• Article

Configuration de la gestion distribuée de clés dans VMM

 

S’applique à : System Center 2012 SP1 - Virtual Machine Manager, System Center 2012 R2 Virtual Machine Manager, System Center 2012 - Virtual Machine Manager

Pendant l'installation d'un serveur d'administration Virtual Machine Manager (VMM), vous devez choisir entre stocker les clés des données chiffrées sur l'ordinateur local ou configurer la gestion distribuée des clés. Dans la page Configurer le compte de service et la gestion distribuée de clés du programme d'installation, vous pouvez choisir d'utiliser la gestion distribuée des clés pour stocker les clés de chiffrement dans Active Directory Domain Services (AD DS) au lieu de les stocker sur l'ordinateur où le serveur d'administration VMM est installé.

Par défaut, VMM chiffre certaines données de la base de données VMM à l'aide de l'interface DPAPI (Data Protection Application Programming Interface). Par exemple, VMM chiffre les informations d'identification et les mots de passe des comptes d'identification des profils de système d'exploitation invité. VMM chiffre aussi les informations de la clé de produit dans les propriétés de disque dur virtuel pour la configuration et les scénarios de rôle d'ordinateur virtuel. Le chiffrement de ces données est lié à l'ordinateur spécifique sur lequel VMM est installé et au compte de service utilisé par VMM. Par conséquent, si vous déplacez votre installation VMM vers un autre ordinateur, VMM ne conserve pas les données chiffrées. Dans ce cas, vous devez entrer les données manuellement pour résoudre les objets VMM.

La gestion distribuée de clés, toutefois, stocke les clés de chiffrement dans AD DS. Par conséquent, si vous devez déplacer votre installation VMM vers un autre ordinateur, VMM conserve les données chiffrées, car l'autre ordinateur a accès aux clés de chiffrement dans AD DS.

Important

Pour les rôles d'ordinateur virtuel, si les données chiffrées ne sont pas conservées, vous ne pouvez pas les saisir manuellement et, en conséquence, vous ne pouvez pas gérer les rôles.

Si vous choisissez d'activer la gestion distribuée de clés, convenez avec votre administrateur AD DS de créer le conteneur approprié dans AD DS pour stocker les clés de chiffrement.

Les conditions requises et les considérations associées quant à l'utilisation de la gestion distribuée de clés dans VMM sont les suivantes :

  • Vous devez créer un conteneur dans AD DS avant d'installer VMM. Vous pouvez créer le conteneur à l'aide de l'Éditeur ADSI (Active Directory Service Interfaces). Pour installer l'Éditeur ADSI, dans le Gestionnaire de serveur, ajoutez la fonctionnalité Outils AD DS sous Outils d'administration de serveur distant. Après l'installation, Éditeur ADSI apparaît dans le menu Outils du Gestionnaire de serveur.

  • Vous devez créer le conteneur dans le même domaine que le compte d'utilisateur avec lequel vous installez VMM. De plus, si vous spécifiez un compte de domaine que le service VMM utilise, ce compte doit également se trouver dans le même domaine.

    Par exemple, si le compte d'installation et le compte de service se trouvent dans le domaine corp.contoso.com, vous devez créer le conteneur dans ce domaine. Par conséquent, si vous voulez créer un conteneur nommé VMMDKM, vous spécifiez l'emplacement du conteneur sous la forme CN=VMMDKM,DC=corp,DC=contoso,DC=com.

  • Après que l'administrateur AD DS a créé le conteneur, le compte avec lequel vous installez VMM doit avoir les autorisations Contrôle intégral sur le conteneur dans AD DS. En outre, les autorisations doivent s'appliquer à cet objet et à tous les objets descendants du conteneur.

  • Si vous installez un serveur d'administration VMM à haut niveau de disponibilité, vous devez utiliser la gestion distribuée de clés pour stocker les clés de chiffrement dans AD DS.

    La gestion distribuée de clés est requise dans ce scénario, car lors du basculement du service Virtual Machine Manager vers un autre nœud du cluster, le service Virtual Machine Manager a toujours besoin d'accéder aux clés de chiffrement pour pouvoir accéder aux données de la base de données VMM. Cet accès n'est possible que si les clés de chiffrement sont stockées dans un emplacement central tel qu'AD DS.

  • Pour les futures mises à niveau qui impliquent des rôles d'ordinateur virtuel, nous vous conseillons d'utiliser la gestion distribuée de clés lors de l'installation. Celle-ci garantit que les rôles d'ordinateur virtuel sont correctement mis à niveau, et que vous pouvez les gérer après la mise à niveau.

  • Dans la page Configurer le compte de service et la gestion distribuée de clés, vous devez spécifier l'emplacement du conteneur dans AD DS en le tapant. Par exemple, en tapant CN=VMMDKM,DC=corp,DC=contoso,DC=com.