BitLocker-opstartfouten op een Azure-VM
In dit artikel worden BitLocker-fouten beschreven die kunnen optreden wanneer u een virtuele Windows-machine (VM) start in Microsoft Azure.
Symptoom
Een Windows-VM wordt niet gestart. Wanneer u de schermopnamen in het venster Diagnostische gegevens over opstarten controleert, ziet u een van de volgende foutberichten:
Sluit het USB-stuurprogramma met de BitLocker-sleutel aan
Je bent buitengesloten! Voer de herstelsleutel in om weer aan de slag te gaan (toetsenbordindeling: VS) De verkeerde aanmeldingsgegevens zijn te vaak ingevoerd, zodat uw pc is vergrendeld om uw privacy te beschermen. Als u de herstelsleutel wilt ophalen, gaat u naar https://windows.microsoft.com/recoverykeyfaq van een andere pc of mobiel apparaat. Als u dit nodig hebt, is de sleutel-id XXXXXXX. U kunt uw pc ook opnieuw instellen.
Voer het wachtwoord in om dit station te ontgrendelen [ ] Druk op de toets Invoegen om het wachtwoord te zien terwijl u typt.
Voer uw herstelsleutel in Laad uw herstelsleutel vanaf een USB-apparaat.
Oorzaak
Dit probleem kan optreden als de VM het BEK-bestand (BitLocker Recovery Key) niet kan vinden om de versleutelde schijf te ontsleutelen.
De versleutelde besturingssysteemschijf ontsleutelen
Tip
Als u een recente back-up van de VM hebt, kunt u proberen de VM te herstellen vanuit de back-up om het opstartprobleem op te lossen.
U kunt dit probleem oplossen door de vm te stoppen en de toewijzing ervan ongedaan te maken en deze vervolgens te starten. Deze bewerking dwingt de VM om het BEK-bestand op te halen uit de Azure Key Vault en vervolgens op de versleutelde schijf te plaatsen.
Als deze methode het probleem niet oplost, volgt u deze stappen om het BEK-bestand handmatig te herstellen:
Maak een momentopname van de besturingssysteemschijf van de betrokken VM als back-up. Zie Momentopname van een schijf maken voor meer informatie.
Koppel de besturingssysteemschijf aan een herstel-VM. Wanneer u een beheerde schijf koppelt, ontvangt u mogelijk het foutbericht 'bevat versleutelingsinstellingen en kan daarom niet worden gebruikt als een gegevensschijf'. Voer in dit geval het volgende script uit om opnieuw te proberen de schijf te koppelen:
$rgName = "myResourceGroup" $osDiskName = "ProblemOsDisk" # Set the EncryptionSettingsEnabled property to false, so you can attach the disk to the recovery VM. New-AzDiskUpdateConfig -EncryptionSettingsEnabled $false |Update-AzDisk -diskName $osDiskName -ResourceGroupName $rgName $recoveryVMName = "myRecoveryVM" $recoveryVMRG = "RecoveryVMRG" $OSDisk = Get-AzDisk -ResourceGroupName $rgName -DiskName $osDiskName; $vm = get-AzVM -ResourceGroupName $recoveryVMRG -Name $recoveryVMName Add-AzVMDataDisk -VM $vm -Name $osDiskName -ManagedDiskId $osDisk.Id -Caching None -Lun 3 -CreateOption Attach Update-AzVM -VM $vm -ResourceGroupName $recoveryVMRG
U kunt geen beheerde schijf koppelen aan een VM die is hersteld vanuit een blob-installatiekopieën.
Nadat de schijf is gekoppeld, maakt u een verbinding met extern bureaublad met de herstel-VM.
Installeer de Az PowerShell-module en Az.Account 1.9.4 in de herstel-VM.
Open een sessie met verhoogde Azure PowerShell (als administrator uitvoeren). Voer de volgende opdrachten uit om u aan te melden bij een Azure-abonnement:
Add-AzAccount -SubscriptionID [SubscriptionID]
Voer het volgende script uit om de naam van het BEK-bestand (geheime naam) te controleren:
$vmName = "myVM" $vault = "myKeyVault" Get-AzKeyVaultSecret -VaultName $vault | where {($_.Tags.MachineName -eq $vmName) -and ($_.ContentType -match 'BEK')} ` | Sort-Object -Property Created ` | ft Created, ` @{Label="Content Type";Expression={$_.ContentType}}, ` @{Label ="MachineName"; Expression = {$_.Tags.MachineName}}, ` @{Label ="Volume"; Expression = {$_.Tags.VolumeLetter}}, ` @{Label ="DiskEncryptionKeyFileName"; Expression = {$_.Tags.DiskEncryptionKeyFileName}}
Hieronder volgt een voorbeeld van de uitvoer. In dit geval gaan we ervan uit dat de bestandsnaam EF7B2F5A-50C6-4637-0001-7F599C12F85C is. BEK.
Created Content Type Volume MachineName DiskEncryptionKeyFileName ------- ------------ ------ ----------- ------------------------- 11/20/2020 7:41:56 AM BEK C:\ myVM EF7B2F5A-50C6-4637-0001-7F599C12F85C.BEK
Als u twee gedupliceerde volumes ziet, is het volume met de nieuwere tijdstempel het huidige BEK-bestand dat wordt gebruikt door de herstel-VM.
Als de waarde van inhoudstypeVerpaktE BEK is, gaat u naar de KEK-scenario's (Key Encryption Key).
Nu u de naam van het BEK-bestand voor het station hebt, moet u de secret-file-name maken. BEK-bestand om het station te ontgrendelen.
Download het BEK-bestand naar de herstelschijf. In het volgende voorbeeld wordt het BEK-bestand opgeslagen in de map C:\BEK. Zorg ervoor dat het
C:\BEK\
pad bestaat voordat u de scripts uitvoert.$vault = "myKeyVault" $bek = "EF7B2F5A-50C6-4637-0001-7F599C12F85C" $keyVaultSecret = Get-AzKeyVaultSecret -VaultName $vault -Name $bek $bstr = [Runtime.InteropServices.Marshal]::SecureStringToBSTR($keyVaultSecret.SecretValue) $bekSecretBase64 = [Runtime.InteropServices.Marshal]::PtrToStringAuto($bstr) $bekFileBytes = [Convert]::FromBase64String($bekSecretbase64) $path = "C:\BEK\DiskEncryptionKeyFileName.BEK" [System.IO.File]::WriteAllBytes($path,$bekFileBytes)
Voer de volgende opdracht uit om de gekoppelde schijf te ontgrendelen met behulp van het BEK-bestand.
manage-bde -unlock F: -RecoveryKey "C:\BEK\EF7B2F5A-50C6-4637-0001-7F599C12F85C.BEK"
In dit voorbeeld is de gekoppelde besturingssysteemschijf station F. Zorg ervoor dat u de juiste stationsletter gebruikt.
Nadat de schijf is ontgrendeld met behulp van de BEK-sleutel, ontkoppelt u de schijf van de herstel-VM en maakt u de VM opnieuw met behulp van deze nieuwe besturingssysteemschijf.
Opmerking
Het wisselen van besturingssysteemschijf is beschikbaar voor elke VM die is versleuteld met Single Pass ADE-versie, maar wordt niet ondersteund voor Dual Pass.
Als de nieuwe VM nog steeds niet normaal kan worden opgestart, voert u een van de volgende stappen uit nadat u het station hebt ontgrendeld:
- Onderbroken beveiliging om BitLocker tijdelijk uit te schakelen door het volgende uit te voeren:
manage-bde -protectors -disable F: -rc 0
- Het station volledig ontsleutelen. Voer hiervoor de volgende opdracht uit:
manage-bde -off F:
Scenario sleutelversleutelingssleutel (verpakte BEK)
Voer voor een scenario met sleutelversleutelingssleutels de volgende stappen uit:
Zorg ervoor dat voor het aangemelde gebruikersaccount de machtiging 'unwrapped' is vereist in het Key Vault Toegangsbeleid in de GEBRUIKER|Sleutelmachtigingen |Cryptografische bewerkingen |Sleutel uitpakken.
Sla het volgende script op in een .PS1-bestand:
Opmerking
De ADAL-assembly's (dll-bestanden) die in dit script worden gebruikt, zijn alleen beschikbaar in Az.Account 1.9.4 en de eerdere versies. Zie Az PowerShell-module installeren om de Az.Account-module te installeren.
#Set the Parameters for the script. If you have question about the Parameters, see the "KEK script parameters" section. param ( [Parameter(Mandatory=$true)] [string] $keyVaultName, [Parameter(Mandatory=$true)] [string] $kekName, [Parameter(Mandatory=$true)] [string] $secretName, [Parameter(Mandatory=$true)] [string] $bekFilePath, [Parameter(Mandatory=$true)] [string] $adTenant ) # Load ADAL Assemblies. If the ADAL Assemblies cannot be found, please see the "Install Az PowerShell module" section. $adal = "${env:ProgramFiles}\WindowsPowerShell\Modules\Az.Accounts\1.9.4\PreloadAssemblies\Microsoft.IdentityModel.Clients.ActiveDirectory.dll" $adalforms = "${env:ProgramFiles}\WindowsPowerShell\Modules\Az.Accounts\1.9.4\PreloadAssemblies\Microsoft.IdentityModel.Clients.ActiveDirectory.Platform.dll" If ((Test-Path -Path $adal) -and (Test-Path -Path $adalforms)) { [System.Reflection.Assembly]::LoadFrom($adal) [System.Reflection.Assembly]::LoadFrom($adalforms) } else { Write-output "ADAL Assemblies files cannot be found. Please set the correct path for `$adal` and `$adalforms`, then run the script again." exit } # Set well-known client ID for AzurePowerShell $clientId = "1950a258-227b-4e31-a9cf-717495945fc2" # Set redirect URI for Azure PowerShell $redirectUri = "urn:ietf:wg:oauth:2.0:oob" # Set Resource URI to Azure Service Management API $resourceAppIdURI = "https://vault.azure.net" # Set Authority to Azure AD Tenant $authority = "https://login.windows.net/$adtenant" # Create Authentication Context tied to Azure AD Tenant $authContext = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.AuthenticationContext" -ArgumentList $authority # Acquire token $platformParameters = New-Object "Microsoft.IdentityModel.Clients.ActiveDirectory.PlatformParameters" -ArgumentList "Auto" $authResult = $authContext.AcquireTokenAsync($resourceAppIdURI, $clientId, $redirectUri, $platformParameters).result # Generate auth header $authHeader = $authResult.CreateAuthorizationHeader() # Set HTTP request headers to include Authorization header $headers = @{'x-ms-version'='2014-08-01';"Authorization" = $authHeader} ######################################################################################################################## # 1. Retrieve wrapped BEK # 2. Make KeyVault REST API call to unwrap the BEK # 3. Convert the Base64Url string returned by KeyVault unwrap to Base64 string # 4. Convert Base64 string to bytes and write to the BEK file ######################################################################################################################## #Get wrapped BEK and place it in JSON object to send to KeyVault REST API $keyVaultSecret = Get-AzKeyVaultSecret -VaultName $keyVaultName -Name $secretName $bstr = [Runtime.InteropServices.Marshal]::SecureStringToBSTR($keyVaultSecret.SecretValue) $wrappedBekSecretBase64 = [Runtime.InteropServices.Marshal]::PtrToStringAuto($bstr) $jsonObject = @" { "alg": "RSA-OAEP", "value" : "$wrappedBekSecretBase64" } "@ #Get KEK Url $kekUrl = (Get-AzKeyVaultKey -VaultName $keyVaultName -Name $kekName).Key.Kid; $unwrapKeyRequestUrl = $kekUrl+ "/unwrapkey?api-version=2015-06-01"; #Call KeyVault REST API to Unwrap $result = Invoke-RestMethod -Method POST -Uri $unwrapKeyRequestUrl -Headers $headers -Body $jsonObject -ContentType "application/json" -Debug #Convert Base64Url string returned by KeyVault unwrap to Base64 string $base64UrlBek = $result.value; $base64Bek = $base64UrlBek.Replace('-', '+'); $base64Bek = $base64Bek.Replace('_', '/'); if($base64Bek.Length %4 -eq 2) { $base64Bek+= '=='; } elseif($base64Bek.Length %4 -eq 3) { $base64Bek+= '='; } #Convert base64 string to bytes and write to BEK file $bekFileBytes = [System.Convert]::FromBase64String($base64Bek); [System.IO.File]::WriteAllBytes($bekFilePath,$bekFileBytes) #Delete the key from the memory [Runtime.InteropServices.Marshal]::ZeroFreeBSTR($bstr) clear-variable -name wrappedBekSecretBase64
Stel de parameters in. Het script verwerkt het KEK-geheim om de BEK-sleutel te maken en slaat deze vervolgens op in een lokale map op de herstel-VM. Als er fouten optreden wanneer u het script uitvoert, raadpleegt u de sectie probleemoplossing voor scripts .
U ziet de volgende uitvoer wanneer het script begint:
GAC-versielocatie
False v4.0.30319 C:\Program Files\WindowsPowerShell\Modules\Az.Accounts... False v4.0.30319 C:\Program Files\WindowsPowerShell\Modules\Az.Accounts...
Wanneer het script is voltooid, ziet u de volgende uitvoer:
VERBOSE: POST https://myvault.vault.azure.net/keys/rondomkey/<KEY-ID>/unwrapkey?api- version=2015-06-01 with -1-byte payload VERBOSE: received 360-byte response of content type application/json; charset=utf-8
Voer de volgende opdracht uit om de gekoppelde schijf te ontgrendelen met behulp van het BEK-bestand:
manage-bde -unlock F: -RecoveryKey "C:\BEK\EF7B2F5A-50C6-4637-9F13-7F599C12F85C.BEK
In dit voorbeeld is de gekoppelde besturingssysteemschijf station F. Zorg ervoor dat u de juiste stationsletter gebruikt.
Nadat de schijf is ontgrendeld met behulp van de BEK-sleutel, ontkoppelt u de schijf van de herstel-VM en gebruikt u vervolgens de functie Os-schijf wisselen om de besturingssysteemschijf van de oorspronkelijke VM te vervangen door deze herstelde schijf.
Als de nieuwe VM nog steeds niet normaal kan worden opgestart, voert u een van de volgende stappen uit nadat u het station hebt ontgrendeld:
- De beveiliging onderbreken om BitLocker tijdelijk uit te schakelen door de volgende opdracht uit te voeren:
manage-bde -protectors -disable F: -rc 0
- Het station volledig ontsleutelen. Voer hiervoor de volgende opdracht uit:
manage-bde -off F:
Probleemoplossing voor scripts
Fout: kan bestand of assembly niet laden
Deze fout treedt op omdat de paden van de ADAL-assembly's onjuist zijn. U kunt zoeken naar Az.Accounts
map om het juiste pad te vinden.
Fout: Get-AzKeyVaultSecret of Get-AzKeyVaultSecret wordt niet herkend als de naam van een cmdlet
Als u de oude Az PowerShell-module gebruikt, moet u de twee opdrachten wijzigen in Get-AzureKeyVaultSecret
en Get-AzureKeyVaultSecret
.
KEK-scriptparameters
Parameters | Voorbeeld | Controleren |
---|---|---|
$keyVaultName | myKeyVault2707 | Voer Get-AzVM -ResourceGroupName $rgName -Name $vmName -DisplayHint Expand en controleer Instellingen en KeyEncryptionKeyURL in de uitvoer. Hier volgt een voorbeeld:"KeyEncryptionKeyURL": https://myKeyVault2707.vault.azure.net/keys/mykey/000072b987145a3b79b0ed415f0000 |
$kekName | mykey | Voer Get-AzVM -ResourceGroupName $rgName -Name $vmName -DisplayHint expand en controleer Instellingen en KeyEncryptionKeyURL in de uitvoer. Hier volgt een voorbeeld:"KeyEncryptionKeyURL": https://myKeyVault2707.vault.azure.net/keys/mykey/000072b987145a3b79b0ed415f0000 |
$secretName | 7EB4F531-5FBA-4970-8E2D-C11FD6B0C69D | De naam van het geheim van de VM-sleutel. Als u de juiste geheime naam wilt vinden, controleert u stap 6 in de sectie De versleutelde besturingssysteemschijf ontsleutelen . |
$bekFilePath | c:\bek\7EB4F531-5FBA-4970-8E2D-C11FD6B0C69D. BEK | Een lokaal pad waar u het BEK-bestand wilt opslaan. In het voorbeeld moet u de map 'bek' maken voordat u het script uitvoert, anders treedt er een fout op. |
$adTenant | contoso.onmicrosoft.com | FQDN of GUID van uw Microsoft Entra ID die als host fungeert voor de sleutelkluis |
Az PowerShell-module installeren
Voer de volgende stappen uit om de Az PowerShell-module voor de herstel-VM te installeren:
Open een PowerShell-sessie als beheerder en stel het HTTP-API-beveiligingsprotocol in op TLS 1.2 voor de huidige sessie. Het beveiligingsprotocol wordt teruggezet naar de standaardwaarde nadat u de huidige sessie hebt gesloten.
[Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12
Download de nieuwste versie van het Nuget-pakket:
Install-PackageProvider -Name "Nuget" -Force
Installeer de nieuwste versie van het PowerShellGet-pakket en start powershell opnieuw op.
Install-Module -Name PowerShellGet -Force
Voer de volgende opdracht uit om de nieuwste versie van de Azure Az-module te installeren:
Install-Module -Name Az -Scope AllUsers -Repository PSGallery -Force
Installeer het az.account 1.9.4-pakket:
Install-Module -Name Az.Accounts -Scope AllUsers -RequiredVersion "1.9.4" -Repository PSGallery -Force
Contacteer ons voor hulp
Als u vragen hebt of hulp nodig hebt, maak een ondersteuningsaanvraag of vraag de Azure-communityondersteuning. U kunt ook productfeedback verzenden naar de Feedback-community van Azure.
Feedback
https://aka.ms/ContentUserFeedback.
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie:Feedback verzenden en weergeven voor