本文提供了解决方法来解决虚拟机无法启动或无法对 Windows Server 中的 Hyper-V 虚拟机执行实时迁移的问题。
原始 KB 数: 2779204
现象
在 Windows Server 2016 或 Windows Server 2012 R2 Hyper-V 主机上运行的虚拟机可能无法启动。 可能会收到类似于以下内容的错误消息:
错误0x80070569(“VM_NAME”无法启动工作进程:登录失败:尚未在此计算机上授予请求的登录类型。
执行 Hyper-V 虚拟机的实时迁移时,实时迁移可能会失败。 可能会收到类似于以下内容的错误消息:
未能在迁移目标创建计划的虚拟机:登录失败:尚未在此计算机上授予用户请求的登录类型。 (0x80070569)
此外,执行恢复检查点并尝试使用 ConvertToReferencePoint 该方法将其转换为引用点时,转换可能会失败。 可能会收到类似于以下内容的错误消息:
无法将 VHD 附件“VHDX_NAME”写入“VM_NAME”:帐户限制阻止此用户登录。 例如,不允许使用空白密码、登录时间有限或已强制实施策略限制。 (0x8007052f)
注意
如果管理员登录到 Hyper-V 主机并运行命令 gpupdate /force,则此问题可能会暂时停止。
原因
出现此问题的原因是 NT 虚拟机\虚拟机特殊标识没有 Hyper-V 主计算机上的服务登录。 通常,虚拟机管理服务(VMMS)会在每个组策略刷新时替换此用户权限,以确保始终存在。 但是,你可能会注意到,在某些情况下,组策略刷新无法正常工作。
解决方法
若要解决此问题,请使用命令的 gpresult 输出来标识修改用户权限设置的组策略对象(GPO)。 然后,使用以下方法之一来更正问题:
方法 1
将 Hyper-V 主机的计算机帐户放置在未应用任何策略的组织单位(OU)中,管理用户权限,然后运行 gpupdate /force 命令或重新启动计算机。 它应删除策略应用的用户权限,并允许在本地安全策略中定义的用户权限生效。
方法 2
在 Hyper-V 主机上执行以下步骤:
- 以域管理员身份登录到计算机。
- 从服务器管理器控制台安装组策略管理功能。
- 安装后,打开 GPMC MMC 管理单元并浏览到管理用户权限的策略。
- 编辑策略以在登录即服务条目中包含 NT 虚拟机\虚拟机。
- 关闭策略编辑器。
- 在 Hyper-V 主计算机上运行
gpupdate /force以刷新策略。 可能需要等待几分钟才能进行 Active Directory 复制。
方法 3
在运行支持客户端 Hyper-V功能的 Windows 8 的客户端计算机上执行以下步骤:
- 以域管理员身份登录到计算机。
- 安装客户端 Hyper-V功能。
- 安装 Windows 8 远程服务器管理工具(RSAT)。
- 打开组策略管理控制台并浏览到管理用户权限的策略。
- 编辑策略以在登录即服务用户权限的条目中包含 NT 虚拟机\虚拟机。
- 关闭客户端上的策略编辑器。
- 在 Hyper-V 主机上运行
gpupdate /force以刷新策略。 可能需要等待几分钟才能进行 Active Directory 复制。
有关 Hyper-V 主机的最佳做法
不要安装任何未专门支持 Hyper-V 服务器上的虚拟化的额外角色或功能。 例如,在 Hyper-V 群集中,安装了 Hyper-V 角色和故障转移群集功能以支持高度可用的虚拟化工作负荷。 Hyper-V 主机在组织的虚拟化策略中发挥着关键作用。 如果 Hyper-V 服务器已加入域,建议在 Active Directory 中的单独 OU 中管理它们。 仅应用于 Hyper-V 主机的组策略应应用于此 OU。 这样做可以最大程度地减少影响 Hyper-V 主机中正常运行的策略冲突的风险。
有关通过组策略管理用户权限、文件系统权限和注册表权限的最佳做法
可以通过 GPO 管理以下项:
- 用户权限分配
- 文件系统权限
- 注册表权限
但是,组策略中可用的管理接口将覆盖计算机上本地定义的任一项。 应始终谨慎使用这些功能。 确保设置这些项目的 GPO 仅适用于实际需要它们的计算机。 由于这些项不是累积的,应用这些项目的任何 GPO 都必须包含可能在 GPO 适用的计算机上运行的所有安全主体或服务帐户。
有关默认域策略的最佳做法
默认域策略由操作系统以编程方式使用。 它维护只能在此策略对象中设置的关键域范围策略。 因此,仅在必要时才应修改默认域策略。 若要管理整个域的组策略设置,管理员应创建在域级别链接的新策略对象。 尽可能在 OU 级别应用策略,而不是域级别。 因此,设置仅适用于需要设置的用户和计算机。