Felsökningsguide för Azure Disk Encryption

Gäller för: ✔️ Flexibla skalningsuppsättningar för virtuella Windows-datorer ✔️

Den här guiden är avsedd för IT-proffs, informationssäkerhetsanalytiker och molnadministratörer vars organisationer använder Azure Disk Encryption. Den här artikeln hjälper dig att felsöka diskkrypteringsrelaterade problem.

Innan du utför något av de här stegen måste du först se till att de virtuella datorer som du försöker kryptera finns bland de vm-storlekar och operativsystem som stöds och att du har uppfyllt alla förutsättningar:

• Nätverkskrav
• Grupprincipkrav
• Lagringskrav för krypteringsnycklar

Felsöka "Det gick inte att skicka DiskEncryptionData"

När kryptering av en virtuell dator misslyckas med felmeddelandet "Det gick inte att skicka DiskEncryptionData...", orsakas den vanligtvis av någon av följande situationer:

• Att ha Key Vault befintligt i en annan region och/eller prenumeration än den virtuella datorn
• Avancerade åtkomstprinciper i Key Vault är inte inställda på att tillåta Azure Disk Encryption
• Nyckelkrypteringsnyckeln har inaktiverats eller tagits bort i Key Vault när den används
• Skriv in resurs-ID:t eller URL:en för nyckelvalvet eller nyckelkrypteringsnyckeln (KEK)
• Specialtecken som används när du namnger den virtuella datorn, datadiskar eller nycklar. d.v.s. _VMName, élite osv.
• Krypteringsscenarier som inte stöds
• Nätverksproblem som hindrar den virtuella datorn/värden från att komma åt de resurser som krävs

Förslag

• Kontrollera att Key Vault finns i samma region och prenumeration som den virtuella datorn
• Kontrollera att du har angett avancerade åtkomstprinciper för Key Vault korrekt
• Om du använder KEK kontrollerar du att nyckeln finns och är aktiverad i Key Vault
• Kontrollera namn på virtuella datorer, datadiskar och nycklar följer namngivningsbegränsningar för nyckelvalvsresurser
• Sök efter stavfel i Key Vault-namnet eller KEK-namnet i powershell- eller CLI-kommandot

Kommentar

Syntaxen för värdet för parametern disk-encryption-keyvault är den fullständiga identifierarsträngen: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault--name]
Syntaxen för värdet för parametern key-encryption-key är den fullständiga URI:n för KEK som i: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

• Se till att du inte bryter mot några begränsningar
• Se till att du uppfyller nätverkskraven och försök igen

Felsöka Azure Disk Encryption bakom en brandvägg

När anslutningen begränsas av en brandvägg, proxykrav eller nätverkssäkerhetsgruppsinställningar (NSG) kan tilläggets möjlighet att utföra nödvändiga uppgifter störas. Den här störningen kan resultera i statusmeddelanden som "Tilläggsstatus är inte tillgänglig på den virtuella datorn". I förväntade scenarier kan krypteringen inte slutföras. Avsnitten som följer har några vanliga brandväggsproblem som du kan undersöka.

Nätverkssäkerhetsgrupper

Alla inställningar för nätverkssäkerhetsgrupper som tillämpas måste fortfarande tillåta att slutpunkten uppfyller de dokumenterade nätverkskonfigurationskraven för diskkryptering.

Azure Key Vault bakom en brandvägg

När kryptering aktiveras med Microsoft Entra-autentiseringsuppgifter måste den virtuella måldatorn tillåta anslutning till både Microsoft Entra-slutpunkter och Key Vault-slutpunkter. Aktuella Microsoft Entra-autentiseringsslutpunkter underhålls i avsnitten 56 och 59 i dokumentationen om Url:er och IP-adressintervall för Microsoft 365. Key Vault-instruktioner finns i dokumentationen om hur du får åtkomst till Azure Key Vault bakom en brandvägg.

Azure Instance Metadata Service

Den virtuella datorn måste kunna komma åt tjänstslutpunkten för Azure Instance Metadata (169.254.169.254) och den virtuella offentliga IP-adressen (168.63.129.16) som används för kommunikation med Azure-plattformsresurser. Proxykonfigurationer som ändrar lokal HTTP-trafik till dessa adresser (till exempel att lägga till ett X-Forwarded-For-huvud) stöds inte.

Felsöka Windows Server 2016 Server Core

På Windows Server 2016 Server Core är komponenten bdehdcfg inte tillgänglig som standard. Den här komponenten krävs av Azure Disk Encryption. Den används för att dela upp systemvolymen från OS-volymen, vilket bara görs en gång under den virtuella datorns livslängd. Dessa binärfiler krävs inte under senare krypteringsåtgärder.

Du kan undvika det här problemet genom att kopiera följande fyra filer från en virtuell Windows Server 2016 Data Center-dator till samma plats på Server Core:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

1. Ange följande kommando:

   bdehdcfg.exe -target default
   

2. Det här kommandot skapar en systempartition på 550 MB. Starta om systemet.

3. Använd DiskPart för att kontrollera volymerna och fortsätt sedan.

Till exempel:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Felsöka krypteringsstatus

Portalen kan visa en disk som krypterad även efter att den har okrypterats i den virtuella datorn. Den här situationen kan inträffa när kommandon på låg nivå används för att direkt avkryptera disken från den virtuella datorn, i stället för att använda azure diskkrypteringshanteringskommandon på högre nivå. Kommandon på högre nivå avkrypterar inte bara disken från den virtuella datorn, utan utanför den virtuella datorn uppdaterar de även viktiga krypteringsinställningar på plattformsnivå och tilläggsinställningar som är associerade med den virtuella datorn. Om dessa inte hålls i justering kan plattformen inte rapportera krypteringsstatus eller etablera den virtuella datorn korrekt.

Om du vill inaktivera Azure Disk Encryption med PowerShell använder du Disable-AzVMDiskEncryption följt av Remove-AzVMDiskEncryptionExtension. Det går inte att köra Remove-AzVMDiskEncryptionExtension innan krypteringen inaktiveras.

Om du vill inaktivera Azure Disk Encryption med CLI använder du az vm encryption disable.

Nästa steg

I det här dokumentet har du lärt dig mer om några vanliga problem i Azure Disk Encryption och hur du felsöker dessa problem. Mer information om den här tjänsten och dess funktioner finns i följande artiklar:

• Tillämpa diskkryptering i Microsoft Defender för molnet
• Azure-datakryptering i vila