Auf Englisch lesen

Freigeben über


Einrichten von Hosts für die Livemigration ohne Failover-Clustering

In diesem Artikel erfahren Sie, wie Sie nicht gruppierte Hosts einrichten, damit Sie Livemigrationen zwischen ihnen durchführen können. Verwenden Sie diese Anweisungen, wenn Sie die Livemigration bei der Installation von Hyper-V nicht eingerichtet haben oder wenn Sie die Einstellungen ändern möchten. Verwenden Sie Tools für Failover-Clustering zum Einrichten von gruppierten Hosts.

Anforderungen für das Einrichten der Livemigration

Um nicht gruppierte Hosts für die Livemigration einzurichten, benötigen Sie Folgendes:

  • Ein Benutzerkonto mit der Berechtigung zum Ausführen der verschiedenen Schritte. Die Mitgliedschaft in der lokalen Gruppe „Hyper-V-Administratoren“ oder „Administratoren“ auf dem Quell- und Zielcomputer erfüllt diese Anforderung, es sei denn, Sie konfigurieren die eingeschränkte Delegierung. Die Mitgliedschaft in der Gruppe „Domänenadministratoren“ ist erforderlich, um die eingeschränkte Delegierung zu konfigurieren.

  • Die Hyper-V-Rolle in Windows Server 2016 oder Windows Server 2012 R2, die auf den Quell- und Zielservern installiert ist. Sie können eine Livemigration zwischen Hosts durchführen, die Windows Server 2016 und Windows Server 2012 R2 ausführen, wenn der virtuelle Computer mindestens Version 5 aufweist.
    Anweisungen zum Versions-Upgrade finden Sie unter Upgrade der virtuellen Computerversion in Hyper-V auf Windows 10 oder Windows Server 2016. Installationsanweisungen finden Sie unter Installieren der Hyper-V-Rolle auf Windows Server.

  • Quell- und Zielcomputer, die entweder zur gleichen Active Directory-Domäne oder zu Domänen gehören, die einander vertrauen.

  • Die auf einem Computer mit Windows Server 2016 oder Windows 10 installierten Hyper-V-Verwaltungstools, es sei denn, die Tools sind auf dem Quell- oder Zielserver installiert und Sie führen die Tools vom Server aus aus.

Erwägen von Optionen für Authentifizierung und Netzwerk

Legen Sie die gewünschte folgende Einrichtung fest:

  • Authentifizierung: Welches Protokoll wird verwendet, um Livemigrations-Datenverkehr zwischen den Quell- und Zielservern zu authentifizieren? Die Auswahl bestimmt, ob Sie sich vor dem Starten einer Livemigration beim Quellserver anmelden müssen:

    • Mit Kerberos können Sie vermeiden, dass Sie sich beim Server anmelden müssen, es muss jedoch eine eingeschränkte Delegierung eingerichtet werden. Anweisungen finden Sie unten.

    • Mit CredSSP können Sie die Konfiguration der eingeschränkten Delegierung vermeiden, es ist jedoch erforderlich, dass Sie sich beim Quellserver anmelden. Dies kann über eine lokale Konsolensitzung, eine Remotedesktopsitzung oder eine Windows PowerShell-Remotesitzung erfolgen.

      CredSSP erfordert die Anmeldung für möglicherweise nicht offensichtliche Situationen. Wenn Sie sich beispielsweise bei „TestServer01“ anmelden, um einen virtuellen Computer auf „TestServer02“ zu verschieben, und den virtuellen Computer dann wieder auf „TestServer01“ verschieben möchten, müssen Sie sich bei „TestServer02“ anmelden, bevor Sie versuchen, den virtuellen Computer zurück auf „TestServer01“ zu verschieben. Andernfalls schlägt der Authentifizierungsversuch fehl, es tritt ein Fehler auf und die folgende Meldung wird angezeigt:

      „Fehler beim Migrationsvorgang für den virtuellen Computer an der Migrationsquelle. Fehler beim Herstellen einer Verbindung mit dem Host Computername: Im Sicherheitspaket 0x8009030E sind keine Anmeldeinformationen verfügbar.“

  • Leistung: Ist es sinnvoll, Leistungsoptionen zu konfigurieren? Diese Optionen können die Netzwerk- und CPU-Auslastung reduzieren und Livemigrationen beschleunigen. Berücksichtigen Sie Ihre Anforderungen und Ihre Infrastruktur und testen Sie verschiedene Konfigurationen, um Ihnen bei der Entscheidung zu helfen. Die Optionen werden am Ende von Schritt 2 beschrieben.

  • Netzwerkpräferenz: Lassen Sie den Datenverkehr für die Livemigration über ein beliebiges verfügbares Netzwerk zu, oder möchten Sie den Datenverkehr in speziellen Netzwerken isolieren? Als bewährte Sicherheitsmethode wird empfohlen, den Datenverkehr auf vertrauenswürdige, private Netzwerken zu isolieren, da der Datenverkehr für die Livemigration beim Senden über das Netzwerk nicht verschlüsselt wird. Die Netzwerkisolation kann über ein physisch isoliertes Netzwerk oder über eine andere vertrauenswürdige Netzwerktechnologie, z. B. VLANs, erreicht werden.

Upgrade auf Windows Server 2025

Ab Windows Server 2025 ist Credential Guard standardmäßig auf allen domänenverbundenen Servern aktiviert, die keine Domänencontroller sind. Daher können Sie nach dem Upgrade auf Windows Server 2025 möglicherweise keine CredSSP-basierte Livemigration mit Hyper-V verwenden. CredSSP-basierte Delegierung ist die Standardeinstellung für Windows Server 2022 und früher für die Livemigration. Verwenden Sie stattdessen die eingeschränkte Kerberos-Delegierung, wie im folgenden Abschnitt beschrieben. Weitere Informationen finden Sie unter Livemigration mit Hyper-V-Unterbrechungen beim Upgrade auf Windows Server 2025.

Schritt 1: Konfigurieren der eingeschränkten Delegierung (optional)

Wenn Sie sich entschieden haben, Kerberos zum Authentifizieren von Livemigrations-Datenverkehr zu verwenden, konfigurieren Sie die eingeschränkte Delegierung mit einem Konto, das Mitglied der Gruppe der Domänenadministratoren ist.

Verwenden des Snap-Ins „Benutzer und Computer“ zum Konfigurieren der eingeschränkten Delegierung

  1. Öffnen Sie das Snap-In %%amp;quot;Active Directory-Benutzer und -Computer%%amp;quot;. (Wählen Sie im Server-Manager den Server aus, falls er nicht ausgewählt ist, klicken Sie auf Tools>>Active Directory-Benutzer und -Computer).

  2. Wählen Sie im Navigationsbereich in Active Directory-Benutzer und -Computer die Domäne aus und doppelklicken Sie auf den Ordner Computer.

  3. Klicken Sie im Ordner Computer mit der rechten Maustaste auf das Computerkonto des Quellservers und klicken Sie dann auf Eigenschaften.

  4. Klicken Sie unter Eigenschaften auf die Registerkarte Delegierung.

  5. Wählen Sie auf der Registerkarte „Delegierung“ die Option Diesem Computer nur für die Delegierung an die angegebenen Dienste vertrauen und dann Beliebiges Authentifizierungsprotokoll verwenden aus.

  6. Klicken Sie auf Hinzufügen.

  7. Klicken Sie unter Dienste hinzufügen auf Benutzer oder Computer.

  8. Geben Sie unter Benutzer oder Computer auswählen den Namen des Zielservers ein. Klicken Sie zum Überprüfen auf Namen überprüfen und dann auf OK.

  9. Führen Sie unter Dienste hinzufügen in der Liste der verfügbaren Dienste die folgenden Schritte aus und klicken Sie dann auf OK:

    • Wenn Sie den Speicher des virtuellen Computers entfernen möchten, wählen Sie cifs aus. Dies ist erforderlich, wenn Sie sowohl den Speicher zusammen mit dem virtuellen Computer verschieben möchten, als auch wenn Sie nur den Speicher eines virtuellen Computers verschieben möchten. Wenn der Server für die Verwendung des SMB-Speichers für Hyper-V konfiguriert ist, wurde diese Auswahl bereits getroffen.

    • Wenn Sie virtuelle Computer verschieben möchten, wählen Sie den Migrationsdienst für virtuelles System von Microsoft aus.

  10. Stellen Sie auf der Registerkarte Delegierung des Dialogfelds %%amp;quot;Eigenschaften%%amp;quot; sicher, dass die von Ihnen im vorherigen Schritt ausgewählten Dienste als Dienste aufgelistet sind, für die der Zielcomputer delegierte Anmeldeinformationen bereitstellen kann. Klicken Sie auf OK.

  11. Wählen Sie im Ordner Computers das Computerkonto des Zielservers aus, und wiederholen Sie den Prozess. Vergewissern Sie sich, dass Sie im Dialogfeld Benutzer oder Computer auswählen den Namen des Quellservers angegeben haben.

Die Konfigurationsänderungen werden wirksam, nachdem beide der folgenden Aktionen aufgetreten sind:

  • Die Änderungen werden auf die Domänencontroller repliziert, bei denen die Server angemeldet sind, auf denen Hyper-V ausgeführt wird.
  • Der Domänencontroller stellt ein neues Kerberos-Ticket aus.

Schritt 2: Einrichten der Quell- und Zielcomputer für die Livemigration

Dieser Schritt umfasst die Auswahl von Optionen für Authentifizierung und Netzwerk. Als bewährte Sicherheitsmethode wird empfohlen, für den Datenverkehr bei der Livemigration spezielle Netzwerke auszuwählen, wie oben beschrieben. In diesem Schritt wird auch gezeigt, wie Sie die Leistungsoption auswählen.

Verwenden des Hyper-V-Managers zum Einrichten der Quell- und Zielcomputer für die Livemigration

  1. Öffnen Sie den Hyper-V-Manager. (Klicken Sie im Server-Manager auf Tools>>Hyper-V-Manager.)

  2. Wählen Sie im Navigationsbereich einen der Server aus. (Wenn er nicht aufgeführt ist, klicken Sie mit der rechten Maustaste auf Hyper-V-Manager, klicken Sie auf Mit Server verbinden, geben Sie den Servernamen ein und klicken Sie auf OK. Wiederholen Sie den Vorgang, um weitere Server hinzuzufügen.)

  3. Klicken Sie im Bereich Aktion auf Hyper-V-Einstellungen>>Livemigrationen.

  4. Aktivieren Sie im Bereich Livemigrationen die Option Ein- und ausgehende Livemigrationen ermöglichen.

  5. Geben Sie unter Gleichzeitige Livemigrationen einen anderen Wert an, wenn Sie die Standardeinstellung 2 nicht verwenden möchten.

  6. Wenn spezielle Netzwerkverbindungen den Datenverkehr für die Livemigration akzeptieren sollen, klicken Sie unter Eingehende Livemigrationen auf Hinzufügen, um die IP-Adressinformationen einzugeben. Klicken Sie anderenfalls auf Beliebiges Netzwerk für Livemigration verwenden. Klicken Sie auf OK.

  7. Um Kerberos- und Leistungsoptionen auszuwählen, erweitern Sie Livemigrationen und wählen Sie dann Erweiterte Funktionen aus.

    • Wenn Sie die eingeschränkte Delegierung konfiguriert haben, wählen Sie unter Authentifizierungsprotokoll die Option Kerberos aus.
    • Überprüfen Sie unter Leistungsoptionen die Details und wählen Sie eine andere Option aus, wenn sie für Ihre Umgebung geeignet ist.
  8. Klicken Sie auf OK.

  9. Wählen Sie den anderen Server im Hyper-V-Manager aus und wiederholen Sie die Schritte.

Verwenden von Windows PowerShell zum Einrichten der Quell- und Zielcomputer für die Livemigration

Drei Cmdlets stehen zum Konfigurieren der Livemigration auf nicht gruppierten Hosts zur Verfügung: Enable-VMMigration, Set-VMMigrationNetwork und Set-VMHost. In diesem Beispiel werden alle drei verwendet und die folgenden Aktionen ausgeführt:

  • Konfiguriert die Livemigration auf dem lokalen Host
  • Lässt eingehenden Migrationsdatenverkehr nur in einem bestimmten Netzwerk zu
  • Wählt Kerberos als Authentifizierungsprotokoll aus

Jede Zeile entspricht einem separaten Befehl.

PS C:\> Enable-VMMigration

PS C:\> Set-VMMigrationNetwork 192.168.10.1

PS C:\> Set-VMHost -VirtualMachineMigrationAuthenticationType Kerberos

Mit Set-VMHost können Sie auch eine Leistungsoption (und viele andere Hosteinstellungen) auswählen. Um beispielsweise SMB auszuwählen, aber das Authentifizierungsprotokoll auf dem Standardwert von CredSSP zu belassen, geben Sie Folgendes ein:

PS C:\> Set-VMHost -VirtualMachineMigrationPerformanceOption SMB

In dieser Tabelle wird beschrieben, wie die Leistungsoptionen funktionieren.

Option BESCHREIBUNG
TCP/IP Kopiert den Speicher des virtuellen Computers über eine TCP/IP-Verbindung auf den Zielserver.
Komprimierung Komprimiert den Speicherinhalt des virtuellen Computers, bevor er über eine TCP/IP-Verbindung auf den Zielserver kopiert wird. Hinweis: Dies ist die Standardeinstellung.
SMB Kopiert den Speicher des virtuellen Computers über eine SMB 3.0-Verbindung auf den Zielserver.

– Wenn für die Netzwerkadapter des Quell- und des Zielservers die Funktion für den Remotezugriff auf den direkten Speicher (RDMA) aktiviert ist, wird SMB Direct verwendet.
– SMB Multichannel ermittelt und verwendet automatisch mehrere Verbindungen, wenn eine entsprechende SMB Multichannel-Konfiguration erkannt wird.

Weitere Informationen finden Sie unter Optimieren der Leistung von Dateiservern mit %%amp;quot;SMB Direct%%amp;quot;.

Nächste Schritte

Nachdem Sie die Hosts eingerichtet haben, können Sie eine Livemigration durchführen. Anweisungen finden Sie unter Verwenden der Livemigration ohne Failover-Clustering zum Verschieben eines virtuellen Computers.