使用 BitLocker 保护群集共享卷和存储区域网络

本文介绍使用 BitLocker 保护群集共享卷 (CSV) 和存储区域网络 (SAN) 的过程。

BitLocker 保护物理磁盘资源和群集共享卷版本 2.0 (CSV2.0) 。 群集卷上的 BitLocker 提供了额外的保护层,可用于保护敏感且高度可用的数据。 管理员使用此额外的保护层来提高资源的安全性。 只有某些用户帐户提供解锁 BitLocker 卷的访问权限。

在群集共享卷上配置 BitLocker

根据群集服务 如何看待 要保护的卷,在 BitLocker 的帮助下管理群集中的卷。 卷可以是物理磁盘资源,例如 SAN 上的逻辑单元号 (LUN) ,也可以是网络附加存储 (NAS) 。

重要提示

与 BitLocker 一起使用的 SAN 必须已获得 Windows 硬件认证。 有关详细信息,检查 Windows Hardware Lab Kit

为群集指定的卷必须执行以下任务:

  • 打开 BitLocker:只有在完成此任务后,才能将卷添加到存储池
  • 在完成 BitLocker 操作之前,必须将资源置于维护模式。

Windows PowerShell或manage-bde.exe命令行工具是在 CSV2.0 卷上管理 BitLocker 的首选方法。 建议对 BitLocker 控制面板 项使用此方法,因为 CSV2.0 卷是装入点。 装入点是一个 NTFS 对象,用于向其他卷提供入口点。 装入点不需要使用驱动器号。 缺少驱动器号的卷不会出现在 BitLocker 控制面板 项中。 此外,群集磁盘资源或 CSV2.0 资源所需的基于 Active Directory 的新保护程序选项在 控制面板 项中不可用。

注意

装入点可用于支持基于 SMB 的网络共享上的远程装入点。 BitLocker 加密不支持这种类型的共享。

如果有精简预配的存储(例如动态虚拟硬盘 (VHD) ),则 BitLocker 在 “仅使用磁盘空间” 加密模式下运行。 命令 manage-bde.exe -WipeFreeSpace 不能用于在精简预配的存储卷上将卷转换为全卷加密。 阻止使用 manage-bde.exe -WipeFreeSpace 命令,以避免扩展精简预配卷以占用整个后备存储区,同时擦除未占用的 (可用) 空间。

基于 Active Directory 的保护程序

Active Directory 域服务 (AD DS) 保护程序也可用于保护保存在 AD DS 基础结构中的群集卷。 ADAccountOrGroup 保护程序是 (基于 SID) 的保护程序的域安全标识符,可以绑定到用户帐户、计算机帐户或组。 对受保护的卷发出解锁请求时,会发生以下事件:

  • BitLocker 服务中断请求,并使用 BitLocker 保护/取消保护 API 解锁或拒绝请求。

  • BitLocker 将通过按以下顺序尝试保护程序来解锁受保护的卷,而无需用户干预:

    1. 清除密钥

    2. 基于驱动程序的自动解锁密钥

    3. ADAccountOrGroup 保护程序

      a. 服务上下文保护程序

      b. 用户保护程序

    4. 基于注册表的自动解锁密钥

注意

若要使此功能正常工作,需要Windows Server 2012或更高版本的域控制器。

使用 Windows PowerShell 在将磁盘添加到群集之前打开 BitLocker

在将这些磁盘添加到群集存储池之前,BitLocker 加密可用于磁盘。

注意

将磁盘添加到群集存储池后,BitLocker 加密的优势甚至可以用于磁盘。 在将卷添加到群集之前加密卷的优点是,无需暂停磁盘资源来完成操作。 若要在将磁盘添加到群集之前为磁盘打开 BitLocker,请执行以下操作:

  1. 安装 BitLocker 驱动器加密功能(如果尚未安装)。

  2. 确保磁盘是 NTFS 格式的磁盘,并为其分配了驱动器号。

  3. 使用 Windows PowerShell 标识群集的名称。

    Get-Cluster
    
  4. 使用群集名称在具有 ADAccountOrGroup 保护程序的卷上启用 BitLocker。 例如,使用如下命令:

    Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
    

    警告

    必须使用群集 CNO 配置 ADAccountOrGroup 保护程序,以便启用 BitLocker 的卷在群集共享卷中共享或在传统故障转移群集中正确进行故障转移。

  5. 对群集中的每个磁盘重复上述步骤。

  6. 将卷 () 添加到群集。

使用 Windows PowerShell 为群集磁盘启用 BitLocker

如果群集服务已拥有磁盘资源,则需要将磁盘资源设置为维护模式,然后才能启用 BitLocker。 若要使用 Windows PowerShell为群集磁盘打开 BitLocker,请执行以下步骤:

  1. 安装 BitLocker 驱动器加密功能(如果尚未安装)。

  2. 使用 Windows PowerShell 检查群集磁盘的状态。

    Get-ClusterResource "Cluster Disk 1"
    
  3. 使用 Windows PowerShell 将物理磁盘资源置于维护模式。

    Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource
    
  4. 使用 Windows PowerShell 标识群集的名称。

    Get-Cluster
    
  5. 使用群集名称启用具有 ADAccountOrGroup 保护程序的卷的 BitLocker。 例如,使用如下命令:

    Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
    

    警告

    必须使用群集 CNO 配置 ADAccountOrGroup 保护程序,以便启用 BitLocker 的卷在群集共享卷中共享或在传统故障转移群集中正确进行故障转移。

  6. 使用 Resume-ClusterResource 将物理磁盘资源从维护模式中收回:

    Get-ClusterResource "Cluster Disk 1" | Resume-ClusterResource
    
  7. 对群集中的每个磁盘重复上述步骤。

使用 将 BitLocker 加密卷添加到群集 manage-bde.exe

Manage-bde.exe 还可用于在群集卷上启用 BitLocker。 将物理磁盘资源或 CSV2.0 卷添加到现有群集所需的步骤如下:

  1. 验证计算机上是否安装了 BitLocker 驱动器加密功能。

  2. 确保新存储的格式设置为 NTFS。

  3. 在命令提示符窗口中使用 manage-bde.exe 加密卷、添加恢复密钥并将群集管理员添加为保护程序密钥。 例如:

    manage-bde.exe -on -used <drive letter> -RP -sid domain\CNO$ -sync
    
    1. BitLocker 将检查,以查看磁盘是否已是群集的一部分。 如果是,管理员将遇到硬块。 否则,加密将继续。
    2. 使用 -sync 参数是可选的。 但是,使用 -sync 参数可以确保命令等待卷加密完成。 然后释放卷,以便在群集存储池中使用。
  4. 打开故障转移群集管理器管理单元或群集 PowerShell cmdlet,使磁盘成为群集。

    • 群集化后,会为 CSV 启用磁盘。
  5. 在资源联机操作期间,群集会检查磁盘是否经过 BitLocker 加密。

    1. 如果卷未启用 BitLocker,则会发生传统的群集联机操作。
    2. 如果卷已启用 BitLocker,则 BitLocker 会检查卷是否已 锁定。 如果卷 已锁定,BitLocker 会模拟 CNO 并使用 CNO 保护程序解锁卷。 如果 BitLocker 的这些操作失败,则会记录事件。 记录的事件将指出无法解锁卷,并且联机操作已失败。
  6. 磁盘在存储池中联机后,可以通过右键单击磁盘资源并选择“添加到群集共享卷”将其添加到 CSV。

CSV 包括加密卷和未加密卷。 若要检查特定卷的状态以便进行 BitLocker 加密,请以具有该卷路径的管理员身份运行 manage-bde.exe -status 命令。 路径必须是 CSV 命名空间内的路径。 例如:

manage-bde.exe -status "C:\ClusterStorage\volume1"

物理磁盘资源

与 CSV2.0 卷不同,物理磁盘资源一次只能由一个群集节点访问。 这种情况意味着加密、解密、锁定或解锁卷等操作需要上下文来执行。 例如,如果物理磁盘资源未管理拥有磁盘资源的群集节点,则物理磁盘资源无法解锁或解密,因为该磁盘资源不可用。

对群集卷的 BitLocker 操作的限制

下表包含有关物理磁盘资源 (的信息,即传统故障转移群集卷) 和群集共享卷 (CSV) 以及 BitLocker 在每种情况下允许的操作。

操作 在故障转移卷的所有者节点上 在元数据服务器上 (CSV 的 MDS) 在 (数据服务器上) CSV 的 DS 维护模式
Manage-bde.exe -on 阻止 阻止 阻止 允许
Manage-bde.exe -off 阻止 阻止 阻止 允许
Manage-bde.exe Pause/Resume 阻止 封锁** 阻止 允许
Manage-bde.exe -lock 阻止 阻止 阻止 允许
Manage-bde.exe -wipe 阻止 阻止 阻止 允许
解除锁定 通过群集服务自动执行 通过群集服务自动执行 通过群集服务自动执行 允许
Manage-bde.exe -protector -add 允许 允许 阻止 允许
Manage-bde.exe -protector -delete 允许 允许 阻止 允许
Manage-bde.exe -autounlock 不允许 () 不允许 () 阻止 不允许 ()
Manage-bde.exe -upgrade 允许 允许 阻止 允许
收缩 允许 允许 阻止 允许
扩展 允许 允许 阻止 允许

注意

尽管命令 manage-bde.exe -pause 在群集中被阻止,但群集服务会自动从 MDS 节点恢复暂停的加密或解密。

如果物理磁盘资源在转换过程中遇到故障转移事件,则新拥有节点会检测到转换未完成,并完成转换过程。

在 CSV2.0 上使用 BitLocker 时的其他注意事项

群集存储上的 BitLocker 需要考虑的其他一些注意事项包括:

  • BitLocker 卷必须初始化并开始加密,然后才能将其添加到 CSV2.0 卷
  • 如果管理员需要解密 CSV 卷,请从群集中删除该卷或将其置于磁盘维护模式。 CSV 可以添加回群集,同时等待解密完成
  • 如果管理员需要开始加密 CSV 卷,请从群集中删除该卷或将其置于维护模式
  • 如果在加密过程中暂停转换,并且 CSV 卷已从群集脱机,则群集线程 (运行状况检查) 卷联机时自动恢复转换
  • 如果在加密过程中暂停转换,并且物理磁盘资源卷从群集脱机,则当卷联机到群集时,BitLocker 驱动程序会自动恢复转换
  • 如果在加密过程中暂停转换,CSV 卷处于维护模式时,群集线程 (运行状况检查) 在卷从维护中移回时自动恢复转换
  • 如果在加密过程中暂停转换,当磁盘资源卷处于维护模式时,BitLocker 驱动程序会在卷从维护模式移回时自动恢复转换