Wir setzen für unsere virtuellen Maschinen auf eine Hyper-V-Umgebung, die wir mittels SCVMM verwalten. Das habe ich bereits in meinem Artikel zum Thema Migration von virtuellen Maschinen erwähnt.
Status: Fehler
Vor ein paar Wochen waren plötzlich alle Maschinen im SCVMM fehlerhaft. Sie hatte ein kleines rotes X und wenn ich den Status der Maschinen aktualisiert hatte, stand bei Status auch „Fehler“. Und damit waren alle Funktionen im SCVMM ausgegraut. Ich konnte mit den Maschinen nichts mehr anfangen, verwalten, verbinden – nichts ging.
Trotzdem liefen die Maschinen alle ordnungsgemäß und ich konnte mich entsprechend auch der RDP verbinden. Da die Maschinen liefen, konnte ich auch keine Reparatur starten. Es kam immer die Meldung, dass die Maschine ausgeführt wird. So ganz kritisch war es dann wohl nicht und möglicherweise auch nur ein Anzeigefehler.
Aber ich musste der Sache natürlich auf den Grund gehen. Leider findet man online wenig Hilfestellung zum SCVMM. Noch weniger in Deutsch. Und ich wusste auch nicht so recht, wie ich auf Englisch nach einer Lösung suchen sollte. So kam ich nicht weiter und habe daraufhin auch unseren IT-Dienstleister kontaktiert. Der hätte sich allerdings erst in ein paar Tagen darum kümmern können.
Fehlerhafte Authentifizierung
Also habe ich weiter nach Lösungsansätzen gesucht. Irgendwann kam ich dann auf die Idee, mich auf dem SCVMM-Server über den Failovercluster-Manager mit einer VM zu verbinden. Und siehe da, auch das ging nicht. Es gab einen Authentifizierungsfehler. Irgendwas mit „Encryption“.
Das half mir insofern weiter, als dass ich einen neuen Suchbegriff hatte, mit dem ich Google füttern konnte. Außerdem gab es einen Link in der Fehlermeldung. Und prompt wurde ich auch fündig. Offenbar gab es im CredSSP-Protokoll eine Sicherheitslücke. Das Protokoll wird für die Authentifizierung zwischen den Geräten bei dem Versuch eine RDP-Verbindung aufzubauen verwendet. Daher hat Microsoft im März 2018 einen Patch dafür ausgerollt, der diese Angriffsmöglichkeit beenden sollte. Und dieser Patch wurde für uns zum Problem. Denn offenbar wird das CredSSP-Protokoll auch vom SCVMM zur Verbindung mit den Maschinen verwendet.
Fehlendes Update
Was war das Problem? Nun, der SCVMM ist ja nur ein Verwaltungstool, das für den Betrieb der Hyper-V-Server nicht zwingend notwendig ist. Es ist kein Problem, den herunterzufahren oder neu zu starten. Daher installiere ich dort die Updates recht zeitnah. Bei den Hyper-V-Hosts ist das natürlich eine andere Geschichte. Die kann man nicht einfach so mal eben patchen und neu starten. Also generell schon, da die Gast-Maschinen automatisch auf einen anderen Host migriert werden – Stichwort Livemigration. Da wir aber derzeit nur zwei Hyper-V-Hosts haben, reicht der Arbeitsspeicher nicht ganz, um alle Maschinen auf einem Host ausführen zu können. Ein dritter Host wird erst in ein paar Wochen in Betrieb genommen. Deswegen hatte ich auch die Updates dort noch nicht installiert. Sprich der SCVMM-Server und die Hyper-V-Hosts hatten einen unterschiedlichen Patch-Stand. Und das war gerade in Bezug auf das CredSSP-Protokoll fatal. Denn der SCVMM (neuer) hat schlicht die Verbindung mit den Hyper-V-Hosts (veraltet) verweigert.
Also habe ich mich an die Arbeit gemacht und die ganzen Maschinen manuell auf einen Host migriert und dabei ein paar ungenutzte Server temporär abgeschaltet. So kam ich gerade so mit dem Speicher hin und konnte dann den jeweils leeren Hyper-V-Host aktualisieren.
Und tatsächlich: Nachdem die aktuellen Updates installiert waren – also „Patch-Gleichstand“ herrschte – waren auch die Fehler im SCVMM wieder verschwunden und ich konnte sämtliche Maschinen bedienen und verwalten wie zuvor.
Also falls auch euch dieser Fehler unterkommt – fröhliches Updaten!
