دليل استكشاف الأخطاء وإصلاحها لتشفير قرص Azure

هام

من المقرر إيقاف تشفير الأقراص Azure في 15 سبتمبر 2028. حتى ذلك التاريخ، يمكنك الاستمرار في استخدام تشفير الأقراص Azure دون انقطاع. في 15 سبتمبر 2028، ستستمر أحمال العمل المفعلة ب ADE، لكن الأقراص المشفرة ستفشل في فتح التشغيل بعد إعادة تشغيل الجهاز الافتراضي، مما يؤدي إلى تعطيل الخدمة.

استخدم التشفير في المضيف للأجهزة الافتراضية الجديدة، أو فكر في أحجام المحركات الافتراضية السرية مع تشفير قرص نظام التشغيل لأحمال عمل الحوسبة السرية. يجب على جميع الأجهزة الافتراضية المفعلة بدعم ADE (بما في ذلك النسخ الاحتياطية) الانتقال إلى التشفير عند المضيف قبل تاريخ التقاعد لتجنب تعطيل الخدمة. راجع Migrationate from Azure Disk Encryption إلى Encryption في المضيف لمزيد من التفاصيل.

ينطبق على: ✔️ أجهزة ظاهرية تعمل بنظام التشغيل Windows ✔️ مجموعات تغيير السعة المرنة

هذا الدليل مخصص لمتخصصي تكنولوجيا المعلومات ومحللي أمان المعلومات ومسؤولي السحابة الذين يستخدمون تشفير قرص Azure. تساعد هذه المقالة في استكشاف مشكلات تشفير القرص وإصلاحها.

قبل اتخاذ هذه الخطوات، تأكد من أن الأجهزة الظاهرية التي تريد تشفيرها هي من بين أحجام الأجهزة الظاهرية وأنظمة التشغيل المدعومة وأنك تفي بجميع المتطلبات الأساسية:

• متطلبات الشبكات
• متطلبات نهج المجموعة
• متطلبات تخزين مفتاح التشفير

استكشاف الأخطاء وإصلاحها "فشل إرسال DiskEncryptionData"

عند فشل تشفير جهاز ظاهري مع ظهور رسالة الخطأ "فشل إرسال DiskEncryptionData..."، يحدث ذلك عادة بسبب أحد الحالات التالية:

• يوجد Key Vault في منطقة أو اشتراك مختلف عن الجهاز الظاهري
• لم يتم تعيين نهج الوصول المتقدمة في Key Vault للسماح بتشفير قرص Azure
• تم تعطيل مفتاح تشفير المفتاح أو حذفه في Key Vault
• يوجد خطأ مطبعي في معرف المورد أو عنوان URL ل Key Vault أو مفتاح تشفير المفتاح (KEK)
• يتم استخدام الأحرف الخاصة في أسماء الجهاز الظاهري أو أقراص البيانات أو المفاتيح. على سبيل المثال، "_VMName" أو "élite".
• سيناريو التشفير غير مدعوم
• تمنع مشكلات الشبكة الجهاز الظاهري أو المضيف من الوصول إلى الموارد المطلوبة

اقتراحات لحل المشكلة

• تأكد من وجود المخزن الرئيسي في نفس المنطقة والاشتراك مثل الجهاز الظاهري
• تأكد من تعيين نهج الوصول المتقدمة لمخزن المفاتيح بشكل صحيح
• إذا كنت تستخدم KEK، فتأكد من وجود المفتاح وتمكينه في المخزن الرئيسي
• تحقق من أن اسم الجهاز الظاهري وأقراص البيانات والمفاتيح تتبع قيود تسمية مورد مخزن المفاتيح.
• التحقق من وجود أخطاء إملائية في اسم Key Vault أو اسم KEK في أوامر PowerShell أو CLI

إشعار

بناء الجملة لقيمة المعلمة disk-encryption-keyvault هو سلسلة المعرف الكاملة: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
بناء الجملة لقيمة المعلمة key-encryption-key هو URI الكامل إلى KEK، مثل: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• تأكد من أنك لا تنتهك أي قيود
• تأكد من أنك تستوفي متطلبات الشبكة وحاول مرة أخرى

استكشاف أخطاء تشفير قرص Azure وإصلاحها خلف جدار حماية

عند تقييد الاتصال بواسطة جدار حماية أو متطلبات وكيل أو إعدادات مجموعة أمان الشبكة (NSG)، قد لا يتمكن الملحق من تنفيذ المهام المطلوبة. يمكن أن يؤدي هذا التعطيل إلى رسائل الحالة مثل "حالة الملحق غير متوفرة على الجهاز الظاهري. " في السيناريوهات النموذجية، لا ينتهي التشفير. تحتوي الأقسام التالية على بعض مشكلات جدار الحماية الشائعة التي قد تتحرى عنها.

مجموعات أمان الشبكة

يجب أن تظل أي إعدادات مجموعة أمان للشبكة المطبقة تسمح لنقطة النهاية بتلبية المتطلبات الأساسية لتكوين الشبكة الموثقة لتشفير القرص.

Azure Key Vault خلف جدار حماية

عند تمكين التشفير باستخدام بيانات اعتماد Microsoft Entra، يجب أن يسمح الجهاز الظاهري الهدف بالاتصال بكل من نقاط نهاية Microsoft Entra ونقاط نهاية Key Vault. يتم الاحتفاظ بنقاط نهاية مصادقة Microsoft Entra الحالية في القسمين 56 و59 من وثائق نطاقات عناوين IP وعناوين URL ل Microsoft 365. تتوفر إرشادات المخزن الرئيسي في الوثائق حول كيفية الوصول إلى Azure المخزن الرئيسي خلف جدار حماية.

خدمة بيانات التعريف لمثيل Azure

يجب أن يكون الجهاز الظاهري قادراً على الوصول إلى نقطة نهاية خدمة بيانات تعريف مثيل Azure (169.254.169.254) وعنوان IP العام الافتراضي (168.63.129.16) المستخدم للتواصل مع موارد النظام الأساسي Azure. تكوينات الوكيل التي تغير حركة مرور HTTP المحلية إلى هذه العناوين، مثل إضافة عنوان X-Forwarded-For، غير مدعومة.

استكشاف أخطاء Windows Server 2016 Server Core وإصلاحها

في Windows Server 2016 Server Core، bdehdcfg لا يتوفر المكون بشكل افتراضي. يتطلب تشفير قرص Azure هذا المكون. يتم استخدامه لتقسيم وحدة تخزين النظام من وحدة تخزين نظام التشغيل، والتي يتم إجراؤها مرة واحدة فقط طوال مدة بقاء الجهاز الظاهري. هذه الثنائيات غير مطلوبة أثناء عمليات التشفير اللاحقة.

كمحاولة للتغلب على هذه المشكلة، قم بنسخ الملفات الأربعة التالية من Windows Server 2016 Data Center VM إلى نفس الموقع على Server Core:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

1. شغّل الأمر التالي:

   bdehdcfg.exe -target default
   

2. ينشئ هذا الأمر قسم نظام 550 ميغابايت. أعد تشغيل النظام.

3. استخدم DiskPart للتحقق من وحدات التخزين. ثم تابع.

على سبيل المثال:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

استكشاف أخطاء حالة التشفير وإصلاحها

قد يعرض المدخل قرصا مشفرا حتى بعد إلغاء تشفيره داخل الجهاز الظاهري. يمكن أن يحدث هذا الموقف عند استخدام الأوامر منخفضة المستوى لإلغاء تشفير القرص مباشرة من داخل الجهاز الظاهري بدلا من استخدام أوامر إدارة تشفير قرص Azure ذات المستوى الأعلى. لا تقوم الأوامر ذات المستوى الأعلى فقط بإلغاء تشفير القرص من داخل الجهاز الظاهري ولكن أيضا تحديث إعدادات التشفير الهامة على مستوى النظام الأساسي وإعدادات الملحق المقترنة بالجهاز الظاهري. إذا لم يتم الاحتفاظ بها في المحاذاة، فإن النظام الأساسي غير قادر على الإبلاغ عن حالة التشفير أو توفير الجهاز الظاهري بشكل صحيح.

لتعطيل تشفير قرص Azure باستخدام PowerShell، استخدم Disable-AzVMDiskEncryption متبوعاً بـ Remove-AzVMDiskEncryptionExtension. فشل تشغيل Remove-AzVMDiskEncryptionExtension قبل تعطيل التشفير.

لتعطيل تشفير قرص Azure باستخدام CLI، استخدم تعطيل تشفير az vm.

الخطوات التالية

في هذا المستند، تعرفت على المزيد حول بعض المشكلات الشائعة في تشفير قرص Azure وكيفية استكشاف هذه المشكلات وإصلاحها. لمزيد من المعلومات حول هذه الخدمة وإمكانياتها، راجع المقالات التالية:

• تطبيق تشفير القرص في Microsoft Defender for Cloud
• تشفير بيانات Azure في حالة عدم التشغيل