概要
Bitlocker の自動解除をを仮想マシンで行いたい。そのためにはTPM(トラステッド プラットフォーム モジュール)を有効に変更したが,「キーの保護機能をラップ解除できませんでした」のエラーメッセージが表示され仮想マシンの起動ができない。その場合の対処方法。
前提条件として,仮想マシンがTPM無効でも正常に起動していること。
手順
何はともあれ該当マシンをバックアップ
この後の作業で万が一を考えて仮想マシンをエクスポートしてバックアップしておきましょう。
母体物理サーバーでの作業
概要としては,既存の仮想HDDを利用して,TPMを有効にした仮想マシンを再作成するという感じです。
仮想マシンの削除
hyper-v マネージャー にて,該当の仮想マシンの削除を行う。仮想HDDは残るはず。この仮想HDDは後で利用します。
仮想マシンの新規作成
●仮想マシンの世代は,「第2世代」 とします。
●仮想ハードディスクの接続 では,「既存の仮想ハードディスクを使用する」で対象となる仮想マシンの仮想HDDファイルを指定します。(消えずにファイルは残っているはず)
●出来上がった仮想マシンの「設定」-「セキュリティ」にて,TPMを有効にします。
●仮想マシンを起動します。
これで仮想マシンにはTPMが認識されます。
新規仮想マシンでの作業
●ネットワーク設定が初期化されているので,正しいアドレスに設定しなおしておきます。
●複数ドライブがある場合,オフラインになっているので 「ディスクの管理」にてオンラインにします。
●Bitlooker の自動解除をしたい場合は,OSドライブを Bitlooker暗号化する必要があります。TPMが有効なのでできます。
その他の作業
Hyper-v レプリケーションを使用している場合
TPMを有効設定し,起動させた母体サーバーの「シールド VM のローカル証明書」がレプリカ先母体サーバーでも必要です。これがないとTPM有効でフェールオーバーできないとのことです。
仮想マシンが起動している母体サーバーにて,「Certlm.msc」を起動し「シールド VM のローカル証明書(2種類)を秘密鍵付きでエクスポートします。そしてレプリカ先母体サーバーにてインポートします。もしレプリカ先で「シールド VM のローカル証明書」の項目がないなら,TPM有効にした仮想マシン(仮想HDDはなしで構わない)を一時的に作成します。これによって項目が追加されますのでインポートできます。
ついでにレプリカ先の証明書をプライマリ側にもインポートしておくと都合が良いでしょう。
環境の確認
●「ホスト ガーディアン Hyper-V サポート 機能」がインストールされている必要があるそうです。
PowerShellにて Get-WindowsFeature HostGuardian を実行するとわかる。Available であればOK。インストールの仕方や詳しい情報は 保護されたホストのトラブルシューティング(Microsoft)
プロパティ
Windows Server 2022
コメント