BitLocker gebruiken met gedeelde clustervolumes (CSV)

• Van toepassing op:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

Overzicht van BitLocker

BitLocker-stationsversleuteling is een functie voor gegevensbeveiliging die kan worden geïntegreerd met het besturingssysteem en de bedreigingen van gegevensdiefstal of blootstelling aan verloren, gestolen of onvoldoende buiten gebruik gestelde computers verhelpt.

BitLocker biedt de meeste beveiliging bij gebruik met TPM-versie (Trusted Platform Module) versie 1.2 of hoger. De TPM is een hardwareonderdeel dat door computerfabrikanten op veel nieuwere computers is geïnstalleerd. Het werkt met BitLocker om gebruikersgegevens te beveiligen en ervoor te zorgen dat er niet met een computer is geknoeid terwijl het systeem offline was.

Op computers die geen TPM-versie 1.2 of hoger hebben, kunt u BitLocker nog steeds gebruiken om het Windows-besturingssysteemstation te versleutelen. Voor deze implementatie moet de gebruiker echter een USB-opstartsleutel invoegen om de computer te starten of vanuit de sluimerstand te hervatten. Vanaf Windows 8 kunt u een volumewachtwoord van het besturingssysteem gebruiken om het volume op een computer zonder TPM te beveiligen. Geen van beide opties biedt de systeemintegriteitsverificatie voorafgaand aan de opstart die wordt aangeboden door BitLocker met een TPM.

Naast de TPM biedt BitLocker u de mogelijkheid om het normale opstartproces te vergrendelen totdat de gebruiker een persoonlijk identificatienummer (pincode) levert of een verwisselbaar apparaat invoegt. Dit apparaat kan een USB-flashstation zijn dat een opstartsleutel bevat. Deze aanvullende beveiligingsmaatregelen bieden meervoudige verificatie en zekerheid dat de computer niet wordt gestart of hervat vanuit de sluimerstand totdat de juiste pincode of opstartsleutel wordt weergegeven.

Overzicht van gedeelde clustervolumes

Met gedeelde clustervolumes (CSV) kunnen meerdere knooppunten in een Windows Server-failovercluster of Azure Local tegelijkertijd lees-/schrijftoegang hebben tot hetzelfde LUN (Logical Unit Number) of schijf dat is ingericht als een NTFS-volume. De schijf kan worden geconfigureerd als Resilient File System (ReFS). De CSV-schijf bevindt zich echter in de omgeleid modus, wat betekent dat schrijftoegang wordt verzonden naar het coördinator-knooppunt. Met CSV kunnen geclusterde rollen snel een failover uitvoeren van het ene knooppunt naar het andere zonder dat een wijziging in het eigendom van het station is vereist, of een volume ontkoppelen en opnieuw koppelen. CSV helpt ook het beheer van een potentieel groot aantal LUN's in een failovercluster te vereenvoudigen.

CSV biedt een algemeen geclusterd bestandssysteem dat is gelaagd boven NTFS of ReFS. CSV-toepassingen zijn onder andere:

• Geclusterde VHD-/VHDX-bestanden (virtuele harde schijf) voor geclusterde Hyper-V virtuele machines
• Schaal bestandsshares op om toepassingsgegevens op te slaan voor de geclusterde rol File Server Scale-Out. Voorbeelden van de toepassingsgegevens voor deze rol zijn Hyper-V bestanden van virtuele machines en Microsoft SQL Server-gegevens. ReFS wordt niet ondersteund voor een Scale-Out Bestandsserver in Windows Server 2012 R2 en eerder. Zie Scale-Out Bestandsserver voor toepassingsgegevensvoor meer informatie over Scale-Out bestandsserver.
• Microsoft SQL Server 2014 (of hoger) Failoverclusterexemplaar (FCI) geclusterde workloads van Microsoft SQL Server in SQL Server 2012 en eerdere versies van SQL Server ondersteunen het gebruik van CSV niet.
• Windows Server 2019 of hoger Microsoft Distributed Transaction Control (MSDTC)

BitLocker gebruiken met gedeelde clustervolumes

BitLocker op volumes binnen een cluster wordt beheerd op basis van de wijze waarop de clusterservice het volume 'bekijkt' dat moet worden beveiligd. Het volume kan een fysieke schijfresource zijn, zoals een LUN (Logical Unit Number) in een SAN (Storage Area Network) of nas (Network Attached Storage).

Het volume kan ook een CSV (Cluster Shared Volume) binnen het cluster zijn. Wanneer u BitLocker gebruikt met volumes die zijn aangewezen voor een cluster, kan het volume worden ingeschakeld met BitLocker voordat het wordt toegevoegd aan het cluster of in het cluster. Plaats de resource in de onderhoudsmodus voordat u BitLocker inschakelt.

Windows PowerShell of de Manage-BDE opdrachtregelinterface is de voorkeursmethode voor het beheren van BitLocker op CSV-volumes. Deze methode wordt aanbevolen via het BitLocker-configuratiescherm-item omdat CSV-volumes koppelpunten zijn. Koppelpunten zijn een NTFS-object dat wordt gebruikt om een toegangspunt naar andere volumes te bieden. Voor koppelpunten is het gebruik van een stationsletter niet vereist. Volumes die geen stationsletters hebben, worden niet weergegeven in het onderdeel van het Configuratiescherm van BitLocker.

BitLocker ontgrendelt beveiligde volumes zonder tussenkomst van de gebruiker door een beveiligingspoging uit te voeren in de volgende volgorde:

1. Sleutel wissen

2. Sleutel voor automatisch ontgrendelen gebaseerd op de bestuurder

3. ADAccountOrGroup-beveiliging

   1. Servicecontextbeveiliging

   2. Gebruikersbeveiliging

4. Sleutel voor automatisch ontgrendelen op basis van register

Failovercluster vereist de op Active Directory gebaseerde beveiligingsoptie voor clusterschijfresources. Anders zijn CSV-resources niet beschikbaar in het Configuratiescherm-item.

Een AD DS-beveiliging (Active Directory Domain Services) voor het beveiligen van geclusterde volumes in uw AD DS-infrastructuur. De ADAccountOrGroup-beveiliging is een op SID gebaseerde beveiliging (Domain Security Identifier) die kan worden gebonden aan een gebruikersaccount, computeraccount of groep. Wanneer er een ontgrendelingsaanvraag wordt gedaan voor een beveiligd volume, onderbreekt de BitLocker-service de aanvraag en gebruikt de BitLocker-API's voor beveiliging/beveiliging opheffen om de aanvraag te ontgrendelen of te weigeren.

Nieuwe functionaliteit

In eerdere versies van Windows Server en Azure Local is de enige ondersteunde versleutelingsbeveiliging de op SID gebaseerde beveiliging waarbij het account dat wordt gebruikt clusternaamobject (CNO) is die wordt gemaakt in Active Directory als onderdeel van het maken van failoverclustering. Dit is een veilig ontwerp omdat de protector wordt opgeslagen in Active Directory en wordt beveiligd door het CNO-wachtwoord. Bovendien is het eenvoudig om volumes in te richten en te ontgrendelen, omdat elk failoverclusterknooppunt toegang heeft tot het CNO-account.

Het nadeel is drievoud:

1. Deze methode werkt uiteraard niet wanneer een failovercluster wordt gemaakt zonder toegang tot een Active Directory-controller in het datacenter.

2. Volume ontgrendelen, als onderdeel van failover, kan te lang duren (en mogelijk een time-out) als de Active Directory-controller niet reageert of traag is.

3. Het online proces van de schijf mislukt als er geen Active Directory-controller beschikbaar is.

Nieuwe functionaliteit is toegevoegd waardoor failoverclustering zelfstandig een BitLocker-sleutelbeschermer voor een volume genereert en onderhoudt. Deze wordt versleuteld en opgeslagen in de lokale clusterdatabase. Omdat de clusterdatabase een gerepliceerd archief is dat wordt ondersteund door het systeemvolume op elk clusterknooppunt, moet het systeemvolume op elk clusterknooppunt ook worden beveiligd met BitLocker. Failoverclustering dwingt dit niet af omdat sommige oplossingen het systeemvolume mogelijk niet willen of moeten versleutelen. Als het systeemstation niet met Bitlocker beveiligd is, markeert Failover Cluster dit als een waarschuwingsgebeurtenis tijdens het online- en ontgrendelingsproces. Validatie van failovercluster registreert een bericht als wordt gedetecteerd dat het om een Active Directory-loze installatie of een werkgroepconfiguratie gaat en het systeemvolume niet is versleuteld.

BitLocker-versleuteling installeren

BitLocker is een functie die moet worden toegevoegd aan alle knooppunten van het cluster.

BitLocker toevoegen met Serverbeheer

1. Open Serverbeheer door het pictogram Serverbeheer te selecteren of het commando servermanager.exeuit te voeren.

2. Selecteer beheren op de navigatiebalk van Serverbeheer en selecteer Functies en onderdelen toevoegen om de wizard Functies en onderdelen toevoegen te starten.

3. Wanneer de wizard Functies en onderdelen toevoegen geopend is, selecteert u Volgende in het Voordat u begint venster (indien weergegeven).

4. Selecteer op rollen of onderdelen gebaseerde installatie in het deelvenster Installatietype van de Wizard Rollen en Onderdelen Toevoegen en selecteer Volgende om door te gaan.

5. Selecteer de Selecteer een server in de servergroep optie in het deelvenster Serverselectie en bevestig de server voor de installatie van de BitLocker-functie.

6. Selecteer Volgende in het deelvenster Serverfuncties van de wizard Functies en onderdelen toevoegen om door te gaan naar het deelvenster Onderdelen.

7. Schakel het selectievakje in naast BitLocker-stationsversleuteling in het deelvenster Functies van de wizard Rollen en Functies toevoegen. In de wizard worden de extra beheerfuncties weergegeven die beschikbaar zijn voor BitLocker. Als u deze functies niet wilt installeren, schakelt u de selectie van de Beheerhulpprogramma's opnemen uit optie en selecteert u Functies toevoegen. Zodra de selectie van optionele functies is voltooid, selecteert u Volgende om door te gaan.

Notitie

De functie Enhanced Storage is een vereiste functie voor het inschakelen van BitLocker. Deze functie maakt ondersteuning mogelijk voor versleutelde harde schijven op compatibele systemen.

1. Selecteer Installeren in het deelvenster Bevestiging van de wizard Functies en Onderdelen Toevoegen om de installatie van BitLocker-onderdelen te starten. Er is een herstart nodig om de BitLocker-functie te voltooien. Als u de optie De doelserver automatisch opnieuw opstarten, indien vereist in het deelvenster Bevestiging selecteert, zal de computer na voltooiing van de installatie opnieuw worden opgestart.

2. Als het selectievakje Automatisch opnieuw opstarten van de doelserver indien vereist niet is ingeschakeld, wordt in het resultatenvenster Resultaten van de Wizard Functies en Onderdelen toevoegen het al dan niet slagen van de installatie van de BitLocker-functie weergegeven. Indien nodig wordt in de resultaten een melding weergegeven van aanvullende actie die nodig is om de installatie van de functie te voltooien, zoals het opnieuw opstarten van de computer.

BitLocker toevoegen met Behulp van PowerShell

Gebruik de volgende opdracht voor elke server:

Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools

Als u de opdracht op alle clusterservers tegelijk wilt uitvoeren, gebruikt u het volgende script om de lijst met variabelen aan het begin aan te passen aan uw omgeving:

Vul deze variabelen in met uw waarden.

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker"

In dit onderdeel wordt de cmdlet Install-WindowsFeature uitgevoerd op alle servers in $ServerList, waarbij de lijst met functies in $FeatureList wordt doorgegeven.

Invoke-Command ($ServerList) {  
    Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools 
}

Start vervolgens alle servers opnieuw op:

$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos

Meerdere rollen en functies kunnen tegelijkertijd worden toegevoegd. Als u bijvoorbeeld BitLocker, failoverclustering en de bestandsserverfunctie wilt toevoegen, bevat de $FeatureList alle benodigde gegevens, gescheiden door een komma. Bijvoorbeeld:

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”

Een versleuteld volume inrichten

Het inrichten van een station met BitLocker-versleuteling kan worden uitgevoerd wanneer de schijf deel uitmaakt van het Failover Cluster of buiten het cluster voordat u het toevoegt. Als u de externe sleutelbeschermer automatisch wilt laten aanmaken, moet het station een resource in het failovercluster zijn voordat u BitLocker inschakelt. Als BitLocker is ingeschakeld voordat u het station toevoegt aan het failovercluster, moeten aanvullende handmatige stappen worden voltooid om de Externe Sleutelbeveiliger te maken.

Voor het inrichten van versleutelde volumes moeten PowerShell-opdrachten worden uitgevoerd met beheerdersbevoegdheden. Er zijn twee opties om de stations te versleutelen en Failoverclustering mogelijk te maken om eigen BitLocker-sleutels te creëren en te gebruiken.

1. Interne herstelsleutel

2. Extern herstelsleutelbestand

Versleutelen met behulp van een herstelsleutel

Door de stations te versleutelen met behulp van een herstelsleutel, zal een BitLocker-herstelsleutel worden gemaakt en toegevoegd aan de clusterdatabase. Wanneer het station actief wordt, hoeft het alleen het lokale clusterbestand te raadplegen voor de herstelsleutel.

Verplaats de schijfresource naar het knooppunt waarop BitLocker-versleuteling wordt ingeschakeld:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1

Plaats de schijfresource in de onderhoudsmodus:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource

Er wordt een dialoogvenster weergegeven met de volgende tekst:

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Druk op Jaom door te gaan.

Voer het volgende uit om BitLocker-versleuteling in te schakelen:

Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector

Wanneer u de opdracht hebt ingevoerd, wordt er een waarschuwing weergegeven en wordt een numeriek herstelwachtwoord opgegeven. Sla het wachtwoord op een veilige locatie op, omdat het ook nodig is in een volgende stap. De waarschuwing ziet er ongeveer als volgt uit:

WARNING: ACTIONS REQUIRED:

    1. Save this numerical recovery password in a secure location away from your computer:
        
        271733-258533-688985-480293-713394-034012-061963-682044

    To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.

Als u de BitLocker-beveiligingsinformatie voor het volume wilt ophalen, kunt u de volgende opdracht uitvoeren:

(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector

Hiermee worden zowel de sleutelbeveiligings-id als de tekenreeks voor het herstelwachtwoord weergegeven.

KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :

De sleutelbeveiligings-id en het herstelwachtwoord zijn nodig en opgeslagen in een nieuwe persoonlijke schijfeigenschap met de naam BitLockerProtectorInfo. Deze nieuwe eigenschap wordt gebruikt wanneer de resource uit de onderhoudsmodus komt. De indeling van de protector is een tekenreeks waarbij de protector-id en het wachtwoord worden gescheiden door een ':'.

Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create

Voer de opdracht uit om te controleren of de BitlockerProtectorInfo-sleutel en -waarde zijn ingesteld:

Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo

Nu de informatie aanwezig is, kan de schijf uit de onderhoudsmodus worden gehaald zodra het versleutelingsproces is voltooid.

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource

Als de resource niet online komt, kan het een opslagprobleem, een onjuist herstelwachtwoord of een probleem zijn. Controleer of de BitlockerProtectorInfo-sleutel de juiste informatie bevat. Als dit niet het geval is, moeten de eerder gegeven opdrachten opnieuw worden uitgevoerd. Als het probleem niet bij deze sleutel past, raden we u aan om contact op te doen met de juiste groep binnen uw organisatie of de leverancier van de opslag om het probleem op te lossen.

Als de resource online komt, is de informatie juist. Tijdens het proces van het verlaten van de onderhoudsmodus, wordt de BitlockerProtectorInfo sleutel verwijderd en wordt versleuteld en onder de resource opgeslagen in de clusterdatabase.

Versleutelen met behulp van een extern herstelsleutelbestand

Door de stations te versleutelen met behulp van een herstelsleutelbestand, kunt u een BitLocker-herstelsleutel maken en openen vanaf een locatie die voor alle knooppunten toegankelijk is, zoals een bestandsserver. Naarmate de schijf online komt, maakt het knooppunt verbinding met de herstelsleutel.

Verplaats de schijfresource naar het knooppunt waarop BitLocker-versleuteling wordt ingeschakeld:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2

Plaats de schijfresource in de onderhoudsmodus:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource

Er wordt een dialoogvenster weergegeven

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Druk op Jaom door te gaan.

Voer de volgende opdracht uit om BitLocker-versleuteling in te schakelen en het sleutelbeveiligingsbestand lokaal te maken. Het is raadzaam om het bestand eerst lokaal te maken en vervolgens naar een locatie te verplaatsen die toegankelijk is voor alle knooppunten.

Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster

Als u de BitLocker-beveiligingsinformatie voor het volume wilt ophalen, kunt u de volgende opdracht uitvoeren:

(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector

Hiermee worden zowel de sleutelbeveiligings-id als de bestandsnaam van de sleutel weergegeven die wordt aangemaakt.

KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :

Wanneer u naar de map gaat die is opgegeven om het in te maken, ziet u het niet direct. De redenering is dat deze wordt gemaakt als een verborgen bestand. Bijvoorbeeld:

C:\Windows\Cluster\>dir f03  

Directory of C:\\Windows\\Cluster 

File Not Found 

C:\Windows\Cluster\>dir /a f03  

Directory of C:\Windows\Cluster 

<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK 

C:\Windows\Cluster\>attrib f03 

A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Omdat dit op een lokaal pad wordt gemaakt, moet het worden gekopieerd naar een netwerkpad, zodat alle knooppunten toegang hebben tot het pad met behulp van de opdracht Copy-Item.

Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir

Aangezien het station een bestand gebruikt en zich op een netwerkshare bevindt, haalt u het station uit de onderhoudsmodus door het pad naar het bestand op te geven. Zodra de versleuteling van de schijf is voltooid, is de opdracht om deze te hervatten:

Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Zodra het station is ingericht, kan het *.BEK-bestand worden verwijderd uit de gedeelde map en is het niet meer nodig.

Nieuwe PowerShell-cmdlets

Met deze nieuwe functie zijn twee nieuwe cmdlets gemaakt om de resource online te brengen of de resource handmatig te hervatten met behulp van de herstelsleutel of het herstelsleutelbestand.

Start-ClusterPhysicalDiskResource

voorbeeld 1

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

voorbeeld 2

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Resume-ClusterPhysicalDiskResource

voorbeeld 1

    Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

voorbeeld 2

     Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Nieuwe gebeurtenissen

Er zijn verschillende nieuwe gebeurtenissen toegevoegd die zich in het kanaal Microsoft-Windows-FailoverClustering/Operational event bevinden.

Wanneer het gelukt is om de sleutelbeveiliging of het sleutelbeveiligingsbestand te maken, is de weergegeven gebeurtenis vergelijkbaar met:

Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.

Als er een fout optreedt bij het maken van de sleutelbeveiliging of sleutelbeveiligingsbestand, is de weergegeven gebeurtenis vergelijkbaar met:

Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume

Zoals eerder vermeld, omdat de clusterdatabase een gerepliceerd archief is dat wordt ondersteund door het systeemvolume op elk clusterknooppunt, wordt het aanbevolen het systeemvolume op elk clusterknooppunt ook te beveiligen met BitLocker. Failoverclustering dwingt dit niet af omdat sommige oplossingen het systeemvolume mogelijk niet willen of moeten versleutelen. Als het systeemstation niet wordt beveiligd door BitLocker, markeert failovercluster dit als een gebeurtenis tijdens het ontgrendelen/onlineproces. De weergegeven gebeurtenis ziet er ongeveer als volgt uit:

Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1

Validatie van failovercluster registreert een bericht als wordt gedetecteerd dat dit een Active Directory-loze installatie of werkgroep is en het systeemvolume niet is versleuteld.