Entsperren eines verschlüsselten Datenträgers für die Offlinereparatur

Gilt für: ✔️ Windows-VMs

In diesem Artikel wird beschrieben, wie Sie einen verschlüsselten Betriebssystemdatenträger auf einem separaten virtuellen Computer (als Reparatur-VM bezeichnet) entsperren, um die Offlinekorrektur und Problembehandlung auf diesem Datenträger zu ermöglichen.

Problembeschreibung

Wenn Sie den Betriebssystemdatenträger einer Windows-VM offline reparieren, wird der Datenträger möglicherweise gesperrt angezeigt, wenn er an die Reparatur-VM angefügt ist, wie unten dargestellt. In diesem Fall ist die Azure Disk Encryption (ADE) auf dem Datenträger aktiviert. Sie können keine Gegenmaßnahmen auf diesem Datenträger von einer Reparatur-VM ausführen, bis der Datenträger entsperrt ist.

Hintergrund

Bei einigen Problembehandlungsszenarien müssen Sie eine Offlinereparatur eines virtuellen Datenträgers in Azure durchführen. Wenn beispielsweise auf eine Windows-VM nicht zugegriffen werden kann, Datenträgerfehler angezeigt oder nicht gestartet werden können, können Sie Schritte zur Problembehandlung auf dem Betriebssystemdatenträger ausführen, indem Sie sie an eine separate Reparatur-VM anfügen (auch als Wiederherstellungs-VM oder Rettungs-VM bezeichnet).

Wenn der Datenträger jedoch mithilfe von ADE verschlüsselt wird, bleibt der Datenträger gesperrt und kann nicht darauf zugreifen, während er an die Reparatur-VM angefügt ist, bis Sie den Datenträger entsperren. Um den Datenträger zu entsperren, müssen Sie denselben BitLocker-Verschlüsselungsschlüssel (BEK) verwenden, der ursprünglich zum Verschlüsseln verwendet wurde. Diese BEK (und optional ein schlüsselverschlüsselnder Schlüssel [KEK], der das BEK verschlüsselt oder "umschließt") wird in einem Azure-Schlüsseltresor gespeichert, der von Ihrer Organisation verwaltet wird.

Ziel

Die Verfahren in diesem Artikel beschreiben Methoden, mit denen Sie einen verschlüsselten Betriebssystemdatenträger an eine Reparatur-VM anfügen und dann diesen Datenträger entsperren können. Nachdem der Datenträger entsperrt wurde, können Sie ihn reparieren. Als letzten Schritt können Sie den Betriebssystemdatenträger auf der ursprünglichen VM durch diese neu reparierte Version ersetzen.

Vorbereitung

Führen Sie die folgenden Schritte aus, bevor Sie den fehlerhaften Betriebssystemdatenträger an eine Reparatur-VM anfügen:

1. Vergewissern Sie sich, dass ADE auf dem Datenträger aktiviert ist.
2. Ermitteln Sie, ob der Betriebssystemdatenträger ADE Version 1 (Dual-Pass-Verschlüsselung) oder ADE Version 2 (Single-Pass-Verschlüsselung) verwendet.
3. Bestimmen Sie, ob der Betriebssystemdatenträger verwaltet oder nicht verwaltet wird.
4. Wählen Sie die Methode aus, um den Datenträger an eine Reparatur-VM anzufügen und den Datenträger zu entsperren.

Vergewissern Sie sich, dass ADE auf dem Datenträger aktiviert ist

Sie können diesen Schritt in der Azure-Portal, PowerShell oder der Azure-Befehlszeilenschnittstelle (Azure CLI) ausführen.

Azure-Portal

Zeigen Sie das Blatt "Übersicht" für den fehlgeschlagenen virtuellen Computer im Azure-Portal an. Unterhalb des Datenträgers wird die Azure-Datenträgerverschlüsselung wie im folgenden Screenshot dargestellt als "Aktiviert" oder "Nicht aktiviert" angezeigt.

PowerShell

Mit dem Get-AzVmDiskEncryptionStatus Cmdlet können Sie ermitteln, ob das Betriebssystem und/oder Datenvolumes für einen virtuellen Computer mithilfe von ADE verschlüsselt werden. Die folgende Beispielausgabe gibt an, dass die ADE-Verschlüsselung auf dem Betriebssystemvolume aktiviert ist:

PS /home/me> Get-AzVmDiskEncryptionStatus -ResourceGroupName "MyRg01" -VMName "MyVm01" 
OsVolumeEncrypted          : Encrypted
DataVolumesEncrypted       : NoDiskFound
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Extension status not available on the VM

Weitere Informationen zum Cmdlet finden Sie unter Get-AzVMDiskEncryptionStatus (Az.Compute).For more information about the Get-AzureRmDiskEncryptionStatus cmdlet, see Get-AzVMDiskEncryptionStatus (Az.Compute).

Azure CLI

Sie können den az vm encryption show Befehl in Azure CLI mit der angefügten Abfrage disks[].encryptionSettings[].enabled verwenden, um zu bestimmen, ob ADE auf den Datenträgern eines virtuellen Computers aktiviert ist. Die folgende Ausgabe gibt an, dass die ADE-Verschlüsselung aktiviert ist.

az vm encryption show --name MyVM --resource-group MyResourceGroup --query "disks[].encryptionSettings[].enabled"

[
  true
]

Weitere Informationen zum az vm encryption show Befehl finden Sie unter az vm encryption show.

Notiz

Offlinereparatur für unverschlüsselte Datenträger

Wenn Sie feststellen, dass ADE nicht auf dem Datenträger aktiviert ist, finden Sie im folgenden Artikel Anweisungen zum Anfügen eines Datenträgers an eine Reparatur-VM: Problembehandlung für einen virtuellen Windows-Computer durch Anfügen des Betriebssystemdatenträgers an eine Wiederherstellungs-VM über die Azure-Portal

Ermitteln, ob der Betriebssystemdatenträger ADE Version 1 (Dual-Pass-Verschlüsselung) oder ADE Version 2 (Single-Pass-Verschlüsselung) verwendet

Sie können die ADE-Versionsnummer im Azure-Portal lernen, indem Sie die Eigenschaften der VM öffnen und dann auf Erweiterungen klicken, um das Blatt "Erweiterungen" zu öffnen. Zeigen Sie auf dem Blatt "Erweiterungen" die Versionsnummer an, die AzureDiskEncryption zugewiesen ist. Wenn die Versionsnummer 1 ist, verwendet der Datenträger die Dual-Pass-Verschlüsselung. Wenn die Versionsnummer 2 oder eine höhere Version ist, verwendet der Datenträger die Single-Pass-Verschlüsselung.

Wenn Sie feststellen, dass Ihr Datenträger ADE Version 1 (Dual-Pass-Verschlüsselung) verwendet, können Sie zu Lösung Nr. 3 wechseln: Manuelle Methode zum Entsperren eines verschlüsselten Datenträgers auf einer Reparatur-VM.

Ermitteln, ob der Betriebssystemdatenträger verwaltet oder nicht verwaltet wird

Wenn Sie nicht wissen, ob der Betriebssystemdatenträger verwaltet oder nicht verwaltet wird, erfahren Sie , ob der Betriebssystemdatenträger verwaltet oder nicht verwaltet wird.

Wenn Sie wissen, dass der Betriebssystemdatenträger ein nicht verwalteter Datenträger ist, wechseln Sie zu Lösung Nr. 3: Manuelle Methode zum Entsperren eines verschlüsselten Datenträgers auf einer Reparatur-VM.

Wählen Sie die Methode aus, um den Datenträger an eine Reparatur-VM anzufügen und den Datenträger zu entsperren.

Sie sollten eine von drei Methoden auswählen, um den Datenträger an eine Reparatur-VM anzufügen und den Datenträger zu entsperren:

• Wenn Sie festgestellt haben, dass der Datenträger mithilfe von ADE Version 2 oder höher (Single-Pass-Verschlüsselung) verwaltet und verschlüsselt wird, und Ihre Infrastruktur- und Unternehmensrichtlinie ermöglichen Es Ihnen, einer Reparatur-VM eine öffentliche IP-Adresse zuzuweisen, verwenden Sie Resolution #1: Automatisierte Methode zum Entsperren eines verschlüsselten Datenträgers auf einer Reparatur-VM.
• Wenn Ihr Datenträger mit ADE Version 2 oder höher (Single-Pass-Verschlüsselung) verwaltet und verschlüsselt wird, Ihre Infrastruktur- oder Unternehmensrichtlinie sie jedoch daran hindert, einer Reparatur-VM eine öffentliche IP-Adresse zuzuweisen, verwenden Sie Resolution #2: Halbautomatisierte Methode, um einen verschlüsselten Datenträger auf einer Reparatur-VM zu entsperren. (Ein weiterer Grund für die Auswahl dieser Methode ist, wenn Sie nicht über die Berechtigungen zum Erstellen einer Ressourcengruppe in Azure verfügen.)
• Wenn eine dieser Methoden fehlschlägt oder der Datenträger nicht verwaltet oder mit ADE Version 1 (Dual-Pass-Verschlüsselung) verschlüsselt ist, verwenden Sie Resolution #3: Manuelle Methode zum Entsperren eines verschlüsselten Datenträgers auf einer Reparatur-VM.

Lösung Nr. 1: Automatisierte Methode zum Entsperren eines verschlüsselten Datenträgers auf einer Reparatur-VM

Diese Methode basiert auf az vm Repair-Befehlen , um automatisch eine Reparatur-VM zu erstellen, den fehlerhaften Betriebssystemdatenträger anzufügen und den Datenträger zu entsperren, wenn er verschlüsselt ist. Sie funktioniert nur für mit einem Pass verschlüsselte verwaltete Datenträger und erfordert die Verwendung der öffentlichen IP-Adresse für die Reparatur-VM. Mit dieser Methode wird der verschlüsselte Datenträger entsperrt, unabhängig davon, ob der BitLocker-Verschlüsselungsschlüssel (BEK) mit einem Schlüsselverschlüsselungsschlüssel (KEY Encryption Key, KEK) entschlüsselt oder umschlossen wird.

Informationen zum Reparieren des virtuellen Computers mithilfe dieser automatisierten Methode finden Sie unter Reparieren einer Windows-VM mithilfe der Reparaturbefehle des virtuellen Azure-Computers.

Notiz

Wenn die automatische Problembehandlung fehlschlägt, fahren Sie mit der Lösung Nr. 2 fort: Semiautomatisierte Methode, um einen verschlüsselten Datenträger auf einer Reparatur-VM zu entsperren.

Auflösung Nr. 2: Halbautomatisierte Methode zum Entsperren eines verschlüsselten Datenträgers auf einer Reparatur-VM

Die halbautomatisierte Auflösung entsperrt einen verschlüsselten, nur passverschlüsselten verwalteten Datenträger, ohne dass eine öffentliche IP-Adresse für die Reparatur-VM erforderlich ist.

Mithilfe dieses Verfahrens erstellen Sie manuell einen virtuellen Computer, auf dem der Betriebssystemdatenträger der quellcomputer (fehlgeschlagenen) VM angefügt ist. Wenn Sie den verschlüsselten Datenträger zum Zeitpunkt der Erstellung der VM anfügen, ruft der virtuelle Computer die BEK automatisch aus dem Azure Key Vault ab und speichert ihn in einem BEK-Volume. Anschließend verwenden Sie eine kurze Reihe von Schritten, um auf das BEK zuzugreifen und den verschlüsselten Datenträger zu entsperren. Während dieses Vorgangs wird die BEK bei Bedarf automatisch entwappt.

1. Erstellen Sie in Azure-Portal eine Momentaufnahme des verschlüsselten Betriebssystemdatenträgers auf der Quell-VM (fehlgeschlagen).

2. Erstellen Sie einen Datenträger aus dieser Momentaufnahme.

   

   Wählen Sie für den neuen Datenträger denselben Speicherort und dieselbe Verfügbarkeitszone aus, die der Quell-VM zugewiesen wurde. Beachten Sie, dass Sie dieselben Einstellungen auch duplizieren müssen, wenn Sie die Reparatur-VM im nächsten Schritt erstellen.

3. Erstellen Sie einen virtuellen Computer, der auf Windows Server 2016 Datacenter basiert, um sie als Reparatur-VM zu verwenden. Stellen Sie sicher, dass Sie den virtuellen Computer derselben Region und Verfügbarkeitszone zuweisen, die für den neuen Datenträger verwendet wird, den Sie in Schritt 2 erstellt haben.

4. Fügen Sie auf der Seite "Datenträger " des Assistenten zum Erstellen eines virtuellen Computers den neuen Datenträger an, den Sie soeben aus der Momentaufnahme erstellt haben.

   

   Wichtig

   Stellen Sie sicher, dass Sie den Datenträger während der VM-Erstellung hinzufügen. Die Verschlüsselungseinstellungen werden nur während der VM-Erstellung erkannt. Dadurch kann ein Volume, das die BEK enthält, automatisch hinzugefügt werden.

5. Nachdem die Reparatur-VM erstellt wurde, melden Sie sich bei der VM an, und öffnen Sie die Datenträgerverwaltung (Diskmgmt.msc). Suchen Sie innerhalb der Datenträgerverwaltung das BEK-Volume. Standardmäßig wird diesem Volume kein Laufwerkbuchstaben zugewiesen.

   

6. Wenn Sie dem BEK-Volume einen Laufwerkbuchstaben zuweisen möchten, klicken Sie mit der rechten Maustaste auf das BEK-Volume, und wählen Sie dann "Laufwerkbuchstaben und Pfade ändern" aus.

   

7. Wählen Sie "Hinzufügen" aus, um dem BEK-Volume einen Laufwerkbuchstaben zuzuweisen. In diesem Prozess ist der Standardbuchstaben am häufigsten H. Wählen Sie "OK" aus.

   

8. Wählen Sie in Explorer im linken Bereich "Dieser PC" aus. Nun wird das BEK-Volume aufgelistet. Beachten Sie außerdem das Volume, das durch ein Sperrsymbol gekennzeichnet ist. Dies ist der verschlüsselte Datenträger, den Sie beim Erstellen der VM angefügt haben. (Im folgenden Beispiel wird dem verschlüsselten Datenträger der Laufwerkbuchstaben G zugewiesen.)

   

9. Um den verschlüsselten Datenträger zu entsperren, muss der BEK-Dateiname innerhalb des BEK-Volumes vorhanden sein. Standardmäßig sind die Dateien im BEK-Volume jedoch ausgeblendet. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein, um die ausgeblendeten Dateien anzuzeigen:

   dir <DRIVE LETTER ASSIGNED TO BEK VOLUME>: /a:h /b /s
   

   Wenn beispielsweise der Laufwerkbuchstaben, der dem BEK-Volume zugewiesen ist, H ist, geben Sie den folgenden Befehl ein:

   dir H: /a:h /b /s
   

   Die Ausgabe sollte wie folgt aussehen:

   H:\66ABF036-E331-4B67-A667-D1A8B47B4DAB.BEK
   H:\System Volume Information
   

   Der erste Eintrag ist der BEK-Dateipfadname. Im nächsten Schritt verwenden Sie den vollständigen Pfadnamen.

10. Geben Sie folgenden Befehl an der Eingabeaufforderung ein:

    manage-bde -unlock <ENCRYPTED DRIVE LETTER>: -RecoveryKey <.BEK FILE PATH>
    

    Wenn Z. B. G das verschlüsselte Laufwerk ist und die BEK-Datei mit dem im vorherigen Beispiel aufgeführten identisch ist, geben Sie Folgendes ein:

    manage-bde -unlock G: -RecoveryKey H:\66ABF036-E331-4B67-A667-D1A8B47B4DAB.BEK
    

    Es wird eine Meldung angezeigt, die angibt, dass die BEK-Datei das von Ihnen angegebene Volume erfolgreich entsperrt hat. Und in Explorer können Sie sehen, dass das Laufwerk nicht mehr gesperrt ist.

    

11. Nachdem Sie nun auf das Volume zugreifen können, können Sie die Problembehandlung und Entschärfungen nach Bedarf abschließen, z. B. durch Lesen von Protokollen oder Ausführen eines Skripts.

12. Nachdem Sie den Datenträger repariert haben, verwenden Sie das folgende Verfahren, um den Betriebssystemdatenträger der Quell-VM durch den neu reparierten Datenträger zu ersetzen.

Auflösung Nr. 3: Manuelle Methode zum Entsperren eines verschlüsselten Datenträgers auf einer Reparatur-VM

Sie können den Datenträger manuell entsperren, indem Sie dieses Verfahren ausführen, wenn Sie einen dual-pass-verschlüsselten Datenträger (ADE Version 1) oder einen nicht verwalteten Datenträger entsperren müssen, oder wenn die anderen Methoden fehlschlagen.

Erstellen Sie die Reparatur-VM, und fügen Sie den Betriebssystemdatenträger der Quell-VM an.

1. Wenn der verschlüsselte Betriebssystemdatenträger der Quell-VM ein verwalteter Datenträger ist, führen Sie die Schritte 1 bis 4 in Methode 2 aus, um eine Kopie des gesperrten Datenträgers an eine Reparatur-VM anzufügen.

   Wenn der Vorgang zum Erstellen einer neuen Reparatur-VM mit dem angefügten verschlüsselten Datenträger hängen bleibt oder fehlschlägt (z. B. wird eine Meldung zurückgegeben, die besagt, dass sie Verschlüsselungseinstellungen enthält und daher nicht als Datenträger verwendet werden kann), können Sie zuerst den virtuellen Computer erstellen, ohne den verschlüsselten Datenträger anzufügen. Nachdem die Reparatur-VM erstellt wurde, fügen Sie den verschlüsselten Datenträger über die Azure-Portal an den virtuellen Computer an.

2. Wenn der verschlüsselte Betriebssystemdatenträger der Quell-VM ein nicht verwalteter Datenträger ist, lesen Sie " Anfügen eines nicht verwalteten Datenträgers an einen virtuellen Computer zur Offlinereparatur".

Installieren des Az PowerShell-Moduls in der Reparatur-VM

Die manuelle Auflösungsmethode zum Entsperren eines verschlüsselten Datenträgers offline basiert auf dem Az-Modul in PowerShell. Daher müssen Sie dieses Modul auf der Reparatur-VM installieren.

1. Stellen Sie eine Verbindung mit der Reparatur-VM über RDP her.

2. Wählen Sie auf der Reparatur-VM in Server-Manager den lokalen Server aus, und deaktivieren Sie dann die erweiterte IE-Sicherheitskonfiguration für Administratoren.

   

   

3. Öffnen Sie auf der Reparatur-VM ein PowerShell-Fenster mit erhöhten Rechten.

4. Legen Sie das SICHERHEITSprotokoll der HTTP-APIs für die aktuelle Sitzung auf TLS 1.2 fest, indem Sie den folgenden Befehl eingeben.

   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
   

   Notiz

   Das Sicherheitsprotokoll wird auf den Standardwert zurückgesetzt, nachdem Sie die aktuelle Sitzung geschlossen haben.

5. Laden Sie die neueste Version des Nuget-Pakets herunter:

   Install-PackageProvider -Name "Nuget" -Force
   

6. Wenn die Aufforderung zurückgegeben wird, installieren Sie die neueste Version des PowerShellGet-Pakets.

   Install-Module -Name PowerShellGet -Force
   

7. Wenn die Eingabeaufforderung zurückgegeben wird, schließen Sie das PowerShell-Fenster. Öffnen Sie dann ein neues PowerShell-Fenster mit erhöhten Rechten, um eine neue PowerShell-Sitzung zu starten.

8. Installieren Sie an der PowerShell-Eingabeaufforderung die neueste Version des Azure Az-Moduls:

   Install-Module -Name Az -Scope AllUsers -Repository PSGallery -Force
   

9. Wenn die Aufforderung zurückgegeben wird, installieren Sie das Az.Account 1.9.4-Paket:

   Install-Module -Name Az.Accounts -Scope AllUsers -RequiredVersion "1.9.4" -Repository PSGallery -Force
   

Abrufen des BEK-Dateinamens

1. Navigieren Sie im Azure-Portal zum Schlüsseltresor, der zum Verschlüsseln der Quell-VM verwendet wurde. Wenn Sie den Namen des Schlüsseltresors nicht kennen, geben Sie den folgenden Befehl an der Eingabeaufforderung in Azure Cloud Shell ein, und suchen Sie in der Ausgabe nach dem Wert neben "sourceVault":

   az vm encryption show --name MyVM --resource-group MyResourceGroup
   

2. Wählen Sie im linken Menü die Option "Zugriffsrichtlinien" aus.

3. Stellen Sie in den Zugriffsrichtlinien des Schlüsseltresors sicher, dass dem Benutzerkonto, das Sie für die Anmeldung bei Ihrem Azure-Abonnement verwenden, die folgenden Berechtigungen gewährt werden: Schlüsselverwaltungsvorgänge: Abrufen, Liste, Aktualisieren, Kryptografievorgänge erstellen: Schlüsselschlüsselberechtigungen aufheben: Abrufen, Liste, Festlegen

4. Kehren Sie zur Reparatur-VM und zum PowerShell-Fenster mit erhöhten Rechten zurück.

5. Legen Sie das SICHERHEITSprotokoll der HTTP-APIs für die aktuelle Sitzung auf TLS 1.2 fest, indem Sie den folgenden Befehl eingeben.

   [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
   

6. Geben Sie den folgenden Befehl ein, um mit dem Anmelden bei Ihrem Azure-Abonnement zu beginnen, und ersetzen Sie "[SubscriptionID]" durch Ihre Azure-Abonnement-ID:

   Add-AzAccount -SubscriptionID <SubscriptionID>
   

7. Folgen Sie den Anweisungen, um den Anmeldevorgang bei Ihrem Azure-Abonnement abzuschließen.

8. Öffnen Sie auf der Reparatur-VM ein Windows PowerShell ISE-Fenster mit erhöhten Rechten, und erweitern Sie den Skriptbereich (oben).

9. Fügen Sie im PowerShell-ISE-Fenster mit erhöhten Rechten das folgende Skript in den leeren Skriptbereich ein. Ersetzen Sie "myVM" durch Ihre Quell-VM (fehlgeschlagen) und "myKeyVault" durch den Namen Ihres Schlüsseltresors.

       if ((Get-AzContext) -ne $Null)
   {
   
   $vmName = "MyVM"
   $vault = "myKeyVault"
   
   # Get the Secrets for all VM Drives from Azure Key Vault
   Get-AzKeyVaultSecret -VaultName $vault | where {($_.Tags.MachineName -eq $vmName) -and ($_.ContentType -match 'BEK')} `
       | Sort-Object -Property Created `
       | ft  Created, `
           @{Label="Content Type";Expression={$_.ContentType}}, `
           @{Label ="Volume"; Expression = {$_.Tags.VolumeLetter}}, `
           @{Label ="DiskEncryptionKeyFileName"; Expression = {$_.Tags.DiskEncryptionKeyFileName}}, `
           @{Label ="URL"; Expression = {$_.Id}}
   }
   else 
   {
       Write-Output "Please log in first with Add-AzAccount"
   }
   

10. Wählen Sie "Skript ausführen" aus, um das Skript auszuführen.

11. Suchen Sie in der Ausgabe nach dem Wert unter DiskEncryptionKeyFileName für den Namen der BEK-Datei.

    Im folgenden Beispiel wird der BEK-Dateiname (geheimer Name + ". BEK" Dateierweiterung) ist AB4FE364-4E51-4034-8E09-0087C3D51C18. BEK. Notieren Sie diesen Wert, da er im nächsten Schritt verwendet wird. (Wenn zwei duplizierte Volumes angezeigt werden, ist das Volume mit dem neueren Zeitstempel die aktuelle BEK-Datei, die von der Reparatur-VM verwendet wird.)

    

12. Wenn der Inhaltstypwert in der Ausgabe beschriftet ist, wie im obigen Beispiel gezeigt, wechseln Sie zum Herunterladen und Entpacken der BEK. Wenn der Inhaltstypwert in der Ausgabe einfach BEK ist, wie im folgenden Beispiel, wechseln Sie zum nächsten Abschnitt, um die BEK auf die Reparatur-VM herunterzuladen.

    

Laden Sie die BEK auf die Reparatur-VM herunter.

1. Erstellen Sie auf der Reparatur-VM einen Ordner namens "BEK" (ohne Anführungszeichen) im Stammverzeichnis des C-Volumes.

2. Kopieren Sie das folgende Beispielskript, und fügen Sie es in einen leeren PowerShell ISE-Skriptbereich ein.

   Notiz

   Ersetzen Sie die Werte für "$vault" und "$bek" durch die Werte für Ihre Umgebung. Verwenden Sie für den wert $bek den geheimen Namen, den Sie in der letzten Prozedur erhalten haben. (Der geheime Name ist der BEK-Dateiname ohne die Dateinamenerweiterung ".bek".)

   $vault = "myKeyVault"
   $bek = "EF7B2F5A-50C6-4637-0001-7F599C12F85C"
   $keyVaultSecret = Get-AzKeyVaultSecret -VaultName $vault -Name $bek
   $bstr = [Runtime.InteropServices.Marshal]::SecureStringToBSTR($keyVaultSecret.SecretValue)
   $bekSecretBase64 = [Runtime.InteropServices.Marshal]::PtrToStringAuto($bstr)
   $bekFileBytes = [Convert]::FromBase64String($bekSecretbase64)
   $path = "C:\BEK\DiskEncryptionKeyFileName.BEK"
   [System.IO.File]::WriteAllBytes($path,$bekFileBytes)
   

3. Wählen Sie im PowerShell-ISE-Fenster "Skript ausführen" aus. Wenn das Skript erfolgreich ausgeführt wird, gibt es keine Ausgabe- oder Abschlussmeldung. Die neue Datei wird jedoch im Ordner "C:\BEK " erstellt. (Die C:\BEK-Ordner muss bereits vorhanden sein.)

4. Wechseln Sie zu "Überprüfen", ob das Skript erfolgreich abgeschlossen wurde.

Herunterladen und Entpacken der BEK

1. Erstellen Sie auf der Reparatur-VM einen Ordner namens "BEK" (ohne Anführungszeichen) im Stammverzeichnis des C-Volumes.

2. Notieren Sie die folgenden Werte im Editor. Sie werden aufgefordert, sie anzugeben, wenn das Skript ausgeführt wird.

   • secretUrl. Dies ist die URL des geheimen Schlüssels, der im Schlüsseltresor gespeichert ist. Eine gültige geheime URL verwendet das folgende Format: <<https://[key> Tresorname].vault.azure.net/secrets/[BEK Name]/[Version ID]>

     Um diesen Wert im Azure-Portal zu finden, navigieren Sie zum Blatt "Geheime Schlüssel" im Schlüsseltresor. Wählen Sie den BEK-Namen aus, der im vorherigen Schritt ermittelt wurde. Rufen Sie den BEK-Dateinamen ab. Wählen Sie den aktuellen Versionsbezeichner aus, und lesen Sie dann die URL des geheimen Bezeichners unter "Eigenschaften". (Sie können diese URL in die Zwischenablage kopieren.)

     

   • keyVaultResourceGroup. Die Ressourcengruppe des Schlüsseltresors.

   • kekUrl. Dies ist die URL des Schlüssels, der zum Schutz der BEK verwendet wird. Eine gültige Kek-URL verwendet das folgende Format: <<https://[key> Tresorname].vault.azure.net/keys/[Schlüsselname]/[Version-ID]>

     Sie können diesen Wert im Azure-Portal abrufen, indem Sie zum Schlüsselblatt im Schlüsseltresor navigieren, den Namen des Schlüssels auswählen, der als KEK verwendet wird, den aktuellen Versionsbezeichner auswählen und dann die Schlüsselbezeichner-URL unter "Eigenschaften" lesen. (Sie können diese URL in die Zwischenablage kopieren.)

   • secretFilePath. Dies ist der vollständige Pfadname für den Speicherort, in dem die BEK-Datei gespeichert werden soll. Wenn der BEK-Dateiname beispielsweise AB4FE364-4E51-4034-8E06-0087C3D51C18 ist . BEK können Sie C:\BEK\AB4FE364-4E51-4034-8E06-0087C3D51C18 eingeben . BEK. (Die C:\BEK-Ordner muss bereits vorhanden sein.)

3. Navigieren Sie zur folgenden Seite , um das Skript herunterzuladen, das zum Generieren der BEK-Datei zum Entsperren des verschlüsselten Datenträgers verwendet wird.

4. Wählen Sie auf der Seite "Raw" aus.

5. Kopieren Und einfügen Sie den Inhalt des Skripts in einen leeren Skriptbereich in einem PowerShell-ISE-Fenster mit erhöhten Rechten in der Reparatur-VM.

6. Wählen Sie "Skript ausführen" aus.

7. Wenn Sie dazu aufgefordert werden, geben Sie die Werte an, die Sie aufgezeichnet haben, bevor Sie das Skript ausgeführt haben. Wenn Sie von einer Nachricht mit nicht vertrauenswürdigen Repositorys aufgefordert werden, wählen Sie "Ja" für "Alle" aus. Wenn das Skript erfolgreich ausgeführt wird, wird eine neue Datei im Ordner "C:\BEK " erstellt. (Dieser Ordner muss bereits vorhanden sein.)

Überprüfen, ob das Skript erfolgreich ausgeführt wurde

1. Navigieren Sie auf Ihrem lokalen Computer zum Ordner "C:\BEK ", und suchen Sie die neue Ausgabedatei.

2. Öffnen Sie die Datei im Editor. Wenn das Skript ordnungsgemäß ausgeführt wurde, finden Sie den Ausdruck BitLocker Extension Key Protector in der obersten Zeile der Datei, wenn Sie nach rechts scrollen.

   

Entsperren des angefügten Datenträgers

Jetzt können Sie den verschlüsselten Datenträger entsperren.

1. Auf der Reparatur-VM können Sie in der Datenträgerverwaltung den angefügten verschlüsselten Datenträger online schalten, wenn er noch nicht online ist. Notieren Sie sich den Laufwerkbuchstaben des verschlüsselten BitLocker-Volumes.

2. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein.

   Notiz

   Ersetzen Sie in diesem Befehl "<VERSCHLÜSSELTES LAUFWERKBUCHSTABEN>" durch den Buchstaben des verschlüsselten Volumes und "<. BEK FILE PATH>" mit dem vollständigen Pfad zur neu erstellten BEK-Datei im Ordner "C:\BEK".

   manage-bde -unlock <ENCRYPTED DRIVE LETTER>: -RecoveryKey <.BEK FILE PATH>
   

   Wenn das verschlüsselte Laufwerk beispielsweise F ist und der BEK-Dateiname "DiskEncryptionKeyFileName.BEK" lautet, führen Sie den folgenden Befehl aus:

   manage-bde -unlock F: -RecoveryKey C:\BEK\DiskEncryptionKeyFileName.BEK
   

   Wenn das verschlüsselte Laufwerk F und der BEK-Dateiname "EF7B2F5A-50C6-4637-9F13-7F599C12F85C lautet. BEK", würden Sie den folgenden Befehl ausführen:

   manage-bde -unlock F: -RecoveryKey C:\BEK\EF7B2F5A-50C6-4637-9F13-7F599C12F85C.BEK
   

   Die Ausgabe wird wie im folgenden Beispiel angezeigt:

   The file "C:\BEK\0D44E996-4BF3-4EB0-B990-C43C250614A4.BEK" successfully unlocked volume F:.
   

3. Nachdem Sie nun auf das Volume zugreifen können, können Sie die Problembehandlung und Entschärfung nach Bedarf ausführen, z. B. durch Lesen von Protokollen oder Ausführen eines Skripts.

   Wichtig

   Der Entsperrungsprozess bietet Ihnen Zugriff auf den Datenträger, entschlüsselt jedoch nicht den Datenträger. Der Datenträger bleibt nach der Entsperrung verschlüsselt. Wenn Sie den Datenträger entschlüsseln müssen, verwenden Sie den Befehl manage-bde <volume> -off, um den Entschlüsselungsprozess zu starten und den Status des Manage-bde-Laufwerks <> zu überprüfen, um den Fortschritt der Entschlüsselung zu überprüfen.

4. Wenn Reparaturen abgeschlossen sind und der Datenträger verwaltet wird, können Sie mit dem Ersetzen des Betriebssystemdatenträgers der Quell-VM (verwaltete Datenträger) fortfahren. Wenn der Datenträger stattdessen nicht verwaltet wird, können Sie die hier beschriebenen CLI-basierten Schritte verwenden: Ersetzen Des Betriebssystemdatenträgers auf der Quell-VM

Ersetzen des Betriebssystemdatenträgers der Quell-VM (verwaltete Datenträger)

1. Öffnen Sie nach der Reparatur des Datenträgers das Blatt "Datenträger" für die Reparatur-VM im Azure-Portal. Trennen Sie die Kopie des Quell-VM-Betriebssystemdatenträgers. Suchen Sie dazu die Zeile für den zugeordneten Datenträgernamen unter "Datenträger", wählen Sie auf der rechten Seite dieser Zeile das "X" aus, und wählen Sie dann "Speichern" aus.

   

2. Navigieren Sie im Azure-Portal zum Quellcomputer (beschädigt), und öffnen Sie das Blatt "Datenträger". Wählen Sie dann swap os disk to replace the existing os disk with the one that you repaired.

   

3. Wählen Sie den neuen Datenträger aus, den Sie repariert haben, und geben Sie dann den Namen der VM ein, um die Änderung zu überprüfen. Wird der Datenträger in der Liste nicht angezeigt, warten Sie 10 bis 15 Minuten, nachdem Sie den Datenträger von der Problembehebungs-VM getrennt haben.

4. Wählen Sie OK aus.

Nächste Schritte

Wenn Probleme beim Herstellen einer Verbindung mit Ihrer VM auftreten, helfen Ihnen die Informationen unter Behandeln von Problemen bei Remotedesktopverbindungen mit einem virtuellen Azure-Computer weiter. Bei Problemen mit dem Zugriff auf Anwendungen, die auf Ihrer VM ausgeführt werden, lesen Sie den Artikel Beheben von Anwendungskonnektivitätsproblemen auf einem virtuellen Windows-Computer.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.