Přejít k obsahu webu
22.7.2015 / kaldy123

Constrained delegation pro Hyper-V

Taxem kolegům vystřihnul live migraci běžícího virtuálu z hostitele na hostitele – a pak jsem to zkusil zpět, ale OUuupsss!!
constraineddelegation01No, babo raď! Baba nemusí, ono to je vlastně popsané v hlášce, ale abyste tomu rozuměli, je dobře znát background – pozadí celé události, např. popsané v blogu Matthijs ten Seldam-a (http://blogs.technet.com/b/matthts/archive/2012/06/10/configuring-kerberos-constrained-delegation-for-hyper-v-management.aspx)

Zde uvedu pouze krátkou kuchařku.
Přesun tam se podařil, protože jsem pracoval přihlášen na „zdrojové“ mašině, takže když zdrojová mašina chtěla kopírovat na cílovou mašinu, mohla, měla mé pověření.
Ale obráceně: pracoval jsem přes Hyper-V manager, kde jsem do snapiny natáhl dříve cílový, nyní ale zdrojový server. Vše jsem korektně zadal, „nová“ zdrojová mašina se pokusila zahájit proces virtuálu na novou „cílovou“ mašinu, ale ouha! Její credentials… Já na ní nebyl přihlášen, sorry. Takže, i když mé credentials znala (z minulého přenosu), nemohla je použít: já na ní přihlášen NEBYL!

Takže, to je první část hlášení: „Make sure the operation is initiated on the source host…“ – no to není, já pracoval na hostiteli cílovém!

Co s tím? No, to je druhá část hlášky: „…or the source host is configured to use Kerberos for the authentication of migration connections….“
Po krátké úvaze jsem nezaváhal:
constraineddelegation04to by bylo, a teď třetí část hlášky:
…or the source host is configured to use Kerberos Delegation is enabled for the host in Active Directory“ !!!

Takže:
constraineddelegation02
což už je skoro ono, ale já bych chtěl qůli security jenom nutné minimum servisů. Zde neporadila bába, ale výše citovaný Matthijs ten Seldam:
constraineddelegation03
(ADD – a vyberete nejdříve cílovou mašinu a na ní požadovaný servis, jeden po druhém!)

Teď už zbývá spustit live ¨migration znovu, a:
constraineddelegation05
Svět je krásný! – ale jsem v Košicích, je 18:46 a k tomu 32st. Celsia!

Reklamy

komentáře 3

Napsat komentář
  1. kaldy123 / říj 9 2018 09:24

    Pozor! tento postup funguje pouze na Windows Server 2012/2012R2. Na W2016 je „drobná změna“ – viz článek Virtual Machine Move on W2016 (na tomto blogu).

  2. kaldy123 / říj 9 2018 09:29

    Trochu nejasně je popsáno, pro který server musíme delegaci nakonfigurovat. V článku Virtual Machine Move on W2016 (na tomto blogu) popsáno detailněji. Zde stručně: MAN1 budiž stroj, ze kterého chceme spustit VM move z HOST1 na HOST2. V AD nastavíme tedy ve vlastnostech účtu stroje HOST1 delegaci pro servisy cifs a Microsoft Virtual System Migration Service na HOST2.

Trackbacks

  1. Virtual Machine Move on W2016 | kaldy123

Zanechat odpověď

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

Logo WordPress.com

Komentujete pomocí vašeho WordPress.com účtu. Odhlásit /  Změnit )

Google+ photo

Komentujete pomocí vašeho Google+ účtu. Odhlásit /  Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Odhlásit /  Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Odhlásit /  Změnit )

Připojování k %s

%d bloggers like this: