Udostępnij za pośrednictwem

Odblokowywanie zaszyfrowanego dysku na potrzeby naprawy w trybie offline

  • Artykuł

Dotyczy: ✔️ maszyny wirtualne z systemem Windows

W tym artykule opisano sposób odblokowywania zaszyfrowanego dysku systemu operacyjnego na oddzielnej maszynie wirtualnej (nazywanej maszyną wirtualną naprawy), aby umożliwić korygowanie w trybie offline i rozwiązywanie problemów na tym dysku.

Symptomy

Jeśli naprawiasz dysk systemu operacyjnego maszyny wirtualnej z systemem Windows w trybie offline, dysk może pojawić się zablokowany po dołączeniu go do maszyny wirtualnej naprawy, jak pokazano poniżej. W takim przypadku usługa Azure Disk Encryption (ADE) jest włączona na dysku. Nie będzie można wykonać żadnych działań zaradczych na tym dysku z maszyny wirtualnej naprawy, dopóki dysk nie zostanie odblokowany.

Zrzut ekranu przedstawiający mój P C wolumin G z ikoną blokady.

Tło

Niektóre scenariusze rozwiązywania problemów wymagają wykonania naprawy dysku wirtualnego w trybie offline na platformie Azure. Jeśli na przykład maszyna wirtualna z systemem Windows jest niedostępna, wyświetla błędy dysku lub nie można uruchomić, możesz uruchomić kroki rozwiązywania problemów na dysku systemu operacyjnego, dołączając ją do oddzielnej maszyny wirtualnej naprawy (nazywanej również maszyną wirtualną odzyskiwania lub ratunkową maszyną wirtualną).

Jeśli jednak dysk jest szyfrowany przy użyciu usługi ADE, dysk pozostanie zablokowany i niedostępny, gdy jest dołączony do maszyny wirtualnej naprawy do momentu odblokowania dysku. Aby odblokować dysk, należy użyć tego samego klucza szyfrowania funkcji BitLocker (BEK), który został pierwotnie użyty do jego zaszyfrowania. Ten klucz szyfrowania kluczy (i opcjonalnie klucz szyfrujący klucz [KEK], który szyfruje lub "opakowuje" klucz szyfrowania kluczy) będzie przechowywany w magazynie kluczy platformy Azure zarządzanym przez organizację.

Cel cząstkowy

Procedury opisane w tym artykule opisują metody, których można użyć do dołączenia zaszyfrowanego dysku systemu operacyjnego do maszyny wirtualnej naprawy, a następnie odblokowania tego dysku. Po odblokowaniu dysku można go naprawić. Ostatnim krokiem jest zastąpienie dysku systemu operacyjnego na oryginalnej maszynie wirtualnej nowo naprawioną wersją.

Przygotowywanie

Przed dołączeniem dysku systemu operacyjnego, który zakończył się niepowodzeniem, wykonaj następujące czynności na maszynie wirtualnej naprawy:

  1. Upewnij się, że usługa ADE jest włączona na dysku.
  2. Ustal, czy dysk systemu operacyjnego używa SZYFROWANIA ADE w wersji 1 (szyfrowanie dwuprzepustowe) lub ADE w wersji 2 (szyfrowanie jednoprzepustowe).
  3. Określ, czy dysk systemu operacyjnego jest zarządzany, czy niezarządzany.
  4. Wybierz metodę, aby dołączyć dysk do naprawy maszyny wirtualnej i odblokować dysk.

Upewnij się, że usługa ADE jest włączona na dysku

Ten krok można wykonać w witrynie Azure Portal, programie PowerShell lub interfejsie wiersza polecenia platformy Azure (interfejs wiersza polecenia platformy Azure).

Azure Portal

Wyświetl blok Przegląd dla maszyny wirtualnej, która zakończyła się niepowodzeniem w witrynie Azure Portal. Poniżej dysku szyfrowanie dysków platformy Azure będzie wyświetlane jako Włączone lub Nie włączone, jak pokazano na poniższym zrzucie ekranu.

Zrzut ekranu przedstawiający blok przeglądu maszyny wirtualnej W witrynie Azure Portal przedstawiający włączoną usługę A D E na dysku.

PowerShell

Za pomocą Get-AzVmDiskEncryptionStatus polecenia cmdlet można określić, czy woluminy systemu operacyjnego i/lub danych maszyny wirtualnej są szyfrowane przy użyciu usługi ADE. Następujące przykładowe dane wyjściowe wskazują, że szyfrowanie usługi ADE jest włączone na woluminie systemu operacyjnego:

PS /home/me> Get-AzVmDiskEncryptionStatus -ResourceGroupName "MyRg01" -VMName "MyVm01" 
OsVolumeEncrypted          : Encrypted
DataVolumesEncrypted       : NoDiskFound
OsVolumeEncryptionSettings : Microsoft.Azure.Management.Compute.Models.DiskEncryptionSettings
ProgressMessage            : Extension status not available on the VM

Aby uzyskać więcej informacji na temat Get-AzureRmDiskEncryptionStatus polecenia cmdlet, zobacz Get-AzVMDiskEncryptionStatus (Az.Compute).

Interfejs wiersza polecenia platformy Azure

Możesz użyć az vm encryption show polecenia w interfejsie wiersza polecenia platformy Azure z dołączonym zapytaniem disks[].encryptionSettings[].enabled , aby określić, czy usługa ADE jest włączona na dyskach maszyny wirtualnej. Następujące dane wyjściowe wskazują, że szyfrowanie ADE jest włączone.

az vm encryption show --name MyVM --resource-group MyResourceGroup --query "disks[].encryptionSettings[].enabled"

[
  true
]

Aby uzyskać więcej informacji na temat az vm encryption show polecenia, zobacz az vm encryption show.

Uwaga 16.

Naprawa w trybie offline dla dysków niezaszyfrowanych

Jeśli ustalisz, że usługa ADE nie jest włączona na dysku, zapoznaj się z następującym artykułem, aby uzyskać instrukcje dotyczące dołączania dysku do maszyny wirtualnej naprawy: Rozwiązywanie problemów z maszyną wirtualną z systemem Windows przez dołączenie dysku systemu operacyjnego do maszyny wirtualnej odzyskiwania za pośrednictwem witryny Azure Portal

Ustal, czy dysk systemu operacyjnego korzysta z usługi ADE w wersji 1 (szyfrowanie dwuprzepustowe) lub ADE w wersji 2 (szyfrowanie jednoprzepustowe)

Numer wersji programu ADE można znaleźć w witrynie Azure Portal, otwierając właściwości maszyny wirtualnej, a następnie klikając pozycję Rozszerzenia , aby otworzyć blok Rozszerzenia . W bloku Rozszerzenia wyświetl numer wersji przypisany do usługi AzureDiskEncryption. Jeśli numer wersji to 1, dysk używa szyfrowania dwuprzepustowego. Jeśli numer wersji to 2 lub nowsza wersja, dysk używa szyfrowania jednoprzepustowego.

Zrzut ekranu przedstawiający blok rozszerzeń przedstawiający szyfrowanie dysków platformy Azure w wersji 2.

Jeśli ustalisz, że dysk korzysta z szyfrowania ADE w wersji 1 (szyfrowanie dwuprzepustowe), możesz przejść do pozycji Rozwiązanie nr 3: Metoda ręczna w celu odblokowania zaszyfrowanego dysku na naprawie maszyny wirtualnej.

Określanie, czy dysk systemu operacyjnego jest zarządzany, czy niezarządzany

Jeśli nie wiesz, czy dysk systemu operacyjnego jest zarządzany, czy niezarządzany, zobacz Określanie, czy dysk systemu operacyjnego jest zarządzany, czy niezarządzany.

Jeśli wiesz, że dysk systemu operacyjnego jest dyskiem niezarządzanym, przejdź do pozycji Rozwiązanie nr 3: Metoda ręczna, aby odblokować zaszyfrowany dysk na maszynie wirtualnej naprawy.

Wybierz metodę, aby dołączyć dysk do naprawy maszyny wirtualnej i odblokować dysk

Należy wybrać jedną z trzech metod dołączania dysku do maszyny wirtualnej naprawy i odblokowywania dysku:

Rozwiązanie nr 1: Automatyczna metoda odblokowywania zaszyfrowanego dysku na naprawianej maszynie wirtualnej

Ta metoda opiera się na poleceniach az vm repair, aby automatycznie utworzyć maszynę wirtualną naprawy , dołączyć nieudany dysk systemu operacyjnego i odblokować dysk, jeśli jest zaszyfrowany. Działa tylko w przypadku dysków zarządzanych z jedną passą i wymaga użycia publicznego adresu IP na potrzeby naprawy maszyny wirtualnej. Ta metoda odblokuje zaszyfrowany dysk niezależnie od tego, czy klucz szyfrowania funkcji BitLocker (BEK) jest niezapisany lub opakowany przy użyciu klucza szyfrowania klucza (KEK).

Aby naprawić maszynę wirtualną przy użyciu tej zautomatyzowanej metody, zobacz Naprawianie maszyny wirtualnej z systemem Windows przy użyciu poleceń naprawy maszyny wirtualnej platformy Azure.

Uwaga 16.

Jeśli automatyczne rozwiązywanie problemów zakończy się niepowodzeniem, przejdź do sekcji Rozwiązanie nr 2: Metoda częściowo zautomatyzowana w celu odblokowania zaszyfrowanego dysku na maszynie wirtualnej naprawy.

Rozwiązanie nr 2: Metoda częściowo zautomatyzowana w celu odblokowania zaszyfrowanego dysku na naprawianej maszynie wirtualnej

Częściowo zautomatyzowana rozdzielczość odblokowuje dysk zarządzany zaszyfrowany z jednym przekazywaniem bez konieczności używania publicznego adresu IP na potrzeby naprawy maszyny wirtualnej.

Korzystając z tej procedury, ręcznie utworzysz maszynę wirtualną, która ma dołączony dysk systemu operacyjnego źródłowej maszyny wirtualnej (niepowodzenie). Po dołączeniu zaszyfrowanego dysku podczas tworzenia maszyny wirtualnej maszyna wirtualna automatycznie pobiera klucz szyfrowania danych z magazynu kluczy platformy Azure i przechowuje go w woluminie szyfrowania kluczy. Następnie użyj krótkiej serii kroków, aby uzyskać dostęp do klucza szyfrowania danych i odblokować zaszyfrowany dysk. W tym procesie klucz szyfrowania plików jest automatycznie rozpasany w razie potrzeby.

  1. W witrynie Azure Portal utwórz migawkę zaszyfrowanego dysku systemu operacyjnego na źródłowej maszynie wirtualnej (niepowodzenie).

  2. Utwórz dysk na podstawie tej migawki.

    Zrzut ekranu przedstawiający blok przeglądu migawki z wyróżnioną opcją tworzenia dysku.

    Dla nowego dysku wybierz tę samą lokalizację i strefę dostępności, która została przypisana do źródłowej maszyny wirtualnej. Pamiętaj, że podczas tworzenia naprawy maszyny wirtualnej w następnym kroku należy również zduplikować te same ustawienia.

  3. Utwórz maszynę wirtualną opartą na systemie Windows Server 2016 Datacenter do użycia jako naprawa maszyny wirtualnej. Upewnij się, że maszyna wirtualna została przypisana do tego samego regionu i strefy dostępności używanej dla nowego dysku utworzonego w kroku 2.

  4. Na stronie Dyski kreatora Tworzenie maszyny wirtualnej dołącz jako dysk danych nowy dysk utworzony na podstawie migawki.

    Zrzut ekranu przedstawiający stronę Dyski kreatora tworzenia maszyny wirtualnej z wyróżnionym dyskiem wraz z opcją dołączenia istniejącego dysku.

    Ważne

    Upewnij się, że podczas tworzenia maszyny wirtualnej dodano dysk. Jest to tylko podczas tworzenia maszyny wirtualnej, że ustawienia szyfrowania są wykrywane. Umożliwia to automatyczne dodawanie woluminu zawierającego klucz szyfrowania szyfrowania danych.

  5. Po utworzeniu maszyny wirtualnej naprawy zaloguj się do maszyny wirtualnej i otwórz pozycję Zarządzanie dyskami (Diskmgmt.msc). W obszarze Zarządzanie dyskami znajdź wolumin BEK. Domyślnie do tego woluminu nie jest przypisywana żadna litera dysku.

    Zrzut ekranu przedstawiający zarządzanie dyskami z wyróżnionym woluminem bek

  6. Aby przypisać literę dysku do woluminu BEK, kliknij prawym przyciskiem myszy wolumin BEK, a następnie wybierz polecenie Zmień literę dysku i ścieżki.

    Zrzut ekranu przedstawiający menu skrótów woluminu bek z wyróżnioną opcją zmień literę dysku i ścieżki

  7. Wybierz pozycję Dodaj , aby przypisać literę dysku do woluminu BEK. W tym procesie domyślna litera to najczęściej H. Wybierz przycisk OK.

    Okno dialogowe Dodawanie litery dysku lub ścieżki z wyróżnioną opcją w celu przypisania następującej litery dysku.

  8. W Eksplorator plików wybierz pozycję Ten komputer w okienku po lewej stronie. Zostanie wyświetlony wolumin BEK. Zwróć również uwagę na wolumin oznaczony ikoną blokady. Jest to zaszyfrowany dysk dołączony podczas tworzenia maszyny wirtualnej. (W poniższym przykładzie zaszyfrowany dysk ma przypisaną literę dysku G).

    Zrzut ekranu przedstawiający ten P C w systemie Windows z zablokowanym woluminem i woluminem odciętym

  9. Aby odblokować zaszyfrowany dysk, musisz mieć nazwę pliku bek w woluminie BEK. Jednak domyślnie pliki w woluminie BEK są ukryte. W wierszu polecenia wprowadź następujące polecenie, aby wyświetlić ukryte pliki:

    dir <DRIVE LETTER ASSIGNED TO BEK VOLUME>: /a:h /b /s

    Jeśli na przykład litera dysku przypisana do woluminu BEK to H, należy wprowadzić następujące polecenie:

    dir H: /a:h /b /s

    Powinny zostać wyświetlone dane wyjściowe podobne do następujących:

    H:\66ABF036-E331-4B67-A667-D1A8B47B4DAB.BEK
H:\System Volume Information

    Pierwszym wpisem jest nazwa ścieżki pliku BEK. W następnym kroku użyjesz pełnej nazwy ścieżki.

  10. W wierszu polecenia wprowadź następujące polecenie:

    manage-bde -unlock <ENCRYPTED DRIVE LETTER>: -RecoveryKey <.BEK FILE PATH>

    Jeśli na przykład G jest zaszyfrowanym dyskiem, a plik BEK jest taki sam jak ten, który jest wymieniony w poprzednim przykładzie, należy wprowadzić następujące polecenie:

    manage-bde -unlock G: -RecoveryKey H:\66ABF036-E331-4B67-A667-D1A8B47B4DAB.BEK

    Zostanie wyświetlony komunikat wskazujący, że plik BEK pomyślnie odblokował określony wolumin. W Eksplorator plików widać, że dysk nie jest już zablokowany.

    Zrzut ekranu przedstawiający ten P C z dyskiem oznaczonym ikoną otwartego kłódki.

  11. Teraz, gdy możesz uzyskać dostęp do woluminu, możesz ukończyć rozwiązywanie problemów i środki zaradcze, na przykład odczytując dzienniki lub uruchamiając skrypt.

  12. Po naprawieniu dysku użyj poniższej procedury, aby zastąpić źródłowy dysk systemu operacyjnego maszyny wirtualnej nowo naprawionym dyskiem.

Rozwiązanie nr 3: Metoda ręczna odblokowania zaszyfrowanego dysku na maszynie wirtualnej naprawy

Dysk można odblokować ręcznie, wykonując tę procedurę, jeśli musisz odblokować dysk zaszyfrowany z podwójnym przekazywaniem (ADE w wersji 1) lub dysk niezarządzany lub jeśli inne metody nie powiedzą się.

Tworzenie maszyny wirtualnej naprawy i dołączanie źródłowego dysku systemu operacyjnego maszyny wirtualnej

  1. Jeśli zaszyfrowany dysk systemu operacyjnego źródłowej maszyny wirtualnej jest dyskiem zarządzanym, wykonaj kroki 1–4 w metodzie 2, aby dołączyć kopię zablokowanego dysku do naprawy maszyny wirtualnej.

    Jeśli proces tworzenia nowej maszyny wirtualnej naprawy, która ma dołączony zaszyfrowany dysk zawiesza się lub kończy się niepowodzeniem (na przykład zwraca komunikat informujący o tym, że "zawiera ustawienia szyfrowania i dlatego nie można go użyć jako dysku danych), możesz najpierw utworzyć maszynę wirtualną bez dołączania zaszyfrowanego dysku. Po utworzeniu maszyny wirtualnej naprawy dołącz zaszyfrowany dysk do maszyny wirtualnej za pośrednictwem witryny Azure Portal.

  2. Jeśli zaszyfrowany dysk systemu operacyjnego źródłowej maszyny wirtualnej jest dyskiem niezarządzanym, zobacz Dołączanie dysku niezarządzanego do maszyny wirtualnej w celu naprawy w trybie offline.

Instalowanie modułu Az programu PowerShell na maszynie wirtualnej naprawy

Metoda ręcznego rozpoznawania odblokowania zaszyfrowanego dysku w trybie offline opiera się na module Az w programie PowerShell. W związku z tym należy zainstalować ten moduł na maszynie wirtualnej naprawy.

  1. Połącz się z maszyną wirtualną naprawy za pośrednictwem protokołu RDP.

  2. Na maszynie wirtualnej naprawy w Menedżer serwera wybierz pozycję Serwer lokalny, a następnie wyłącz konfigurację zwiększonych zabezpieczeń programu IE dla administratorów.

    Zrzut ekranu przedstawiający okno dialogowe konfiguracji zwiększonych zabezpieczeń programu Internet Explorer z wyłączonym ustawieniem dla administratorów.

    Zrzut ekranu przedstawiający menedżera serwera z wyłączoną konfiguracją zwiększonych zabezpieczeń programu Internet Explorer.

  3. Na maszynie wirtualnej naprawy otwórz okno programu PowerShell z podwyższonym poziomem uprawnień.

  4. Ustaw protokół zabezpieczeń interfejsów API HTTP na TLS 1.2 dla bieżącej sesji, wprowadzając następujące polecenie.

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

    Uwaga 16.

    Protokół zabezpieczeń zostanie przywrócony do wartości domyślnej po zamknięciu bieżącej sesji.

  5. Pobierz najnowszą wersję pakietu Nuget:

    Install-PackageProvider -Name "Nuget" -Force

  6. Po powrocie monitu zainstaluj najnowszą wersję pakietu PowerShellGet.

    Install-Module -Name PowerShellGet -Force

  7. Po powrocie monitu zamknij okno programu PowerShell. Następnie otwórz nowe okno programu PowerShell z podwyższonym poziomem uprawnień, aby rozpocząć nową sesję programu PowerShell.

  8. W wierszu polecenia programu PowerShell zainstaluj najnowszą wersję modułu Azure Az:

    Install-Module -Name Az -Scope AllUsers -Repository PSGallery -Force

  9. Po wyświetleniu monitu zainstaluj pakiet Az.Account 1.9.4:

    Install-Module -Name Az.Accounts -Scope AllUsers -RequiredVersion "1.9.4" -Repository PSGallery -Force

Pobieranie nazwy pliku BEK

  1. W witrynie Azure Portal przejdź do magazynu kluczy, który został użyty do zaszyfrowania źródłowej maszyny wirtualnej. Jeśli nie znasz nazwy magazynu kluczy, wprowadź następujące polecenie w wierszu polecenia w usłudze Azure Cloud Shell i poszukaj wartości obok pozycji "sourceVault" w danych wyjściowych:

    az vm encryption show --name MyVM --resource-group MyResourceGroup

  2. W menu po lewej stronie wybierz pozycję Zasady dostępu.

  3. W zasadach dostępu magazynu kluczy upewnij się, że konto użytkownika używane do logowania się do subskrypcji platformy Azure ma następujące uprawnienia: Operacje zarządzania kluczami: Pobieranie, Wyświetlanie, Aktualizowanie, Tworzenie operacji kryptograficznych: Odpakowywanie kluczy Uprawnienia wpisu tajnego: Pobieranie, Lista, Ustawianie

  4. Wróć do maszyny wirtualnej naprawy i okna programu PowerShell z podwyższonym poziomem uprawnień.

  5. Ustaw protokół zabezpieczeń interfejsów API HTTP na TLS 1.2 dla bieżącej sesji, wprowadzając następujące polecenie.

    [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12

  6. Wprowadź następujące polecenie, aby rozpocząć proces logowania się do subskrypcji platformy Azure, zastępując ciąg "[SubscriptionID]" identyfikatorem subskrypcji platformy Azure:

    Add-AzAccount -SubscriptionID <SubscriptionID>

  7. Postępuj zgodnie z monitami, aby ukończyć proces logowania się do subskrypcji platformy Azure.

  8. Na maszynie wirtualnej naprawy otwórz okno środowiska Windows PowerShell ISE z podwyższonym poziomem uprawnień i rozwiń okienko skryptu (u góry).

  9. W oknie programu PowerShell ISE z podwyższonym poziomem uprawnień wklej następujący skrypt w pustym okienku skryptu. Zastąp ciąg "myVM" źródłową maszyną wirtualną (niepowodzeniem) i ciągiem "myKeyVault" nazwą magazynu kluczy.

        if ((Get-AzContext) -ne $Null)
{

$vmName = "MyVM"
$vault = "myKeyVault"

# Get the Secrets for all VM Drives from Azure Key Vault
Get-AzKeyVaultSecret -VaultName $vault | where {($_.Tags.MachineName -eq $vmName) -and ($_.ContentType -match 'BEK')} `
    | Sort-Object -Property Created `
    | ft  Created, `
        @{Label="Content Type";Expression={$_.ContentType}}, `
        @{Label ="Volume"; Expression = {$_.Tags.VolumeLetter}}, `
        @{Label ="DiskEncryptionKeyFileName"; Expression = {$_.Tags.DiskEncryptionKeyFileName}}, `
        @{Label ="URL"; Expression = {$_.Id}}
}
else 
{
    Write-Output "Please log in first with Add-AzAccount"
}

  10. Wybierz pozycję Uruchom skrypt , aby uruchomić skrypt.

  11. W danych wyjściowych wyszukaj wartość poniżej diskEncryptionKeyFileName jako nazwę pliku BEK.

    W poniższych przykładowych danych wyjściowych nazwa pliku BEK (nazwa wpisu tajnego + ". Rozszerzenie pliku BEK) jest AB4FE364-4E51-4034-8E09-0087C3D51C18. BEK. Zapisz tę wartość, ponieważ zostanie użyta w następnym kroku. (Jeśli widzisz dwa zduplikowane woluminy, wolumin, który ma nowszy znacznik czasu, jest bieżącym plikiem BEK używanym przez naprawę maszyny wirtualnej).

    Zrzut ekranu przedstawiający dane wyjściowe programu PowerShell w tabeli zawierającej nazwę pliku klucza szyfrowania dysku dla opakowanego klucza.

  12. Jeśli wartość Typ zawartości w danych wyjściowych jest opakowana kluczem BEK, tak jak w powyższym przykładzie, przejdź do pozycji Pobierz i odpakuj klucz szyfrowania. Jeśli wartość Typ zawartości w danych wyjściowych jest po prostu kluczem BEK, jak w poniższym przykładzie, przejdź do następnej sekcji, aby pobrać klucz szyfrowania szyfrowania zawartości do naprawy maszyny wirtualnej.

    Zrzut ekranu przedstawiający dane wyjściowe programu PowerShell w tabeli z nazwą pliku klucza szyfrowania dysku dla typu zawartości bek.

Pobierz klucz szyfrowania szyfrowania aplikacji do naprawy maszyny wirtualnej

  1. Na maszynie wirtualnej naprawy utwórz folder o nazwie "BEK" (bez znaków cudzysłowu) w katalogu głównym woluminu C.

  2. Skopiuj i wklej następujący przykładowy skrypt do pustego okienka skryptu ISE programu PowerShell.

    Uwaga 16.

    Zastąp wartości "$vault" i "$bek" wartościami środowiska. Dla wartości $bek użyj nazwy wpisu tajnego uzyskanego w ostatniej procedurze. (Nazwa wpisu tajnego to nazwa pliku BEK bez rozszerzenia nazwy pliku ".bek".

    $vault = "myKeyVault"
$bek = "EF7B2F5A-50C6-4637-0001-7F599C12F85C"
$keyVaultSecret = Get-AzKeyVaultSecret -VaultName $vault -Name $bek
$bstr = [Runtime.InteropServices.Marshal]::SecureStringToBSTR($keyVaultSecret.SecretValue)
$bekSecretBase64 = [Runtime.InteropServices.Marshal]::PtrToStringAuto($bstr)
$bekFileBytes = [Convert]::FromBase64String($bekSecretbase64)
$path = "C:\BEK\DiskEncryptionKeyFileName.BEK"
[System.IO.File]::WriteAllBytes($path,$bekFileBytes)

  3. W oknie Programu PowerShell ISE wybierz pozycję Uruchom skrypt. Jeśli skrypt zostanie uruchomiony pomyślnie, nie będzie żadnych komunikatów wyjściowych ani komunikatów ukończenia. Jednak nowy plik zostanie utworzony w folderze C:\BEK . (Folder C:\BEK musi już istnieć.

  4. Przejdź do pozycji Sprawdź, czy skrypt został ukończony pomyślnie.

Pobieranie i odpakowywanie klucza szyfrowania

  1. Na maszynie wirtualnej naprawy utwórz folder o nazwie "BEK" (bez znaków cudzysłowu) w katalogu głównym woluminu C.

  2. Zapisz następujące wartości w Notatniku. Zostanie wyświetlony monit o podanie ich po uruchomieniu skryptu.

    • secretUrl. Jest to adres URL wpisu tajnego przechowywanego w magazynie kluczy. Prawidłowy adres URL wpisu tajnego używa następującego formatu: <<https://[key> nazwa magazynu].vault.azure.net/secrets/[NAZWA KLUCZA szyfrowania]/[identyfikator wersji]>

      Aby znaleźć tę wartość w witrynie Azure Portal, przejdź do bloku Wpisy tajne w magazynie kluczy. Wybierz nazwę klucza szyfrowania plików, która została określona w poprzednim kroku, pobierz nazwę pliku BEK. Wybierz bieżący identyfikator wersji, a następnie przeczytaj adres URL identyfikatora wpisu tajnego poniżej właściwości. (Możesz skopiować ten adres URL do schowka).

      Zrzut ekranu przedstawiający właściwości wpisu tajnego w witrynie Azure Portal z identyfikatorem wpisu tajnego U R L.

    • keyVaultResourceGroup. Grupa zasobów magazynu kluczy.

    • kekUrl. Jest to adres URL klucza używanego do ochrony klucza szyfrowania kluczy. Prawidłowy adres URL klucza używa następującego formatu: <<https://[key> nazwa magazynu].vault.azure.net/keys/[nazwa klucza]/[identyfikator wersji]>

      Tę wartość można uzyskać w witrynie Azure Portal, przechodząc do bloku Klucze w magazynie kluczy, wybierając nazwę klucza używanego jako klucz KEK, wybierając bieżący identyfikator wersji, a następnie czytając adres URL identyfikatora klucza poniżej właściwości. (Możesz skopiować ten adres URL do schowka).

    • secretFilePath. Jest to pełna nazwa ścieżki dla lokalizacji do przechowywania pliku BEK w. Jeśli na przykład nazwa pliku BEK to AB4FE364-4E51-4034-8E06-0087C3D51C18. Klucz BEK, można wprowadzić C:\BEK\AB4FE364-4E51-4034-8E06-0087C3D51C18. BEK. (Folder C:\BEK musi już istnieć.

  3. Przejdź do poniższej strony , aby pobrać skrypt używany do generowania pliku szyfrowania plików w celu odblokowania zaszyfrowanego dysku.

  4. Na stronie wybierz pozycję Nieprzetworzone.

  5. Skopiuj i wklej zawartość skryptu do pustego okienka skryptu w oknie środowiska ISE programu PowerShell z podwyższonym poziomem uprawnień na maszynie wirtualnej naprawy.

  6. Wybierz pozycję Uruchom skrypt.

  7. Po wyświetleniu monitu podaj wartości zarejestrowane przed uruchomieniem skryptu. Jeśli zostanie wyświetlony monit z komunikatem Niezaufane repozytorium, wybierz pozycję Tak do wszystkich. Jeśli skrypt zostanie uruchomiony pomyślnie, nowy plik zostanie utworzony w folderze C:\BEK . (Ten folder musi już istnieć).

Sprawdź, czy skrypt został uruchomiony pomyślnie

  1. Przejdź do folderu C:\BEK na komputerze lokalnym i znajdź nowy plik wyjściowy.

  2. Otwórz plik w Notatniku. Jeśli skrypt został uruchomiony poprawnie, po przewinięciu w prawo znajdziesz frazę Funkcja ochrony klucza rozszerzenia funkcji BitLocker w górnym wierszu pliku.

    Zrzut ekranu przedstawiający plik tekstowy otwarty w Notatniku z wyróżnionymi wyrazami Funkcja ochrony klucza rozszerzenia funkcji BitLocker.

Odblokowywanie dołączonego dysku

Teraz możesz odblokować zaszyfrowany dysk.

  1. Na maszynie wirtualnej naprawy w obszarze Zarządzanie dyskami przełącz dołączony zaszyfrowany dysk w tryb online, jeśli nie jest jeszcze w trybie online. Zanotuj literę dysku zaszyfrowanego woluminu funkcji BitLocker.

  2. W wierszu polecenia wprowadź następujące polecenie.

    Uwaga 16.

    W tym poleceniu zastąp ciąg "<ZASZYFROWANA LITERA> DYSKU" literą zaszyfrowanego woluminu i "<. ŚCIEŻKA PLIKU> BEK" z pełną ścieżką do nowo utworzonego pliku BEK w folderze C:\BEK.

    manage-bde -unlock <ENCRYPTED DRIVE LETTER>: -RecoveryKey <.BEK FILE PATH>

    Jeśli na przykład zaszyfrowany dysk to F, a nazwa pliku BEK to "DiskEncryptionKeyFileName.BEK", uruchom następujące polecenie:

    manage-bde -unlock F: -RecoveryKey C:\BEK\DiskEncryptionKeyFileName.BEK

    Jeśli zaszyfrowany dysk ma wartość F, a nazwa pliku BEK to "EF7B2F5A-50C6-4637-9F13-7F599C12F85C. BeK", uruchom następujące polecenie:

    manage-bde -unlock F: -RecoveryKey C:\BEK\EF7B2F5A-50C6-4637-9F13-7F599C12F85C.BEK

    Zostaną wyświetlone dane wyjściowe podobne do następującego przykładu:

    The file "C:\BEK\0D44E996-4BF3-4EB0-B990-C43C250614A4.BEK" successfully unlocked volume F:.

  3. Teraz, gdy możesz uzyskać dostęp do woluminu, możesz rozwiązać problemy i środki zaradcze, na przykład odczytując dzienniki lub uruchamiając skrypt.

    Ważne

    Proces odblokowywania zapewnia dostęp do dysku, ale nie odszyfruje dysku. Dysk pozostaje zaszyfrowany po jego odblokowaniu. Jeśli musisz odszyfrować dysk, użyj polecenia manage-bde <volume> -off, aby rozpocząć proces odszyfrowywania i zarządzać dyskiem> bde <-status, aby sprawdzić postęp odszyfrowywania.

  4. Po zakończeniu napraw, a jeśli dysk jest zarządzany, możesz przejść do zamiany źródłowego dysku systemu operacyjnego maszyny wirtualnej (dysków zarządzanych). Jeśli zamiast tego dysk jest niezarządzany, możesz użyć opisanych tutaj kroków opartych na interfejsie wiersza polecenia: Zastąp dysk systemu operacyjnego na źródłowej maszynie wirtualnej

Zastąp źródłowy dysk systemu operacyjnego maszyny wirtualnej (dyski zarządzane)

  1. Po naprawieniu dysku otwórz blok Dyski dla maszyny wirtualnej naprawy w witrynie Azure Portal. Odłącz kopię źródłowego dysku systemu operacyjnego maszyny wirtualnej. W tym celu znajdź wiersz skojarzonej nazwy dysku w obszarze Dyski danych, wybierz znak "X" po prawej stronie tego wiersza, a następnie wybierz pozycję Zapisz.

    Zrzut ekranu przedstawiający dysk danych wybrany w bloku Dyski w witrynie Azure Portal z wyróżnionym obok niego symbolem X.

  2. W witrynie Azure Portal przejdź do źródłowej (uszkodzonej) maszyny wirtualnej i otwórz blok Dyski . Następnie wybierz pozycję Zamień dysk systemu operacyjnego, aby zamienić istniejący dysk systemu operacyjnego na naprawiony.

    Zrzut ekranu przedstawiający blok Dyski z wyróżnioną opcją Zamień dysk O S.

  3. Wybierz nowy dysk, który został naprawiony, a następnie wprowadź nazwę maszyny wirtualnej, aby zweryfikować zmianę. Jeśli dysk nie jest widoczny na liście, poczekaj 10 do 15 minut po odłączeniu dysku od maszyny wirtualnej rozwiązywania problemów.

  4. Wybierz przycisk OK.

Następne kroki

Jeśli masz problemy z nawiązywaniem połączenia z maszyną wirtualną, zobacz Rozwiązywanie problemów z połączeniami pulpitu zdalnego z maszyną wirtualną platformy Azure. Aby uzyskać informacje o problemach z uzyskiwaniem dostępu do aplikacji uruchomionych na maszynie wirtualnej, zobacz Rozwiązywanie problemów z łącznością aplikacji na maszynie wirtualnej z systemem Windows.

Skontaktuj się z nami, aby uzyskać pomoc

Jeśli masz pytania lub potrzebujesz pomocy, utwórz wniosek o pomoc techniczną lub zadaj pytanie w społeczności wsparcia dla platformy Azure. Możesz również przesłać opinię o produkcie do społeczności opinii na temat platformy Azure.