Windows Server 2012 R2: Hyper-V

Zertifikatbasierte Authentifizierung verwenden

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Die Replikation von virtuellen Maschinen kann durch die Verwendung einer zertifikatbasierten Authentifizierung erfolgen. Dabei werden die Daten, welche über das Netzwerk gesendet werden, verschlüsselt.
10:40

Transkript

Wenn Sie zwischen zwei Hyper-V-Hosts, die nicht zu einem Cluster gehören, also zwei alleinstehenden Hyper-V-Hosts in einer Domäne virtuelle Server replizieren lassen wollen, können Sie in den Hyper-V-Einstellungen der entsprechenden Hosts im Bereich "Replikationskonfiguration" festlegen, dass der Hyper-V-Host als Replikatserver funktioniert, und Sie können die zertifikatbasierte Authentifizierung verwenden oder die Kerberos-Authentifizierung. Für Testumgebungen und eher unsichere Umgebungen oder kleinere Netzwerke ist Kerberos ausreichend. Für produktive Netzwerke sollten Sie besser die zertifikatbasierte Authentifizierung verwenden. Achten Sie aber darauf, dass Sie in diesem Fall auch eine Active Directory-Zertifikatsstelle brauchen. Diese können Sie entweder auf einem Domaincontroller installieren oder Sie installieren diese auf einem Mitgliedsserver im Netzwerk. Wenn Sie keine Active Directory-Zertifikatsdienste im Einsatz haben oder andere Zertifikate, die Sie verwenden können, haben Sie auch die Möglichkeit mit selbstsignierten Zertifikaten zu arbeiten. Dann ist zwar die Konfiguration etwas komplizierter, Sie müssen sich aber später nicht um Zertifikate kümmern. Von Hyper-V, etwas komplizierter, das ist Sie die Zertifikate erst erstellen müssen, dafür brauchen Sie auch keine Active-Directory-Zertifizierungsstelle. Möchten Sie jetzt also auf einem Server ein Zertifikat installieren, um die Replikation von virtuellen Servern über SSL zu verschlüsseln, müssen Sie zunächst mit Zertifikaten arbeiten. Am schnellsten geht das, wenn Sie auf der Startseite nach "certlm.msc" suchen und sich dann die Verwaltung der lokalen Zertifikate anzeigen lassen. Neue Zertifikate rufen Sie am schnellsten so auf, indem Sie auf "Eigene Zertifikate" gehen und dann "Alle Aufgaben", "Neues Zertifikat" anklicken. Es startet jetzt ein Assistent, der Sie mit Ihrer interen Zertifizierungsstelle verbindet. Hier gibt es die Active-Directory-Registrierungsrichtlinie, diese sollten Sie bestätigen. Das ist die Richtlinie, die  von den Zertifizierungsdiensten in Active-Directory festgelegt ist, um Zertifikate auszustellen. Danach haben Sie jetzt die Möglichkeit, die Zertifikate auszuwählen, die Sie für die Replikation nutzen wollen. Hier verwenden Sie zum Beispiel jetzt die Option "Computer", dass sich der Computer, also der Hyper-V-Server bei dem anderen Hyper-V-Server durch sein Zertifikat anmelden muss. Und Sie klicken auf "registrieren". Setzen Sie hier mehrere Zertifizierungsstellen ein, z. B. auch eher inoffizielle oder selbstsignierte, erhalten Sie beim Ausstellen von Zertifikaten teilweise eine Fehlermeldung, bestätigen Sie diese einfach, damit die Verbindung mit der Active-Directory-Zertifikatsstelle direkt auf dem Server stattfinden kann. Danach müsste der Status als "Erfolgreich" angezeigt werden, d. h. wenn eine Fehlermeldung erscheint und Sie bestätigen diese, dass das Zertifikat  dennoch von der Internetzertifizierungsstelle abgerufen wird und hier ein Status "Fehlerhaft" steht, hat das Übertragen des Zertifikats nicht funktioniert. Steht hier "Erfolgreich", hat die Übertragung funktioniert. Mit "Zertifikat anzeigen" sehen Sie auch das Zertifikat. Wichtig ist, überprüfen Sie hier, ob es sich um die korrekte Zertifizierungsstelle handelt. Das ist vor allem dann wichtig, wenn Sie z. B. in einem Testnetzwerk mehrere Zertifizierungsstellen im Einsatz haben. Normalerweise ist es so, wenn Sie in einer Active-Directory-Domäne die Active-Directory-Zertifikatsdienste installieren und einrichten, das geht relativ schnell, können Sie über diese hier vorgestellten Assistenten sehr leicht ein Zertifikat abrufen. Wenn das Zertifikat hier zur Verfügung steht, klicken Sie auf "Fertigstellen", bei "Eigene Zertifikate" im Bereich "Zertifikate" wird das Zertifikat jetzt hier angezeigt. Außerdem dürfen im unteren Bereich und bei den Daten keine Fehlkonfigurationen oder Fehlermeldungen zu sehen sein. Wollen Sie Zertifikate  auf Core-Servern installieren oder auf Hyper-V-Servern 2012 R2, müssen Sie etwas anders vorgehen. Hier müssen Sie die Eingabeaufforderung verwenden. Dazu erstellen Sie eine neue Textdatei mit der Bezeichnung "replika.inf". Die txt-Endung müssen Sie danach noch entfernen. Bei "Subject" geben Sie den Namen des Servers ein; also in diesem Beispiel ist es der Server "s1.kontoso.int". Hierbei handelt es sich um einen Core-Server. Den Rest übernehmen Sie so, wie ihn diese Datei hinterlegt. Sie speichern die Datei, achten darauf, dass die Endung auch wirklich nur aus "inf" besteht. Sie müssen diese später auf den Hyper-V-Server kopieren. Da kopiere ich diese jetzt hier auf meinem Quell-Rechner relativ leicht in das Verzeichnis "temp". So kann ich schneller auf die Datei zugreifen. Danach wechsle ich auf den Hyper-V-Server. Sie sehen, ich kann hier auf dem Server selbst nicht mit der lokalen Zertifikate-Verwaltung arbeiten. Wenn Sie den Befehl eingeben, erhalten Sie eine Fehlermeldung. Es gibt hier also nur die Möglichkeit, über die Befehlszeile zu arbeiten. Wenn Sie auf Core-Servern oder Hyper-V-Servern arbeiten, haben Sie keine Möglichkeit, mit graphischen Verwaltungstools zu arbeiten. Das wollte ich Ihnen mit diesem Befehl zeigen. Ich muss mir jetzt die von mir kopierte Datei auf den Rechner kopieren. Dazu verbinde ich einfach ein Netz-Laufwerk mit Net-Views, verwende als Buchstaben den Buchstaben "K" und als Pfad den von mir den von mir verwendeten Administrator-PC mit dem Verzeichnis "temp". Ich muss mich aber mit einem anderen Benutzer anmelden, das der Administrator-PC nicht Mitglied einer Domäne ist. Die Verbindung wurde erfolgreich ausgeführt, ich kann jetzt in das Verzeichnis wechseln. Hier habe ich die Datei "replika.inf". Ich überprüfe, ob ich auch auf dem Server ein Temp-Verzeichnis haben. Hier gibt es noch kein Temp-Verzeichnis, dann lege ich auf dem Server das Verzeichnis "Temp" an, kopiere jetzt die Datei "replika.inf" in das Verzeichnis "C:/temp". Hier liegt jetzt die Datei vor, mit der von mir erstellten Replikatsabfrage, die ich jetzt an meine interne Active-Directory-Zertifikatsstelle weiterreichen kann. Als Erstes muss ich jetzt aus dieser Datei eine Zertifikatsabfrage erstellen. Dazu verwende ich den Befehl "certreg", den Namen der Datei, Option "New", ich möchte eine neue Zertifikatsabfrage erstellen, den Namen der Datei und die Zertifikatsanfrage soll die Bezeichnung "replika.req" enthalten. Die