none
Невозможно удаленно подключиться через vmconnect к виртуальной машине на Hyper-V RRS feed

  • Вопрос

  • Дано:

    • Домен win2003
    • Два сервера Win2008 Core c Hyper-V
    • Один сервер Win2008 c Hyper-V
    • Рабочая станция с Vista SP1

    На сервера поставлены апдейты: KB938464, KB949189, KB950050, KB950974, KB951978, KB952287, KB953733, KB954459, KB955069, KB955302, KB955839, KB956589, KB956697, KB956774, KB956802, KB956841, KB957097, KB957200, KB957321, KB957388, KB958623, KB958644, KB958687, KB958690, KB960225, KB967902

    На висту поставлен KB952627 (Hyper-V Remote Management Tools).
    На серверах по две ссетевушки, одна из них - для управления, другая - только для виртуальных машин. Сервера управляются SCVMM 2008. На серверах запущен скрипт HVRemote, с помощью которого предоставлен удаленный доступ к Hyper-V доменной группе пользователей. При этом удаленное управление виртуальными машинами (пуск, остановка, изменение свойств) происходит нормально. Не получается:

    • Удаленно подключится (здесь и далее имеется в виду - через vmconnect) с висты на любой сервер под учетной записью, входящей в группу, которой было дано разрешение через HVRemote
    • Удаленно подключится с сервера Win2008 на любой другой сервер под учетной записью администратора домена
    • Удаленно подключиться с висты на любой сервер при помощи удаленного управления, встроенного в консоль SCVMM 2008.

    При любой попытке подключения возникает ошибка "Недопустимые учетные данные. Учетные данные, использованные для подключения к <сервер> недопустимы, введите новые учетные данные". После ввода учетных данных появляется ошибка "Не удается связаться с центром проверки подлинности".

    Что делать, уважаемы гуру? Все статьи Джона Ховарда по поводу организации удаленного подключения читал. Подсознательно подозреваю Kerberos :)

    26 марта 2009 г. 7:28

Ответы

  • Проблема решена, спасибо всем за участие!. Ничего, что так поздно? :)

    Необходимо было поставить вот этот фикс http://support.microsoft.com//kb/939820 на контроллеры домена. Мы действительно когда-то давно выполняли восстановление AD из резервной копии, что и повлияло на работоспособность KDC.
    • Помечено в качестве ответа Andrew Mashin 29 июля 2009 г. 11:22
    29 июля 2009 г. 11:21

Все ответы

  • Два сервера Win2008 Core c Hyper-V
  • Один сервер Win2008 c Hyper-V
  • Эти сервера в домен добавлены?
    Административные роли SCVMM настроены?

    <На серверах запущен скрипт HVRemote, с помощью которого предоставлен удаленный доступ к Hyper-V доменной группе пользователей
    эта группа пользователей на серверах в локальные админы входит или нет?

    скрипт HVRemote не предоставляет пользователям досткп на управление ВМ. он предназначен для настройки системы безопасности DCOM и настройки правил firewall. Если все ПК(серверы hyper-v, серверы и висты для управления) находятся в домене, то HVRemote не нужен.
    Делегирование управления Hyper-V без предоставления алминских прав на сервер можно сделать или через административные роли scvmm? либо через AzMan(http://blogs.technet.com/vm/archive/tags/Authorization+manager/default.aspx)

26 марта 2009 г. 8:24
Отвечающий
  • Спасибо за быстрый ответ :)

    Сервера и рабочие станции все в домене, административные роли настроены (доменная группа администраторов добавлена в роль Administrator User Role в CSVMM). Группа администраторов не входит в группу локальных администраторов на серверах, именно поэтому и запускался HVRemote для того, чтобы добавить эту группу в Hyper-V AzMan и предоставить необходимые разрешения на DCOM.
    Впрочем из под учетной записи администратора домена (который, является и локальным администратором на серверах) тоже подключится не получается. Забыл написать, что файрвол на серверах и на висте отключен.

    Небольшой апдейт: Если поставить консоль SCVMM на сервер win2003 в том же домене, то из-под администратора домена подключение к виртуалкам работает нормально. Не работает, значит, только с win2008, vista. Может быть, какие-то настройки безопасности, появившиеся в висте тому виной?
    26 марта 2009 г. 8:47
  •  HVRemote AzMan не редактирует. 
    Он позволяет в смешанном окружении(рабочие группы и домен) донести до внутренностей Hyper-V server учетку и пароль, передаваемые по сети.
    Когда все железки в одном домене - все должно работать с полпинка.
    Тем более странно, что не работает управление под доменным админом...
    При наличии технической возможности создайте новый отдельный домен в составе контроллера, сервера hyper-v, Vista sp1 и проверьте необходимые варианты подключений и делегирования. Затем сравните дефолтные настройки безопасности с теми, что в Вашем боевом окружении.
    26 марта 2009 г. 14:14
    Отвечающий
  • HVRemote AzMan редактирует. Там для этого есть функция AddRemoveAuthorizationStore. Кроме настройки разрешений Hyper-V в окружении c рабочими группами, он нужен для настройки разрешений для учетных записей, не входящих в группу локальных администраторов на сервере Hyper-V.

    К сожалению, сервера в другой домен перевести не получится, там многие виртуалки уже в production :)
    Может быть, есть где-то документ, описывающий как технически работает удаленное подключение через vmconnect? Что, кроме открытого порта 2179 ей нужно?
    И еще странную фишку обнаружил - из win2003 утилитка VirtualMachineViewer.exe (из CSVMM) подключается только к тем виртуалкам, где установлены Integration Components. Это так задумано что ли?

    В основном с вами согласен - ситуация с удаленным подключением выглядит очень странно :)
    26 марта 2009 г. 14:45
  •  vmconnect от Hyper-V mmc(C:\Program Files\Hyper-V\vmconnect.exe) не использует 2179. Он работает по RPC? т.е. TCP135+динамические порты в районе 49xxx
    по 2179 работает viewer от консоли scvmm (C:\Program Files\Microsoft System Center Virtual Machine Manager 2008\bin\VirtualMachineViewer.exe)

    Пост о работе VMconnect и зависимости от Integration components - How Virtual Machine Manager Administrator Console uses VirtualMachineViewer.exe (http://blogs.technet.com/m2/archive/2008/06/02/how-virtual-machine-manager-administrator-console-uses-virtualmachineviewer-exe.aspx)
    Обсуждение на форуме напохожую тему http://social.technet.microsoft.com/Forums/en-US/virtualmachingmgrhyperv/thread/7bd651a6-8c87-4034-b152-1def09d5c5dd/
    Там обсуждается еще и необходимость TCP3389
    По тестовой среде:
    Контроллер, висту и 2008 не hyper-v сервер можно и виртуальными сделать на текущем сервере.
    для самого теста досточно найти во временное пользование что-то типа Core2Duo+1Gb Ram+правильный BIOS. Этого хватит чтобы запустить 1-2 виртуальные windows XP/2003 и потестить все коннекты.
    26 марта 2009 г. 17:33
    Отвечающий
  • начитавшись  http://blogs.technet.com/m2 с удивлением для себя обнаружил следующий факт:
    при установке агента scvmm он заменяет стандартный файл C:\ProgramData\Microsoft\Windows\Hyper-V\InitialStore.xml на C:\ProgramData\Microsoft\Virtual Machine Manager\HyperVAuthStore.xml
    Добавление в роль Administrator в файле C:\ProgramData\Microsoft\Virtual Machine Manager\HyperVAuthStore.xml  позволяет получить доступ на управление через Hyper-V administrator MMC консоль.
    Соответсвенно редактирование нужно делать именно для этого хранилища.
    Добавление в роль Administrator в файле C:\ProgramData\Microsoft\Virtual Machine Manager\HyperVAuthStore.xml  позволяет получить доступ на управление через Hyper-V administrator MMC консоль.

    HVRemote(в марте обновился до версии 0.6) обнаруживает наличие агента SCVMM и отказывается продолжать работу:

    cscript hvremote.wsf /add:<domain>\<user>
    Quitting - This server appears to be managed by System Center
                Virtual Machine Manager

    31 марта 2009 г. 11:40
    Отвечающий
  • Дело в том, что с hvremote я попытался схитрить - закомментировал блок проверки на наличие агента SCVMM. :) И этот пост я прочитал http://blogs.technet.com/m2/archive/2009/01/12/azman-permissions-for-vmm-managed-hyper-v-hosts.aspx. Я пробовал подключаться с виртуалкам на хосте, когда на нем еще не было агента SCVMM. А сейчас в файлах HyperVAuthStore.xml на серверах все окей, все разрешения нужной группе проставлены. Сдается мне, что у меня какие-то проблемы с инфратруктурой kerberos-ssl. Узнать бы как траблшутить этот vmconnection... Пытаюсь использовать Network Monitor, но это долго и муторно :) 

    upd: если на управляемом хосте создать локальную учетную запись с правами локального администратора, то под ней удаленно подключиться к виртуалкам получается. Но это все-таки обходное решение :) 
    31 марта 2009 г. 12:39
  • Проблема решена, спасибо всем за участие!. Ничего, что так поздно? :)

    Необходимо было поставить вот этот фикс http://support.microsoft.com//kb/939820 на контроллеры домена. Мы действительно когда-то давно выполняли восстановление AD из резервной копии, что и повлияло на работоспособность KDC.
    • Помечено в качестве ответа Andrew Mashin 29 июля 2009 г. 11:22
    29 июля 2009 г. 11:21