2026年1月21日に開催されたオンラインセミナー「セイテク・シス管道場 第6回 最新Hyper-V環境へのVM移行とHyper-Vホストに迫る2026年問題」のアーカイブ視聴が可能になりました。以下のサイトから視聴を申し込むことができます。
【アーカイブ】セイテク・シス管道場 第6回 最新Hyper-V環境へのVM移行とHyper-Vホストに迫る2026年問題
セミナーフォローアップ: Credential GuardとCredSSPの互換性
Hyper-Vホスト間(非クラスター構成)の(シェアードナッシング)ライブマイグレーションのデモの際に少し触れましたが、Windows 11バージョン22H2以降およびWindows Server 2025以降では、要件を満たすデバイスで仮想化ベースのセキュリティ(Virtualization-Based Security《VBS》」と「Credential Guard(資格情報ガード)」が既定で有効になります。Active Directoryのドメインに参加していることは、Windows Server 2025でCredential Guardが既定で有効になる要件の1つです。
そして、Credential GuardはCredSSP認証(ユーザーの資格情報をクライアントからターゲットサーバーに委任するWindowsの認証プロトコル)と互換性がなく、Credential Guardが有効になっているとCredSSP認証は利用できなくなります。
そのため、(シェアードナッシング)ライブマイグレーションの移行元がWindows Server 2025であり、Credential Guardが有効になっている場合は、ライブマイグレーションの認証プロトコルの既定である「資格情報のセキュリティサポートプロバイダー(CredSSP)を使用する」ではライブマイグレーションはエラーで失敗します(画面1)。Credential Guardが有効な状態でこのエラーを回避するには「Kerberos認証を使用する」を選択する必要があります(または、Credential Guardを明示的に無効化します)。そして、Kerberos認証のためには、ドメインコントローラーで「Active Directoryユーザーとコンピューター」スナップインを使用して、移行元/先のコンピューターアカウントに「cifs」および「Microsoft Virtual System Migration Service」サービスに相手コンピューターを委任するように構成する必要があります。
Windows Server 2022以前のHyper-VホストをWindows Server 2025にインプレースアップグレードすると、以前のバージョンでCredential Guardを明示的に無効にしていない限り、アップグレード後にCredential Guardが既定で有効化され(ドメインメンバーの場合)、Credential GuardとCredSSPの互換性の影響によりライブマイグレーションに失敗するようになる可能性があります。
Hyper-Vのライブマイグレーションの認証プロトコルは、Credential GuardとCredSSPの互換性の影響の1つに過ぎません。他の管理ツールやPowerShell Remotingなど、CredSSPが使用される可能性があるところに影響します(画面2)。Credential Guardが有効になっているかどうかは、「システム情報」ツール(msinfo32.exe)で確認することができます。
画面1 Credential Guardが有効になっていると(Windows Server 2025のドメインメンバーの既定)、ライブマイグレーションの既定の認証プロトコル(CredSSP)は使用できない
画面2 Credential Guardが有効になっていると、PowerShell RemotingでCredSSP認証を使用できない
参考情報:
Credential Guard の概要 > Windows Serverでの既定の有効化|Windows(Microsoft Learn)
Credential Guard を使用するときの考慮事項と既知の問題 > 委任に関する考慮事項|Windows(Microsoft Learn)
ライブ マイグレーションのホストの設定 > Windows Server 2025 へのアップグレード|Windows Server(Microsoft Learn)
ライブ マイグレーションのホストの設定 > 手順 1: 構成の制約付き委任 (省略可能)|Windows Server(Microsoft Learn)
