Odblokowywanie zaszyfrowanego dysku na potrzeby naprawy w trybie offline

  • Artykuł

W tym artykule opisano sposób odblokowywania zaszyfrowanego dysku systemu operacyjnego na oddzielnej maszynie wirtualnej (nazywanej naprawczą maszyną wirtualną), aby włączyć korygowanie w trybie offline i rozwiązywanie problemów na tym dysku.

Symptomy

Jeśli naprawiasz dysk systemu operacyjnego maszyny wirtualnej z systemem Windows w trybie offline, dysk może być zablokowany, gdy jest dołączony do maszyny wirtualnej naprawy, jak pokazano poniżej. W takim przypadku usługa Azure Disk Encryption (ADE) jest włączona na dysku. Nie będzie można wykonać żadnych działań zaradczych na tym dysku z naprawy maszyny wirtualnej, dopóki dysk nie zostanie odblokowany.

Zrzut ekranu przedstawiający pozycję Mój P C z wyświetlonym woluminem G z ikoną blokady.

Tło

Niektóre scenariusze rozwiązywania problemów wymagają przeprowadzenia naprawy dysku wirtualnego w trybie offline na platformie Azure. Jeśli na przykład maszyna wirtualna z systemem Windows jest niedostępna, wyświetla błędy dysku lub nie można jej uruchomić, możesz uruchomić kroki rozwiązywania problemów na dysku systemu operacyjnego, dołączając ją do oddzielnej maszyny wirtualnej naprawy (nazywanej również maszyną wirtualną odzyskiwania lub maszyną wirtualną ratunkową).

Jeśli jednak dysk jest zaszyfrowany przy użyciu usługi ADE, dysk pozostanie zablokowany i niedostępny, gdy zostanie dołączony do naprawczej maszyny wirtualnej do momentu odblokowania dysku. Aby odblokować dysk, należy użyć tego samego klucza szyfrowania funkcji BitLocker (BEK), który był pierwotnie używany do jego szyfrowania. Ten zestaw BEK (i opcjonalnie klucz szyfrowania kluczy [KEK], który szyfruje lub "zawija" klucz bek, będą przechowywane w magazynie kluczy platformy Azure zarządzanym przez organizację.

Cel

Procedury opisane w tym artykule opisują metody, za pomocą których można dołączyć zaszyfrowany dysk systemu operacyjnego do naprawy maszyny wirtualnej, a następnie odblokować ten dysk. Po odblokowaniu dysku można go naprawić. Ostatnim krokiem jest zastąpienie dysku systemu operacyjnego na oryginalnej maszynie wirtualnej nowo naprawioną wersją.

Przygotowanie

Przed dołączeniem nieudanego dysku systemu operacyjnego do maszyny wirtualnej naprawy wykonaj następujące kroki:

  1. Upewnij się, że usługa ADE jest włączona na dysku.
  2. Określ, czy dysk systemu operacyjnego używa szyfrowania ADE w wersji 1 (szyfrowanie dwuprzepustowe), czy ADE w wersji 2 (szyfrowanie jednoprzepustowe).
  3. Określ, czy dysk systemu operacyjnego jest zarządzany, czy niezarządzany.
  4. Wybierz metodę dołączania dysku do naprawy maszyny wirtualnej i odblokowywania dysku.

Upewnij się, że na dysku włączono funkcję ADE

Ten krok można wykonać w Azure Portal, programie PowerShell lub interfejsie wiersza polecenia platformy Azure .

Azure Portal

Wyświetl blok Przegląd dla maszyny wirtualnej, która uległa awarii w Azure Portal. W obszarze Dyskszyfrowanie dysków platformy Azure będzie wyświetlane jako Włączone lub Nie włączone, jak pokazano na poniższym zrzucie ekranu.

Zrzut ekranu przedstawiający blok przeglądu maszyny wirtualnej w witrynie Azure Portal pokazujący, że na dysku jest włączona funkcja A D E.

