Compartilhar via


Hyper-V クラスター環境の仮想マシンで "保護されているネットワーク" に接続された物理 NIC の LAN ケーブルを抜線した際に、ライブ マイグレーションが失敗する

こんにちは。Windows プラットフォーム サポートの加藤です。

最近、Hyper-V クラスター環境の仮想マシンで "保護されているネットワーク" に接続された物理 NIC の LAN ケーブルを抜線した際に、ライブ マイグレーションが失敗するというお問い合わせをいただきます。

今回のブログでは、この事象の原因と回避策についてご紹介します。

1. 事象説明
まず最初に、 "保護されているネットワーク" の正常性検知について説明します。
これは Windows Server 2012 R2 からのフェールオーバー クラスタリングの新機能で、Hyper-V ホスト クラスターで動作している仮想マシンの仮想ネットワーク アダプターへの設定項目のひとつです。この "保護されているネットワーク" の設定がされている仮想マシンの仮想ネットワーク アダプターで切断が検出された場合、その仮想マシンは別の Hyper-V ホストに移動されます。"保護されているネットワーク" の設定は仮想マシンの設定ウインドウにて、対象の "ネットワーク アダプター" の[高度な機能]を展開して設定することができ、既定では有効化されています。

  Windows Server? 2012 R2 フェールオーバー クラスタリング構築・運用・管理ガイド
  「4. Windows Server 2012 R2 における改善や強化」項
  https://download.microsoft.com/download/0/7/B/07BE7A3C-07B9-4173-B251-6865ADA98E5D/WS2012R2_MSFC_ConfigGuide_v1.1.docx

お問い合わせでは、この設定をされている仮想ネットワーク アダプターに接続されている物理 NIC の LAN ケーブルを抜線すると、ライブ マイグレーションが開始されますが、以下のようなログが記録され失敗してしまう、という事象が報告されております。

エラー 5719 NETLOGON 次の理由のため、このコンピューターはドメイン xxxxx のドメイン コントローラーの セキュリティで保護されたセッションをセットアップできませんでした: 現在、ログオン要求を処理できるログオン サーバーはありません。 これにより、認証の問題が発生する可能性があります。このコン ピューターがネットワークに接続されていることを確認してください。 問題が解決されない場合は、ドメイン管理者に問い合わせてください。 追加情報 このコンピューターが指定されたドメインのドメイン コントローラーの場合は、 指定されたドメインのプライマリ ドメイン コントローラー エミュレーターに対して 安全なセッションをセットアップします。そうでない場合は、このコンピューターは、 指定されたドメインのすべてのドメイン コントローラーに対して安全なセッション をセットアップします。エラー 1228 Microsoft-Windows-FailoverClustering ネットワーク名リソース NT AUTHORITY\SYSTEM クラスター ネットワーク名リソース 'クラスター名' がこのノードのネットワーク名を有効にする際にエラーが発生しました。エラーの原因: 'Unable to obtain a logon token'。 エラー コードは '-1073741717' です。 再試行するには、ネットワーク名リソースをオフラインにして、もう一度オンラインにしてください。エラー 21502 Microsoft-Windows-Hyper-V-High-Availability NT AUTHORITY\SYSTEM '仮想マシン xxxxx' のライブ マイグレーションが失敗しました。 'xxxxx' の仮想マシン移行操作が移行元 'xxxxx' で失敗しました。(仮想マシン ID xxxxx-xxxxx-xxxxx-xxxxx-xxxxx) 仮想マシン管理サービスは、ホスト 'xxxxx' との仮想マシンの移行のための接続を確立できませんでした: 認証するときにどの機関にもアクセスできませんでした。 (0x80090311)。 仮想マシン管理サービスは、ソース ホストで仮想マシンの移行のための接続を認証できませんでした: 認証するときにどの機関にもアクセスできませんでした。 (0x80090311)。

2. 発生条件と原因
このライブ マイグレーションが失敗する事象は、以下の条件を満たした環境で発生いたします。
  1. 抜線した LAN ケーブルが接続された物理 NIC が 仮想スイッチと Hyper-V ホストで共有されていること
  2. その物理 NIC が Hyper-V ホストとドメイン コントローラー (DC) が通信するための唯一のネットワーク経路であること

なぜ、上記 2 の条件により、この事象が発生するかというと、ライブ マイグレーション実行には、Hyper-V ホストと DC の通信が必須であるからです。仮想マシンのライブ マイグレーション実行時には、Hyper-V 仮想マシン管理サービスは DC との認証により移行先の Hyper-V ホストとのセッションを確立し、データの移行を開始します。よって、Hyper-V ホストと DC との接続が切断されている状態の場合、Hyper-V ホストは仮想マシンのライブ マイグレーションに失敗します。

つまり、仮想マシンの 【"保護されているネットワーク" が接続されている物理 NIC】 と 【Hyper-V ホストが DC との通信に使用している物理 NIC】 が同一である場合、その物理 NICに接続された LAN ケーブルを抜線すると、「"保護されているネットワーク" の正常性検知により障害が検知され、ライブ マイグレーションが開始されますが、同時に Hyper-V ホストと DC との接続も切断されるため、移行先 Hyper-V ホストとのセッションが確立できずにライブ マイグレーションが失敗する」事象が発生することになります。

3.回避策
仮想マシンの "保護されているネットワーク" の設定がされた仮想ネットワーク アダプターが接続する仮想スイッチの物理 NIC は Hyper-V ホストが DC との通信をするための唯一のネットワーク経路となる物理 NIC と共有する設計にしないようにお願いいたします。

仮想スイッチに接続された物理 NIC が Hyper-V ホストと共有する設定になっているかどうかは、Hyper-V の仮想スイッチ マネージャーの [仮想スイッチのプロパティ] 画面にて、[接続の種類] - [外部ネットワーク] で "管理オペレーティング システムにこのネットワーク アダプターの共有を許可する" のチェック ボックスで確認できます。

また、Hyper-V ホストが DC との通信に使用できる物理 NIC が複数ある場合は、"保護されているネットワーク" が接続されている仮想スイッチとの共有も可能です。通常は仮想スイッチと共有している物理 NIC 経由で DC との通信を行い、障害時にのみ別のネットワーク経路の物理 NIC で通信を行いたい場合は、スタティック ルーティングにメトリックを設定することで実現可能です。

4. まとめ
Windows Server 2012 R2 からの新機能 "保護されているネットワーク" の設定に関するテストで想定された動作にならない場合、上記のように "LAN の抜線" により発生した Hyper-V ホストへ影響の可能性がないかをご確認いただけますようお願いいたします。

このブログがみなさまのお役に立てば幸いです。