[筆記] HyperV 遠端管理連線至多台非網域主機的設定

以前遠端管理連線非網域主機要做很多麻煩的設定，更稍微簡單一點還是需要另外下載Hyper-V Remote Management Configuration Utility (HVRemote.wsf)，現在WIN10已經相對簡化很多，直接使用內建的PowerShell就能做到管理，有新方法就用新方式吧。

參考文章其實漏還蠻多小細節，另多台主機又是不同方式表現，試過幾次才看懂規則寫法。

參考文章：https://docs.microsoft.com/zh-tw/windows-server/virtualization/hyper-v/manage/remotely-manage-hyper-v-hosts

環境：伺服器【Windows Server 2019】、客戶端電腦【Windows10 Pro 21H2】

※藍字依所需環境更改

Server設定

[PowerShell]

建立遠端連線

Enable-PSRemoting

Client設定

[PowerShell]

將伺服器位置加入至hosts

Add-Content -Path "C:\Windows\System32\drivers\etc\hosts" -Value "192.168.1.100    hv00"

Add-Content -Path "C:\Windows\System32\drivers\etc\hosts" -Value "192.168.1.101     hv01"

確認網路連線名稱，設定網路位置設定為【私人】

Get-NetConnectionProfile 

Set-NetConnection -InterfaceAlias "乙太網路" -NetworkCategory Private

這邊可能還有防火牆的設定要改。我做的時候預設是不用動，看環境所需。

將伺服器憑證加入至憑證管理器

cmdkey /add:hv00 /user:administrator /pass:password

cmdkey /add:hv01 /user:administrator /pass:password

將伺服器加入至信任主機

Set-Item WSMan:\localhost\Client\TrustedHosts -Value "HV00,HV01" →Y

啟用 CredSSP

Enable-WSManCredSSP -Role client -DelegateComputer "HV00","HV01" →Y

使用本機群組原則加入委派主機

[Win+R]

gpedit.msc

本機群組原則→本機電腦原則→電腦設定→系統管理範本→系統→認證委派→允許在僅使用NTLM的伺服器驗證時委派新認證

新增2筆

wsman/hv00

wsman/hv01

現在開啟Hyper-V 管理員直接輸入主機名稱就可以了

[筆記] 虛擬磁碟轉檔 -- VDI 轉 VHD / VHD 轉 VHDX / VHDX修改4k 磁區

參考文章：
https://shunnien.github.io/2016/02/25/VMConverter/
https://www.vembu.com/blog/how-to-convert-vhd-to-vhdx-using-hyper-v-manager-and-powershell/

開啟命令提示字元指令
先移動到Oracle VM VirtualBox安裝路徑底下
預設目錄C:\Program Files\Oracle\VirtualBox
cd C:\Program Files\Oracle\VirtualBox

VDI 轉 VHD
vboxmanage clonehd 原始.vdi 目的.vhd --format VHD

範例：

vboxmanage clonehd D:\Disk.vdi D:\Disk.vhd --format VHD

另外可以支援遠端路徑

vboxmanage clonehd \\NAS\in.vdi \\NAS\out.vhd --format VHD

---

開啟PowerShell

VHD 轉 VHDX

Convert-VHD –Path  原始.vhd –DestinationPath 目的.vhdx

範例：

Convert-VHD –Path D:\Disk.vhd –DestinationPath D:\Disk.vhdx

---

附錄--VHDX修改4k 磁區

檢查虛擬磁碟扇區大小

Get-vhd 原始.vhdx

設定虛擬磁碟扇區為4K

Set-vhd 原始.vhdx -PhysicalSectorSizeBytes 4096

[筆記] Hyper-V 使用憑證驗證來啟用複寫(Replica)

參考文章：
Day-14 Hyper-V 3.0實戰之-Replica(複本)設定 | MIS的背影
Hyper-V 3.0 筆記(三)獨立伺服器憑證驗證 Replica | MIS的背影

