Lesezeit
2 Minuten
Seite 2 - Hyper-V-Replica einrichten und betreiben (1)
Hyper-V-Replikation mit SSL konfigurieren
In Produktions-Umgebungen sollten Sie die Daten virtueller Server SSL-verschlüsselt mit HTTPS übertragen. Das ist wesentlich sicherer und nicht sehr viel komplizierter in der Einrichtung. In diesem Fall weisen Sie den beteiligten Hyper-V-Hosts ein Zertifikat zu. Dazu müssen Sie Zertifikate verwenden, die Clients und Server authentifizieren können. Das Zertifikat muss dem Namen des Hyper-V-Hosts entsprechen. Sie haben hier die Möglichkeit, mit selbst signierten Zertifikaten zu arbeiten oder greifen auf Zertifikate der Active Directory-Zertifikatsdienste zurück. Wir zeigen Ihnen nachfolgend wie Sie die Einrichtung vornehmen.
In der lokalen Verwaltung von Zertifikaten auf einem Server mit Windows Server 2012 R2 installieren Sie im Active Directory Zertifikate auf einem Hyper-V-Hosts. Die Zertifikate kommen anschließend für die Authentifizierung der beteiligten Hyper-V-Hosts in der Replikation zum Einsatz.
Zunächst starten Sie über certlm.msc im Startbildschirm die Verwaltung der lokalen Zertifikate auf dem ersten Hyper-V-Host. Klicken Sie mit der rechten Maustaste auf "Eigene Zertifikate" und wählen Sie "Alle Aufgaben / Neues Zertifikat anfordern". Bestätigen Sie die Option "Active Directory-Registrierungsrichtlinie" und aktivieren Sie danach die Option "Computer" und klicken Sie dann auf "Registrieren". Das Zertifikat wird jetzt in der Konsole angezeigt.
Sie können Zertifikate auch in der Befehlszeile erstellen. Das ist zum Beispiel für geskriptete Umgebungen sinnvoll. Um ein Zertifikat zu registrieren, erstellen Sie eine Text-Datei, mit der Sie danach eine Anfrage bei der Zertifizierungsstelle starten. Hierbei kann es sich um eine externe oder eine interne Zertifizierungsstelle handeln. Speichern Sie dazu die Textdatei mit dem folgenden Inhalt. Passen Sie den Servernamen in der vierten Zeile "Subject" an Ihre Bedürfnisse an:
Speichern Sie die Datei anschließend unter dem Namen replica.inf ab. Achten Sie auf die korrekte Endung der Datei. Auf Basis der Daten in dieser Datei erstellen Sie danach in der Befehlszeile eine weitere Datei mit der dazugehörigen Zertifikatsanfrage:
Im zweiten Teil des Workshops lesen Sie, wie Sie bei der Replikation mit selbstsignierten Zertifikaten arbeiten, virtuelle Server zwischen Hyper-V-Hosts replizieren und wie Sie ein Failover mit Hyper-V-Replica durchführen.
Seite 1: Hyper-V-Hosts für Replikation aktivieren
Seite 2: Hyper-V-Replikation mit SSL konfigurieren
Thomas Joos/jp/ln
In Produktions-Umgebungen sollten Sie die Daten virtueller Server SSL-verschlüsselt mit HTTPS übertragen. Das ist wesentlich sicherer und nicht sehr viel komplizierter in der Einrichtung. In diesem Fall weisen Sie den beteiligten Hyper-V-Hosts ein Zertifikat zu. Dazu müssen Sie Zertifikate verwenden, die Clients und Server authentifizieren können. Das Zertifikat muss dem Namen des Hyper-V-Hosts entsprechen. Sie haben hier die Möglichkeit, mit selbst signierten Zertifikaten zu arbeiten oder greifen auf Zertifikate der Active Directory-Zertifikatsdienste zurück. Wir zeigen Ihnen nachfolgend wie Sie die Einrichtung vornehmen.
In der lokalen Verwaltung von Zertifikaten auf einem Server mit Windows Server 2012 R2 installieren Sie im Active Directory Zertifikate auf einem Hyper-V-Hosts. Die Zertifikate kommen anschließend für die Authentifizierung der beteiligten Hyper-V-Hosts in der Replikation zum Einsatz.
Zunächst starten Sie über certlm.msc im Startbildschirm die Verwaltung der lokalen Zertifikate auf dem ersten Hyper-V-Host. Klicken Sie mit der rechten Maustaste auf "Eigene Zertifikate" und wählen Sie "Alle Aufgaben / Neues Zertifikat anfordern". Bestätigen Sie die Option "Active Directory-Registrierungsrichtlinie" und aktivieren Sie danach die Option "Computer" und klicken Sie dann auf "Registrieren". Das Zertifikat wird jetzt in der Konsole angezeigt.
Sie können Zertifikate auch in der Befehlszeile erstellen. Das ist zum Beispiel für geskriptete Umgebungen sinnvoll. Um ein Zertifikat zu registrieren, erstellen Sie eine Text-Datei, mit der Sie danach eine Anfrage bei der Zertifizierungsstelle starten. Hierbei kann es sich um eine externe oder eine interne Zertifizierungsstelle handeln. Speichern Sie dazu die Textdatei mit dem folgenden Inhalt. Passen Sie den Servernamen in der vierten Zeile "Subject" an Ihre Bedürfnisse an:
[Version] Signature="$Windows NT$" [NewRequest] Subject = "CN=SERVER.CONTOSO.COM" Exportable = TRUE ; Private key is exportable KeyLength = 2048 ; Common key sizes: 512, 1024, 2048, 4096, 8192, 16384 KeySpec = 1 ; AT_KEYEXCHANGE KeyUsage = 0xA0 ; Digital Signature, Key Encipherment MachineKeySet = True ; The key belongs to the local computer account ProviderName = "Microsoft RSA SChannel Cryptographic Provider" ProviderType = 12 RequestType = CMC [EnhancedKeyUsageExtension] OID=1.3.6.1.5.5.7.3.1 ;Server Authentication OID=1.3.6.1.5.5.7.3.2 ;Client Authentication
Speichern Sie die Datei anschließend unter dem Namen replica.inf ab. Achten Sie auf die korrekte Endung der Datei. Auf Basis der Daten in dieser Datei erstellen Sie danach in der Befehlszeile eine weitere Datei mit der dazugehörigen Zertifikatsanfrage:
certreq -new replica.inf replica.reqWechseln Sie dazu in das Verzeichnis, in dem Sie die INF-Datei gespeichert haben. Anschließend befinden sich zwei Dateien in diesem Verzeichnis. Mit der REQ-Datei stellen Sie bei Ihrer internen Zertifizierungsstelle – etwa den Active Directory-Zertifikatsdiensten – eine Online-Anfrage. Dazu verwenden Sie den Befehl:
certreq -submit -config "dc01.contoso.int\contoso-dc01-ca" Replica.req replica.cerErhalten Sie eine Fehlermeldung, zum Beispiel, dass die Zertifikatvorlage nicht in Ordnung ist, verwenden Sie zusätzlich die Option "-attrib CertificateTemplate: Vorlage". Alternativ erstellen Sie einen "Certifikate Signing Request" (CSR). Mit dieser führen Sie eine Anfrage bei einer externen Zertifizierungsstelle durch. Aber auch von internen Zertifizierungsstellen können Sie diese Daten nutzen, zum Beispiel mit der Weboberfläche der Zertifikatsdienste. Dazu verwenden Sie den folgenden Befehl:
certutil -encode replica.req replica.csrAnschließend öffnen Sie die CSR-Datei mit einem Texteditor und kopieren den Inhalt in die Zwischenablage. Mit diesen Daten schließen Sie die Anfrage ab. Rufen Sie dazu im lokalen Zertifikatespeicher des Servers (certlm.msc) die eigenen Zertifikate auf und lassen Sie sich die Eigenschaften des Zertifikats anzeigen. Sie sehen bei der erweiterten Verwendung des Schlüssels die "Client- und Serverauthentifizierung", ohne die Sie ein Zertifikat nicht für Hyper-V-Replication nutzen können.
Im zweiten Teil des Workshops lesen Sie, wie Sie bei der Replikation mit selbstsignierten Zertifikaten arbeiten, virtuelle Server zwischen Hyper-V-Hosts replizieren und wie Sie ein Failover mit Hyper-V-Replica durchführen.
Seite 1: Hyper-V-Hosts für Replikation aktivieren
Seite 2: Hyper-V-Replikation mit SSL konfigurieren
<< Vorherige Seite | Seite 2 von 2 |
Thomas Joos/jp/ln