• Artigo

Configurar a Gestão Distribuída de Chaves no VMM

 

Aplica-se A: System Center 2012 SP1 - Virtual Machine Manager, System Center 2012 R2 Virtual Machine Manager, System Center 2012 - Virtual Machine Manager

Durante a instalação de um servidor de gestão do Virtual Machine Manager (VMM), tem de decidir entre armazenar as chaves de dados encriptados no computador local ou configurar a gestão distribuída de chaves. Na página Configuração da conta de serviço e gestão distribuída de chaves da Configuração, pode selecionar a utilização da gestão distribuída de chaves para armazenar as chaves de encriptação nos Serviços de Domínio do Active Directory (AD DS) em vez de armazenar as chaves de encriptação no computador no qual o servidor de gestão do VMM está instalado.

Por predefinição, o VMM encripta alguns dados na base de dados do VMM utilizando a DPAPI (Data Protection Application Programming Interface). Por exemplo, o VMM encripta credenciais e palavras-passes da conta Run As em perfis do sistema operativo convidado. O VMM também encripta informações de chaves de produto em propriedades do disco rígido virtual para cenários e configuração da função de máquina virtual. A encriptação destes dados está associada ao computador específico no qual o VMM está instalado e à conta de serviço que o VMM utiliza. Por conseguinte, se mover a instalação do VMM para outro computador, o VMM não irá reter os dados encriptados. Nesse caso, tem de introduzir estes dados manualmente para corrigir os objetos do VMM.

Contudo, a gestão de chaves distribuída armazena as chaves de encriptação no AD DS. Por conseguinte, se tiver de mover a instalação do VMM para outro computador, o VMM irá reter os dados encriptados porque o outro computador terá acesso às chaves de encriptação no AD DS.

System_CAPS_ICON_important.jpg Importante

Para funções da máquina virtual, se os dados encriptados não forem retidos, não irá conseguir introduzi-los manualmente, pelo que não será capaz de gerir as funções.

Se escolher ativar a gestão distribuída de chaves, coordene com o administrador do AD DS a criação do contentor adequado no AD DS para armazenamento de chaves criptográficas.

Seguem-se alguns requisitos e considerações sobre como utilizar a gestão distribuída de chaves no VMM:

  • Tem de criar um contentor no AD DS antes de instalar o VMM. Pode criar o contentor utilizando o Editor de Interfaces de Serviço do Active Directory (ADSI Edit). Para instalar o ADSI Edit, no Gestor de Servidores adicione a funcionalidade Ferramentas do AD DS em Ferramentas de Administração Remota do Servidor. Após a instalação, o ADSI Edit fica listado no menu Ferramentas no Gestor de Servidores.

  • Tem de criar o contentor no mesmo domínio que a conta de utilizador com a qual está a instalar o VMM. Além disso, se especificar uma conta de domínio que o serviço do VMM irá utilizar, essa conta também tem de estar no mesmo domínio.

    Por exemplo, se a conta de instalação e a conta de serviço estiverem ambas no domínio corp.contoso.com, tem de criar o contentor nesse domínio. Deste modo, se pretender criar um contentor com o nome VMMDKM, especifique a localização do contentor como CN=VMMDKM,DC=corp,DC=contoso,DC=com.

  • Depois de o administrador do AD DS criar o contentor, a conta com a qual está a instalar o VMM tem de ter permissões de Controlo Total para o contentor no AD DS. Além disso, as permissões têm de aplicar-se a este objeto e aos objetos subordinados do contentor.

  • Se estiver a instalar um servidor de gestão do VMM de elevada disponibilidade, tem de utilizar a gestão distribuída de chaves para armazenar as chaves de encriptação no AD DS.

    A gestão distribuída de chaves é necessária neste cenário porque ao falhar o serviço do Virtual Machine Manager noutro nó do cluster, o serviço Virtual Machine Manager continua a necessitar de acesso às chaves de encriptação para aceder aos dados da base de dados do VMM. Este acesso só é possível se as chaves de encriptação estiverem armazenadas numa localização central como o AD DS.

  • Para atualizações futuras que envolvam funções da máquina virtual, recomendamos que utilize a gestão distribuída de chaves durante a configuração. Isto irá ajudar a garantir que as funções da máquina virtual são corretamente atualizadas e que pode geri-las após a atualização.

  • Na página Configuração da conta de serviço e gestão de chaves distribuídas, tem de especificar a localização do contentor no AD DS, escrevendo-a. Por exemplo, escrevendo CN=VMMDKM,DC=corp,DC=contoso,DC=com.