(Preview) Upgrade vorhandener Azure Gen1-VMs auf den vertrauenswürdigen Start

Gilt für: ✔️ Linux-VMs ✔️ Windows-VMs ✔️ VMs der 1. Generation

Azure-VMs unterstützt das Upgrade von Virtual Machines (VMs) der 1. Generation auf die 2. Generation durch ein Upgrade auf den Sicherheitstyp Vertrauenswürdiger Start.

Der Vertrauenswürdige Start ist eine Möglichkeit, die grundlegende Computesicherheit auf Azure-VMs der 2. Generation zu aktivieren, und schützt vor erweiterten und persistenten Angriffstechniken wie Boot Kits und Rootkits. Dies geschieht durch die Kombination von Infrastrukturtechnologien wie sicherer Start, vTPM (virtual Trusted Platform Module) und Überwachung der Startintegrität in Ihrer VM.

Wichtig

Die Unterstützung für Upgrade vorhandener Gen1-VMs auf den vertrauenswürdigen Start befindet sich derzeit in der Vorschau. Upgrade von Gen1-VMs auf Gen2 ohne Aktivierung des vertrauenswürdigen Starts wird nicht unterstützt.

Voraussetzungen

• Das Abonnement ist für die Vorschaufunktion Gen1ToTLMigrationPreview im Namespace Microsoft.Compute freigeschaltet. Weitere Informationen finden Sie unter Einrichten von Previewfunktionen im Azure-Abonnement.
• Die Azure-VM ist konfiguriert mit:
  • VM-Familie mit Unterstützung für den vertrauenswürdigen Start.
  • Betriebssystemversion (OS), die vertrauenswürdigen Start unterstützt (mit Ausnahme von Windows Server 2016, Debian, Azure Linux). Bei benutzerdefinierten Betriebssystemimages oder -datenträgern sollten die Basisimages für den vertrauenswürdigen Start geeignet sein.
• Eine Azure-VM verwendet keine Features, die derzeit nicht mit dem vertrauenswürdigen Start unterstützt werden.
• Sofern Azure Backup für die VMs aktiviert ist, sollte es mit einer erweiterten Sicherungsrichtlinie konfiguriert werden. Der Sicherheitstyp „Vertrauenswürdiger Start“ kann nicht für VMs aktiviert werden, die mit dem Sicherungsschutz Standardrichtlinie konfiguriert sind.
  • Vorhandene Azure VM-Sicherungen können von der Richtlinie Standard zu Erweitert migriert werden. Führen Sie die Schritte in Migrieren von Azure VM-Sicherungen von der Richtlinie Standard zu Erweitert (Vorschau) aus.
• Aktualisieren Sie zu Testzwecken eine VM der 1. Generation auf den vertrauenswürdigen Start, und stellen Sie sicher, dass alle Voraussetzungen erfüllt sind, bevor Sie die VMs der 1. Generation auf den vertrauenswürdigen Start aktualisieren, die Produktionsworkloads zugeordnet sind.
• Deaktivieren Sie vor dem Upgrade jegliche Verschlüsselung des Windows-Betriebssystemvolumes, einschließlich BitLocker, wenn diese aktiviert ist. Sämtliche Verschlüsselung des Windows-Betriebssystemvolumes sollte nach erfolgreichem Upgrade wieder aktiviert werden. Diese Aktion ist für Datenträger oder Linux-Betriebssystemvolumes nicht erforderlich.

Unterstützte Gen1-VM-Konfigurationen

Das Gen1-VM-Upgrade zum vertrauenswürdigen Start wird NICHT unterstützt, wenn die Gen1-VM wie folgt konfiguriert ist:

• Produktionsworkloads: Das Vorschaufeature sollte nur für Tests, Auswertungen und Feedback verwendet werden. Sie sollten es nicht für Produktionsworkloads verwenden.
• Betriebssystem: Windows Server 2016, Azure Linux, Debian und alle anderen Betriebssysteme, die nicht unter Betriebssystemversion (OS), die vertrauenswürdigen Start unterstützt aufgeführt sind. Nur für Windows Server 2016 besteht die Problemumgehung darin, das Gastbetriebssystem auf Windows Server 2019 oder 2022 zu aktualisieren.
• VM-Größe: Gen1-VM konfiguriert mit VM-Größe, die nicht unter Größenfamilien, die vertrauenswürdigen Start unterstützten aufgeführt ist. Aktualisieren Sie als Problemumgehung die Größe der VM auf eine VM-Größenfamilie, die vertrauenswürdigen Start unterstützt.
• Azure Backup: Gen1-VM konfiguriert mit Azure Backup mithilfe der Standardrichtlinie. Migrieren Sie als Problemumgehung Gen1-VM-Sicherungen von der Standardrichtlinie zur erweiterten Richtlinie.
• BitLocker oder eine gleichwertige Verschlüsselung: Das Gastbetriebssystemvolume der Windows-Gen1-VM ist mit BitLocker oder einer gleichwertigen Verschlüsselungstechnologie verschlüsselt. Deaktivieren Sie als Problemumgehung die Verschlüsselung des Windows-Betriebssystemvolume vor dem Upgrade, und aktivieren Sie sie nach erfolgreichem Abschluss des Upgrades zum vertrauenswürdigen Start wieder.

Bewährte Methoden

• Erstellen Sie einen Wiederherstellungspunkt für Azure-VMs, die Produktionsworkloads zugeordnet sind, bevor Sie den Sicherheitstyp „Vertrauenswürdiger Start“ aktivieren. Sie können den Wiederherstellungspunkt verwenden, um die Datenträger und die VM in einem bekannten Zustand neu zu erstellen.
• Überprüfen Sie bekannten Probleme, bevor Sie das Upgrade auf vertrauenswürdigen Start ausführen.
• Sie können das Windows Betriebssystem-Datenträgersystemvolume nach MBR to GPT conversion im Rahmen des Upgrades nicht erweitern. Es wird empfohlen, das Systemvolume für die Zukunft zu erweitern, bevor ein Upgrade auf den vertrauenswürdigen Start erfolgt.
• Das Windows Betriebssystem-Datenträgervolume sollte mithilfe des Befehls Defrag C: /U /V defragmentiert werden. Die Defragmentierung des Betriebssystemvolumes reduziert das Risiko eines MBR-Konvertierungsfehlers (Master Boot Record) auf GPT (GUID-Partitionstabelle), indem das Ende der Partitionen freigegeben wird. Weitere Informationen finden Sie unter defrag.

Aktualisieren des Gastbetriebssystemvolumes

Generation 2-VMs erfordern Gastbetriebssystemvolume mit folgenden Konfigurationen:

• GPT-Datenträgerlayout: Das Gastbetriebssystemvolume von Gen1-VMs ist meist auf MBR festgelegt und muss auf GPT aktualisiert werden.
• EFI-Systempartition: Das Gastbetriebssystemvolume von Gen1-VMs enthält diese Partition meist nicht.

Schließen Sie das Update des Betriebssystemvolumes mit der erforderlichen Konfiguration ab, bevor Sie die Azure-Gen1-VM auf den vertrauenswürdigen Start aktualisieren.

Wichtig

• Ein auf PowerShell basierendes Orchestrierungsskript wird als Anleitung veröffentlicht. Es orchestriert alle Upgradeschritte, einschließlich der MBR2GPT-Validierung für Windows und Linux und Konvertierung für das Windows-Betriebssystem. Das Anleitungsskript sowie die erforderliche Dokumentation finden Sie unter GitHub Repo für das VM-Upgrade von Azure Gen1 auf Gen2 mit vertrauenswürdigem Start.
• Aktualisieren Sie zu Testzwecken eine VM der 1. Generation auf den vertrauenswürdigen Start, und stellen Sie sicher, dass alle Voraussetzungen erfüllt sind, bevor Sie die VMs der 1. Generation auf den vertrauenswürdigen Start aktualisieren, die Produktionsworkloads zugeordnet sind.

Windows

Mit dem integriertem Hilfsprogramm MBR2GPT.exe können Sie das Datenträgerlayout GPT aktivieren UND EFI system partition hinzufügen, die für das Gen2-Upgrade erforderlich ist.

Achtung

Sie können das Windows Betriebssystem-Datenträgersystemvolume nach MBR to GPT conversion nicht erweitern. Es wird empfohlen, das Systemvolume für die Zukunft zu erweitern, bevor das Upgrade durchgeführt wird.

Hinweis

Windows Server 2016 unterstützt MBR2GPT.exe nicht. Die Problemumgehung besteht darin, das Gastbetriebssystem auf Windows Server 2019 oder 2022 zu aktualisieren und dann MBR to GPT conversion auszuführen. Weitere Informationen finden Sie unter Direktes Upgrade für VMs mit Windows Server in Azure.

1. Erstellen Sie eine RDP- oder Remote-Verbindung zur Gen1-Windows-VM, um die Konvertierung durchzuführen.

2. Führen Sie den Befehl MBR2GPT /validate /allowFullOS aus, und stellen Sie sicher, dass Disk layout validation erfolgreich abgeschlossen wird. Fahren Sie nicht fort, wenn Disk layout validation fehlschlägt. Unter bekannte Probleme finden Sie eine Liste allgemeiner Ursachen und der zugehörigen Lösung für Fehler. Weitere Informationen und Problembehandlung finden Sie unter Problembehandlung für MBR2GPT.

3. Führen Sie den Befehl MBR2GPT /convert /allowFullOS aus, um die MBR in GPT-Konvertierung durchzuführen. Beispiel für eine erfolgreiche Ausgabe:

   If conversion is successful the disk can only be booted in GPT mode.
   These changes cannot be undone!
   
   MBR2GPT: Attempting to convert disk 0
   MBR2GPT: Retrieving layout of disk
   MBR2GPT: Validating layout, disk sector size is: 512 bytes
   MBR2GPT: Trying to shrink the OS partition
   MBR2GPT: Creating the EFI system partition
   MBR2GPT: Installing the new boot files
   MBR2GPT: Performing the layout conversion
   MBR2GPT: Migrating default boot entry
   MBR2GPT: Adding recovery boot entry
   MBR2GPT: Fixing drive letter mapping
   MBR2GPT: Conversion completed successfully
   MBR2GPT: Before the new system can boot properly you need to switch the firmware to boot to UEFI mode!
   

Linux

Wichtig

Das Upgrade bestehender Azure Gen1 Linux-VMs auf vertrauenswürdigen Start wird nur für VMs unterstützt, die mit unterstützten Betriebssystem-Images erstellt wurden, die im Azure Marketplace veröffentlicht wurden (außer Debian, Azure Linux).

Azure Gen1 Linux-VMs, die mit den im Azure Marketplace veröffentlichten Images der genehmigten Distributionen (Canonical, RHEL, SUSE) erstellt wurden, erfordern keine Änderung des Gastbetriebssystemvolumes. Das heißt, das Datenträgerlayout GPT und EFI system partition sind bereits konfiguriert. Für andere Azure Gen1 Linux-VMs, die diese Upgradeunterstützung erfordern, einschließlich Azure Linux und Debian, übermitteln Sie die Registrierung unter Upgradeunterstützung für Linux Gen1 auf vertrauenswürdigen Start.

Prüfen Sie mit den folgenden Befehlen, ob das Gastbetriebssystemvolume für ein Upgrade auf vertrauenswürdigen Start bereit ist. Fahren Sie NICHT mit dem Upgrade auf den vertrauenswürdigen Start fort, wenn einer der Validierungsschritte fehlschlägt.

1. Erstellen Sie über SSH oder remote eine Verbindung zur Gen1-Linux-VM für die Ausführung von Validierungsbefehlen.

2. Identifizieren Sie das Startgerät und speichern Sie es in der Variable.
   bootDevice=$(echo "/dev/$(sudo lsblk -no pkname $(sudo df /boot | awk 'NR==2 {print $1}'))")

3. Überprüfen Sie den Datenträgertyp des Startgeräts. Der Befehl sollte Folgendes zurückgeben: gpt.
   sudo blkid $bootDevice -o value -s PTTYPE

4. Überprüfen Sie, ob EFI system partition auf dem Startvolume verfügbar ist. Die Ausgabe des Befehls sollte eine bestimmte Partition wie \dev\sda3 zurückgeben.
   sudo fdisk -l $bootDevice | grep EFI | awk '{print $1}'

5. Überprüfen Sie, ob der EFI-Bereitstellungspunkt konfiguriert ist. Der Befehl sollte Folgendes zurückgeben: /boot/efi present in /etc/fstab.
   sudo grep -qs '/boot/efi' /etc/fstab && echo '/boot/efi present in /etc/fstab' || echo '/boot/efi missing in /etc/fstab'

Upgrade von Gen1-VMs auf den vertrauenswürdigen Start

Hinweis

• Nachdem Sie den vertrauenswürdigen Start aktiviert haben, können derzeit keine virtuellen Computer auf den Standardsicherheitstyp zurückgesetzt werden (nicht vertrauenswürdige Startkonfiguration).
• vTPM ist standardmäßig aktiviert.
• Es wird empfohlen, den sicheren Start zu aktivieren, wenn Sie keinen benutzerdefinierten nicht signierten Kernel oder Treiber verwenden. Er ist nicht standardmäßig aktiviert. „Sicherer Start“ gewährleistet die Startintegrität und bietet grundlegende Sicherheit für VMs.

PowerShell

Stellen Sie sicher, dass Sie die neueste Version von Azure PowerShell installieren und mit Connect-AzAccount bei einem Azure-Konto angemeldet sind.

Wichtig

Ein auf PowerShell basierendes Orchestrierungsskript wird als Anleitung veröffentlicht. Es orchestriert alle Upgradeschritte, einschließlich der MBR2GPT-Konvertierung. Das Anleitungsskript sowie die erforderliche Dokumentation finden Sie unter GitHub Repo für das VM-Upgrade von Azure Gen1 auf Gen2 mit vertrauenswürdigem Start.

Folgen Sie den Schritten, um mit Hilfe der Azure PowerShell eine bestehende Gen1-VM auf Gen2 zu aktualisieren und den vertrauenswürdigen Start zu aktivieren.

1. Melden Sie sich beim VM Azure-Abonnement an.

   Connect-AzAccount -SubscriptionId 00000000-0000-0000-0000-000000000000
   

2. Heben Sie die Zuordnung der VM auf.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

3. Aktivieren Sie den vertrauenswürdigen Start, indem Sie -SecurityType auf TrustedLaunch festlegen.

   Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Update-AzVM -SecurityType TrustedLaunch `
           -EnableSecureBoot $true -EnableVtpm $true
   

4. Überprüfen Sie securityProfile in der aktualisierten VM-Konfiguration.

   # Following command output should be `TrustedLaunch`
   
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.SecurityType
   
   # Following command output should return `SecureBoot` and `vTPM` settings
   (Get-AzVM -ResourceGroupName myResourceGroup -VMName myVm `
       | Select-Object -Property SecurityProfile `
           -ExpandProperty SecurityProfile).SecurityProfile.Uefisettings
   
   

5. Starten Sie die VM.

   Start-AzVM -ResourceGroupName myResourceGroup -Name myVm
   

6. Starten Sie den aktualisierten virtuellen Computer für den vertrauenswürdigen Start. Stellen Sie sicher, dass Sie sich mit RDP (für Windows-VMs) oder SSH (für Linux-VMs) bei der VM anmelden können.

BEFEHLSZEILENSCHNITTSTELLE (CLI)

Folgen Sie den Schritten, um mit Hilfe der Azure CLI eine bestehende Gen1-VM auf Gen2 zu aktualisieren und den vertrauenswürdigen Start zu aktivieren.

Stellen Sie sicher, dass Sie die neueste Azure CLI installieren und bei einem Azure-Konto mit az login angemeldet sind.

1. Melden Sie sich beim VM Azure-Abonnement an.

   az login
   
   az account set --subscription 00000000-0000-0000-0000-000000000000
   

2. Heben Sie die Zuordnung der VM auf.

   az vm deallocate \
      --resource-group myResourceGroup --name myVm
   

3. Aktivieren Sie den vertrauenswürdigen Start, indem Sie --security-type auf TrustedLaunch festlegen.

   az vm update \
       --resource-group myResourceGroup --name myVm \
       --security-type TrustedLaunch \
       --enable-secure-boot true --enable-vtpm true
   

4. Überprüfen Sie die Ausgabe des vorherigen Befehls. Stellen Sie sicher, dass die securityProfile-Konfiguration mit der Befehlsausgabe zurückgegeben wird.

   {
     "securityProfile": {
       "securityType": "TrustedLaunch",
       "uefiSettings": {
         "secureBootEnabled": true,
         "vTpmEnabled": true
       }
     }
   }
   

5. Starten Sie die VM.

   az vm start \
       --resource-group myResourceGroup --name myVm
   

6. Starten Sie den aktualisierten virtuellen Computer für den vertrauenswürdigen Start. Stellen Sie sicher, dass Sie sich mit RDP (für Windows-VMs) oder SSH (für Linux-VMs) bei der VM anmelden können.

Vorlage

Führen Sie die Schritte aus, um den vertrauenswürdigen Start auf einer vorhandenen VM der 2. Generation von Azure mithilfe einer ARM-Vorlage zu aktivieren.

Eine Azure Resource Manager-Vorlage ist eine JSON (JavaScript Object Notation)-Datei, welche die Infrastruktur und die Konfiguration für Ihr Projekt definiert. Die Vorlage verwendet eine deklarative Syntax. Sie beschreiben Ihre geplante Bereitstellung, ohne die Abfolge der Programmierbefehle zum Erstellen der Bereitstellung zu schreiben.

1. Überprüfen Sie die Vorlage.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "type": "object",
               "metadata": {
                   "description": "Specifies the list of Azure virtual machines to be upgraded to Trusted launch."
               }
           },
           "vTpmEnabled": {
               "type": "bool",
               "defaultValue": true,
               "metadata": {
                   "description": "Specifies whether vTPM should be enabled on the virtual machine."
               }
           }
       },
       "resources": [
           {
               "type": "Microsoft.Compute/virtualMachines",
               "apiVersion": "2022-11-01",
               "name": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].vmName]",
               "location": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].location]",
               "properties": {
                   "securityProfile": {
                       "uefiSettings": {
                           "secureBootEnabled": "[parameters('vmsToUpgrade').virtualMachines[copyIndex()].secureBootEnabled]",
                           "vTpmEnabled": "[parameters('vTpmEnabled')]"
                       },
                       "securityType": "TrustedLaunch"
                   }
               },
               "copy": {
                   "name": "vmCopy",
                   "count": "[length(parameters('vmsToUpgrade').virtualMachines)]"
               }
           }
       ]
   }
   

2. Bearbeiten Sie die JSON-Datei parameters mit virtuellen Computern, um mit dem TrustedLaunch-Sicherheitstyp aktualisiert zu werden.

   {
       "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentParameters.json#",
       "contentVersion": "1.0.0.0",
       "parameters": {
           "vmsToUpgrade": {
               "value": {
                   "virtualMachines": [
                       {
                           "vmName": "myVm01",
                           "location": "westus3",
                           "secureBootEnabled": true
                       },
                       {
                           "vmName": "myVm02",
                           "location": "westus3",
                           "secureBootEnabled": true
                       }
                   ]
               }
           }
       }
   }
   

   Definition der Parameterdatei

   Eigenschaft	Beschreibung der Eigenschaft	Beispiel für Vorlagenwert
   vmName	Name der Azure-VM.	myVm
   location	Speicherort der Azure-VM.	westus3
   secureBootEnabled	Aktivieren des sicheren Starts mit dem Sicherheitstyp „Vertrauenswürdiger Start“.	true

3. Heben Sie die Zuordnung aller Azure-VMs auf, die aktualisiert werden sollen.

   Stop-AzVM -ResourceGroupName myResourceGroup -Name myVm01
   

4. Führen Sie die ARM-Vorlagenbereitstellung aus.

   $resourceGroupName = "myResourceGroup"
   $parameterFile = "folderPathToFile\parameters.json"
   $templateFile = "folderPathToFile\template.json"
   
   New-AzResourceGroupDeployment `
       -ResourceGroupName $resourceGroupName `
       -TemplateFile $templateFile -TemplateParameterFile $parameterFile
   

   

   

5. Starten Sie den aktualisierten virtuellen Computer für den vertrauenswürdigen Start. Stellen Sie sicher, dass Sie sich mit RDP (für Windows-VMs) oder SSH (für Linux-VMs) bei der VM anmelden können.

Bekannte Probleme

Der Start von Windows 11 schlägt nach dem Upgrade auf den vertrauenswürdigen Start der Windows 10-VM fehl.

Windows 10 Gen1 VM wird erfolgreich auf vertrauenswürdigen Start aktualisiert, gefolgt von einem erfolgreichen lokalen Windows 11-Upgrade. Der Start von Windows 11 schlägt jedoch fehl, nachdem die Azure-VM beendet und mit dem angezeigten Fehler gestartet wurde.

Lösung: Dieses Problem wurde mit 24H2-Buildversion 26100.2314 behoben.

[Windows] Konvertierung von MBR nach GPT schlägt mit der Fehlermeldung „Platz für die EFI-Systempartition ist nicht vorhanden“ fehl.

Dieser Fehler tritt aus einem der folgenden Gründe auf:

• Es ist kein freier Speicherplatz auf dem Systemvolume verfügbar.
• Das Systemvolume ist beschädigt. Sie können dies überprüfen, indem Sie in der Datenträgerverwaltung versuchen, das Volume um einige MB zu verkleinern. Verwenden Sie Befehl chkdsk C:/v/f, um das Systemvolume zu reparieren.
• Virtual Disk-Dienst wird nicht ausgeführt oder kann nicht erfolgreich kommunizieren. Der Dienststarttyp sollte auf Manual festgelegt sein.
• Optimize Drives-Dienst wird nicht ausgeführt oder kann nicht erfolgreich kommunizieren. Der Dienststarttyp sollte auf Manual festgelegt sein.
• Der Systemvolumedatenträger ist bereits mit vier MBR-Partitionen konfiguriert (Maximum, das durch das MBR-Datenträgerlayout unterstützt wird). Sie müssen eine der Partitionen löschen, um Platz für die EFI-Systempartition zu schaffen.
  1. Führen Sie ReAgentc /info aus, um die von der Wiederherstellung aktiv genutzte Partition zu identifizieren. Beispiel: Windows RE location: \\?\GLOBALROOT\device\harddisk0\partition4\Recovery\WindowsRE
  2. Führen Sie das PowerShell-Cmdlet Get-Partition -DiskNumber 0 aus, um die aktuell konfigurierten Partitionen zu ermitteln.
  3. Führen Sie das PowerShell-Cmdlet Remove-Partition -DiskNumber 0 -PartitionNumber X aus, um alle zusätzlichen Wiederherstellungspartitionen zu entfernen, die nicht aktiv vom Wiederherstellungsdienst verwendet werden, wie in Schritt 1 ermittelt.

[Windows] MBR zu GPT konnte ReAgent.xml nicht aktualisieren

Bei bestimmten Windows-Betriebssystemversionen wie Windows 10 erzeugt MBR2GPT den Passthrough-Fehler MBR2GPT: Failed to update ReAgent.xml, please try to manually disable and enable WinRE.

Die Warnung zeigt an, dass MBR2GPT.exe die GUID der Wiederherstellungspartition in C:\Windows\System32\Recovery\ReAgent.xml nicht aktualisieren konnte. Dieses Problem sollte keine Probleme mit der Funktionalität des Gastbetriebssystems oder mit weiteren Vorgängen wie dem erfolgreichen Upgrade von Windows 11 oder der ordnungsgemäßen Funktion von Windows 11 nach dem Upgrade verursachen. ReAgent.xml wird nach dem Windows 11-Upgrade mit der korrekten GUID aktualisiert, d. h. wenn Sie zwischen der MBR2GPT-Konvertierung und dem Windows 11-Upgrade keine Maßnahmen ergreifen, wird der GUID-Wert in ReAgent.xml mit der Windows-Wiederherstellungskonfiguration synchronisiert.

Um die Warnung manuell zu beheben, können Sie WinRE nach der MBR2GPT-Konvertierung oder nach dem Upgrade von Gen1 auf den vertrauenswürdigen Start vor dem Windows 11-Upgrade mit den aufgeführten Schritten deaktivieren und wieder aktivieren. Diese Schritte erzwingen die Synchronisierung der WinRE GUID in ReAgent.xml.

1. Vollständiges Upgrade für Gen1 – > vertrauenswürdiger Start.
2. Ausführen von reagentc /disable
3. Ausführen von reagentc /enable
4. Ausführen von reagentc /info
5. Öffnen Sie C:\Windows\System32\Recovery\ReAgent.xml und überprüfen Sie, ob die BCD GUID in der XML-Datei mit der Ausgabe aus Schritt 4 übereinstimmt.

[Windows] Laufwerk „D“ ist nach dem Upgrade für System reserviert

Die Zuweisung des Laufwerksbuchstabens für den temporären Speicher „D“ wird in „E“ geändert, wobei der vorherige Buchstabe nach dem Upgrade der Gen1-VM für das System reserviert wird. Führen Sie die folgenden Schritte nach dem Upgrade manuell aus, um das Problem zu beheben:

Prüfen Sie nach dem Upgrade die Datenträger auf dem Server. Wenn die für das System reservierte Partition den Buchstaben „D“ hat, führen Sie die folgenden Aktionen durch:

1. Rekonfigurieren Sie die Auslagerungsdatei von „D:“ zu „C:“
2. Neustarten des virtuellen Computers
3. Entfernen Sie den Buchstaben „D:“ aus der Partition.
4. Starten Sie die VM neu, um die temporäre Speicherplatte mit dem Buchstaben „D:“ anzuzeigen.

Die VM-Imagereferenz ändert sich nach dem Upgrade auf vertrauenswürdigen Start nicht.

Nach dem Upgrade von Azure Gen1 VM auf den vertrauenswürdigen Start gibt die Imagereferenz immer noch die Quelle als Gen1 Betriebssystemimage an. Die nicht aktualisierte Imagereferenz ist eine bekannte Einschränkung, die mit dem Release der allgemeinen Verfügbarkeit des Upgrades für die Unterstützung von Gen1-VM für den vertrauenswürdigen Start behoben wird.

Häufig gestellte Fragen

Was geschieht, wenn Gen1-VMs vorhanden sind, die nicht den Voraussetzungen für den vertrauenswürdigen Start entsprechen?

Für eine Gen1-VM, die die Voraussetzungen für das Upgrade auf den vertrauenswürdigen Start nicht erfüllt, sehen Sie sich an, wie die Voraussetzungen erfüllt werden können. Wenn z. B. die Größe einer VM nicht unterstützt wird, suchen Sie nach einer entsprechenden unterstützten Größe für den vertrauenswürdigen Start, die den vertrauenswürdigen Start unterstützt.

Warum wird das Upgrade nur auf Generation 2 (ohne vertrauenswürdiger Start) nicht unterstützt?

Das Feature vertrauenswürdiger Start bietet grundlegende Computesicherheit für Gen2-Azure-VMs ohne Extrakosten zu aktivieren. Außerdem sind VMs mit vertrauenswürdigen Start im Wesentlichen mit Gen2-VMs gleichgestellt. Daher gibt es keinen zusätzlichen Nutzen, wenn Sie nur auf Gen2-VM aktualisieren, ohne vertrauenswürdigen Start zu aktivieren.

Zugehöriger Inhalt

• Informationen zur Aktivierung des vertrauenswürdigen Starts bei der Bereitstellung neuer VMs und Skalierungsgruppen finden Sie unter Bereitstellung vertrauenswürdiger VMs.
• Unter Startintegritätsüberwachung erfahren Sie, wie Sie die Startintegritätsüberwachung aktivieren und den Zustand der VM mithilfe von Microsoft Defender for Cloud überwachen.
• Erfahren Sie mehr über den vertrauenswürdigen Start, und lesen Sie die häufig gestellten Fragen.