axlemoxle
Goto Top

Hyper V Replikation Zertifikatbasiert

Hallo,

ich möchte gerne zwischen 2 Hyper V Hosts basierend auf Server 2022 eine Replikation einrichten.
Beide Server befinden sich in einer Workgroup. DC ist eine VM auf dem Host, die Hosts möchte ich eigentl. nicht in die Domäne aufnehmen...

Leider bin ich anscheinend zu blöd das Zertifikat zu erstlellen...
Ich habe das nach dem Beitrag hier versucht: https://winxperts4all.at/index.php/virtualisierung/187-microsoft-hyper-v ...

leider kommen Fehler beim aktivieren der Replikation, da das Zertifikat nicht passt...
Vermutl. ist die Vorgehensweise die Falsche für Server 2022.

Es findet sich leider auch kaum Dokumentation für das Vorgehen, nur für Server 2012...

Hat hier jemand eine saubere Befehlsfolge und was ich dann importieren muss, bzw. wie ich die Zertifikate am einfachsten erstellt bekomme ?

Danke vorab

Content-ID: 53400492126

Url: https://administrator.de/contentid/53400492126

Printed on: October 11, 2024 at 14:10 o'clock

MysticFoxDE
MysticFoxDE Dec 10, 2023 at 17:30:10 (UTC)
Goto Top
Moin @axlemoxle,

ich möchte gerne zwischen 2 Hyper V Hosts basierend auf Server 2022 eine Replikation einrichten.
Beide Server befinden sich in einer Workgroup. DC ist eine VM auf dem Host, die Hosts möchte ich eigentl. nicht in die Domäne aufnehmen...

geht normalerweise ohne Probleme.

Leider bin ich anscheinend zu blöd das Zertifikat zu erstlellen...
Ich habe das nach dem Beitrag hier versucht: https://winxperts4all.at/index.php/virtualisierung/187-microsoft-hyper-v ...

leider kommen Fehler beim aktivieren der Replikation, da das Zertifikat nicht passt...
Vermutl. ist die Vorgehensweise die Falsche für Server 2022.

und warum machst du die Replikation nicht per "Kerberos (HTTP)", damit sparst du dir das ganze Zertifikatsgeraffel.

https://learn.microsoft.com/de-de/windows-server/virtualization/hyper-v/ ...

Gruss Alex
axlemoxle
axlemoxle Dec 10, 2023 at 19:07:08 (UTC)
Goto Top
Hallo, ich war der Meinung dass Kerberos nur innerhalb einer Domäne funktioniert....hmm...dann muss ich nochmal schauen, das wäre natürlich viel einfacher
DerWoWusste
DerWoWusste Dec 11, 2023 at 07:13:35 (UTC)
Goto Top
Kerberos nur, wenn der Host in der Domäne ist. Und Kerberos hieße auch "authentifiziert aber unverschlüsselt".
DerWoWusste
DerWoWusste Dec 11, 2023 at 07:18:38 (UTC)
Goto Top
Zu deinem Problem: die Anleitung funktioniert ja offenbar bei anderen. Wird bei dir im letzten Schritt (Zertifikatsauswahl) schlicht kein passendes angezeigt?

Die Hosts in die Domäne zu packen macht auch die Zusammenarbeit mit einer Domänen-CA einfacher, falls du eine hast.
axlemoxle
axlemoxle Dec 11, 2023 at 07:34:38 (UTC)
Goto Top
Ich vermute die Befehle sind zu alt für die aktuelle Serverversion....ist ja eine Anleitung für Server 2016 oder so...
Ich betreibe 2022

Ich möchte die Hosts aus verschiedenen Gründen nicht in die Domäne packen, daher suche ich ja nach der alternativ Lösung. Innerhalb einer Domäne klappt das mit Kerberos ganz einfach....allerdings habe ichs ohne noch nie gemacht...

Habs eben mal probiert, allerdings scheitert Kerberos ohne Domäne zum Schluss im Einrichtungsfenster der Replikation mit der Meldung:
Fehler beim Authentifizieren mit Hilfe der Kerberos-Authentifizierung.
Im Sicherheitspaket sind keine Anmeldeinformationen verfügbar....

Gibts ne Möglichkeit ohne DOmäne eine Vertrauensstellung zwischen den beiden Servern aufzubauen ?
DerWoWusste
DerWoWusste Dec 11, 2023 at 07:38:28 (UTC)
Goto Top
Schreib was zu deinem Fehler bei Zertifikatsbenutzung. Die Befehle passen auf 2022. Eine Vertrauensstellung? Was soll das sein? Nein, da geht nichts anderes.
MysticFoxDE
MysticFoxDE Dec 11, 2023 at 07:39:41 (UTC)
Goto Top
Moin DerWoWusste,

Kerberos nur, wenn der Host in der Domäne ist. Und Kerberos hieße auch "authentifiziert aber unverschlüsselt".

du hast recht, sorry für die Verwirrung, mit der Replikation beim Hyper-V, habe ich mich bisher zum Glück nicht viel rumschlagen müssen.

Gruss Alex
MysticFoxDE
MysticFoxDE Dec 11, 2023 at 07:44:34 (UTC)
Goto Top
Moin @axlemoxle,

folgend ein Step by Step Video für einen 2019er mit Zertifikatsauthentifizierung.

https://www.youtube.com/watch?v=3VWgJc5ZBzk

Gruss Alex
axlemoxle
axlemoxle Dec 11, 2023 at 10:45:53 (UTC)
Goto Top
Wobei das Video ja auch nicht mehr ganz Stand der Technik sein kann da es ja ein in Powershell integriertes NewMakeCert gibt.....da sind die Befehle aber vermutl. anders?
DerWoWusste
DerWoWusste Dec 11, 2023 at 11:04:13 (UTC)
Goto Top
Du kannst den Prozess aus dem Film nehmen. Er wird funktionieren.
Das cmdlet New-SelfSignedCertificate kannte der Autor wohl nicht, was soll's.

Wenn Du keine Lust auf das lange Video hast, dann lass uns angehen, was mit dem Prozess aus deinem Link nicht ging - ich hatte ja schon danach gefragt.
Dani
Dani Dec 11, 2023 at 11:07:04 (UTC)
Goto Top
Moin,
Wobei das Video ja auch nicht mehr ganz Stand der Technik sein kann da es ja ein in Powershell integriertes NewMakeCert gibt.....da sind die Befehle aber vermutl. anders?
meinst du New-SelfSignedCertificate? Gibt es schon seit Server 2012. face-wink Unabhängig davon wie fern ist NewMakeCert ein Problem?


Gruß,
Dani
axlemoxle
axlemoxle Dec 11, 2023 at 11:18:38 (UTC)
Goto Top
MakeCert ist kein Problem....dachte nur das sei überholt....so sagts zumindest die MS Site

Ich versuche es später mal....
axlemoxle
axlemoxle Dec 11, 2023 at 16:07:33 (UTC)
Goto Top
Er sagt, dass er meinen Servernamen nicht findet beim auswählen des Zertifikates....habe vermutl. beim Erstellen was falsch gemacht

In der Anleitung steht ja im Root CN=lab.intern

und bei HyperV-19 und 20 jeweils das.....ich ahne dass HyperV19 und 2 die beiden Hosts sind....aber was kommt beim Root Zert dann bei CN hin....

Habe das jetzt probiert beim Root CN einfach CN=Root-HyperV hin geschrieben

und bei den anderen beiden jeweils den Rechnernamen von den beiden Servern Host1 und Host2

Dennoch, wenn ich in HyperV das Zertifikat auswählen will sagt er dass es den Servernamen enthalten muss, was es ja tut, denke ich...hmmm
Dani
Dani Dec 11, 2023 at 17:08:03 (UTC)
Goto Top
Moin,
Dennoch, wenn ich in HyperV das Zertifikat auswählen will sagt er dass es den Servernamen enthalten muss, was es ja tut, denke ich...hmmm
denken, sollte, könnte sind alles Wörter die in der IT nicht vorkommen dürften. face-wink
Es könnte daran liegen, dass evtl. kein Subject Alternative Name (SAN) gesetzt ist. Einfach in den Eigenschaften des Zertifikats nachschauen. Könnte gut sein, dass das SAN bei Erstellen des Videos noch Nice to have war.


Gruß,
Dani
axlemoxle
axlemoxle Dec 11, 2023 at 17:26:47 (UTC)
Goto Top
...und was setze ich da bei ner Workgroup....ist ja keine Domäne
MysticFoxDE
MysticFoxDE Dec 11, 2023 at 18:01:49 (UTC)
Goto Top
Moin @axlemoxle,

...und was setze ich da bei ner Workgroup....ist ja keine Domäne

du benötigst jeweils pro Hyper-V ein Zertifikat in dem als CN der Name des Hosts eingetragen ist.

Siehe Beispiel ...
hyper-v replica cert2

Und den Reg-Key "DisableCertRevocationCheck" solltest du bei "selbsterstellten" Zertifikaten auch unbedingt setzen. 😉

Gruss Alex
MysticFoxDE
MysticFoxDE Dec 11, 2023 at 18:06:49 (UTC)
Goto Top
Moin @axlemoxle,

folgend auch eine sehr gute Anleitung zu diesem Thema.

https://adamtheautomator.com/hyper-v-replication/

Bitte unbedingt auch Punkt 5 beachten!
hyper-v replica how to

Gruss Alex
axlemoxle
Solution axlemoxle Dec 11, 2023 at 19:20:20 (UTC)
Goto Top
Wow, habe bei beiden Hosts die Zertifikate drin...morgen probiere ich mal die Replkation aus....

Fehler war wohl , dass das Root Zertifikat in Vertrauenswürdige Stammzertifikate rein gehört....da wars nicht drin...
axlemoxle
Solution axlemoxle Dec 12, 2023 at 11:58:20 (UTC)
Goto Top
Hat tatsächlich geklappt.....

habe es jetzt mit dem New-Self gemacht, allerdings war das Verzeichnis des Root Zertifikates entscheidend...