SCVMM のドメイン間信頼設定について

こんにちは、マイクロソフト　伊藤です。

今回は System Center Virtual Machine Manager 2008 / 2008 R2 (以下 SCVMM) が別ドメインの Hyper-V ホストを管理する際の注意事項について、ご紹介します。
基本的な説明は下記の公開情報をご参照ください。

ホスト クラスタを VMM に追加する方法
https://technet.microsoft.com/ja-jp/library/ee236431.aspx

VMM で管理されたバーチャル マシン ホストのセキュリティ強化
https://technet.microsoft.com/ja-jp/library/dd548285.aspx

公開情報の中では、別ドメインのホストを SCVMM が管理する場合には、2 つのドメイン間に "双方向信頼関係" が必要との記載があります。
ただし、ここで "外部信頼" を設定した場合にはエラー ID 2917 が発生し、ホストの追加処理が失敗します。

SCVMM 管理サーバーが Hyper-V ホストへアクセスする際には、WinRM コンポーネントが実際に通信を行います。
この通信を認証する場合には Kerberos 認証が必要となります。
しかし "外部信頼" を使用する場合のドメイン間認証は Kerberos 認証が実行出来ないため、代わりに NTLM 認証が実行されます。
その結果として WinRM コンポーネントの認証が失敗し、Hyper-V ホストの追加処理が失敗します。

なお、ホスト追加の際に明示的に NTLM 認証を使用して追加する事も可能です。
ただしその場合、追加されたホストはクラスターではなく、スタンド アローンのホストとして追加されるため、クラスタ環境を管理する場合には NTLM 認証は不向きです。

この問題を回避するためには、ドメイン間の信頼関係を "フォレスト間信頼" に設定する必要があります。
もし複数ドメインにまたがるホストを管理する場合には、設定にご注意ください。

(参考情報)
SCVMM: 信頼されている外部ドメインで SCVMM 2008 ホストを追加すると、エラー 2917 で失敗する
https://support.microsoft.com/kb/2002404/

SCVMM: Adding a SCVMM 2008 host in a external trusted domain fails with error 2917
https://support.microsoft.com/kb/2002404/en-us

Windows Server 2008 フェールオーバー クラスターのセキュリティ モデルの説明
https://support.microsoft.com/kb/947049/ja (機械翻訳)
https://support.microsoft.com/kb/947049/en (英語)