Isokratisch: SCVMM, Bibliotheken und Berechtigungen - Tipps und Tricks

Virtualisierung mit Microsoft Private Cloud ist ein spannendes Thema. Doch können scheinbar kleine Aufgaben wie das Einbinden einer ISO (CD-Abbild) als Installationsquelle einer Virtual Machine zu unerwarteten Fehlern führen. Ein paar Tipps und Tricks.

Autor/in Rinon Belegu
Datum 15.02.2013
Lesezeit 4 Minuten

Virtualisierung mit Microsoft Private Cloud und System Center Virtual Machine Manager 2012 SP1 (SCVMM) –  ein spannendes Thema. Doch können scheinbar kleine Aufgaben wie das Einbinden einer ISO (CD-Abbild) als Installationsquelle einer Virtual Machine zu unerwarteten Fehlern führen.

Ich habe diesen Vorgang für Sie Schritt für Schritt dokumentiert und zeige die kleinen Haken auf. Das Ganze funktioniert zunächst sehr gut, wie Sie im Folgenden sehen. Voraussetzung ist, dass die ISO in der Library liegt und der «Refresh» durchgelaufen ist (standardmässig geschieht der Refresh der Library stündlich).

SRVDC 100 Properties

In diesem Besipiel lade ich die Windows Server 2012 «DVD».

Select ISO

Wenn man jetzt mit OK bestätigt, beginnt der SCVMM, die ISO in den VM-Zielpfad zu kopieren und hängt sie nachher an. Oft möchte man aber nicht die ISO kopieren (wofür, nach der Installation ist sie überflüssig …), sondern nur auf die ISO in der Library zugreifen.

Will man dies also vermeiden, muss man die Option «Share image file instead of copying it» wählen:

Virtual DVD drive

Möchte man jedoch das ISO-Image von der Freigabe aus mounten, ohne es in den VM-Ordner zu kopieren, schlägt der ISO-Mount fehl:

SRVDC 100

Weiter erhält man folgende Fehlermeldung:

Error (12700)

Am «general access denied error» kann man sehen, dass hier ein Berechtigungsproblem vorliegt. Nun, Sie haben vermutlich genügend Rechte als User (in der Testumgebung sind Sie vermutlich Domain Admin), der SCVMM Service-User wird wohl auch auf seine Library kommen – welchen User Account verwendet SCVMM? Schaut man mit einem Tool wie dem Filemon (Bestandteil der Sysinternals) die Zugriffe an, zeigt sich, dass der Zugriff auf das ISO-File mit dem Computeraccount des Hyper-V Hosts (also der Maschine, auf die die VM einmal laufen soll) geschieht und nicht mit Ihrem Benutzer oder dem SCVMM Service-User.

Deshalb erstellen wir am besten eine Gruppe in der AD (Active Directory), die alle Hyper-V Hosts enthält.

Create Group GS_HyperVHosts

Dieser Gruppe geben wir nun Leseberechtigung auf die VMM Library oder auf den Ordner der ISO Files. Achtung: Ich gehe davon aus, dass die Berechtigungen für den Share nach Best Practices eingestellt sind, also «Authenticated Users» mit «Full Control». Falls nicht, müssen Sie dies auch nachführen.

VM Library Files Properties

Damit sind wir aber noch nicht am Ende angelangt. Auch dem SCVMM müssen wir noch die Berechtigungen geben, sozusagen im Auftrag der Hyper-V Hosts zu agieren.

Dazu geht man ins ADAC (Active Directory Administrative Center) auf den jeweiligen Host und schaut sich die Einstellungen an.

HYPERV01

 

Unter Delegation aktivieren Sie «Trust this computer for delegation to specified services only». Sie könnten hier der Einfachheit halber jeden Service freigeben. Aus Sicherheitsgründen erteilen wir die Freigabe aber nur für die benötigten Service-Typen.

So geht’s, wenn man dies lieber noch im «alten» ADUC (Active Directory Users and Computers) durchführt:

HYPERV03_Properties

In PowerShell könnte man dasselbe so lösen:

Set-ADAccountControl -Identity:"CN=HYPERV01,OU=HYPERVNODES,DC=itpro,DC=ms" - 
TrustedForDelegation:$false -TrustedToAuthForDelegation:$true

 

Set-ADComputer -Identity:"CN=HYPERV01,OU=HYPERVNODES,DC=itpro,DC=ms"-Replace:@{'msDS-
AllowedToDelegateTo'="cifs/SCVMM12NODE01","cifs/SCVMM12NODE01.itpro.ms"} -
Server:"SRVDC01.itpro.ms"

 

Diese Schritte wiederholt man nun für alle Hyper-V Hosts, und dem ISO Sharing steht nichts mehr im Weg.

Exklusives Road-to-MCSA/MCSE-Programm

Mehr über die neuen Microsoft-Server-Produkte erfahren Sie in unseren Microsoft-Server-Lehrgängen.


Autor/in

Rinon Belegu

Bereits während seiner Ausbildung zum Informatiker Systemtechnik hat sich Rinon Belegu konsequent mit den neusten Technologien von Microsoft und VEEAM auseinandergesetzt und sich unter anderem als einer der ersten Personen in der Schweiz als MCSE 2012 Private Cloud zertifiziert. Seine Spezialität sind Virtualisierung und System Center, wobei er auch auf die Backup-Problematik stiess. Hier hat er bereits einige Projekte mit VEEAM umgesetzt. Sein umfangreiches Wissen gibt er heute einerseits in verschiedensten Kundenprojekten, andererseits als MCT (Microsoft), VMCT (Veeam) und als erster AWS Certified Instructor weiter.