環境：
Hyper-V Server 2012 Core(主)、Hyper-V Server 2012 R2 Core(備)

在參考文章中，比較大的問題是環境的不同(又是非AD網域)。
公司環境是CORE，既然沒有圖形化界面就只能折衷使用CMD硬著頭皮上了。

在做設定之前，先要生出憑證出來。
參考文章中，直接說白了需要makecert.exe。下載


檔案抓下來直接放在 C:\Windows\System32 內，CMD就能直接執行了。

前面幾個步驟就參照參考文章。

主要伺服器產生Root憑證&EKU憑證
產生  root CA

makecert -pe -n "CN=PrimaryTestRootCA" -ss root -sr LocalMachine -sky signature -r "PrimaryTestRootCA.cer"

產生EKU憑證

makecert -pe -n "CN=hv01" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "PrimaryTestRootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 PrimaryTestCert.cer

複本伺服器產生Root憑證&EKU憑證
產生  root CA

makecert -pe -n "CN=ReplicaTestRootCA" -ss root -sr LocalMachine -sky signature -r "ReplicaTestRootCA.cer"

產生EKU憑證

makecert -pe -n "CN=hv02" -ss my -sr LocalMachine -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 -in "ReplicaTestRootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 ReplicaTestCert.cer

※刪除憑證
再做憑證的時候，如果不小心做錯，就必須刪掉重來，否則再重複執行EKU憑證的時候可能會遇到下列錯誤。
Error: There are more than one matching certificate in the issuer's root cert store
Failed
沒有GUI的Core環境，只能進入 PowerShell 下指令
讀取憑證列表

get-item Cert:\LocalMachine\root\*

刪除憑證

remove-item Cert:\LocalMachine\root\1234567890ABCDEFG(憑證)

刪除時看後面 CN=PrimaryTestRootCA 或 CN=ReplicaTestRootCA 就對了

匯入Root憑證
憑證建立完畢後，兩台主機互相交換 Root憑證並匯入
1.在主要伺服器(HV01)，將 PrimaryTestRootCA.cer 複製到複本伺服器上
2.在複本伺服器(HV02)，將 ReplicaTestRootCA.cer 複製到主要伺服器上
3.在主要伺服器(HV01)，匯入 ReplicaTestRootCA.cer

certutil -addstore -f Root "ReplicaTestRootCA.cer"

4.在複本伺服器(HV02)，匯入PrimaryTestRootCA.cer

certutil -addstore -f Root "PrimaryTestRootCA.cer"

這邊參考文章中寫錯了

停用我簽署憑證撤銷檢查
因自我簽署憑證不支援撤銷檢查。編輯主要伺服器與複本伺服器上的登錄檔，停用檢查
利用如下指令停用檢查

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f

複本伺服器啟用複寫設定
1.進入Hyper-V管理員，於右邊點擊"Hyper-v設定"


2.左邊點擊"複寫設定"，進入項目後，於下方勾選"啟用此電腦作為複本伺服器"，接著在勾選"使用憑證式驗證(HTTPS)"


3.選取憑證


4.確認後會出現提示需要設定防火牆 443 port 允許通過


※使用 PowerShell 增加防火牆規則
啟用規則

Set-NetFirewallRule -DisplayGroup “Hyper-V 複本 HTTPS” –Enabled True

檢查是否啟用

Get-NetFirewallPortFilter | ?{$_.LocalPort -eq 443} | Get-NetFirewallRule

Enable為True就有開啟


 CMD 的指令

netsh advfirewall firewall add rule name="Hyper-V Replica HTTPS" dir=in protocol=TCP localport=443 action=allow

主要伺服器啟用複寫
1.在欲備份的虛擬主機右鍵選取"啟用複寫"

2.下一步


3.指定複本伺服器


4.選取憑證，確認後下一步。



6.選擇複寫 VHD


7.設定復原歷程記錄


8.選擇初始複寫方法


9.摘要，確認OK點擊"完成"。


10.檢查複寫情況