Unter bestimmten Umständen kann der ESXi-Host den Schlüssel (KEK) für eine verschlüsselte virtuelle Maschine oder eine verschlüsselte virtuelle Festplatte nicht aus vCenter Server abrufen. In diesem Fall können Sie dennoch die Registrierung der virtuellen Maschine aufheben oder diese neu laden. Sie können jedoch keine anderen VM-Vorgänge durchführen, z. B. Löschen oder Einschalten der virtuellen Maschine. Die virtuelle Maschine ist gesperrt.

Warum und wann dieser Vorgang ausgeführt wird

Falls der VM-Schlüssel nicht verfügbar ist, wird der Zustand der virtuellen Maschine im vSphere Web Client als „Ungültig“ angezeigt. Die virtuelle Maschine kann nicht eingeschaltet werden. Wenn der Schlüssel der virtuellen Maschine verfügbar ist, aber kein Schlüssel für eine verschlüsselte Festplatte verfügbar ist, wird der Status für die virtuelle Maschine nicht als ungültig angezeigt. Die virtuelle Maschine kann jedoch nicht eingeschaltet werden, und es kommt zu folgendem Fehler:

The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.

Prozedur

  1. Falls das Problem die Verbindung zwischen dem vCenter Server-System und dem KMS ist, stellen Sie die Verbindung wieder her.

    Die virtuellen Maschinen werden entsperrt, wenn der KMS zur Verfügung steht.

    Beachten Sie, dass bei Unterbrechung der Verbindung zum KMS nicht automatisch die virtuelle Maschine gesperrt wird. Die virtuelle Maschine wechselt nur dann in einen gesperrten Zustand, wenn die folgenden Bedingungen erfüllt sind:

    • Der Schlüssel muss validiert werden.

    • Der Schlüssel ist nicht auf dem ESXi-Host verfügbar.

    • Der ESXi-Host kann den Schlüssel nicht aus dem vCenter Server-System abrufen.

    Nach jedem Neustart muss ein ESXi-Host in der Lage sein, den vCenter Server zu erreichen und Schlüssel abzurufen.

  2. Wenn die Verbindung wiederhergestellt wurde und ein Fehler auftritt, wenn Sie versuchen, die virtuelle Maschine zu registrieren, stellen Sie sicher, dass Sie über das Recht Verschlüsselungsvorgänge > Schlüssel verwalten für das vCenter Server-System verfügen.

    Diese Berechtigung ist für das Einschalten einer verschlüsselten virtuellen Maschine nicht erforderlich, wenn der Schlüssel verfügbar ist. Diese Berechtigung ist für die Registrierung der virtuellen Maschine erforderlich, wenn der Schlüssel erneut abgerufen werden muss.

  3. Wenn auf dem KMS der Schlüssel nicht mehr aktiv ist, bitten Sie den KMS-Administrator, den Schlüssel wiederherzustellen.

    Sie können auf einen inaktiven Schlüssel stoßen, wenn Sie eine virtuelle Maschine einschalten, die aus der Bestandsliste entfernt und seit einiger Zeit nicht registriert wurde. Es passiert auch, wenn Sie den ESXi-Host neu starten, wenn der KMS nicht verfügbar ist.

    1. Rufen Sie die Schlüssel-ID mithilfe des Managed Object Browsers (MOB) oder der vSphere API ab.

      Rufen Sie die keyId von der Datei VirtualMachine.config.keyId.keyId ab.

    2. Bitten Sie den KMS-Administrator, den Schlüssel zu reaktivieren, der dieser Schlüssel-ID entspricht.

    Wenn der Schlüssel auf dem KMS wiederhergestellt werden kann, ruft vCenter Server ihn ab und leitet ihn an den ESXi-Host weiter, wenn er das nächste Mal benötigt wird.

  4. Wenn auf den KMS zugegriffen werden kann und der ESXi-Host eingeschaltet ist, das vCenter Server-System jedoch nicht zur Verfügung steht, führen Sie die folgenden Schritte durch, um die virtuellen Maschinen zu entsperren.
    1. Stellen Sie das vCenter Server-System wieder her oder richten Sie ein anderes vCenter Server-System als KMS-Client ein.

      Sie müssen den gleichen Clusternamen verwenden, aber die IP-Adresse kann sich unterscheiden.

    2. Registrieren Sie alle gesperrten virtuellen Maschinen neu.

      Die neue vCenter Server-Instanz ruft die Schlüssel vom KMS ab, und die virtuellen Maschinen werden entsperrt.