Dela via

Använda BitLocker med klusterdelade volymer (CSV)

  • Artikel

Gäller för: Azure Stack HCI, version 21H2; Windows Server 2022

Översikt över BitLocker

BitLocker-diskkryptering är en dataskyddsfunktion som integreras med operativsystemet och hanterar hot om datastöld eller exponering från förlorade, stulna eller otillräckligt inaktiverade datorer.

BitLocker ger bäst skydd när det används med en TPM (Trusted Platform Module) version 1.2 eller senare. TPM är en maskinvarukomponent som installeras på många nyare datorer av datortillverkare. Det fungerar med BitLocker för att skydda användardata och för att säkerställa att en dator inte har manipulerats när systemet var offline.

På datorer som inte har TPM version 1.2 eller senare kan du fortfarande använda BitLocker för att kryptera Windows-operativsystemets enhet. Den här implementeringen kräver att användaren sätter i en USB-startnyckel för att starta datorn eller aktivera den från viloläge. Från och med Windows 8 kan du använda ett lösenord för operativsystemvolym för att skydda volymen på en dator utan TPM. Inget av alternativen ger den integritetsverifiering före start som erbjuds av BitLocker med en TPM.

Förutom TPM ger BitLocker dig möjlighet att låsa den normala startprocessen tills användaren anger ett personligt ID-nummer (PIN) eller infogar en flyttbar enhet. Den här enheten kan vara ett USB-minne som innehåller en startnyckel. Dessa ytterligare säkerhetsåtgärder ger multifaktorautentisering och försäkrar att datorn inte startar eller återupptas från viloläge förrän rätt PIN-kod eller startnyckel visas.

Översikt över klusterdelade volymer

Klusterdelade volymer (CSV) gör det möjligt för flera noder i ett Windows Server-redundanskluster eller Azure Stack HCI att samtidigt ha läs- och skrivåtkomst till samma logiska enhetsnummer (LUN) eller disk som etableras som en NTFS-volym. Disken kan etableras som ReFS (Resilient File System). CSV-enheten kommer dock att vara i omdirigeringsläge, vilket innebär att skrivåtkomst skickas till koordinatornoden. Med CSV kan klustrade roller redundansväxla snabbt från en nod till en annan utan att kräva en ändring i enhetsägarskapet, eller demontera och montera om en volym. Med CSV förenklas också hanteringen av ett potentiellt stort antal LUN i ett redundanskluster.

CSV tillhandahåller ett allmänt, klustrat filsystem som ligger över NTFS eller ReFS. CSV-programmen innehåller:

  • Klustrade virtuella hårddiskfiler (VHD/VHDX) för klustrade virtuella Hyper-V-datorer
  • Skala ut filresurser för att lagra programdata för den klustrade Scale-Out filserverrollen. Exempel på programdata för den här rollen är virtuella Hyper-V-datorfiler och Microsoft SQL Server-data. ReFS stöds inte för en Scale-Out-filserver i Windows Server 2012 R2 och nedan. Mer information om Scale-Out filserver finns i Skala ut filserver för programdata.
  • Microsoft SQL Server 2014 (eller senare) Redundansklusterinstans (FCI) Microsoft SQL Server klustrad arbetsbelastning i SQL Server 2012 och tidigare versioner av SQL Server stöder inte användning av CSV.
  • Windows Server 2019 eller senare Microsoft Distributed Transaction Control (MSDTC)

Använda BitLocker med klusterdelade volymer

BitLocker på volymer i ett kluster hanteras baserat på hur klustertjänsten "visar" volymen som ska skyddas. Volymen kan vara en fysisk diskresurs, till exempel ett logiskt enhetsnummer (LUN) i ett san-nätverk (Storage Area Network) eller nätverksansluten lagring (NAS).

Alternativt kan volymen vara en klusterdelad volym (CSV) i klustret. När du använder BitLocker med volymer avsedda för ett kluster kan volymen aktiveras med BitLocker innan den läggs till i klustret eller i klustret. Placera resursen i underhållsläge innan du aktiverar BitLocker.

