Leitfaden zur Azure Disk Encryption-Problembehandlung

Artikel
15.10.2024

Gilt für: ✔️ Windows-VMs ✔️ Flexible Skalierungsgruppen

Dieser Leitfaden ist für IT-Experten, Informationssicherheitsanalysten und Cloudadministratoren bestimmt, in deren Organisationen Azure Disk Encryption verwendet wird. Dieser Artikel hilft beim Beheben von Problemen mit der Verschlüsselung von Datenträgern.

Bevor Sie einen der folgenden Schritte ausführen, vergewissern Sie sich zunächst, dass die zu verschlüsselnden VMs zu denunterstützten VM-Größen und -Betriebssystemen gehören und dass alle Voraussetzungen erfüllt sind:

Problembehandlung bei „Fehler beim Senden von DiskEncryptionData“

Wenn beim Verschlüsseln einer VM die Fehlermeldung „Fehler beim Senden von DiskEncryptionData“ auftritt, hat dies in der Regel eine der folgenden Ursachen:

Der Key Vault befindet sich in einer anderen Region und/oder einem anderen Abonnement als die VM.
Erweiterte Zugriffsrichtlinien im Key Vault sind nicht so eingerichtet, dass Azure Disk Encryption erlaubt wird.
Gegebenenfalls wurde der Schlüssel für die Schlüsselverschlüsselung im Key Vault deaktiviert oder gelöscht.
Ein Tippfehler in der Ressourcen-ID oder URL für den Schlüssel für die Schlüsselverschlüsselung (Key Encryption Key, KEK) des Key Vault.
Beim Benennen von VMs, Datenträgern oder Schlüsseln wurden Sonderzeichen verwendet. d. h. _VMName, élite, usw.
Nicht unterstützte Verschlüsselungsszenarien
Netzwerkprobleme, die verhindern, dass die VM/der Host auf die erforderlichen Ressourcen zugreifen kann.

Vorschläge

Stellen Sie sicher, dass sich Key Vault in derselben Region und demselben Abonnement wie die VM befindet.
Stellen Sie sicher, dass Sie die erweiterten Zugriffsrichtlinien des Schlüsseltresors ordnungsgemäß festgelegt haben.
Wenn Sie KEK verwenden, stellen Sie sicher, dass der Schlüssel vorhanden und im Key Vault aktiviert ist.
Überprüfen Sie die Konformität von VM-, Datenträger- und Schlüsselnamen mit den Namensgebungsvorschriften für Schlüsseltresorressourcen.
Überprüfen Sie den Key Vault-Namen oder KEK-Namen in Ihrem PowerShell- oder CLI-Befehl auf Tippfehler.

Hinweis

Die Syntax für den Wert des Parameters „disk-encryption-keyvault“ ist die vollständige Bezeichnerzeichenfolge: /subscriptions/[Abonnement-ID-GUID]/resourceGroups/[Ressourcengruppenname]/providers/Microsoft.KeyVault/vaults/[Schlüsseltresorname].
Die Syntax für den Wert des Parameters „key-encryption-key“ ist der vollständige URI für den KEK wie in: https://[Schlüsseltresorname].vault.azure.net/keys/[KEK-Name]/[eindeutige-KEK-ID].

Stellen Sie sicher, dass Sie nicht gegen jegliche Einschränkungen verstoßen.
Stellen Sie sicher, dass Sie die Netzwerkanforderungen erfüllen, und versuchen Sie es erneut.

Azure Disk Encryption-Problembehandlung hinter einer Firewall

Wenn die Konnektivität durch eine Firewall, eine Proxyanforderung oder Einstellungen für Netzwerksicherheitsgruppen (NSGs) eingeschränkt ist, kann die Fähigkeit der Erweiterung zur Durchführung von erforderlichen Aufgaben beeinträchtigt sein. Diese Unterbrechung kann zu Statusmeldungen der Art „Erweiterungsstatus auf der VM nicht verfügbar“ führen. In erwarteten Szenarien kann die Verschlüsselung nicht abgeschlossen werden. In den folgenden Abschnitten werden einige häufig auftretende Firewallprobleme beschrieben, die Sie ggf. untersuchen müssen.

Netzwerksicherheitsgruppen

Für alle angewendeten Einstellungen von Netzwerksicherheitsgruppen muss es ermöglicht werden, dass der Endpunkt die dokumentierten Voraussetzungen für die Netzwerkkonfiguration in Bezug auf die Datenträgerverschlüsselung erfüllt.

Azure Key Vault hinter einer Firewall

Wenn die Verschlüsselung mit Microsoft Entra-Anmeldeinformationen aktiviert wird, muss die Ziel-VM die Konnektivität sowohl mit Microsoft Entra-Endpunkten als auch mit Key Vault-Endpunkten zulassen. Aktuelle Microsoft Entra-Authentifizierungsendpunkte werden in den Abschnitten 56 und 59 der Dokumentation zu URLs und IP-Adressbereichen in Microsoft 365 verwaltet. Anweisungen zu Schlüsseltresoren werden in der Dokumentation Zugreifen auf Azure Key Vault hinter einer Firewall bereitgestellt.

Azure-Instanzmetadatendienst

Die VM muss auf den Endpunkt des Azure-Instanzmetadatendiensts (169.254.169.254) und die virtuelle öffentliche IP-Adresse (168.63.129.16) zugreifen können, die für die Kommunikation mit Ressourcen der Azure-Plattform verwendet werden. Proxykonfigurationen, die den lokalen HTTP-Datenverkehr an diese Adressen ändern (z. B. durch das Hinzufügen eines „X-Forwarded-For“-Headers), werden nicht unterstützt.

Problembehandlung bei Windows Server 2016 Server Core

Unter Windows Server 2016 Server Core ist die Komponente bdehdcfg nicht standardmäßig verfügbar. Diese Komponente ist für Azure Disk Encryption erforderlich. Mit ihr wird das Systemvolume vom Betriebssystemvolume getrennt. Diese Teilung erfolgt nur einmal während der Lebensdauer des virtuellen Computers. Diese Binärdateien sind während der späteren Verschlüsselungsvorgänge nicht erforderlich.

Um dieses Problem zu umgehen, kopieren Sie die folgenden vier Dateien von einer Windows Server 2016 Data Center-VM an denselben Speicherort unter Server Core:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

Geben Sie den folgenden Befehl ein:
```
bdehdcfg.exe -target default
```
Dieser Befehl erstellt eine Systempartition der Größe 550 MB. Starten Sie das System neu.
Verwenden Sie DiskPart zum Überprüfen der Volumes, und fahren Sie dann fort.

Beispiel:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Behandeln von Problemen mit dem Verschlüsselungsstatus

Im Portal kann ein Datenträger als verschlüsselt angezeigt werden, auch nachdem er bereits auf dem virtuellen Computer entschlüsselt wurde. Diese Situation kann eintreten, wenn Befehle auf niedriger Ebene verwendet werden, um den Datenträger auf dem virtuellen Computer zu entschlüsseln, anstatt die Verwaltungsbefehle auf höherer Ebene von Azure Disk Encryption zu verwenden. Die Befehle auf höherer Ebene entschlüsseln den Datenträger nicht nur auf dem virtuellen Computer, sondern sie aktualisieren auch außerhalb des virtuellen Computers wichtige Verschlüsselungs- und Erweiterungseinstellungen auf Plattformebene, die dem virtuellen Computer zugeordnet sind. Wenn diese nicht einheitlich gehalten werden, kann die Plattform den Verschlüsselungsstatus nicht melden und den virtuellen Computer nicht ordnungsgemäß bereitstellen.

Verwenden Sie zum Deaktivieren von Azure Disk Encryption mit PowerShell Disable-AzVMDiskEncryption, gefolgt von Remove-AzVMDiskEncryptionExtension. Wenn Sie „Remove-AzVMDiskEncryptionExtension“ ausführen, bevor die Verschlüsselung deaktiviert wurde, tritt ein Fehler auf.

Verwenden Sie zum Deaktivieren von Azure Disk Encryption mit der CLI az vm encryption disable.

Nächste Schritte

In diesem Dokument haben Sie weitere Informationen zu einigen häufigen Problemen in Azure Disk Encryption und deren Behandlung erhalten. Weitere Informationen zu diesem Dienst und seinen Funktionen finden Sie in den folgenden Artikeln:

Zusätzliche Ressourcen

Dokumentation

Azure Disk Encryption-Szenarien auf virtuellen Windows-Computern - Azure Virtual Machines

Dieser Artikel enthält eine Anleitung zum Aktivieren von Microsoft Azure Disk Encryption für virtuelle Windows-Computer für verschiedene Szenarien.
Azure Disk Encryption-Beispielskripts für virtuelle Windows-Computer - Azure Virtual Machines

Dieser Artikel enthält den Anhang zu Microsoft Azure Disk Encryption für virtuelle Windows-Computer.
Azure Disk Encryption für Windows - Azure Virtual Machines

Stellen Sie Azure Disk Encryption mithilfe einer VM-Erweiterung auf einem virtuellen Windows-Computer bereit.
Erstellen und Verschlüsseln eines virtuellen Windows-Computers mit dem Azure-Portal - Azure Virtual Machines

In dieser Schnellstartanleitung erfahren Sie, wie Sie mithilfe des Azure-Portals einen virtuellen Windows-Computer erstellen und verschlüsseln.
Azure Disk Encryption mit Microsoft Entra ID auf Windows-VMs (vorheriges Release) - Azure Virtual Machines

Dieser Artikel enthält eine Anleitung zur Aktivierung von Microsoft Azure Disk Encryption für virtuelle Windows-IaaS-Computer.
Erstellen und Konfigurieren eines Schlüsseltresors für Azure Disk Encryption auf einer Windows-VM - Azure Virtual Machines

Dieser Artikel enthält Schritte zum Erstellen und Konfigurieren eines Schlüsseltresors für die Verwendung mit Azure Disk Encryption auf einer Windows-VM.
Aktivieren von Azure Disk Encryption für virtuelle Windows-Computer - Azure Virtual Machines

Dieser Artikel enthält eine Anleitung zum Aktivieren von Microsoft Azure Disk Encryption für virtuelle Windows-Computer.

Training

Modul

Schützen Ihrer Azure-VM-Datenträger - Training

Erkunden Sie Optionen für Azure Disk Encryption (ADE) zum Verschlüsseln des Betriebssystems und von Datenträgern auf vorhandenen und neuen VMs.

Zertifizierung

Microsoft Certified: Azure Virtual Desktop Specialty - Certifications

Planen, Bereitstellen, Verwalten und Überwachen virtueller Desktopumgebungen und von Remote-Apps in Microsoft Azure für beliebige Geräte

Freigeben über