Fachartikel

Seite 2 - Hyper-V-Replica einrichten und betreiben (1)

Hyper-V-Replikation mit SSL konfigurieren
In Produktions-Umgebungen sollten Sie die Daten virtueller Server SSL-verschlüsselt mit HTTPS übertragen. Das ist wesentlich sicherer und nicht sehr viel komplizierter in der Einrichtung. In diesem Fall weisen Sie den beteiligten Hyper-V-Hosts ein Zertifikat zu. Dazu müssen Sie Zertifikate verwenden, die Clients und Server authentifizieren können. Das Zertifikat muss dem Namen des Hyper-V-Hosts entsprechen. Sie haben hier die Möglichkeit, mit selbst signierten Zertifikaten zu arbeiten oder greifen auf Zertifikate der Active Directory-Zertifikatsdienste zurück. Wir zeigen Ihnen nachfolgend wie Sie die Einrichtung vornehmen.

In der lokalen Verwaltung von Zertifikaten auf einem Server mit Windows Server 2012 R2 installieren Sie im Active Directory Zertifikate auf einem Hyper-V-Hosts. Die Zertifikate kommen anschließend für die Authentifizierung der beteiligten Hyper-V-Hosts in der Replikation zum Einsatz.

Zunächst starten Sie über certlm.msc im Startbildschirm die Verwaltung der lokalen Zertifikate auf dem ersten Hyper-V-Host. Klicken Sie mit der rechten Maustaste auf "Eigene Zertifikate" und wählen Sie "Alle Aufgaben / Neues Zertifikat anfordern". Bestätigen Sie die Option "Active Directory-Registrierungsrichtlinie" und aktivieren Sie danach die Option "Computer" und klicken Sie dann auf "Registrieren". Das Zertifikat wird jetzt in der Konsole angezeigt.

Sie können Zertifikate auch in der Befehlszeile erstellen. Das ist zum Beispiel für geskriptete Umgebungen sinnvoll. Um ein Zertifikat zu registrieren, erstellen Sie eine Text-Datei, mit der Sie danach eine Anfrage bei der Zertifizierungsstelle starten. Hierbei kann es sich um eine externe oder eine interne Zertifizierungsstelle handeln. Speichern Sie dazu die Textdatei mit dem folgenden Inhalt. Passen Sie den Servernamen in der vierten Zeile "Subject" an Ihre Bedürfnisse an:
[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=SERVER.CONTOSO.COM"
Exportable = TRUE ; Private key is exportable
KeyLength = 2048 ; Common key sizes: 512, 1024, 2048, 4096, 8192, 16384
KeySpec = 1 ; AT_KEYEXCHANGE
KeyUsage = 0xA0 ; Digital Signature, Key Encipherment
MachineKeySet = True ; The key belongs to the local computer account
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ;Server Authentication
OID=1.3.6.1.5.5.7.3.2 ;Client Authentication
Speichern Sie die Datei anschließend unter dem Namen replica.inf ab. Achten Sie auf die korrekte Endung der Datei. Auf Basis der Daten in dieser Datei erstellen Sie danach in der Befehlszeile eine weitere Datei mit der dazugehörigen Zertifikatsanfrage:
certreq -new replica.inf replica.req
Wechseln Sie dazu in das Verzeichnis, in dem Sie die INF-Datei gespeichert haben. Anschließend befinden sich zwei Dateien in diesem Verzeichnis. Mit der REQ-Datei stellen Sie bei Ihrer internen Zertifizierungsstelle – etwa den Active Directory-Zertifikatsdiensten – eine Online-Anfrage. Dazu verwenden Sie den Befehl:
certreq -submit -config "dc01.contoso.int\contoso-dc01-ca" 
 Replica.req replica.cer
Erhalten Sie eine Fehlermeldung, zum Beispiel, dass die Zertifikatvorlage nicht in Ordnung ist, verwenden Sie zusätzlich die Option "-attrib CertificateTemplate: Vorlage". Alternativ erstellen Sie einen "Certifikate Signing Request" (CSR). Mit dieser führen Sie eine Anfrage bei einer externen Zertifizierungsstelle durch. Aber auch von internen Zertifizierungsstellen können Sie diese Daten nutzen, zum Beispiel mit der Weboberfläche der Zertifikatsdienste. Dazu verwenden Sie den folgenden Befehl:
certutil -encode replica.req replica.csr
Anschließend öffnen Sie die CSR-Datei mit einem Texteditor und kopieren den Inhalt in die Zwischenablage. Mit diesen Daten schließen Sie die Anfrage ab. Rufen Sie dazu im lokalen Zertifikatespeicher des Servers (certlm.msc) die eigenen Zertifikate auf und lassen Sie sich die Eigenschaften des Zertifikats anzeigen. Sie sehen bei der erweiterten Verwendung des Schlüssels die "Client- und Serverauthentifizierung", ohne die Sie ein Zertifikat nicht für Hyper-V-Replication nutzen können.

