Przewodnik rozwiązywania problemów z usługą Azure Disk Encryption

Dotyczy: ✔️ Elastyczne zestawy skalowania maszyn wirtualnych z ✔️ systemem Windows

Ten przewodnik jest przeznaczony dla specjalistów IT, analityków zabezpieczeń informacji i administratorów chmury, których organizacje używają usługi Azure Disk Encryption. Ten artykuł ułatwia rozwiązywanie problemów związanych z szyfrowaniem dysków.

Przed wykonaniem dowolnego z poniższych kroków najpierw upewnij się, że maszyny wirtualne, które próbujesz zaszyfrować, należą do obsługiwanych rozmiarów maszyn wirtualnych i systemów operacyjnych oraz że zostały spełnione wszystkie wymagania wstępne:

Rozwiązywanie problemów z komunikatem "Nie można wysłać diskEncryptionData"

Podczas szyfrowania maszyny wirtualnej kończy się niepowodzeniem z komunikatem o błędzie "Nie można wysłać diskEncryptionData...", zwykle jest to spowodowane przez jedną z następujących sytuacji:

  • Posiadanie usługi Key Vault istniejącej w innym regionie i/lub subskrypcji niż maszyna wirtualna
  • Zaawansowane zasady dostępu w usłudze Key Vault nie są ustawione tak, aby zezwalać na usługę Azure Disk Encryption
  • Klucz szyfrowania kluczy, gdy jest używany, został wyłączony lub usunięty w usłudze Key Vault
  • Literówka w identyfikatorze zasobu lub adresie URL dla usługi Key Vault lub klucza szyfrowania kluczy (KEK)
  • Znaki specjalne używane podczas nazywania maszyny wirtualnej, dysków danych lub kluczy. tj. _VMName, élite itp.
  • Nieobsługiwane scenariusze szyfrowania
  • Problemy z siecią uniemożliwiające maszynie wirtualnej/hostowi uzyskiwanie dostępu do wymaganych zasobów

Sugestie

  • Upewnij się, że usługa Key Vault istnieje w tym samym regionie i subskrypcji co maszyna wirtualna
  • Upewnij się, że ustawiono prawidłowo zaawansowane zasady dostępu magazynu kluczy
  • Jeśli używasz klucza KEK, upewnij się, że klucz istnieje i jest włączony w usłudze Key Vault
  • Sprawdź, czy nazwa maszyny wirtualnej, dyski danych i klucze są zgodne z ograniczeniami nazewnictwa zasobów magazynu kluczy
  • Sprawdź wszelkie literówki w nazwie usługi Key Vault lub nazwie klucza kluczy w programie PowerShell lub w poleceniu interfejsu wiersza polecenia

Uwaga

Składnia wartości parametru disk-encryption-keyvault jest pełnym ciągiem identyfikatora: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault- name]
Składnia wartości parametru key-encryption-key jest pełnym identyfikatorem URI klucza klucza w następujący sposób: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Rozwiązywanie problemów z usługą Azure Disk Encryption za zaporą

Jeśli łączność jest ograniczona przez ustawienia zapory, wymagania serwera proxy lub sieciowej grupy zabezpieczeń, możliwość rozszerzenia do wykonywania wymaganych zadań może zostać przerwana. To zakłócenie może spowodować wyświetlenie komunikatów o stanie, takich jak "Stan rozszerzenia niedostępny na maszynie wirtualnej". W oczekiwanych scenariuszach szyfrowanie nie powiedzie się. Poniższe sekcje zawierają niektóre typowe problemy z zaporą, które można zbadać.

Grupy zabezpieczeń sieci

Wszystkie zastosowane ustawienia sieciowej grupy zabezpieczeń muszą nadal zezwalać punktowi końcowemu na spełnienie udokumentowanych wymagań wstępnych konfiguracji sieci na potrzeby szyfrowania dysków.

Usługa Azure Key Vault za zaporą

Po włączeniu szyfrowania przy użyciu poświadczeń usługi Azure AD docelowa maszyna wirtualna musi zezwalać na łączność zarówno z punktami końcowymi usługi Azure Active Directory, jak i punktami końcowymi usługi Key Vault. Bieżące punkty końcowe uwierzytelniania usługi Azure Active Directory są przechowywane w sekcjach 56 i 59 dokumentacji adresów URL i zakresów adresów IP platformy Microsoft 365 . Instrukcje dotyczące usługi Key Vault znajdują się w dokumentacji dotyczącej sposobu uzyskiwania dostępu do usługi Azure Key Vault za zaporą.

Azure Instance Metadata Service

Maszyna wirtualna musi mieć dostęp do punktu końcowego usługi Azure Instance Metadata () i wirtualnego publicznego adresu IP (168.63.129.16169.254.169.254) używanego do komunikacji z zasobami platformy Azure. Konfiguracje serwera proxy, które zmieniają lokalny ruch HTTP na te adresy (na przykład dodanie nagłówka X-Forwarded-For) nie są obsługiwane.

Rozwiązywanie problemów z systemem Windows Server 2016 Server Core

W systemie Windows Server 2016 Server Core składnik bdehdcfg nie jest domyślnie dostępny. Ten składnik jest wymagany przez usługę Azure Disk Encryption. Służy do dzielenia woluminu systemowego z woluminu systemu operacyjnego, który jest wykonywany tylko raz na czas życia maszyny wirtualnej. Te pliki binarne nie są wymagane podczas późniejszych operacji szyfrowania.

Aby obejść ten problem, skopiuj następujące cztery pliki z maszyny wirtualnej centrum danych systemu Windows Server 2016 do tej samej lokalizacji na serwerze Server Core:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui
  1. Wprowadź następujące polecenie:

    bdehdcfg.exe -target default
    
  2. To polecenie tworzy partycję systemową o rozmiarze 550 MB. Uruchom ponownie system.

  3. Użyj narzędzia DiskPart, aby sprawdzić woluminy, a następnie kontynuuj.

Przykład:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Rozwiązywanie problemów ze stanem szyfrowania

Portal może wyświetlać dysk jako zaszyfrowany nawet po niezaszyfrowanym dysku na maszynie wirtualnej. Może się to zdarzyć, gdy polecenia niskiego poziomu są używane do bezpośredniego odszyfrowania dysku z poziomu maszyny wirtualnej, zamiast używania poleceń zarządzania usługą Azure Disk Encryption wyższego poziomu. Polecenia wyższego poziomu nie tylko odszyfrowywują dysk z maszyny wirtualnej, ale poza maszyną wirtualną aktualizują również ważne ustawienia szyfrowania na poziomie platformy i ustawienia rozszerzenia skojarzone z maszyną wirtualną. Jeśli nie są one wyrównane, platforma nie będzie mogła prawidłowo zgłaszać stanu szyfrowania ani aprowizować maszyny wirtualnej.

Aby wyłączyć usługę Azure Disk Encryption przy użyciu programu PowerShell, użyj polecenia Disable-AzVMDiskEncryption, a następnie polecenie Remove-AzVMDiskEncryptionExtension. Uruchomienie Remove-AzVMDiskEncryptionExtension przed wyłączeniem szyfrowania zakończy się niepowodzeniem.

Aby wyłączyć usługę Azure Disk Encryption za pomocą interfejsu wiersza polecenia, użyj polecenia az vm encryption disable.

Następne kroki

W tym dokumencie przedstawiono więcej informacji o niektórych typowych problemach w usłudze Azure Disk Encryption i sposobach rozwiązywania tych problemów. Aby uzyskać więcej informacji na temat tej usługi i jej możliwości, zobacz następujące artykuły: