none
Hyper-Vレプリカが有効にならない件について RRS feed

  • 質問

  • <環境>
    現在、以下の環境下でシステム構築を行なっております。

    レプリカ元:Windows Server 2012 R2 Standard x64
    レプリカ先:  同上

    以下 レプリカ元のコンピュータ名を「fsv-p1」、レプリカ先を「fsv-r2」としてます。
    ワークグループ環境です


    <状況>
    1)「fsv-p1」⇒「fsv-r2」へ仮想マシンのHyper-V レプリケーションを実施したい

    2)ワークグループ環境の為、
      Hyper-V レプリケーションは 「証明書ベースの認証 (HTTPS)」を採用

    3)以下サイト(1.5.暗号化されたデータの証明書を提供する)に沿って、証明書の設定を実施
      サイト:https://technet.microsoft.com/ja-jp/library/jj134153(v=ws.11).aspx#BKMK_1_5
       
     <fsv-p1の作業>
      ①「makecert.exe」の取得 (Cドライブ直下に配置)
      ②「makecert.exe」の実行からCAファイルの作成  ※作成時のコマンドは、本文一番下に記述してます。
      ③「makecert.exe」の実行から証明書ファイルの公開鍵の作成 (Cドライブ直下に配置)
       ※FQDNには、「fsv-p1」を指定
      ④レジストリエディタから失効確認の無効化
      ⑤Windows ファイアウォールは無効化
       ⑥「fsv-r2」で作成した証明書ファイルを、Cドライブ直下にコピー
         
      <fsv-r2の作業>
       →fsv-p1の作業と同等の流れです。 

    4)レプリカ先(fsv-r2)にて、「Hyper-V」マネージャから
      レプリケーションの構成を有効化

    5)「fsv-p1」上で仮想マシンを選択して、「レプリケーションの有効化」
      ①レプリカサーバ: レプリカ先のPC名(fsv-r2)を指定
      ②「証明書ベースの認証」を選択 ⇒ 証明書にレプリカ元のPC名(fsv-p1)の証明書を選択
      ③レプリカ先のハードディスクの場所を指定
      ④レプリカ間隔:5分
      ⑤「最新の回復ポイントだけを保持する」を選択
      ⑥「初期コピーをネットワーク経由で送信する」、「すぐにレプリケーションを開始する」を選択

      ⇒ 上記を実行すると、すぐにエラーで停止する
        ・Hyper-Vは、レプリケーションを有効にできませんでした。
         Hyper-Vは、レプリカサーバ「fsv-r2」から無効なデジタル証明書を受信しました。
         証明書チェーンは処理されましたが、信頼プロバイダーが信頼していない
         ルート証明書で強制終了しました。(0X800B0109)


     改善策について、何卒、ご教授をお願い致します。


    <補足>
     ・各サーバーのhostsファイルに記載し、名前解決は出来てます。
     ・MMCからコンピュータアカウントの証明書を確認し、
      元から保存されていた以下の証明書を試しに削除してみたが、改善してません。
      →「信頼されたルート証明機関」-「証明書」に出荷時からある
        コンピュータ名の証明書
     
     
    なお、↓は証明書を作成時のコマンドです。何か間違いなどありましたら、ご指摘頂けると助かります。

    「fsv-p1」
    --------------------------------------------------------------------------
    c:\makecert -pe -n "CN=fsv-p1-RootCA" -ss root -sr LocalMachine -sky signature -r "c:\fsv-p1-RootCA.cer"
    c:\makecert -pe -n "CN=fsv-p1" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "fsv-p1-RootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 "c:\fsv-p1-RootCA.cer"

    ※↓「fsv-p1のCドライブ直下に、「fsv-r2」で作成した証明書をコピー後に実施
    certutil -addstore -f root “c:\fsv-r2-RootCA.cer”
    --------------------------------------------------------------------------

    「fsv-r2」
    --------------------------------------------------------------------------
    c:\makecert -pe -n "CN=fsv-r2-RootCA" -ss root -sr LocalMachine -sky signature -r "c:\fsv-r2-RootCA.cer"
    c:\makecert -pe -n "CN=fsv-r2" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "fsv-r2-RootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 "c:\fsv-r2-RootCA.cer" 

    ※↓「fsv-r2」のCドライブ直下に、「fsv-sp1」で作成した証明書をコピー後に実施
    certutil -addstore -f root “c:\fsv-p1-RootCA.cer”
    --------------------------------------------------------------------------

    2017年3月17日 10:01

回答

  • makecertで作成する際のCNの指定をFQDN(サフィックス付)にしてください。

    c:\makecert -pe -n "CN=fsv-p1" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "fsv-p1-RootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 "c:\fsv-p1-RootCA.cer"

    にある、-n "CN=fsv-p1"の部分です。

    こちらを[.local]を付与した形式で指定して作成してください。(2号機も同様)

    2017年3月22日 3:06

すべての返信

  • コンピューター名のプライマリサフィックスとして[local]を追加
    サフィックスを含めた形【のみ】でhostsファイルを作成、それぞれに配置する

    で試してみてください。

    自分も以前Workgroup環境でのHyper-Vレプリカで苦労した記憶があります。

    自分の場合はFirewallを有効にして[Hyper-Vレプリカ(HTTPS)]を有効にしました。

    ご参考まで

    2017年3月17日 11:19
  • ご返信いただき、誠にありがとうございます。

    プライマリサフィックスとして[local]を追加後、hostsファイルを修正し、再度、証明書ファイルを作成し、

    試してみましたが、残念ながら同様のエラーで有効となりませんでした。

    Firewallも、必要な設定(httpsリスナーを有効)後、試してみましたが、同様のエラーが表示されます。

    お手数ではございますが、他にアドバイスなどございましたら、お教え頂ますよう、何卒、宜しくお願い申し上げます。

    2017年3月21日 3:47
  • 自分が構築したときのメモをあさりましたが、、、、

    ■証明書(お互いに下記の証明書がインポートされている状態)
     自分で発行したルート証明書
     相手が発行したルート証明書
     自分で発行したサーバー/クライアント証明書

    ■証明書関連のレジストリ
     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtulization\Replication\DisableCertRevocationCheck → [1]に修正

    と、前述のFW、サフィックス関連でした。

    試行いただけますか。

    2017年3月21日 4:59
  • ご返信いただき、誠にありがとうございます。

    ご提案頂きました内容を、確認しておりますが、残念ながら改善に至っておりません。

    現在のプライマリサーバー(fsv-p1.local)、レプリカサーバー(fsv-r2.local)に作成してます、
    証明書の情報について記載させて頂きます。

    不備などございましたら、ご教授お願い致します。

    ----------------------------------------------------------------------
    ● プライマリサーバー(fsv-p1.local)のローカルコンピュータの証明書↓

     「信頼されたルート証明機関」-「証明書」
      ・発行先:fsv-p1-RootCA、発行者:fsv-p1-RootCA
      ・発行先:fsv-r2.local、発行者:fsv-r2-RootCA
      
     「個人」-「証明書」
      ・発行先:fsv-p1.local、発行者:fsv-p1-RootCA

      ※ファイルは、Cドライブ直下に、以下が保存されております。
       ・fsv-p1-RootCA.cer
       ・fsv-r2.-RootCA.cer 
    ----------------------------------------------------------------------
    ● プライマリサーバー(fsv-r2.local)のローカルコンピュータの証明書↓

     「信頼されたルート証明機関」-「証明書」
      ・発行先:fsv-r2.-RootCA、発行者:fsv-r2.-RootCA
      ・発行先:fsv-p1.local、発行者:fsv-p1-RootCA
      
     「個人」-「証明書」
      ・発行先:fsv-r2.local、発行者:fsv-r2-RootCA

      ※ファイルは、Cドライブ直下に、以下が保存されております。
       ・fsv-r2.-RootCA.cer 
       ・fsv-p1-RootCA.cer
    ----------------------------------------------------------------------

    誠に恐縮ではございますが、他にアドバイスなどございましたら、何卒、宜しくお願い申し上げます。

    2017年3月21日 9:16
  • makecertで作成する際のCNの指定をFQDN(サフィックス付)にしてください。

    c:\makecert -pe -n "CN=fsv-p1" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "fsv-p1-RootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 "c:\fsv-p1-RootCA.cer"

    にある、-n "CN=fsv-p1"の部分です。

    こちらを[.local]を付与した形式で指定して作成してください。(2号機も同様)

    2017年3月22日 3:06
  • 返信が遅くなりまして、申し訳ございませんでした。

    本件、CNの指定含め、証明書を作成し直し、改善出来ましたので、ご報告させて頂きます。

    色々と、アドバイスいただき、誠にありがとうございました。

    2017年3月27日 7:27