PowerShell

Za pomocą Get-AzVmDiskEncryptionStatus polecenia cmdlet można określić, czy woluminy systemu operacyjnego i/lub danych dla maszyny wirtualnej są szyfrowane przy użyciu usługi ADE. Następujące przykładowe dane wyjściowe wskazują, że szyfrowanie ADE jest włączone na woluminie systemu operacyjnego:

PS /home/me> Get-AzVmDiskEncryptionStatus -ResourceGroupName "MyRg01" -VMName "MyVm01" 
OsVolumeEncrypted          : Encrypted
DataVolumesEncrypted       : NoDiskFound
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Extension status not available on the VM

Aby uzyskać więcej informacji na temat Get-AzureRmDiskEncryptionStatus polecenia cmdlet, zobacz Get-AzVMDiskEncryptionStatus (Az.Compute).

Interfejs wiersza polecenia platformy Azure

Możesz użyć polecenia w interfejsie az vm encryption show wiersza polecenia platformy Azure z dołączonym zapytaniem disks[].encryptionSettings[].enabled , aby określić, czy usługa ADE jest włączona na dyskach maszyny wirtualnej. Poniższe dane wyjściowe wskazują, że szyfrowanie ADE jest włączone.

az vm encryption show --name MyVM --resource-group MyResourceGroup --query "disks[].encryptionSettings[].enabled"

[
  true
]

Aby uzyskać więcej informacji na temat az vm encryption show polecenia, zobacz az vm encryption show.

Uwaga

Naprawa w trybie offline dla dysków niezaszyfrowanych

Jeśli ustalisz, że usługa ADE nie jest włączona na dysku, zobacz następujący artykuł, aby uzyskać instrukcje dotyczące dołączania dysku do maszyny wirtualnej naprawy: Rozwiązywanie problemów z maszyną wirtualną z systemem Windows przez dołączenie dysku systemu operacyjnego do maszyny wirtualnej odzyskiwania za pośrednictwem Azure Portal

Określ, czy dysk systemu operacyjnego używa szyfrowania ADE w wersji 1 (szyfrowanie dwuprzepustowe) czy ADE w wersji 2 (szyfrowanie jednoprzepustowe)

Numer wersji usługi ADE można poznać w Azure Portal, otwierając właściwości maszyny wirtualnej, a następnie klikając pozycję Rozszerzenia, aby otworzyć blok Rozszerzenia. W bloku Rozszerzenia wyświetl numer wersji przypisany do usługi AzureDiskEncryption. Jeśli numer wersji to 1, dysk używa szyfrowania podwójnego dostępu. Jeśli numer wersji to 2 lub nowsza wersja, dysk używa szyfrowania jednoprzepustowego.

Zrzut ekranu przedstawiający blok rozszerzeń przedstawiający szyfrowanie dysków platformy Azure w wersji 2.

Jeśli okaże się, że dysk używa szyfrowania ADE w wersji 1 (szyfrowanie dwuprzepustowe), możesz przejść do sekcji Rozwiązanie nr 3: Ręczna metoda odblokowywania zaszyfrowanego dysku na maszynie wirtualnej naprawy.

Określanie, czy dysk systemu operacyjnego jest zarządzany, czy niezarządzany

Jeśli nie wiesz, czy dysk systemu operacyjnego jest zarządzany, czy niezarządzany, zobacz Określanie, czy dysk systemu operacyjnego jest zarządzany, czy niezarządzany.

Jeśli wiesz, że dysk systemu operacyjnego jest dyskiem niezarządzanym, przejdź do pozycji Rozdzielczość 3: Ręczna metoda odblokowywania zaszyfrowanego dysku na naprawczej maszynie wirtualnej.

Wybierz metodę dołączania dysku do naprawy maszyny wirtualnej i odblokowywania dysku

Należy wybrać jedną z trzech metod dołączania dysku do naprawy maszyny wirtualnej i odblokowywania dysku:

Rozwiązanie nr 1: Zautomatyzowana metoda odblokowywania zaszyfrowanego dysku na naprawczej maszynie wirtualnej

Ta metoda opiera się na poleceniach az vm repair , aby automatycznie utworzyć naprawczą maszynę wirtualną, dołączyć uszkodzony dysk systemu operacyjnego i odblokować dysk, jeśli jest zaszyfrowany. Działa tylko w przypadku dysków zarządzanych zaszyfrowanych jednym przebiegiem i wymaga użycia publicznego adresu IP na potrzeby naprawy maszyny wirtualnej. Ta metoda odblokowuje zaszyfrowany dysk niezależnie od tego, czy klucz szyfrowania funkcji BitLocker (BEK) jest nieopakowany, czy opakowywany przy użyciu klucza szyfrowania klucza (KEK).

Aby naprawić maszynę wirtualną przy użyciu tej zautomatyzowanej metody, zobacz Naprawianie maszyny wirtualnej z systemem Windows przy użyciu poleceń naprawy maszyny wirtualnej platformy Azure.

Uwaga

Jeśli automatyczne rozwiązywanie problemów nie powiedzie się, postępuj zgodnie z rozwiązaniem nr 2: Częściowo zautomatyzowana metoda odblokowywania zaszyfrowanego dysku na naprawczej maszynie wirtualnej.

Rozwiązanie nr 2: Częściowo zautomatyzowana metoda odblokowywania zaszyfrowanego dysku na naprawczej maszynie wirtualnej

Częściowo zautomatyzowana rozdzielczość odblokowuje dysk zarządzany zaszyfrowany za pomocą jednego przebiegu bez konieczności używania publicznego adresu IP dla naprawczej maszyny wirtualnej.

Korzystając z tej procedury, należy ręcznie utworzyć maszynę wirtualną z dołączonym dyskiem systemu operacyjnego źródłowej maszyny wirtualnej (nie powiodło się). Po dołączeniu zaszyfrowanego dysku podczas tworzenia maszyny wirtualnej maszyna wirtualna automatycznie pobiera klucz bek z magazynu kluczy platformy Azure i przechowuje go w woluminie bek. Następnie użyj krótkiej serii kroków, aby uzyskać dostęp do zestawu BEK i odblokować zaszyfrowany dysk. W trakcie tego procesu klucz bek jest rozpakowywany automatycznie, jeśli to konieczne.

  1. W Azure Portal wykonaj migawkę zaszyfrowanego dysku systemu operacyjnego na źródłowej (nieudanej) maszynie wirtualnej.

  2. Utwórz dysk na podstawie tej migawki.

    Zrzut ekranu przedstawiający blok przeglądu migawki z wyróżnioną opcją utwórz dysk.

    Dla nowego dysku wybierz tę samą lokalizację i strefę dostępności, które zostały przypisane do źródłowej maszyny wirtualnej. Pamiętaj, że podczas tworzenia maszyny wirtualnej do naprawy w następnym kroku należy również zduplikować te same ustawienia.

  3. Utwórz maszynę wirtualną opartą na Windows Server 2016 Datacenter do użycia jako naprawcza maszyna wirtualna. Upewnij się, że maszyna wirtualna została przypisana do tego samego regionu i strefy dostępności, która jest używana dla nowego dysku utworzonego w kroku 2.

  4. Na stronie Dyski kreatora Tworzenie maszyny wirtualnej dołącz jako dysk danych nowy dysk utworzony właśnie na podstawie migawki.

    Zrzut ekranu przedstawiający stronę Dyski kreatora tworzenia maszyny wirtualnej z wyróżnionym dyskiem wraz z opcją dołączenia istniejącego dysku.

    Ważna

    Upewnij się, że dysk został dodany podczas tworzenia maszyny wirtualnej. Dopiero podczas tworzenia maszyny wirtualnej są wykrywane ustawienia szyfrowania. Umożliwia to automatyczne dodawanie woluminu zawierającego zestaw BEK.

  5. Po utworzeniu naprawy maszyny wirtualnej zaloguj się do maszyny wirtualnej i otwórz pozycję Zarządzanie dyskami (Diskmgmt.msc). W obszarze Zarządzanie dyskami znajdź wolumin BEK. Domyślnie do tego woluminu nie jest przypisana żadna litera dysku.

    Zrzut ekranu przedstawiający zarządzanie dyskami z wyróżnionym woluminem bek

  6. Aby przypisać literę dysku do woluminu BEK, kliknij prawym przyciskiem myszy wolumin BEK, a następnie wybierz pozycję Zmień literę dysku i ścieżki.

    Zrzut ekranu przedstawiający menu skrótów woluminu bek z wyróżnioną opcją zmień literę dysku i ścieżki

  7. Wybierz pozycję Dodaj , aby przypisać literę dysku do woluminu BEK. W tym procesie domyślną literą jest najczęściej H. Wybierz przycisk OK.

    Okno dialogowe Dodawanie litery dysku lub ścieżki z wyróżnioną opcją przypisywania następującej litery dysku.

  8. W Eksplorator plików wybierz pozycję Ten komputer w okienku po lewej stronie. Zostanie wyświetlony wolumin BEK. Zwróć również uwagę na wolumin oznaczony ikoną blokady. Jest to zaszyfrowany dysk dołączony podczas tworzenia maszyny wirtualnej. (W poniższym przykładzie zaszyfrowany dysk ma przypisaną literę dysku G.)

    Zrzut ekranu przedstawiający ten P C w systemie Windows z zablokowanym woluminem i woluminem bek

  9. Aby odblokować zaszyfrowany dysk, musisz mieć nazwę pliku bek w woluminie BEK. Jednak domyślnie pliki w woluminie BEK są ukryte. W wierszu polecenia wprowadź następujące polecenie, aby wyświetlić ukryte pliki:

    dir <DRIVE LETTER ASSIGNED TO BEK VOLUME>: /a:h /b /s

    Jeśli na przykład litera dysku przypisana do woluminu BEK to H, należy wprowadzić następujące polecenie:

    dir H: /a:h /b /s

    Powinny zostać wyświetlone dane wyjściowe podobne do następujących:

    H:\66ABF036-E331-4B67-A667-D1A8B47B4DAB.BEK
H:\System Volume Information

    Pierwszym wpisem jest nazwa ścieżki pliku BEK. W następnym kroku użyjesz pełnej nazwy ścieżki.

  10. W wierszu polecenia wprowadź następujące polecenie:

    manage-bde -unlock <ENCRYPTED DRIVE LETTER>: -RecoveryKey <.BEK FILE PATH>

    Jeśli na przykład G jest dyskiem zaszyfrowanym, a plik BEK jest taki sam jak ten wymieniony w poprzednim przykładzie, należy wprowadzić następujące elementy:

    manage-bde -unlock G: -RecoveryKey H:\66ABF036-E331-4B67-A667-D1A8B47B4DAB.BEK

    Zostanie wyświetlony komunikat wskazujący, że plik BEK pomyślnie odblokował określony wolumin. W Eksplorator plików widać, że dysk nie jest już zablokowany.

    Zrzut ekranu przedstawiający ten P C z dyskiem oznaczonym ikoną otwartej kłódki.

  11. Teraz, gdy masz dostęp do woluminu, możesz ukończyć rozwiązywanie problemów i środki zaradcze w razie potrzeby, na przykład czytając dzienniki lub uruchamiając skrypt.

  12. Po naprawie dysku użyj poniższej procedury , aby zastąpić dysk systemu operacyjnego źródłowej maszyny wirtualnej nowo naprawionym dyskiem.

Rozwiązanie nr 3: Ręczna metoda odblokowywania zaszyfrowanego dysku na naprawczej maszynie wirtualnej

Dysk można odblokować ręcznie, wykonując tę procedurę, jeśli musisz odblokować dysk z podwójnym przekazywaniem (ADE w wersji 1) lub dysk niezarządzany lub jeśli inne metody nie powiodą się.

Tworzenie naprawczej maszyny wirtualnej i dołączanie dysku systemu operacyjnego źródłowej maszyny wirtualnej

  1. Jeśli zaszyfrowany dysk systemu operacyjnego źródłowej maszyny wirtualnej jest dyskiem zarządzanym, wykonaj kroki 1–4 w metodzie 2, aby dołączyć kopię zablokowanego dysku do naprawy maszyny wirtualnej.

    Jeśli proces tworzenia nowej maszyny wirtualnej naprawczej z dołączonym zaszyfrowanym dyskiem zawiesza się lub kończy się niepowodzeniem (na przykład zwraca komunikat informujący, że "zawiera ustawienia szyfrowania i dlatego nie może być używany jako dysk danych"), możesz najpierw utworzyć maszynę wirtualną bez dołączania zaszyfrowanego dysku. Po utworzeniu naprawy maszyny wirtualnej dołącz zaszyfrowany dysk do maszyny wirtualnej za pośrednictwem Azure Portal.

  2. Jeśli zaszyfrowany dysk systemu operacyjnego źródłowej maszyny wirtualnej jest dyskiem niezarządzanym, zobacz Dołączanie dysku niezarządzanego do maszyny wirtualnej w celu naprawy w trybie offline.

Instalowanie modułu Az Programu PowerShell na maszynie wirtualnej naprawy

Metoda ręcznego rozpoznawania w celu odblokowania zaszyfrowanego dysku w trybie offline opiera się na module Az w programie PowerShell. W związku z tym należy zainstalować ten moduł na maszynie wirtualnej naprawy.

  1. Połącz się z maszyną wirtualną naprawy za pośrednictwem protokołu RDP.

  2. Na maszynie wirtualnej naprawy w Menedżer serwera wybierz pozycję Serwer lokalny, a następnie wyłącz konfigurację zwiększonych zabezpieczeń środowiska IE dla administratorów.

    Zrzut ekranu przedstawiający okno dialogowe konfiguracji rozszerzonych zabezpieczeń programu Internet Explorer z ustawieniem wyłączonym dla administratorów.

    Zrzut ekranu menedżera serwera przedstawiający wyłączoną rozszerzoną konfigurację zabezpieczeń programu Internet Explorer.

  3. Na maszynie wirtualnej naprawy otwórz okno programu PowerShell z podwyższonym poziomem uprawnień.

  4. Ustaw protokół zabezpieczeń interfejsów API HTTP na protokół TLS 1.2 dla bieżącej sesji, wprowadzając następujące polecenie.

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    Uwaga

    Po zamknięciu bieżącej sesji protokół zabezpieczeń zostanie przywrócony do wartości domyślnej.

  5. Pobierz najnowszą wersję pakietu Nuget:

    Install-PackageProvider -Name "Nuget" -Force

  6. Po zwróceniu monitu zainstaluj najnowszą wersję pakietu PowerShellGet.

    Install-Module -Name PowerShellGet -Force

  7. Po zwróceniu monitu zamknij okno programu PowerShell. Następnie otwórz nowe okno programu PowerShell z podwyższonym poziomem uprawnień, aby rozpocząć nową sesję programu PowerShell.

  8. W wierszu polecenia programu PowerShell zainstaluj najnowszą wersję modułu Azure Az:

    Install-Module -Name Az -Scope AllUsers -Repository PSGallery -Force

  9. Po zwróceniu monitu zainstaluj pakiet Az.Account 1.9.4:

    Install-Module -Name Az.Accounts -Scope AllUsers -RequiredVersion "1.9.4" -Repository PSGallery -Force

Pobieranie nazwy pliku BEK

  1. W Azure Portal przejdź do magazynu kluczy, który był używany do szyfrowania źródłowej maszyny wirtualnej. Jeśli nie znasz nazwy magazynu kluczy, wprowadź następujące polecenie w wierszu polecenia w usłudze Azure Cloud Shell i poszukaj wartości obok pozycji "sourceVault" w danych wyjściowych:

    az vm encryption show --name MyVM --resource-group MyResourceGroup

  2. W menu po lewej stronie wybierz pozycję Zasady dostępu.

  3. W zasadach dostępu magazynu kluczy upewnij się, że konto użytkownika używane do logowania się do subskrypcji platformy Azure ma następujące uprawnienia: Operacje zarządzania kluczami: Get, List, Update, Create Cryptographic Operations: Unwrap key Secret Permissions: Get, List, Set

  4. Wróć do naprawy maszyny wirtualnej i okna programu PowerShell z podwyższonym poziomem uprawnień.

  5. Wprowadź następujące polecenie, aby rozpocząć proces logowania się do subskrypcji platformy Azure, zastępując ciąg "[SubscriptionID]" identyfikatorem subskrypcji platformy Azure:

    Add-AzAccount -SubscriptionID <SubscriptionID>

  6. Postępuj zgodnie z monitami, aby ukończyć proces logowania się do subskrypcji platformy Azure.

  7. Na maszynie wirtualnej naprawy otwórz okno ise z podwyższonym poziomem uprawnień Windows PowerShell i rozwiń okienko skryptu (u góry).

  8. W oknie środowiska ISE programu PowerShell z podwyższonym poziomem uprawnień wklej następujący skrypt do pustego okienka skryptu. Zastąp ciąg "myVM" źródłową (nieudaną) maszyną wirtualną i "myKeyVault" nazwą magazynu kluczy.

        if ((Get-AzContext) -ne $Null)
{

$vmName = "MyVM"
$vault = "myKeyVault"

# Get the Secrets for all VM Drives from Azure Key Vault
Get-AzKeyVaultSecret -VaultName $vault | where {($_.Tags.MachineName -eq $vmName) -and ($_.ContentType -match 'BEK')} `
    | Sort-Object -Property Created `
    | ft  Created, `
        @{Label="Content Type";Expression={$_.ContentType}}, `
        @{Label ="Volume"; Expression = {$_.Tags.VolumeLetter}}, `
        @{Label ="DiskEncryptionKeyFileName"; Expression = {$_.Tags.DiskEncryptionKeyFileName}}, `
        @{Label ="URL"; Expression = {$_.Id}}
}
else 
{
    Write-Output "Please log in first with Add-AzAccount"
}

  9. Wybierz pozycję Uruchom skrypt , aby uruchomić skrypt.

  10. W danych wyjściowych poszukaj wartości poniżej parametru DiskEncryptionKeyFileName dla nazwy pliku BEK.

    W poniższych przykładowych danych wyjściowych nazwa pliku BEK (nazwa wpisu tajnego + ". Rozszerzenie pliku BEK) to AB4FE364-4E51-4034-8E09-0087C3D51C18. BEK. Zarejestruj tę wartość, ponieważ będzie ona używana w następnym kroku. (Jeśli widzisz dwa zduplikowane woluminy, wolumin, który ma nowszy sygnatura czasowa, jest bieżącym plikiem BEK używanym przez naprawczą maszynę wirtualną).

    Zrzut ekranu przedstawiający dane wyjściowe programu PowerShell w tabeli z nazwą pliku klucza szyfrowania dysku dla zawiniętej bek.

  11. Jeśli wartość Typ zawartości w danych wyjściowych to Zawinięty zestaw BEK, jak w powyższym przykładzie, przejdź do pozycji Pobierz i odpakuj zestaw BEK. Jeśli wartość Typ zawartości w danych wyjściowych jest po prostu bek, jak w poniższym przykładzie, przejdź do następnej sekcji, aby pobrać bek do naprawy maszyny wirtualnej.

    Zrzut ekranu przedstawiający dane wyjściowe programu PowerShell w tabeli z nazwą pliku klucza szyfrowania dysku dla typu zawartości bek.

Pobieranie zestawu BEK na naprawę maszyny wirtualnej

  1. Na maszynie wirtualnej naprawy utwórz folder o nazwie "BEK" (bez cudzysłowów) w katalogu głównym woluminu C.

  2. Skopiuj i wklej następujący przykładowy skrypt w pustym okienku skryptów środowiska ISE programu PowerShell.

    Uwaga

    Zastąp wartości "$vault" i "$bek" wartościami dla środowiska. Dla wartości $bek użyj nazwy wpisu tajnego uzyskanej w ostatniej procedurze. (Nazwa wpisu tajnego to nazwa pliku BEK bez rozszerzenia nazwy pliku ".bek").

    $vault = "myKeyVault"
$bek = "EF7B2F5A-50C6-4637-0001-7F599C12F85C"
$keyVaultSecret = Get-AzKeyVaultSecret -VaultName $vault -Name $bek
$bstr = [Runtime.InteropServices.Marshal]::SecureStringToBSTR($keyVaultSecret.SecretValue)
$bekSecretBase64 = [Runtime.InteropServices.Marshal]::PtrToStringAuto($bstr)
$bekFileBytes = [Convert]::FromBase64String($bekSecretbase64)
$path = "C:\BEK\DiskEncryptionKeyFileName.BEK"
[System.IO.File]::WriteAllBytes($path,$bekFileBytes)

  3. W oknie Środowiska ISE programu PowerShell wybierz pozycję Uruchom skrypt. Jeśli skrypt zostanie uruchomiony pomyślnie, nie będzie żadnych komunikatów wyjściowych ani końcowych. Jednak nowy plik zostanie utworzony w folderze C:\BEK . (Folder C:\BEK już musi istnieć).

  4. Przejdź do pozycji Sprawdź, czy skrypt został ukończony pomyślnie.

Pobierz i rozpakuj zestaw BEK

  1. Na maszynie wirtualnej naprawy utwórz folder o nazwie "BEK" (bez cudzysłowów) w katalogu głównym woluminu C.

  2. Zapisz następujące wartości w Notatniku. Po uruchomieniu skryptu zostanie wyświetlony monit o ich podanie.

    • secretUrl. Jest to adres URL wpisu tajnego przechowywanego w magazynie kluczy. Prawidłowy adres URL wpisu tajnego używa następującego formatu: <<https://[key> nazwa magazynu].vault.azure.net/secrets/[Nazwa BEK]/[identyfikator wersji]>

      Aby znaleźć tę wartość w Azure Portal, przejdź do bloku Wpisy tajne w magazynie kluczy. Wybierz nazwę bek, która została określona w poprzednim kroku, pobierz nazwę pliku BEK. Wybierz identyfikator bieżącej wersji, a następnie przeczytaj adres URL identyfikatora wpisu tajnego poniżej właściwości. (Możesz skopiować ten adres URL do schowka).

      Zrzut ekranu przedstawiający właściwości wpisu tajnego w Azure Portal z identyfikatorem wpisu tajnego U R L.

    • keyVaultResourceGroup. Grupa zasobów magazynu kluczy.

    • kekUrl. Jest to adres URL klucza używanego do ochrony klucza BEK. Prawidłowy adres URL kek używa następującego formatu: <<https://[key> nazwa magazynu].vault.azure.net/keys/[nazwa klucza]/[identyfikator wersji]>

      Tę wartość można uzyskać w Azure Portal, przechodząc do bloku Klucze w magazynie kluczy, wybierając nazwę klucza używanego jako klucz KEK, wybierając bieżący identyfikator wersji, a następnie odczytując adres URL identyfikatora klucza poniżej właściwości. (Możesz skopiować ten adres URL do schowka).

    • secretFilePath. Jest to pełna nazwa ścieżki lokalizacji do przechowywania pliku BEK. Jeśli na przykład nazwa pliku BEK to AB4FE364-4E51-4034-8E06-0087C3D51C18. Bek, można wprowadzić C:\BEK\AB4FE364-4E51-4034-8E06-0087C3D51C18. BEK. (Folder C:\BEK już musi istnieć).

  3. Przejdź do poniższej strony , aby pobrać skrypt, który jest używany do generowania pliku BEK do odblokowania zaszyfrowanego dysku.

  4. Na stronie wybierz pozycję Nieprzetworzone.

  5. Skopiuj i wklej zawartość skryptu do pustego okienka skryptu w oknie środowiska ISE programu PowerShell z podwyższonym poziomem uprawnień na maszynie wirtualnej naprawy.

  6. Wybierz pozycję Uruchom skrypt.

  7. Po wyświetleniu monitu podaj wartości zarejestrowane przed uruchomieniem skryptu. Jeśli zostanie wyświetlony monit z komunikatem Niezaufane repozytorium, wybierz pozycję Tak dla wszystkich. Jeśli skrypt zostanie uruchomiony pomyślnie, w folderze C:\BEK zostanie utworzony nowy plik. (Ten folder już musi istnieć).

Sprawdź, czy skrypt został uruchomiony pomyślnie

  1. Przejdź do folderu C:\BEK na komputerze lokalnym i znajdź nowy plik wyjściowy.

  2. Otwórz plik w Notatniku. Jeśli skrypt został uruchomiony poprawnie, w górnym wierszu pliku znajdziesz frazę Ochrona klucza rozszerzenia funkcji BitLocker , jeśli przewiniesz w prawo.

    Zrzut ekranu przedstawiający plik tekstowy otwarty w Notatniku z wyróżnionymi słowami Ochrona klucza rozszerzenia funkcji Bitlocker.

Odblokuj dołączony dysk

Teraz możesz odblokować zaszyfrowany dysk.

  1. Na maszynie wirtualnej naprawy w usłudze Zarządzanie dyskami przełącz dołączony zaszyfrowany dysk w tryb online, jeśli nie jest jeszcze w trybie online. Zwróć uwagę na literę dysku zaszyfrowanego woluminu funkcji BitLocker.

  2. W wierszu polecenia wprowadź następujące polecenie.

    Uwaga

    W tym poleceniu zastąp ciąg "<ENCRYPTED DRIVE LETTER>" literą zaszyfrowanego woluminu i "<. ŚCIEŻKA> PLIKU BEK" z pełną ścieżką do nowo utworzonego pliku BEK w folderze C:\BEK.

    manage-bde -unlock <ENCRYPTED DRIVE LETTER>: -RecoveryKey <.BEK FILE PATH>

    Jeśli na przykład zaszyfrowany dysk to F, a nazwa pliku BEK to "DiskEncryptionKeyFileName.BEK", uruchom następujące polecenie:

    manage-bde -unlock F: -RecoveryKey C:\BEK\DiskEncryptionKeyFileName.BEK

    Jeśli zaszyfrowany dysk to F, a nazwa pliku BEK to "EF7B2F5A-50C6-4637-9F13-7F599C12F85C. BEK", należy uruchomić następujące polecenie:

    manage-bde -unlock F: -RecoveryKey C:\BEK\EF7B2F5A-50C6-4637-9F13-7F599C12F85C.BEK

    Zostaną wyświetlone dane wyjściowe podobne do następującego przykładu:

    The file "C:\BEK\0D44E996-4BF3-4EB0-B990-C43C250614A4.BEK" successfully unlocked volume F:.

  3. Teraz, gdy masz dostęp do woluminu, możesz rozwiązać problemy i środki zaradcze w razie potrzeby, na przykład czytając dzienniki lub uruchamiając skrypt.

    Ważna

    Proces odblokowywania zapewnia dostęp do dysku, ale nie odszyfrowuje dysku. Dysk pozostaje zaszyfrowany po jego odblokowaniu. Jeśli chcesz odszyfrować dysk, użyj polecenia manage-bde <volume> -off, aby rozpocząć proces odszyfrowywania i zarządzaj stanem dysku> bde<, aby sprawdzić postęp odszyfrowywania.

  4. Po zakończeniu naprawy i zarządzaniu dyskiem możesz przejść do pozycji Zastąp dysk systemu operacyjnego źródłowej maszyny wirtualnej (dyski zarządzane). Jeśli zamiast tego dysk jest niezarządzany, możesz użyć kroków opartych na interfejsie wiersza polecenia opisanych tutaj: Zamień dysk systemu operacyjnego na źródłowej maszynie wirtualnej

Zastąp dysk systemu operacyjnego źródłowej maszyny wirtualnej (dyski zarządzane)

  1. Po naprawie dysku otwórz blok Dyski dla maszyny wirtualnej naprawy w Azure Portal. Odłącz kopię źródłowego dysku systemu operacyjnego maszyny wirtualnej. W tym celu znajdź wiersz skojarzonej nazwy dysku w obszarze Dyski danych, wybierz znak "X" po prawej stronie tego wiersza, a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający dysk danych wybrany w bloku Dyski w Azure Portal z wyróżnionym symbolem X.

  2. W Azure Portal przejdź do źródłowej (uszkodzonej) maszyny wirtualnej i otwórz blok Dyski. Następnie wybierz pozycję Zamień dysk systemu operacyjnego , aby zastąpić istniejący dysk systemu operacyjnego naprawionym dyskiem.

    Zrzut ekranu przedstawiający blok Dyski z wyróżnioną opcją Zamień dysk O S.

  3. Wybierz nowy naprawiony dysk, a następnie wprowadź nazwę maszyny wirtualnej, aby zweryfikować zmianę. Jeśli dysk nie jest widoczny na liście, poczekaj od 10 do 15 minut po odłączeniu dysku od maszyny wirtualnej rozwiązywania problemów.

  4. Wybierz przycisk OK.

Następne kroki

Jeśli masz problemy z nawiązywaniem połączenia z maszyną wirtualną, zobacz Rozwiązywanie problemów z połączeniami pulpitu zdalnego z maszyną wirtualną platformy Azure. Aby uzyskać problemy z dostępem do aplikacji uruchomionych na maszynie wirtualnej, zobacz Rozwiązywanie problemów z łącznością aplikacji na maszynie wirtualnej z systemem Windows.

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii platformy Azure.