Verwenden von BitLocker mit freigegebenen Clustervolumes (CSV)

  • Artikel

Gilt für: Windows Server 2022 und Azure Stack HCI, Version 22H2 und 21H2

BitLocker-Übersicht

Die BitLocker-Laufwerkverschlüsselung ist ein Feature zum Schutz von Daten, das in das Betriebssystem integriert ist und der Bedrohung durch Datendiebstahl oder der Offenlegung durch verlorene, gestohlene oder unzureichend außer Betrieb gesetzte Computer entgegenwirkt.

Sie erzielen den besten Schutz mit BitLocker, wenn dieses Feature mit einem Trusted Platform Module (TPM) Version 1.2 oder höher verwendet wird. Das TPM ist eine Hardwarekomponente, die von Computerherstellern in vielen neuen Computern installiert wird. Das TPM kann mit BitLocker verwendet werden, um Benutzerdaten zu schützen und um sicherzustellen, dass ein Computer nicht manipuliert wurde, während das System offline geschaltet wurde.

Auf Computern, die nicht über das TPM (Version 1.2 oder höher) verfügen, können Sie dennoch BitLocker verwenden, um das Windows-Betriebssystemlaufwerk zu verschlüsseln. Für diese Implementierung muss der Benutzer bzw. die Benutzerin aber einen USB-Systemstartschlüssel zum Starten des Computers oder Aktivieren aus dem Ruhezustand anschließen. Ab Windows 8 können Sie ein Kennwort für Betriebssystemvolumes verwenden, um das Volume auf einem Computer ohne TPM zu schützen. Keine der Optionen bietet eine Überprüfung der Systemintegrität vor dem Start, die von BitLocker mit einem TPM angeboten wird.

Zusätzlich zum TPM bietet BitLocker Ihnen die Möglichkeit, den normalen Startvorgang zu sperren, bis der Benutzer eine persönliche ID (PIN) angibt oder ein Wechselmedium eingibt. Bei diesem Wechselmedium kann es sich um einen USB-Speicherstick handeln, der einen Startschlüssel enthält. Diese zusätzlichen Sicherheitsmaßnahmen ermöglichen die mehrstufige Authentifizierung und stellen sicher, dass der Computer erst dann gestartet wird oder den Betrieb aus dem Ruhezustand wieder aufnimmt, wenn die richtige PIN oder der richtige Startschlüssel bereitgestellt wird.

Übersicht über freigegebene Clustervolumes (CSV)

Freigegebene Clustervolumes (CSV) ermöglichen es, dass mehrere Knoten in einem Windows Server-Failovercluster oder Azure Stack HCI, gleichzeitig Lese-/Schreibzugriff auf dieselbe logische Gerätenummer (LUN) oder denselben Datenträger erhalten, der als NTFS-Volume bereitgestellt wird. Der Datenträger kann als robustes Dateisystem (Resilient File System, ReFS) bereitgestellt werden. Das CSV-Laufwerk befindet sich jedoch im Umleitungsmodus, was bedeutet, dass Schreibzugriff an den Koordinatorknoten gesendet wird. Mit freigegebenen Clustervolumes können Clusterrollen schnell ein Failover von einem Knoten zu einem anderen ausführen, ohne die Besitzrechte für das Laufwerk ändern zu müssen. Zudem müssen Volumes nicht erneut bereitgestellt bzw. ihre Bereitstellung nicht aufgehoben werden. Freigegebene Clustervolumes vereinfachen auch die Verwaltung einer möglicherweise großen Anzahl von LUNs in einem Failovercluster.

Freigegebene Clustervolumes stellen ein allgemeines Clusterdateisystem bereit, das auf einer Ebene über NTFS oder ReFS liegt. CSV-Anwendungen umfassen Folgendes:

  • VHD/VHDX-Dateien (gruppierte virtuelle Festplatten) für gruppierte virtuelle Hyper-V-Computer
  • Dateifreigaben mit Aufskalierung, auf denen Anwendungsdaten für die SOFS-Clusterrolle (Scale-Out File Server, Dateiserver mit horizontaler Skalierung) gespeichert werden. Beispiele für die Anwendungsdaten dieser Rolle umfassen Dateien von virtuellen Hyper-V-Computern und Microsoft SQL Server-Daten. ReFS wird für einen Dateiserver mit horizontaler Skalierung in Windows Server 2012 R2 und früher nicht unterstützt. Weitere Informationen zu Dateiservern mit horizontaler Skalierung finden Sie unter Dateiserver mit horizontaler Skalierung für Anwendungsdaten.
  • Failoverclusterinstanz für Microsoft SQL Server 2014; Microsoft SQL Server-Clusterworkload in SQL Server 2012 und frühere Versionen von SQL Server unterstützen die Verwendung von CSV nicht.
  • Windows Server 2019 oder höher; Microsoft Distributed Transaction Coordinator (MSDTC)

Verwenden von BitLocker mit freigegebenen Clustervolumes

Wie BitLocker Clustervolumes verwaltet, hängt von der Sicht des Clusterdiensts auf die zu schützenden Volumes ab. Das Volume kann eine physische Datenträgerressource wie eine logische Gerätenummer (Logical Unit Number, LUN) auf einem SAN (Storage Area Network) oder einem NAS (Network Attached Storage) sein.

Alternativ kann das Volume auch ein freigegebenes Clustervolume (CSV) innerhalb des Clusters sein. Wenn Sie BitLocker mit Volumes verwenden, die für einen Cluster festgelegt sind, kann das Volume mit BitLocker aktiviert werden, bevor es dem Cluster hinzugefügt wird oder wenn es sich im Cluster befindet. Versetzen Sie die Ressource in den Wartungsmodus, bevor Sie BitLocker aktivieren.

Windows PowerShell oder die Manage-BDE-Befehlszeilenschnittstelle ist die bevorzugte Methode zur Verwaltung von BitLocker auf CSV-Volumes. Diese Methode wird gegenüber der BitLocker-Systemsteuerung empfohlen, da CSV-Volumes Bereitstellungspunkte sind. Bereitstellungspunkte entsprechen einem NTFS-Objekt, das einen Einstiegspunkt in andere Volumes bereitstellt. Bereitstellungspunkte erfordern nicht die Verwendung eines Laufwerkbuchstabens. Volumes ohne Laufwerkbuchstaben werden nicht in der BitLocker-Systemsteuerung angezeigt.

BitLocker entsperrt die geschützten Volumes ohne Eingreifen von Benutzer*innen. Die Schutzkomponenten werden in der folgenden Reihenfolge angewendet:

  1. Unverschlüsselter Schlüssel

  2. Treiberbasierte automatische Schlüsselentsperrung

  3. ADAccountOrGroup-Schutz

    1. Dienstkontextschutz

    2. Benutzerschutz

  4. Registrierungsbasierte automatische Schlüsselentsperrung

Der Failovercluster erfordert die Active Directory-basierte Schutzoption für die Cluster-Datenträgerressource. Andernfalls sind CSV-Ressourcen in der Systemsteuerung verfügbar.

Eine Active Directory Domain Services-Schutzoption (AD DS) zum Schutz von Clustervolumes, die sich in Ihrer AD DS-Infrastruktur befinden. Die ADAccountOrGroup-Schutzoption ist ein auf der Domänensicherheits-ID (SID) basierender Schutz, der an ein Benutzerkonto, Computerkonto oder eine Gruppe gebunden werden kann. Wenn für ein geschütztes Volume eine Anforderung zum Entsperren gestellt wird, unterbricht der BitLocker-Dienst die Anforderung und verwendet die BitLocker-APIs zum Aktivieren oder Aufheben des Schutzes, um die Anforderung zu entsperren oder zu verweigern.

Neue Funktionen

In früheren Versionen von Windows Server und Azure Stack HCI ist die einzige unterstützte Verschlüsselungsschutzoption die SID-basierte Schutzoption, bei der das verwendete Konto das Clusternamenobjekt (Cluster Name Object, CNO) ist, das im Rahmen der Erstellung des Failoverclusterings in Active Directory erstellt wird. Dies ist ein sicherer Entwurf, da die Schutzoption in Active Directory gespeichert und durch das CNO-Kennwort geschützt wird. Außerdem wird die Bereitstellung und Entsperrung von Volumes vereinfacht, da jeder Failoverclusterknoten Zugriff auf das CNO-Konto hat.

Ein Nachteil ergibt sich in dreifacher Hinsicht:

  1. Diese Methode funktioniert natürlich nicht, wenn ein Failovercluster ohne Zugriff auf einen Active Directory-Controller im Rechenzentrum erstellt wird.

  2. Die Entsperrung von Volumes im Rahmen des Failovers kann zu lange dauern (und möglicherweise zu einem Timeout führen), wenn der Active Directory-Controller überhaupt nicht oder nur langsam reagiert.

  3. Beim Onlineprozess des Laufwerks tritt ein Fehler auf, wenn kein Active Directory-Controller verfügbar ist.

Es wurden neue Funktionen hinzugefügt, mit denen das Failoverclustering eine eigene BitLocker-Schlüsselschutzoption für ein Volume generiert und verwaltet. Sie wird verschlüsselt und in der lokalen Clusterdatenbank gespeichert. Da es sich bei der Clusterdatenbank um einen replizierten Speicher handelt, der vom Systemvolumen auf jedem Clusterknoten unterstützt wird, sollte das Systemvolumen auf jedem Clusterknoten auch durch BitLocker geschützt werden. Dies wird vom Failoverclustering nicht erzwungen, da einige Lösungen das Systemvolumen möglicherweise nicht verschlüsseln möchten oder müssen. Wenn das Systemlaufwerk nicht durch BitLocker geschützt ist, kennzeichnet der Failovercluster dies während des Online- und Entsperrvorgangs als Warnungsereignis. Bei der Failoverclusterüberprüfung wird eine Meldung protokolliert, wenn erkannt wird, dass es sich um ein Setup ohne Active Directory oder ein Arbeitsgruppensetup handelt und das Systemvolume nicht verschlüsselt ist.

Installieren der BitLocker-Verschlüsselung

BitLocker ist ein Feature, das allen Knoten des Clusters hinzugefügt werden muss.

Hinzufügen von BitLocker mit Server-Manager

  1. Öffnen Sie Server-Manager, indem Sie auf das Symbol für Server-Manager klicken oder die Datei „servermanager.exe“ ausführen.

  2. Klicken Sie in Server-Manager in der Navigationsleiste auf Verwalten, und wählen Sie dann Rollen und Features hinzufügen aus, um den Assistenten zum Hinzufügen von Rollen und Features zu starten.

  3. Klicken Sie bei geöffnetem Assistenten zum Hinzufügen von Rollen und Features im Bereich Vorbemerkung (sofern angezeigt) auf Weiter .

  4. Wählen Sie im Bereich Installationstyp im Assistenten zum Hinzufügen von Rollen und FeaturesRollen- oder featurebasierte Installation , und klicken Sie dann auf Weiter , um den Vorgang fortzusetzen.

  5. Wählen Sie im Bereich Serverauswahl die Option Einen Server aus Serverpool auswählen aus, und bestätigen Sie den Server für die Installation des BitLocker-Features.

  6. Klicken Sie im Bereich Serverrollen des Rollen und Features hinzufügen -Assistenten auf Weiter , um mit dem Bereich Features fortzufahren.

