Share via

  • Artikel

Gedistribueerd sleutelbeheer configureren in VMM

 

Is van toepassing op: System Center 2012 SP1 - Virtual Machine Manager, System Center 2012 R2 Virtual Machine Manager, System Center 2012 - Virtual Machine Manager

Tijdens de installatie van een Virtual Machine Manager (VMM)-beheerserver moet u beslissen of u de sleutels voor versleutelde gegevens op de lokale computer wilt opslaan of dat u gedistribueerd sleutelbeheer wilt configureren. Op de pagina Serviceaccount en gedistribueerd sleutelbeheer configureren van Setup kunt u ervoor kiezen gebruik te maken van gedistribueerd sleutelbeheer om versleutelingssleutels op te slaan in AD DS (Active Directory Domain Services) in plaats van op de computer waarop de VMM-beheerserver is geïnstalleerd.

VMM versleutelt standaard sommige gegevens in de VMM-database met behulp van de Data Protection Application Programming Interface (DPAPI). VMM versleutelt bijvoorbeeld referenties en wachtwoorden voor Uitvoeren als-accounts in gastbesturingssysteemprofielen. VMM versleutelt ook productcode-informatie in de eigenschappen van een virtuele harde schijf voor scenario's en configuratie met virtuele-machinefuncties. De versleuteling van deze gegevens is gebonden aan de specifieke computer waarop VMM is geïnstalleerd, en het serviceaccount dat door VMM wordt gebruikt. Dus als u uw VMM-installatie naar een andere computer verplaatst, blijven de versleutelde gegevens niet in VMM bewaard. In dat geval moet u deze gegevens handmatig invoeren om de VMM-objecten te herstellen.

Met gedistribueerd sleutelbeheer worden de versleutelingssleutels echter in AD DS opgeslagen. Dus als u uw VMM-installatie naar een andere computer moet verplaatsen, blijven de versleutelde gegevens in VMM bewaard omdat de andere computer toegang heeft tot de versleutelingssleutels in AD DS.

System_CAPS_ICON_important.jpg Belangrijk

Bij virtuele-machinefuncties kunt u de versleutelde gegevens niet handmatig invoeren als deze niet bewaard blijven, zodat u de functies niet kunt beheren.

Als u ervoor kiest gedistribueerd sleutelbeheer in te schakelen, werkt u samen met uw AD DS-beheerder bij het maken van de juiste container in AD DS voor het opslaan van de cryptografische sleutels.

Hieronder volgen enkele vereisten en overwegingen bij het gebruik van gedistribueerd sleutelbeheer in VMM:

  • U moet een container maken in AD DS voordat u VMM installeert. U kunt de container maken met behulp van Active Directory Service Interfaces Editor (ADSI bewerken). Als u ADSI bewerken wilt installeren, voegt u in Serverbeheer het onderdeel AD DS-hulpprogramma's onder Externe-serverbeheerprogramma's toe. Na de installatie wordt ADSI bewerken weergegeven in het menu Extra in Serverbeheer.

  • U moet de container maken in hetzelfde domein als het gebruikersaccount waarmee u VMM installeert. Als u een domeinaccount opgeeft dat de VMM-service gebruikt, moet ook dat account zich in hetzelfde domein bevinden.

    Als het installatieaccount en het serviceaccount zich bijvoorbeeld beide in het domein corp.contoso.com bevinden, moet u de container in dat domein maken. Als u dus een container met de naam VMMDKM wilt maken, moet u de containerlocatie opgeven als CN=VMMDKM,DC=corp,DC=contoso,DC=com.

  • Nadat de AD DS-beheerder de container heeft gemaakt, moet het account waarmee u VMM installeert, de machtigingen voor volledig beheer hebben voor de container in AD DS. Verder moeten de machtigingen van toepassing zijn op dit object en alle descendantobjecten van de container.

  • Als u een maximaal beschikbare VMM-beheerserver installeert, moet u gebruikmaken van gedistribueerd sleutelbeheer om versleutelingssleutels op te slaan in AD DS.

    Gedistribueerd sleutelbeheer is vereist in dit scenario, omdat wanneer er een failover optreedt van de Virtual Machine Manager-service naar een ander knooppunt in het cluster, de Virtual Machine Manager-service toegang moet blijven houden tot de versleutelingssleutels om toegang te krijgen tot gegevens in de VMM-database. Deze toegang is alleen mogelijk als de versleutelingssleutels zijn opgeslagen op een centrale locatie zoals AD DS.

  • We raden aan bij toekomstige upgrades waarbij virtuele-machinefuncties betrokken zijn, tijdens de installatie gebruik te maken van gedistribueerd sleutelbeheer. Dit helpt ervoor te zorgen dat de virtuele-machinefuncties op de juiste manier worden bijgewerkt, en dat u ze na de upgrade kunt beheren.

  • Op de pagina Serviceaccount en gedistribueerd sleutelbeheer configureren typt u de locatie van de container in AD DS. Typ bijvoorbeeld CN=VMMDKM,DC=corp,DC=contoso,DC=com.