Condividi tramite


Configurazione della gestione delle chiavi distribuite in VMM

 

Si applica a: System Center 2012 SP1 - Virtual Machine Manager, System Center 2012 R2 Virtual Machine Manager, System Center 2012 - Virtual Machine Manager

Durante l'installazione di un server di gestione Virtual Machine Manager (VMM), è necessario decidere se archiviare le chiavi nei dati crittografati nel computer locale o configurare la gestione delle chiavi distribuite. Nella pagina Configura account di servizio e gestione delle chiavi distribuite dell'installazione è possibile scegliere di usare la gestione delle chiavi distribuite per archiviare le chiavi di crittografia nei Servizi di dominio Active Directory anziché nel computer in cui è installato il server di gestione VMM.

Per impostazione predefinita, alcuni dati del database VMM di VMM vengono crittografati mediante l'API di protezione dati di Windows (DPAPI). Ad esempio, VMM crittografa le credenziali dell'account RunAs e le password nei profili del sistema operativo guest. VMM inoltre consente di crittografare i codici Product key nelle proprietà del disco rigido virtuale per la configurazione e gli scenari del ruolo macchina virtuale. La crittografia dei dati è legata al computer specifico in cui VMM è installato e all'account del servizio usato da VMM. Di conseguenza, se è necessario spostare l'installazione di VMM in un altro computer, i dati crittografati non saranno conservati in VMM. In questo caso, sarà necessario immettere manualmente i dati per correggere gli oggetti VMM.

La gestione delle chiavi distribuite, tuttavia, archivia le chiavi di crittografia nei Servizi di dominio Active Directory. Di conseguenza, se è necessario spostare l'installazione di VMM in un altro computer, i dati crittografati saranno conservati in VMM, perché l'altro computer avrà accesso alle chiavi di crittografia nei Servizi di dominio Active Directory.

System_CAPS_ICON_important.jpg Importante

Per i ruoli macchina virtuale, se i dati crittografati non vengono conservati non sarà possibile immetterli manualmente e quindi gestire i ruoli.

Se si sceglie di abilitare la gestione delle chiavi distribuite, accordarsi con il proprio amministratore dei Servizi di dominio Active Directory per la creazione di un contenitore appropriato per l'archiviazione delle chiavi di crittografia.

Di seguito sono riportati alcuni requisiti e considerazioni sull'utilizzo della gestione delle chiavi distribuite in VMM:

  • È necessario creare un contenitore in Servizi di dominio Active Directory prima di installare VMM. È possibile creare il contenitore usando Active Directory Service Interfaces Editor (ADSI Edit). Per installare ADSI Edit, in Server Manager aggiungere la funzionalità Strumenti di AD DS in Strumenti di amministrazione remota del server. Dopo l'installazione, ADSI Edit è elencato nel menu Strumenti in Server Manager.

  • È necessario creare il contenitore nello stesso dominio dell'account utente con cui si sta installando VMM. Inoltre, se si specifica un account di dominio che deve essere usato dal servizio VMM, anche tale account deve appartenere allo stesso dominio.

    Ad esempio, se l'account di installazione e l'account di servizio appartengono entrambi al dominio corp.contoso.com, è necessario creare il contenitore in tale dominio. Pertanto, se si vuole creare un contenitore denominato VMMDKM, specificare il percorso del contenitore come CN=VMMDKM,DC=corp,DC=contoso,DC=com.

  • Dopo che l'amministratore dei Servizi di dominio Active Directory ha creato il contenitore, è necessario fornire all'account con il quale si sta installando VMM l'autorizzazione al Controllo completo per tale contenitore nei Servizi di dominio Active Directory. È inoltre necessario applicare le autorizzazioni a questo oggetto e a tutti i discendenti del contenitore.

  • Se si installa un server di gestione VMM a disponibilità elevata, è necessario usare la gestione delle chiavi distribuite per archiviare le chiavi di crittografia nei Servizi di dominio Active Directory.

    La gestione delle chiavi distribuite è obbligatoria in questo caso perché quando il servizio Virtual Machine Manager effettua un failover in un altro nodo del cluster, tale servizio necessita ancora dell'accesso alle chiavi di crittografia per accedere ai dati nel database VMM. Questo accesso è possibile solo se le chiavi di crittografia sono archiviate in una posizione centrale come i Servizi di dominio Active Directory.

  • Per gli aggiornamenti futuri che coinvolgono i ruoli macchina virtuale, si consiglia di usare la gestione delle chiavi distribuite durante l'installazione. Ciò assicura il corretto aggiornamento dei ruoli macchina virtuale e la possibilità di gestirli dopo l'aggiornamento.

  • Nella pagina Configura account di servizio e gestione delle chiavi distribuite è necessario specificare il percorso del contenitore di dominio Active Directory digitandolo. Ad esempio, digitando CN=VMMDKM,DC=corp,DC=contoso,DC=com.