Im zweiten Teil des Workshops lesen Sie, wie Sie bei der Replikation mit selbstsignierten Zertifikaten arbeiten, virtuelle Server zwischen Hyper-V-Hosts replizieren und wie Sie ein Failover mit Hyper-V-Replica durchführen.

   
Seite 1: Hyper-V-Hosts für Replikation aktivieren
    Seite 2: Hyper-V-Replikation mit SSL konfigurieren

<< Vorherige Seite Seite 2 von 2
5.10.2015/Thomas Joos/jp/ln

Nachrichten

Videobearbeitung in der AWS-Cloud [9.09.2022]

Quantums Dateiystem "StorNext" ist ab sofort als Abonnement im AWS Marketplace verfügbar. Mit Quantum StorNext in AWS sollen Nutzer ihre Inhalte unter anderem für die Videoproduktion hochflexibel verwalten können. So lassen Videos in der Cloud von beliebigen Standorten bearbeiten, ohne dass Dateien zwischen einzelnen Benutzern kopiert oder übertragen werden müssen. [mehr]

Bring-Your-Own-IP in die Cloud [6.09.2022]

OVHcloud will nach einer Early-Access-Phase in Kürze den Bring Your-Own-IP-Importdienst anbieten. Da IPv4-Adressen knapp sind, können Kunden damit über das OVHcloud Control Panel ihre bestehenden Bereiche öffentlicher IPv4-Adressen importieren, um sie als Blöcke von IP-Failover-Adressen zu nutzen. [mehr]

Schutz in Blau [14.07.2022]

Tipps & Tools

Online-Intensivseminar "Exchange Server 2016/19" [26.09.2022]

Lassen Sie sich in unserem dreitägigen Intensivseminar umfassend unterrichten, wie Sie Microsofts leistungsstarken Mail- und Collaborationsserver in seinen 2016er- und 2019er-Ausprägungen verwalten: von den Active-Directory- und serverseitigen Voraussetzungen für seine Bereitstellung bis zur Überwachung und dem Troubleshooting. Unsere aktuell einzige buchbare Veranstaltung findet Mitte November virtuell statt. Seien Sie daher schnell, um sich Ihren Platz zu sichern – für Abonnenten gilt wie immer ein Sondertarif. [mehr]

Ultrakompakter Smartphone-Halter [24.09.2022]

Während immer mehr IT-Tätigkeiten auf das Smartphone wandern, wird die Handhabung der mobilen Devices nicht unbedingt einfacher – weshalb sich der Einsatz von Handyhalterungen anbietet. IT-Profis, die auch in Sachen ITK-Zubehör Effizienz schätzen, können wir ein spezielles Modell empfehlen: goBelt ist der wohl kompakteste Smartphone-Halter mit Standfuß-Funktion überhaupt. [mehr]

Buchbesprechung

The Security Culture Playbook

von Perry Carpenter und Kai Roer

Anzeigen