Hyper-V dispose d’outils intégrés pour la réplication des machines virtuelles d’un hôte Hyper-V à un autre. Cela est pratique pour la bascule en cas de panne. Souvent, la réplication Hyper-V est configurée sur des serveurs Hyper-V connectés à un domaine Active Directory et à l’intérieur d’un cluster. Cependant, il est possible de configurer la réplication Hyper-V lorsque les serveurs exécutant Hyper-V sont dans un groupe de travail. Pour ce faire, vous avez besoin de certificats.
Cet article de blog explique comment créer des certificats pour configurer la réplication Hyper-V dans un groupe de travail en utilisant les outils intégrés de Windows Server 2016.
Pourquoi utiliser des certificats pour Hyper-V
La réplication basée sur des certificats vous permet de répliquer des machines virtuelles sans ajouter d’hôtes Hyper-V à un domaine Windows ou à un cluster. Cette fonctionnalité est particulièrement utile pour les petites entreprises qui ont trois ou quatre serveurs et ne veulent pas déployer un cluster ni configurer un domaine à l’aide d’Active Directory.
Une autre raison d’utiliser la réplication Hyper-V avec des certificats dans les groupes de travail est la sécurité. Si les serveurs Hyper-V impliqués dans le processus de réplication de la machine virtuelle sont membres d’un domaine, ces serveurs Hyper-V peuvent être entièrement contrôlés si un utilisateur dispose des identifiants du compte administratif Active Directory. Dans certains scénarios indésirables, tels que les attaques de ransomware, avec des identifiants d’administrateur de domaine AD, les attaquants peuvent détruire toutes les informations sur les ressources auxquelles ils ont accès. C’est pourquoi il peut être plus sûr dans certains cas de laisser les serveurs Hyper-V utilisés pour la réplication des machines virtuelles dans un groupe de travail.
Hyper-V prend en charge deux types d’authentification : Kerberos et certificats HTTPS. Kerberos est utilisé pour les ordinateurs dans un domaine Active Directory, et les certificats HTTPS sont utilisés dans des environnements non membres du domaine. Une demande de certificat SSL est effectuée lorsqu’une connexion sécurisée HTTPS est utilisée.
Vue d’ensemble des étapes principales
Avant de commencer une explication détaillée du flux de travail, listons les principales étapes à effectuer pour configurer la réplication Hyper-V dans un groupe de travail en utilisant des certificats.
- Configurer les noms d’hôtes sur les deux serveurs Hyper-V. Un rôle de serveur Hyper-V doit être activé.
- Activer le trafic HTTPS et les connexions entrantes requises dans le pare-feu Windows.
- Créer et configurer des certificats sur le premier serveur. Exporter/importer des certificats.
- Copier les certificats sur le deuxième serveur
- Configurer la réplication sur le deuxième serveur en utilisant des certificats.
- Configurer la réplication sur le premier serveur. Les machines virtuelles ne doivent pas avoir de points de contrôle.
Dans notre article de blog, nous utilisons deux machines Windows Server 2016 avec un rôle Hyper-V installé.
Configuration des noms d’hôtes sur les serveurs
Commençons par l’édition des noms d’hôtes. Configurer des noms DNS pour le serveur source (le serveur principal) et le serveur de réplica (le deuxième serveur ou serveur de destination). Vous devriez ajouter le suffixe DNS principal. L’utilisation de noms de domaine complets (FQDN) est nécessaire pour utiliser des certificats. Dans notre exemple, les noms des serveurs sont :
Hyper-v-prim.test.net – le serveur principal (le premier serveur)
Hyper-v-repl.test.net – le serveur de réplication (le deuxième serveur)
Pour changer un nom d’hôte, ouvrez les paramètres système (cliquez avec le bouton droit sur l’icône Mon ordinateur ou Ce PC) et, dans la section Nom de l’ordinateur, domaine et paramètres du groupe de travail, cliquez sur Paramètres. Dans l’onglet Nom de l’ordinateur, cliquez sur Modifier. Ensuite, dans la fenêtre Changements de nom d’ordinateur/domaine, saisissez un nom d’ordinateur, sélectionnez Groupe de travail (pas un domaine), cliquez sur Plus, et saisissez un suffixe DNS principal de l’ordinateur. Comme mentionné ci-dessus, un nom complet avec un suffixe DNS est nécessaire pour les hôtes Hyper-V afin de permettre la réplication en utilisant des certificats. Un suffixe est test.net dans notre exemple. Si un nom d’hôte est hyper-v-prim, un nom de domaine pleinement qualifié est Hyper-v-prim.test.net pour notre serveur principal.
Sur la capture d’écran ci-dessous, vous pouvez voir la configuration du nom de l’ordinateur pour le serveur principal.
Une fois que vous avez configuré les noms d’hôtes sur les deux serveurs, vous pouvez commencer à créer des certificats sur les serveurs.
Création de certificats sur le serveur principal
Les certificats peuvent être créés en utilisant plusieurs méthodes. L’interface de ligne de commande est généralement utilisée à cette fin. La première option consiste à utiliser l’outil MakeCert pour créer des certificats auto-signés. Maintenant que l’outil MakeCert est obsolète, nous allons utiliser une autre solution.
Utilisez la cmdlet New-SelfSignedCertificate comme une alternative moderne à l’outil MakeCert pour créer des certificats auto-signés.
Sur l’hôte principal (Hyper-v-prim.test.net), exécutez les commandes suivantes dans PowerShell (en tant qu’administrateur) pour générer des certificats :
New-SelfSignedCertificate -DnsName “Hyper-v-prim.test.net” -CertStoreLocation “cert:\LocalMachine\My” -TestRoot
New-SelfSignedCertificate -DnsName “Hyper-v-repl.test.net” -CertStoreLocation “cert:\LocalMachine\My” -TestRoot
Ensuite, vérifiez les certificats créés et continuez à configurer le serveur. Trois certificats doivent être créés après l’exécution de ces commandes (deux certificats de serveur et un certificat racine).
Vérification des certificats créés dans MMC
Ouvrez MMC (Console de gestion Microsoft) sur le premier serveur. Pour ouvrir MMC, tapez mmc dans PowerShell).
Ajoutez un nouveau composant logiciel enfichable dans MMC pour gérer les certificats dans l’interface utilisateur graphique de Windows (GUI).
Cliquez sur Fichier > Ajouter/Supprimer un composant logiciel enfichable…
Dans le volet gauche (Composants logiciels enfichables disponibles) de la fenêtre qui s’ouvre, sélectionnez Certificats, puis cliquez sur Ajouter.
Dans la fenêtre contextuelle, sélectionnez Compte ordinateur, puis cliquez sur Suivant.
Laissez Ordinateur local sélectionné (il est sélectionné par défaut), puis cliquez sur Terminer.
Certificats (Ordinateur local) devrait s’afficher dans le volet droit (Composants logiciels enfichables sélectionnés) de la fenêtre maintenant.
Dans la fenêtre Ajouter ou supprimer des composants logiciels enfichables, cliquez sur OK (un composant logiciel enfichable a déjà été sélectionné).
Vous pouvez enregistrer le module complémentaire ajouté dans MMC.
Cliquez sur Fichier > Enregistrer sous.
Entrez un nom de fichier, par exemple, Certificats1.msc.
Accédez à Certificats (Ordinateur local) / Personnel / Certificats. Vous devriez voir deux certificats que nous avons créés avec PowerShell auparavant – Hyper-v-prim.test.net et Hyper-v-repl.test.net.
Double-cliquez sur un certificat pour voir les détails du certificat. Un certificat pour le deuxième serveur (Hyper-v-repl.test.net) n’est pas encore approuvé.
Allez à Certificats (Ordinateur local) / Autorités de certification intermédiaires / Certificats. Trouvez le certificat CertReq Test Root qui est nécessaire pour un fonctionnement correct. Double-cliquez sur ce certificat pour voir les détails. Le certificat racine de l’AC n’est pas approuvé.
Copiez le certificat CertReq Test Root de Autorités de certification intermédiaires / Certificats vers Autorités de certification racine de confiance / Certificats pour rendre les certificats approuvés. Sélectionnez le certificat, appuyez sur Ctrl+C pour copier et sur Ctrl+V pour coller.
Le certificat CertReq Test Root doit être situé dans Autorités de certification racine de confiance / Certificats (comme indiqué sur la capture d’écran ci-dessous).
Vérifiez à nouveau vos certificats situés dans Personnel/Certificats. Tout d’abord, vérifions le certificat pour un serveur de réplication (Hyper-v-repl.test.net). Le certificat est maintenant approuvé et a la date d’expiration du certificat que vous pouvez voir dans l’onglet Général. Maintenant, vous savez également comment vérifier la date d’expiration du certificat SSL dans Windows.
Vérifiez les autres paramètres du certificat dans l’onglet Détails (Utilisation de la clé améliorée) et l’onglet Chemin de certification. Ce certificat est OK.
Ensuite, vérifiez le certificat pour le serveur principal exactement comme vous avez vérifié le certificat pour le serveur de réplication.
Nous avons configuré des certificats pour le serveur principal (Hyper-v-prim.test.net), et nous devons maintenant configurer le certificat sur le deuxième serveur. Nous devons copier les certificats requis vers le deuxième serveur (Hyper-v-repl.test.net) où les répliques seront stockées. Pour ce faire, exportez les certificats.
Exportation d’un certificat depuis le premier serveur
Sur le premier serveur, sélectionnez le certificat nécessaire pour le deuxième serveur (Hyper-v-repl.test.net) qui se trouve dans Personnel/Certificats. Cliquez avec le bouton droit sur le certificat et dans le menu contextuel, cliquez sur Toutes les tâches > Exporter.
L’Assistant d’exportation de certificat s’ouvre.
1. Bienvenue. Il n’y a rien à configurer sur l’écran de bienvenue. Appuyez sur Suivant à chaque étape pour continuer.
2. Exporter la clé privée. Sélectionnez Oui, exporter la clé privée.
3. Format du fichier d’exportation. Sélectionnez Échange d’informations personnelles – PKCS n°12 (.PFX), et sélectionnez Inclure tous les certificats dans le chemin de certification si possible.
4. Sécurité. Entrez un mot de passe pour maintenir la sécurité et protéger la clé privée.
5. Fichier à exporter. Spécifiez le nom et l’emplacement du fichier que vous souhaitez exporter, par exemple, C:\temp\Hyper-v-repl.pfx
6. Achèvement de l’assistant d’exportation de certificats. Vérifiez la configuration et appuyez sur Terminer.
Vous devriez voir le message : L’exportation a réussi. Cela signifie que tout est OK.
Exportation du certificat racine depuis le premier serveur
Deux certificats ont été exportés. Maintenant, vous devriez exporter le certificat racine de la même manière. Les actions sont effectuées sur le premier serveur (Hyper-v-prim.test.net).
Sélectionnez le certificat CertReq Test Root situé dans Autorités de certification racine de confiance / Certificats.
Cliquez avec le bouton droit sur le certificat ; cliquez sur Toutes les tâches > Exporter.
L’assistant d’exportation de certificats s’ouvre.
1. Bienvenue. Appuyez sur Suivant pour continuer.
2. Format du fichier d’exportation. Sélectionnez le format que vous souhaitez utiliser :
Codage DER binaire X.509 (.CER)
3. Fichier à exporter. Entrez le nom du fichier et le chemin pour enregistrer le fichier, par exemple, C:\temp\testRoot.cer
4. Achèvement de l’Assistant d’exportation de certificats. Vérifiez la configuration et terminez l’exportation.
Les certificats sont exportés vers les fichiers Hyper-v-repl.pfx et TestRoot.cer qui se trouvent maintenant dans C:\temp\ sur le premier serveur.
Copie des certificats exportés vers le deuxième serveur
Copiez les deux fichiers de certificat exportés (Hyper-v-repl.pfx et TestRoot.cer) du premier serveur vers le deuxième serveur.
Nous copions les fichiers vers C:\temp\ sur le deuxième serveur.
Nous pouvons utiliser le chemin réseau \\Hyper-v-repl\C$ ou \\192.168.101.213\C$ pour copier les certificats via le réseau (où 192.168.101.213 est l’adresse IP du serveur de réplication dans notre cas). La configuration du pare-feu doit autoriser les connexions pour le protocole SMB.
Importation des certificats sur le deuxième serveur
Une fois que vous avez copié les certificats sur le serveur de réplica, vous devriez importer ces certificats sur le serveur de réplica.
Ouvrez MMC sur le serveur de réplica (le deuxième serveur) comme vous l’avez fait sur le serveur principal.
Ajoutez un composant logiciel enfichable dans la fenêtre MMC.
Cliquez sur Fichier > Ajouter/Supprimer un composant logiciel enfichable.
Sélectionnez Certificats, cliquez sur Ajouter.
Sélectionnez Compte d’ordinateur, et sélectionnez Ordinateur local.
Cliquez sur OK.
Comme raccourci pour ouvrir ce module complémentaire dans l’interface graphique Windows, vous pouvez utiliser la commande dans Windows CMD ou PowerShell :
certlm.msc
Cette commande ouvre le gestionnaire de certificats Windows (la console de gestion des certificats) pour configurer les certificats de machine locale.
Allez à Certificats (Ordinateur local) / Personnel.
Cliquez avec le bouton droit sur l’espace vide et, dans le menu contextuel, cliquez sur Toutes les tâches > Importer.
