Entsperren eines verschlüsselten Datenträgers für die Offlinereparatur

In diesem Artikel wird beschrieben, wie Sie einen verschlüsselten Betriebssystemdatenträger auf einem separaten virtuellen Computer (als Reparatur-VM bezeichnet) entsperren, um Offlinewartung und Problembehandlung auf diesem Datenträger zu ermöglichen.

Symptome

Wenn Sie den Betriebssystemdatenträger eines virtuellen Windows-Computers offline reparieren, wird der Datenträger möglicherweise gesperrt angezeigt, wenn er an die Reparatur-VM angefügt ist, wie unten gezeigt. In diesem Fall ist Azure Disk Encryption (ADE) auf dem Datenträger aktiviert. Sie können keine Entschärfungen auf diesem Datenträger von einer Reparatur-VM ausführen, bis der Datenträger entsperrt ist.

Hintergrund

Einige Problembehandlungsszenarien erfordern eine Offlinereparatur eines virtuellen Datenträgers in Azure. Wenn beispielsweise auf eine Windows-VM nicht zugegriffen werden kann, Datenträgerfehler angezeigt werden oder nicht gestartet werden kann, können Sie die Schritte zur Problembehandlung auf dem Betriebssystemdatenträger ausführen, indem Sie ihn an eine separate Reparatur-VM anfügen (auch als Wiederherstellungs-VM oder Rettungs-VM bezeichnet).

Wenn der Datenträger jedoch mit ADE verschlüsselt wird, bleibt der Datenträger gesperrt und kann nicht darauf zugegriffen werden, während er an die Reparatur-VM angefügt ist, bis Sie den Datenträger entsperren. Um den Datenträger zu entsperren, müssen Sie denselben BitLocker-Verschlüsselungsschlüssel (BEK) verwenden, der ursprünglich für die Verschlüsselung verwendet wurde. Dieser BEK (und optional ein schlüsselverschlüsselnder Schlüssel [KEK], der den BEK verschlüsselt oder umschließt) wird in einem Azure-Schlüsseltresor gespeichert, der von Ihrem organization verwaltet wird.

Ziel

In den Verfahren in diesem Artikel werden Methoden beschrieben, mit denen Sie einen verschlüsselten Betriebssystemdatenträger an eine Reparatur-VM anfügen und dann diesen Datenträger entsperren können. Nachdem der Datenträger entsperrt wurde, können Sie ihn reparieren. Als letzten Schritt können Sie den Betriebssystemdatenträger auf der ursprünglichen VM durch diese neu reparierte Version ersetzen.

Vorbereitung

Führen Sie die folgenden Schritte aus, bevor Sie den fehlerhaften Betriebssystemdatenträger an eine Reparatur-VM anfügen:

1. Vergewissern Sie sich, dass ADE auf dem Datenträger aktiviert ist.
2. Bestimmen Sie, ob der Betriebssystemdatenträger ADE-Version 1 (Dual-Pass-Verschlüsselung) oder ADE-Version 2 (Single-Pass-Verschlüsselung) verwendet.
3. Bestimmen Sie, ob der Betriebssystemdatenträger verwaltet oder nicht verwaltet wird.
4. Wählen Sie die Methode aus, um den Datenträger an eine Reparatur-VM anzufügen und den Datenträger zu entsperren.

Vergewissern Sie sich, dass ADE auf dem Datenträger aktiviert ist.

Sie können diesen Schritt in der Azure-Portal, PowerShell oder der Azure-Befehlszeilenschnittstelle (Azure CLI) ausführen.

Azure-Portal

Zeigen Sie das Blatt Übersicht für den fehlerhaften virtuellen Computer im Azure-Portal an. Unter Datenträger wird Azure Disk Encryption als Aktiviert oder Nicht aktiviert angezeigt, wie im folgenden Screenshot gezeigt.

PowerShell

Sie können das Get-AzVmDiskEncryptionStatus Cmdlet verwenden, um zu bestimmen, ob die Betriebssystem- und/oder Datenvolumes für einen virtuellen Computer mit ADE verschlüsselt werden. Die folgende Beispielausgabe gibt an, dass die ADE-Verschlüsselung auf dem Betriebssystemvolume aktiviert ist:

PS /home/me> Get-AzVmDiskEncryptionStatus -ResourceGroupName "MyRg01" -VMName "MyVm01" 
OsVolumeEncrypted          : Encrypted
DataVolumesEncrypted       : NoDiskFound
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Extension status not available on the VM

Weitere Informationen zum Get-AzureRmDiskEncryptionStatus Cmdlet finden Sie unter Get-AzVMDiskEncryptionStatus (Az.Compute).

Azure CLI

Sie können den Befehl in der az vm encryption show Azure CLI mit angefügter Abfrage disks[].encryptionSettings[].enabled verwenden, um zu bestimmen, ob ADE auf den Datenträgern eines virtuellen Computers aktiviert ist. Die folgende Ausgabe gibt an, dass die ADE-Verschlüsselung aktiviert ist.

az vm encryption show --name MyVM --resource-group MyResourceGroup --query "disks[].encryptionSettings[].enabled"

[
  true
]

Weitere Informationen zum az vm encryption show Befehl finden Sie unter az vm encryption show.

Hinweis

Offlinereparatur für unverschlüsselte Datenträger

Wenn Sie feststellen, dass ADE auf dem Datenträger nicht aktiviert ist, finden Sie im folgenden Artikel Anweisungen zum Anfügen eines Datenträgers an eine Reparatur-VM: Problembehandlung für eine Windows-VM durch Anfügen des Betriebssystemdatenträgers an eine Wiederherstellungs-VM über die Azure-Portal

Bestimmen Sie, ob der Betriebssystemdatenträger ADE-Version 1 (Dual-Pass-Verschlüsselung) oder ADE-Version 2 (Single-Pass-Verschlüsselung) verwendet.

Sie können die ADE-Versionsnummer im Azure-Portal ermitteln, indem Sie die Eigenschaften der VM öffnen und dann auf Erweiterungen klicken, um das Blatt Erweiterungen zu öffnen. Zeigen Sie auf dem Blatt Erweiterungen die Versionsnummer an, die AzureDiskEncryption zugewiesen ist. Wenn die Versionsnummer 1 ist, verwendet der Datenträger duale Verschlüsselung. Wenn die Versionsnummer 2 oder eine höhere Version ist, verwendet der Datenträger die Single-Pass-Verschlüsselung.

Wenn Sie feststellen, dass Ihr Datenträger ADE-Version 1 (Dual-Pass-Verschlüsselung) verwendet, können Sie zu Lösung 3: Manuelle Methode wechseln, um einen verschlüsselten Datenträger auf einer Reparatur-VM zu entsperren.

Bestimmen, ob der Betriebssystemdatenträger verwaltet oder nicht verwaltet wird

Wenn Sie nicht wissen, ob der Betriebssystemdatenträger verwaltet oder nicht verwaltet ist, lesen Sie Ermitteln, ob der Betriebssystemdatenträger verwaltet oder nicht verwaltet ist.

Wenn Sie wissen, dass der Betriebssystemdatenträger ein nicht verwalteter Datenträger ist, wechseln Sie zu Lösung Nr. 3: Manuelle Methode zum Entsperren eines verschlüsselten Datenträgers auf einer Reparatur-VM.

Wählen Sie die Methode aus, um den Datenträger an eine Reparatur-VM anzufügen und den Datenträger zu entsperren.

Sie sollten eine von drei Methoden auswählen, um den Datenträger an eine Reparatur-VM anzufügen und den Datenträger zu entsperren:

• Wenn Sie festgestellt haben, dass der Datenträger mithilfe von ADE Version 2 oder höher (Single-Pass-Verschlüsselung) verwaltet und verschlüsselt wird und Ihre Infrastruktur- und Unternehmensrichtlinie es Ihnen ermöglicht, einer Reparatur-VM eine öffentliche IP-Adresse zuzuweisen, verwenden Sie Lösung 1: Automatisierte Methode, um einen verschlüsselten Datenträger auf einer Reparatur-VM zu entsperren.
• Wenn Ihr Datenträger sowohl verwaltet als auch verschlüsselt wird, indem ADE Version 2 oder höher (Single-Pass-Verschlüsselung) verwendet wird, Ihre Infrastruktur- oder Unternehmensrichtlinie Sie jedoch daran hindert, einer Reparatur-VM eine öffentliche IP-Adresse zuzuweisen, verwenden Sie Lösung 2: Halbautomatische Methode, um einen verschlüsselten Datenträger auf einer Reparatur-VM zu entsperren. (Ein weiterer Grund für die Wahl dieser Methode ist, wenn Ihnen die Berechtigungen zum Erstellen einer Ressourcengruppe in Azure fehlen.)
• Wenn eine dieser Methoden fehlschlägt oder wenn der Datenträger nicht verwaltet oder mit ADE Version 1 (Dual-Pass-Verschlüsselung) verschlüsselt wurde, verwenden Sie Auflösung 3: Manuelle Methode, um einen verschlüsselten Datenträger auf einer Reparatur-VM zu entsperren.

Lösung Nr. 1: Automatisierte Methode zum Entsperren eines verschlüsselten Datenträgers auf einer Reparatur-VM

Diese Methode basiert auf az vm repair-Befehlen , um automatisch eine Reparatur-VM zu erstellen, den fehlerhaften Betriebssystemdatenträger anzufügen und den Datenträger zu entsperren, wenn er verschlüsselt ist. Dies funktioniert nur für verwaltete Datenträger, die mit einem Durchlauf verschlüsselt sind, und erfordert die Verwendung einer öffentlichen IP-Adresse für die Reparatur-VM. Diese Methode entsperrt den verschlüsselten Datenträger unabhängig davon, ob der BitLocker-Verschlüsselungsschlüssel (BEK) entwrappt oder mit einem Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) umschlossen wird.

Informationen zum Reparieren des virtuellen Computers mithilfe dieser automatisierten Methode finden Sie unter Reparieren eines virtuellen Windows-Computers mithilfe der Reparaturbefehle für virtuelle Azure-Computer.

Hinweis

Wenn bei der automatischen Problembehandlung ein Fehler auftritt, fahren Sie mit Lösung Nr. 2: Halbautomatische Methode fort, um einen verschlüsselten Datenträger auf einer Reparatur-VM zu entsperren.

Lösung Nr. 2: Halbautomatisierte Methode zum Entsperren eines verschlüsselten Datenträgers auf einer Reparatur-VM

Die halbautomatische Auflösung entsperrt einen mit einem Durchlauf verschlüsselten verwalteten Datenträger, ohne dass eine öffentliche IP-Adresse für die Reparatur-VM erforderlich ist.

Mit diesem Verfahren erstellen Sie manuell einen virtuellen Computer, dem der Betriebssystemdatenträger der (fehlerhaften) Quell-VM angefügt ist. Wenn Sie den verschlüsselten Datenträger zum Zeitpunkt der Erstellung des virtuellen Computers anfügen, ruft der virtuelle Computer den BEK automatisch aus dem Azure-Schlüsseltresor ab und speichert ihn in einem BEK-Volume. Anschließend verwenden Sie eine kurze Reihe von Schritten, um auf den BEK zuzugreifen und den verschlüsselten Datenträger zu entsperren. Während dieses Vorgangs wird der BEK bei Bedarf automatisch entpackt.

1. Nehmen Sie Azure-Portal eine Momentaufnahme des verschlüsselten Betriebssystemdatenträgers auf der (fehlerhaften) Quell-VM.

2. Erstellen Sie einen Datenträger aus diesem Momentaufnahme.

   

   Wählen Sie für den neuen Datenträger den gleichen Standort und dieselbe Verfügbarkeitszone aus, die der Quell-VM zugewiesen wurden. Beachten Sie, dass Sie diese Einstellungen auch duplizieren müssen, wenn Sie die Reparatur-VM im nächsten Schritt erstellen.

3. Erstellen Sie einen virtuellen Computer, der auf Windows Server 2016 Datacenter basiert und als Reparatur-VM verwendet werden soll. Weisen Sie die VM derselben Region und Verfügbarkeitszone zu, die für den neuen Datenträger verwendet wird, den Sie in Schritt 2 erstellt haben.

4. Fügen Sie auf der Seite Datenträger des Assistenten zum Erstellen eines virtuellen Computers den neuen Datenträger, den Sie gerade aus dem Momentaufnahme erstellt haben, als Datenträger an.

   

   Wichtig

   Stellen Sie sicher, dass Sie den Datenträger während der VM-Erstellung hinzufügen. Verschlüsselungseinstellungen werden nur während der VM-Erstellung erkannt. Dadurch kann ein Volume, das den BEK enthält, automatisch hinzugefügt werden.

5. Nachdem die Reparatur-VM erstellt wurde, melden Sie sich bei der VM an, und öffnen Sie die Datenträgerverwaltung (Diskmgmt.msc). Suchen Sie in der Datenträgerverwaltung nach dem BEK-Volume. Standardmäßig ist diesem Volume kein Laufwerkbuchstabe zugewiesen.

   

6. Um dem BEK-Volume einen Laufwerkbuchstaben zuzuweisen, klicken Sie mit der rechten Maustaste auf das BEK-Volume, und wählen Sie dann Laufwerkbuchstaben und Pfade ändern aus.

   

7. Wählen Sie Hinzufügen aus, um dem BEK-Volume einen Laufwerkbuchstaben zuzuweisen. In diesem Prozess ist der Standardbuchstabe am häufigsten H. Wählen Sie OK aus.

   

8. Wählen Sie Explorer im linken Bereich Dieser PC aus. Nun wird das BEK-Volume aufgeführt. Beachten Sie auch das Volume, das durch ein Sperrsymbol gekennzeichnet ist. Dies ist der verschlüsselte Datenträger, den Sie beim Erstellen des virtuellen Computers angefügt haben. (Im folgenden Beispiel wird dem verschlüsselten Datenträger der Laufwerkbuchstabe G zugewiesen.)

   

9. Um den verschlüsselten Datenträger zu entsperren, benötigen Sie den Bek-Dateinamen im BEK-Volume. Standardmäßig sind die Dateien im BEK-Volume jedoch ausgeblendet. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, um die ausgeblendeten Dateien anzuzeigen:

   dir <DRIVE LETTER ASSIGNED TO BEK VOLUME>: /a:h /b /s
   

   Wenn der Laufwerkbuchstabe, der dem BEK-Volume zugewiesen ist, beispielsweise H ist, geben Sie den folgenden Befehl ein:

   dir H: /a:h /b /s
   

   Es sollte eine Ausgabe angezeigt werden, die der folgenden ähnelt:

   H:\66ABF036-E331-4B67-A667-D1A8B47B4DAB.BEK
   H:\System Volume Information
   

   Der erste Eintrag ist der BEK-Dateipfadname. Im nächsten Schritt verwenden Sie den vollständigen Pfadnamen.

10. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein:

    manage-bde -unlock <ENCRYPTED DRIVE LETTER>: -RecoveryKey <.BEK FILE PATH>
    

    Wenn beispielsweise G das verschlüsselte Laufwerk ist und die BEK-Datei mit der im vorherigen Beispiel aufgeführten datei identisch ist, geben Sie Folgendes ein:

    manage-bde -unlock G: -RecoveryKey H:\66ABF036-E331-4B67-A667-D1A8B47B4DAB.BEK
    

    Es wird eine Meldung angezeigt, die angibt, dass die BEK-Datei das von Ihnen angegebene Volume erfolgreich entsperrt hat. In Explorer sehen Sie, dass das Laufwerk nicht mehr gesperrt ist.

    

11. Nachdem Sie nun auf das Volume zugreifen können, können Sie die Problembehandlung und Die Entschärfung nach Bedarf durchführen, z. B. durch Lesen von Protokollen oder Ausführen eines Skripts.

12. Nachdem Sie den Datenträger repariert haben, führen Sie das folgende Verfahren aus, um den Betriebssystemdatenträger der Quell-VM durch den neu reparierten Datenträger zu ersetzen.

Lösung Nr. 3: Manuelle Methode zum Entsperren eines verschlüsselten Datenträgers auf einer Reparatur-VM

Sie können den Datenträger manuell entsperren, indem Sie dieses Verfahren ausführen, wenn Sie einen mit dualem Pass verschlüsselten Datenträger (ADE Version 1) oder einen nicht verwalteten Datenträger entsperren müssen oder wenn die anderen Methoden fehlschlagen.

Erstellen der Reparatur-VM und Anfügen des Betriebssystemdatenträgers der Quell-VM

1. Wenn der verschlüsselte Betriebssystemdatenträger der Quell-VM ein verwalteter Datenträger ist, führen Sie die Schritte 1 bis 4 in Methode 2 aus, um eine Kopie des gesperrten Datenträgers an eine Reparatur-VM anzufügen.

   Wenn der Vorgang zum Erstellen einer neuen Reparatur-VM mit dem angefügten verschlüsselten Datenträger hängt oder fehlschlägt (z. B. wird eine Meldung zurückgegeben, die besagt, dass er "Verschlüsselungseinstellungen enthält und daher nicht als Datenträger verwendet werden kann"), können Sie zuerst den virtuellen Computer erstellen, ohne den verschlüsselten Datenträger anzufügen. Nachdem die Reparatur-VM erstellt wurde, fügen Sie den verschlüsselten Datenträger über den Azure-Portal an den virtuellen Computer an.

2. Wenn der verschlüsselte Betriebssystemdatenträger der Quell-VM ein nicht verwalteter Datenträger ist, finden Sie weitere Informationen unter Anfügen eines nicht verwalteten Datenträgers an einen virtuellen Computer zur Offlinereparatur.

Installieren des Az PowerShell-Moduls auf der Reparatur-VM

Die manuelle Auflösungsmethode zum Offlineentsperren eines verschlüsselten Datenträgers basiert auf dem Az-Modul in PowerShell. Daher müssen Sie dieses Modul auf der Reparatur-VM installieren.

1. Stellen Sie über RDP eine Verbindung mit der Reparatur-VM her.

2. Wählen Sie auf der Reparatur-VM in Server-Manager Die Option Lokaler Server aus, und deaktivieren Sie dann die verstärkte IE-Sicherheitskonfiguration für Administratoren.

   

   

3. Öffnen Sie auf der Reparatur-VM ein PowerShell-Fenster mit erhöhten Rechten.

4. Legen Sie das Sicherheitsprotokoll der HTTP-APIs für die aktuelle Sitzung auf TLS 1.2 fest, indem Sie den folgenden Befehl eingeben.

   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
   

   Hinweis

   Das Sicherheitsprotokoll wird nach dem Schließen der aktuellen Sitzung auf den Standardwert zurückgesetzt.

5. Laden Sie die neueste Version des Nuget-Pakets herunter:

   Install-PackageProvider -Name "Nuget" -Force
   

6. Wenn die Eingabeaufforderung zurückgegeben wird, installieren Sie die neueste Version des PowerShellGet-Pakets.

   Install-Module -Name PowerShellGet -Force
   

7. Wenn die Eingabeaufforderung zurückgegeben wird, schließen Sie das PowerShell-Fenster. Öffnen Sie dann ein neues PowerShell-Fenster mit erhöhten Berechtigungen, um eine neue PowerShell-Sitzung zu starten.

8. Installieren Sie an der PowerShell-Eingabeaufforderung die neueste Version des Azure Az-Moduls:

   Install-Module -Name Az -Scope AllUsers -Repository PSGallery -Force
   

9. Wenn die Eingabeaufforderung zurückgegeben wird, installieren Sie das Paket Az.Account 1.9.4:

   Install-Module -Name Az.Accounts -Scope AllUsers -RequiredVersion "1.9.4" -Repository PSGallery -Force
   

Abrufen des BEK-Dateinamens

1. Navigieren Sie im Azure-Portal zu dem Schlüsseltresor, der zum Verschlüsseln der Quell-VM verwendet wurde. Wenn Sie den Namen des Schlüsseltresors nicht kennen, geben Sie an der Eingabeaufforderung in Azure Cloud Shell den folgenden Befehl ein, und suchen Sie in der Ausgabe nach dem Wert neben "sourceVault":

   az vm encryption show --name MyVM --resource-group MyResourceGroup
   

2. Wählen Sie im linken Menü Zugriffsrichtlinien aus.

3. Stellen Sie in den Zugriffsrichtlinien des Schlüsseltresors sicher, dass dem Benutzerkonto, das Sie zum Anmelden bei Ihrem Azure-Abonnement verwenden, die folgenden Berechtigungen erteilt werden: Schlüsselverwaltungsvorgänge: Abrufen, Auflisten, Aktualisieren, Erstellen kryptografischer Vorgänge: Schlüssel entpacken Geheimnisberechtigungen: Abrufen, Auflisten, Festlegen

4. Kehren Sie zum virtuellen Reparaturcomputer und zum PowerShell-Fenster mit erhöhten Rechten zurück.

5. Geben Sie den folgenden Befehl ein, um mit der Anmeldung bei Ihrem Azure-Abonnement zu beginnen, und ersetzen Sie dabei "[SubscriptionID]" durch Ihre Azure-Abonnement-ID:

   Add-AzAccount -SubscriptionID <SubscriptionID>
   

6. Befolgen Sie die Anweisungen, um den Anmeldevorgang bei Ihrem Azure-Abonnement abzuschließen.

7. Öffnen Sie auf der Reparatur-VM ein Windows PowerShell ISE-Fenster mit erhöhten Rechten, und erweitern Sie den Skriptbereich (oben).

8. Fügen Sie im PowerShell ISE-Fenster mit erhöhten Rechten das folgende Skript in den leeren Skriptbereich ein. Ersetzen Sie "myVM" durch Ihre (fehlerhafte) Quell-VM und "myKeyVault" durch den Namen Ihres Schlüsseltresors.

       if ((Get-AzContext) -ne $Null)
   {
   
   $vmName = "MyVM"
   $vault = "myKeyVault"
   
   # Get the Secrets for all VM Drives from Azure Key Vault
   Get-AzKeyVaultSecret -VaultName $vault | where {($_.Tags.MachineName -eq $vmName) -and ($_.ContentType -match 'BEK')} `
       | Sort-Object -Property Created `
       | ft  Created, `
           @{Label="Content Type";Expression={$_.ContentType}}, `
           @{Label ="Volume"; Expression = {$_.Tags.VolumeLetter}}, `
           @{Label ="DiskEncryptionKeyFileName"; Expression = {$_.Tags.DiskEncryptionKeyFileName}}, `
           @{Label ="URL"; Expression = {$_.Id}}
   }
   else 
   {
       Write-Output "Please log in first with Add-AzAccount"
   }
   

9. Wählen Sie Skript ausführen aus, um das Skript auszuführen.

10. Suchen Sie in der Ausgabe nach dem Wert unter DiskEncryptionKeyFileName für den Namen der BEK-Datei.

    In der folgenden Beispielausgabe wird der BEK-Dateiname (Geheimnisname + ". Die Dateierweiterung BEK) lautet AB4FE364-4E51-4034-8E09-0087C3D51C18. BEK. Notieren Sie sich diesen Wert, da er im nächsten Schritt verwendet wird. (Wenn zwei duplizierte Volumes angezeigt werden, ist das Volume mit dem neueren Zeitstempel die aktuelle BEK-Datei, die von der Reparatur-VM verwendet wird.)

    

11. Wenn der Wert des Inhaltstyps in der Ausgabe Wrapped BEK ist, wie im obigen Beispiel, wechseln Sie zu Herunterladen und Entpacken des BEK. Wenn der Wert des Inhaltstyps in der Ausgabe einfach BEK ist, wie im folgenden Beispiel gezeigt, wechseln Sie zum nächsten Abschnitt, um den BEK auf die Reparatur-VM herunterzuladen.

    

Laden Sie den BEK auf die Reparatur-VM herunter.

1. Erstellen Sie auf der Reparatur-VM im Stammverzeichnis des C-Volumes einen Ordner mit dem Namen "BEK" (ohne Anführungszeichen).

2. Kopieren Sie das folgende Beispielskript, und fügen Sie es in einen leeren PowerShell ISE-Skriptbereich ein.

   Hinweis

   Ersetzen Sie die Werte für "$vault" und "$bek" durch die Werte für Ihre Umgebung. Verwenden Sie für den $bek Wert den Geheimnamen, den Sie in der letzten Prozedur erhalten haben. (Der Geheimnisname ist der BEK-Dateiname ohne die Dateinamenerweiterung ".bek".)

   $vault = "myKeyVault"
   $bek = "EF7B2F5A-50C6-4637-0001-7F599C12F85C"
   $keyVaultSecret = Get-AzKeyVaultSecret -VaultName $vault -Name $bek
   $bstr = [Runtime.InteropServices.Marshal]::SecureStringToBSTR($keyVaultSecret.SecretValue)
   $bekSecretBase64 = [Runtime.InteropServices.Marshal]::PtrToStringAuto($bstr)
   $bekFileBytes = [Convert]::FromBase64String($bekSecretbase64)
   $path = "C:\BEK\DiskEncryptionKeyFileName.BEK"
   [System.IO.File]::WriteAllBytes($path,$bekFileBytes)
   

3. Wählen Sie im PowerShell ISE-Fenster Skript ausführen aus. Wenn das Skript erfolgreich ausgeführt wird, wird keine Ausgabe- oder Abschlussmeldung angezeigt. Eine neue Datei wird jedoch im Ordner C:\BEK erstellt. (Der Ordner C:\BEK muss bereits vorhanden sein.)

4. Fahren Sie mit Überprüfen, ob das Skript erfolgreich abgeschlossen wurde.

Herunterladen und Entpacken des BEK

1. Erstellen Sie auf der Reparatur-VM im Stammverzeichnis des C-Volumes einen Ordner mit dem Namen "BEK" (ohne Anführungszeichen).

2. Notieren Sie sich die folgenden Werte im Editor. Sie werden aufgefordert, sie anzugeben, wenn das Skript ausgeführt wird.

   • secretUrl. Dies ist die URL des Geheimnisses, das im Schlüsseltresor gespeichert ist. Eine gültige Geheimnis-URL verwendet das folgende Format: <<https://[key> Tresorname].vault.azure.net/secrets/[BEK-Name]/[Versions-ID]>

     Navigieren Sie zum Blatt Geheimnisse in Ihrem Schlüsseltresor, um diesen Wert im Azure-Portal zu finden. Wählen Sie den BEK-Namen aus, der im vorherigen Schritt ermittelt wurde . Rufen Sie den BEK-Dateinamen ab. Wählen Sie den aktuellen Versionsbezeichner aus, und lesen Sie dann die URL des Geheimen Bezeichners unter Eigenschaften. (Sie können diese URL in die Zwischenablage kopieren.)

     

   • keyVaultResourceGroup. Die Ressourcengruppe des Schlüsseltresors.

   • kekUrl. Dies ist die URL des Schlüssels, der zum Schutz des BEK verwendet wird. Eine gültige Kek-URL verwendet das folgende Format: <<https://[key> Tresorname].vault.azure.net/keys/[Schlüsselname]/[Versions-ID]>

     Sie können diesen Wert im Azure-Portal abrufen, indem Sie zum Blatt Schlüssel in Ihrem Schlüsseltresor navigieren, den Namen des Schlüssels auswählen, der als KEK verwendet wird, den aktuellen Versionsbezeichner auswählen und dann die Schlüsselbezeichner-URL unter Eigenschaften lesen. (Sie können diese URL in die Zwischenablage kopieren.)

   • secretFilePath. Dies ist der vollständige Pfadname für den Speicherort, in dem die BEK-Datei gespeichert werden soll. Beispiel: Der BEK-Dateiname lautet AB4FE364-4E51-4034-8E06-0087C3D51C18. BEK können Sie C:\BEK\AB4FE364-4E51-4034-8E06-0087C3D51C18 eingeben. BEK. (Der Ordner C:\BEK muss bereits vorhanden sein.)

3. Navigieren Sie zur folgenden Seite , um das Skript herunterzuladen, das zum Generieren der BEK-Datei zum Entsperren des verschlüsselten Datenträgers verwendet wird.

4. Wählen Sie auf der Seite Unformatiert aus.

5. Kopieren Sie den Inhalt des Skripts, und fügen Sie ihn in einen leeren Skriptbereich in einem PowerShell ISE-Fenster mit erhöhten Rechten auf der Reparatur-VM ein.

6. Wählen Sie Skript ausführen aus.

7. Wenn Sie dazu aufgefordert werden, geben Sie die Werte an, die Sie vor dem Ausführen des Skripts notiert haben. Wenn Sie von einer Meldung Nicht vertrauenswürdiges Repository aufgefordert werden, wählen Sie Ja für alle aus. Wenn das Skript erfolgreich ausgeführt wird, wird im Ordner C:\BEK eine neue Datei erstellt. (Dieser Ordner muss bereits vorhanden sein.)

Überprüfen, ob das Skript erfolgreich ausgeführt wurde

1. Navigieren Sie auf Ihrem lokalen Computer zum Ordner C:\BEK , und suchen Sie die neue Ausgabedatei.

2. Öffnen Sie die Datei im Editor. Wenn das Skript ordnungsgemäß ausgeführt wurde, finden Sie den Ausdruck BitLocker-Erweiterung Schlüsselschutz in der oberen Zeile der Datei, wenn Sie nach rechts scrollen.

   

Entsperren des angefügten Datenträgers

Sie können den verschlüsselten Datenträger jetzt entsperren.

1. Schalten Sie auf der Reparatur-VM in der Datenträgerverwaltung den angefügten verschlüsselten Datenträger online, wenn er noch nicht online ist. Notieren Sie sich den Laufwerkbuchstaben des mit BitLocker verschlüsselten Volumes.

2. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein.

   Hinweis

   Ersetzen Sie in diesem Befehl "<ENCRYPTED DRIVE LETTER>" durch den Buchstaben des verschlüsselten Volumes und "<. BEK FILE PATH>" mit dem vollständigen Pfad zur neu erstellten BEK-Datei im Ordner C:\BEK.

   manage-bde -unlock <ENCRYPTED DRIVE LETTER>: -RecoveryKey <.BEK FILE PATH>
   

   Wenn das verschlüsselte Laufwerk beispielsweise F und der BEK-Dateiname "DiskEncryptionKeyFileName.BEK" lautet, führen Sie den folgenden Befehl aus:

   manage-bde -unlock F: -RecoveryKey C:\BEK\DiskEncryptionKeyFileName.BEK
   

   Wenn das verschlüsselte Laufwerk F und der BEK-Dateiname "EF7B2F5A-50C6-4637-9F13-7F599C12F85C lautet. BEK" führen Sie den folgenden Befehl aus:

   manage-bde -unlock F: -RecoveryKey C:\BEK\EF7B2F5A-50C6-4637-9F13-7F599C12F85C.BEK
   

   Es wird eine Ausgabe wie im folgenden Beispiel angezeigt:

   The file "C:\BEK\0D44E996-4BF3-4EB0-B990-C43C250614A4.BEK" successfully unlocked volume F:.
   

3. Nachdem Sie nun auf das Volume zugreifen können, können Sie die Problembehandlung und Entschärfung nach Bedarf durchführen, z. B. durch Lesen von Protokollen oder Ausführen eines Skripts.

   Wichtig

   Beim Entsperren erhalten Sie Zugriff auf den Datenträger, entschlüsselt den Datenträger jedoch nicht. Der Datenträger bleibt verschlüsselt, nachdem Sie ihn entsperrt haben. Wenn Sie den Datenträger entschlüsseln müssen, verwenden Sie den Befehl manage-bde <volume> -off, um den Entschlüsselungsprozess zu starten, und manage-bde <drive> -status, um den Fortschritt der Entschlüsselung zu überprüfen.

4. Wenn die Reparatur abgeschlossen ist und der Datenträger verwaltet wird, können Sie mit Ersetzen des Betriebssystemdatenträgers (verwaltete Datenträger) des virtuellen Quellcomputers fortfahren. Wenn der Datenträger stattdessen nicht verwaltet wird, können Sie die hier beschriebenen CLI-basierten Schritte ausführen: Ersetzen des Betriebssystemdatenträgers auf der Quell-VM

Ersetzen des Betriebssystemdatenträgers der Quell-VM (verwaltete Datenträger)

1. Nachdem Sie den Datenträger repariert haben, öffnen Sie das Blatt Datenträger für die Wiederherstellungs-VM im Azure-Portal. Trennen Sie die Kopie des Quell-VM-Betriebssystem-Datenträgers. Suchen Sie dazu die Zeile für den zugehörigen Datenträgernamen unter Datenträger, wählen Sie das „X“ auf der rechten Seite dieser Zeile aus, und wählen Sie dann Speichern aus.

   

2. Navigieren Sie im Azure-Portal zur (fehlerhaften) Quell-VM, und öffnen Sie das Blatt Datenträger. Wählen Sie dann Betriebssystemdatenträger austauschen aus, um den vorhandenen Betriebssystemdatenträger durch den von Ihnen reparierten Datenträger zu ersetzen.

   

3. Wählen Sie den neuen Datenträger aus, den Sie repariert haben, und geben Sie dann den Namen des virtuellen Computers ein, um die Änderung zu überprüfen. Wird der Datenträger in der Liste nicht angezeigt, warten Sie 10 bis 15 Minuten, nachdem Sie den Datenträger von der Problembehebungs-VM getrennt haben.

4. Wählen Sie OK aus.

Nächste Schritte:

Wenn Probleme beim Herstellen einer Verbindung mit Ihrer VM auftreten, helfen Ihnen die Informationen unter Behandeln von Problemen bei Remotedesktopverbindungen mit einem virtuellen Azure-Computer weiter. Bei Problemen mit dem Zugriff auf Anwendungen, die auf Ihrer VM ausgeführt werden, lesen Sie den Artikel Beheben von Anwendungskonnektivitätsproblemen auf einem virtuellen Windows-Computer.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.