Fachartikel

Hyper-V-Replica einrichten und betreiben (2)

Windows Server 2012 R2 verbessert die Ausfallsicherheit und Hochverfügbarkeit von Hyper-V deutlich. Bereits mit Windows Server 2012 führte Microsoft die Replikation von virtuellen Servern zwischen Hyper-V-Hosts ein, doch mit Hyper-V-Replica lassen sich virtuelle Server noch besser zwischen maximal drei Hyper-V-Hosts replizieren und synchron halten. Windows Server 2012 unterstützt in diesem Bereich nur zwei Hyper-V-Hosts für die Replikation. In der neuen Version können Administratoren die Replikation auch wie eine Serverkette anordnen. In diesem zweiten Teil des Workshops lesen Sie, wie Sie bei der Replikation mit selbstsignierten Zertifikaten arbeiten, virtuelle Server zwischen Hyper-V-Hosts replizieren und wie Sie ein Failover mit Hyper-V-Replica durchführen.
Hyper-V-Replica sind das doppelte Lottchen der Server-Virtualisierung.
Mit selbstsignierten Zertifikaten arbeiten
Alternativ zur Verwendung von richtigen Zertifikaten lässt sich auch mit selbstsignierten Zertifikaten auf den Hyper-V-Hosts arbeiten. In diesem Fall profitieren Sie von der Sicherheit der zertifikatsbasierte Authentifizierung, müssen aber keine komplizierten Maßnahmen vornehmen, um Zertifikate zu verwalten.

Dazu verwenden Sie makecert.exe aus dem Windows 8/8.1 SDK [1], das kostenlos zur Verfügung steht. Sie benötigen das Tool auf allen beteiligten Hyper-V-Hosts, um Zertifikate zu erstellen. Sie finden makecert.exe nach der Installation des Toolkits im Verzeichnis "C:\Program Files (x86)\ Windows Kits\8.0\bin\x64". Die Installation kann auch auf einer Arbeitsstation erfolgen und lässt sich anschließend auf die beteiligten Server kopieren. Danach erstellen Sie zunächst auf dem ersten Server ein selbstsigniertes Zertifikat und dann auf den anderen Servern.

Für eine beispielhafte Replikation zwischen zwei Servern kopieren Sie zunächst makecert.exe auf alle beteiligten Hyper-V-Server. Nun öffnen Sie eine Befehlszeile auf dem ersten Server und geben den folgenden Befehl ein, um ein Zertifikat für eine Stammzertifizierungsstelle zu erstellen:
makecert -pe -n "CN=PrimaryRootCA" -ss root -sr LocalMachine 
 -sky signature -r "PrimaryRootCA.cer"
Geben Sie danach folgenden Befehl ein:
makecert -pe -n "CN=FQDN des Servers" -ss my -sr LocalMachine 
 -sky exchange -eku 1.3.6.1.5.5. 7.3.1,1.3.6.1.5.5.7.3.2 -in 
 "PrimaryRootCA" -is root -ir LocalMachine 
 -sp "Microsoft RSA SChannel Cryptographic Provider" 
 -sy 12 PrimaryCert.cer
Wechseln Sie danach auf den zweiten Server und führen Sie folgenden Befehl aus, um dort ein selbstsigniertes Stammzertifizierungsstellenzertifikat zu erstellen:
makecert -pe -n "CN=SecondaryRootCA" -ss root -sr LocalMachine 
 -sky signature -r "SecondaryRootCA.cer"
Nutzen Sie dann das Kommando
makecert -pe -n "CN=FQDN" -ss my -sr LocalMachine 
 -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 
 -in "SecondaryRootCA " -is root -ir LocalMachine 
 -sp "Microsoft RSA SChannel Cryptographic Provider" 
 -sy 12 SecondaryCert.cer
Jetzt liegen auf den Servern alle notwendigen Zertifikate vor. Diese müssen Sie jetzt noch auf den anderen Server kopieren. Kopieren Sie die Datei SecondaryRoot-CA.cer vom zweiten Server auf den primären Server und geben Sie anschließend den folgenden Befehl ein:
certutil -addstore -f Root "SecondaryRootCA.cer"
Kopieren Sie danach PrimaryRootCA.cer vom primären Server auf den Replikatserver und geben Sie danach
certutil -addstore -f Root "PrimaryRootCA.cer"
ein. Jetzt vertrauen die beiden Server sich jeweils gegenseitig, was die Ausstellung von Zertifikaten betrifft. Öffnen Sie danach auf beiden Servern den Registry-Editor und navigieren Sie zu "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization \ Replication". Hier setzen Sie den Wert "DisableCertRevocationCheck" auf "1". Wenn vorhanden, navigieren Sie zu "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization \ FailoverReplication" und setzen auch hier den Wert "DisableCertRevocationCheck" auf "1".

Achten Sie darauf, dass die erstellten Zertifizierungsstellen auf den beiden Servern, auf denen Sie die selbst signierten Zertifikate erstellt haben, als vertrauenswürdig angezeigt werden. Sie sehen die Zertifikate im Zertifikatespeicher der Server. Diesen rufen Sie über certlm.msc auf. Ohne diese Zertifikate können Sie später Hyper-V-Replica nicht einrichten.

Wollen Sie Hyper-V-Replica im Cluster nutzen, müssen Sie zusätzlich einen Hyper-V-Replica Broker im Clustermanager von Windows Server 2012 R2 erstellen. Dabei gehen Sie vor wie bei jeder anderen Clusterressource auch. In diesem Fall sollten Sie aber erst ein neues Computerkonto im Snap-In "Active Directory-Benutzer und -Computer" erstellen. Rufen Sie die Registerkarte "Sicherheit" des neuen Kontos auf und geben Sie dem Computerkonto des Clusters "Vollzugriff ".

Um SSL für die Replikation zu nutzen, rufen Sie anschließend auf beiden Hyper-V-Servern die Hyper-V-Einstellungen auf und klicken auf "Replikationskonfiguration". Dort aktivieren Sie die Option "Zertifikatbasierte Authentifizierung verwenden (HTTPS)" und wählen das Zertifikat aus. Diese Einstellungen müssen Sie auf allen beteiligten Servern vornehmen. Richten Sie danach die Replikation ein. Erscheinen hier Fehler, sind die Zertifikate nicht korrekt. Überprüfen Sie in diesem Fall die vorangegangenen Schritte.

    Seite 1: Mit selbstsignierten Zertifikaten arbeiten
    Seite 2: Virtuelle Server zwischen Hyper-V-Hosts replizieren


Seite 1 von 2 Nächste Seite >>
12.10.2015/Thomas Joos/jp/ln

Nachrichten

Verfügbarkeit hoch zehn [3.04.2020]

Veeam Software hebt seine "Availability Suite" auf die Version 10 an. Das neue Major-Release hat zum Anspruch, moderne Datensicherung für Network Attached Storage, verbesserten Schutz vor Ransomware sowie Multi-VM Instant Recovery bereitzustellen. [mehr]

Unternehmens-Workflow: KI auf Knopfdruck [10.03.2020]

Appian schließt eine erweiterte Technologiepartnerschaft mit Google Cloud hinsichtlich der intelligenten Verarbeitung von Dokumenten. Die Zusammenarbeit erweitert das Appian-AI-Angebot und verspricht Kunden sofort einsatzbereite KI-Funktionalitäten, die für das Intelligent Document Processing vorkonfiguriert sind. [mehr]

Prozessoptimierung [5.02.2020]

Tipps & Tools

Jetzt erhältlich: Sonderheft Clientmanagement [6.04.2020]

Das IT-Administrator Sonderheft 2020 "Clientmanagement - Stationäre und mobile Rechner administrieren und absichern" versorgt Administratoren mit Strategien und praktischem Wissen rund um die Verwaltung der Endgeräte im Unternehmen. Wir zeigen, worauf IT-Verantwortliche bei der Beschaffung sowie der Einführung von Clientmanagementwerkzeugen achten müssen. Weiterhin betrachten wir Sicherheitskonzepte für mobile wie stationäre Clients sowie das Management der Anwendungen auf den Clients. Das Sonderheft ist ab sofort versandbereit. [mehr]

Zusammenarbeit via Computer oder Smartphone [3.04.2020]

Durch das derzeit notwendige Social Distancing ist für viele die Arbeit nur noch von Zuhause möglich. Um die Kommunikation im Unternehmen dennoch aufrechtzuerhalten, sind vor allem Anwendungen für die Videotelefonie hilfreich. Das kostenfreie Tool "Houseparty" für Android, iOS, macOS und Chrome bietet einen einfachen Weg, aktiv via Video mit mehreren Personen auf einmal zu kommunizieren. [mehr]

Buchbesprechung

Technik der IP-Netze

von Anatol Badach und Erwin Hoffmann

Anzeigen