Tags: Hyper-V, Synchronisierung
Die Replikation von virtuellen Maschinen zwischen Hyper-V-Hosts erfolgt in AD-Strukturen am einfachsten mit Hilfe von Kerberos. Um den Datenverkehr jedoch abhörsicher zu machen, bedient man sich der verschlüsselten Variante. Als Basis für die nachfolgende Anleitung dienen die Active Directory Certificate Services (AD CS) sowie Standalone-Hosts unter Hyper-V.
Es gibt für Replica mehrere Möglichkeiten, Zertifikate auszustellen und einzubinden: über kostenlose Tools wie makecert, kostenpflichtige SSL-Dienste wie beispielsweise von Symantec und GoDaddy oder die Active Directory Certificate Services (AD CS). Nötig werden diese auf jeden Fall, wenn es keine Kerberos-Authentifizierung gibt, zum Beispiel bei Hosts, die sich nur in Arbeitsgruppen befinden.
Zertifikate ausstellen
Ausgangspunkt ist eine funktionierende Zertifizierungsstelle, die als Rolle auf einem bestehenden Windows Server installiert wurde. Starten Sie jetzt auf dem Hyper-V Host über Start => Ausführen eine Instanz von mmc.exe und fügen Sie das Snap-In Zertifikate hinzu. Dieses sollte die Zertifikate für das Computerkonto und den lokalen Computer verwalten. Unter Eigene Zertifikate fordern Sie nun ein neues Zertifikat an und akzeptieren die Active Directory-Registrierungsrichtlinie für Computer.
Das X.509v3-Zertifikat wurde nun von der eigenen CA für den Hyper-V-Server registriert und kann über den Hyper-V Manager eingebunden werden. Stellen Sie auf jedem beteiligten Host ein entsprechendes Zertifikat aus, um seine Identität zu bestätigen. Die Erweiterte Schlüsselverwendung des Zertifikates sollte Clientauthentifizierung und Serverauthentifizierung enthalten und der alternative Antragstellername (DNS-Name) muss auf den FQDN des Servers lauten.
Öffnen Sie nun sicherheitshalber auf den Hyper-V-Hosts eine cmd.exe und lassen Sie den Zertifikatspeicher inklusive Zertifikate mit certutil –store my überprüfen. Dadurch sollte ein Verschlüsselungstest durchgeführt und erfolgreich beendet werden.
Replikation über HTTPS aktivieren
Sobald die Zertifikate erfolgreich ausgestellt wurden, aktiviert man die verschlüsselte Replikation (lesen Sie dazu für das genaue Vorgehen meinen Beitrag Hyper-V Replica: Virtuelle Maschinen an andere Standorte übertragen). Der erste Schritt für die Replikation über HTTPS besteht in ihrer Aktivierung auf dem Replikatserver.
Sobald die Checkbox auf Zertifikatbasierte Authentifizierung gesetzt ist, können Sie das zuvor ausgestellte Zertifikat auswählen. Die Vorschau zeigt hier auch noch einmal deutlich, auf welchen Namen es ausgestellt wurde und welche CA es beglaubigt hat.
Als nächstes aktivieren Sie auf dem primären Server die Replikation im Kontextmenü einer VM, die auf den Replikatserver übertragen werden soll. Nachdem Sie Letzteren ausgewählt haben, müssen Sie die Verbindungsparameter festlegen, nämlich die zertifikatbasierte Authentifizierung über Hypertext Transfer Protocol Secure (HTTPS) Port 443. Wählen Sie auch hier das entsprechende Zertifikat für den primären Host aus.
Schließlich werden über den Wizard noch die zu replizierenden VHD(X)-Laufwerke abgefragt, die Replikationsfrequenz, nötige Wiederherstellungspunkte und die Replikationsmethode. Nach der Zusammenfassung wird die virtuelle Maschine verschlüsselt an den Replikatserver gesandt.
Firewall-Regel für HTTPS-Replikation aktivieren
Voraussetzung für den erfolgreichen Empfang von Daten am Replikatserver ist wie bei der Konfiguration mit Kerberos, dass der benötigte Port in der Firewall geöffnet wird. Rufen Sie zu diesem Zweck am Replikatserver wf.msc auf und aktivieren die eingehende Firewall-Regel Hyper-V Replikat - HTTPS Listener (TCP eingehend).
Um zu sehen, ob der primäre Server seine Daten tatsächlich über HTTPS an den Replikatserver sendet, können Sie einfach netstat in der Eingabeaufforderung starten. Am besten tun Sie das beim initialen Senden der VM.
Auch die PowerShell liefert mit dem Cmdlet Get-VMReplication detaillierte Informationen über die Konfiguration der vorangegangenen Replikation.
Replikation und Gültigkeit der Zertifikate überwachen
Die verschlüsselte Replikation von VMs setzt natürlich voraus, dass die verwendeten Zertifikate gültig sind. In der Regel laufen diese aber nach 1 Jahr ab und müssen anschließend dementsprechend erneuert werden. Die Replikation gerät bei Ablauf der Zertifikate in einen kritischen Zustand.
Ich habe ein PowerShell Script geschrieben, welches in die Aufgabenplanung des Servers eingebunden wird und so regelmäßig einen kurzen Statusbericht per E-Mail versendet:
Überprüfen Sie auch hin und wieder die Eventlogs des Hypervisors unter Ereignisanzeige => Anwendungs- und Dienstprotokolle => Microsoft => Windows => Hyper-V-VMMS. Hier finden sich auch wichtige Ereignisse zur Replikation.
Täglich Know-how für IT-Pros mit unserem Newsletter
Marcel Küppers arbeitet seit über 25 Jahren in der IT, aktuell als Team Leader, zuvor als Consultant und Infrastructure Architect unter anderem für den japanischen Konzern JTEKT/TOYODA mit Verantwortung über die Europastandorte Krefeld und Paris.
Darüber hinaus wirkte er als Berater im EU-Projekt-Team für alle Lokationen des Konzerns mit und ist spezialisiert auf hochverfügbare virtualisierte Microsoft-Umgebungen plus Hybrid Cloud Solutions.
Zertifizierungen: MS Specialist und MCTS für Hyper-V/SCVMM, MCSE, MCITP, MCSA. Zusätzlich zertifiziert für PRINCE2 Projektmanagementmethode.
Verwandte Beiträge
- FAQ zu Hyper-V Replica: Exchange, SQL Server, Domain Controller, Wiederherstellungspunkte
- Hyper-V Replica: Replizierte VMs testen und wiederherstellen
- Hyper-V Replica: Virtuelle Maschinen auf USB-Medium zum Ziel-Host transportieren
- Hyper-V Replica: Virtuelle Maschinen an andere Standorte übertragen
- Windows Admin Center 2306: Erweitertes Management von Hyper-V, Cluster und Azure Stack HCI
Weitere Links