使用 BitLocker 保護叢集共用磁碟區和儲存區域網路
本文說明使用 BitLocker 保護叢集共用磁碟區 (CSV) 和儲存區域網路 (SAN) 的程式。
BitLocker 會保護實體磁碟資源和叢集共用磁碟區版本 2.0 (CSV2.0) 。 叢集磁碟區上的 BitLocker 提供額外的保護層級,可用來保護敏感性、高可用性的數據。 系統管理員會使用這一層額外的保護來提高資源的安全性。 只有特定用戶帳戶會提供存取權來解除鎖定 BitLocker 磁碟區。
在叢集共用磁碟區上設定 BitLocker
叢集內的磁碟區是在 BitLocker 的協助下,根據叢集服務 如何看到 要保護的磁碟區來管理。 磁碟區可以是實體磁碟資源,例如 SAN 上的邏輯單元編號 (LUN) ,或是 NAS) 的網路連結記憶體 (。
重要
搭配 BitLocker 使用的 SAN 必須已取得 Windows 硬體認證。 如需詳細資訊,請參閱 Windows 硬體實驗室套件。
為叢集指定的磁碟區必須執行下列工作:
- 開啟 BitLocker:只有在完成這項工作之後,磁碟區才能新增至存放集區
- 必須先將資源置於維護模式,BitLocker 作業才會完成。
Windows PowerShell 或manage-bde.exe命令行工具是管理 CSV2.0 磁碟區上 BitLocker 的慣用方法。 建議在 BitLocker 控制台 專案上使用此方法,因為 CSV2.0 磁碟區是裝入點。 裝入點是NTFS物件,可用來提供其他磁碟區的進入點。 載入點不需要使用驅動器號。 缺少驅動器號的磁碟區不會出現在 BitLocker 控制台 專案中。 此外,叢集磁碟資源或 CSV2.0 資源所需的新 Active Directory 型保護裝置選項不適用於 控制台 專案。
注意
裝入點可用來支援SMB型網路共用上的遠端裝入點。 BitLocker 加密不支援這種共享類型。
如果有精簡布建的記憶體,例如動態虛擬硬碟 (VHD) ,BitLocker 會以 僅限使用磁碟空間 加密模式執行。 命令 manage-bde.exe -WipeFreeSpace 無法用來在精簡布建的記憶體磁碟區上將磁碟區轉換為完整磁碟區加密。 命令的 manage-bde.exe -WipeFreeSpace 使用方式會遭到封鎖,以避免擴充精簡布建的磁碟區,以佔用整個備份存儲區,同時抹除未佔用的 (可用) 空間。
Active Directory 型保護裝置
Active Directory 網域服務 (AD DS) 保護裝置也可用來保護保留在 AD DS 基礎結構內的叢集磁碟區。 ADAccountOrGroup 保護裝置是網域安全標識碼, (SID) 型保護裝置,可以系結至使用者帳戶、計算機帳戶或群組。 對受保護的磁碟區提出解除鎖定要求時,會發生下列事件:
BitLocker 服務會中斷要求,並使用 BitLocker 保護/解除保護 API 來解除鎖定或拒絕要求。
BitLocker 會依照下列順序嘗試保護裝置,以解除鎖定受保護的磁碟區,而不需要使用者介入:
清除金鑰
驅動程式型自動解除鎖定金鑰
ADAccountOrGroup 保護裝置
a. 服務內容保護裝置
b. 用戶保護裝置
以登錄為基礎的自動解除鎖定密鑰
注意
需要 Windows Server 2012 或更新版本的域控制器,此功能才能正常運作。
在使用 Windows PowerShell 將磁碟新增至叢集之前開啟 BitLocker
在將這些磁碟新增至叢集存放集區之前,BitLocker 加密適用於磁碟。
注意
BitLocker 加密的優點甚至可在磁碟新增至叢集存放集區之後可供磁碟使用。 將磁碟區新增至叢集之前加密磁碟區的優點是磁碟資源不需要暫停,即可完成作業。 若要在將磁碟新增至叢集之前開啟磁碟的 BitLocker:
如果尚未安裝 BitLocker 磁碟驅動器加密功能,請加以安裝。
請確定磁碟是NTFS格式的磁碟,並已指派驅動器號給它。
使用 Windows PowerShell識別叢集的名稱。
Get-Cluster使用叢集名稱,在具有 ADAccountOrGroup 保護裝置的磁碟區上啟用BitLocker。 例如,使用命令,例如:
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$警告
ADAccountOrGroup 保護裝置必須使用叢集 CNO 來設定,讓已啟用 BitLocker 的磁碟區在叢集共用磁碟區中共用,或在傳統故障轉移叢集中正確故障轉移。
針對叢集中的每個磁碟重複上述步驟。
將磁碟區 (的) 新增至叢集。
使用叢集磁碟開啟 BitLocker Windows PowerShell
當叢集服務已經擁有磁碟資源時,磁碟資源必須設定為維護模式,才能啟用 BitLocker。 若要使用 Windows PowerShell 開啟叢集磁碟的 BitLocker,請執行下列步驟:
如果尚未安裝 BitLocker 磁碟驅動器加密功能,請加以安裝。
使用 Windows PowerShell 檢查叢集磁碟的狀態。
Get-ClusterResource "Cluster Disk 1"使用 Windows PowerShell 將實體磁碟資源置於維護模式。
Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource使用 Windows PowerShell識別叢集的名稱。
Get-Cluster使用叢集名稱,使用 ADAccountOrGroup 保護裝置啟用 BitLocker 磁碟區。 例如,使用命令,例如:
Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$警告
ADAccountOrGroup 保護裝置必須使用叢集 CNO 來設定,才能在叢集共用磁碟區中共用啟用 BitLocker 的磁碟區,或在傳統故障轉移叢集中正確故障轉移。
使用 Resume-ClusterResource 將實體磁碟資源從維護模式中取回:
Get-ClusterResource "Cluster Disk 1" | Resume-ClusterResource針對叢集中的每個磁碟重複上述步驟。
使用 將 BitLocker 加密磁碟區新增至叢集 manage-bde.exe
Manage-bde.exe 也可以用來在叢集磁碟區上啟用 BitLocker。 將實體磁碟資源或 CSV2.0 磁碟區新增至現有叢集所需的步驟如下:
確認電腦上已安裝 BitLocker 磁碟驅動器加密功能。
確定新的記憶體已格式化為NTFS。
在命令提示字元視窗中使用
manage-bde.exe來加密磁碟區、新增修復金鑰,並將叢集系統管理員新增為保護裝置密鑰。 例如:manage-bde.exe -on -used <drive letter> -RP -sid domain\CNO$ -sync- BitLocker 會檢查磁碟是否已是叢集的一部分。 如果是,系統管理員將會遇到硬性區塊。 否則,加密會繼續進行。
- 使用 -sync 參數是選擇性的。 不過,使用 -sync 參數的優點是確保命令會等到磁碟區的加密完成為止。 然後會發行磁碟區以在叢集存放集區中使用。
開啟故障轉移叢集管理員嵌入式管理單元或叢集 PowerShell Cmdlet,以啟用叢集磁碟。
- 一旦磁碟叢集化,即會針對 CSV 啟用它。
在資源連線作業期間,叢集會檢查磁碟是否已加密 BitLocker。
- 如果磁碟區未啟用 BitLocker,就會發生傳統的叢集連線作業。
- 如果磁碟區已啟用 BitLocker,BitLocker 會檢查磁碟區是否 已鎖定。 如果磁碟區 已鎖定,BitLocker 會模擬 CNO,並使用 CNO 保護裝置解除鎖定磁碟區。 如果 BitLocker 的這些動作失敗,則會記錄事件。 記錄的事件會指出磁碟區無法解除鎖定,且在線作業失敗。
一旦磁碟在存放集區中上線,即可以滑鼠右鍵按兩下磁碟資源,然後選擇 [新增至叢集共用磁碟區],將其新增至 CSV。
CSV 同時包含加密和未加密的磁碟區。 若要檢查 BitLocker 加密 manage-bde.exe -status 的特定磁碟區狀態,請以具有磁碟區路徑的系統管理員身分執行命令。 路徑必須是 CSV 命名空間內的路徑。 例如:
manage-bde.exe -status "C:\ClusterStorage\volume1"
實體磁碟資源
不同於 CSV2.0 磁碟區,實體磁碟資源一次只能由一個叢集節點存取。 此條件表示加密、解密、鎖定或解除鎖定磁碟區等作業需要執行內容。 例如,如果實體磁碟資源未管理擁有磁碟資源的叢集節點,則無法解除鎖定或解密,因為磁碟資源無法使用。
叢集磁碟區對 BitLocker 動作的限制
下表包含實體磁碟資源 (的相關信息,也就是傳統故障轉移叢集磁碟區) 和叢集共用磁碟區 (CSV) ,以及 BitLocker 在每個情況下允許的動作。
| 動作 | 在故障轉移磁碟區的擁有者節點上 | 在元數據伺服器上 (CSV 的 MDS) | 在 (數據伺服器上) CSV 的 DS | 維護模式 |
|---|---|---|---|---|
Manage-bde.exe -on |
封鎖 | 封鎖 | 封鎖 | 允許 |
Manage-bde.exe -off |
封鎖 | 封鎖 | 封鎖 | 允許 |
Manage-bde.exe Pause/Resume |
封鎖 | 封鎖** | 封鎖 | 允許 |
Manage-bde.exe -lock |
封鎖 | 封鎖 | 封鎖 | 允許 |
Manage-bde.exe -wipe |
封鎖 | 封鎖 | 封鎖 | 允許 |
| 解除鎖定 | 透過叢集服務自動 | 透過叢集服務自動 | 透過叢集服務自動 | 允許 |
Manage-bde.exe -protector -add |
允許 | 允許 | 封鎖 | 允許 |
Manage-bde.exe -protector -delete |
允許 | 允許 | 封鎖 | 允許 |
Manage-bde.exe -autounlock |
不建議 (允許) | 不建議 (允許) | 封鎖 | 不建議 (允許) |
Manage-bde.exe -upgrade |
允許 | 允許 | 封鎖 | 允許 |
| 收縮 | 允許 | 允許 | 封鎖 | 允許 |
| 擴充 | 允許 | 允許 | 封鎖 | 允許 |
注意
manage-bde.exe -pause雖然命令在叢集中遭到封鎖,但叢集服務會自動從 MDS 節點繼續暫停的加密或解密。
在實體磁碟資源在轉換期間發生故障轉移事件的情況下,新的擁有節點會偵測到轉換未完成,並完成轉換程式。
在 CSV2.0 上使用 BitLocker 時的其他考慮
在叢集記憶體上考慮 BitLocker 的一些其他考慮包括:
- BitLocker 磁碟區必須先初始化並開始加密,才能新增至 CSV2.0 磁碟區
- 如果系統管理員需要解密 CSV 磁碟區,請從叢集中移除磁碟區,或將它放入磁碟維護模式。 在等候解密完成時,可以將 CSV 新增至叢集
- 如果系統管理員需要開始加密 CSV 磁碟區,請從叢集中移除磁碟區,或將它置於維護模式
- 如果在加密進行中暫停轉換,且 CSV 磁碟區從叢集離線,叢集線程 (健康情況檢查) 會在磁碟區連線到叢集時自動繼續轉換
- 如果在進行加密時暫停轉換,且實體磁碟資源磁碟區從叢集脫機,BitLocker 驅動程式會在磁碟區連線到叢集時自動繼續轉換
- 如果在進行加密時暫停轉換,而 CSV 磁碟區處於維護模式,叢集線程 (健康情況檢查) 會在從維護中將磁碟區移回時自動繼續轉換
- 如果在進行加密時暫停轉換,而磁碟資源磁碟區處於維護模式,BitLocker 驅動程式會在磁碟區從維護模式移回時自動繼續轉換
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應