# Hyper-V 实时迁移(Live Migration) 的 身份验证方式配置错误 解决方法 非常好,这个错误日志很完整,我可以明确告诉你: 这是 **Hyper-V 实时迁移(Live Migration)** 的 **身份验证方式配置错误** 引起的,根本原因是: > 🧩 “Credential Guard 开启 → CredSSP 不可用 → 迁移凭据验证失败 (0x8009030E)” --- ## ⚠️ 错误分析简要说明 错误核心: ``` 安全包中没有可用的凭证 (0x8009030E) CredentialGuard 不兼容 CredSSP ``` 说明: - 默认情况下,Hyper-V 的迁移认证机制是 **CredSSP(基于交互登录的凭证传递)**; - 但在 **Windows Server 2022 / 2025** 上,**Credential Guard 默认启用**,会阻止 CredSSP; - 所以要迁移成功,你必须改为使用 **Kerberos 身份验证**,并配置 **受限委派 (Constrained Delegation)**。 --- ## ✅ 正确启用 Hyper-V 迁移(Kerberos 模式) ### 一、确保两台主机在同一域中 例如: ``` SC-S1.SHUNCOM.LOCAL S-FACTORY02.SHUNCOM.LOCAL ``` 都加入同一个域 `SHUNCOM.LOCAL`,并能互相解析主机名(DNS 正常)。 --- ### 二、在“Hyper-V 设置”中启用迁移 在两台主机上都执行: 1️⃣ 打开 **Hyper-V 管理器** 2️⃣ 点击左侧主机名 → 右键 → “Hyper-V 设置” 3️⃣ 选择左侧 **“实时迁移”** - 勾选 “允许此计算机发送和接收实时迁移的虚拟机” 4️⃣ 点击 “高级功能”: - 选择 **使用 Kerberos 身份验证** - 迁移性能 → 允许 TCP/IP 连接(默认 6600 端口) --- ### 三、在 Active Directory 中启用受限委派 在域控上执行(或在 AD 用户和计算机中操作): 1️⃣ 打开 **Active Directory 用户和计算机 (dsa.msc)** 2️⃣ 找到源主机帐户,例如:`S-FACTORY02$` 3️⃣ 右键 → 属性 → “委派”选项卡 4️⃣ 选择: ``` 信任此计算机仅委派指定服务到指定用户或计算机(仅 Kerberos) ``` 5️⃣ 点击 “添加”: - 选择目标主机 `SC-S1` - 勾选服务类型: ``` cifs Microsoft Virtual System Migration Service ``` > 即同时选中这两个服务。 6️⃣ 确认保存,等待 AD 同步。 --- ### 四、配置防火墙(如有开启) 在两台主机上都执行(管理员 PowerShell): ```powershell Enable-NetFirewallRule -DisplayGroup "Hyper-V" ``` 或手动开放: ``` TCP 6600 ``` --- ### 五、重启 Hyper-V 服务 两台主机都执行: ```powershell Restart-Service vmms ``` --- ### 六、使用 Kerberos 模式发起迁移 在 Hyper-V 管理器中: 1️⃣ 右键虚拟机 → “移动” 2️⃣ 选择 “将虚拟机移至另一台计算机” 3️⃣ 输入目标主机 FQDN(例如 SC-S1.shuncom.local) 4️⃣ 完成迁移向导 如果配置正确,此时迁移应成功完成,不再报 `(0x8009030E)`。 --- ## 🧰 备用方案(临时迁移) 如果你只想**临时完成一次迁移**,不想动域策略: 你可以使用 **导出 / 导入** 方式: 在源主机: ```powershell Export-VM -Name "VMName" -Path "D:\Export" ``` 在目标主机: ```powershell Import-VM -Path "D:\Export\VMName" ``` 这种方式绕过了实时迁移认证机制。 --- ## ✅ 总结要点
项目默认设置推荐修复
身份验证模式CredSSP✅ 改为 Kerberos
Credential Guard默认启用✅ 保留启用,无需关闭
委派配置✅ 启用受限委派 (cifs + migration service)
防火墙可能阻挡✅ 开放 Hyper-V 相关规则
--- 我可以帮你生成一份 **域控受限委派配置的 PowerShell 脚本**(自动完成步骤3) 是否要我帮你生成?