Condividi tramite

Sblocco di un disco crittografato per il ripristino offline

  • Articolo

Si applica a: ✔️ macchine virtuali di Windows

Questo articolo descrive come sbloccare un disco del sistema operativo crittografato in una macchina virtuale separata (denominata macchina virtuale di ripristino) per abilitare la correzione offline e la risoluzione dei problemi su tale disco.

Sintomi

Se si ripristina il disco del sistema operativo di una macchina virtuale Windows offline, il disco potrebbe essere bloccato quando è collegato alla macchina virtuale di ripristino, come illustrato di seguito. In questo caso, Crittografia dischi di Azure (ADE) è abilitato sul disco. Non sarà possibile eseguire alcuna mitigazione su tale disco da una macchina virtuale di ripristino fino a quando il disco non viene sbloccato.

Screenshot di My P C che mostra il volume G con un'icona di blocco.

Background

Alcuni scenari di risoluzione dei problemi richiedono di eseguire il ripristino offline di un disco virtuale in Azure. Ad esempio, se una macchina virtuale Windows è inaccessibile, visualizza gli errori del disco o non può essere avviata, è possibile eseguire i passaggi per la risoluzione dei problemi sul disco del sistema operativo collegandola a una macchina virtuale di ripristino separata (detta anche macchina virtuale di ripristino o macchina virtuale di ripristino).

Tuttavia, se il disco viene crittografato tramite ADE, il disco rimarrà bloccato e inaccessibile mentre è collegato alla macchina virtuale di ripristino fino a quando non si sblocca il disco. Per sbloccare il disco, è necessario usare la stessa chiave di crittografia BitLocker (BEK) usata originariamente per crittografarla. Questa chiave BEK (e, facoltativamente, una chiave di crittografia della chiave [KEK] che crittografa o "esegue il wrapping" della chiave BEK) verrà archiviata in un insieme di credenziali delle chiavi di Azure gestito dall'organizzazione.

Obiettivo

Le procedure descritte in questo articolo descrivono i metodi che è possibile usare per collegare un disco del sistema operativo crittografato a una macchina virtuale di ripristino e quindi sbloccare il disco. Dopo che il disco è stato sbloccato, è possibile ripristinarlo. Come passaggio finale, è possibile sostituire il disco del sistema operativo nella macchina virtuale originale con questa versione appena ripristinata.

Operazioni preliminari

Prima di collegare il disco del sistema operativo non riuscito a una macchina virtuale di ripristino, seguire questa procedura:

  1. Verificare che AdE sia abilitato sul disco.
  2. Determinare se il disco del sistema operativo usa ADE versione 1 (crittografia a doppio passaggio) o ADE versione 2 (crittografia a pass singolo).
  3. Determinare se il disco del sistema operativo è gestito o non gestito.
  4. Selezionare il metodo per collegare il disco a una macchina virtuale di ripristino e sbloccare il disco.

Verificare che l'ambiente del servizio app sia abilitato sul disco

È possibile eseguire questo passaggio nell'interfaccia della riga di comando di Azure portale di Azure, PowerShell o nell'interfaccia della riga di comando di Azure.

Portale di Azure

Visualizzare il pannello Panoramica per la macchina virtuale non riuscita nel portale di Azure. Sotto il disco, la crittografia dischi di Azure verrà visualizzata come abilitata o non abilitata, come illustrato nello screenshot seguente.

Screenshot del pannello di panoramica per una V M nel portale di Azure che mostra che È abilitato A D E sul disco.

PowerShell

È possibile usare il Get-AzVmDiskEncryptionStatus cmdlet per determinare se il sistema operativo e/o i volumi di dati per una macchina virtuale vengono crittografati tramite AdE. L'output di esempio seguente indica che la crittografia DIE è abilitata nel volume del sistema operativo:

PS /home/me> Get-AzVmDiskEncryptionStatus -ResourceGroupName "MyRg01" -VMName "MyVm01" 
OsVolumeEncrypted          : Encrypted
DataVolumesEncrypted       : NoDiskFound
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Extension status not available on the VM

Per altre informazioni sul cmdlet, vedere Get-AzVMDiskEncryptionStatus (Az.Compute).For more information about the Get-AzureRmDiskEncryptionStatus cmdlet, see Get-AzVMDiskEncryptionStatus (Az.Compute).

Interfaccia della riga di comando di Azure

È possibile usare il az vm encryption show comando nell'interfaccia della riga di comando di Azure con la query disks[].encryptionSettings[].enabled aggiunta per determinare se AdE è abilitato nei dischi di una macchina virtuale. L'output seguente indica che la crittografia DIE è abilitata.

az vm encryption show --name MyVM --resource-group MyResourceGroup --query "disks[].encryptionSettings[].enabled"

[
  true
]

Per altre informazioni sul az vm encryption show comando, vedere az vm encryption show.

Note

Ripristino offline per i dischi non crittografati

Se si determina che Azure Active Directory non è abilitato sul disco, vedere l'articolo seguente per istruzioni su come collegare un disco a una macchina virtuale di ripristino: Risolvere i problemi di una macchina virtuale Windows collegando il disco del sistema operativo a una macchina virtuale di ripristino tramite il portale di Azure

Determinare se il disco del sistema operativo usa ADE versione 1 (crittografia a doppio passaggio) o ADE versione 2 (crittografia a pass singolo)

Per informazioni sul numero di versione di ADE nel portale di Azure, aprire le proprietà della macchina virtuale e quindi fare clic su Estensioni per aprire il pannello Estensioni. Nel pannello Estensioni visualizzare il numero di versione assegnato ad AzureDiskEncryption. Se il numero di versione è 1, il disco usa la crittografia dual-pass. Se il numero di versione è 2 o versione successiva, il disco usa la crittografia a passaggio singolo.

Screenshot del pannello delle estensioni che mostra la crittografia dischi di Azure versione 2.

Se si determina che il disco usa ADE versione 1 (crittografia a doppio passaggio), è possibile passare a Risoluzione 3: Metodo manuale per sbloccare un disco crittografato in una macchina virtuale di ripristino.

Determinare se il disco del sistema operativo è gestito o non gestito

Se non si sa se il disco del sistema operativo è gestito o non gestito, vedere Determinare se il disco del sistema operativo è gestito o non gestito.

Se si sa che il disco del sistema operativo è un disco non gestito, passare a Risoluzione 3: Metodo manuale per sbloccare un disco crittografato in una macchina virtuale di ripristino.

Selezionare il metodo per collegare il disco a una macchina virtuale di ripristino e sbloccare il disco

È consigliabile scegliere uno dei tre metodi per collegare il disco a una macchina virtuale di ripristino e sbloccare il disco:

Risoluzione 1: metodo automatizzato per sbloccare un disco crittografato in una macchina virtuale di ripristino

Questo metodo si basa sui comandi az vm repair per creare automaticamente una macchina virtuale di ripristino, collegare il disco del sistema operativo non riuscito e sbloccare il disco se è crittografato. Funziona solo per dischi gestiti con crittografia singola e richiede l'uso dell'indirizzo IP pubblico per la macchina virtuale di ripristino. Questo metodo sblocca il disco crittografato indipendentemente dal fatto che la chiave di crittografia BitLocker (BEK) sia decrittografata o sottoposta a wrapping usando una chiave di crittografia della chiave (KEK).

Per ripristinare la macchina virtuale usando questo metodo automatizzato, vedere Ripristinare una macchina virtuale Windows usando i comandi di ripristino della macchina virtuale di Azure.

Note

Se la risoluzione automatica ha esito negativo, procedere con la risoluzione 2: metodo semiautomatico per sbloccare un disco crittografato in una macchina virtuale di ripristino.

Risoluzione n. 2: metodo semi-automatizzato per sbloccare un disco crittografato in una macchina virtuale di ripristino

La risoluzione semi-automatizzata sblocca un disco gestito crittografato a passaggio singolo senza richiedere un indirizzo IP pubblico per la macchina virtuale di ripristino.

Usando questa procedura, si crea manualmente una macchina virtuale con il disco del sistema operativo della macchina virtuale di origine (non riuscita). Quando si collega il disco crittografato al momento della creazione della macchina virtuale, la macchina virtuale recupera automaticamente il bek dall'insieme di credenziali delle chiavi di Azure e lo archivia in un volume BEK. Si userà quindi una breve serie di passaggi per accedere al bek e sbloccare il disco crittografato. Durante questo processo, bek viene decomistato automaticamente, se necessario.

  1. In portale di Azure creare uno snapshot del disco del sistema operativo crittografato nella macchina virtuale di origine (non riuscita).

  2. Creare un disco da tale snapshot.

    Screenshot del pannello panoramica di uno snapshot con l'opzione Crea disco evidenziata.

    Per il nuovo disco, scegliere la stessa posizione e la stessa zona di disponibilità assegnate alla macchina virtuale di origine. Si noti che sarà anche necessario duplicare queste stesse impostazioni quando si crea la macchina virtuale di ripristino nel passaggio successivo.

  3. Creare una macchina virtuale basata su Windows Server 2016 Datacenter da usare come macchina virtuale di ripristino. assicurarsi di assegnare la macchina virtuale alla stessa area e alla stessa zona di disponibilità usata per il nuovo disco creato nel passaggio 2.

  4. Nella pagina Dischi della procedura guidata Crea macchina virtuale collegare come disco dati il nuovo disco appena creato dallo snapshot.

    Screenshot della pagina Dischi della creazione guidata di una macchina virtuale, con un disco evidenziato insieme all'opzione per collegare un disco esistente.

    Importante

    Assicurarsi di aggiungere il disco durante la creazione della macchina virtuale. È solo durante la creazione della macchina virtuale che vengono rilevate le impostazioni di crittografia. Ciò consente l'aggiunta automatica di un volume contenente la chiave BEK.

  5. Dopo aver creato la macchina virtuale di ripristino, accedere alla macchina virtuale e aprire Gestione disco (Diskmgmt.msc). In Gestione disco individuare il volume BEK. Per impostazione predefinita, nessuna lettera di unità viene assegnata a questo volume.

    Screenshot della gestione dei dischi con volume bek evidenziato

  6. Per assegnare una lettera di unità al volume BEK, fare clic con il pulsante destro del mouse sul volume BEK e quindi scegliere Cambia lettera unità e percorsi.

    Screenshot del menu di scelta rapida del volume bek, con l'opzione Cambia lettera di unità e percorsi evidenziata

  7. Selezionare Aggiungi per assegnare una lettera di unità al volume BEK. In questo processo, la lettera predefinita è la più frequente H. Selezionare OK.

    La finestra di dialogo Aggiungi lettera di unità o percorso, con l'opzione evidenziata per assegnare la lettera di unità seguente.

  8. In Esplora file selezionare Questo PC nel riquadro sinistro. Verrà ora visualizzato il volume BEK elencato. Si noti anche il volume contrassegnato da un'icona di blocco. Si tratta del disco crittografato collegato al momento della creazione della macchina virtuale. Nell'esempio seguente, al disco crittografato viene assegnata la lettera di unità G.

    Screenshot di This P C in Windows con un volume bloccato e un volume bek

  9. Per sbloccare il disco crittografato, è necessario avere il nome del file con estensione bek all'interno del volume BEK. Tuttavia, per impostazione predefinita, i file nel volume BEK sono nascosti. Al prompt dei comandi immettere il comando seguente per visualizzare i file nascosti:

    dir <DRIVE LETTER ASSIGNED TO BEK VOLUME>: /a:h /b /s

    Ad esempio, se la lettera di unità assegnata al volume BEK è H, immettere il comando seguente:

    dir H: /a:h /b /s

    Verrà visualizzato un output simile al seguente:

    H:\66ABF036-E331-4B67-A667-D1A8B47B4DAB.BEK
H:\System Volume Information

    La prima voce è il nome percorso del file BEK. Nel passaggio successivo si userà il percorso completo.

  10. Al prompt dei comandi immettere il comando seguente:

    manage-bde -unlock <ENCRYPTED DRIVE LETTER>: -RecoveryKey <.BEK FILE PATH>

    Ad esempio, se G è l'unità crittografata e il file BEK è uguale a quello elencato nell'esempio precedente, immettere quanto segue:

    manage-bde -unlock G: -RecoveryKey H:\66ABF036-E331-4B67-A667-D1A8B47B4DAB.BEK

    Verrà visualizzato un messaggio che indica che il file BEK ha sbloccato correttamente il volume specificato. E in Esplora file si può vedere che l'unità non è più bloccata.

    Screenshot di Questo P C con un'unità contrassegnata da un'icona di un lucchetto aperto.

  11. Ora che è possibile accedere al volume, è possibile completare la risoluzione dei problemi e le mitigazioni in base alle esigenze, ad esempio leggendo i log o eseguendo uno script.

  12. Dopo aver ripristinato il disco, usare la procedura seguente per sostituire il disco del sistema operativo della macchina virtuale di origine con il disco appena riparato.

Risoluzione 3: Metodo manuale per sbloccare un disco crittografato in una macchina virtuale di ripristino

È possibile sbloccare manualmente il disco seguendo questa procedura se è necessario sbloccare un disco crittografato a doppio passaggio (ADE versione 1) o un disco non gestito oppure se gli altri metodi hanno esito negativo.

Creare la macchina virtuale di ripristino e collegare il disco del sistema operativo della macchina virtuale di origine

  1. Se il disco del sistema operativo crittografato della macchina virtuale di origine è un disco gestito, seguire i passaggi da 1 a 4 nel metodo 2 per collegare una copia del disco bloccato a una macchina virtuale di ripristino.

    Se il processo di creazione di una nuova macchina virtuale di ripristino con disco crittografato collegato si blocca o non riesce (ad esempio, restituisce un messaggio che indica che contiene impostazioni di crittografia e pertanto non può essere usato come disco dati), è possibile creare prima la macchina virtuale senza collegare il disco crittografato. Dopo aver creato la macchina virtuale di ripristino, collegare il disco crittografato alla macchina virtuale tramite il portale di Azure.

  2. Se il disco del sistema operativo crittografato della macchina virtuale di origine è un disco non gestito, vedere Collegare un disco non gestito a una macchina virtuale per il ripristino offline.

Installare il modulo Az PowerShell nella macchina virtuale di ripristino

Il metodo di risoluzione manuale per sbloccare un disco crittografato offline si basa sul modulo Az in PowerShell. Pertanto, è necessario installare questo modulo nella macchina virtuale di ripristino.

  1. Connettersi alla macchina virtuale di ripristino tramite RDP.

  2. Nella macchina virtuale di ripristino, in Server Manager selezionare Server locale e quindi disattivare Configurazione sicurezza avanzata di Internet Explorer per gli amministratori.

    Screenshot della finestra di dialogo per la configurazione di sicurezza avanzata di Internet Explorer, con l'impostazione disattivata per gli amministratori.

    Screenshot di Server Manager che mostra la configurazione di sicurezza avanzata di Internet Explorer disattivata.

  3. Nella macchina virtuale di ripristino aprire una finestra di PowerShell con privilegi elevati.

  4. Impostare il protocollo di sicurezza delle API HTTP su TLS 1.2 per la sessione corrente immettendo il comando seguente.

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    Note

    Il protocollo di sicurezza verrà ripristinato al valore predefinito dopo aver chiuso la sessione corrente.

  5. Scarica l'ultima versione del pacchetto Nuget:

    Install-PackageProvider -Name "Nuget" -Force

  6. Al termine del prompt, installare la versione più recente del pacchetto PowerShellGet.

    Install-Module -Name PowerShellGet -Force

  7. Al termine della richiesta, chiudere la finestra di PowerShell. Aprire quindi una nuova finestra di PowerShell con privilegi elevati per avviare una nuova sessione di PowerShell.

  8. Al prompt di PowerShell installare la versione più recente del modulo Az di Azure:

    Install-Module -Name Az -Scope AllUsers -Repository PSGallery -Force

  9. Quando viene restituito il prompt, installare il pacchetto Az.Account 1.9.4:

    Install-Module -Name Az.Accounts -Scope AllUsers -RequiredVersion "1.9.4" -Repository PSGallery -Force

Recuperare il nome del file BEK

  1. Nella portale di Azure passare all'insieme di credenziali delle chiavi usato per crittografare la macchina virtuale di origine. Se non si conosce il nome dell'insieme di credenziali delle chiavi, immettere il comando seguente al prompt di Azure Cloud Shell e cercare il valore accanto a "sourceVault" nell'output:

    az vm encryption show --name MyVM --resource-group MyResourceGroup

  2. Nel menu a sinistra selezionare Criteri di accesso.

  3. Nei criteri di accesso dell'insieme di credenziali delle chiavi assicurarsi che all'account utente usato per accedere alla sottoscrizione di Azure siano concesse le autorizzazioni seguenti: Operazioni di gestione delle chiavi: Get, List, Update, Create Cryptographic Operations: Unwrap key Secret Permissions: Get, List, Set

  4. Tornare alla macchina virtuale di ripristino e alla finestra di PowerShell con privilegi elevati.

  5. Impostare il protocollo di sicurezza delle API HTTP su TLS 1.2 per la sessione corrente immettendo il comando seguente.

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

  6. Immettere il comando seguente per avviare il processo di accesso alla sottoscrizione di Azure, sostituendo "[SubscriptionID]" con l'ID sottoscrizione di Azure:

    Add-AzAccount -SubscriptionID <SubscriptionID>

  7. Seguire le istruzioni per completare il processo di accesso alla sottoscrizione di Azure.

  8. Nella macchina virtuale di ripristino aprire una finestra windows PowerShell ISE con privilegi elevati ed espandere il riquadro script (in alto).

  9. Nella finestra di PowerShell ISE con privilegi elevati incollare lo script seguente nel riquadro di script vuoto. Sostituire "myVM" con la macchina virtuale di origine (non riuscita) e "myKeyVault" con il nome dell'insieme di credenziali delle chiavi.

        if ((Get-AzContext) -ne $Null)
{

$vmName = "MyVM"
$vault = "myKeyVault"

# Get the Secrets for all VM Drives from Azure Key Vault
Get-AzKeyVaultSecret -VaultName $vault | where {($_.Tags.MachineName -eq $vmName) -and ($_.ContentType -match 'BEK')} `
    | Sort-Object -Property Created `
    | ft  Created, `
        @{Label="Content Type";Expression={$_.ContentType}}, `
        @{Label ="Volume"; Expression = {$_.Tags.VolumeLetter}}, `
        @{Label ="DiskEncryptionKeyFileName"; Expression = {$_.Tags.DiskEncryptionKeyFileName}}, `
        @{Label ="URL"; Expression = {$_.Id}}
}
else 
{
    Write-Output "Please log in first with Add-AzAccount"
}

  10. Selezionare Esegui script per eseguire lo script.

  11. Nell'output cercare il valore sotto DiskEncryptionKeyFileName come nome del file BEK.

    Nell'output di esempio seguente il nome del file BEK (nome segreto + ". L'estensione di file BEK) è AB4FE364-4E51-4034-8E09-0087C3D51C18. BEK. Registrare questo valore perché verrà usato nel passaggio successivo. Se vengono visualizzati due volumi duplicati, il volume con il timestamp più recente è il file BEK corrente usato dalla macchina virtuale di ripristino.

    Screenshot dell'output di PowerShell in una tabella che mostra il nome del file della chiave di crittografia del disco per un bek di cui è stato eseguito il wrapping.

  12. Se il valore Content Type nell'output è Wrapped BEK, come nell'esempio precedente, passare a Download e annullare il wrapping della chiave BEK. Se il valore Del tipo di contenuto nell'output è semplicemente BEK, come nell'esempio seguente, passare alla sezione successiva per scaricare la chiave BEK nella macchina virtuale di ripristino.

    Screenshot dell'output di PowerShell in una tabella che mostra il nome del file della chiave di crittografia del disco per un tipo di contenuto bek.

Scaricare il BEK nella macchina virtuale di ripristino

  1. Nella macchina virtuale di ripristino creare una cartella denominata "BEK" (senza virgolette) nella radice del volume C.

  2. Copiare e incollare lo script di esempio seguente in un riquadro di script ISE di PowerShell vuoto.

    Note

    Sostituire i valori per "$vault" e "$bek" con i valori per l'ambiente. Per il valore $bek, usare il nome del segreto ottenuto nell'ultima procedura. Il nome del segreto è il nome del file BEK senza l'estensione del nome di file ".bek".)

    $vault = "myKeyVault"
$bek = "EF7B2F5A-50C6-4637-0001-7F599C12F85C"
$keyVaultSecret = Get-AzKeyVaultSecret -VaultName $vault -Name $bek
$bstr = [Runtime.InteropServices.Marshal]::SecureStringToBSTR($keyVaultSecret.SecretValue)
$bekSecretBase64 = [Runtime.InteropServices.Marshal]::PtrToStringAuto($bstr)
$bekFileBytes = [Convert]::FromBase64String($bekSecretbase64)
$path = "C:\BEK\DiskEncryptionKeyFileName.BEK"
[System.IO.File]::WriteAllBytes($path,$bekFileBytes)

  3. Nella finestra PowerShell ISE selezionare Esegui script. Se lo script viene eseguito correttamente, non verrà visualizzato alcun messaggio di output o di completamento. Tuttavia, il nuovo file verrà creato nella cartella C:\BEK . (L'oggetto La cartella C:\BEK deve già esistere.

  4. Passare a Verificare che lo script sia stato completato correttamente.

Scaricare e annullare il wrapping della chiave BEK

  1. Nella macchina virtuale di ripristino creare una cartella denominata "BEK" (senza virgolette) nella radice del volume C.

  2. Registrare i valori seguenti nel Blocco note. Verrà richiesto di specificarli durante l'esecuzione dello script.

    • secretUrl. Si tratta dell'URL del segreto archiviato nell'insieme di credenziali delle chiavi. Un URL di segreto valido usa il formato seguente: <<https://[key> nome dell'insieme di credenziali].vault.azure.net/secrets/[NOME BEK]/[ID versione]>

      Per trovare questo valore nella portale di Azure, passare al pannello Segreti nell'insieme di credenziali delle chiavi. Selezionare il nome BEK determinato nel passaggio precedente, Recuperare il nome del file BEK. Selezionare l'identificatore di versione corrente e quindi leggere l'URL dell'identificatore segreto sotto Proprietà. È possibile copiare questo URL negli Appunti.

      Screenshot delle proprietà del segreto in portale di Azure, con l'identificatore segreto U R L.

    • keyVaultResourceGroup. Gruppo di risorse dell'insieme di credenziali delle chiavi.

    • kekUrl. Si tratta dell'URL della chiave usata per proteggere la chiave BEK. Un URL kek valido usa il formato seguente: <<https://[key> nome dell'insieme di credenziali].vault.azure.net/keys/[nome chiave]/[ID versione]>

      È possibile ottenere questo valore nel portale di Azure passando al pannello Chiavi nell'insieme di credenziali delle chiavi, selezionando il nome della chiave usata come chiave kek, selezionando l'identificatore di versione corrente e quindi leggendo l'URL dell'identificatore di chiave sotto Proprietà. È possibile copiare questo URL negli Appunti.

    • secretFilePath. Si tratta del percorso completo in cui archiviare il file BEK. Ad esempio, se il nome del file BEK è AB4FE364-4E51-4034-8E06-0087C3D51C18. BEK, è possibile immettere C:\BEK\AB4FE364-4E51-4034-8E06-0087C3D51C18. BEK. (L'oggetto La cartella C:\BEK deve già esistere.

  3. Passare alla pagina seguente per scaricare lo script usato per generare il file BEK per sbloccare il disco crittografato.

  4. Nella pagina selezionare Raw (Non elaborato).

  5. Copiare e incollare il contenuto dello script in un riquadro di script vuoto in una finestra di PowerShell ISE con privilegi elevati nella macchina virtuale di ripristino.

  6. Selezionare Esegui script.

  7. Quando richiesto, specificare i valori registrati prima di eseguire lo script. Se viene richiesto da un messaggio Repository non attendibile, selezionare Sì a Tutti. Se lo script viene eseguito correttamente, verrà creato un nuovo file nella cartella C:\BEK . Questa cartella deve già esistere.

Verificare che lo script sia stato eseguito correttamente

  1. Passare alla cartella C:\BEK nel computer locale e individuare il nuovo file di output.

  2. Aprire il file nel Blocco note. Se lo script è stato eseguito correttamente, è possibile trovare la frase Protezione con chiave dell'estensione BitLocker nella riga superiore del file se si scorre verso destra.

    Screenshot di un file di testo aperto nel Blocco note, con le parole Protezione con chiave dell'estensione Bitlocker evidenziata.

Sbloccare il disco collegato

È ora possibile sbloccare il disco crittografato.

  1. Nella macchina virtuale di ripristino, in Gestione disco portare online il disco crittografato collegato, se non è già online. Prendere nota della lettera di unità del volume crittografato di BitLocker.

  2. Al prompt dei comandi immettere il comando seguente.

    Note

    In questo comando sostituire "<ENCRYPTED DRIVE LETTER>" con la lettera del volume crittografato e "<. BEK FILE PATH>" con il percorso completo del file BEK appena creato nella cartella C:\BEK.

    manage-bde -unlock <ENCRYPTED DRIVE LETTER>: -RecoveryKey <.BEK FILE PATH>

    Ad esempio, se l'unità crittografata è F e il nome del file BEK è "DiskEncryptionKeyFileName.BEK", eseguire il comando seguente:

    manage-bde -unlock F: -RecoveryKey C:\BEK\DiskEncryptionKeyFileName.BEK

    Se l'unità crittografata è F e il nome del file BEK è "EF7B2F5A-50C6-4637-9F13-7F599C12F85C. BEK", eseguire il comando seguente:

    manage-bde -unlock F: -RecoveryKey C:\BEK\EF7B2F5A-50C6-4637-9F13-7F599C12F85C.BEK

    Verrà visualizzato un output simile all'esempio seguente:

    The file "C:\BEK\0D44E996-4BF3-4EB0-B990-C43C250614A4.BEK" successfully unlocked volume F:.

  3. Ora che è possibile accedere al volume, è possibile eseguire la risoluzione dei problemi e la mitigazione in base alle esigenze, ad esempio leggendo i log o eseguendo uno script.

    Importante

    Il processo di sblocco consente di accedere al disco, ma non decrittografa il disco. Il disco rimane crittografato dopo averlo sbloccato. Se è necessario decrittografare il disco, usare il comando manage-bde <volume> -off per avviare il processo di decrittografia e l'unità> manage-bde <-status per controllare lo stato di avanzamento della decrittografia.

  4. Al termine delle riparazioni e, se il disco è gestito, è possibile passare a Sostituire il disco del sistema operativo della macchina virtuale di origine (dischi gestiti). Se invece il disco non è gestito, è possibile usare i passaggi basati sull'interfaccia della riga di comando descritti qui: Sostituire il disco del sistema operativo nella macchina virtuale di origine

Sostituire il disco del sistema operativo della macchina virtuale di origine (dischi gestiti)

  1. Dopo aver riparato il disco, aprire il pannello Dischi per la macchina virtuale di riparazione nel portale di Azure. Scollegare la copia del disco del sistema operativo VM di origine. Per fare ciò, individuare la riga per il nome del disco associato in Disco dati, selezionare la "X" sul lato destro di tale riga, quindi selezionare Salva.

    Screenshot di un disco dati selezionato nel pannello Dischi nel portale di Azure, con il simbolo X evidenziato accanto.

  2. Nella portale di Azure passare alla macchina virtuale di origine (interrotta) e aprire il pannello Dischi. Selezionare quindi Scambia disco del sistema operativo per sostituire il disco del sistema operativo esistente con quello ripristinato.

    Screenshot del pannello Dischi con l'opzione Scambia disco S evidenziata.

  3. Selezionare il nuovo disco ripristinato e quindi immettere il nome della macchina virtuale per verificare la modifica. Se non vedi il disco nell'elenco, attendi da 10 a 15 minuti dopo aver scollegato il disco dalla macchina virtuale per la risoluzione dei problemi.

  4. Seleziona OK.

Operazioni successive

Se si verificano problemi di connessione alla macchina virtuale, vedere Risolvere i problemi relativi alle connessioni desktop remoto a una macchina virtuale di Azure. Per problemi con l'accesso alle applicazioni in esecuzione sulla macchina virtuale, vedere Risolvere i problemi di connettività delle applicazioni su una macchina virtuale Windows.

Contattaci per ricevere assistenza

In caso di domande o bisogno di assistenza, creare una richiesta di supporto tecnico oppure formula una domanda nel Supporto della community di Azure. È possibile anche inviare un feedback sul prodotto al feedback della community di Azure.