Uruchamianie lub migracja na żywo maszyn wirtualnych funkcji Hyper-V może zakończyć się niepowodzeniem z powodu błędu 0x80070569

  • Artykuł

Ten artykuł zawiera obejścia problemu, który nie może uruchomić maszyn wirtualnych lub nie można przeprowadzić migracji na żywo dla maszyny wirtualnej funkcji Hyper-V w systemie Windows Server.

Dotyczy: Windows Server 2016, Windows Server 2012 R2
Oryginalny numer KB: 2779204

Symptomy

Uruchamianie maszyn wirtualnych działających na hostach funkcji Hyper-V Windows Server 2016 lub Windows Server 2012 R2 może zakończyć się niepowodzeniem. Może zostać wyświetlony komunikat o błędzie podobny do następującego:

Błąd 0x80070569 (nie można uruchomić procesu roboczego "VM_NAME": Niepowodzenie logowania: użytkownikowi nie udzielono żądanego typu logowania na tym komputerze).

Migracja na żywo maszyny wirtualnej funkcji Hyper-V może zakończyć się niepowodzeniem. Może zostać wyświetlony komunikat o błędzie podobny do następującego:

Nie można utworzyć planowanej maszyny wirtualnej w miejscu docelowym migracji: Niepowodzenie logowania: użytkownikowi nie udzielono żądanego typu logowania na tym komputerze. (0x80070569)

Ponadto po utworzeniu punktu kontrolnego odzyskiwania i próbie przekonwertowania go na punkt odniesienia przy użyciu ConvertToReferencePoint metody konwersja może zakończyć się niepowodzeniem. Może zostać wyświetlony komunikat o błędzie podobny do następującego:

Nie można zapisać załącznika dysku VHD "VHDX_NAME" do "VM_NAME": ograniczenia konta uniemożliwiają temu użytkownikowi zalogowanie się. Na przykład puste hasła są niedozwolone, czasy logowania są ograniczone lub wymuszone zostało ograniczenie zasad. (0x8007052f)

Uwaga

Problem może zostać tymczasowo wstrzymany, jeśli administrator zaloguje się do hosta funkcji Hyper-V i uruchomi polecenie gpupdate /force.

Przyczyna

Ten problem występuje, ponieważ maszyna wirtualna NT\Virtual Machines tożsamość specjalna nie ma logowania jako usługi bezpośrednio na komputerze hosta funkcji Hyper-V. Zazwyczaj usługa zarządzania maszynami wirtualnymi (VMMS) zastępuje to uprawnienie użytkownika przy każdym odświeżaniu zasady grupy, aby upewnić się, że jest zawsze obecny. Można jednak zauważyć, że odświeżanie zasady grupy nie działa poprawnie w niektórych sytuacjach.

Obejście problemu

Aby obejść ten problem, użyj danych wyjściowych gpresult polecenia, aby zidentyfikować obiekt zasady grupy (GPO), który modyfikuje ustawienia praw użytkownika. Następnie użyj jednej z następujących metod, aby rozwiązać problem:

Metoda 1

Umieść konto komputera hosta funkcji Hyper-V w jednostce organizacyjnej, która nie ma żadnych zastosowanych zasad, które zarządzają prawami użytkownika, a następnie uruchom gpupdate /force polecenie lub uruchom ponownie komputer. Należy usunąć prawa użytkownika stosowane przez zasady i zezwolić na stosowanie praw użytkownika zdefiniowanych w lokalnych zasadach zabezpieczeń.

Metoda 2

Wykonaj następujące kroki na maszynie hosta funkcji Hyper-V:

  1. Zaloguj się do maszyny jako administrator domeny.
  2. Zainstaluj funkcję zarządzania zasady grupy z konsoli Menedżer serwera.
  3. Po instalacji otwórz przystawkę GPMC MMC i przejdź do zasad, które zarządzają prawami użytkownika.
  4. Edytuj zasady, aby uwzględnić nt virtual machine\Virtual Machines we wpisach logowania jako usługi.
  5. Zamknij edytor zasad.
  6. Uruchom polecenie gpupdate /force na komputerze hosta funkcji Hyper-V, aby odświeżyć zasady. Może być konieczne odczekanie kilku minut na wystąpienie replikacji usługi Active Directory.

Metoda 3

Wykonaj następujące kroki na komputerze klienckim z uruchomionym Windows 8, który obsługuje funkcję funkcja Hyper-V dla klienta:

  1. Zaloguj się do maszyny jako administrator domeny.
  2. Zainstaluj funkcję funkcja Hyper-V dla klienta.
  3. Zainstaluj narzędzia administracji zdalnej serwera Windows 8 (RSAT).
  4. Otwórz konsolę zarządzania zasady grupy i przejdź do zasad, które zarządzają prawami użytkownika.
  5. Edytuj zasady, aby uwzględnić Virtual Machines NT Virtual Machine\Virtual Machines we wpisach dotyczących praw użytkownika logowania jako usługi.
  6. Zamknij edytor zasad na kliencie.
  7. Uruchom polecenie gpupdate /force na hoście funkcji Hyper-V, aby odświeżyć zasady. Może być konieczne odczekanie kilku minut na wystąpienie replikacji usługi Active Directory.

Najlepsze rozwiązania dotyczące hostów funkcji Hyper-V

Nie instaluj żadnych dodatkowych ról ani funkcji, które nie obsługują wirtualizacji na serwerach funkcji Hyper-V. Na przykład w klastrze funkcji Hyper-V rola funkcji Hyper-V i funkcja klastra trybu failover są instalowane w celu obsługi obciążeń zwirtualizowanych o wysokiej dostępności. Hosty funkcji Hyper-V odgrywają kluczową rolę w strategii wirtualizacji organizacji. Jeśli serwery funkcji Hyper-V są przyłączone do domeny, zalecamy zarządzanie nimi w osobnej jednostce organizacyjnej w usłudze Active Directory. Do tej jednostki organizacyjnej powinny być stosowane tylko zasady grupy stosowane specjalnie do maszyn hostów funkcji Hyper-V. Minimalizuje to ryzyko konfliktu zasad wpływającego na prawidłowe działanie na hoście funkcji Hyper-V.

Najlepsze rozwiązania dotyczące zarządzania prawami użytkownika, uprawnieniami systemu plików i uprawnieniami rejestru za pośrednictwem zasady grupy

Następujące elementy można zarządzać za pośrednictwem obiektów zasad grupy:

  • Przypisania praw użytkownika
  • Uprawnienia systemu plików
  • Uprawnienia rejestru

Jednak interfejs zarządzania dostępny w zasady grupy zastąpi dowolny z tych elementów zdefiniowanych lokalnie na komputerze. Zawsze należy używać tych możliwości z ostrożnością. Upewnij się, że obiekty zasad grupy, które ustawiają te elementy, mają zastosowanie tylko do komputerów, które faktycznie ich potrzebują. Ponieważ te elementy nie są skumulowane, każdy obiekt zasad grupy, który stosuje te elementy, musi zawierać wszystkie jednostki zabezpieczeń lub konta usług, które mogą działać na komputerach, na których mają zastosowanie obiekty zasad grupy.

Najlepsze rozwiązania dotyczące domyślnych zasad domeny

Domyślne zasady domeny są używane programowo przez system operacyjny. Utrzymuje krytyczne zasady dla całej domeny, które można ustawić tylko w tym obiekcie zasad. Dlatego domyślne zasady domeny powinny być modyfikowane tylko wtedy, gdy jest to konieczne. Aby zarządzać ustawieniami zasady grupy dla całej domeny, administratorzy powinni tworzyć nowe obiekty zasad połączone na poziomie domeny. Jeśli to możliwe, zasady powinny być stosowane na poziomie jednostki organizacyjnej, a nie na poziomie domeny. Dlatego ustawienia są stosowane tylko do użytkowników i komputerów, które ich wymagają.