本文件已封存並已停止維護。

強化受 VMM 管理的虛擬機器主機

更新日期: 2010年7月

適用於: Virtual Machine Manager 2008, Virtual Machine Manager 2008 R2, Virtual Machine Manager 2008 R2 SP1

本主題針對執行 Microsoft Hyper-V、Microsoft Virtual Server 及 VMware ESX Server 的虛擬機器主機,說明 System Center Virtual Machine Manager (VMM) 2008 和 VMM 2008 R2 的安全性需求與最佳安全性做法。通訊埠、通訊協定及驗證方式的組態大多取決於主機類型,係根據網路位置與主機執行的作業系統類型而定。本主題的第一個部分說明這些需求。本主題的第二個部分針對 Hyper-V、Virtual Server 及 ESX Server 說明 VMM 中的特定安全性需求。

依主機類型區分的安全性需求

在 VMM 中,虛擬機器主機的安全性需求會根據主機位置與執行的作業系統不同而有差異。

VMM 中的主機類型

一般來說,安全性需求可依下列主機類型區分:

  • Active Directory 網域中的主機,與 VMM 伺服器網域間具有雙向信任關係。

    note附註
    對於與 VMM 伺服器網域間具有雙向信任關係的網域,VMM 可支援管理該網域脫離的命名空間內之主機與主機叢集。如需脫離的命名空間的詳細資訊,請參閱 Active Directory 中電腦、網域、網站和 OU 的命名慣例 (http://go.microsoft.com/fwlink/?LinkId=123886) (機器翻譯文章)。

  • 周邊網路上的 Windows 伺服器主機

    「周邊網路」是獨立於組織內部網路與網際網路的網路,其具有下列特性:

    • 允許外部使用者存取周邊網路中的特定電腦。

    • 禁止存取組織內部網路中的電腦。

    • 可加以設定,以允許內部網路使用者有限制地存取周邊網路中的電腦。

    例如,周邊網路可包含公司的網頁伺服器,使網頁伺服器能將網頁內容傳送到網際網路。不過,周邊網路不允許外部使用者存取內部網路中電腦內的私人公司資料。即使外部使用者突破周邊網路的安全性設施,也可能只會危及周邊網路的伺服器。

    您可以從內部網路將虛擬機器部署至周邊網路中的主機。不過,在周邊網路的主機上部署虛擬機器之後,您不能將這些虛擬機器移轉回內部網路中的主機,或是移轉到周邊網路中的另一部主機。

    因為周邊網路獨立於內部網路,所以在周邊網路中的主機安全性必須由本機服務帳戶提供。

  • 不信任 Active Directory 網域中的主機

    對於與 VMM 伺服器間不具有雙向信任關係之 Active Directory 網域中的 Windows Server 主機,VMM 使用的驗證及加密方式與對周邊網路 Windows Server 主機使用的方式相同。基於此原因,我們會一併討論這兩種拓撲的安全性需求。

  • 不在 Windows Server 作業系統上執行的主機

    位於受管理之 VMware Infrastructure 3 (VI3) 環境中的非 Windows Server 主機有異於 Windows Server 主機的安全性需求,因此我們會個別討論。

下列幾節說明 Windows Server 主機與非 Windows Server 主機的安全性需求。如需快速比較上述各種類型主機的安全性功能,請參閱依主機類型區分的 VMM 安全性需求比較中的摘要表格 (位於本節結尾)。

Windows Server 主機的通訊埠與通訊協定

對於 Windows Server 主機來說,主機位置不影響檔案傳輸或用戶端通訊。然而,VMM 伺服器與主機間控制資料的傳輸則是透過不同方式來管理及保護。

控制資料

對於執行 Hyper-V 或 Windows Server 的 Windows 主機,VMM 會使用 WS-Management 通訊協定來傳輸控制資料。WS-Management 是透過通訊埠 80 (預設值) 來連線的 HTTP 通訊協定。Windows Remote Management (WinRM,Microsoft 的 WS-Management 通訊協定實作) 會在內部處理驗證和加密。

使用的驗證方式需視主機位置而定:

  • 受信任的 Active Directory 網域 — 對於與 VMM 伺服器網域間具有雙向信任關係之 Active Directory 網域中的 Windows 主機,Kerberos 是採用的驗證方式。

  • 不信任的 Active Directory 網域或周邊網路 — 對於不信任之 Active Directory 網域或周邊網路中的 Windows Server 主機,VMM 代理程式會使用 NTLM 驗證以及在代理程式安裝期間安裝在主機中的 CA 簽署憑證,來加密 VMM 與主機間的通訊。認證是隨機建立的且支援相互驗證。

    周邊網路中的主機需要在本機安裝 VMM 代理程式。接著必須使用「新增主機精靈」來將主機新增至 VMM,以提供認證及擷取在代理程式安裝期間產生的憑證與公開金鑰。一旦更新周邊網路主機中的 VMM 代理程式後還需要手動安裝代理程式,然後再更新 VMM 中的主機認證。

    在不信任的 Active Directory 網域中,則不需要在本機安裝 VMM 代理程式或在日後更新代理程式。在將主機新增至 VMM 時,VMM 即會安裝代理程式。

檔案傳輸

對於所有 Windows Server 主機間的檔案傳輸,VMM 使用預設通訊埠 443 搭配以安全通訊端層 (SSL) 加密的 BITS 2.5 通訊協定。通訊埠號碼不得超過 32768。

如果您已實作其他加密形式 (如 IPsec) 或以其他方式保護虛擬環境,可以善用 VMM 2008 R2 的新選項以允許個別主機群組與程式庫伺服器的未加密檔案傳輸。允許未加密的檔案傳輸可改善建立及移轉虛擬機器期間的效能。若要在未加密的情況下傳輸檔案,來源和目的電腦都必須允許未加密的檔案傳輸。更新主機群組的內容後便可使用此選項。如需相關程序,請參閱如何修改主機群組的內容 (http://go.microsoft.com/fwlink/?LinkId=162967)。

Caution注意
針對位於周邊網路,或與包含 VMM 伺服器之網域間不具有雙向信任關係之 Active Directory 網域中主機上的虛擬機器,為了確保受信任 Active Directory 網域內的資料完整,請勿將這類型的虛擬機器移轉至受信任 Active Directory 網域中的主機,也避免從上述類型的主機中將資料或檔案傳輸至受信任 Active Directory 網域中的主機或程式庫伺服器。

當主機位於周邊網路或不信任的 Active Directory 網域中時,VMM 會在 VMM 與主機間的通訊使用 NTLM 通訊協定。在 NTLM 通訊協定中,VMM 伺服器會使用主機中的本機使用者認證來驗證主機,此認證是在 VMM 代理程式的安裝期間提供的,並且會安全地傳輸至 VMM 伺服器。不過在此通道中,主機不會驗證 VMM。

在透過虛擬機器移轉時採用的 HTTPS 通訊協定進行 BITS 傳輸期間,如果來源主機位於周邊網路或不信任的 Active Directory 網域內,則來源主機會在 BITS 傳輸期間使用自身的憑證來自我驗證,不過無法驗證目標主機。由於在 NTLM 或 BITS 通訊協定中無法驗證目標主機,VMM 伺服器與主機雙方均容易受到詐騙攻擊。

用戶端通訊

VMM 在用戶端連線中使用 Windows Communication Foundation (WCF) 搭配預設通訊埠 8100。WCF 在內部使用 TCP 並啟用加密。Kerberos 則是用來驗證。

在授權期間,WMM 會檢查用戶端的類型、所有 Active Directory 群組的成員資格及 VMM 中所有使用者角色的成員資格。使用者角色設定會決定 VMM 代表使用者針對使用者角色範圍內之物件執行的作業。如需詳細資訊,請參閱VMM 中的角色安全性

非 Windows Server 主機的通訊埠與通訊協定

Important重要事項
本節彙總執行非 Windows Server 作業系統之主機的 VMM 安全性需求。本節的目的在於針對受 VMM 管理之所有主機類型提供安全性需求比較的快速參照。如需設定非 Windows Server 主機安全性的指示,請參閱在 VMM 中設定受管理的 VMware 環境安全性

控制資料

對於受 VMware VirtualCenter 伺服器管理的非 Windows Server 主機,VMM 會透過與 VirtualCenter 伺服器通訊來執行支援的管理工作。VMM 會在這些通訊中搭配使用 WebServices 通訊協定與預設通訊埠 443。WebServices 通訊協定是以 HTTPS 為基礎,並使用安全通訊端層 (SSL) 來加密。VirtualCenter 伺服器新增至 VMM 時提供的認證則會用來驗證。

根據預設,VMM 會以「安全模式」來管理 VMware 環境,ESX Server 主機在依所有通訊協定進行通訊時都需要驗證。如果您的環境不需要此層級的驗證,則可以在將 VirtualCenter 伺服器新增至 VMM 時關閉安全模式。

檔案傳輸

VMM 會直接連線至 ESX Server 主機以進行檔案傳輸作業。若要在執行 ESX Server 非內嵌版本之主機與 Windows Server 電腦間傳輸檔案,VMM 必須擁有 ESX Server 中的虛擬機器委派認證。如果您將預設的根認證當做委派,必須在主機啟用 SSH 根登入。您可以設定具有較低權限的帳戶來當做 ESX Server 中的虛擬機器委派,以補強安全性。帳戶必須具有 ESX Server 的系統管理權限。

如果您以安全模式管理 VMware 環境,則 ESX Server 主機也需要驗證憑證。此外,您必須提供 RSH 公開金鑰給非內嵌版本的 ESX Server。

VMM 會針對內嵌版本與非內嵌版本的 ESX Server 使用不同的檔案傳輸通訊協定:

  • 對於內嵌版本的 ESX Server (包括 VMware® ESX Server 3i),VMM 使用 HTTPS 搭配預設通訊埠 443。在安全模式中,使用安全通訊端層 (SSL) 的加密需要驗證憑證。

  • 對於非內嵌版本的 ESX Server (VMware® ESX Server 3.5 與 VMware® ESX Server 3.0.2),VMM 使用 SFTP 搭配預設通訊埠 22。在安全模式中,使用安全殼層 (SSH) 的加密需要驗證 RSA 公開金鑰。

當您將 VirtualCenter 伺服器新增至 VMM 時,VMM 會以 [確定 (有限制)] 狀態新增 ESX Server 主機,直到您提供每部主機的必要安全性資訊為止。當主機處於 [確定 (有限制)] 狀態時,VMM 系統管理員只能執行不需要在主機與 Windows Server 電腦間傳輸檔案的動作。如需可在處於 [確定 (有限制)] 狀態並受完整管理之主機上執行的動作清單,請參閱 ESX Server 主機支援的虛擬機器動作 (http://go.microsoft.com/fwlink/?LinkID=134489)。

依主機類型區分的 VMM 安全性需求比較

下列表格彙總 VMM 中各種主機類型的安全性需求。

 

安全性設定 受信任 Active Directory 網域中的 Windows Server 主機 不受信任網域或周邊網路中的 Windows Server 主機 非 Windows Server 主機

連線類型:控制資料

  • 通訊協定:WS-Management

  • 預設通訊埠: 80

  • 加密:Kerberos

  • 驗證:Kerberos

  • 通訊協定:WS-Management

  • 預設通訊埠: 80

  • 加密:NTLM;使用 VMM 代理程式安裝期間產生的認證

  • 驗證:主機驗證使用 VMM 代理程式安裝期間在主機電腦中產生的認證。

附註   :若要在周邊網路實作用戶端驗證,請在內部網路與周邊網路之間設定 IPsec。

  • 通訊協定:WebServices

  • 預設通訊埠: 443

  • 加密:使用 SSL 的 HTTPS

  • 驗證:使用將主機新增至 VMM 時提供的認證,若需要的話,還可以加入憑證與公開金鑰。

連線類型:檔案傳輸

  • 通訊協定:BITS 2.5

  • 預設通訊埠:443 (最大值:32768)

  • 加密:Kerberos。

  • 驗證:使用自我簽署憑證的 SSL (由於來源與目的地均受信任,所以憑證會自動透過 WinRM 散發)。

  • 通訊協定:BITS 2.5

  • 預設通訊埠:443 (最大值:32768)

  • 加密:Kerberos

  • 驗證:SSL;使用自動透過 WinRM 散發的自我簽署憑證。

內嵌的 ESX Server (包括 VMware® ESX Server 3i):

  • 通訊協定:HTTPS

  • 預設通訊埠: 443

  • 加密:

  • 驗證:需要 ESX Server 中的虛擬機器委派認證。在安全模式中需要驗證憑證。

非內嵌的 ESX Server (VMware® ESX Server 3.5 與 VMware® ESX Server 3.0.2):

  • 通訊協定:SFTP

  • 預設通訊埠: 22

  • 加密:

  • 驗證:需要 ESX Server 中的虛擬機器委派認證。在安全模式中需要憑證與 SSH 公開金鑰。

VMM 帳戶需求

具有主機系統管理權限的網域帳戶。

具有主機系統管理權限的本機帳戶。

VirtualCenter 伺服器 — VMM 必須以 VirtualCenter 中的系統管理員角色成員帳戶登入。不需要網域帳戶。請使用其他使用者未使用的專用帳戶。

ESX Server 主機 — 為了在主機與 Windows Server 電腦間執行檔案傳輸作業,VMM 必須具有 ESX Server 中的虛擬機器委派認證。

  • 預設帳戶:根帳戶 (需要啟用 SSH 根登入)。

  • 低權限案例 (實驗):取代具有 ESX Server 系統管理權限的低權限帳戶。

重要事項   您必須在使用 NFS 資料存放區的所有 ESX Server 3i 主機上使用相同的虛擬機器委派 (預設為 vimuser)。

代理程式安裝

使用「新增主機精靈」來安裝代理程式以及將主機新增至 VMM。

或使用 [本機安裝代理程式] 安裝選項以將代理程式安裝在本機,然後再使用「新增主機精靈」來新增主機與提供認證。

周邊網路:需要在主機電腦中進行 VMM 代理程式的本機安裝。根據預設,安裝程式會產生自我簽署的憑證以用來加密 VMM 與主機間的通訊。安裝代理程式後,請使用「新增主機精靈」來探索主機。您可以在此時取代 CA 簽署的憑證。

不信任的網域:「新增主機精靈」會遠端安裝代理程式。安裝作業會產生自我簽署的憑證,以在加密 VMM 與主機間的通訊時使用。

不在 ESX Server 主機中安裝 VMM 代理程式。除了經由 VirtualCenter 伺服器傳輸檔案外,VMM 會代理所有作業。

限制

不適用。

部署在周邊網路主機中的虛擬機器無法移轉至內部網路中的主機,也無法移轉至周邊網路中的其他主機。

這些限制不適用於不信任網域中的主機。

  • 當 VirtualCenter 伺服器新增至 VMM 時,ESX Server 主機會處於 [確定 (有限制)] 狀態,直到設定主機的安全性為止。如需支援的動作清單,請參閱 ESX Server 主機支援的虛擬機器動作 (http://go.microsoft.com/fwlink/?LinkID=134489)。

  • VMware 虛擬機器只能移轉至其他受到相同 VirtualCenter 伺服器管理的主機。

代理程式部署期間的安全性

當您將虛擬機器主機或程式庫伺服器新增至 VMM 時,VMM 會從遠端在受管理的電腦上安裝 VMM 代理程式。VMM 代理程式部署程序會使用伺服器訊息區 (SMB) 通訊埠與遠端程序呼叫 (RPC) 通訊埠 (TCP 135) 以及 DCOM 通訊埠範圍。您可以使用 SMB 封包簽署或 IPsec 來協助保護代理程式部署程序。

您可以在主機本機上安裝 VMM 代理程式、將主機新增至 VMM 以探索主機,然後只使用 WS-Management 通訊埠 (預設通訊埠 80) 與 BITS 通訊埠 (預設通訊埠 443) 來控制主機。

周邊網路中的主機需要在本機安裝 VMM 代理程式。安裝作業會產生自我簽署的憑證以用來加密 VMM 與主機間的通訊。當您使用「新增主機精靈」新增主機時,可以取代來自信任來源之 CA 簽署的憑證。更新 VMM 中的代理程式前,必須先在主機從本機更新所有代理程式。

新增主機叢集需要其他設定:

  • 在將主機叢集或高可用性程式庫伺服器新增至 VMM 2008 時,目標電腦 (也就是在「新增主機精靈」或「新增程式庫伺服器精靈」中指定的叢集節點) 的通訊埠 135 (DCOM 通訊埠) 必須開啟,以讓 VMM 傳送遠端 WMI 呼叫至該電腦。此通訊埠只需要在將叢集新增至 VMM 時開啟。如需詳細資訊,請參閱 Connecting to WMI Remotely Starting with Windows Vista (Windows Vista 之後的遠端 WMI 連線) (http://go.microsoft.com/fwlink/?LinkId=153786)。

  • 在將脫離命名空間中的主機叢集新增至不在脫離命名空間的 VMM 伺服器前,您必須將主機叢集的 DNS 尾碼新增至 VMM 伺服器中的 TCP/IP 連線設定。

新增及移除主機的帳戶需求

新增或移除 Hyper-V 或 Virtual Server 主機時,不能使用做為 VMM 服務帳戶的相同網域帳戶。

新增主機時,VMM 會將 VMM 服務帳戶新增至主機電腦的本機系統管理員群組,而 VMM 會使用該帳戶來與主機通訊。新增主機時,如果代理程式安裝失敗,則 VMM 需要能夠成功復原處理程序以及從主機電腦移除 VMM 代理程式。如果系統管理員使用操作 VMM 的相同帳戶,則作業會失敗。

若要移除主機,VMM 必須從主機電腦的本機系統管理員群組中移除 VMM 服務帳戶,如果系統管理員使用 VMM 服務帳戶來連線,則會造成與主機間的通訊中斷並且無法移除主機。

基於這些原因,在新增及移除主機時,VMM 會封鎖做為 VMM 服務帳戶的相同網域帳戶。

其他資源

Hyper-V、Virtual Server 及 ESX Server 主機的安全性考量事項

本節針對主機中執行的特定虛擬化軟體類型 (Hyper-V、Virtual Server 或 ESX Server) 說明 VMM 中的安全性需求。保護主機的第一道防禦陣線便是遵循 Hyper-V、Virtual Server 及 ESX Server 的最佳安全性做法。

Hyper-V 主機的 VMM 安全性考量事項

針對受 VMM 管理之 Hyper-V 主機執行下列安全性組態工作。

使用 VMM 使用者角色,而非 Hyper-V 角色定義

如果您使用 VMM 來管理 Hyper-V 主機,則需要使用 VMM 中的委派系統管理來設定已透過 Hyper-V 角色定義指派的權限。

VMM 使用自己的角色安全性來授權在虛擬機器上執行的作業。除了系統管理員使用者角色外,還包括委派系統管理員使用者角色,該角色幾乎可啟用主機群組與程式庫伺服器中根據角色範圍定義的所有管理工作。您也可以建立自助使用者角色來定㲩㜀䘀㸀一組特定的作業,讓受限環境內的使用者在自己的虛擬機器上執行。如需 VMM 使用者角色的詳細資訊,請參閱 VMM 中的角色安全性

Hyper-V 安全性是以授權管理員 API (即 AZMan) 為基礎。與 VMM 委派系統管理模型相似,系統管理員可設定一組角色物件,並將 Active Directory 使用者與群組帳戶指派給這些角色。每個角色均可取得一組用於存取及管理虛擬機器的權限,並可將安全物件指派給依執行之存取檢查決定物件的範圍。將 Hyper-V 主機新增至 VMM 時,VMM 會套用自己的授權層級 (由 VMM 使用者角色定義),以決定 VMM 系統管理員與自助使用者在使用 VMM 時能在 Hyper-V 虛擬機器上執行的動作。為了執行此工作,VMM 會在主機電腦中建立自己的 AZMan 授權存放區。在 VMM 2008 R2 中,當 VMM 管理 Hyper-V 主機時,為了保留 Hyper-V 授權存放區根範圍中的角色定義與角色成員資格,已變更在 AZMan 中實作使用者角色的方式。在 VMM 2008 中,VMM 管理主機時不使用 Hyper-V 角色。

VMM 2008 R2 中的 Hyper-V 虛擬機器授權

VMM 2008 R2 會將角色定義和角色成員資格的變更保留在 Hyper-V 授權存放區中的根範圍。VMM 代理程式會覆寫其他範圍的所有變更。因此,當 VMM 2008 R2 管理 Hyper-V 主機時,存取權限是由根範圍中所有角色與指派給每個虛擬機器範圍之 VMM 角色的聯集決定。

VMM 2008 R2 會在 Hyper-V 主機的代理程式安裝期間進行下列授權存放區變更。

  1. VMM 會建立自己的 AZman 授權存放區 (HyperVAuthStore.xml) 並存放在 %ProgramData%\Microsoft Virtual Machine Manager 資料夾,該資料夾會存放 VMM 用來授權虛擬機器存取與管理的角色及成員資格。

  2. VMM 會更新 Hyper-V 主機中的 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Virtualization 登錄項目,以將 Hyper-V 指向 VMM 授權存放區。

  3. VMM 會將 Hyper-V initialstore.xml 授權存放區根範圍中的所有使用者角色與角色成員資格匯入 VMM 授權存放區。

VMM 代理程式安裝完成後,VMM 使用者角色重新整理程式會每隔半小時覆寫根範圍之外所有範圍的變更。不過,VMM 會保留後續新增至根範圍的所有角色定義與成員資格。

從 VMM 2008 R2 移除 Hyper-V 主機時,VMM 會在 Hyper-V 電腦上儲存 VMM 授權存放區的複本、移除複本中由 VMM 定義的所有使用者角色與範圍,然後再將 Hyper-V 指向該存放區,而不會將 Hyper-V 指回 initialstore.xml。

VMM 2008 中的 Hyper-V 虛擬機器授權

將 Hyper-V 主機新增至 VMM 2008 時,VMM 會建立自己的授權存放區而不會從 Hyper-V 電腦的 initialstore.xml 匯入任何角色與成員資格設定,然後再更新登錄使該 Hyper-V 指向 VMM 授權存放區。

VMM 2008 不會修改現有的 Hyper-V 角色定義,它完全忽略這些定義。從 VMM 2008 移除 Hyper-V 主機時,會更新登錄以將 Hyper-V 指回原始的 Hyper-V 授權存放區。

note附註
在 Hyper-V 環境中,VMM 2008 R2 的發行前版本不支援以共用的 ISO 映像檔建立 Hyper-V 虛擬機器。根據預設,將 ISO 映像檔新增至虛擬機器的磁碟機時,VMM 會將 ISO 映像檔的複本連接至虛擬機器,而不共用映像檔。在 VMM 2008 R2 的發行前版本中,如果使用者在 Hyper-V 虛擬機器中選擇 [共用映像檔而不要複製] 選項,則作業會失敗。

針對 Hyper-V 虛擬機器啟用共用 ISO 映像檔

若要在 Hyper-V 虛擬機器上啟用共用 ISO 映像檔,您必須執行下列組態設定:

  • 您必須為 VMM 伺服器服務帳戶指定 Active Directory 網域帳戶。

  • 您必須將 ISO 映像存放在 VMM 程式庫。如需詳細資訊,請參閱如何將檔案新增至程式庫 (http://go.microsoft.com/fwlink/?LinkId=162799)。

  • 您必須在程式庫共用上設定共用權限和 NTFS 權限。執行 Hyper-V 的每台伺服器的 VMM 伺服器服務帳戶和機器帳戶必須擁有共用的讀取權限。

  • 若要讓 Hyper-V 虛擬機器在網域環境中存取共用資料夾中的 ISO 檔案,您必須為執行 Hyper-V 的伺服器設定限制委派。請設定執行 Hyper-V 之伺服器的電腦帳戶,以顯示 Common Internet File System (CIFS) 服務類型的委派認證。

note附註
在 VMM 2008 中,不支援自助使用者使用共用 ISO 映像檔。相反地,VMM 會將 ISO 映像檔的複本連接至新的虛擬機器。VMM 2008 R2 支援自助功能的共用 ISO 映像。

如需相關程序,請參閱如何在 VMM 中針對 Hyper-V 虛擬機器啟用共用 ISO 映像 (http://go.microsoft.com/fwlink/?LinkID=161975)。

虛擬機器連線

將 Hyper-V 主機新增至 VMM 時,VMM 會使用 Hyper-V 主機專用的預設遠端連線通訊埠 (預設為通訊埠 2179) 來啟用遠端虛擬機器連線,此通訊埠在 VMM 中是可設定的一般設定。您可以在將主機新增至 VMM 時變更主機的遠端連線通訊埠,或透過在主機內容的 [遠端] 索引標籤上修改設定來進行 如需在 VMM 中設定預設遠端連線的指示,請參閱如何設定虛擬機器的遠端存取權 (http://go.microsoft.com/fwlink/?LinkId=162936)。

Hyper-V 管理員使用 VMConnect 從遠端主控台連線至虛擬機器。VMConnect 則使用遠端桌面通訊協定 (RDP) 接聽程式通訊埠,提供透過 Hyper-V 中的父分割連接虛擬機器的主控台連線。

VMM 使用相同的單一通訊埠接聽程式技術,在 VMM 系統管理主控台中為系統管理員提供即時縮圖。VMM 自助入口網站和 VirtualMachineViewer.exe 也會使用 RDP 單一通訊埠接聽程式技術。

不過,RDP 的單一通訊埠接聽程式只適用於從執行下列其中一種作業系統的電腦所建立的主控台連線:Windows Vista Service Pack 1 (SP1)、Windows Server 2008 或 Windows Server 2008 R2。如果用戶端電腦執行的是其他任何作業系統,VMM 便會使用標準 RDP,直接連線至在虛擬機器內執行的來賓作業系統。在這種情況下,只有當虛擬機器處於執行中狀態,而且虛擬來賓服務已安裝在虛擬機器時,VMM 才能建立連線。

適用於 Hyper-V 主機的其他資源

Virtual Server 主機的 VMM 安全性考量事項

讓 VMM 管理 Virtual Server 主機時,您只需要設定遠端連線。VMM 的安全性模型可完全支援在 Virtual Server 中指派的權限。

存取虛擬機器

VMM 可完全支援 Virtual Server 虛擬機器的安全性模型。對於在 Virtual Server 主機上建立的每部虛擬機器,VMM 會維護虛擬機器組態檔 (.vmc),此組態檔可反映透過 VMM 角色安全性指派的權限。VMM 不使用虛擬機器組態檔。維護此檔案的目的是為了利用 Virtual Server 系統管理網站使 Virtual Server 中的虛擬機器管理更緊密。

虛擬機器連線

將 Virtual Server 主機新增至 VMM 時,VMM 會使用 Virtual Server 中的虛擬機器遠端控制 (VMRC) 來啟用虛擬機器連線。根據預設,VMM 會使用預設的遠端連線通訊埠 (通訊埠 5900) 來進行 VMRC 連線,此通訊埠在 VMM 中是可設定的一般設定。您可以在將主機新增至 VMM 時變更主機的遠端連線通訊埠,或透過在主機內容的 [遠端] 索引標籤上修改設定來進行 如需為 VMM 設定預設遠端連線通訊埠的指示,請參閱如何設定虛擬機器的遠端存取權 (http://go.microsoft.com/fwlink/?LinkId=162936)。

當您將 Virtual Server 主機新增至 VMM 時,不會啟用 VMRC 連線的加密功能。新增主機後,建議您實作安全通訊端層 (SSL) 加密,特別是當您使用以純文字格式傳送密碼的基本驗證時。藉由修改主機內容 [遠端] 索引標籤中的設定,您可以利用 Virtual Server 的未簽署憑證啟用 SSL。如需指示,請參閱如何變更主機上虛擬機器的遠端連線 (http://go.microsoft.com/fwlink/?LinkID=123607)。

根據預設,VMM 不允許多位使用者利用 VMRC 連線至虛擬機器。在訓練與測試實驗室案例中,使用者必須向其他連線至相同遠端工作階段的使用者示範某項工作,為了支援這些案例,VMRC 允許多位使用者連線至一部虛擬機器,讓每位使用者存取來賓作業系統而不受到其他使用者干擾。VMM 預設會關閉此功能。如果您想要開啟,請更新主機內容 [遠端] 索引標籤中的其他設定。

適用於 Virtual Server 主機的其他資源

ESX Server 主機的 VMM 安全性考量事項

將 VirtualCenter 伺服器新增至 VMM 後,需要針對 ESX Server 主機進行下列安全性組態。

存取虛擬機器

當您將 VirtualCenter 伺服器新增到 VMM 時,VMM 會新增狀態為 [確定 (有限制)] 的每一部 ESX Server 主機,直到您設定 VMM 在主機與 Windows 伺服器電腦之間執行檔案傳輸時所需要的安全性資訊為止。不受支援的虛擬機器作業包括從存放在程式庫伺服器的虛擬硬碟建立虛擬機器,或是將虛擬機器存放在 VMM 程式庫中。

當主機狀態為 [確定 (有限制)] 時,VMM 系統管理員只能處理一部分虛擬機器作業 (不需要此種檔案傳輸類型者)。如需受有限管理或完整管理之 VMM 中支援的虛擬機器作業清單,請參閱 ESX Server 主機支援的虛擬機器動作 (http://go.microsoft.com/fwlink/?LinkID=134489)。

若要將主機的狀態變更為 [確定] 並啟用 VMM 支援的所有管理功能,VMM 在主機上必須具有虛擬機器委派認證。此外,如果您要在安全模式下管理 VMware 環境,VMM 還必須要能夠依照憑證來識別主機。如果是 ESX Server 的非內嵌版本,您還需要有主機的 RSH 公開金鑰。如需設定 ESX Server 主機安全性的詳細指示,請參閱在 VMM 中設定受管理的 VMware 環境安全性

透過 VMM 自助入口網站存取 VMware 虛擬機器

若要管理 VMware 虛擬機器,VMM 自助入口網站的使用者必須下載並安裝 VMware ActiveX 控制項。必須透過安全的 SSL 通道下載此控制項。VMM 會使用 SSL 連線至 VMware 主機。但是,要確認使用者可下載並安裝 ActiveX 控制項,您必須啟動 VMware 主機電腦上的 SSL。您也可以在用戶端機器上安裝 Virtual Infrastructure 用戶端,該機器也會安裝 ActiveX 控制項,可不須從主機下載 ActveX 控制項。

虛擬機器連線

對於虛擬機器連線,ESX Server 主機使用 VMware 控制項。ESX Server 會裝載在使用者用戶端中執行的控制項。

適用於 ESX Server 主機的其他資源

另請參閱

 
顯示: