即時移轉可讓您在伺服器之間移動執行中的虛擬機器,並將停機時間降至最低。 本文說明如何在 Hyper-V 中設定非叢集主機以進行即時移轉,包括驗證選項、網路設定和安全性最佳做法。 如果您在 Hyper-V 安裝期間未設定即時移轉,或需要更新設定,請使用這些步驟。
設定即時移轉的需求
若要設定非叢集主機以進行即時移轉,您需要:
來源和目的地電腦上的本機 Hyper-V Administrators 群組或 Administrators 群組的成員資格符合此需求,除非您要設定限制委派。 需要 Domain Administrators 群組中的成員資格,才能設定限制委派。
安裝在來源和目的地伺服器上的 Windows Server 中的 Hyper-V 角色。 您可以在執行 Windows Server 2012 R2 和更新版本的主機之間執行即時移轉。 如需安裝指示,請參閱 在 Windows Server 上安裝 Hyper-V 角色。
屬於相同 Active Directory 網域或彼此信任之網域的來源和目的地電腦。
Hyper-V 管理工具安裝在至少執行 Windows Server 2016 或 Windows 10 的電腦上,除非工具安裝在來源或目的地伺服器上,而且您從伺服器執行工具。
考慮驗證和網路功能的選項
決定您要如何設定驗證、效能和網路選項。
驗證:您使用哪種通訊協定來驗證來源與目的地伺服器之間的即時移轉流量? 您選擇的通訊協定會決定您是否需要在開始即時移轉之前登入來源伺服器:
Kerberos 可讓您避免登入伺服器,但需要您設定限制委派。 如需指示,請參閱下列詳細資料。
CredSSP 可讓您避免設定受限制的委派,但需要您登入來源伺服器。 您可以透過本機主控台工作階段、遠端桌面工作階段或遠端 Windows PowerShell 工作階段來執行此動作。
CredSSP 要求您在不一定明顯的情況下登入。 例如,如果您登入 TestServer01 以將虛擬機器移回 TestServer02,然後想要將虛擬機器移回 TestServer01,您必須先登入 TestServer02,才能嘗試將虛擬機器移回 TestServer01。 如果不這樣做,驗證嘗試會失敗、發生錯誤,而且您會看到下列訊息:
「位於移轉來源的虛擬機器移轉操作失敗。 無法建立與主機 名稱的連線:安全性套件0x8009030E中沒有可用的認證。」
效能:您應該設定效能選項嗎? 這些選項可以減少網路和 CPU 使用率,並加快即時移轉速度。 檢查您的需求和基礎設施,並測試不同的配置以做出決定。 步驟 2 結尾會說明這些選項。
網路喜好設定:您是否允許透過任何可用網路進行即時移轉流量,或將流量隔離至特定網路? 作為安全性最佳實務,請將流量隔離至受信任的私人網路,因為即時移轉流量在透過網路傳送時不會加密。 您可以使用實體隔離的網路或其他受信任的網路技術 (例如 VLAN) 來隔離網路。
升級至 Windows Server 2025
從 Windows Server 2025 開始,預設會在所有非網域控制站的已加入網域的伺服器上 啟用 Credential Guard 。 因此,升級至 Windows Server 2025 之後,您無法將 CredSSP 型即時移轉與 Hyper-V 搭配使用。 CredSSP 型委派是 Windows Server 2022 和更早版本的即時移轉預設值。 請改用 Kerberos 限制委派,如下一節所述。 如需更多資訊,請參閱 升級至 Windows Server 2025 時,Hyper-V 造成即時移轉中斷。
步驟 1:設定限制委派 (選擇性)
如果您決定使用 Kerberos 來驗證即時移轉流量,請使用屬於 Domain Administrators 群組成員的帳戶來設定受限制的委派。
使用 [使用者和電腦] 嵌入式管理單元來設定限制委派
開啟 [Active Directory 使用者和電腦] 嵌入式管理單元。 在伺服器管理員中,選取伺服器,然後選取 工具>Active Directory 使用者和電腦。
在 [Active Directory 使用者和電腦] 的導覽窗格中,選取網域,然後按兩下 [電腦] 資料夾。
在 [電腦] 資料夾中,以滑鼠右鍵按一下來源伺服器的電腦帳戶,然後選取 [屬性]。
在 [屬性] 中,選取 [委派 ] 索引標籤。
在 [ 委派 ] 索引標籤上,選取 [信任此電腦以僅委派至指定的服務],然後選取 [ 使用任何驗證通訊協定]。
選取 ,然後新增。
在 新增服務中,選取 使用者或電腦。
在 [選取使用者或電腦] 中,輸入目的地伺服器的名稱。 選取 [檢查名稱] 以進行驗證,然後選取 [確定]。
從 [ 新增服務] 中,在可用服務清單中執行下列動作,然後選取 [確定]:
若要移動虛擬機器儲存設備,請選取 [cifs]。 如果您想要將儲存體與虛擬機器一起移動,並且只想移動虛擬機器的儲存體,則需要這樣做。 如果伺服器設定為在 Hyper-V 使用 SMB 存放裝置,這個選項應該已經選取。
若要移動虛擬機器,請選取 [Microsoft 虛擬系統移轉服務] 。
在 [屬性] 對話方塊的 [ 委派 ] 索引標籤上,檢查您在上一個步驟中選取的服務是否列為目的地電腦可以提供委派認證的服務。 請選擇 [確定]。
在 [電腦] 資料夾中,選取目的地伺服器的電腦帳戶,然後重複此程序。 在 [選取使用者或電腦 ] 對話方塊中,請務必指定來源伺服器的名稱。
組態變更會在下列之後生效:
- 變更會複寫至執行 Hyper-V 伺服器登入的網域控制站。
- 網域控制站會發出新的 Kerberos 票證。
步驟 2:設定即時移轉的來源和目的電腦
此步驟涵蓋驗證和網路選項。 為了獲得更好的安全性,請為即時移轉流量選取特定網路,如先前所述。 您也可以在此步驟中選擇效能選項。
使用 Hyper-V 管理員來設定即時移轉的來源和目的電腦
開啟 [Hyper-V 管理員]。 在伺服器管理員中,選取 [工具]>Hyper-V [管理員]。
在導覽窗格中,選取伺服器。 如果未列出,請以滑鼠右鍵按一下 [ Hyper-V 管理員],選取 [ 連線到伺服器],輸入伺服器名稱,然後選取 [確定]。 重複此步驟以新增更多伺服器。
在 [動作] 窗格中,選取 [Hyper-V 設定>] [即時移轉]。
在 [即時移轉] 窗格中,選取 [啟用傳入和傳出即時移轉]。
在 [同時即時移轉] 底下,如果您不想使用預設值 2,請輸入不同的數字。
在 [傳入即時移轉] 底下,如果您想要使用特定網路連線來接受即時移轉流量,請選取 [ 新增 ] 以輸入 IP addr1。 若要設定 Kerberos 和效能選項,請展開 即時移轉, 然後選取 進階功能。
- 如果您設定限制委派,請在 [驗證通訊協定] 底下,選取 [Kerberos]。
- 在 [ 效能選項] 底下,檢閱詳細資料,並選取不同的選項 (如果它適合您的環境。ce 選項**),檢閱詳細資料,然後選擇不同的選項 (如果它適合您的環境)。
請選擇 [確定]。
在 Hyper-V Manager 中選取另一部伺服器,然後重複這些步驟。
使用 Windows PowerShell 來設定即時移轉的來源和目的電腦
您可以使用三個 Cmdlet 在非叢集主機上設定即時移轉: Enable-VMMigration、 Set-VMMigrationNetwork 和 Set-VMHost。 此範例會使用這三個專案來:
- 在本機主機上設定即時移轉
- 只允許特定網路上的傳入移轉流量
- 選擇 Kerberos 作為驗證通訊協定
每一行都是個別的指令。
PS C:\> Enable-VMMigration
PS C:\> Set-VMMigrationNetwork 192.168.10.1
PS C:\> Set-VMHost -VirtualMachineMigrationAuthenticationType Kerberos
Set-VMHost 還允許您選擇性能選項和其他主機設置。 例如,若要選擇SMB,但將身份驗證協定設定為預設值CredSSP,請輸入:
PS C:\> Set-VMHost -VirtualMachineMigrationPerformanceOption SMB
下表描述效能選項的運作方式。
| Option | Description |
|---|---|
| TCP/IP | 透過 TCP/IP 連線將虛擬機器的記憶體複製到目的地伺服器。 |
| Compression | 先壓縮虛擬機器的記憶體內容,再透過 TCP/IP 連線將其複製到目的地伺服器。 壓縮是 預設 設定。 |
| SMB | 透過SMB 3.0連線,將虛擬機的記憶體複製到目的地伺服器。 - 當來源和目的地伺服器上的網路介面卡已啟用遠端直接記憶體存取 (RDMA) 時,會使用 SMB 直接。 - 當設定正確的 SMB 多通道設定時,SMB 多通道會自動偵測並使用多個連線。 如需詳細資訊,請參閱 使用SMB直接存取改善文件伺服器的效能。 |
後續步驟
設定主機之後,您就可以進行即時移轉。 如需說明,請參閱 如何在不使用容錯移轉叢集的情況下,使用即時移轉來移動虛擬機。