Windows: Hyper-V-Replikat – Datenverkehr über andere Netzwerkkarte leiten

Per Standard wird der Datenverkehr, der durch die Replizierung der virtuellen Computer entsteht, über die Netzwerkkarte(n) geleitet, über die auch die virtuellen Computer mit dem Netzwerk kommunizieren. Dieser Umstand kann bei vielen und entsprechend großen Änderungen unerwünscht sein. Ferner kann es Sinn machen, die Netzwerke nach ihren Aufgaben zu trennen.

Eines vorweg: Der Trick funktioniert nur mit der Zertifikat-basierten Authentifizierung!

Im Gegensatz zum Hyper-V Cluster, bei dem es über den Cluser-Manager möglich ist, einzustellen, welches Netzwerk für welche Kommunikation verwendet werden soll, besteht bei Hyper-V-Replikat ohne Cluster oder im Arbeitsgruppenbetrieb diese Möglichkeit nicht. Über einen Trick ist es dennoch möglich, den Datenverkehr umzuleiten.

Die Ausgangssituation für diesen Beitrag ist folgende:

  • Zwei Hyper-V Hosts auf Basis von Windows Server 2012 R2 Standard mit GUI im Arbeitsgruppenbetrieb.
  • Beide Hosts haben zwei Gigabit-Netzwerkkarten. Je 1x für den virtuellen Switch über den die virtuellen Computer mit dem LAN verbunden sind und je 1x für Management und den Replikatsverkehr.

Wichtig ist, das der DNS-Name der Hyper-V Hosts zu den in den Zertifikaten eingetragenen Namen passt. Sind die Namen unterschiedlich, so kann im Hyper-V-Manager das Zertifikat für den Empfang nicht ausgewählt oder es kann keine Verbindung aufgebaut werden.

Nun editiert man die hosts-Datei (zu finden unter „C:\Windows\System32\drivers\etc“) und trägt die IP-Adressen der Hyper-V Hosts im Replica-Netz ein. Ein Beispiel:

Angenommen das LAN hat das Netz 192.168.0.0 und für den Replikatsverkehr soll das Netz 192.168.1.0 verwendet werden, so benötigen die Netzwerkkarten, die für den Replikatsverkehr verwendet werden sollen, IP-Adressen aus dem Netz 192.168.1.0. Ferner müssen die Einträge in der hosts-Datei wie folgt aussehen:

192.168.1.30 hyperv01.domain.tld
192.168.1.31 hyperv02.domain.tld

Man sollte die Netzwerkkarten entsprechend ihren Aufgaben bzw. Netzwerken benennen, damit, wie im nachfolgenden Screenshot zu sehen ist, das Erkennen welche Karte wie stark beansprucht wird, leichter fällt:

Hyper-V-Replica über Replica-NICWie man sieht, ist im LAN nichts los, während über die Netzwerkkarte „Replica“ gerade die Erste Replikation eines virtuellen Computers läuft.

Troubleshooting

Windows ordnet den Netzwerkkarten Standorte bzw. Profile zu. Dadurch kommt der Umstand zustande, das die zweite Netzwerkkarte, da Sie nur IP-Adresse und Subnetzmaske für das Replikat-Netzwerk hat, Windows das Profil „Öffentliches Netzwerk“ anwendet. Das führt dazu, das Hyper-V-Replikat zunächst nicht kommunizieren kann, da das entsprechende Öffentliche Profil der Windows-Firewall angewendet wird.

Hyper-V-Replica - Public-Net

Hyper-V-Replica - Unknown-Net

Nun gibt es mehrere Möglichkeiten, dies zu lösen:

  • Ein (fiktives) Standardgateway eintragen (nicht empfohlen).
  • Die Windows-Firewall für diese Netzwerkkarte deaktivieren. Das kann man in den Eigenschaften von „Windows-Firewall mit erweiterter Sicherheit“ – Registerkarte „Öffentliches Profil“ im Bereich „Status“ nach einem Klick auf die Schaltfläche „Anpassen“ tun.
  • Via Gruppenrichtlinie festlegen, das ein nicht identifiziertes Netzwerk Privat sein soll. Da es sich um Server handelt, werden diese wohl eher selten auf Reisen gehen, so das diese Einstellung wohl kein Problem darstellen dürfte.

GPO - Nicht identifizertes Netzwerk zum Standorttyp "Privat" zuordnen

Links

Für eine etwas andere Umgebung ist dieser Artikel interessant:

How to use a dedicated interface / VLAN for Hyper-V replica traffic

Im Grunde wird das Gleiche gemacht, d.h. die hosts-Datei verwendet.

Quelle

heise: Freigaben im „nicht identifizierten Netzwerk“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.