Entsperren eines verschlüsselten Linux-Datenträgers für die Offlinereparatur

Artikel
07/30/2024

Gilt für: ✔️ Linux-VMs

In diesem Artikel wird beschrieben, wie Sie einen azure Disk Encryption (ADE)-fähigen Betriebssystemdatenträger für die Offlinereparatur entsperren.

Azure Disk Encryption kann auf von Microsoft unterstützte virtuelle Linux-Computer (VMs) angewendet werden. Im Folgenden finden Sie einige grundlegende Anforderungen zum Aktivieren der Azure Disk Encryption in Linux-VMs:

Azure Key Vault
Azure CLI- oder Windows PowerShell-Cmdlets
Device-mapper (DM)-Crypt

Problembeschreibung

Wenn ADE auf dem Betriebssystemdatenträger aktiviert ist, erhalten Sie möglicherweise die folgenden Fehlermeldungen, nachdem Sie versucht haben, den Datenträger auf einer Reparatur-VM zu mounten:

mount: falscher fs-Typ, schlechte Option, ungültiger Superblock auf /dev/sda2, fehlender Codepage oder Hilfsprogramm oder anderer Fehler

mount: unbekannter Dateisystemtyp "LVM2_member"

Vorbereitung

Bevor Sie den verschlüsselten Betriebssystemdatenträger für die Offlinereparatur entsperren, führen Sie die folgenden Aufgaben aus:

Vergewissern Sie sich, dass ADE auf dem Datenträger aktiviert ist.
Ermitteln Sie, ob der Betriebssystemdatenträger ADE Version 0 (Dual-Pass-Verschlüsselung) oder ADE Version 1 (Single-Pass-Verschlüsselung) verwendet.
Bestimmen Sie, ob der Betriebssystemdatenträger verwaltet oder nicht verwaltet wird.
Wählen Sie die Methode aus, um den verschlüsselten Datenträger zu entsperren.

Überprüfen, ob ADE auf dem Datenträger aktiviert ist

Sie können diesen Schritt in der Azure-Portal, PowerShell oder der Azure-Befehlszeilenschnittstelle (Azure CLI) ausführen.

Azure-Portal

Zeigen Sie das Blatt "Übersicht" für den fehlgeschlagenen virtuellen Computer im Azure-Portal an. Unterhalb des Datenträgers wird der Azure-Datenträgerverschlüsselungseintrag wie im folgenden Screenshot dargestellt als "Aktiviert" oder "Nicht aktiviert" angezeigt.

Screenshot des Übersichtsblatts für ein V M im Azure-Portal, das zeigt, dass A D E auf dem Datenträger aktiviert ist.

PowerShell

Mit dem Get-AzVmDiskEncryptionStatus Cmdlet können Sie ermitteln, ob das Betriebssystem oder die Datenvolumes für einen virtuellen Computer mithilfe von ADE verschlüsselt werden. Die folgende Beispielausgabe gibt an, dass die ADE-Verschlüsselung auf dem Betriebssystemvolume aktiviert ist:

Get-AzVmDiskEncryptionStatus -ResourceGroupName "ResourceGroupName" -VMName "VmName"

Weitere Informationen zum Cmdlet finden Sie unter Get-AzVMDiskEncryptionStatus (Az.Compute).For more information about the Get-AzureRmDiskEncryptionStatus cmdlet, see Get-AzVMDiskEncryptionStatus (Az.Compute).

Azure CLI

Mit dem az vm encryption show Befehl können Sie überprüfen, ob ADE auf VM-Datenträgern aktiviert ist:

az vm encryption show --name MyVM --resource-group MyResourceGroup --query "disks[].encryptionSettings[].enabled"

Weitere Informationen zum az vm encryption show Befehl finden Sie unter az vm encryption show.

Notiz

Wenn ADE nicht auf dem Datenträger aktiviert ist, lesen Sie den folgenden Artikel, um zu erfahren, wie Sie einen Datenträger an eine Reparatur-VM anfügen: Problembehandlung bei einer Linux-VM durch Anfügen des Betriebssystemdatenträgers an eine Reparatur-VM.

Ermitteln, ob der Betriebssystemdatenträger ADE Version 0 (Dual-Pass-Verschlüsselung) oder ADE Version 1 (Single-Pass-Verschlüsselung) verwendet.

Sie können die ADE-Version im Azure-Portal identifizieren, indem Sie die Eigenschaften der VM öffnen und dann Erweiterungen auswählen, um das Blatt "Erweiterungen" zu öffnen. Zeigen Sie auf dem Blatt "Erweiterungen " die Versionsnummer von AzureDiskEncryptionForLinux an.

Wenn die Versionsnummer lautet 0.*, verwendet der Datenträger die Dual-Pass-Verschlüsselung.
Wenn die Versionsnummer oder eine höhere Version ist 1.* , verwendet der Datenträger die Single-Pass-Verschlüsselung.

Wenn Ihr Datenträger ADE Version 0 (Dual-Pass-Verschlüsselung) verwendet, verwenden Sie die Methode 3 , um den Datenträger zu entsperren.

Ermitteln, ob der Betriebssystemdatenträger verwaltet oder nicht verwaltet wird

Wenn Sie nicht wissen, ob der Betriebssystemdatenträger verwaltet oder nicht verwaltet wird, erfahren Sie , ob der Betriebssystemdatenträger verwaltet oder nicht verwaltet wird.

Wenn der Betriebssystemdatenträger ein nicht verwalteter Datenträger ist, führen Sie die Schritte in Methode 3 aus, um den Datenträger zu entsperren.

Wählen Sie die Methode aus, um den verschlüsselten Datenträger zu entsperren.

Wählen Sie eine der folgenden Methoden aus, um den verschlüsselten Datenträger zu entsperren:

Wenn der Datenträger mithilfe von ADE Version 1 verwaltet und verschlüsselt wird und Ihre Infrastruktur- und Unternehmensrichtlinie Es Ihnen ermöglicht, einer Reparatur-VM eine öffentliche IP-Adresse zuzuweisen, verwenden Sie Methode 1: Entsperren Sie den verschlüsselten Datenträger automatisch mithilfe des Befehls "az vm repair".
Wenn Ihr Datenträger sowohl mit ADE Version 1 verwaltet als auch verschlüsselt wird, Ihre Infrastruktur- oder Unternehmensrichtlinie sie jedoch daran hindert, einer Reparatur-VM eine öffentliche IP-Adresse zuzuweisen, verwenden Sie Methode 2: Entsperren Sie den verschlüsselten Datenträger durch die Schlüsseldatei im BEK-Volume. Ein weiterer Grund für die Auswahl dieser Methode ist, wenn Sie nicht über die Berechtigungen zum Erstellen einer Ressourcengruppe in Azure verfügen.
Wenn eine dieser Methoden fehlschlägt oder der Datenträger nicht verwaltet oder mit ADE Version 1 (Dual-Pass-Verschlüsselung) verschlüsselt wurde, führen Sie die Schritte in Methode 3 aus, um den Datenträger zu entsperren.

Methode 1: Entsperren des verschlüsselten Datenträgers automatisch mithilfe des Befehls "az vm repair"

Diese Methode basiert auf az vm Repair-Befehlen , um automatisch eine Reparatur-VM zu erstellen, den Betriebssystemdatenträger der fehlerhaften Linux-VM an diese Reparatur-VM anzufügen und dann den Datenträger zu entsperren, wenn er verschlüsselt ist. Diese Methode erfordert die Verwendung einer öffentlichen IP-Adresse für die Reparatur-VM und entsperrt den verschlüsselten Datenträger, unabhängig davon, ob der ADE-Schlüssel mit einem Schlüsselverschlüsselungsschlüssel (KEY Encryption Key, KEK) entsperrt wird.

Um den virtuellen Computer mithilfe dieser automatisierten Methode zu reparieren, führen Sie die Schritte unter Reparieren einer Linux-VM mithilfe der Reparaturbefehle des virtuellen Azure-Computers aus.

Wenn Ihre Infrastruktur- und Unternehmensrichtlinie ihnen nicht erlauben, eine öffentliche IP-Adresse zuzuweisen, oder wenn der az vm repair Befehl den Datenträger nicht entsperrt, wechseln Sie zur nächsten Methode.

Methode 2: Entsperren des verschlüsselten Datenträgers durch die Schlüsseldatei im BEK-Volume

Führen Sie die folgenden Schritte aus, um den verschlüsselten Datenträger manuell zu entsperren und zu mounten:

Erstellen Sie eine neue Reparatur-VM, und fügen Sie den verschlüsselten Datenträger während der VM-Erstellung an diesen virtuellen Computer an.

Sie müssen den verschlüsselten Datenträger anfügen, wenn Sie die Reparatur-VM erstellen. Dies liegt daran, dass das System erkennt, dass der angefügte Datenträger verschlüsselt ist. Daher ruft er den ADE-Schlüssel aus Ihrem Azure-Schlüsseltresor ab und erstellt dann ein neues Volume mit dem Namen "BEK VOLUME", um die Schlüsseldatei zu speichern.
Melden Sie sich bei der Reparatur-VM an, und heben Sie dann die Bereitstellung aller bereitgestellten Partitionen auf dem verschlüsselten Datenträger auf.
Identifizieren Sie die ADE-Schlüsseldatei im BEK-Volume.
Identifizieren Sie die Headerdatei in der Startpartition des verschlüsselten Betriebssystems.
Entsperren Sie den verschlüsselten Datenträger mithilfe der ADE-Schlüsseldatei und der Headerdatei.
Mount the partition: LVM, RAW or non-LVM.

Erstellen einer Reparatur-VM

Erstellen Sie eine Momentaufnahme des verschlüsselten Betriebssystemdatenträgers.
Erstellen Sie einen Datenträger aus der Momentaufnahme. Wählen Sie für den neuen Datenträger denselben Speicherort und dieselbe Verfügbarkeitszone wie die des virtuellen Problemcomputers aus, den Sie reparieren möchten.
Erstellen Sie einen virtuellen Computer, der auf den folgenden Richtlinien basiert:
- Wählen Sie im Azure Marketplace dasselbe Image für die Reparatur-VM aus, die für den fehlerhaften virtuellen Computer verwendet wurde. (Die Betriebssystemversion sollte identisch sein.)
- Wählen Sie eine Größe aus, die dem virtuellen Computer mindestens 8 GB Arbeitsspeicher zuweist.
- Weisen Sie diese neue VM den gleichen Ressourcengruppen, Regionen und Verfügbarkeitseinstellungen zu, die Sie für den neuen Datenträger verwendet haben, den Sie in Schritt 2 erstellt haben.
Fügen Sie auf der Seite "Datenträger " des Assistenten zum Erstellen eines virtuellen Computers den neuen Datenträger (den Sie gerade aus der Momentaufnahme erstellt haben) als Datenträger an.

Wichtig

Da die Verschlüsselungseinstellungen nur während der VM-Erstellung erkannt werden, stellen Sie sicher, dass Sie den Datenträger beim Erstellen der VM anfügen. Dadurch kann ein Volume, das die ADE-Schlüsseldatei enthält, automatisch zur VM hinzugefügt werden.

Aufheben der Bereitstellung von bereitgestellten Partitionen auf dem verschlüsselten Datenträger

Nachdem die Reparatur-VM erstellt wurde, melden Sie sich mit den entsprechenden Anmeldeinformationen bei Ihrer Reparatur-VM an, und heben Sie dann das Konto auf den Stamm zu:
```
sudo -s 
```
Auflisten der angeschlossenen Geräte mithilfe des Befehls "lsblk ". In der Ausgabe sollten mehrere angefügte Datenträger angezeigt werden. Zu diesen Datenträgern gehören der aktive Betriebssystemdatenträger und der verschlüsselte Datenträger. Sie können in beliebiger Reihenfolge angezeigt werden.
Identifizieren Sie den verschlüsselten Datenträger mithilfe der folgenden Informationen:
- Der Datenträger verfügt über mehrere Partitionen.
- Der Datenträger listet das Stammverzeichnis ("/") nicht als Mountpoint für eine seiner Partitionen auf.
- Der Datenträger entspricht der Größe, die Sie beim Erstellen aus der Momentaufnahme angegeben haben.
Im folgenden Beispiel gibt die Ausgabe an, dass "sdd" der verschlüsselte Datenträger ist. Dies ist der einzige Datenträger, der mehrere Partitionen enthält und "/" nicht als Mountpoint auflistet.
Heben Sie die Bereitstellung von Partitionen auf dem verschlüsselten Datenträger auf, die im Dateisystem bereitgestellt wurden. Im vorherigen Beispiel müssen Sie beispielsweise die Bereitstellung von "/boot/efi"* und "/boot" aufheben.
```
umount /boot/efi 

umount /boot 
```

Identifizieren der ADE-Schlüsseldatei

Sie müssen sowohl über die Schlüsseldatei als auch über die Headerdatei verfügen, um den verschlüsselten Datenträger zu entsperren. Die Schlüsseldatei wird im BEK-Volume gespeichert, und die Headerdatei befindet sich in der Startpartition des verschlüsselten Betriebssystemdatenträgers.

Ermitteln Sie, welche Partition das BEK-Volume ist:
```
lsblk -fs | grep -i bek 
```
Die folgende Beispielausgabe gibt an, dass sdb1 das BEK-Volume ist:
```
>sdb1  vfat   BEK VOLUME      04A2-FE67 
```
Wenn kein BEK-Volume vorhanden ist, erstellen Sie die Reparatur-VM erneut, indem Sie den verschlüsselten Datenträger angefügt haben. Wenn das BEK-Volume immer noch nicht automatisch angefügt wird, versuchen Sie Mit Methode 3 , das BEK-Volume abzurufen.
Erstellen Sie ein Verzeichnis mit dem Namen "azure_bek_disk" unter dem Ordner "/mnt":
```
mkdir /mnt/azure_bek_disk 
```
Stellen Sie das BEK-Volume im Verzeichnis "/mnt/azure_bek_disk" bereit. Wenn sdb1 beispielsweise das BEK-Volume ist, geben Sie den folgenden Befehl ein:
```
mount /dev/sdb1 /mnt/azure_bek_disk 
```
Listet die verfügbaren Geräte erneut auf:
```
lsblk -o NAME,SIZE,LABEL,PARTLABEL,MOUNTPOINT  
```
Hinweis: Sie sehen, dass die Partition, die Sie als BEK-Volume festgelegt haben, jetzt in "/mnt/azure_bek_disk" bereitgestellt wird.
Zeigen Sie den Inhalt im Verzeichnis "/mnt/azure_bek_disk/" an:
```
ls -l /mnt/azure_bek_disk
```
Die folgenden Dateien sollten in der Ausgabe angezeigt werden (die ADE-Schlüsseldatei lautet "LinuxPassPhraseFileName"):
```
>total 1 

 -rwxr-xr-x 1 root root 148 Aug  4 01:04 CRITICAL_DATA_WARNING_README.txt 
 -r-xr-xr-x 1 root root 172 Aug  4 01:04 LinuxPassPhraseFileName
```
Möglicherweise wird mehrere "LinuxPassPhraseFileName" angezeigt, wenn mehrere Datenträger an die verschlüsselte VM angefügt sind. Der "LinuxPassPhraseFileName" wird entsprechend der Anzahl der Datenträger in der gleichen Reihenfolge wie die logischen Einheitennummern (LUNs) aufgezählt.

Identifizieren der Headerdatei

Die Startpartition des verschlüsselten Datenträgers enthält die Headerdatei. Sie verwenden diese Datei zusammen mit der Schlüsseldatei "LinuxPassPhraseFileName", um den verschlüsselten Datenträger zu entsperren.

Verwenden Sie den folgenden Befehl, um ausgewählte Attribute der verfügbaren Datenträger und Partitionen anzuzeigen:
```
lsblk -o NAME,SIZE,LABEL,PARTLABEL,MOUNTPOINT
```
Identifizieren Sie auf dem verschlüsselten Datenträger die Betriebssystempartition (Stammpartition). Dies ist die größte Partition auf dem verschlüsselten Datenträger. In der vorherigen Beispielausgabe lautet die Betriebssystempartition "sda4". Diese Partition muss angegeben werden, wenn Sie den Befehl zum Entsperren ausführen.
Erstellen Sie im Stammverzeichnis ("/") der Dateistruktur ein Verzeichnis, in dem die Stammpartition des verschlüsselten Datenträgers bereitgestellt werden soll. Sie verwenden dieses Verzeichnis später, nachdem der Datenträger entsperrt wurde. Um sie von der aktiven Betriebssystempartition der Reparatur-VM zu unterscheiden, geben Sie ihm den Namen "investigateroot".
```
mkdir /{investigateboot,investigateroot}
```
Identifizieren Sie auf dem verschlüsselten Datenträger die Startpartition, die die Headerdatei enthält. Auf dem verschlüsselten Datenträger ist die Startpartition die zweitgrößte Partition, die keinen Wert in der Spalte LABEL oder PARTLABEL anzeigt. In der vorherigen Beispielausgabe lautet die Startpartition des verschlüsselten Datenträgers "sda2".
Stellen Sie die Startpartition bereit, die Sie in Schritt 4 identifiziert haben, in das Verzeichnis "/investigateboot/". Im folgenden Beispiel ist die Startpartition des verschlüsselten Datenträgers sda2. Die Position auf Ihrem System kann sich jedoch unterscheiden.
```
mount /dev/sda2 /investigateboot/ 
```
Wenn das Einbinden der Partition fehlschlägt und eine Fehlermeldung "falscher FS-Typ, ungültige Option, ungültiger Superblock" zurückgibt, versuchen Sie es erneut, indem Sie den mount -o nouuid Befehl verwenden, wie im folgenden Beispiel gezeigt:
```
mount -o nouuid /dev/sda2 /investigateboot/ 
```
Listet die Dateien auf, die sich im Verzeichnis "/investigateboot/" befinden. Das Unterverzeichnis "luks" enthält die Headerdatei, die Sie zum Entsperren des Datenträgers benötigen.
Listet die Dateien auf, die sich im Verzeichnis "/investigateboot/luks/" befinden. Die Headerdatei heißt "osluksheader".
```
ls -l /investigateboot/luks 
```

Verwenden der ADE-Schlüsseldatei und der Headerdatei zum Entsperren des Datenträgers

Verwenden Sie den cryptsetup luksOpen Befehl, um die Stammpartition auf dem verschlüsselten Datenträger zu entsperren. Wenn beispielsweise der Pfad zur Stammpartition, die das verschlüsselte Betriebssystem enthält, "/dev/sda4" lautet und Sie den Namen "osencrypt" der entsperrten Partition zuweisen möchten, führen Sie den folgenden Befehl aus:
```
cryptsetup luksOpen --key-file /mnt/azure_bek_disk/LinuxPassPhraseFileName --header /investigateboot/luks/osluksheader /dev/sda4 osencrypt 
```
Nachdem Sie den Datenträger entsperrt haben, heben Sie die Bereitstellung der Startpartition des verschlüsselten Datenträgers aus dem Verzeichnis "/investigateboot/" auf:
```
umount /investigateboot/ 
```
Hinweis: Sie müssen diese Partition später in ein anderes Verzeichnis einbinden.

Der nächste Schritt besteht darin, die Gerade entsperrte Partition zu mounten. Die Methode, die Sie zum Bereitstellen der Partition verwenden, hängt vom Gerätezuordnungsframework (LVM oder nicht-LVM) ab, das vom Datenträger verwendet wird.
Listen Sie die Geräteinformationen zusammen mit dem Dateisystemtyp auf:
```
lsblk -o NAME,FSTYPE 
```
Sie sehen die nicht gesperrte Partition und den Namen, den Sie ihm zugewiesen haben (in unserem Beispiel lautet dieser Name "osencrypt"):
- Informationen zur LVM-Partition wie "LVM_member" finden Sie unter "Mount the LVM partition RAW or non-LVM".
- Informationen zur nicht-LVM-Partition finden Sie unter Bereitstellen der nicht-LVM-Partition.

Bereitstellen der nicht gesperrten Partition und Eingeben der chroot-Umgebung (nur LVM)

Wenn die Datenträger das LVM-Gerätezuordnungsframework verwenden, müssen Sie zusätzliche Schritte ausführen, um den Datenträger bereitzustellen und die Chroot-Umgebung einzugeben. Um das Chroot-Tool zusammen mit dem verschlüsselten Datenträger zu verwenden, muss die entsperrte Partition ("osencrypt") und ihre logischen Volumes als die Volumegruppe erkannt werden, die als "rootvg" bezeichnet wird. Standardmäßig werden die Betriebssystempartition und die logischen Volumes der Reparatur-VM jedoch bereits einer Volumegruppe zugewiesen, die den Namen "rootvg" aufweist. Wir müssen diesen Konflikt lösen, bevor wir fortfahren können.

Verwenden Sie den pvs Befehl, um die Eigenschaften der physischen LVM-Volumes anzuzeigen. Es können Warnmeldungen angezeigt werden, wie im folgenden Beispiel, die angeben, dass die entsperrte Partition ("/dev/mapper/osencrypt") und ein anderes Gerät duplizierte universal eindeutige Bezeichner (UUIDs) verwenden. Alternativ werden möglicherweise zwei Partitionen angezeigt, die rootvg zugewiesen sind.

Notiz

Sie möchten, dass nur die entsperrte Partition ("osencrypt") der Rootvg-Volumegruppe zugewiesen werden soll, damit Sie über das Chroot-Dienstprogramm auf die logischen Volumes zugreifen können. Um dieses Problem zu beheben, importieren Sie die Partition vorübergehend in eine andere Volumegruppe und aktivieren diese Volumegruppe. Als Nächstes benennen Sie die aktuelle Stammvolumegruppe um. Erst nachdem Sie die Chroot-Umgebung eingegeben haben, benennen Sie die Volumegruppe des verschlüsselten Datenträgers in "rootvg" um.

Zuweisen der entsperrten Partition (Beispiel)

Importieren Sie die neu entsperrte Partition in eine neue Volumegruppe. In diesem Beispiel benennen wir vorübergehend die neue Volumegruppe "rescuemevg". Importieren Sie die neu entsperrte Partition in eine neue Volumegruppe. In diesem Beispiel benennen wir vorübergehend die neue Volumegruppe "rescuemevg".

Aktivieren sie die neue Volumegruppe:

vgimportclone -n rescuemevg /dev/mapper/osencrypt
vgchange -a y rescuemevg

Benennen Sie die alte Stammvolumegruppe um. In diesem Beispiel wird der Name "oldvg" verwendet.
```
vgrename rootvg oldvg 
```
Führen Sie die Ausführung aus lsblk -o NAME,SIZE,LABEL,PARTLABEL,MOUNTPOINT , um die verfügbaren Geräte zu überprüfen. Nun sollten beide Volumegruppen durch die Namen aufgelistet werden, die Sie ihnen zugewiesen haben.
Mount the rescuemevg/rootlv logical volume to the /investigateroot/ directory without using the duplicate UUIDs:
```
umount /investigateboot
mount -o nouuid /dev/rescuemevg/rootlv /investigateroot/ 
```
Jetzt ist die Stammpartition der fehlgeschlagenen VM entsperrt und bereitgestellt, und Sie sollten auf die Stammpartition zugreifen können, um die Probleme zu beheben. Weitere Informationen finden Sie unter Problembehandlung bei Startproblemen bei virtuellen Linux-Computern aufgrund von Dateisystemfehlern.

Wenn Sie jedoch das Hilfsprogramm "chroot" für die Problembehandlung verwenden möchten, fahren Sie mit den folgenden Schritten fort.
Mount the encrypted disk's boot partition to the directory /investigateroot/boot/ without using the duplicate UUIDs. (Denken Sie daran, dass die Startpartition des verschlüsselten Datenträgers die zweitgrößte ist, der keine Partitionsbezeichnung zugewiesen ist.) In unserem aktuellen Beispiel ist die Startpartition des verschlüsselten Datenträgers sda2.
```
mount -o nouuid /dev/sda2 /investigateroot/boot
```
Stellen Sie die EFI-Systempartition des verschlüsselten Datenträgers im Verzeichnis "/investigateroot/boot/efi" bereit. Sie können diese Partition anhand ihrer Bezeichnung identifizieren. In unserem aktuellen Beispiel ist die EFI-Systempartition sda1.
```
mount /dev/sda1 /investigateroot/boot/efi
```

Stellen Sie die verbleibenden nicht bereitgestellten logischen Volumes in der Volumegruppe des verschlüsselten Datenträgers in Unterverzeichnisse von "/investigateroot/" bereit:

mount -o nouuid /dev/mapper/rescuemevg-varlv /investigateroot/var
mount -o nouuid /dev/mapper/rescuemevg-homelv /investigateroot/home
mount -o nouuid /dev/mapper/rescuemevg-usrlv /investigateroot/usr
mount -o nouuid /dev/mapper/rescuemevg-tmplv /investigateroot/tmp
mount -o nouuid /dev/mapper/rescuemevg-optlv /investigateroot/opt

Ändern Sie das Active Directory in die bereitgestellte Stammpartition auf dem verschlüsselten Datenträger:
```
cd /investigateroot
```

Geben Sie die folgenden Befehle ein, um die chroot-Umgebung vorzubereiten:

mount -t proc proc proc
mount -t sysfs sys sys/
mount -o bind /dev dev/
mount -o bind /dev/pts dev/pts/
mount -o bind /run run/

Geben Sie die chroot-Umgebung ein:
```
chroot /investigateroot/
```
Benennen Sie die Gruppe "rescuemevg" in "rootvg" um, um Konflikte oder mögliche Probleme mit grub und initramfs zu vermeiden. Behalten Sie die gleiche Benennungskonvention bei, wenn Sie initramfs neu erstellen. Aufgrund der vg-Namensänderungen arbeiten Sie an der Virtuellen Rettungs-VM. Es ist nicht mehr hilfreich, wenn Sie es neu starten. Der virtuelle Rettungscomputer sollte als temporäre VM betrachtet werden.
```
vgrename rescuemevg rootvg
```
Behandeln von Problemen in der chroot-Umgebung. Sie können beispielsweise Protokolle lesen oder ein Skript ausführen. Weitere Informationen finden Sie unter Ausführen von Fixes in der chroot-Umgebung.
Beenden Sie chroot, und tauschen Sie den Betriebssystemdatenträger aus.

Bereitstellen des entsperrten Datenträgers und Eingeben der chroot-Umgebung (RAW/non-LVM)

Erstellen Sie im Stammverzeichnis ("/") der Dateistruktur ein Verzeichnis, in das die Stammpartition des verschlüsselten Datenträgers bereitgestellt werden soll. Sie verwenden dieses Verzeichnis später, nachdem der Datenträger entsperrt wurde. Um sie von der aktiven Betriebssystempartition der Reparatur-VM zu unterscheiden, nennen Sie sie "untersuchenroot".
```
mkdir /{investigateboot,investigateroot}
```
Stellen Sie die neu entsperrte Partition ("osencrypt") im Verzeichnis "/investigateroot/" bereit:
```
mount /dev/mapper/osencrypt /investigateroot/ 
```
Wenn die Bereitstellung der Partition fehlschlägt und eine Fehlermeldung "falscher FS-Typ, ungültige Option, ungültiger Superblock" zurückgibt, versuchen Sie es erneut, indem Sie den Bereitstellungsbefehl -o nouuid verwenden:
```
mount -o nouuid /dev/mapper/osencrypt /investigateroot/ 
```
Versuchen Sie, den Inhalt des /investigateroot/-Verzeichnisses anzuzeigen, um zu überprüfen, ob die bereitgestellte Partition jetzt entsperrt ist:
```
ls /investigateroot/ 
```
Jetzt ist die Stammpartition der fehlgeschlagenen VM entsperrt und bereitgestellt, Sie können auf die Stammpartition zugreifen, um die Probleme zu beheben. Weitere Informationen finden Sie unter Problembehandlung bei Startproblemen des virtuellen Linux-Computers aufgrund von Dateisystemfehlern.For more information, see Troubleshoot Linux virtual machine boot issues due to filesystem errors..

Wenn Sie jedoch das Hilfsprogramm chroot für die Problembehandlung verwenden möchten, fahren Sie mit dem nächsten Schritt fort.
Verwenden Sie den Befehl lsblk -o NAME,SIZE,LABEL,PARTLABEL,MOUNTPOINT , um die verfügbaren Geräte zu überprüfen. Identifizieren Sie die Startpartition auf dem verschlüsselten Datenträger als die zweitgrößte Partition, der keine Bezeichnung zugewiesen wurde.
Mount the boot partition on the encrypted disk to the "/investigateroot/boot/" directory, as in the following example:
```
mount /dev/sdc2 /investigateroot/boot/ 
```
Ändern Sie das Active Directory in die bereitgestellte Stammpartition auf dem verschlüsselten Datenträger:
```
cd /investigateroot 
```

Geben Sie die folgenden Befehle ein, um die chroot-Umgebung vorzubereiten:

mount -t proc proc proc 

mount -t sysfs sys sys/ 

mount -o bind /dev dev/ 

mount -o bind /dev/pts dev/pts/ 

mount -o bind /run run/

Geben Sie die chroot-Umgebung ein:
```
chroot /investigateroot/ 
```
Behandeln von Problemen in der chroot-Umgebung. Sie können Protokolle lesen oder ein Skript ausführen. Weitere Informationen finden Sie unter Ausführen von Fixes in der chroot-Umgebung.
Beenden Sie chroot, und tauschen Sie den Betriebssystemdatenträger aus.

Methode 3: Verschlüsseln Sie den Datenträger erneut, um die Schlüsseldatei abzurufen, und entsperren Sie den verschlüsselten Datenträger.

Erstellen Sie die Reparatur-VM, und fügen Sie eine Kopie des gesperrten Datenträgers an eine Reparatur-VM an:
- Informationen zu einem verwalteten Datenträger finden Sie unter Problembehandlung für eine Linux-VM, indem Sie den verwalteten Betriebssystemdatenträger an eine Reparatur-VM anfügen.
- Verwenden Sie für einen nicht verwalteten Datenträger die Storage-Explorer, um eine Kopie des Betriebssystemdatenträgers der betroffenen VM zu erstellen. Weitere Informationen finden Sie unter Anfügen eines nicht verwalteten Datenträgers an einen virtuellen Computer zur Offlinereparatur.

Nachdem Sie den verschlüsselten Datenträger als Datenträger an die Reparatur-VM angefügt haben, verwenden Sie den Schlüsseltresor und den schlüsselverschlüsselten Schlüssel (KEK), der für die ursprüngliche VM zum erneuten Verschlüsseln dieses Datenträgers verwendet hat. Dieser Vorgang generiert und stellt ein BEK-Volume automatisch mithilfe einer BKE-Schlüsseldatei in der Reparatur-VM her. Sie dürfen die Option "EncryptFormatAll " nicht verwenden, da die ADE-Erweiterung den Startsektor auf dem Datenträger verschlüsseln konnte.

Wenn der ursprüngliche virtuelle Computer durch umschlossenen BEK verschlüsselt ist, führen Sie den folgenden Befehl aus.

 az vm encryption enable -g "resource group" --name "VMName" --disk-encryption-keyvault "keyvault"  --key-encryption-key "kek" --volume-type "data"

Wenn der ursprüngliche virtuelle Computer von BEK verschlüsselt ist, führen Sie den folgenden Befehl aus:

az vm encryption enable -g "resource group" --name "VMName" --disk-encryption-keyvault "keyvault"  --volume-type "data"

Führen Sie den folgenden Befehl aus, um die Werte für den Schlüsselverschlüsselungsschlüssel und den Schlüsselverschlüsselungsschlüssel zu ermitteln:

az vm encryption show --name "OriginalVmName" --resource-group "ResourceGroupName"

Suchen Sie in der folgenden Tabelle die Werte in der Ausgabe. Wenn der KeyEncryptionKey-Wert leer ist, wird Ihre VM von BEK verschlüsselt.

Parameter	Wert in der Ausgabe	Beispiel
Disk-encryption-keyvault	diskEncryptionKey:id	/subscriptions/deb73ff9-0000-0000-0000-0000c7a96d37/resourceGroups/Thomas/providers/Microsoft.KeyVault/vaults/ContosoKeyvault
Schlüsselverschlüsselungsschlüssel	keyEncryptionKey:KeyURI	`https://ContosoKeyvault.vault.azure.net/keys/mykey/00000000987145a3b79b0ed415fa0000`

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob ein neuer Datenträger angefügt ist:
```
lsblk -f
```
Wenn ein neuer Datenträger angefügt ist, wechseln Sie zum Identifizieren der ADE-Schlüsseldatei im BEK-Volume, und fahren Sie dann mit den angegebenen Schritten fort, um den Datenträger zu entsperren.

Nächste Schritte

Wenn Probleme beim Herstellen einer Verbindung mit Ihrem virtuellen Computer auftreten, lesen Sie die Problembehandlung bei SSH-Verbindungen mit einer Azure-VM.

Kontaktieren Sie uns für Hilfe

Wenn Sie Fragen haben oder Hilfe mit Ihren Azure-Gutschriften benötigen, dann erstellen Sie beim Azure-Support eine Support-Anforderung oder fragen Sie den Azure Community-Support. Sie können auch Produktfeedback an die Azure Feedback Community senden.

Freigeben über