Używanie funkcji BitLocker z udostępnionymi woluminami klastra (CSV)
Omówienie funkcji BitLocker
Szyfrowanie dysków funkcją BitLocker to funkcja ochrony danych, która integruje się z systemem operacyjnym i eliminuje zagrożenia kradzieży lub narażenia danych przed utratą, kradzieżą lub niewłaściwie zlikwidowanymi komputerami.
Funkcja BitLocker zapewnia największą ochronę w przypadku użycia z modułem TPM (Trusted Platform Module) w wersji 1.2 lub nowszej. Moduł TPM jest składnikiem sprzętowym zainstalowanym na wielu nowszych komputerach przez producentów komputerów. Działa z funkcją BitLocker, aby chronić dane użytkownika i zapewnić, że komputer nie został naruszony, gdy system był w trybie offline.
Na komputerach, które nie mają modułu TPM w wersji 1.2 lub nowszej, nadal można użyć funkcji BitLocker do szyfrowania dysku systemu operacyjnego Windows. Jednak ta implementacja wymaga od użytkownika wstawienia klucza uruchamiania USB w celu uruchomienia komputera lub wznowienia z hibernacji. Począwszy od systemu Windows 8, można użyć hasła woluminu systemu operacyjnego, aby chronić wolumin na komputerze bez modułu TPM. Żadna z opcji nie zapewnia weryfikacji integralności systemu przed uruchomieniem, jaką oferuje BitLocker z modułem TPM.
Oprócz modułu TPM funkcja BitLocker umożliwia zablokowanie normalnego procesu uruchamiania, dopóki użytkownik nie dostarczy osobistego numeru identyfikacyjnego (PIN) lub wstawi urządzenie wymienne. To urządzenie może być dyskiem flash USB zawierającym klucz uruchamiania. Te dodatkowe środki zabezpieczeń zapewniają uwierzytelnianie wieloskładnikowe i zapewnienie, że komputer nie zostanie uruchomiony lub wznowiony od hibernacji, dopóki nie zostanie wyświetlony prawidłowy numer PIN lub klucz uruchamiania.
Omówienie udostępnionych woluminów klastra
Udostępnione woluminy klastra (CSV) umożliwiają jednoczesny dostęp do odczytu i zapisu do tego samego numeru jednostki logicznej (LUN) lub dysku. Taki dostęp jest możliwy dla wielu węzłów w klastrze trybu failover systemu Windows Server lub lokalnie na platformie Azure, przy czym wolumin jest aprowizowany jako wolumin NTFS. Dysk można aprowizować jako odporny system plików (ReFS). Jednak dysk CSV jest w trybie przekierowania, co oznacza, że dostęp do zapisu jest wysyłany do węzła koordynatora. Dzięki CSV role klastrowane mogą automatycznie przełączać się z jednego węzła na inny bez potrzeby zmiany własności dysku lub odmontowywania i ponownego montowania woluminu. CSV również ułatwia zarządzanie potencjalnie dużą liczbą jednostek LUN w klastrze przełączania awaryjnego.
CSV zapewnia klastrowany system plików ogólnego przeznaczenia, który działa na warstwie powyżej systemu plików NTFS lub ReFS. Aplikacje CSV obejmują:
- Klastrowane pliki wirtualnego dysku twardego (VHD/VHDX) dla klastrowanych maszyn wirtualnych Hyper-V
- Rozszerzanie zasobów plikowych w poziomie w celu przechowywania danych aplikacyjnych dla klastrowej roli serwera plików Scale-Out. Przykłady danych aplikacji dla tej roli obejmują Hyper-V pliki maszyn wirtualnych i dane programu Microsoft SQL Server. System plików ReFS nie jest obsługiwany dla serwera plików Scale-Out w systemie Windows Server 2012 R2 i starszych wersjach. Aby uzyskać więcej informacji na temat serwera plików Scale-Out, zobacz Scale-Out File Server for Application Data.
- Instancja klastra awaryjnego (FCI) w programie Microsoft SQL Server 2014 (lub nowszym) i wcześniejsze wersje programu SQL Server, takie jak SQL Server 2012, nie obsługują użycia woluminów CSV.
- Windows Server 2019 lub nowszy Microsoft Distributed Transaction Control (MSDTC)
Korzystanie z BitLocker z udostępnionymi woluminami klastra
BitLocker na woluminach w klastrze jest zarządzana na podstawie tego, jak usługa klastra "postrzega" wolumin do ochrony. Wolumin może być zasobem dysku fizycznego, takim jak numer jednostki logicznej (LUN) w sieci magazynowania (SAN) lub magazyn dołączony do sieci (NAS).
Alternatywnie wolumin może być Woluminem Udostępnionym Klastra (CSV) w ramach klastra. W przypadku korzystania z BitLocker z woluminami wyznaczonymi dla klastra, wolumin można włączyć za pomocą BitLocker przed dodaniem do klastra lub będąc w klastrze. Przed włączeniem funkcji BitLocker umieść zasób w tryb konserwacji.
Windows PowerShell lub Manage-BDE interfejs wiersza polecenia jest preferowaną metodą zarządzania funkcją BitLocker na woluminach CSV. Ta metoda jest zalecana zamiast elementu Panelu Sterowania BitLocker, ponieważ woluminy CSV są punktami montowania. Punkty montowania to obiekt NTFS, który zapewnia punkt wejścia do innych woluminów. Punkty instalacji nie wymagają użycia litery dysku. Woluminy, które nie mają liter dysku, nie są wyświetlane w elemencie Panel Sterowania BitLocker.
Funkcja BitLocker odblokowuje chronione woluminy bez interwencji użytkownika, stosując zabezpieczenia w następującej kolejności:
Wyczyść klucz
Klucz automatycznego odblokowywania oparty na sterownikach
funkcji ochrony ADAccountOrGroup
Ochrona kontekstu usługi
Ochrona użytkownika
Klucz automatycznego odblokowywania opartego na rejestrze
Klaster failover wymaga opcji ochrony opartej na usłudze Active Directory dla zasobu dyskowego klastra. W przeciwnym razie zasoby CSV nie są dostępne w elemencie Panel sterowania.
Ochrona dla usługi Active Directory Domain Services (AD DS) do ochrony klastrowanych woluminów przechowywanych w infrastrukturze AD DS. Protektor ADAccountOrGroup to protektor oparty na identyfikatorze zabezpieczeń domeny (SID), który można powiązać z kontem użytkownika, kontem komputera lub grupą. Po wysłaniu żądania odblokowania dla woluminu chronionego usługa BitLocker przerywa żądanie i używa interfejsów API ochrony/wyłączania ochrony funkcji BitLocker w celu odblokowania lub odmowy żądania.
Nowa funkcja
W poprzednich wersjach systemów Windows Server i Azure Local jedyną obsługiwaną funkcją ochrony szyfrowania jest funkcja ochrony oparta na identyfikatorze SID, w której używane konto jest obiektem nazwy klastra (CNO), który jest tworzony w usłudze Active Directory w ramach tworzenia klastra trybu failover. Ten projekt jest bezpieczny, ponieważ mechanizm ochrony jest przechowywany w usłudze Active Directory i chroniony hasłem obiektu CNO. Ponadto ułatwia aprowizowanie i odblokowywanie woluminów, ponieważ każdy węzeł klastra trybu failover ma dostęp do konta obiektu CNO.
Wadą są trzy aspekty:
Ta metoda oczywiście nie działa, gdy klaster trybu failover jest tworzony bez dostępu do kontrolera usługi Active Directory w centrum danych.
Odblokowanie woluminu w ramach trybu failover może trwać zbyt długo (i prawdopodobnie może zakończyć się przekroczeniem limitu czasu), jeśli kontroler usługi Active Directory nie odpowiada lub działa wolno.
Proces online dysku kończy się niepowodzeniem, jeśli kontroler usługi Active Directory nie jest dostępny.
Dodano nową funkcjonalność, która pozwala na to, że Klaster Trybu Failover generuje i utrzymuje własny zabezpieczyciel klucza BitLocker dla woluminu. Zostanie ona zaszyfrowana i zapisana w lokalnej bazie danych klastra. Ponieważ baza danych klastra jest replikowanym magazynem wspieranym przez wolumin systemowy w każdym węźle klastra, wolumin systemowy w każdym węźle klastra powinien być również chroniony funkcją BitLocker. Klaster failover nie wymusza tego, ponieważ niektóre rozwiązania mogą nie chcieć lub nie potrzebować zaszyfrować woluminu systemowego. Jeśli dysk systemowy nie jest zaszyfrowany przy użyciu BitLocker, klaster failover oznacza to jako zdarzenie ostrzegawcze podczas procesu podłączania do sieci i odblokowywania. Weryfikacja klastra przełączania awaryjnego rejestruje komunikat, jeśli wykryje, że jest to konfiguracja bez Active Directory lub w grupie roboczej, a wolumin systemowy nie jest zaszyfrowany.
Instalowanie szyfrowania funkcją BitLocker
Funkcja BitLocker to funkcja, która musi zostać dodana do wszystkich węzłów klastra.
Dodawanie funkcji BitLocker przy użyciu Menedżera serwera
Otwórz menedżera serwera , wybierając ikonę Menedżera serwera lub uruchamiając servermanager.exe.
Wybierz Zarządzaj na pasku nawigacyjnym Menedżera serwera, a następnie wybierz Dodaj role i funkcje, aby uruchomić Kreatora dodawania ról i funkcji .
Po otwarciu Kreatora dodawania ról i funkcji wybierz pozycję Dalej w okienku Przed rozpoczęciem (jeśli jest to pokazane).
Wybierz instalacja oparta na rolach lub funkcjach w okienk u typ instalacji okienka Kreator dodawania ról i funkcji i wybierz pozycję Dalej, aby kontynuować.
Wybierz opcję Wybierz serwer z puli serwerów w okienku Wybór serwera i potwierdź serwer do instalacji funkcji BitLocker.
Wybierz pozycję
Dalej w okienku role serwera , aby przejść do okienka funkcjeKreatora dodawania ról i funkcji . Zaznacz pole wyboru obok szyfrowanie dysków funkcją BitLockerw okienku Funkcje Kreator dodawania ról i funkcji. Kreator wyświetli dodatkowe funkcje zarządzania dostępne dla BitLocker. Jeśli nie chcesz instalować tych funkcji, usuń zaznaczenie opcji Uwzględnij narzędzia do zarządzania i wybierz opcję Dodaj funkcje. Po zakończeniu wyboru opcjonalnych funkcji wybierz pozycję Dalej, aby kontynuować.
Notatka
Funkcja rozszerzonego magazynu jest wymagana do włączenia BitLocker. Ta funkcja umożliwia obsługę szyfrowanych dysków twardych na systemach, które to umożliwiają.
Wybierz pozycję
Zainstaluj w okienku potwierdzenia , aby rozpocząć instalację funkcji BitLocker. Funkcja BitLocker wymaga ponownego uruchomienia do ukończenia. Wybranie opcji Uruchom ponownie serwer docelowy automatycznie, jeśli jest to wymagane w okienku Potwierdzenie spowoduje wymuszone ponowne uruchomienie komputera po zakończeniu instalacji.Kreatora dodawania ról i funkcji Jeśli pole wyboru Uruchom ponownie serwer docelowy automatycznie, jeśli jest wymagane, nie jest zaznaczone, okienko Wyniki w Kreatorze dodawania ról i funkcji wyświetli, czy instalacja funkcji BitLocker zakończyła się powodzeniem, czy niepowodzeniem. W razie potrzeby w tekście wyników zostanie wyświetlone powiadomienie o dodatkowej akcji niezbędnej do ukończenia instalacji funkcji, takiej jak ponowne uruchomienie komputera.
Dodawanie funkcji BitLocker przy użyciu programu PowerShell
Użyj następującego polecenia dla każdego serwera:
Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools
Aby uruchomić polecenie na wszystkich serwerach klastra w tym samym czasie, użyj następującego skryptu, modyfikując listę zmiennych na początku, aby dopasować je do środowiska:
Wypełnij te zmienne swoimi wartościami.
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker"
Ta część uruchamia polecenie cmdlet Install-WindowsFeature na wszystkich serwerach w $ServerList, przekazując listę funkcji w $FeatureList.
Invoke-Command ($ServerList) {
Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools
}
Następnie uruchom ponownie wszystkie serwery:
$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos
Jednocześnie można dodać wiele ról i funkcji. Na przykład, aby dodać funkcję BitLocker, klastrowanie trybu failover i rolę serwera plików, $FeatureList powinien zawierać wszystkie potrzebne elementy rozdzielone przecinkami. Na przykład:
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”
Utwórz zaszyfrowany wolumin
Konfigurowanie dysku z szyfrowaniem BitLocker można przeprowadzić, gdy dysk jest częścią klastra trybu failover lub przed jego dodaniem. Aby automatycznie utworzyć funkcję ochrony klucza zewnętrznego, dysk musi być zasobem w klastrze trybu failover przed włączeniem funkcji BitLocker. Jeśli funkcja BitLocker jest włączona przed dodaniem dysku do klastra trybu failover, należy wykonać dodatkowe czynności ręczne w celu utworzenia funkcji ochrony klucza zewnętrznego.
Aprowizowanie zaszyfrowanych woluminów wymaga uruchomienia poleceń programu PowerShell z uprawnieniami administracyjnymi. Istnieją dwie opcje szyfrowania dysków, aby klaster trybu failover mógł tworzyć i używać swoich własnych kluczy BitLocker.
Wewnętrzny klucz odzyskiwania
Plik klucza odzyskiwania zewnętrznego
Szyfrowanie przy użyciu klucza odzyskiwania
Szyfrowanie dysków przy użyciu klucza odzyskiwania umożliwi utworzenie klucza odzyskiwania BitLocker i jego dodanie do bazy danych klastra. Gdy dysk zostaje uruchomiony, wystarczy skonsultować się z lokalnym klastrykiem, aby uzyskać klucz odzyskiwania.
Przenieś zasób dysku do węzła, w którym zostanie włączone szyfrowanie funkcją BitLocker:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1
Umieść zasób dysku w trybie konserwacji:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource
Zostanie wyświetlone okno dialogowe z informacją:
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Aby kontynuować, naciśnij Tak.
Aby włączyć szyfrowanie funkcją BitLocker, uruchom polecenie:
Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector
Po wprowadzeniu polecenia zostanie wyświetlone ostrzeżenie i zostanie wyświetlone numeryczne hasło odzyskiwania. Zapisz hasło w bezpiecznej lokalizacji, ponieważ jest ono również potrzebne w nadchodzącym kroku. Ostrzeżenie wygląda podobnie do następującego:
WARNING: ACTIONS REQUIRED:
1. Save this numerical recovery password in a secure location away from your computer:
271733-258533-688985-480293-713394-034012-061963-682044
To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.
Aby uzyskać informacje o funkcji ochrony BitLocker dla woluminu, można wykonać następujące polecenie:
(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector
Spowoduje to wyświetlenie zarówno identyfikatora ochrony klucza, jak i ciągu hasła odzyskiwania.
KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :
Identyfikator ochrony klucza i hasło odzyskiwania będą potrzebne i zapisane w nowej właściwości prywatnej dysku fizycznego o nazwie BitLockerProtectorInfo. Ta nowa właściwość będzie używana, gdy zasób wyjdzie z trybu konserwacji. Format ochrony będzie ciągiem, w którym identyfikator ochrony i hasło są oddzielone ciągiem ":".
Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create
Aby sprawdzić, czy ustawiono klucz i wartość BitlockerProtectorInfo, uruchom polecenie:
Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo
Teraz, gdy informacje są obecne, dysk można wyprowadzić z trybu konserwacji po zakończeniu procesu szyfrowania.
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource
Jeśli zasób nie będzie dostępny w trybie online, może to być problem z magazynem, nieprawidłowe hasło odzyskiwania lub jakiś problem. Sprawdź, czy klucz BitlockerProtectorInfo ma odpowiednie informacje. Jeśli tak nie jest, podane wcześniej polecenia powinny być uruchamiane ponownie. Jeśli problem nie jest związany z tym kluczem, zalecamy skontaktowanie się z odpowiednią jednostką w organizacji lub z dostawcą rozwiązań magazynowych, aby rozwiązać ten problem.
Jeśli zasób jest dostępny w trybie online, informacje są poprawne. Podczas procesu wychodzenia z trybu konserwacji klucz BitlockerProtectorInfo jest usuwany i szyfrowany pod zasobem w bazie danych klastra.
Szyfrowanie przy użyciu pliku klucza odzyskiwania zewnętrznego
Szyfrowanie dysków przy użyciu pliku klucza odzyskiwania umożliwi utworzenie i uzyskanie dostępu do klucza odzyskiwania funkcji BitLocker z lokalizacji, do której wszystkie węzły mają dostęp, na przykład do serwera plików. Gdy dysk będzie dostępny online, węzeł, który jest jego właścicielem, połączy się z kluczem odzyskiwania.
Przenieś zasób dysku do węzła, w którym zostanie włączone szyfrowanie funkcją BitLocker:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2
Umieść zasób dysku w trybie konserwacji:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource
Zostanie wyświetlone okno dialogowe
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Aby kontynuować, naciśnij Tak.
Aby włączyć szyfrowanie funkcją BitLocker i utworzyć plik ochrony klucza lokalnie, uruchom następujące polecenie. Najpierw należy utworzyć plik lokalnie, a następnie przenieść go do lokalizacji dostępnej dla wszystkich węzłów.
Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster
Aby uzyskać informacje dotyczące osłony BitLocker dla woluminu, można uruchomić następujące polecenie:
(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector
Spowoduje to wyświetlenie zarówno identyfikatora ochrony klucza, jak i nazwy pliku klucza, który zostanie utworzony.
KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
Podczas przechodzenia do folderu, w którym określono jego utworzenie, nie zobaczysz go na pierwszy rzut oka. Rozumowanie polega na tym, że zostanie on utworzony jako ukryty plik. Na przykład:
C:\Windows\Cluster\>dir f03
Directory of C:\\Windows\\Cluster
File Not Found
C:\Windows\Cluster\>dir /a f03
Directory of C:\Windows\Cluster
<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
C:\Windows\Cluster\>attrib f03
A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Ponieważ jest on tworzony w ścieżce lokalnej, należy go skopiować do ścieżki sieciowej, aby wszystkie węzły miały do niego dostęp przy użyciu polecenia copy-item
Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir
Ponieważ dysk używa pliku i znajduje się w udziale sieciowym, wyłącz tryb konserwacji dysku, określając ścieżkę do pliku. Po zakończeniu szyfrowania dysku polecenie wznowienia będzie następujące:
Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Po skonfigurowaniu dysku plik *.BEK można usunąć z udostępnionego zasobu i nie jest już potrzebny.
Nowe cmdlety programu PowerShell
W przypadku tej nowej funkcji zostały utworzone dwa nowe polecenia cmdlet, aby przenieść zasób w tryb online lub wznowić zasób ręcznie przy użyciu klucza odzyskiwania lub pliku klucza odzyskiwania.
Start-ClusterPhysicalDiskResource
Przykład 1
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
przykład 2
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Resume-ClusterPhysicalDiskResource
Przykład 1
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
przykład 2
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Nowe zdarzenia
Dodano kilka nowych zdarzeń, które znajdują się w kanale zdarzeń Microsoft-Windows-FailoverClustering/Operational.
Po pomyślnym utworzeniu funkcji ochrony klucza lub pliku ochrony klucza wyświetlane zdarzenie będzie podobne do następującego:
Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.
Jeśli wystąpił błąd podczas tworzenia funkcji ochrony klucza lub pliku ochrony klucza, pokazane zdarzenie będzie podobne do następującego:
Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume
Jak wspomniano wcześniej, ponieważ baza danych klastra jest replikowanym magazynem wspieranym przez wolumin systemowy w każdym węźle klastra, zaleca się, aby wolumin systemowy w każdym węźle klastra był również chroniony funkcją BitLocker. Klaster obsługujący awaryjne przełączanie nie będzie tego wymuszał, ponieważ niektóre rozwiązania mogą nie chcieć ani nie potrzebować szyfrowania woluminu systemowego. Jeśli dysk systemowy nie jest zabezpieczony przez funkcję BitLocker, klaster trybu failover oznaczy to jako zdarzenie podczas procesu odblokowywania i uruchamiania online. Wyświetlone zdarzenie będzie podobne do następującego:
Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1
Sprawdzanie poprawności klastra trybu failover rejestruje komunikat, jeśli wykryje, że jest to konfiguracja bez usługi Active Directory lub grupy roboczej, a wolumin systemowy nie jest zaszyfrowany.