Menyiapkan host untuk migrasi langsung tanpa Pengklusteran Failover
Artikel ini memperlihatkan kepada Anda cara menyiapkan host yang tidak diklusterkan sehingga Anda dapat melakukan migrasi langsung di antaranya. Gunakan instruksi ini jika Anda tidak menyiapkan migrasi langsung saat menginstal Hyper-V, atau jika Anda ingin mengubah pengaturan. Untuk menyiapkan host berkluster, gunakan alat untuk Pengklusteran Failover.
Persyaratan untuk menyiapkan migrasi langsung
Untuk menyiapkan host non-kluster untuk migrasi langsung, Anda memerlukan:
Akun pengguna dengan izin untuk melakukan berbagai langkah. Keanggotaan dalam grup Administrator Hyper-V lokal atau grup Administrator pada komputer sumber dan tujuan memenuhi persyaratan ini, kecuali Anda mengonfigurasi delegasi yang dibatasi. Keanggotaan dalam grup Administrator Domain diperlukan untuk mengonfigurasi delegasi yang dibatasi.
Peran Hyper-V di Windows Server 2016 atau Windows Server 2012 R2 diinstal pada server sumber dan tujuan. Anda dapat melakukan migrasi langsung antara host yang menjalankan Windows Server 2016 dan Windows Server 2012 R2 jika komputer virtual setidaknya versi 5.
Untuk instruksi peningkatan versi, lihat Meningkatkan versi komputer virtual di Hyper-V pada Windows 10 atau Windows Server 2016. Untuk instruksi penginstalan, lihat Menginstal peran Hyper-V di Windows Server.Komputer sumber dan tujuan yang termasuk dalam domain Direktori Aktif yang sama, atau milik domain yang saling mempercayai.
Alat manajemen Hyper-V yang diinstal pada komputer yang menjalankan Windows Server 2016 atau Windows 10, kecuali alat diinstal pada server sumber atau tujuan dan Anda akan menjalankan alat dari server.
Pertimbangkan opsi untuk autentikasi dan jaringan
Pertimbangkan bagaimana Anda ingin menyiapkan hal berikut:
Autentikasi: Protokol mana yang akan digunakan untuk mengautentikasi lalu lintas migrasi langsung antara server sumber dan tujuan? Pilihan menentukan apakah Anda harus masuk ke server sumber sebelum memulai migrasi langsung:
Kerberos memungkinkan Anda menghindari harus masuk ke server, tetapi memerlukan delegasi yang dibatasi untuk disiapkan. Lihat di bawah ini untuk petunjuknya.
CredSSP memungkinkan Anda menghindari konfigurasi delegasi yang dibatasi, tetapi mengharuskan Anda masuk ke server sumber. Anda dapat melakukan ini melalui sesi konsol lokal, sesi Desktop Jauh, atau sesi Windows PowerShell jarak jauh.
CredSPP memerlukan masuk untuk situasi yang mungkin tidak jelas. Misalnya, jika Anda masuk ke TestServer01 untuk memindahkan komputer virtual ke TestServer02, lalu ingin memindahkan komputer virtual kembali ke TestServer01, Anda harus masuk ke TestServer02 sebelum mencoba memindahkan komputer virtual kembali ke TestServer01. Jika Anda tidak melakukan ini, upaya autentikasi gagal, kesalahan terjadi, dan pesan berikut ditampilkan:
"Operasi migrasi komputer virtual gagal di Sumber migrasi. Gagal membuat koneksi dengan nama komputer host: Tidak ada kredensial yang tersedia dalam paket keamanan 0x8009030E."
Performa: Apakah masuk akal untuk mengonfigurasi opsi performa? Opsi ini dapat mengurangi penggunaan jaringan dan CPU, serta membuat migrasi langsung berjalan lebih cepat. Pertimbangkan persyaratan dan infrastruktur Anda, dan uji konfigurasi yang berbeda untuk membantu Anda memutuskan. Opsi dijelaskan di akhir langkah 2.
Preferensi jaringan: Apakah Anda akan mengizinkan lalu lintas migrasi langsung melalui jaringan apa pun yang tersedia, atau mengisolasi lalu lintas ke jaringan tertentu? Sebagai praktik terbaik keamanan, kami sarankan Anda mengisolasi lalu lintas ke jaringan privat tepercaya karena lalu lintas migrasi langsung tidak dienkripsi saat dikirim melalui jaringan. Isolasi jaringan dapat dicapai melalui jaringan yang terisolasi secara fisik atau melalui teknologi jaringan tepercaya lainnya seperti VLAN.
Memutakhirkan ke Windows Server 2025
Dimulai dengan Windows Server 2025, Credential Guard diaktifkan secara default di semua server yang bergabung dengan domain yang bukan Pengendali Domain. Akibatnya Anda mungkin tidak dapat menggunakan Migrasi Langsung berbasis CredSSP dengan Hyper-V setelah memutakhirkan ke Windows Server 2025. Delegasi berbasis CredSSP adalah default untuk Windows Server 2022 dan yang lebih lama untuk migrasi langsung. Sebagai gantinya gunakan Delegasi yang dibatasi Kerberos, seperti yang dijelaskan di bagian berikut. Untuk informasi selengkapnya, lihat Migrasi langsung dengan Hyper-V berhenti saat memutakhirkan ke Windows Server 2025.
Langkah 1: Mengonfigurasi delegasi yang dibatasi (opsional)
Jika Anda telah memutuskan untuk menggunakan Kerberos untuk mengautentikasi lalu lintas migrasi langsung, konfigurasikan delegasi yang dibatasi menggunakan akun yang merupakan anggota grup Administrator Domain.
Gunakan snap-in Pengguna dan Komputer untuk mengonfigurasi delegasi yang dibatasi
Buka snap-in Pengguna direktori aktif dan Komputer. (Dari Manajer Server, pilih server jika tidak dipilih, klik Alat>>Pengguna Direktori Aktif dan Komputer).
Dari panel navigasi di Pengguna direktori aktif dan Komputer, pilih domain dan klik ganda folder Komputer .
Dari folder Komputer, klik kanan akun komputer server sumber lalu klik Properti.
Dari Properti, klik tab Delegasi .
Pada tab delegasi, pilih Percayai komputer ini untuk delegasi ke layanan yang ditentukan saja lalu pilih Gunakan protokol autentikasi apa pun.
Klik Tambahkan.
Dari Tambahkan Layanan, klik Pengguna atau Komputer.
Dari Pilih Pengguna atau Komputer, ketik nama server tujuan. Klik Periksa Nama untuk memverifikasinya, lalu klik OK.
Dari Tambahkan Layanan, dalam daftar layanan yang tersedia, lakukan hal berikut lalu klik OK:
Untuk memindahkan penyimpanan komputer virtual, pilih cifs. Ini diperlukan jika Anda ingin memindahkan penyimpanan bersama dengan komputer virtual, serta jika Anda hanya ingin memindahkan penyimpanan komputer virtual. Jika server dikonfigurasi untuk menggunakan penyimpanan SMB untuk Hyper-V, ini harus sudah dipilih.
Untuk memindahkan komputer virtual, pilih Microsoft Virtual System Migration Service.
Pada tab Delegasi dari kotak dialog Properti, verifikasi bahwa layanan yang Anda pilih di langkah sebelumnya dicantumkan sebagai layanan tempat komputer tujuan dapat menyajikan kredensial yang didelegasikan. Klik OK.
Dari folder Komputer , pilih akun komputer server tujuan dan ulangi prosesnya. Dalam kotak dialog Pilih Pengguna atau Komputer , pastikan untuk menentukan nama server sumber.
Perubahan konfigurasi berlaku setelah kedua hal berikut ini terjadi:
- Perubahan direplikasi ke pengontrol domain tempat server yang menjalankan Hyper-V masuk.
- Pengendali domain mengeluarkan tiket Kerberos baru.
Langkah 2: Siapkan komputer sumber dan tujuan untuk migrasi langsung
Langkah ini termasuk memilih opsi untuk autentikasi dan jaringan. Sebagai praktik terbaik keamanan, kami sarankan Anda memilih jaringan tertentu untuk digunakan untuk lalu lintas migrasi langsung, seperti yang dibahas di atas. Langkah ini juga menunjukkan kepada Anda cara memilih opsi performa.
Menggunakan Hyper-V Manager untuk menyiapkan komputer sumber dan tujuan untuk migrasi langsung
Buka Pengelola Hyper-V. (Dari Manajer Server, klik Alat>>Hyper-V Manager.)
Di panel navigasi, pilih salah satu server. (Jika tidak tercantum, klik kananHyper-V Manager, klik Sambungkan ke Server, ketik nama server, dan klik OK. Ulangi untuk menambahkan lebih banyak server.)
Di panel Tindakan, klik Pengaturan Hyper-V>>Migrasi Langsung.
Di panel Migrasi Langsung, centang Aktifkan migrasi langsung masuk dan keluar.
Di bawah Migrasi langsung simultan, tentukan angka yang berbeda jika Anda tidak ingin menggunakan default 2.
Di bawah Migrasi langsung masuk, jika Anda ingin menggunakan koneksi jaringan tertentu untuk menerima lalu lintas migrasi langsung, klik Tambahkan untuk mengetik informasi alamat IP. Jika tidak, klik Gunakan jaringan yang tersedia untuk migrasi langsung. Klik OK.
Untuk memilih Kerberos dan opsi performa, perluas Migrasi Langsung lalu pilih Fitur Tingkat Lanjut.
- Jika Anda telah mengonfigurasi delegasi yang dibatasi, di bawah Protokol autentikasi, pilih Kerberos.
- Di bawah Opsi performa, tinjau detail dan pilih opsi lain jika sesuai untuk lingkungan Anda.
Klik OK.
Pilih server lain di Hyper-V Manager dan ulangi langkah-langkahnya.
Menggunakan Windows PowerShell untuk menyiapkan komputer sumber dan tujuan untuk migrasi langsung
Tiga cmdlet tersedia untuk mengonfigurasi migrasi langsung pada host non-kluster: Enable-VMMigration, Set-VMMigrationNetwork, dan Set-VMHost. Contoh ini menggunakan ketiganya dan melakukan hal berikut:
- Mengonfigurasi migrasi langsung pada host lokal
- Mengizinkan lalu lintas migrasi masuk hanya pada jaringan tertentu
- Memilih Kerberos sebagai protokol autentikasi
Setiap baris mewakili perintah terpisah.
PS C:\> Enable-VMMigration
PS C:\> Set-VMMigrationNetwork 192.168.10.1
PS C:\> Set-VMHost -VirtualMachineMigrationAuthenticationType Kerberos
Set-VMHost juga memungkinkan Anda memilih opsi performa (dan banyak pengaturan host lainnya). Misalnya, untuk memilih SMB tetapi biarkan protokol autentikasi diatur ke default CredSSP, ketik:
PS C:\> Set-VMHost -VirtualMachineMigrationPerformanceOption SMB
Tabel ini menjelaskan cara kerja opsi performa.
Opsi | Deskripsi |
---|---|
TCP/IP | Menyalin memori komputer virtual ke server tujuan melalui koneksi TCP/IP. |
Kompresi | Memadatkan konten memori komputer virtual sebelum menyalinnya ke server tujuan melalui koneksi TCP/IP. Catatan: Ini adalah pengaturan default . |
SMB | Menyalin memori komputer virtual ke server tujuan melalui koneksi SMB 3.0. - SMB Direct digunakan ketika adaptor jaringan pada server sumber dan tujuan mengaktifkan kemampuan Akses Memori Langsung Jarak Jauh (RDMA). Untuk informasi selengkapnya, lihat Meningkatkan Performa Server File dengan SMB Direct. |
Langkah berikutnya
Setelah menyiapkan host, Anda siap untuk melakukan migrasi langsung. Untuk petunjuknya, lihat Menggunakan migrasi langsung tanpa Pengklusteran Failover untuk memindahkan komputer virtual.