Как подключиться к серверу Hyper V с Windows 10

Обновлено: 02.07.2024

В этом посте моя цель – предоставить шаги, которые необходимо предпринять в типичной среде без домена, чтобы настроить хост Hyper-V Server 2016 или 2019 и удаленно управлять им с помощью диспетчера Hyper-V с ПК с Windows 10. Я разделю этот пост на три раздела; что делать на хосте Hyper-V Server, ПК с Windows 10 и некоторые действия по устранению неполадок.

Если вы не используете сервер Hyper-V в домене, в котором у вас есть групповые политики, обеспечивающие автоматическую настройку систем для беспрепятственного удаленного управления, необходимо выполнить довольно много шагов как для Хост Hyper-V Server и ПК с Windows 10, с которого вы пытаетесь управлять хостом.

Большая часть информации, касающейся удаленного управления Hyper-V в рабочей группе или вне доменной среды, даже за сентябрь 2020 г., приводит к одному из следующих двух результатов: недостаточно информации, поэтому вы по-прежнему не можете правильное подключение к узлу Hyper-V, неправильная или слишком большая информация, что делает ваши системы уязвимыми и небезопасными, и, возможно, по-прежнему не может подключиться к узлу Hyper-V.

Оглавление

Хост Hyper-V Server 2016 или 2019

Все действия, описанные в этом разделе, следует выполнять на хост-сервере Hyper-V Server. В этом примере я начинаю с новой установки Hyper-V Server 2016, которая полностью исправлена ​​и обновлена.

    Установите сервер Hyper-V 201x
      Пройдите типичный танец установки:




    1. Введите следующую команду в окне PowerShell с повышенными привилегиями:
      Enable-PSRemoting


    ПК с Windows 10

    Все шаги в этом разделе следует выполнять на ПК с Windows 10. На момент создания этой статьи я использовал только что установленную Windows 10 Pro 1803, полностью исправленную и обновленную на конец июля 2018 года. Знаю, страшно! (но работает)

      Запустите Центр обновления Windows:
        Это очень важно, и в зависимости от того, какой уровень исправления установлен на вашем ПК с Windows 10 и хосте Hyper-V Server 2016 или 2019, вы ПОЛУЧИТЕ ошибки и не сможете удаленно управлять своим хостом Hyper-V:

        < /ол>



        1. Откройте окно PowerShell с повышенными привилегиями (запуск от имени администратора)
        2. Введите следующую команду, которая устанавливает инструменты управления Hyper-V, затем введите Y для перезагрузки:
          Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-Tools-All -All
          1. Возможно, вам придется изменить «Ethernet» (InterfaceAlias), чтобы оно соответствовало имени вашего сетевого подключения.
          2. Вы можете использовать Get-NetConnectionProfile, чтобы получить список подключений и их категорий.
          1. n – это новая строка
          2. Символ горизонтальной табуляции `t
          3. Замените HVTEST01 и 172.30.32.151 на имя хоста и IP-адрес вашего хоста Hyper-V Server.




          1. Измените «HVTEST01», чтобы оно соответствовало имени вашего хоста Hyper-V, на любом из указанных выше шагов.



          Устранение неполадок

          Операция не поддерживается

          Вы получаете сообщение об ошибке при попытке подключения к хосту Hyper-V (на фото ниже):

          «Произошла ошибка при попытке подключения к серверу. Убедитесь, что служба управления виртуальными машинами запущена и что у вас есть права на подключение к серверу.

          Эта операция не поддерживается. “


          Исправление

          Наиболее вероятное решение этой проблемы — убедиться, что все задействованные системы обновлены. Эта ошибка может быть связана с этой ошибкой:

          Произошла ошибка при попытке подключения; WinRM, TrustedHosts, операция не удалась…

          Если вы видите следующую ошибку (изображение ниже):


          Это означает, что вы не можете подключиться к узлу Hyper-V Server, и наиболее вероятные причины заключаются в том, что удаленный сервер не находится в TrustedHosts, а WinRM настроен неправильно (очевидно, дело не только в этом) . На сервере Hyper-V по умолчанию работает служба «Управление виртуальными машинами», поэтому мы знаем, что это не так, но вы можете проверить это, выполнив следующую команду на своем хосте Hyper-V:

          Исправление

          Лучший способ устранить эту ошибку – убедиться, что все вышеперечисленные шаги выполнены.

          Произошла ошибка аутентификации. Шифрование CredSSP…

          Если вы видите следующую ошибку (изображение ниже):


          Эта ошибка, скорее всего, возникает из-за недавнего обновления в марте 2018 года либо на хост-сервере Hyper-V, либо на ПК, с которого вы пытаетесь подключиться.

          Исправление

          Чтобы исправить эту ошибку, убедитесь, что все задействованные системы обновлены. Это означает ваш хост Hyper-V, виртуальную машину, к которой вы пытаетесь получить доступ, и ПК, с которого вы пытаетесь подключиться.

          Нажмите на ссылку ниже, чтобы получить дополнительную информацию от Microsoft:

          Ссылки

          Удаленное управление хостами Hyper-V через Microsoft Docs:

          С годами я стал поклонником Hyper-V. Он имеет широкую аппаратную поддержку, не требует дополнительных затрат и может быть легко включен в Windows Server. Это делает его главным кандидатом для всех, у кого есть домашняя лаборатория. Моя установка построена на Windows Server 2016, и я использую Hyper-V для размещения ряда виртуальных серверов и рабочих станций для тестирования. Но, как и большинство домашних лабораторий и остальные компьютеры в моем доме, они не присоединены к домену, что может затруднить удаленное управление Hyper-V. Чтобы обойти эту проблему, я обычно подключался к серверу по протоколу RDP, чтобы использовать диспетчер Hyper-V на сервере. Но это не лучшее решение.

          В течение нескольких месяцев я безуспешно пытался использовать клиент Hyper-V Manager на своем ПК с Windows 10 для подключения к узлу Hyper-V. Казалось, что бы я ни пытался, я столкнулся с различными проблемами, пытаясь заставить мой ПК с Windows 10 аутентифицироваться на хосте Hyper-V. Только когда я наткнулся на эту статью TechNet, она вдохновила меня на то, чтобы дать локальному клиенту диспетчера Hyper-V второй шанс. С небольшими изменениями я, наконец, смог заставить его работать. Если вы находитесь в той же лодке, что и я, ниже я подробно описал каждый шаг, который я предпринял, чтобы вы тоже могли удаленно управлять сервером Windows Server 2016 Hyper-V из Windows 10.

          Конфигурация сервера Hyper-V

          Во-первых, нам нужно настроить хост Hyper-V для приема удаленных подключений:

          1. Войдите на сервер Windows с учетной записью уровня администратора.
          2. Нажмите кнопку "Пуск", введите Windows PowerShell и нажмите Enter.
          3. По запросу PowerShell выполните следующие команды:
            Не забудьте нажать Y, чтобы подтвердить, что вы хотите включить CredSSP.

          Конфигурация клиента Windows 10

          Далее настроим клиентскую часть:

          1. Нажмите кнопку "Пуск", введите "Включить или отключить функции Windows" и нажмите Enter.
          2. Пройдите по списку функций и проверьте инструменты управления графическим интерфейсом Hyper-V, а затем нажмите "ОК".

          Установка клиента диспетчера Hyper-V

          Открытие административной консоли PowerShell

          Включить конфигурацию клиента удаленного управления Hyper-V

          Включить делегирование контента

          Редактирование Разрешить делегирование

          Редактирование списка делегирования

          Готов к подключению

          Теперь вы готовы запустить диспетчер Hyper-V на локальном ПК. Есть несколько дополнительных шагов, которые необходимы для подключения в сценарии без присоединения к домену.

          1. Нажмите кнопку "Пуск", введите "Диспетчер Hyper-V" и нажмите Enter.
          2. Когда загрузится диспетчер Hyper-V, щелкните элемент "Подключиться к серверу" в разделе "Действия".
          3. Выберите Другой компьютер и введите имя своего сервера.

          Установить Hyper-V довольно просто, так как используются основные компоненты инфраструктуры. Где вы начинаете сталкиваться с проблемами, так это в области управления. Если вы устанавливаете Hyper-V как компонент полной установки Windows с графическим интерфейсом, то все инструменты являются локальными и работают без проблем. Если вы хотите управлять Hyper-V удаленно, как и предполагалось, все становится сложнее, и вам понадобится диспетчер Hyper-V. Эта статья поможет вам установить связь.

          Знакомство с параметрами подключения для управления Hyper-V

          Самый простой вариант был упомянут во вступительном абзаце: работать локально с инструментами управления. Поскольку, как и для любого сервера, лучше всего избегать работы непосредственно с физической консоли, вы, скорее всего, будете выполнять это с помощью сеанса удаленного рабочего стола. Это нормально, если у вас есть только один хост Hyper-V, и он мало что делает. Это быстро утомляет, когда есть несколько хостов. Кроме того, любая активная сессия требует ресурсов, а взять их можно только у гостей. Чтобы сделать это еще менее желательным, сеансы удаленного рабочего стола представляют собой некоторую угрозу безопасности, поскольку их легче взломать, чем систему, управляемую PowerShell Remoting или традиционными инструментами на основе RPC, такими как Hyper-V Manager.

          Лучше установить инструменты управления в удаленной системе и разрешить им подключаться к узлам Hyper-V и управлять ими. Это немного больше проблем с настройкой, но боль управляема. Если все системы находятся в одном домене или доменах с правильно настроенными доверительными отношениями, все относительно просто.

          Можно оставить хост в режиме рабочей группы и подключиться к нему удаленно. Это не рекомендуемая конфигурация. Несмотря на распространенные и устойчивые мифы, узел Hyper-V, присоединенный к домену, может запускаться, даже если он не может подключиться к контроллеру домена, а оставлять свой узел Hyper-V в конфигурации рабочей группы гораздо менее безопасно, чем присоединять его к домену. Взломать локальные учетные записи безопасности намного проще, чем взломать учетную запись домена.

          Каждый раз, когда вы подключаетесь удаленно, используя локальные учетные данные, они должны передаваться по сети, что делает их уязвимыми для перехвата и компрометации. Учетные данные домена никогда не передаются по сети. Вы также должны обойти проверку подлинности между хостами или выполнить довольно сложный процесс совместного использования сертификатов для среды рабочей группы. Методы изоляции будут рассмотрены в следующей статье о сети, но на данный момент лучшим выбором практически во всех случаях является подключение хоста к домену.

          Как включить удаленное управление Hyper-V

          Для узлов Hyper-V в пределах одного или доверенных доменов в Windows очень мало нужно настраивать, хотя у вас могут быть аппаратные брандмауэры, которые необходимо настроить. Все эти шаги необходимо будет выполнить, если вы собираетесь оставить хост в режиме рабочей группы.

          Порты брандмауэра

          Если вы используете только встроенный брандмауэр Windows, для компьютеров, присоединенных к домену, делать больше нечего. В 2012 R2 Диспетчер серверов и все инструменты управления могут автоматически проходить через брандмауэр других серверов, присоединенных к домену, без дальнейшего прерывания. Для компьютеров, присоединенных к рабочей группе, лучше всего найти правила брандмауэра в инструменте Брандмауэр Windows в режиме повышенной безопасности, которые соответствуют инструментам удаленного управления, которые вы хотите использовать, и выборочно открывать их для необходимых удаленные IP-адреса. Если вы используете аппаратные брандмауэры, Microsoft не публикует все необходимые порты для открытия. Обычно они находятся в первых нескольких портах динамического диапазона (49 152 и выше), но могут меняться.

          Наиболее важными для открытия являются порты 135 (сопоставитель конечных точек RPC) и 5985 (WSMan). Если вы предпримете дополнительный шаг по отправке трафика WSMan через зашифрованное соединение, он будет перемещаться через порт 5986. Имейте в виду, что это обеспечивает небольшую дополнительную безопасность. Единственная незашифрованная часть стандартного трафика WSMan — это начальное согласование.

          Microsoft предоставляет подробную информацию о настройке брандмауэра здесь.

          Использование удаленного взаимодействия PowerShell для управления Hyper-V

          Многие функции доступны только через PowerShell, многие процедуры автоматизации требуют этого, и с его помощью легче выполнять многие распространенные задачи. Чтобы PowerShell мог работать с удаленными системами, проще всего выполнить следующее в командной строке PowerShell с повышенными привилегиями:

          Удаленное взаимодействие PowerShell включает в себя проверку пользователей и компьютеров, что может усложнить ситуацию, когда вы находитесь в рабочей группе. Вы можете использовать SSL-сертификаты или полностью обойти проверку подлинности компьютера, добавив записи в список «TrustedHosts» как на исходном, так и на целевом компьютерах.Сертификаты, безусловно, самый надежный метод. Список TrustedHosts — это система «на ваше усмотрение», которая принимает любой компьютер, имя которого представлено в списке. В следующем разделе о межмашинных операциях будет вновь рассмотрена тема SSL-сертификатов.

          Удаленное взаимодействие с PowerShell — это обширная тема, которая больше относится к области общего администрирования Windows, чем к Hyper-V в частности, поэтому ее полное обсуждение здесь неуместно. Подробную информацию см. в нашей серии статей об удаленном взаимодействии PowerShell.

          Использование консолей MMC для управления Hyper-V

          Существует ряд консолей MMC, которые можно использовать для удаленного подключения и управления Hyper-V и управляющей операционной системой. Способ их включения и предоставляемые ими возможности зависят от используемой операционной системы.

          Предположим, что целевой системой является 2012 R2:

          • В Windows 8 Профессиональная или Корпоративная можно будет просматривать и управлять функциями, которые были доступны в версии 2012. Консоль Hyper-V и базовые консоли управления компьютером встроены. Все остальные консоли, такие как диспетчер отказоустойчивого кластера, входят в состав загружаемого пакета средств удаленного администрирования сервера (RSAT).
          • В Windows Server 2012 можно будет просматривать функции, доступные в версии 2012, и управлять ими. Все консоли встроены.
          • В Windows 8.1 Профессиональная или Корпоративная можно будет просматривать все функции и управлять ими. Консоль Hyper-V и основные консоли управления компьютером встроены. Все остальные консоли, такие как диспетчер отказоустойчивого кластера, являются частью отдельного пакета RSAT.
          • Windows Server 2012 R2 сможет просматривать все функции и управлять ими. Все консоли встроены.
          • Серия продуктов Windows 10 должна иметь возможность просматривать и контролировать все функции 2012 R2. На момент написания этой статьи его инструменты удаленного администрирования сервера и модули PowerShell по-прежнему работали неправильно.

          Как загрузить удаленные консоли для настольных операционных систем

          Как включить удаленные консоли в настольных операционных системах

          Есть несколько способов получить доступ к нужному местоположению для включения консолей. Самый быстрый способ — открыть меню «Пуск» и ввести «Включение или отключение компонентов Windows». По мере ввода Windows должна искать предложения и, скорее всего, сделает ярлык доступным для вас, прежде чем вы введете всю фразу. Вы также можете найти эту ссылку, если откроете узел «Программы и компоненты» панели управления.

          Появившись на экране, разверните узел Hyper-V и установите флажок для инструментов управления Hyper-V. Если вы загрузили RSAT, будет узел дерева для средств удаленного администрирования сервера. Разверните это и включите любые консоли, которые вам нужны. Следующий снимок экрана был сделан из Windows 8.1; Windows 10 очень похожа.


          < /p>

          Как включить удаленные консоли в серверных операционных системах

          В серверных операционных системах функции Windows обрабатываются в Диспетчере серверов, а не в Панели управления. Запустите диспетчер серверов. На его основном экране вы можете нажать «Добавить роли и функции». В строке меню в правом верхнем углу есть пункт «Добавить роли и функции» в раскрывающемся списке «Управление», который приведет вас к тому же месту.

          Это место — мастер «Добавить роли и компоненты». Нажмите «Далее» на первых двух экранах, и вы попадете на страницу «Выбор целевого сервера». Выделите серверы, на которые вы хотите добавить функции, и перейдите от страницы «Роли серверов» к странице «Функции». В отличие от настольных операционных систем, все, что вам нужно для удаленного управления, находится под узлом Remote Server Administration Tools. В частности, инструменты управления Hyper-V находятся в узле инструментов администрирования ролей:


          < /p>

          Отметьте этот вариант вместе с любыми другими, которые вы хотели бы иметь в системе. Продолжите работу мастера, чтобы завершить установку.

          Как получить доступ к консоли MMC после установки

          После установки консолей они появятся в разделе "Администрирование" в меню "Пуск" и на панели управления. Конечно, вы также можете получить к ним доступ по имени на начальном экране (Windows 8.1) или в меню «Пуск» (Windows 10). Просто нажмите кнопку «Пуск» и начните печатать. Например, начните вводить «Hyper-V», и он предложит «Диспетчер Hyper-V». Для удобства вы можете закрепить эту консоль в основном меню «Пуск» или на панели задач, как и любое другое приложение.

          Как управлять удаленными компьютерами с помощью MMC-консолей в домене

          Если вы работаете в домене, а исходный и конечный компьютеры находятся в одном домене, то вам больше нечего делать.Вам нужно только убедиться, что вы запускаете консоли, используя учетные данные учетной записи с правами администратора в целевой системе.

          Как управлять удаленными компьютерами с помощью MMC-консолей в рабочей группе

          Если у вас есть системы, присоединенные к рабочей группе, где-то в миксе, это немного усложняет задачу. Ваш первый и лучший вариант почти всегда состоит в том, чтобы присоединить все системы к одному или доверенным доменам. Kerberos обеспечивает уровень безопасности и удобства, который невозможно сравнить с режимом рабочей группы.

          Если по какой-либо причине вам необходимо использовать режим рабочей группы, необходимо выполнить ряд настроек. Имейте в виду, что даже после внесения всех этих изменений некоторые люди по-прежнему не могут удаленно управлять своими системами Hyper-V.

          1. Совпадение с административными учетными записями. Учетная запись, под которой вы запускаете консоль в удаленной системе, должна точно совпадать с учетной записью администратора в целевой системе. Это означает, что и имя пользователя, и пароль должны быть одинаковыми в обоих местах, и если вы когда-нибудь измените одно, вы должны изменить и другое. Если вы работаете с несколькими системами, эти соответствующие учетные записи должны поддерживаться в каждой системе. Имейте в виду, что при использовании любых инструментов под этой учетной записью учетные данные передаются по сети и могут быть перехвачены, хотя они и зашифрованы.
          2. Включите WinRM. На всех задействованных системах выполните в командной строке с повышенными привилегиями следующую команду:

          Включите учетную запись АНОНИМНЫЙ ВХОД для удаленного управления. В удаленной системе (та, где вы будете запускать консоль):

          1. Нажмите «Пуск», введите dcomcnfg.exe и, когда исполняемый файл будет найден с помощью поиска, нажмите [Enter].
          2. Развернуть Службы компонентов.
          3. Развернуть Компьютеры.
          4. Щелкните правой кнопкой мыши "Мой компьютер" и выберите "Свойства".
          5. Перейдите на вкладку "Безопасность COM" и нажмите кнопку "Изменить ограничения" в разделе "Разрешения на доступ".
          6. Выделите запись АНОНИМНЫЙ ВХОД. Установите флажок Разрешить в строке удаленного доступа:


          < /p>

          1. Дважды нажмите "ОК" и "Да" в ответ на предупреждение. Закройте апплет Службы компонентов.

          Этого достаточно, чтобы включить диспетчер Hyper-V и несколько других консолей. Для других необходимо изменить правила брандмауэра. Существует множество руководств по управлению брандмауэром Windows. Вы можете поискать в Интернете конкретные записи или обратиться к разделу «Ссылки» в конце этой статьи, чтобы найти более общие записи.

          Использование сторонних инструментов и сценариев для управления Hyper-V

          Hyper-V имеет богатую и растущую экосферу с рядом коммерческих организаций и независимых энтузиастов, постоянно производящих новый материал. Некоторые из этих инструментов связаны со следующим списком бесплатных инструментов управления и мониторинга Hyper-V.

          Многомашинные операции

          До сих пор то, что вы видели, включало подключение с одного исходного компьютера к одному целевому компьютеру. Некоторые операции требуют так называемого «двойного перехода», при котором вы удаленно даете указание одной машине отправить инструкции третьей машине. Это по своей сути небезопасная операция, поэтому по умолчанию она заблокирована даже внутри домена. Иногда его использование — просто вопрос удобства; например, используя один удаленный сеанс PowerShell для перехода на другой компьютер. В других случаях это почти неизбежно; например, динамическая миграция без общего доступа.

          CredSSP

          CredSSP — это сокращение от «Поставщик поддержки безопасности учетных данных». Этот причудливый термин означает, что существует провайдер, который может передавать зашифрованные учетные данные с одного компьютера на другой. Это в основном используется с PowerShell, но некоторые консольные функции используют его, когда системы присоединены к домену. У CredSSP есть очень серьезный недостаток, заключающийся в том, что учетные данные хранятся на удаленной машине первого перехода и передаются с использованием метода, который можно перехватить. Вторая проблема с CredSSP заключается в том, что он работает только один раз; компьютер-получатель не может передать эти учетные данные третьей системе. Напротив, Kerberos может продолжать передавать токены бесконечно.

          Чтобы включить CredSSP в конечной конечной системе (компьютере, который будет принимать сохраненные учетные данные с другого компьютера), выполните следующее в командной строке PowerShell с повышенными привилегиями:

          В системе, которая будет хранить учетные данные и пересылать их на предыдущую систему, выполните следующую команду в командной строке PowerShell с повышенными привилегиями:

          Это позволит указанному именованному компьютеру подключиться, а затем передать учетные данные третьему компьютеру. Вы можете использовать звездочку, чтобы разрешить доступ всем членам домена, хотя это еще больший риск для безопасности.

          При использовании PowerShell для подключения к системе с поддержкой CredSSP убедитесь, что вы используете параметр –Authentication и предоставляете учетные данные:

          То же самое нужно сделать при подключении к третьему компьютеру.

          Хотя технически возможно включить CredSSP для систем, присоединенных к рабочей группе, для этого требуется доступ к локальной групповой политике. Это может быть проблемой в системе Hyper-V, присоединенной к рабочей группе. Он также не поддерживается для таких функций, как Shared Nothing Live Migration. Ссылка на блог TechNet по этой теме включена в раздел «Ссылки» в конце этой статьи.

          Сертификаты SSL

          Некоторые операции между хостами, такие как реплика Hyper-V, упрощаются за счет использования сертификатов SSL. В большинстве случаев не поддерживается использование самозаверяющих сертификатов (сертификатов, которые выдает себе не центр сертификации), поскольку они не могут быть проверены. Поддерживается использование ваших собственных сертификатов, созданных центром сертификации под вашим контролем, например, созданным на базе Windows Server 2012 R2, на котором запущены службы сертификации Microsoft.

          Если у вас нет такой системы (называемой инфраструктурой открытых ключей или PKI), настроить ее несложно. Для его работы не требуется домен, поэтому, если вы находитесь в режиме рабочей группы, вы можете использовать его в нескольких случаях, чтобы обойти ограничения, которые в противном случае потребовали бы домен. Microsoft предоставляет руководство со ссылками на подробное описание здесь.

          У вас также есть возможность использовать сертификаты от внешнего коммерческого поставщика, например VeriSign или InCommon. Если вы не собираетесь предоставлять хосты Hyper-V внешним клиентам, обычно это ненужные расходы.

          Для неопытного администратора установка сертификатов может оказаться сложной задачей. Начните с этого справочника TechNet. Более подробная процедура описана в книге Безопасность Hyper-V, написанной Эриком Сироном и Эндрю Сыревичем. У многих провайдеров SSL также есть инструкции по установке этих сертификатов, которые одинаково хорошо работают независимо от того, откуда были получены сертификаты.

          Как использовать SSL с WSMan и PowerShell

          Настройка WSMan для использования SSL-сертификатов — довольно сложная задача, и, как упоминалось ранее в этой главе, она не сильно повышает безопасность. Если вы все равно хотите его использовать, Microsoft опубликовала одно из немногих, но в то же время одно из лучших руководств по этому вопросу.

