次の方法で共有

  • [アーティクル]

VMM での分散キー管理の構成

 

対象: System Center 2012 SP1 - Virtual Machine Manager、System Center 2012 R2 Virtual Machine Manager、System Center 2012 - Virtual Machine Manager

Virtual Machine Manager (VMM) 管理サーバーのインストール時に、ローカル コンピューター上に暗号化されたデータのキーを保存するか、分散キー管理を構成するかを決定する必要があります。セットアップの [サービス アカウントおよび分散キー管理の構成] ページで、分散キー管理を使用するように選択して、VMM 管理サーバーをインストールするコンピューターに暗号化キーを保存するのではなく、Active Directory ドメイン サービス (AD DS) に暗号化キーを保存することができます。

既定では、VMM で Data Protection Application Programming Interface (DPAPI) を使用して、VMM データベースの一部のデータを暗号化します。たとえば、VMM は、ゲスト オペレーティング システム プロファイルの実行アカウントの資格情報とパスワードを暗号化します。また、VMM は、バーチャル マシン ロールのシナリオと構成用のバーチャル ハード ディスク プロパティのプロダクト キー情報も暗号化します。このデータの暗号化は、VMM がインストールされている特定のコンピューターと VMM で使用されるサービス アカウントに関連付けられます。そのため、VMM のインストールを別のコンピューターに移行する場合は、VMM で暗号化されたデータが保持されません。このような場合は、手動でこのデータを入力して VMM オブジェクトを修正する必要があります。

ただし、分散キー管理によって暗号化キーは AD DS に保存されます。その結果、他のコンピューターが AD DS の暗号化キーへのアクセス権を持つため、VMM のインストールを別のコンピューターに移行しても、VMM で暗号化されたデータが保持されます。

System_CAPS_ICON_important.jpg 重要

バーチャル マシン ロールの場合、暗号化されたデータが保持されないと、手動で入力できないため、ロールを管理できなくなります。

分散キー管理を有効にする場合は、暗号化キーの保存に適した AD DS のコンテナーの作成について、AD DS 管理者と調整します。

以下に、VMM で分散キー管理を使用する場合の要件と考慮事項を示します。

  • AD DS にコンテナーを作成してから、VMM をインストールする必要があります。コンテナーは Active Directory のサービス インターフェイス エディター (ADSI Edit) を使用して作成できます。ADSI Edit をインストールするには、サーバー マネージャーの [リモート サーバー管理ツール] で AD DS ツール機能を追加します。インストール後に、ADSI Editサーバー マネージャーの [ツール] メニューに一覧表示されます。

  • VMM のインストールに使用したユーザー アカウントと同じドメインに、コンテナーを作成する必要があります。また、VMM サービスで使用するドメイン アカウントを指定する場合は、そのアカウントも同じドメインにある必要があります。

    たとえば、インストール アカウントとサービス アカウントの両方が corp.contoso.com ドメインに存在する場合、そのドメインにコンテナーを作成する必要があります。そのため、VMMDKM という名前のコンテナーを作成する場合は、コンテナーの場所を CN=VMMDKM,DC=corp,DC=contoso,DC=com として指定します。

  • AD DS 管理者がコンテナーを作成した後、VMM のインストールに使用するアカウントには、AD DS のコンテナーに対するフル コントロール アクセス許可を付与する必要があります。また、このアクセス許可は、コンテナーの [このオブジェクトとすべての子オブジェクト] にも適用する必要があります。

  • 高可用性 VMM 管理サーバーをインストールする場合、AD DS に暗号化キーを保存するために分散キー管理を使用する必要があります。

    このような場合に分散キー管理が必要な理由は、Virtual Machine Manager サービスがクラスターの別のノードにフェールオーバーしたときに、Virtual Machine Manager サービスが引き続き暗号化キーにアクセスして、VMM データベースのデータにアクセスする必要があるためです。このアクセスは、暗号化キーが AD DS のような一元管理の場所に保存されている場合にのみ可能です。

  • バーチャル マシン ロールが関係する今後のアップグレードでは、セットアップ時に分散キー管理を使用することをお勧めします。そうすることでバーチャル マシン ロールが正しくアップグレードされ、アップグレード後に管理できるようになります。

  • [サービス アカウントおよび分散キー管理の構成] ページで、AD DS のコンテナーの場所を入力する必要があります。たとえば、「CN=VMMDKM,DC=corp,DC=contoso,DC=com」と入力します。