Compartir a través de

Es posible que se produzca un error 0x80070569 al iniciar o migrar en vivo máquinas virtuales de Hyper-V

  • Artículo

En este artículo se proporcionan soluciones alternativas para resolver el problema de que las máquinas virtuales no se pueden iniciar o no se puede realizar una migración en vivo para una máquina virtual de Hyper-V en Windows Server.

Número de KB original: 2779204

Síntomas

Es posible que las máquinas virtuales que se ejecutan en hosts de Hyper-V de Windows Server 2016 o Windows Server 2012 R2 no se inicien. Puede recibir un mensaje de error similar al siguiente:

Error 0x80070569 ("VM_NAME" no pudo iniciar el proceso de trabajo: Error de inicio de sesión: no se ha concedido al usuario el tipo de inicio de sesión solicitado en este equipo).

Al realizar una migración en vivo de una máquina virtual de Hyper-V, es posible que se produzca un error en la migración en vivo. Puede recibir un mensaje de error similar al siguiente:

No se pudo crear una máquina virtual planeada en el destino de la migración: error de inicio de sesión: al usuario no se le ha concedido el tipo de inicio de sesión solicitado en este equipo. (0x80070569)

Además, al realizar un punto de control de recuperación e intentar convertirlo en un punto de referencia mediante el método , es posible que se produzca un error en la ConvertToReferencePoint conversión. Puede recibir un mensaje de error similar al siguiente:

Error al escribir datos adjuntos de VHD "VHDX_NAME" en "VM_NAME": las restricciones de cuenta impiden que este usuario inicie sesión. Por ejemplo, no se permiten contraseñas en blanco, los tiempos de inicio de sesión están limitados o se ha aplicado una restricción de directiva. (0x8007052f)

Nota

El problema puede detenerse temporalmente si un administrador inicia sesión en el host de Hyper-V y ejecuta el comando gpupdate /force.

Causa

Este problema se produce porque la identidad especial nt Virtual Machine\Virtual Machines no tiene el inicio de sesión como servicio directamente en el equipo host de Hyper-V. Normalmente, el servicio de administración de máquinas virtuales (VMMS) reemplaza este permiso de usuario en cada actualización de directiva de grupo para asegurarse de que siempre está presente. Sin embargo, puede observar que la actualización de directiva de grupo no funciona correctamente en determinadas situaciones.

Solución alternativa

Para solucionar este problema, use la salida del gpresult comando para identificar el objeto de directiva de grupo (GPO) que modifica la configuración de derechos de usuario. A continuación, use uno de los métodos siguientes para corregir el problema:

Método 1

Coloque la cuenta de equipo para el host de Hyper-V en una unidad organizativa (OU) que no tenga ninguna directiva aplicada, que administre los derechos de usuario y, a continuación, ejecute gpupdate /force el comando o reinicie el equipo. Debe quitar los derechos de usuario aplicados por la directiva y permitir que los derechos de usuario definidos en la directiva de seguridad local surtan efecto.

Método 2

Siga estos pasos en la máquina host de Hyper-V:

  1. Inicie sesión en la máquina como administrador de dominio.
  2. Instale la característica Administración de directivas de grupo desde la consola de Administrador del servidor.
  3. Después de la instalación, abra el complemento MMC de GPMC y vaya a la directiva que administra derechos de usuario.
  4. Edite la directiva para incluir NT Virtual Machine\Virtual Machines en las entradas para Iniciar sesión como servicio.
  5. Cierre el editor de directivas.
  6. Ejecute gpupdate /force en el equipo host de Hyper-V para actualizar la directiva. Es posible que tenga que esperar varios minutos para que se produzca la replicación de Active Directory.

Método 3

Siga estos pasos en un equipo cliente que ejecute Windows 8 que admita la característica Cliente Hyper-V:

  1. Inicie sesión en la máquina como administrador de dominio.
  2. Instale la característica Cliente Hyper-V.
  3. Instale las Herramientas de administración remota del servidor (RSAT) de Windows 8.
  4. Abra la consola de administración de directivas de grupo y vaya a la directiva que administra derechos de usuario.
  5. Edite la directiva para incluir NT Virtual Machine\Virtual Machines en las entradas del derecho de usuario Iniciar sesión como servicio .
  6. Cierre el editor de directivas en el cliente.
  7. Ejecute gpupdate /force en el host de Hyper-V para actualizar la directiva. Es posible que tenga que esperar varios minutos para que se produzca la replicación de Active Directory.

Procedimientos recomendados sobre hosts de Hyper-V

No instale roles ni características adicionales que no admitan específicamente la virtualización en servidores de Hyper-V. Por ejemplo, en un clúster de Hyper-V, el rol de Hyper-V y la característica clústeres de conmutación por error se instalan para admitir cargas de trabajo virtualizadas de alta disponibilidad. Los hosts de Hyper-V desempeñan un papel fundamental en la estrategia de virtualización de una organización. Si los servidores de Hyper-V están unidos a un dominio, se recomienda administrarlos en una unidad organizativa independiente de Active Directory. Solo se deben aplicar directivas de grupo que se apliquen específicamente a las máquinas host de Hyper-V a esta unidad organizativa. Al hacerlo, se minimiza el riesgo de un conflicto de directiva que afecta al funcionamiento adecuado en un host de Hyper-V.

Procedimientos recomendados sobre la administración de derechos de usuario, permisos del sistema de archivos y permisos del Registro a través de la directiva de grupo

Puede administrar los siguientes elementos a través de GPO:

  • Asignaciones de derechos de usuario
  • Permisos del sistema de archivos
  • Permisos del Registro

Sin embargo, la interfaz de administración disponible en la directiva de grupo sobrescribirá cualquiera de estos elementos definidos localmente en el equipo. Siempre debe usar estas funcionalidades con precaución. Asegúrese de que los GPO que establecen estos elementos solo se aplican a los equipos que realmente los necesitan. Dado que estos elementos no son acumulativos, ningún GPO que aplique estos elementos debe contener todas las entidades de seguridad o cuentas de servicio que puedan funcionar en los equipos en los que se aplican los GPO.

Procedimientos recomendados sobre la directiva de dominio predeterminada

El sistema operativo usa la directiva de dominio predeterminada mediante programación. Mantiene directivas críticas para todo el dominio que solo se pueden establecer en este objeto de directiva. Por lo tanto, la directiva de dominio predeterminada solo debe modificarse cuando sea necesario. Para administrar la configuración de directiva de grupo para todo el dominio, los administradores deben crear nuevos objetos de directiva vinculados en el nivel de dominio. Siempre que sea posible, las directivas deben aplicarse en el nivel de unidad organizativa en lugar del nivel de dominio. Por lo tanto, la configuración solo se aplica a los usuarios y equipos que los requieren.