Se connecter à un serveur Hyper-V depuis un poste client

Introduction

L'objectif est simple : vous disposez d'un Serveur Windows 2022/2025 avec le rôle Hyper-V déployé dessus. Et plutôt que de gérer vos VM directement depuis le serveur, vous souhaitez naturellement pouvoir le faire depuis votre poste client windows 11.

Pré-requis

• Hyper-V est installé et prêt à l'emploi sur le serveur Windows
• Hyper-V, ou a minima la console d'administration hyper-v, est installée sur le Client.
• Pour ce tuto, le serveur ET le client ne sont pas dans un domaine AD (c'est plus simple sinon) mais sont néanmoins sur le même réseau (ou peuvent se joindre sans entrave du type pare-feu... sinon il y aura des règles à créer)
• Sur le client, vous aurez ajouté une correspondance entre l'IP du serveur et son hostname dans le fichier hosts pour plus de commodité.

Rappels

• Pour installer Hyper-V sur un Client Windows 11 : aller dans "Activer ou désactiver des fonctionnalités Windows", cocher Hyper-V, cliquez sur OK et redémarrez votre machine. Evitez la présence de plusieurs hyperviseurs différents sur votre machine.
• Si vous faîtes un labo de test avec un serveur Hyper-V et un client pour tester cette procédure, n'oubliez pas d'activer la virtualisation imbriquée pour ces VM avec Hyper-V ! Autrement vous ne pourrez pas installer Hyper-V !
• Pour ajouter une correspondance IP - hostname sur un poste windows : vous devez ouvrir le bloc-note en mode Administrateur puis, fichier, ouvrir et naviguer jusqu'à C:\Windows\System32\Drivers\etc, là, à la place de "Fichiers texte (*.txt) dans le menu déroulant en bas à droite, sélectionnez "Tous les fichiers (*.*)", le fichier hosts apparaît.
  Ouvez-le et ajoutez la correspondance tout en bas, du type : 192.168.149.13 SERVEUR.
  Enregistrez et fermez le fichier. Nous allons d'ailleurs considérer pour cet exercice que le serveur Hyper-V s'appelle "SERVEUR".

Première étape : passage en réseau privé pour le serveur ET le client

Cette étape n'est pas nécessaire dans le cas où le(s) serveur(s) Hyper-V et le client sont membres d'un domaine AD.
Sur le serveur, puis sur le client, effectuez la même opération ci-dessous : (Lancer PowerShell en mode Administrateur)

Repérer l'index de votre interface réseau :

Get-NetConnectionProfile

(Pour l'exemple, nous allons prendre le 10)

Passer en Private :

Set-NetConnectionProfile -InterfaceIndex 10 -NetworkCategory Private

Deuxième étape : Autoriser les connexions PowerShell distantes et définir les rôles CredSSP

(Activer simplement Enable-PSremoting sur le(s) serveur(s) Hyper-V et lancer le service WinRM sur le client dans le cas les machines sont membres d'un domaine AD)

Sur le serveur

Enable-PSRemoting
Enable-WSManCredSSP -Role Server

Sur le client

Lancez WinRM et ajouter le serveur Hyper-V à la liste des machines de confiance :

Start-Service WinRM
Set-Item WSMan:\localhost\Client\TrustedHosts -Value "SERVEUR"

(répondez [O] Oui)

Enable-WSManCredSSP -Role Client -DelegateComputer "SERVEUR"

Troisième étape : Autoriser la délégation de nouvelles informations d'identification de serveur NTLM

(cette étape n'est pas non plus nécessaire dans le cas d'un AD)

Sur le client : gpedit.msc
Allez dans :

• Configuration Ordinateur
  • Modèles d'administration
    • Système
      • Délégation d'informations d'identification
        • Autoriser la délégation de nouvelles informations d'identification avec l'authentification de serveur NTLM uniquement

Activer, puis cliquer sur "Afficher" et entrez la valeur suivante dans la première ligne :

wsman/SERVEUR

Connexion au serveur Hyper-V

La configuration est terminée ! A présent, lancer le gestionnaire Hyper-V sur le client, "se connecter au serveur...", entrer "SERVEUR" puis "se connecter en tant qu'autre utilisateur..."

Attention, vous devez indiquer le nom d'un utilisateur créé SUR LE SERVEUR WINDOWS pour pouvoir vous connecter à la console Hyper-V.

Cet utilisateur doit par ailleurs être membre des 2 groupes suivants :

• "Administrateurs Hyper-V"
• "Utilisateurs de gestion à distance" et d'aucun autre groupe !!

Cela permet de ne donner accès QU'A hyper-V sur le serveur ! L'utilisateur ne peut ainsi pas se connecter à une session RDP par exemple.

Pour entrer le nom de l'utilisateur, on précise le nom NETBIOS du serveur devant le nom de l'utilisateur :

SERVEUR\utilisateur-du-serveur
Mot-de-passe

(Remarque : j'ai observé plusieurs fois qu'il était nécessaire de faire une première connexion (depuis le client vers le serveur Hyper-V SERVEUR) en utilisant les identifiants de l'Administrateur du serveur SERVEUR avant de parvenir à se connecter avec l'utilisateur dédié créé sur le serveur SERVEUR (et membre des groupes "Administrateurs Hyper-V" et "Utilisateurs de gestion à distance"))

Encart concernant les gestionnaires de cluster de basculement avec AD

Si vous souhaitez vous connecter à un gestionnaire de cluster de basculement Hyper-V (mettons que vous avez monté un tel cluster) afin de pouvoir gérer les VM, à ma connaissance, il n'est pas possible d'y parvenir en créant un utilisateur AD et en l'ajoutant aux groupes mentionnés plus haut. Cette technique ne fonctionne que dans le cas où il n'y a pas d'AD.

Il faut normalement ajouter une autorisation dans les propriétés du cluster de basculement pour l'utilisateur que l'on veut... sauf que ça ne fonctionne pas ! A creuser donc.

Néanmoins, il est tout à fait possible de se connecter au gestionnaire du cluster depuis un poste client grâce aux outils RSAT et au gestionnaire de cluster inclu.. en l'ouvrant en mode Administrateur !