У учетной записи служба управления виртуальными машинами hyper v отсутствует разрешение на открытие
Ошибка доступа к виртуальному диску в Hyper-V
Ситуация следующая: виртуальная машина Hyper-V не может запуститься, выдавая при старте ошибку примерно такого содержания «VM failed to start. Synthetic SCSI controller (Instance ID xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx): Failed to Power on with Error ‘General access denied error’.».
Если развернуть окно и посмотреть детальную информацию об ошибке, то станет понятно, что проблема кроется в отсутствии доступа к файлу виртуального диска. Дело в том, что виртуальной машине (как и обычному пользователю) для работы с файлом необходимы NTFS-права на этот файл. В том случае, когда у виртуальной машины отсутствуют необходимые разрешения, то она не сможет стартовать и вывалится с ошибкой.
Как видно на рисунке, каждая виртуальная машина имеет свой уникальный идентификатор (Virtual machine ID). Для устранения ошибки надо взять этот ID и добавить его в список контроля доступа VHD-файла. Сделать это можно из командной строки, с помощью утилиты с неблагозвучным 🙂 названием Icacls. В нашем примере команда будет выглядеть так:
Icacls H:\Hyper-V\SRV1.vhdx /grant ″NT Virtual Machine\f72e624c-4cc2-4167-b852-a47d412de8440″:(F)
Этой командой мы выдали виртуальной машине права Full Control на файл. В этом можно убедиться, открыв свойства файла и перейдя на вкладку Security. Как видите, разрешения в порядке и теперь виртуальная машина должна успешно запуститься.
Примечание. Подобную операцию необходимо проделать для каждого vhdx, и, если у машины имеются моментальные снимки (checkpoint), то для каждого avhdx файла, имеющего отношение к данной ВМ.
В заключение опишу некоторые ситуации, которые могут привести к потере прав:
• Перенос файла виртуального диска в другое расположение. Напомню, что при переносе файла на другой диск разрешения файловой системы удаляются и заменяются наследуемыми. Избежать этого можно, перенося файлы виртуальных машин с помощью встроенных средств Hyper-V, таких как Storage migration или Export\Import;
• Копирование файла виртуального диска. Ошибка может возникнуть при попытке подсунуть виртуальной машине чужой диск. Поэтому для ″размножения″ лучше воспользоваться либо экспортом, либо, при наличии VMM, клонированием виртуальных машин;
• Восстановление ВМ из бэкапа. Некоторые программы резервного копирования, например тот же DPM, при восстановлении в другое расположение не выставляют на файлы нужные права.
У учетной записи служба управления виртуальными машинами hyper v отсутствует разрешение на открытие вложения
Вопрос
Возникла проблема с Hyper-v на windows server 2012 R2. Hyper-v не может получить доступ к своим же файлам. Ошибка возникает при создании виртуального жёсткого диска. Пробовал открывать доступ к папке, где будут храниться данные виртуального сервера, для всех, но и это не помогает. Подскажите, пожалуйста, как правильно выставить доступ в такой ситуации.
«Не удалось добавить устройство Virtual Hard Disk.
У учетной записи Служба управления виртуальными машинами Hyper-V отсутствует разрешение на открытие вложения.»
Ответы
Kiret, Вам повезло. Я работал и с Dallas Lock))
Рекомендую обратиться в службу поддержки Dallas Lock (они адекватные и русские 🙂 ).
Roman Levchenko, MCSA, MCITP, MCTS http://www.rlevchenko.com
Все ответы
Правильно понимаю, что
1) ВМ создается успешно (если не добавлять VHD)
2) Конфигурационные файлы (xml..) успешно создаются
Получить ID ВМ можете так:
Roman Levchenko, MCSA, MCITP, MCTS http://www.rlevchenko.com
Да, машина создается без жёсткого диска. Проблема возникает именно при создании vhd.
.xml также успешно создаются.
Описанный по ссылке способ уже пробовал, не помогло (что удивительно). Да, кстати, компьютер находится в домене.
Также когда пытаюсь запустить созданную вирт. машину, возникает ошибка:
«Новая виртуальная машина» не удалось запустить рабочий процесс: <Отказано в доступе>Процесс запросил доступ к объекту, но права и доступ не предоставлены.
Да, машина создается без жёсткого диска. Проблема возникает именно при создании vhd.
.xml также успешно создаются.
Описанный по ссылке способ уже пробовал, не помогло (что удивительно). Да, кстати, компьютер находится в домене.
Roman Levchenko, MCSA, MCITP, MCTS http://www.rlevchenko.com
Да, проходит. Файл с диском создаётся, но у Hyper-v всё равно нет к ней доступа.
Roman Levchenko, MCSA, MCITP, MCTS http://www.rlevchenko.com
У учетной записи служба управления виртуальными машинами hyper v отсутствует разрешение на открытие вложения
Вопрос
Помогите, пожалуйста, добрым советом, как чинить такую пакость:
После сбоя питания (ИБП не успел потушить сервер, умер прямо во время остановки Hyper-V) перестали запускаться виртуальные машины. Аргументируется всё это 4-мя ошибками в логах:
1: «VM01»: У учетной записи Hyper-V Virtual Machine Management service отсутствуют необходимые привилегии для открытия вложения «E:\VM01\VM01.vhd». Ошибка: «Ошибка доступа» (0x80070005). (ИД виртуальной машины CEA772E4-187A-420C-A697-E643F0A6B5C6)
2: «VM01»: У учетной записи IDE/ATAPI отсутствуют необходимые привилегии для открытия вложения «E:\VM01\VM01.vhd». Ошибка: «Ошибка доступа» (0x80070005). (ИД виртуальной машины CEA772E4-187A-420C-A697-E643F0A6B5C6)
3: «VM01» Microsoft Emulated IDE Controller (ИД экземпляра <83F8638B-8DCA-4152-9EDA-2CA8B33039B4>): Сбой включения, ошибка «Ошибка доступа» (0x80070005). (ИД виртуальной машины CEA772E4-187A-420C-A697-E643F0A6B5C6)
4: Не удалось запустить «VM01» (идентификатор виртуальной машины CEA772E4-187A-420C-A697-E643F0A6B5C6).
ОС Хоста, если это имеет какое-то значение: Microsoft Hyper-V Server 2008 R2. Управляю через диспетчер Hyper-V с другого сервера.
У учетной записи служба управления виртуальными машинами hyper v отсутствует разрешение на открытие вложения
Вопрос
Возникла проблема с Hyper-v на windows server 2012 R2. Hyper-v не может получить доступ к своим же файлам. Ошибка возникает при создании виртуального жёсткого диска. Пробовал открывать доступ к папке, где будут храниться данные виртуального сервера, для всех, но и это не помогает. Подскажите, пожалуйста, как правильно выставить доступ в такой ситуации.
«Не удалось добавить устройство Virtual Hard Disk.
У учетной записи Служба управления виртуальными машинами Hyper-V отсутствует разрешение на открытие вложения.»
Ответы
Kiret, Вам повезло. Я работал и с Dallas Lock))
Рекомендую обратиться в службу поддержки Dallas Lock (они адекватные и русские 🙂 ).
Roman Levchenko, MCSA, MCITP, MCTS http://www.rlevchenko.com
Все ответы
Правильно понимаю, что
1) ВМ создается успешно (если не добавлять VHD)
2) Конфигурационные файлы (xml..) успешно создаются
Получить ID ВМ можете так:
Roman Levchenko, MCSA, MCITP, MCTS http://www.rlevchenko.com
Да, машина создается без жёсткого диска. Проблема возникает именно при создании vhd.
.xml также успешно создаются.
Описанный по ссылке способ уже пробовал, не помогло (что удивительно). Да, кстати, компьютер находится в домене.
Также когда пытаюсь запустить созданную вирт. машину, возникает ошибка:
«Новая виртуальная машина» не удалось запустить рабочий процесс: <Отказано в доступе>Процесс запросил доступ к объекту, но права и доступ не предоставлены.
Да, машина создается без жёсткого диска. Проблема возникает именно при создании vhd.
.xml также успешно создаются.
Описанный по ссылке способ уже пробовал, не помогло (что удивительно). Да, кстати, компьютер находится в домене.
Roman Levchenko, MCSA, MCITP, MCTS http://www.rlevchenko.com
Да, проходит. Файл с диском создаётся, но у Hyper-v всё равно нет к ней доступа.
Roman Levchenko, MCSA, MCITP, MCTS http://www.rlevchenko.com
Hyper-V: Права на файлы виртуальных машин.
В одну историю слиты и Hyper-V и Руссификация Windows.
Как выразился один блоггер, когда вы увидите разрешения на файлы Hyper-V у вас взорвётся мозг и вам будет проще съесть свои носки, чем исправить проблему с незапускающейся из-за недостаточности прав виртуальной машиной.
Суть в том, что Hyper-V создаёт «специальные» системные группы безопасности(Service SIDs). Специальность их заключается в том, что манипулировать ими, как и остальными группами из графического интерфейча не получится, узнать о них сложно. Группы например называются NT Virtual Machines. Или 2DDE62F7-509D-438A-BB6C-838ABD8E4C0E, например.
NT Virtual Machines \2DDE62F7-509D-438A-BB6C-838ABD8E4C0E
Теперь про любимую руссификацию: Название группы » NT Virtual Machines» руссифицировано. Т.е. если вы попробуете к ней или её членам обратиться с помощью icacl, то получите:
Успешно обработано 0 файлов; не удалось обработать 1 файлов
Руссифицированные названия групп выглядят так:
ВИРТУАЛЬНАЯ МАШИНА NT
ВИРТУАЛЬНАЯ МАШИНА NT\Виртуальные машины
ВИРТУАЛЬНАЯ МАШИНА NT\ 2DDE62F7-509D-438A-BB6C-838ABD8E4C0E.
Слава Богу, что не руссифицировали ID.
Для начала нужно разобраться на что какие разрешения дать. Вот здесь чувак довольно дельно разложил на части стандартный сетап прав Hyper-V.
Тут тоже много разложено по полочкам.
А вообще манипуляции ведутся с помощью icacls.
Посмотреть пермишны: icacls «E:\my_vms»
Отключить наследование: icacls «E:\my_vms» /inheritance:r
Удалить ACL: icacls «E:\my_vms» /remove «souz\gan»(или «система» или «Пользователи»)
Добавить носочный ACL: icacls «E:\my_vms» /grant » ВИРТУАЛЬНАЯ МАШИНА NT \Виртуальные машины»:F
Как правило даётся доступ группе » ВИРТУАЛЬНАЯ МАШИНА NT \Виртуальные машины» на общую папку с файлом настроек вирт.машины, дисками и снапшотами. На сам диск VHD, даётся полный доступ для » ВИРТУАЛЬНАЯ МАШИНА NT\ 2DDE62F7-509D-438A-BB6C-838ABD8E4C0E» (ID виртуальной машины естественно заменить на нужный, а нужный можно узнать по названию файла конфигурации вм)