Fachartikel

Hyper-V-Replica einrichten und betreiben (2)

Windows Server 2012 R2 verbessert die Ausfallsicherheit und Hochverfügbarkeit von Hyper-V deutlich. Bereits mit Windows Server 2012 führte Microsoft die Replikation von virtuellen Servern zwischen Hyper-V-Hosts ein, doch mit Hyper-V-Replica lassen sich virtuelle Server noch besser zwischen maximal drei Hyper-V-Hosts replizieren und synchron halten. Windows Server 2012 unterstützt in diesem Bereich nur zwei Hyper-V-Hosts für die Replikation. In der neuen Version können Administratoren die Replikation auch wie eine Serverkette anordnen. In diesem zweiten Teil des Workshops lesen Sie, wie Sie bei der Replikation mit selbstsignierten Zertifikaten arbeiten, virtuelle Server zwischen Hyper-V-Hosts replizieren und wie Sie ein Failover mit Hyper-V-Replica durchführen.
Hyper-V-Replica sind das doppelte Lottchen der Server-Virtualisierung.
Mit selbstsignierten Zertifikaten arbeiten
Alternativ zur Verwendung von richtigen Zertifikaten lässt sich auch mit selbstsignierten Zertifikaten auf den Hyper-V-Hosts arbeiten. In diesem Fall profitieren Sie von der Sicherheit der zertifikatsbasierte Authentifizierung, müssen aber keine komplizierten Maßnahmen vornehmen, um Zertifikate zu verwalten.

Dazu verwenden Sie makecert.exe aus dem Windows 8/8.1 SDK [1], das kostenlos zur Verfügung steht. Sie benötigen das Tool auf allen beteiligten Hyper-V-Hosts, um Zertifikate zu erstellen. Sie finden makecert.exe nach der Installation des Toolkits im Verzeichnis "C:\Program Files (x86)\ Windows Kits\8.0\bin\x64". Die Installation kann auch auf einer Arbeitsstation erfolgen und lässt sich anschließend auf die beteiligten Server kopieren. Danach erstellen Sie zunächst auf dem ersten Server ein selbstsigniertes Zertifikat und dann auf den anderen Servern.

Für eine beispielhafte Replikation zwischen zwei Servern kopieren Sie zunächst makecert.exe auf alle beteiligten Hyper-V-Server. Nun öffnen Sie eine Befehlszeile auf dem ersten Server und geben den folgenden Befehl ein, um ein Zertifikat für eine Stammzertifizierungsstelle zu erstellen:
makecert -pe -n "CN=PrimaryRootCA" -ss root -sr LocalMachine 
 -sky signature -r "PrimaryRootCA.cer"
Geben Sie danach folgenden Befehl ein:
makecert -pe -n "CN=FQDN des Servers" -ss my -sr LocalMachine 
 -sky exchange -eku 1.3.6.1.5.5. 7.3.1,1.3.6.1.5.5.7.3.2 -in 
 "PrimaryRootCA" -is root -ir LocalMachine 
 -sp "Microsoft RSA SChannel Cryptographic Provider" 
 -sy 12 PrimaryCert.cer
Wechseln Sie danach auf den zweiten Server und führen Sie folgenden Befehl aus, um dort ein selbstsigniertes Stammzertifizierungsstellenzertifikat zu erstellen:
makecert -pe -n "CN=SecondaryRootCA" -ss root -sr LocalMachine 
 -sky signature -r "SecondaryRootCA.cer"
Nutzen Sie dann das Kommando
makecert -pe -n "CN=FQDN" -ss my -sr LocalMachine 
 -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 
 -in "SecondaryRootCA " -is root -ir LocalMachine 
 -sp "Microsoft RSA SChannel Cryptographic Provider" 
 -sy 12 SecondaryCert.cer
Jetzt liegen auf den Servern alle notwendigen Zertifikate vor. Diese müssen Sie jetzt noch auf den anderen Server kopieren. Kopieren Sie die Datei SecondaryRoot-CA.cer vom zweiten Server auf den primären Server und geben Sie anschließend den folgenden Befehl ein:
certutil -addstore -f Root "SecondaryRootCA.cer"
Kopieren Sie danach PrimaryRootCA.cer vom primären Server auf den Replikatserver und geben Sie danach
certutil -addstore -f Root "PrimaryRootCA.cer"
ein. Jetzt vertrauen die beiden Server sich jeweils gegenseitig, was die Ausstellung von Zertifikaten betrifft. Öffnen Sie danach auf beiden Servern den Registry-Editor und navigieren Sie zu "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization \ Replication". Hier setzen Sie den Wert "DisableCertRevocationCheck" auf "1". Wenn vorhanden, navigieren Sie zu "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization \ FailoverReplication" und setzen auch hier den Wert "DisableCertRevocationCheck" auf "1".

Achten Sie darauf, dass die erstellten Zertifizierungsstellen auf den beiden Servern, auf denen Sie die selbst signierten Zertifikate erstellt haben, als vertrauenswürdig angezeigt werden. Sie sehen die Zertifikate im Zertifikatespeicher der Server. Diesen rufen Sie über certlm.msc auf. Ohne diese Zertifikate können Sie später Hyper-V-Replica nicht einrichten.

Wollen Sie Hyper-V-Replica im Cluster nutzen, müssen Sie zusätzlich einen Hyper-V-Replica Broker im Clustermanager von Windows Server 2012 R2 erstellen. Dabei gehen Sie vor wie bei jeder anderen Clusterressource auch. In diesem Fall sollten Sie aber erst ein neues Computerkonto im Snap-In "Active Directory-Benutzer und -Computer" erstellen. Rufen Sie die Registerkarte "Sicherheit" des neuen Kontos auf und geben Sie dem Computerkonto des Clusters "Vollzugriff ".

Um SSL für die Replikation zu nutzen, rufen Sie anschließend auf beiden Hyper-V-Servern die Hyper-V-Einstellungen auf und klicken auf "Replikationskonfiguration". Dort aktivieren Sie die Option "Zertifikatbasierte Authentifizierung verwenden (HTTPS)" und wählen das Zertifikat aus. Diese Einstellungen müssen Sie auf allen beteiligten Servern vornehmen. Richten Sie danach die Replikation ein. Erscheinen hier Fehler, sind die Zertifikate nicht korrekt. Überprüfen Sie in diesem Fall die vorangegangenen Schritte.

    Seite 1: Mit selbstsignierten Zertifikaten arbeiten
    Seite 2: Virtuelle Server zwischen Hyper-V-Hosts replizieren


Seite 1 von 2 Nächste Seite >>
12.10.2015/Thomas Joos/jp/ln

Nachrichten

Besserer Einblick [8.11.2022]

VMware stellt "Carbon Black XDR" vor, das Netzwerktransparenz und -erkennung auf den Dienst "Carbon Black Enterprise EDR" ausweitet. Dadurch soll sich die Wahrnehmung und Abwehr von lateralen Bedrohungen auf Endgeräten und in Netzwerken deutlich verbessern. [mehr]

Blick unter die Motorhaube [4.11.2022]

Die Cloud als Motor der Digitalisierung – auch und gerade in schwierigen Zeiten. Das war auf dem IONOS Summit am 29. und 30. September in Karlsruhe das Credo des deutschen Cloudproviders. Beispiel Energiekosten: IONOS ist laut CCO Martin Endress als Betreiber von insgesamt elf eigenen europäischen Rechenzentren bemüht, diese möglichst emissionsarm einzustellen. [mehr]

Tipps & Tools

30 Jahre SMS [6.12.2022]

Nur 160 Zeichen und alles andere als günstig: Der Short Message Service trat vor drei Jahnzehnten erstmals in Erscheinung. Auch wenn die Anzahl der versandten Kurzmitteilungen dank Messengern wie WhatsApp inzwischen weit unterhalb des Redkordjahrs 2012 liegt, bleiben SMS mit zuletzt weltweit 7,8 Milliarden versandten Mitteilungen weiterhin wichtig. [mehr]

Folgen Sie uns auf LinkedIn und gewinnen Sie attraktive Preise! [5.12.2022]

News aus der IT-Welt, Fachartikel und Infos rund um unsere Angebote: Die Redaktion des IT-Administrator hält Sie nicht nur auf unserer Webseite und im Newsletter auf dem Laufenden. Auch auf Xing, Facebook und Twitter versorgen wir Sie mit wissenswerten Informationen. Da sollen die Nutzer von LinkedIn nicht länger außen vor bleiben und deshalb hat IT-Administrator auch dort eine eigene Seite eingerichtet. Unter allen LinkedIn-Mitgliedern, die uns im Dezember neu folgen, verlosen wir attraktive Preise! [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen