在 VMM 中配置已分发密钥管理

适用于： System Center 2012 SP1 - Virtual Machine Manager,System Center 2012 R2 Virtual Machine Manager,System Center 2012 - Virtual Machine Manager

在安装 Virtual Machine Manager (VMM) 管理服务器的过程中，你必须决定是否要将密钥存储到本地计算机上的加密数据，或是否配置已分发密钥管理。在安装程序的“配置服务帐户和已分发密钥管理”页上，你可以选择使用已分发密钥管理将加密密钥存储在 Active Directory 域服务 (AD DS) 中，而不是将加密密钥存储在安装了 VMM 管理服务器的计算机上。

默认情况下，VMM 会通过使用数据保护应用程序编程接口 (DPAPI) 对 VMM 数据库中的某些数据进行加密。例如，VMM 会加密来宾操作系统配置文件中的运行方式帐户凭据和密码。VMM 还会在虚拟机角色方案和配置的虚拟硬盘属性中加密产品密钥信息。此数据的加密与安装了 VMM 的特定计算机和 VMM 所使用的服务帐户相关联。因此，如果你将 VMM 安装移到另一台计算机，VMM 不会保留已加密的数据。在这种情况下，你必须手动输入此数据以修复 VMM 对象。

但是，已分发密钥管理将加密密钥存储在 AD DS 中。因此，如果你需要将 VMM 安装转移到另一台计算机，VMM 会保留加密数据，因为其他计算机将能够访问 AD DS 中的加密密钥。

重要事项
对于虚拟机角色，如果不保留加密数据，则你将不能手动输入此数据，因此将无法管理角色。

如果选择启用已分发密钥管理，请与 AD DS 管理员协调有关在 AD DS 中创建用于存储加密密钥的适当容器的事宜。

以下是在 VMM 中使用已分发密钥管理时需考虑的要求和注意事项：

• 在安装 VMM 之前，你必须在 AD DS 中创建容器。可以通过使用 Active Directory 服务界面编辑器 (ADSI Edit) 创建容器。要安装 ADSI Edit，请在“服务器管理器”中的**“远程服务器管理工具”**下添加“AD DS 工具”功能。在安装后， ADSI Edit 将列在“服务器管理器”的“工具”菜单中。

• 你必须使用安装 VMM 时所用的用户帐户在同一个域中创建该容器。此外，如果指定一个将由 VMM 服务使用的域帐户，则该帐户也必须位于同一个域中。

  例如，如果安装帐户和服务帐户都在 corp.contoso.com 域中，则必须在该域中创建容器。因此，如果你要创建一个名为 VMMDKM 的容器，则将容器位置指定为 CN=VMMDKM,DC=corp,DC=contoso,DC=com。

• AD DS 管理员创建容器后，并且你用于安装 VMM 的帐户必须具有对 AD DS 中容器的“完全控制”权限。此外，权限必须应用于容器的“这个对象及全部后代”。

• 如果要安装高度可用 VMM 管理服务器，则必须使用已分发密钥管理将加密密钥存储在 AD DS 中。

  在此方案中，已分发密钥管理是必需的，因为当 Virtual Machine Manager 服务将故障转移到群集中的另一个节点时，Virtual Machine Manager 服务仍然需要访问加密密钥才能访问 VMM 数据库中的数据。只有当加密密钥存储在像 AD DS 这样的集中位置中时，才能实现此访问。

• 对于将来涉及到虚拟机角色的升级，建议你在安装过程中使用已分发密钥管理。这将帮助确保虚拟机角色得以正确升级，并且你可以在升级之后对它们进行管理。

• 在“配置服务帐户和已分发密钥管理”页上，你必须通过键入来指定容器在 AD DS 中的位置。例如，键入 CN=VMMDKM,DC=corp,DC=contoso,DC=com。