Aplica-se a:


System Center Virtual Machine Manager 2012

Introdução

No VMM 2012, os dados importantes, como senhas das contas Executar Como (RunAs) são criptografadas usando tecnologia de criptografia configurada.

Existem duas opções de tecnologias para utilizar no gerenciamento de chave de criptografia. São elas:

  1. DPAPI: Esta é a padrão. Todas as versões anteriores do VMM usam ela. Chaves de criptografia são armazenadas no servidor VMM.
  2. Chaves de Armazenamento Distribuido: As chaves de criptografia são Armazenadas no Active Directory. Para as instalações VMM de alta disponibilidade, esta é a única opção para o armazenamento de chaves de criptografia.

A opção 2 pode ter uma sobrecarga de configuração inicial, no entanto, as chaves de criptografia ainda vão estar no AD se a máquina servidor do VMM tiver perdido, e a restauração será mais rápida. Especialmente, nos cenários de formatação do servidor VMM, as chaves ainda estarão lá. Com a opção 1 você precisará redefinir todos os seus dados importantes, como as senhas de contas Executar Como para esses cenários.

Vamos nos concentrar na opção 2 (Chave de Gerenciamento Distribuido) para este artigo.

Para configurar a Chave de Gerenciamento Distribuido, durante a instalação, será solicitado que você insira a localização do AD que você gostaria de usar para armazenar suas chaves de criptografia. A localização é o nome distinto do recipiente.


O pré requisito da opção 2 é que o usuário que esteja executando a instalação do servidor VMM precisa de direitos de acesso a seguir no local que você precisa durante a instalação.

  • Generic Read
  • Generic Write
  • Create Child

 

Definição desses direitos no AD


Aqui está como você especifica o local do AD durante a instalação do servidor VMM.


  1. Se o usuário que executa a instalação tem o direito de criar o recipiente (sob Container1 ou VMMVKD), nada mais é necessário.
  2. O Setup VMM verifica se existe um recipiente sob VMMDKM Container1. Se houver container VMMDKM já foi criado no AD.
  3. O setup do VMM cria um novo recipiente VMMDKM e dá as permissões necessárias para a conta de serviço VMM.

Abaixo veja como o container aparece após a instalação


Note que a conta de Serviço do VMMé também selecionados nesta página do assistente. Para instalações VMM HÁ a conta local do sistema local do HÁ está desativado.