この記事では、仮想マシンを起動できない、または Windows Server の Hyper-V 仮想マシンのライブ マイグレーションを実行できない問題を解決するための回避策について説明します。
元の KB 番号: 2779204
現象
Windows Server 2016 または Windows Server 2012 R2 Hyper-V ホストで実行されている仮想マシンの起動に失敗する場合があります。 次のようなエラー メッセージが表示されることがあります。
エラー 0x80070569 ('VM_NAME' ワーカー プロセスの開始に失敗しました: ログオンエラー: ユーザーには、このコンピューターで要求されたログオンの種類が付与されていません。
Hyper-V 仮想マシンのライブ マイグレーションを実行すると、ライブ マイグレーションが失敗する可能性があります。 次のようなエラー メッセージが表示されることがあります。
移行先で計画仮想マシンを作成できませんでした: ログオンエラー: このコンピューターで要求されたログオンの種類がユーザーに付与されていません。 (0x80070569)
さらに、回復チェックポイントを実行し、 ConvertToReferencePoint メソッドを使用して参照ポイントに変換しようとすると、変換が失敗する可能性があります。 次のようなエラー メッセージが表示されることがあります。
VHD の添付ファイル "VHDX_NAME" を "VM_NAME" に書き込めませんでした:アカウント制限により、このユーザーがサインインできなくなります。 たとえば、空白のパスワードは許可されない、サインイン時間が制限されている、ポリシーの制限が適用されているなどです。 (0x8007052f)
Note
管理者が Hyper-V ホストにログインし、コマンド gpupdate /forceを実行すると、この問題が一時的に停止する可能性があります。
原因
この問題は、NT Virtual Machine\Virtual Machines の特殊な ID が Hyper-V ホスト コンピューター上でサービスとしてLog がオンになっていないために発生します。 通常、仮想マシン管理サービス (VMMS) は、グループ ポリシーの更新のたびにこのユーザーのアクセス許可を置き換えて、常に存在することを確認します。 ただし、特定の状況では、グループ ポリシーの更新が正しく機能しない場合があります。
回避策
この問題を回避するには、 gpresult コマンドの出力を使用して、ユーザー権限の設定を変更するグループ ポリシー オブジェクト (GPO) を特定します。 次に、次のいずれかの方法を使用して問題を修正します。
方法 1
Hyper-V ホストのコンピューター アカウントを、ポリシーが適用されていない組織単位 (OU) に配置し、ユーザー権限を管理してから、 gpupdate /force コマンドを実行するか、コンピューターを再起動します。 ポリシーによって適用されるユーザー権限を削除し、ローカル セキュリティ ポリシーで定義されているユーザー権限を有効にする必要があります。
方法 2
Hyper-V ホスト コンピューターで次の手順を実行します。
- ドメイン管理者としてマシンにサインインします。
- サーバー マネージャー コンソールからグループ ポリシー管理機能をインストールします。
- インストール後、GPMC MMC スナップインを開き、ユーザー権限を管理するポリシーを参照します。
- ポリシーを編集して、 Log as a service のエントリに NT Virtual Machine\Virtual Machines を含めます。
- ポリシー エディターを閉じます。
- Hyper-V ホスト コンピューターで
gpupdate /forceを実行してポリシーを更新します。 Active Directory レプリケーションが発生するまで数分待つ必要がある場合があります。
方法 3
クライアント Hyper-V機能をサポートする Windows 8 を実行しているクライアント コンピューターで、次の手順を実行します。
- ドメイン管理者としてマシンにサインインします。
- クライアント Hyper-V機能をインストールします。
- Windows 8 リモート サーバー管理ツール (RSAT) をインストールします。
- グループ ポリシー管理コンソールを開き、ユーザー権限を管理するポリシーを参照します。
- ポリシーを編集して、 Log as a service ユーザー権限のエントリに NT Virtual Machine\Virtual Machines を含めます。
- クライアントのポリシー エディターを閉じます。
- Hyper-V ホストで
gpupdate /forceを実行してポリシーを更新します。 Active Directory レプリケーションが発生するまで数分待つ必要がある場合があります。
Hyper-V ホストに関するベスト プラクティス
Hyper-V サーバーで仮想化を特にサポートしていない追加の役割や機能はインストールしないでください。 たとえば、Hyper-V クラスターでは、高可用性仮想化ワークロードをサポートするために、Hyper-V ロールとフェールオーバー クラスタリング機能がインストールされます。 Hyper-V ホストは、組織の仮想化戦略において重要な役割を果たします。 Hyper-V サーバーがドメインに参加している場合は、Active Directory の別の OU で管理することをお勧めします。 この OU には、Hyper-V ホスト マシンに特に適用されるグループ ポリシーのみを適用する必要があります。 これにより、Hyper-V ホストでの適切な機能に影響するポリシー競合のリスクが最小限に抑えられます。
グループ ポリシーを使用したユーザー権限、ファイル システムのアクセス許可、レジストリのアクセス許可の管理に関するベスト プラクティス
GPO を使用して、次の項目を管理できます。
- ユーザー権限の割り当て
- ファイル システムのアクセス許可
- レジストリの権限
ただし、グループ ポリシーで使用できる管理インターフェイスは、コンピューター上でローカルに定義されているこれらの項目のいずれかを上書きします。 これらの機能は常に慎重に使用する必要があります。 これらの項目を設定する GPO が、実際に必要なコンピューターにのみ適用されることを確認します。 これらの項目は累積されないため、これらの項目を適用するすべての GPO には、GPO が適用されるコンピューターで動作している可能性のあるすべてのセキュリティ プリンシパルまたはサービス アカウントが含まれている必要があります。
既定のドメイン ポリシーに関するベスト プラクティス
既定のドメイン ポリシーは、オペレーティング システムによってプログラムによって使用されます。 このポリシー オブジェクトでのみ設定できる重要なドメイン全体のポリシーが保持されます。 そのため、既定のドメイン ポリシーは、必要な場合にのみ変更する必要があります。 ドメイン全体のグループ ポリシー設定を管理するには、管理者はドメイン レベルでリンクされた新しいポリシー オブジェクトを作成する必要があります。 可能な限り、ポリシーはドメイン レベルではなく OU レベルで適用する必要があります。 そのため、設定は必要なユーザーとコンピューターにのみ適用されます。