Le Assistant Importation de certificat s’ouvre.
1. Bienvenue. Sélectionnez Machine locale.
2. Fichier à importer. Parcourez le fichier Hyper-v-repl.pfx. Cliquez sur Parcourir, sélectionnez pour afficher tous les fichiers, et sélectionnez Hyper-v-repl.pfx
3. Protection de la clé privée. Entrez le mot de passe que vous avez défini lors de l’exportation du certificat.
4. Magasin de certificats. Placez tous les certificats dans le magasin suivant :
Magasin de certificats : Personnel
5. Finalisation de l’Assistant Importation de certificat. Vérifiez la configuration, et cliquez sur Terminer.
Si tout est correct, vous devriez voir le message : L’importation a réussi.
Maintenant, le certificat Hyper-v-repl.test.net est situé dans Certificats (Ordinateur local) / Personnel / Certificats sur le serveur de réplication (le deuxième serveur). Dans notre cas, le certificat CertReq Test Root a également été importé à cet emplacement.
Le certificat CertReq Test Root doit être situé dans Autorités de certification racine de confiance / Certificats. Copiez ce certificat à l’emplacement requis. Vous pouvez importer TestRoot.cer manuellement de la même manière que vous avez importé Hyper-v-repl.pfx
Vérification de la révocation du certificat
Gardez à l’esprit que la vérification de la révocation du certificat est obligatoire par défaut, et les certificats auto-signés ne prennent pas en charge les vérifications de révocation sur Windows Server 2012. Pour cette raison, vous devez désactiver la vérification de révocation de certificat pour les certificats de test. Ajoutez des paramètres au Registre Windows sur les deux machines. Exécutez la commande suivante dans CMD ou PowerShell en tant qu’administrateur.
reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication” /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f
Vous devrez peut-être redémarrer la machine.
Résolution des noms d’hôte
Ajoutez des enregistrements au fichier hosts (C:\Windows\system32\drivers\etc\hosts) sur les deux machines pour permettre la résolution des noms d’hôte en adresses IP lors du travail en Workgroup (lorsque les machines ne sont pas membres d’un domaine Active Directory). Dans notre cas, nous ajoutons ces lignes au fichier hosts sur les deux serveurs:
192.168.101.209 Hyper-v-prim.test.net
192.168.101.213 Hyper-v-repl.test.net
Configuration des paramètres de réplication sur un serveur de réplica
Effectuez les actions suivantes sur le deuxième serveur où les répliques de VM doivent être stockées.
Ouvrez le Gestionnaire Hyper-V.
Faites un clic droit sur le serveur de réplica (Hyper-v-repl.test.net dans notre cas) et, dans le menu contextuel, sélectionnez Paramètres Hyper-V.
Dans le volet gauche de la fenêtre Paramètres Hyper-V, sélectionnez Configuration de réplication.
Sélectionnez ces cases à cocher dans Configuration de réplication:
- Activer cet ordinateur en tant que serveur de réplica
- Utiliser l’authentification basée sur certificat (HTTPS)
Cliquez sur Sélectionner le certificat.
La fenêtre contextuelle Sécurité Windows affiche des informations sur votre certificat. Appuyez sur OK pour sélectionner ce certificat.
Dans Configuration de réplication, sélectionnez l’option Autoriser la réplication à partir des serveurs spécifiés et cliquez sur Ajouter.
Configurez les paramètres dans la fenêtre Ajouter une entrée d’autorisation.
Spécifiez le serveur principal: Hyper-v-prim.test.net
Spécifiez l’emplacement par défaut pour stocker les fichiers de réplica: C:\Hyper-V\Disques durs virtuels\ (c’est un exemple – utilisez votre emplacement personnalisé pas sur C:)
Spécifiez le groupe de confiance: réplication
Configuration du pare-feu Windows
Configurer le pare-feu pour autoriser le trafic entrant. Activer les connexions TCP entrantes sur le port 443 sur le serveur de réplica (ou désactiver temporairement le pare-feu à des fins de test).
Enable-Netfirewallrule -displayname “Hyper-V Replica HTTPS Listener (TCP-In) “
netsh advfirewall firewall show rule name=all dir=in | find “Hyper-V “
Configuration de la réplication sur le premier serveur
Créez une machine virtuelle sur un serveur Hyper-V principal à répliquer. Assurez-vous que la machine virtuelle source n’a pas de clichés instantanés avant d’activer la réplication. Activer la réplication sur la première machine, qui est le serveur principal (Hyper-v-prim.test.net dans notre cas).
