BitLockerを有効にした環境での運用上の注意点

BitLockerを有効にした環境での運用上の注意点です。
以降、起動環境の表記は下記と定義します。
・WinPE/WinRE    … Windows PEまたはREベースの起動環境
・AIPBE                 … Linuxベースの起動環境

弊社製品のBitLockerのバックアップにおける注意点は、下記のナレッジに掲載しています。
BitLocker-のバックアップについて

上記の一部に復元の注意も含まれますが、復元後のBitLocker側の挙動も踏まえた運用において主な注意点は以下です。

・BitLocker有効時は、ディスクバックアップ、ディスク復元を行う

・起動環境はWinPE/REを使用する

・BitLockerが有効になっていると、起動環境での対象ボリュームはBitLockerによりドライブがロックされており参照できないが、WinPE/REで起動した場合、ドライブのロックを解除すれば参照可能。BitLockerを有効化したデータドライブにバックアップファイルを保存している場合、ドライブのロック解除は必須

・BitLockerで暗号化したオンラインバックアップのシステムディスク復元後には、BitLockerは解除される。データドライブをBitLockerで暗号化しているとドライブロックされるが、BitLockerの管理からドライブロックの解除などを実行し復旧できる。

・BitLockerで暗号化されたオフラインバックアップは、復元した後もBitLockerで暗号化した情報を保持する。

・BitLockerで暗号化されたオフラインバックアップは、ディスク復元以外の機能の利用は不可。仮想化、HyperRecovery、HyperStandbyといった、復元先でシステムを起動するために必要な作業が発生するような機能は正常動作しません。

・オンラインバックアップのファイル復元は可能。BitLockerで暗号化されたオフラインバックアップから、ファイル復元は不可

上記を踏まえ、下記の章立てで運用上の操作や注意点等を説明します。
1)BitLocker有効、Windowsのオンライン(ホット)バックアップと復元
2)BitLocker有効、Windowsのオフライン(コールド)バックアップと復元
3)バックアップ保存先がBitLockerで暗号化
4)BitLocker有効、データドライブのオンラインバックアップと復元
5)注意

*****

1)BitLocker有効、Windowsのオンライン(ホット)バックアップと復元

ボリュームバックアップ
BitLocker有効時はActiveImage Protectorではディスクバックアップ(Disk0等、システムを含むディスクを選択してバックアップ)を行います。

バックアップはスマートセクターで取得されますので、バックアップファイルサイズはBitLockerで暗号化していないボリュームとほぼ同じです。
取得したバックアップをシステム丸ごと復元すると、BitLockerの暗号化は解除され、暗号化設定時の回復キーは使用できなくなります。再度BitLockerで暗号化したい場合は、BitLocker管理画面から暗号化を行って下さい。

ボリューム復元
元の環境がBitLocker有効となっていると、起動環境では不明なボリュームとなっており、暗号化されているボリュームのみをボリューム復元するとエラーが発生し失敗します。これは、bitlockerが対象ボリュームをロックしていてファイルシステムを正しく認識できないためです。下記はCドライブをBitLockerで暗号化した環境をWinPEで起動した直後の画面です。

また、BitLocker有効化でのWinPE/REボリューム復元(上記C:ドライブへ上書き復元)を行った場合のエラーログの抜粋は以下の通りです。

ログ:

11/07/2024 05:54:18.715 Restore_WriteVolume: WriteFile(310,8388608 ,8388608,) error(-2144272384)
11/07/2024 05:54:18.715 ##### Pipe line encounter ERROR: 105, last error code:2150694912, 128 Level = ERROR[0]

11/07/2024 05:54:18.721 {IDS_STRING3018}Exit Code: -701

Microsoft エラー ルックアップ ツールによるcode: 2150694912について:
https://learn.microsoft.com/ja-jp/windows/win32/debug/system-error-code-lookup-tool

>Err_6.4.5.exe 2150694912
# for decimal -2144272384 / hex 0x80310000\
  FVE_E_LOCKED_VOLUME                                            winerror.h
# This drive is locked by BitLocker Drive Encryption. You

上記の為、ボリューム復元ではディスクを選択し復元してください。ディスク復元の場合、復元先のBitLockerの暗号化有無に依存せず復元可能です。

ディスク復元のご参考:
チュートリアル動画のシステム復元 –Windows編-

ディスク復元はAIPBEでも可能ですが、以下の理由から推奨しません。

・理由

  1. Hyper-Vゲストを使用し別環境にリストアする場合、AIPBEでは、セキュアブートを有効にして起動環境を起動するにはテンプレートとして「Microsoft UEFI証明機関」が必要ですが、Hyper-Vゲストからは復元した後にセキュアブートの設定を変更できないので、事前にセキュアブートを無効にしておく必要があります。WinPE/WinREであればセキュアブートを有効にし、テンプレートを「Microsoft Windows」のまま全ての作業ができるので、煩雑な作業が不要になります。
  2. 起動環境でBitLockerのロック解除が行えません。
  3. BitLockerを有効にしたオフラインバックアップでは、ファイルシステムが不明となるため、復元することができません。
    *ActiveImage-Protector-エラーコード -231、AIPBEはBitlockerのボリュームに対し、対象のパーティションの設定ができない。
    ActiveImage-Protector-エラーコード
  4. 保存先にBitLockerが設定されていると、保存先が参照できません。Windows上で事前に無効化が必要です。

ファイル復元
Bitlockerの有効無効に限らず、オンラインバックアップファイルからファイル復元を行うことは可能です。

2) BitLocker有効、Windowsのオフライン(コールド)バックアップと復元
オフラインバックアップはWinPE/WinREのみ行えます。
バックアップのファイルサイズの目安は以下の通りです。暗号化されたボリュームのデータの圧縮はほぼ効かず、オンラインバックアップよりもファイルサイズは大きくなります。
同ディスク内に暗号化されていないデータボリュームがある場合、そのボリュームは圧縮が効きます。

・BitLockerの暗号化時に使用済みのみ暗号化している場合、バックアップファイルのサイズはデータ使用量とほぼ同じ
・BitLockerの暗号化時にドライブ全体で暗号化している場合、バックアップファイルのサイズはディスクサイズとほぼ同じ

ご参考:BitLocker有効無効のバックアップ比較

また、復元もWinPE/WinREのみで行えます。暗号化は保持されますが、別コンピューターに復元した場合、Windows起動時にBitLocker回復の画面が表示されます。暗号化設定時の回復キーを入力して起動することができます。


Windowsの再起動で毎回回復キーを求められてしまう場合、Windows起動後、BitLockerの管理画面で、Cドライブ(システムの暗号化ドライブ)に対して 保護の中断 → 保護の再開 と操作してください。
以降のWindows再起動では表示されなくなります。もしも解決しない場合は、BitLockerの無効化およびBitLockerの有効化を行い、Bitlockerの暗号化をし直してください。

ファイル復元
BitLockerで暗号化されたオフラインバックアップファイルの対象となるボリュームは不明なファイルシステムとなります。そのためデータを参照できず、ファイル復元は行えません。
BitLockerで暗号化されていないボリュームについては、ファイル復元が可能です。

3) バックアップ保存先がBitLockerで暗号化
バックアップ保存先のデータドライブをBitLockerで暗号化している場合、オンラインバックアップは、保存先を参照してバックアップ保存先として利用することができます。

*AIPBEでは、BitLockerで暗号化されボリュームを参照できないので、使用する場合は事前にBitLockerの無効化が必要です。

ボリュームE:またはF:をバックアップ保存先とし、バックアップを取得したとします。

WinPE/REで起動します。

C,D,EはBitLockerで暗号化した状態でWinPE/RE起動後、ダッシュボードのディスク情報は下記になります。


FileExplorerを見ると、Bitlockerで暗号化されたD:やE:はドライブレターのみ参照可能ですが、その配下のデータは参照できません。


参照するためには、BitLockerのドライブのロック解除を行います。

ドライブのロック解除手順:

  1. WinPE/WinREで起動します。
  2. ダッシュボードを参照して、どのドライブが暗号化されているかを確認します。
    *ディスクの順番やドライブレターはWindows上と異なる場合があります。その場合はディスクサイズ等で判別してください。暗号化されているボリュームのファイルシステムは不明となっています。上記例ではD:とE:となります。
  3. [ユーティリティ] > [コマンドプロンプト起動]でコマンドプロンプトを起動します。

BitLockerのコマンド”manage-bde -unlock”を使用してロックを解除します。

>manage-bde –unlock <ドライブレター> -password
このボリュームをロック解除するためのパスワードを入力します:<パスワード>
*BitLockerで暗号化する際、「パスワードを使用してドライブのロックを解除」を選択した場合のみ使用可能です。

または、
>manage-bde –unlock <ドライブレター> -recoverykey <暗号化時に保存された回復キー>

コマンドの詳細


ドライブのロックを解除すると、対象のボリューム内のイメージを参照できるようになり、復元が可能になります。オフラインバックアップ時も、上記操作後、バックアップ保存先として利用することが可能になります。

D:ドライブのロック解除後、FileExplorerでD:内のデータが参照可能となる。


4)BitLocker有効、データドライブのオンラインバックアップと復元
BitLocker有効化を行ったデータドライブのバックアップを行った場合、オンラインバックアップについては、Windows上のAIPを使用して、対象のボリュームを上書きでボリューム復元すると、データは正常に戻り、BitLocker有効も保持されます。

データドライブのオンラインバックアップファイルからディスク復元を行うと、データは正常に戻りますがBitLockerが無効化になるので、BitLockerの管理画面から再度有効化が必要です。また、Windows再起動後に、ディスクの管理でファイルシステムがUnknownと表示されるボリュームは、後述の5)注意の方法1.または方法2.の対応が必要です。

ファイル復元については、オフラインファイルは不可ですが、オンラインファイルは可能です。

5)注意
オンラインのシステムイメージを復元した場合、BitLockerが無効の状態で復元されるため、復元したディスク以外のBitLocker暗号化を行ったデータドライブは、ディスクの管理画面を開くと、対象のボリュームはUnknownとなっており、ドライブがロックされている状況になっています。

対象となるE:ドライブとF:ドライブはBitLockerで暗号化済みでUnknownボリュームとなっている


解除するには、BitLockerの管理画面を開いて、「ドライブのロックを解除」を選択します。パスワードまたは回復キーを求められるので入力しドライブのロックを解除します。


この操作でロックは解除され、ディスクの管理画面は下記のようになりデータの参照が可能になりますが、Windowsを再起動すると状況がロック解除前の状況に戻ってしまいます。


自動ロック解除の有効化を行おうとすると下記のようなエラーが発生します。


BitLocker管理画面より、以下のいずれかを操作することで解決可能です。

方法1.データドライブのBitLocker暗号化を保持する場合

  • システム(Cドライブ)のBitLockerを有効にする
  • システムのBitLockerの有効化後、各データドライブのドライブのロックを解除する
  • 各データドライブの「自動ロック解除の有効化」をクリックし、データの自動ロック解除を有効にする

方法2.データドライブのBitLocker暗号化を保持しなくて良い場合

  • 各データドライブのドライブのロックを解除する
  • 各データドライブの「BitLockerを無効にする」でBitLockerを無効化する

テスト環境
Windows 10 22H2 (10.0.19044)
ActiveImage Protector 7.0.3.8919+アップデートパッチ 24.7.31.2

(パッチ適用後)
製品バージョン        :7.0.3.8919
エージェントバージョン:7.1.0.9188
コンソールバージョン  :7.1.0.9188

Support T.

Actiphy Rapid DeployのクライアントPCのネットワークブート(iPXEブート)のメリット

先日リリースしたActiphy Rapid Deployの拡張機能として、デプロイ対象のクライアントPCの起動方法にネットワークブートが追加されました。これにより、クライアントPCを起動させるための起動メディアの用意や、デプロイ作業の際に起動メディアをセットして起動する作業が不要になり、更にキッティング作業を効率化することができます。

ネットワークブートの仕組みとして、PXE(Preboot Execution Environment:ピクシー)ブートはご存じの方も多いかと思いますが、ネットワークカードに標準で搭載されているPXEファームウェアを使用してクライアントPCを起動させる方法です。

今回のActiphy Rapid DeployのクライアントPCのネットワークブートでは、PXE機能を拡張した「iPXE」を使用したネットワークブートを可能にしています。ここでは、iPXEブートの仕組みとメリットについて紹介していきます。

●iPXEブートの仕組み
クライアントPCから、ネットワークブートを選択して起動した場合の大まかな流れを表した図が以下になります。

①PXEファームウェアから起動
②iPXE ファームウェアを要求(TFTP)
③iPXE ファームウェアをロード(TFTP)
④iPXE ファームウェアから起動
⑤ImageCastクライアント ブートイメージを要求(HTTP)
⑥ImageCastクライアント ブートイメージをロード(HTTP)
⑦ImageCastクライアント ブートイメージを起動

●iPXEブートのメリット
iPXEブートにより、クライアントPCの起動時間の短縮を可能にしています。
以下の構成の検証マシンにおいて、iPXEブートとPXEブートの起動時間の測定結果は以下となります。

測定結果:
測定方法は、ネットワークブート開始からImaegCast Serverへの接続完了までの時間としています。測定結果は、10回測定した値の平均値となります。測定結果から、iPXEブートは、PXEブートに比べ約5倍もの高速なクライアントPCの起動を確認できました。

・iPXEブート時:34秒

・PXEブート時:2分28秒

最後に
PCのキッティング作業は、とにかく時間と手間のかかる作業です。Actiphy Rapid Deployにより、PCのキッティング作業を効率化し、エンジニアの負担の軽減に少しでもお役立ていただければ幸いです。

ActiveImage Protectorの起動環境へのIntel VMDドライバーの組み込み(後編)

前編はこちら

適合性を確認したら「Actiphy Boot Environment Builder」から、Intel VMDドライバーを組み込んだWindows PE(ここでは、Windows 11 バージョン22H2 ビルド 10.0.22621を使用)ベースの起動環境を作成します。

続きを読む…

ActiveImage Protectorの起動環境へのIntel VMDドライバーの組み込み(前編)

ActiveImage Protectorの起動環境から起動した際に、Intel VMD(Intel Volume Managemnt Device)が有効な環境において、NVMe SSDが認識できないことがあります。この場合の対策としては、BIOSの設定でIntel VMDを無効にするか、Intel VMDのドライバーを手動で起動環境に組み込む必要があります。

ここでは、ActiveImage ProtectorのWindows PEベースの起動環境へIntel VMDドライバーの組み込み手順を紹介します。

続きを読む…

システム要件を満たさないメモリ割り当ての起動環境で復元できない BE Linux編

前回の「システム要件を満たさないメモリ割り当ての起動環境で復元がエラーになった話」では、Windowsベースの起動環境 (WinPE/RE)で調査を行いましたが、Linuxベースの起動環境についても調査しました。

結論としてエラーにはなりませんでしたが、タスク処理が停止し続け終わらず、サポート情報なども取得できない状況に陥り、復元ができない状況となりました。

システム要件
Actiphy Boot Environment (Linux)
メイン メモリ:2GB以上

続きを読む…

システム要件を満たさないメモリ割り当ての起動環境で復元がエラーになった話

先日、お客様からの問い合わせで、バックアップは全く問題は無いが、Windowsベースの起動環境で起動し復元すると必ずエラーになる、という問い合わせがありました。

復元のログは、必ず下記で停止していました。

06/26/2024 07:57:06.489 Pipeline end, exit code: 0
06/26/2024 07:57:06.490 Restore volume 0 done
06/26/2024 07:57:06.494 Pipeline start
06/26/2024 07:57:06.495 OOOW: Yes
→ログの停止

続きを読む…

AlmaLinuxをAWSへ移行してみた(2)

今回は移行先インスタンス自体の作成についてです。

インスタンス作成時のデフォルトのインスタンスタイプである「t2.xxxxx」は、legacy-biosのインスタンスとなるため、UEFIのマシンを移行した場合、システム側のBIOS変換が必要となります。

続きを読む…

AlmaLinuxをAWSへ移行してみた(1)

オンプレミスの仮想環境上に構築したUEFIブートのAlmaLinuxを、AWSへ移行(V2C)してみました。

注意点として、9.x系についてはAWS上で詳細バージョンが指定できないことで、カーネルバージョンが5.14.0-427.20.1.el9_4.x86_64となっており、2024年6月現在のActiveImage Protector 2022 Linuxでは正式サポートしていません。

そのため、今回の移行は8.xベースで試しています。

続きを読む…

ファイルリストアの復元規則について

ファイルリストアは、バックアップの方法によって復元規則が異なります。

  1. ボリューム(ディスク)バックアップ、またはエージェントレスバックアップ
  2. ファイルバックアップ

イメージファイルの命名規則は下記よりご確認下さい。

 AIP2022のイメージファイルの命名規則について

続きを読む…