Configurar hosts para migração dinâmica sem cluster de failover

A migração ao vivo permite mover máquinas virtuais em execução entre servidores com tempo de inatividade mínimo. Este artigo mostra como configurar hosts não clusterizados para migração dinâmica no Hyper-V, incluindo opções de autenticação, configuração de rede e práticas recomendadas de segurança. Use estas etapas se você não tiver configurado a migração dinâmica durante Hyper-V instalação ou precisar atualizar suas configurações.

Requisitos para configurar a migração dinâmica

Para configurar hosts não clusterizados para migração ao vivo, você precisa:

• A associação no grupo administradores de Hyper-V local ou no grupo Administradores nos computadores de origem e de destino atende a esse requisito, a menos que você esteja configurando a delegação restrita. A associação ao grupo Administradores de Domínio é necessária para configurar a delegação restrita.

• A função Hyper-V no Windows Server instalada nos servidores de origem e de destino. Você pode executar uma migração ao vivo entre hosts que executam o Windows Server 2012 R2 e posterior. Para obter instruções de instalação, consulte Instalar a função Hyper-V no Windows Server.

• Computadores de origem e de destino que pertencem ao mesmo domínio do Active Directory ou a domínios que confiam uns nos outros.

• As ferramentas de gerenciamento Hyper-V instaladas em um computador executando pelo menos o Windows Server 2016 ou Windows 10, a menos que as ferramentas estejam instaladas no servidor de origem ou de destino e você execute as ferramentas do servidor.

Considere as opções de autenticação e rede

Decida como você deseja configurar opções de autenticação, desempenho e rede.

• Autenticação: qual protocolo você usa para autenticar o tráfego de migração ao vivo entre o servidor de origem e de destino? O protocolo escolhido determina se você precisa entrar no servidor de origem antes de iniciar uma migração ao vivo:

  • O Kerberos permite que você evite entrar no servidor, mas exige que você configure a delegação restrita. Confira os detalhes a seguir para obter instruções.

  • O CredSSP permite evitar a configuração da delegação restrita, mas exige que você entre no servidor de origem. Você pode fazer isso por meio de uma sessão do console local, uma sessão da Área de Trabalho Remota ou uma sessão do Windows PowerShell remota.

    O CredSSP exige que você entre em situações que nem sempre são óbvias. Por exemplo, se você entrar no TestServer01 para mover uma máquina virtual para TestServer02 e, em seguida, quiser mover a máquina virtual de volta para TestServer01, precisará entrar no TestServer02 antes de tentar mover a máquina virtual de volta para TestServer01. Se você não fizer isso, a tentativa de autenticação falhará, ocorrerá um erro e você verá a seguinte mensagem:

    "A operação de migração de máquina virtual falhou na origem da migração. Falha em estabelecer uma conexão com o host nome do computador: nenhumas credenciais estão disponíveis no pacote de segurança 0x8009030E.

• Desempenho: Você deve configurar opções de desempenho? Essas opções podem reduzir o uso de rede e CPU e tornar as migrações dinâmicas mais rápidas. Verifique seus requisitos e infraestrutura e teste configurações diferentes para decidir. As opções estão descritas no final da etapa 2.

• Preferência de rede: você permite o tráfego de migração ao vivo por meio de qualquer rede disponível ou isola o tráfego para redes específicas? Como prática recomendada de segurança, isole o tráfego em redes privadas confiáveis porque o tráfego de migração ao vivo não é criptografado quando enviado pela rede. Você pode isolar a rede usando uma rede fisicamente isolada ou outra tecnologia de rede confiável, como VLANs.

Atualização para o Windows Server 2025

A partir do Windows Server 2025, o Credential Guard é habilitado por padrão em todos os servidores ingressados no domínio que não são controladores de domínio. Por isso, você não pode usar a migração dinâmica baseada em CredSSP com Hyper-V após a atualização para o Windows Server 2025. A delegação baseada em CredSSP é o padrão para Windows Server 2022 e versões anteriores para migração dinâmica. Em vez disso, use a delegação restrita kerberos, conforme descrito na seção a seguir. Para obter mais informações, consulte Migração ao vivo com interrupções do Hyper-V ao atualizar para o Windows Server 2025.

Etapa 1: Configurar a delegação restrita (opcional)

Se você decidir usar Kerberos para autenticar o tráfego de migração ao vivo, configure a delegação restrita usando uma conta que seja membro do grupo Administradores de Domínio.

Usar o snap-in Usuários e Computadores para configurar a delegação restrita

1. Abra o snap-in Usuários e Computadores do Active Directory. No Gerenciador do Servidor, selecione o servidor e selecione Ferramentas usuários>e computadores do Active Directory.

2. No painel de navegação em Usuários e Computadores do Active Directory, selecione o domínio e clique duas vezes na pasta Computadores .

3. Na pasta Computadores , clique com o botão direito do mouse na conta do computador do servidor de origem e selecione Propriedades.

4. Em Propriedades, selecione a guia Delegação .

5. Na guia Delegação , selecione Confiar neste computador somente para delegação aos serviços especificados e selecione Usar qualquer protocolo de autenticação.

6. Selecione Adicionar.

7. Em Adicionar Serviços, selecione Usuários ou Computadores.

8. Em Selecionar Usuários ou Computadores, digite o nome do servidor de destino. Selecione Verificar Nomes para verificar e selecione OK.

9. Em Adicionar Serviços, na lista de serviços disponíveis, faça o seguinte e selecione OK:

   • Para mover o armazenamento de máquinas virtuais, selecione cifs. Isso será necessário se você quiser mover o armazenamento junto com a máquina virtual e se quiser mover apenas o armazenamento de uma máquina virtual. Se o servidor estiver configurado para usar o armazenamento SMB para Hyper-V, isso já deve estar selecionado.

   • Para mover máquinas virtuais, selecione Serviço de Migração de Sistema Virtual da Microsoft.

10. Na guia Delegação da caixa de diálogo Propriedades, verifique se os serviços selecionados na etapa anterior estão listados como os serviços aos quais o computador de destino pode apresentar credenciais delegadas. Selecione OK.

11. Na pasta Computadores , selecione a conta de computador do servidor de destino e repita o processo. Na caixa de diálogo Selecionar Usuários ou Computadores , especifique o nome do servidor de origem.

As alterações de configuração entrarão em vigor após:

• As alterações são replicadas para os controladores de domínio nos quais os servidores que executam Hyper-V são conectados.
• O controlador de domínio emite um novo tíquete Kerberos.

Etapa 2: configurar os computadores de origem e de destino para migração dinâmica

Esta etapa aborda as opções de autenticação e rede. Para obter uma melhor segurança, selecione redes específicas para o tráfego de migração ao vivo, conforme discutido anteriormente. Você também escolhe uma opção de desempenho nesta etapa.

Usar o Gerenciador do Hyper-V para configurar os computadores de origem e de destino para migração dinâmica

1. Abra o Gerenciador do Hyper-V. No Gerenciador do Servidor, selecione Ferramentas>Hyper-V Manager.

2. No painel de navegação, selecione um servidor. Se ele não estiver listado, clique com o botão direito do mouse emHyper-V Manager, selecione Conectar ao Servidor, insira o nome do servidor e selecione OK. Repita para adicionar mais servidores.

3. No painel Ação , selecione Hyper-V Configurações de Migrações>Dinâmicas.

4. No painel Migrações Dinâmicas , selecione Habilitar migrações ao vivo de entrada e saída.

5. Em migrações dinâmicas simultâneas, insira um número diferente se você não quiser usar o padrão 2.

6. Em Migrações ao vivo de entrada, se você quiser usar conexões de rede específicas para aceitar o tráfego de migração ao vivo, selecione Adicionar para digitar o adidor de IP1. Para definir o Kerberos e as opções de desempenho, expanda Migrações Ao Vivo e selecione Recursos Avançados.

   • Se você configurar a delegação restrita, no protocolo autenticação, selecione Kerberos.
   • Em opções de desempenho, examine os detalhes e selecione uma opção diferente se ela se ajustar às opções environment.ce**, examine os detalhes e escolha uma opção diferente se for apropriada para seu ambiente.

7. Selecione OK.

8. Selecione o outro servidor no gerenciador de Hyper-V e repita estas etapas.

Usar o Windows PowerShell para configurar os computadores de origem e de destino para migração dinâmica

Você pode usar três cmdlets para configurar a migração dinâmica em hosts não clusterizados: Enable-VMMigration, Set-VMMigrationNetwork e Set-VMHost. Este exemplo usa os três para:

• Configurar a migração dinâmica no host local
• Permitir tráfego de migração de entrada somente em uma rede específica
• Escolha Kerberos como o protocolo de autenticação

Cada linha é um comando separado.

PS C:\> Enable-VMMigration

PS C:\> Set-VMMigrationNetwork 192.168.10.1

PS C:\> Set-VMHost -VirtualMachineMigrationAuthenticationType Kerberos

Set-VMHost também permite que você escolha uma opção de desempenho e outras configurações de host. Por exemplo, para escolher SMB, mas manter o protocolo de autenticação definido como o padrão do CredSSP, insira:

PS C:\> Set-VMHost -VirtualMachineMigrationPerformanceOption SMB

Esta tabela descreve como funcionam as opções de desempenho.

Próximas etapas

Depois de configurar os hosts, você estará pronto para fazer uma migração dinâmica. Para obter instruções, confira Usar a migração dinâmica sem Cluster de Failover para mover uma máquina virtual.