Hyper-V dispone di strumenti integrati per la replica di VM da un host Hyper-V a un altro. Questo è utile per il failover in caso di guasto. Spesso, la replica di Hyper-V è configurata su server Hyper-V connessi a un dominio Active Directory e all’interno di un cluster. Tuttavia, è possibile configurare la replica di Hyper-V quando i server che eseguono Hyper-V sono in un Workgroup. Per fare ciò, sono necessari certificati.
Questo post del blog spiega come creare certificati per configurare la replica di Hyper-V in un Workgroup utilizzando gli strumenti integrati di Windows Server 2016.
Perché utilizzare i certificati per Hyper-V
La replica basata su certificati consente di replicare macchine virtuali senza aggiungere gli host Hyper-V a un dominio Windows o a un cluster. Questa funzionalità è particolarmente utile per le piccole aziende che dispongono di tre o quattro server e non vogliono implementare un cluster e configurare un dominio utilizzando Active Directory.
Un’altra ragione per utilizzare la replica di Hyper-V con certificati in Workgroup è la sicurezza. Se i server Hyper-V coinvolti nel processo di replica delle VM sono membri di un dominio, questi server Hyper-V possono essere completamente controllati se un utente ha le credenziali dell’account amministrativo di Active Directory. In determinati scenari indesiderati, come gli attacchi di ransomware, con le credenziali dell’amministratore del dominio AD, gli attaccanti possono distruggere tutte le informazioni sulle risorse a cui possono accedere. Ecco perché in alcuni casi può essere più sicuro lasciare i server Hyper-V utilizzati per la replica di VM in un Workgroup.
Hyper-V supporta due tipi di autenticazione: Kerberos e certificati HTTPS. Kerberos è utilizzato per i computer in un dominio Active Directory, mentre i certificati HTTPS sono utilizzati in ambienti non di dominio. Una richiesta di certificato SSL viene eseguita quando viene utilizzata una connessione sicura HTTPS.
Panoramica dei Passaggi Principali
Prima di iniziare una spiegazione dettagliata del flusso di lavoro, elenchiamo i principali passaggi che devono essere eseguiti per configurare la replica Hyper-V in un Workgroup utilizzando certificati.
- Configurare i nomi host su entrambi i server Hyper-V. Deve essere abilitato il ruolo del server Hyper-V.
- Abilitare il traffico HTTPS e le connessioni in ingresso necessarie nel firewall di Windows.
- Creare e configurare i certificati sul primo server. Esportare/importare i certificati.
- Copiare i certificati sul secondo server
- Configurare la replica sul secondo server utilizzando certificati.
- Configurare la replica sul primo server. Le VM non devono avere alcun checkpoint.
Nel nostro post sul blog, utilizziamo due macchine Windows Server 2016 con un ruolo Hyper-V installato.
Configurazione dei Nomi Host sui Server
Iniziamo modificando i nomi host. Configurare i nomi DNS per il server sorgente (il server primario) e il server replica (il secondo server o server di destinazione). È necessario aggiungere il suffisso DNS principale. L’utilizzo dei nomi di dominio completi (FQDN) è necessario per utilizzare i certificati. Nel nostro esempio, i nomi dei server sono:
Hyper-v-prim.test.net – il server primario (il primo server)
Hyper-v-repl.test.net – il server replica (il secondo server)
Per cambiare un nome host, apri le impostazioni di sistema (fai clic con il pulsante destro sull’icona Il mio computer o Questo PC) e, nella sezione Nome computer, dominio e impostazioni del gruppo di lavoro, fai clic su Impostazioni. Nella scheda Nome computer, fai clic su Cambia. Quindi nella finestra Cambi nome computer/dominio, inserisci un nome computer, seleziona Gruppo di lavoro (non un Dominio), fai clic su Altro, e inserisci un suffisso DNS primario del computer. Come già accennato, è necessario un nome completo con un suffisso DNS per gli host Hyper-V per abilitare la replica tramite certificati. Un suffisso è test.net nel nostro esempio. Se un nome host è hyper-v-prim, un nome di dominio completo è Hyper-v-prim.test.net per il nostro server primario.
Nella schermata seguente, puoi vedere la configurazione del nome computer per il server primario.
Una volta configurati i nomi host su entrambi i server, puoi iniziare a creare certificati sui server.
Creazione dei certificati sul server primario
I certificati possono essere creati utilizzando diversi metodi. L’interfaccia della riga di comando viene di solito utilizzata a questo scopo. La prima opzione è utilizzare lo strumento MakeCert per creare certificati auto-firmati. Ora lo strumento MakeCert è deprecato e stiamo per utilizzare un’altra soluzione.
Utilizza il cmdlet New-SelfSignedCertificate come alternativa moderna allo strumento MakeCert per creare certificati auto-firmati.
Sul server principale (Hyper-v-prim.test.net), esegui i seguenti comandi in PowerShell (come Amministratore) per generare certificati:
New-SelfSignedCertificate -DnsName “Hyper-v-prim.test.net” -CertStoreLocation “cert:\LocalMachine\My” -TestRoot
New-SelfSignedCertificate -DnsName “Hyper-v-repl.test.net” -CertStoreLocation “cert:\LocalMachine\My” -TestRoot
Controlla quindi i certificati creati e continua a configurare il server. Dopo l’esecuzione di questi comandi, devono essere creati tre certificati (due certificati del server e un certificato radice).
Controllare i certificati creati in MMC
Apri MMC (Console di gestione Microsoft) sul primo server. Per aprire MMC, digita mmc in PowerShell).
Aggiungi un nuovo snap-in in MMC per gestire i certificati nell’interfaccia utente grafica di Windows (GUI).
Fai clic su File > Aggiungi/Rimuovi snap-in…
Nel riquadro sinistro (Snap-in disponibili) della finestra che si apre, seleziona Certificati e fai clic su Aggiungi.
Nella finestra popup, seleziona Account del computer e premi Avanti.
Lascia selezionato Computer locale (è selezionato per impostazione predefinita) e premi Fine.
Certificati (Computer locale) dovrebbe essere visualizzato nel riquadro destro (Snap-in selezionati) della finestra ora.
Nella finestra Aggiungi o Rimuovi snap-in, premi OK (è già stato selezionato uno snap-in).
Puoi salvare il componente aggiuntivo snap-in in MMC.
Fai clic su File > Salva con nome.
Immetti un nome file, ad esempio, Certificati1.msc.
Vai a Certificati (Computer locale) / Personale / Certificati. Dovresti vedere due certificati che abbiamo creato in PowerShell prima – Hyper-v-prim.test.net e Hyper-v-repl.test.net.
Fai doppio clic su un certificato per vedere i dettagli del certificato. Un certificato per il secondo server (Hyper-v-repl.test.net) non è ora considerato attendibile.
Vai a Certificati (Computer locale) / Autorità di certificazione intermediarie / Certificati. Trova il certificato CertReq Test Root necessario per il corretto funzionamento. Fai doppio clic su questo certificato per visualizzare i dettagli. Il CA Root certificate non è considerato attendibile.
Copia il certificato CertReq Test Root da Autorità di certificazione intermediarie / Certificati a Autorità di certificazione radice attendibili/Certificati per rendere i certificati attendibili. Seleziona il certificato, premi Ctrl+C per copiare e Ctrl+V per incollare.
Il certificato CertReq Test Root deve trovarsi in Autorità di certificazione radice attendibili / Certificati (come mostrato nella schermata sottostante).
Controlla i certificati situati in Personale/Certificati di nuovo. Innanzitutto, controlliamo il certificato per un server replica (Hyper-v-repl.test.net). Il certificato è ora attendibile e ha la data di scadenza che puoi vedere nella scheda Generale. Ora sai anche come controllare la data di scadenza del certificato SSL in Windows.
Controlla altri parametri per il certificato nella scheda Dettagli (Utilizzo chiave avanzato) e nella scheda Percorso di certificazione. Questo certificato va bene.
Poi controlla il certificato per il server primario proprio come hai controllato il certificato per il server replica.
Abbiamo configurato i certificati per il server primario (Hyper-v-prim.test.net), e ora dobbiamo configurare il certificato sul secondo server. Dobbiamo copiare i certificati richiesti sul secondo server (Hyper-v-repl.test.net) dove verranno memorizzate le repliche. Per farlo, esporta i certificati.
Esportazione di un certificato dal primo server
Sul primo server, seleziona il certificato necessario per il secondo server (Hyper-v-repl.test.net) che si trova in Personale/Certificati. Fai clic con il pulsante destro del mouse sul certificato e nel menu contestuale fai clic su Tutte le attività > Esporta.
Si apre la procedura guidata Esporta certificato.
1. Benvenuto. Non c’è niente da configurare sulla schermata di benvenuto. Premi Avanti ad ogni passaggio per continuare.
2. Esporta chiave privata. Seleziona Sì, esporta la chiave privata.
3. Formato del file di esportazione. Seleziona Scambio di informazioni personali – PKCS #12 (.PFX), e seleziona Includi tutti i certificati nel percorso di certificazione se possibile.
4. Sicurezza. Inserisci una password per mantenere la sicurezza e proteggere la chiave privata.
5. File da esportare. Specifica il nome e la posizione del file che desideri esportare, ad esempio, C:\temp\Hyper-v-repl.pfx
6. Completamento dell’assistente per l’esportazione del certificato. Controlla la configurazione e clicca su Termina.
Dovresti vedere il messaggio: L’esportazione è stata completata con successo. Significa che tutto è OK.
Esportazione del certificato radice dal primo server
Sono stati esportati due certificati. Ora dovresti esportare il certificato radice allo stesso modo. Le azioni vengono eseguite sul primo server (Hyper-v-prim.test.net).
Seleziona il certificato CertReq Test Root situato in Autorità di certificazione radice attendibili / Certificati.
Fai clic con il pulsante destro del mouse sul certificato; clicca su Tutte le attività > Esporta.
Si apre l’assistente per l’esportazione del certificato.
1. Benvenuto. Clicca su Avanti per continuare.
2. Formato del file di esportazione. Seleziona il formato che desideri utilizzare:
DER codificato binario X.509 (.CER)
3. File da esportare. Inserisci il nome del file e il percorso per salvare il file, ad esempio, C:\temp\testRoot.cer
4. Completamento della procedura guidata di esportazione del certificato. Verifica la configurazione e completa l’esportazione.
I certificati vengono esportati nei file Hyper-v-repl.pfx e TestRoot.cer che sono ora situati in C:\temp\ sul primo server.
Copia dei certificati esportati sul secondo server
Copia i due file di certificato esportati (Hyper-v-repl.pfx e TestRoot.cer) dal primo server al secondo server.
Copiamo i file in C:\temp\ sul secondo server.
Possiamo utilizzare il percorso di rete \\Hyper-v-repl\C$ o \\192.168.101.213\C$ per copiare i certificati tramite rete (dove 192.168.101.213 è l’indirizzo IP del server replica nel nostro caso). La configurazione del firewall deve consentire le connessioni per il protocollo SMB.
Importazione dei certificati sul secondo server
Dopo aver copiato i certificati sul server replica, dovresti importare questi certificati sul server replica.
Apri MMC sul server replica (il secondo server) proprio come hai fatto sul server primario.
Aggiungi un snap-in nella finestra MMC.
Fai clic su File > Aggiungi/Rimuovi Snap-In.
Seleziona Certificati, fai clic su Aggiungi.
Seleziona Account del computer, e seleziona Computer locale.
Premi OK.
Come scorciatoia per aprire questa snap-in nell’interfaccia grafica di Windows, puoi utilizzare il comando in Windows CMD o PowerShell:
certlm.msc
Questo comando apre il gestore certificati di Windows (la console di gestione dei certificati) per configurare i certificati della macchina locale.
Vai a Certificati (Computer locale) / Personali.
Fai clic con il pulsante destro dello spazio vuoto e, nel menu contestuale, fai clic su Tutte le attività > Importa.
Si apre la procedura guidata di importazione del certificato.
1. Benvenuto. Seleziona Computer locale.
2. File da importare. Sfoglia il file Hyper-v-repl.pfx. Fai clic su Sfoglia, seleziona per visualizzare tutti i file e seleziona Hyper-v-repl.pfx
3. Protezione della chiave privata. Inserisci la password che hai impostato durante l’esportazione del certificato.
4. Archivio certificati. Posiziona tutti i certificati nel seguente archivio:
Archivio certificati: Personale
5. Completamento della procedura guidata di importazione del certificato. Controlla la configurazione e premi Fine.
Se tutto è corretto, dovresti vedere il messaggio: L’importazione è stata completata con successo.
Ora il certificato Hyper-v-repl.test.net si trova in Certificati (Computer locale) / Personale / Certificati sul server replica (il secondo server). Nel nostro caso, il certificato CertReq Test Root è stato anche importato in questa posizione.
Il certificato CertReq Test Root deve trovarsi in Autorità di certificazione radice attendibili / Certificati. Copia questo certificato nella posizione desiderata. Puoi importare manualmente il certificato TestRoot.cer proprio come hai importato Hyper-v-repl.pfx
Controllo della revoca del certificato
Tieni presente che il controllo della revoca del certificato è obbligatorio per impostazione predefinita, e i certificati autofirmati non supportano controlli di revoca su Windows Server 2012. Per questo motivo, devi disabilitare il controllo della revoca del certificato per i certificati di test. Aggiungi impostazioni al Registro di sistema di Windows su entrambe le macchine. Esegui il seguente comando in CMD o PowerShell come amministratore.
reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication” /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f
Potrebbe essere necessario riavviare la macchina.
Risoluzione dei nomi host
Aggiungi registrazioni al file hosts (C:\Windows\system32\drivers\etc\hosts) su entrambe le macchine per consentire la risoluzione dei nomi host negli indirizzi IP quando si lavora in un Workgroup (quando le macchine non sono membri di un dominio Active Directory). Nel nostro caso, aggiungiamo queste righe al file host su entrambi i server:
192.168.101.209 Hyper-v-prim.test.net
192.168.101.213 Hyper-v-repl.test.net
Configurazione delle impostazioni di replica su un server replica
Eseguire le seguenti azioni sul secondo server dove dovrebbero essere memorizzate le repliche delle VM.
Aprire Gestione Hyper-V.
Fare clic con il pulsante destro del mouse sul server replica (Hyper-v-repl.test.net nel nostro caso) e, nel menu contestuale, selezionare Impostazioni di Hyper-V.
Nella parte sinistra della finestra Impostazioni di Hyper-V, selezionare Configurazione replica.
Selezionare queste caselle di controllo in Configurazione replica:
- Abilita questo computer come server Replica
- Usa autenticazione basata su certificato (HTTPS)
Fare clic su Seleziona certificato.
La finestra pop-up Sicurezza di Windows mostra le informazioni sul certificato. Fare clic su OK per selezionare questo certificato.
In Configurazione replica, selezionare l’opzione Consenti replica dai server specificati e fare clic su Aggiungi.
Configurare i parametri nella finestra Aggiungi voce di autorizzazione.
Specificare il server primario: Hyper-v-prim.test.net
Specificare la posizione predefinita per memorizzare i file di replica: C:\Hyper-V\Dischi rigidi virtuali\ (questo è un esempio, utilizzare la propria posizione personalizzata non su C:)
Specificare il gruppo di trust: replica
Configurazione del firewall di Windows
Configurare il firewall per consentire il traffico in ingresso. Abilitare le connessioni TCP in ingresso sulla porta 443 sul server di replica (o disabilitare temporaneamente il firewall per scopi di test).
Abilita la regola del firewall -displayname “Hyper-V Replica HTTPS Listener (TCP-In)
“
netsh advfirewall firewall show rule name=all dir=in | find “Hyper-V
“
Configurazione della Replica sul Primo Server
Crea una VM su un server Hyper-V primario da replicare. Assicurati che la VM sorgente non abbia snapshot prima di abilitare la replica. Abilita la replica sulla prima macchina, che è il server primario (Hyper-v-prim.test.net nel nostro caso).
Fai clic con il pulsante destro del mouse su una VM e, nel menu contestuale, seleziona Abilita Replica.
Si apre la procedura guidata Abilita Replica.
Prima di Iniziare. Fai clic su Avanti per continuare.
Specifica Server Replica. Inserisci il nome del tuo server di replica. Nel nostro caso, usiamo Hyper-v-repl.test.net come server di replica.
Specifica Parametri di Connessione. Seleziona Utilizza autenticazione basata su certificato (HTTPS) e fai clic su Seleziona Certificato.
Una volta cliccato su Seleziona Certificato, si apre una finestra pop-up con i dettagli sul certificato che hai configurato in precedenza. Fai clic su OK per utilizzare questo certificato.
Configura altre impostazioni di replica come al solito per completare la configurazione della replica sul server di origine.
Scegli i VHD della replica. Seleziona i dischi virtuali della VM che devono essere replicati. Puoi selezionare tutti i dischi virtuali della VM o solo alcuni di essi.
Configura la frequenza di replica. Scegli la frequenza con cui vengono inviate le modifiche al server replica, ad esempio, 5 minuti.
Configura punti di ripristino aggiuntivi per questa macchina virtuale. Scegliamo di creare punti di ripristino aggiuntivi ogni ora nel nostro esempio. Seleziona le opzioni che meglio si adattano alle tue esigenze. I punti di ripristino sono il risultato di una replica incrementale (basata su snapshot).
Scegli il metodo di replica iniziale. Seleziona Invia la copia iniziale tramite rete.
Premi Completa per terminare la configurazione della replica Hyper-V nativa utilizzando certificati in un Workgroup, e chiudi la procedura guidata.
Alternative alla Replica nativa di Hyper-V
La funzionalità di replica integrata di Hyper-V è utile. Ma a volte potresti aver bisogno di funzionalità estese per eseguire la replica di Hyper-V e il failover della macchina virtuale. Esiste un’ottima alternativa alla replica nativa di Hyper-V.
NAKIVO Backup & Replication è una soluzione universale per la protezione dei dati che può eseguire il backup delle macchine virtuali Hyper-V e il failover delle VM. Il prodotto supporta la replica Hyper-V nei domini Active Directory e nei Workgroup. Le seguenti funzionalità sono incluse:
- Replicazione consapevole dell’applicazione. I dati in una replica di VM sono consistenti quando si replica una VM in uno stato di esecuzione grazie all’utilizzo del servizio Microsoft Volume Shadow Copy (VSS) in esecuzione all’interno delle macchine virtuali.
- La replicazione incrementale utilizzando il Resilient Change Tracking (RCT) di Microsoft consente di risparmiare spazio su disco e tempo. La prima esecuzione di un lavoro di replicazione copia tutti i dati di una VM di origine, e poi solo i dati modificati vengono copiati creando i punti di ripristino appropriati per una replica di VM.
- Impostazioni di conservazione flessibili e politica di conservazione GFS. Mantieni un’ampia gamma di punti di ripristino per periodi di tempo diversi e ottimizza lo spazio di archiviazione utilizzato in un repository di backup.
- L’accelerazione della rete aumenta la velocità di replicazione utilizzando la compressione dei dati, risparmiando tempo.
- Troncamento dei log per Microsoft Exchange e SQL per risparmiare spazio di archiviazione per le VM Hyper-V in esecuzione di un database durante la loro replica.
- Il failover automatico delle VM consente di recuperare una VM in breve tempo.
- Ripristino del sito ti consente di creare scenari complessi di ripristino da disastro con azioni multiple, inclusa la replica e il failover delle VM Hyper-V.
Puoi recuperare una macchina da un backup del server fisico a una VM, o recuperare un backup di una VM Hyper-V su una VM VMware. Non aspettare un disastro – scarica NAKIVO Backup & Replication e proteggi le tue VM Hyper-V oggi stesso!
Conclusione
La replica di Hyper-V è importante per proteggere le macchine virtuali Hyper-V e garantire di poter recuperare dati e carichi di lavoro in breve tempo dopo qualsiasi guasto. A volte potresti avere bisogno di configurare la replica di Hyper-V in ambienti non di dominio quando i server Hyper-V non fanno parte di un dominio Active Directory e appartengono a un Workgroup.
È necessario creare certificati auto-firmati per replicare le VM Hyper-V in un Workgroup e configurare l’autenticazione per i server Hyper-V utilizzando questi certificati. La configurazione si applica ai nomi host, al firewall e alla verifica della revoca del certificato prima di configurare la replica della VM sugli host Hyper-V.
Source:
https://www.nakivo.com/blog/how-to-request-ssl-certificates-for-hyper-v/