Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważne
Usługa Azure Disk Encryption ma zostać wycofana 15 września 2028 r. Do tej pory można nadal korzystać z usługi Azure Disk Encryption bez zakłóceń. 15 września 2028 r. obciążenia z obsługą programu ADE będą nadal działać, ale zaszyfrowane dyski nie będą mogły zostać odblokowane po ponownym uruchomieniu maszyny wirtualnej, co spowoduje przerwy w działaniu usługi.
Użyj szyfrowania na hoście dla nowych maszyn wirtualnych. Wszystkie maszyny wirtualne z obsługą programu ADE (w tym kopie zapasowe) muszą migrować do szyfrowania na hoście przed datą wycofania, aby uniknąć przerw w działaniu usługi. Aby uzyskać szczegółowe informacje, zobacz Migrowanie z usługi Azure Disk Encryption do szyfrowania na hoście .
Dotyczy: ✔️ Maszyny wirtualne z systemem Windows — elastyczne zestawy skalowania ✔️
Ten przewodnik jest przeznaczony dla specjalistów IT, analityków zabezpieczeń informacji i administratorów chmury, którzy korzystają z usługi Azure Disk Encryption. Ten artykuł ułatwia rozwiązywanie problemów z szyfrowaniem dysków.
Przed wykonaniem tych kroków upewnij się, że maszyny wirtualne, które chcesz zaszyfrować, należą do obsługiwanych rozmiarów maszyn wirtualnych i systemów operacyjnych oraz że spełnisz wszystkie wymagania wstępne:
- Wymagania dotyczące sieci
- Wymagania dotyczące zasad grupy
- Wymagania dotyczące magazynu kluczy szyfrowania
Rozwiązywanie problemów z wysyłaniem "diskEncryptionData" nie powiodło się
W przypadku niepowodzenia szyfrowania maszyny wirtualnej z komunikatem o błędzie "Nie można wysłać diskEncryptionData...", zwykle jest to spowodowane jedną z następujących sytuacji:
- Usługa Key Vault istnieje w innym regionie lub subskrypcji niż maszyna wirtualna
- Zaawansowane zasady dostępu w usłudze Key Vault nie są ustawione tak, aby zezwalać na usługę Azure Disk Encryption
- Klucz szyfrowania kluczy jest wyłączony lub usunięty w usłudze Key Vault
- Występuje literówka w identyfikatorze zasobu lub adresie URL dla Key Vault lub klucza szyfrowania kluczy (KEK)
- Znaki specjalne są używane w nazwach maszyn wirtualnych, dysków danych lub kluczy. Na przykład "_VMName" lub "élite".
- Scenariusz szyfrowania nie jest obsługiwany
- Problemy z siecią uniemożliwiają maszynie wirtualnej lub hostowi uzyskiwanie dostępu do wymaganych zasobów
Sugestie dotyczące rozwiązywania problemu
- Upewnij się, że usługa Key Vault istnieje w tym samym regionie i subskrypcji co maszyna wirtualna
- Upewnij się, że zaawansowane zasady dostępu do magazynu kluczy są poprawnie ustawione
- Jeśli używasz klucza KEK, upewnij się, że klucz istnieje i jest włączony w usłudze Key Vault
- Sprawdź, czy nazwa maszyny wirtualnej, dyski danych i klucze są zgodne z ograniczeniami nazewnictwa zasobów magazynu kluczy.
- Sprawdź literówki w nazwie usługi Key Vault lub nazwie klucza KEK w poleceniach programu PowerShell lub interfejsu wiersza polecenia
Uwaga / Notatka
Składnia wartości parametru disk-encryption-keyvault to pełny ciąg identyfikatora:
/subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
Składnia wartości parametru key-encryption-key to pełny identyfikator URI do KEK, taki jak: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]
- Upewnij się, że nie naruszasz żadnych ograniczeń
- Upewnij się, że spełniasz wymagania dotyczące sieci i spróbuj ponownie
Rozwiązywanie problemów z usługą Azure Disk Encryption za zaporą
Jeśli łączność jest ograniczona przez zaporę, wymaganie serwera proxy lub ustawienia sieciowej grupy zabezpieczeń, rozszerzenie może nie być w stanie wykonać wymaganych zadań. To zakłócenie może spowodować wyświetlenie komunikatów o stanie, takich jak "Stan rozszerzenia jest niedostępny na maszynie wirtualnej". W typowych scenariuszach szyfrowanie nie kończy się. W poniższych sekcjach występują typowe problemy z zaporą, które można zbadać.
Sieciowe grupy zabezpieczeń
Wszystkie zastosowane ustawienia sieciowej grupy zabezpieczeń muszą nadal zezwalać punktowi końcowemu na spełnienie udokumentowanych wymagań wstępnych konfiguracji sieci na potrzeby szyfrowania dysków.
Usługa Azure Key Vault za zaporą
Po włączeniu szyfrowania przy użyciu poświadczeń usługi Microsoft Entra docelowa maszyna wirtualna musi zezwalać na łączność z punktami końcowymi usługi Microsoft Entra i punktami końcowymi usługi Key Vault. Bieżące punkty końcowe uwierzytelniania Entra firmy Microsoft znajdują się w sekcjach 56 i 59 dokumentacji adresów URL i zakresów adresów IP platformy Microsoft 365. Instrukcje dotyczące usługi Key Vault znajdują się w dokumentacji dotyczącej sposobu uzyskiwania dostępu do usługi Azure Key Vault za zaporą.
Azure Instance Metadata Service
Maszyna wirtualna musi mieć dostęp do punktu końcowego usługi Azure Instance Metadata (169.254.169.254) i wirtualnego publicznego adresu IP (168.63.129.16) używanego do komunikacji z zasobami platformy Azure. Konfiguracje serwera proxy, które modyfikują lokalny ruch HTTP do tych adresów, takie jak dodawanie nagłówka X-Forwarded-For, nie są obsługiwane.
Rozwiązywanie problemów z systemem Windows Server 2016 Server Core
W systemie Windows Server 2016 Server Core bdehdcfg składnik nie jest domyślnie dostępny. Usługa Azure Disk Encryption wymaga tego składnika. Służy do dzielenia woluminu systemowego z woluminu systemu operacyjnego, który jest wykonywany tylko raz na okres istnienia maszyny wirtualnej. Te pliki binarne nie są wymagane podczas późniejszych operacji szyfrowania.
Aby obejść ten problem, skopiuj następujące cztery pliki z maszyny wirtualnej centrum danych systemu Windows Server 2016 do tej samej lokalizacji na serwerze Core:
\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui
Uruchom następujące polecenie:
bdehdcfg.exe -target defaultTo polecenie tworzy partycję systemową o rozmiarze 550 MB. Uruchom ponownie system.
Użyj narzędzia DiskPart, aby sprawdzić woluminy. Następnie kontynuuj.
Przykład:
DISKPART> list vol
Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
Volume 0 C NTFS Partition 126 GB Healthy Boot
Volume 1 NTFS Partition 550 MB Healthy System
Volume 2 D Temporary S NTFS Partition 13 GB Healthy Pagefile
Rozwiązywanie problemów ze stanem szyfrowania
Portal może wyświetlać dysk jako zaszyfrowany, nawet po jego odszyfrowaniu na maszynie wirtualnej. Taka sytuacja może wystąpić, gdy polecenia niskiego poziomu są używane do bezpośredniego odszyfrowania dysku z poziomu maszyny wirtualnej zamiast używania poleceń zarządzania usługą Azure Disk Encryption wyższego poziomu. Polecenia wyższego poziomu nie tylko odszyfrowują dysk z poziomu maszyny wirtualnej, ale także aktualizują ważne ustawienia szyfrowania na poziomie platformy i ustawienia rozszerzeń skojarzone z maszyną wirtualną. Jeśli nie są one wyrównane, platforma nie może prawidłowo zgłosić stanu szyfrowania ani aprowizować maszyny wirtualnej.
Aby wyłączyć usługę Azure Disk Encryption za pomocą programu PowerShell, użyj polecenia Disable-AzVMDiskEncryption, a następnie polecenia Remove-AzVMDiskEncryptionExtension. Uruchamianie Remove-AzVMDiskEncryptionExtension przed wyłączeniem szyfrowania kończy się niepowodzeniem.
Aby wyłączyć Azure Disk Encryption za pomocą CLI, użyj az vm encryption disable.
Dalsze kroki
W tym dokumencie przedstawiono więcej informacji na temat niektórych typowych problemów z usługą Azure Disk Encryption i sposobu rozwiązywania tych problemów. Aby uzyskać więcej informacji na temat tej usługi i jej możliwości, zobacz następujące artykuły: