Az Azure Disk Encryption hibaelhárítási útmutatója
A következőkre vonatkozik: ✔️ Windows rendszerű virtuális gépek rugalmas méretezési ✔️ csoportjai
Ez az útmutató olyan informatikai szakembereknek, információbiztonsági elemzőknek és felhőgazdáknak szól, akiknek a szervezete az Azure Disk Encryptiont használja. Ez a cikk a lemeztitkosítással kapcsolatos problémák hibaelhárításában nyújt segítséget.
A fenti lépések elvégzése előtt először győződjön meg arról, hogy a titkosítani kívánt virtuális gépek a támogatott virtuálisgép-méretek és operációs rendszerek közé tartoznak, és hogy minden előfeltétel teljesült:
- Hálózati követelmények
- Csoportházirend követelményei
- A titkosítási kulcs tárhelyével kapcsolatos követelmények
A DiskEncryptionData küldése sikertelen volt
Ha egy virtuális gép titkosítása a "Nem sikerült a DiskEncryptionData küldése..." hibaüzenettel meghiúsul, ezt általában az alábbi helyzetek valamelyike okozza:
- A Key Vault a virtuális gépétől eltérő régióban és/vagy előfizetésben található
- A Key Vault speciális hozzáférési szabályzatai nem engedélyezik az Azure Disk Encryption használatát
- A kulcstitkosítási kulcs használat közben le lett tiltva vagy törölve lett a Key Vaultban
- Elírás a Key Vault vagy a Kulcstitkosítási kulcs (KEK) erőforrás-azonosítójában vagy URL-címében
- A virtuális gép, adatlemezek vagy kulcsok elnevezése során használt speciális karakterek. pl. _VMName, élite stb.
- Nem támogatott titkosítási forgatókönyvek
- Hálózati problémák, amelyek megakadályozzák, hogy a virtuális gép/gazdagép hozzáférjen a szükséges erőforrásokhoz
Javaslatok
- Győződjön meg arról, hogy a Key Vault ugyanabban a régióban és előfizetésben található, mint a virtuális gép
- Győződjön meg arról, hogy a Key Vault speciális hozzáférési szabályzatai megfelelően vannak beállítva
- Ha KEK-t használ, győződjön meg arról, hogy a kulcs létezik, és engedélyezve van a Key Vaultban
- A virtuális gép nevének, adatlemezeinek és kulcsainak ellenőrzése a Key Vault erőforrás-elnevezési korlátozásait követi
- A Key Vault vagy a KEK név elírásainak ellenőrzése a PowerShell- vagy PARANCSSOR-parancsban
Megjegyzés:
A disk-encryption-keyvault paraméter értékének szintaxisa a teljes azonosító sztring: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
A kulcstitkosítási kulcs paraméter értékének szintaxisa a KEK teljes URI-ja, mint a következőben: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]
- Győződjön meg arról, hogy nem szegi meg a korlátozásokat
- Győződjön meg arról, hogy megfelel a hálózati követelményeknek , és próbálkozzon újra
Az Azure Disk Encryption tűzfal mögötti hibaelhárítása
Ha a tűzfal, a proxykövetelmények vagy a hálózati biztonsági csoport (NSG) beállításai korlátozzák a kapcsolatot, a bővítmény képes lehet a szükséges feladatok végrehajtására. Ez a megszakítás állapotüzeneteket eredményezhet, például "A bővítmény állapota nem érhető el a virtuális gépen". A várt forgatókönyvekben a titkosítás nem fejeződik be. Az alábbi szakaszokban gyakori tűzfalproblémák merülhetnek fel, amelyeket kivizsgálhat.
Network security groups
Az alkalmazott hálózati biztonsági csoportbeállításoknak továbbra is lehetővé kell tenniük, hogy a végpont megfeleljen a lemeztitkosítás dokumentált hálózati konfigurációs előfeltételeinek .
Azure Key Vault tűzfal mögött
Ha a titkosítás engedélyezve van a Microsoft Entra hitelesítő adataival, a cél virtuális gépnek engedélyeznie kell a Kapcsolatot a Microsoft Entra-végpontokkal és a Key Vault-végpontokkal. A Microsoft Entra jelenlegi hitelesítési végpontjait a Microsoft 365 URL-címeinek és IP-címtartományainak dokumentációjának 56. és 59. szakasza tartja fenn. A Key Vault utasításait az Azure Key Vault tűzfal mögötti elérésére vonatkozó dokumentáció tartalmazza.
Azure Instance Metadata szolgáltatás
A virtuális gépnek hozzá kell tudnia férni az Azure Instance Metadata szolgáltatásvégponthoz (169.254.169.254) és az Azure platform erőforrásaival való kommunikációhoz használt virtuális nyilvános IP-címhez (168.63.129.16). A helyi HTTP-forgalmat ezen címekre módosító proxykonfigurációk (például X-Forwarded-For fejléc hozzáadása) nem támogatottak.
A Windows Server 2016 Server Core hibaelhárítása
A Windows Server 2016 Server Core-on a bdehdcfg összetevő alapértelmezés szerint nem érhető el. Ezt az összetevőt az Azure Disk Encryption megköveteli. A rendszerkötet os kötetről való felosztására szolgál, amely csak egyszer történik a virtuális gép élettartamára vonatkozóan. Ezekre a bináris fájlokra a későbbi titkosítási műveletek során nincs szükség.
A probléma megoldásához másolja a következő négy fájlt egy Windows Server 2016 Data Center rendszerű virtuális gépről ugyanarra a helyre a Server Core-on:
\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui
Írja be az alábbi parancsot:
bdehdcfg.exe -target defaultEz a parancs létrehoz egy 550 MB-os rendszerpartíciót. Indítsa újra a rendszert.
A DiskPart használatával ellenőrizze a köteteket, majd folytassa a műveletet.
Például:
DISKPART> list vol
Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
Volume 0 C NTFS Partition 126 GB Healthy Boot
Volume 1 NTFS Partition 550 MB Healthy System
Volume 2 D Temporary S NTFS Partition 13 GB Healthy Pagefile
Titkosítási állapot hibaelhárítása
A portál akkor is megjeleníthet titkosítottként egy lemezt, ha az titkosítva lett a virtuális gépen belül. Ez a helyzet akkor fordulhat elő, ha alacsony szintű parancsokkal közvetlenül feloldja a lemez titkosítását a virtuális gépen belülről a magasabb szintű Azure Disk Encryption felügyeleti parancsok használata helyett. A magasabb szintű parancsok nem csak a virtuális gépről oldják fel a lemez titkosítását, hanem a virtuális gépen kívül is frissítik a virtuális géphez társított fontos platformszintű titkosítási beállításokat és bővítménybeállításokat. Ha ezek nem igazodnak egymáshoz, a platform nem fogja tudni jelenteni a titkosítás állapotát, vagy nem tudja megfelelően kiépíteni a virtuális gépet.
Az Azure Disk Encryption PowerShell-lel való letiltásához használja a Disable-AzVMDiskEncryption és a Remove-AzVMDiskEncryptionExtension parancsot. A Remove-AzVMDiskEncryptionExtension futtatása a titkosítás letiltása előtt sikertelen lesz.
Az Azure Disk Encryption parancssori felülettel való letiltásához használja az az vm encryption disable parancsot.
Következő lépések
Ebben a dokumentumban többet is megtudhatott az Azure Disk Encryption néhány gyakori problémájáról, és arról, hogyan háríthatja el ezeket a problémákat. A szolgáltatással és képességeivel kapcsolatos további információkért tekintse meg a következő cikkeket:
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: