服器至執行 VMware ESX Server 3i 的主機 (WebServices API) (檔案傳輸) |
HTTPS |
443 |
無 |
注意
為了使通訊能支援「效能與資源最佳化」(PRO) 與 VMM 系統管理員主控台中的 [圖表] 檢視,VMM 使用軟體形式的連線來與 VMM 伺服器內建的 System Center Operations Manager 2007 根管理伺服器通訊。如需這些通訊的安全性的詳細資訊,請參閱在 VMM 中設定 Operations Manager 與 PRO 整合的安全性。
VMM 伺服器至主機與程式庫伺服器的 VMM 代理程式
為了與 Hyper-V 主機、Virtual Server 主機及程式庫伺服器上的 VMM 代理程式通訊,VMM 使用 WS-Management 通訊協定並搭配預設通訊埠 80 來加以控制。
對於在與 VMM 伺服器間具有雙向信任關係之 Active Directory 網域中的程式庫伺服器與主機,Kerberos 是用來驗證與加密的方式。
對於位在不信任 Active Directory 網域或周邊網路中的主機,VMM 使用 NTLM 來加密,其使用 VMM 代理程式安裝期間產生的認證。主機驗證使用 VMM 代理程式安裝期間在主機電腦中產生的認證。
注意
若要在周邊網路實作用戶端驗證,請在內部網路與周邊網路之間設定網際網路通訊協定安全性 (IPSec)。
VMM 使用伺服器訊息區 (SMB) 通訊協定透過預設通訊埠 445,將 VMM 代理程式複製到主機。使用的驗證則是 Kerberos。
在將檔案傳輸到所有 Hyper-V 與 Virtual Server 主機上的代理程式時,VMM 使用 BITS 2.5 搭配預設通訊埠 443,並使用安全通訊端層 (SSL) 加密資料。通訊埠號碼不得超過 32768。
主機與程式庫伺服器上的通訊埠指派必須與 VMM 伺服器上的通訊埠指派相符。VMM 伺服器上的通訊埠指派是在安裝期間指定的,並存放在登錄中。將主機或程式庫伺服器新增至 VMM 時,VMM 會在受代理程式管理的電腦上設定這些通訊埠。
VMM 伺服器至遠端資料庫伺服器
如果您將 Microsoft SQL Server 的遠端執行個體當做 VMM 資料庫,VMM 會使用表格式資料流 (TDS) 通訊協定,搭配預設通訊埠 1433 來與 SQL Server 通訊。
注意
如果您使用 SQL Server 的遠端執行個體,在安裝 VMM 伺服器之前必須先更新 SQL Server 的組態。如需詳細資訊,請參閱強化 VMM 資料庫伺服器。
用戶端至 VMM 伺服器
對於從 VMM 系統管理員主控台、Windows PowerShell – Virtual Machine Manager 命令殼層或 VMM 自助入口網站連往 VMM 伺服器的連線,VMM 使用 Windows Communication Framework (WCF) (在內部使用 TCP),搭配預設通訊埠 8100 並啟用加密。Kerberos 則是用來驗證。
用戶端使用使用者的認證以連線至 VMM。VMM 會判斷用戶端的類型及擁有的群組成員資格,然後再檢查 VMM 使用者角色成員資格以決定使用者可執行的 VMM 作業,以及使用者可當做執行對象的物件。如需使用者角色的詳細資訊,請參閱 VMM 中的角色安全性。
VMM 伺服器至 VirtualCenter 伺服器與 ESX Server 主機
VMM 會透過 VirtualCenter 來執行大部分的管理工作,其使用 WebServices API 搭配預設通訊埠 443 來與 VirtualCenter 伺服器通訊。加密是透過 HTTPS 執行,搭配安全通訊端層 (SSL)。
VMM 會直接連線至 ESX Server 主機以進行檔案傳輸。這些連線的安全性組態取決於 ESX Server 的版本,以及您是否選擇要以安全模式管理 VMware 環境。
在安全模式下,VMM 會依據用於通訊的所有通訊協定驗證每一部 ESX Server 主機。在安全模式下,透過 HTTPS 的 SSL (用於 ESX Server 3i) 需要驗證憑證,而透過安全殼層 (SSH) 的 SFTP (用於 ESX Server 3.5 與 ESX Server 3.0.1) 則需要驗證主機公開金鑰。VMM 則會擷取和驗證兩者。
如需設定受管理 VMware 元件安全性的詳細資訊,請參閱在 VMM 中設定受管理的 VMware 環境安全性。
VMM 服務帳戶的帳戶需求
對於 VMM 服務帳戶,您可以使用本機系統 (預設值) 或 Active Directory 網域帳戶。
使用網域帳戶提供 VMM 服務的時機
在下列環境中,您必須使用 Active Directory 網域帳戶做為 VMM 服務帳戶:
如果您計畫在 Hyper-V 虛擬機器之間共用 ISO 映像,必須使用網域帳戶做為 VMM 服務帳戶。如需其他組態需求,請參閱如何在 VMM 中針對 Hyper-V 虛擬機器啟用共用 ISO 映像 (https://go.microsoft.com/fwlink/?LinkId=161975)。
在啟用「受限群組」群組原則、具有較多限制的 Active Directory 環境中,您必須將網域帳戶當做 VMM 服務帳戶,而不是本機系統。「受限群組」原則不允許讓機器帳戶成為本機系統管理員群組的成員。在「受限群組」群組原則下,VMM 機器帳戶會從電腦中遭到移除,使 VMM 無法與主機通訊。在這種情況下,VMM 會將主機置於 [需注意] 狀態,並會在 VMM 中將主機與程式庫伺服器中的 VMM 代理程式置於 [沒有回應] 狀態。
如果 VMM 會在脫離的命名空間環境 (Active Directory 網域服務中 Windows Server 主機的 FQDN 與 DNS 中伺服器的 FQDN 不符) 中管理主機,建議您將 Active Directory 網域帳戶當做 VMM 服務帳戶。若要在 VMM 中使用「新增主機精靈」新增主機,您還必須將 DNS 主機 FQDN 的 SPN 新增至 Active Directory 網域服務。
VMM 服務的網域帳戶需求
當做 VMM 服務帳戶的網域帳戶應符合下列需求:
使用未做其他用途的專用帳戶。請特別避免使用在主機電腦上做為其他用途的帳戶。從 VMM 移除主機時,VMM 會將正在執行 VMM 服務的帳戶從主機的本機系統管理員群組中移除。如果同一個帳戶用於主機上的其他用途,可能會發生無法預期的結果。
注意
在 VMM 中新增或移除 Hyper-V 或 Virtual Server 主機時,您不能使用做為 VMM 服務帳戶的相同網域帳戶。如需詳細資訊,請參閱強化受 VMM 管理的虛擬機器主機。您也不應該使用 VMM 服務帳戶,做為在 VMM 伺服器安裝期間用來安裝 SQL Server 遠端執行個體的認證。如需詳細資訊,請參閱設定 VMM 的 SQL Server 遠端執行個體 (https://go.microsoft.com/fwlink/?LinkID=134060)。
若要支援「效能與資源最佳化」(PRO),VMM 服務帳戶必須是 System Center Operations Manager 2007 中系統管理員角色的成員。當您在安裝期間設定 Operations Manager 與 VMM 的整合時,VMM 會將 VMM 服務帳戶新增至 Operations Manager 根管理伺服器中的本機系統管理員群組,此群組預設會填入 Operations Manager 中的系統管理員角色。如果您的組織使用不同的群組來填入該角色,則必須將 VMM 服務帳戶新增至根管理伺服器中的該群組。如需詳細資訊,請參閱在 VMM 中設定 Operations Manager 與 PRO 整合的安全性。如需設定程序,請參閱設定 Operations Manager 與 VMM 整合 (https://go.microsoft.com/fwlink/?LinkID=125948)。
指定 VMM 服務帳戶
VMM 服務帳戶是在安裝 VMM 伺服器期間指定。VMM 會將帳戶新增至 VMM 資料庫 (預設為 VirtualManagerDB) 的 db_owner 固定資料庫角色。
若要更新 VMM 服務的密碼,請使用 VMM 伺服器中的 Service Manager,然後再重新啟動 VMM 服務。
注意
建議您選擇一個新的專用網域帳戶來當做 VMM 服務帳戶,而且在安裝之後也不應該變更 VMM 服務帳戶的識別。變更識別時,您會遺失以先前服務帳戶身分新增至 VMM 資料庫的任何加密資料,包括認證資訊與授權金鑰。如果您確實變更了服務帳戶,必須在變更完成後,重新建立所有主機及程式庫伺服器上之 VMM 代理程式與 VMM 伺服器間的關聯。如果您將 SQL Server 的遠端執行個體用於 VMM,還必須手動將新帳戶新增至 VMM 資料庫的 db_owner 角色。如需將帳戶新增至 SQL Server db_owner 角色的指示,請參閱資料庫層級角色 (SQL Server 2008) (https://go.microsoft.com/fwlink/?LinkId=143202) 或資料庫層級角色 (SQL Server 2005) (https://go.microsoft.com/fwlink/?LinkId=143203)。
疑難排解受限群組群組原則的問題
當「受限群組」群組原則導致主機電腦上本機系統管理員群組中的 VMM 伺服器機器帳戶遭到移除時,主機重新整理程式工作會失敗,並發生錯誤 2027 (「嘗試連線到伺服器 servername.domainname.com 時,發生硬體管理錯誤 (不明的錯誤 (0x80338104)」)。
若要解決此問題,您可以使用下列任一方式變更群組原則設定:
停用「受限群組」原則設定。
修改群組設定以允許本機系統管理員群組中的 VMM 機器帳戶。
將 VMM 伺服器機器帳戶移至其本身的組織單位 (OU),然後再封鎖群組原則以避免套用在該 OU。
如果您的 IT 安全性團隊不允許修改群組原則,您只能選擇重新安裝 VMM 伺服器,並指定 VMM 伺服器電腦中具有系統管理員權限的網域帳戶。如果您在重新安裝 VMM 時選擇保留來自先前安裝的資料,則需要移除所有虛擬機器主機然後再重新新增。
VMM 伺服器的最佳安全性做法
為了加強 VMM 作業的安全性,建議您針對 VMM 伺服器採用下列安全性做法:
在將 VMM 伺服器安裝在生產環境之前,請先評估 Active Directory 網域服務中的 IT 安全性原則,以確保 VMM 服務帳戶允許 VMM 執行所有必要的作業。 VMM 服務帳戶的選擇會影響 VMM 在整個虛擬化環境中執行作業的能力。如果您的 Active Directory 環境是啟用「受限群組」群組原則的限制環境,或是您在脫離的命名空間中管理主機,則必須使用網域帳戶當做 VMM 服務帳戶,而非預設本機系統帳戶。如需詳細資訊,請參閱本主題稍早討論的 VMM 服務帳戶的帳戶需求。
強制執行角色分離以限制系統管理的暴露程度。 不是所有系統管理員都需要完整的 VMM 系統管理存取權限。使用 VMM 中的委派管理以盡可能限制系統管理員角色的人數。針對特定主機群組與程式庫伺服器的管理,請使用委派系統管理員角色來委派給管理有限虛擬化環境的系統管理員。例如,您可以委派分公司、部門、專案或虛擬機器自助的管理,或透過委派系統管理員來維護組織中的虛擬機器範本、存放的虛擬機器,以及所有程式庫伺服器中的其他資源。
委派系統管理員可針對角色範圍內的所有物件執行所有系統管理工作。不過,他們不能更新 VMM 全域設定。如需詳細資訊,請參閱VMM 中的角色安全性。
注意
若要進一步限制系統管理存取權限,請針對只需要建立及管理自己擁有之虛擬機器的客戶建立自助使用者角色。自助使用者角色可讓成員透過 VMM 自助入口網站,在自己擁有的虛擬機器上執行指定的一組作業,讓成員只能檢視自己擁有的虛擬機器、可執行的作業及系統管理員提供給他們使用的虛擬機器資源。
考慮使用非預設的通訊埠號碼來與受管理的 VMM 元件通訊。 針對 HTTP 與 HTTPS 等通訊協定使用非預設的通訊埠號碼可減慢攻擊者的速度。在 VMM 中,並不是所有的通訊埠設定都可以設定。安裝 VMM 伺服器時,您可以設定與 Windows Server 主機上 VMM 代理程式通訊的預設通訊埠。
重要
您需要在安裝 VMM 伺服器前決定要使用的通訊埠。通訊埠無法於事後再做變更。VMM 用來和受管理主機與程式庫伺服器通訊的通訊埠,必須和這些伺服器使用的通訊埠設定相符。當您將主機或程式庫伺服器新增至 VMM 時,VMM 會自動設定這些通訊埠。
另請參閱
概念
在 VMM 中設定受管理的 VMware 環境安全性
在 VMM 中設定 Operations Manager 與 PRO 整合的安全性
強化 VMM 資料庫伺服器
強化受 VMM 管理的虛擬機器主機
強化 VMM 自助網頁伺服器
VMM 中的角色安全性