Fachartikel

Seite 2 - Hyper-V-Replikation in Windows Server 2016 (2)

Mit selbstsignierten Zertifikaten arbeiten
Alternativ zur Verwendung von extern unterzeichneten Zertifikaten haben Sie die Möglichkeit, auf den Hyper-V-Hosts mit selbstsignierten Zertifikaten zu arbeiten. In diesem Fall profitieren Sie von der Sicherheit der zertifikatsbasierten Authentifizierung, müssen aber keine komplizierten Maßnahmen vornehmen, um Zertifikate zu verwalten. Dazu verwenden Sie das Tool "makecert.exe" aus dem Windows 8/8.1 SDK oder dem Windows 10 SDK [1]. Diese Toolkits steht kostenlos zur Verfügung.

Sie benötigen das Tool auf allen beteiligten Hyper-V-Hosts, um Zertifikate zu erstellen. Sie finden "makecert.exe" nach der Installation des Toolkits im Verzeichnis "C:\Program Files (x86)\Windows Kits". Die Installation kann auch auf einer Arbeitsstation erfolgen. Sie müssen nur "makecert.exe" auf die beteiligten Server kopieren. Anschließend erstellen Sie zunächst auf dem ersten Server ein selbstsigniertes Zertifikat und danach auf den anderen Servern. Wir zeigen Ihnen nachfolgend, wie Sie bei der Replikation zwischen zwei Servern vorgehen. Um ein selbstsigniertes Zertifikat zu erstellen, kopieren Sie zunächst "makecert.exe" auf alle beteiligten Hyper-V-Server. Dann öffnen Sie eine Befehlszeile auf dem ersten Server und geben den folgenden Befehl ein, um ein Zertifikat für eine Stammzertifizierungsstelle zu erstellen:
makecert -pe -n "CN=PrimaryRootCA" -ss root -sr LocalMachine 
 -sky signature -r "PrimaryRootCA.cer"
Geben Sie im Anschluss folgendes Kommando ein:
makecert -pe -n "CN=FQDN des Servers" -ss my 
 -sr LocalMachine sky exchange -eku 1.3.6.1.5.5.7.3.1, 1.3.6.1.5.5.7.3.2 
 -in "PrimaryRootCA" -is root -ir LocalMachine 
 -sp "Microsoft RSA SChannel Cryptographic Provider" 
 -sy12 PrimaryCer.cer
Wechseln Sie danach auf den zweiten Server. Führen Sie den folgenden Befehl aus, um ein selbstsigniertes Stammzertifizierungsstellenzertifikat auf dem zweiten Server zu erstellen: Geben Sie danach das folgende Kommando ein:
makecert -pe -n "CN=FQDN des Servers" -ss my -sr LocalMachine 
 -sky exchange -eku 1.3.6.1.5.5.7.3.1, 1.3.6.1.5.5.7.3.2 
 -in "SecondaryRootCA " -is root -ir LocalMachine 
 -sp "Microsoft RSA SChannel Cryptographic Provider" 
 -sy 12 SecondaryCert.cer
Jetzt liegen auf den Servern alle notwendigen Zertifikate vor. Diese müssen Sie jetzt noch auf den anderen Server kopieren. Kopieren Sie die Datei "SecondaryRootCA.cer" vom zweiten Server auf den primären Server und geben Sie anschließend den folgenden Befehl ein: certutil -addstore -f Root "SecondaryRootCA.cer".


Bild 2: In der Befehlszeile erstellen Sie Zertifikate, die Sie für die Replikation nutzen können.

Kopieren Sie danach die Datei "PrimaryRootCA.cer" vom primären Server auf den Replikatserver und tippen Sie folgendes Kommando ein: certutil -addstore -f Root "PrimaryRootCA.cer". Jetzt vertrauen die beiden Server sich jeweils gegenseitig, was die Ausstellung von Zertifikaten betrifft. Öffnen Sie danach auf beiden Servern den Registry-Editor und navigieren Sie zu: "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization \ Replication". Setzen Sie den Wert "DisableCertRevocationCheck" auf "1". Navigieren Sie zu "HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization \ FailoverReplication". Setzen Sie auch hier den Wert "DisableCert- RevocationCheck" auf "1".

Achten Sie darauf, dass die erstellten Zertifizierungsstellen auf den beiden Servern, auf denen Sie die selbstsignierten Zertifikate erstellt haben, als vertrauenswürdig angezeigt werden. Sie sehen die Zertifikate im Zertifikatespeicher der Server. Diesen rufen Sie über certlm.msc auf. Ohne diese Zertifikate können Sie später Hyper-V-Replikation nicht einrichten.

Wollen Sie optional die Hyper-V-Replikation im Cluster nutzen, müssen Sie zusätzlich einen Hyper-V Replica Broker im Clustermanager von Windows Server 2016 erstellen. Dabei gehen Sie vor wie bei jeder anderen Clusterressource auch. In diesem Fall sollten Sie aber erst ein neues Computerkonto im Snap-In "Active Directory-Benutzer und -Computer" aufsetzen. Rufen Sie die Registerkarte "Sicherheit" des neuen Kontos auf und geben Sie dem Computerkonto des Clusters Vollzugriff.

Um SSL für die Replikation zu nutzen, rufen Sie anschließend auf beiden Hyper-V-Servern die Hyper-V-Einstellungen auf und klicken auf "Replikationskonfiguration". Aktivieren Sie die Option "Zertifikatbasierte Authentifizierung verwenden (HTTPS)" und wählen Sie das Zertifikat aus. Diese Einstellungen müssen Sie auf allen beteiligten Servern vornehmen. Richten Sie danach die Replikation ein. Erscheinen hier Fehler, sind die Zertifikate nicht korrekt. Überprüfen Sie in diesem Fall die vorangegangenen Schritte.

Seite 1: Hyper-V-Replikation mit SSL
Seite 2: Mit selbstsignierten Zertifikaten arbeiten

Im dritten Teil geht es dann darum, was bei der Replikation virtueller Server unbedingt zu beachten ist und wie sie das Failover in der Praxis durchführen.. Im ersten Teil haben wir uns damit beschäftigt, wie Sie die Hyper-V-Hosts für die Replikation aktivieren und was bei der Anpassung der Windows-Firewall zu beachten ist.

<< Vorherige Seite Seite 2 von 2
11.03.2019/ln/Thomas Joos

Nachrichten

Kuratierte Azure-Cloud [19.02.2019]

Unisys bringt mit 'CloudForte für Microsoft Azure' ein neues Managed-Service-Angebot auf den Markt. Der Anbieter stellt damit zusätzlich zu den Clouddiensten, wie sie von Microsoft angeboten werden, einen kuratierten Katalog aus vorgefertigten Entwürfen für eigene Cloud-Implementierungen zur Verfügung. Dabei setzt der Anbieter auf einen Pool von mehr als 300 von Microsoft zertifizierte Experten. [mehr]

ownCloud verbessert Office-Unterstützung [11.02.2019]

Die neue ownCloud-Version 10.1 enthält diverse Verbesserungen, die die gemeinsame Bearbeitung von Dateien erleichtern sollen. Durch die Unterstützung des WOPI-Protokolls (Web Application Open Platform Interface) etwa ist es fortan möglich, das Microsoft-Kollaborationstool 'Office Online Server' in ownCloud zu integrieren. [mehr]

Tipps & Tools

Bildschirm-Sharing für bessere Teamarbeit [13.03.2019]

Die meisten Mitarbeiter in kleinen Unternehmen arbeiten nur gelegentlich an einem größeren Projekt mit Beteiligten innerhalb und außerhalb der Firma. Falls Sie in einem solchen Fall für die Teamarbeit Ihren Bildschirm teilen wollen, kann der Online-Dienst von 'join.me' weiterhelfen. Über das Portal des Anbieters ist es möglich, innerhalb weniger Minuten ein Online-Meeting aufzubauen. Sämtliche Teilnehmer können dabei Inhalte direkt in der Besprechung kommentieren, markieren und mit dem virtuellen Laserpointer hervorheben. [mehr]

Schneller Rechnungsvordruck fürs Ausland [27.02.2019]

Nicht nur große Unternehmen sind weltweit tätig. Als Exportweltmeister nimmt in Deutschland auch bei kleinen Firmen die Anzahl der Partner im Ausland zu. Mit dem kostenfreien Service der Website 'Invoice-generator.com' lassen sich jetzt schnell und unkompliziert Rechnungen in englischer Sprache vorproduzieren, die Sie anschließend sofort verschicken können. Alle wichtigen Details geben Sie einfach direkt auf dem Portal ein, eine Registrierung ist nicht notwendig. [mehr]

Buchbesprechung

IT-Sicherheit

von Prof. Dr. Claudia Eckert

Anzeigen