Konfigurowanie hostów do migracji na żywo bez klastra nadmiarowego

Migracja na żywo umożliwia przenoszenie uruchomionych maszyn wirtualnych między serwerami z minimalnym przestojem. W tym artykule przedstawiono sposób konfigurowania hostów nieklastrowanych na potrzeby migracji na żywo w funkcji Hyper-V, w tym opcji uwierzytelniania, konfiguracji sieci i najlepszych rozwiązań w zakresie zabezpieczeń. Wykonaj następujące kroki, jeśli nie skonfigurowaliśmy migracji na żywo podczas instalacji Hyper-V lub musisz zaktualizować ustawienia.

Wymagania dotyczące konfigurowania migracji na żywo

Aby skonfigurować hosty nieklastrowane na potrzeby migracji na żywo, potrzebne są następujące elementy:

• Członkostwo w lokalnej grupie administratorzy Hyper-V lub administratorzy na komputerach źródłowych i docelowych spełnia to wymaganie, chyba że konfigurujesz ograniczone delegowanie. Członkostwo w grupie Administratorzy domeny jest wymagane do skonfigurowania ograniczonego delegowania.

• Rola Hyper-V w systemie Windows Server zainstalowana na serwerach źródłowych i docelowych. Migrację na żywo można uruchomić między hostami z systemem Windows Server 2012 R2 i nowszym. Aby uzyskać instrukcje dotyczące instalacji, zobacz Instalowanie roli Hyper-V w systemie Windows Server.

• Komputery źródłowe i docelowe należące do tej samej domeny usługi Active Directory lub domeny, które ufają sobie nawzajem.

• Narzędzia do zarządzania Hyper-V zainstalowane na komputerze z systemem co najmniej Windows Server 2016 lub Windows 10, chyba że narzędzia są zainstalowane na serwerze źródłowym lub docelowym i uruchamiasz narzędzia z serwera.

Rozważ opcje uwierzytelniania i sieci

Zdecyduj, jak chcesz skonfigurować opcje uwierzytelniania, wydajności i sieci.

• Uwierzytelnianie: którego protokołu używasz do uwierzytelniania ruchu migracji na żywo między serwerem źródłowym i docelowym? Wybrany protokół określa, czy musisz zalogować się do serwera źródłowego przed rozpoczęciem migracji na żywo:

  • Protokół Kerberos pozwala uniknąć logowania się na serwerze, ale wymaga skonfigurowania ograniczonego delegowania. Aby uzyskać instrukcje, zapoznaj się z poniższymi szczegółami.

  • Dostawca CredSSP pozwala uniknąć konfigurowania ograniczonego delegowania, ale wymaga zalogowania się na serwerze źródłowym. Można to zrobić za pośrednictwem sesji konsoli lokalnej, sesji pulpitu zdalnego lub zdalnej sesji programu Windows PowerShell.

    Dostawca CredSSP wymaga zalogowania się w sytuacjach, które nie zawsze są oczywiste. Jeśli na przykład zalogujesz się do serwera TestServer01, aby przenieść maszynę wirtualną do serwera TestServer02, a następnie chcesz przenieść maszynę wirtualną z powrotem do serwera TestServer01, musisz zalogować się do serwera TestServer02 przed próbą przeniesienia maszyny wirtualnej z powrotem do serwera TestServer01. Jeśli tego nie zrobisz, próba uwierzytelnienia zakończy się niepowodzeniem, wystąpi błąd i zostanie wyświetlony następujący komunikat:

    "Operacja migracji maszyny wirtualnej nie powiodła się w źródle migracji. Nie można nawiązać połączenia z hostem nazwą komputera: brak dostępnych poświadczeń w pakiecie zabezpieczeń 0x8009030E.

• Wydajność: Czy należy skonfigurować opcje wydajności? Te opcje mogą zmniejszyć użycie sieci i procesora CPU oraz przyspieszyć migracje na żywo. Sprawdź wymagania i infrastrukturę, a następnie przetestuj różne konfiguracje, aby zdecydować. Opcje są opisane na końcu kroku 2.

• Preferencja sieci: Czy zezwalasz na ruch migracji na żywo za pośrednictwem dowolnej dostępnej sieci, czy też izolujesz ruch do określonych sieci? Najlepszym rozwiązaniem w zakresie zabezpieczeń jest odizolowanie ruchu do zaufanych sieci prywatnych, ponieważ ruch migracji na żywo nie jest szyfrowany podczas wysyłania przez sieć. Sieć można odizolować przy użyciu fizycznie izolowanej sieci lub innej zaufanej technologii sieciowej, takiej jak sieci VLAN.

Uaktualnianie do systemu Windows Server 2025

Począwszy od systemu Windows Server 2025, funkcja Credential Guard jest domyślnie włączona na wszystkich serwerach przyłączonych do domeny, które nie są kontrolerami domeny. W związku z tym nie można użyć migracji na żywo opartej na protokole CredSSP z Hyper-V po uaktualnieniu do systemu Windows Server 2025. Delegowanie oparte na protokole CredSSP jest ustawieniem domyślnym dla systemu Windows Server 2022 i starszych w przypadku migracji na żywo. Zamiast tego użyj ograniczonego delegowania protokołu Kerberos, zgodnie z opisem w poniższej sekcji. Aby uzyskać więcej informacji, zobacz Migracja na żywo z Hyper-V przerwami podczas uaktualniania do systemu Windows Server 2025.

Krok 1. Konfigurowanie ograniczonego delegowania (opcjonalnie)

Jeśli zdecydujesz się użyć protokołu Kerberos do uwierzytelniania ruchu migracji na żywo, skonfiguruj ograniczone delegowanie przy użyciu konta, które jest członkiem grupy Administratorzy domeny.

Użyj przystawki Użytkownicy i komputery, aby skonfigurować ograniczone delegowanie

1. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory. W Menedżerze serwera wybierz serwer, a następnie wybierz pozycję Narzędzia>Użytkownicy i komputery usługi Active Directory.

2. W okienku nawigacji w obszarze Użytkownicy i komputery usługi Active Directory wybierz domenę, a następnie kliknij dwukrotnie folder Komputery .

3. W folderze Komputery kliknij prawym przyciskiem myszy konto komputera serwera źródłowego, a następnie wybierz polecenie Właściwości.

4. W obszarze Właściwości wybierz kartę Delegowanie .

5. Na karcie Delegowanie wybierz pozycję Ufaj temu komputerowi w delegowaniu tylko do określonych usług, a następnie wybierz pozycję Użyj dowolnego protokołu uwierzytelniania.

6. Wybierz Dodaj.

7. W obszarze Dodawanie usług wybierz pozycję Użytkownicy lub komputery.

8. W obszarze Wybierz użytkowników lub komputery wpisz nazwę serwera docelowego. Wybierz pozycję Sprawdź nazwy , aby je zweryfikować, a następnie wybierz przycisk OK.

9. W obszarze Dodaj usługi na liście dostępnych usług wykonaj następujące czynności, a następnie wybierz przycisk OK:

   • Aby przenieść magazyn maszyn wirtualnych, wybierz cifs. Jest to wymagane, jeśli chcesz przenieść magazyn wraz z maszyną wirtualną, a jeśli chcesz przenieść tylko magazyn maszyny wirtualnej. Jeśli serwer jest skonfigurowany do używania magazynu SMB dla Hyper-V, powinno to być już wybrane.

   • Aby przenieść maszyny wirtualne, wybierz pozycję Microsoft Virtual System Migration Service.

10. Na karcie Delegowanie okna dialogowego Właściwości sprawdź, czy usługi wybrane w poprzednim kroku są wyświetlane jako usługi, do których komputer docelowy może prezentować delegowane poświadczenia. Kliknij przycisk OK.

11. W folderze Komputery wybierz konto komputera serwera docelowego i powtórz proces. W oknie dialogowym Wybieranie użytkowników lub komputerów upewnij się, że określono nazwę serwera źródłowego.

Zmiany konfiguracji zostaną zastosowane po:

• Zmiany są replikowane do kontrolerów domeny, do których są rejestrowane serwery z systemem Hyper-V.
• Kontroler domeny wystawia nowy bilet protokołu Kerberos.

Krok 2. Konfigurowanie komputerów źródłowych i docelowych na potrzeby migracji na żywo

Ten krok obejmuje opcje uwierzytelniania i sieci. Aby uzyskać lepsze zabezpieczenia, wybierz określone sieci dla ruchu migracji na żywo, zgodnie z wcześniejszym opisem. W tym kroku można również wybrać opcję wydajności.

Konfigurowanie komputerów źródłowych i docelowych na potrzeby migracji na żywo za pomocą programu Hyper-V Manager

1. Otwórz Hyper-V Manager. W Menedżerze serwera wybierz pozycję Narzędzia>Hyper-V Manager.

2. W okienku nawigacji wybierz serwer. Jeśli nie ma go na liście, kliknij prawym przyciskiem myszy pozycję menedżerHyper-V, wybierz pozycję Połącz z serwerem, wprowadź nazwę serwera i wybierz przycisk OK. Powtórz polecenie , aby dodać więcej serwerów.

3. W okienku Akcja wybierz pozycjęHyper-V Ustawienia>migracji na żywo.

4. W okienku Migracje na żywo wybierz pozycję Włącz przychodzące i wychodzące migracje na żywo.

5. W obszarze Jednoczesne migracje na żywo wprowadź inną liczbę, jeśli nie chcesz używać wartości domyślnej 2.

6. W obszarze Przychodzące migracje na żywo, jeśli chcesz użyć określonych połączeń sieciowych do akceptowania ruchu migracji na żywo, wybierz pozycję Dodaj , aby wpisać dodatek IP1. Aby ustawić opcje protokołu Kerberos i wydajności, rozwiń węzeł Migracje na żywo i wybierz pozycję Funkcje zaawansowane.

   • Jeśli skonfigurowano ograniczone delegowanie, w obszarze Protokół uwierzytelniania wybierz pozycję Kerberos.
   • W obszarze Opcje wydajności przejrzyj szczegóły i wybierz inną opcję, jeśli pasuje do twojego środowiska.ce opcje**, przejrzyj szczegóły i wybierz inną opcję, jeśli jest ona odpowiednia dla danego środowiska.

7. Kliknij przycisk OK.

8. Wybierz inny serwer w menedżerze Hyper-V i powtórz te kroki.

Konfigurowanie komputerów źródłowych i docelowych na potrzeby migracji na żywo przy użyciu programu Windows PowerShell

Za pomocą trzech poleceń cmdlet można skonfigurować migrację na żywo na hostach nieklastrowanych: Enable-VMMigration, Set-VMMigrationNetwork i Set-VMHost. W tym przykładzie użyto wszystkich trzech elementów do:

• Konfigurowanie migracji na żywo na hoście lokalnym
• Zezwalaj na ruch przychodzący migracji tylko w określonej sieci
• Wybieranie protokołu Kerberos jako protokołu uwierzytelniania

Każdy wiersz jest osobnym poleceniem.

PS C:\> Enable-VMMigration

PS C:\> Set-VMMigrationNetwork 192.168.10.1

PS C:\> Set-VMHost -VirtualMachineMigrationAuthenticationType Kerberos

Set-VMHost Umożliwia również wybranie opcji wydajności i innych ustawień hosta. Aby na przykład wybrać protokół SMB, ale zachować protokół uwierzytelniania ustawiony na wartość domyślną credSSP, wprowadź:

PS C:\> Set-VMHost -VirtualMachineMigrationPerformanceOption SMB

W tej tabeli opisano sposób działania opcji wydajności.

Dalsze kroki

Po skonfigurowaniu hostów możesz przystąpić do migracji na żywo. Aby uzyskać instrukcje, zobacz Użyj migracji na żywo bez klastrowania awaryjnego, aby przenieść maszynę wirtualną.