Průvodce odstraňováním potíží se službou Azure Disk Encryption

Platí pro: ✔️ Flexibilní škálovací sady virtuálních ✔️ počítačů s Windows

Tato příručka je určená odborníkům na IT, analytikům zabezpečení informací a správcům cloudu, jejichž organizace používají Službu Azure Disk Encryption. Tento článek vám pomůže s řešením potíží souvisejících s šifrováním disku.

Než provedete některý z těchto kroků, nejprve se ujistěte, že virtuální počítače, které se pokoušíte šifrovat, patří mezi podporované velikosti virtuálních počítačů a operační systémy a že splňujete všechny požadavky:

• Požadavky na síť
• Požadavky zásad skupiny
• Požadavky na úložiště šifrovacích klíčů

Řešení potíží s chybou Nepovedlo se odeslat DiskEncryptionData

Při šifrování virtuálního počítače dojde k chybě s chybovou zprávou "Nepovedlo se odeslat DiskEncryptionData...", příčinou je obvykle jedna z následujících situací:

• Mít službu Key Vault existující v jiné oblasti nebo předplatném než virtuální počítač
• Rozšířené zásady přístupu ve službě Key Vault nejsou nastavené tak, aby umožňovaly službu Azure Disk Encryption.
• Šifrovací klíč klíče se při použití zakázal nebo odstranil ve službě Key Vault.
• Překlep v ID prostředku nebo adrese URL pro key Vault nebo šifrovací klíč klíče (KEK)
• Speciální znaky používané při pojmenování virtuálního počítače, datových disků nebo klíčů tj. _VMName, élite atd.
• Nepodporované scénáře šifrování
• Problémy se sítí, které brání virtuálnímu počítači nebo hostiteli v přístupu k požadovaným prostředkům

Návrhy

• Ujistěte se, že služba Key Vault existuje ve stejné oblasti a předplatném jako virtuální počítač.
• Ujistěte se, že jste správně nastavili pokročilé zásady přístupu trezoru klíčů.
• Pokud používáte klíč KEK, ujistěte se, že klíč existuje a je povolený ve službě Key Vault.
• Kontrola názvu virtuálního počítače, datových disků a klíčů postupujte podle omezení pojmenování prostředků trezoru klíčů.
• V příkazu PowerShellu nebo rozhraní příkazového řádku zkontrolujte překlepy v názvu služby Key Vault nebo názvu klíče KEK.

Poznámka:

Syntaxe pro hodnotu parametru disk-encryption-keyvault je řetězec úplného identifikátoru: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name.]
Syntaxe pro hodnotu parametru key-encryption-key je úplný identifikátor URI klíče KEK jako v: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Ujistěte se, že nepřerušujete žádná omezení.
• Ujistěte se, že splňujete požadavky na síť, a zkuste to znovu.

Řešení potíží se službou Azure Disk Encryption za bránou firewall

Pokud je připojení omezené nastavením brány firewall, požadavku proxy serveru nebo skupiny zabezpečení sítě (NSG), může dojít k narušení schopnosti rozšíření provádět potřebné úlohy. Toto přerušení může mít za následek stavové zprávy typu Stav rozšíření není na virtuálním počítači dostupný. V očekávaných scénářích se šifrování nedokončí. Následující části obsahují některé běžné problémy s bránou firewall, které můžete prozkoumat.

Skupiny zabezpečení sítě

Všechna nastavení skupiny zabezpečení sítě, která se použijí, musí koncovému bodu přesto povolit splnění zdokumentovaných požadavků konfigurace sítě pro šifrování disku.

Azure Key Vault za bránou firewall

Pokud je povolené šifrování pomocí přihlašovacích údajů Microsoft Entra, cílový virtuální počítač musí umožňovat připojení ke koncovým bodům Microsoft Entra i koncovým bodům služby Key Vault. Aktuální koncové body ověřování Microsoft Entra se uchovávají v částech 56 a 59 adres URL a rozsahů IP adres Microsoftu 365. Pokyny ke službě Key Vault najdete v dokumentaci k přístupu ke službě Azure Key Vault za bránou firewall.

Azure Instance Metadata Service

Virtuální počítač musí mít přístup ke koncovému bodu169.254.169.254 služby Azure Instance Metadata () a virtuální veřejné IP adrese (168.63.129.16) používané pro komunikaci s prostředky platformy Azure. Konfigurace proxy serveru, které mění místní provoz HTTP na tyto adresy (například přidání hlavičky X-Forwarded-For), se nepodporují.

Řešení potíží s jádrem Windows Serveru 2016

V systému Windows Server 2016 Server Core není komponenta bdehdcfg ve výchozím nastavení dostupná. Tato komponenta je vyžadována službou Azure Disk Encryption. Slouží k rozdělení systémového svazku ze svazku operačního systému, který se provádí pouze jednou po dobu životnosti virtuálního počítače. Tyto binární soubory se při pozdějších operacích šifrování nevyžadují.

Pokud chcete tento problém vyřešit, zkopírujte následující čtyři soubory z virtuálního počítače s Windows Serverem 2016 Data Center do stejného umístění na jádro serveru:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

1. Zadejte tento příkaz:

   bdehdcfg.exe -target default
   

2. Tento příkaz vytvoří systémový oddíl o velikosti 550 MB. Restartujte systém.

3. Ke kontrole svazků použijte DiskPart a pokračujte.

Příklad:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Řešení potíží se stavem šifrování

Portál může disk zobrazit jako šifrovaný i poté, co byl v rámci virtuálního počítače nešifrovaný. K této situaci může dojít, když se příkazy nízké úrovně používají k přímému zrušení šifrování disku z virtuálního počítače místo použití příkazů pro správu služby Azure Disk Encryption vyšší úrovně. Příkazy vyšší úrovně nejen nešifrují disk z virtuálního počítače, ale mimo virtuální počítač také aktualizují důležitá nastavení šifrování na úrovni platformy a nastavení rozšíření přidružené k virtuálnímu počítači. Pokud tyto informace nejsou v souladu, platforma nebude moct hlásit stav šifrování nebo správně zřídit virtuální počítač.

Pokud chcete zakázat Azure Disk Encryption pomocí PowerShellu, použijte Disable-AzVMDiskEncryption následovaný remove-AzVMDiskEncryptionExtension. Spuštění Remove-AzVMDiskEncryptionExtension před zakázáním šifrování selže.

Pokud chcete azure Disk Encryption zakázat pomocí rozhraní příkazového řádku, použijte příkaz az vm encryption disable.

Další kroky

V tomto dokumentu jste se dozvěděli více o některých běžných problémech ve službě Azure Disk Encryption a o řešení těchto problémů. Další informace o této službě a jejích možnostech najdete v následujících článcích:

• Použití šifrování disků v programu Microsoft Defender for Cloud
• Šifrování neaktivních uložených dat v Azure