Fachartikel

Hyper-V-Replica einrichten und betreiben (2)

Windows Server 2012 R2 verbessert die Ausfallsicherheit und Hochverfügbarkeit von Hyper-V deutlich. Bereits mit Windows Server 2012 führte Microsoft die Replikation von virtuellen Servern zwischen Hyper-V-Hosts ein, doch mit Hyper-V-Replica lassen sich virtuelle Server noch besser zwischen maximal drei Hyper-V-Hosts replizieren und synchron halten. Windows Server 2012 unterstützt in diesem Bereich nur zwei Hyper-V-Hosts für die Replikation. In der neuen Version können Administratoren die Replikation auch wie eine Serverkette anordnen. In diesem zweiten Teil des Workshops lesen Sie, wie Sie bei der Replikation mit selbstsignierten Zertifikaten arbeiten, virtuelle Server zwischen Hyper-V-Hosts replizieren und wie Sie ein Failover mit Hyper-V-Replica durchführen.
Hyper-V-Replica sind das doppelte Lottchen der Server-Virtualisierung.
Mit selbstsignierten Zertifikaten arbeiten
Alternativ zur Verwendung von richtigen Zertifikaten lässt sich auch mit selbstsignierten Zertifikaten auf den Hyper-V-Hosts arbeiten. In diesem Fall profitieren Sie von der Sicherheit der zertifikatsbasierte Authentifizierung, müssen aber keine komplizierten Maßnahmen vornehmen, um Zertifikate zu verwalten.

Dazu verwenden Sie makecert.exe aus dem Windows 8/8.1 SDK [1], das kostenlos zur Verfügung steht. Sie benötigen das Tool auf allen beteiligten Hyper-V-Hosts, um Zertifikate zu erstellen. Sie finden makecert.exe nach der Installation des Toolkits im Verzeichnis "C:\Program Files (x86)\ Windows Kits\8.0\bin\x64". Die Installation kann auch auf einer Arbeitsstation erfolgen und lässt sich anschließend auf die beteiligten Server kopieren. Danach erstellen Sie zunächst auf dem ersten Server ein selbstsigniertes Zertifikat und dann auf den anderen Servern.

Für eine beispielhafte Replikation zwischen zwei Servern kopieren Sie zunächst makecert.exe auf alle beteiligten Hyper-V-Server. Nun öffnen Sie eine Befehlszeile auf dem ersten Server und geben den folgenden Befehl ein, um ein Zertifikat für eine Stammzertifizierungsstelle zu erstellen:
makecert -pe -n "CN=PrimaryRootCA" -ss root -sr LocalMachine 
 -sky signature -r "PrimaryRootCA.cer"
Geben Sie danach folgenden Befehl ein:
makecert -pe -n "CN=FQDN des Servers" -ss my -sr LocalMachine 
 -sky exchange -eku 1.3.6.1.5.5. 7.3.1,1.3.6.1.5.5.7.3.2 -in 
 "PrimaryRootCA" -is root -ir LocalMachine 
 -sp "Microsoft RSA SChannel Cryptographic Provider" 
 -sy 12 PrimaryCert.cer
Wechseln Sie danach auf den zweiten Server und führen Sie folgenden Befehl aus, um dort ein selbstsigniertes Stammzertifizierungsstellenzertifikat zu erstellen:
makecert -pe -n "CN=SecondaryRootCA" -ss root -sr LocalMachine 
 -sky signature -r "SecondaryRootCA.cer"
Nutzen Sie dann das Kommando
makecert -pe -n "CN=FQDN" -ss my -sr LocalMachine 
 -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 
 -in "SecondaryRootCA " -is root -ir LocalMachine 
 -sp "Microsoft RSA SChannel Cryptographic Provider" 
 -sy 12 SecondaryCert.cer
Jetzt liegen auf den Servern alle notwendigen Zertifikate vor. Diese müssen Sie jetzt noch auf den anderen Server kopieren. Kopieren Sie die Datei SecondaryRoot-CA.cer vom zweiten Server auf den primären Server und geben Sie anschließend den folgenden Befehl ein:
certutil -addstore -f Root "SecondaryRootCA.cer"
Kopieren Sie danach PrimaryRootCA.cer vom primären Server auf den Replikatserver und geben Sie danach
certutil -addstore -f Root "PrimaryRootCA.cer"
ein. Jetzt vertrauen die beiden Server sich jeweils gegenseitig, was die Ausstellung von Zertifikaten betrifft. Öffnen Sie danach auf beiden Servern den Registry-Editor und navigieren Sie zu "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization \ Replication". Hier setzen Sie den Wert "DisableCertRevocationCheck" auf "1". Wenn vorhanden, navigieren Sie zu "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization \ FailoverReplication" und setzen auch hier den Wert "DisableCertRevocationCheck" auf "1".

Achten Sie darauf, dass die erstellten Zertifizierungsstellen auf den beiden Servern, auf denen Sie die selbst signierten Zertifikate erstellt haben, als vertrauenswürdig angezeigt werden. Sie sehen die Zertifikate im Zertifikatespeicher der Server. Diesen rufen Sie über certlm.msc auf. Ohne diese Zertifikate können Sie später Hyper-V-Replica nicht einrichten.

Wollen Sie Hyper-V-Replica im Cluster nutzen, müssen Sie zusätzlich einen Hyper-V-Replica Broker im Clustermanager von Windows Server 2012 R2 erstellen. Dabei gehen Sie vor wie bei jeder anderen Clusterressource auch. In diesem Fall sollten Sie aber erst ein neues Computerkonto im Snap-In "Active Directory-Benutzer und -Computer" erstellen. Rufen Sie die Registerkarte "Sicherheit" des neuen Kontos auf und geben Sie dem Computerkonto des Clusters "Vollzugriff ".

Um SSL für die Replikation zu nutzen, rufen Sie anschließend auf beiden Hyper-V-Servern die Hyper-V-Einstellungen auf und klicken auf "Replikationskonfiguration". Dort aktivieren Sie die Option "Zertifikatbasierte Authentifizierung verwenden (HTTPS)" und wählen das Zertifikat aus. Diese Einstellungen müssen Sie auf allen beteiligten Servern vornehmen. Richten Sie danach die Replikation ein. Erscheinen hier Fehler, sind die Zertifikate nicht korrekt. Überprüfen Sie in diesem Fall die vorangegangenen Schritte.

    Seite 1: Mit selbstsignierten Zertifikaten arbeiten
    Seite 2: Virtuelle Server zwischen Hyper-V-Hosts replizieren


Seite 1 von 2 Nächste Seite >>
12.10.2015/Thomas Joos/jp/ln

Nachrichten

Red Hat stellt Automatisierung auf Azure bereit [8.12.2021]

Red Hat kündigt die "Ansible Automation Platform" auf Microsoft Azure an. Die Umgebung fuße auf dem Standard von Red Hat für die Hybrid-Cloud-Automatisierung. Aus der Zusammenarbeit von Red Hat und Microsoft soll nun ein System resultieren, das Nutzern eine hohe Flexibilität in Sachen Automatisierung bietet: Sie könnten Anwendungen ohne zusätzlichen Aufwand oder Komplexität bereitstellen. [mehr]

Netzwerkmanagement in AWS [6.12.2021]

Aruba hat die Unterstützung und Integration von Aruba SD-WAN mit dem neuen AWS Cloud WAN angekündigt, einem Cloud-Netzwerkservice, der vor Kurzem auf der AWS re:Invent vorgestellt wurde. Damit können Aruba-Kunden das richtlinienbasierte Framework von AWS Cloud WAN nutzen, um WAN-Topologien mit integrierter Netzwerksegmentierung zu erstellen, die sich dann in die Aruba SD-WAN-Fabric einfügen. [mehr]

Tipps & Tools

Download der Woche: Wickr Me [22.12.2021]

Messenger sind als schnelle und einfache Kommunikationstools auch für Unternehmen hochinteressant. Allerdings scheitern gehypte Vertreter in der Regel an den im Firmenumfeld hohen, elementaren Sicherheits- und Vertraulichkeitsbedenken. Die will ein ehemals reiner Smartphone-Messenger überwinden: "Wickr Me" gilt als besonders sicher und ist in einer für Windows-Systeme bestimmten Desktop-Version kostenlos erhältlich. [mehr]

Mehr Rechtssicherheit bei Cookies [14.12.2021]

Mit dem am 1. Dezember in Kraft getretenen deutschen "Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphähre in der Telekommunikation und bei Telemedien" (TTDSG) sollen Unternehmen mehr Rechtssicherheit vor allem beim Einsatz von Cookies zu Analyse- und Werbezwecken erhalten. [mehr]

Buchbesprechung

Datenschutz im Unternehmen

von Michael Wächter

Anzeigen