{"id":1549,"date":"2012-02-17T12:00:01","date_gmt":"2012-02-17T15:00:01","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=1549"},"modified":"2012-02-17T19:30:09","modified_gmt":"2012-02-17T22:30:09","slug":"administrando-las-vms-de-hyper-v-de-nuestro-active-directory-problema-al-no-iniciar-las-vms-general-access-denied-error0x80070005","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=1549","title":{"rendered":"Administrando las VMs de Hyper-V de nuestro Active Directory: Problema al no iniciar las VMs &ldquo;General access denied error(0x80070005)&rdquo;"},"content":{"rendered":"<p align=\"justify\"><font size=\"2\"><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/e0ed01bf03f3_88A7\/logo_hyperv.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-right-width: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; float: left; border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px; padding-top: 0px\" title=\"www.radians.com.ar \u00a9 2012\" border=\"0\" alt=\"www.radians.com.ar \u00a9 2012\" align=\"left\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/e0ed01bf03f3_88A7\/logo_hyperv_thumb.png\" width=\"250\" height=\"117\" \/><\/a>Hoy vamos a ver un error que podr\u00eda ocurrir por varios motivos; y que nos puede dar varios dolores de cabeza al momento de administrar nuestros entornos virtuales de nuestra arquitectura de Active Directory.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Siempre la recomendaci\u00f3n es utilizar la exportaci\u00f3n e importaci\u00f3n, al momento de mover las Maquinas Virtuales (VMs) dentro de nuestros servidores. Si tenemos un VHD que venimos utilizando previamente, generalmente creamos una nueva m\u00e1quina virtual y simplemente a\u00f1adimos el VHD. <\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Sin embargo, se pueden presentar algunos inconvenientes cuando trabajamos con la estructura de directorios y sus permisos.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Para empezar, debemos saber que cuando creamos una VM, generamos aparte del disco VHD, un archivo .XML que contiene la configuraci\u00f3n de m\u00e1quina y una carpeta que contiene instant\u00e1neas con su .XML. En una instalaci\u00f3n por default, la ubicaci\u00f3n de estos archivos se encuentra en: <font color=\"#ff0000\" face=\"OCR A Extended\">C:\\programdata\\Microsoft\\Windows\\Hyper-V\\Virtual Machines<\/font>.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Esta semana, tuve algunos inconvenientes en un cliente que por razones de espacio tuvo que cambiar un RAID 5 de su servidor de VMs. El procedimiento para esto era: <\/font><\/p>\n<ul>\n<li>\n<div align=\"justify\"><font size=\"2\">Copiar todos los archivos durante la noche a un disco grande de 2TB con robocopy, como vimos en varias notas anteriores (pueden ver las notas en RaDiansBlog pongo en \u201cMas Informaci\u00f3n\u201d los links).<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Eliminar el RAID 5 actual, el de los discos chicos y quitar los discos.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Instalar los discos grandes y crear el RAID 5 con estos nuevos discos.<\/font><\/div>\n<\/li>\n<li>\n<div align=\"justify\"><font size=\"2\">Volver a copiar los datos, con RoboCopy pero en sentido inverso, es decir, desde el disco de 2TB al nuevo RAID5 creado.<\/font><\/div>\n<\/li>\n<\/ul>\n<p align=\"justify\"><font size=\"2\">Si mantenemos este orden, los nombres de las unidades y de los directorios, no deber\u00edamos tener ning\u00fan tipo de inconveniente; y sin tocar nada podr\u00edamos iniciar las VMs desde la consola de Hyper-V.<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Pero, que paso en nuestro caso?<\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Bueno como esto tardaba, y se necesitaba con urgencia unas VMS, se procedi\u00f3 a copiar los archivos algunos con RoboCopy y otros simplemente con la copia de Windows\u2026 <font color=\"#ff0000\" face=\"OCR A Extended\">ERROR !!!<\/font><\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Al hacer esto no mantuvimos los permisos de los archivos, entonces no funciona y da el siguiente error:<\/font><\/p>\n<p><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/e0ed01bf03f3_88A7\/HyperV_01.