Использование BitLocker с общими томами кластера (CSV)

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

Область применения: Windows Server 2022; Azure Stack HCI, версии 22H2 и 21H2

Обзор BitLocker

Шифрование диска BitLocker — это функция защиты данных, которая интегрируется с операционной системой и устраняет угрозы кражи или раскрытия данных от потерянных, украденных или неадекватно списанных компьютеров.

Шифрование BitLocker обеспечивает максимальную защиту при использовании с доверенным платформенным модулем (TPM) версии 1.2 или выше. TPM — это аппаратный компонент, установленный на многих новых компьютерах производителями компьютеров. TPM работает вместе с BitLocker, чтобы защищать пользовательские данные и предотвращать взлом системы в автономном режиме.

На компьютерах, у которых нет доверенного платформенного модуля версии 1.2 или более поздней версии, вы по-прежнему можете использовать BitLocker для шифрования диска операционной системы Windows. В этом случае пользователю потребуется вставлять USB-ключ запуска, чтобы запускать компьютер или пробуждать его из спящего режима. Начиная с Windows 8, можно использовать пароль тома операционной системы для защиты тома на компьютере без доверенного платформенного модуля. Ни в чем не предусмотрена проверка целостности системы перед запуском, предлагаемая BitLocker с помощью доверенного платформенного модуля.

Помимо доверенного платформенного модуля BitLocker позволяет заблокировать обычный процесс запуска до тех пор, пока пользователь не предоставит личный идентификационный номер (ПИН-код) или вставляет съемный устройство. Это устройство может быть USB-флэш-накопителем, содержащим ключ запуска. Эти дополнительные меры безопасности обеспечивают многофакторную проверку подлинности и убедитесь, что компьютер не будет запускаться или возобновлять работу с гибернацией до тех пор, пока не будет представлен правильный ПИН-код или ключ запуска.

Общие сведения о томах кластера

Общие тома кластера (CSV) позволяют нескольким узлам в отказоустойчивом кластере Windows Server или Azure Stack HCI одновременно иметь доступ на чтение и запись к одному и тому же логическому номеру единицы (LUN) или диску, подготовленному в качестве тома NTFS. Диск можно подготовить как отказоустойчивую файловую систему (ReFS). Однако диск CSV находится в перенаправленном режиме, что означает, что доступ на запись отправляется на узел координатора. С помощью CSV кластеризованные роли могут быстро выполнять отработку отказа с одного узла на другой, не требуя изменения владения диском или отключения и повторного подключения тома. Тома CSV также помогают упростить управление большим числом LUN в отказоустойчивом кластере.

CSV-файл предоставляет кластеризованную файловую систему с уровнем над NTFS или ReFS. Тома CSV применяются в следующих целях:

• Кластеризованные файлы виртуального жесткого диска (VHD/VHDX) для кластеризованных виртуальных машин Hyper-V
• Горизонтальное масштабирование общих папок для хранения данных приложения для кластеризованной роли файлового сервера горизонтального масштабирования. К примерам данных приложений для этой роли относятся файлы виртуальных машин Hyper-V и данные Microsoft SQL Server. ReFS не поддерживается для файлового сервера горизонтального масштабирования в Windows Server 2012 R2 и более ранних версий. Дополнительные сведения о масштабируемом файловом сервере см. в разделе "Масштабируемый файловый сервер" для данных приложения.
• Кластеризованная рабочая нагрузка Microsoft SQL Server 2014 (или более поздней версии) экземпляра отказоустойчивого кластера (FCI) Microsoft SQL Server в SQL Server 2012 и более ранних версиях SQL Server не поддерживает использование CSV.
• Windows Server 2019 или более поздней версии Microsoft Distributed Transaction Control (MSDTC)

Использование BitLocker с общими томами кластера

BitLocker на томах в кластере управляется на основе того, как служба кластера "представления" тома должна быть защищена. Том может быть ресурсом физического диска, таким как логический номер единицы (LUN) в сети хранения (SAN) или подключенном к сети хранилища (NAS).

Кроме того, том может быть общим томом кластера (CSV) в кластере. При использовании BitLocker с томами, назначенными для кластера, том можно включить с помощью BitLocker перед его добавлением в кластер или в кластере. Перед включением BitLocker поместите ресурс в режим обслуживания.

Windows PowerShell или интерфейс командной строки Manage-BDE — это предпочтительный способ управления BitLocker на томах CSV. Этот метод рекомендуется использовать для элемента BitLocker панель управления, так как тома CSV являются точками подключения. Точки подключения — это объект NTFS, используемый для предоставления точки входа другим томам. Точки подключения не требуют использования буквы диска. Тома, которые не имеют букв диска, не отображаются в элементе BitLocker панель управления.

BitLocker разблокирует защищенные тома без вмешательства пользователя, пытаясь защитить их в следующем порядке:

1. Очистить ключ

2. Ключ автоматической разблокировки на основе драйверов

3. Средство защиты ADAccountOrGroup

   1. Средство защиты контекста службы

   2. Средство защиты пользователей

4. Ключ автоматической разблокировки на основе реестра

Для отказоустойчивого кластера требуется параметр защиты на основе Active Directory для ресурса диска кластера. В противном случае ресурсы CSV недоступны в элементе панель управления.

Средство защиты домен Active Directory служб (AD DS) для защиты кластеризованных томов, содержащихся в инфраструктуре AD DS. Защита ADAccountOrGroup — это идентификатор безопасности домена (SID), который может быть привязан к учетной записи пользователя, учетной записи компьютера или группе. Когда запрос разблокировки выполняется для защищенного тома, служба BitLocker прерывает запрос и использует API-интерфейсы защиты BitLocker, чтобы разблокировать или запретить запрос.

Новые функции

В предыдущих версиях Windows Server и Azure Stack HCI единственный поддерживаемый средство защиты шифрования — это средство защиты на основе sid, где используемая учетная запись — объект имени кластера (CNO), созданный в Active Directory в рамках создания отказоустойчивой кластеризации. Это безопасная конструкция, так как средство защиты хранится в Active Directory и защищено паролем CNO. Кроме того, она упрощает подготовку и разблокировку томов, так как каждый узел отказоустойчивого кластера имеет доступ к учетной записи CNO.

Недостатком является три раза:

1. Этот метод, очевидно, не работает при создании отказоустойчивого кластера без доступа к контроллеру Active Directory в центре обработки данных.

2. Разблокировка тома в рамках отработки отказа может занять слишком много времени (и, возможно, время ожидания), если контроллер Active Directory не отвечает или медленно.

3. Процесс подключения диска завершается ошибкой, если контроллер Active Directory недоступен.

Добавлена новая функция, которая создает отказоустойчивую кластеризацию и поддерживает собственный средство защиты ключей BitLocker для тома. Он будет зашифрован и сохранен в локальной базе данных кластера. Так как база данных кластера — это реплика хранилище, поддерживаемое системным томом на каждом узле кластера, системный том на каждом узле кластера также должен быть защищен BitLocker. Отказоустойчивая кластеризация не применяет его, так как некоторые решения могут не потребоваться или требуется шифровать системный том. Если системный диск не разблокирован, отказоустойчивый кластер помечает это как предупреждение во время онлайн-процесса разблокировки. Проверка отказоустойчивого кластера регистрирует сообщение, если обнаруживается, что это настройка active Directory или рабочая группа, а системный том не зашифрован.

Установка шифрования BitLocker

BitLocker — это функция, которую необходимо добавить ко всем узлам кластера.

Добавление BitLocker с помощью диспетчера сервера

1. Откройте диспетчер сервера, выбрав значок диспетчер сервера или выполнив servermanager.exe.

2. Выберите "Управление" на панели навигации диспетчер сервера и выберите "Добавить роли и компоненты", чтобы запустить мастер добавления ролей и компонентов.

3. При открытии мастера добавления ролей и компонентов нажмите кнопку "Далее" в области "Перед началом работы" (если показано).

4. Выберите установку на основе ролей или компонентов на панели типов установки в области мастера добавления ролей и компонентов и нажмите кнопку "Далее".

5. Выберите сервер из параметра пула серверов в области выбора сервера и подтвердите сервер для установки компонента BitLocker.

6. Нажмите кнопку "Далее" на панели "Роли сервера" мастера добавления ролей и компонентов, чтобы перейти к панели "Компоненты".

7. Выберите поле проверка рядом с шифрованием диска BitLocker в области "Компоненты" мастера добавления ролей и компонентов. В мастере будут отображены дополнительные возможности управления, доступные для BitLocker. Если вы не хотите устанавливать эти функции, отключите параметр "Включить средства управления" и выберите " Добавить компоненты". После завершения выбора дополнительных компонентов нажмите кнопку "Далее ".

Примечание.

Функция расширенной служба хранилища является обязательной функцией для включения BitLocker. Эта функция обеспечивает поддержку зашифрованных жестких дисков в системах с поддержкой.

1. Выберите "Установить" на панели подтверждения мастера добавления ролей и компонентов, чтобы начать установку компонентов BitLocker. Для завершения установки BitLocker требуется выполнить перезагрузку. Если в области подтверждения выбран параметр "Перезапустить целевой сервер", после завершения установки перезагрузится компьютер.

2. Если флажок "Перезапустить целевой сервер" автоматически, если требуется проверка не выбран, панель результатов мастера добавления ролей и компонентов отобразит успешное или сбой установки компонента BitLocker. При необходимости в тексте результатов будет отображаться уведомление о дополнительных действиях, которые необходимо выполнить для завершения установки компонента, таких как перезагрузка компьютера.

Добавление BitLocker с помощью PowerShell

Используйте следующую команду для каждого сервера:

Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools

Чтобы выполнить команду на всех серверах кластера одновременно, используйте следующий сценарий, изменив список переменных в начале, чтобы соответствовать вашей среде:

Заполните эти переменные значениями.

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker"

Эта часть запускает командлет Install-WindowsFeature на всех серверах в $ServerList, передав список функций в $FeatureList.

Invoke-Command ($ServerList) {  
    Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools 
}

Затем перезапустите все серверы:

$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos

Одновременно можно добавить несколько ролей и компонентов. Например, чтобы добавить BitLocker, отказоустойчивую кластеризацию и роль файлового сервера, $FeatureList будет включать все необходимые элементы, разделенные запятой. Например:

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”

Подготовка зашифрованного тома

Подготовка диска с шифрованием BitLocker может быть выполнена, когда диск является частью отказоустойчивого кластера или за ее пределами перед добавлением. Чтобы автоматически создать средство защиты внешних ключей, перед включением BitLocker диск должен быть ресурсом в отказоустойчивом кластере. Если BitLocker включен перед добавлением диска в отказоустойчивый кластер, необходимо выполнить дополнительные действия вручную, чтобы создать средство защиты внешних ключей.

Подготовка зашифрованных томов потребует выполнения команд PowerShell с правами администратора. Существует два варианта шифрования дисков и создание отказоустойчивой кластеризации с возможностью создания и использования собственных ключей BitLocker.

1. Внутренний ключ восстановления

2. Файл ключа внешнего восстановления

Шифрование с помощью ключа восстановления

Шифрование дисков с помощью ключа восстановления позволит создать и добавить ключ восстановления BitLocker в базу данных кластера. Так как диск поступает в интернет, он должен обращаться только к локальному кластеру hive для ключа восстановления.

Переместите ресурс диска на узел, где будет включено шифрование BitLocker:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1

Поместите ресурс диска в режим обслуживания:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource

Откроется диалоговое окно, которое говорит:

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Чтобы продолжить, нажмите кнопку "Да".

Чтобы включить шифрование BitLocker, выполните следующую команду:

Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector

После ввода команды появится предупреждение и предоставляется числовой пароль восстановления. Сохраните пароль в безопасном расположении, так как он также необходим в предстоящем шаге. Предупреждение выглядит примерно так:

WARNING: ACTIONS REQUIRED:

    1. Save this numerical recovery password in a secure location away from your computer:
        
        271733-258533-688985-480293-713394-034012-061963-682044

    To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.

Чтобы получить сведения о защите BitLocker для тома, можно выполнить следующую команду:

(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector

При этом будет отображаться идентификатор предохранителя ключей и строка пароля восстановления.

KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :

Идентификатор защиты ключей и пароль восстановления будут необходимы и сохранены в новом частном свойстве физического диска с именем BitLockerProtectorInfo. Это новое свойство будет использоваться при выходе ресурса из режима обслуживания. Формат предохранителя будет строкой, в которой идентификатор предохранителя и пароль разделены символом ":".

Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create

Чтобы убедиться, что ключ и значение BitlockerProtectorInfo заданы, выполните команду:

Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo

Теперь, когда информация присутствует, диск можно извлечь из режима обслуживания после завершения процесса шифрования.

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource

Если ресурс не в сети, это может быть проблема с хранилищем, неправильный пароль восстановления или некоторые проблемы. Убедитесь, что ключ BitlockerProtectorInfo содержит правильные сведения. Если это не так, команды, указанные ранее, должны выполняться снова. Если проблема не связана с этим ключом, рекомендуется получить соответствующую группу в организации или поставщик хранилища, чтобы устранить эту проблему.

Если ресурс поступает в Интернет, информация правильно. В процессе выхода из режима обслуживания ключ BitlockerProtectorInfo удаляется и шифруется под ресурсом в базе данных кластера.

Шифрование с помощью файла внешнего ключа восстановления

Шифрование дисков с помощью файла ключа восстановления позволит создать и получить доступ к ключу восстановления BitLocker из расположения, к которому имеют доступ все узлы, например файловый сервер. По мере подключения диска узел, принадлежащий узлу будет подключаться к ключу восстановления.

Переместите ресурс диска на узел, где будет включено шифрование BitLocker:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2

Поместите ресурс диска в режим обслуживания:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource

Откроется диалоговое окно

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Чтобы продолжить, нажмите кнопку "Да".

Чтобы включить шифрование BitLocker и создать файл защиты ключей локально, выполните следующую команду. Сначала создайте файл, а затем переместите его в расположение, доступное всем узлам.

Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster

Чтобы получить сведения о защите BitLocker для тома, можно выполнить следующую команду:

(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector

При этом будет отображаться идентификатор предохранителя ключа и имя файла ключа, которое он создает.

KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :

При переходе к папке, в которую он был указан, вы не увидите ее на первый взгляд. Причина заключается в том, что он будет создан как скрытый файл. Например:

C:\Windows\Cluster\>dir f03  

Directory of C:\\Windows\\Cluster 

File Not Found 

C:\Windows\Cluster\>dir /a f03  

Directory of C:\Windows\Cluster 

<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK 

C:\Windows\Cluster\>attrib f03 

A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Так как он создается на локальном пути, его необходимо скопировать в сетевой путь, чтобы все узлы имели к нему доступ с помощью команды Copy-Item .

Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir

Так как диск будет использовать файл и находится в общей сетевой папке, доведите диск из режима обслуживания, указав путь к файлу. После завершения работы диска с шифрованием команда возобновления будет:

Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

После подготовки диска — *. BEK-файл можно удалить из общей папки и больше не нужен.

Новые командлеты PowerShell

С помощью этой новой функции были созданы два новых командлета для подключения ресурса к сети или возобновления ресурса вручную с помощью ключа восстановления или файла ключа восстановления.

Start-ClusterPhysicalDiskResource

Пример 1

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Пример 2

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Resume-ClusterPhysicalDiskResource

Пример 1

    Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Пример 2

     Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Новые события

В канале событий Microsoft-Windows-FailoverClustering/Operations добавлены несколько новых событий.

При успешном создании файла защиты ключей или ключа показанное событие будет похоже на следующее:

Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.

Если возникает сбой при создании файла защиты ключей или ключа, это событие будет похоже на следующее:

Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume

Как упоминание ранее, так как база данных кластера является реплика хранилищем, поддерживаемым системным томом на каждом узле кластера, рекомендуется также защитить системный том на каждом узле кластера. Отказоустойчивая кластеризация не будет применяться, так как некоторые решения могут не потребоваться или не нужно шифровать системный том. Если системный диск не защищен BitLocker, отказоустойчивый кластер помечает это событие во время разблокировки или онлайн-процесса. Показанное событие будет похоже на следующее:

Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1

Проверка отказоустойчивого кластера регистрирует сообщение, если оно обнаруживает, что это настройка active Directory или рабочая группа, а системный том не зашифрован.