Wenn der ESXi-Host den Schlüssel (KEK) für eine verschlüsselte virtuelle Maschine oder eine verschlüsselte virtuelle Festplatte nicht vom vCenter Server abrufen kann, wird die verschlüsselte VM gesperrt. Nachdem Sie die Schlüssel auf dem KMS verfügbar gemacht haben, können Sie eine gesperrte verschlüsselte virtuelle Maschine entsperren.

Unter bestimmten Umständen kann bei Verwendung eines Standardschlüsselanbieters der ESXi-Host den Schlüsselverschlüsselungsschlüssel (Key Encryption Key, KEK) für eine verschlüsselte virtuelle Maschine oder eine verschlüsselte virtuelle Festplatte nicht vom vCenter Server abrufen. In diesem Fall können Sie dennoch die Registrierung der virtuellen Maschine aufheben oder diese neu laden. Sie können jedoch keine anderen VM-Vorgänge durchführen, wie z. B. Einschalten der virtuellen Maschine. Nachdem Sie die nötigen Schritte ausgeführt haben, um die erforderlichen Schlüssel auf dem KMS verfügbar zu machen, können Sie eine gesperrte verschlüsselte virtuelle Maschine mithilfe des vSphere Client entsperren.

Wenn der Schlüssel der virtuellen Maschine nicht verfügbar ist, werden Sie durch einen vCenter Server-Alarm benachrichtigt, und der Status der virtuellen Maschine wird als ungültig angezeigt. Die virtuelle Maschine kann nicht eingeschaltet werden. Wenn der Schlüssel der virtuellen Maschine verfügbar ist, aber kein Schlüssel für eine verschlüsselte Festplatte verfügbar ist, wird der Status für die virtuelle Maschine nicht als ungültig angezeigt. Die virtuelle Maschine kann jedoch nicht eingeschaltet werden, und es kommt zu folgendem Fehler:
The disk [/path/to/the/disk.vmdk] is encrypted and a required key was not found.
Hinweis: In folgendem Verfahren werden die Situationen geschildert, die zur Sperrung einer virtuellen Maschine führen können, sowie neben den zugehörigen Alarmen und Ereignisprotokollen die Vorgehensweisen im jeweiligen Fall.

Prozedur

  1. Falls die Verbindung zwischen dem vCenter Server-System und dem KMS das Problem ist, generiert der vCenter Server einen VM-Alarm. Außerdem wird eine Fehlermeldung im Ereignisprotokoll angezeigt.
    Stellen Sie die Verbindung zum KMS wieder her. Wenn der KMS und die Schlüssel zur Verfügung stehen, entsperren Sie die gesperrten virtuellen Maschinen. Weitere Informationen hierzu finden Sie unter Entsperren von gesperrten virtuellen Maschinen. Sie können den Host auch neu starten und die virtuelle Maschine erneut registrieren, um sie nach der Wiederherstellung der Verbindung zu entsperren.

    Bei einer Unterbrechung der Verbindung zum KMS wird die virtuelle Maschine nicht automatisch gesperrt. Die virtuelle Maschine wechselt nur dann in einen gesperrten Zustand, wenn die folgenden Bedingungen erfüllt sind:

    • Der Schlüssel ist nicht auf dem ESXi-Host verfügbar.
    • vCenter Server kann keine Schlüssel vom KMS abrufen.
    Der ESXi-Host muss nach jedem Neustart in der Lage sein, den vCenter Server zu erreichen. vCenter Server fordert den Schlüssel mit der entsprechenden ID vom KMS an und stellt ihn auf ESXi zur Verfügung.
    Hinweis: In vSphere 7.0 Update 2 und höher können Sie Verschlüsselungsschlüssel auch bei mehreren ESXi-Neustarts beibehalten. Weitere Informationen finden Sie unter Schlüsselpersistenz – Übersicht.

    Wenn die virtuelle Maschine nach dem Wiederherstellen der Verbindung zum Schlüsselanbieter weiterhin gesperrt ist, erhalten Sie weitere Informationen unter Entsperren von gesperrten virtuellen Maschinen.

  2. Wenn die Verbindung wiederhergestellt wurde, registrieren Sie die virtuelle Maschine. Falls ein Fehler auftritt oder der Vorgang erfolgreich verläuft, die virtuelle Maschine jedoch gesperrt ist, stellen Sie sicher, dass Sie über das Recht Cryptographic operations.RegisterVM für das vCenter Server-System verfügen.
    Diese Berechtigung ist für das Einschalten einer verschlüsselten virtuellen Maschine nicht erforderlich, wenn der Schlüssel verfügbar ist. Diese Berechtigung ist für die Registrierung der virtuellen Maschine erforderlich, wenn der Schlüssel abgerufen werden muss.
  3. Wenn der Schlüssel auf dem KMS nicht mehr verfügbar ist, generiert der vCenter Server einen VM-Alarm. Außerdem wird eine Fehlermeldung im Ereignisprotokoll angezeigt.
    Bitten Sie den KMS-Administrator, den Schlüssel wiederherzustellen. Sie können auf einen inaktiven Schlüssel stoßen, wenn Sie eine virtuelle Maschine einschalten, die aus der Bestandsliste entfernt und seit einiger Zeit nicht registriert wurde. Es passiert auch, wenn Sie den ESXi-Host neu starten, wenn der KMS nicht verfügbar ist.
    1. Rufen Sie die Schlüssel-ID mithilfe des Managed Object Browsers (MOB) oder der vSphere API ab.
      Rufen Sie die keyId von der Datei VirtualMachine.config.keyId.keyId ab.
    2. Bitten Sie den KMS-Administrator, den Schlüssel zu reaktivieren, der dieser Schlüssel-ID entspricht.
    3. Nach der Wiederherstellung des Schlüssels erhalten Sie weitere Informationen unter Entsperren von gesperrten virtuellen Maschinen.
    Wenn der Schlüssel auf dem KMS wiederhergestellt werden kann, ruft vCenter Server ihn ab und leitet ihn an den ESXi-Host weiter, wenn er das nächste Mal benötigt wird.
  4. Wenn auf den KMS zugegriffen werden kann und der ESXi-Host eingeschaltet ist, das vCenter Server-System jedoch nicht zur Verfügung steht, führen Sie die folgenden Schritte durch, um die virtuellen Maschinen zu entsperren.
    1. Stellen Sie das vCenter Server-System wieder her oder richten Sie ein anderes vCenter Server-System ein. Legen Sie anschließend ein Vertrauensverhältnis mit dem KMS fest.
      Sie müssen den gleichen Schlüsselanbieternamen verwenden, die IP-Adresse des KMS kann sich aber unterscheiden.
    2. Registrieren Sie alle gesperrten virtuellen Maschinen neu.
      Die neue vCenter Server-Instanz ruft die Schlüssel vom KMS ab, und die virtuellen Maschinen werden entsperrt.
  5. Wenn die Schlüssel nur auf dem ESXi-Host fehlen, generiert der vCenter Server einen VM-Alarm, und im Ereignisprotokoll wird die folgende Meldung angezeigt:
    Die virtuelle Maschine ist gesperrt, weil Schlüssel auf dem Host fehlen.
    Das vCenter Server-System kann die fehlenden Schlüssel aus dem Schlüsselanbieter abrufen. Ein manuelle Wiederherstellung der Schlüssel ist nicht erforderlich. Weitere Informationen hierzu finden Sie unter Entsperren von gesperrten virtuellen Maschinen.