todde_hb 4 Geschrieben 25. Juli 2018 Melden Geschrieben 25. Juli 2018 Hallo zusammen, bei dem Versuch, ein VM von einem Host auf den anderen zu verschieben erscheint die Fehlermeldung aus dem Screenshot. Beide Systeme sind über eine Firewall separiert, jedoch bin ich der Meinung, alle nötigen Ports für Hyper-V freigegeben zu haben. Bin nach dieser Liste vorgegangen: Hyper-V Ports Lt. Fehlermeldung ist der Host nicht erreichbar, was ich merkwürdig finde, da alle anderen Hyper-V Operationen funktionieren, wie Replication Zitieren
testperson 1.758 Geschrieben 25. Juli 2018 Melden Geschrieben 25. Juli 2018 Hi, funktioniert es denn, wenn du für die Hyper-V Hosts bzw. generell einmal ANY <-> ANY erlaubst? Die Firewall hat auch keine Spezialfunktion für RPC o.ä.? Du verschiebst nur die VM oder auch den Speicher? Wie sind die Einstellungen bzw. Erweiterten Features für Live Migration konfiguriert? Gruß Jan Zitieren
todde_hb 4 Geschrieben 25. Juli 2018 Autor Melden Geschrieben 25. Juli 2018 (bearbeitet) vor 27 Minuten schrieb testperson: Hi, funktioniert es denn, wenn du für die Hyper-V Hosts bzw. generell einmal ANY <-> ANY erlaubst? Die Firewall hat auch keine Spezialfunktion für RPC o.ä.? Du verschiebst nur die VM oder auch den Speicher? Wie sind die Einstellungen bzw. Erweiterten Features für Live Migration konfiguriert? Gruß Jan Also die VM ist augeschaltet, daher wird kein Memory kopiert. Das mit dem RPC muss ich mir noch mal anschauen. Eventuell ist da der Hund begraben. Meinst Du mit ANY<->ANY die Firwall Rules? Bei den Advanced Options hatte ich testweise jetzt Kerberos aktiviert, aber das funktioniert genauso wenig wie CredSSP Edit: RPC ist auf der FW freigeben, also Port 135 und auch die Upper Ports bearbeitet 25. Juli 2018 von todde_hb Zitieren
testperson 1.758 Geschrieben 25. Juli 2018 Melden Geschrieben 25. Juli 2018 Und welche Netze werden für die Live Migration genommen? Welche Leistungsoption (TCP/IP / Komprimierung / SMB)? Sind die Hosts in einer bzw. in der gleichen Domäne? Die Windows Firewall passt? Zitieren
todde_hb 4 Geschrieben 25. Juli 2018 Autor Melden Geschrieben 25. Juli 2018 Testweise hatte ich die Windows FW ausgeschaltet auf dem Zielhost. Hat nichts gebracht. Hatte es mit Compression und SMB probiert. Beides ohne Erfolg. Beide sind in der gleichen Domäne, lediglich der Quellhost befindet sich ausserhalb resp. jenseits des Netzwerks durch FW getrennt. Zitieren
MurdocX 965 Geschrieben 25. Juli 2018 Melden Geschrieben 25. Juli 2018 Folgendes solltest du kontrollieren: Firewall zwischen deinen Netzen Ports die geöffnet sein müssen findest du hier: https://www.altaro.com/hyper-v/network-ports-related-hyper-v/ Firewall auf dem eingehenden Host In der Firewall die Vordefinierten Regeln prüfen, ob dort alles für den Hyper-V eingehend aktiviert wurde Zitieren
testperson 1.758 Geschrieben 25. Juli 2018 Melden Geschrieben 25. Juli 2018 vor 23 Minuten schrieb todde_hb: Beide sind in der gleichen Domäne, lediglich der Quellhost befindet sich ausserhalb resp. jenseits des Netzwerks durch FW getrennt. Der Quellhost ist aber in der Domäne und hat auch eine entsprechende Verbindung zur Domäne bzw. den DCs? Dort ist mit der Firewall auch alles i.O.? Zitieren
todde_hb 4 Geschrieben 25. Juli 2018 Autor Melden Geschrieben 25. Juli 2018 vor 4 Minuten schrieb testperson: Der Quellhost ist aber in der Domäne und hat auch eine entsprechende Verbindung zur Domäne bzw. den DCs? Dort ist mit der Firewall auch alles i.O.? Ja, beide in der selben Domäne. Quellhost hat Verbindung zur Domäne resp. zum 2nd DC. Auf diesem DC auch testweise Firewall deaktiviert. Zitieren
MurdocX 965 Geschrieben 25. Juli 2018 Melden Geschrieben 25. Juli 2018 Sind die Ports auf der Firewall, wie oben auf der verlinkten Homepage, zwischen den Hosts gesetzt? Zitieren
todde_hb 4 Geschrieben 25. Juli 2018 Autor Melden Geschrieben 25. Juli 2018 vor 5 Minuten schrieb MurdocX: Sind die Ports auf der Firewall, wie oben auf der verlinkten Homepage, zwischen den Hosts gesetzt? Ja, siehe mein erstes Posting Zitieren
testperson 1.758 Geschrieben 25. Juli 2018 Melden Geschrieben 25. Juli 2018 vor 15 Minuten schrieb todde_hb: Ja, beide in der selben Domäne. Quellhost hat Verbindung zur Domäne resp. zum 2nd DC. Auf diesem DC auch testweise Firewall deaktiviert. Ich würde zuerst einmal die Kommunikation mit allen DCs / DNS ermöglichen. Zitieren
todde_hb 4 Geschrieben 25. Juli 2018 Autor Melden Geschrieben 25. Juli 2018 Gerade eben schrieb testperson: Ich würde zuerst einmal die Kommunikation mit allen DCs / DNS ermöglichen. Zu allen DCs ist aufgrund der Gegebenheiten leider nicht möglich. Die FW ist so konfiguriert, dass sie vom Hyper-V Quellhost zu DC2 natted. Ein weiteres NAT zum primären DC geht nicht. Zitieren
MurdocX 965 Geschrieben 25. Juli 2018 Melden Geschrieben 25. Juli 2018 vor 46 Minuten schrieb todde_hb: zu DC2 natted Ist dir bewusst, dass zwischen den Netzen in einem ActiveDirectory nicht genattet werden darf, weil es nicht supportet ist? Zitieren
todde_hb 4 Geschrieben 25. Juli 2018 Autor Melden Geschrieben 25. Juli 2018 Nö, dass wusste ich nicht. Was ist der genaue Grund? Ich meine ja nur. Wenn die Rules alle stimmen sollte die Verbindung doch klappen. Zitieren
MurdocX 965 Geschrieben 25. Juli 2018 Melden Geschrieben 25. Juli 2018 (bearbeitet) Meine Google-Suche hat mir als sinnvollen Beitrag - damit ich jetzt hier keine detaillierten Antworten geben muss - folgendes ausgespuckt: https://www.itprotoday.com/management-mobility/using-kerberos-nat-and-dhcp-environments MS: https://support.microsoft.com/en-us/help/978772/description-of-support-boundaries-for-active-directory-over-nat Zitat The Microsoft statement regarding Active Directory over NAT is: Active Directory over NAT has not been tested by Microsoft. We do not recommend Active Directory over NAT. Support for issues related to Active Directory over NAT will be very limited and will reach the bounds of commercially reasonable efforts very quickly. bearbeitet 25. Juli 2018 von MurdocX Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.