Russian Windows Virtualization Discussion

Hyper-V Constrained Delegation of Authority — или как подключить образы компакт-диска с другого сервера или разместить виртуальные диски на сетевом ресурсе

Я думаю, что многие из вас уже пробовали подключить к виртуальному компакт-диску ВМ образ в формате ISO, который лежит на неком файловом сервере. Или может вы пробовали подключить к виртуальный диск в формате VHD, находящийся на удаленном сервере, а не локальном диске? Ведь благодаря SMB 2.0 производительность сети в Windows Server 2008 значительно увеличилась — и особенно это заметно при доступе к крупным файлам. Так или иначе, вне зависимости от того, используете вы Hyper-V, Virtual Server 2005 или даже какое-то стороннее решение виртуализации (при условии, что оно запускается не как приложение пользователя, а как служба ОС), задачу подключения дисков к ВМ по сети вы сразу выполнить не сможете. Причина конечно же известна — службы работают в контексте учетной записи «Local System», которая не всегда имеет права доступа к сетевым ресурсам. В Базе знаний Microsoft есть несколько статьей, посвященных этой проблеме. Сегодня мы детально разберемся в нем, чтобы более вопросов не возникало. Я буду описывать подход для Windows Server 2008 и Hyper-V — но имейте в виду, что для Windows XP/2003/Vista и Virtual Server 2005 все делается аналогично. Причем оговорюсь сразу — я описываю только поддерживаемый Microsoft способ с использованием Constrained Delegation, а не манипуляции с выдачей прав на различные объекты учетным записям компьютеров.

Окончательный выпуск Offline Virtual Machine Servicing Tool

Некоторое время назад мы уже подробно описывали Offline Virtual Machine Servicing Tool. Напомню вкратце, что это бесплатный набор инструментов и документации (так называемый Solution Accelerator), предназначенный для поддержания виртуальных машин в соответствии с требованиями к установке обновлений ПО. В качестве источника обновлений используется либо WSUS, либо System Center Configuration Manager. В случае необходимости, OVMST сам запустит выключенные или приостановленные ВМ, инициирует установку обновлений, а затем вернёт ВМ в исходное состояние.

Offline Virtual Machine Servicing Tool

Количество виртуальных машин, используемых в индустрии ИТ, неизменно растет. Кто-то использует их для реальных повседневных задач, кто-то тестирует ПО и/или настройки ОС, кто-то переводит старые ОС в виртуальную среду и запускает их при необходимости. Многие содержат на сервере или кластере по сотне виртуальных машин, хотя одновременно бывает запущено около десятка — по соображениям производительности и/или лицензирования. Многие хранят шаблоны виртуальных машин в библиотеках SCVMM или просто на сетевых ресурсах. Так или иначе, количество виртуальных машин растет — причем не только постоянно запущенных, но и хранимых на серверах и включаемых эпизодически. Подход хранения большого количества ВМ на сервере и использования их по мере необходимости удобен для администраторов, но несет в себе угрозу уровню информационной безопасности предприятия. Ведь на выключенных машинах не обновляется антивирус, не устанавливаются исправления безопасности ОС и приложений. Включая такую виртуальную машину вы рискуете подвергнуть ее атаке, потерять данные или даже контроль над ней.

Ошибки авторизации при попытке соединиться с виртуальной машиной Hyper-V

Если у вас возникает ситуация, когда при попытке соединится с удаленной виртуальной машиной при помощи стандартной утилиты Virtual Machine Connection (vmconnect.exe) возникают ошибки авторизации "Authentication Error", то решить проблему скорее всего можно отключив настройку использования "Use Default Credentials" в "Hyper-V Settings" стандартной консоли Hyper-V Manager.

Какие порты использует Hyper-V?

Ответим сегодня на часто задаваемый вопрос: «Какие порты необходимы для управления сервером при помощи Hyper-V Manager?». Радовать особенно нечем: 135, 2179, 49512-65535. Да, в MMC используется протокол RPC — а следовательно, требуется динамический набор верхних портов. Windows Server 2008 по умолчанию выделяет 16384 динамических порта. Это, однако, можно изменить.

Нaстройка удаленного доступа к Hyper-V

Мы только что рассмотрели, как делегировать пользователю права на управление Hyper-V. Но этими правами пользователь сможет воспользоваться, только работая на сервере локально. Для того, чтобы управлять гипервизором с другого компьютера, пользователю, который не является администратором, потребуется выполнить ряд настроек — как на стороне сервера, так и на стороне клиента. Описанные в этой статье шаги применимы к версии RC0 гипервизора Hyper-V и RC0 версии клиентской утилиты управления Hyper-V Manager для Vista SP1 (x86 и x64). Итак, на сервере следует выполнить следующие шаги: