Sammendrag 

Som en opfølgning på CrowdStrike Falcon-agentproblemet, der påvirker Windows-klienter og -servere, har vi udgivet et opdateret genoprettelsesværktøj med to reparationsmuligheder for at hjælpe it-administratorer med at fremskynde reparationsprocessen. Værktøjet automatiserer de manuelle trin i KB5042421 (klient) og KB5042426 (server). Download det signerede Microsoft Genoprettelsesværktøj fra Microsoft Download Center. Du kan bruge værktøjet til at gendanne Windows-klienter, -servere og VM (Hyper-V Virtual Machines).

Der er to reparationsmuligheder:

  • Genopret fra Windows PE: Denne indstilling bruger startmedier, der automatiserer enhedsreparationen.

  • Genopret fra fejlsikret tilstand: Denne indstilling bruger startmedier til berørte enheder til at starte i fejlsikret tilstand. En administrator kan derefter logge på med en konto med lokale administratorrettigheder og køre afhjælpningstrinnene.

Bestem, hvilken indstilling der skal bruges

Denne indstilling til at gendanne fra Windows PE hurtigt og direkte gendanner systemer og kræver ikke lokale administrative rettigheder. Hvis enheden bruger BitLocker, skal du muligvis angive BitLocker-genoprettelsesnøglen manuelt, før du kan reparere et påvirket system.

Hvis du bruger en diskkrypteringsløsning, der ikke er fra Microsoft, kan du se vejledningen fra den pågældende leverandør. De bør give mulighed for at gendanne drevet, så du kan køre afhjælpningsscriptet fra Windows PE.

Yderligere overvejelser

Selvom USB-indstillingen foretrækkes, understøtter nogle enheder muligvis ikke USB-forbindelser. I disse situationer skal du se afsnittet om, hvordan du bruger PXE (Preboot Execution Environment) til genoprettelse.

Hvis enheden ikke kan oprette forbindelse til et PXE-netværk, og USB ikke er en mulighed, kan du prøve de manuelle trin i følgende artikler:

Ellers kan det være en løsning at genindsøge enheden.

Med enhver genoprettelsesindstilling skal du først teste den på flere enheder, før du bruger den bredt i dit miljø.

Opret startmediet

Forudsætninger for at oprette startmediet

  1. En Windows 64-bit klient med mindst 8 GB ledig plads, hvor du kan køre værktøjet for at oprette det USB-drev, der kan startes fra.

  2. Administrative rettigheder på Windows-klienten fra forudsætning nr. 1.

  3. Et USB-drev med en minimumstørrelse på 1 GB og ikke større end 32 GB. Værktøjet sletter alle eksisterende data på dette drev og formaterer dem automatisk til FAT32.

Vejledning til at oprette startmediet

Hvis du vil oprette genoprettelsesmedier fra 64-bit Windows-klienten i forudsætning nr. 1, skal du følge disse trin:

  1. Download det signerede Microsoft Genoprettelsesværktøj fra Microsoft Download Center.

  2. Udpak PowerShell-scriptet fra den hentede fil.

  3. Åbn Windows PowerShell som administrator, og kør følgende script: MsftRecoveryToolForCS.ps1

  4. Værktøjet downloader og installerer Windows Assessment and Deployment Kit (Windows ADK). Denne proces kan tage flere minutter at fuldføre.

  5. Vælg en af de to indstillinger for gendannelse af berørte enheder: Windows PE eller fejlsikret tilstand.

  6. Du kan også vælge en mappe, der indeholder driverfiler, der skal importeres til genoprettelsesafbildningen. Vi anbefaler, at du vælger N for at springe dette trin over. ​​​​​​​

    1. Værktøjet importerer alle SYS- og INI-filer rekursivt under den angivne mappe.

    2. Visse enheder, f.eks. Surface-enheder, skal muligvis bruge yderligere drivere til tastaturinput.

  7. Vælg indstillingen for enten at generere en ISO-fil eller et USB-drev.

  8. Hvis du vælger USB-indstillingen:

    1. Indsæt USB-drevet, når du bliver bedt om det, og angiv drevbogstavet.

    2. Når værktøjet er færdig med at oprette USB-drevet, skal du fjerne det fra Windows-klienten.

Vejledning i at bruge genoprettelsesindstillingen

Hvis du har oprettet medier i de forrige trin til Windows PE, skal du bruge disse instruktioner på berørte enheder.

Forudsætninger for at bruge startmediet til Windows PE-genoprettelse

  • Du skal muligvis bruge BitLocker-genoprettelsesnøglen til hver BitLocker-aktiveret og berørt enhed.

    • Hvis den berørte enhed bruger TPM+PIN-beskyttere, og du ikke kender pinkoden til enheden, skal du muligvis bruge genoprettelsesnøglen.

Vejledning i at bruge startmediet til Windows PE-genoprettelse

  1. Indsæt USB-nøglen i en berørt enhed.

  2. Genstart enheden.

  3. Under genstart skal du trykke på F12 for at få adgang til BIOS-startmenuen.

    Bemærk!: Nogle enheder bruger muligvis en anden tastekombination til at få adgang til BIOS-startmenuen. Følg producentens specifikke instruktioner til enheden.

  4. Vælg Start fra USB i BIOS-startmenuen, og fortsæt. Værktøjet kører.

  5. Hvis BitLocker er aktiveret, bliver brugeren bedt om at angive BitLocker-genoprettelsesnøglen. Medtag tankestregerne (-), når du angiver BitLocker-genoprettelsesnøglen. Du kan finde flere oplysninger om indstillinger for genoprettelsesnøgler under Hvor du skal lede efter BitLocker-genoprettelsesnøglen.

    Bemærk!: For krypteringsløsninger til enheder, der ikke er fra Microsoft, skal du følge de trin, der leveres af leverandøren, for at få adgang til drevet.

    1. Hvis BitLocker ikke er aktiveret på enheden, kan du stadig blive bedt om at angive BitLocker-genoprettelsesnøglen. Tryk på Enter for at springe over og fortsætte.

  6. Værktøjet kører afhjælpningstrinnene som anbefalet af CrowdStrike.

  7. Når du er færdig, skal du fjerne USB-drevet og genstarte enheden normalt.

Brug genoprettelsesmedier på virtuelle Hyper-V-maskiner

Du kan bruge genoprettelsesmediet til at afhjælpe berørte Virtuelle Hyper-V-maskiner (VM). Når du opretter startmediet, skal du vælge indstillingen for at generere en ISO-fil.

Bemærk!: For virtuelle maskiner, der ikke er Hyper-V, skal du følge den vejledning, du har fået af din hypervisorleverandør, for at bruge genoprettelsesmediet.

Vejledning til genoprettelse af virtuelle Hyper-V-maskiner

  1. På en berørt VM skal du tilføje et dvd-drev under Hyper-V-indstillinger > SCSI-controller.Et skærmbillede af indstillingerne for en Hyper-V virtuel maskine (VM), hvor sektionen SCSI-controller er fremhævet, og mulighed for at tilføje et dvd-drev.

  2. Gå til genoprettelses-ISO, og tilføj den som en afbildningsfil under Hyper-V-indstillinger > SCSI-controller > dvd-drev.Et skærmbillede af indstillingerne for en Hyper-V virtuel maskine (VM), hvor sektionen Dvd-drev er fremhævet, og som viser muligheden for at vælge en billedfil. ​​​​​​​

  3. Bemærk den aktuelle startrækkefølge , så du kan gendanne den manuelt senere. Følgende afbildning er et eksempel på en startrækkefølge, som kan være anderledes end konfigurationen af din VM.Et skærmbillede af indstillingerne for en Hyper-V virtuel maskine (VM) med afsnittet Firmware fremhævet, der viser den oprindelige startrækkefølge.

  4. Skift startrækkefølgen for at flytte dvd-drevet op som den første startpost.Et skærmbillede af indstillingerne for en Hyper-V virtuel maskine (VM), hvor afsnittet Firmware er fremhævet, og som viser posten Dvd-drev øverst i startrækkefølgen.

  5. Start VM'en, og tryk på en tast for at fortsætte med at starte iso-afbildningen.

  6. Afhængigt af hvordan du har oprettet genoprettelsesmediet, skal du følge de ekstra trin for at bruge Windows PE eller genoprettelsesindstillinger i fejlsikret tilstand .

  7. Indstil startrækkefølgen tilbage til de oprindelige startindstillinger fra VM'ens Hyper-V-indstillinger.

  8. Genstart VM'en normalt.

Brug PXE til genoprettelse

For de fleste kunder hjælper de andre genoprettelsesindstillinger med at gendanne dine enheder. Men hvis enheder ikke kan bruge indstillingen til at gendanne fra USB, f.eks. på grund af sikkerhedspolitikker eller porttilgængelighed, kan it-administratorer bruge PXE til at afhjælpe problemet.

Hvis du vil bruge denne løsning, kan du bruge den WIM-afbildning (Windows Imaging Format), som Microsoft-genoprettelsesværktøjet opretter i et eksisterende PXE-miljø. De berørte enheder skal være på det samme netværksundernet som den eksisterende PXE-server.

Du kan også bruge PXE-servermetoden, der er beskrevet nedenfor. Denne indstilling fungerer bedst, når du nemt kan flytte PXE-serveren fra undernet til undernet til afhjælpningsformål.

Forudsætninger for PXE-genoprettelse

  1. En 64-bit Windows-enhed, der er vært for startafbildningen. Denne enhed kaldes "PXE-serveren".

    1. PXE-serveren kan køre på et hvilket som helst understøttet Windows-klient-64-bit operativsystem.

    2. PXE-serveren skal have internetadgang for at downloade Microsoft PXE-værktøjet fra Microsoft Download Center. Du kan også kopiere den til PXE-serveren fra et andet system på netværket.

    3. PXE-serveren skal have indgående firewallregler oprettet for UDP-portene 67, 68, 69, 547 og 4011. Det downloadede PXE-værktøj (MSFTPXEToolForCS.exe) opdaterer indstillingerne for Windows Firewall på PXE-serveren. Hvis PXE-serveren bruger en ikke-Microsoft-firewallløsning, skal du oprette regler efter deres anbefalinger.

      Bemærk!: Dette script rydder ikke op i firewallreglerne. Du bør fjerne disse firewallregler, når afhjælpningen er fuldført. Hvis du vil fjerne disse regler fra Windows Firewall, skal du åbne Windows PowerShell som administrator og køre følgende kommando: MSFTPXEInitToolForCS.ps1 rens

    4. Administrative rettigheder til at køre PXE-værktøjet.

    5. PXE-serveren kræver Microsoft Visual C++ Redistributable. Download og installér den nyeste version.

  2. De berørte Windows-enheder skal være på det samme undernet som PXE-serveren. De skal være kabelforbundne i stedet for at bruge et Wi-Fi netværk.

Konfigurer PXE-serveren

  1. Download Værktøjet Microsoft PXE fra Microsoft Download Center. Udtræk indholdet af zip-arkivet til en mappe. Den indeholder alle de nødvendige filer.

  2. Åbn Windows PowerShell som administrator. Skift til den mappe, hvor du udpakkede filerne, og kør følgende kommando: MSFTPXEInitToolForCS.ps1

    1. Scriptet scanner for Installationen af Windows ADK og Windows PE Add-On på PXE-serveren. Hvis de ikke er installeret, installerer scriptet dem. Hvis du vil fortsætte med installationen, skal du gennemse og acceptere licensbetingelserne.

    2. Scriptet genererer afhjælpningsscriptene og opretter en gyldig startafbildning.

    3. Hvis det er nødvendigt, skal du acceptere prompten og angive en sti, der indeholder driverfilerne. Driverfiler kan være nødvendige for tastatur- eller masselagerenheder. Generelt behøver du ikke at tilføje drivere. Hvis du ikke har brug for yderligere driverfiler, skal du vælge N.

    4. Du kan konfigurere PXE-serveren til at levere en standard afhjælpningsafbildning eller en afbildning i fejlsikret tilstand. Du får vist følgende prompter:1. Start i WinPE for at løse problemet. Det kræver, at du angiver BitLocker-genoprettelsesnøglen, hvis systemdisken er BitLocker-krypteret. 2. Start i WinPE for at konfigurere fejlsikret tilstand, og kør kommandoen reparer, når du er gået i fejlsikret tilstand. Denne indstilling kræver mindre BitLocker-genoprettelsesnøgle, hvis systemdisken er BitLocker-krypteret.

    5. Scriptet genererer de nødvendige distributionsfiler og angiver den sti, hvor det kopierer PXE-serverværktøjet.

  3. Dobbelttjek forudsætningerne for PXE-genoprettelse, især Microsoft Visual C++Redistributable.

  4. Fra PowerShell-konsollen som administrator skal du skifte til den mappe, hvor PXE-serverværktøjet kopieres, og køre følgende kommando for at starte lytteprocessen: .\MSFTPXEToolForCS.exe

    1. Du kan ikke se flere svar, da PXE-serveren håndterer forbindelser. Luk ikke dette vindue, da det vil stoppe PXE-serveren.

    2. Du kan overvåge status for PXE-serveren i den MSFTPXEToolForCS.log fil i samme mappe.

      Bemærk!: Hvis du vil køre flere PXE-servere for forskellige undernet, skal du kopiere mappen med PXE-serverværktøjet og køre trin 3 & 4 igen.

Yderligere oplysninger om PXE

Brug PXE til at genoprette en berørt enhed

Den berørte enhed skal være på det samme undernet som PXE-serveren. Hvis enhederne er i forskellige undernet, skal du konfigurere IP-hjælpere i dit netværksmiljø for at aktivere registrering af PXE-serveren.

Hvis den berørte enhed ikke er konfigureret til PXE-start, skal du følge disse trin:

  1. Gå til BIOS\UEFI-menuen på den berørte enhed.

    1. Denne handling er forskellig på tværs af forskellige modeller og producenter. Se den dokumentation, der leveres af producenten af det oprindelige udstyr, for at se enhedens specifikke mærke og model.

    2. Almindelige indstillinger for at få adgang til BIOS\UEFI omfatter at trykke på en tast som f.eks. F2, F12, DEL eller ESC under startsekvensen.

  2. Kontrollér , at Netværksstart er aktiveret på enheden. Du kan finde yderligere vejledning i dokumentationen fra enhedsproducenten.

  3. Konfigurer indstillingen for netværksstart som første startprioritet.

  4. Gem de nye indstillinger. Genstart enheden, så indstillingerne kan anvendes, og start fra PXE.

Når du starter PXE på den berørte enhed, afhænger funktionsmåden af, om du har valgt Windows PE eller genoprettelsesmedier i fejlsikret tilstand til PXE-serveren.

Du kan finde flere oplysninger om disse indstillinger i de yderligere trin for at bruge indstillingerne for genoprettelse i Windows PE eller fejlsikret tilstand.

  1. For Windows PE-genoprettelsesindstillingen bliver brugeren bedt om at starte windows PE, og afhjælpningsscriptet kører automatisk.

  2. For genoprettelsesindstillingen i fejlsikret tilstand starter enheden i fejlsikret tilstand. Brugeren skal logge på med den lokale administratorkonto og køre scriptet manuelt.

    1. I fejlsikret tilstand og logget på som den lokale administrator skal du åbne Windows PowerShell som administrator.

    2. Kør følgende kommandoer:del %SystemRoot%\System32\drivers\CrowdStrike\C-00000291*.sys bcdedit /deletevalue {current} safeboot shutdown -r -t 00

Når du er færdig, skal du genstarte enheden normalt ved at svare på prompten på skærmen. Få adgang til BIOS\UEFI-menuen, og opdater startrækkefølgen for at fjerne PXE-start.

Kontakt CrowdStrike

Hvis du efter at have fulgt ovenstående trin stadig oplever problemer med at logge på din enhed, skal du kontakte CrowdStrike for at få yderligere hjælp. 

Yderligere oplysninger

Du kan få mere at vide om problemet, der påvirker Windows-klienter og -servere, der kører CrowdStrike Falcon-agenten, i følgende ressourcer:

Referencer

De tredjepartsprodukter, der beskrives i denne artikel, er produceret af firmaer, der er uafhængige af Microsoft. Vi giver ingen garanti, hverken underforstået eller på anden måde, for ydeevnen eller pålideligheden af disse produkter.

Vi giver dig kontaktoplysninger fra tredjepart for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Vi garanterer ikke for nøjagtigheden af disse tredjepartskontaktoplysninger.

Facebook LinkedIn E-mail

Har du brug for mere hjælp?

Vil du have flere indstillinger?

Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.

Microsoft 365-abonnementsfordele

Microsoft 365-kurser

Microsoft-sikkerhed

Center for tilgængelighed