Kerberos Delegierung zur Hyper-V Livemigration mit Windows Server 2016

Wer mehrere Hyper-V Hosts einsetzt, ohne diese zu einem Failover Cluster zu konfigurieren, kommt bei der Livemigration von einer oder mehreren VMs teilweise in Situationen, bei denen die Livemigration nicht gestartet werden kann und mit einem Fehler 0x8009030D abbricht. Die Fehlermeldung zeigt dann fehlende Anmeldeinformationen und zeigt zusätzlich noch auf, welche Schritte unternommen werden müssen, damit dies nicht mehr passiert.

Fehler beim Herstellen einer Verbindung mit dem Host “HYPERV3”: Die Anmeldeinformationen, die dem Paket übergeben wurden, wurden nicht erkannt. (0x8009030D).

Als Screenshot sieht die Fehlermeldung wie folgt aus:

Die Lösung für dieses Problem habe ich bereits mehrfach hier im Blog beschrieben, mit Windows Server 2016 ändert sich allerdings eine Kleinigkeit bei der Konfiguration. Der Vollständigkeit halber hier die Links zu den beiden Artikeln:

​Mit dem Windows Server 2016 gibt es eine kleine Änderung, bei der Konfiguration muss statt Kerberos nun die Option "use any authentication protocol" gesetzt werden. Microsoft hat dies auch selbst in dem folgenden Beitrag beschrieben:

​Ich habe das Skript aus dem Beitrag für den Server 2012 R2 mal erweitert und um eine Zeile erweitert, um diese Option automatisch zu setzen.

#region Beschreibung und Kommentare
# Setze Berechtigung Delegierung für die Hyper-V Server
# written by Karl-Heinz Lambers and Jan Kappen
# www.hyper-v-server.de – j.kappen@rachfahl.de
# Version 0.2 – 16.05.2017
#endregion

#region Name von SOFS und Domain
$SOFS = “
$Domain = “contoso.local”
#endregion

#region Import der benötigten Module
Import-Module ActiveDirectory
#endregion

#region Hyper-V Bereich
$Servers = ““, ““, ““, “
$Servers | foreach-object {
$Server1 = $_
Write-Host $Server1 -foregroundcolor green

$Servers | foreach-object {
$Server2 = $_

if ($Server1 -ne $Server2) {
Write-Host “`t$Server2” -foregroundcolor yellow
Get-ADComputer $Server1 | Set-ADObject -Add @{“msDS-AllowedToDelegateTo” = “Microsoft Virtual System Migration Service/$Server2.$Domain”, “cifs/$Server2.$Domain”, “Microsoft Virtual System Migration Service/$Server2”, “cifs/$Server2”}
Get-ADComputer $Server1 | Set-ADAccountControl -TrustedForDelegation:$false -TrustedToAuthForDelegation:$true
}
}
}
#endregion

#region SOFS Bereich
$Servers = ““, ““, ““, “
$Servers | foreach-object {
$Server = $_

Write-Host “`t$SOFS” -foregroundcolor yellow
Get-ADComputer $SOFS | Set-ADObject -Add @{“msDS-AllowedToDelegateTo” = “cifs/$Server.$Domain”, “cifs/$Server”}
Get-ADComputer $SOFS | Set-ADAccountControl -TrustedForDelegation:$false -TrustedToAuthForDelegation:$true
}
#endregion

Jan Kappen
 

Jan Kappen ist ausgebildeter Fachinformatiker in der Richtung Systemintegration. Er hat seine Ausbildung im Sommer 2008 abgeschlossen und arbeitet seitdem bei der Rachfahl IT-Solutions GmbH & Co. KG. Jan Kappen ist unter anderen MCITP Server Administrator, Enterprise Administrator und Enterprise Messaging Administrator 2010 sowie MCTS für System Center Virtual Machine Manager 2008, Windows Server 2008 Active Directory, Windows Server Virtualization und Windows Server 2008 Network Infrastructure. Im April 2015 wurde Jan Kappen im Bereich "File System Storage" für seine Expertise und seine Community-Arbeit mit dem MVP Award von Microsoft ausgezeichnet.

Click Here to Leave a Comment Below 0 comments