none
HYPER-V Replica Zertifikate Fehler 0x800B0109 RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hi

    Kurz mein Problem:

    2 HYPER-V Server, HYP01-SRV und HYP02-SRV beide sind mit einer dedizierten LAN Leitung verbunden (keine Domain Verbund).

    HYP01-SRV soll auf HYP02-SRV replizieren. Das geht bei dediziertem LAN ja nur per Zertifikate.

    Daher habe ich welche erstellt lt. Anleitung hier: http://technet.microsoft.com/en-us/library/jj134153.aspx#BKMK_1_5

    Zwar scheinen mir im Pkt. 6 ein Fehler es müsste lt. meinem Empfinden nicht das PrimaryTestCert.cer sondern ReplicaTestCert.cer erzeugt werden (was ich geändert habe)

    Daher habe ich auf HYP01-SRV es so gemacht:

    makecert -pe -n "CN=PrimaryReplicaRootCA" -ss root -sr LocalMachine -sky signature -r "PrimaryReplicaRootCA.cer"

    makecert -pe -n "CN=HYP01-SRV" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "PrimaryReplicaRootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 PrimaryReplicaCert.cer

    certutil -addstore -f Root "SecondaryReplicaCert.cer"

    Auf dem Replica Server HYP02-SRV so:

    makecert -pe -n "CN=SecondaryReplicaRootCA" -ss root -sr LocalMachine -sky signature -r "SecondaryReplicaRootCA.cer"

    makecert -pe -n "CN=HYP02-SRV" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "SecondaryReplicaRootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 SecondaryReplicaCert.cer

    certutil -addstore -f Root "PrimaryReplicaCert.cer"

    Wobei das certutil erst nach gegenseitigem Kopieren der *.cer ausgeführt wurde.

    Ebenfalls Punkt 9 scheint falsch bzw. nur die halbe Wahrheit, weil bei Replication ebenfalls der Wert: DisableCertRevocationCheck auf 1 stehen muss, sonst wird das Zertifikat nicht angenommen.

    All das hat geklappt.

    Firewall Port ist freigegeben.

    Am HYP01-SRV wollte ich nun die Replica anschieben. Dies gelingt mir nicht.

    Obwohl auch dort das Zertifikat OK scheint, kommt immer diese Meldung:

    Vom Hyper-V wure ein ungültiges digitales Zertifikat vom Replikatsserver "HYP02-SRV" empfangen. Fehlr: Eine Zertifikatskette wurde zwar verarbeitet, endete jedoch mit einem Stammzertifikat, das beim Vertrauensanbieter nicht als vertrauenswürdig gilt. (0x800B0109)

    Die Stammzertifikate wurden von HYP02-SRV und HYP01-SRV gegenseitig hinzugefügt.

    Wo ist die Zertifikatekette unterbrochen?

    Wo mein Fehler liegt?

    Vielen Dank für Eure Hilfe.

    Totalverschneite Grüße aus dem Erzgebirge.

    Danke und liebe Grüße Oliver Richter

    Donnerstag, 6. Dezember 2012 10:21
    |

Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi,

    das jeweilige Primary- und Secondary Root CA Certificate muessen sich beide im Zertifikatspeicher der vertrauenswuerdigen Stammzertifizierungsstellen des lokalen Computers befinden. So wie ich das auf den Screenshots sehe ist das nicht der Fall.

    Die andere falsche / fehlende Registry Einstellung aus dem Technet Artikel kann ich bestaetigen:
    http://www.it-training-grote.de/download/WS2012-HV-Replica.pdf

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort markiert Oliver Richter Donnerstag, 6. Dezember 2012 12:03
    Donnerstag, 6. Dezember 2012 11:33
    |

Alle Antworten

  • Question
    Anmelden
    1
    Anmelden

    Hi,

    das jeweilige Primary- und Secondary Root CA Certificate muessen sich beide im Zertifikatspeicher der vertrauenswuerdigen Stammzertifizierungsstellen des lokalen Computers befinden. So wie ich das auf den Screenshots sehe ist das nicht der Fall.

    Die andere falsche / fehlende Registry Einstellung aus dem Technet Artikel kann ich bestaetigen:
    http://www.it-training-grote.de/download/WS2012-HV-Replica.pdf

    regards Marc Grote aka Jens Baier - www.it-training-grote.de - www.forefront-tmg.de - www.nt-faq.de

    • Als Antwort markiert Oliver Richter Donnerstag, 6. Dezember 2012 12:03
    Donnerstag, 6. Dezember 2012 11:33
    |
  • Question
    Anmelden
    0
    Anmelden

    Vielen Dank - das war's!

    Manchmal sieht man halt den Wald vor lauter Schnee nicht mehr.

    Danke und liebe Grüße Oliver Richter

    Donnerstag, 6. Dezember 2012 12:04
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Oliver,

    ich sitze beim selben Problem. Die Stammzertifikate sind in den jeweiligen Vertrauswürdigen Stammordnern. Aber, ich bekomme trotzdem diese Fehlermeldung.

    Haben sie für mich einen Screenshot?

    Viele Grüße Torsten

    Montag, 4. September 2017 17:47
    |
  • Question
    Anmelden
    0
    Anmelden
    Hallo Torsten
    lang, lang ist's her mit diesem Projekt. Mittlerweile ist die Sache direkt in einer Domäne aufgegangen und damit haben wir das Konstrukt mit den selbstsignierten Zertifikaten aufgelöst.

    Aber guckt mal hier - vielleicht hilft das schon weiter:
    http://www.vkernel.ro/blog/configuring-hyper-v-replica-using-certificate-based-authentication-https
    http://blog.fedenko.info/2016/06/hyper-v-replica-with-self-signed.html

    Oder - meine Empfehlung - mal auf Antwort von Marc.Grote warten - er ist Premium ;-)

    Danke und liebe Grüße Oliver Richter

    Dienstag, 5. September 2017 06:30
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Oliver,

    vielen Dank für die schnelle Antwort.
    Ich schaue mir den Link mal an.
    Viele Grüße

    Torsten

    Dienstag, 5. September 2017 07:15
    |