Tutorial: Entpacken, Verbinden und Entsperren von Azure Data Box Disk
Artikel
Wichtig
Hardwareverschlüsselungsunterstützung für Data Box Disk ist derzeit für Regionen in den USA, Europa und Japan verfügbar.
Azure Data Box-Datenträger mit Hardwareverschlüsselung erfordert eine SATA III-Verbindung. Alle anderen Verbindungen, einschließlich USB, werden nicht unterstützt.
Achtung
Dieser Artikel bezieht sich auf CentOS, eine Linux-Distribution, deren Dienstende (End-of-Life, EOL) ansteht. Sie sollten Ihre Nutzung entsprechend planen. Weitere Informationen finden Sie im CentOS End-of-Life-Leitfaden.
In diesem Tutorial wird beschrieben, wie Sie Ihren Azure Data Box-Datenträger entpacken, verbinden und entsperren.
In diesem Tutorial lernen Sie Folgendes:
Entpacken Ihres Data Box-Datenträgers
Herstellen der Verbindung mit Datenträgern und Abrufen des Hauptschlüssels
Entsperren von Datenträgern auf Windows-Client
Entsperren von Datenträgern auf Linux-Client
Entpacken, Verbinden und Entsperren von Azure Data Box Disk
Sie haben Ihre Datenträger erhalten, und der Auftragsstatus im Portal wurde aktualisiert und in Übermittelt geändert.
Sie verfügen über einen Clientcomputer, auf dem Sie das Tool zum Entsperren von Data Box Disk installieren können. Ihr Client-Computer muss folgende Voraussetzungen erfüllen:
Wenn es sich um einen Windows-Client handelt, muss weitere erforderliche Software darauf installiert sein.
Entpacken von Datenträgern
Führen Sie die folgenden Schritte aus, um Ihre Datenträger auszupacken.
Die Data Box-Datenträger werden in einem kleinen Versandpaket gesendet. Öffnen Sie das Paket, und nehmen Sie den Inhalt heraus. Überprüfen Sie, ob das Paket ein bis fünf SSD-Datenträger (Solid-State Disks) und ein USB-Verbindungskabel pro Datenträger enthält. Überprüfen Sie das Paket auf Zeichen einer Manipulation oder andere erkennbare Beschädigungen.
Öffnen Sie das Versandpaket nicht, falls es manipuliert wurde oder stark beschädigt ist. Wenden Sie sich an den Microsoft-Support, um Hilfe bei der Ermittlung zu erhalten, ob sich die Datenträger in einem einwandfreien Zustand befinden oder ob eine Ersatzsendung erforderlich ist.
Prüfen Sie, ob das Paket über eine durchsichtige Kunststoffhülle mit einem Versandetikett für die Rücksendung verfügt (unter dem Etikett für die Zusendung an Sie). Falls dieses Etikett nicht vorhanden oder beschädigt ist, können Sie im Azure-Portal jederzeit ein neues Etikett herunterladen und ausdrucken.
Heben Sie das Paket und die Schaumteile für den Schutz des Inhalts für die Rücksendung der Datenträger auf.
Verbinden von Datenträgern
Wichtig
Der Azure Data Box-Datenträger mit Hardwareverschlüsselung wird nur für Linux-basierte Betriebssysteme unterstützt und getestet. Um auf Datenträger mit einem Windows OS-basierten Gerät zuzugreifen, laden Sie das Data Box Disk Toolset herunter, und führen Sie das Data Box Disk SED Unlock Tool aus.
Verwenden Sie das beigefügte USB-Kabel, um den Datenträger mit einem Windows- oder Linux-Computer zu verbinden, auf dem eine unterstützte Version ausgeführt wird. Weitere Informationen zu unterstützten Betriebssystemversionen finden Sie unter den Systemanforderungen für Azure Data Box-Datenträger.
Verbinden Sie die Datenträger mit einem verfügbaren SATA-Port auf einem Linux-basierten Host, auf dem eine unterstützte Version ausgeführt wird. Weitere Informationen zu unterstützten Betriebssystemversionen finden Sie unter den Systemanforderungen für Azure Data Box-Datenträger.
Abrufen des Hauptschlüssels
Navigieren Sie im Azure-Portal zu Ihrer Data Box Disk-Bestellung. Suchen Sie danach, indem Sie zu Allgemein > Alle Ressourcen navigieren und dann Ihre Data Box Disk-Bestellung auswählen. Verwenden Sie das Symbol „Kopieren“, um den Hauptschlüssel zu kopieren. Dieser Hauptschlüssel wird zum Entsperren der Datenträger verwendet.
Führen Sie die folgenden Schritte aus, um Ihre Datenträger anzuschließen und zu entsperren.
Navigieren Sie im Azure-Portal zu Ihrer Data Box Disk-Bestellung. Suchen Sie danach, indem Sie zu Allgemein > Alle Ressourcen navigieren und dann Ihre Data Box Disk-Bestellung auswählen.
Laden Sie das entsprechende Data Box Disk-Toolset für den Windows-Client herunter. Dieses Toolset enthält drei Tools: Data Box Disk-Tool zum Entsperren, Data Box Disk-Überprüfungstool und Data Box Disk-Tool zum Aufteilen/Kopieren.
Hinweis
Powershell ISE wird für die Data Box Disk Tools nicht unterstützt
Dieses Verfahren erfordert nur das Tool zum Entsperren von Data Box-Datenträgern. Die restlichen Tools werden in nachfolgenden Schritten verwendet.
Extrahieren Sie das Toolset auf demselben Computer, den Sie zum Kopieren der Daten verwenden möchten.
Öffnen Sie ein Eingabeaufforderungsfenster, oder führen Sie Windows PowerShell auf demselben Computer als Administrator aus.
Stellen Sie sicher, dass Ihr Clientcomputer die Betriebssystemanforderungen für das Data Box Unlock Tool erfüllt. Führen Sie eine Systemüberprüfung in dem Ordner aus, der das extrahierte Data Box Disk-Toolset enthält, wie im folgenden Beispiel gezeigt.
.\DataBoxDiskUnlock.exe /SystemCheck
Die folgende Beispielausgabe bestätigt, dass Ihr Clientcomputer die Betriebssystemanforderungen erfüllt.
Führen Sie DataBoxDiskUnlock.exe aus, und stellen Sie den im Abschnitt Abrufen Ihres Hauptschlüssels abgerufenen Schlüssel bereit. Der Hauptschlüssel wird wie im folgenden Beispiel dargestellt als Passkey-Parameterwert übermittelt.
.\DataBoxDiskUnlock.exe /Passkey:<testPasskey>
Eine erfolgreiche Antwort enthält den Laufwerkbuchstaben, der dem Datenträger zugewiesen ist, wie in der folgenden Beispielausgabe gezeigt.
Wiederholen Sie die Schritte zum Entsperren bei jedem erneuten Anschließen des Datenträgers. Wenn Sie Hilfe zum Data Box Disk Unlock-Tool benötigen, verwenden Sie den Befehl help, wie im folgenden Beispielcode und in der Beispielausgabe gezeigt.
.\DataBoxDiskUnlock.exe /help
Nachdem der Datenträger entsperrt wurde, können Sie den Inhalt des Datenträgers anzeigen.
Hinweis
Formatieren oder ändern Sie nicht den Inhalt oder die vorhandene Dateistruktur des Datenträgers.
Führen Sie die folgenden Schritte aus, um hardwareverschlüsselte Data Box-Datenträger auf einem Linux-basierten Computer zu verbinden und zu entsperren.
Das Trusted Platform Module (TPM) muss auf Linux-Systemen für SATA-basierte Laufwerke aktiviert sein. Um TPM zu aktivieren, legen Sie libata.allow_tpm auf 1 fest, indem Sie die GRUB-Konfiguration bearbeiten, wie in den folgenden Distro-spezifischen Beispielen gezeigt. Weitere Details finden Sie im öffentlichen Drive-Trust-Alliance-Wiki unter https://github.com/Drive-Trust-Alliance/sedutil/wiki.
Warnung
Das Aktivieren des TPM auf einem Gerät erfordert möglicherweise einen Neustart.
Das folgende Beispiel enthält den reboot-Befehl. Stellen Sie vor dem Ausführen des Skripts sicher, dass keine Daten verloren gehen.
Aktualisieren Sie GRUB, und führen Sie einen Neustart aus.
sudo update-grubreboot
Überprüfen Sie abschließend, ob die TPM-Einstellung ordnungsgemäß konfiguriert ist, indem Sie das Startimage überprüfen.
cat /proc/cmdline
---
Laden Sie das Data Box Disk-Toolset herunter. Extrahieren und kopieren Sie das Data Box Disk Unlock-Hilfsprogramm in einen lokalen Pfad auf Ihrem Computer.
SEDUtil ist ein externes Hilfsprogramm für selbstverschlüsselnde Laufwerke. Es wird nicht von Microsoft verwaltet. Weitere Informationen, einschließlich Lizenzinformationen für dieses Hilfsprogramm, finden Sie unter https://sedutil.com/.
Extrahieren Sie SEDUtil in einen lokalen Pfad auf dem Computer, und erstellen Sie mithilfe des folgenden Beispiels eine symbolische Verknüpfung mit dem Hilfsprogrammpfad. Alternativ können Sie den Hilfsprogrammpfad zur PATH-Umgebungsvariable hinzufügen.
chmod +x /path/to/sedutil-cli
#add a symbolic link to the extracted sedutil tool
sudo ln -s /path/to/sedutil-cli /usr/bin/sedutil-cli
Der Befehl sedutil-cli –scan listet alle Laufwerke auf, die mit dem Server verbunden sind. Der Befehl ist distroagnostisch.
sudo sedutil-cli --scan
Die folgende Beispielausgabe bestätigt, dass die Validierung erfolgreich abgeschlossen wurde:
Azure-Datenträger können mithilfe des folgenden Befehls identifiziert werden. Seriennummern des Datenträgers können mithilfe des folgenden Befehls für ein Volume überprüft werden.
sedutil-cli --query <volume>
Führen Sie das Data Box Disk Unlock-Hilfsprogramm aus dem Linux-Toolset aus, das in einem vorherigen Schritt extrahiert wurde. Geben Sie den Hauptschlüssel aus dem Azure-Portal an, das Sie aus dem Abschnitt Herstellen einer Verbindung mit Datenträgern abgerufen haben. Optional können Sie eine Liste mit BitLocker verschlüsselten Volumes angeben, die entsperrt werden sollen. Die Hauptschlüssel und die Volumeliste müssen in einfachen Anführungszeichen angegeben werden, wie im folgenden Beispiel gezeigt.
chmod +x DataBoxDiskUnlock
#add a symbolic link to the downloaded DataBoxDiskUnlock tool
sudo ln -s /path/to/DataBoxDiskUnlock /usr/bin/DataBoxDiskUnlock
sudo ./DataBoxDiskUnlock /Passkey:<'passkey'> /SerialNumbers:<'serialNumber1,serialNumber2'> /SED
Die folgende Beispielausgabe gibt an, dass das Volume erfolgreich entsperrt wurde. Der Bereitstellungspunkt wird auch für das Volume angezeigt, in das Ihre Daten kopiert werden können.
Wichtig
Wiederholen Sie die Schritte zum Entsperren des Datenträgers bei jedem erneuten Anschließen des Datenträgers.
