lcer00
26.07.2021
view2022
view5
0
Goto Top

Bitlocker mit Hyper-V VM-Export Sicherung und Replikation

gelöstFrageMicrosoftWindows Server
Hallo zusammen,

aufgrund der Fragen von @SarekHL TPM-Besitzerkennwort - wo finde ich es? bin ich bei meinen HP-Servern genau so vorgegangen.
  • Gebrauchtes TPM installiert (war alles reproduzierbar).
  • auf VM das TPM aktiviert (Hyper-V Einstellungen der VM)
  • in der VM Bitlocker aktiviert.

Dazu habe ich noch folgende Fragen:

  • Hängt das VM-TPM am Host-TPM (ich meine, so etwas gelesen zu haben)
  • Kann ich dann die VM weiterhin replizieren und bei Failover starten? Oder passt dann das TMP nicht?
  • Wir sichern die gesamten VMs mit Acronis als Agent auf dem Host, die VMs haben keinen Sicherungs-Agent installiert. Ist so eine Sicherung wiederherstellbar (will ich demnächst testen, aber vorher wollte ich Fragen)?

Grüße

lcer
ShareTeilen
Auf Facebook teilen Auf Twitter teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 1089270926

Url: https://administrator.de/contentid/1089270926

Ausgedruckt am: 21.11.2024 um 19:11 Uhr

5 Kommentare
Neuester Kommentar
Goto Top
DerWoWusste
Lösung DerWoWusste 26.07.2021 um 09:14:14 Uhr
Goto Top
Hi.

Hängt das VM-TPM am Host-TPM
Nein. Für Verschlüsselung der VMs brauchst Du kein TPM im Host. Die vTPMs sind auch ohne Host-TPM vefügbar.
Kann ich dann die VM weiterhin replizieren und bei Failover starten?
Ich spare mir die Antwort. Sowas probiert man aus und verlässt sich nicht auf Forenantworten face-smile Der Recoverykey wird dir in jedem Fall helfen können. Zu Deinem Acronisprodukt kann ich Dir nichts sagen.
IT-Pro
Lösung IT-Pro 26.07.2021 um 09:18:37 Uhr
Goto Top
Zitat von @DerWoWusste:

Ich spare mir die Antwort. Sowas probiert man aus und verlässt sich nicht auf Forenantworten face-smile Der Recoverykey wird dir in jedem Fall helfen können. Zu Deinem Acronisprodukt kann ich Dir nichts sagen.

Ja, du solltest dir vorher unbedingt den Recovery bereitlegen, denn den wirst du nach dem MOVE brauchen.
lcer00
lcer00 26.07.2021 um 09:35:57 Uhr
Goto Top
Zitat von @IT-Pro:

Ja, du solltest dir vorher unbedingt den Recovery bereitlegen, denn den wirst du nach dem MOVE brauchen.
Ich habe es nicht auf den Produktivsystemen aktiviert, lediglich auf einem Test-System. Da es sich um ein "Standardverfahren" handelt, kann man ja mal nachfragen.

Zitat von @DerWoWusste:

Ich spare mir die Antwort. Sowas probiert man aus und verlässt sich nicht auf Forenantworten face-smile Der Recoverykey wird dir in jedem Fall helfen können. Zu Deinem Acronisprodukt kann ich Dir nichts sagen.
Na ja, ich gehe davon aus, dass Bitlocker innerhalb der Windows der VM läuft. Die Sicherungssoftware arbeitet über VM-Snapshots. Die Snapshots der Laufwerke dürften ja auch nichts anderes enthalten, als enthalten als Bitlocker-verschlüsselte Daten. Demzufolge dürfte das Backup nicht mehr durchsuchbar sein. Und das gleiche dürfte ja auch für eine exportierte VM oder für die Replikate gelten.

Wie gesagt, ich teste das, bevor ich irgendwas auf den Produktivsystemen aktiviere, aber es ist sicher hilfreich, wenn man weiß, womit man rechnen muss.

Grüße

lcer
heart1
lcer00
lcer00 28.07.2021 um 09:52:41 Uhr
Goto Top
Hallo,

kleiner Nachtrag zum "Acronisproduct". Die Sicherungen erfolgen weiter, auch inkrementell, ab dem Aktivieren von Bitlocker ist es jedoch nicht mehr möglich, einzelne Dateien aus den Sicherungen zu extrahieren. Lediglich das gesamte verschlüsselte Laufwerk kann wiederhergestellt werden. Das ist das Verhalten, was ich auch erwartet hätte.

Grüße

lcer
lcer00
lcer00 10.08.2021 um 14:42:12 Uhr
Goto Top
Hallo,

Nachtrag ....

siehe https://www.hyper-v-server.de/news/livemigrieren-von-hyper-v-vms-die-ein ...

um die Migration durchführen zu können, benötigt man auf dem Ziel-VM-Host die "Shielded VM Local Certificates" aus dem Zertifikatsstore des Quell-VM-Hosts. Diese muss man inklusive Privatem Schlüssel exportieren und anschließend importieren.

Anderenfalls kann man die VM nicht starten.

Grüße

lcer
gelöstFrageMicrosoftWindows Server
Mehr von lcer00lcer00Ereignisweiterleitung: Benötigt ein quellinitiiertes Abonnement WinRM eingehend am Quellcomputer?lcer00 - 2 Kommentarelcer00Kann man sich in Teams benachrichtigen lassen, wenn eine neue Email in einem freigegebenen Postfach eintrifft?lcer00 - 2 Kommentarelcer00Was hat einen Salesforce ODBC Treiber installiert?lcer00 - 2 Kommentarelcer00FortiGate 40F, 60E, 60F, 80E, oder 90E kann ab FortiOS 7.2.6 nicht mehr Fabric Root seinlcer00 - 2 Kommentare
Heiß diskutiert
user217Kaufberatung Hardware - Hyper-V Cluster 3 Nodesuser217 - 25 KommentarePharaunIntel-E810 QSFP28 to Mikrotik QSPF+ mit 40Gbit VerbindungPharaun - 23 KommentarecseLaufwege erfassen in großer Hallecse - 20 Kommentaresuperfun2k24Sophos SFOS 20 DNAT funktioniert nichtsuperfun2k24 - 20 Kommentareprplemk2Testumgebung bauen (Grundlegend)prplemk2 - 19 KommentareYan2021Nachricht an mehrere PCs im Netzwerk sendenYan2021 - 17 KommentareaufdemmarsHP Z620 USB hat kein Strom beim Startenaufdemmars - 16 KommentareTJ.Hooker74Dom.Admin-Passwort ändern - Auswirkungen auf EX, HCW, AADCTJ.Hooker74 - 14 KommentareadmtechEntwicklertagebuch: Release 6.4 - Filteradmtech - 13 KommentaremaisenkaiserSwitch ohne STP ins Netzwerkmaisenkaiser - 13 KommentareJudgelgZertifikate in die Exchange Online GAL hochladenJudgelg - 13 KommentareleberkaeseFB7590 ISDN Fax-Funktionleberkaese - 12 Kommentare