今天在維護公司的Hyper-V 主機時，準備把一個VM 利用內建匯出入的方式移轉到另一台主機運作，卻意外產生了錯誤，造成無法用正常程序匯出。

說實話，這樣的錯誤訊息想要除錯，已經接近通靈的程度...

用許多關鍵字拜請了股溝大神，卻查到更多Hyper-V 匯出錯誤的狀況，反而沒有太大幫助。最後，小弟查到微軟KB954280 文件：Error message when you try to export a virtual machine on a Windows Server 2008-based computer that uses Hyper-V: "An error occurred while attempting to export the virtual machine"，裡面提到：「The virtual machine is configured to use a virtual hard disk that no longer exists.」。

這才猛然想起在某次快照後，因為那個VM 原始的vhd 硬碟檔空間設定過小，所以小弟又更換了一個較大空間的vhd 硬碟檔，卻同時手賤幫原來的vhd檔改名（如紅圈處）。

在半信半疑下，將vhd檔 修改回原始的檔名後，果然正常完成匯出了。

看來，手動更改原始的vhd 檔名，會造成匯出的過程找不到快照集所對應的原始vhd 檔，而中斷匯出的動作。所以這件事情告訴我們，IT 人記性真的要夠好，不然就準備要通靈除錯了。

因為一個特殊原因，公司內部的KMS 服務小弟我是安裝在Windows Server 2003 的主機上，但由於公司都有乖乖繳保護費購買大量授權的關係，所以已經陸續取得Windows 7 和2008 R2 的KMS Key。但由於KMS 服務版本為1.1 版，這會導致主機端輸入新KMS Key 後，可能產生0xC004F015 或0xC004F050 的錯誤訊息。

（以上兩張圖片來源直接連結自The Windows Blog）

解決方式很簡單，就是參考微軟KB968195文件：An update is available that installs Key Management Service (KMS) 1.2 for Windows Server 2003 Service Pack 2 (SP2) and for later versions of Windows Server 2003，安裝KB968195 更新。

安裝方式很單純，下載後直接執行該更新。（檔案位置：x86, x64）

更新完後用指令方式，輸入將要使用的Windows 7 或Windows Server 2008 R2 KMS Key。

slmgr -ipk xxxxx-xxxxx-xxxxx-xxxxx-xxxxx

當然，別忘記進行啟用動作。

slmgr -ato

由於上面的指令是直接透過Internet 跟微軟報到做線上啟用，如果你的KMS 主機處在內部無法上網，可以改輸入下面指令，將安裝識別碼透過電話提供給微軟啟用中心，就能取得一組啟用識別碼。

slmgr -dti

再利用下面指令將啟用識別碼 <Confirmation ID> 輸入，也能完成啟用。

slmgr -atp <confirmation ID>

有確實做完，用指令就會發現你的KMS Key 已經升級成Win7 或2008 R2 版了。

slmgr -dlv

最後，小弟碎念一下為什麼選擇Server 2003 當做KMS 主機。因為之前測試發現，如果使用Windows Server 2008 提供KMS 服務，在 [目前計數] 的地方並不會將運行的主機算在內；假設公司剛好有A、B、C、D、E 五台主機都要安裝Server 2008，主機A 安裝Server 2008 輸入KMS Key ，啟用後自動成為KMS 服務主機，會造成內部只剩下四台主機，而無法跨越過最少五台的啟用服務限制。

當然，公司的Server 2008 主機數量足夠，自然就不需理會這無聊的理由了。

推薦延伸閱讀：
● Windows Vista Volume Activation 2.0 技術指南
● TechNet Video: How to update KMS on Windows Server 2003

「天有不測風雲，人有旦夕禍福」，就算伺服器硬體用了Raid 5 還是Raid 6，如果碰上八顆硬碟三天內先後陣亡四顆，也只能宣告不治。是的！我就是碰到這個狀況的苦主，導致練習了兩三個月的Exchange 移轉LAB ，主機在正式實際移轉前毀於一旦。唯一慶幸的是，有部分VM 的設定檔是位於另一顆陣列磁碟上並未損毀，所以在HP 不願意全數更換疑似雞瘟的Seagate 硬碟並重灌Serve 2008 後，我曾想盡辦法要匯入，無奈作業系統只允許正常的匯入匯出方式或VSS 備份進行復原。

但

「生命會自己找出路！」

觀察案發先後範例VM 設定檔及相關檔案位置。機器掛掉前的路徑及設定檔位置：
V:\HyperV\Gateway
V:\HyperV\Gateway\Virtual Machines\E9EA7716-8831-453C-A641-DE84291A0431.xml

重灌後的路徑及設定檔位置：
D:\HyperV\Gateway
D:\HyperV\Gateway\Virtual Machines\E9EA7716-8831-453C-A641-DE84291A0431.xml

請特別注意「E9EA7716-8831-453C-A641-DE84291A0431」這個XML 設定檔的SID 值，因為它將扮演下面復原步驟很重要的角色。（另外要提醒的是，不同VM 的XML 設定檔的SID 值是不一樣的，請替換上自己所找到的SID 值！）

準備工具（Server 2008 內建指令）：
1. mklink
2. icacls

復原原VM 在Hyper-V 管理員的相關設定步驟如下：
1. 請用系統管理員身份執行 [命令提示字元]，並切換到Hyper-V 系統的 [Virtual Machines] 目錄。
「cd\ProgramData\Microsoft\Windows\Hyper-V\Virtual Machines」

2. 建立Hyper-V 原VM 的Symbolic link及真實XML 檔案對應。
為清楚閱讀及瞭解，我將指令跟設定參數用斷行顯示，實際使用時請將用空格將各行連接，完整指令可參考灰色部分。
「mklink
E9EA7716-8831-453C-A641-DE84291A0431.xml
"D:\HyperV\Gateway\Virtual Machines\E9EA7716-8831-453C-A641-DE84291A0431.xml"」

（完整指令：mklink E9EA7716-8831-453C-A641-DE84291A0431.xml "D:\HyperV\Gateway\Virtual Machines\E9EA7716-8831-453C-A641-DE84291A0431.xml" ）

3. 授予服務SID 的權限至該VM Symbolic link 連結上。而這服務SID 也就是前面所提到的「E9EA7716-8831-453C-A641-DE84291A0431」。
「icacls
E9EA7716-8831-453C-A641-DE84291A0431.xml /grant
"NT VIRTUAL MACHINE\E9EA7716-8831-453C-A641-DE4291A0431":(F) /L」

（完整指令：icacls E9EA7716-8831-453C-A641-DE84291A0431.xml /grant "NT VIRTUAL MACHINE\E9EA7716-8831-453C-A641-DE4291A0431":(F) /L ）

做完上面步驟之後，會發現你的虛擬機器已經出現在 [Hyper-V 管理員] 了。但別開心的太早，因為還沒做完，貿然啟動只會送錯誤訊息給你看。原因在於，本來的VM 相關檔案也需要將權限授予服務SID。

4. 授予服務SID 的權限至該VM 設定檔及相關檔案所處的資料夾裡。
「icacls D:\HyperV\Gateway\ /T /grant
"NT VIRTUAL MACHINE\E9EA7716-8831-453C-A641-DE84291A0431":(F) /L」

（完整指令：icacls D:\HyperV\Gateway\ /T /grant "NT VIRTUAL MACHINE\E9EA7716-8831-453C-A641-DE84291A0431":(F) /L ）

這樣就恢復原本在Hyper-V 的相關設定啦！

不過事情還沒結束，因為前面提過，最早我是把該VM 的設定檔及相關檔案置於「V:\HyperV\Gateway」，卻在重灌作業系統後，原硬碟代號變成了 [D]，因此位置也變成「D:\HyperV\Gateway」。

沒改的話，錯誤訊息如下圖。

因此，還需要修改該VM 的「E9EA7716-8831-453C-A641-DE84291A0431.xml」XML 設定檔內容，將相關路徑指回新的正確路徑。

最後，請記得啟動前修改虛擬機器的網路卡設定，否則一樣不給你啟動啦！因為在先前Hyper-V 系統的網路卡SID，勢必在重灌作業系統或移機使用後不相同，所以必須重新指定。

這裡介紹的復原方式，適合下面幾種狀況：
1. 作業系統或Hyper-V 不明損毀需重新安裝。
2. 手賤移除到Hyper-V 系統裡的Symbolic link，導致無法開啟原VM。
3. 手賤搬動原VM 設定檔的目錄位置，導致無法呼叫原VM。
4. 老闆沒預算給苦命的IT 人買SCVMM，想要異機還原又忘記先匯出Hyper-V 設定。
前提都是，原本的VM 設定檔及相關檔案要保存完好。

不過，範例中的VM 其實是沒有做過快照的，那萬一VM 有Snapshots 快照集能復原嗎？答案是可以的，小弟賣個小關子留到Part 2 解說。

或者，也推薦您參考另一位微軟MVP 保哥的大作：如何手動還原 Hyper-V 的 VM 與 Snapshots 到另一台主機。

從Windows Server 2008 R2 開始，代表微軟正式宣告邁向64 位元，因此企業若想將作業系統直接升級為2008 R2，更要特別注意下面幾點：

● 不支援跨位元架構的升級。也就是32位元無法直接升級到64位元。

● 不支援跨語系的升級。比如，原核心語系為英文版，無法用R2 純正體中文版直接進行升級。其實在進行升級安裝前會先有相容性測試，如發現錯誤則有提示訊息，並提供檢修方式。假使是在Windows 下執行，還會同時產生一份HTML 報告於桌面。

（上面紅框的「如何安裝Windows 7」應該是個不小心的錯誤）

● 不支援跨版本的升級。比如，Windows Server 2008 Foundation 無法升級到 Windows Server 2008 R2 Datacenter。且將Server 2008 企業版降安裝為R2 標準版也不行，標準版也無法跨版本升級到R2 Datacenter。

更詳盡的說明可參考微軟Technet 技術文件庫：Windows Server 2008 R2 Upgrade Paths。

小弟總結上述資料幾個重點：
1. 只有x64 版能升級到Server 2008 R2。
2. Server 2003 僅SP2、R2 版能升級Server 2008 R2，前提也要是64 位元版。
3. 只能升級R2 同級版本或更高，不能往下降版本。比如，Server 2008 企業版無法降版安裝成2008 R2 標準版。
4. Server Core 只能升級為2008 R2 Server Core 介面。
5. Server 2008 Foundation 或Server 2008 Web 最高僅能升級為R2 標準版。

最後，剛好小弟的虛擬環境有部分VM 是採用Server 2008 x64 版，因此拿了兩個分別作為主網域控制站及NAP 伺服器的VM，實際測試直接升級為2008 R2。發現在升級過程並沒有任何錯誤，且相關設定及功能也都平和地移轉完成，或許這要歸功於R1 及R2 其實是親兄弟啊～

不過在測試過程發現有幾點想要提醒大家，如果是網域控制站要做直接升級，請參考Installing Windows Server 2008 R2 資訊裡的「Prepare your Active Directory environment with Windows Server 2008 R2 updates」小節，預先使用「Active Directory 準備工具（adprep.exe）」將AD 架構升級；另外，像小弟是使用Server 2008 英文版然後塞中文語系包，建議在升級R2 前預先反安裝語系包，否則在升級完成後，要在安裝R2 版專用的語系包時，可能會有安裝錯誤或者介面錯誤的狀況。

前幾天還在公司測試英文版的Server 2008 SP2，沒想到微軟在前天突然在MSDN、TechNet Plus及大量授權網站發佈了ServicePack 2 全語系版本。

當然，裡面包括正體中文版囉！

更新的不只有ServicePack 2 而已，連Language Packs 也一同更新了。

可惜的是，Server 2008 的官方整合版本目前僅有捷克語、荷語、英文、法語、德語、日文、西班牙語。不過應該再過一段時間，全語系的整合版本就會發佈。

下載回來的SP2 ISO 還頗大的，高達1.7GB。這也是因為一次放送了全部語系，以及x86、x64、IA64 三種版本。

更新過程真的沒什麼好說的，就是無腦式安裝而已，而且更新時間也不再像SP1 時那樣久。但是，請注意兩個比較重要的狀況：
1. 安裝SP2 前需先安裝SP1。
2. 更新前讓系統槽至少騰出7 GB的空間，否則就會出現下面這個錯誤訊息。

建議更新前還是先閱讀：常見問題集：Windows Server 2008 Service Pack 2 和 Windows Vista Service Pack 2。

安裝完成。有圖有真相！

沒有上述網站可以進入下載的人也別急，根據微軟TechNet 網站的SP2支援訊息：「我們將於 2009 年 4 月 29 日開始提供 Server 2008 SP2 的協助支援，而於 2009 年 5 月 26 日開始提供 Vista SP2 的協助支援。」，所以可以推測一般用戶至少在5 月26 日之後一定能透過WindowsUpdate 下載到。

想多瞭解SP2 到底更新了什麼，可以參考微軟TechNet Center 的資訊：
Windows Server 2008 SP2 和 Windows Vista SP2 中的顯著變更

是的！微軟揪甘心活動持續舉辦中，本月份再放送兩本電子書。

Windows Server 2008 Terminal Services Resource Kit

The Practical Guide to Defect Prevention

請注意，本月份活動只到5/27為止！錯過，就只有這個訊息送給你...

我承認，「Run Aa」是非常少用到的功能，但突然想切換身份測試東西的時候，才發現在Vista /Server 2008 裡面找不到，還是會有種圈圈差差的感覺。還好，想找回這個功能還是有辦法...

1) 到Windows Sysinternals 網站下載「ShellRunas」。
（碎碎念：強烈推薦大家有空到Windows Sysinternals 網站挖寶！）

2) 下載後解壓縮至某固定目錄。範例是解壓縮至「C:\Shell」。

3) 執行「命令提示字元」，然後切換到該目錄，執行「ShellRunas /reg」。

看到這個訊息就代表成功了。

按滑鼠右鍵就會發現功能表多了一個「Run as different user」的選擇。

執行後就會看到下面的登入畫面，再輸入你想使用的帳號及密碼就換身份啦！

要比較注意的是，如果「ShellRunas」程式的檔名或者目錄位置更換了，請務必再註冊一次機碼，否則會出現下列的錯誤畫面。

仔細再測了一下，這個程式在正體中文版的環境也能正常使用，大家可以安心服用。如果不想讓這功能再出現在右鍵功能表，再參考上面步驟，改輸入「ShellRunas /unreg」就收工了。

對了！對IT 人員來說，過去在XP 時代會用到的超級終端機也是被Vista 遺忘的。雖然可以從XP 的電腦上拷貝過來使用，不過我個人覺得這步驟還是太麻煩，推薦直接下載「Tera Term」簡單又快速啦！

之前提供Fortigate 的SSL VPN 的快速設定方式，都是在防火牆設備上建立帳號，讓用戶端使用該帳號及密碼作登入。只是，這其實有很大的資安問題，因為很多公司為了方便，往往只建立一至兩組的通用帳號及密碼；萬一某個知道登入方法的員工離職了，這樣就會造成要重新設定及公告撥入的帳號和密碼，怎麼想都覺得這是很有問題的作法。假如公司每個月換掉一個員工，不就每個月都要痛一次？

但是，如果公司有使用微軟的AD網域架構，就能利用Windows Server 2008 內建的網路原則伺服器（NPS），當作我們的Radius Server；也就是用戶端想在Fortigate 上登入SSL VPN 時，只要輸入網域的帳號及密碼，就會依據網管在該帳戶所開放的權限去判斷是否允許登入。

參考上面的網路基礎架構圖，我預備將已經加入網域的NPS 主機（192.168.1.51）當作Radius Server。
1) 到開始 -> 系統管理工具 -> 伺服器管理員，開啟後新增「網路原則伺服器」的角色，然後按下一步。

2) 勾選「網路原則伺服器」，然後按下一步完成。

3) 完成安裝後，到開始 -> 系統管理工具 -> 開啟「網路原則伺服器」，並參考下圖新增RADIUS 用戶端。

4) 新增RADIUS 用戶端。因為NPS 是我們的RADIUS Server，Fortigate 自然而然就成了我們的用戶端，所以請務必輸入其IP 位址，及Server 端和用戶端的溝通時所需要的共用密碼。範例是以「123」當作共用密碼，而廠商則可選擇「Microsoft」，因為Fortigate 有支援MS-CHAP v2 的驗證。

5) 設定完Server，再回到Fortigate 上設定。請到User -> Remote -> RADIUS，參考下圖新增一組RADIUS 設定。這邊要比較注意的還是Primary Server Secret 設定，因為RADIUS Server 及RADIUS Client 端的共用密碼必須一致，範例是以「123」當共用密碼，Authentication Scheme 則選擇「MS-CHAP v2」。

6) 把建立好的RADIUS 設定加到已經被Policy 允許存取SSL VPN 的群組內。高興的話，可以順手把之前通用的那個帳號給廢了。

上面的步驟應該算是完成設定，但實際使用時會發現，用戶卻像是鬼打牆一樣無法登入。

這一切的一切都是因為AD 網域的帳號設定，關於VPN 的登入選項預設為「透過NPS 網路原則控制存取」。最快的解決方式，就是直接勾選「允許存取」。

雖然Fortigate 提供VPN 的功能還有很常見的PPTP 跟IPSEC，只是我個人覺得對於企業應用及便利性來說，SSL VPN 還是略勝一籌，或許也是為什麼有些知名UTM 設備廠都將這功能內建在裡面的原因。

最後來談談Fortigate 的後續維護成本。以這次公司因中華電信資安艦隊專案所取得到的FG60B 來說，由於是屬於中華電信的特別專案，所以設備從在原廠註冊完成日起算兩年內，AV（AntiVirus，不是一支筆啦）、IPS（入侵偵測防禦系統）、Web Filtering（原廠線上提供的網頁過濾資訊）、AntiSpam（原廠線上提供的防垃圾郵件資訊）及韌體更新都是屬於免費的，但硬體保固卻是需自行聯繫代理商後送回。

如果貴公司是一秒鐘幾十萬上下的，建議找這次專案賣很大的Fortigate 代理商-力麗科技（對！不用懷疑，跟賣家具的力麗家具一點關係也沒有）或SI 系統整合商，花點小錢加簽到場或備品服務，不然損失的就不止幾萬了。

而過兩年之後，很抱歉！想繼續更新AV/IPS甚至硬體保固，就必須付費續約。至於費用方面，我之前有跟我公司的SI 維護廠商稍微詢問過，一次簽約三年含AV、IPS及硬體保固，大概不到六萬元，算是還蠻超值的。

但不簽也無所謂，機器也不至於變成磚頭，原有的UTM 功能仍然存在，只是沒有硬體保固，而且就跟防毒軟體一樣，無法線上即時取得最新的病毒碼防護及版本更新。

不過，這也有大絕招啦！如果公司有兩台以上的Fortigate 設備，但至少有一台仍有在保固內的話，依然可以從官方的技術支援網站手動下載到病毒碼及韌體的檔案，然後再手動塞進沒保固的設備就完工啦！

上個月把去年公司買進來的HP ML350G5 半正式上線，為何說是半正式？因為在我的規劃下，這台的用途未來是當作公司的Exchange Server 2007 主機，但由於公司目前運行的是Exchange Server 2003，如果要讓Exchange Server 2007 成為主力，勢必要做移轉的動作。

當然！應該沒有哪個IT人員心臟很大顆，說移轉就移轉，還是要做個LAB比較安心。所以那台主機就被我先拿來用Hyper-V 做模擬測試啦！

只是沒想到，準備在Windows Server 2008 啟用Hyper-V 角色時，卻發生錯誤。檢查了一下，發現原來是伺服器的BIOS 並沒有把Intel-VT 啟用，這個在Hyper-V 也是屬於必備的條件。而且我檢查了一下公司其他伺服器，發現HP 似乎在這個功能預設都是不啟用的。

所以，要在HP 伺服器上使用Hyper-V，可以參考以下步驟做啟用及檢查的動作：

1) 進入HP 伺服器的BIOS 主選單，選擇「Advanced Options」。

2) 選擇「Processsor Options」。

3) 選擇「No-Execute Memory Protection」。

4) 確認「No-Execute Memory Protection」是「Enable」。這個選項就是所謂的DEP，也是使用Hyper-V 必備的條件之一，這部分在HP 伺服器預設都是啟用的。

5) 重頭戲上場，回到上一層選擇「Intel Virtualization Technolegy」。就是這個光，預設是不啟用的啊！趕快選擇「Enable」吧！

話說這一個多月拿這台ML350 G5 用Hyper-V 做LAB（這可以當作一個多月沒發文的理由嗎？），大概只有一個「爽」字形容；因為我把公司的AD 包括Exchange 都完整地移入虛擬環境運作，加上華麗的硬體規格，怎樣也不可能擺一台大怪物在家裡玩啊！

可惜的是，內建的E200i 陣列卡在大量I/O存取時還是會造成有點頓的狀況。不過沒關係，我已經準備好HP Smart Array P800 陣列卡了，嘿嘿...

上一篇介紹到Server Core 的好用工具-CoreConfigurator，那如果拿到同樣是Server Core 核心的Hyper-V Server 2008 能用嗎？

答案是可以的！

安裝方式跟使用都跟前一篇沒什麼差別，而且在繁中版同樣會有部分水土不服的狀況。

不過有些資訊還蠻特別的，因為Hyper-V Server 2008 是微軟發佛心提供的免費作業系統，也就是免錢免序號歡迎大家使用。但從這個授權訊息來看，其實仍有時間限制，只是沒有到一萬年也有到一百三十五年啊～

可以安裝的角色（Roles）及功能（Features）。（此設定畫面在繁中版一樣無法顯示）
唯一的角色-Hyper-V 已經啟用，至於其他可啟用的功能也真的很少，不過以Hyper-V Server 2008 的產品定位來說，應該是足夠了。

那能否移除Hyper-V 角色？答案也是可以，但移完就不知道我留Hyper-V Server 要幹嘛！？最恐怖的是，移完還裝不回去。