培训
认证
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
演示保护 Microsoft 365 部署的数据安全、生命周期管理、信息安全和合规性基础知识。
本文介绍使用 BitLocker 保护群集共享卷 (CSV) 和存储区域网络 (SAN) 的过程。
BitLocker 保护物理磁盘资源和群集共享卷版本 2.0 (CSV2.0) 。 群集卷上的 BitLocker 提供了额外的保护层,可用于保护敏感且高度可用的数据。 管理员使用此额外的保护层来提高资源的安全性。 只有某些用户帐户提供解锁 BitLocker 卷的访问权限。
根据群集服务 如何看待 要保护的卷,在 BitLocker 的帮助下管理群集中的卷。 卷可以是物理磁盘资源,例如 SAN 上的逻辑单元号 (LUN) ,也可以是网络附加存储 (NAS) 。
重要
与 BitLocker 一起使用的 SAN 必须已获得 Windows 硬件认证。 有关详细信息,检查 Windows Hardware Lab Kit。
为群集指定的卷必须执行以下任务:
Windows PowerShell或manage-bde.exe
命令行工具是在 CSV2.0 卷上管理 BitLocker 的首选方法。 建议对 BitLocker 控制面板 项使用此方法,因为 CSV2.0 卷是装入点。 装入点是一个 NTFS 对象,用于向其他卷提供入口点。 装入点不需要使用驱动器号。 缺少驱动器号的卷不会出现在 BitLocker 控制面板 项中。 此外,群集磁盘资源或 CSV2.0 资源所需的基于 Active Directory 的新保护程序选项在 控制面板 项中不可用。
备注
装入点可用于支持基于 SMB 的网络共享上的远程装入点。 BitLocker 加密不支持这种类型的共享。
如果有精简预配的存储(例如动态虚拟硬盘 (VHD) ),则 BitLocker 在 “仅使用磁盘空间” 加密模式下运行。 命令 manage-bde.exe -WipeFreeSpace
不能用于在精简预配的存储卷上将卷转换为全卷加密。 阻止使用 manage-bde.exe -WipeFreeSpace
命令,以避免扩展精简预配卷以占用整个后备存储区,同时擦除未占用的 (可用) 空间。
Active Directory 域服务 (AD DS) 保护程序也可用于保护保存在 AD DS 基础结构中的群集卷。 ADAccountOrGroup 保护程序是 (基于 SID) 的保护程序的域安全标识符,可以绑定到用户帐户、计算机帐户或组。 对受保护的卷发出解锁请求时,会发生以下事件:
BitLocker 服务中断请求,并使用 BitLocker 保护/取消保护 API 解锁或拒绝请求。
BitLocker 将通过按以下顺序尝试保护程序来解锁受保护的卷,而无需用户干预:
清除密钥
基于驱动程序的自动解锁密钥
ADAccountOrGroup 保护程序
a. 服务上下文保护程序
b. 用户保护程序
基于注册表的自动解锁密钥
备注
若要使此功能正常工作,需要Windows Server 2012或更高版本的域控制器。
在将这些磁盘添加到群集存储池之前,BitLocker 加密可用于磁盘。
备注
将磁盘添加到群集存储池后,BitLocker 加密的优势甚至可以用于磁盘。 在将卷添加到群集之前加密卷的优点是,无需暂停磁盘资源来完成操作。 若要在将磁盘添加到群集之前为磁盘打开 BitLocker,请执行以下操作:
安装 BitLocker 驱动器加密功能(如果尚未安装)。
确保磁盘是 NTFS 格式的磁盘,并为其分配了驱动器号。
使用 Windows PowerShell 标识群集的名称。
Get-Cluster
使用群集名称在具有 ADAccountOrGroup 保护程序的卷上启用 BitLocker。 例如,使用如下命令:
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
警告
必须使用群集 CNO 配置 ADAccountOrGroup 保护程序,以便启用 BitLocker 的卷在群集共享卷中共享或在传统故障转移群集中正确进行故障转移。
对群集中的每个磁盘重复上述步骤。
将卷 () 添加到群集。
如果群集服务已拥有磁盘资源,则需要将磁盘资源设置为维护模式,然后才能启用 BitLocker。 若要使用 Windows PowerShell为群集磁盘打开 BitLocker,请执行以下步骤:
安装 BitLocker 驱动器加密功能(如果尚未安装)。
使用 Windows PowerShell 检查群集磁盘的状态。
Get-ClusterResource "Cluster Disk 1"
使用 Windows PowerShell 将物理磁盘资源置于维护模式。
Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource
使用 Windows PowerShell 标识群集的名称。
Get-Cluster
使用群集名称启用具有 ADAccountOrGroup 保护程序的卷的 BitLocker。 例如,使用如下命令:
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
警告
必须使用群集 CNO 配置 ADAccountOrGroup 保护程序,以便启用 BitLocker 的卷在群集共享卷中共享或在传统故障转移群集中正确进行故障转移。
使用 Resume-ClusterResource 将物理磁盘资源从维护模式中收回:
Get-ClusterResource "Cluster Disk 1" | Resume-ClusterResource
对群集中的每个磁盘重复上述步骤。
Manage-bde.exe
还可用于在群集卷上启用 BitLocker。 将物理磁盘资源或 CSV2.0 卷添加到现有群集所需的步骤如下:
验证计算机上是否安装了 BitLocker 驱动器加密功能。
确保新存储的格式设置为 NTFS。
在命令提示符窗口中使用 manage-bde.exe
加密卷、添加恢复密钥并将群集管理员添加为保护程序密钥。 例如:
manage-bde.exe -on -used <drive letter> -RP -sid domain\CNO$ -sync
打开故障转移群集管理器管理单元或群集 PowerShell cmdlet,使磁盘成为群集。
在资源联机操作期间,群集会检查磁盘是否经过 BitLocker 加密。
磁盘在存储池中联机后,可以通过右键单击磁盘资源并选择“添加到群集共享卷”将其添加到 CSV。
CSV 包括加密卷和未加密卷。 若要检查特定卷的状态以便进行 BitLocker 加密,请以具有该卷路径的管理员身份运行 manage-bde.exe -status
命令。 路径必须是 CSV 命名空间内的路径。 例如:
manage-bde.exe -status "C:\ClusterStorage\volume1"
与 CSV2.0 卷不同,物理磁盘资源一次只能由一个群集节点访问。 这种情况意味着加密、解密、锁定或解锁卷等操作需要上下文来执行。 例如,如果物理磁盘资源未管理拥有磁盘资源的群集节点,则物理磁盘资源无法解锁或解密,因为该磁盘资源不可用。
下表包含有关物理磁盘资源 (的信息,即传统故障转移群集卷) 和群集共享卷 (CSV) 以及 BitLocker 在每种情况下允许的操作。
操作 | 在故障转移卷的所有者节点上 | 在元数据服务器上 (CSV 的 MDS) | 在 (数据服务器上) CSV 的 DS | 维护模式 |
---|---|---|---|---|
Manage-bde.exe -on |
阻止 | 阻止 | 阻止 | 允许 |
Manage-bde.exe -off |
阻止 | 阻止 | 阻止 | 允许 |
Manage-bde.exe Pause/Resume |
阻止 | 封锁** | 阻止 | 允许 |
Manage-bde.exe -lock |
阻止 | 阻止 | 阻止 | 允许 |
Manage-bde.exe -wipe |
阻止 | 阻止 | 阻止 | 允许 |
解除锁定 | 通过群集服务自动执行 | 通过群集服务自动执行 | 通过群集服务自动执行 | 允许 |
Manage-bde.exe -protector -add |
允许 | 允许 | 阻止 | 允许 |
Manage-bde.exe -protector -delete |
允许 | 允许 | 阻止 | 允许 |
Manage-bde.exe -autounlock |
不允许 () | 不允许 () | 阻止 | 不允许 () |
Manage-bde.exe -upgrade |
允许 | 允许 | 阻止 | 允许 |
收缩 | 允许 | 允许 | 阻止 | 允许 |
扩展 | 允许 | 允许 | 阻止 | 允许 |
备注
尽管命令 manage-bde.exe -pause
在群集中被阻止,但群集服务会自动从 MDS 节点恢复暂停的加密或解密。
如果物理磁盘资源在转换过程中遇到故障转移事件,则新拥有节点会检测到转换未完成,并完成转换过程。
群集存储上的 BitLocker 需要考虑的其他一些注意事项包括:
培训
认证
Microsoft Certified: Information Protection and Compliance Administrator Associate - Certifications
演示保护 Microsoft 365 部署的数据安全、生命周期管理、信息安全和合规性基础知识。
文档
在 Windows Server 上安装 BitLocker
了解如何在 Windows Server 上安装 BitLocker。
了解 BitLocker 网络解锁的工作原理以及如何配置它。
了解用于配置 BitLocker 的可用选项,以及如何通过配置服务提供程序 (CSP) 或组策略 (GPO) 对其进行配置。