Share via

  • Artigo

Configurando o Gerenciamento de Chaves Distribuídas no VMM

 

Aplicável a: System Center 2012 SP1 - Virtual Machine Manager, System Center 2012 R2 Virtual Machine Manager, System Center 2012 - Virtual Machine Manager

Durante a instalação de um servidor de gerenciamento do Virtual Machine Manager (VMM), você deve decidir se deseja armazenar as chaves de dados criptografados no computador local ou configurar o gerenciamento de chaves distribuídas. Na página de configuração Configurar conta de serviço e gerenciamento de chaves distribuídas, é possível selecionar a utilização de gerenciamento de chaves distribuídas para armazenar chaves de criptografia nos Serviços de Domínio Active Directory (AD DS) em vez de armazenar as chaves de criptografia no computador no qual o servidor de gerenciamento do VMM está instalado.

Por padrão, o VMM criptografa alguns dados do banco de dados do VMM usando a DPAPI (Data Protection Aplication Programming Interface). Por exemplo, o VMM criptografa credenciais da conta Executar como e senhas em perfis do sistema operacional convidado. O VMM também criptografa informações de chave do produto nas propriedades do disco rígido virtual para os cenários de função e configurações da máquina virtual. A criptografia desses dados está vinculada ao computador específico em que o VMM está instalado e à conta de serviço usada pelo VMM. Portanto, se você mover sua instalação do VMM para outro computador, o VMM não manterá os dados criptografados. Nesse caso, você deve inserir os dados manualmente para corrigir os objetos do VMM.

O gerenciamento distribuído de chaves, no entanto, armazena as chaves de criptografia no AD DS. Portanto, se precisar mover a instalação do VMM para outro computador, o VMM manterá os dados criptografados, porque o outro computador terá acesso às chaves de criptografia no AD DS.

System_CAPS_ICON_important.jpg Importante

Para funções de máquina virtual, se os dados criptografados não forem mantidos, você não poderá inseri-los manualmente, de modo que não será possível gerenciar as funções.

Se você optar por habilitar o gerenciamento de chaves distribuídas, coordene com o administrador do AD DS a criação do contêiner adequado no AD DS para armazenar chaves criptográficas.

A seguir estão os requisitos e considerações para usar o gerenciamento de chaves distribuídas no VMM:

  • É necessário criar um contêiner no AD DS antes de instalar o VMM. Você pode criar o contêiner usando o Active Directory Service Interfaces Editor (ADSI Editar). Para instalar o ADSI Edit, no Gerenciador de Servidores adicione o recurso Ferramentas do AD DS em Ferramentas de Administração de Servidor Remoto. Após a instalação, ADSI Edit é listado no menu Ferramentas, no Gerenciador de Servidores.

  • Crie o contêiner no mesmo domínio da conta de usuário com a qual está instalando o VMM. Além disso, se você especificar um domínio de conta que o VMM serviço usará, essa conta também deverá estar no mesmo domínio.

    Por exemplo, se a conta de instalação e a conta de serviço estiverem no domínio corp.contoso.com, é necessário criar o contêiner nesse domínio. Portanto, se você deseja criar um contêiner denominado VMMDKM, especifique o local do contêiner como CN=VMMDKM,DC=corp,DC=contoso,DC=com.

  • Depois que o administrador do AD DS criar o contêiner, a conta com a qual você está instalando o VMM deverá receber permissões de Controle Total para o contêiner no AD DS. Além disso, as permissões devem se aplicar a este objeto e a todos os objetos descendentes do contêiner.

  • Se você estiver instalando um servidor de gerenciamento altamente disponível do VMM, use o gerenciamento de chaves distribuídas para armazenar chaves de criptografia no AD DS.

    O gerenciamento de chaves distribuídas é necessário nesse cenário porque, quando faz failover para outro nó no cluster, o serviço do Virtual Machine Manager ainda precisa ter acesso às chaves de criptografia para acessar os dados no banco de dados do VMM. Esse acesso só é possível se as chaves de criptografia forem armazenadas em um local central, como o AD DS.

  • Para atualizações futuras que envolverem funções de máquina virtual, é recomendado usar gerenciamento de chaves distribuídas durante a configuração. Isso assegurará que as funções de máquina virtual sejam atualizadas corretamente e você poderá gerenciá-las após a atualização.

  • Na página Configurar conta de serviço e gerenciamento distribuído de chaves, especifique o local do contêiner no AD DS digitando-o. Por exemplo, digitando CN=VMMDKM,DC=corp,DC=contoso,DC=com.