Hyper-Vで仮想マシンを物理サーバー間で移動させる「ライブマイグレーション」。とても便利な機能ですが、いざ使おうとすると「認証エラー(0x8009030D)」でつまずく方も多いのではないでしょうか?
本記事では、Hyper-Vでライブマイグレーションを成功させるための設定手順を、実際のトラブル例とともに詳しく解説します。特に「Kerberos認証の制約付き委任」の設定に悩む方は必見です!
✅ ライブマイグレーションとは?
Hyper-Vのライブマイグレーションとは、仮想マシンを停止することなく、ある物理ホストから別の物理ホストに移動させる技術です。これにより、ハードウェアメンテナンス時もダウンタイムゼロで運用を継続できます。
❗ 遭遇したエラー:「0x8009030D」
エラーメッセージ例:
ホスト 'ホスト名' との接続を確立できませんでした: セキュリティパッケージで利用できる資格情報がありません (0x8009030D)
原因:
このエラーは、Kerberos認証が正しく設定されていない場合に発生します。特に、「制約付き委任」が未設定、または片方向しか設定されていないと失敗します。
🔧 ライブマイグレーション成功のための設定手順
① ホスト間通信の前提チェック
| 項目 | 内容 |
|---|---|
| ドメイン参加 | 両ホストが同じADドメインに参加していること |
| DNS設定 | 双方向で名前解決できること(ping ホスト名 が成功する必要はないが nslookup は通るべき) |
| 時刻同期 | NTP等でドメイン内の時刻差が5分以内であること |
② 認証プロトコルを「Kerberos」に変更
- Hyper-Vマネージャーを開く
- 各ホストを右クリック → 「Hyper-Vの設定」
- 「ライブマイグレーション」→「認証プロトコル」
- ✅ 「Kerberosを使用する」にチェック
③ Active Directoryで制約付き委任を設定
両方のホストに対して「双方向」で以下を設定してください。
設定手順:
- 「Active Directory ユーザーとコンピューター」を開く
- ホスト名を右クリック → 「プロパティ」→「委任」タブ
- 「次のサービスに対してのみ委任を許可」+「Kerberos のみ」を選択
- 「追加」→ 対象の相手ホストを検索
- 以下2つのサービスを選択:
cifs/対象ホスト名Microsoft Virtual System Migration Service/対象ホスト名
- 逆方向のホストにも同様の設定を行う
❗ 片方しか設定していないと、逆方向の移行でまたエラーが出ます。
④ Kerberos チケットを再取得
設定反映のため、各ホストでPowerShellで以下を実行:
klist purge
または、ホストを再起動してください。
✅ 最終チェックリスト
- 両ホストがドメインに参加済み
- 名前解決(nslookupで互いに引ける)
- Kerberosを使用するに設定
- 双方向で委任対象に
cifsとVirtual System Migration Serviceを指定 - klist purge または再起動済み
📌 それでも失敗する場合の追加チェック
- Windows ファイアウォールで以下ポートが許可されているか:
- TCP 135(RPC)
- TCP 445(SMB)
- TCP 6600(ライブマイグレーション)
- TCP 49152〜65535(DCOM動的ポート)
- ホストのNICが「外部」仮想スイッチに正しく接続されているか
📝 まとめ
Hyper-Vのライブマイグレーションは便利な機能ですが、Kerberos認証の制約付き委任という落とし穴に注意が必要です。
今回ご紹介した手順に沿って設定すれば、エラー 0x8009030D を回避し、安全に物理ホスト間のマイグレーションが実現できます。
ぜひ参考にして、スムーズな仮想環境の運用にお役立てください!
コメント