Fachartikel

Seite 2 - Hyper-V-Replikation in Windows Server 2016 (2)

Mit selbstsignierten Zertifikaten arbeiten
Alternativ zur Verwendung von extern unterzeichneten Zertifikaten haben Sie die Möglichkeit, auf den Hyper-V-Hosts mit selbstsignierten Zertifikaten zu arbeiten. In diesem Fall profitieren Sie von der Sicherheit der zertifikatsbasierten Authentifizierung, müssen aber keine komplizierten Maßnahmen vornehmen, um Zertifikate zu verwalten. Dazu verwenden Sie das Tool "makecert.exe" aus dem Windows 8/8.1 SDK oder dem Windows 10 SDK [1]. Diese Toolkits steht kostenlos zur Verfügung.

Sie benötigen das Tool auf allen beteiligten Hyper-V-Hosts, um Zertifikate zu erstellen. Sie finden "makecert.exe" nach der Installation des Toolkits im Verzeichnis "C:\Program Files (x86)\Windows Kits". Die Installation kann auch auf einer Arbeitsstation erfolgen. Sie müssen nur "makecert.exe" auf die beteiligten Server kopieren. Anschließend erstellen Sie zunächst auf dem ersten Server ein selbstsigniertes Zertifikat und danach auf den anderen Servern. Wir zeigen Ihnen nachfolgend, wie Sie bei der Replikation zwischen zwei Servern vorgehen. Um ein selbstsigniertes Zertifikat zu erstellen, kopieren Sie zunächst "makecert.exe" auf alle beteiligten Hyper-V-Server. Dann öffnen Sie eine Befehlszeile auf dem ersten Server und geben den folgenden Befehl ein, um ein Zertifikat für eine Stammzertifizierungsstelle zu erstellen:
makecert -pe -n "CN=PrimaryRootCA" -ss root -sr LocalMachine 
 -sky signature -r "PrimaryRootCA.cer"
Geben Sie im Anschluss folgendes Kommando ein:
makecert -pe -n "CN=FQDN des Servers" -ss my 
 -sr LocalMachine sky exchange -eku 1.3.6.1.5.5.7.3.1, 1.3.6.1.5.5.7.3.2 
 -in "PrimaryRootCA" -is root -ir LocalMachine 
 -sp "Microsoft RSA SChannel Cryptographic Provider" 
 -sy12 PrimaryCer.cer
Wechseln Sie danach auf den zweiten Server. Führen Sie den folgenden Befehl aus, um ein selbstsigniertes Stammzertifizierungsstellenzertifikat auf dem zweiten Server zu erstellen: Geben Sie danach das folgende Kommando ein:
makecert -pe -n "CN=FQDN des Servers" -ss my -sr LocalMachine 
 -sky exchange -eku 1.3.6.1.5.5.7.3.1, 1.3.6.1.5.5.7.3.2 
 -in "SecondaryRootCA " -is root -ir LocalMachine 
 -sp "Microsoft RSA SChannel Cryptographic Provider" 
 -sy 12 SecondaryCert.cer
Jetzt liegen auf den Servern alle notwendigen Zertifikate vor. Diese müssen Sie jetzt noch auf den anderen Server kopieren. Kopieren Sie die Datei "SecondaryRootCA.cer" vom zweiten Server auf den primären Server und geben Sie anschließend den folgenden Befehl ein: certutil -addstore -f Root "SecondaryRootCA.cer".


Bild 2: In der Befehlszeile erstellen Sie Zertifikate, die Sie für die Replikation nutzen können.

Kopieren Sie danach die Datei "PrimaryRootCA.cer" vom primären Server auf den Replikatserver und tippen Sie folgendes Kommando ein: certutil -addstore -f Root "PrimaryRootCA.cer". Jetzt vertrauen die beiden Server sich jeweils gegenseitig, was die Ausstellung von Zertifikaten betrifft. Öffnen Sie danach auf beiden Servern den Registry-Editor und navigieren Sie zu: "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization \ Replication". Setzen Sie den Wert "DisableCertRevocationCheck" auf "1". Navigieren Sie zu "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization \ FailoverReplication". Setzen Sie auch hier den Wert "DisableCert- RevocationCheck" auf "1".

Achten Sie darauf, dass die erstellten Zertifizierungsstellen auf den beiden Servern, auf denen Sie die selbstsignierten Zertifikate erstellt haben, als vertrauenswürdig angezeigt werden. Sie sehen die Zertifikate im Zertifikatespeicher der Server. Diesen rufen Sie über certlm.msc auf. Ohne diese Zertifikate können Sie später Hyper-V-Replikation nicht einrichten.

Wollen Sie optional die Hyper-V-Replikation im Cluster nutzen, müssen Sie zusätzlich einen Hyper-V Replica Broker im Clustermanager von Windows Server 2016 erstellen. Dabei gehen Sie vor wie bei jeder anderen Clusterressource auch. In diesem Fall sollten Sie aber erst ein neues Computerkonto im Snap-In "Active Directory-Benutzer und -Computer" aufsetzen. Rufen Sie die Registerkarte "Sicherheit" des neuen Kontos auf und geben Sie dem Computerkonto des Clusters Vollzugriff.

Um SSL für die Replikation zu nutzen, rufen Sie anschließend auf beiden Hyper-V-Servern die Hyper-V-Einstellungen auf und klicken auf "Replikationskonfiguration". Aktivieren Sie die Option "Zertifikatbasierte Authentifizierung verwenden (HTTPS)" und wählen Sie das Zertifikat aus. Diese Einstellungen müssen Sie auf allen beteiligten Servern vornehmen. Richten Sie danach die Replikation ein. Erscheinen hier Fehler, sind die Zertifikate nicht korrekt. Überprüfen Sie in diesem Fall die vorangegangenen Schritte.

Seite 1: Hyper-V-Replikation mit SSL
Seite 2: Mit selbstsignierten Zertifikaten arbeiten

Im dritten Teil geht es dann darum, was bei der Replikation virtueller Server unbedingt zu beachten ist und wie sie das Failover in der Praxis durchführen.. Im ersten Teil haben wir uns damit beschäftigt, wie Sie die Hyper-V-Hosts für die Replikation aktivieren und was bei der Anpassung der Windows-Firewall zu beachten ist.

<< Vorherige Seite Seite 2 von 2
11.03.2019/ln/Thomas Joos

Nachrichten

Schlüsselfertige private Cloud [10.05.2019]

Supermicro, ein Anbieter von Server-, Storage- und Netzwerkprodukten, stellt neue private Cloudumgebungen vor, basierend auf Red Hat Enterprise Linux 8. Supermicro bietet dabei Virtualisierung basierend auf eigenen SuperServer- und SuperStorage-Systemen und der OpenShift-Container-Plattformvon Red Hat. [mehr]

Drei neue Windparks für AWS [9.04.2019]

Amazon hat drei neue Projekte für Windparks angekündigt. Sie sind Teil des langfristigen Unternehmensziels, die gesamte globale Infrastruktur von AWS ausschließlich mit erneuerbaren Energien zu versorgen. Die Windparks in Irland, Schweden und den USA werden eine Gesamtleistung von mehr als 229 Megawatt liefern. [mehr]

Kuratierte Azure-Cloud [19.02.2019]

Tipps & Tools

Textänderungen leicht erkennen [15.05.2019]

Arbeitsgruppen sind des Öfteren gleichzeitig am selben Projekt oder Dokument tätig. Damit das Ganze nicht unübersichtlich wird und sich Modifikationen einfach nachvollziehen lassen, können Sie mit der Website 'Diffchecker.com' schnell und direkt online vorgenommene Änderungen kenntlich machen. [mehr]

Mobilfreundlichkeit von Webseiten testen [1.05.2019]

Viele Internetnutzer verwenden inzwischen nahezu ausschließlich ihr Smartphone und erwarten entsprechend angepasste Webseiten. Daher ist es für Unternehmen höchste Zeit, ihre Onlinepräsenz für mobile Engeräte zu überarbeiten. Das Portal 'Mobile-Friendly' von Google testet die Mobilfreundlichkeit von Webseiten schnell und einfach. [mehr]

Diktat im Browser [27.03.2019]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen