none
Проблема миграции и передачи учетных данных Kerberos на некоторых серверах RRS feed

  • Вопрос

  • Добрый день!

    Имеем 5 Hyper-V хостов с 2012 R2 (без кластера), для которых настроено ограниченное делегирование Kerberos в AD. 

    Сценарий использования следующий: есть рабочее место администратора с Windows 10 LTSB, на котором от имени доменного администратора запущена консоль Hyper-V, куда добавлены все хосты. Администратор запускает процесс миграции с этого рабочего места.

    Ввели в эксплуатацию 2 новых хоста с Windows 2016. Аналогично настроили делегирование Kerberos для новых хостов и старых.

    Между старыми хостами миграция ВМ с хранилищем работает корректно, как работающих ВМ, так и остановленных.
    Со старых хостов на новые миграция работает тоже корректно.
    А вот с новых хостов на старые или между друг другом миграция завершается с ошибкой "Не удалось установить соединение с узлом : В пакете безопасности отсутствуют учетные данные (0x8009030E)"
    При этом если зайти на один из новых хостов и запустить миграцию на другой новый хост, все проходит корректно.
    Также пробовали другой учетной записи дать права администратора Hyper-V на целевом сервере и права на удаленное управление. Миграция также завершается с ошибкой 0x8009030E

    Итого: Динамическая миграция везде включена, протокол с свойствах Hyper-V везде стоит Kerberos, ограниченное делегирование для всех хостов настроено.

    Куда вообще можно покопать?


    • Изменено MorgenRu 24 апреля 2019 г. 10:36
    24 апреля 2019 г. 10:36

Ответы

Все ответы

  • Симптом похож как раз на то, что делегирование выполнить не удалось. Поэтому копать надо как раз в сторону настройки Kerberos Constraint Delegation с новых хостов.

    И чтобы копать, имеет смысл включить на хостах логирование Kerberos - https://support.microsoft.com/ru-ru/help/262177/how-to-enable-kerberos-event-logging и смотреть после этого логи на исходном хосте, целевом хосте и контроллере(ах) домена.


    Слава России!

    24 апреля 2019 г. 11:03
  • Симптом похож как раз на то, что делегирование выполнить не удалось. Поэтому копать надо как раз в сторону настройки Kerberos Constraint Delegation с новых хостов.

    И чтобы копать, имеет смысл включить на хостах логирование Kerberos - https://support.microsoft.com/ru-ru/help/262177/how-to-enable-kerberos-event-logging и смотреть после этого логи на исходном хосте, целевом хосте и контроллере(ах) домена.


    Слава России!

    Действительно. Обнаружилась проблема следующего плана. При попытке мигрировать машину с нового хоста у него в логах появляется ошибка Kerberos:

    Получено сообщение об ошибке Kerberos:
     в сеансе входа в систему 
     Время клиента: 
     Время сервера: 12:43:20.0000 4/24/2019 Z
     Код ошибки: 0xd KDC_ERR_BADOPTION
     Расширенная ошибка: 0xc0000272 KLIN(0)
     Область клиента: 
     Имя клиента: 
     Область сервера: M-OIL.LOCAL
     Имя сервера: Microsoft Virtual System Migration Service/COF-HOST-4
     Имя целевого объекта: Microsoft Virtual System Migration Service/COF-HOST-4@M-OIL.LOCAL
     Текст ошибки: 
     Файл: 9
     Строка: 1289
     Данные ошибки в данных записи.

    Беглый гуглинг пока не дал наводки на то, в чем конкретно может быть проблема. В статьевыше указано, что это стандартная ошибка. Но в нашем случае, полагаю, именно она свидетельствует о наличии проблемы.

    "KDC_ERR_S_BADOPTION is used by the Kerberos client to retrieve tickets with particular options set, e.g. with certain delegation flags.

    1. When the requested type of delegation is not possible, this is the error that is returned.
      The Kerberos client would then try to get the requested tickets using other flags which may succeed.

      Recommendation: Unless you are trouble-shooting a delegation problem, ignore this error."

    Снял дамп через MS Message Analyzer, но он не особо помогает. Видно, что машина обращается к KDC, KDC отвечает.

    26 апреля 2019 г. 6:20
  • Делегирование на новых узлах для служб cifs и Microsoft Virtual System Migration Service для старых серверов настроено? Покажите настройки делегирования на старом и новом сервере.
    26 апреля 2019 г. 7:08
    Модератор
  • Делегирование на новых узлах для служб cifs и Microsoft Virtual System Migration Service для старых серверов настроено? Покажите настройки делегирования на старом и новом сервере.

    Взаимное делегирование для cof-host-3 и cof-host-4 настроено, в диспетчере Hyper-V обоих серверов включена динамическая миграция и выбран Kerberos


    26 апреля 2019 г. 8:13
  • 1. Проверьте время на проблемных серверах; 2. Попробуйте сменить доверие делегирование с "только Kerberos" на "любой протокол проверки"; 3. Посредством setspn и ldifde проверьте корректность SPN у новых узлов.
    26 апреля 2019 г. 8:42
    Модератор
  • 1. Проверьте время на проблемных серверах; 2. Попробуйте сменить доверие делегирование с "только Kerberos" на "любой протокол проверки"; 3. Посредством setspn и ldifde проверьте корректность SPN у новых узлов.

    1. Время проверяли, все корректно.

    2. Попробовал. Очистил билеты на всех участвующих компьютерах. Ситуация та же.

    3. Прилагаю вывод setspn для обеих хостовых машин:

    WSMAN/cof-host-3
    WSMAN/cof-host-3.m-oil.local
    CmRcService/COF-HOST-3
    CmRcService/cof-host-3.m-oil.local
    Microsoft Virtual Console Service/COF-HOST-3
    Microsoft Virtual Console Service/cof-host-3.m-oil.local
    Microsoft Virtual System Migration Service/cof-host-3.m-oil.local
    Microsoft Virtual System Migration Service/COF-HOST-3
    Hyper-V Replica Service/cof-host-3.m-oil.local
    Hyper-V Replica Service/COF-HOST-3
    TERMSRV/COF-HOST-3
    TERMSRV/cof-host-3.m-oil.local
    RestrictedKrbHost/COF-HOST-3
    HOST/COF-HOST-3
    RestrictedKrbHost/cof-host-3.m-oil.local
    HOST/cof-host-3.m-oil.local

    WSMAN/cof-host-4
    WSMAN/cof-host-4.m-oil.local
    Hyper-V Replica Service/COF-HOST-4
    Hyper-V Replica Service/cof-host-4.m-oil.local
    Microsoft Virtual System Migration Service/COF-HOST-4
    Microsoft Virtual System Migration Service/cof-host-4.m-oil.local
    Microsoft Virtual Console Service/COF-HOST-4
    Microsoft Virtual Console Service/cof-host-4.m-oil.local
    CmRcService/cof-host-4.m-oil.local
    CmRcService/COF-HOST-4
    TERMSRV/cof-host-4.m-oil.local
    TERMSRV/COF-HOST-4
    RestrictedKrbHost/COF-HOST-4
    HOST/COF-HOST-4
    RestrictedKrbHost/cof-host-4.m-oil.local
    HOST/cof-host-4.m-oil.local

    Честно говоря, не вижу ничего аномального.

    26 апреля 2019 г. 10:19
  • В Windows Server 2016 Hyper-V модель удалённого управления перешла от WMI-over-DCOM к WMI-over-WinRM. Поэтому нужно использовать вариант с "любой протокол" с перезагрузкой хостов.

    Есть, конечно, вариант с установкой запуска WinRM от Local System -)

    • Изменено Denis DyagilevEditor 26 апреля 2019 г. 11:06
    • Помечено в качестве ответа MorgenRu 29 апреля 2019 г. 11:19
    26 апреля 2019 г. 11:05
    Модератор
  • В Windows Server 2016 Hyper-V модель удалённого управления перешла от WMI-over-DCOM к WMI-over-WinRM. Поэтому нужно использовать вариант с "любой протокол" с перезагрузкой хостов.

    Есть, конечно, вариант с установкой запуска WinRM от Local System -)

    После изменения на любой протокол и перезагрузки хостовых машин вроде все пошло. Потестируем еще и отпишу о результатах!
    26 апреля 2019 г. 11:23
  • Помигрировал еще машины - все ок. Спасибо за помощь!
    29 апреля 2019 г. 11:19