Hyper-V의 원격 관리 - Hyper-V 서버편

Hyper-V의 원격 관리 - Hyper-V 서버편

  • Comments 8
  • Likes

Windows Server 2008 Server Core 버전을 이용하여 Hyper-V의 설치를 권장한다는 이야기는 무수히 포스팅을 통해서 많이 해드렸던 내용입니다. 3월 20일 그랜드 힐튼에서 진행된 Launch 2008 오후 세션에서 제가 Windows Vista에서 MMC를 이용하여 Hyper-V를 관리하고, 데모를 진행했었던 것을 기억하시는 분도 계실 겁니다. 3월 28일에 Microsoft 본사의 John Howard가 영문으로는 잘 정리를 해서 올렸습니다만, 한글로 정리해야지 정리해야지...라고 못했던 것을 뒤늦게 정리하여 올립니다.

Hyper-V 관리 방안은 WMI를 이용한 관리 or 원격 컴퓨터에서 Hyper-V MMC를 이용한 관리를 말씀드렸죠.

Launch 2008 이후, 그리고 Hyper-V RC0가 출시된 이후, 문의를 받았던 많은 내용중에 오늘은 Hyper-V의 원격 관리 방안에 대해서 논해보도록 하겠습니다.

Windows Vista SP1, Windows Server 2008에 Hyper-V MMC를 설치하시고, 원격지 서버에 접속하셨을 경우, 서버와 동일한 계정을 사용하시던? 다른 계정을 사용하시던 정상적으로 MMC 동작하지 않는 경우가 다반사입니다. 이는 여러 사항중 역시나 보안적인 설정(WMI, DCOM 보안 설정)으로 인해, 해당 문제가 발생하는 경우가 많습니다. 서버와 클라이언트 환경이 같은 도메인에 있느냐? 아니면 워크 그룹에 있느냐? 아니면 일부는 도메인, 일부는 워크 그룹에 있느냐에 따라서 설정이 약간씩 틀려지게 됩니다.

1. 계정 사용에 대한 결정

도메인 환경이라면 싱글 사인온 형태로 사용하겠지만, 서버와 클라이언트가 워크그룹 또는 혼재된 환경이라면, 어떻게 계정을 사용할지를 결정하셔야 합니다. 원격지에서 서버와 같은 Administrator에 암호를 사용하게 된다면, 인증이 되겠죠. Windows Vista의 경우에는 기본적으로는 Administrator가 사용 안함 상태가 되어져 있기 때문에, 이 포스팅에서는 별도의 계정을 생성한다라고 하겠습니다. Hyper-V 서버에서 Sjbaek라는 계정을 생성했다라고 가정하고 진행하겠습니다. 또한 여러 사람에게 권한을 부여하실 경우에는 Remote Virtualization Admins와 같은 그룹을 생성하시고 사용하시는 것도 추천합니다.

2. WMI에 대한 Windows 방화벽 설정

Netsh advfirewall firewall set rule group="WMI(Windows Management Instrumentation)" new enable=yes (한글 Windows Server 2008인 경우)
Netsh advfirewall firewall set rule group="Windows Management Instrumentation (WMI)" new enable=yes (영문 Windows Server 2008인 경우)

image

해당 작업을 마치시고, 관리 도구내 고급 보안이 설정된 Windows 방화벽에 가시면 인바운드 규칙에 아래와 같은 형태로 설정이 되게 됩니다.

image

아웃바운드 규칙의 경우도 확인하셔야죠.

image

3. DCOM 보안에 대한 설정

DCOM의 경우, 원격지에서 시작 및 활성화에 대한 권한이 제한적입니다. Administrators 그룹과 Distributed COM Users 그룹에 대해서 권한이 부여되어져 있죠. 서버와 클라이언트가 도메인 환경이라면, 클라이언트에서 사용하는 계쩡을 Distributed COM Users 그룹에 추가해주시고, 아니라면 클라이언트가 서버에 접근시 사용할 계정에 대해서 권한을 부여합니다.(아니면 아예 Authenticated Users에 권한을 줘도 되겠죠)

시작 - 실행 - DCOMCNFG를 실행합니다. 그리고 구성 요소 서비스 - 컴퓨터 - 내 컴퓨터 속성에 접근합니다.

image

COM 보안 탭에서 시작 및 활성화 권한에 있는 제한 편집을 클릭합니다. 원격에서 접근할 사용자인, Sjbaek 계정에 원격 시작, 원격 활성화 권한을 부여합니다.

image image

4. WMI에 대한 권한 부여

WMI는 Windows에 전반적인 정보가 저장되어져 있는 저장소 및 구성입니다. Hyper-V는 WMI를 이용하여 각종 정보에 대한 저장 및 전반적인 관리를 행하게 됩니다. WMI의 경우에도 특정 사용자에 한해서만 원격에서 정보를 사용할 수 있게 되어져 있습니다. 이에 대해 접근 권한을 부여해야 합니다. 이 경우에도 2번의 DCOM과 마찬가지로 도메인의 경우에는 클라이언트에 접근하는 계정, 워크 그룹 환경이라면 새롭게 생성한 계정 or Authenticated Users에 권한을 부여하면 됩니다.

관리 도구 - 컴퓨터 관리를 실행합니다. 서비스 및 응용 프로그램에서 WMI 컨트롤을 접근한 후, 속성을 클릭합니다.

image

이 중 권한을 부여할 노드는 두 곳입니다. 하나는 CIMV2, 다른 하나는 Virtualization입니다. 두 노드가 같은 작업을 해야하므로, CIMV2 노드에 대해서 살펴보겠습니다.

 image  image

CIMV2 노드를 클릭한 후, 보안을 클릭합니다. 그리고 고급을 클릭합니다. 고급 보안 설정 창이 나타나면, 추가를 클릭하고, 권한을 부여할 계정을 입력합니다.

image

권한을 위의 그림을 참고하셔서 부여합니다. 적용 대상은 이 네임스페이스와 하위 네임스페이스, 사용 권한은 원격으로부터 사용 가능, 그리고 이 컨테이너에 있는 개체 및/또는 컨테이너에 사용 권한 적용 체크 박스를 체크합니다. 이 작업을 CIMV2와 마찬가지로 Virtualization 노드에도 적용합니다.

5. Hyper-V 관리자 권한 부여

Hyper-V의 경우, 권한 관리를 권한 부여 관리자(Authorization Manager - AZMAN) 를 이용하여 부여합니다. 시작 - 실행에서 AZMAN.MSC를 실행합니다. 그리고 권한 부여 저장소 열기를 선택합니다.

image

Hyper-V의 권한 부여 저장소 파일은 \Programdata\Microsoft\Windows\Hyper-V 폴더에 저장되어져 있으며, InitialStore.xml 파일을 사용합니다. 이를 찾아보기를 이용하시던지, 직접 입력합니다.

image

권한 부여 관리자 - Hyper-V Services - 역할 지정 - Administrator 권한에 대해서 생성하신 계정 또는 도메인 계정, 그룹을 추가합니다.

image

자.. 이제 서버에 대한 설정은 모두 마쳤습니다. 해당 작업들은 서버를 재부팅해��야지만 반영이 됨을 잊지 말아주시기 바랍니다. :) 다음 편에서는 클라이언트 설정을 살펴보겠습니다.

Comments
  • 4월 8일 Hyper-V 원격 관리의 서버편을 포스팅 했습니다. 금일은 클라이언트의 설정편을 포스트하여, Hyper-V를 원격 관리하시기 위한 환경을 꾸며볼까 합니다. 서버와 클라이언트가

  • 좋은 내용 감사합니다.

    그런데, Hyper-V는 Server Core에서 권장을 하신다고 하셨는데, Server Core일 경우에는 위와 같은 설정을 어떻게 해 줘야 할까요?  필요 없을까요?  Server Core에서 Hyper-V가 잘 안되네요...

  • Server Core의 경우에 방화벽 설정은 NetSh, WMI의 경우에는 원격 컴퓨터에서 컴퓨터 관리를 사용하시면 됩니다. 또한 DCOM 보안 설정은 Platform SDK에 있는 dcomperm이라는 툴을 사용하시면 됩니다.

    dcomperm -ml set Koalra-VM\Koalra permit level:rl,ra

    AZMAN의 경우에는 XML파일을 다른 장소에서 수정해서 복사해주시면 되겠죠.

    감사합니다.

  • 빠른 답변 감사합니다.(거의 실시간 이네요^^..)

    한가지더 여쭤 보고 싶은 것은 원격 클라이언트에서 CMDKEY를 이용해서, 서버쪽의 administrator계정을 저장했더라도, 위의 작업이 필요한 것인가요?  기본적으로 서버쪽의 administrator계정은 위의 내용들에 대한 권한을 다 가지고 있는 것 같아서...

    말씀해주신 내용들은 모두 한 것 같은데, VM을 Start 시키면, 계속해서 아래와 같은 오류가 발생하네요..(3일째..쩝...)

    "An error occurred while attempting to change the state of virtual machine "서버명"

    '서버명' failed to change state

    어떤 부분을 체크해봐야 하는지, 어떤 문서등을 참고해야 하는지 알려 주실 수 있으신지요?

    항상 좋은 내용 포스팅에 감사드리고 있습니다~~^^

  • 제 생각엔 WMI쪽 권한이 없는 것 같습니다.

    같은 도메인이 아니라면, WMI쪽에서는 Anonymous Logon이 되기 때문에, WMI 관련된 작업이 보안에 걸려 실패하는 듯 싶습니다.

    권한을 체크해보세요 WMI쪽..

  • 좋은 답변과 관심 감사드립니다.

    결론적으로 해당 서버(HP DL320)가 Hyper-V가 지원하지 않는다는 HP의 공식적인 답변을 확인하였습니다.ㅠㅠ

    이상한 점은 BIOS쪽 Process 옵션에 Intel-Virtualiztion 설정 부분이 있는데도, Hyper-V가 지원을 하지 않는 군요. 아래 사이트에도 확인을 했습니다.

    http://windowsservercatalog.com/results.aspx?bCatId=1283&avc=10

    결과론적인 얘기지만, ServerCore가 아닌 Enterprise로 설치 해도 마찬가지로 안되었습니다.

    아무튼 지속적인 답변에 감사드립니다.^^;;

  • 그대로 따라 했는데요 서버-클라이언트 설정 모두...

    비스타에서 관리자로 접속하려 하면

    '이 작업을 완료하는 데 필요한 권한이 없습니다. 컴퓨터의 권한 부여 정책 관리자에게 문의하십시오.'

    라고 뜨면서 가상 컴퓨터를 가져오지 못합니다.

    비스타의 사용자 계정의 네트워크 암호 관리에서

    해당 서버의 암호를 Administrators 그룹에 속한 일반 계정이 아닌

    Administrator 관리자 계정으로 하면 됩니다.

    일반 계정으로 하려면 더 추가해야 할 것이 있나요?

    포스트에서의 예제도 Administrator 인데 꼭 이거여야만 하나요?

  • 서버코어에서 원격 관리 사용을 가능하게 설정하기 위해

    아래의 3개 명령을 수했습니다.

    1. netsh advfirewall set domainprofile settings remotemanagement enable

    "확인됨"

    2. netsh advfirewall firewall set rule group="원격 관리" new enable=yes

    "규칙을 3개 업데이트했습니다."

    "확인됨"

    3. netsh advfirewall firewall set rule name="원격 데스크톱 (TCP-In)" new enable=yes

    "지정된 조건과 일치하는 규칙이 없습니다"

    마지막 명령은 실행이 되질 않은거 같은데 룰 네임이 틀려서 그런건가요? 그럼 룰 네임을 확인 할 수 있는 명령은 무엇인지요?

Your comment has been posted.   Close
Thank you, your comment requires moderation so it may take a while to appear.   Close
Leave a Comment