Share via

Desbloqueo de un disco cifrado para la reparación sin conexión

  • Artículo

En este artículo se describe cómo desbloquear un disco del sistema operativo cifrado en una máquina virtual independiente (denominada máquina virtual de reparación) para habilitar la corrección sin conexión y la solución de problemas en ese disco.

Síntomas

Si va a reparar el disco del sistema operativo de una máquina virtual Windows sin conexión, es posible que el disco aparezca bloqueado cuando esté conectado a la máquina virtual de reparación, como se muestra a continuación. En este caso, Azure Disk Encryption (ADE) está habilitado en el disco. No podrá realizar ninguna mitigación en ese disco desde una máquina virtual de reparación hasta que se desbloquee el disco.

Captura de pantalla de Mi P C en la que se muestra el volumen G con un icono de bloqueo.

Información previa

Algunos escenarios de solución de problemas requieren que realice la reparación sin conexión de un disco virtual en Azure. Por ejemplo, si no se puede acceder a una máquina virtual Windows, muestra errores de disco o no se puede iniciar, puede ejecutar los pasos de solución de problemas en el disco del sistema operativo adjuntándolo a una máquina virtual de reparación independiente (también denominada máquina virtual de recuperación o máquina virtual de rescate).

Sin embargo, si el disco se cifra mediante ADE, el disco permanecerá bloqueado e inaccesible mientras esté conectado a la máquina virtual de reparación hasta que desbloquee el disco. Para desbloquear el disco, debe usar la misma clave de cifrado de BitLocker (BEK) que se usó originalmente para cifrarlo. Esta BEK (y, opcionalmente, una clave de cifrado de claves [KEK] que cifra o "encapsula" la BEK) se almacenará en un almacén de claves de Azure administrado por su organización.

Objetivo

En los procedimientos de este artículo se describen los métodos que puede usar para conectar un disco del sistema operativo cifrado a una máquina virtual de reparación y, a continuación, desbloquear ese disco. Una vez desbloqueado el disco, puede repararlo. Como último paso, puede reemplazar el disco del sistema operativo en la máquina virtual original por esta versión recién reparada.

Preparación

Realice los pasos siguientes antes de conectar el disco del sistema operativo con errores a una máquina virtual de reparación:

  1. Confirme que ADE está habilitado en el disco.
  2. Determine si el disco del sistema operativo usa ADE versión 1 (cifrado de doble paso) o ADE versión 2 (cifrado de paso único).
  3. Determine si el disco del sistema operativo está administrado o no administrado.
  4. Seleccione el método para conectar el disco a una máquina virtual de reparación y desbloquear el disco.

Confirmación de que ADE está habilitado en el disco

Puede realizar este paso en la Azure Portal, PowerShell o la interfaz de la línea de comandos de Azure (CLI de Azure).

Portal de Azure

Vea la hoja Información general de la máquina virtual con errores en el Azure Portal. Debajo de Disco, el cifrado de disco de Azure aparecerá como Habilitado o No habilitado, como se muestra en la captura de pantalla siguiente.

Captura de pantalla de la hoja de información general de una V M en Azure Portal en la que se muestra que A D E está habilitado en el disco.

PowerShell

Puede usar el Get-AzVmDiskEncryptionStatus cmdlet para determinar si el sistema operativo o los volúmenes de datos de una máquina virtual se cifran mediante ADE. La salida de ejemplo siguiente indica que el cifrado ADE está habilitado en el volumen del sistema operativo:

PS /home/me> Get-AzVmDiskEncryptionStatus -ResourceGroupName "MyRg01" -VMName "MyVm01" 
OsVolumeEncrypted          : Encrypted
DataVolumesEncrypted       : NoDiskFound
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Extension status not available on the VM

Para obtener más información sobre el Get-AzureRmDiskEncryptionStatus cmdlet, vea Get-AzVMDiskEncryptionStatus (Az.Compute).

Azure CLI

Puede usar el comando en la az vm encryption show CLI de Azure con la consulta disks[].encryptionSettings[].enabled anexada para determinar si ADE está habilitado en los discos de una máquina virtual. La salida siguiente indica que el cifrado de ADE está habilitado.

az vm encryption show --name MyVM --resource-group MyResourceGroup --query "disks[].encryptionSettings[].enabled"

[
  true
]

Para obtener más información sobre el az vm encryption show comando, consulte az vm encryption show.

Nota:

Reparación sin conexión para discos sin cifrar

Si determina que ADE no está habilitado en el disco, consulte el artículo siguiente para obtener instrucciones sobre cómo conectar un disco a una máquina virtual de reparación: Solución de problemas de una máquina virtual Windows mediante la conexión del disco del sistema operativo a una máquina virtual de recuperación mediante el Azure Portal

Determine si el disco del sistema operativo usa ADE versión 1 (cifrado de doble paso) o ADE versión 2 (cifrado de paso único)

Para obtener información sobre el número de versión de ADE en el Azure Portal, abra las propiedades de la máquina virtual y, a continuación, haga clic en Extensiones para abrir la hoja Extensiones. En la hoja Extensiones , vea el número de versión asignado a AzureDiskEncryption. Si el número de versión es 1, el disco usa el cifrado de doble paso. Si el número de versión es 2 o una versión posterior, el disco usa el cifrado de paso único.

Captura de pantalla de la hoja extensiones que muestra que el cifrado de disco de Azure es la versión 2.

Si determina que el disco usa la versión 1 de ADE (cifrado de doble paso), puede ir a Resolución 3: Método manual para desbloquear un disco cifrado en una máquina virtual de reparación.

Determinar si el disco del sistema operativo está administrado o no administrado

Si no sabe si el disco del sistema operativo está administrado o no administrado, consulte Determinar si el disco del sistema operativo está administrado o no administrado.

Si sabe que el disco del sistema operativo es un disco no administrado, vaya a Resolución 3: Método manual para desbloquear un disco cifrado en una máquina virtual de reparación.

Seleccione el método para conectar el disco a una máquina virtual de reparación y desbloquear el disco.

Debe elegir uno de los tres métodos para conectar el disco a una máquina virtual de reparación y desbloquear el disco:

Resolución n.º 1: método automatizado para desbloquear un disco cifrado en una máquina virtual de reparación

Este método se basa en comandos az vm repair para crear automáticamente una máquina virtual de reparación, conectar el disco del sistema operativo con errores y desbloquear el disco si está cifrado. Solo funciona para discos administrados cifrados de paso único y requiere el uso de la dirección IP pública para la máquina virtual de reparación. Este método desbloquea el disco cifrado independientemente de si la clave de cifrado de BitLocker (BEK) está desencapsada o encapsulada mediante una clave de cifrado de claves (KEK).

Para reparar la máquina virtual mediante este método automatizado, consulte Reparación de una máquina virtual Windows mediante los comandos de reparación de máquinas virtuales de Azure.

Nota:

Si se produce un error en la solución de problemas automática, continúe con el método resolución 2: semiautomática para desbloquear un disco cifrado en una máquina virtual de reparación.

Resolución n.º 2: método semiauto automatizado para desbloquear un disco cifrado en una máquina virtual de reparación

La resolución semiautonómata desbloquea un disco administrado cifrado de paso único sin necesidad de una dirección IP pública para la máquina virtual de reparación.

Mediante este procedimiento, se crea manualmente una máquina virtual que tiene conectado el disco del sistema operativo de la máquina virtual de origen (con error). Al conectar el disco cifrado en el momento de crear la máquina virtual, la máquina virtual captura automáticamente el BEK del almacén de claves de Azure y lo almacena en un volumen BEK. A continuación, use una breve serie de pasos para acceder a la BEK y desbloquear el disco cifrado. Durante este proceso, la BEK se desempaqueta automáticamente si es necesario.

  1. En Azure Portal, tome una instantánea del disco del sistema operativo cifrado en la máquina virtual de origen (con error).

  2. Create un disco de esa instantánea.

    Captura de pantalla de la hoja de información general de una instantánea con la opción Crear disco resaltada.

    Para el nuevo disco, elija la misma ubicación y zona de disponibilidad que se asignaron a la máquina virtual de origen. Tenga en cuenta que también tendrá que duplicar esta misma configuración al crear la máquina virtual de reparación en el paso siguiente.

  3. Create una máquina virtual basada en Windows Server 2016 Datacenter para usarla como máquina virtual de reparación. Asegúrese de asignar la máquina virtual a la misma región y zona de disponibilidad que se usa para el nuevo disco que creó en el paso 2.

  4. En la página Discos del Create un asistente de máquina virtual, adjunte como disco de datos el nuevo disco que acaba de crear a partir de la instantánea.

    Captura de pantalla de la página Discos del Asistente para crear una máquina virtual, con un disco resaltado junto con la opción de adjuntar un disco existente.

    Importante

    Asegúrese de agregar el disco durante la creación de la máquina virtual. Solo durante la creación de la máquina virtual se detecta la configuración de cifrado. Esto permite agregar automáticamente un volumen que contiene la BEK.

  5. Una vez creada la máquina virtual de reparación, inicie sesión en la máquina virtual y abra Administración de discos (Diskmgmt.msc). En Administración de discos, busque el volumen BEK. De forma predeterminada, no se asigna ninguna letra de unidad a este volumen.

    Captura de pantalla de la administración de discos con el volumen de bek resaltado

  6. Para asignar una letra de unidad al volumen BEK, haga clic con el botón derecho en el volumen BEK y, a continuación, seleccione Cambiar letra de unidad y rutas de acceso.

    Captura de pantalla del menú contextual del volumen bek, con la opción cambiar la letra y las rutas de acceso de la unidad resaltada

  7. Seleccione Agregar para asignar una letra de unidad al volumen BEK. En este proceso, la letra predeterminada es con más frecuencia H. Seleccione Aceptar.

    Cuadro de diálogo Agregar letra de unidad o ruta de acceso, con la opción resaltada para asignar la siguiente letra de unidad.

  8. En Explorador de archivos, seleccione Este equipo en el panel izquierdo. Ahora verá el volumen BEK en la lista. Además, observe el volumen marcado por un icono de bloqueo. Este es el disco cifrado que adjuntó al crear la máquina virtual. (En el ejemplo siguiente, al disco cifrado se le asigna la letra de unidad G).

    Captura de pantalla de esta P C en Windows con un volumen bloqueado y un volumen bek

  9. Para desbloquear el disco cifrado, debe tener el nombre de archivo .bek en el volumen BEK. Sin embargo, de forma predeterminada, los archivos del volumen BEK están ocultos. En un símbolo del sistema, escriba el siguiente comando para mostrar los archivos ocultos:

    dir <DRIVE LETTER ASSIGNED TO BEK VOLUME>: /a:h /b /s

    Por ejemplo, si la letra de unidad asignada al volumen BEK es H, escriba el siguiente comando:

    dir H: /a:h /b /s

    Debería ver una salida similar a la siguiente:

    H:\66ABF036-E331-4B67-A667-D1A8B47B4DAB.BEK
H:\System Volume Information

    La primera entrada es el nombre de ruta de acceso del archivo BEK. Usará el nombre de ruta de acceso completo en el paso siguiente.

  10. En un símbolo del sistema, escriba el siguiente comando:

    manage-bde -unlock <ENCRYPTED DRIVE LETTER>: -RecoveryKey <.BEK FILE PATH>

    Por ejemplo, si G es la unidad cifrada y el archivo BEK es el mismo que el que aparece en el ejemplo anterior, escriba lo siguiente:

    manage-bde -unlock G: -RecoveryKey H:\66ABF036-E331-4B67-A667-D1A8B47B4DAB.BEK

    Verá un mensaje que indica que el archivo BEK desbloqueó correctamente el volumen especificado. Y en Explorador de archivos, puede ver que la unidad ya no está bloqueada.

    Captura de pantalla de esta P C con una unidad marcada por un icono de un candado abierto.

  11. Ahora que puede acceder al volumen, puede completar la solución de problemas y mitigaciones según sea necesario, por ejemplo, mediante la lectura de registros o la ejecución de un script.

  12. Después de reparar el disco, use el procedimiento siguiente para reemplazar el disco del sistema operativo de la máquina virtual de origen por el disco recién reparado.

Resolución n.º 3: método manual para desbloquear un disco cifrado en una máquina virtual de reparación

Puede desbloquear el disco manualmente siguiendo este procedimiento si tiene que desbloquear un disco cifrado con doble pase (versión 1 de ADE) o un disco no administrado, o si se produce un error en los demás métodos.

Create la máquina virtual de reparación y conecte el disco del sistema operativo de la máquina virtual de origen.

  1. Si el disco cifrado del sistema operativo de la máquina virtual de origen es un disco administrado, siga los pasos del 1 al 4 del método 2 para adjuntar una copia del disco bloqueado a una máquina virtual de reparación.

    Si el proceso de creación de una nueva máquina virtual de reparación que tiene el disco cifrado conectado se bloquea o produce un error (por ejemplo, devuelve un mensaje que indica que "contiene la configuración de cifrado y, por lo tanto, no se puede usar como disco de datos"), primero puede crear la máquina virtual sin adjuntar el disco cifrado. Una vez creada la máquina virtual de reparación, conecte el disco cifrado a la máquina virtual a través de la Azure Portal.

  2. Si el disco cifrado del sistema operativo de la máquina virtual de origen es un disco no administrado, consulte Asociación de un disco no administrado a una máquina virtual para la reparación sin conexión.

Instalación del módulo Az PowerShell en la máquina virtual de reparación

El método de resolución manual para desbloquear un disco cifrado sin conexión se basa en el módulo Az de PowerShell. Por lo tanto, tiene que instalar este módulo en la máquina virtual de reparación.

  1. Conéctese a la máquina virtual de reparación a través de RDP.

  2. En la máquina virtual de reparación, en Administrador del servidor, seleccione Servidor local y, a continuación, desactive La configuración de seguridad mejorada de IE para administradores.

    Captura de pantalla del cuadro de diálogo para la configuración de seguridad mejorada de Internet Explorer, con la configuración desactivada para los administradores.

    Captura de pantalla del administrador del servidor que muestra la configuración de seguridad mejorada de Internet Explorer desactivada.

  3. En la máquina virtual de reparación, abra una ventana de PowerShell con privilegios elevados.

  4. Escriba el siguiente comando para establecer el protocolo de seguridad de las API HTTP en TLS 1.2 para la sesión actual.

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    Nota:

    El protocolo de seguridad se revertirá al valor predeterminado después de cerrar la sesión actual.

  5. Descargue la versión más reciente del paquete NuGet:

    Install-PackageProvider -Name "Nuget" -Force

  6. Cuando se devuelva el mensaje, instale la versión más reciente del paquete PowerShellGet.

    Install-Module -Name PowerShellGet -Force

  7. Cuando se devuelva el mensaje, cierre la ventana de PowerShell. A continuación, abra una nueva ventana de PowerShell con privilegios elevados para iniciar una nueva sesión de PowerShell.

  8. En el símbolo del sistema de PowerShell, instale la versión más reciente del módulo Azure Az:

    Install-Module -Name Az -Scope AllUsers -Repository PSGallery -Force

  9. Cuando se devuelva el mensaje, instale el paquete Az.Account 1.9.4:

    Install-Module -Name Az.Accounts -Scope AllUsers -RequiredVersion "1.9.4" -Repository PSGallery -Force

Recuperar el nombre de archivo BEK

  1. En el Azure Portal, vaya al almacén de claves que se usó para cifrar la máquina virtual de origen. Si no conoce el nombre del almacén de claves, escriba el siguiente comando en el símbolo del sistema de Azure Cloud Shell y busque el valor junto a "sourceVault" en la salida:

    az vm encryption show --name MyVM --resource-group MyResourceGroup

  2. En el menú de la izquierda, seleccione Directivas de acceso.

  3. En las directivas de acceso del almacén de claves, asegúrese de que a la cuenta de usuario que usa para iniciar sesión en la suscripción de Azure se le conceden los siguientes permisos: Operaciones de administración de claves: Get, List, Update, Create Cryptographic Operations: Unwrap key Secret Permissions: Get, List, Set

  4. Vuelva a la máquina virtual de reparación y a la ventana de PowerShell con privilegios elevados.

  5. Escriba el siguiente comando para establecer el protocolo de seguridad de las API HTTP en TLS 1.2 para la sesión actual.

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

  6. Escriba el siguiente comando para comenzar el proceso de inicio de sesión en la suscripción de Azure y reemplace "[SubscriptionID]" por el identificador de suscripción de Azure:

    Add-AzAccount -SubscriptionID <SubscriptionID>

  7. Siga las indicaciones para completar el proceso de inicio de sesión en la suscripción de Azure.

  8. En la máquina virtual de reparación, abra una ventana Windows PowerShell ISE con privilegios elevados y expanda el panel script (superior).

  9. En la ventana ise de PowerShell con privilegios elevados, pegue el siguiente script en el panel de scripts vacío. Reemplace "myVM" por la máquina virtual de origen (con error) y "myKeyVault" por el nombre del almacén de claves.

        if ((Get-AzContext) -ne $Null)
{

$vmName = "MyVM"
$vault = "myKeyVault"

# Get the Secrets for all VM Drives from Azure Key Vault
Get-AzKeyVaultSecret -VaultName $vault | where {($_.Tags.MachineName -eq $vmName) -and ($_.ContentType -match 'BEK')} `
    | Sort-Object -Property Created `
    | ft  Created, `
        @{Label="Content Type";Expression={$_.ContentType}}, `
        @{Label ="Volume"; Expression = {$_.Tags.VolumeLetter}}, `
        @{Label ="DiskEncryptionKeyFileName"; Expression = {$_.Tags.DiskEncryptionKeyFileName}}, `
        @{Label ="URL"; Expression = {$_.Id}}
}
else 
{
    Write-Output "Please log in first with Add-AzAccount"
}

  10. Seleccione Ejecutar script para ejecutar el script.

  11. En la salida, busque el valor debajo de DiskEncryptionKeyFileName para el nombre del archivo BEK.

    En la salida de ejemplo siguiente, el nombre de archivo BEK (nombre de secreto + ". La extensión de archivo BEK) es AB4FE364-4E51-4034-8E09-0087C3D51C18. BEK. Registre este valor porque se usará en el paso siguiente. (Si ve dos volúmenes duplicados, el volumen que tiene la marca de tiempo más reciente es el archivo BEK actual que usa la máquina virtual de reparación).

    Captura de pantalla de la salida de PowerShell en una tabla que muestra el nombre del archivo de clave de cifrado de disco para una bek encapsulada.

  12. Si el valor De tipo de contenido de la salida es Encapsulado BEK, como en el ejemplo anterior, vaya a Descargar y desencapsular la BEK. Si el valor de Tipo de contenido de la salida es simplemente BEK, como en el ejemplo siguiente, vaya a la sección siguiente para descargar el BEK en la máquina virtual de reparación.

    Captura de pantalla de la salida de PowerShell en una tabla que muestra el nombre del archivo de clave de cifrado de disco para un tipo de contenido de bek.

Descarga del BEK en la máquina virtual de reparación

  1. En la máquina virtual de reparación, cree una carpeta denominada "BEK" (sin comillas) en la raíz del volumen C.

  2. Copie y pegue el siguiente script de ejemplo en un panel de scripts de PowerShell ISE vacío.

    Nota:

    Reemplace los valores de "$vault" y "$bek" por los valores del entorno. Para el valor $bek, use el nombre del secreto que obtuvo en el último procedimiento. (El nombre del secreto es el nombre de archivo BEK sin la extensión de nombre de archivo ".bek").

    $vault = "myKeyVault"
$bek = "EF7B2F5A-50C6-4637-0001-7F599C12F85C"
$keyVaultSecret = Get-AzKeyVaultSecret -VaultName $vault -Name $bek
$bstr = [Runtime.InteropServices.Marshal]::SecureStringToBSTR($keyVaultSecret.SecretValue)
$bekSecretBase64 = [Runtime.InteropServices.Marshal]::PtrToStringAuto($bstr)
$bekFileBytes = [Convert]::FromBase64String($bekSecretbase64)
$path = "C:\BEK\DiskEncryptionKeyFileName.BEK"
[System.IO.File]::WriteAllBytes($path,$bekFileBytes)

  3. En la ventana de PowerShell ISE, seleccione Ejecutar script. Si el script se ejecuta correctamente, no habrá ningún mensaje de salida o finalización. Sin embargo, se creará un nuevo archivo en la carpeta C:\BEK . (La carpeta C:\BEK ya debe existir).

  4. Vaya a Comprobar que el script se ha completado correctamente.

Descarga y desencapsulación de la BEK

  1. En la máquina virtual de reparación, cree una carpeta denominada "BEK" (sin comillas) en la raíz del volumen C.

  2. Registre los siguientes valores en el Bloc de notas. Se le pedirá que los proporcione cuando se ejecute el script.

    • secretUrl. Esta es la dirección URL del secreto que se almacena en el almacén de claves. Una dirección URL de secreto válida usa el siguiente formato: <<https://[key> nombre del almacén].vault.azure.net/secrets/[nombre BEK]/[id. de versión]>

      Para encontrar este valor en el Azure Portal, vaya a la hoja Secretos del almacén de claves. Seleccione el nombre de BEK que se determinó en el paso anterior y recupere el nombre de archivo BEK. Seleccione el identificador de versión actual y, a continuación, lea la dirección URL del identificador secreto debajo de Propiedades. (Puede copiar esta dirección URL en el Portapapeles).

      Captura de pantalla de las propiedades del secreto en Azure Portal, con el identificador de secreto U R L.

    • keyVaultResourceGroup. Grupo de recursos del almacén de claves.

    • kekUrl. Esta es la dirección URL de la clave que se usa para proteger la BEK. Una dirección URL de kek válida usa el siguiente formato: <<https://[key> nombre del almacén].vault.azure.net/keys/[nombre de clave]/[id. de versión]>

      Para obtener este valor en el Azure Portal, vaya a la hoja Claves del almacén de claves, seleccione el nombre de la clave que se usa como KEK, seleccione el identificador de versión actual y, a continuación, lea la dirección URL del identificador de clave debajo de Propiedades. (Puede copiar esta dirección URL en el Portapapeles).

    • secretFilePath. Este es el nombre de ruta de acceso completo de la ubicación en la que se almacenará el archivo BEK. Por ejemplo, si el nombre de archivo BEK es AB4FE364-4E51-4034-8E06-0087C3D51C18. BEK, puede escribir C:\BEK\AB4FE364-4E51-4034-8E06-0087C3D51C18. BEK. (La carpeta C:\BEK ya debe existir).

  3. Vaya a la página siguiente para descargar el script que se usa para generar el archivo BEK para desbloquear el disco cifrado.

  4. En la página, seleccione Sin procesar.

  5. Copie y pegue el contenido del script en un panel de scripts vacío en una ventana ise de PowerShell con privilegios elevados en la máquina virtual de reparación.

  6. Seleccione Ejecutar script.

  7. Cuando se le solicite, proporcione los valores que registró antes de ejecutar el script. Si se le solicita un mensaje de repositorio que no es de confianza, seleccione Sí a todo. Si el script se ejecuta correctamente, se creará un nuevo archivo en la carpeta C:\BEK . (Esta carpeta ya debe existir).

Comprobación de que el script se ejecutó correctamente

  1. Vaya a la carpeta C:\BEK del equipo local y busque el nuevo archivo de salida.

  2. Abra el archivo en el Bloc de notas. Si el script se ejecutó correctamente, encontrará la frase Protector de clave de extensión de BitLocker en la línea superior del archivo si se desplaza a la derecha.

    Captura de pantalla de un archivo de texto abierto en el Bloc de notas, con las palabras Protector de clave de extensión bitlocker resaltado.

Desbloqueo del disco conectado

Ahora está listo para desbloquear el disco cifrado.

  1. En la máquina virtual de reparación, en Administración de discos, ponga el disco cifrado conectado en línea si aún no está en línea. Tenga en cuenta la letra de unidad del volumen cifrado de BitLocker.

  2. En un símbolo del sistema, escriba el siguiente comando.

    Nota:

    En este comando, reemplace "<ENCRYPTED DRIVE LETTER>" por la letra del volumen cifrado y "<. BEK FILE PATH>" con la ruta de acceso completa al archivo BEK recién creado en la carpeta C:\BEK.

    manage-bde -unlock <ENCRYPTED DRIVE LETTER>: -RecoveryKey <.BEK FILE PATH>

    Por ejemplo, si la unidad cifrada es F y el nombre de archivo BEK es "DiskEncryptionKeyFileName.BEK", ejecutaría el siguiente comando:

    manage-bde -unlock F: -RecoveryKey C:\BEK\DiskEncryptionKeyFileName.BEK

    Si la unidad cifrada es F y el nombre de archivo BEK es "EF7B2F5A-50C6-4637-9F13-7F599C12F85C. BEK", ejecutaría el siguiente comando:

    manage-bde -unlock F: -RecoveryKey C:\BEK\EF7B2F5A-50C6-4637-9F13-7F599C12F85C.BEK

    Verá una salida similar a la del ejemplo siguiente:

    The file "C:\BEK\0D44E996-4BF3-4EB0-B990-C43C250614A4.BEK" successfully unlocked volume F:.

  3. Ahora que puede acceder al volumen, puede realizar la solución de problemas y la mitigación según sea necesario, por ejemplo, mediante la lectura de registros o la ejecución de un script.

    Importante

    El proceso de desbloqueo le proporciona acceso al disco, pero no descifra el disco. El disco permanece cifrado después de desbloquearlo. Si necesita descifrar el disco, use el comando manage-bde <volume> -off para iniciar el proceso de descifrado y manage-bde <drive> -status para comprobar el progreso del descifrado.

  4. Cuando se completen las reparaciones y se administre el disco, puede continuar con Reemplazar el disco del sistema operativo de la máquina virtual de origen (discos administrados). Si en su lugar el disco no está administrado, puede usar los pasos basados en la CLI que se describen aquí: Reemplazar el disco del sistema operativo en la máquina virtual de origen.

Reemplazar el disco del sistema operativo de la máquina virtual de origen (discos administrados)

  1. Después de reparar el disco, abra la hoja Discos para la máquina virtual de reparación en el portal de Azure. Separe la copia del disco del sistema operativo de la máquina virtual de origen. Para ello, localice la fila correspondiente al nombre del disco asociado en Discos de datos, seleccione la "X" situada a la derecha de dicha fila y, a continuación, seleccione Guardar.

                                 Captura de pantalla de un disco de datos seleccionado en la hoja Disks del portal Azure, con el símbolo X resaltado junto a él.                                     

  2. En el Azure Portal, vaya a la máquina virtual de origen (interrumpida) y abra la hoja Discos. A continuación, seleccione Intercambiar disco del sistema operativo para reemplazar el disco del sistema operativo existente por el que ha reparado.

    Captura de pantalla de la hoja Discos, con la opción Intercambiar disco S del sistema operativo resaltada.

  3. Seleccione el nuevo disco que reparó y escriba el nombre de la máquina virtual para comprobar el cambio. Si no ve el disco en la lista, espere de 10 a 15 minutos después de separar el disco de la máquina virtual de solución de problemas.

  4. Seleccione Aceptar.

Pasos siguientes

Si tiene problemas para conectarse a su VM, consulte Solución de problemas de conexiones de Escritorio remoto a una VM de Azure. Si tiene problemas para acceder a las aplicaciones que se ejecutan en su VM, consulte Solución de problemas de conectividad de aplicaciones en una VM de Windows.

Ponte en contacto con nosotros para obtener ayuda

Si tiene preguntas o necesita ayuda, cree una solicitud de soporte o busque consejo en la comunidad de Azure. También puede enviar comentarios sobre el producto con los comentarios de la comunidad de Azure.