Unter bestimmten Umständen kann der ESXi-Host den Schlüssel (KEK) für eine verschlüsselte virtuelle Maschine oder eine verschlüsselte virtuelle Festplatte nicht aus vCenter Server abrufen. In diesem Fall können Sie dennoch die Registrierung der virtuellen Maschine aufheben oder diese neu laden. Sie können jedoch keine anderen VM-Vorgänge durchführen, wie z. B. Einschalten oder Löschen der virtuellen Maschine. Sie werden in einem vCenter Server-Alarm informiert, wenn sich eine verschlüsselte virtuelle Maschine im gesperrten Modus befindet. Sie können eine gesperrte verschlüsselte VM mithilfe des vSphere Client entsperren, nachdem Sie die notwendigen Schritte zur Bereitstellung der erforderlichen Schlüssel auf dem KMS durchgeführt haben.

Wenn der Schlüssel der virtuellen Maschine nicht verfügbar ist, wird der Status der virtuellen Maschine als ungültig angezeigt. Die virtuelle Maschine kann nicht eingeschaltet werden. Wenn der Schlüssel der virtuellen Maschine verfügbar ist, aber kein Schlüssel für eine verschlüsselte Festplatte verfügbar ist, wird der Status für die virtuelle Maschine nicht als ungültig angezeigt. Die virtuelle Maschine kann jedoch nicht eingeschaltet werden, und es kommt zu folgendem Fehler:
The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.
Hinweis: In folgendem Verfahren werden die Situationen geschildert, die zur Sperrung einer virtuellen Maschine führen können, sowie neben den zugehörigen Alarmen und Ereignisprotokollen die Vorgehensweisen im jeweiligen Fall.

Prozedur

  1. Wenn das Problem in der Verbindung zwischen dem vCenter Server-System und dem KMS besteht, wird ein VM-Alarm erzeugt und folgende Meldung im Ereignisprotokoll angezeigt:
    Die virtuelle Maschine ist wegen eines KMS-Clusterfehlers gesperrt.
    Sie müssen die Schlüssel manuell im KMS-Cluster überprüfen und die Verbindung zum KMS-Cluster wiederherstellen. Wenn der KMS und die Schlüssel zur Verfügung stehen, entsperren Sie die gesperrten virtuellen Maschinen. Weitere Informationen hierzu finden Sie unter Entsperren von gesperrten virtuellen Maschinen. Sie können den Host auch neu starten und die virtuelle Maschine erneut registrieren, um sie nach der Wiederherstellung der Verbindung zu entsperren.

    Bei einer Unterbrechung der Verbindung zum KMS wird die virtuelle Maschine nicht automatisch gesperrt. Die virtuelle Maschine wechselt nur dann in einen gesperrten Zustand, wenn die folgenden Bedingungen erfüllt sind:

    • Der Schlüssel ist nicht auf dem ESXi-Host verfügbar.
    • vCenter Server kann keine Schlüssel vom KMS abrufen.

    Nach jedem Neustart muss ein ESXi-Host in der Lage sein, den vCenter Server zu erreichen. vCenter Server fordert den Schlüssel mit der entsprechenden ID vom KMS an und stellt ihn auf ESXi zur Verfügung.

    Wenn die virtuelle Maschine nach dem Wiederherstellen der Verbindung zum KMS weiterhin gesperrt ist, erhalten Sie weitere Informationen unter Entsperren von gesperrten virtuellen Maschinen.

  2. Wenn die Verbindung wiederhergestellt wurde, registrieren Sie die virtuelle Maschine. Wenn beim Registrieren der virtuellen Maschine ein Fehler auftritt, stellen Sie sicher, dass Sie über das Recht Kryptografievorgänge.VM registrieren für das vCenter Server-System verfügen.
    Diese Berechtigung ist für das Einschalten einer verschlüsselten virtuellen Maschine nicht erforderlich, wenn der Schlüssel verfügbar ist. Diese Berechtigung ist für die Registrierung der virtuellen Maschine erforderlich, wenn der Schlüssel abgerufen werden muss.
  3. Wenn der Schlüssel nicht mehr auf dem KMS verfügbar ist, wird ein VM-Alarm erzeugt und folgende Meldung im Ereignisprotokoll angezeigt:
    Die virtuelle Maschine ist gesperrt, weil Schlüssel auf dem KMS-Cluster fehlen.
    Bitten Sie den KMS-Administrator, den Schlüssel wiederherzustellen. Sie können auf einen inaktiven Schlüssel stoßen, wenn Sie eine virtuelle Maschine einschalten, die aus der Bestandsliste entfernt und seit einiger Zeit nicht registriert wurde. Es passiert auch, wenn Sie den ESXi-Host neu starten, wenn der KMS nicht verfügbar ist.
    1. Rufen Sie die Schlüssel-ID mithilfe des Managed Object Browsers (MOB) oder der vSphere API ab.
      Rufen Sie die keyId von der Datei VirtualMachine.config.keyId.keyId ab.
    2. Bitten Sie den KMS-Administrator, den Schlüssel zu reaktivieren, der dieser Schlüssel-ID entspricht.
    3. Nach der Wiederherstellung des Schlüssels erhalten Sie weitere Informationen unter Entsperren von gesperrten virtuellen Maschinen.
    Wenn der Schlüssel auf dem KMS wiederhergestellt werden kann, ruft vCenter Server ihn ab und leitet ihn an den ESXi-Host weiter, wenn er das nächste Mal benötigt wird.
  4. Wenn auf den KMS zugegriffen werden kann und der ESXi-Host eingeschaltet ist, das vCenter Server-System jedoch nicht zur Verfügung steht, führen Sie die folgenden Schritte durch, um die virtuellen Maschinen zu entsperren.
    1. Stellen Sie das vCenter Server-System wieder her oder richten Sie ein anderes vCenter Server-System ein. Legen Sie anschließend ein Vertrauensverhältnis mit dem KMS fest.
      Sie müssen den gleichen KMS-Clusternamen verwenden, die IP-Adresse des KMS kann sich aber unterscheiden.
    2. Registrieren Sie alle gesperrten virtuellen Maschinen neu.
      Die neue vCenter Server-Instanz ruft die Schlüssel vom KMS ab, und die virtuellen Maschinen werden entsperrt.
  5. Wenn die Schlüssel nur auf dem ESXi-Host fehlen, wird ein VM-Alarm erzeugt und folgende Meldung im Ereignisprotokoll angezeigt:
    Die virtuelle Maschine ist gesperrt, weil Schlüssel auf dem Host fehlen.
    Das vCenter Server-System kann die fehlenden Schlüssel aus dem KMS-Cluster abrufen. Ein manuelle Wiederherstellung der Schlüssel ist nicht erforderlich. Weitere Informationen hierzu finden Sie unter Entsperren von gesperrten virtuellen Maschinen.