Przewodnik rozwiązywania problemów z usługą Azure Disk Encryption

Dotyczy: ✔️ Maszyny wirtualne z systemem Windows — elastyczne zestawy skalowania ✔️

Ten przewodnik jest przeznaczony dla specjalistów IT, analityków zabezpieczeń informacji i administratorów chmury, których organizacje używają usługi Azure Disk Encryption. Ten artykuł ułatwia rozwiązywanie problemów związanych z szyfrowaniem dysków.

Przed wykonaniem któregokolwiek z tych kroków najpierw upewnij się, że maszyny wirtualne, które próbujesz zaszyfrować, należą do obsługiwanych rozmiarów maszyn wirtualnych i systemów operacyjnych oraz że zostały spełnione wszystkie wymagania wstępne:

• Wymagania dotyczące sieci
• Wymagania dotyczące zasad grupy
• Wymagania dotyczące magazynu kluczy szyfrowania

Rozwiązywanie problemów z błędem "Nie można wysłać diskEncryptionData"

W przypadku niepowodzenia szyfrowania maszyny wirtualnej z komunikatem o błędzie "Nie można wysłać diskEncryptionData...", zwykle jest to spowodowane jedną z następujących sytuacji:

• Posiadanie usługi Key Vault istniejącej w innym regionie i/lub subskrypcji niż maszyna wirtualna
• Zaawansowane zasady dostępu w usłudze Key Vault nie są ustawione tak, aby zezwalać na usługę Azure Disk Encryption
• Klucz szyfrowania kluczy, gdy jest używany, został wyłączony lub usunięty w usłudze Key Vault
• Literówka w identyfikatorze zasobu lub adresie URL dla usługi Key Vault lub klucza szyfrowania kluczy (KEK)
• Znaki specjalne używane podczas nazewnictwa maszyny wirtualnej, dysków danych lub kluczy. tj. _VMName, élite itp.
• Nieobsługiwane scenariusze szyfrowania
• Problemy z siecią uniemożliwiające maszynie wirtualnej/hostowi uzyskiwanie dostępu do wymaganych zasobów

Sugestie

• Upewnij się, że usługa Key Vault istnieje w tym samym regionie i subskrypcji co maszyna wirtualna
• Upewnij się, że zostały prawidłowo ustawione zaawansowane zasady dostępu magazynu kluczy
• Jeśli używasz klucza KEK, upewnij się, że klucz istnieje i jest włączony w usłudze Key Vault
• Sprawdź nazwę maszyny wirtualnej, dyski danych i klucze zgodnie z ograniczeniami nazewnictwa zasobów magazynu kluczy
• Sprawdź, czy w nazwie magazynu kluczy lub w poleceniu programu PowerShell lub interfejsu wiersza polecenia nie ma żadnych literówek

Uwaga

Składnia wartości parametru disk-encryption-keyvault jest pełnym ciągiem identyfikatora: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault--name]
Składnia wartości parametru key-encryption-key jest pełnym identyfikatorem URI klucza KEK w następujący sposób: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Upewnij się, że nie naruszasz żadnych ograniczeń
• Upewnij się, że spełniasz wymagania dotyczące sieci i spróbuj ponownie

Rozwiązywanie problemów z usługą Azure Disk Encryption za zaporą

Jeśli łączność jest ograniczona przez zaporę, wymaganie serwera proxy lub ustawienia sieciowej grupy zabezpieczeń, możliwość rozszerzenia do wykonywania wymaganych zadań może zostać przerwana. To zakłócenie może spowodować wyświetlenie komunikatów o stanie, takich jak "Stan rozszerzenia jest niedostępny na maszynie wirtualnej". W oczekiwanych scenariuszach szyfrowanie nie powiedzie się. W poniższych sekcjach występują typowe problemy z zaporą, które można zbadać.

Sieciowe grupy zabezpieczeń

Wszystkie zastosowane ustawienia sieciowej grupy zabezpieczeń muszą nadal zezwalać punktowi końcowemu na spełnienie udokumentowanych wymagań wstępnych konfiguracji sieci na potrzeby szyfrowania dysków.

Usługa Azure Key Vault za zaporą

Po włączeniu szyfrowania przy użyciu poświadczeń usługi Microsoft Entra docelowa maszyna wirtualna musi zezwalać na łączność z punktami końcowymi usługi Microsoft Entra i punktami końcowymi usługi Key Vault. Bieżące punkty końcowe uwierzytelniania entra firmy Microsoft są przechowywane w sekcjach 56 i 59 dokumentacji adresów URL i zakresów adresów IP platformy Microsoft 365. Instrukcje dotyczące usługi Key Vault znajdują się w dokumentacji dotyczącej sposobu uzyskiwania dostępu do usługi Azure Key Vault za zaporą.

Azure Instance Metadata Service

Maszyna wirtualna musi mieć dostęp do punktu końcowego usługi Azure Instance Metadata (169.254.169.254) i wirtualnego publicznego adresu IP (168.63.129.16) używanego do komunikacji z zasobami platformy Azure. Konfiguracje serwera proxy, które zmieniają lokalny ruch HTTP na te adresy (na przykład dodanie nagłówka X-Forwarded-For), nie są obsługiwane.

Rozwiązywanie problemów z systemem Windows Server 2016 Server Core

W systemie Windows Server 2016 Server Core składnik bdehdcfg nie jest domyślnie dostępny. Ten składnik jest wymagany przez usługę Azure Disk Encryption. Służy do dzielenia woluminu systemowego z woluminu systemu operacyjnego, który jest wykonywany tylko raz przez czas życia maszyny wirtualnej. Te pliki binarne nie są wymagane podczas późniejszych operacji szyfrowania.

Aby obejść ten problem, skopiuj następujące cztery pliki z maszyny wirtualnej centrum danych systemu Windows Server 2016 do tej samej lokalizacji na serwerze Core:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

1. Podaj następujące polecenie:

   bdehdcfg.exe -target default
   

2. To polecenie tworzy partycję systemową o rozmiarze 550 MB. Uruchom ponownie system.

3. Użyj narzędzia DiskPart, aby sprawdzić woluminy, a następnie kontynuuj.

Przykład:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Rozwiązywanie problemów ze stanem szyfrowania

Portal może wyświetlać dysk jako zaszyfrowany nawet po tym, jak został niezaszyfrowany na maszynie wirtualnej. Taka sytuacja może wystąpić, gdy polecenia niskiego poziomu są używane do bezpośredniego odszyfrowania dysku z poziomu maszyny wirtualnej, zamiast używania poleceń zarządzania usługą Azure Disk Encryption wyższego poziomu. Polecenia wyższego poziomu nie tylko nieszyfrują dysku z maszyny wirtualnej, ale poza maszyną wirtualną aktualizują również ważne ustawienia szyfrowania na poziomie platformy i ustawienia rozszerzenia skojarzone z maszyną wirtualną. Jeśli nie są one wyrównane, platforma nie będzie mogła prawidłowo zgłaszać stanu szyfrowania ani aprowizować maszyny wirtualnej.

Aby wyłączyć usługę Azure Disk Encryption za pomocą programu PowerShell, użyj polecenia Disable-AzVMDiskEncryption , a następnie polecenia Remove-AzVMDiskEncryptionExtension. Uruchomienie polecenia Remove-AzVMDiskEncryptionExtension przed wyłączeniem szyfrowania zakończy się niepowodzeniem.

Aby wyłączyć usługę Azure Disk Encryption za pomocą interfejsu wiersza polecenia, użyj polecenia az vm encryption disable.

Następne kroki

W tym dokumencie przedstawiono więcej informacji na temat niektórych typowych problemów z usługą Azure Disk Encryption i sposobu rozwiązywania tych problemów. Aby uzyskać więcej informacji na temat tej usługi i jej możliwości, zobacz następujące artykuły:

• Stosowanie szyfrowania dysków w Microsoft Defender dla Chmury
• Szyfrowanie danych magazynowanych platformy Azure