Anforderung wurde  erfolgreich erstellt. Ich sehe jetzt die neue Datei in diesem Verzeichnis. Danach kann ich jetzt diese von mir erstellte Zertifikatsanfrage an den Active-Directory-Zertifikatsserver weiter vergeben. Dazu verwende ich den Befehl, ebenfalls wieder, "certreq". Ich möchte die Anfrage übermitteln, möchte die Übermittlung noch entsprechend konfigurieren. Wichtig ist an dieser Stelle, den Namen des Zertifizierungsservers, das ist "dc1.kontoso.int". Die Zertifizierungsstelle trägt die Bezeichnung "kontoso-dc01-ca". Überprüfen Sie diese Schreibweise bei sich, Sie sehen in der Active-Directory-Zertifikatsverwaltung die Bezeichnung. Wenn Sie hier einen Fehler machen, erhalten Sie bei "certreq" eine Fehlermeldung. Das spielt aber keine Rolle, dann können Sie einfach die Anfrage erneut senden. Danach gebe ich den Namen meiner Zertifikatsanfrage an  "replika.req" und das Zertifikat, das ich von dieser Zertifizierungsstelle jetzt erhalte, sollte die Bezeichnung "replika.cer" erhalten. Sie können sich mit den Bezeichnungen selbst entscheiden, wichtig sind nur die Dateiendungen, d. h. die Datei selbst hier hat die Bezeichnung "inf", die Anfrage auf Basis der Vorlage erstellen Sie mit der Endung "req", und das Zertifikat selbst hat dann die Bezeichnung "cer". Unter manchen Umständen erhalten Sie noch eine Fehlermeldung, nämlich dass eine bestimmte Zertifikatvorlage nicht vorhanden ist. Das spielt aber keine Rolle, in diesem Fall nehmen Sie den Befehl einfach noch mal mit der Pfeiltaste nach oben in den Fokus und nehmen noch eine weitere Option mit auf, nämlich "attrib". Hier geben Sie dann der Anfrage noch ein Attribut mit, nämlich das Attribut "Certificate Template" und den Namen der Vorlage, in diesem Beispiel "Computer". Wenn Sie mit einer externen Zertifizierungsstelle arbeiten oder mit der web-basierten Oberfläche der Zertifizierungsstelle in Active-Directory arbeiten wollen, haben Sie auch die Möglichkeit, aus der von Ihnen erstellte Anfrage einen sogenannten "Certificate Signing Request" zu erstellen. Das ist eine Textdatei, auf deren Basis Sie mit einem Browser ein Zertifikat ausstellen und installieren können. Das sieht relativ einfach aus. Sie verwenden den Befehl "certutil", dann die Option "encode". Sie verwenden die von Ihnen erstellte Anfrage und erstellen ein "Certificate Signing Request". Wenn der Befehl erfolgreich erstellt wurde, können Sie die Datei auch mit Notepad öffnen. Um ein Zertifikat von einer Zertifizierungsstelle abzurufen, müssen Sie jetzt im Endeffekt nichts anderes machen, wie den Inhalt dieser Datei in die Zwischenablage zu kopieren und in der Web-Oberfläche der Zertifizierungsstelle zu verwenden. Auf Basis dieser Datei erhalten Sie dann ebenfalls ein Zertifikat, das Sie dem Server zuweisen können. Ich habe in diesem Video gezeigt, welche Berücksichtigungen Sie bei der Einrichtung von Hyper-V-Replika bezüglich der Zertifikate vornehmen müssen und wie Sie bei der Konfiguration der Hyper-V-Replikation auf Basis der SSL-Verschlüsselung vorgehen müssen.

Windows Server 2012 R2: Hyper-V

Lernen Sie, wie Sie in Hyper-V ganz praktisch mit virtuellen Servern, virtuellen Festplatten, virtuellen Switches, virtuellen Domänencontrollern usw. in der Praxis umgehen.

5 Std. 52 min (55 Videos)
Derzeit sind keine Feedbacks vorhanden...

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!