Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: ✔️ macchine virtuali Windows ✔️ set di scalabilità flessibili
Questa guida è destinata a professionisti IT, analisti della sicurezza delle informazioni e amministratori cloud che usano Crittografia dischi di Azure. Questo articolo illustra come risolvere i problemi di crittografia del disco.
Prima di eseguire questi passaggi, assicurarsi che le macchine virtuali da crittografare siano tra le dimensioni e i sistemi operativi delle macchine virtuali supportate e che siano soddisfatti tutti i prerequisiti:
- Requisiti di rete
- Requisiti di Criteri di gruppo
- Requisiti di archiviazione delle chiavi di crittografia
Risoluzione del problema "impossibile inviare i dati di DiskEncryptionData"
Quando la crittografia di una macchina virtuale ha esito negativo e viene visualizzato il messaggio di errore "Non è stato possibile inviare DiskEncryptionData...", in genere, il problema è causato da una delle situazioni seguenti:
- Il Key Vault esiste in un'altra zona o sottoscrizione della macchina virtuale
- I criteri di accesso avanzati in Azure Key Vault non sono impostati per consentire la crittografia dischi di Azure.
- La Chiave di crittografia principale è disabilitata o eliminata nel Vault delle chiavi
- Esiste un errore di digitazione nell'ID risorsa o nell'URL del Key Vault o della chiave di crittografia della chiave (KEK)
- I caratteri speciali vengono usati nei nomi della macchina virtuale, dei dischi dati o delle chiavi. Ad esempio, "_VMName" o "elite".
- Lo scenario di crittografia non è supportato
- I problemi di rete impediscono alla macchina virtuale o all'host di accedere alle risorse necessarie
Suggerimenti per la risoluzione del problema
- Verificare che l'insieme di credenziali delle chiavi esista nella stessa area e nella stessa sottoscrizione della macchina virtuale
- Assicurati di impostare correttamente le politiche di accesso avanzate dell'archivio delle chiavi
- Se si usa KEK, verificare che la chiave esista e sia abilitata nell'insieme di credenziali delle chiavi
- Verificare che il nome della macchina virtuale, i dischi dati e le chiavi rispettino le restrizioni di denominazione delle risorse dell'insieme di credenziali.
- Verificare la presenza di errori di digitazione nel nome del Key Vault o nel nome KEK nei comandi di PowerShell o dell'interfaccia della riga di comando
Nota
La sintassi per il valore del disk-encryption-keyvault parametro è la stringa dell'identificatore completo:
/subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
La sintassi per il valore del key-encryption-key parametro è l'URI completo della chiave KEK, ad esempio: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]
- Assicurarsi di non violare alcuna restrizione
- Assicurarsi di soddisfare requisiti di rete e riprovare
Risoluzione dei problemi di Crittografia dischi di Azure dietro un firewall
Quando la connettività è limitata da un firewall, da un requisito proxy o da impostazioni del gruppo di sicurezza di rete, l'estensione potrebbe non essere in grado di eseguire le attività necessarie. Questa interruzione può causare messaggi di stato come "Stato dell'estensione non disponibile nella macchina virtuale". Negli scenari tipici la crittografia non viene completata. Le sezioni che seguono illustrano alcuni problemi comuni relativi ai firewall che è possibile esaminare.
Gruppi di sicurezza di rete
Tutte le impostazioni dei gruppi di sicurezza di rete devono consentire all'endpoint di soddisfare i prerequisiti di configurazione di rete documentati per la crittografia dei dischi.
Azure Key Vault protetto da firewall
Quando la crittografia è abilitata con le credenziali Microsoft Entra, la macchina virtuale di destinazione deve consentire la connettività sia sugli endpoint di Microsoft Entra sia sugli endpoint di Key Vault. Gli endpoint di autenticazione di Microsoft Entra correnti sono mantenuti nelle sezioni 56 e 59 della documentazione URL e intervalli di indirizzi IP per Microsoft 365. Le istruzioni di Key Vault sono fornite nella documentazione Accedere ad Azure Key Vault protetto da firewall.
Servizio metadati dell'istanza di Azure
La macchina virtuale deve poter accedere al servizio metadati dell'istanza di Azure endpoint (169.254.169.254) e all'indirizzo IP pubblico virtuale (168.63.129.16) usato per la comunicazione con le risorse della piattaforma Azure. Le configurazioni proxy che modificano il traffico HTTP locale a questi indirizzi, ad esempio l'aggiunta di un'intestazione X-Forwarded-For, non sono supportate.
Risoluzione dei problemi di Server Core di Windows Server 2016
In Windows Server 2016 Server Core il bdehdcfg componente non è disponibile per impostazione predefinita. Crittografia dischi di Azure richiede questo componente. Viene usato per suddividere il volume di sistema dal volume del sistema operativo, che viene eseguito una sola volta per la durata della macchina virtuale. Tali file binari non sono necessari durante le operazioni di crittografia successive.
Per risolvere il problema, copiare i quattro file seguenti da una macchina virtuale Windows Server 2016 Data Center nello stesso percorso in Server Core:
\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui
Eseguire il comando seguente:
bdehdcfg.exe -target defaultQuesto comando crea una partizione di sistema di 550 MB. Riavviare il sistema.
Usare DiskPart per controllare i volumi. Procedere quindi.
Ad esempio:
DISKPART> list vol
Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
Volume 0 C NTFS Partition 126 GB Healthy Boot
Volume 1 NTFS Partition 550 MB Healthy System
Volume 2 D Temporary S NTFS Partition 13 GB Healthy Pagefile
Risoluzione dei problemi relativi allo stato della crittografia
Il portale potrebbe visualizzare un disco come crittografato anche dopo che non è crittografato all'interno della macchina virtuale. Questa situazione può verificarsi quando i comandi di basso livello vengono usati per decrittografare direttamente il disco dall'interno della macchina virtuale anziché usare i comandi di gestione di Crittografia dischi di Azure di livello superiore. I comandi di livello superiore non solo annullano la crittografia del disco dall'interno della macchina virtuale, ma aggiornano anche importanti impostazioni di crittografia a livello di piattaforma e impostazioni di estensione associate alla macchina virtuale. Se non vengono mantenuti allineati, la piattaforma non è in grado di segnalare lo stato di crittografia o di effettuare correttamente il provisioning della macchina virtuale.
Per disabilitare Crittografia dischi di Azure con PowerShell, usare il comando Disable-AzVMDiskEncryption seguito da Remove-AzVMDiskEncryptionExtension. L'esecuzione di Remove-AzVMDiskEncryptionExtension prima che la crittografia venga disabilitata ha esito negativo.
Per disabilitare la crittografia del disco di Azure con l'interfaccia della riga di comando, usare az vm encryption disable.
Passaggi successivi
In questo documento sono stati esaminati alcuni problemi comuni di Crittografia dischi di Azure ed è stato illustrato come risolverli. Per altre informazioni su questo servizio e sulle relative funzionalità, vedere gli articoli seguenti: