• Cikk

Az elosztott kulcskezelés konfigurálása a VMM alkalmazásban

 

Közzétéve: 2016. július

Hatókör: System Center 2012 SP1 - Virtual Machine Manager, System Center 2012 R2 Virtual Machine Manager, System Center 2012 - Virtual Machine Manager

A Virtual Machine Manager (VMM) felügyeleti kiszolgáló telepítése során el kell döntenie, hogy a titkosított adatok kulcsait a helyi számítógépen szeretné-e tárolni, vagy inkább elosztott kulcskezelést konfigurál. A Beállítás A szolgáltatásfiók és az elosztott kulcskezelés konfigurálása lapján kiválaszthatja, hogy elosztott kulcskezeléssel tárolja a titkosítási kulcsokat az Active Directory-tartományi szolgáltatásokban (AD DS) ahelyett, hogy azon a számítógépen tárolná a kulcsokat, amelyikre a VMM felügyeleti kiszolgálót telepítette.

Alapértelmezés szerint a VMM a VMM adatbázisában található egyes adatokat az adatvédelmi API (DPAPI) segítségével titkosítja. A VMM titkosítja például a vendég operációsrendszer-profilok Futtató fiók hitelesítési adatait és jelszavait. A VMM a termékkulcsadatokat is titkosítja a virtuális gépek szerepkör-forgatókönyveinek és konfigurálásának virtuálismerevlemez-tulajdonságaiban. Ezen adatok titkosítása ahhoz a számítógéphez kötött, amelyre a VMM telepítve van, illetve ahhoz a szolgáltatásfiókhoz, amelyet a VMM használ. Így ha a VMM alkalmazást áttelepíti egy másik számítógépre, a VMM nem őrzi meg a titkosított adatokat. Ebben az esetben az adatokat manuálisan kell megadnia a VMM objektumainak javításához.

Az elosztott kulcskezelés azonban a titkosított kulcsokat az Active Directory tartományi szolgáltatásokban tárolja. Így ha a VMM alkalmazást át kell helyeznie egy másik számítógépre, a VMM megőrzi a titkosított adatokat, mert a másik számítógép hozzáfér az AD DS-ben tárolt titkosítási kulcsokhoz.

System_CAPS_ICON_important.jpg Fontos!

Virtuálisgép-szerepkörök esetén, ha a titkosított adatok nem őrződnek meg, azok nem adhatók meg manuálisan, ezért nem lesz lehetséges a szerepkörök felügyelete.

Ha úgy dönt, hogy engedélyezi az elosztott kulcskezelést, egyeztessen az AD DS rendszergazdájával arról, hogy hozza létre a megfelelő tárolót az AD DS-ben a titkosítási kulcsok tárolásához.

Az elosztott kulcskezelés használatának a VMMben a következő követelményei és vonzatai vannak:

  • A VMM telepítése előtt létre kell hozni egy tárolót az AD DS-ben. A tároló az Active Directory Service Interfaces szerkesztőprogram (ADSI szerkesztő) segítségével hozható létre. Az ADSI szerkesztő telepítéséhez a Kiszolgálókezelő elemnél adja hozzá Az Active Directory tartományi szolgáltatások eszközei elemet a Távoli kiszolgáló felügyeleti eszközei területen. Telepítés után az ADSI szerkesztő megjelenik a Kiszolgálókezelő elem Eszközök menüjében.

  • A tárolót a VMM telepítéséhez használt felhasználói fiókkal azonos tartományban kell létrehozni. Ha megad egy olyan tartományi fiókot, hogy a VMM szolgáltatás használja azt, akkor annak a fióknak is ugyanabban a tartományban kell lennie.

    Ha például a telepítési fiók és a szolgáltatásfiók is a corp.contoso.com tartományban található, akkor a tárolót is abban a tartományban kell létrehozni. Ha létre szeretne hozni egy VMMDKM nevű tárolót, a tároló helye legyen CN=VMMDKM,DC=corp,DC=contoso,DC=com.

  • Miután az AD DS rendszergazdája létrehozta a tárolót, annak a fióknak, amellyel a VMM telepítését végzi, teljes hozzáférési jogosultságokkal kell rendelkeznie az AD DS tárolójában. A jogosultságoknak az objektumra és a tároló minden gyermekobjektumára vonatkoznia kell.

  • Magas rendelkezésre állású VMM felügyeleti kiszolgálók telepítése esetén elosztott kulcskezelés használatával kell tárolnia a titkosítási kulcsokat az AD DS-ben.

    Ezen forgatókönyv esetén azért van szükség elosztott kulcskezelésre, mert amikor a Virtual Machine Manager szolgáltatás átadja a feladatokat a fürt egy másik csomópontjának, továbbra is hozzá kell férnie a titkosítási kulcsokhoz, hogy elérhesse a VMM adatbázisában tárolt adatokat. Ez az elérés csak akkor lehetséges, ha a titkosítási kulcsok egy központi helyen, például az AD DS-ben tárolódnak.

  • A virtuálisgép-szerepköröket is érintő későbbi verziófrissítések esetén javasoljuk, hogy a rendszer beállítása során elosztott kulcskezelést használjon. Így biztosíthatja a virtuális gépek szerepköreinek megfelelő frissítését és azt, hogy azok a frissítés végrehajtása után is kezelhetőek maradjanak.

  • A szolgáltatásfiók és az elosztott kulcskezelés konfigurálása oldalon be kell írnia a tároló Active Directoryn belüli helyét is. Ezt például a következő beírásával teheti meg: CN=VMMDKM,DC=corp,DC=contoso,DC=com.