Bitlocker 加密虚拟机的 ASR 故障转移失败

Question

北欧有一个带有 Bitlocker 的 Azure VM 加密磁盘。一切都在西欧得到了很好的复制。在进行测试故障转移时，出现以下错误。

故障转移错误：ID28031 错误消息：无法在资源组 'XXXX-Destination-RG' 下创建虚拟机 XXX-AZ-WEB01-test'。 Azure 错误消息：“密钥保管库 https://XXX-keyvault-ne.vault.azure.net/keys/Bitlocker/XXXX 尚未启用卷加密，或者提供的保管库 ID 与 /subscriptions/XXXX-XX-XXXX-XXX-XXXX/resourceGroups/XXX-Destination-RG/providers/Microsoft.KeyVault/vaults/XXX-KEYVAULT-WE 的真实资源 ID 不匹配。 （配置失败）'。

事情已经到位，显示错误。

1. 已在源和目标 Key Vault 中启用卷加密。

2. 用户已按此doc分配了所有权限。

提前致谢。

Answer 1

基于配额导致的错误消息 Failover failed with Error ID 28031 并检查 您是否正在尝试故障转移到不同的资源组或密钥保管库？恢复虚拟机时，再次使用现有密钥对其进行加密，尝试将密钥存储在目标密钥库中

如果需要用户 KeyVault 权限，请进行交叉检查，如 https://docs.microsoft.com/en-us/azure/site-recovery/azure-to-azure-how-to-enable-replication-ade-vms#required-user-permissions 中所述。 在访问策略下启用提到的 KeyVault 权限（在主要和恢复上）时，请在高级访问策略下启用卷加密（以使故障转移工作）。 同时尝试手动创建启用复制成功的资源组和存储帐户post。

KeyVault 中存在一些限制，导致故障转移失败：https://github.com/Azure/azure-cli/issues/4318

如果以上内容对您有帮助，或者您在这个问题上需要进一步的帮助，请告诉我们。

Answer 2

错误是创建了目标 KeyVault 并手动导入了密钥。目标 Keyvault 必须由下面提供的脚本创建。

https://docs.microsoft.com/en-us/azure/site-recovery/azure-to-azure-how-to-enable-replication-ade-vms#copy-disk-encryption-keys-to-the-dr-region-by-using-the-powershell-script

通过脚本创建目标 KeyVault 后，一切顺利。