Hyper-V 实时迁移(Live Migration) 的 身份验证方式配置错误 解决方法
非常好,这个错误日志很完整,我可以明确告诉你:
这是 Hyper-V 实时迁移(Live Migration) 的 身份验证方式配置错误 引起的,根本原因是:
🧩 “Credential Guard 开启 → CredSSP 不可用 → 迁移凭据验证失败 (0x8009030E)”
⚠️ 错误分析简要说明
错误核心:
安全包中没有可用的凭证 (0x8009030E)
CredentialGuard 不兼容 CredSSP
说明:
-
默认情况下,Hyper-V 的迁移认证机制是 CredSSP(基于交互登录的凭证传递);
-
但在 Windows Server 2022 / 2025 上,Credential Guard 默认启用,会阻止 CredSSP;
-
所以要迁移成功,你必须改为使用 Kerberos 身份验证,并配置 受限委派 (Constrained Delegation)。
✅ 正确启用 Hyper-V 迁移(Kerberos 模式)
一、确保两台主机在同一域中
例如:
SC-S1.SHUNCOM.LOCAL
S-FACTORY02.SHUNCOM.LOCAL
都加入同一个域 SHUNCOM.LOCAL,并能互相解析主机名(DNS 正常)。
二、在“Hyper-V 设置”中启用迁移
在两台主机上都执行:
1️⃣ 打开 Hyper-V 管理器
2️⃣ 点击左侧主机名 → 右键 → “Hyper-V 设置”
3️⃣ 选择左侧 “实时迁移”
-
勾选 “允许此计算机发送和接收实时迁移的虚拟机”
4️⃣ 点击 “高级功能”: -
选择 使用 Kerberos 身份验证
-
迁移性能 → 允许 TCP/IP 连接(默认 6600 端口)
三、在 Active Directory 中启用受限委派
在域控上执行(或在 AD 用户和计算机中操作):
1️⃣ 打开 Active Directory 用户和计算机 (dsa.msc)
2️⃣ 找到源主机帐户,例如:S-FACTORY02$
3️⃣ 右键 → 属性 → “委派”选项卡
4️⃣ 选择:
信任此计算机仅委派指定服务到指定用户或计算机(仅 Kerberos)
5️⃣ 点击 “添加”:
-
选择目标主机
SC-S1 -
勾选服务类型:
cifs Microsoft Virtual System Migration Service
即同时选中这两个服务。
6️⃣ 确认保存,等待 AD 同步。
四、配置防火墙(如有开启)
在两台主机上都执行(管理员 PowerShell):
Enable-NetFirewallRule -DisplayGroup "Hyper-V"
或手动开放:
TCP 6600
五、重启 Hyper-V 服务
两台主机都执行:
Restart-Service vmms
六、使用 Kerberos 模式发起迁移
在 Hyper-V 管理器中:
1️⃣ 右键虚拟机 → “移动”
2️⃣ 选择 “将虚拟机移至另一台计算机”
3️⃣ 输入目标主机 FQDN(例如 SC-S1.shuncom.local)
4️⃣ 完成迁移向导
如果配置正确,此时迁移应成功完成,不再报 (0x8009030E)。
🧰 备用方案(临时迁移)
如果你只想临时完成一次迁移,不想动域策略:
你可以使用 导出 / 导入 方式:
在源主机:
Export-VM -Name "VMName" -Path "D:\Export"
在目标主机:
Import-VM -Path "D:\Export\VMName"
这种方式绕过了实时迁移认证机制。
✅ 总结要点
| 项目 | 默认设置 | 推荐修复 |
|---|---|---|
| 身份验证模式 | CredSSP | ✅ 改为 Kerberos |
| Credential Guard | 默认启用 | ✅ 保留启用,无需关闭 |
| 委派配置 | 无 | ✅ 启用受限委派 (cifs + migration service) |
| 防火墙 | 可能阻挡 | ✅ 开放 Hyper-V 相关规则 |
我可以帮你生成一份 域控受限委派配置的 PowerShell 脚本(自动完成步骤3)
是否要我帮你生成?
No Comments