Použijte BitLocker se sdílenými svazky clusteru (CSV)

• Platí pro:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

Přehled nástroje BitLocker

BitLocker Drive Encryption je funkce ochrany dat, která se integruje s operačním systémem a řeší hrozby krádeže nebo vystavení dat ztraceným, odcizeným nebo nedostatečně vyřazeným počítačům.

BitLocker poskytuje největší ochranu při použití s čipem TPM (Trusted Platform Module) verze 1.2 nebo novější. Čip TPM je hardwarová komponenta nainstalovaná v mnoha novějších počítačích výrobci počítačů. Funguje s BitLockerem, který pomáhá chránit uživatelská data a zajistit, aby počítač nebyl manipulován, když byl systém offline.

Na počítačích, které nemají čip TPM verze 1.2 nebo novější, můžete bitLocker použít k šifrování jednotky operačního systému Windows. Tato implementace však vyžaduje, aby uživatel vložil spouštěcí klíč USB, aby spustil počítač nebo pokračoval v režimu hibernace. Počínaje Systémem Windows 8 můžete použít heslo svazku operačního systému k ochraně svazku na počítači bez čipu TPM. Ani jedna z možností neposkytuje ověření integrity systému před spuštěním, které nabízí BitLocker s čipem TPM.

Kromě čipu TPM nabízí BitLocker možnost uzamknout normální spouštěcí proces, dokud uživatel nezadá osobní identifikační číslo (PIN) nebo vloží vyměnitelné zařízení. Toto zařízení může být USB flash disk, který obsahuje spouštěcí klíč. Tato další bezpečnostní opatření poskytují vícefaktorové ověřování a záruku, že se počítač nespustí nebo obnoví z hibernace, dokud se nezobrazí správný KÓD PIN nebo spouštěcí klíč.

Přehled sdílených svazků clusteru

Sdílené svazky clusteru (CSV) umožňují více uzlům v clusteru s podporou převzetí služeb při selhání systému Windows Server nebo azure Local, aby současně měly přístup pro čtení i zápis ke stejnému logickému číslu (LUN) nebo disku, který je zřízený jako svazek NTFS. Disk je možné zřídit jako odolný systém souborů (ReFS). Disk CSV je ale v režimu přesměrování, což znamená, že přístup k zápisu je směřován do koordinačního uzlu. S CSV můžou clusterové role rychle selhat z jednoho uzlu do druhého, aniž by bylo nutné změnit vlastnictví jednotky nebo odpojit a znovu připojit svazek. CSV (Sdílené svazky clusteru) také pomáhají zjednodušit správu potenciálně velkého počtu logických jednotek v clusteru pro převzetí služeb při selhání.

Clustered Shared Volume poskytuje obecný systém souborů, který je vrstven nad systémy souborů NTFS nebo ReFS. Mezi aplikace CSV patří:

• Soubory clusterovaného virtuálního pevného disku (VHD/VHDX) pro clusterované Hyper-V virtuální počítače
• Škálujte sdílené složky tak, aby mohly ukládat data aplikací pro clusterovanou roli souborového serveru Scale-Out. Mezi příklady aplikačních dat pro tuto roli patří Hyper-V soubory virtuálních počítačů a data Microsoft SQL Serveru. Odolný systém souborů (ReFS) není podporován pro souborový server Scale-Out ve Windows Serveru 2012 R2 a dřívějších verzích. Další informace o souborovém serveru Scale-Out naleznete v tématu Scale-Out souborový server pro aplikační data.
• Převzetí služeb při selhání (FCI) pro Microsoft SQL Server 2014 (nebo vyšší) nefunguje s využitím sdíleného svazku clusteru (CSV). Clusterová úloha Microsoft SQL Serveru v SQL Serveru 2012 a starších verzích nepodporuje použití CSV.
• Windows Server 2019 nebo vyšší Microsoft Distributed Transaction Control (MSDTC)

Použití BitLockeru se sdílenými svazky clusteru

BitLocker na svazcích v clusteru se spravuje podle toho, jak služba clusteru nahlíží na svazek, který má být chráněn. Svazek může být fyzický diskový prostředek, jako například logická jednotka (LUN) v síti pro ukládání dat (Storage Area Network, SAN) nebo síťově připojené úložiště (NAS).

Svazek může být alternativně sdíleným svazkem clusteru (CSV) v rámci clusteru. Pokud používáte BitLocker se svazky určenými pro cluster, můžete svazky povolit pomocí BitLockeru před přidáním do clusteru nebo když jsou ve clusteru. Před povolením nástroje BitLocker umístěte prostředek do režimu údržby.

Windows PowerShell nebo Manage-BDE rozhraní příkazového řádku je upřednostňovanou metodou správy BitLockeru na svazcích CSV. Tato metoda se doporučuje u položky ovládacího panelu BitLockeru, protože svazky CSV jsou přípojné body. Přípojné body jsou objekt NTFS, který slouží k poskytnutí vstupního bodu jiným svazkům. Přípojné body nevyžadují použití písmene jednotky. Svazky, které nemají písmena jednotky, se v položce Ovládacích panelů BitLockeru nezobrazují.

BitLocker odemkne chráněné svazky bez zásahu uživatele pokusem o ochranu v následujícím pořadí:

1. Vymazat klíč

2. Klíč pro automatické odemykání řízený ovladačem

3. ochrana ADAccountOrGroup

   1. Ochrana kontextu služby

   2. Ochrana uživatele

4. Klíč automatického odemknutí na základě registru

Cluster s podporou převzetí služeb při selhání vyžaduje pro prostředek disku clusteru ochranu založenou na Active Directory. V opačném případě nejsou prostředky CSV v položce Ovládacího panelu k dispozici.

Chránicí prvek služby Active Directory Domain Services (AD DS) pro ochranu clusterovaných svazků v rámci vaší infrastruktury AD DS. Ochrana ADAccountOrGroup je ochrana založená na identifikátoru zabezpečení domény (SID), který lze svázat s uživatelským účtem, účtem počítače nebo skupinou. Když se vytvoří žádost o odemknutí chráněného svazku, služba BitLocker tuto žádost zachytí a použije rozhraní API BitLocker pro odemknutí nebo zamítnutí požadavku.

Nové funkce

V předchozích verzích Windows Serveru a Azure Local je jediným podporovaným chránícím šifrováním ochrana založená na identifikátoru SID, kde je použitý účet objektem CNO (Cluster Name Object), který se vytvoří ve službě Active Directory jako součást vytváření clusterování s podporou převzetí služeb při selhání. Jedná se o zabezpečený návrh, protože ochrana je uložená ve službě Active Directory a chráněná heslem CNO. Také usnadňuje zřizování a odemykání svazků, protože každý uzel failover clusteru má přístup k účtu CNO.

Nevýhoda je trojnásobná:

1. Tato metoda samozřejmě nefunguje, když se cluster s podporou převzetí služeb při selhání vytvoří bez přístupu k řadiči služby Active Directory v datacentru.

2. Odemknutí svazku v rámci převzetí služeb při selhání může trvat příliš dlouho (a možná vyprší časový limit), pokud řadič Active Directory nereaguje nebo je pomalý.

3. Online proces disku selže, pokud není dostupný řadič Active Directory.

Byla přidána nová funkce, že clusterování pro převzetí služeb při selhání generuje a udržuje vlastní ochranu klíčem BitLockeru pro svazek. Zašifruje se a uloží do místní databáze clusteru. Vzhledem k tomu, že databáze clusteru je replikované úložiště zálohované systémovým svazkem na každém uzlu clusteru, měl by být systémový svazek na každém uzlu clusteru chráněný také BitLockerem. Clustering s podporou převzetí služeb při selhání ho nevynucuje, protože některá řešení nemusí chtít nebo potřebují šifrovat systémový svazek. Pokud není systémová jednotka zašifrována BitLockerem, cluster převzetí služeb při selhání to označí jako událost upozornění během procesu online připojení a odemknutí. Ověření clusteru pro převzetí služeb při selhání zaznamená zprávu, pokud zjistí, že se jedná o nastavení bez Active Directory nebo pracovní skupinu a systémový svazek není šifrovaný.

Instalace šifrování BitLockeru

BitLocker je funkce, která se musí přidat do všech uzlů clusteru.

Přidání nástroje BitLocker pomocí Správce serveru

1. Otevřete Správce serveru výběrem ikony Správce serveru nebo spuštěním servermanager.exe.

2. Na navigačním panelu Správce serveru vyberte Spravovat a výběrem možnosti Přidat role a funkcespusťtePrůvodce přidáním rolí a funkcí.

3. Po otevření Průvodce přidáním rolí a funkcí, vyberte Další v podokně než začnete (pokud je zobrazeno).

4. Vyberte Instalace založená na rolích nebo funkcích v podokně Typ instalace okna Průvodce přidáním rolí a funkcí a pokračujte výběrem možnosti Další.

5. V podokně výběr serveru vyberte server z fondu serverů možnost Výběr serveru a potvrďte instalaci serveru pro funkci Nástroje BitLocker.

6. Výběrem Další v podokně Role serveru průvodce Přidat role a funkce přejděte do podokna Funkce.

7. Zaškrtněte políčko vedle funkce BitLocker Drive Encryption v podokně Funkce průvodce Přidat role a funkce. Průvodce zobrazí další funkce správy, které jsou k dispozici pro BitLocker. Pokud tyto funkce nechcete instalovat, zrušte výběr možnosti Zahrnout nástroje pro správu a vyberte Přidat funkce. Po dokončení výběru volitelných funkcí vyberte Další, abyste pokračovali.

Poznámka

Funkce Enhanced Storage je požadovaná funkce pro povolení nástroje BitLocker. Tato funkce umožňuje podporu šifrovaných pevných disků v systémech podporujících.

1. Vyberte Nainstalovat v podokn ě Potvrzení Průvodce přidáním rolí a funkcí pro zahájení instalace funkce Nástroje BitLocker. Funkce BitLockeru vyžaduje dokončení restartování. Výběrem možnosti Automaticky restartovat cílový server v případě potřeby v podokně Potvrzení způsobí vynucení restartování počítače po dokončení instalace.

2. Pokud není zaškrtnuté políčko Restartovat cílový server automaticky, pokud není zaškrtnuté políčkoVýsledky podokno Průvodce přidáním rolí a funkcí zobrazí úspěch nebo selhání instalace funkce nástroje BitLocker. V případě potřeby se ve výsledcích zobrazí oznámení o další akci potřebné k dokončení instalace funkce, například restartování počítače.

Přidání BitLockeru pomocí PowerShellu

Pro každý server použijte následující příkaz:

Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools

Pokud chcete příkaz spustit na všech serverech clusteru najednou, použijte následující skript a upravte seznam proměnných na začátku tak, aby vyhovoval vašemu prostředí:

Vyplňte tyto proměnné hodnotami.

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker"

Tato část spustí rutinu Install-WindowsFeature na všech serverech v $ServerList a předá seznam funkcí v $FeatureList.

Invoke-Command ($ServerList) {  
    Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools 
}

Potom restartujte všechny servery:

$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos

Současně je možné přidat více rolí a funkcí. Pokud například chcete přidat BitLocker, Clustering s podporou převzetí služeb při selhání a roli souborového serveru, $FeatureList by obsahovalo všechny potřebné položky oddělené čárkou. Například:

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”

Zřízení šifrovaného svazku

Nasazení jednotky pomocí šifrování BitLocker lze provést buď tehdy, když je jednotka součástí clusteru s převzetím služeb při selhání, nebo mimo něj, ještě než ji přidáte. Chcete-li vytvořit ochranu externího klíče automaticky, musí být jednotka prostředkem v clusteru s podporou převzetí služeb při selhání před povolením BitLockeru. Pokud je nástroj BitLocker povolený před přidáním jednotky do clusteru s podporou převzetí služeb při selhání, je potřeba provést další ruční kroky pro vytvoření ochrany externího klíče.

Zřizování šifrovaných svazků bude vyžadovat spuštění příkazů PowerShellu s oprávněními správce. Existují dvě možnosti šifrování jednotek a Failover Clustering může vytvářet a používat vlastní klíče BitLockeru.

1. Interní obnovovací klíč

2. Soubor externího obnovovacího klíče

Šifrování pomocí obnovovacího klíče

Šifrování jednotek pomocí obnovovacího klíče umožní vytvoření a přidání obnovovacího klíče BitLockeru do databáze clusteru. Jakmile se jednotka připojuje online, stačí se podívat do podregistru místního clusteru pro obnovovací klíč.

Přesuňte prostředek disku do uzlu, kde bude povolené šifrování BitLockeru:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1

Umístěte diskový zdroj do režimu údržby:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource

Zobrazí se dialogové okno s textem:

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Chcete-li pokračovat, stiskněte Ano.

Pokud chcete povolit šifrování BitLockeru, spusťte:

Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector

Po zadání příkazu se zobrazí upozornění a zobrazí se číselné heslo pro obnovení. Uložte si heslo do zabezpečeného umístění, protože ho budete potřebovat i v nadcházejícím kroku. Upozornění vypadá nějak takto:

WARNING: ACTIONS REQUIRED:

    1. Save this numerical recovery password in a secure location away from your computer:
        
        271733-258533-688985-480293-713394-034012-061963-682044

    To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.

Pokud chcete získat informace o ochraně BitLockerem pro svazek, můžete spustit následující příkaz:

(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector

Zobrazí se ID ochrany klíče i řetězec hesla pro obnovení.

KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :

ID ochrany klíčů a heslo pro obnovení budou potřeba a budou uloženy do nové soukromé vlastnosti fyzického disku s názvem BitLockerProtectorInfo. Tato nová vlastnost se použije, když prostředek pochází z režimu údržby. Formát ochrany bude řetězec, ve kterém je ID ochrany a heslo oddělené řetězcem ":".

Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create

Chcete-li ověřit, že klíč a hodnota BitlockerProtectorInfo jsou nastaveny, spusťte příkaz:

Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo

Teď, když jsou informace k dispozici, je možné disk po dokončení procesu šifrování vyvést z režimu údržby.

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource

Pokud se prostředek nepodaří převést do režimu online, může se jednat o problém s úložištěm, nesprávné heslo pro obnovení nebo nějaký problém. Ověřte, že klíč BitlockerProtectorInfo obsahuje správné informace. Pokud tomu tak není, měly by se dříve zadané příkazy spustit znovu. Pokud problém není s tímto klíčem, doporučujeme obrátit se na příslušnou skupinu ve vaší organizaci nebo u dodavatele úložiště, abyste problém vyřešili.

Pokud je prostředek online, informace jsou správné. Během procesu přechodu z režimu údržby je klíč BitlockerProtectorInfo odebrán a zašifrován v rámci prostředku v databázi clusteru.

Šifrování pomocí souboru externího obnovovacího klíče

Šifrování jednotek pomocí souboru obnovovacího klíče umožní vytvoření obnovovacího klíče BitLockeru a přístup k němu z umístění, ke kterému mají přístup všechny uzly, jako je souborový server. Jakmile se jednotka připojí online, připojí se vlastnící uzel k obnovovacímu klíči.

Přesuňte prostředek disku do uzlu, kde bude povolené šifrování BitLockeru:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2

Umístěte diskový prostředek do režimu údržby:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource

Otevře se dialogové okno

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Chcete-li pokračovat, stiskněte Ano.

Pokud chcete povolit šifrování BitLockeru a vytvořit soubor ochrany klíčů místně, spusťte následující příkaz. Nejprve se doporučuje vytvořit soubor místně a pak ho přesunout do umístění přístupného pro všechny uzly.

Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster

Pokud chcete získat informace o ochraně BitLockerem pro svazek, můžete spustit následující příkaz:

(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector

Zobrazí se ID ochrany klíče i název souboru klíče, který vytvoří.

KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :

Když přejdete do složky, ve které byla vytvořena, na první pohled ji neuvidíte. Důvodem je, že se vytvoří jako skrytý soubor. Například:

C:\Windows\Cluster\>dir f03  

Directory of C:\\Windows\\Cluster 

File Not Found 

C:\Windows\Cluster\>dir /a f03  

Directory of C:\Windows\Cluster 

<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK 

C:\Windows\Cluster\>attrib f03 

A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Vzhledem k tomu, že se vytvoří v místní cestě, je nutné ji zkopírovat do síťové cesty, aby k ní měly všechny uzly přístup pomocí příkazu Copy-Item.

Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir

Vzhledem k tomu, že jednotka bude používat soubor a nachází se ve sdílené síťové složce, přeneste jednotku z režimu údržby určující cestu k souboru. Jakmile se jednotka dokončí s šifrováním, příkaz k jeho obnovení bude následující:

Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Jakmile je jednotka připravena, soubor *.BEK je možné odebrat ze sdílené složky a už ho nepotřebujete.

Nové rutiny PowerShellu

S touto novou funkcí byly vytvořeny dvě nové rutiny, které prostředek přenesou do online režimu nebo obnoví prostředek ručně pomocí obnovovacího klíče nebo souboru obnovovacího klíče.

Start-ClusterPhysicalDiskResource

příklad 1

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

příklad 2

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Resume-ClusterPhysicalDiskResource

příklad 1

    Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

příklad 2

     Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Nové události

Bylo přidáno několik nových událostí, které jsou v kanálu událostí Microsoft-Windows-FailoverClustering/Operational.

Když se úspěšně vytvoří soubor chráněných klíčů nebo ochranný klíč, zobrazí se podobná událost:

Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.

Pokud při vytváření souboru ochrany klíčů nebo souboru ochrany klíčů dojde k chybě, zobrazí se událost podobná této:

Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume

Jak už bylo zmíněno dříve, protože databáze clusteru je replikované úložiště zálohované systémovým svazkem na každém uzlu clusteru, doporučuje se, aby systémový svazek na každém uzlu clusteru byl také chráněný BitLockerem. Clustering s podporou převzetí služeb při selhání ho nevynucuje, protože některá řešení nemusí chtít nebo potřebují šifrovat systémový svazek. Pokud systémová jednotka není zabezpečena pomocí BitLocker, cluster s podporou převzetí služeb při selhání to vyznačí jako událost během procesu odemknutí nebo připojení online. Zobrazená událost by byla podobná této:

Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1

Ověření clusteru s podporou převzetí služeb při selhání zaznamená zprávu, pokud zjistí, že se jedná o nastavení bez služby Active Directory nebo o pracovní skupinu, a pokud systémový svazek není šifrovaný.