Hyper-V VM移动失败,并出现0x8009030D错误(无法识别凭据)


问题

在从单独的管理服务器运行Hyper-V管理工具时,尝试将虚拟机从一台Hyper-V 2016主机移动到另一台主机。开始移动操作后不久显示以下错误:

kvm无法验证证书 vvm无法验证_无法识别

移动操作期间发生错误。
虚拟机迁移在迁移源处操作失败。
无法与主机“ DESTINATION-SERVER”建立连接:无法识别提供给软件包的凭据(0x8009030D)。
虚拟机管理服务无法验证源主机上虚拟机迁移的连接:没有合适的凭据。确保在迁移的源主机上启动了操作,或者确保源主机配置为使用Kerberos进行迁移连接的身份验证,并且在Active Directory中为主机启用了约束委派。

解析度

如上面的错误消息所示,有两种方法可以解决此问题。

选项1-在源服务器上启动移动操作(推荐)

显然,如果源服务器未安装管理工具,则这不是选项。

免费版Hyper-V Server 下可以在命令窗口输入powershell,在PS提示符下输入:

Move-VM vm12r2 win2019c -IncludeStorage -DestinationStoragePath c:\

命令进行迁移

kvm无法验证证书 vvm无法验证_无法识别_02

kvm无法验证证书 vvm无法验证_管理工具_03

kvm无法验证证书 vvm无法验证_身份验证_04

选项2-启用Kerberos身份验证并配置约束委派

为了能够从远程管理机(在同一域内)启动移动操作,请执行以下步骤:

  • 为实时迁移启用Kerberos身份验证(对于两个Hyper-V主机)
  • 转到“ Hyper-V设置 >“ 实时迁移 >“ 高级功能然后在“ 身份验证协议下选择“ 使用Kerberos ”
  • 配置约束委派(对于两个Hyper-V主机)
  • 打开“ Active Directory用户和计算机,找到您的Hyper-V主机计算机帐户,打开“ 属性对话框,然后导航到“ 委派选项卡
  • 选择“ 信任此计算机仅委派给指定的服务然后使用任何身份验证协议
  • 单击“ 添加,选择另一台Hyper-V主机的计算机帐户,然后添加  CIF(迁移存储所需)和Microsoft虚拟系统迁移服务(迁移虚拟机所需)。
  • 更改生效(AD复制和Kerberos票证的重新发行)可能需要一点时间。登录并重新登录可能有助于Kerberos票证...