sysrtfm

Будем строить отказоустойчивую репликацию между 5 хостами hyper-v 2012 r2 в 2 разных доменах, домены доверенные, но авторизацию для брокера реплики будем использовать на основе wildcard сертификатов.

Суть в том, что для каждого домена нужно создать сертификат корневого центра сертификации rootca.<domainname>.cer и им подписать 2-й созданный сертификат для хостов servers.<domainname>.cer

Готовим сертификаты:

Код ниже выполняем через cmd, перед выполнением нужно достать makecert, он есть по адресу Windows Kits\8.1\bin\x64\ либо, для 2012r2 можно скачать makecert с моего сайта

Я выполнял команды на первых хостах hyper-v каждого домена, при этом они сразу же импортируются в нужные хранилища текущего сервера.

--------------------------------------
1 домен
----------------------

makecert -pe -n "CN=*.domain1.ru" -ss root -sr LocalMachine -sky signature -r "rootca.domain1.ru.cer"
makecert -pe -n "CN=*.domain1.ru" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "*.domain1.ru" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 servers.domain1.ru.cer
---------------------
2 домен
---------------------

makecert -pe -n "CN=*.domain2.com" -ss root -sr LocalMachine -sky signature -r "rootca.domain2.com.cer"
makecert -pe -n "CN=*.domain2.com" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "*.domain2.com" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 servers.domain2.com.cer

На каждом хосте меняем реестр:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\FailoverReplication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f

Во время выполнения могут возникнуть ошибки:

Error: CryptCertStrToNameW failed => 0x80092023 (-2146885597)
Failed

Это означает что вы скачали не тот makecert или не из того SDK. Для Windows Server 2012 нужен SDK для Windows 8. А для 2012 r2 нужен от 8.1. Все доступные SDK можно скачать тут

Error: There are more than one matching certificate in the issuer's root cert st
ore
Failed

Эта ошибка означает, что в хранилище сертификатов уже есть одноименный, сертификат либо сертификат с таким же отпечатком, нужно зайти в оснастку сертификаты, и аккуратно удалить неправильный старый сертификат.

После того, как сгенерировали все сертификаты нужно обменяться ими между хостами, НО перед этим, на каждом сервере нужно экспортировать рутовый и персональный сертификаты с закрытым ключем в файл .pfx

Открываем оснастку сертификаты — Локальный ПК, переходим в Личное — Сертификаты, находим там сертификат с ключиком и экспортируем в файл, тоже самое делаем в Доверенные корневые центры сертификации — Сертификаты, тут экспортируем хостовый сертификат с закрытым ключем.

После экспорта на всех хостах, нужно импортировать все сертификаты на все хосты в правильные папки, рутовые в Доверенные корневые центры сертификации и хостовые в Личные.

После этого можно начинать настраивать репликацию.

Еще может возникнуть вот такая ошибка: 0x00002EFD

Это означает, что с сертификатами что то не так, не правильное имя домена или еще что то…

Нужно делать либо WildCard сертификаты для авторизации Hyper-v Replica, либо  сертификаты с дополнительным полем SAN (Subject Alternative Name) в котором прописывать имена всех хостов, имена брокера реплики (обязательно fqdn). Но сертификат с SAN в Windows можно подготовить только с помощью центра сертификации.