[Hyper-V 2016 Core] - grundlegende Konfiguration

[updater14]

Mahlzeit zusammen,
vielleicht hat schon mal jemand damit zu tun gehabt und kann kurz meine Kenntnisse erweitern.
Ich wollte mir mal die Hyper-V Free Edition anschauen, welche mittlerweile in Version 2016 zu bekommen ist.

Nun gibt es den ja lediglich als Core Variante äquivalent zu VMware nur noch etwas abgespeckter.
So lang ich das Ding in eine Domain integriere komme ich damit wunderbar zurecht.

Nun stelle ich mir aber die Frage wie das im Vergleich zu VMware läuft.
Nehmen wir mal an man hat eine physikalische Maschine, die zukünftige Domain soll virtuell dort
aufgesetzt werden. So muss es doch möglich sein, Hyper-V vollständig in einer Workgroup und mit
Zugangsdaten zu verwalten.

Gefunden habe ich dazu einiges, eine Connection habe ich auch hinbekommen und eine Verwaltung über
die Hyper-V Tools ist auch kein Thema, ebenso komme ich an die Harddisk des Servers via Explorer.

Nun würde ich aber gern auch die Datenträgerverwaltung haben und eventuell mal einen Blick
in den Gerätemanager machen um weitere Geräte zu integrieren.

Für diese Dinge sind wohl separate Firewallausnahmen fällig, allerdings funktioniert nichts was ich im Netz
finde und auch das TechNet wartet mit fehlerhaftem Wissen auf.

So konfigurieren Sie die Windows-Firewall so, dass MMC-Snap-Ins eine Verbindung herstellen dürfen

Damit MMC-Snap-Ins eine Verbindung herstellen dürfen, führen Sie Folgendes aus:

Enable-NetFirewallRule -DisplayGroup "Remote Administration"

Diese Freigabe funktioniert aber bspw. schon nicht, da diese DisplayGroup nicht bekannt ist.

Die Datenträgerverwaltungsfreigabe ging, allerdings endet ein Aufruf derer vom Client in:
Der RPC-Server antwortet nicht.
Dabei laufen alle benötigten Dienste.

Hat das schon mal jemand tauglich hinbekommen?
Ich meine das Ding sollte sich doch standalone verwalten lassen, oder?

Grüße

 

[ntloader]

Für mal Get-NetFirewallRule | select displayname aus und schau nach. Je nach Sprachversion des OS heißt die Rule anders. Wieso nimmst du den Hyper-V server nicht auch in die domäne auf, wenn schon eine hast?

 

[updater14]

Könnte ich natürlich, habe ich mit einem auch mal getestet, aber wenn dann würde ich ja meinen
ESXi Hypervisor gegen einen Hyper-V Core ablösen wollen und dann möchte ich schon die Möglichkeit
haben den Host ohne aktiven Domaincontroller verwalten zu können.

Der Get-Befehl lässt nicht viel raus, interessant sind wohl:

Remotevolumeverwaltung - Dienst für virtuelle Datenträger (RPC)
Remotevolumeverwaltung - Ladeprogramm des Dienstes für virtuelle Datenträger
Remotevolumeverwaltung (RPC-EPMAP)

Remote-Ereignisprotokollverwaltung (RPC)
Remote-Ereignisprotokollverwaltung (NP eingehend)
Remote-Ereignisprotokollverwaltung (RPC-EPMAP)

Remotediensteverwaltung (RPC)
Remotediensteverwaltung (NP eingehend)
Remotediensteverwaltung (RPC-EPMAP)

Ich sollte mir das Teilchen mal in englischer Fassung downloaden.

Das TechNet scheint da noch nicht wirklich aktuell...
https://technet.microsoft.com/library/jj574205

 

[ntloader]

Steht doch dran, dass der Technet Artikel für 2012 und 2012R2 ist und nicht 2016.

 

[snakesh1t]

Kannst den Hyper-V Core Server auch von einem Windows PC administrieren.
Dafür musst du aber die Firewall manuell per PowerShell anpassen und einen User samt Passwort anlegen.
Gibt dafür ne Menge gute Tutorials, zumindest bei Windows Hyper-V Server 2012 war es so.
Am Client, der den Server administrieren soll, muss die Hyper-V Administrations Rolle bzw. das Feature installiert werden und der angelegte User als vertrauenswürdig eingestellt werden.

Kannst aber auch das meiste dann per RDP erledigen.

 

[updater14]

Steht doch dran, dass der Technet Artikel für 2012 und 2012R2 ist und nicht 2016.

Jap, aber etwas anderes gibt es nicht und dahin wird man auch geleitet, wenn man über die offiziellen Einrichtungsseiten von MS geht, die man ja bekommt wenn man sich die ISO bei denen zieht.

- Firewall manuell per PowerShell anpassen
- einen User samt Passwort anlegen.
Gibt dafür ne Menge gute Tutorials, zumindest bei Windows Hyper-V Server 2012 war es so.
- Am Client die Hyper-V Administrations Rolle bzw. das Feature installiert werden
- angelegte User als vertrauenswürdig eingestellt werden.

Check, check, checkeldicheck...
Das ist mir leider alles nicht neu.
Wie geschrieben geht es ja vom Grundsatz her, allerdings nun mal nicht vollständig.
Und komplett ohne Firewall-Dienst am Server bekomme ich gar keine Verbindung mehr.

 

[Evil E-Lex]

Ich hab die Schritte leider nicht mehr im Kopf, kann aber sagen, dass es mit Server 2016 deutlich simpler ist, als vorher. Einzige Bedingung: Der Client muss Windows 10 1607 ausführen. Am Client müssen die Sicherheitseinstellungen für DCOM und für WSman angepasst werden.
Es spricht allerdings auch überhaupt nichts dagegen, den Hyper-V-Host in die Domäne aufzunehmen, selbst wenn der DC virtuell auf diesem ausgeführt wird. Steht der DC nicht zur Verfügung kann man sich dennoch dank cached credentials anmelden.

 

[updater14]

Am Client müssen die Sicherheitseinstellungen für DCOM und für WSman angepasst werden.

Das ist doch schon mal ein guter Hinweis, da hatte ich mal was gesehen, allerdings ging nach der Anpassung noch weniger als vorher, hatte aber schon vermutet, dass ich das kaputtgefummelt habe.
Da werde ich noch mal bei schauen.

Bzgl. Domain und cached credentials ist das schon klar, ich würde aber gern identischen Einsatzzweck erreichen, welchen ich mit einem ESXi auch habe, keine Server da, VMware hin, konfigurieren, Maschine drauf, Domain einrichten und los geht's.

 

[Evil E-Lex]

Bzgl. Domain und cached credentials ist das schon klar, ich würde aber gern identischen Einsatzzweck erreichen, welchen ich mit einem ESXi auch habe, keine Server da, VMware hin, konfigurieren, Maschine drauf, Domain einrichten und los geht's.

Dann solltest du bei ESXi bleiben. Hyper-V-Server als Standalonesystem erfüllt diese Voraussetzungen nicht (wegen der umfangreichen manuellen Konfiguration an Client und Server). Alternativ kannst du dir den 5nine Manager for Hyper-V anschauen, den konnte man in früheren Versionen direkt auf dem Hyper-V-Server installieren.

 

[updater14]

Klar das wäre einfach, beim ESXi weiß ich wie es lüppt, aber das ist ja nicht spannend.
Ich frage mich nun mal wie MS sich das vorstellt, wenn ein Unternehmen auf Hyper-V umsatteln
soll (was mit nano Server oder core Server ja schon irgendwie die Zielgruppe ist).
Somit muss ich einen Hyper-V Host ja standalone betreiben und verwalten können.
Gibt ja durchaus Firmen die noch nicht virtualisiert haben und da ist Hyper-V auch
kostentechnisch äußerst interessant.

Wenn man sich dafür nen Client mit in den Serverraum packen würde der nur für die Verwaltung
des Hyper-V eingerichtet ist tut das ja auch nichts, i.d.R. benötigt man den nur in Grenzsituationen,
aber genau dann kann ich mich m.M.n. nicht darauf verlassen, dass bei komplett abgeschalteten
VMs die cached credentials erhalten bleiben - worst case und so.

Ich werde da wohl am Wochenende noch ein wenig mit spielen.

Danke erst mal.

 

[Evil E-Lex]

Ich verstehe dein Problem nicht. Wenn ich Hyper-V nutzen will, habe ich in aller Regel schon Windows-Server-Lizenzen (da kann ich dann auch einen Server mit GUI installieren) und außerdem eine Domäne von der aus die Verwaltung problemlos funktioniert.
Dein Szenario ist nur relevant bei Kleinstinstallationen ohne Windows-Server bzw. Domäne, also eine krasse Ausnahme vom üblichen.

 

[updater14]

Wenn ich Hyper-V nutzen will, habe ich in aller Regel schon Windows-Server-Lizenzen (da kann ich dann auch einen Server mit GUI installieren) und außerdem eine Domäne von der aus die Verwaltung problemlos funktioniert.

Ja und nein...
Ein nano oder core Server ist weniger anfällig und benötigt weniger Patches, als ein GUI Server - das ist doch der entscheidende Vorteil wie ihn auch en ESXi hat.
Eine Domain müsste ja irgendwo auf einem anderen Host vorhanden sein, außer ich konvertiere einen DC nach Einbindung auf den Hyper-V Host, aber auch dann habe ich einen Host, welcher physikalisch vorhanden, aber ohne DC-VM eventuell Schwierigkeiten bereiten kann.

VMware hat das aktuell perfekt gelöst mit der Weboberfläche des ESXi und diese Art der Verwaltung suche ich bei Hyper-V,
wenn es nur mit einem Management PC geht, OK musste man bis zur aktuellen ESXi 6.5 bei VMware auch haben.

Ich sehe das nicht unbedingt als "Kleinstlösungen", sondern eher für kleinere Unternehmen welche eben nicht mehrere Hyper-V Server betreiben, oder eben für mich privat der auch keine 2 Server rumstehen haben will.

 

[Evil E-Lex]

Den Nano-Server gibt es nur mit Datacenter und Software Assurance von daher spielt der in kleinen Unternehmen keine Rolle, wo nur ein Hyper-V-Host vorhanden ist. Ein kleineres Unternehmen nutzt Server 2012 R2 oder 2016 und installiert mit der passenden Lizenz 1x Windows-Server mit GUI und Hyper-V-Rolle direkt auf der Hardware und dann noch zwei VMs. Server-Core zu nutzen macht erst bei größeren Umgebungen Sinn.

 

[FrankvanLight]

Der Hyper-V Server spielt bei keinem unserer Kunden eine Rolle da die meisten eh Windows Server Virtualisieren wollen und deswegen gleich den Windows Server standard oder Datacenter nehmen wegen den Lizenzen. Man nimmt ihm in Firmen nur für VDI, ältere Windows mit bestehenden Lizenzen oder Linux als Virtualisierung sumgebung. Ich habe zuhause zb Esxi so wie Hyper-v und auch Proxmox laufen einfach weil man mit allem bei den Kunden in berührung kommt.

 

[.mojo]

Hallo

ich weiß nciht in wie weit das in 2016 noch funktioniert, ich hbae es in Server 2012 R2 mit diesen Befehlen gemacht:

Configure-SMRemoting.exe –Enable
netsh advfirewall firewall set rule group="Remotedesktop" new enable=yes 
netsh advfirewall firewall set rule group="Windows-Remoteverwaltung" new enable=yes
netsh advfirewall firewall set rule group="Remotedienstverwaltung" new enable=yes 
netsh advfirewall firewall set rule group="Leistungsprotokolle und -warnungen" new enable=yes 
Netsh advfirewall firewall set rule group="Remote-Ereignisprotokollverwaltung" new enable=yes 
Netsh advfirewall firewall set rule group="Remoteverwaltung geplanter Aufgaben" new enable=yes 
netsh advfirewall firewall set rule group="Remotevolumeverwaltung" new enable=yes 
netsh advfirewall firewall set rule group="Windows-Firewallremoteverwaltung" new enable=yes 
netsh advfirewall firewall set rule group="Windows-Verwaltungsinstrumentation (WMI)" new enable=yes

Wenn du mehrere Hosts clustern willst brauchst du noch
Set-NetFirewallRule -Group "@firewallapi.dll,-36751" -Profile Domain -Enabled true
damit Cluster aware updateing funktioniert.
​

 

[updater14]

Hallo .mojo,
danke für den Beitrag.
Die Firewallregeln funktionieren alle, werden aber scheinbar bei 2016 korrekt über den sconfig gesetzt.
Somit ändern sie leider nichts am Grundproblem.

Die Datenträgerverwaltung meldet: "Der RPC-Server ist nicht verfügbar."
Der Geräte-Manager: "Auf Computer "HyperV" konnte nicht zugegriffen werden. Stellen Sie sicher, dass dieser Computer am Netzwerk angeschlossen ist, die Remoteverwaltung aktiviert ist und dass die Dienste "Plug&Play" und "Remoteregistrierung" ausgeführt werden".
Fehler: Zugriff verweigert