Udostępnij za pośrednictwem

  • Artykuł

Konfigurowanie rozproszonego zarządzania kluczami w programie VMM

 

Dotyczy: System Center 2012 SP1 - Virtual Machine Manager, System Center 2012 R2 Virtual Machine Manager, System Center 2012 - Virtual Machine Manager

Podczas instalacji serwera zarządzania programu Virtual Machine Manager (VMM) należy określić, czy użytkownik chce, aby klucze były przechowywane w postaci zaszyfrowanych danych na komputerze lokalnym, czy chce skonfigurować rozproszone zarządzanie kluczami. Na stronie Konfiguruj konta usługi i rozproszone zarządzanie kluczami w oknie dialogowym Konfiguracja można określić, aby klucze szyfrowania były przechowywane przy użyciu rozproszonego zarządzania kluczami w usługach domenowych Active Directory zamiast na komputerze, na którym jest zainstalowany serwer zarządzania programu VMM.

Domyślnie program VMM szyfruje określone dane w bazie danych programu VMM przy użyciu interfejsu programowania aplikacji ochrony danych (DPAPI). Na przykład program VMM szyfruje poświadczenia i hasła konta Uruchom jako w profilach systemu operacyjnego gościa. Program VMM szyfruje również informacje o kluczu produktu we właściwościach wirtualnego dysku twardego dla scenariuszy ról maszyn wirtualnych i konfiguracji. Szyfrowanie tych danych jest powiązane z komputerem, na którym jest zainstalowany program VMM oraz na którym znajduje się konto usługi używane przez program VMM. Z tego względu w przypadku przeniesienia instalacji programu VMM na inny komputer szyfrowane dane nie zostaną zachowane w programie VMM. W takiej sytuacji należy ręcznie wprowadzić te dane, aby naprawić obiekty programu VMM.

Funkcja rozproszonego zarządzania kluczami przechowuje jednak klucze szyfrowania w usługach AD DS. W związku z tym, jeśli konieczne będzie przeniesienie instalacji programu VMM na inny komputer, zaszyfrowane dane zostaną zachowane w programie VMM, ponieważ inny komputer będzie miał dostęp do kluczy szyfrowania w usługach domenowych AD.

System_CAPS_ICON_important.jpg Ważne

W przypadku ról maszyn wirtualnych, jeśli szyfrowane dane nie zostaną zachowane, nie ma możliwości ręcznego wprowadzania danych, dlatego zarządzanie rolami będzie niemożliwe.

Jeśli wybrano włączenie rozproszonego zarządzania kluczami, należy uzgodnić z administratorem usług domenowych AD utworzenie odpowiedniego kontenera w usługach domenowych AD do przechowywania kluczy kryptograficznych.

Poniżej przedstawiono wymagania i informacje dotyczące korzystania z funkcji rozproszonego zarządzania kluczami w programie VMM:

  • Przed zainstalowaniem programu VMM należy utworzyć kontener w usługach domenowych AD. Kontener można utworzyć przy użyciu narzędzia Edytor interfejsów usług Active Directory (Edytor ADSI). Aby zainstalować narzędzie Edytor ADSI, w Menedżerze serwera dodaj funkcję Narzędzia usług domenowych w usłudze AD w obszarze Narzędzia administracji zdalnej serwera. Po instalacji narzędzie Edytor ADSI jest dostępne w menu Narzędzia w Menedżerze serwera.

  • Kontener należy utworzyć w tej samej domenie, w której znajduje się konto użytkownika używane do zainstalowania programu VMM. Ponadto w przypadku określenia konta domeny, którego będzie używać usługa VMM, to konto musi należeć do tej samej domeny.

    Jeżeli na przykład konta instalacji i usługi znajdują się w domenie corp.contoso.com, należy utworzyć w niej kontener. Dlatego, aby utworzyć kontener o nazwie VMMDKM, należy określić lokalizację kontenera CN=VMMDKM,DC=corp,DC=contoso,DC=com.

  • Po utworzeniu kontenera przez administratora usług domenowych AD konto używane do instalacji programu VMM musi mieć uprawnienia Pełna kontrola do kontenera w usługach domenowych AD. Ponadto uprawnienia muszą dotyczyć tego obiektu i wszystkich obiektów zależnych kontenera.

  • W przypadku instalowania serwera zarządzania programu VMM o dużej dostępności należy użyć rozproszonego zarządzania kluczami w celu przechowywania kluczy w usługach domenowych AD.

    Rozproszone zarządzanie kluczami jest wymagane w tym scenariuszu, ponieważ w przypadku pracy usługi programu Virtual Machine Manager w trybie failover przy użyciu innego węzła w klastrze usługa programu Virtual Machine Manager nadal musi mieć dostęp do kluczy szyfrowania, aby uzyskać dostęp do danych w bazie danych programu VMM. Jest to możliwe tylko w przypadku przechowywania kluczy szyfrowania w centralnej lokalizacji, takiej jak usługi domenowe AD.

  • W ramach przyszłych uaktualnień obejmujących role maszyn wirtualnych zaleca się korzystanie z funkcji rozproszonego zarządzania kluczami podczas instalacji. Zapewni to prawidłowe uaktualnianie ról maszyn wirtualnych i umożliwi zarządzanie nimi po uaktualnieniu.

  • Na stronie Konfiguruj konta usługi i rozproszone zarządzanie kluczami należy wpisać lokalizację kontenera w usługach AD DS. Przykładowo wpisz CN=VMMDKM,DC=corp,DC=contoso,DC=com.