適用対象: ✔️ Windows VM ✔️ フレキシブル スケール セット
このガイドは、Azure Disk Encryption を使用する IT プロフェッショナル、情報セキュリティ アナリスト、クラウド管理者を対象としています。 この記事は、ディスク暗号化の問題のトラブルシューティングに役立ちます。
これらの手順を実行する前に、暗号化する VM が サポートされている VM サイズとオペレーティング システム の中にあり、すべての前提条件を満たしていることを確認します。
トラブルシューティング 'Failed to send DiskEncryptionData' (DiskEncryptionData の送信に失敗しました)
VM の暗号化が失敗し、"DiskEncryptionData を送信できませんでした..." というエラー メッセージが表示される場合、通常は次のいずれかの状況が原因で発生します。
- Key Vault が仮想マシンとは異なるリージョンまたはサブスクリプションに存在する
- Key Vault の高度なアクセス ポリシーが Azure Disk Encryption を許可するように設定されていない
- Key Vault でキー暗号化キーが無効または削除されている
- Key Vault またはキー暗号化キー (KEK) のリソース ID または URL に入力ミスが存在する
- 特殊文字は、VM、データ ディスク、またはキーの名前で使用されます。 たとえば、"_VMName" や "élite" などです。
- 暗号化シナリオはサポートされていません
- ネットワークの問題により、VM またはホストが必要なリソースにアクセスできない
問題を解決するための提案
- Key Vault が仮想マシンと同じリージョンおよびサブスクリプションに存在することを確認します
- キー コンテナーの高度なアクセス ポリシーを正しく設定していることを確認する
- KEK を使っている場合は、Key Vault にキーが存在し、有効になっていることを確認します
- VM 名、データ ディスク、およびキーが Key Vault リソースの名前付け制限に従っていることを確認します。
- PowerShell または CLI コマンドで Key Vault 名または KEK 名に入力ミスがないか確認する
注
disk-encryption-keyvault パラメーターの値の構文は、完全な識別子文字列です。
/subscriptions/[subscription-id-guid]/resourceGroups/[resource-group-name]/providers/Microsoft.KeyVault/vaults/[keyvault-name]
key-encryption-key パラメーターの値の構文は、次のような KEK への完全な URI です。https://[keyvault-name].vault.azure.net/keys/[kekname]/[kek-unique-id]
ファイアウォール内の Azure Disk Encryption のトラブルシューティング
ファイアウォール、プロキシ要件、またはネットワーク セキュリティ グループ (NSG) の設定によって接続が制限されている場合、拡張機能が必要なタスクを実行できない可能性があります。 この中断により、"VM で拡張機能の状態が利用できません" などのステータス メッセージが表示されることがあります。一般的なシナリオでは、暗号化が完了しません。 以下のセクションで、調査することが推奨される一般的なファイアウォールの問題について説明します。
ネットワーク セキュリティ グループ
適用されるネットワーク セキュリティ グループ設定で、ディスクの暗号化のために規定されている、ネットワーク構成の前提条件を満たすようエンドポイントが設定されている必要があります。
ファイアウォールの内側にある Azure Key Vault
Microsoft Entra の資格情報で暗号化が有効にされている場合は、ターゲットの VM で、Microsoft Entra のエンドポイントと Key Vault のエンドポイントの両方への接続を許可する必要があります。 現在の Microsoft Entra 認証エンドポイントは、Microsoft 365 の URL と IP アドレスの範囲に関するドキュメントのセクション 56 と 59 に記載されています。 Key Vault の説明は、「ファイアウォールの向こう側にある Access Azure Key Vault へのアクセス」方法に関するドキュメンテーションにあります。
Azure Instance Metadata Service
VM は、Azure プラットフォーム リソースとの通信に使用する仮想パブリック IP アドレス (169.254.169.254) と Azure Instance Metadata Service のエンドポイント (168.63.129.16) にアクセスできる必要があります。 X-Forwarded-For ヘッダーの追加など、これらのアドレスへのローカル HTTP トラフィックを変更するプロキシ構成はサポートされていません。
Windows Server 2016 Server Core のトラブルシューティング
Windows Server 2016 Server Core では、 bdehdcfg コンポーネントは既定では使用できません。 Azure Disk Encryption には、このコンポーネントが必要です。 これは、VM の有効期間中に 1 回だけ実行される OS ボリュームからシステム ボリュームを分割するために使用されます。 これらのバイナリは、以後の暗号化操作には必要ありません。
この問題を解決するには、次の 4 つのファイルを Windows Server 2016 Data Center VM から Server Core 上の同じ場所にコピーします。
\windows\system32\bdehdcfg.exe
\windows\system32\bdehdcfglib.dll
\windows\system32\en-US\bdehdcfglib.dll.mui
\windows\system32\en-US\bdehdcfg.exe.mui
次のコマンドを実行します。
bdehdcfg.exe -target defaultこのコマンドは、550 MB のシステム パーティションを作成します。 システムを再起動します。
DiskPart を使用してボリュームを確認します。 では、進みましょう。
次に例を示します。
DISKPART> list vol
Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
Volume 0 C NTFS Partition 126 GB Healthy Boot
Volume 1 NTFS Partition 550 MB Healthy System
Volume 2 D Temporary S NTFS Partition 13 GB Healthy Pagefile
暗号化の状態のトラブルシューティング
ポータルでは、VM 内で暗号化されていない場合でも、ディスクが暗号化済みとして表示される場合があります。 この状況は、下位レベルのコマンドを使用して、上位レベルの Azure Disk Encryption 管理コマンドを使用するのではなく、VM 内からディスクを直接暗号化解除する場合に発生する可能性があります。 上位レベルのコマンドは、VM 内からディスクを暗号化しないだけでなく、VM に関連付けられている重要なプラットフォーム レベルの暗号化設定と拡張機能の設定も更新します。 これらが調整されていない場合、プラットフォームは暗号化の状態を報告したり、VM を適切にプロビジョニングしたりできません。
PowerShell で Azure Disk Encryption を無効にするには、最初に Disable-AzVMDiskEncryption、次に Remove-AzVMDiskEncryptionExtension を使用します。 暗号化が無効になる前の Remove-AzVMDiskEncryptionExtension の実行は失敗します。
CLI で Azure Disk Encryption を無効にするには、 az vm encryption disable を使用します。
次のステップ
このドキュメントでは、Azure Disk Encryption で発生する一般的な問題の詳細と、それらの問題のトラブルシューティング方法について説明しました。 このサービスと機能の詳細については、次の記事を参照してください。