Configuración de la administración de claves distribuida en VMM
Se aplica a: System Center 2012 SP1 - Virtual Machine Manager, System Center 2012 R2 Virtual Machine Manager, System Center 2012 - Virtual Machine Manager
Durante la instalación de un servidor de administración de Virtual Machine Manager (VMM), debe decidir si almacenar las claves como datos cifrados en el equipo local o configurar la administración de claves distribuida. En la página de configuración Configurar la cuenta de servicio y la administración de claves distribuida, puede seleccionar la opción de usar la administración de claves distribuida para almacenar las claves de cifrado en los Servicios de dominio de Active Directory (AD DS) en lugar de almacenarlas en un equipo en el que esté instalado el servidor de administración VMM.
De forma predeterminada, VMM cifra algunos datos en la base de datos VMM mediante la interfaz de programación de aplicaciones de protección de datos (DPAPI). Por ejemplo, VMM cifra las credenciales y contraseñas de la cuenta de ejecución en los perfiles del sistema operativo invitado. VMM también cifra la información de la clave del producto en las propiedades del disco duro virtual para escenarios y configuración del rol de máquina virtual. El cifrado de estos datos está ligado al equipo específico en el que está instalado VMM y a la cuenta de servicio utilizada por VMM. Por lo tanto, si mueve su instalación de VMM a otro equipo, VMM no conservará los datos cifrados. En ese caso, debe escribir estos datos manualmente para corregir los objetos VMM.
La administración de claves distribuida, sin embargo, almacena las claves de cifrado en AD DS. Por tanto, si debe mover la instalación de VMM a otro equipo, VMM conservará los datos cifrados, ya que el otro equipo tendrá acceso a las claves de cifrado en AD DS.
Importante |
---|
En el caso de los roles de máquina virtual, si no se conservan los datos cifrados, no podrá escribirlos manualmente, por lo que no podrá administrar los roles. |
Si desea habilitar la administración de claves distribuida, póngase de acuerdo con el administrador de AD DS en relación con la creación del contenedor adecuado en AD DS para almacenar las claves criptográficas.
A continuación se indican requisitos y consideraciones para el uso de la administración de claves distribuida en VMM:
Debe crear un contenedor en AD DS antes de instalar VMM. Puede crear el contenedor mediante el editor de interfaces del servicio de Active Directory (ADSI Edit). Para instalar ADSI Edit, en el Administrador de servidores agregue la característica Herramientas de AD DS en Herramientas de administración remota del servidor. Después de la instalación, ADSI Edit aparece en el menú Herramientas en el Administrador de servidores.
Debe crear el contenedor en el mismo dominio que la cuenta de usuario con la que va a instalar VMM. Además, si se especifica un dominio de la cuenta que será usada por el servicio VMM, dicha cuenta también debe estar en el mismo dominio.
Por ejemplo, si la cuenta de instalación y la cuenta de servicio están en el dominio corp.contoso.com, debe crear el contenedor en ese dominio. Por lo tanto, si desea crear un contenedor denominado VMMDKM, especifique su ubicación como
CN=VMMDKM,DC=corp,DC=contoso,DC=com
.Después de que el administrador de AD DS haya creado el contenedor, es necesario otorgar a la cuenta con la que va a instalar VMM permisos de Control total para el contenedor de AD DS. Además, los permisos deben aplicarse a este objeto y todos los descendientes del contenedor.
Si va a instalar un servidor de administración VMM de alta disponibilidad, será necesario utilizar la administración de claves distribuida para almacenar las claves de cifrado en AD DS.
Se requiere la administración de claves distribuida en este escenario porque cuando el servicio Virtual Machine Manager conmuta por error a otro nodo del clúster, este servicio necesita seguir obteniendo acceso a las claves de cifrado a fin de poder tener acceso a la base de datos VMM. Este acceso solo es posible si las claves de cifrado se almacenan en una ubicación central como AD DS.
Para actualizaciones futuras que impliquen roles de máquina virtual, se recomienda que utilice la administración de claves distribuida durante la instalación. Esto ayudará a garantizar que los roles de máquina virtual se actualicen correctamente y que pueda administrarlos después de la actualización.
En la página Configurar la cuenta de servicio y la administración de clave distribuida, debe especificar la ubicación del contenedor de AD DS. Por ejemplo, escriba
CN=VMMDKM,DC=corp,DC=contoso,DC=com
.