Probleemoplossingsgids voor Azure Disk Encryption

Van toepassing op: ✔️ Flexibele schaalsets voor Windows-VM's ✔️

Deze handleiding is bedoeld voor IT-professionals, informatiebeveiligingsanalisten en cloudbeheerders van wie organisaties Azure Disk Encryption gebruiken. Dit artikel is bedoeld voor het oplossen van problemen met betrekking tot schijfversleuteling.

Voordat u een van deze stappen uitvoert, moet u eerst controleren of de VM's die u probeert te versleutelen, deel uitmaken van de ondersteunde VM-grootten en -besturingssystemen en dat u aan alle vereisten hebt voldaan:

• Netwerkvereisten
• Vereisten voor groepsbeleid
• Opslagvereisten voor versleutelingssleutels

Problemen met 'DiskEncryptionData verzenden is mislukt' oplossen

Wanneer het versleutelen van een virtuele machine mislukt met het foutbericht 'DiskEncryptionData is niet verzonden...', wordt dit meestal veroorzaakt door een van de volgende situaties:

• De Key Vault in een andere regio en/of abonnement hebben dan de virtuele machine
• Geavanceerd toegangsbeleid in key Vault is niet ingesteld om Azure Disk Encryption toe te staan
• Sleutelversleutelingssleutel, wanneer deze wordt gebruikt, is uitgeschakeld of verwijderd in de Sleutelkluis
• Typfout in de resource-id of URL voor de Sleutelkluis of Sleutelversleutelingssleutel (KEK)
• Speciale tekens die worden gebruikt tijdens het benoemen van de virtuele machine, gegevensschijven of sleutels. d.w.w._VMName, élite, enz.
• Niet-ondersteunde versleutelingsscenario's
• Netwerkproblemen waardoor de VM/host geen toegang heeft tot de vereiste resources

Suggesties

• Zorg ervoor dat de Sleutelkluis zich in dezelfde regio en hetzelfde abonnement bevindt als de virtuele machine
• Zorg ervoor dat u geavanceerd toegangsbeleid voor Key Vault hebt ingesteld
• Als u KEK gebruikt, controleert u of de sleutel bestaat en is ingeschakeld in Key Vault
• Controleer de naam van de VM, gegevensschijven en sleutels volgens de naamgevingsbeperkingen voor key vault-resources
• Controleer op typefouten in de naam van de Sleutelkluis of KEK-naam in uw PowerShell- of CLI-opdracht

Notitie

De syntaxis voor de waarde van de parameter disk-encryption-keyvault is de volledige id-tekenreeks: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
De syntaxis voor de waarde van de parameter key-encryption-key is de volledige URI voor de KEK, zoals in: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Zorg ervoor dat u geen beperkingen schendt
• Zorg ervoor dat u voldoet aan de netwerkvereisten en probeer het opnieuw

Problemen met Azure Disk Encryption achter een firewall oplossen

Wanneer de connectiviteit wordt beperkt door een firewall, proxyvereiste of netwerkbeveiligingsgroep (NSG), kan de mogelijkheid van de extensie om de benodigde taken uit te voeren, worden onderbroken. Deze onderbreking kan leiden tot statusberichten zoals 'Extensiestatus niet beschikbaar op de VIRTUELE machine'. In verwachte scenario's kan de versleuteling niet worden voltooid. De volgende secties hebben enkele veelvoorkomende firewallproblemen die u kunt onderzoeken.

Netwerkbeveiligingsgroepen

Alle instellingen voor netwerkbeveiligingsgroepen die worden toegepast, moeten het eindpunt nog steeds toestaan te voldoen aan de gedocumenteerde netwerkconfiguratievereisten voor schijfversleuteling.

Azure Key Vault achter een firewall

Wanneer versleuteling wordt ingeschakeld met Microsoft Entra-referenties, moet de doel-VM connectiviteit met zowel Microsoft Entra-eindpunten als Key Vault-eindpunten toestaan. Huidige Eindpunten voor Microsoft Entra-verificatie worden onderhouden in sectie 56 en 59 van de documentatie over Microsoft 365-URL's en IP-adresbereiken . Key Vault-instructies worden gegeven in de documentatie over het verkrijgen van toegang tot Azure Key Vault achter een firewall.

Azire Instance Metadata Service

De VIRTUELE machine moet toegang hebben tot het service-eindpunt voor Azure Instance Metadata (169.254.169.254) en het virtuele openbare IP-adres (168.63.129.16) dat wordt gebruikt voor communicatie met Azure-platformbronnen. Proxyconfiguraties die lokaal HTTP-verkeer wijzigen in deze adressen (bijvoorbeeld het toevoegen van een X-Forwarded-For-header) worden niet ondersteund.

Problemen met Windows Server 2016 Server Core oplossen

In Windows Server 2016 Server Core is het bdehdcfg-onderdeel niet standaard beschikbaar. Dit onderdeel is vereist voor Azure Disk Encryption. Het wordt gebruikt om het systeemvolume te splitsen van het besturingssysteemvolume, wat slechts eenmaal wordt gedaan voor de levensduur van de virtuele machine. Deze binaire bestanden zijn niet vereist tijdens latere versleutelingsbewerkingen.

Als u dit probleem wilt omzeilen, kopieert u de volgende vier bestanden van een Windows Server 2016-datacentrum-VM naar dezelfde locatie op Server Core:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

1. Voer de volgende opdracht in:

   bdehdcfg.exe -target default
   

2. Met deze opdracht maakt u een systeempartitie van 550 MB. Start het systeem opnieuw op.

3. Gebruik DiskPart om de volumes te controleren en ga door.

Bijvoorbeeld:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Problemen met versleutelingsstatus oplossen

In de portal kan een schijf worden weergegeven als versleuteld, zelfs nadat deze niet is versleuteld binnen de virtuele machine. Deze situatie kan optreden wanneer opdrachten op laag niveau worden gebruikt om de schijf rechtstreeks te ontsleutelen vanuit de VIRTUELE machine, in plaats van de azure Disk Encryption-beheeropdrachten op een hoger niveau te gebruiken. De opdrachten op een hoger niveau ontsleutelen niet alleen de schijf van de VIRTUELE machine, maar buiten de VM werken ze ook belangrijke versleutelingsinstellingen op platformniveau en extensie-instellingen bij die zijn gekoppeld aan de VIRTUELE machine. Als deze niet in overeenstemming worden gehouden, kan het platform de versleutelingsstatus niet rapporteren of de VM goed inrichten.

Als u Azure Disk Encryption wilt uitschakelen met PowerShell, gebruikt u Disable-AzVMDiskEncryption gevolgd door Remove-AzVMDiskEncryptionExtension. Het uitvoeren van Remove-AzVMDiskEncryptionExtension voordat de versleuteling is uitgeschakeld, mislukt.

Als u Azure Disk Encryption wilt uitschakelen met CLI, gebruikt u az vm encryption disable.

Volgende stappen

In dit document hebt u meer geleerd over enkele veelvoorkomende problemen in Azure Disk Encryption en hoe u deze problemen kunt oplossen. Zie de volgende artikelen voor meer informatie over deze service en de mogelijkheden ervan:

• Schijfversleuteling toepassen in Microsoft Defender voor Cloud
• Versleuteling van inactieve gegevens in Azure