Kerberos Delegierung zur Hyper-V Livemigration mit Windows Server 2016
Wer mehrere Hyper-V Hosts einsetzt, ohne diese zu einem Failover Cluster zu konfigurieren, kommt bei der Livemigration von einer oder mehreren VMs teilweise in Situationen, bei denen die Livemigration nicht gestartet werden kann und mit einem Fehler 0x8009030D abbricht. Die Fehlermeldung zeigt dann fehlende Anmeldeinformationen und zeigt zusätzlich noch auf, welche Schritte unternommen werden müssen, damit dies nicht mehr passiert.
Fehler beim Herstellen einer Verbindung mit dem Host “HYPERV3”: Die Anmeldeinformationen, die dem Paket übergeben wurden, wurden nicht erkannt. (0x8009030D).
Als Screenshot sieht die Fehlermeldung wie folgt aus:
Die Lösung für dieses Problem habe ich bereits mehrfach hier im Blog beschrieben, mit Windows Server 2016 ändert sich allerdings eine Kleinigkeit bei der Konfiguration. Der Vollständigkeit halber hier die Links zu den beiden Artikeln:
Mit dem Windows Server 2016 gibt es eine kleine Änderung, bei der Konfiguration muss statt Kerberos nun die Option "use any authentication protocol" gesetzt werden. Microsoft hat dies auch selbst in dem folgenden Beitrag beschrieben:
Ich habe das Skript aus dem Beitrag für den Server 2012 R2 mal erweitert und um eine Zeile erweitert, um diese Option automatisch zu setzen.
#region Beschreibung und Kommentare
# Setze Berechtigung Delegierung für die Hyper-V Server
# written by Karl-Heinz Lambers and Jan Kappen
# www.hyper-v-server.de – j.kappen@rachfahl.de
# Version 0.2 – 16.05.2017
#endregion#region Name von SOFS und Domain
$SOFS = „„
$Domain = „contoso.local“
#endregion#region Import der benötigten Module
Import-Module ActiveDirectory
#endregion#region Hyper-V Bereich
$Servers = „„, „ „, „ „, „ „
$Servers | foreach-object {
$Server1 = $_
Write-Host $Server1 -foregroundcolor green$Servers | foreach-object {
$Server2 = $_if ($Server1 -ne $Server2) {
Write-Host „`t$Server2“ -foregroundcolor yellow
Get-ADComputer $Server1 | Set-ADObject -Add @{„msDS-AllowedToDelegateTo“ = „Microsoft Virtual System Migration Service/$Server2.$Domain“, „cifs/$Server2.$Domain“, „Microsoft Virtual System Migration Service/$Server2“, „cifs/$Server2“}
Get-ADComputer $Server1 | Set-ADAccountControl -TrustedForDelegation:$false -TrustedToAuthForDelegation:$true
}
}
}
#endregion#region SOFS Bereich
$Servers = „„, „ „, „ „, „ „
$Servers | foreach-object {
$Server = $_Write-Host „`t$SOFS“ -foregroundcolor yellow
Get-ADComputer $SOFS | Set-ADObject -Add @{„msDS-AllowedToDelegateTo“ = „cifs/$Server.$Domain“, „cifs/$Server“}
Get-ADComputer $SOFS | Set-ADAccountControl -TrustedForDelegation:$false -TrustedToAuthForDelegation:$true
}
#endregion
