Aracılığıyla paylaş

Küme Paylaşılan Birimleri (CSV) ile BitLocker kullanma

  • Makale

Şunlar için geçerlidir: Azure Stack HCI, sürüm 21H2; Windows Server 2022

BitLocker'a genel bakış

BitLocker Sürücü Şifrelemesi, işletim sistemiyle tümleşen ve kayıp, çalınmış veya yetersiz kullanımdan kaldırılmış bilgisayarlardan veri hırsızlığı veya açığa çıkarma tehditlerini ele alan bir veri koruma özelliğidir.

BitLocker en etkili korumayı Güvenilir Platform Modülü (TPM) 1.2 veya sonraki sürümleriyle birlikte kullanıldığında sağlar. TPM, bilgisayar üreticileri tarafından daha yeni birçok bilgisayara yüklenen bir donanım bileşenidir. Kullanıcı verilerini korumaya yardımcı olmak ve sistem çevrimdışıyken bilgisayarın kurcalanmadığından emin olmak için BitLocker ile birlikte çalışır.

TPM sürüm 1.2 veya üzeri olmayan bilgisayarlarda, Windows işletim sistemi sürücüsünü şifrelemek için BitLocker'ı kullanmaya devam edebilirsiniz. Ancak bu uygulama için kullanıcının bilgisayar başlatılırken veya hazırda bekleme modundan sürdürülürken bir USB başlangıç anahtarı takması gerekir. Windows 8'den başlayarak, TPM olmayan bir bilgisayardaki birimi korumak için bir işletim sistemi birim parolası kullanabilirsiniz. Her iki seçenek de BitLocker tarafından tpm ile sunulan başlatma öncesi sistem bütünlüğü doğrulamasını sağlamaz.

Tpm'ye ek olarak, BitLocker size kullanıcı kişisel kimlik numarası (PIN) sağlayana veya çıkarılabilir bir cihaz takana kadar normal başlangıç işlemini kilitleme seçeneği sunar. Bu cihaz, başlangıç anahtarı içeren bir USB flash sürücü olabilir. Bu ek güvenlik önlemleri, çok faktörlü kimlik doğrulaması ve doğru PIN veya başlangıç anahtarı sunulana kadar bilgisayarın hazırda bekleme modundan başlamayacağına veya devam etmeyeceğine dair güvence sağlar.

Küme Paylaşılan Birimlerine genel bakış

Küme Paylaşılan Birimleri (CSV), bir Windows Server yük devretme kümesinde veya Azure Stack HCI'de birden çok düğümün aynı anda NTFS birimi olarak sağlanan aynı mantıksal birim numarasına (LUN) veya diske okuma-yazma erişimine sahip olmasını sağlar. Disk Dayanıklı Dosya Sistemi (ReFS) olarak sağlanabilir. Ancak CSV sürücüsü yeniden yönlendirilmiş modda olacak ve bu da yazma erişiminin koordinatör düğümüne gönderileceği anlamına gelir. CSV ile kümelenmiş roller, sürücü sahipliğinde değişiklik gerektirmeden veya birimi çıkarıp yeniden bağlamadan bir düğümden diğerine hızlı bir şekilde yük devredebilir. Ayrıca, CSV bir yük devretme kümesindeki olası çok sayıdaki LUN'un yönetimini basitleştirmeye yardımcı olur.

CSV, NTFS veya ReFS'nin üzerinde katmanlanmış genel amaçlı, kümelenmiş bir dosya sistemi sağlar. CSV uygulamaları şunları içerir:

  • Kümelenmiş Hyper-V sanal makineleri için kümelenmiş sanal sabit disk (VHD/VHDX) dosyaları
  • Scale-Out Dosya Sunucusu kümelenmiş rolü için uygulama verilerini depolamak için dosya paylaşımlarının ölçeğini genişletme. Bu rol için uygulama verilerinin örnekleri, Hyper-V sanal makine dosyaları ve Microsoft SQL Server verilerini içerir. ReFS, Windows Server 2012 R2 ve altındaki bir Scale-Out Dosya Sunucusu için desteklenmez. Scale-Out Dosya Sunucusu hakkında daha fazla bilgi için bkz. Uygulama Verileri için Genişleme Dosya Sunucusu.
  • Microsoft SQL Server 2014 (veya üzeri) Yük Devretme Kümesi Örneği (FCI) microsoft SQL Server SQL Server 2012 ve önceki SQL Server sürümlerinde kümelenmiş iş yükü CSV kullanımını desteklemez.
  • Windows Server 2019 veya üzeri Microsoft Dağıtılmış İşlem Denetimi (MSDTC)

Küme Paylaşılan Birimleri ile BitLocker kullanma

Küme içindeki birimlerde BitLocker, küme hizmetinin korunacak birimi "görüntüleme" yöntemine göre yönetilir. Birim, depolama alanı ağı (SAN) veya ağa bağlı depolama (NAS) üzerindeki mantıksal birim numarası (LUN) gibi bir fiziksel disk kaynağı olabilir.

Alternatif olarak, birim küme içindeki bir Küme Paylaşılan Birimi (CSV) olabilir. BitLocker'ı bir küme için belirlenmiş birimlerle kullanırken, birim kümeye eklemeden önce veya kümenin içindeyken BitLocker ile etkinleştirilebilir. BitLocker'ı etkinleştirmeden önce kaynağı bakım moduna alın.

csv birimlerinde BitLocker'ı yönetmek için tercih edilen yöntem Windows PowerShell veya Manage-BDE komut satırı arabirimidir. CSV birimleri bağlama noktaları olduğundan bu yöntem BitLocker Denetim Masası öğesi üzerinde önerilir. Bağlama noktaları, diğer birimlere giriş noktası sağlamak için kullanılan bir NTFS nesnesidir. Bağlama noktaları için sürücü harfi kullanılması gerekmez. Sürücü harfleri olmayan birimler BitLocker Denetim Masası öğesinde görünmez.

BitLocker, koruyucuları aşağıdaki sırayla deneyerek kullanıcı müdahalesi olmadan korumalı birimlerin kilidini açar:

  1. Anahtarı Temizle

  2. Sürücü tabanlı otomatik kilit açma anahtarı

  3. ADAccountOrGroup koruyucusu

    1. Hizmet bağlam koruyucusu

    2. Kullanıcı koruyucusu

  4. Kayıt defteri tabanlı otomatik kilit açma anahtarı

Yük Devretme Kümesi, küme disk kaynağı için Active Directory tabanlı koruyucu seçeneği gerektirir. Aksi takdirde CSV kaynakları Denetim Masası öğesinde kullanılamaz.

AD DS altyapınızda tutulan kümelenmiş birimleri korumaya yönelik bir Active Directory Domain Services (AD DS) koruyucusu. ADAccountOrGroup koruyucusu, bir kullanıcı hesabına, makine hesabına veya gruba bağlanabilen etki alanı güvenlik tanımlayıcısı (SID) tabanlı bir koruyucudur. Korumalı bir birim için kilit açma isteği yapıldığında, BitLocker hizmeti isteği keser ve isteğin kilidini açmak veya reddetmek için BitLocker korumasını/korumasını kaldırma API'lerini kullanır.

Yeni işlevsellik

Windows Server ve Azure Stack HCI'nin önceki sürümlerinde desteklenen tek şifreleme koruyucusu, kullanılan hesabın Yük Devretme Kümelemesi oluşturma işleminin bir parçası olarak Active Directory'de oluşturulan Küme Adı Nesnesi (CNO) olduğu SID tabanlı koruyucudur. Koruyucu Active Directory'de depolandığından ve CNO parolası tarafından korunduğundan bu güvenli bir tasarımdır. Ayrıca, her Yük Devretme Kümesi düğümlerinin CNO hesabına erişimi olduğundan birimlerin sağlanmasını ve kilidinin açılmasını kolaylaştırır.

Dezavantajı üç kattır:

  • Bu yöntem, veri merkezinde bir Active Directory denetleyicisine erişim olmadan bir Yük Devretme Kümesi oluşturulduğunda açıkça çalışmaz.

  • Active Directory denetleyicisi yanıt vermiyorsa veya yavaşsa yük devretmenin bir parçası olarak birim kilidinin açılması çok uzun sürebilir (ve muhtemelen zaman aşımına uğrabilir).

  • Bir Active Directory denetleyicisi yoksa, sürücünün çevrimiçi işlemi başarısız olur.

Yük Devretme Kümelemesi'nin bir birim için kendi BitLocker Anahtar koruyucusunu oluşturup koruyacağı yeni işlevler eklendi. Şifrelenir ve yerel küme veritabanına kaydedilir. Küme veritabanı, her küme düğümündeki sistem birimi tarafından yedeklenen çoğaltılmış bir depo olduğundan, her küme düğümündeki sistem birimi de BitLocker korumalı olmalıdır. Bazı çözümler sistem birimini şifrelemek istemeyebileceği veya şifrelemesi gerekmeyebileceği için Yük Devretme Kümelemesi bunu zorlamaz. Sistem sürücüsü Bitlocker'lı değilse, Yük Devretme Kümesi bunu çevrimiçi ve kilit açma işlemi sırasında bir uyarı olayı olarak işaretler. Yük Devretme Kümesi doğrulaması, bunun Active Directory'siz veya çalışma grubu kurulumu olduğunu algılarsa ve sistem birimi şifrelenmemişse bir iletiyi günlüğe kaydeder.

BitLocker şifrelemesini yükleme

BitLocker, Kümenin tüm düğümlerine eklenmesi gereken bir özelliktir.

Sunucu Yöneticisi’ni kullanarak BitLocker ekleme

  1. Sunucu Yöneticisi simgesini seçerek veya servermanager.exe çalıştırarak Sunucu Yöneticisi açın.

  2. Sunucu Yöneticisi Gezinti çubuğunda Yönet'i seçin ve Rol ve Özellik Ekle'yi seçerek Rol ve Özellik Ekleme Sihirbazı'nı başlatın.

  3. Rol ve Özellik Ekleme Sihirbazı açıkken Başlamadan önce bölmesinde İleri'yi seçin (gösteriliyorsa).

  4. Rol ve Özellik Ekleme Sihirbazı bölmesinin Yükleme türü bölmesinde Rol tabanlı veya özellik tabanlı yükleme'yi seçin ve devam etmek için İleri'yi seçin.

  5. Sunucu Seçimi bölmesinde Sunucu havuzundan bir sunucu seçin seçeneğini belirleyin ve BitLocker özellik yüklemesi için sunucuyu onaylayın.

  6. Özellikler bölmesine geçmek için Rol ve Özellik Ekle sihirbazının Sunucu Rolleri bölmesinde İleri'yi seçin.

  7. Rol ve Özellik Ekle sihirbazının Özellikler bölmesinde BitLocker Sürücü Şifrelemesi'nin yanındaki onay kutusunu seçin. Sihirbaz, BitLocker için kullanılabilen ek yönetim özelliklerini gösterecektir. Bu özellikleri yüklemek istemiyorsanız, Yönetim araçlarını ekle seçeneğinin seçimini kaldırın ve Özellik Ekle'yi seçin. İsteğe bağlı özellikler seçimi tamamlandıktan sonra devam etmek için İleri'yi seçin.

    Not

    Gelişmiş Depolama özelliği, BitLocker'ın etkinleştirilmesi için gerekli bir özelliktir. Bu özellik, uyumlu sistemlerde Şifrelenmiş Sabit Sürücüler için destek sağlar.

  8. BitLocker özellik yüklemesini başlatmak için Rol ve Özellik Ekleme Sihirbazı'nınOnay bölmesinde Yükle'yi seçin. BitLocker özelliği, tamamlanmak için yeniden başlatmayı gerektirir. Onay bölmesinde Gerekirse hedef sunucuyu otomatik olarak yeniden başlat seçeneğinin belirtilmesi, yükleme tamamlandıktan sonra bilgisayarın yeniden başlatılmasını zorlar.

  9. Gerekirse hedef sunucuyu otomatik olarak yeniden başlat onay kutusu seçili değilse, Rol ve Özellik Ekleme Sihirbazı'nınSonuçlar bölmesi BitLocker özellik yüklemesinin başarısını veya başarısızlığını görüntüler. Gerekirse, özellik yüklemesini tamamlamak için bilgisayarın yeniden başlatılması gibi gereken ek eylem bildirimi sonuç metninde görüntülenir.

PowerShell kullanarak BitLocker ekleme

Her sunucu için aşağıdaki komutu kullanın:

Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools

Komutu tüm küme sunucularında aynı anda çalıştırmak için, aşağıdaki betiği kullanarak başlangıçtaki değişkenlerin listesini ortamınıza uyacak şekilde değiştirin:

Bu değişkenleri değerlerinizle doldurun.

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker"

Bu bölüm, $ServerList'deki tüm sunucularda Install-WindowsFeature cmdlet'ini çalıştırır ve $FeatureList özelliklerin listesini geçirir.

Invoke-Command ($ServerList) {  
    Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools 
}

Daha sonra, tüm sunucuları yeniden başlatın:

$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos

Aynı anda birden çok rol ve özellik eklenebilir. Örneğin, BitLocker, Yük Devretme Kümelemesi ve Dosya Sunucusu rolünü eklemek için, $FeatureList virgülle ayrılmış olarak gerekli olan her şeyi içerir. Örnek:

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker", "Failover-Clustering", "FS-FileServer"

Şifrelenmiş birim sağlama

BitLocker şifrelemesi ile sürücü sağlama işlemi, sürücü yük devretme kümesinin bir parçası olduğunda veya eklemeden önce dışarıda yapılabilir. Dış Anahtar Koruyucusu'nı otomatik olarak oluşturmak için, BitLocker'ı etkinleştirmeden önce sürücünün Yük Devretme Kümesinde bir kaynak olması gerekir. Sürücüyü Yük Devretme Kümesine eklemeden önce BitLocker etkinleştirildiyse, Dış Anahtar Koruyucusu oluşturmak için el ile ek adımlar gerçekleştirilmelidir.

Şifrelenmiş birimlerin sağlanması için PowerShell komutlarının yönetici ayrıcalıklarıyla çalıştırılması gerekir. Sürücüleri şifrelemek için iki seçenek vardır ve Yük Devretme Kümelemesi kendi BitLocker anahtarlarını oluşturup kullanabilir.

  • İç kurtarma anahtarı

  • Dış kurtarma anahtarı dosyası

Kurtarma anahtarı kullanarak şifreleme

Kurtarma anahtarı kullanarak sürücüleri şifrelemek, BitLocker kurtarma anahtarının oluşturulmasına ve Küme veritabanına eklenmesine olanak sağlar. Sürücü çevrimiçi olurken kurtarma anahtarı için yalnızca yerel küme kovanına başvurması gerekir.

Disk kaynağını BitLocker şifrelemesinin etkinleştirileceği düğüme taşıyın:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1

Disk kaynağını Bakım Moduna alın:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource

Şunu belirten bir iletişim kutusu açılır:

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume 'Cluster Disk 1'? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Devam etmek için Evet'e basın.

BitLocker şifrelemesini etkinleştirmek için şunu çalıştırın:

Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector

Komutu girdikten sonra, sayısal bir kurtarma parolası sağlayan bir uyarı gösterilir. Parolayı güvenli bir konuma kaydedin çünkü önümüzdeki bir adımda da gerekli olacaktır. Uyarı şuna benzer olacaktır:


WARNING: ACTIONS REQUIRED:

    1. Save this numerical recovery password in a secure location away from your computer:
        
        271733-258533-688985-480293-713394-034012-061963-682044

    To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.

Birimin BitLocker koruyucu bilgilerini almak için aşağıdaki komut çalıştırılabilir:

(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector

Bu, hem anahtar koruyucu kimliğini hem de kurtarma parolası dizesini görüntüler.

KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :

Anahtar koruyucu kimliği ve kurtarma parolası gerekir ve BitLockerProtectorInfo adlı yeni bir fiziksel disk özel özelliğine kaydedilir. Bu yeni özellik, kaynak Bakım Modundan çıktığında kullanılır. Koruyucunun biçimi, koruyucu kimliğinin ve parolanın ":" ile ayrıldığı bir dize olacaktır.

Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create

BitlockerProtectorInfo anahtarının ve değerinin ayarlandığını doğrulamak için komutunu çalıştırın:

Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo

Bilgiler mevcut olduğuna göre, şifreleme işlemi tamamlandıktan sonra disk bakım modundan çıkarılabilir.

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource

Kaynak çevrimiçi olmazsa, bu bir depolama sorunu, yanlış bir kurtarma parolası veya bir sorun olabilir. BitlockerProtectorInfo anahtarının doğru bilgilere sahip olduğunu doğrulayın. Aksi takdirde, daha önce verilen komutlar yeniden çalıştırılmalıdır. Sorun bu anahtarla ilgili değilse, sorunu çözmek için kuruluşunuzdaki veya depolama satıcısındaki uygun grupla birlikte kullanmanızı öneririz.

Kaynak çevrimiçi olursa bilgiler doğru olur. Bakım modundan çıkma işlemi sırasında BitlockerProtectorInfo anahtarı kaldırılır ve küme veritabanındaki kaynak altında şifrelenir.

Dış Kurtarma Anahtarı dosyası kullanarak şifreleme

Sürücülerin kurtarma anahtarı dosyası kullanılarak şifrelenmesi, bir BitLocker kurtarma anahtarının oluşturulmasına ve dosya sunucusu gibi tüm düğümlerin erişimi olan bir konumdan erişilmesine olanak sağlar. Sürücü çevrimiçi olurken, sahip olan düğüm kurtarma anahtarına bağlanır.

Disk kaynağını BitLocker şifrelemesinin etkinleştirileceği düğüme taşıyın:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2

Disk kaynağını Bakım Moduna alın:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource

Bir iletişim kutusu açılır

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume 'Cluster Disk 2'? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Devam etmek için Evet'e basın.

BitLocker şifrelemesini etkinleştirmek ve anahtar koruyucu dosyasını yerel olarak oluşturmak için aşağıdaki komutu çalıştırın. Dosyayı önce yerel olarak oluşturup ardından tüm düğümlerin erişebileceği bir konuma taşımanızı öneririz.

Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster

Birimin BitLocker koruyucu bilgilerini almak için aşağıdaki komut çalıştırılabilir:

(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector

Bu, hem anahtar koruyucu kimliğini hem de oluşturduğu anahtar dosya adını görüntüler.

KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :

içinde oluşturulurken belirtilen klasöre gittiğinizde ilk bakışta görmezsiniz. Bunun nedeni, gizli bir dosya olarak oluşturulmasıdır. Örnek:

C:\Windows\Cluster\>dir f03  

Directory of C:\\Windows\\Cluster 

File Not Found 

C:\Windows\Cluster\>dir /a f03  

Directory of C:\Windows\Cluster 

<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK 

C:\Windows\Cluster\>attrib f03 

A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Bu yerel bir yolda oluşturulduğundan, tüm düğümlerin Copy-Item komutunu kullanarak buna erişebilmesi için ağ yoluna kopyalanması gerekir.

Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir

Sürücü bir dosya kullanacak ve bir ağ paylaşımında bulunduğundan, dosyanın yolunu belirterek sürücüyü bakım modundan çıkarabilirsiniz. Sürücü şifrelemeyi tamamladıktan sonra devam ettirilecek komut şu şekilde olacaktır:

Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Sürücü sağlandıktan sonra *. BEK dosyası paylaşımdan kaldırılabilir ve artık gerekli değildir.

Yeni PowerShell cmdlet'leri

Bu yeni özellik ile, kurtarma anahtarını veya kurtarma anahtarı dosyasını kullanarak kaynağı çevrimiçi duruma getirmek veya kaynağı el ile devam ettirmek için iki yeni cmdlet oluşturulmuştur.

Start-ClusterPhysicalDiskResource

1. Örnek

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Örnek 2

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Resume-ClusterPhysicalDiskResource

1. Örnek

    Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Örnek 2

     Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Yeni olaylar

Microsoft-Windows-FailoverClustering/Operasyonel olay kanalına eklenen birkaç yeni olay vardır.

Anahtar koruyucusu veya anahtar koruyucu dosyası oluşturma işlemi başarılı olduğunda gösterilen olay şuna benzer olacaktır:

Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.

Anahtar koruyucusu veya anahtar koruyucu dosyası oluşturulurken hata olursa gösterilen olay şuna benzer olacaktır:

Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume

Daha önce belirtildiği gibi, küme veritabanı her küme düğümünde sistem birimi tarafından yedeklenen çoğaltılmış bir depo olduğundan, her küme düğümündeki sistem biriminin de BitLocker korumalı olması önerilir. Bazı çözümler sistem birimini şifrelemek istemeyebileceği veya şifrelemesi gerekmeyebileceği için Yük Devretme Kümelemesi bunu zorlamaz. Sistem sürücüsünün güvenliği BitLocker tarafından sağlanmazsa, Yük Devretme Kümesi kilit açma/çevrimiçi işlem sırasında bunu bir olay olarak işaretler. Gösterilen olay şuna benzer olacaktır:

Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1

Yük Devretme Kümesi doğrulaması, bunun Active Directory'siz veya çalışma grubu kurulumu olduğunu algılarsa ve sistem birimi şifrelenmemişse bir iletiyi günlüğe kaydeder.