Beim Starten oder Livemigration virtueller Hyper-V-Computer tritt möglicherweise ein Fehler auf, 0x80070569

  • Artikel

Dieser Artikel enthält Problemumgehungen, um das Problem zu beheben, dass virtuelle Computer nicht gestartet werden können oder sie keine Livemigration für einen virtuellen Hyper-V-Computer in Windows Server durchführen können.

Gilt für: Windows Server 2016, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 2779204

Symptome

Virtuelle Computer, die auf Windows Server 2016 oder Windows Server 2012 R2 Hyper-V-Hosts ausgeführt werden, können möglicherweise nicht gestartet werden. Möglicherweise erhalten Sie eine Fehlermeldung, die der folgenden ähnelt:

Fehler 0x80070569 ("VM_NAME" konnte den Arbeitsprozess nicht starten: Anmeldefehler: Dem Benutzer wurde der angeforderte Anmeldetyp auf diesem Computer nicht gewährt.)

Wenn Sie eine Livemigration eines virtuellen Hyper-V-Computers durchführen, kann die Livemigration fehlschlagen. Möglicherweise erhalten Sie eine Fehlermeldung, die der folgenden ähnelt:

Fehler beim Erstellen eines geplanten virtuellen Computers am Migrationsziel: Anmeldefehler: Dem Benutzer wurde der angeforderte Anmeldetyp auf diesem Computer nicht gewährt. (0x80070569)

Wenn Sie außerdem einen Wiederherstellungsprüfpunkt erstellen und versuchen, ihn mithilfe der ConvertToReferencePoint -Methode in einen Verweispunkt zu konvertieren, kann die Konvertierung fehlschlagen. Möglicherweise erhalten Sie eine Fehlermeldung, die der folgenden ähnelt:

Fehler beim Schreiben der VHD-Anlage "VHDX_NAME" in "VM_NAME": Kontoeinschränkungen verhindern, dass sich dieser Benutzer anmeldet. Beispielsweise sind leere Kennwörter nicht zulässig, die Anmeldezeiten sind begrenzt, oder eine Richtlinieneinschränkung wurde erzwungen. (0x8007052f)

Hinweis

Das Problem kann vorübergehend beendet werden, wenn sich ein Administrator beim Hyper-V-Host anmeldet und den Befehl gpupdate /forceausführt.

Ursache

Dieses Problem tritt auf, weil der virtuelle NT-Computer\Virtual Machines spezielle Identität nicht über die Berechtigung Anmelden als Dienst auf dem Hyper-V-Hostcomputer verfügt.This issue because the NT Virtual Machine\Virtual Machines special identity doesn't have the Log on as a service right on the Hyper-V host computer. In der Regel ersetzt der Vm Management Service (VMMS) diese Benutzerberechtigung bei jeder Gruppenrichtlinie Aktualisierung, um sicherzustellen, dass sie immer vorhanden ist. Möglicherweise stellen Sie jedoch fest, dass die Gruppenrichtlinie Aktualisierung in bestimmten Situationen nicht ordnungsgemäß funktioniert.

Problemumgehung

Um dieses Problem zu umgehen, verwenden Sie die Ausgabe des gpresult Befehls, um das Gruppenrichtlinie Object (GPO) zu identifizieren, das Benutzerrechteeinstellungen ändert. Verwenden Sie dann eine der folgenden Methoden, um das Problem zu beheben:

Methode 1

Platzieren Sie das Computerkonto für den Hyper-V-Host in einer Organisationseinheit (OE), auf die keine Richtlinien angewendet wurden, die Benutzerrechte verwalten, und führen Sie dann den Befehl aus gpupdate /force , oder starten Sie den Computer neu. Es sollte die von der Richtlinie angewendeten Benutzerrechte entfernen und zulassen, dass die in der lokalen Sicherheitsrichtlinie definierten Benutzerrechte wirksam werden.

Methode 2

Führen Sie die folgenden Schritte auf dem Hyper-V-Hostcomputer aus:

  1. Melden Sie sich beim Computer als Domänenadministrator an.
  2. Installieren Sie das Feature Gruppenrichtlinie Verwaltung über die Server-Manager-Konsole.
  3. Öffnen Sie nach der Installation das GPMC-MMC-Snap-In, und navigieren Sie zu der Richtlinie, die Benutzerrechte verwaltet.
  4. Bearbeiten Sie die Richtlinie so, dass nt Virtual Machine\Virtual Machines in die Einträge für Log on as a service (Als Dienst anmelden) eingeschlossen wird.
  5. Schließen Sie den Richtlinien-Editor.
  6. Führen Sie gpupdate /force auf dem Hyper-V-Hostcomputer aus, um die Richtlinie zu aktualisieren. Möglicherweise müssen Sie einige Minuten warten, bis die Active Directory-Replikation erfolgt.

Methode 3

Führen Sie die folgenden Schritte auf einem Clientcomputer aus, auf dem Windows 8 ausgeführt wird, der das Hyper-V für Clients-Feature unterstützt:

  1. Melden Sie sich beim Computer als Domänenadministrator an.
  2. Installieren Sie das feature Hyper-V für Clients.
  3. Installieren Sie die Windows 8 Remoteserver-Verwaltungstools (RSAT).
  4. Öffnen Sie die Gruppenrichtlinie-Verwaltungskonsole, und navigieren Sie zu der Richtlinie, die Benutzerrechte verwaltet.
  5. Bearbeiten Sie die Richtlinie, um NT Virtual Machine\Virtual Machines in die Einträge für das Benutzerrecht Anmelden als Dienst einzuschließen.
  6. Schließen Sie den Richtlinien-Editor auf dem Client.
  7. Führen Sie gpupdate /force auf dem Hyper-V-Host aus, um die Richtlinie zu aktualisieren. Möglicherweise müssen Sie einige Minuten warten, bis die Active Directory-Replikation erfolgt.

Bewährte Methoden für Hyper-V-Hosts

Installieren Sie keine zusätzlichen Rollen oder Features, die die Virtualisierung auf Hyper-V-Servern nicht speziell unterstützen. In einem Hyper-V-Cluster werden beispielsweise die Hyper-V-Rolle und das Failoverclustering-Feature installiert, um hochverfügbare virtualisierte Workloads zu unterstützen. Hyper-V-Hosts spielen eine wichtige Rolle bei der Virtualisierungsstrategie einer Organisation. Wenn Hyper-V-Server in die Domäne eingebunden sind, empfiehlt es sich, sie in einer separaten Organisationseinheit in Active Directory zu verwalten. Auf diese Organisationseinheit sollten nur Gruppenrichtlinien angewendet werden, die speziell für Hyper-V-Hostcomputer gelten. Dadurch wird das Risiko eines Richtlinienkonflikts minimiert, der die ordnungsgemäße Funktion auf einem Hyper-V-Host beeinträchtigt.

Bewährte Methoden zur Verwaltung von Benutzerrechten, Dateisystemberechtigungen und Registrierungsberechtigungen über Gruppenrichtlinie

Sie können die folgenden Elemente über Gruppenrichtlinienobjekte verwalten:

  • Zuweisung von Benutzerrechten
  • Dateisystemberechtigungen
  • Registrierungsberechtigungen

Die in Gruppenrichtlinie verfügbare Verwaltungsschnittstelle überschreibt jedoch alle lokal auf dem Computer definierten Elemente. Sie sollten diese Funktionen immer mit Vorsicht verwenden. Stellen Sie sicher, dass die Gruppenrichtlinienobjekte, die diese Elemente festlegen, nur für die Computer gelten, die sie tatsächlich benötigen. Da diese Elemente nicht kumulativ sind, muss jedes Gruppenrichtlinienobjekt, das diese Elemente anwendet, alle Sicherheitsprinzipale oder Dienstkonten enthalten, die möglicherweise auf den Computern ausgeführt werden, auf denen die Gruppenrichtlinienobjekte angewendet werden.

Bewährte Methoden für die Standarddomänenrichtlinie

Die Standarddomänenrichtlinie wird programmgesteuert vom Betriebssystem verwendet. Es verwaltet kritische, domänenweite Richtlinien, die nur in diesem Richtlinienobjekt festgelegt werden können. Daher sollte die Standarddomänenrichtlinie nur bei Bedarf geändert werden. Um Gruppenrichtlinie Einstellungen für die gesamte Domäne zu verwalten, sollten Administratoren neue Richtlinienobjekte erstellen, die auf Domänenebene verknüpft sind. Richtlinien sollten nach Möglichkeit auf Organisationseinheitsebene und nicht auf Domänenebene angewendet werden. Daher werden Einstellungen nur auf die Benutzer und Computer angewendet, die sie benötigen.