Перенос контейнера Distributed Key Management (DKM) для System Center 2022 VMM в другое подразделение OU в домене Active Directory

03.10.2023 Автор:Алексей Максимов
1 058 Просмотров Комментариев нет

Move the Distributed Key Management (DKM) container for System Center 2022 VMM to another OU in the Active Directory domainРанее мы уже рассматривали пример создания специального контейнера в домене Active Directory для хранения данных механизма Distributed Key Management (DKM), используемого в System Center Virtual Machine Manager (VMM). Видимо, разработчиками VMM предполагается, что эта процедура выполняется разово при развёртывании сервера VMM и не требует дальнейшей корректировки начальной конфигурации, поэтому графическая среда управления VMM не имеет штатной возможности изменения этих настроек. Однако на практике может возникнуть необходимость переноса данных контейнера DKM в другое доменное подразделение Organizational Unit (OU) для уже развёрнутого и эксплуатируемого сервера VMM.

Ранее в блогах TechNet имелась отдельная статья, описывающая процедуру изменения OU для DKM, но со временем Microsoft помножил её на ноль, как и массу других полезных материалов и наработок. Воспользуемся ещё пока живой копией этой статьи на rssing.com "How to move Distributed Key Management(DKM) in VMM from one container to another" и проведём требуемую процедуру переноса контейнера DKM на реальном примере.

Итак, имеется два сервера System Center 2022 VMM, развёрнутых в конфигурации Highly Available. База данных VMM расположена в отдельном кластере SQL Server. Серверы VMM используют для DKM контейнер с именем "System Center VMM DKM" в OU "OU=Service Objects,OU=KOM-AD01,OU=KOM,DC=holding,DC=com". Необходимо перенести данные контейнера в новое подразделение OU "OU=Services,OU=KOM,DC=holding,DC=com".

Проверяем в консоли VMM - нет ли выполняющихся заданий, и если таковые есть, дожидаемся их завершения. После этого выключаем оба сервера VMM и на всякий случай создаём резервную копию базы данных VMM.

Подключаемся к базе данных VMM, например, с помощью SQL Server Management Studio и выполняем следующий запрос к БД VMM, чтобы получить сведения о текущих путях DKM:

SELECT PropertyName, PropertyValue
FROM [VirtualManagerDB].[dbo].[tbl_VMM_GlobalSetting]
WHERE PropertyName like '%Container%'

System Center VMM Database - How to get the current location of a DKM container in a domain

Как видим, значение с текущим DN-именем OU хранится к колонке PropertyValue для значения TopContainerName в колонке PropertyName. Чтобы заменить DN-имя подразделения OU на новое, выполняем запрос следующего вида:

UPDATE [VirtualManagerDB].[dbo].[tbl_VMM_GlobalSetting]
SET PropertyValue = 'CN=System Center VMM DKM,OU=Services,OU=KOM,DC=holding,DC=com'
WHERE PropertyName = 'TopContainerName'

Последний запрос должен отработать без ошибок, после чего можем снова проверить хранящиеся в БД данные первым запросом:

System Center VMM Database - How to change the OU of a DKM container in a domain

Теперь выполняем непосредственный перенос контейнера DKM из старого подразделения OU в новое, например, с помощью стандартной процедуры Move в консоли управления ADUC.

Move System Center VMM DKM container in a ADUC

Перед переносом не забываем отключить флаг защиты удаления, а после переноса снова включить этот флаг, в свойствах самого контейнера DKM и свойствах вложенных в него объектов.

Protect object from accidental deletion

После переноса контейнера следует убедиться в том, что в свойствах контейнера на вкладке Security по прежнему предоставлены полные права для учётной записи, от имени которой работает служба сервера VMM.

Осталось запустить серверы VMM и проверить их работу. А старое подразделение OU, в котором ранее хранился контейнер DKM, теперь можно удалить, если в нём больше нет необходимости.

Опубликовано в :  Microsoft System Center
Метки :  , , ,

Добавить комментарий