在线迁移是Hyper-V中使用最为广泛的特性之一，尽管使用相对容易，但是你必须先确定使用哪种认证协议。

微软提供了两种选择：CredSSP和Kerberos认证。问题是Hyper-V Manager并没有提供哪种协议更好的技术指南。

图1. 在CredSSP和Kerberos认证之间做出选择

默认选项是凭据安全支持提供程序（CredSSP），但是Kerberos认证的接口更为安全。然而，Kerberos需要针对在线迁移配置强制授权。那么你应该选择哪种协议呢？

协议选择

在Windows Server 2012以及Windows Server 2012 R2 Hyper-V中CredSSP是默认的认证协议，原因在于不用进行任何配置（除了选择迁移网络外）就能够使用CredSSP。换句话说，CredSSP作为默认选择的原因是使用方便。

然而，CredSSP并非总是最佳选择。Hyper-V Manager特别指出Kerberos要比CredSSP更安全还有其他方面的原因。使用CredSSP最大的问题在于CredSSP协议只允许通过单跳传递认证。这意味着如果你想进行在线迁移，那么你必须登录到运行虚拟机的主机服务器上然后才能发起在线迁移任务。在中小企业中这可能不是个大问题，但是在大规模环境中这种方式成为了一个主要的障碍。

Kerberos认证不受单跳的限制，但是其需要使用强制授权。当管理员发起在线迁移时，Hyper-V使用管理员认证。CredSSP存在单跳限制，这意味着能够将管理员的认证信息传递到远端系统，但是认证信息无法进一步传递。Kerberos不存在这方面的限制，这意味着如果有必要管理员的认证信息能够在多台服务器之间传递。

然而，能够在多台服务器之间传递认证信息可能存在安全风险。你不想远程服务器以它认为合适的任何方式使用你的管理认证。因此，如果你喜欢使用Kerberos协议，一定要启用强制授权。强制授权允许你授权能够使用认证信息的帐户。

启用强制授权

你必须通过活动目录用户与计算机控制台或者PowerShell来配置实际的授权过程。通过活动目录用户与计算机控制台配置授权过程，需要打开控制台并选择计算机容器。接下来右键单击你打算配置强制授权的服务器，然后在打开的窗口中选择属性命令。

 
图2. 通过选择授权标签启用强制授权

如图2所示，当打开计算机属性标签后，选择授权标签。选择只对该计算机授权使用特定的服务。一定要确保选择了只使用Kerberos选项，然后单击添加按钮。

 
图3. 针对微软虚拟系统迁移服务启用授权

当添加服务器对话框被打开后，单击用户或计算机选项然后输入你打算启用授权的计算机账户。操作完成后将会看到上图3所示的添加服务对话框。你需要选择微软虚拟系统迁移服务。通常还需要添加CIFS服务的授权。

正如你所看到的那样，使用CredSSP认证是最简单的方式，但是需要你登录到打算进行在线迁移的虚拟机所在的Hyper-V主机。Kerberos提供了更好的灵活性，但是必须要使用强制授权。