Sie können den Hilfeschalter verwenden, wenn Sie zusätzliche Unterstützung mit dem Data Box Disk Unlock-Hilfsprogramm benötigen, wie im folgenden Beispiel gezeigt.
sudo ./DataBoxDiskUnlock /Help
In der folgenden Abbildung ist eine Beispielausgabe dargestellt.
Nachdem der Datenträger entsperrt wurde, können Sie zum Bereitstellungspunkt wechseln und den Inhalt des Datenträgers anzeigen. Jetzt können Sie die Daten basierend auf dem gewünschten Zieldatentyp in Ordner kopieren.
Nachdem Sie die Daten auf den Datenträger kopiert haben, stellen Sie sicher, dass Sie die Bereitstellung aufheben und den Datenträger sicher mit dem folgenden Befehl entfernen.
Die folgende Beispielausgabe bestätigt, dass die Bereitstellung des Volumes erfolgreich aufgehoben wurde.
Sie können die Daten auf Ihrem Datenträger überprüfen, indem Sie eine Verbindung mit einem Windows-basierten Computer mit einem unterstützten Betriebssystem herstellen. Überprüfen Sie unbedingt die Betriebssystemanforderungen für Windows-basierte Betriebssysteme, bevor Sie Datenträger mit Ihrem lokalen Computer verbinden.
Führen Sie die folgenden Schritte aus, um selbstverschlüsselte Datenträger mit Windows-basierten Computern zu entsperren.
Laden Sie das Data Box Disk-Toolset für Windows-Clients herunter, und extrahieren Sie es auf denselben Computer. Obwohl das Toolset vier Tools enthält, wird nur das Data Box SED Unlock-Tool für hardwareverschlüsselte Datenträger verwendet.
Verbinden Sie Ihre Data Box Disk mit einer verfügbaren SATA 3-Verbindung auf Ihrem Windows-basierten Computer.
Führen Sie mit einer Eingabeaufforderung oder PowerShell den folgenden Befehl aus, um selbstverschlüsselte Datenträger zu entsperren.
Führen Sie die folgenden Schritte aus, um hardwareverschlüsselte Data Box Disks auf einem Linux-basierten Computer zu verbinden und zu entsperren.
Navigieren Sie im Azure-Portal zu Allgemein > Gerätedetails.
Laden Sie das Data Box Disk-Toolset herunter. Extrahieren und kopieren Sie das Data Box Disk Unlock-Hilfsprogramm in einen lokalen Pfad auf Ihrem Computer.
Navigieren Sie zu dem Ordner, der das Data Box Disk-Toolset enthält. Öffnen Sie ein Terminalfenster auf Ihrem Linux-Client, und ändern Sie die Dateiberechtigungen, um die Ausführung zuzulassen, wie im folgenden Beispiel gezeigt:
Nachdem der Befehl chmod ausgeführt wurde, überprüfen Sie, ob die Dateiberechtigungen geändert werden, indem Sie den Befehl ls ausführen, wie in der folgenden Beispielausgabe gezeigt.
[user@localhost Downloads]$ chmod +x DataBoxDiskUnlock
[user@localhost Downloads]$ chmod +x DataBoxDiskUnlock_Prep.sh
[user@localhost Downloads]$ ls -l
-rwxrwxr-x. 1 user user 1152664 Aug 10 17:26 DataBoxDiskUnlock
-rwxrwxr-x. 1 user user 795 Aug 5 23:26 DataBoxDiskUnlock_Prep.sh
Führen Sie das folgende Skript aus, um die Binärdateien für die Data Box Disk Unlock-Binärdateien zu installieren. Verwenden Sie sudo zum Ausführen des Befehls als Root-Benutzer. Im Terminal wird eine Bestätigung angezeigt, um Sie über die erfolgreiche Installation zu informieren.
sudo ./DataBoxDiskUnlock_Prep.sh
Das Skript überprüft, ob ihr Clientcomputer ein unterstütztes Betriebssystem ausführt, wie in der Beispielausgabe dargestellt.
[user@localhost Documents]$ sudo ./DataBoxDiskUnlock_Prep.sh
OS = CentOS Version = 6.9
Release = CentOS release 6.9 (Final)
Architecture = x64
The script will install the following packages and dependencies.
epel-release
dislocker
ntfs-3g
fuse-dislocker
Do you wish to continue? y|n :|
Geben Sie y ein, um die Installation fortzusetzen. Mit dem Skript werden die folgenden Pakete installiert:
epel-release: Das Repository, das die folgenden drei Pakete enthält.
dislocker und fuse-dislocker: Diese Dienstprogramme dienen zur Entschlüsselung von BitLocker-verschlüsselten Datenträgern.
ntfs-3g: Das Paket dient zur Bereitstellung von NTFS-Volumes.
Die Benachrichtigung wird im Terminal angezeigt, um Sie darüber zu informieren, dass die Pakete erfolgreich installiert wurden.
Dependency Installed: compat-readline5.x86 64 0:5.2-17.I.el6 dislocker-libs.x86 64 0:0.7.1-8.el6 mbedtls.x86 64 0:2.7.4-l.el6 ruby.x86 64 0:1.8.7.374-5.el6
ruby-libs.x86 64 0:1.8.7.374-5.el6
Complete!
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Remove Process
Resolving Dependencies
Running transaction check
Package epel-release.noarch 0:6-8 will be erased Finished Dependency Resolution
Dependencies Resolved
Package Architecture Version Repository Size
Removing: epel-release noarch 6-8 @extras 22 k
Transaction Summary
Remove 1 Package(s)
Installed size: 22 k
Downloading Packages:
Running rpmcheckdebug
Running Transaction Test
Transaction Test Succeeded
Running Transaction
Erasing : epel-release-6-8.noarch
Verifying : epel-release-6-8.noarch
Removed:
epel-release.noarch 0:6-8
Complete!
Dislocker is installed by the script.
OpenSSL is already installed.
Führen Sie das Data Box Disk Unlock-Tool aus, und geben Sie den vom Azure-Portal abgerufenen Hauptschlüssel an. Geben Sie optional eine Liste mit BitLocker verschlüsselten Seriennummern an, die entsperrt werden sollen. Die Kennschlüssel- und Seriennummern sollten wie dargestellt in einfachen Anführungszeichen enthalten sein.
sudo ./DataBoxDiskUnlock /PassKey:'<Passkey from Azure portal>'
/SerialNumbers: '22183820683A;221838206839'
Die folgende Beispielausgabe bestätigt, dass das Volume erfolgreich entsperrt wurde. Der Bereitstellungspunkt wird auch für das Volume angezeigt, in das Ihre Daten kopiert werden können.
Wiederholen Sie die Schritte zum Entsperren bei jedem erneuten Anschließen des Datenträgers. Verwenden Sie den Befehl help für zusätzliche Hilfe mit dem Data Box Disk Unlock-Tool benötigen.
sudo //DataBoxDiskUnlock /Help
Eine Beispielausgabe finden Sie weiter unten.
[user@localhost Downloads]$ DataBoxDiskUnlock /Help
START: Wed Apr 10 12:35:21 2024
DataBoxDiskUnlock is an utility managed by Microsoft which provides a convenient way to unlock BitLocker
and self-encrypted Data Box disks ordered through Azure portal.
More details available at https://learn.microsoft.com/en-us/azure/databox/data-box-disk-deploy-set-up
-----------------------------------------------------
USAGE:
Example: sudo DataBoxDiskUnlock /PassKey:'passkey'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb;/dev/sdc'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B'
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /Volumes:'/dev/sdb' /SED
Example: sudo DataBoxDiskUnlock /PassKey:'passkey' /SerialNumbers:'20032613084B;214633033214' /SED
Example: sudo DataBoxDiskUnlock /Help
Example: sudo DataBoxDiskUnlock /Unmount
Example: sudo DataBoxDiskUnlock /Rescan /Volumes:'/dev/sdb;/dev/sdc'
/PassKey : This option takes a passkey as input and unlocks all of your disks.
Get the passkey from your Data Box Disk order in Azure portal.
/Volumes : This option is used to input a list of volumes.
/SerialNumbers : This option is used to input a list of serial numbers.
/Sed : This option is used to unlock or unmount Self-Encrypted drives (hardware encryption).
Volumes or Serial Numbers is a mandatory field when /SED flag is used.
/Help : This option provides help on the tool usage and examples.
/Unmount : This option unmounts all the volumes mounted by this tool.
/Rescan : Perform SATA controller reset to repair the SATA link speed for specific volumes.
-----------------------------------------------------
Nachdem der Datenträger entsperrt wurde, können Sie zum Bereitstellungspunkt wechseln und den Inhalt des Datenträgers anzeigen. Nun können Sie die Daten in BlockBlob- oder PageBlob-Ordner kopieren.
Hinweis
Formatieren oder ändern Sie nicht den Inhalt oder die vorhandene Dateistruktur des Datenträgers.
Nachdem die erforderlichen Daten auf den Datenträger kopiert wurden, stellen Sie sicher, dass Sie die Bereitstellung aufheben und den Datenträger sicher mit dem folgenden Befehl entfernen.
Öffnen Sie zum Entsperren der Datenträger auf einem Windows-Client ein Eingabeaufforderungsfenster, oder führen Sie Windows PowerShell auf demselben Computer als Administrator aus:
Geben Sie den folgenden Befehl in dem Ordner ein, in dem Data Box Disk-Tool zum Entsperren installiert ist.
.\DataBoxDiskUnlock.exe
Rufen Sie im Azure-Portal unter Allgemein > Gerätedetails den Hauptschlüssel ab, und geben Sie ihn hier ein. Der Laufwerkbuchstabe, der dem Datenträger zugewiesen ist, wird angezeigt.
Öffnen Sie zum Entsperren der Datenträger auf einem Linux-Client ein Terminal. Navigieren Sie zu dem Ordner, in den Sie die Software herunterladen haben. Geben Sie die folgenden Befehle ein, um die Dateiberechtigungen zu ändern, sodass Sie diese Dateien ausführen können:
Führen Sie das Skript aus, um alle erforderlichen Binärdateien zu installieren.
sudo ./DataBoxDiskUnlock_Prep.sh
Führen Sie das Tool zum Entsperren von Data Box Disk aus. Rufen Sie im Azure-Portal unter Allgemein > Gerätedetails den Hauptschlüssel ab, und geben Sie ihn hier ein. Geben Sie optional eine Liste der mit BitLocker verschlüsselten Volumes (in einfachen Anführungszeichen) an, die entsperrt werden sollen.
sudo ./DataBoxDiskUnlock /PassKey:'<passkey>'
Wiederholen Sie die Schritte zum Entsperren bei jedem erneuten Anschließen des Datenträgers. Nutzen Sie den Befehl „help“, falls Sie Hilfe zum Tool zum Entsperren von Data Box-Datenträgern benötigen.
Nachdem der Datenträger entsperrt wurde, können Sie den Inhalt des Datenträgers anzeigen.
Weitere Informationen zum Einrichten und Entsperren der Datenträger finden Sie unter Einrichten von Data Box Disk.
Nächste Schritte
In diesem Tutorial haben Sie Informationen zu Azure Data Box-Datenträgern erhalten, z.B.:
Entpacken Ihres Data Box-Datenträgers
Herstellen der Verbindung mit Datenträgern und Abrufen des Hauptschlüssels
Entsperren von Datenträgern auf Windows-Client
Entsperren von Datenträgern auf Linux-Client
Fahren Sie mit dem nächsten Tutorial fort, um zu erfahren, wie Sie Daten auf Ihren Data Box-Datenträger kopieren.
