Isokratisch: SCVMM, Bibliotheken und Berechtigungen - Tipps und Tricks
Virtualisierung mit Microsoft Private Cloud ist ein spannendes Thema. Doch können scheinbar kleine Aufgaben wie das Einbinden einer ISO (CD-Abbild) als Installationsquelle einer Virtual Machine zu unerwarteten Fehlern führen. Ein paar Tipps und Tricks.
Virtualisierung mit Microsoft Private Cloud und System Center Virtual Machine Manager 2012 SP1 (SCVMM) – ein spannendes Thema. Doch können scheinbar kleine Aufgaben wie das Einbinden einer ISO (CD-Abbild) als Installationsquelle einer Virtual Machine zu unerwarteten Fehlern führen.
Ich habe diesen Vorgang für Sie Schritt für Schritt dokumentiert und zeige die kleinen Haken auf. Das Ganze funktioniert zunächst sehr gut, wie Sie im Folgenden sehen. Voraussetzung ist, dass die ISO in der Library liegt und der «Refresh» durchgelaufen ist (standardmässig geschieht der Refresh der Library stündlich).
In diesem Besipiel lade ich die Windows Server 2012 «DVD».
Wenn man jetzt mit OK bestätigt, beginnt der SCVMM, die ISO in den VM-Zielpfad zu kopieren und hängt sie nachher an. Oft möchte man aber nicht die ISO kopieren (wofür, nach der Installation ist sie überflüssig …), sondern nur auf die ISO in der Library zugreifen.
Will man dies also vermeiden, muss man die Option «Share image file instead of copying it» wählen:
Möchte man jedoch das ISO-Image von der Freigabe aus mounten, ohne es in den VM-Ordner zu kopieren, schlägt der ISO-Mount fehl:
Weiter erhält man folgende Fehlermeldung:
Am «general access denied error» kann man sehen, dass hier ein Berechtigungsproblem vorliegt. Nun, Sie haben vermutlich genügend Rechte als User (in der Testumgebung sind Sie vermutlich Domain Admin), der SCVMM Service-User wird wohl auch auf seine Library kommen – welchen User Account verwendet SCVMM? Schaut man mit einem Tool wie dem Filemon (Bestandteil der Sysinternals) die Zugriffe an, zeigt sich, dass der Zugriff auf das ISO-File mit dem Computeraccount des Hyper-V Hosts (also der Maschine, auf die die VM einmal laufen soll) geschieht und nicht mit Ihrem Benutzer oder dem SCVMM Service-User.
Deshalb erstellen wir am besten eine Gruppe in der AD (Active Directory), die alle Hyper-V Hosts enthält.
Dieser Gruppe geben wir nun Leseberechtigung auf die VMM Library oder auf den Ordner der ISO Files. Achtung: Ich gehe davon aus, dass die Berechtigungen für den Share nach Best Practices eingestellt sind, also «Authenticated Users» mit «Full Control». Falls nicht, müssen Sie dies auch nachführen.
Damit sind wir aber noch nicht am Ende angelangt. Auch dem SCVMM müssen wir noch die Berechtigungen geben, sozusagen im Auftrag der Hyper-V Hosts zu agieren.
Dazu geht man ins ADAC (Active Directory Administrative Center) auf den jeweiligen Host und schaut sich die Einstellungen an.
Unter Delegation aktivieren Sie «Trust this computer for delegation to specified services only». Sie könnten hier der Einfachheit halber jeden Service freigeben. Aus Sicherheitsgründen erteilen wir die Freigabe aber nur für die benötigten Service-Typen.
So geht’s, wenn man dies lieber noch im «alten» ADUC (Active Directory Users and Computers) durchführt:
In PowerShell könnte man dasselbe so lösen:
Set-ADAccountControl -Identity:"CN=HYPERV01,OU=HYPERVNODES,DC=itpro,DC=ms" -
TrustedForDelegation:$false -TrustedToAuthForDelegation:$true
Set-ADComputer -Identity:"CN=HYPERV01,OU=HYPERVNODES,DC=itpro,DC=ms"-Replace:@{'msDS-
AllowedToDelegateTo'="cifs/SCVMM12NODE01","cifs/SCVMM12NODE01.itpro.ms"} -
Server:"SRVDC01.itpro.ms"
Diese Schritte wiederholt man nun für alle Hyper-V Hosts, und dem ISO Sharing steht nichts mehr im Weg.
Exklusives Road-to-MCSA/MCSE-Programm
Mehr über die neuen Microsoft-Server-Produkte erfahren Sie in unseren Microsoft-Server-Lehrgängen.