todde_hb 4 Geschrieben 18. April 2018 Melden Geschrieben 18. April 2018 Hi zusammen, unter den Replikationseinstellungen kann ich ja zwischen Kerberos http Port 80 und Zertifikat 443 auswählen. Jetzt stellt sich mir die Frage, welches Zertifikat ich da nehmen kann, bzw. muss. Klicke ich auf "select certificate" bekommen ich die Meldung wie im Screenshot. Muss ich dann nicht nur in dem Quell Hyper-V ein Zertifikat installieren, sondern auch auf dem Target Hyper-V? Ciao, todde_hb
testperson 1.860 Geschrieben 18. April 2018 Melden Geschrieben 18. April 2018 Hi, wie sieht denn deine Umgebung aus? Sind die Hyper-Vs in einer Domäne oder Workgroup? Gibt es eine CA? Ansonsten steht ja eigentlich alles in der Meldung. Du brauchst die Zertifikatskette und ein gültiges Zertifikat (für den Primary und den Replica) mit dem entsprechenden FQDN als CN oder SAN. Kurz und schmerzlos für z.B. ein LAB: https://blogs.technet.microsoft.com/virtualization/2013/04/13/hyper-v-replica-certificate-based-authentication-makecert/ Gruß Jan
NilsK 3.046 Geschrieben 18. April 2018 Melden Geschrieben 18. April 2018 Moin, das Zertifikat musst du dann in den Zertifikatsspeicher des Computerkontos einbinden. Da die Replikation im Zweifel ja eine beidseitige Angelegenheit ist, müssen beide Hosts je ein Zertifikat haben. Gruß, Nils
todde_hb 4 Geschrieben 18. April 2018 Autor Melden Geschrieben 18. April 2018 Hi, Das dumme ist, dass der Replikation Host in der Domäne mit CA ist, der Replication Client nicht. Das lässt sich wohl auch nicht ändern.
NilsK 3.046 Geschrieben 18. April 2018 Melden Geschrieben 18. April 2018 Moin, na und? Dann forderst du für den anderen Host eben manuell ein Zertifikat bei der CA an. Gruß, Nils
todde_hb 4 Geschrieben 18. April 2018 Autor Melden Geschrieben 18. April 2018 @NilsK Ok, aber vom Hyper-V Client ist die CA nicht erreichbar und daher ist Webenrollment nicht verfügbar. Wie kann ich denn manuell in eine Textdatei ein CSR generieren?
NorbertFe 2.283 Geschrieben 18. April 2018 Melden Geschrieben 18. April 2018 (bearbeitet) Nabend... ich poste mal nur zwei der ersten Treffer in Google. ;) https://4sysops.com/archives/create-a-certificate-request-with-powershell/ https://www.sslplus.de/wiki/CSR-Erstellung_MS_Windows_(mit_certreq)#Erstellung_Certificate_Signing_Request_.28CSR.29 bearbeitet 18. April 2018 von NorbertFe
magheinz 111 Geschrieben 19. April 2018 Melden Geschrieben 19. April 2018 laufen die Daten denn durch ein nicht vertrauenswürdiges Netz? Ist das alles überhaupt notwendig(ich kenne hyperv nicht)?
testperson 1.860 Geschrieben 19. April 2018 Melden Geschrieben 19. April 2018 (bearbeitet) laufen die Daten denn durch ein nicht vertrauenswürdiges Netz? Ist das alles überhaupt notwendig(ich kenne hyperv nicht)? Kerberos geht halt nur mit Domain-joined Hyper-Vs. Was hier scheinbar nur auf den Primary zutrifft. bearbeitet 19. April 2018 von testperson
magheinz 111 Geschrieben 19. April 2018 Melden Geschrieben 19. April 2018 kann man nicht beide Optionen weglassen oder muss mind. eine aktiv sein?
mwiederkehr 395 Geschrieben 19. April 2018 Melden Geschrieben 19. April 2018 kann man nicht beide Optionen weglassen oder muss mind. eine aktiv sein? Die Authentifizierung geht nur über Kerberos (in Domäne) oder über Zertifikate (ohne Domäne). Es gibt leider keine Möglichkeit, einfach Benutzername/Passwort für die Replikation einzutragen.
magheinz 111 Geschrieben 19. April 2018 Melden Geschrieben 19. April 2018 Ah so, wieder was gelernt...
todde_hb 4 Geschrieben 19. April 2018 Autor Melden Geschrieben 19. April 2018 Hi, ja, die beiden Server sind durch ein unsicheres Netz separiert. Ich bin mal nach der Anleitung aus obigen links vorgegangen und habe auf dem Replication-Client (nicht in der Domäne) Eine CSR erstellt. Diese ist auch gültig lt. https://cryptoreport.websecurity.symantec.com/checker/views/csrCheck.jsp . Reiche ich nun das CSR auf der Domänen CA ein, erhalte ich diese Fehlermeldung. Habe mal nach dem Fehler geggogelt und bin hierauf gestossen https://www.experts-exchange.com/questions/28217522/Issue-certificate.html Dort heisst es , man solle bei den Certificate Templates das Webserver Template anpassen, nämlich den Computer unter dem Tab Security eintragen. Welcher Computer ist den damit geimeint? Der Server auf dem die CA läuft? Habe diesen mal eingetragen, wie im Screenshot 02 zu sehen, aber der Fehler bleibt bestehen.
NorbertFe 2.283 Geschrieben 19. April 2018 Melden Geschrieben 19. April 2018 Dann gib doch das zu verwendende Template einfach auf der CA mit an. certreq -attrib "CertificateTemplate:Template-Name" -submit Und ja, man sollte nicht mit den Default Templates arbeiten. Aber wenn du an der Stelle jetzt noch anfängst, dann wäre meine Empfehlung doch, sich etwas ausführlicher mit dem Thema (PKI, Hyper-V usw.) als nur die gerade auf den Nägeln brennenden Fragen im Forum zu klären. Bye Norbert
todde_hb 4 Geschrieben 19. April 2018 Autor Melden Geschrieben 19. April 2018 @NorbertFe Im Prinzip gebe ich da da absolut recht Aber, learning by doing ist doch nicht ganz so schlecht Den certreq Befehl hab ich tatsächlich auch gerade bei google gefunden und konnte so ein Certificate ausstellen und es auf dem Hyper-V Client importieren, jedoch findet Hyper-V es nicht, obwohl es sich im personal store befindet. Ich nehme mal an, dass das Template, welches ich zum signieren benutzt habe, also "WebServer" nicht ganz das richtige ist. Bietet dies überhaupt Client/Computer Authentifizierung? Welches muss/soll man denn da nehmen? Nehme ich das gleiche Template, welches Domänenclients verwenden, dann erhalte ich beim signieren einen Fehler, wie im Screenshot zu sehen ist.
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden