網域環境下通常會使用kerberos來驗證方式來設定Replica, 但是在重送資料是沒有加密,如果要使用加密方式的Replica
可以利用企業內部的憑證伺服器來建立憑證。
架構圖:
建立憑證範本
開啟憑證主控台 > 憑證範本 > 滑鼠右鍵 > 管理
找到 > 工作站驗證 > 滑鼠右鍵 > 複製範本
修改範本內容
一般標籤 : 修改範本名稱為 Hyper-V Replica
發行需求標籤 : 勾選 [要有CA憑證管理員核准]
安全性標籤 : Authenticated Users 勾選 [註冊]
主體名稱標籤 : 選擇 [在要求中提供]
延伸標籤 : 選擇[應用程式原則] > 點選 [編輯]
點選 [新增] > 點 [伺服器驗證] > 點選 [確定]
設定完畢後,在應用程式描述就會看到 [用戶端驗證]及[伺服器驗證]
範本建立完畢
在憑證授權單位 > 憑證範本 > 滑鼠右鍵 > 新增 > 選 [要發出的憑證範本]
選擇前面步驟建立的Hyper-v Replica範本
Hyper-V主機要求憑證 (HV01 & HV02 都要做)
建立inf 檔案要求憑證
開啟記事本,將下列內容貼上
修該部分
Subject = “CN=HV01.lab.com” ====> 在HV02主機要換成 HV02.lab.com
CertificateTemplate = “Hyper-V Replica” ===> 新增的範本名稱
—————————————————————————–
[Version]
Signature=”$Windows NT$
[NewRequest]
Subject = “CN=HV01.lab.com”
Exportable = TRUE
KeyLength = 2048
KeySpec = 1
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = “Microsoft RSA SChannel Cryptographic Provider”
ProviderType = 12
RequestType = CMC
[RequestAttributes]
CertificateTemplate = “Hyper-V Replica”
—————————————————————————–
將hv01.inf 存放在C磁碟
開啟命令提示字元(提升至管理者權限) ,建立新憑證要求檔案
指令 : certreq –new c:\hv01.inf c:\hv01.req
執行完畢在 C磁碟會產生 hv01.req
輸入下列指令送出憑證要求
certreq –submit -config “ca\root” c:\hv01.req c:\hv01.cer
回到CA伺服器,核准該憑證要求
開啟憑證授權單位 > 擱置要求 > 在要求憑證上 > 滑鼠右鍵 > 所有工作 > 點選[發行]
發行後,在[已發出的憑證]就會看到
回到HV01,輸入下列指令取得已經核准發行的憑證
指令 : certreq –retrieve 3 hv01.cer
執行後會彈出 [憑證授權單位清單]視窗,點選[確定]
取得憑證完成後(如下圖)
在c磁碟產生 hv01.cer
在hv01.cer 檔案上 > 滑鼠右鍵 > 選 [安裝憑證]
出現匯入精靈 > 存放位置至選擇 [本機電腦] > 點選 [下一步]
>
憑證存放區 >點選 [瀏覽] 選擇[個人] > 點選 [下一步]
點選[完成],即可匯入憑證
依照上述步驟,在HV02主機產生憑證並匯入
HV01 & HV02啟用複寫設定:
先設定HV01主機
在複寫設定>勾選[啟用此電腦為複本伺服器] > 勾選 [使用憑證式驗證]
點選 > 選取憑證 > 會跳出憑證相關資訊
勾選[允許來自任何已驗證之伺服器的複寫]
確認後會出現提示firewall 443 port 需要允許通過
啟用Firewall 規則 > [Hyper-v 複本HTTPS接聽程式(TCP-In)]
依照上述步驟將HV02複寫設定啟用即可。
設定虛擬機器複寫至HV02主機:
在HV01開啟Hyper-V管理工具 > win7 虛擬機器滑鼠右鍵 > 啟用複寫
指定複本伺服器 HV02
點選 > [選取憑證]
選擇複寫VHD
設定復原歷程記錄
選擇初始複寫方法
確認複寫設定,若正確無誤點選[完成]即開始複寫。
開始傳送及接收資料
檢視目前複寫狀態(如下圖,已完成初始複本傳送)。
參考資料
1. Requesting Hyper-V Replica Certificates from an Enterprise CA
2. Hyper-v Replica Certificate Based with your own Root Authority
本篇瀏覽人數: 2262
