none
Replica HyperV Server 2012r2 RRS feed

  • Frage

  • Hallo,

    ich habe folgendes Problem, es soll ein Virtueller Rechner Repliziert werden.

    Der primäre wie auch der Replicatserver laufen in einer Arbeitsgruppe. Also mussten Zertifikate erstellt werden.

    Das habe ich auch alles gemacht. Die Zertifikate werden gefunden und die Einrichtung der Replizierung lässt sich durchführen.

    Sobal aber der Button Anwenden gedrückt wird, erschein die folgende Fehlermeldung:

    Das Bild folgt!


    Hat jemand von Euch eine Idee was da schief gelaufen sein könnte?

    Es wär wirklich nett, wenn ich konstruktive Hilfe erhalten könnte.

    Vora Danke

    Denzel2205

    Montag, 21. November 2016 09:05

Antworten

  • Auch nochmaliges ausführen führt zum gleichen Fehler.

    Wenn du den Registry Eintrag (auf allen beteiligten Hosts) schon gesetzt hast, macht es natürlich wenig Sinn den selben Befehl nochmal auszuführen. ;)
    Allenfalls könnte man an der entsprechenden Stelle in der Registry prüfen ob der Eintrag auch tatsächlich da ist.

    Aber angenommen das würde passen, wie genau bist du zum erzeugen deiner Zertifikate vorgegangen?

    EDIT:
    Wenn du makecert verwendet hast, würde das wie folgt aussehen:

    Stammzertifikat auf HostA erzeugen:

    makecert -pe -n "CN=HostARootCA" -ss root -sr LocalMachine -sky signature -r "HostARootCA.cer"

    Zertifikat auf HostA erzeugen:

    makecert -pe -n "CN=HostA" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "HostARootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 HostACert.cer 

    Analog dazu das gleiche auf HostB.

    Dann jeweils kreuzweise das Stammzertifikat importieren:

    Auf HostA:

    certutil -addstore -f Root "HostBRootCA.cer"

    Auf HostB:

    certutil -addstore -f Root "HostARootCA.cer"

    Danach solltest du deine selbst erstellten Zertifikate für die Hyper-V Replica nutzen können.




    Gruß TechnikSC885


    • Bearbeitet TechnikSC885 Montag, 21. November 2016 11:27 EDIT
    • Als Antwort markiert Denzel2205 Montag, 21. November 2016 15:29
    Montag, 21. November 2016 10:59
  • Hallo,

    ja ich habe es mit makecert gemacht.

    Hier meine vorgehensweise:

    makecert -pe -n "CN=HV1RootCA" -ss root -sr LocalMachine -sky signature -r "HV1RootCA.cer"

    makecert -pe -n "CN=<HyperV-Server1.k-nord.local>" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "HV1RootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 HV1Cert.cer

    makecert -pe -n "CN=HV2RootCA" -ss root -sr LocalMachine -sky signature -r "HV2RootCA.cer"

    makecert -pe -n "CN=<HyperV-Server2.k-nord.local>" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "HV2RootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 HV2Cert.cer

    Danch:

    certutil -addstore -f Root "HV2RootCA.cer" auf dem primären Server ausgeführt. Vorher das Zeertifikat kopiert.

    certutil -addstore -f Root "HV1RootCA.cer" auf dem anderen Server ausgeführt.

    Als das erledigt war den Befehl ausgeführt:

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

    Virtualization\Replication" /v DisableCertRevocationCheck

    /d 1 /t REG_DWORD /f

    Ich weiß nicht, was ich da falsch gemacht haben könnte!

    Gruß Denzel2205

    • Als Antwort markiert Denzel2205 Montag, 21. November 2016 15:29
    Montag, 21. November 2016 11:56

  • so das hat soweit geklappt. Erts einmal herzlichen Dank!

    Der Replikatserver hat alles genommen.

    Ok, das klingt doch schon mal vielversprechend :)

    also das Zertifikat auf dem Replikatserver ist nicht knord1 sondern knord2 also falsch was ich oben geschrieben habe.

    You're confusing me!?! 

    Der Primäre Server will noch nicht. Wenn ich dort die Replizierung einrichten will, zeigt er mir immer das Zertifikat für den Primären Server. Muß da nicht das Zertifikat des Replikatservers abgefragt werden?Beide Zertifikate sind im Stammzertifikatsverzeichnis vorhanden.


    Nochmal ganz von Anfang:

    1. Du hast einen "Server A" und einen "Server B"
    2. deine VM soll von "Server A" auf "Server B" repliziert werden
    3. Du erzeugst ein Stammzertifikat auf "Server A" mit dessen Namen
    4. Du erzeugst auf "Server A" auf Basis des gerade erstellten Stammzertifikates, ein Zertifikat
    5. die letzten beiden Schritte wiederholst du auf "Server B" - natürlich mit dessen Namen
    6. die entstanden *.cer Dateien kopierst du auf den jeweis anderen Server
    7. auf "Server A" importierst du das Stammzertifikat von "Server B" und umgekehrt
      (durch diese Aktion erreichst du, dass "Server A"  Zertifikaten vertraut, die "Server B" mit seinem Stammzertifikat erstellt hat - und umgekehrt)
    8. beim Einrichten der Replikation im Hyper-V-Manager wählst du auf "Server A" als Replikationsziel "Server B" - als Zertifikat aber das vom "Server A"!
    9. Auf "Server B" must du nichts weiter einstellen!

    Das Zertifikat von "Server B" benötigst du erst dann, wenn du die Replikationsrichtung umdrehst, oder du eine andere VM von "Server B" auf "Server A" replizieren lassen möchtest.

    Gruß TechnikSC885


    • Als Antwort markiert Denzel2205 Montag, 21. November 2016 15:29
    Montag, 21. November 2016 14:22

Alle Antworten

  • Leider darf ich noch kein Bild Hochladen.

    Daher hier eine kurzfassung der Fehlermeldung:

    Das Zertifikat mit dem Fingerabdruck ....

    konnte von der Hyper V nicht überprüft werden. Fehler wegen Antragstellernamenkonflikt.

    Fehler: Der CN-Name des Zertifikats stimmt nicht mit dem übergebenen Wert überein.

    Montag, 21. November 2016 09:09
  • Hallo Denzel2205,

    in diesem Thread kannst Du dein Konto verifizieren lassen:

    Verify your account

    Mit freundlichen Grüßen

    Michaela


    Bitte haben Sie Verständnis dafür, dass im Rahmen dieses Forums, welches auf dem Community-Prinzip „IT-Pros helfen IT-Pros“ beruht, kein technischer Support geleistet werden kann oder sonst welche garantierten Maßnahmen seitens Microsoft zugesichert werden können.

    Montag, 21. November 2016 09:23
    Moderator
  • Hallo Denzel2205,

    Das Zertifikat mit dem Fingerabdruck ....

    konnte von der Hyper V nicht überprüft werden. Fehler wegen Antragstellernamenkonflikt.

    spontan würde mir dazu ein typischer "Fallstrick" des Thema Hyper-V in Arbeitsgruppen einfallen:

    wenn du dein Zertifikat per "makecert" erstellt hast, hält es natürlich einer revocation Überprüfung nicht stand (ist ja keine CA da, die man  fragen kann ob das Zertifikat noch gültig ist).
    Deshalb müsstest du auf deinen Hyper-V Hosts die Überprüfung dieser Zertifikate abstellen

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f

    Gruß TechnikSC885

    Montag, 21. November 2016 10:22
  • Hallo TechnikSC885,

    danke für den Tip. Hatte ich aber bereits ausgeführt.

    Auch nochmaliges ausführen führt zum gleichen Fehler.

    Gruß Denzel2205

    Montag, 21. November 2016 10:49
  • Auch nochmaliges ausführen führt zum gleichen Fehler.

    Wenn du den Registry Eintrag (auf allen beteiligten Hosts) schon gesetzt hast, macht es natürlich wenig Sinn den selben Befehl nochmal auszuführen. ;)
    Allenfalls könnte man an der entsprechenden Stelle in der Registry prüfen ob der Eintrag auch tatsächlich da ist.

    Aber angenommen das würde passen, wie genau bist du zum erzeugen deiner Zertifikate vorgegangen?

    EDIT:
    Wenn du makecert verwendet hast, würde das wie folgt aussehen:

    Stammzertifikat auf HostA erzeugen:

    makecert -pe -n "CN=HostARootCA" -ss root -sr LocalMachine -sky signature -r "HostARootCA.cer"

    Zertifikat auf HostA erzeugen:

    makecert -pe -n "CN=HostA" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "HostARootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 HostACert.cer 

    Analog dazu das gleiche auf HostB.

    Dann jeweils kreuzweise das Stammzertifikat importieren:

    Auf HostA:

    certutil -addstore -f Root "HostBRootCA.cer"

    Auf HostB:

    certutil -addstore -f Root "HostARootCA.cer"

    Danach solltest du deine selbst erstellten Zertifikate für die Hyper-V Replica nutzen können.




    Gruß TechnikSC885


    • Bearbeitet TechnikSC885 Montag, 21. November 2016 11:27 EDIT
    • Als Antwort markiert Denzel2205 Montag, 21. November 2016 15:29
    Montag, 21. November 2016 10:59
  • Hallo,

    ja ich habe es mit makecert gemacht.

    Hier meine vorgehensweise:

    makecert -pe -n "CN=HV1RootCA" -ss root -sr LocalMachine -sky signature -r "HV1RootCA.cer"

    makecert -pe -n "CN=<HyperV-Server1.k-nord.local>" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "HV1RootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 HV1Cert.cer

    makecert -pe -n "CN=HV2RootCA" -ss root -sr LocalMachine -sky signature -r "HV2RootCA.cer"

    makecert -pe -n "CN=<HyperV-Server2.k-nord.local>" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "HV2RootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 HV2Cert.cer

    Danch:

    certutil -addstore -f Root "HV2RootCA.cer" auf dem primären Server ausgeführt. Vorher das Zeertifikat kopiert.

    certutil -addstore -f Root "HV1RootCA.cer" auf dem anderen Server ausgeführt.

    Als das erledigt war den Befehl ausgeführt:

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\

    Virtualization\Replication" /v DisableCertRevocationCheck

    /d 1 /t REG_DWORD /f

    Ich weiß nicht, was ich da falsch gemacht haben könnte!

    Gruß Denzel2205

    • Als Antwort markiert Denzel2205 Montag, 21. November 2016 15:29
    Montag, 21. November 2016 11:56
  • makecert -pe -n "CN=HV1RootCA" -ss root -sr LocalMachine -sky signature -r "HV1RootCA.cer"


    makecert -pe -n "CN=<HyperV-Server1.k-nord.local>" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "HV1RootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 HV1Cert.cer

    ich glaube du mischst verschiedene Namensformate bei der Angabe deiner Hosts (wenn nicht sogar noch Aliasse im Spiel sind).
    Und bei der Erzeugung der Zertifikate haben die spitzen Klammern m.E. nix im Namen verloren.

    Entweder: wenn es wirklich eine Arbeitsgruppe ist, konsequent nur den Hostnamen (HV1 bzw. HV2) verwenden (wie in meinem letzten Post).

    Oder: wenn, wonach mir "HyperV-Server1.k-nord.local" eher aussieht - die Hosts in einer eigenen Domäne stehen, in der aber keine CA vorhanden ist bzw. diese nicht genutzt werden soll, deine Befehle wie folgt umbauen:

    Stammzertifikat:

    makecert -pe -n "CN=HyperV-Server1.k-nord.localRootCA" -ss root -sr LocalMachine -sky signature -r "HyperV-Server1.k-nord.localRootCA.cer"

    Zertifikat:

    makecert -pe -n "CN=HyperV-Server1.k-nord.local" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "HyperV-Server1.k-nord.localRootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 HyperV-Server1.k-nord.local.cer

    Import des Stammzertifikates müsste dann so aussehen:

    certutil -addstore -f Root "HyperV-Server1.k-nord.local
    RootCA.cer"

    Gruß TechnikSC885


    PS: Wenn du Listings hier als "Codeblock" einfügst, erhöht das ungemein die Lesbarkeit ;)

    • Bearbeitet TechnikSC885 Montag, 21. November 2016 12:27 PS:
    Montag, 21. November 2016 12:23
  • Hallo,

    so das hat soweit geklappt. Erts einmal herzlichen Dank!

    Der Replikatserver hat alles genommen.

    Der Promäre Server will noch nicht. Wenn ich dort die Replizierung einrichten will, zeigt er mir immer das Zertifikat für den Primären Server. Muß da nicht das Zertifikat des Replikatservers abgefragt werden?Beide Zertifikate sind im Stammzertifikatsverzeichnis vorhanden.

    Leider kann ich noch keine Bilder hochladen.

    Gruß Denzel2205

    Montag, 21. November 2016 13:28
  • Ich nochmal,

    also das Zertifikat auf dem Replikatserver ist nicht knord1 sondern knord2 also falsch was ich oben geschrieben habe.

    Die Meldung auf dem Primären Server lautet übrigens:

    Der Replikatserver "HyperV-Server2" für Hyper-V entspricht nicht dem allgemeinen Antragstellernamen oder dem alternativen Antragstellernamen (DNS-Name) des empfangenen Zertifikats: Der CN-Name des Zertifikats stimmt nicht mit dem übergebenen Wert überein (0x800B010F)

    Gruß Denzel2205

    Montag, 21. November 2016 13:45

  • so das hat soweit geklappt. Erts einmal herzlichen Dank!

    Der Replikatserver hat alles genommen.

    Ok, das klingt doch schon mal vielversprechend :)

    also das Zertifikat auf dem Replikatserver ist nicht knord1 sondern knord2 also falsch was ich oben geschrieben habe.

    You're confusing me!?! 

    Der Primäre Server will noch nicht. Wenn ich dort die Replizierung einrichten will, zeigt er mir immer das Zertifikat für den Primären Server. Muß da nicht das Zertifikat des Replikatservers abgefragt werden?Beide Zertifikate sind im Stammzertifikatsverzeichnis vorhanden.


    Nochmal ganz von Anfang:

    1. Du hast einen "Server A" und einen "Server B"
    2. deine VM soll von "Server A" auf "Server B" repliziert werden
    3. Du erzeugst ein Stammzertifikat auf "Server A" mit dessen Namen
    4. Du erzeugst auf "Server A" auf Basis des gerade erstellten Stammzertifikates, ein Zertifikat
    5. die letzten beiden Schritte wiederholst du auf "Server B" - natürlich mit dessen Namen
    6. die entstanden *.cer Dateien kopierst du auf den jeweis anderen Server
    7. auf "Server A" importierst du das Stammzertifikat von "Server B" und umgekehrt
      (durch diese Aktion erreichst du, dass "Server A"  Zertifikaten vertraut, die "Server B" mit seinem Stammzertifikat erstellt hat - und umgekehrt)
    8. beim Einrichten der Replikation im Hyper-V-Manager wählst du auf "Server A" als Replikationsziel "Server B" - als Zertifikat aber das vom "Server A"!
    9. Auf "Server B" must du nichts weiter einstellen!

    Das Zertifikat von "Server B" benötigst du erst dann, wenn du die Replikationsrichtung umdrehst, oder du eine andere VM von "Server B" auf "Server A" replizieren lassen möchtest.

    Gruß TechnikSC885


    • Als Antwort markiert Denzel2205 Montag, 21. November 2016 15:29
    Montag, 21. November 2016 14:22
  • Es läuft!!!Danke für Deine Hilfe.

    Montag, 21. November 2016 14:54
  • Es läuft!!!Danke für Deine Hilfe.

    Danke für die Rückmeldung! Freut mich wenn ich helfen konnte! :)


    Bitte markiere noch den/die Beiträge, die dir zur Lösung verholfen haben als Antwort.

    Gruß TechnikSC885

    Montag, 21. November 2016 15:00