Azure Disk Şifrelemesi sorun giderme kılavuzu

  • Makale

Şunlar için geçerlidir: ✔️ Windows VM'leri ✔️ Esnek ölçek kümeleri

Bu kılavuz, kuruluşların Azure Disk Şifrelemesi kullandığı BT uzmanlarına, bilgi güvenliği analistlerine ve bulut yöneticilerine yöneliktir. Bu makale, disk şifrelemesiyle ilgili sorunları gidermeye yardımcı olmaktır.

Bu adımlardan herhangi birini uygulamadan önce, şifrelemeye çalıştığınız VM'lerin desteklenen VM boyutları ve işletim sistemleri arasında olduğundan ve tüm önkoşulları karşıladığınızdan emin olun:

'DiskEncryptionData gönderilemedi' sorunlarını giderme

Vm şifrelenirken "DiskEncryptionData...gönderemedi" hata iletisiyle başarısız olduğunda, bunun nedeni genellikle aşağıdaki durumlardan biridir:

  • Key Vault'un Sanal Makineden farklı bir bölgede ve/veya abonelikte mevcut olması
  • Key Vault'taki gelişmiş erişim ilkeleri Azure Disk Şifrelemesi izin verecek şekilde ayarlanmadı
  • Anahtar Şifreleme Anahtarı kullanımdayken Key Vault'ta devre dışı bırakıldı veya silindi
  • Anahtar Kasası veya Anahtar Şifreleme Anahtarı (KEK) için Kaynak Kimliği veya URL'sinde yazım hatası
  • VM, veri diskleri veya anahtarları adlandırırken kullanılan özel karakterler. örneğin _VMName, élite vb.
  • Desteklenmeyen şifreleme senaryoları
  • VM/Konağın gerekli kaynaklara erişmesini engelleyen ağ sorunları

Öneriler

Not

Disk-encryption-keyvault parametresinin değerinin söz dizimi tam tanımlayıcı dizesidir: /subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
Anahtar-şifreleme-anahtar parametresinin değerinin söz dizimi KEK'nin tam URI'sidir; örneğin: https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]

Güvenlik duvarının arkasındaki Azure Disk Şifrelemesi sorunlarını giderme

Bağlantı bir güvenlik duvarı, ara sunucu gereksinimi veya ağ güvenlik grubu (NSG) ayarlarıyla kısıtlandığında, uzantının gerekli görevleri gerçekleştirme yeteneği kesintiye uğrayabilir. Bu kesinti "Uzantı durumu VM'de kullanılamıyor" gibi durum iletilerine neden olabilir. Beklenen senaryolarda şifreleme tamamlayamaz. Aşağıdaki bölümlerde araştırabileceğiniz bazı yaygın güvenlik duvarı sorunları vardır.

Ağ güvenlik grupları

Uygulanan tüm ağ güvenlik grubu ayarları, uç noktanın disk şifrelemesi için belgelenen ağ yapılandırması önkoşullarını karşılamasına izin vermelidir.

Güvenlik duvarının arkasındaki Azure Key Vault

Microsoft Entra kimlik bilgileriyle şifreleme etkinleştirildiğinde, hedef VM'nin hem Microsoft Entra uç noktalarına hem de Key Vault uç noktalarına bağlanmaya izin vermesi gerekir. Geçerli Microsoft Entra kimlik doğrulama uç noktaları, Microsoft 365 URL'leri ve IP adresi aralıkları belgelerinin 56. ve 59. bölümlerinde tutulur. Key Vault yönergeleri, güvenlik duvarının arkasındaki Azure Key Vault'a erişme belgelerinde verilmiştir.

Azure Instance Metadata Service

VM'nin Azure Örnek Meta Verileri hizmet uç noktasına (169.254.169.254) ve Azure platform kaynaklarıyla iletişim için kullanılan sanal genel IP adresine (168.63.129.16) erişebilmesi gerekir. Bu adreslere yerel HTTP trafiğini değiştiren proxy yapılandırmaları (örneğin, X-Forwarded-For üst bilgisi ekleme) desteklenmez.

Windows Server 2016 Server Core sorunlarını giderme

Windows Server 2016 Server Core'da, bdehdcfg bileşeni varsayılan olarak kullanılamaz. Bu bileşen Azure Disk Şifrelemesi için gereklidir. Sistem birimini işletim sistemi biriminden bölmek için kullanılır ve bu işlem VM'nin kullanım ömrü boyunca yalnızca bir kez gerçekleştirilir. Bu ikili dosyalar daha sonraki şifreleme işlemleri sırasında gerekli değildir.

Bu sorunu geçici olarak çözmek için, Windows Server 2016 Veri Merkezi VM'sinden sunucu çekirdeğinde aynı konuma aşağıdaki dört dosyayı kopyalayın:

\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui

  1. Aşağıdaki komutu girin:

    bdehdcfg.exe -target default

  2. Bu komut 550 MB'lık bir sistem bölümü oluşturur. Sistemi yeniden başlatın.

  3. DiskPart'ı kullanarak birimleri denetleyin ve devam edin.

Örneğin:

DISKPART> list vol

  Volume ###  Ltr  Label        Fs     Type        Size     Status     Info
  ----------  ---  -----------  -----  ----------  -------  ---------  --------
  Volume 0     C                NTFS   Partition    126 GB  Healthy    Boot
  Volume 1                      NTFS   Partition    550 MB  Healthy    System
  Volume 2     D   Temporary S  NTFS   Partition     13 GB  Healthy    Pagefile

Şifreleme durumu sorunlarını giderme

Portal, vm içinde şifrelenmemiş olsa bile bir diski şifrelenmiş olarak görüntüleyebilir. Bu durum, üst düzey Azure Disk Şifrelemesi yönetim komutlarını kullanmak yerine sanal makinenin içindeki diskin şifresini doğrudan çözmek için düşük düzeyli komutlar kullanıldığında ortaya çıkabilir. Yüksek düzeyli komutlar yalnızca VM'nin içinden diskin şifresini kaldırmakla kalmaz, vm'nin dışındaki önemli platform düzeyinde şifreleme ayarlarını ve VM ile ilişkili uzantı ayarlarını da güncelleştirir. Bunlar uyumlu tutulmazsa, platform şifreleme durumunu raporlayamaz veya VM'yi düzgün bir şekilde sağlayamaz.

PowerShell ile Azure Disk Şifrelemesi devre dışı bırakmak için Disable-AzVMDiskEncryption komutunu ve ardından Remove-AzVMDiskEncryptionExtension komutunu kullanın. Şifreleme devre dışı bırakılmadan önce Remove-AzVMDiskEncryptionExtension çalıştırılamaz.

CLI ile Azure Disk Şifrelemesi devre dışı bırakmak için az vm encryption disable komutunu kullanın.

Sonraki adımlar

Bu belgede, Azure Disk Şifrelemesi'daki bazı yaygın sorunlar ve bu sorunları giderme hakkında daha fazla bilgi edinmişsinizdir. Bu hizmet ve özellikleri hakkında daha fazla bilgi için aşağıdaki makalelere bakın: