System Center VMM installieren: AD-Konto und DKM anlegen, ADK und SQL-Utilities einrichten

    Welche Gefahren drohen durch unerkannte Schwachstellen und wie kann man sich schützen? Kostenloses Whitepaper von baramundi herunterladen » (Anzeige)

    Installation von SCVMM vorbereitenDieser Beitrag be­schreibt die Vorarbeiten für das Setup des Virtual Machine Manager (SCVMM). Dazu zählen das An­legen eines AD-Kontos, eines SPN und eines Distri­buted Key Manage­ment Containers sowie die Instal­lation diverser Tools. Manche Maß­nahmen sind nur für eine hoch­verfügbare Konfigu­ration nötig.

    In einem eigenen Blog-post habe ich bereits eine Übersicht zu Microsofts Virtual Machine Manager verfasst und im Zuge dessen wichtige Funktionen und Komponenten generell bzw. der Version 1801 beschrieben. Eine Installation dieser Fassung weicht nicht wesentlich von jener der Version 2016 ab.

    Der VMM wird in der später folgenden Beispiel­installation standalone und nicht hochverfügbar konfiguriert. Konsole und Library teilen sich dabei eine virtuelle Maschine mit dem VMM Management Server. Für das Setup des SCVMM 1801 und dessen Datenbank verwende ich einen separaten virtuellen SQL Server 2016.

    Erstellen eines Domänenkontos für den VMM Service

    Der VMM Server muss Mitglied einer Domäne sein. In meinem Fall verwende ich für die spätere Interaktion mit den Hyper-V Hosts bzw. der Bibliothek ein Domänenkonto anstelle eines lokalen Systemkontos. Wird der SCVMM-Server hoch­verfügbar konfiguriert, ist ein Domänenkonto zwingend notwendig.

    Im Active Directory lege ich dement­sprechend diesen Domain-Account an, welcher dann Mitglied der lokalen Administratoren des VMM-Servers wird und als Service-Konto nur dem Deployment des Virtual Machine Managers dient. Es bleibt somit ausschließlich dem VMM vorbehalten und wird nicht durch weitere System-Center-Applikationen verwendet. Der Name des Kontos lautet in diesem Lab VMMService. Es wird später außerdem automatisch zur lokalen Gruppe der Administratoren von verwalteten Hyper-V Hosts hinzugefügt. Nachfolgende Kontooptionen lege ich dabei festgelegt:

    • Benutzer kann Kennwort nicht ändern
    • Kennwort läuft nie ab
    • Objekt vor zufälligem Löschen schützen

    Hinweis: Das Konto kann nach der Installation nicht einfach gewechselt werden. Ein Tausch zieht immer eine Deinstallation und eine anschließende VMM-Neuinstallation nach sich (die Daten in der DB können dabei jedoch erhalten bleiben).

    Anlegen des Distributed Key Management Container (DKM)

    Für das Setup des VMM verwende ich einen Distributed Key Management Container, welcher sich beispielsweise manuell via PowerShell anlegen lässt. Er ist für die Standalone-Konfiguration im Gegensatz zu einer hoch­verfügbaren Cluster-Variante nicht unbedingt erforderlich.

    Hintergrund dabei ist dann, dass SCVMM einige Informationen wie Run-as-Anmeldedaten, Produkt­schlüsselinfos bei virtuellen Festplatten und Profil-Passwörter der Gäste-OS verschlüsselt in der DB ablegt. Die Verschlüsselung dieser Daten ist an das Service-Konto und den SCVMM-Server gebunden. Schlüssel entsprechend verschlüsselter Daten werden bei einer standalone Installation ohne DKMC lokal abgelegt.

    Stattdessen lassen sich die Keys aber auch im Active Directory speichern, so dass sie für sämtliche Knoten oder bei Neuinstallationen verfügbar bleiben.

    DKM-Container für VMM

    Folgendes Script legt den DKM-Container an und vergibt die evtl. nötigen Berechtigungen an das VMM-Installationskonto:

    Prüfen der Berechtigungen auf den Container

    Erstellen eines SPN

    Der Service Principal Name (SPN) wird im Active Directory erstellt und dient der Ermittlung des Service-Accounts, mit dem VMM ausgeführt wird. Wurde dieser SPN nicht registriert, kann beispielsweise eine VMM-Konsole (ausgeführt auf einem Remote-Rechner) keine Verbindung zum VMM-Server herstellen. Der VMM-Administrator, der die Installation durchführt, muss die Berechtigung haben, diese SPNs während der Installation anzulegen.

    Ein bevorzugter Weg kann sein, diese dann manuell durch einen Domänen-Administrator zu konfigurieren. In meinem Fall lege ich sie wie folgt fest:

    Kommt es nach dem Setup zu der Warnung, dass der Service Principal Name im AD nicht registriert werden konnte, arbeiten Sie die Vorschläge ab:
    • Service Principal Name Werte unter folgendem Registry Key hinzufügen: "Software\Microsoft\Microsoft System Center Virtual Machine Manager
      Server\Setup\VmmServicePrincipalNames".
    • Ausführen von "C:\Program Files\Microsoft System Center\Virtual Machine Manager\setup\ConfigureSCPTool.exe -install" zur Konfiguration des SCP
      (Service Connection Point)

    Download und Installation des Windows ADK

    Bevor wir später ein Setup durchführen können, ist es nötig das Windows Assessment and Deployment Kit (ADK) für Windows 10 herunterzuladen und die Komponenten Deployment Tools und Windows Preinstallation Environment zu installieren. Dieser manuelle Vorgang ist notwendig vor der eigentlichen Installation.

    Benötigte Komponenten aus dem Windows ADK für Windows 10 installieren

    Anstatt über die GUI kann die Installation auf einem Core-Server mit folgender Befehlszeile stattfinden:

    adksetup.exe /quiet /features OptionId.DeploymentTools
    OptionId.WindowsPreinstallationEnvironment

    Das ADK beinhaltet Komponenten für die Erstellung von OS-Images, welche bei einem gemanagten Bare-Metal-Deployment für Hyper-V Hosts von SCVMM aus erforderlich sind.

    Bedingungen für VMM-SQL Instanz

    Auf meinem dedizierten SCVMM-Server installiere ich zusätzlich die optionalen Kom­mando­zeilen-Utilities des Microsoft SQL Server 2016 Feature Pack. Kommt der SQL zusammen mit dem VMM Management Server auf einer Maschine zum Einsatz, ist eine Installation der Utilities nicht notwendig.

    Die Datenbank für den VMM-Server wird in diesem Beispiel später automatisch mit erstellt. Dieser Vorgang kann auch manuell vorab am SQL erledigt werden. Die Datenbank-Instanz lege ich hier auf einem separaten Microsoft SQL Server 2016 an.

    Bei aktivierter (Windows) Firewall sollte deren Einstellung in Richtung SQL Zugang berücksichtigt werden, weitere Infos hier. Der Standard TCP-Port ist 1433, ein Test über folgendes Cmdlet hilft bei einer Prüfung:

    Test-NetConnection SQL-SRV-N1 -Port 1433

    In Umgebungen mit weniger als 150 Hosts kann der SQL Server auch direkt auf dem VMM Server installiert sein. Auch macht es Sinn, die Datenbank generell hochverfügbar zu konfigurieren und einen bereits vorhandenen SQL Server zu verwenden.

    Der SQL Server muss unter einem AD-Account laufen

    Mein separater SQL Server ist Mitglied derselben Domäne wie der VMM-Server und der SQL-Service muss einen Account verwenden, welcher Zugangs­berechtigungen zu den Active Directory Domain Services (AD DS) hat. In meinem Fall nutze ich dafür ein eigenes Domänenkonto mit dem Namen SQLService.

    4 Kommentare

    Bild von Thomas Hertli
    2. März 2018 - 16:38

    Im DKM-Script wird ein Konto "VMMadmin" angesprochen. Entspricht das dem für den Service angelegten Konto oder muss VMMadmin zusätzlich angelegt werden und wenn ja, mit welchen Berechtigungen ?

    Bild von Marcel Küppers
    2. März 2018 - 17:05

    Hallo Thomas,

    der Account, der VMM installiert, sollte Vollzugriff auf den DKMC und seine untergeordneten Objekte haben.

    VMMadmin ist in diesem Fall der autorisierte User für die Installation.

    Hilft das?

    Gruß,
    Marcel

    Bild von Thomas Hertli
    23. März 2018 - 8:42

    sorry für die späte Antwort

    Ja hat geholfen

    Danke

    Bild von Marcel Küppers
    25. März 2018 - 16:35

    Danke für die Rückmeldung!