Hyper-V-Replica einrichten und betreiben (2)

Lesezeit
2 Minuten
Bis jetzt gelesen

Hyper-V-Replica einrichten und betreiben (2)

12.10.2015 - 00:00
Veröffentlicht in:
Windows Server 2012 R2 verbessert die Ausfallsicherheit und Hochverfügbarkeit von Hyper-V deutlich. Bereits mit Windows Server 2012 führte Microsoft die Replikation von virtuellen Servern zwischen Hyper-V-Hosts ein, doch mit Hyper-V-Replica lassen sich virtuelle Server noch besser zwischen maximal drei Hyper-V-Hosts replizieren und synchron halten. Windows Server 2012 unterstützt in diesem Bereich nur zwei Hyper-V-Hosts für die Replikation. In der neuen Version können Administratoren die Replikation auch wie eine Serverkette anordnen. In diesem zweiten Teil des Workshops lesen Sie, wie Sie bei der Replikation mit selbstsignierten Zertifikaten arbeiten, virtuelle Server zwischen Hyper-V-Hosts replizieren und wie Sie ein Failover mit Hyper-V-Replica durchführen.
Mit selbstsignierten Zertifikaten arbeiten
Alternativ zur Verwendung von richtigen Zertifikaten lässt sich auch mit selbstsignierten Zertifikaten auf den Hyper-V-Hosts arbeiten. In diesem Fall profitieren Sie von der Sicherheit der zertifikatsbasierte Authentifizierung, müssen aber keine komplizierten Maßnahmen vornehmen, um Zertifikate zu verwalten.

Dazu verwenden Sie makecert.exe aus dem Windows 8/8.1 SDK [1], das kostenlos zur Verfügung steht. Sie benötigen das Tool auf allen beteiligten Hyper-V-Hosts, um Zertifikate zu erstellen. Sie finden makecert.exe nach der Installation des Toolkits im Verzeichnis "C:\Program Files (x86)\ Windows Kits\8.0\bin\x64". Die Installation kann auch auf einer Arbeitsstation erfolgen und lässt sich anschließend auf die beteiligten Server kopieren. Danach erstellen Sie zunächst auf dem ersten Server ein selbstsigniertes Zertifikat und dann auf den anderen Servern.

Für eine beispielhafte Replikation zwischen zwei Servern kopieren Sie zunächst makecert.exe auf alle beteiligten Hyper-V-Server. Nun öffnen Sie eine Befehlszeile auf dem ersten Server und geben den folgenden Befehl ein, um ein Zertifikat für eine Stammzertifizierungsstelle zu erstellen:
makecert -pe -n "CN=PrimaryRootCA" -ss root -sr LocalMachine 
 -sky signature -r "PrimaryRootCA.cer"
Geben Sie danach folgenden Befehl ein:
makecert -pe -n "CN=FQDN des Servers" -ss my -sr LocalMachine 
 -sky exchange -eku 1.3.6.1.5.5. 7.3.1,1.3.6.1.5.5.7.3.2 -in 
 "PrimaryRootCA" -is root -ir LocalMachine 
 -sp "Microsoft RSA SChannel Cryptographic Provider" 
 -sy 12 PrimaryCert.cer
Wechseln Sie danach auf den zweiten Server und führen Sie folgenden Befehl aus, um dort ein selbstsigniertes Stammzertifizierungsstellenzertifikat zu erstellen:
makecert -pe -n "CN=SecondaryRootCA" -ss root -sr LocalMachine 
 -sky signature -r "SecondaryRootCA.cer"
Nutzen Sie dann das Kommando
makecert -pe -n "CN=FQDN" -ss my -sr LocalMachine 
 -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 
 -in "SecondaryRootCA " -is root -ir LocalMachine 
 -sp "Microsoft RSA SChannel Cryptographic Provider" 
 -sy 12 SecondaryCert.cer
Jetzt liegen auf den Servern alle notwendigen Zertifikate vor. Diese müssen Sie jetzt noch auf den anderen Server kopieren. Kopieren Sie die Datei SecondaryRoot-CA.cer vom zweiten Server auf den primären Server und geben Sie anschließend den folgenden Befehl ein:
certutil -addstore -f Root "SecondaryRootCA.cer"
Kopieren Sie danach PrimaryRootCA.cer vom primären Server auf den Replikatserver und geben Sie danach
certutil -addstore -f Root "PrimaryRootCA.cer"
ein. Jetzt vertrauen die beiden Server sich jeweils gegenseitig, was die Ausstellung von Zertifikaten betrifft. Öffnen Sie danach auf beiden Servern den Registry-Editor und navigieren Sie zu "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization \ Replication". Hier setzen Sie den Wert "DisableCertRevocationCheck" auf "1". Wenn vorhanden, navigieren Sie zu "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization \ FailoverReplication" und setzen auch hier den Wert "DisableCertRevocationCheck" auf "1".

Achten Sie darauf, dass die erstellten Zertifizierungsstellen auf den beiden Servern, auf denen Sie die selbst signierten Zertifikate erstellt haben, als vertrauenswürdig angezeigt werden. Sie sehen die Zertifikate im Zertifikatespeicher der Server. Diesen rufen Sie über certlm.msc auf. Ohne diese Zertifikate können Sie später Hyper-V-Replica nicht einrichten.

Wollen Sie Hyper-V-Replica im Cluster nutzen, müssen Sie zusätzlich einen Hyper-V-Replica Broker im Clustermanager von Windows Server 2012 R2 erstellen. Dabei gehen Sie vor wie bei jeder anderen Clusterressource auch. In diesem Fall sollten Sie aber erst ein neues Computerkonto im Snap-In "Active Directory-Benutzer und -Computer" erstellen. Rufen Sie die Registerkarte "Sicherheit" des neuen Kontos auf und geben Sie dem Computerkonto des Clusters "Vollzugriff ".

Um SSL für die Replikation zu nutzen, rufen Sie anschließend auf beiden Hyper-V-Servern die Hyper-V-Einstellungen auf und klicken auf "Replikationskonfiguration". Dort aktivieren Sie die Option "Zertifikatbasierte Authentifizierung verwenden (HTTPS)" und wählen das Zertifikat aus. Diese Einstellungen müssen Sie auf allen beteiligten Servern vornehmen. Richten Sie danach die Replikation ein. Erscheinen hier Fehler, sind die Zertifikate nicht korrekt. Überprüfen Sie in diesem Fall die vorangegangenen Schritte.

    Seite 1: Mit selbstsignierten Zertifikaten arbeiten
    Seite 2: Virtuelle Server zwischen Hyper-V-Hosts replizieren


Seite 1 von 2 Nächste Seite >>




Thomas Joos/jp/ln

[1] http://msdn.microsoft.com/de-de/windows/desktop/aa904949.aspx

Ähnliche Beiträge

Azure mit lokalen Netzen verbinden (3)

Azure bietet vielfältige Möglichkeiten, um Ressourcen in der Cloud mit lokalen Netzwerken zu verbinden. Dazu gehören auch Sicherheitsmechanismen und Loadbalancer, die den Datenverkehr zwischen Cloud und lokalem Rechenzentrum nicht nur zur Verfügung stellen, sondern absichern und hochverfügbar konfigurieren. IT-Administrator zeigt die Wege auf, um die Cloudumgebung mit dem lokalen Netzwerk zu verbinden. Im dritten und letzten Teil der Workshopserie zeigen wir, wie Sie virtuelle Firewalls hochziehen.

Azure mit lokalen Netzen verbinden (2)

Azure bietet vielfältige Möglichkeiten, um Ressourcen in der Cloud mit lokalen Netzwerken zu verbinden. Dazu gehören auch Sicherheitsmechanismen und Loadbalancer, die den Datenverkehr zwischen Cloud und lokalem Rechenzentrum nicht nur zur Verfügung stellen, sondern absichern und hochverfügbar konfigurieren. IT-Administrator zeigt die Wege auf, um die Cloudumgebung mit dem lokalen Netzwerk zu verbinden. Im zweiten Teil binden wir den Connection Broker an und erklären, was es mit dem Cloud Witness auf sich hat.

Azure mit lokalen Netzen verbinden (1)

Azure bietet vielfältige Möglichkeiten, um Ressourcen in der Cloud mit lokalen Netzwerken zu verbinden. Dazu gehören auch Sicherheitsmechanismen und Loadbalancer, die den Datenverkehr zwischen Cloud und lokalem Rechenzentrum nicht nur zur Verfügung stellen, sondern absichern und hochverfügbar konfigurieren. IT-Administrator zeigt die Wege auf, um die Cloudumgebung mit dem lokalen Netzwerk zu verbinden. Im ersten Teil der Workshopserie schildern wir das Prinzip virtueller Netzwerke.