Hyper-V マネージャーを使用して信頼関係を結んだ他ドメインに所属するHype-V ホストへ Hyper-V レプリカを構築時エラーコード 0x80090303 にて失敗する事象について

Last Update:
Hyper-VConfiguration and Management
feedback 共有

本記事はマイクロソフト社員によって公開されております。

こんにちは。Windows サポートチームです。
今回は Hyper-V マネージャーを使用して、信頼関係を結んだ他ドメインに所属するHype-V ホストへ Hyper-V レプリカを構築する際に、エラーコード 0x80090303 にて失敗する事象についてお伝えさせていただきます。

事象

Hyper-V マネージャーを使用して、信頼関係を結んだ他ドメインに所属するHype-V ホストへ Hyper-V レプリカを構築する場合、以下エラーが発生します。

“Error” “2025/xx/xx xx:xx:xx” “Microsoft-Windows-Hyper-V-VMMS” “32000” “None” “Hyper-V failed to enable replication for virtual machine ‘xxxx’: %%2148074243 (0x80090303). (Virtual machine ID xxxx-xxxx-xxxx-xxxx-xxxx)”

“Error” “2025/xx/xx xx:xx:xx” “Microsoft-Windows-Hyper-V-VMMS” “29210” “None” “Hyper-V failed to authenticate the Replica server ‘xxxx’ using Kerberos authentication. Error: %%2148074243 (0x80090303)”

原因

Hyepr-V マネージャー上で Hyper-V レプリカの設定を行う場合、内部では WinRM による接続が行われます。WinRM 観点での権限設定が不足している場合、エラーコード 0x80090303 が発生し、Hyper-V レプリカの構築に失敗します。

回避策

PowerShell コマンドレットにて Hyper-V レプリカを構築いただく場合には、WinRM での接続処理が発生いたしませんため、事象の回避が可能となります。信頼関係を結んだ異なるドメイン間での Hyper-V レプリカ構築をご検討いただく場合には、PowerShell コマンドレットでの構築をご検討いただけますと幸いでございます。

コマンド例 )

Enable-VMReplication -VMName 仮想マシン名 -ReplicaServerName レプリカサーバーFQDN -ReplicaServerPort 80 -AuthenticationType Kerberos

// 参考情報
Enable-VMReplication

https://learn.microsoft.com/en-us/powershell/module/hyper-v/enable-vmreplication?view=windowsserver2025-ps

// 参考情報
Hyper-V レプリカを設定する

https://learn.microsoft.com/ja-jp/windows-server/virtualization/hyper-v/manage/set-up-hyper-v-replica

その他対処策 (WinRM 観点)

WinRM での操作には、”WinRMRemoteWMIUsers_” (旧名称であり、Windows Server 2016 以降 Remote Management Users になります)の権限が必要となります。
Hyper-V マネージャー上での構築操作をご希望の場合には、お手数おかけしますが、下記設定の追加をご検討ください。

追加設定

WinRM 接続先 のマシンで lusrmgr.msc を起動し、グループ内の Remote Management Users グループを開き、WinRM 接続元側(Hyper-V のレプリケーションを操作しているマシン)で Hyper-V レプリカの設定操作を行っているユーザーを追加してください。

補足情報

同ドメイン内であれば、Domain Admins は既定で対象マシンの Administrators グループに所属しているため、Remote Management Users に WinRM 接続時のユーザーを追加する、という操作は不要でございます。

— 公開情報より抜粋 —

WinRM は、ローカル管理グループまたは WinRMRemoteWMIUsers__ グループのメンバーではないすべてのユーザーにリモート アクセスを制限します。

— 公開情報より抜粋 —

// 参考情報
リモート接続の認証

https://learn.microsoft.com/ja-jp/windows/win32/winrm/authentication-for-remote-connections


いかがでしたでしょうか。本投稿が少しでも皆様のお役に立てば幸いです。
本情報の内容(添付文書、リンク先などを含む)は、作成日時でのものであり、予告なく変更される場合があります。