Isokratisch: SCVMM, Bibliotheken und Berechtigungen
Virtuelle Umgebungen sind leistungsfähig, aber auch tückisch. Wer mit Microsofts Private Cloud und dem System Center Virtual Machine Manager arbeitet, weiss: Schon eine kleine Einstellung kann den gesamten Prozess ausbremsen. Besonders beim Einbinden von ISO-Dateien steckt der Teufel im Detail. Damit du nicht an Berechtigungen oder unscheinbaren Optionen scheiterst, zeigt dir dieser Beitrag Schritt für Schritt, wie du Stolperfallen vermeidest und deine virtuellen Maschinen reibungslos installierst.
Virtualisierung mit Microsoft Private Cloud und System Center Virtual Machine Manager 2012 SP1 (SCVMM) – ein spannendes Thema. Doch können scheinbar kleine Aufgaben wie das Einbinden einer ISO (CD-Abbild) als Installationsquelle einer Virtual Machine zu unerwarteten Fehlern führen.
Ich habe diesen Vorgang für dich Schritt für Schritt dokumentiert und zeige die kleinen Haken auf. Das Ganze funktioniert zunächst sehr gut, wie du im Folgenden siehst. Voraussetzung ist, dass die ISO in der Library liegt und der «Refresh» durchgelaufen ist (standardmässig geschieht der Refresh der Library stündlich).
In diesem Beispiel lade ich die Windows Server 2012 «DVD».
Wenn du jetzt mit OK bestätigst, beginnt der SCVMM, die ISO in den VM-Zielpfad zu kopieren und hängt sie nachher an. Oft möchtest du aber nicht die ISO kopieren (wofür, nach der Installation ist sie überflüssig …), sondern nur auf die ISO in der Library zugreifen.
Willst du dies also vermeiden, musst du die Option «Share image file instead of copying it» wählen:
Möchtest du jedoch das ISO-Image von der Freigabe aus mounten, ohne es in den VM-Ordner zu kopieren, schlägt der ISO-Mount fehl:
Weiter erhältst du folgende Fehlermeldung:
Am «general access denied error» kann man sehen, dass hier ein Berechtigungsproblem vorliegt. Nun, du hast vermutlich genügend Rechte als User (in der Testumgebung bist du vermutlich Domain Admin), der SCVMM Service-User wird wohl auch auf seine Library kommen – welchen User Account verwendet SCVMM? Schaut man mit einem Tool wie dem Filemon (Bestandteil der Sysinternals) die Zugriffe an, zeigt sich, dass der Zugriff auf das ISO-File mit dem Computeraccount des Hyper-V Hosts (also der Maschine, auf die die VM einmal laufen soll) geschieht und nicht mit deinem Benutzer oder dem SCVMM Service-User.
Deshalb erstellen wir am besten eine Gruppe in der AD (Active Directory), die alle Hyper-V Hosts enthält.
Dieser Gruppe geben wir nun Leseberechtigung auf die VMM Library oder auf den Ordner der ISO Files. Achtung: Ich gehe davon aus, dass die Berechtigungen für den Share nach Best Practices eingestellt sind, also «Authenticated Users» mit «Full Control». Falls nicht, musst du dies auch nachführen.
Damit sind wir aber noch nicht am Ende angelangt. Auch dem SCVMM müssen wir noch die Berechtigungen geben, sozusagen im Auftrag der Hyper-V Hosts zu agieren.
Dazu gehst du ins ADAC (Active Directory Administrative Center) auf den jeweiligen Host und schaust dir die Einstellungen an.
Unter Delegation aktivierst du «Trust this computer for delegation to specified services only». Du könntest hier der Einfachheit halber jeden Service freigeben. Aus Sicherheitsgründen erteilen wir die Freigabe aber nur für die benötigten Service-Typen.
So geht’s, wenn du dies lieber noch im «alten» ADUC (Active Directory Users and Computers) durchführst:
In PowerShell könntest du dasselbe so lösen:
Set-ADAccountControl -Identity:"CN=HYPERV01,OU=HYPERVNODES,DC=itpro,DC=ms" -
TrustedForDelegation:$false -TrustedToAuthForDelegation:$true
Set-ADComputer -Identity:"CN=HYPERV01,OU=HYPERVNODES,DC=itpro,DC=ms"-Replace:@{'msDS-
AllowedToDelegateTo'="cifs/SCVMM12NODE01","cifs/SCVMM12NODE01.itpro.ms"} -
Server:"SRVDC01.itpro.ms"
Diese Schritte wiederholst du nun für alle Hyper-V Hosts, und dem ISO Sharing steht nichts mehr im Weg.
Exklusives Road-to-MCSA/MCSE-Programm
Mehr über die neuen Microsoft-Server-Produkte erfährst du in unseren Microsoft-Server-Lehrgängen.