دليل استكشاف الأخطاء وإصلاحها لتشفير قرص Azure

ينطبق على: ✔️ أجهزة ظاهرية تعمل بنظام التشغيل Windows ✔️ مجموعات تغيير السعة المرنة

هذا الدليل مخصص لمتخصصي تكنولوجيا المعلومات ومحللي أمن المعلومات ومسؤولي السحابة الذين تستخدم مؤسساتهم تشفير قرص Azure. تهدف هذه المقالة إلى المساعدة في استكشاف الأخطاء المتعلقة بتشفير القرص وإصلاحها.

قبل اتخاذ أي من هذه الخطوات، تأكد أولا من أن الأجهزة الظاهرية التي تحاول تشفيرها هي من بين أحجام الأجهزة الظاهرية وأنظمة التشغيل المدعومة، وأنك استيفيت جميع المتطلبات الأساسية:

• متطلبات الشبكات
• متطلبات نهج المجموعة
• متطلبات تخزين مفتاح التشفير

استكشاف أخطاء "فشل إرسال DiskEncryptionData" وإصلاحها

عند فشل تشفير جهاز ظاهري مع ظهور رسالة الخطأ "فشل إرسال DiskEncryptionData..."، يحدث ذلك عادة بسبب أحد الحالات التالية:

• وجود مخزن رئيسي في منطقة و/أو اشتراك مختلف عن الجهاز الظاهري
• لم يتم تعيين سياسات الوصول المتقدمة في المخزن الرئيسي للسماح بتشفير قرص Azure
• مفتاح تشفير المفتاح، تم تعطيله أو حذفه عند الاستخدام في المخزن الرئيسي
• خطأ مطبعي في معرف المورد أو عنوان URL لمفتاح المخزن الرئيسي أو مفتاح التشفير (KEK)
• يتم استخدام الأحرف الخاصة أثناء تسمية الجهاز الظاهري أو أقراص البيانات أو المفاتيح. أي _VMName، وélite، وما إلى ذلك.
• سيناريوهات التشفير غير المعتمدة
• مشكلات الشبكة التي تمنع الجهاز الظاهري/المضيف من الوصول إلى الموارد المطلوبة

اقتراحات

• تأكد من وجود المخزن الرئيسي في نفس المنطقة والاشتراك مثل الجهاز الظاهري
• تأكد من تعيين سياسات الوصول المتقدم إلى المخزن الرئيسي بشكلٍ صحيح
• إذا كنت تستخدم KEK، فتأكد من وجود المفتاح وتمكينه في المخزن الرئيسي
• تحقق من اسم الجهاز الظاهري وأقراص البيانات والمفاتيح التي تتبع قيود تسمية موارد المخزن الرئيسي
• تحقق من عدم وجود أي أخطاء إملائية في اسم المخزن الرئيسي أو اسم KEK في الأمر PowerShell أو CLI

إشعار

بناء جملة قيمة المعلمة keyvault لتشفير القرص هي سلسلة المعرف الكاملة: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/[keyvault-name] بناء جملة قيمة معلمة مفتاح تشفير المفتاح هي عنوان URI الكامل لـ KEK كما في: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• تأكد من أنك لا تنتهك أي قيود
• تأكد من أنك تستوفي متطلبات الشبكة وحاول مرة أخرى

استكشاف أخطاء تشفير قرص Azure وإصلاحها خلف جدار حماية

عند تقييد الاتصال بواسطة جدار حماية أو متطلبات وكيل أو إعدادات مجموعة أمان الشبكة (NSG)، قد تتعطل قدرة الملحق على أداء المهام المطلوبة. قد يؤدي هذا التعطيل إلى ظهور رسائل حالة مثل "حالة الملحق غير متوفرة على الجهاز الظاهري". في السيناريوهات المتوقعة، فشل التشفير قيد الانتهاء. تحتوي الأقسام التالية على بعض مشكلات جدار الحماية الشائعة التي قد تتحرى عنها.

مجموعات أمان الشبكات

يجب أن تظل أي إعدادات مجموعة أمان للشبكة المطبقة تسمح لنقطة النهاية بتلبية المتطلبات الأساسية لتكوين الشبكة الموثقة لتشفير القرص.

Azure Key Vault خلف جدار حماية

عند تمكين التشفير باستخدام بيانات اعتماد Microsoft Entra، يجب أن يسمح الجهاز الظاهري الهدف بالاتصال بكل من نقاط نهاية Microsoft Entra ونقاط نهاية Key Vault. يتم الاحتفاظ بنقاط نهاية مصادقة Microsoft Entra الحالية في القسمين 56 و59 من وثائق نطاقات عناوين IP وعناوين URL ل Microsoft 365. تتوفر إرشادات المخزن الرئيسي في الوثائق حول كيفية الوصول إلى Azure المخزن الرئيسي خلف جدار حماية.

خدمة بيانات التعريف لمثيل Azure

يجب أن يكون الجهاز الظاهري قادراً على الوصول إلى نقطة نهاية خدمة بيانات تعريف مثيل Azure (169.254.169.254) وعنوان IP العام الافتراضي (168.63.129.16) المستخدم للتواصل مع موارد النظام الأساسي Azure. تكوينات الوكيل التي تغير نسبة استخدام الشبكة HTTP المحلية إلى هذه العناوين (على سبيل المثال، إضافة عنوان X-إعادة توجيه-For) غير معتمدة.

استكشاف أخطاء Windows Server 2016 Server Core وإصلاحها

في Windows Server 2016 Server Core، لا يتوفر مكون bdehdcfg بشكلٍ افتراضي. هذا المكون مطلوب من قبل تشفير قرص Azure. يتم استخدامه لتقسيم وحدة تخزين النظام من وحدة تخزين نظام التشغيل، والتي تتم مرة واحدة فقط طوال فترة عمر الجهاز الظاهري. هذه الثنائيات غير مطلوبة أثناء عمليات التشفير اللاحقة.

كمحاولة للتغلب على هذه المشكلة، قم بنسخ الملفات الأربعة التالية من Windows Server 2016 Data Center VM إلى نفس الموقع على Server Core:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

1. أدخل الأمر التالي:

   bdehdcfg.exe -target default
   

2. يقوم هذا الأمر بإنشاء قسم نظام بحجم 550 ميجابايت. أعد تشغيل النظام.

3. استخدم DiskPart للتحقق من وحدات التخزين، ثم تابع.

على سبيل المثال:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

استكشاف أخطاء حالة التشفير وإصلاحها

قد يعرض المدخل قرصاً مشفراً حتى بعد إلغاء تشفيره داخل الجهاز الظاهري. يمكن أن يحدث هذا الموقف عند استخدام الأوامر منخفضة المستوى لإلغاء تشفير القرص مباشرة من داخل الجهاز الظاهري، بدلا من استخدام أوامر الإدارة تشفير قرص Azure المستوى الأعلى. لا تقوم أوامر المستوى الأعلى بإلغاء تشفير القرص من داخل الجهاز الظاهري فحسب، بل تقوم أيضاً بتحديث إعدادات تشفير مستوى النظام الأساسي المهمة وإعدادات الملحقات المرتبطة بالجهاز الظاهري خارج الجهاز الظاهري. إذا لم يتم الاحتفاظ بها في محاذاة، فلن يتمكن النظام الأساسي من الإبلاغ عن حالة التشفير أو توفير الجهاز الظاهري بشكلٍ صحيح.

لتعطيل تشفير قرص Azure باستخدام PowerShell، استخدم Disable-AzVMDiskEncryption متبوعاً بـ Remove-AzVMDiskEncryptionExtension. سيفشل تشغيل Remove-AzVMDiskEncryptionExtension قبل تعطيل التشفير.

لتعطيل تشفير قرص Azure باستخدام CLI، استخدم az vm encryption disable.

الخطوات التالية

في هذا المستند، تعرفت على المزيد حول بعض المشكلات الشائعة في تشفير قرص Azure وكيفية استكشاف هذه المشكلات وإصلاحها. لمزيد من المعلومات حول هذه الخدمة وإمكانياتها، راجع المقالات التالية:

• تطبيق تشفير القرص في Microsoft Defender for Cloud
• تشفير بيانات Azure في حالة عدم التشغيل