دليل استكشاف الأخطاء وإصلاحها لتشفير قرص Azure

هل هذه الصفحة مفيدة؟

هل لديك ملاحظات إضافية؟

سيتم إرسال الملاحظات إلى Microsoft: بالضغط على الزر «إرسال»، سيتم استخدام ملاحظاتك لتحسين منتجات Microsoft وخدماتها. نهج الخصوصية.

ينطبق على: ✔️ أجهزة Windows ظاهرية ✔️ مجموعات المقياس المرنة

هذا الدليل مخصص لمتخصصي تكنولوجيا المعلومات ومحللي أمن المعلومات ومسؤولي السحابة الذين تستخدم مؤسساتهم تشفير قرص Azure. تهدف هذه المقالة إلى المساعدة في استكشاف الأخطاء المتعلقة بتشفير القرص وإصلاحها.

قبل اتخاذ أي من الخطوات أدناه، تأكد أولاً من أن الأجهزة الظاهرية التي تحاول تشفيرها هي من بين أحجام الأجهزة الظاهرية وأنظمة التشغيل المدعومة، وأنك قد استوفيت جميع المتطلبات الأساسية:

• متطلبات الشبكات
• متطلبات نهج المجموعة
• متطلبات تخزين مفتاح التشفير

استكشاف أخطاء "فشل إرسال DiskEncryptionData" وإصلاحها

عند فشل تشفير جهاز ظاهري مع ظهور رسالة الخطأ "فشل في إرسال DiskEncryptionData ..."، عادة ما يكون سببه إحدى الحالات التالية:

• وجود مخزن رئيسي في منطقة و/أو اشتراك مختلف عن الجهاز الظاهري
• لم يتم تعيين سياسات الوصول المتقدمة في المخزن الرئيسي للسماح بتشفير قرص Azure
• مفتاح تشفير المفتاح، تم تعطيله أو حذفه عند الاستخدام في المخزن الرئيسي
• خطأ مطبعي في معرف المورد أو عنوان URL لمفتاح المخزن الرئيسي أو مفتاح التشفير (KEK)
• يتم استخدام الأحرف الخاصة أثناء تسمية الجهاز الظاهري أو أقراص البيانات أو المفاتيح. i.e _VMName, élite, etc
• سيناريوهات التشفير غير المعتمدة
• مشكلات الشبكة التي تمنع الجهاز الظاهري/المضيف من الوصول إلى الموارد المطلوبة

الاقتراحات

• تأكد من وجود المخزن الرئيسي في نفس المنطقة والاشتراك مثل الجهاز الظاهري
• تأكد من تعيين سياسات الوصول المتقدم إلى المخزن الرئيسي بشكلٍ صحيح
• إذا كنت تستخدم KEK، فتأكد من وجود المفتاح وتمكينه في المخزن الرئيسي
• تحقق من اسم الجهاز الظاهري وأقراص البيانات والمفاتيح التي تتبع قيود تسمية موارد المخزن الرئيسي
• تحقق من عدم وجود أي أخطاء إملائية في اسم المخزن الرئيسي أو اسم KEK في الأمر PowerShell أو CLI

ملاحظة

جملة قيمة معلمة keyvault لتشفير القرص هي سلسلة المعرف الكاملة: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
بناء الجملة لقيمة معلمة مفتاح تشفير المفتاح هو عنوان URI الكامل لـ KEK كما في: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• تأكد من أنك لا تتبع أي سيناريو غير مدعوم
• تأكد من أنك تستوفي متطلبات الشبكة وحاول مرة أخرى

استكشاف أخطاء تشفير قرص Azure وإصلاحها خلف جدار حماية

عند تقييد الاتصال بواسطة جدار حماية أو متطلبات وكيل أو إعدادات مجموعة أمان الشبكة (NSG)، قد تتعطل قدرة الملحق على أداء المهام المطلوبة. قد يؤدي هذا التعطيل إلى ظهور رسائل حالة مثل "حالة الملحق غير متوفرة على الجهاز الظاهري". في السيناريوهات المتوقعة، فشل التشفير قيد الانتهاء. تحتوي الأقسام التالية على بعض مشكلات جدار الحماية الشائعة التي قد تتحرى عنها.

مجموعات أمان الشبكات

يجب أن تظل أي إعدادات مجموعة أمان للشبكة المطبقة تسمح لنقطة النهاية بتلبية المتطلبات الأساسية لتكوين الشبكة الموثقة لتشفير القرص.

Azure Key Vault خلف جدار حماية

عند تمكين التشفير باستخدام بيانات اعتماد Microsoft Azure Active Directory، يجب أن يسمح الجهاز الظاهري الهدف بالاتصال بكل من نقاط نهاية Microsoft Azure Active Directory ونقاط نهاية Azure Key Vault. يتم الاحتفاظ بنقاط نهاية مصادقة Microsoft Azure Active Directory الحالية في القسمين 56 و59 من وثائق عناوين URL الخاصة بـ Microsoft 365 ونطاقات عناوين IP. تتوفر إرشادات المخزن الرئيسي في الوثائق حول كيفية الوصول إلى Azure المخزن الرئيسي خلف جدار حماية.

خدمة بيانات التعريف لمثيل Azure

يجب أن يكون الجهاز الظاهري قادراً على الوصول إلى نقطة نهاية خدمة بيانات تعريف مثيل Azure (169.254.169.254) وعنوان IP العام الافتراضي (168.63.129.16) المستخدم للتواصل مع موارد النظام الأساسي Azure. تكوينات الوكيل التي تغير نسبة استخدام الشبكة HTTP المحلية إلى هذه العناوين (على سبيل المثال، إضافة عنوان X-إعادة توجيه-For) غير معتمدة.

استكشاف أخطاء Windows Server 2016 Server Core وإصلاحها

في Windows Server 2016 Server Core، لا يتوفر مكون bdehdcfg بشكلٍ افتراضي. هذا المكون مطلوب من قبل تشفير قرص Azure. يتم استخدامه لتقسيم وحدة تخزين النظام من وحدة تخزين نظام التشغيل، والتي تتم مرة واحدة فقط طوال فترة عمر الجهاز الظاهري. هذه الثنائيات غير مطلوبة أثناء عمليات التشفير اللاحقة.

كمحاولة للتغلب على هذه المشكلة، قم بنسخ الملفات الأربعة التالية من Windows Server 2016 Data Center VM إلى نفس الموقع على Server Core:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

1. أدخل الأمر التالي:

   bdehdcfg.exe -target default
   

2. يقوم هذا الأمر بإنشاء قسم نظام بحجم 550 ميجابايت. أعد تشغيل النظام.

3. استخدم DiskPart للتحقق من وحدات التخزين، ثم تابع.

على سبيل المثال:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

استكشاف أخطاء حالة التشفير وإصلاحها

قد يعرض المدخل قرصاً مشفراً حتى بعد إلغاء تشفيره داخل الجهاز الظاهري. قد يحدث هذا عند استخدام أوامر منخفضة المستوى لإلغاء تشفير القرص مباشرة من داخل الجهاز الظاهري، بدلاً من استخدام أوامر إدارة تشفير قرص Azure ذات المستوى الأعلى. لا تقوم أوامر المستوى الأعلى بإلغاء تشفير القرص من داخل الجهاز الظاهري فحسب، بل تقوم أيضاً بتحديث إعدادات تشفير مستوى النظام الأساسي المهمة وإعدادات الملحقات المرتبطة بالجهاز الظاهري. إذا لم يتم الاحتفاظ بهذه المحاذاة، فلن يتمكن النظام الأساسي من الإبلاغ عن حالة التشفير أو توفير الجهاز الظاهري بشكلٍ صحيح.

لتعطيل تشفير قرص Azure باستخدام PowerShell، استخدم Disable-AzVMDiskEncryption متبوعاً بـ Remove-AzVMDiskEncryptionExtension. سيفشل تشغيل Remove-AzVMDiskEncryptionExtension قبل تعطيل التشفير.

لتعطيل تشفير قرص Azure باستخدام CLI، استخدم تعطيل تشفير az vm.

الخطوات التالية

في هذا المستند، تعرفت على المزيد حول بعض المشكلات الشائعة في تشفير قرص Azure وكيفية استكشاف هذه المشكلات وإصلاحها. لمزيد من المعلومات حول هذه الخدمة وإمكانياتها، راجع المقالات التالية:

• تطبيق تشفير القرص في Microsoft Defender for Cloud
• تشفير بيانات Azure في حالة عدم التشغيل