          Резервное копирование Windows Server

          Если вы запускаете или управляете виртуальными средами с одной или несколькими физическими машинами или устаревшими серверами, которые не были виртуализированы, теперь вы можете использовать Altaro Physical Server Backup для защиты этих физических машин и обеспечения их безопасности. Altaro Physical Server Backup — это бесплатное решение для резервного копирования сервера Windows, созданное для удовлетворения этой потребности, с дополнительным бонусом в том, что оно бесплатное. Создавайте резервные копии физических серверов в вашей сети с помощью этого решения P2V и получайте выгоду от быстрого и простого восстановления в случае аварии. Скачать резервную копию физического сервера Altaro

          Загрузили ли вы недавно бесплатную версию Hyper-V Server Core 2016/2019 для виртуализации своей среды? Затем вы, вероятно, пытались подключиться к нему с помощью диспетчера Hyper-V и получили следующее сообщение об ошибке: Не удалось включить делегирование учетных данных на сервер (CredSSP).

          Леос начал работать в ИТ-индустрии в 1995 году. Последние 15 лет он занимался администрированием и безопасностью Windows Server, VMware. Леос — внештатный эксперт, работающий в банковских учреждениях. Он также руководит ИТ-аутсорсинговой компанией в Йичине, Чешская Республика.

          • Советы по управлению исправлениями: обновление ИТ-систем в больших и малых сетях – среда, 20 октября 2021 г.
          • Настройка Windows 11 Домашняя с автономной учетной записью — понедельник, 18 октября 2021 г.
          • Сброс пароля Windows 11 и пароля администратора Windows Server 2022 — понедельник, 20 сентября 2021 г.

          Один из наших клиентов, владелец малого бизнеса, попросил нас заменить его текущий сервер. Непосредственно на сервере была установлена ​​старая установка Windows Server 2008 R2. Конечно, мы сразу же решили использовать бесплатный сервер Hyper-V, предлагаемый Microsoft, и использовать два права на виртуализацию виртуальных машин, включенные в лицензию Windows 2019 Standard. Из соображений безопасности первая виртуальная машина будет использоваться для размещения контроллера домена и других основных служб, а вторая виртуальная машина — для размещения файлов, печати и других пользовательских служб.

          Во-первых, я прочитал сообщение на 4sysops, написанное Вольфгангом о функциях и ограничениях бесплатного Hyper-V Server 2019. В его сообщении упоминалось, что диспетчера Hyper-V нет. В тот момент я подумал: «Как я буду управлять гипервизором? Я действительно не хочу делать все с помощью PowerShell или через Windows Admin Center!»

          Несмотря на то, что диспетчер Hyper-V действительно не входит в бесплатную установку сервера Hyper-V, поскольку установка представляет собой версию ядра сервера, вы все равно можете использовать диспетчер Hyper-V, установленный на вашем компьютере с Windows 10 и подключиться удаленно. Если у вас еще не установлен диспетчер Hyper-V, выберите «Программы и компоненты» > «Включение или отключение компонентов Windows» и включите «Инструменты управления Hyper-V».

          Поэтому я установил гипервизор и выполнил базовую настройку сети.На данный момент, поскольку это был первый сервер, доступный в моей среде, у меня не было доступного домена Active Directory. Сервер Hyper-V был членом WORKGROUP. Затем я открыл Диспетчер Hyper-V на своем компьютере с Windows 10 и выбрал Подключиться к серверу…

          Подключение к серверу в диспетчере Hyper V

          Подключение к серверу в диспетчере Hyper V

          Обратите внимание, что я использовал короткое имя NetBIOS "HVTEST" и выбрал Подключиться в качестве другого пользователя. После того как я ввел учетные данные и подтвердил их, мне было предложено включить делегирование учетных данных пользователя.

          Включить делегирование учетных данных пользователя

          Включить делегирование учетных данных пользователя

          В этот момент меня попросили делегировать учетные данные полному доменному имени «HVTEST.local», а не просто «HVTEST». После того, как я нажал "Да", было возвращено следующее сообщение об ошибке: "Не удалось включить делегирование учетных данных серверу "HVTEST"".

          Не удалось включить делегирование учетных данных на сервер

          Не удалось включить делегирование учетных данных на сервер

          В сообщении также говорилось, что для включения CredSSP требуются права администратора.

          В этот момент я начал искать советы в Интернете. Я нашел несколько статей. Некоторые из них содержали совершенно вводящую в заблуждение информацию, например, изменение параметров безопасности COM-объекта. Другие, как в документации Microsoft, не содержали очень конкретных деталей или содержали дополнительные действия, которые были ненужны. Вот почему я углубился в эту тему и все проверил для вас. В этом посте вы найдете точные шаги, необходимые для того, чтобы все заработало.

          Включить удаленное взаимодействие PowerShell ^

          Первым шагом в документации MS является включение удаленного взаимодействия PowerShell как на сервере Hyper-V, так и на Windows 10. Но подождите секунду — моя консоль Hyper-V показывает, что удаленное управление уже включено.

          Hyper V Консоль сервера

          Консоль сервера Hyper V

          Здесь важно отметить, что после установки сервера Hyper-V сетевой профиль становится общедоступным, а удаленное взаимодействие по-прежнему включено.

          Hyper V Сетевой профиль сервера

          Сетевой профиль сервера Hyper V

          Если вы попытаетесь включить удаленное взаимодействие PowerShell на компьютере с Windows 10 с установленным общедоступным профилем, это не удастся.

          Включить PSRemoting в Windows 10 с общедоступным сетевым профилем

          Поэтому я включаю удаленное взаимодействие только на своем компьютере с Windows 10:

          Включить аутентификацию CredSSP ^

          Следующий шаг — включить CredSSP на моем сервере Hyper-V.

          Далее, поскольку я все еще в рабочей группе, мне нужно добавить свой сервер Hyper-V в список TrustedHosts на моем компьютере с Windows 10.

          Мне также необходимо включить CredSSP на моем компьютере с Windows 10.

          Изменение локальной групповой политики ^

          Последним шагом для решения этой проблемы является изменение параметров делегирования учетных данных в локальной групповой политике. В редакторе локальной групповой политики (gpedit.msc) выберите Конфигурация компьютера > Административные шаблоны > Система > Делегирование учетных данных. Здесь вы можете заметить, что параметр Разрешить делегирование новых учетных данных уже включен.

          Разрешить делегирование свежие учетные данные

          Разрешить делегирование новых учетных данных

          На самом деле это было настроено командой Enable-WsManCredSSP, которую мы выполнили. Обратите внимание, что были добавлены два значения — wsman/HVTEST и wsman/HVTEST.local.

          Я также должен включить эти значения для параметра Разрешить делегирование новых учетных данных с аутентификацией сервера только NTLM моему хосту.

          Разрешить делегирование новых учетных данных с проверкой подлинности только на сервере NTLM

          Разрешить делегирование новых учетных данных с проверкой подлинности только сервера NTLM

          Обратите внимание, что это также работает, если я добавляю только wsman/HVTEST.local, но не работает, если я добавляю только wsman/HVTEST.

          Вот и все. Теперь я могу управлять своим бесплатным Hyper-V Server Core с помощью диспетчера Hyper-V в рабочей группе.

          Hyper V Manager наконец-то заработал

          Добавление ядра сервера Hyper-V в домен ^

          Если у вас уже есть Active Directory, это совсем другое дело. Просто присоедините сервер Hyper-V к своему домену (вариант 1 в консоли сервера Hyper-V), и вы сможете свободно использовать диспетчер Hyper-V без дополнительной настройки. Следите за двумя вещами: правильными настройками времени на вашем сервере Hyper-V и правильной записью DNS, доступной для вашего хоста. Аутентификация Kerberos не любит неправильную настройку времени и не может использоваться с IP-адресом.

          Подпишитесь на рассылку новостей 4sysops!

          Вывод ^

          Мне очень нравится бесплатный сервер Hyper-V, предлагаемый Microsoft, поскольку я могу развернуть его для своих клиентов и полностью использовать их оборудование. Как видите, когда вы загружаете и устанавливаете бесплатное Hyper-V Server Core, может быть немного сложно подключиться к нему с помощью диспетчера Hyper-V, особенно если у вас еще нет доступного домена. Я надеюсь, что эта статья помогла вам решить эту проблему с наименьшим количеством шагов настройки. Эта процедура также применима как к Hyper-V Server 2016/2019, так и к Hyper-V Server с установкой с графическим интерфейсом.

          Читайте также: