Guía de solución de problemas de Azure Disk Encryption

Importante

Azure Disk Encryption está programado para su retirada el 15 de septiembre de 2028. Hasta esa fecha, puede seguir usando Azure Disk Encryption sin interrupciones. El 15 de septiembre de 2028, las cargas de trabajo habilitadas para ADE seguirán ejecutándose, pero los discos cifrados no se desbloquearán después de reiniciar la máquina virtual, lo que provocará una interrupción del servicio.

Utilice el cifrado en el host para nuevas máquinas virtuales. Todas las máquinas virtuales habilitadas para ADE (incluidas las copias de seguridad) deben migrar al cifrado en el host antes de la fecha de retirada para evitar interrupciones del servicio. Consulte Migre desde Azure Disk Encryption al cifrado en el host para obtener más información.

Se aplica a: ✔️ Máquinas virtuales Windows ✔️ Conjuntos de escalado flexibles

Esta guía es para profesionales de TI, analistas de seguridad de la información y administradores de la nube que usan Azure Disk Encryption. Este artículo ayuda a solucionar problemas de cifrado de disco.

Antes de realizar estos pasos, asegúrese de que las máquinas virtuales que desea cifrar están entre los tamaños de máquina virtual y los sistemas operativos admitidos y que cumple todos los requisitos previos:

Solución de problemas de 'error al enviar DiskEncryptionData'

Cuando se produce un error al cifrar una máquina virtual con el mensaje de error "No se pudo enviar DiskEncryptionData...", suele deberse a una de las situaciones siguientes:

Key Vault existe en una región o suscripción diferente a la máquina virtual.
Las directivas de acceso avanzado en Key Vault no están establecidas para permitir Azure Disk Encryption
La clave de cifrado de claves está deshabilitada o eliminada en Key Vault.
Existe un error tipográfico en el identificador de recurso o la dirección URL de Key Vault o clave de cifrado de claves (KEK)
Los caracteres especiales se usan en los nombres de la máquina virtual, los discos de datos o las claves. Por ejemplo, "_VMName" o "élite".
No se admite el escenario de cifrado.
Los problemas de red impiden que la máquina virtual o el host accedan a los recursos necesarios

Sugerencias para resolver el problema

Asegúrese de que el Key Vault existe en la misma región y suscripción que la máquina virtual.
Asegúrese de establecer correctamente las directivas de acceso avanzado del almacén de claves .
Si usa la KEK, asegúrese de que la clave existe y está habilitada en Key Vault.
Compruebe que el nombre de la máquina virtual, los discos de datos y las claves siguen las restricciones de nomenclatura de recursos del almacén de claves.
Compruebe si hay errores tipográficos en el nombre de Key Vault o el nombre de KEK en los comandos de PowerShell o la CLI.

Nota:

La sintaxis del valor del disk-encryption-keyvault parámetro es la cadena de identificador completa: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
La sintaxis del valor del key-encryption-key parámetro es el URI completo para la KEK, como: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Asegúrese de que no infringe ninguna restricción
Asegúrese de que cumple los requisitos de red e inténtelo de nuevo.

Solución de problemas de Azure Disk Encryption detrás de un firewall

Cuando una configuración de firewall, requisito de proxy o grupo de seguridad de red (NSG) restringe la conectividad, es posible que la extensión no pueda realizar las tareas necesarias. Esta interrupción puede dar lugar a mensajes de estado como "Estado de extensión no disponible en la máquina virtual". En escenarios típicos, el cifrado no finaliza. En las secciones siguientes se enumeran algunos problemas comunes del firewall que podría investigar.

Grupos de seguridad de red

Parte de la configuración del grupo de seguridad de red que se aplica debe permitir todavía que el punto de conexión cumpla con los requisitos previos documentados de la configuración de red para el cifrado del disco.

Azure Key Vault detrás de un firewall

Cuando se está habilitando el cifrado con credenciales de Microsoft Entra, la máquina virtual de destino debe permitir la conectividad a los puntos de conexión de Microsoft Entra y Key Vault. Los puntos de conexión de autenticación actuales de Microsoft Entra se mantienen en las secciones 56 y 59 de la documentación sobre direcciones URL e intervalos de direcciones IP de Microsoft 365. En la documentación sobre cómo acceder a Azure Key Vault detrás de un firewall se proporcionan instrucciones de Key Vault.

Servicio de metadatos de instancia de Azure

La máquina virtual debe poder acceder al punto de conexión de Azure Instance Metadata Service (169.254.169.254) y a la dirección IP pública virtual (168.63.129.16) que se usa para la comunicación con los recursos de la plataforma Azure. No se admiten las configuraciones de proxy que modifican el tráfico HTTP local a estas direcciones, como agregar un encabezado X-Forwarded-For.

Solución de problemas de Windows Server 2016 Server Core

En Windows Server 2016 Server Core, el bdehdcfg componente no está disponible de forma predeterminada. Azure Disk Encryption requiere este componente. Se usa para dividir el volumen del sistema del volumen del sistema operativo, que se realiza solo una vez durante la vigencia de la máquina virtual. Estos archivos binarios no son necesarios durante las operaciones de cifrado posteriores.

Para solucionar este problema, copie los cuatro archivos siguientes de una máquina virtual del centro de datos de Windows Server 2016 en la misma ubicación de Server Core:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

Ejecute el siguiente comando:
```
bdehdcfg.exe -target default
```
Este comando crea una partición del sistema de 550 MB. Reinicie el sistema.
Use DiskPart para comprobar los volúmenes. A continuación, continúe.

Por ejemplo:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Solución de problemas de estado del cifrado

El portal puede mostrar un disco como cifrado incluso después de no cifrarse dentro de la máquina virtual. Esta situación puede producirse cuando los comandos de bajo nivel se usan para descifrar directamente el disco desde la máquina virtual en lugar de usar los comandos de administración de Azure Disk Encryption de nivel superior. Los comandos de nivel superior no solo descifran el disco desde la máquina virtual, sino que también actualizan la configuración de cifrado de nivel de plataforma importante y la configuración de extensión asociadas a la máquina virtual. Si estos no se mantienen alineados, la plataforma no puede notificar el estado de cifrado ni aprovisionar correctamente la máquina virtual.

Para deshabilitar Azure Disk Encryption con PowerShell, use Disable-AzVMDiskEncryption seguido de Remove-AzVMDiskEncryptionExtension. Ejecutar Remove-AzVMDiskEncryptionExtension antes de deshabilitar el cifrado falla.

Para deshabilitar Azure Disk Encryption con la CLI, use az vm encryption disable.

Pasos siguientes

En este documento, aprendió más acerca de algunos problemas comunes de Azure Disk Encryption y cómo solucionarlos. Para más información acerca de este servicio y su funcionalidad, consulte los artículos siguientes:

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2025-12-03