启动或实时迁移 Hyper-V 虚拟机可能会失败并出现错误0x80070569

  • 项目

本文提供了解决虚拟机无法启动或无法在 Windows Server 中为 Hyper-V 虚拟机执行实时迁移的问题的解决方法。

适用于:Windows Server 2016、Windows Server 2012 R2
原始 KB 编号: 2779204

症状

在 Windows Server 2016 或 Windows Server 2012 R2 Hyper-V 主机上运行的虚拟机可能无法启动。 你可能会收到类似于以下内容的错误消息:

错误0x80070569 (“VM_NAME”无法启动工作进程:登录失败:未在此计算机上向用户授予请求的登录类型。)

执行 Hyper-V 虚拟机的实时迁移时,实时迁移可能会失败。 你可能会收到类似于以下内容的错误消息:

未能在迁移目标创建计划内虚拟机:登录失败:未在此计算机上向用户授予请求的登录类型。 (0x80070569)

此外,执行恢复检查点并尝试使用 ConvertToReferencePoint 方法将其转换为引用点时,转换可能会失败。 你可能会收到类似于以下内容的错误消息:

未能将 VHD 附件“VHDX_NAME”写入“VM_NAME”:帐户限制阻止此用户登录。 例如,不允许使用空白密码、登录时间有限或已强制实施策略限制。 (0x8007052f)

注意

如果管理员登录到 Hyper-V 主机并运行 命令 gpupdate /force,则此问题可能会暂时停止。

原因

出现此问题是因为 NT 虚拟机\虚拟机特殊标识在 Hyper-V 主计算机上没有“登录即服务”权限。 通常,虚拟机管理服务 (VMMS) 会在每次刷新组策略替换此用户权限,以确保它始终存在。 但是,你可能会注意到,在某些情况下,组策略刷新无法正常工作。

解决方法

若要解决此问题,请使用 命令的gpresult输出标识修改用户权限设置的 组策略 对象 (GPO) 。 然后,使用以下方法之一来更正问题:

方法 1

将 Hyper-V 主机的计算机帐户放在组织单位 (OU) 中,该单位未应用任何策略(用于管理用户权限),然后运行 gpupdate /force 命令或重新启动计算机。 它应删除策略应用的用户权限,并允许本地安全策略中定义的用户权限生效。

方法 2

在 Hyper-V 主机计算机上执行以下步骤:

  1. 以域管理员身份登录到计算机。
  2. 从服务器管理器控制台安装组策略管理功能。
  3. 安装后,打开 GPMC MMC 管理单元并浏览到管理用户权限的策略。
  4. 编辑策略以将 NT 虚拟机\虚拟机包含在“作为服务登录”的条目中。
  5. 关闭策略编辑器。
  6. 在 Hyper-V 主计算机上运行 gpupdate /force 以刷新策略。 可能需要等待几分钟才能进行 Active Directory 复制。

方法 3

在运行支持客户端 Hyper-V功能的Windows 8的客户端计算机上执行以下步骤:

  1. 以域管理员身份登录到计算机。
  2. 安装客户端 Hyper-V功能。
  3. (RSAT) 安装Windows 8远程服务器管理工具。
  4. 打开组策略管理控制台并浏览到管理用户权限的策略。
  5. 编辑策略以在“以服务身份登录”用户权限的条目中包含 NT 虚拟机\虚拟机。
  6. 关闭客户端上的策略编辑器。
  7. 在 Hyper-V 主机上运行 gpupdate /force 以刷新策略。 可能需要等待几分钟才能进行 Active Directory 复制。

有关 Hyper-V 主机的最佳做法

不要在 Hyper-V 服务器上安装任何不专门支持虚拟化的额外角色或功能。 例如,在 Hyper-V 群集中,将安装 Hyper-V 角色和故障转移群集功能来支持高度可用的虚拟化工作负载。 Hyper-V 主机在组织的虚拟化策略中起着关键作用。 如果 Hyper-V 服务器已加入域,建议在 Active Directory 中的单独 OU 中管理它们。 仅应将专门应用于 Hyper-V 主机的组策略应用于此 OU。 这样做可以最大程度地降低策略冲突影响 Hyper-V 主机中正常运行的风险。

有关通过组策略管理用户权限、文件系统权限和注册表权限的最佳做法

可以通过 GPO 管理以下项:

  • 用户权限分配
  • 文件系统权限
  • 注册表权限

但是,组策略 中可用的管理界面将覆盖计算机上本地定义的任一项。 应始终谨慎使用这些功能。 确保设置这些项目的 GPO 仅适用于实际需要它们的计算机。 由于这些项目不是累积的,因此应用这些项目的任何 GPO 都必须包含可能在 GPO 适用的计算机上运行的所有安全主体或服务帐户。

有关默认域策略的最佳做法

操作系统以编程方式使用默认域策略。 它维护只能在此策略对象中设置的关键域范围策略。 因此,仅在必要时才应修改默认域策略。 若要管理整个域的组策略设置,管理员应在域级别创建链接的新策略对象。 应尽可能在 OU 级别而不是域级别应用策略。 因此,设置仅应用于需要这些设置的用户和计算机。