Будем строить отказоустойчивую репликацию между 5 хостами hyper-v 2012 r2 в 2 разных доменах, домены доверенные, но авторизацию для брокера реплики будем использовать на основе wildcard сертификатов.
Суть в том, что для каждого домена нужно создать сертификат корневого центра сертификации rootca.<domainname>.cer и им подписать 2-й созданный сертификат для хостов servers.<domainname>.cer
Готовим сертификаты:
Код ниже выполняем через cmd, перед выполнением нужно достать makecert, он есть по адресу Windows Kits\8.1\bin\x64\ либо, для 2012r2 можно скачать makecert с моего сайта
Я выполнял команды на первых хостах hyper-v каждого домена, при этом они сразу же импортируются в нужные хранилища текущего сервера.
--------------------------------------
1 домен
----------------------
makecert -pe -n "CN=*.domain1.ru" -ss root -sr LocalMachine -sky signature -r "rootca.domain1.ru.cer"
makecert -pe -n "CN=*.domain1.ru" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "*.domain1.ru" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 servers.domain1.ru.cer
---------------------
2 домен
---------------------
makecert -pe -n "CN=*.domain2.com" -ss root -sr LocalMachine -sky signature -r "rootca.domain2.com.cer"
makecert -pe -n "CN=*.domain2.com" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "*.domain2.com" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 servers.domain2.com.cer
На каждом хосте меняем реестр:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\FailoverReplication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f
Во время выполнения могут возникнуть ошибки: Читать далее »