При попытке добавить в Veeam B&R (любой версии от 9.5-4b до 11.0, Windows Server 2016, 2012R2) новый Hyper-V хост (Windows Server 2019), появляется ошибка:
Failed to connect to <Hostname>
Access denied or timeout expired.
Check if you have local administrator privileges on computer <HOSTNAME>.
Possible reasons:
1. Invalid credentials
2. Specified host is not a Hyper-V host.
Hyper-v хост не в домене, добавление производится от имени встроенного локального администратора. UAC отключен, фаервол отключен, даже в реестре добавлен ключ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\SystemLocalAccountTokenFilterPolicy=dword:00000001
Но ничего не помогало. В логах на удаленном сервере появлялась ошибка 10036:
Политика уровня проверки подлинности на стороне сервера не разрешает пользователю <COMPNAME\USERNAME> SID (S-1-5-21-1300366890-XXXXXXXXX-XXXXXXXXX-500) с адреса XX.XX.XX.XX. для активации DCOM-сервера. Повысьте уровень проверки подлинности активации, чтобы RPC_C_AUTHN_LEVEL_PKT_INTEGRITY в клиентском приложении.
Также возможно прекращение бэкапа на уже добавленных хостах и заданиях с ошибкой:
Task failed. Failed to expand object AD. Error: Отказано в доступе. (Исключение из HRESULT: 0x80070005 (E_ACCESSDENIED))
Решение (в 2023 уже неактуально):
Добавить на удаленном хосте в реестре ключ:
Path : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat
Value Name: "RequireIntegrityActivationAuthenticationLevel"
Type: dword
Value Data: default = 0x00000000
Он отключает новую политику безопасности, включенную в июньском обновлении Microsoft. Пишут, что возможность отключения этой политики уберут в марте 2023. К тому времени надо будет искать другое решение. Возможно обновить Veeam B&R или добавлять Hyper-V хост в домен…
UPDATE 2023 — Актуальное решение: Действительно этот ключ реестра больше не работает. Чтобы исправить проблему необходимо установить на сервер с Veeam последнее обновление безопасности (на ноябрь 2023 это обновление KB5031362 для 2016 сервера, или KB5006714 для 2012R2), а также обновить Veeam.
Настало время время «Ч»
Выплыл косячок у вима, точнее сформировался после каких-то обновлений серверов
Если вим в одном домене, а гипер в другом, для авторизации надо вводить имя пользователя в формате domain\user
До недавнего времени все было в порядке. Но с какого-то обновления винды, имя домена стало case sensitive
На поиск причин прекращения бэкапов ушло ну очень много времени 🙂
Спасибо за заметку! Обновление KB5031362 меня спасло, столько времени до этого убил..
а еще это помогает (вим в одном домене, а гипер в другом):
https://www.veeam.com/kb4185