von Redaktion IT-A…
Lesezeit
2 Minuten
Seite 2 - Hyper-V-Replikation in Windows Server 2016 (2)
Mit selbstsignierten Zertifikaten arbeiten
Alternativ zur Verwendung von extern unterzeichneten Zertifikaten haben Sie die Möglichkeit, auf den Hyper-V-Hosts mit selbstsignierten Zertifikaten zu arbeiten. In diesem Fall profitieren Sie von der Sicherheit der zertifikatsbasierten Authentifizierung, müssen aber keine komplizierten Maßnahmen vornehmen, um Zertifikate zu verwalten. Dazu verwenden Sie das Tool "makecert.exe" aus dem Windows 8/8.1 SDK oder dem Windows 10 SDK [1]. Diese Toolkits steht kostenlos zur Verfügung.
Sie benötigen das Tool auf allen beteiligten Hyper-V-Hosts, um Zertifikate zu erstellen. Sie finden "makecert.exe" nach der Installation des Toolkits im Verzeichnis "C:\Program Files (x86)\Windows Kits". Die Installation kann auch auf einer Arbeitsstation erfolgen. Sie müssen nur "makecert.exe" auf die beteiligten Server kopieren. Anschließend erstellen Sie zunächst auf dem ersten Server ein selbstsigniertes Zertifikat und danach auf den anderen Servern. Wir zeigen Ihnen nachfolgend, wie Sie bei der Replikation zwischen zwei Servern vorgehen. Um ein selbstsigniertes Zertifikat zu erstellen, kopieren Sie zunächst "makecert.exe" auf alle beteiligten Hyper-V-Server. Dann öffnen Sie eine Befehlszeile auf dem ersten Server und geben den folgenden Befehl ein, um ein Zertifikat für eine Stammzertifizierungsstelle zu erstellen: Geben Sie danach das folgende Kommando ein:
Jetzt liegen auf den Servern alle notwendigen Zertifikate vor. Diese müssen Sie jetzt noch auf den anderen Server kopieren. Kopieren Sie die Datei "SecondaryRootCA.cer" vom zweiten Server auf den primären Server und geben Sie anschließend den folgenden Befehl ein: certutil -addstore -f Root "SecondaryRootCA.cer".
Kopieren Sie danach die Datei "PrimaryRootCA.cer" vom primären Server
auf den Replikatserver und tippen Sie folgendes Kommando ein: certutil -addstore -f Root "PrimaryRootCA.cer".
Jetzt vertrauen die beiden Server sich jeweils gegenseitig, was die
Ausstellung von Zertifikaten betrifft. Öffnen Sie danach auf beiden
Servern den Registry-Editor und navigieren Sie zu: "HKLM \ SOFTWARE \
Microsoft \ Windows NT \ CurrentVersion \ Virtualization \ Replication".
Setzen Sie den Wert "DisableCertRevocationCheck" auf "1". Navigieren
Sie zu "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \
Virtualization \ FailoverReplication". Setzen Sie auch hier den Wert
"DisableCert- RevocationCheck" auf "1".
Achten Sie darauf, dass die erstellten Zertifizierungsstellen auf den beiden Servern, auf denen Sie die selbstsignierten Zertifikate erstellt haben, als vertrauenswürdig angezeigt werden. Sie sehen die Zertifikate im Zertifikatespeicher der Server. Diesen rufen Sie über certlm.msc auf. Ohne diese Zertifikate können Sie später Hyper-V-Replikation nicht einrichten.
Wollen Sie optional die Hyper-V-Replikation im Cluster nutzen, müssen Sie zusätzlich einen Hyper-V Replica Broker im Clustermanager von Windows Server 2016 erstellen. Dabei gehen Sie vor wie bei jeder anderen Clusterressource auch. In diesem Fall sollten Sie aber erst ein neues Computerkonto im Snap-In "Active Directory-Benutzer und -Computer" aufsetzen. Rufen Sie die Registerkarte "Sicherheit" des neuen Kontos auf und geben Sie dem Computerkonto des Clusters Vollzugriff.
Um SSL für die Replikation zu nutzen, rufen Sie anschließend auf beiden Hyper-V-Servern die Hyper-V-Einstellungen auf und klicken auf "Replikationskonfiguration". Aktivieren Sie die Option "Zertifikatbasierte Authentifizierung verwenden (HTTPS)" und wählen Sie das Zertifikat aus. Diese Einstellungen müssen Sie auf allen beteiligten Servern vornehmen. Richten Sie danach die Replikation ein. Erscheinen hier Fehler, sind die Zertifikate nicht korrekt. Überprüfen Sie in diesem Fall die vorangegangenen Schritte.
Seite 1: Hyper-V-Replikation mit SSL
Seite 2: Mit selbstsignierten Zertifikaten arbeiten
Im dritten Teil geht es dann darum, was bei der Replikation virtueller Server unbedingt zu beachten ist und wie sie das Failover in der Praxis durchführen.. Im ersten Teil haben wir uns damit beschäftigt, wie Sie die Hyper-V-Hosts für die Replikation aktivieren und was bei der Anpassung der Windows-Firewall zu beachten ist.
ln/Thomas Joos
Alternativ zur Verwendung von extern unterzeichneten Zertifikaten haben Sie die Möglichkeit, auf den Hyper-V-Hosts mit selbstsignierten Zertifikaten zu arbeiten. In diesem Fall profitieren Sie von der Sicherheit der zertifikatsbasierten Authentifizierung, müssen aber keine komplizierten Maßnahmen vornehmen, um Zertifikate zu verwalten. Dazu verwenden Sie das Tool "makecert.exe" aus dem Windows 8/8.1 SDK oder dem Windows 10 SDK [1]. Diese Toolkits steht kostenlos zur Verfügung.
Sie benötigen das Tool auf allen beteiligten Hyper-V-Hosts, um Zertifikate zu erstellen. Sie finden "makecert.exe" nach der Installation des Toolkits im Verzeichnis "C:\Program Files (x86)\Windows Kits". Die Installation kann auch auf einer Arbeitsstation erfolgen. Sie müssen nur "makecert.exe" auf die beteiligten Server kopieren. Anschließend erstellen Sie zunächst auf dem ersten Server ein selbstsigniertes Zertifikat und danach auf den anderen Servern. Wir zeigen Ihnen nachfolgend, wie Sie bei der Replikation zwischen zwei Servern vorgehen. Um ein selbstsigniertes Zertifikat zu erstellen, kopieren Sie zunächst "makecert.exe" auf alle beteiligten Hyper-V-Server. Dann öffnen Sie eine Befehlszeile auf dem ersten Server und geben den folgenden Befehl ein, um ein Zertifikat für eine Stammzertifizierungsstelle zu erstellen:
makecert -pe -n "CN=PrimaryRootCA" -ss root -sr LocalMachine -sky signature -r "PrimaryRootCA.cer"Geben Sie im Anschluss folgendes Kommando ein:
makecert -pe -n "CN=FQDN des Servers" -ss my -sr LocalMachine sky exchange -eku 1.3.6.1.5.5.7.3.1, 1.3.6.1.5.5.7.3.2 -in "PrimaryRootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy12 PrimaryCer.cerWechseln Sie danach auf den zweiten Server. Führen Sie den folgenden Befehl aus, um ein selbstsigniertes Stammzertifizierungsstellenzertifikat auf dem zweiten Server zu erstellen:
makecert -pe -n "CN=FQDN des Servers" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1, 1.3.6.1.5.5.7.3.2 -in "SecondaryRootCA " -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 SecondaryCert.cer
Jetzt liegen auf den Servern alle notwendigen Zertifikate vor. Diese müssen Sie jetzt noch auf den anderen Server kopieren. Kopieren Sie die Datei "SecondaryRootCA.cer" vom zweiten Server auf den primären Server und geben Sie anschließend den folgenden Befehl ein: certutil -addstore -f Root "SecondaryRootCA.cer".
Bild 2: In der Befehlszeile erstellen Sie Zertifikate, die Sie für die Replikation nutzen können.
Achten Sie darauf, dass die erstellten Zertifizierungsstellen auf den beiden Servern, auf denen Sie die selbstsignierten Zertifikate erstellt haben, als vertrauenswürdig angezeigt werden. Sie sehen die Zertifikate im Zertifikatespeicher der Server. Diesen rufen Sie über certlm.msc auf. Ohne diese Zertifikate können Sie später Hyper-V-Replikation nicht einrichten.
Wollen Sie optional die Hyper-V-Replikation im Cluster nutzen, müssen Sie zusätzlich einen Hyper-V Replica Broker im Clustermanager von Windows Server 2016 erstellen. Dabei gehen Sie vor wie bei jeder anderen Clusterressource auch. In diesem Fall sollten Sie aber erst ein neues Computerkonto im Snap-In "Active Directory-Benutzer und -Computer" aufsetzen. Rufen Sie die Registerkarte "Sicherheit" des neuen Kontos auf und geben Sie dem Computerkonto des Clusters Vollzugriff.
Um SSL für die Replikation zu nutzen, rufen Sie anschließend auf beiden Hyper-V-Servern die Hyper-V-Einstellungen auf und klicken auf "Replikationskonfiguration". Aktivieren Sie die Option "Zertifikatbasierte Authentifizierung verwenden (HTTPS)" und wählen Sie das Zertifikat aus. Diese Einstellungen müssen Sie auf allen beteiligten Servern vornehmen. Richten Sie danach die Replikation ein. Erscheinen hier Fehler, sind die Zertifikate nicht korrekt. Überprüfen Sie in diesem Fall die vorangegangenen Schritte.
Seite 2: Mit selbstsignierten Zertifikaten arbeiten
Im dritten Teil geht es dann darum, was bei der Replikation virtueller Server unbedingt zu beachten ist und wie sie das Failover in der Praxis durchführen.. Im ersten Teil haben wir uns damit beschäftigt, wie Sie die Hyper-V-Hosts für die Replikation aktivieren und was bei der Anpassung der Windows-Firewall zu beachten ist.
| << Vorherige Seite | Seite 2 von 2 |
ln/Thomas Joos
