Руководство по устранению неполадок шифрования дисков Azure

Область применения: ✔️ Виртуальные машины Windows ✔️ Гибкие масштабируемые наборы

Это руководство предназначено для ИТ-специалистов, аналитиков в сфере информационной безопасности и администраторов облака, организации которых используют шифрование дисков Azure. Здесь также содержатся рекомендации по устранению неполадок, связанных с шифрованием дисков.

Прежде чем выполнять какие-либо из этих действий, сначала убедитесь, что виртуальные машины, которые вы пытаетесь зашифровать, являются одними из поддерживаемых размеров виртуальных машин и операционных систем, и что вы выполнили все необходимые условия:

• Требования к сети
• Требования групповой политики
• Требования к хранилищу ключей шифрования

Устранение ошибки "Не удалось отправить данные DiskEncryptionData"

При сбое шифрования виртуальной машины с сообщением об ошибке "Не удалось отправить DiskEncryptionData...", обычно это вызвано одной из следующих ситуаций:

• Key Vault и виртуальная машина находятся в разных регионах и/или подписках.
• В расширенных политиках доступа Key Vault не разрешено Шифрование дисков Azure.
• Ключ шифрования ключа (если он используется) был отключен или удален в Key Vault.
• Опечатка в идентификаторе или URL-адресе ресурса для Key Vault или ключа шифрования ключа (KEK).
• В именах виртуальной машины, дисков данных или ключей используются специальные символы. т. е. _VMName, élite и т. д.
• Неподдерживаемые сценарии шифрования.
• Проблемы с сетью, препятствующие доступу виртуальной машины или узла к необходимым ресурсам.

Предложения

• Убедитесь, что Key Vault находится в том же регионе и подписке, что и виртуальная машина.
• Убедитесь, что расширенные политики доступа к Key Vault настроены правильно.
• Если вы используете KEK, убедитесь, что ключ существует и включен в Key Vault.
• Проверьте, что имена виртуальной машины, дисков данных и ключей соответствуют ограничениям именования ресурсов Key Vault.
• Проверьте наличие опечаток в имени Key Vault или в имени KEK в команде PowerShell или CLI.

Примечание.

Синтаксис значения параметра disk-encryption-keyvault является строкой полного идентификатора: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
Синтаксис значения параметра key-encryption-key — это полный URI к KEK, как в следующем примере: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Убедитесь, что вы не нарушаете какие-либо ограничения
• Убедитесь, что выполняются требования к сети, и повторите попытку.

Устранение неполадок шифрования диска Azure в связи с брандмауэром

Если подключение ограничивается брандмауэром, требованиями прокси-сервера или параметрами группы безопасности сети (NGS), способности расширения выполнять необходимые задачи могут быть нарушены. В результате могут возникнуть такие сообщения состояния, как Extension status not available on the VM (Состояние расширения не доступно на виртуальной машине), и произойти сбой шифрования. В следующих разделах можно ознакомиться с некоторыми распространенными проблемами с брандмауэром.

Группы безопасности сети

Любые применяемые параметры группы безопасности сети должны позволять конечной точке соответствовать предусмотренным предварительным требованиям к конфигурации сети для шифрования диска.

Azure Key Vault за брандмауэром

Если шифрование включено с учетными данными Microsoft Entra, целевая виртуальная машина должна разрешить подключение как к конечным точкам Microsoft Entra, так и к конечным точкам Key Vault. Текущие конечные точки проверки подлинности Microsoft Entra поддерживаются в разделах 56 и 59 URL-адресов Microsoft 365 и диапазонов IP-адресов. Инструкции Key Vault приведены в статье Доступ к хранилищу ключей Azure из-за брандмауэра.

Служба метаданных экземпляров Azure

Виртуальная машина должна иметь доступ к конечной точке службы метаданных экземпляров Azure (169.254.169.254) и виртуальному общедоступному IP-адресу (168.63.129.16), который используется для обмена данными с ресурсами платформы Azure. Конфигурации прокси-сервера, которые изменяют локальный трафик HTTP к этим адресам (например, добавление заголовка X-Forwarded-For), не поддерживаются.

Устранение неполадок в основных серверных компонентах Windows Server 2016

По умолчанию компонент bdehdcfg недоступен в основных серверных компонентах Windows Server 2016. Этот компонент требуется для шифрования дисков Azure. Он используется для разбиения системного тома и тома операционной системы (выполняется только один раз за все время существования виртуальной машины). Эти двоичные файлы не требуются во время последующих операций шифрования.

Чтобы решить эту проблему, скопируйте указанные ниже четыре файла из виртуальной машины центра обработки данных Windows Server 2016 в то же расположение (основные серверные компоненты):

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

1. Введите следующую команду:

   bdehdcfg.exe -target default
   

2. С помощью этой команды создается системный раздел на 550 МБ. Перезагрузите систему.

3. Используйте DiskPart, чтобы проверить тома, а затем продолжайте.

Например:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Устранение неполадок с состоянием шифрования

Портал может отображать диск как зашифрованный даже после того, как он был расшифрован в виртуальной машине. Эта ситуация может возникать, когда команды низкого уровня используются для непосредственной расшифровки диска из виртуальной машины, а не с помощью команд управления более высокого уровня Шифрование дисков Azure. Команды более высокого уровня не только расшифровывают диск в виртуальной машине, но и за пределами виртуальной машины обновляют важные параметры шифрования уровня платформы и параметры расширения, связанные с виртуальной машиной. Если не поддерживать их согласованность, платформа не сможет сообщить о состоянии шифрования или правильно подготовить к работе виртуальную машину.

Чтобы отключить шифрование дисков Azure с помощью PowerShell, используйте Disable-AzVMDiskEncryption, а затем Remove-AzVMDiskEncryptionExtension. Выполнение команды Remove-AzVMDiskEncryptionExtension до отключения шифрования невозможно.

Чтобы отключить шифрование дисков Azure с помощью интерфейса командной строки, используйте az vm encryption disable.

Следующие шаги

В этом документе вы узнали о некоторых распространенных проблемах в шифровании дисков Azure и их устранении. Дополнительные сведения об этой службе и ее возможностях см. в статьях:

• Применение шифрования дисков в Microsoft Defender для облака
• Шифрование неактивных данных в Azure