Faites un clic droit sur une VM, et, dans le menu contextuel, cliquez sur Activer la réplication.
La fenêtre d’assistant Activer la réplication s’ouvre.
Avant de commencer. Cliquez sur Suivant pour continuer.
Spécifier le serveur de réplica. Entrez le nom de votre serveur de réplica. Dans notre cas, nous utilisons Hyper-v-repl.test.net comme serveur de réplica.
Spécifier les paramètres de connexion. Sélectionnez Utiliser l’authentification basée sur certificat (HTTPS), et cliquez sur Sélectionner le certificat.
Une fois que vous avez cliqué sur Sélectionner le certificat, une fenêtre contextuelle s’ouvre avec les détails sur le certificat que vous avez configuré précédemment. Cliquez sur OK pour utiliser ce certificat.
Configurez d’autres paramètres de réplication comme d’habitude pour compléter la configuration de réplication sur le serveur source.
Choisissez les VHDs de réplication. Sélectionnez les disques virtuels VM qui doivent être répliqués. Vous pouvez sélectionner tous les disques virtuels VM ou seulement certains d’entre eux.
Configurez la fréquence de réplication. Choisissez la fréquence à laquelle les modifications sont envoyées au serveur de réplica, par exemple, 5 minutes.
Configurez des points de récupération supplémentaires pour cette machine virtuelle. Nous choisissons de créer des points de récupération horaires supplémentaires dans notre exemple. Sélectionnez les options qui correspondent le mieux à vos besoins. Les points de récupération sont le résultat d’une réplication incrémentielle (basée sur des instantanés).
Choisissez la méthode de réplication initiale. Sélectionnez Envoyer la copie initiale sur le réseau.
Appuyez sur Terminer pour terminer la configuration de réplication native Hyper-V en utilisant des certificats dans un groupe de travail, et fermez l’Assistant.
Alternatives à la réplication native Hyper-V
La fonctionnalité de réplication native Hyper-V est utile. Mais parfois, vous avez peut-être besoin de fonctionnalités étendues pour effectuer la réplication Hyper-V et la bascule de la machine virtuelle. Il existe une bonne alternative à la réplication native Hyper-V.
NAKIVO Backup & Replication est une solution universelle de protection des données qui peut sauvegarder les machines virtuelles Hyper-V et effectuer une bascule VM. Le produit prend en charge la réplication Hyper-V dans les domaines Active Directory et les groupes de travail. Les fonctionnalités suivantes sont incluses :
- Réplication consciente de l’application. Les données dans une VM-replica sont cohérentes lorsque vous répliquez une VM dans un état de fonctionnement en raison de l’utilisation du service de copie d’ombre de volume (VSS) de Microsoft s’exécutant à l’intérieur des machines virtuelles.
- La réplication incrémentielle en utilisant le suivi des modifications résilient (RCT) de Microsoft vous permet d’économiser de l’espace disque et du temps. Le premier lancement d’une tâche de réplication copie toutes les données d’une VM source, puis seules les données modifiées sont copiées en créant les points de récupération appropriés pour une réplique de VM.
- Paramètres de conservation flexibles et politique de conservation GFS. Conservez une large gamme de points de récupération pour différentes périodes de temps et optimisez l’espace de stockage utilisé dans un référentiel de sauvegarde.
- L’accélération du réseau booste la vitesse de réplication en utilisant la compression des données, vous faisant gagner du temps.
- Troncature des journaux pour Microsoft Exchange et SQL pour économiser de l’espace de stockage pour les VM Hyper-V exécutant une base de données lors de leur réplication.
- La bascule automatique des VM permet de récupérer une VM en peu de temps.
- Récupération de site vous permet de créer des scénarios de reprise après sinistre complexes avec des actions multiples, notamment la réplication et la bascule des VM Hyper-V.
Vous pouvez récupérer une machine à partir d’une sauvegarde de serveur physique vers une VM, ou récupérer une sauvegarde de VM Hyper-V vers une VM VMware. N’attendez pas un désastre – téléchargez NAKIVO Backup & Replication et protégez vos VM Hyper-V dès aujourd’hui!
Conclusion
Vous devez créer des certificats auto-signés pour répliquer les machines virtuelles Hyper-V dans un groupe de travail et configurer l’authentification pour les serveurs Hyper-V en utilisant ces certificats. La configuration s’applique aux noms d’hôte, au pare-feu et à la vérification de révocation de certificat avant de configurer la réplication de VM sur les hôtes Hyper-V.
Source:
https://www.nakivo.com/blog/how-to-request-ssl-certificates-for-hyper-v/