Guía de solución de problemas de Azure Disk Encryption

Se aplica a: ✔️ máquinas virtuales Windows ✔️ conjuntos de escalado flexibles

Esta guía está destinada a profesionales de tecnologías de la información (TI), analistas de seguridad de la información y administradores de la nube cuyas organizaciones utilizan Azure Disk Encryption. En este artículo se ofrece ayuda para solucionar problemas relacionados con el cifrado de disco.

Antes de realizar cualquiera de estos pasos, asegúrese de que las máquinas virtuales que intenta cifrar tienen tamaños y sistemas operativos admitidos y que ha cumplido todos los requisitos previos:

• Requisitos de red
• Requisitos de la directiva de grupo
• Requisitos de almacenamiento de la clave de cifrado

Solución de problemas de "No se pudo enviar DiskEncryptionData"

Cuando se produce un error al cifrar una máquina virtual con el mensaje de error "No se pudo enviar DiskEncryptionData...", suele deberse a una de las situaciones siguientes:

• El Key Vault existe en una región o suscripción diferentes a la de la máquina virtual.
• Las directivas de acceso avanzado del Key Vault no estás establecidas para permitir Azure Disk Encryption.
• La clave de cifrado de claves, cuando está en uso, se ha deshabilitado o eliminado en el Key Vault.
• Error tipográfico en el identificador de recurso o la dirección URL del Key Vault o la clave de cifrado de claves (KEK).
• Caracteres especiales usados al asignar un nombre a la máquina virtual, los discos de datos o las claves. Es decir, _VMName, élite, etc.
• Escenarios de cifrado no admitidos
• Problemas de red que impiden que la máquina virtual o el host accedan a los recursos necesarios

Sugerencias

• Asegúrese de que el Key Vault existe en la misma región y suscripción que la máquina virtual.
• Asegúrese de que ha establecido correctamente las directivas de acceso avanzado del almacén de claves.
• Si usa la KEK, asegúrese de que la clave existe y está habilitada en Key Vault.
• Compruebe que el nombre de la máquina virtual, los discos de datos y las claves cumplen las restricciones de nomenclatura de recursos del almacén de claves.
• Compruebe si hay errores tipográficos en el nombre del Key Vault o la KEK en el comando de PowerShell o la CLI.

Nota:

La sintaxis del valor del parámetro disk-encryption-keyvault es la cadena de identificador completa: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
La sintaxis del valor del parámetro key-encryption-key es el URI completo de la KEK como se muestra en: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Asegúrese de que no infringe ninguna restricción
• Asegúrese de que cumple los requisitos de red e inténtelo de nuevo.

Solución de problemas de Azure Disk Encryption detrás de un firewall

Cuando la conectividad está limitada por un firewall, la configuración del grupo de seguridad de red (NSG) o el requisito de proxy, podría perderse la capacidad de la extensión para realizar las tareas necesarias. Esta interrupción puede dar lugar a mensajes de estado como "El estado de la extensión no está disponible en la máquina virtual". En los escenarios esperados, el cifrado no puede finalizar. En las secciones siguientes se enumeran algunos problemas comunes del firewall que podría investigar.

Grupos de seguridad de red

Parte de la configuración del grupo de seguridad de red que se aplica debe permitir todavía que el punto de conexión cumpla con los requisitos previos documentados de la configuración de red para el cifrado del disco.

Azure Key Vault detrás de un firewall

Cuando se está habilitando el cifrado con credenciales de Microsoft Entra, la máquina virtual de destino debe permitir la conectividad a los puntos de conexión de Microsoft Entra y Key Vault. Los puntos de conexión de autenticación actuales de Microsoft Entra se mantienen en las secciones 56 y 59 de la documentación sobre direcciones URL e intervalos de direcciones IP de Microsoft 365. En la documentación sobre cómo acceder a Azure Key Vault detrás de un firewall se proporcionan instrucciones de Key Vault.

Servicio de metadatos de instancia de Azure

La máquina virtual debe poder acceder al punto de conexión de Azure Instance Metadata Service (169.254.169.254) y a la dirección IP pública virtual (168.63.129.16) que se usa para la comunicación con los recursos de la plataforma Azure. No se admiten las configuraciones de proxy que modifican el tráfico HTTP local hacia estas direcciones (por ejemplo, la adición de un encabezado X-Forwarded-For).

Solución de problemas de Windows Server 2016 Server Core

En Windows Server 2016 Server Core, el componente bdehdcfg no está disponible de forma predeterminada. y Azure Disk Encryption necesita dicho componente. Se utiliza para dividir el volumen del sistema del volumen del sistema operativo, lo que se realiza una única vez en toda la duración de la máquina virtual. Estos archivos binarios no son necesarios durante las operaciones de cifrado posteriores.

Para solucionar este problema, copie los cuatro archivos siguientes de una máquina virtual del centro de datos de Windows Server 2016 en la misma ubicación de Server Core:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

1. Escriba el comando siguiente:

   bdehdcfg.exe -target default
   

2. Este comando crea una partición de sistema de 550 MB. Reinicie el sistema.

3. Use DiskPart para comprobar los volúmenes y, a continuación, siga.

Por ejemplo:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Solución de problemas de estado del cifrado

Es posible que el portal muestre que un disco está cifrado incluso después de haberse descifrado en la máquina virtual. Esta situación puede ocurrir cuando se usan comandos de nivel inferior para descifrar directamente el disco de la máquina virtual, en lugar de usar los comandos de administración de Azure Disk Encryption de nivel superior. Los comandos del nivel superior no solo descifran el disco de la máquina virtual, sino fuera de la máquina virtual también actualizan configuración importante de cifrado de nivel de plataforma y configuración de extensión asociada con la máquina virtual. Si estos no se mantienen en la alineación, la plataforma no podrá informar del estado de cifrado ni aprovisionar la máquina virtual correctamente.

Para deshabilitar Azure Disk Encryption con PowerShell, use Disable-AzVMDiskEncryption seguido de Remove-AzVMDiskEncryptionExtension. Si se ejecuta Remove-AzVMDiskEncryptionExtension antes de deshabilitar el cifrado, se producirá un error.

Para deshabilitar Azure Disk Encryption con la CLI, use az vm encryption disable.

Pasos siguientes

En este documento, aprendió más acerca de algunos problemas comunes de Azure Disk Encryption y cómo solucionarlos. Para más información acerca de este servicio y su funcionalidad, consulte los artículos siguientes:

• Aplicación del cifrado de discos en Microsoft Defender for Cloud
• Cifrado de datos en reposo de Azure