  7. Aktivieren Sie im Assistenten zum Hinzufügen von Rollen und Features das Kontrollkästchen neben BitLocker-Laufwerkverschlüsselung innerhalb des Bereichs Features. Der Assistent zeigt die zusätzlichen Verwaltungsfunktionen für BitLocker an. Wenn Sie diese Features nicht installieren möchten, deaktivieren Sie die Option Verwaltungstools einbeziehen, und wählen Sie Features hinzufügen aus. Wenn die Auswahl optionaler Features abgeschlossen ist, wählen Sie Weiter aus, um fortzufahren.

Hinweis

Das Feature Erweiterter Speicher ist eine erforderliche Funktion zum Aktivieren von BitLocker. Dieses Feature ermöglicht die Unterstützung für verschlüsselte Festplatten auf fähigen Systemen.

  1. Wählen Sie im Assistenten zum Hinzufügen von Rollen und Features im Bereich Bestätigunginstallieren , um die BitLocker-Feature-Installation zu beginnen. Die BitLocker-Funktion erfordert zum Abschluss einen Neustart. Durch Auswahl der Option Zielserver bei Bedarf automatisch neu starten im Bereich Bestätigung wird ein Neustart des Computers erzwungen, nachdem die Installation abgeschlossen ist.

  2. Wenn das Kontrollkästchen Zielserver bei Bedarf automatisch neu starten deaktiviert ist, zeigt der Ergebnisbereich des Assistenten zum Hinzufügen von Rollen und Features den Erfolg oder Misserfolg der Installation des BitLocker-Features an. Falls erforderlich, wird im Ergebnistext eine Benachrichtigung über zum Abschluss der Feature-Installation zusätzlich erforderliche Aktionen angezeigt, wie z. B. der Neustart des Computers.

Hinzufügen von BitLocker mithilfe von PowerShell

Verwenden Sie für jeden Server den folgenden Befehl:

Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools

Um den Befehl auf allen Clusterservern zugleich auszuführen, verwenden Sie das folgende Skript, wobei Sie die Liste der Variablen am Anfang an Ihre Umgebung anpassen:

Füllen Sie diese Variablen mit Ihren Werten aus.

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker"

In diesem Teil wird das Cmdlet „Install-WindowsFeature“ auf allen Servern in „$ServerList“ ausgeführt, und die Liste der Features in „$FeatureList“ übergeben.

Invoke-Command ($ServerList) {  
    Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools 
}

Starten Sie anschließend alle Server neu:

$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos

Mehrere Rollen und Features können gleichzeitig hinzugefügt werden. Um z. B. BitLocker, Failoverclustering und die Dateiserverrolle hinzuzufügen, enthält „$FeatureList“ alle erforderlichen Optionen, die durch ein Komma getrennten werden. Beispiel:

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”

Bereitstellen eines verschlüsselten Volumes

Die Bereitstellung eines Laufwerks mit BitLocker-Verschlüsselung kann entweder erfolgen, wenn das Laufwerk Teil des Failoverclusters ist oder sich außerhalb davon befindet, bevor es hinzugefügt wird. Um die externe Schlüsselschutzoption automatisch zu erstellen, muss das Laufwerk eine Ressource im Failovercluster sein, bevor BitLocker aktiviert wird. Wenn BitLocker vor dem Hinzufügen des Laufwerks zum Failovercluster aktiviert ist, müssen zusätzliche manuelle Schritte zum Erstellen der externen Schlüsselschutzoption ausgeführt werden.

Für die Bereitstellung verschlüsselter Volumes müssen PowerShell-Befehle mit Administratorrechten ausgeführt werden. Es gibt zwei Möglichkeiten, die Laufwerke zu verschlüsseln und das Failoverclustering in die Lage zu versetzen, seine eigenen BitLocker-Schlüssel zu erstellen und zu verwenden.

  1. Interner Wiederherstellungsschlüssel

  2. Externe Wiederherstellungsschlüsseldatei

Verschlüsseln mithilfe eines Wiederherstellungsschlüssels

Wenn Sie die Laufwerke mithilfe eines Wiederherstellungsschlüssels verschlüsseln, kann ein BitLocker-Wiederherstellungsschlüssel erstellt und der Clusterdatenbank hinzugefügt werden. Wenn das Laufwerk online geschaltet wird, muss es sich für den Wiederherstellungsschlüssel nur an die lokale Clusterstruktur wenden.

Verschieben Sie die Datenträgerressource auf den Knoten, auf dem die BitLocker-Verschlüsselung aktiviert wird:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1

Versetzen Sie die Datenträgerressource in den Wartungsmodus:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource

Es wird ein Dialogfeld mit folgendem Text angezeigt:

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Klicken Sie auf Ja, um den Vorgang fortzusetzen.

Führen Sie zum Aktivieren der BitLocker-Verschlüsselung Folgendes aus:

Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector

Nach der Eingabe des Befehls wird eine Warnung mit einem numerischen Wiederherstellungskennwort angezeigt. Speichern Sie das Kennwort an einem sicheren Ort, da es auch in einem zukünftigen Schritt benötigt wird. Die Warnung sieht etwa wie folgt aus:


WARNING: ACTIONS REQUIRED:

    1. Save this numerical recovery password in a secure location away from your computer:
        
        271733-258533-688985-480293-713394-034012-061963-682044

    To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.

Um die Informationen der BitLocker-Schutzoption für das Volume abzurufen, kann der folgende Befehl ausgeführt werden:

(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector

Dadurch werden sowohl die Schlüsselschutzoption-ID als auch die Zeichenfolge für das Wiederherstellungskennwort angezeigt.

KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :

Die ID der Schlüsselschutzoption und das Wiederherstellungskennwort werden benötigt und in einer neuen privaten Eigenschaft des physischen Datenträgers namens BitLockerProtectorInfo gespeichert. Diese neue Eigenschaft wird verwendet, wenn die Ressource den Wartungsmodus verlässt. Das Format der Schutzoption ist eine Zeichenfolge, in der die ID der Schutzoption und das Kennwort durch ein „:“ getrennt sind.

Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create

Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der BitlockerProtectorInfo-Schlüssel und -Wert festgelegt sind:

Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo

Nachdem die Informationen vorhanden sind, kann der Datenträger nach Abschluss des Verschlüsselungsprozesses aus dem Wartungsmodus geholt werden.

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource

Wenn die Ressource nicht online geht, kann es sich um ein Speicherproblem, ein falsches Kennwort oder ein anderes Problem handeln. Vergewissern Sie sich, dass der BitlockerProtectorInfo-Schlüssel über die richtigen Informationen verfügt. Andernfalls müssen die zuvor angegebenen Befehle erneut ausgeführt werden. Wenn das Problem nicht mit diesem Schlüssel zusammenhängt, empfehlen wir Ihnen, sich an die zuständige Stelle in Ihrem Unternehmen oder an den Speicheranbieter zu wenden, um das Problem zu lösen.

Wenn die Ressource online geschaltet wird, sind die Informationen richtig. Beim Verlassen des Wartungsmodus wird der BitlockerProtectorInfo-Schlüssel entfernt und unter der Ressource in der Clusterdatenbank verschlüsselt.

Verschlüsseln mithilfe einer Datei mit externem Wiederherstellungsschlüssel

Durch die Verschlüsselung der Laufwerke mithilfe einer Wiederherstellungsschlüsseldatei kann ein BitLocker-Wiederherstellungsschlüssel erstellt werden, auf den von einem Speicherort aus zugegriffen werden kann, auf den alle Knoten Zugriff haben, z. B. auf einen Dateiserver. Sobald das Laufwerk online geschaltet wird, stellt der besitzende Knoten eine Verbindung mit dem Wiederherstellungsschlüssel her.

Verschieben Sie die Datenträgerressource auf den Knoten, auf dem die BitLocker-Verschlüsselung aktiviert wird:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2

Versetzen Sie die Datenträgerressource in den Wartungsmodus:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource

Ein Dialogfeld wird angezeigt:

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Klicken Sie auf Ja, um den Vorgang fortzusetzen.

Führen Sie den folgenden Befehl aus, um die BitLocker-Verschlüsselung zu aktivieren und die Schlüsselschutzoptionsdatei lokal zu erstellen. Es wird empfohlen, die Datei zuerst lokal zu erstellen und dann an einen Speicherort zu verschieben, auf den alle Knoten zugreifen können.

Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster

Um die Informationen der BitLocker-Schutzoption für das Volume abzurufen, kann der folgende Befehl ausgeführt werden:

(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector

Dadurch werden sowohl die Schlüsselschutzoptions-ID als auch der Schlüsseldateiname angezeigt, den sie erstellt.

KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :

Wenn Sie zu dem Ordner gelangen, in dem die Erstellung angegeben wurde, werden Sie ihn nicht auf den ersten Blick sehen. Der Grund dafür ist, dass sie als ausgeblendete Datei erstellt wird. Beispiel:

C:\Windows\Cluster\>dir f03  

Directory of C:\\Windows\\Cluster 

File Not Found 

C:\Windows\Cluster\>dir /a f03  

Directory of C:\Windows\Cluster 

<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK 

C:\Windows\Cluster\>attrib f03 

A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Da diese in einem lokalen Pfad erstellt wird, muss sie mithilfe des Copy-Item-Befehls in einen Netzwerkpfad kopiert werden, sodass alle Knoten Zugriff darauf haben.

Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir

Da das Laufwerk eine Datei verwendet und sich auf einer Netzwerkfreigabe befindet, müssen Sie das Laufwerk aus dem Wartungsmodus holen und den Pfad zur Datei angeben. Sobald die Verschlüsselung des Laufwerks abgeschlossen ist, lautet der Befehl zur Fortsetzung der Verschlüsselung wie folgt:

Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Sobald das Laufwerk bereitgestellt wurde, kann die BEK-Datei aus der Freigabe entfernt werden und wird nicht mehr benötigt.

Neue PowerShell-Cmdlets

Mit diesem neuen Feature wurden zwei neue Cmdlets erstellt, um die Ressource online zu stellen oder die Ressource manuell mithilfe des Wiederherstellungsschlüssels oder der Wiederherstellungsschlüsseldatei fortzusetzen.

Start-ClusterPhysicalDiskResource

Beispiel 1

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Beispiel 2

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Resume-ClusterPhysicalDiskResource

Beispiel 1

    Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Beispiel 2

     Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Neue Ereignisse

Es wurden mehrere neue Ereignisse hinzugefügt, die sich im Ereigniskanal „Microsoft-Windows-FailoverClustering/Operational“ befinden.

Wenn die Erstellung der Schlüsselschutzoption oder der Schlüsselschutzoptionsdatei erfolgreich war, wird ein ähnliches Ereignis wie das folgende angezeigt:

Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.

Wenn beim Erstellen der Schlüsselschutzoption oder der Schlüsselschutzoptionsdatei ein Fehler auftritt, wird ein ähnliches Ereignis wie das folgende angezeigt:

Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume

Da es sich bei der Clusterdatenbank um einen replizierten Speicher handelt, der vom Systemvolume auf jedem Clusterknoten unterstützt wird, wird empfohlen, dass das Systemvolume auf jedem Clusterknoten ebenfalls mit BitLocker geschützt wird. Dies wird vom Failoverclustering nicht erzwungen, da einige Lösungen das Systemvolumen möglicherweise nicht verschlüsseln möchten oder müssen. Wenn das Systemlaufwerk nicht durch BitLocker geschützt ist, wird dies vom Failovercluster während des Entsperr-/Onlineprozesses als Ereignis gekennzeichnet. Das angezeigte Ereignis sieht in etwa wie folgt aus:

Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1

Bei der Failoverclusterüberprüfung wird eine Meldung protokolliert, wenn erkannt wird, dass es sich um ein Setup ohne Active Directory oder ein Arbeitsgruppensetup handelt und das Systemvolume nicht verschlüsselt ist.