Använda BitLocker med klusterdelade volymer (CSV)

• Gäller för:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Azure Local, versions 23H2 and 22H2

Översikt över BitLocker

BitLocker-diskkryptering är en dataskyddsfunktion som integreras med operativsystemet och hanterar hot om datastöld eller exponering från förlorade, stulna eller otillräckligt inaktiverade datorer.

BitLocker ger mest skydd när det används med en TPM-version (Trusted Platform Module) version 1.2 eller senare. TPM är en maskinvarukomponent som installeras på många nyare datorer av datortillverkare. Det fungerar med BitLocker för att skydda användardata och för att säkerställa att en dator inte har manipulerats när systemet var offline.

På datorer som inte har TPM version 1.2 eller senare kan du fortfarande använda BitLocker för att kryptera Windows-operativsystemenheten. Den här implementeringen kräver dock att användaren infogar en USB-startnyckel för att starta datorn eller återuppta från viloläge. Från och med Windows 8 kan du använda ett volymlösenord för operativsystemet för att skydda volymen på en dator utan TPM. Inget av alternativen tillhandahåller systemintegritetsverifiering före start som erbjuds av BitLocker med en TPM.

Utöver TPM ger BitLocker dig möjlighet att låsa den normala startprocessen tills användaren anger ett personligt ID-nummer (PIN) eller infogar en flyttbar enhet. Den här enheten kan vara ett USB-minne som innehåller en startnyckel. Dessa ytterligare säkerhetsåtgärder ger multifaktorautentisering och försäkrar att datorn inte startar eller återupptar från viloläge förrän rätt PIN-kod eller startnyckel visas.

Översikt över klusterdelade volymer

Klusterdelade volymer (CSV) gör det möjligt för flera noder i ett Windows Server-redundanskluster eller Azure Local att samtidigt ha läs- och skrivåtkomst till samma logiska enhetsnummer (LUN) eller disk som etableras som en NTFS-volym. Disken kan etableras som ReFS (Resilient File System). CSV-drivenheten är dock i omdirigeringsläge, vilket innebär att skrivåtkomster skickas till koordinatornoden. Med CSV kan klustrade roller snabbt redundansväxla från en nod till en annan utan att kräva en ändring i enhetsägande, eller demontera och montera om en volym. CSV hjälper också till att förenkla hanteringen av ett potentiellt stort antal LUN i ett redundanskluster.

CSV tillhandahåller ett grupperat filsystem för generell användning som ligger över NTFS eller ReFS. CSV-program omfattar:

• Klustrade virtuella hårddiskfiler (VHD/VHDX) för klustrade Hyper-V virtuella datorer
• Skala ut filresurser för att lagra programdata för den Scale-Out filserverklusterrollen. Exempel på programdata för den här rollen är Hyper-V virtuella datorfiler och Microsoft SQL Server-data. ReFS stöds inte för en Scale-Out-filserver i Windows Server 2012 R2 och tidigare. För mer information om Scale-Out filservern, se Scale-Out Filserver för programdata.
• Microsoft SQL Server 2014 (eller senare) Redundansklusterinstans (FCI) Microsoft SQL Server-klustrad arbetsbelastning i SQL Server 2012 och tidigare versioner av SQL Server stöder inte användning av CSV.
• Windows Server 2019 eller senare Microsoft Distributed Transaction Control (MSDTC)

Använda BitLocker med klusterdelade volymer

BitLocker på volymer i ett kluster hanteras baserat på hur klustertjänsten "tolkar" volymen som ska skyddas. Volymen kan vara en fysisk diskresurs, till exempel ett logiskt enhetsnummer (LUN) i ett san-nätverk (Storage Area Network) eller nätverksansluten lagring (NAS).

Alternativt kan volymen vara en klusterdelad volym (CSV) i klustret. När du använder BitLocker med volymer avsedda för ett kluster kan volymen aktiveras med BitLocker innan den läggs till i klustret eller när den finns i klustret. Placera resursen i underhållsläge innan du aktiverar BitLocker.

Windows PowerShell eller Manage-BDE kommandoradsgränssnitt är den bästa metoden för att hantera BitLocker på CSV-volymer. Den här metoden rekommenderas över BitLocker-kontrollpanelen eftersom CSV-volymer är monteringspunkter. Monteringspunkter är ett NTFS-objekt som används för att tillhandahålla en startpunkt för andra volymer. Monteringspunkter kräver inte användning av en enhetsbeteckning. Volymer som saknar enhetsbeteckningar visas inte i bitLocker-kontrollpanelen.

BitLocker låser upp skyddade volymer utan att användaren behöver ingripa genom att försöka med skydden i följande ordning:

1. Rensa nyckel

2. Förarbaserad automatisk upplåsningsnyckel

3. ADAccountOrGroup skydd

   1. Skydd för tjänstkontext

   2. Användarskydd

4. Registerbaserad automatisk upplåsningsnyckel

Redundanskluster kräver alternativet Active Directory-baserat skydd för klusterdiskresursen. Annars är CSV-resurser inte tillgängliga i kontrollpanelsobjektet.

Ett Ad DS-skydd (Active Directory Domain Services) för att skydda klustrade volymer som finns i DIN AD DS-infrastruktur. ADAccountOrGroup- skydd är ett SID-baserat skydd (Domain Security Identifier) som kan bindas till ett användarkonto, ett datorkonto eller en grupp. När en upplåsningsbegäran görs för en skyddad volym avbryter BitLocker-tjänsten begäran och använder BitLocker-API:erna för att skydda/ta bort skydd för att låsa upp eller neka begäran.

Nya funktioner

I tidigare versioner av Windows Server och Azure Local är det enda krypteringsskydd som stöds det SID-baserade skyddet där kontot som används är CNO (Cluster Name Object) som skapas i Active Directory som en del av skapandet av redundanskluster. Det här är en säker design eftersom skyddet lagras i Active Directory och skyddas av CNO-lösenordet. Dessutom gör det enkelt att etablera och låsa upp volymer eftersom varje nod i redundanskluster har åtkomst till CNO-kontot.

Nackdelen är tredelad:

1. Den här metoden fungerar uppenbarligen inte när ett redundanskluster skapas utan någon åtkomst till en Active Directory-styrenhet i datacentret.

2. Volymupplåsning kan som en del av redundansväxlingen ta för lång tid (och eventuellt tidsgräns) om Active Directory-kontrollanten inte svarar eller är långsam.

3. Onlineprocessen för enheten misslyckas om en Active Directory-styrenhet inte är tillgänglig.

Nya funktioner har lagts till där failover-kluster genererar och hanterar sitt eget BitLocker-nyckelskydd för en volym. Den krypteras och sparas i den lokala klusterdatabasen. Eftersom klusterdatabasen är ett replikerat arkiv som backas upp av systemvolymen på varje klusternod, bör även systemvolymen på varje klusternod vara BitLocker-skyddad. Redundansklustring framtvingar det inte eftersom vissa lösningar kanske inte vill eller behöver kryptera systemvolymen. Om systemenheten inte är Bitlockered flaggar redundansklustret detta som en varningshändelse under online- och upplåsningsprocessen. Validering av failoverkluster loggar ett meddelande om det upptäcker att detta är en konfiguration utan Active Directory eller en arbetsgrupp och systemvolymen inte är krypterad.

Installera BitLocker-kryptering

BitLocker är en funktion som måste läggas till i alla noder i klustret.

Lägga till BitLocker med serverhanteraren

1. Öppna Serverhanteraren genom att välja ikonen Serverhanteraren eller köra servermanager.exe.

2. Välj Hantera i navigeringsfältet i Serverhanteraren och välj Lägg till roller och funktioner för att starta guiden Lägg till roller och funktioner.

3. När guiden Lägg till roller och funktioner är öppen, väljer du Nästa i Innan du börjar panelen (om den visas).

4. Välj Rollbaserad eller funktionsbaserad installation i fönstret Installationstyp i guiden Lägg till roller och funktioner och välj Nästa för att fortsätta.

5. Välj alternativet Välj en server från serverpoolen i fönstret Serverval och bekräfta servern för installation av BitLocker-funktionen.

6. Välj Nästa i fönstret Serverroller i guiden Lägg till roller och funktioner för att gå vidare till fönstret Funktioner.

7. Markera kryssrutan bredvid BitLocker-diskkryptering i fönstret Funktioner i guiden Lägg till roller och funktioner. Guiden visar de ytterligare hanteringsfunktioner som är tillgängliga för BitLocker. Om du inte vill installera de här funktionerna avmarkerar du alternativet Inkludera hanteringsverktyg och väljer Lägg till funktioner. När valet av valfria funktioner har slutförts väljer du Nästa för att fortsätta.

Not

Funktionen Enhanced Storage är en nödvändig funktion för att aktivera BitLocker. Den här funktionen ger stöd för krypterade hårddiskar på kompatibla system.

1. Välj Installera på bekräftelsepanelen i guiden Lägg till roller och funktioner för att starta installationen av BitLocker-funktionen. BitLocker-funktionen kräver en omstart för att slutföras. Om du väljer Starta om målservern automatiskt om det behövs alternativet i fönstret Bekräftelse framtvingar du en omstart av datorn när installationen är klar.

2. Om kryssrutan Starta om målservern automatiskt om det behövs inte är markerad, kommer fönstret Resultat i guiden Lägg till roller och funktioner att visa om BitLocker-funktionsinstallationen lyckades eller misslyckades. Om det behövs visas ett meddelande om ytterligare åtgärder som krävs för att slutföra funktionsinstallationen, till exempel omstarten av datorn, i resultattexten.

Lägga till BitLocker med PowerShell

Använd följande kommando för varje server:

Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools

Om du vill köra kommandot på alla klusterservrar samtidigt använder du följande skript och ändrar listan med variabler i början för att passa din miljö:

Fyll i dessa variabler med dina värden.

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker"

Den här delen kör cmdleten Install-WindowsFeature på alla servrar i $ServerList och skickar listan över funktioner i $FeatureList.

Invoke-Command ($ServerList) {  
    Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools 
}

Starta sedan om alla servrar:

$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos

Flera roller och funktioner kan läggas till samtidigt. Om du till exempel vill lägga till BitLocker, Redundanskluster och filserverrollen skulle $FeatureList inkludera alla nödvändiga avgränsade med kommatecken. Till exempel:

$ServerList = "Node1", "Node2", "Node3", "Node4" 
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”

Etablera en krypterad volym

Konfigurering av en enhet med BitLocker-kryptering kan göras antingen när enheten är en del av redundansklustret eller utanför klustret innan du lägger till den. Om du vill skapa skyddet för extern nyckel automatiskt måste enheten vara en resurs i redundansklustret innan BitLocker aktiveras. Om BitLocker är aktiverat innan du lägger till enheten i redundansklustret måste du utföra ytterligare manuella steg för att skapa skyddet för extern nyckel.

Etablering av krypterade volymer kräver att PowerShell-kommandon körs med administratörsbehörighet. Det finns två alternativ för att kryptera enheterna och få redundanskluster att kunna skapa och använda sina egna BitLocker-nycklar.

1. Intern återställningsnyckel

2. Extern återställningsnyckelfil

Kryptera med hjälp av en återställningsnyckel

Om du krypterar enheterna med hjälp av en återställningsnyckel kan en BitLocker-återställningsnyckel skapas och läggas till i klusterdatabasen. När enheten startar upp behöver den bara konsultera den lokala klusterhubben för återställningsnyckeln.

Flytta diskresursen till noden där BitLocker-kryptering ska aktiveras:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1

Placera diskresursen i underhållsläge:

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource

En dialogruta visas med följande text:

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Fortsätt genom att trycka på Ja.

Om du vill aktivera BitLocker-kryptering kör du:

Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector

När du har angett kommandot visas en varning och innehåller ett numeriskt återställningslösenord. Spara lösenordet på en säker plats eftersom det också behövs i ett kommande steg. Varningen ser ut ungefär så här:

WARNING: ACTIONS REQUIRED:

    1. Save this numerical recovery password in a secure location away from your computer:
        
        271733-258533-688985-480293-713394-034012-061963-682044

    To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.

För att hämta bitLocker-skyddsinformationen för volymen kan följande kommando köras:

(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector

Detta visar både nyckelskydds-ID:t och återställningslösenordsträngen.

KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :

Nyckelskydds-ID:t och återställningslösenordet behövs och sparas i en ny privat egenskap för fysiska diskar som heter BitLockerProtectorInfo. Den här nya egenskapen används när resursen kommer från underhållsläget. Skyddets format är en sträng där skydds-ID:t och lösenordet avgränsas med en ":".

Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create

Kontrollera att BitlockerProtectorInfo nyckel och värde har angetts genom att köra kommandot:

Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo

Nu när informationen finns kan disken tas ur underhållsläge när krypteringsprocessen har slutförts.

Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource

Om resursen inte kan komma online kan det vara ett lagringsproblem, ett felaktigt återställningslösenord eller något problem. Kontrollera att BitlockerProtectorInfo nyckel har rätt information. Om den inte gör det ska kommandona som angetts tidigare köras igen. Om problemet inte är med den här nyckeln rekommenderar vi att du kontaktar rätt grupp inom din organisation eller lagringsleverantören för att lösa problemet.

Om resursen är online är informationen korrekt. När underhållsläget är slut tas BitlockerProtectorInfo nyckeln bort och krypteras under resursen i klusterdatabasen.

Kryptera med hjälp av en extern återställningsnyckelfil

Om du krypterar enheterna med hjälp av en återställningsnyckelfil kan en BitLocker-återställningsnyckel skapas och nås från en plats som alla noder har åtkomst till, till exempel en filserver. När enheten är online ansluter den ägande noden till återställningsnyckeln.

Flytta diskresursen till noden där BitLocker-kryptering ska aktiveras:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2

Placera diskresursen i underhållsläge:

Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource

En dialogruta dyker upp

Suspend-ClusterResource

Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.

Fortsätt genom att trycka på Ja.

Om du vill aktivera BitLocker-kryptering och skapa nyckelskyddsfilen lokalt kör du följande kommando. Vi rekommenderar att du skapar filen lokalt och sedan flyttar den till en plats som är tillgänglig för alla noder.

Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster

För att hämta bitLocker-skyddsinformationen för volymen kan följande kommando köras:

(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector

Detta visar både nyckelskydds-ID:t och det nyckelfilnamn som skapas.

KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :

När du går till mappen som angavs för att skapa den i visas den inte vid första anblicken. Motiveringen är att den skapas som en dold fil. Till exempel:

C:\Windows\Cluster\>dir f03  

Directory of C:\\Windows\\Cluster 

File Not Found 

C:\Windows\Cluster\>dir /a f03  

Directory of C:\Windows\Cluster 

<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK 

C:\Windows\Cluster\>attrib f03 

A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

Eftersom detta skapas på en lokal sökväg måste den kopieras till en nätverkssökväg så att alla noder får åtkomst till den med hjälp av kommandot Copy-Item.

Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir

Eftersom enheten använder en fil och finns på en nätverksresurs tar du enheten ur underhållsläget och anger sökvägen till filen. När enheten har krypterats klart skulle kommandot för att återuppta processen vara:

Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK

När enheten har etablerats kan *.BEK-filen tas bort från delningen och behövs inte längre.

Nya PowerShell-cmdlets

Med den här nya funktionen har två nya cmdletar skapats för att aktivera resursen eller återuppta resursen manuellt med hjälp av återställningsnyckeln eller återställningsnyckelfilen.

Start-ClusterPhysicalDiskResource

Exempel 1

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Exempel 2

    Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Resume-ClusterPhysicalDiskResource

Exempel 1

    Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"

Exempel 2

     Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"

Nya händelser

Det finns flera nya händelser som har lagts till i händelsekanalen Microsoft-Windows-FailoverClustering/Operational.

När det lyckas skapa nyckelskydds- eller nyckelskyddsfilen skulle händelsen som visas likna:

Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.

Om det uppstår ett fel när nyckelskyddet eller nyckelskyddsfilen skulle skapas skulle händelsen som visas likna:

Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume

Eftersom klusterdatabasen är ett replikerat arkiv som backas upp av systemvolymen på varje klusternod rekommenderar vi att systemvolymen på varje klusternod också ska vara BitLocker-skyddad. Redundansklustring framtvingar det inte eftersom vissa lösningar kanske inte vill eller behöver kryptera systemvolymen. Om systemdisken inte skyddas av BitLocker markerar Failover Cluster detta som en händelse under processen för upplåsning/online. Händelsen som visas skulle likna:

Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1

Validering av redundanskluster loggar ett meddelande om den upptäcker att detta är en konfiguration utan Active Directory eller en arbetsgrupp och att systemvolymen inte är krypterad.