0

北欧有一个带有 Bitlocker 的 Azure VM 加密磁盘。一切都在西欧得到了很好的复制。在进行测试故障转移时,出现以下错误。

故障转移错误:ID28031 错误消息:无法在资源组“XXXX-Destination-RG”下创建虚拟机 XXX-AZ-WEB01-test。Azure 错误消息:“密钥保管库https://XXX-keyvault-ne.vault.azure.net/keys/Bitlocker/XXXX尚未启用卷加密或提供的保管库 ID 与 /subscriptions/XXXX-XX 不匹配-XXXX-XXX-XXXX/resourceGroups/XXX-Destination-RG/providers/Microsoft.KeyVault/vaults/XXX-KEYVAULT-WE的真实资源id。(配置失败)'。

事情已经到位,显示错误。

  1. 源和目标 Key Vault 中都启用了卷加密。 在此处输入图像描述

  2. 用户已根据此文档分配了所有权限。

提前致谢。

4

2 回答 2

1

基于错误消息Failover failed with Error ID 28031 due to Quota 并检查您是否尝试将故障转移到不同的资源组或密钥保管库?还原虚拟机并再次使用现有密钥对其进行加密时,尝试将密钥存储在目标密钥库中

如果需要用户 KeyVault 权限,请进行交叉检查,如https://docs.microsoft.com/en-us/azure/site-recovery/azure-to-azure-how-to-enable-replication-ade-vms#required中所述-用户权限。在访问策略下启用提到的 KeyVault 权限(主要和恢复)时,请在高级访问策略下启用卷加密(以使故障转移工作)。还尝试手动创建启用复制成功的资源组和存储帐户帖子。

KeyVault 中有一些限制导致故障转移失败:https ://github.com/Azure/azure-cli/issues/4318

请让我们知道上述内容是否有帮助,或者您在此问题上需要进一步的帮助。

于 2019-07-24T12:10:52.093 回答
0

错误是创建了目标 KeyVault 并手动导入了密钥。目标 Keyvault 必须由下面提供的脚本创建。

https://docs.microsoft.com/en-us/azure/site-recovery/azure-to-azure-how-to-enable-replication-ade-vms#copy-disk-encryption-keys-to-the- dr-region-by-using-the-powershell-script

一旦我通过脚本创建了目标 KeyVault,一切都会顺利进行。

于 2019-07-25T13:54:35.193 回答