O Hyper-V possui ferramentas integradas para replicação de VM de um host Hyper-V para outro. Isso é útil para failover em caso de falha. Frequentemente, a replicação do Hyper-V é configurada em servidores Hyper-V conectados a um domínio do Active Directory e dentro de um cluster. No entanto, é possível configurar a replicação do Hyper-V quando os servidores que executam o Hyper-V estão em um Grupo de Trabalho. Para fazer isso, você precisa de certificados.
Esta postagem no blog explica como criar certificados para configurar a replicação do Hyper-V em um Grupo de Trabalho usando ferramentas integradas do Windows Server 2016.
Por que usar certificados para Hyper-V
A replicação baseada em certificados permite replicar máquinas virtuais sem adicionar hosts Hyper-V a um domínio do Windows ou cluster. Essa funcionalidade é especialmente útil para pequenas empresas que possuem três ou quatro servidores e não desejam implantar um cluster e configurar um domínio usando o Active Directory.
Outro motivo para usar a replicação do Hyper-V com certificados em Grupos de Trabalho é a segurança. Se os servidores Hyper-V envolvidos no processo de replicação de VM forem membros de um domínio, esses servidores Hyper-V podem ser totalmente controlados se um usuário tiver credenciais para a conta administrativa do Active Directory. Em cenários indesejados, como ataques de ransomware, com as credenciais do administrador de domínio do AD, os invasores podem destruir todas as informações nos recursos aos quais podem acessar. Por isso, pode ser mais seguro em alguns casos deixar os servidores Hyper-V usados para replicação de VM em um Grupo de Trabalho.
O Hyper-V suporta dois tipos de autenticação: Kerberos e certificados HTTPS. O Kerberos é usado para computadores em um domínio do Active Directory, e os certificados HTTPS são usados em ambientes não pertencentes a um domínio. Uma solicitação de certificado SSL é realizada quando uma conexão segura HTTPS é utilizada.
Visão Geral das Etapas Principais
Antes de iniciar uma explicação detalhada do fluxo de trabalho, vamos listar as principais etapas que devem ser realizadas para configurar a replicação do Hyper-V em um grupo de trabalho usando certificados.
- Configurar os nomes de host em ambos os servidores Hyper-V. Um papel de servidor Hyper-V deve estar habilitado.
- Permitir tráfego HTTPS e conexões de entrada necessárias no firewall do Windows.
- Criar e configurar certificados no primeiro servidor. Exportar/importar certificados.
- Copiar os certificados para o segundo servidor
- Configurar a replicação no segundo servidor usando certificados.
- Configurar a replicação no primeiro servidor. As VMs não devem ter checkpoints.
Em nossa postagem no blog, usamos duas máquinas Windows Server 2016 com o papel Hyper-V instalado.
Configurando Nomes de Host nos Servidores
Vamos começar editando os nomes de host. Configurar nomes de DNS para o servidor de origem (o servidor primário) e o servidor de réplica (o segundo servidor ou servidor de destino). Você deve adicionar o sufixo DNS principal. O uso de nomes de domínio totalmente qualificados (FQDN) é necessário para usar certificados. Em nosso exemplo, os nomes dos servidores são:
Hyper-v-prim.test.net – o servidor primário (o primeiro servidor)
Hyper-v-repl.test.net – o servidor de réplica (o segundo servidor)
Para alterar um nome de host, abra as configurações do sistema (clique com o botão direito no ícone Meu Computador ou Este PC) e, na seção Configurações de nome do computador, domínio e grupo de trabalho, clique em Configurações. Na guia Nome do Computador, clique em Alterar. Em seguida, na janela Alterações de Nome do Computador/Domínio, insira um nome de computador, selecione Grupo de Trabalho (não um Domínio), clique em Mais, e insira um sufixo DNS primário do computador. Como mencionado acima, é necessário um nome completo com sufixo DNS para hosts do Hyper-V para habilitar a replicação usando certificados. Um sufixo é test.net em nosso exemplo. Se um nome de host for hyper-v-prim, um nome de domínio totalmente qualificado é Hyper-v-prim.test.net para nosso servidor primário.
Na captura de tela abaixo, você pode ver a configuração do nome do computador para o servidor primário.
Depois de configurar os nomes de host em ambos os servidores, você pode começar a criar certificados nos servidores.
Criando Certificados no Servidor Primário
Os certificados podem ser criados usando vários métodos. A interface de linha de comando geralmente é usada para esse fim. A primeira opção é usar a ferramenta MakeCert para criar certificados autoassinados. Agora a ferramenta MakeCert está obsoleta, e vamos usar outra solução.
Use o cmdlet New-SelfSignedCertificate como uma alternativa moderna à ferramenta MakeCert para criar certificados autoassinados.
No host principal (Hyper-v-prim.test.net), execute os seguintes comandos no PowerShell (como Administrador) para gerar certificados:
New-SelfSignedCertificate -DnsName “Hyper-v-prim.test.net” -CertStoreLocation “cert:\LocalMachine\My” -TestRoot
New-SelfSignedCertificate -DnsName “Hyper-v-repl.test.net” -CertStoreLocation “cert:\LocalMachine\My” -TestRoot
Em seguida, verifique os certificados criados e continue configurando o servidor. Três certificados devem ser criados após a execução destes comandos (dois certificados de servidor e um certificado raiz).
Verificação de certificados criados no MMC
Abra o MMC (Console de Gerenciamento Microsoft) no primeiro servidor. Para abrir o MMC, digite mmc no PowerShell).
Adicione um novo snap-in no MMC para gerenciar certificados na GUI do Windows (Interface Gráfica do Usuário).
Clique em Arquivo > Adicionar/Remover Snap-in…
No painel esquerdo (Snap-ins disponíveis) da janela que abrir, selecione Certificados e clique em Adicionar.
Na janela pop-up, selecione Conta do computador e clique em Próximo.
Deixe Computador local selecionado (ele é selecionado por padrão) e clique em Concluir.
Certificados (Computador Local) devem ser exibidos no painel direito (Snap-ins selecionados) da janela agora.
No Adicionar ou Remover Snap-ins, clique em OK (um snap-in já foi selecionado).
Você pode salvar o snap-in adicionado em MMC.
Clique em Arquivo > Salvar como.
Insira um nome de arquivo, por exemplo, Certificados1.msc.
Vá para Certificados (Computador Local) / Pessoal / Certificados. Você deveria ver dois certificados que criamos anteriormente no PowerShell – Hyper-v-prim.test.net e Hyper-v-repl.test.net.
Clique duas vezes em um certificado para ver detalhes. Um certificado para o segundo servidor (Hyper-v-repl.test.net) não é confiável agora.
Vá para Certificados (Computador Local) / Autoridades de Certificação Intermediárias / Certificados. Encontre o certificado CertReq Test Root necessário para o funcionamento correto. Clique duas vezes neste certificado para ver detalhes. O certificado RAIZ CA não é confiável.
Copie o certificado CertReq Test Root de Autoridades de Certificação Intermediárias / Certificados para Autoridades de Certificação Raiz Confiáveis/Certificados para tornar os certificados confiáveis. Selecione o certificado, pressione Ctrl+C para copiar e Ctrl+V para colar.
O certificado CertReq Test Root deve estar localizado em Autoridades de Certificação Raiz Confiáveis / Certificados (como mostrado na imagem abaixo).
Verifique seus certificados localizados em Pessoal/Certificados novamente. Primeiro, verificamos o certificado para um servidor de réplica (Hyper-v-repl.test.net). O certificado agora é confiável e tem a data de expiração do certificado que você pode ver na guia Geral. Agora você também sabe como verificar a data de expiração do certificado SSL no Windows.
Verifique outros parâmetros para o certificado na guia Detalhes (Uso Avançado da Chave) e na guia Caminho de Certificação. Este certificado está OK.
Em seguida, verifique o certificado para o servidor primário assim como você verificou o certificado para o servidor de réplica.
Nós configuramos certificados para o servidor primário (Hyper-v-prim.test.net), e precisamos configurar o certificado no segundo servidor agora. Precisamos copiar os certificados necessários para o segundo servidor (Hyper-v-repl.test.net) onde as réplicas serão armazenadas. Para fazer isso, exporte os certificados.
Exportando um certificado do primeiro servidor
No primeiro servidor, selecione o certificado necessário para o segundo servidor (Hyper-v-repl.test.net) que está localizado em Pessoal/Certificados. Clique com o botão direito no certificado e no menu de contexto clique em Todas as Tarefas > Exportar.
O Assistente de Exportação de Certificados é aberto.
1. Bem-vindo. Não há nada para configurar na tela de boas-vindas. Clique em Avançar em cada etapa para continuar.
2. Exportar Chave Privada. Selecione Sim, exportar a chave privada.
3. Formato do Arquivo de Exportação. Selecione Exchange de Informações Pessoais – PKCS #12 (.PFX) e selecione Incluir todos os certificados no caminho de certificação, se possível.
4. Segurança. Insira uma senha para manter a segurança e proteger a chave privada.
5. Arquivo a Exportar. Especifique o nome e a localização do arquivo que deseja exportar, por exemplo, C:\temp\Hyper-v-repl.pfx
6. Concluindo o Assistente de Exportação de Certificado. Verifique a configuração e clique em Concluir.
Você deverá ver a mensagem: A exportação foi bem-sucedida. Isso significa que está tudo OK.
Exportando o certificado raiz do primeiro servidor
Dois certificados foram exportados. Agora você deve exportar o certificado raiz da mesma maneira. As ações são realizadas no primeiro servidor (Hyper-v-prim.test.net).
Selecione o certificado CertReq Test Root localizado em Autoridades de Certificação Raiz Confiáveis / Certificados.
Clique com o botão direito no certificado; clique em Todas as Tarefas > Exportar.
O Assistente de Exportação de Certificado abrirá.
1. Bem-vindo. Clique em Avançar para continuar.
2. Formato do Arquivo de Exportação. Selecione o formato que deseja usar:
Codificado em DER binário X.509 (.CER)
3. Arquivo para Exportar. Insira o nome do arquivo e o caminho para salvar o arquivo, por exemplo, C:\temp\testRoot.cer
4. Conclusão do Assistente de Exportação de Certificados. Verifique a configuração e conclua a exportação.
Os certificados são exportados para os arquivos Hyper-v-repl.pfx e TestRoot.cer que agora estão localizados em C:\temp\ no primeiro servidor.
Copiando os certificados exportados para o segundo servidor
Copie os dois arquivos de certificado exportados (Hyper-v-repl.pfx e TestRoot.cer) do primeiro servidor para o segundo servidor.
Nós copiamos os arquivos para C:\temp\ no segundo servidor.
Nós podemos usar o caminho de rede \\Hyper-v-repl\C$ ou \\192.168.101.213\C$ para copiar certificados via rede (onde 192.168.101.213 é o endereço IP do servidor de réplica no nosso caso). A configuração do firewall deve permitir conexões para o protocolo SMB.
Importando certificados no segundo servidor
Depois de copiar os certificados para o servidor de réplica, você deve importar esses certificados para o servidor de réplica.
Abra o MMC no servidor de réplica (o segundo servidor) assim como você fez no servidor primário.
Adicione um snap-in na janela do MMC.
Clique em Arquivo > Adicionar/Remover Snap-in.
Selecione Certificados, clique em Adicionar.
Selecione Conta do Computador e selecione Computador Local.
Clique em OK.
Como atalho para abrir este snap-in na GUI do Windows, você pode usar o comando no Windows CMD ou PowerShell:
certlm.msc
Este comando abre o Gerenciador de Certificados do Windows (o console de gerenciamento de certificados) para configurar certificados de máquina local.
Vá para Certificados (Computador Local) / Pessoal.
Clique com o botão direito do mouse no espaço vazio e, no menu de contexto, clique em Todas as tarefas > Importar.
O Assistente de Importação de Certificado será aberto.
1. Bem-vindo. Selecione Máquina local.
2. Arquivo a ser Importado. Navegue até o arquivo Hyper-v-repl.pfx. Clique em Procurar, selecione para exibir todos os arquivos e selecione Hyper-v-repl.pfx
3. Proteção da Chave Privada. Insira a senha que você definiu ao exportar o certificado.
4. Armazenamento de Certificados. Coloque todos os certificados no seguinte armazenamento:
Armazenamento de certificados: Pessoal
5. Conclusão do Assistente de Importação de Certificado. Verifique a configuração e clique em Concluir.
Se tudo estiver correto, você deverá ver a mensagem: A importação foi bem-sucedida.
Agora o certificado Hyper-v-repl.test.net está localizado em Certificados (Computador Local) / Pessoal / Certificados no servidor de réplica (o segundo servidor). No nosso caso, o certificado CertReq Test Root também foi importado para este local.
O certificado CertReq Test Root deve estar localizado em Autoridades de Certificação Raiz Confiáveis / Certificados. Copie este certificado para o local necessário. Você pode importar TestRoot.cer manualmente da mesma forma que importou Hyper-v-repl.pfx.
Verificação de revogação de certificado
Lembre-se de que a verificação de revogação de certificado é obrigatória por padrão, e certificados autoassinados não suportam verificações de revogação no Windows Server 2012. Por esse motivo, você deve desabilitar a verificação de revogação de certificado para certificados de teste. Adicione configurações ao Registro do Windows em ambas as máquinas. Execute o seguinte comando no CMD ou PowerShell como Administrador.
reg add “HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication” /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f
Você pode precisar reiniciar a máquina.
Resolvendo nomes de host
Adicione registros ao arquivo hosts (C:\Windows\system32\drivers\etc\hosts) em ambas as máquinas para permitir a resolução de nomes de host para endereços IP ao trabalhar em um Grupo de Trabalho (quando as máquinas não são membros de um Domínio de Diretório Ativo). No nosso caso, adicionamos estas linhas ao arquivo de host em ambos os servidores:
192.168.101.209 Hyper-v-prim.test.net
192.168.101.213 Hyper-v-repl.test.net
Configurando as configurações de replicação em um servidor de réplica
Execute as seguintes ações no segundo servidor onde as réplicas de VM devem ser armazenadas.
Abra o Gerenciador do Hyper-V.
Clique com o botão direito no servidor de réplica (Hyper-v-repl.test.net no nosso caso) e, no menu de contexto, clique em Configurações do Hyper-V.
No painel esquerdo da janela Configurações do Hyper-V, selecione Configuração de Replicação.
Marque estas caixas de seleção em Configuração de Replicação:
- Habilitar este computador como um servidor de Réplica
- Usar Autenticação baseada em certificado (HTTPS)
Clique em Selecionar Certificado.
A janela pop-up Segurança do Windows exibe informações sobre o seu certificado. Clique em OK para selecionar este certificado.
Em Configuração de Replicação, selecione a opção Permitir replicação dos servidores especificados e clique em Adicionar.
Configure os parâmetros na janela Adicionar Entrada de Autorização.
Especifique o servidor primário: Hyper-v-prim.test.net
Especifique o local padrão para armazenar os arquivos de réplica: C:\Hyper-V\Discos Rígidos Virtuais\ (este é um exemplo – use o seu local personalizado que não seja em C:)
Especifique o grupo de confiança: replicação
Configurando o Firewall do Windows
Configure o firewall para permitir tráfego de entrada. Habilite conexões TCP de entrada na porta 443 no servidor de réplica (ou desative o firewall temporariamente para fins de teste).
Habilitar-RegraFirewallNet -displayname “Listener HTTPS de Réplica do Hyper-V (TCP-Entrada) “
netsh advfirewall firewall show rule name=all dir=in | find “Hyper-V “
Configurando a Replicação no Primeiro Servidor
Crie uma VM em um servidor Hyper-V primário para replicação. Certifique-se de que a VM de origem não tenha instantâneos antes de habilitar a replicação. Habilite a replicação na primeira máquina, que é o servidor primário (Hyper-v-prim.test.net no nosso caso).
Clique com o botão direito em uma VM e, no menu de contexto, clique em Habilitar Replicação.
O assistente Habilitar Replicação é aberto.
Antes de Começar. Clique em Avançar para continuar.
Especificar Servidor de Réplica. Insira o nome do seu servidor de réplica. No nosso caso, usamos Hyper-v-repl.test.net como servidor de réplica.
Especificar Parâmetros de Conexão. Selecione Usar autenticação baseada em certificado (HTTPS) e clique em Selecionar Certificado.
Ao clicar em Selecionar Certificado, uma janela pop-up é aberta com detalhes sobre o certificado que você configurou anteriormente. Clique em OK para usar este certificado.
Configurar outras configurações de replicação como de costume para completar a configuração de replicação no servidor de origem.
Escolha os Discos Virtuais da VM para Replicação. Selecione os discos virtuais da VM que devem ser replicados. Você pode selecionar todos os discos virtuais da VM ou apenas alguns deles.
Configurar Frequência de Replicação. Escolha a frequência com que as alterações são enviadas para o servidor de réplica, por exemplo, 5 minutos.
Configurar Pontos de Recuperação Adicionais para esta Máquina Virtual. Escolhemos criar pontos de recuperação adicionais a cada hora em nosso exemplo. Selecione as opções que melhor atendam às suas necessidades. Pontos de recuperação são resultado de replicação incremental (baseada em snapshots).
Escolha o Método de Replicação Inicial. Selecione Enviar cópia inicial pela rede.
Clique em Concluir para finalizar a configuração da replicação nativa do Hyper-V usando certificados em um Workgroup, e feche o Assistente.
Alternativas à Replicação Nativa do Hyper-V
A funcionalidade integrada do Hyper-V para realizar replicação é útil. Mas às vezes você pode precisar de funcionalidades estendidas para realizar replicação do Hyper-V e failover de máquina virtual. Há uma boa alternativa para a replicação nativa do Hyper-V.
O Backup & Replicação NAKIVO é uma solução universal de proteção de dados que pode fazer backup de máquinas virtuais do Hyper-V e realizar failover de VM. O produto suporta replicação do Hyper-V em domínios do Active Directory e Workgroups. As seguintes funcionalidades estão incluídas:
- A replicação conhecimento de aplicativo. Os dados em uma VM-replica estão consistentes quando você replica uma VM em um estado de execução, devido ao uso do serviço Microsoft Volume Shadow Copy (VSS) executando dentro das máquinas virtuais.
- A replicação incremental usando o Resilient Change Tracking (RCT) do Microsoft permite que você salve espaço em disco e tempo. A primeira execução de um trabalho de replicação copia todos os dados de uma VM de origem, e em seguida, somente os dados alterados são copiados criando os pontos de recuperação apropriados para a VM replica.
- As configurações de retenção flexíveis e política de retenção GFS. Mantenha uma ampla gama de pontos de recuperação para diferentes períodos de tempo e otimize o espaço de armazenamento usado em um repositório de backup.
- A aceleração da rede aumenta a velocidade de replicação usando compressão de dados, economizando seu tempo.
- A Truncation de Log para Microsoft Exchange e SQL salva o espaço em disco para as VM do Hyper-V que estão executando um banco de dados ao replicá-los.
- O failover automático de VM permite que você recupere uma VM em pouco tempo.
- Recuperação de site permite que você crie cenários de recuperação de desastre complexos com múltiplas ações, incluindo a replicação de VM do Hyper-V e o failover.
Você pode recuperar uma máquina de um backup de servidor físico para uma VM ou recuperar um backup de VM do Hyper-V para uma VM do VMware. Não espere por um desastre – baixe o NAKIVO Backup & Replication e proteja suas VM do Hyper-V hoje!
Conclusão
A replicação do Hyper-V é importante para proteger as máquinas virtuais do Hyper-V e garantir que você possa recuperar dados e cargas de trabalho em pouco tempo após qualquer falha. Às vezes, pode ser necessário configurar a replicação do Hyper-V em ambientes não pertencentes a domínios quando os servidores do Hyper-V não são membros de um domínio do Active Directory e pertencem a um Grupo de Trabalho.
Você precisa criar certificados autoassinados para replicar máquinas virtuais do Hyper-V em um Grupo de Trabalho e configurar autenticação para servidores do Hyper-V usando esses certificados. A configuração se aplica aos nomes de host, firewall e verificação de revogação de certificados antes de configurar a replicação de VMs nos hosts do Hyper-V.
Source:
https://www.nakivo.com/blog/how-to-request-ssl-certificates-for-hyper-v/