Windows PowerShell eller kommandoradsgränssnittet Manage-BDE är den bästa metoden för att hantera BitLocker på CSV-volymer. Den här metoden rekommenderas över BitLocker-Kontrollpanelen objektet eftersom CSV-volymer är monteringspunkter. Monteringspunkter är ett NTFS-objekt som används för att tillhandahålla en startpunkt för andra volymer. Monteringspunkter kräver inte användning av en enhetsbeteckning. Volymer som saknar enhetsbeteckningar visas inte i BitLocker-Kontrollpanelen objekt.

BitLocker låser upp skyddade volymer utan användaringrepp genom att försöka skydda i följande ordning:

  1. Rensa nyckel

  2. Drivrutinsbaserad nyckel för automatisk upplåsning

  3. ADAccountOrGroup-skydd

    1. Skydd för tjänstkontext

    2. Användarskydd

  4. Registerbaserad nyckel för automatisk upplåsning

Redundanskluster kräver alternativet Active Directory-baserat skydd för klusterdiskresursen. Annars är CSV-resurser inte tillgängliga i det Kontrollpanelen objektet.

Ett Active Directory Domain Services (AD DS) skydd för att skydda klustrade volymer som finns i AD DS-infrastrukturen. ADAccountOrGroup-skyddet är ett SID-baserat skydd (Domain Security Identifier) som kan bindas till ett användarkonto, ett datorkonto eller en grupp. När en upplåsningsbegäran görs för en skyddad volym avbryter BitLocker-tjänsten begäran och använder BitLocker-api:erna för att skydda/ta bort skyddet för att låsa upp eller neka begäran.

Nya funktioner

I tidigare versioner av Windows Server och Azure Stack HCI är det enda krypteringsskydd som stöds det SID-baserade skyddet där kontot som används är CNO (Cluster Name Object) som skapas i Active Directory som en del av skapandet av redundanskluster. Det här är en säker design eftersom skyddet lagras i Active Directory och skyddas av CNO-lösenordet. Dessutom gör det enkelt att etablera och låsa upp volymer eftersom varje nod för redundanskluster har åtkomst till CNO-kontot.

Nackdelen är tredelat:

  • Den här metoden fungerar uppenbarligen inte när ett redundanskluster skapas utan åtkomst till en Active Directory-kontrollant i datacentret.

  • Volymupplåsningen, som en del av redundansväxlingen, kan ta för lång tid (och eventuellt tidsgräns) om Active Directory-kontrollanten inte svarar eller är långsam.

  • Onlineprocessen för enheten misslyckas om en Active Directory-kontrollant inte är tillgänglig.

Nya funktioner har lagts till som redundanskluster genererar och underhåller ett eget BitLocker-nyckelskydd för en volym. Den krypteras och sparas i den lokala klusterdatabasen. Eftersom klusterdatabasen är ett replikerat arkiv som backas upp av systemvolymen på varje klusternod, bör även systemvolymen på varje klusternod vara BitLocker-skyddad. Redundansklustring framtvingar det inte eftersom vissa lösningar kanske inte vill eller behöver kryptera systemvolymen. Om systemenheten inte är Bitlockered flaggar redundansklustret detta som en varningshändelse under online- och upplåsningsprocessen. Validering av redundanskluster loggar ett meddelande om det upptäcker att detta är en Active Directory-mindre eller arbetsgruppskonfiguration och systemvolymen inte är krypterad.

Installera BitLocker-kryptering

BitLocker är en funktion som måste läggas till i alla noder i klustret.

Lägga till BitLocker med hjälp av Serverhanteraren

  1. Öppna Serverhanteraren genom att välja ikonen Serverhanteraren eller köra servermanager.exe.

  2. Välj Hantera i navigeringsfältet Serverhanteraren och välj Lägg till roller och funktioner för att starta guiden Lägg till roller och funktioner.

  3. När guiden Lägg till roller och funktioner är öppen väljer du Nästa i fönstret Innan du börjar (om det visas).

  4. Välj Rollbaserad eller funktionsbaserad installation i fönstret Installationstyp i fönstret Lägg till roller och funktioner och välj Nästa för att fortsätta.

  5. Välj alternativet Välj en server från serverpoolen i fönstret Serverval och bekräfta servern för bitLocker-funktionsinstallationen.

  6. Välj Nästa i fönstret Serverroller i guiden Lägg till roller och funktioner för att gå vidare till fönstret Funktioner .

  7. Markera kryssrutan bredvid BitLocker-enhetskryptering i fönstret Funktioner i guiden Lägg till roller och funktioner . Guiden visar de ytterligare hanteringsfunktioner som är tillgängliga för BitLocker. Om du inte vill installera de här funktionerna avmarkerar du alternativet Inkludera hanteringsverktyg och väljer Lägg till funktioner. När valet av valfria funktioner är klart väljer du Nästa för att fortsätta.

    Anteckning

    Funktionen Utökad lagring är en obligatorisk funktion för att aktivera BitLocker. Den här funktionen ger stöd för krypterade hårddiskar på kompatibla system.

  8. Välj Installera i bekräftelsefönstret i guiden Lägg till roller och funktioner för att påbörja installationen av BitLocker-funktionen. BitLocker-funktionen kräver en omstart för att slutföras. Om du väljer alternativet Starta om målservern automatiskt om det behövs i bekräftelsefönstret framtvingas en omstart av datorn när installationen är klar.

  9. Om kryssrutan Starta om målservern automatiskt om det behövs inte är markerad visas resultatet i guiden Lägg till roller och funktioner om installationen av BitLocker-funktionen lyckades eller misslyckades. Om det behövs visas ett meddelande om ytterligare åtgärder som krävs för att slutföra funktionsinstallationen, till exempel en omstart av datorn, i resultattexten.

Lägga till BitLocker med PowerShell

Använd följande kommando för varje server:

Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools

Om du vill köra kommandot på alla klusterservrar samtidigt använder du följande skript och ändrar listan med variabler i början för att passa din miljö:

Fyll i dessa variabler med dina värden.

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker"

Den här delen kör cmdleten Install-WindowsFeature på alla servrar i $ServerList och skickar listan över funktioner i $FeatureList.

Invoke-Command ($ServerList) {  
    Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools 
}

Starta sedan om alla servrar:

$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos

Flera roller och funktioner kan läggas till samtidigt. Om du till exempel vill lägga till BitLocker, redundansklustring och filserverrollen skulle $FeatureList inkludera alla nödvändiga avgränsade med kommatecken. Exempel:

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker", "Failover-Clustering", "FS-FileServer"

Etablera en krypterad volym

Etablering av en enhet med BitLocker-kryptering kan göras antingen när enheten sedan är en del av redundansklustret eller utanför innan du lägger till den. Om du vill skapa det externa nyckelskyddet automatiskt måste enheten vara en resurs i redundansklustret innan BitLocker aktiveras. Om BitLocker är aktiverat innan du lägger till enheten i redundansklustret måste du utföra ytterligare manuella steg för att skapa det externa nyckelskyddet.

Etablering av krypterade volymer kräver att PowerShell-kommandon körs med administratörsbehörighet. Det finns två alternativ för att kryptera enheterna och få redundanskluster att kunna skapa och använda sina egna BitLocker-nycklar.

  • Intern återställningsnyckel

  • Extern återställningsnyckelfil

Kryptera med en återställningsnyckel

Om du krypterar enheterna med en återställningsnyckel kan en BitLocker-återställningsnyckel skapas och läggas till i klusterdatabasen. När enheten är online behöver den bara konsultera den lokala klusterdatafilen för återställningsnyckeln.

Flytta diskresursen till noden där BitLocker-kryptering ska aktiveras:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1

Placera diskresursen i underhållsläge:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource

En dialogruta visas med följande text:

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume 'Cluster Disk 1'? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Fortsätt genom att trycka på Ja.

Om du vill aktivera BitLocker-kryptering kör du:

Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector

När du har angett kommandot visas en varning som ger ett numeriskt återställningslösenord. Spara lösenordet på en säker plats eftersom det också behövs i ett kommande steg. Varningen ser ut ungefär så här:


WARNING: ACTIONS REQUIRED:

    1. Save this numerical recovery password in a secure location away from your computer:
        
        271733-258533-688985-480293-713394-034012-061963-682044

    To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.

Du kan köra följande kommando för att hämta information om BitLocker-skydd för volymen:

(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector

Detta visar både nyckelskydds-ID:t och återställningslösenordssträngen.

KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :

Nyckelskydds-ID:t och återställningslösenordet behövs och sparas i en ny privat egenskap för fysiska diskar med namnet BitLockerProtectorInfo. Den här nya egenskapen används när resursen kommer från underhållsläget. Skyddets format är en sträng där skydds-ID:t och lösenordet avgränsas med ett ":".

Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create

Kontrollera att nyckeln och värdet bitlockerProtectorInfo har angetts genom att köra kommandot:

Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo

Nu när informationen finns kan disken tas ur underhållsläge när krypteringsprocessen är klar.

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource

Om resursen inte kan komma online kan det vara ett lagringsproblem, ett felaktigt återställningslösenord eller något problem. Kontrollera att BitlockerProtectorInfo-nyckeln har rätt information. Om den inte gör det bör kommandona som tidigare angetts köras igen. Om problemet inte gäller den här nyckeln rekommenderar vi att du hämtar rätt grupp i din organisation eller lagringsleverantören för att lösa problemet.

Om resursen är online är informationen korrekt. Under processen att komma ut ur underhållsläget tas BitlockerProtectorInfo-nyckeln bort och krypteras under resursen i klusterdatabasen.

Kryptera med hjälp av en extern återställningsnyckelfil

Om du krypterar enheterna med en återställningsnyckelfil kan en BitLocker-återställningsnyckel skapas och nås från en plats som alla noder har åtkomst till, till exempel en filserver. När enheten är online ansluter den ägande noden till återställningsnyckeln.

Flytta diskresursen till noden där BitLocker-kryptering ska aktiveras:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2

Placera diskresursen i underhållsläge:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource

En dialogruta visas

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume 'Cluster Disk 2'? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Fortsätt genom att trycka på Ja.

Om du vill aktivera BitLocker-kryptering och skapa nyckelskyddsfilen lokalt kör du följande kommando. Vi rekommenderar att du skapar filen lokalt och sedan flyttar den till en plats som är tillgänglig för alla noder.

Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster

Du kan köra följande kommando för att hämta information om BitLocker-skydd för volymen:

(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector

Detta visar både nyckelskydds-ID och det nyckelfilnamn som skapas.

KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :

När du går till mappen som angavs för att skapa den i visas den inte vid första anblicken. Resonemanget är att det kommer att skapas som en dold fil. Exempel:

C:\Windows\Cluster\>dir f03  

Directory of C:\\Windows\\Cluster 

File Not Found 

C:\Windows\Cluster\>dir /a f03  

Directory of C:\Windows\Cluster 

<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK 

C:\Windows\Cluster\>attrib f03 

A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Eftersom detta skapas på en lokal sökväg måste den kopieras till en nätverkssökväg så att alla noder får åtkomst till den med kommandot Copy-Item .

Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir

Eftersom enheten kommer att använda en fil och finns på en nätverksresurs tar du enheten ur underhållsläge och anger sökvägen till filen. När enheten har slutförts med kryptering är kommandot för att återuppta den:

Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

När enheten har etablerats, *. BEK-filen kan tas bort från resursen och behövs inte längre.

Nya PowerShell-cmdlettar

Med den här nya funktionen har två nya cmdletar skapats för att aktivera resursen eller återuppta resursen manuellt med hjälp av återställningsnyckeln eller återställningsnyckelfilen.

Start-ClusterPhysicalDiskResource

Exempel 1

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Exempel 2

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Resume-ClusterPhysicalDiskResource

Exempel 1

    Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Exempel 2

     Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Nya händelser

Det finns flera nya händelser som har lagts till i händelsekanalen Microsoft-Windows-FailoverClustering/Operational.

När det lyckas skapa nyckelskydds- eller nyckelskyddsfilen skulle händelsen som visas likna:

Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.

Om det uppstår ett fel när nyckelskyddet eller nyckelskyddsfilen skulle skapas skulle händelsen som visas likna:

Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume

Eftersom klusterdatabasen är ett replikerat arkiv som backas upp av systemvolymen på varje klusternod rekommenderar vi att systemvolymen på varje klusternod också är BitLocker-skyddad. Redundansklustring framtvingar det inte eftersom vissa lösningar kanske inte vill eller behöver kryptera systemvolymen. Om systemenheten inte skyddas av BitLocker flaggar redundansklustret detta som en händelse under upplåsningen/onlineprocessen. Händelsen som visas skulle likna:

Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1

Validering av redundanskluster loggar ett meddelande om det upptäcker att detta är en Active Directory-mindre eller arbetsgruppskonfiguration och systemvolymen inte är krypterad.