Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это важно
Шифрование дисков Azure для виртуальных машин и масштабируемых наборов виртуальных машин будет прекращено 15 сентября 2028 г. Новые клиенты должны использовать шифрование на узле для всех новых виртуальных машин. Существующие клиенты должны планировать перенос текущих виртуальных машин с поддержкой ADE в шифрование на узле до даты выхода на пенсию, чтобы избежать нарушения работы службы. См. статью "Миграция из шифрования дисков Azure в шифрование на узле".
Область применения: ✔️ Виртуальные машины Windows ✔️ Гибкие масштабируемые наборы
Это руководство предназначено для ИТ-специалистов, аналитиков информационной безопасности и администраторов облака, использующих шифрование дисков Azure. Эта статья поможет устранить неполадки с шифрованием дисков.
Перед выполнением этих действий убедитесь, что виртуальные машины, которые вы хотите зашифровать, входят в список поддерживаемых размеров виртуальных машин и операционных систем , а также все необходимые условия.
Устранение неполадок 'не удалось отправить DiskEncryptionData'
При сбое шифрования виртуальной машины с сообщением об ошибке "Не удалось отправить DiskEncryptionData...", обычно это вызвано одной из следующих ситуаций:
- Key Vault находится в другом регионе или другой подписке, чем виртуальная машина.
- Политики расширенного доступа в Key Vault не заданы, чтобы разрешить шифрование дисков Azure
- Ключ шифрования ключей отключен или удален в Key Vault
- Опечатка существует в идентификаторе ресурса или URL-адресе для key Vault или ключа шифрования ключей (KEK)
- Специальные символы используются в именах виртуальной машины, дисков данных или ключей. Например, "_VMName" или "élite".
- Сценарий шифрования не поддерживается
- Проблемы с сетью не позволяют виртуальной машине или узлу получать доступ к необходимым ресурсам
Рекомендации по устранению проблемы
- Убедитесь, что Key Vault находится в том же регионе и подписке, что и виртуальная машина.
- Убедитесь, что вы правильно устанавливаете политики расширенного доступа к хранилищу ключей
- Если вы используете KEK, убедитесь, что ключ существует и включен в Key Vault.
- Убедитесь, что имя виртуальной машины, диски данных и ключи следуют ограничениям именования ресурсов хранилища ключей.
- Проверьте наличие опечаток в названии Key Vault или имени KEK в командах PowerShell или CLI
Примечание.
Синтаксис значения параметра является полной строкой идентификатора disk-encryption-keyvault :
/subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
Синтаксис значения key-encryption-key параметра — полный универсальный код ресурса (URI) для KEK, например: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]
- Убедитесь, что вы не нарушаете какие-либо ограничения
- Убедитесь, что выполняются требования к сети, и повторите попытку.
Устранение неполадок шифрования диска Azure в связи с брандмауэром
Если подключение ограничено параметрами брандмауэра, прокси-сервера или группы безопасности сети (NSG), расширение может не выполнять необходимые задачи. Это нарушение может вызвать сообщения о состоянии, например "Состояние расширения недоступно в виртуальной машине". В типичных сценариях шифрование не завершается. В следующих разделах можно ознакомиться с некоторыми распространенными проблемами с брандмауэром.
Группы безопасности сети
Любые применяемые параметры группы безопасности сети должны позволять конечной точке соответствовать предусмотренным предварительным требованиям к конфигурации сети для шифрования диска.
Azure Key Vault за брандмауэром
Если шифрование включено с учетными данными Microsoft Entra, целевая виртуальная машина должна разрешить подключение как к конечным точкам Microsoft Entra, так и к конечным точкам Key Vault. Текущие конечные точки проверки подлинности Microsoft Entra поддерживаются в разделах 56 и 59 URL-адресов Microsoft 365 и диапазонов IP-адресов. Инструкции Key Vault приведены в статье Доступ к хранилищу ключей Azure из-за брандмауэра.
Служба метаданных экземпляров Azure
Виртуальная машина должна иметь доступ к конечной точке службы метаданных экземпляров Azure (169.254.169.254) и виртуальному общедоступному IP-адресу (168.63.129.16), который используется для обмена данными с ресурсами платформы Azure. Конфигурации прокси-сервера, которые изменяют локальный HTTP-трафик на эти адреса, например добавление заголовка X-Forwarded-For, не поддерживаются.
Устранение неполадок в основных серверных компонентах Windows Server 2016
В Windows Server 2016 Server Core bdehdcfg компонент по умолчанию недоступен. Для шифрования дисков Azure требуется этот компонент. Он используется для разделения системного тома от тома ОС, который выполняется только один раз в течение всего времени существования виртуальной машины. Эти двоичные файлы не требуются во время последующих операций шифрования.
Чтобы решить эту проблему, скопируйте указанные ниже четыре файла из виртуальной машины центра обработки данных Windows Server 2016 в то же расположение (основные серверные компоненты):
\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui
Выполните следующую команду:
bdehdcfg.exe -target defaultЭта команда создает системный раздел размером 550 МБ. Перезапустите систему.
Используйте DiskPart для проверки томов. Затем продолжите.
Например:
DISKPART> list vol
Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
Volume 0 C NTFS Partition 126 GB Healthy Boot
Volume 1 NTFS Partition 550 MB Healthy System
Volume 2 D Temporary S NTFS Partition 13 GB Healthy Pagefile
Устранение неполадок с состоянием шифрования
Портал может отображать диск как зашифрованный даже после того, как он незашифрован в виртуальной машине. Эта ситуация может возникать, когда команды низкого уровня используются для непосредственной расшифровки диска из виртуальной машины вместо использования команд управления шифрованием дисков Azure более высокого уровня. Команды более высокого уровня не только отменяют шифрование диска на виртуальной машине, но и обновляют важные параметры шифрования на уровне платформы и параметры расширения, связанные с виртуальной машиной. Если они не хранятся в соответствии, платформа не может сообщить о состоянии шифрования или правильно подготовить виртуальную машину.
Чтобы отключить шифрование дисков Azure с помощью PowerShell, используйте Disable-AzVMDiskEncryption, а затем Remove-AzVMDiskEncryptionExtension. Выполнение Remove-AzVMDiskEncryptionExtension до отключения шифрования приводит к сбою.
Чтобы отключить шифрование дисков Azure с помощью интерфейса командной строки, используйте команду az vm encryption disable.
Следующие шаги
В этом документе вы узнали о некоторых распространенных проблемах в шифровании дисков Azure и их устранении. Дополнительные сведения об этой службе и ее возможностях см. в статьях: