Probleemoplossingsgids voor Azure Disk Encryption

Belangrijk

Azure Disk Encryption is gepland voor buitengebruikstelling op 15 september 2028. Tot die datum kunt u Azure Disk Encryption blijven gebruiken zonder onderbreking. Op 15 september 2028 blijven workloads met ADE-functionaliteit actief, maar versleutelde schijven kunnen niet worden ontgrendeld nadat de VM opnieuw is opgestart, wat leidt tot serviceonderbreking.

Gebruik versleuteling op de host voor nieuwe VM's. Alle ADE-VM's (inclusief back-ups) moeten vóór de buitengebruikstellingsdatum migreren naar versleuteling op de host om serviceonderbreking te voorkomen. Zie Migreren van Azure Disk Encryption naar versleuteling op de host voor meer informatie.

Van toepassing op: ✔️ Flexibele schaalsets voor Windows-VM's ✔️

Deze handleiding is bedoeld voor IT-professionals, informatiebeveiligingsanalisten en cloudbeheerders die Gebruikmaken van Azure Disk Encryption. Dit artikel helpt bij het oplossen van problemen met schijfversleuteling.

Voordat u deze stappen uitvoert, moet u ervoor zorgen dat de vm's die u wilt versleutelen, behoren tot de ondersteunde VM-grootten en besturingssystemen en dat u aan alle vereisten voldoet:

Probleemoplossing voor het verzenden van DiskEncryptionData is mislukt

Wanneer het versleutelen van een virtuele machine mislukt met het foutbericht 'DiskEncryptionData is niet verzonden...', wordt dit meestal veroorzaakt door een van de volgende situaties:

De Key Vault bestaat in een andere regio of onder een ander abonnement dan de virtuele machine.
Geavanceerd toegangsbeleid in Key Vault is niet ingesteld om Azure Disk Encryption toe te staan
De versleutelingssleutel is uitgeschakeld of verwijderd in de sleutelkluis.
Er bestaat een typefout in de resource-id of URL voor de Sleutelkluis of Sleutelversleutelingssleutel (KEK)
Speciale tekens worden gebruikt in de namen van de virtuele machine, gegevensschijven of sleutels. Bijvoorbeeld '_VMName' of 'élite'.
Het versleutelingsscenario wordt niet ondersteund
Netwerkproblemen voorkomen dat de VM of host toegang heeft tot de vereiste resources

Suggesties voor het oplossen van het probleem

Zorg ervoor dat de Sleutelkluis zich in dezelfde regio en hetzelfde abonnement bevindt als de virtuele machine
Zorg ervoor dat u geavanceerde toegangsbeleidsregels voor key vault correct instelt
Als u KEK gebruikt, controleert u of de sleutel bestaat en is ingeschakeld in Key Vault
Controleer of de VM-naam, datadisks en sleutels voldoen aan de naamgevingsbeperkingen voor sleutelkluis-resources.
Controleren op typfouten in de naam van de Sleutelkluis of KEK-naam in PowerShell- of CLI-opdrachten

Notitie

De syntaxis voor de waarde van de disk-encryption-keyvault parameter is de volledige id-tekenreeks: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
De syntaxis voor de waarde van de key-encryption-key parameter is de volledige URI voor de KEK, zoals: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Zorg ervoor dat u geen beperkingen schendt
Zorg ervoor dat u voldoet aan de netwerkvereisten en probeer het opnieuw

Problemen met Azure Disk Encryption achter een firewall oplossen

Wanneer de connectiviteit wordt beperkt door de instellingen voor een firewall, proxyvereiste of netwerkbeveiligingsgroep (NSG), kan de extensie mogelijk de benodigde taken niet uitvoeren. Deze onderbreking kan leiden tot statusberichten zoals 'Extensiestatus niet beschikbaar op de VIRTUELE machine'. In typische scenario's wordt de versleuteling niet voltooid. De volgende secties hebben enkele veelvoorkomende firewallproblemen die u kunt onderzoeken.

Netwerkbeveiligingsgroepen

Alle instellingen voor netwerkbeveiligingsgroepen die worden toegepast, moeten het eindpunt nog steeds toestaan te voldoen aan de gedocumenteerde netwerkconfiguratievereisten voor schijfversleuteling.

Azure Key Vault achter een firewall

Wanneer versleuteling wordt ingeschakeld met Microsoft Entra-referenties, moet de doel-VM connectiviteit met zowel Microsoft Entra-eindpunten als Key Vault-eindpunten toestaan. Huidige Eindpunten voor Microsoft Entra-verificatie worden onderhouden in sectie 56 en 59 van de documentatie over Microsoft 365-URL's en IP-adresbereiken . Key Vault-instructies worden gegeven in de documentatie over het verkrijgen van toegang tot Azure Key Vault achter een firewall.

Azire Instance Metadata Service

De VIRTUELE machine moet toegang hebben tot het service-eindpunt voor Azure Instance Metadata (169.254.169.254) en het virtuele openbare IP-adres (168.63.129.16) dat wordt gebruikt voor communicatie met Azure-platformbronnen. Proxyconfiguraties die lokaal HTTP-verkeer naar deze adressen wijzigen, zoals het toevoegen van een X-Forwarded-For-header, worden niet ondersteund.

Problemen met Windows Server 2016 Server Core oplossen

Op Windows Server 2016 Server Core is het bdehdcfg onderdeel niet standaard beschikbaar. Voor Azure Disk Encryption is dit onderdeel vereist. Het wordt gebruikt om het systeemvolume te splitsen van het besturingssysteemvolume, dat slechts één keer wordt uitgevoerd voor de levensduur van de virtuele machine. Deze binaire bestanden zijn niet vereist tijdens latere versleutelingsbewerkingen.

Als u dit probleem wilt omzeilen, kopieert u de volgende vier bestanden van een Windows Server 2016-datacentrum-VM naar dezelfde locatie op Server Core:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

Voer de volgende opdracht uit:
```
bdehdcfg.exe -target default
```
Met deze opdracht maakt u een systeempartitie van 550 MB. Start het systeem opnieuw op.
Gebruik DiskPart om de volumes te controleren. Ga vervolgens verder.

Voorbeeld:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Problemen met versleutelingsstatus oplossen

In de portal kan een schijf worden weergegeven als versleuteld, zelfs nadat deze niet is versleuteld binnen de virtuele machine. Deze situatie kan optreden wanneer opdrachten op laag niveau worden gebruikt om de schijf rechtstreeks te ontsleutelen vanuit de VIRTUELE machine in plaats van de azure Disk Encryption-beheeropdrachten op een hoger niveau te gebruiken. De opdrachten op een hoger niveau ontsleutelen niet alleen de schijf van de virtuele machine, maar werken ook belangrijke versleutelingsinstellingen op platformniveau en instellingen voor extensies bij die aan de VM zijn gekoppeld. Als deze niet in overeenstemming worden gehouden, kan het platform de versleutelingsstatus niet rapporteren of de VM correct inrichten.

Als u Azure Disk Encryption wilt uitschakelen met PowerShell, gebruikt u Disable-AzVMDiskEncryption gevolgd door Remove-AzVMDiskEncryptionExtension. Het uitvoeren van Remove-AzVMDiskEncryptionExtension voordat de versleuteling is uitgeschakeld, mislukt.

Als u Azure Disk Encryption wilt uitschakelen met de CLI, gebruikt u az vm encryption disable.

Volgende stappen

In dit document hebt u meer geleerd over enkele veelvoorkomende problemen in Azure Disk Encryption en hoe u deze problemen kunt oplossen. Zie de volgende artikelen voor meer informatie over deze service en de mogelijkheden ervan:

Feedback

Is deze pagina nuttig?

Last updated on 2025-09-24