• Makale

VMM'de Dağıtılmış Anahtar Yönetimini Yapılandırma

 

Uygulama Hedefi: System Center 2012 SP1 - Virtual Machine Manager, System Center 2012 R2 Virtual Machine Manager, System Center 2012 - Virtual Machine Manager

Bir Virtual Machine Manager (VMM) yönetim sunucusunun yüklenmesi sırasında, anahtarları yerel bilgisayardaki şifreli verilere mi depolayacağınıza yoksa dağıtılmış anahtar yönetimi mi yapılandıracağınıza karar vermeniz gerekir. Kurulum’un Hizmet hesabını yapılandır ve dağıtılmış anahtar yönet sayfasında, şifreleme anahtarlarını VMM yönetim sunucusunun yüklendiği bilgisayarda depolamak yerine Active Directory Domain Services’de (AD DS) depolamak için dağıtılmış anahtar yönetimini seçebilirsiniz.

Varsayılan olarak, VMM tarafından VMM veritabanındaki bazı veriler, Veri Koruma Uygulama Programlama Arabirimi (DPAPI) kullanılarak şifrelenir. Örneğin, VMM, konuk işletim sistemi profillerindeki kimlik bilgilerini ve parolaları Farklı Çalıştır hesabı olarak şifreler. VMM, ayrıca, sanal makine rol senaryoları ve yapılandırma için sanal sabit disk özelliklerindeki ürün anahtarı bilgilerini de şifreler. Bu verilerin şifrelenmesi, VMM ortamının üzerinde yüklü olduğu VMM tarafından kullanılan belirli bir bilgisayar ve hizmet hesabına bağlıdır. Bu nedenle, VMM yüklemenizi başka bir bilgisayara taşırsanız, VMM şifrelenmiş verileri korumaz. Bu durumda, VMM nesnelerini düzeltmek için bu verileri el ile girmelisiniz.

Ancak, dağıtılmış anahtar yönetimi şifreleme anahtarlarını AD DS’de depolar. Bu nedenle, VMM yüklemenizi başka bir bilgisayara taşımanız gerekirse, diğer bilgisayar AD DS içindeki şifreleme anahtarlarına erişebileceğinden, VMM şifreli verileri korur.

System_CAPS_ICON_important.jpg Önemli

Sanal makine rolleri için, şifrelenmiş veriler korunmazsa, bunları el ile girmeniz mümkün olmayacağından, bu rolleri yönetemezsiniz.

Dağıtılmış anahtar yönetimini etkinleştirmeyi seçerseniz, şifreleme anahtarlarını depolamak için AD DS’de uygun bir kapsayıcı oluşturma hakkında AD DS yöneticiniz ile birlikte çalışın.

Aşağıdakiler, VMM içinde dağıtılan anahtar yönetimini kullanma ile ilgili bazı gereksinim ve hususlardır:

  • VMM yüklemeden önce AD DS içinde bir kapsayıcı oluşturmanız gerekir. Kapsayıcı Active Directory Hizmeti Arabirimleri Düzenleyicisi (ADSI Düzenle) aracını kullanarak oluşturabilirsiniz. ADSI Düzenleme'yi yüklemek için Sunucu Yöneticisi'nde, Uzak Sunucu Yönetim Araçları bölümüne AD DS Araçları özelliğini ekleyin. Yüklemeden sonra, ADSI Düzenle, Sunucu Yöneticisi'ndeki Araçlar menüsünde listelenir.

  • Kapsayıcıyı VMM yüklediğiniz kullanıcı hesabı ile aynı etki alanında oluşturmanız gerekir. Ayrıca, VMM hizmetinin kullanacağı bir etki alanı hesabı belirtirseniz, bu hesabın da aynı etki alanında olması gerekir.

    Örneğin, yükleme hesabı ve hizmet corp.contoso.com domain etki alanındaysa, kapsayıcıyı bu etki alanında oluşturmanız gerekir. Bu nedenle, VMMDKM adlı bir kapsayıcı oluşturursanız, kapsayıcının konumunu CN=VMMDKM,DC=corp,DC=contoso,DC=com olarak belirtirsiniz.

  • AD DS yöneticisi kapsayıcıyı oluşturduktan sonra, VMM yüklediğiniz hesaba AD DS’de kapsayıcıya Tam Denetim izinleri verilmelidir. Ayrıca, izinler bu nesne ve kapsayıcının tüm alt nesneleri için geçerli olmalıdır.

  • Yüksek oranda kullanılabilir bir VMM yönetim sunucusunu yüklerken, AD DS’de şifreleme anahtarlarını depolamak için dağıtılmış anahtar yönetimi kullanmalısınız.

    Dağıtılmış anahtar yönetimi bu senaryoda gereklidir çünkü Virtual Machine Manager hizmeti kümedeki başka bir düğüme yük devrettiğinde, Virtual Machine Manager hizmetinin hala VMM veritabanındaki verilere erişmek için şifreleme anahtarları erişim ihtiyacı vardır. Bu erişim sadece, şifreleme anahtarları AD DS gibi merkezi bir yerde depolanıyorsa mümkündür.

  • Sanal makine rolleri ile ilgili gelecekteki yükseltmeler için, kurulum sırasında dağıtılan anahtar yönetimini kullanmanızı öneririz. Bu, sanal makine rollerinin doğru yükseltmesini sağlar ve yükseltmeden sonra bunları yönetebilirsiniz.

  • Hizmet hesabını ve dağıtılan anahtar yönetimini yapılandırın sayfasında, AD DS’de kapsayıcı konumunu yazarak belirtmeniz gerekir. Örneğin, CN=VMMDKM,DC=corp,DC=contoso,DC=com yazarak.