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-right-width: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px; padding-top: 0px\" title=\"www.radians.com.ar \u00a9 2012\" border=\"0\" alt=\"www.radians.com.ar \u00a9 2012\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/e0ed01bf03f3_88A7\/HyperV_01_thumb.png\" width=\"544\" height=\"515\" \/><\/a><\/p>\n<p align=\"justify\"><font size=\"2\">Este error generalmente hace se produce si los permisos en el archivo de disco duro virtual (.vhd) o el archivo de instant\u00e1neas (.avhd) son incorrectos. Si vemos los permisos del VHD, veremos lo siguiente:<\/font><\/p>\n<p><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/e0ed01bf03f3_88A7\/HyperV_02.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-right-width: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px; padding-top: 0px\" title=\"www.radians.com.ar \u00a9 2012\" border=\"0\" alt=\"www.radians.com.ar \u00a9 2012\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/e0ed01bf03f3_88A7\/HyperV_02_thumb.png\" width=\"544\" height=\"607\" \/><\/a><\/p>\n<p align=\"justify\"><font size=\"2\">Esta faltando algo, que es? como sabemos, Hyper-V utiliza una caracter\u00edstica nueva en Windows 2008 llamado SID de servicio. Hyper-V lo utiliza para poder acceder a estos archivos, por lo cual dichos archivos necesitan tener los permisos de acceso asignados a este SID de servicio. <\/font><\/p>\n<p align=\"justify\"><font size=\"2\">Este SID es una combinaci\u00f3n de los SID de servicio &quot;<font face=\"OCR A Extended\"><\/font><font color=\"#ff0000\" face=\"OCR A Extended\">NT VIRTUAL MACHINE<\/font><font face=\"OCR A Extended\"><\/font>&quot;y el <font color=\"#ff0000\" face=\"OCR A Extended\">GUID<\/font> de VM, seg\u00fan nuestro ejemplo seria: &quot;<font color=\"#ff0000\" face=\"OCR A Extended\">NT VIRTUAL MACHINE\\A966E784-180D-4714-9998-43BC78BDFA14<\/font>&quot;:<\/font><\/p>\n<p><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/e0ed01bf03f3_88A7\/HyperV_03_4.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"www.radians.com.ar \u00a9 2012\" border=\"0\" alt=\"www.radians.com.ar \u00a9 2012\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/e0ed01bf03f3_88A7\/HyperV_03_thumb_4.png\" width=\"544\" height=\"583\" \/><\/a><\/p>\n<p align=\"justify\">El tema es que no es tan f\u00e1cil como agregar un usuario, porque primero no sabemos el SID que corresponde y despu\u00e9s no lo encontraremos a simple vista browseando nuestro AD. Entonces que hacemos? bueno, vamos a asignar los permisos por l\u00ednea de comando, con los datos que obtendremos de los archivos .XML.<\/p>\n<p align=\"justify\">Entonces, abrimos la carpeta &quot;<font color=\"#ff0000\" face=\"OCR A Extended\">%systemdrive%\\programdata\\Microsoft\\Windows \\Hyper-V\\Virtual Machines<\/font>&quot; y vemos lo siguiente:<\/p>\n<p><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/e0ed01bf03f3_88A7\/HyperV_04.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-right-width: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px; padding-top: 0px\" title=\"www.radians.com.ar \u00a9 2012\" border=\"0\" alt=\"www.radians.com.ar \u00a9 2012\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/e0ed01bf03f3_88A7\/HyperV_04_thumb.png\" width=\"544\" height=\"672\" \/><\/a><\/p>\n<p align=\"justify\">Nos copiamos el SID (tambi\u00e9n lo vemos en la ventana del error de la consola de Hyper-V, pero el problema es que no lo podemos copiar, con lo cual es mas f\u00e1cil de esta forma). Entonces ejecutamos desde la l\u00ednea de comando lo siguiente:<\/p>\n<p align=\"justify\"><font color=\"#ff0000\" face=\"OCR A Extended\">icacls &quot;D:\\Virtual Hard Disks\\043_ADN_WS2008_SQL08.vhd&quot; \/GRANT &quot;NT VIRTUAL MACHINE\\A966E784-180D-4714-9998-43BC78BDFA14&quot;:(F)<\/font><\/p>\n<p><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/e0ed01bf03f3_88A7\/HyperV_05.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-right-width: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px; padding-top: 0px\" title=\"www.radians.com.ar \u00a9 2012\" border=\"0\" alt=\"www.radians.com.ar \u00a9 2012\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/e0ed01bf03f3_88A7\/HyperV_05_thumb.png\" width=\"544\" height=\"155\" \/><\/a><\/p>\n<p align=\"justify\">Debemos tener en cuenta que le estaos dando control total a este servicio, por defecto lo permisos que se le asignan son mucho mas restrictivos (solo Read&amp;Write). Si tuvi\u00e9ramos instant\u00e1neas (snapshoots), tambi\u00e9n deber\u00edamos verificar que est\u00e9n asignados los permisos.<\/p>\n<p align=\"justify\">Si verificamos los permisos nuevamente veremos que ya fueron asignados:<\/p>\n<p><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/e0ed01bf03f3_88A7\/HyperV_03_5.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-bottom: 0px; border-left: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top: 0px; border-right: 0px; padding-top: 0px\" title=\"www.radians.com.ar \u00a9 2012\" border=\"0\" alt=\"www.radians.com.ar \u00a9 2012\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/e0ed01bf03f3_88A7\/HyperV_03_thumb_5.png\" width=\"544\" height=\"583\" \/><\/a><\/p>\n<p>Con esto, debemos poder iniciar sin problemas la VM.<\/p>\n<p><a href=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/e0ed01bf03f3_88A7\/HyperV_06.png\"><img loading=\"lazy\" decoding=\"async\" style=\"background-image: none; border-right-width: 0px; margin: 5px; padding-left: 0px; padding-right: 0px; display: inline; border-top-width: 0px; border-bottom-width: 0px; border-left-width: 0px; padding-top: 0px\" title=\"www.radians.com.ar \u00a9 2012\" border=\"0\" alt=\"www.radians.com.ar \u00a9 2012\" src=\"http:\/\/www.radians.com.ar\/Articulos\/Images\/e0ed01bf03f3_88A7\/HyperV_06_thumb.png\" width=\"544\" height=\"105\" \/><\/a><\/p>\n<p align=\"justify\">Recordemos que este procedimiento es solo para cuando tengamos que recuperar equipos cr\u00edticos ante una situaci\u00f3n de desastre, y no deber\u00eda ser nuestro procedimiento est\u00e1ndar. De hecho en nuestro caso, fue critico porque las VMs estaban en estado SAVED, con lo cual no nos era posible recuperarlas desde el disco .VHD sin perder los cambios. Sino, simplemente lo que pod\u00edamos hacer era volver a crear la VM desde la consola de Hyper-V y apuntar el disco a nuestro .VHD. Aunque esto hubiese requerido que volvi\u00e9ramos a configurar las IPs de las placas de red nuevamente.<\/p>\n<p align=\"justify\">Espero que les sea de utilidad. Saludos, Roberto Di Lello.<\/p>\n<h4>Mas Informaci\u00f3n:<\/h4>\n<ul>\n<li>Microsoft: <a href=\"http:\/\/support.microsoft.com\/kb\/2249906\">Hyper-V virtual machines may not start, and you receive an error: \u201c\u2018General access denied error\u2019 (0x80070005)\u201d<\/a> <\/li>\n<li>RaDiansBlog: <a href=\"http:\/\/www.radians.com.ar\/blog\/?p=22\">Migraci\u00f3n de datos manteniendo los permisos\u2026<\/a> <\/li>\n<li>RaDiansBlog: <a href=\"http:\/\/www.radians.com.ar\/blog\/?p=60\">Migraci\u00f3n de datos con ROBOCOPY\u2026<\/a> <\/li>\n<li>RaDiansBlog: <a href=\"http:\/\/www.radians.com.ar\/blog\/?p=1515\">Administraci\u00f3n de nuestro Active Directory: como migrar\/consolidar File Servers con la herramienta FSMT (MS File Server Migration Toolkit) {HowTo}<\/a> <\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Hoy vamos a ver un error que podr\u00eda ocurrir por varios motivos; y que nos&#8230;<\/p>\n","protected":false},"author":1,"featured_media":4291,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"footnotes":""},"categories":[11],"tags":[],"class_list":["post-1549","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-2008-r2"],"_links":{"self":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/1549","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1549"}],"version-history":[{"count":3,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/1549\/revisions"}],"predecessor-version":[{"id":1552,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/posts\/1549\/revisions\/1552"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=\/wp\/v2\/media\/4291"}],"wp:attachment":[{"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1549"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1549"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.radians.com.ar\/blog\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1549"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}