クラスター共有ボリュームで BitLocker を使用する (CSV)

• 適用対象:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

BitLocker の概要

BitLocker ドライブ暗号化は、オペレーティング システムと統合されたデータ保護機能であり、紛失、盗難、または不十分に使用停止されたコンピューターからのデータ盗難や露出の脅威に対処します。

BitLocker は、トラステッド プラットフォーム モジュール (TPM) バージョン 1.2 以降で使用する場合に最も多くの保護を提供します。 TPM は、コンピューターの製造元によって多くの新しいコンピューターにインストールされているハードウェア コンポーネントです。 BitLocker と連携して、ユーザー データを保護し、システムがオフラインの間にコンピューターが改ざんされていないことを確認します。

TPM バージョン 1.2 以降を搭載していないコンピューターでは、引き続き BitLocker を使用して Windows オペレーティング システム ドライブを暗号化できます。 ただし、この実装では、コンピューターを起動したり休止状態から再開したりするために、USB スタートアップ キーを挿入する必要があります。 Windows 8 以降では、オペレーティング システムのボリューム パスワードを使用して、TPM を使用しないコンピューター上のボリュームを保護できます。 どちらのオプションも、TPM を使用した BitLocker によって提供される起動前のシステム整合性検証を提供しません。

TPM に加えて、BitLocker では、ユーザーが個人識別番号 (PIN) を指定するか、リムーバブル デバイスを挿入するまで、通常のスタートアップ プロセスをロックするオプションが提供されます。 このデバイスは、スタートアップ キーを含む USB フラッシュ ドライブである可能性があります。 これらの追加のセキュリティ対策により、多要素認証が提供され、正しい PIN またはスタートアップ キーが表示されるまで、コンピューターが休止状態から開始または再開されないことが保証されます。

クラスター共有ボリュームの概要

クラスター共有ボリューム (CSV) を使用すると、Windows Server フェールオーバー クラスターまたは Azure Local 内の複数のノードで、NTFS ボリュームとしてプロビジョニングされている同じ論理ユニット番号 (LUN) またはディスクに対する読み取り/書き込みアクセスを同時に行うことができます。 ディスクは、回復性のあるファイル システム (ReFS) としてプロビジョニングできます。 ただし、CSV ドライブはリダイレクト モードです。つまり、書き込みアクセスはコーディネーター ノードに送信されます。 CSV を使用すると、クラスター化されたロールは、ドライブの所有権の変更やボリュームのマウント解除と再マウントを必要とせずに、1 つのノードから別のノードにすばやくフェールオーバーできます。 CSV は、フェールオーバー クラスター内の多数の LUN の管理を簡略化するのにも役立ちます。

CSV は、NTFS または ReFS の上に階層化された汎用のクラスター化されたファイル システムを提供します。 CSV アプリケーションには次のものが含まれます。

• クラスター化された Hyper-V 仮想マシン用の仮想ハードディスク (VHD/VHDX) ファイル
• ファイル共有をスケールアウトして、Scale-Out ファイル サーバーのクラスター化されたロールのアプリケーション データを格納します。 このロールのアプリケーション データの例には、Hyper-V 仮想マシン ファイルと Microsoft SQL Server データが含まれます。 ReFS は、Windows Server 2012 R2 以前の Scale-Out ファイル サーバーではサポートされていません。 Scale-Out ファイル サーバーの詳細については、「Scale-Out File Server for Application Data」を参照してください。
• MICROSOFT SQL Server 2014 (またはそれ以降) フェールオーバー クラスター インスタンス (FCI) SQL Server 2012 以前のバージョンの SQL Server の Microsoft SQL Server クラスターワークロードでは、CSV の使用はサポートされていません。
• Windows Server 2019 以降の Microsoft 分散トランザクション制御 (MSDTC)

クラスター共有ボリュームで BitLocker を使用する

クラスター内のボリューム上の BitLocker は、クラスター サービスが保護するボリュームを "表示" する方法に基づいて管理されます。 ボリュームには、記憶域ネットワーク (SAN) またはネットワーク接続ストレージ (NAS) 上の論理ユニット番号 (LUN) などの物理ディスク リソースを指定できます。

または、クラスター内のクラスター共有ボリューム (CSV) をボリュームにすることができます。 クラスター用に指定されたボリュームで BitLocker を使用する場合、クラスターに追加する前またはクラスター内で、そのボリュームを BitLocker で有効にすることができます。 BitLocker を有効にする前に、リソースをメンテナンス モードにします。

Windows PowerShell または Manage-BDE コマンド ライン インターフェイスは、CSV ボリュームで BitLocker を管理する場合に推奨される方法です。 CSV ボリュームはマウント ポイントであるため、BitLocker コントロール パネル項目よりもこの方法をお勧めします。 マウント ポイントは、他のボリュームにエントリ ポイントを提供するために使用される NTFS オブジェクトです。 マウント ポイントでは、ドライブ文字を使用する必要がありません。 ドライブ文字がないボリュームは、BitLocker コントロール パネル項目に表示されません。

BitLocker は、次の順序で保護機能を試みることで、ユーザーの介入なしに保護されたボリュームのロックを解除します。

1. クリア キー

2. ドライバー ベースの自動ロック解除キー

3. ADAccountOrGroup 保護機能

   1. サービス コンテキスト保護機能

   2. ユーザー保護機能

4. レジストリ ベースの自動ロック解除キー

フェールオーバー クラスターには、クラスター ディスク リソースの Active Directory ベースの保護機能オプションが必要です。 それ以外の場合は、[コントロール パネル] 項目で CSV リソースを使用できません。

AD DS インフラストラクチャ内に保持されているクラスター化ボリュームを保護するための Active Directory Domain Services (AD DS) 保護機能。 ADAccountOrGroup 保護機能は、ユーザー アカウント、コンピューター アカウント、またはグループにバインドできるドメイン セキュリティ識別子 (SID) ベースの保護機能です。 保護されたボリュームに対してロック解除要求が行われると、BitLocker サービスは要求を中断し、BitLocker 保護/保護解除 API を使用して要求のロックを解除または拒否します。

新機能

以前のバージョンの Windows Server と Azure Local では、サポートされている唯一の暗号化保護機能は SID ベースの保護機能です。使用されているアカウントは、フェールオーバー クラスタリングの作成の一部として Active Directory で作成されるクラスター名オブジェクト (CNO) です。 保護機能は Active Directory に格納され、CNO パスワードによって保護されるため、これはセキュリティで保護された設計です。 また、すべてのフェールオーバー クラスター ノードが CNO アカウントにアクセスできるため、ボリュームのプロビジョニングとロック解除が簡単になります。

欠点は 3 倍です。

1. この方法は、データセンター内の Active Directory コントローラーにアクセスせずにフェールオーバー クラスターが作成された場合は、明らかに機能しません。

2. ボリュームのロック解除は、フェールオーバーの一環として、Active Directory コントローラーが応答しない場合や低速な場合に、時間がかかりすぎる (タイムアウトする可能性があります) 場合があります。

3. Active Directory コントローラーが使用できない場合、ドライブのオンライン プロセスは失敗します。

フェールオーバー クラスタリングがボリュームに対して独自の BitLocker キー保護を生成し維持する新たな機能が追加されました。 暗号化され、ローカル クラスター データベースに保存されます。 クラスター データベースは、すべてのクラスター ノードのシステム ボリュームによってバックアップされるレプリケート ストアであるため、すべてのクラスター ノードのシステム ボリュームも BitLocker で保護する必要があります。 一部のソリューションではシステム ボリュームを暗号化したくない場合や暗号化する必要がある場合があるため、フェールオーバー クラスタリングでは適用されません。 システム ドライブが Bitlocker になっていない場合、フェールオーバー クラスターでは、オンラインおよびロック解除プロセス中に警告イベントとしてフラグが設定されます。 フェールオーバー クラスターの検証では、これが Active Directory レスまたはワークグループのセットアップであり、システム ボリュームが暗号化されていないことが検出された場合に、メッセージがログに記録されます。

BitLocker 暗号化のインストール

BitLocker は、クラスターのすべてのノードに追加する必要がある機能です。

サーバー マネージャーを使用した BitLocker の追加

1. [サーバー マネージャー] アイコンを選択するか、servermanager.exeを実行して、サーバー マネージャー 開きます。

2. サーバー マネージャーのナビゲーション バーから [ の管理] を選択し、[役割と機能の追加] 選択して、役割と機能の追加ウィザードのを開始します。

3. 役割と機能の追加ウィザード を開いたら、 [開始する前に] ウィンドウ (表示される場合) で [次へ] を選択します。

4. 役割と機能の追加ウィザード ウィンドウの [インストールの種類] ペインで役割ベースまたは機能ベースのインストール を選択し、[次へ] を選択して続行します。

5. サーバー選択 ペインで、サーバー プールからサーバーを選択 オプションを選び、BitLocker 機能のインストールのためのサーバーを確認します。

6. 「役割と機能の追加 ウィザード」の[サーバーの役割]ペインで[次へ]を選択して、[機能]ペインに進みます。

7. [役割と機能の追加] ウィザードの [機能] ペインで、BitLocker ドライブ暗号化 の横にあるチェック ボックスを選択します。 ウィザードには、BitLocker で使用できる追加の管理機能が表示されます。 これらの機能をインストールしない場合は、[管理ツール を含める] オプション 選択を解除し、[機能の追加]選択します。 オプション機能の選択が完了したら、続行するには [次へ] を選択します。

手記

拡張記憶域 機能は、BitLocker を有効にするために必要な機能です。 この機能を使用すると、対応するシステムで暗号化されたハード ドライブをサポートできます。

1. 役割と機能の追加ウィザード の [確認] ウィンドウで [ のインストール] を選択して、BitLocker 機能のインストールを開始します。 BitLocker 機能を完了するには、再起動が必要です。 [確認] ウィンドウの [必要に応じて対象サーバーを自動的に再起動する] オプションを選択すると、インストール完了後にコンピューターが強制的に再起動されます。

2. [必要に応じて移行先サーバーを自動的に再起動] チェック ボックスがオフの場合、役割と機能の追加ウィザードの [結果] ウィンドウ、BitLocker 機能のインストールの成功または失敗が表示されます。 必要に応じて、コンピューターの再起動など、機能のインストールを完了するために必要な追加のアクションの通知が結果テキストに表示されます。

PowerShell を使用して BitLocker を追加する

サーバーごとに次のコマンドを使用します。

Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools

すべてのクラスター サーバーでコマンドを同時に実行するには、次のスクリプトを使用して、環境に合わせて変数の一覧を最初に変更します。

これらの変数に値を入力します。

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker"

このパートでは、$ServerList内のすべてのサーバーで Install-WindowsFeature コマンドレットを実行し、$FeatureListの機能の一覧を渡します。

Invoke-Command ($ServerList) {  
    Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools 
}

次に、すべてのサーバーを再起動します。

$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos

複数のロールと機能を同時に追加できます。 たとえば、BitLocker、フェールオーバー クラスタリング、ファイル サーバーの役割を追加するには、$FeatureListに必要なすべてがコンマで区切って含まれます。 例えば：

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”

暗号化されたボリュームをプロビジョニングする

BitLocker 暗号化を使用したドライブのプロビジョニングは、ドライブがフェールオーバー クラスターの一部である場合、または追加する前に外部で行うことができます。 外部キー保護機能を自動的に作成するには、BitLocker を有効にする前に、ドライブがフェールオーバー クラスター内のリソースである必要があります。 フェールオーバー クラスターにドライブを追加する前に BitLocker が有効になっている場合は、外部キー保護機能を作成するための追加の手動手順を実行する必要があります。

暗号化されたボリュームをプロビジョニングするには、管理者特権で PowerShell コマンドを実行する必要があります。 ドライブを暗号化し、フェールオーバー クラスタリングで独自の BitLocker キーを作成して使用できるようにするオプションは 2 つあります。

1. 内部回復キー

2. 外部回復キー ファイル

回復キーを使用して暗号化する

回復キーを使用してドライブを暗号化すると、BitLocker 回復キーを作成してクラスター データベースに追加できます。 ドライブがオンラインになっているため、回復キーについてはローカル クラスター ハイブを参照するだけで済みます。

BitLocker 暗号化が有効になるノードにディスク リソースを移動します。

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1

ディスク リソースをメンテナンス モードにします。

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource

次のダイアログ ボックスが表示されます。

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

続行するには、「Yes」を押します。

BitLocker 暗号化を有効にするには、次のコマンドを実行します。

Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector

コマンドを入力すると、警告が表示され、数値の回復パスワードが提供されます。 パスワードは、今後の手順でも必要であるため、安全な場所に保存します。 警告は次のようになります。

WARNING: ACTIONS REQUIRED:

    1. Save this numerical recovery password in a secure location away from your computer:
        
        271733-258533-688985-480293-713394-034012-061963-682044

    To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.

ボリュームの BitLocker 保護機能情報を取得するには、次のコマンドを実行できます。

(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector

これにより、キー保護機能 ID と回復パスワード文字列の両方が表示されます。

KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :

キー保護機能 ID と回復パスワードが必要であり、これらは と呼ばれる新しい物理ディスクのプライベート プロパティに保存され、BitLockerProtectorInfoの一部になります。 この新しいプロパティは、リソースがメンテナンス モードから外れたときに使用されます。 保護機能の形式は、保護機能 ID とパスワードが ":" で区切られた文字列になります。

Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create

BitlockerProtectorInfo キーと値が設定されていることを確認するには、次のコマンドを実行します。

Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo

情報が存在するようになったので、暗号化プロセスが完了したら、ディスクをメンテナンス モードから取り出すことができます。

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource

リソースがオンラインに失敗した場合は、ストレージの問題、正しくない回復パスワード、または何らかの問題が考えられます。 BitlockerProtectorInfo キーに適切な情報があることを確認します。 そうでない場合は、前に指定したコマンドをもう一度実行する必要があります。 このキーに問題がない場合は、組織内の適切なグループまたはストレージ ベンダーを使用して問題を解決することをお勧めします。

リソースがオンラインの場合、情報は正しいです。 メンテナンス モードから移行するプロセス中に、BitlockerProtectorInfo キーが削除され、クラスター データベース内のリソースの下で暗号化されます。

外部回復キー ファイルを使用した暗号化

回復キー ファイルを使用してドライブを暗号化すると、BitLocker 回復キーを作成し、ファイル サーバーなどのすべてのノードがアクセスできる場所からアクセスできるようになります。 ドライブがオンラインになると、オーナーノードが復旧キーに接続します。

BitLocker 暗号化が有効になるノードにディスク リソースを移動します。

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2

ディスク リソースをメンテナンス モードにします。

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource

ダイアログ ボックスが表示される

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

続行するには、「はい」を押します。

BitLocker 暗号化を有効にし、キー保護機能ファイルをローカルに作成するには、次のコマンドを実行します。 最初にファイルをローカルに作成してから、すべてのノードからアクセスできる場所に移動することをお勧めします。

Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster

ボリュームの BitLocker 保護機能情報を取得するには、次のコマンドを実行できます。

(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector

これにより、キープロテクタ ID と作成されるキー ファイル名の両方が表示されます。

KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :

作成先として指定されたフォルダーに移動すると、一見すると表示されません。 理由は、それが隠しファイルとして作成されることです。 例えば：

C:\Windows\Cluster\>dir f03  

Directory of C:\\Windows\\Cluster 

File Not Found 

C:\Windows\Cluster\>dir /a f03  

Directory of C:\Windows\Cluster 

<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK 

C:\Windows\Cluster\>attrib f03 

A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

これはローカル パス上に作成されるため、すべてのノードが Copy-Item コマンドを使用してアクセスできるように、ネットワーク パスにコピーする必要があります。

Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir

ドライブはファイルを使用し、ネットワーク共有上にあるため、ファイルへのパスを指定するメンテナンス モードからドライブを取り出します。 ドライブが暗号化で完了すると、再開するコマンドは次のようになります。

Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

ドライブがプロビジョニングされると、*.BEK ファイルは共有から削除でき、不要です。

新しい PowerShell コマンドレット

この新機能により、2 つの新しいコマンドレットが作成され、リソースをオンラインにするか、回復キーまたは回復キー ファイルを使用してリソースを手動で再開します。

Start-ClusterPhysicalDiskResource

例 1

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

例 2

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Resume-ClusterPhysicalDiskResource

例 1

    Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

例 2

     Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

新しいイベント

Microsoft-Windows-FailoverClustering/Operational イベント チャネルに追加された新しいイベントがいくつかあります。

キープロテクタまたはキープロテクタファイルの作成に成功すると、表示されるイベントは次のようになります。

Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.

キープロテクタまたはキープロテクタファイルの作成に失敗した場合、表示されるイベントは次のようになります。

Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume

前述のように、クラスター データベースは、すべてのクラスター ノード上のシステム ボリュームによってサポートされるレプリケート ストアであるため、すべてのクラスター ノードのシステム ボリュームも BitLocker で保護することをお勧めします。 一部のソリューションではシステム ボリュームを暗号化したくない場合や暗号化する必要がある場合があるため、フェールオーバー クラスタリングでは適用されません。 システム ドライブが BitLocker によってセキュリティ保護されていない場合、フェールオーバー クラスターはロック解除/オンライン プロセス中にイベントとしてこのフラグを設定します。 表示されるイベントは次のようになります。

Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1

フェールオーバー クラスターの検証では、これが Active Directory レスまたはワークグループのセットアップであり、システム ボリュームが暗号化されていないことが検出された場合、メッセージがログに記録されます。