Leitfaden zur Azure Disk Encryption-Problembehandlung

Gilt für: ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen

Dieser Leitfaden ist für IT-Experten, Informationssicherheitsanalysten und Cloudadministratoren bestimmt, in deren Organisationen Azure Disk Encryption verwendet wird. Dieser Artikel hilft beim Beheben von Problemen mit der Verschlüsselung von Datenträgern.

Bevor Sie einen der folgenden Schritte ausführen, vergewissern Sie sich zunächst, dass die zu verschlüsselnden VMs zu denunterstützten VM-Größen und -Betriebssystemen gehören und dass alle Voraussetzungen erfüllt sind:

Problembehandlung bei „Fehler beim Senden von DiskEncryptionData“

Wenn beim Verschlüsseln einer VM die Fehlermeldung „Fehler beim Senden von DiskEncryptionData“ auftritt, hat dies in der Regel eine der folgenden Ursachen:

  • Der Key Vault befindet sich in einer anderen Region und/oder einem anderen Abonnement als die VM.
  • Erweiterte Zugriffsrichtlinien im Key Vault sind nicht so eingerichtet, dass Azure Disk Encryption erlaubt wird.
  • Gegebenenfalls wurde der Schlüssel für die Schlüsselverschlüsselung im Key Vault deaktiviert oder gelöscht.
  • Ein Tippfehler in der Ressourcen-ID oder URL für den Schlüssel für die Schlüsselverschlüsselung (Key Encryption Key, KEK) des Key Vault.
  • Beim Benennen von VMs, Datenträgern oder Schlüsseln wurden Sonderzeichen verwendet. z. B. _VMName, élite, usw.
  • Nicht unterstützte Verschlüsselungsszenarien
  • Netzwerkprobleme, die verhindern, dass die VM/der Host auf die erforderlichen Ressourcen zugreifen kann.

Vorschläge

  • Stellen Sie sicher, dass sich Key Vault in derselben Region und demselben Abonnement wie die VM befindet.
  • Stellen Sie sicher, dass Sie die erweiterten Zugriffsrichtlinien des Schlüsseltresors ordnungsgemäß festgelegt haben.
  • Wenn Sie KEK verwenden, stellen Sie sicher, dass der Schlüssel vorhanden und im Key Vault aktiviert ist.
  • Überprüfen Sie die Konformität von VM-, Datenträger- und Schlüsselnamen mit den Namensgebungsvorschriften für Schlüsseltresorressourcen.
  • Überprüfen Sie den Key Vault-Namen oder KEK-Namen in Ihrem PowerShell- oder CLI-Befehl auf Tippfehler.

Hinweis

Die Syntax für den Wert des Parameters „disk-encryption-keyvault“ ist die vollständige Bezeichnerzeichenfolge: /subscriptions/[Abonnement-ID-GUID]/resourceGroups/[Ressourcengruppenname]/providers/Microsoft.KeyVault/vaults/[Schlüsseltresorname].
Die Syntax für den Wert des Parameters „key-encryption-key“ ist der vollständige URI für den KEK wie in: https://[Schlüsseltresorname].vault.azure.net/keys/[KEK-Name]/[eindeutige-KEK-ID].

Azure Disk Encryption-Problembehandlung hinter einer Firewall

Wenn die Konnektivität durch eine Firewall, eine Proxyanforderung oder Einstellungen für Netzwerksicherheitsgruppen (NSGs) eingeschränkt ist, kann die Fähigkeit der Erweiterung zur Durchführung von erforderlichen Aufgaben beeinträchtigt sein. Diese Unterbrechung kann zu Statusmeldungen der Art „Erweiterungsstatus auf der VM nicht verfügbar“ führen. In erwarteten Szenarien kann die Verschlüsselung nicht abgeschlossen werden. In den folgenden Abschnitten werden einige häufig auftretende Firewallprobleme beschrieben, die Sie ggf. untersuchen müssen.

Netzwerksicherheitsgruppen

Für alle angewendeten Einstellungen von Netzwerksicherheitsgruppen muss es ermöglicht werden, dass der Endpunkt die dokumentierten Voraussetzungen für die Netzwerkkonfiguration in Bezug auf die Datenträgerverschlüsselung erfüllt.

Azure Key Vault hinter einer Firewall

Wenn die Verschlüsselung mit Azure AD-Anmeldeinformationen aktiviert wird, muss der virtuelle Zielcomputer die Konnektivität sowohl mit Azure Active Directory-Endpunkten als auch mit Schlüsseltresor-Endpunkten zulassen. Aktuelle Azure Active Directory-Authentifizierungsendpunkte werden in den Abschnitten 56 und 59 der Dokumentation zu URLs und IP-Adressbereichen in Microsoft 365 verwaltet. Anweisungen zu Schlüsseltresoren werden in der Dokumentation Zugreifen auf Azure Key Vault hinter einer Firewall bereitgestellt.

Azure-Instanzmetadatendienst

Die VM muss auf den Endpunkt des Azure-Instanzmetadatendiensts (169.254.169.254) und die virtuelle öffentliche IP-Adresse (168.63.129.16) zugreifen können, die für die Kommunikation mit Ressourcen der Azure-Plattform verwendet werden. Proxykonfigurationen, die den lokalen HTTP-Datenverkehr an diese Adressen ändern (z. B. durch das Hinzufügen eines „X-Forwarded-For“-Headers), werden nicht unterstützt.

Problembehandlung bei Windows Server 2016 Server Core

Unter Windows Server 2016 Server Core ist die Komponente bdehdcfg nicht standardmäßig verfügbar. Diese Komponente ist für Azure Disk Encryption erforderlich. Mit ihr wird das Systemvolume vom Betriebssystemvolume getrennt. Diese Teilung erfolgt nur einmal während der Lebensdauer des virtuellen Computers. Diese Binärdateien sind während der späteren Verschlüsselungsvorgänge nicht erforderlich.

Um dieses Problem zu umgehen, kopieren Sie die folgenden vier Dateien von einer Windows Server 2016 Data Center-VM an denselben Speicherort unter Server Core:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui
  1. Geben Sie den folgenden Befehl ein:

    bdehdcfg.exe -target default
    
  2. Dieser Befehl erstellt eine Systempartition der Größe 550 MB. Starten Sie das System neu.

  3. Verwenden Sie DiskPart zum Überprüfen der Volumes, und fahren Sie dann fort.

Beispiel:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Behandeln von Problemen mit dem Verschlüsselungsstatus

Im Portal kann ein Datenträger als verschlüsselt angezeigt werden, auch nachdem er bereits auf dem virtuellen Computer entschlüsselt wurde. Dies kann auftreten, wenn Befehle auf niedriger Ebene verwendet werden, um den Datenträger auf dem virtuellen Computer zu entschlüsseln, anstatt die Verwaltungsbefehle auf höherer Ebene von Azure Disk Encryption zu verwenden. Die Befehle auf höherer Ebene entschlüsseln den Datenträger nicht nur auf dem virtuellen Computer, sondern sie aktualisieren auch außerhalb des virtuellen Computers wichtige Verschlüsselungs- und Erweiterungseinstellungen auf Plattformebene, die dem virtuellen Computer zugeordnet sind. Wenn diese nicht einheitlich gehalten werden, kann die Plattform den Verschlüsselungsstatus nicht melden und den virtuellen Computer nicht ordnungsgemäß bereitstellen.

Verwenden Sie zum Deaktivieren von Azure Disk Encryption mit PowerShell Disable-AzVMDiskEncryption, gefolgt von Remove-AzVMDiskEncryptionExtension. Wenn Sie „Remove-AzVMDiskEncryptionExtension“ ausführen, bevor die Verschlüsselung deaktiviert wurde, tritt ein Fehler auf.

Verwenden Sie zum Deaktivieren von Azure Disk Encryption mit der CLI az vm encryption disable.

Nächste Schritte

In diesem Dokument haben Sie weitere Informationen zu einigen häufigen Problemen in Azure Disk Encryption und deren Behandlung erhalten. Weitere Informationen zu diesem Dienst und seinen Funktionen finden Sie in den folgenden Artikeln: