Hyper-V Constrained Delegation of Authority — или как подключить образы компакт-диска с другого сервера или разместить виртуальные диски на сетевом ресурсе


Я думаю, что многие из вас уже пробовали подключить к виртуальному компакт-диску ВМ образ в формате ISO, который лежит на неком файловом сервере. Или может вы пробовали подключить к виртуальный диск в формате VHD, находящийся на удаленном сервере, а не локальном диске? Ведь благодаря SMB 2.0 производительность сети в Windows Server 2008 значительно увеличилась — и особенно это заметно при доступе к крупным файлам. Так или иначе, вне зависимости от того, используете вы Hyper-V, Virtual Server 2005 или даже какое-то стороннее решение виртуализации (при условии, что оно запускается не как приложение пользователя, а как служба ОС), задачу подключения дисков к ВМ по сети вы сразу выполнить не сможете. Причина конечно же известна — службы работают в контексте учетной записи «Local System», которая не всегда имеет права доступа к сетевым ресурсам. В Базе знаний Microsoft есть несколько статьей, посвященных этой проблеме. Сегодня мы детально разберемся в нем, чтобы более вопросов не возникало. Я буду описывать подход для Windows Server 2008 и Hyper-V — но имейте в виду, что для Windows XP/2003/Vista и Virtual Server 2005 все делается аналогично. Причем оговорюсь сразу — я описываю только поддерживаемый Microsoft способ с использованием Constrained Delegation, а не манипуляции с выдачей прав на различные объекты учетным записям компьютеров.


Итак, формулировка проблемы следующая: я запускаю консоль Hyper-V Manager и в настройках ВМ подключаю образ компакт-диска, расположенный на сетевом ресурсе. Задать эту настройку и даже сохранить конфигурацию я могу без проблем, поскольку консоль запускается в контексте моей собственной учетной записи пользователя. Далее я пытаюсь включить виртуальную машину — и получаю ошибку. (То же произойдет, если я попытаюсь подключить диск к уже запущенной ВМ).



Чтобы решить такую проблему, следует выполнить несколько несложных шагов. Однако, вам потребуются некоторые права в домене. Откройте консоль «Active Directory Users and Computers» (Пользователи и компьютеры Active Directory), найдите учетную запись сервера с ролью Hyper-V, в его контекстном меню выберите «Properties» (Свойства) и откройте закладку «Delegation» (Делегирование).



Выберите пункт «Trust this computer for delegation to specified services only» (Этот компьютер доверенный для делегирования указанных служб) и «Use any authentication protocol» (Использовать любой протокол проверки подлинности). Затем нажмите «Add» (Добавить) и укажите службу, для которой вы разрешаете передавать ваши учетные данные.



Для этого сначала нажмите «Users or Computers» (Пользователи и компьютеры) и найдите (или выберите в списке) имена серверов, которым вы разрешаете передавать свои учетные данные (например, ваши файловые серверы).



А затем в качестве типа службы укажите CIFS — и дважды нажмите OK. Для того, чтобы информация об этих настройках в Active Directory дошла до самого сервера, потребуется несколько минут. После чего вы сможете подключать к виртуальным машинам образы компакт-дисков в формате ISO и виртукальные диски, хранящиеся на тех виртуальных серверах, для которых вы разрешили делегирование.

Comments (9)

  1. Alex A says:

    Три вопроса

    0) Перезагрука сервера (или по крайней мере сервиса VMMS) не помогает?

    1) Вы уверены, что этот же VHD сейчас никем не используется (другими ВМ)

    2) chkdsk диска делали?

    И что есть данный VHD скопировать рядом с оригинальным (даст ли скопировать, – если нет, то проблема в другом, и даст ли подключить копию).

  2. Alex A says:

    Не встречал такого.

    Внешне выглядит, как будто слетели NTFS права на файл с диском (его никто не коипровал туда-обратно?).

    Подробнее о том, какие должны быть права на диск (со скриншотом прав) есть в статье про SID виртуальной машины, от прошлой недели.

    Если у вас есть английский сервер (или консоль), сделайте скриншот. По русской искать в базе знаний невозможно.

  3. Alex A says:

    А вы не пробовали сделать то, что он предлагает в самом конце злобного скриншота?

    Просто отключить данный VHD из ВМ, закрыть окошко настройки ВМ, а затем заново подключить диск на то же место (IDE 0).

    Интересно, что на русском скриншоте такого совета нет.. Ф сад все русское связанное с серверами.

  4. drk says:

    Столкнылся с проблеммой авторизации, причем при запуске уже установленных вирт. машин (раньше они работали)

    http://dr2c.blogspot.com/2008/08/hyper-v.html

    Что это может быть?

  5. drk says:

    Вродес дисками порядок…

    Английский скрин- по предыдущей ссылке…

  6. drk says:

    Удалить- удалил, а присоединить не получилось!

  7. Eugene says:

    Подскажите как подключить ISO к виртуальной машине, которая находится на сервере SCVMM 08 в perimeter network (не входит в домен).

    При подключении выходит ошибка "Error (2941)

    VMM is unable to complete the request. The connection to the agent on machine elephant has been lost.

    (Unknown error (0x80072efe))

    Recommended Action

    Ensure that the WS-Management service and the agent are installed and running and that a firewall is not blocking HTTP traffic."

  8. peti says:

    Маленькое важное дополнение: при указании пути к лежащим на сетевых шарах vhd-файлам используем только формат \сервершарафайл. При использовании букв сетевых дисков будет все равно возникать ошибка

  9. Это и отражено на "потерявшихся" картинках.

Skip to main content