Hyper-V 3.0 網域環境使用企業CA Replica 設定

網域環境下通常會使用kerberos來驗證方式來設定Replica, 但是在重送資料是沒有加密,如果要使用加密方式的Replica

可以利用企業內部的憑證伺服器來建立憑證。

架構圖:

rca0

建立憑證範本

開啟憑證主控台 > 憑證範本 > 滑鼠右鍵 > 管理

rca1

找到 > 工作站驗證 > 滑鼠右鍵 > 複製範本

rca2

修改範本內容

一般標籤 : 修改範本名稱為 Hyper-V Replica

rca3 

發行需求標籤 : 勾選 [要有CA憑證管理員核准]

rca4

安全性標籤 : Authenticated  Users  勾選 [註冊]

rca5

主體名稱標籤 : 選擇 [在要求中提供]

rca6

延伸標籤 : 選擇[應用程式原則] > 點選 [編輯]

rca7

點選 [新增] > 點 [伺服器驗證]  > 點選 [確定]

rca8 

設定完畢後,在應用程式描述就會看到 [用戶端驗證]及[伺服器驗證]

rca9

範本建立完畢

rca10

在憑證授權單位 > 憑證範本 > 滑鼠右鍵 > 新增 > 選 [要發出的憑證範本]

rca11

選擇前面步驟建立的Hyper-v Replica範本

rca12

Hyper-V主機要求憑證 (HV01 & HV02 都要做)

建立inf 檔案要求憑證

開啟記事本,將下列內容貼上

修該部分

Subject = “CN=HV01.lab.com” ====> 在HV02主機要換成 HV02.lab.com

CertificateTemplate = “Hyper-V Replica”  ===> 新增的範本名稱

—————————————————————————–

[Version]
Signature=”$Windows NT$

[NewRequest]
Subject = “CN=HV01.lab.com”
Exportable = TRUE
KeyLength = 2048
KeySpec = 1            
KeyUsage = 0xA0
MachineKeySet = True
ProviderName = “Microsoft RSA SChannel Cryptographic Provider”
ProviderType = 12
RequestType = CMC

[RequestAttributes]
CertificateTemplate = “Hyper-V Replica”

—————————————————————————–

將hv01.inf 存放在C磁碟

rca13

開啟命令提示字元(提升至管理者權限) ,建立新憑證要求檔案

指令 : certreq –new c:\hv01.inf  c:\hv01.req

執行完畢在 C磁碟會產生 hv01.req

rca14

輸入下列指令送出憑證要求

certreq –submit  -config “ca\root” c:\hv01.req c:\hv01.cer

rca15

回到CA伺服器,核准該憑證要求

開啟憑證授權單位 > 擱置要求 > 在要求憑證上 > 滑鼠右鍵 > 所有工作 > 點選[發行]

rca16

發行後,在[已發出的憑證]就會看到

rca17

回到HV01,輸入下列指令取得已經核准發行的憑證

指令 :  certreq –retrieve 3 hv01.cer

執行後會彈出 [憑證授權單位清單]視窗,點選[確定]

rca18

取得憑證完成後(如下圖)

rca19

在c磁碟產生 hv01.cer

rca20

在hv01.cer 檔案上 > 滑鼠右鍵 > 選 [安裝憑證]

rca21

出現匯入精靈 > 存放位置至選擇 [本機電腦] > 點選 [下一步]

>rca22

憑證存放區 >點選 [瀏覽] 選擇[個人]  > 點選 [下一步]

rca23

點選[完成],即可匯入憑證

rca24 

依照上述步驟,在HV02主機產生憑證並匯入

HV01 & HV02啟用複寫設定:

先設定HV01主機
在複寫設定>勾選[啟用此電腦為複本伺服器] > 勾選 [使用憑證式驗證]

rca25

點選 > 選取憑證 > 會跳出憑證相關資訊

rca26

勾選[允許來自任何已驗證之伺服器的複寫]

rca27

確認後會出現提示firewall 443 port 需要允許通過

rca28

啟用Firewall 規則 > [Hyper-v 複本HTTPS接聽程式(TCP-In)]

rca29

依照上述步驟將HV02複寫設定啟用即可。

設定虛擬機器複寫至HV02主機:

在HV01開啟Hyper-V管理工具 > win7 虛擬機器滑鼠右鍵 > 啟用複寫

rca30

指定複本伺服器 HV02

rca31

點選 > [選取憑證]

rca32

rca33

選擇複寫VHD

rca34

設定復原歷程記錄

rca35

選擇初始複寫方法

rca36

確認複寫設定,若正確無誤點選[完成]即開始複寫。

rca37

開始傳送及接收資料

rca38

rca39

檢視目前複寫狀態(如下圖,已完成初始複本傳送)。

rca40

參考資料

1.  Requesting Hyper-V Replica Certificates from an Enterprise CA

2.  Hyper-v Replica Certificate Based with your own Root Authority



本篇瀏覽人數: 1475
分類: Hyper-V 3.0 筆記, Hyper-V篇。這篇內容的永久連結

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *