BitLocker を使用してクラスター共有ボリュームと記憶域ネットワークを保護する
この記事では、クラスター共有ボリューム (CV) と記憶域ネットワーク (SAN) を BitLocker で保護する手順について説明します。
BitLocker は、物理ディスク リソースとクラスター共有ボリューム バージョン 2.0 (CSV2.0) の両方を保護します。 クラスター化されたボリューム上の BitLocker は、機密性の高い高可用性データを保護するために使用できる追加の保護レイヤーを提供します。 管理者は、この追加の保護レイヤーを使用して、リソースのセキュリティを強化します。 BitLocker ボリュームのロックを解除するためのアクセス権を提供したのは、特定のユーザー アカウントのみです。
クラスター共有ボリュームで BitLocker を構成する
クラスター内のボリュームは、クラスター サービスが保護するボリュームをどのように 見ている かに基づいて、BitLocker の助けを借りて管理されます。 ボリュームには、SAN 上の論理ユニット番号 (LUN) やネットワーク接続ストレージ (NAS) などの物理ディスク リソースを指定できます。
重要
BitLocker で使用される SAN は、Windows ハードウェア認定を取得している必要があります。 詳細については、「Windows ハードウェア ラボ キット」をチェック。
クラスター用に指定されたボリュームは、次のタスクを実行する必要があります。
- BitLocker をオンにする: このタスクが完了した後にのみ、ボリュームをストレージ プールに追加できます
- BitLocker 操作が完了する前に、リソースをメンテナンス モードにする必要があります。
Windows PowerShellまたはmanage-bde.exe
コマンド ライン ツールは、CSV2.0 ボリュームで BitLocker を管理するための推奨される方法です。 CSV2.0 ボリュームはマウント ポイントであるため、この方法は BitLocker コントロール パネル項目よりも推奨されます。 マウント ポイントは、他のボリュームにエントリ ポイントを提供するために使用される NTFS オブジェクトです。 マウント ポイントでは、ドライブ文字を使用する必要はありません。 ドライブ文字がないボリュームは、BitLocker コントロール パネル項目に表示されません。 また、クラスター ディスク リソースまたは CSV2.0 リソースに必要な新しい Active Directory ベースの保護機能オプションは、コントロール パネル項目では使用できません。
注
マウント ポイントは、SMB ベースのネットワーク共有上のリモート マウント ポイントをサポートするために使用できます。 この種類の共有は、BitLocker 暗号化ではサポートされていません。
動的仮想ハード ディスク (VHD) など、シン プロビジョニングされたストレージがある場合、BitLocker は 使用済みディスク領域のみの 暗号化モードで実行されます。 この manage-bde.exe -WipeFreeSpace
コマンドを使用して、シン プロビジョニングされたストレージ ボリュームでボリュームをフル ボリューム暗号化に切り替えることはできません。 空き領域を manage-bde.exe -WipeFreeSpace
ワイプしながら、バッキング ストア全体を占有するように、シン プロビジョニングされたボリュームを拡張しないように、コマンドの使用がブロックされます。
Active Directory ベースの保護機能
Active Directory Domain Services (AD DS) 保護機能は、AD DS インフラストラクチャ内に保持されているクラスター化されたボリュームを保護するためにも使用できます。 ADAccountOrGroup 保護機能は、ユーザー アカウント、コンピューター アカウント、またはグループにバインドできるドメイン セキュリティ識別子 (SID) ベースの保護機能です。 保護されたボリュームに対してロック解除要求が行われると、次のイベントが発生します。
BitLocker サービスは要求を中断し、BitLocker 保護/保護解除 API を使用して要求のロックを解除または拒否します。
BitLocker は、次の順序で保護機能を試みることで、ユーザーの介入なしに保護されたボリュームのロックを解除します。
キーをクリアする
ドライバー ベースの自動ロック解除キー
ADAccountOrGroup 保護機能
a. サービス コンテキスト保護機能
b. ユーザー 保護機能
レジストリ ベースの自動ロック解除キー
注
この機能を正常に動作させるには、Windows Server 2012以降のドメイン コントローラーが必要です。
Windows PowerShellを使用してクラスターにディスクを追加する前に BitLocker をオンにする
BitLocker 暗号化は、これらのディスクがクラスター ストレージ プールに追加される前にディスクで使用できます。
注
BitLocker 暗号化の利点は、ディスクをクラスター ストレージ プールに追加した後でも使用できます。 ボリュームをクラスターに追加する前に暗号化する利点は、操作を完了するためにディスク リソースを中断する必要がないということです。 ディスクをクラスターに追加する前に BitLocker を有効にするには:
BitLocker ドライブ暗号化機能がまだインストールされていない場合は、インストールします。
ディスクが NTFS 形式で、ドライブ文字が割り当てられていることを確認します。
Windows PowerShellを使用してクラスターの名前を特定します。
Get-Cluster
クラスター名を使用して、 ADAccountOrGroup 保護機能を持つボリュームで BitLocker を有効にします。 たとえば、次のようなコマンドを使用します。
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
Warning
クラスター共有ボリュームで共有するか、従来のフェールオーバー クラスターで適切にフェールオーバーするには、BitLocker 対応ボリュームのクラスター CNO を使用して ADAccountOrGroup 保護機能を構成する必要があります。
クラスター内のディスクごとに前の手順を繰り返します。
ボリュームをクラスターに追加します。
Windows PowerShellを使用してクラスター化ディスクの BitLocker をオンにする
クラスター サービスが既にディスク リソースを所有している場合は、BitLocker を有効にする前に、ディスク リソースをメンテナンス モードに設定する必要があります。 Windows PowerShellを使用してクラスター化ディスクの BitLocker を有効にするには、次の手順を実行します。
BitLocker ドライブ暗号化機能がまだインストールされていない場合は、インストールします。
Windows PowerShellを使用してクラスター ディスクの状態を確認します。
Get-ClusterResource "Cluster Disk 1"
Windows PowerShellを使用して、物理ディスク リソースをメンテナンス モードにします。
Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource
Windows PowerShellを使用してクラスターの名前を特定します。
Get-Cluster
クラスター名を使用して、 ADAccountOrGroup 保護機能を持つボリュームを BitLocker で有効にします。 たとえば、次のようなコマンドを使用します。
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
Warning
AdAccountOrGroup 保護機能は、クラスター共有ボリュームで共有するか、従来のフェールオーバー クラスターで適切にフェールオーバーするために、BitLocker 対応ボリュームのクラスター CNO を使用して構成する必要があります。
Resume-ClusterResource を使用して、物理ディスク リソースをメンテナンス モードから取り戻します。
Get-ClusterResource "Cluster Disk 1" | Resume-ClusterResource
クラスター内のディスクごとに前の手順を繰り返します。
を使用して BitLocker で暗号化されたボリュームをクラスターに追加する manage-bde.exe
Manage-bde.exe
を使用して、クラスター化されたボリュームで BitLocker を有効にすることもできます。 物理ディスク リソースまたは CSV2.0 ボリュームを既存のクラスターに追加するために必要な手順は次のとおりです。
BitLocker ドライブ暗号化機能がコンピューターにインストールされていることを確認します。
新しいストレージが NTFS として書式設定されていることを確認します。
ボリュームを暗号化し、回復キーを追加し、コマンド プロンプト ウィンドウで を使用して
manage-bde.exe
、クラスター管理者を保護機能キーとして追加します。 次に、例を示します。manage-bde.exe -on -used <drive letter> -RP -sid domain\CNO$ -sync
- BitLocker は、ディスクが既にクラスターの一部であるかどうかを確認するためにチェック。 その場合、管理者はハード ブロックに遭遇します。 それ以外の場合、暗号化は続行されます。
- -sync パラメーターの使用は省略可能です。 ただし、-sync パラメーターを使用すると、ボリュームの暗号化が完了するまでコマンドが待機するという利点があります。 その後、ボリュームはクラスター ストレージ プールで使用するために解放されます。
フェールオーバー クラスター マネージャー スナップインまたはクラスター PowerShell コマンドレットを開いて、ディスクをクラスター化できるようにします。
- ディスクがクラスター化されると、CSV が有効になります。
リソースのオンライン操作中に、クラスターはディスクが BitLocker 暗号化されているかどうかを確認します。
- ボリュームが BitLocker 有効になっていない場合は、従来のクラスター オンライン操作が発生します。
- ボリュームが BitLocker が有効になっている場合、BitLocker はボリュームがロックされているかどうかを確認 します。 ボリュームが ロックされている場合、BitLocker は CNO を偽装し、CNO 保護機能を使用してボリュームのロックを解除します。 BitLocker によるこれらのアクションが失敗した場合、イベントがログに記録されます。 ログに記録されたイベントは、ボリュームのロックを解除できず、オンライン操作が失敗したことを示します。
記憶域プールでディスクがオンラインになったら、ディスク リソースを右クリックし、[クラスター共有ボリュームに追加] を選択することで、ディスクを CSV に追加できます。
CSP には、暗号化されたボリュームと暗号化されていないボリュームの両方が含まれます。 BitLocker 暗号化の特定のボリュームの状態をチェックするには、ボリュームへのパスをmanage-bde.exe -status
持つ管理者としてコマンドを実行します。 パスは、CSV 名前空間内にあるパスである必要があります。 次に、例を示します。
manage-bde.exe -status "C:\ClusterStorage\volume1"
物理ディスク リソース
CSV2.0 ボリュームとは異なり、物理ディスク リソースにアクセスできるのは、一度に 1 つのクラスター ノードのみです。 この条件は、ボリュームの暗号化、暗号化解除、ロック解除、ロック解除などの操作を実行するにはコンテキストが必要であることを意味します。 たとえば、ディスク リソースが使用できないため、ディスク リソースを所有するクラスター ノードを管理していない場合、物理ディスク リソースのロックを解除または暗号化解除することはできません。
クラスター ボリュームでの BitLocker アクションに関する制限
次の表には、物理ディスク リソース (つまり、従来のフェールオーバー クラスター ボリューム) とクラスター共有ボリューム (CSV) の両方と、各状況で BitLocker によって許可されるアクションに関する情報が含まれています。
操作 | フェールオーバー ボリュームの所有者ノード | CSV のメタデータ サーバー (MDS) 上 | CSV の (データ サーバー) DS で | メンテナンス モード |
---|---|---|---|---|
Manage-bde.exe -on |
ブロック | ブロック | ブロック | 許可されます |
Manage-bde.exe -off |
ブロック | ブロック | ブロック | 許可されます |
Manage-bde.exe Pause/Resume |
ブロック | ブロック** | ブロック | 許可されます |
Manage-bde.exe -lock |
ブロック | ブロック | ブロック | 許可されます |
Manage-bde.exe -wipe |
ブロック | ブロック | ブロック | 許可されます |
ロックを解除する | クラスター サービス経由の自動 | クラスター サービス経由の自動 | クラスター サービス経由の自動 | 許可されます |
Manage-bde.exe -protector -add |
許可されます | 許可されます | ブロック | 許可されます |
Manage-bde.exe -protector -delete |
許可されます | 許可されます | ブロック | 許可されます |
Manage-bde.exe -autounlock |
許可 (推奨されません) | 許可 (推奨されません) | ブロック | 許可 (推奨されません) |
Manage-bde.exe -upgrade |
許可されます | 許可されます | ブロック | 許可されます |
縮小 | 許可されます | 許可されます | ブロック | 許可されます |
拡張 | 許可されます | 許可されます | ブロック | 許可されます |
注
manage-bde.exe -pause
コマンドはクラスターでブロックされますが、クラスター サービスは MDS ノードから一時停止された暗号化または暗号化解除を自動的に再開します。
変換中に物理ディスク リソースでフェールオーバー イベントが発生する場合、新しい所有ノードは変換が完了していないことを検出し、変換プロセスを完了します。
CSV2.0 で BitLocker を使用する場合のその他の考慮事項
クラスター化ストレージ上の BitLocker に考慮すべきその他の考慮事項には、次のようなものがあります。
- BitLocker ボリュームは、CSV2.0 ボリュームに追加する前に初期化して暗号化を開始する必要があります
- 管理者が CSV ボリュームの暗号化を解除する必要がある場合は、クラスターからボリュームを削除するか、ディスク メンテナンス モードにします。 暗号化解除が完了するのを待っている間に、CSV をクラスターに再度追加できます
- 管理者が CSV ボリュームの暗号化を開始する必要がある場合は、クラスターからボリュームを削除するか、メンテナンス モードにします
- 暗号化が進行中で変換が一時停止され、CSV ボリュームがクラスターからオフラインになっている場合、ボリュームがクラスターにオンラインになっているときに、クラスター スレッド (正常性チェック) が自動的に変換を再開します
- 暗号化が進行中で変換が一時停止され、物理ディスク リソース ボリュームがクラスターからオフラインになっている場合、ボリュームがクラスターにオンラインになると、BitLocker ドライバーは自動的に変換を再開します
- 暗号化が進行中で変換が一時停止され、CSV ボリュームがメンテナンス モードになっている間に、クラスター スレッド (正常性チェック) は、ボリュームをメンテナンスから戻すときに自動的に変換を再開します
- 暗号化が進行中で変換が一時停止されている場合、ディスク リソース ボリュームがメンテナンス モードになっている間、BitLocker ドライバーは、ボリュームがメンテナンス モードから戻ったときに自動的に変換を再開します