Schützen freigegebener Clustervolumes und Speicherbereichsnetzwerke mit BitLocker

In diesem Artikel wird das Verfahren zum Schützen von freigegebenen Clustervolumes (Cluster Shared Volumes, CSVs) und Storage Area Networks (SANs) mit BitLocker beschrieben.

BitLocker schützt sowohl physische Datenträgerressourcen als auch freigegebene Clustervolumes, Version 2.0 (CSV2.0). BitLocker auf gruppierten Volumes bietet eine zusätzliche Schutzebene, die zum Schutz vertraulicher, hochverfügbarer Daten verwendet werden kann. Die Administratoren verwenden diese zusätzliche Schutzebene, um die Sicherheit für Ressourcen zu erhöhen. Nur bestimmte Benutzerkonten haben Zugriff zum Entsperren des BitLocker-Volumes gewährt.

Konfigurieren von BitLocker auf freigegebenen Clustervolumes

Volumes innerhalb eines Clusters werden mithilfe von BitLocker verwaltet, je nachdem, wie der Clusterdienst das zu schützende Volume sieht . Bei dem Volume kann es sich um eine physische Datenträgerressource handeln, z. B. eine logische Einheitennummer (LUN) auf einem SAN oder einen netzwerkgebundenen Speicher (Network Attached Storage, NAS).

Wichtig

SANs, die mit BitLocker verwendet werden, müssen die Windows-Hardwarezertifizierung erhalten haben. Weitere Informationen finden Sie unter Windows Hardware Lab Kit.

Die Volumes, die für einen Cluster festgelegt sind, müssen die folgenden Aufgaben ausführen:

  • BitLocker aktivieren: Erst nach Abschluss dieser Aufgabe können die Volumes dem Speicherpool hinzugefügt werden.
  • muss die Ressource in den Wartungsmodus versetzt werden, bevor BitLocker-Vorgänge abgeschlossen sind.

Windows PowerShell oder das manage-bde.exe Befehlszeilentool ist die bevorzugte Methode zum Verwalten von BitLocker auf CSV2.0-Volumes. Diese Methode wird gegenüber dem BitLocker-Systemsteuerung element empfohlen, da CSV2.0-Volumes Bereitstellungspunkte sind. Bereitstellungspunkte sind ein NTFS-Objekt, das verwendet wird, um einen Einstiegspunkt für andere Volumes bereitzustellen. Bereitstellungspunkte erfordern nicht die Verwendung eines Laufwerkbuchstabens. Volumes ohne Laufwerkbuchstaben werden nicht im BitLocker-Systemsteuerung-Element angezeigt. Darüber hinaus ist die neue Active Directory-basierte Schutzoption, die für Clusterdatenträgerressourcen oder CSV2.0-Ressourcen erforderlich ist, im Systemsteuerung Element nicht verfügbar.

Hinweis

Bereitstellungspunkte können verwendet werden, um Remotebereitstellungspunkte auf SMB-basierten Netzwerkfreigaben zu unterstützen. Dieser Freigabetyp wird für die BitLocker-Verschlüsselung nicht unterstützt.

Wenn ein schlanker Speicher vorhanden ist, z. B. eine dynamische virtuelle Festplatte (Virtual Hard Disk, VHD), wird BitLocker im Verschlüsselungsmodus Nur verwendeter Speicherplatz ausgeführt. Der manage-bde.exe -WipeFreeSpace Befehl kann nicht verwendet werden, um das Volume auf einer vollständigen Volumeverschlüsselung auf dünn bereitgestellten Speichervolumes zu übertragen. Die Verwendung des manage-bde.exe -WipeFreeSpace Befehls wird blockiert, um zu vermeiden, dass dünn bereitgestellte Volumes so erweitert werden, dass sie den gesamten Sicherungsspeicher belegen, während der nicht belegte (freie) Speicherplatz aufgehoben wird.

Active Directory-basierte Schutzvorrichtung

Eine Active Directory Domain Services -Schutzvorrichtung (AD DS) kann auch zum Schutz von gruppierten Volumes in der AD DS-Infrastruktur verwendet werden. Die ADAccountOrGroup-Schutzvorrichtung ist eine SID-basierte Schutzvorrichtung (Domain Security Identifier), die an ein Benutzerkonto, ein Computerkonto oder eine Gruppe gebunden werden kann. Wenn eine Entsperranforderung für ein geschütztes Volume gestellt wird, finden die folgenden Ereignisse statt:

  • Der BitLocker-Dienst unterbricht die Anforderung und verwendet die BitLocker-APIs zum Schützen/Aufheben des Schutzes, um die Anforderung zu entsperren oder zu verweigern.

  • BitLocker entsperrt geschützte Volumes ohne Benutzereingriff, indem Schutzvorrichtungen in der folgenden Reihenfolge ausgeführt werden:

    1. Schlüssel löschen

    2. Treiberbasierter Schlüssel für die automatische Entsperrung

    3. ADAccountOrGroup-Schutzvorrichtung

      a. Dienstkontextschutz

      b. Benutzerschutz

    4. Registrierungsbasierter Schlüssel für die automatische Entsperrung

Hinweis

Damit dieses Feature ordnungsgemäß funktioniert, ist ein Windows Server 2012 oder höher erforderlich.

Aktivieren von BitLocker vor dem Hinzufügen von Datenträgern zu einem Cluster mithilfe von Windows PowerShell

Die BitLocker-Verschlüsselung ist für Datenträger verfügbar, bevor diese Datenträger einem Clusterspeicherpool hinzugefügt werden.

Hinweis

Der Vorteil der BitLocker-Verschlüsselung kann sogar für Datenträger verfügbar gemacht werden, nachdem sie einem Clusterspeicherpool hinzugefügt wurden. Der Vorteil der Verschlüsselung von Volumes vor dem Hinzufügen zu einem Cluster besteht darin, dass die Datenträgerressource nicht angehalten werden muss, um den Vorgang abzuschließen. So aktivieren Sie BitLocker für einen Datenträger, bevor Sie ihn einem Cluster hinzufügen:

  1. Installieren Sie das BitLocker-Laufwerkverschlüsselungsfeature, falls es noch nicht installiert ist.

  2. Stellen Sie sicher, dass es sich bei dem Datenträger um einen NTFS-formatierten Datenträger handelt, dem ein Laufwerkbuchstabe zugewiesen ist.

  3. Identifizieren Sie den Namen des Clusters mit Windows PowerShell.

    Get-Cluster
    
  4. Aktivieren Sie BitLocker auf einem Volume mit einer ADAccountOrGroup-Schutzvorrichtung unter Verwendung des Clusternamens. Verwenden Sie beispielsweise einen Befehl wie:

    Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
    

    Warnung

    Eine ADAccountOrGroup-Schutzkomponente muss mithilfe des Cluster-CNO konfiguriert werden, damit ein BitLocker-fähiges Volume entweder in einem freigegebenen Clustervolume freigegeben wird oder ein ordnungsgemäßes Failover in einem herkömmlichen Failovercluster ausgeführt werden kann.

  5. Wiederholen Sie die vorherigen Schritte für jeden Datenträger im Cluster.

  6. Fügen Sie die Volumes dem Cluster hinzu.

Aktivieren von BitLocker für einen gruppierten Datenträger mithilfe von Windows PowerShell

Wenn der Clusterdienst bereits im Besitz einer Datenträgerressource ist, muss die Datenträgerressource in den Wartungsmodus versetzt werden, bevor BitLocker aktiviert werden kann. Führen Sie die folgenden Schritte aus, um BitLocker für einen gruppierten Datenträger mithilfe von Windows PowerShell zu aktivieren:

  1. Installieren Sie das BitLocker-Laufwerkverschlüsselungsfeature, falls es noch nicht installiert ist.

  2. Überprüfen Sie die status des Clusterdatenträgers mithilfe von Windows PowerShell.

    Get-ClusterResource "Cluster Disk 1"
    
  3. Versetzen Sie die Ressource des physischen Datenträgers mithilfe von Windows PowerShell in den Wartungsmodus.

    Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource
    
  4. Identifizieren Sie den Namen des Clusters mit Windows PowerShell.

    Get-Cluster
    
  5. Aktivieren Sie BitLocker für ein Volume mit einer ADAccountOrGroup-Schutzvorrichtung unter Verwendung des Clusternamens. Verwenden Sie beispielsweise einen Befehl wie:

    Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
    

    Warnung

    Eine ADAccountOrGroup-Schutzkomponente muss mithilfe des Cluster-CNO konfiguriert werden, damit ein BitLocker-fähiges Volume entweder auf einem freigegebenen Clustervolume freigegeben wird oder ein ordnungsgemäßes Failover in einem herkömmlichen Failovercluster ausgeführt werden kann.

  6. Verwenden Sie Resume-ClusterResource , um die physische Datenträgerressource aus dem Wartungsmodus zurückzunehmen:

    Get-ClusterResource "Cluster Disk 1" | Resume-ClusterResource
    
  7. Wiederholen Sie die vorherigen Schritte für jeden Datenträger im Cluster.

Hinzufügen von BitLocker-verschlüsselten Volumes zu einem Cluster mit manage-bde.exe

Manage-bde.exe kann auch verwendet werden, um BitLocker auf gruppierten Volumes zu aktivieren. Zum Hinzufügen einer physischen Datenträgerressource oder eines CSV2.0-Volumes zu einem vorhandenen Cluster sind folgende Schritte erforderlich:

  1. Vergewissern Sie sich, dass die BitLocker-Laufwerkverschlüsselungsfunktion auf dem Computer installiert ist.

  2. Stellen Sie sicher, dass der neue Speicher als NTFS formatiert ist.

  3. Verschlüsseln Sie das Volume, fügen Sie einen Wiederherstellungsschlüssel hinzu, und fügen Sie den Clusteradministrator als Schutzschlüssel hinzu, indem manage-bde.exe Sie in einem Eingabeaufforderungsfenster verwenden. Zum Beispiel:

    manage-bde.exe -on -used <drive letter> -RP -sid domain\CNO$ -sync
    
    1. BitLocker überprüft, ob der Datenträger bereits Teil eines Clusters ist. Wenn dies der Grund ist, stoßen Administratoren auf einen harten Block. Andernfalls wird die Verschlüsselung fortgesetzt.
    2. Die Verwendung des Parameters -sync ist optional. Die Verwendung des Parameters -sync hat jedoch den Vorteil, dass der Befehl wartet, bis die Verschlüsselung für das Volume abgeschlossen ist. Das Volume wird dann zur Verwendung im Clusterspeicherpool freigegeben.
  4. Öffnen Sie das Failovercluster-Manager-Snap-In oder die PowerShell-Cmdlets des Clusters, um das Clustern des Datenträgers zu ermöglichen.

    • Nachdem der Datenträger gruppiert wurde, wird er für CSV aktiviert.
  5. Während des Ressourcen-Onlinevorgangs überprüft der Cluster, ob der Datenträger mit BitLocker verschlüsselt ist.

    1. Wenn das Volume nicht BitLocker aktiviert ist, finden herkömmliche Cluster-Onlinevorgänge statt.
    2. Wenn das Volume BitLocker aktiviert ist, überprüft BitLocker, ob das Volume gesperrt ist. Wenn das Volume gesperrt ist, nimmt BitLocker die Identität des CNO an und entsperrt das Volume mithilfe der CNO-Schutzvorrichtung. Wenn diese Aktionen von BitLocker fehlschlagen, wird ein Ereignis protokolliert. Das protokollierte Ereignis gibt an, dass das Volume nicht entsperrt werden konnte und der Onlinevorgang fehlgeschlagen ist.
  6. Sobald der Datenträger im Speicherpool online ist, kann er einer CSV-Datei hinzugefügt werden, indem Sie mit der rechten Maustaste auf die Datenträgerressource klicken und "Zu freigegebenen Clustervolumes hinzufügen" auswählen.

CSVs enthalten sowohl verschlüsselte als auch unverschlüsselte Volumes. Um die status eines bestimmten Volumes für die BitLocker-Verschlüsselung zu überprüfen, führen Sie den manage-bde.exe -status Befehl als Administrator mit einem Pfad zum Volume aus. Der Pfad muss innerhalb des CSV-Namespaces sein. Zum Beispiel:

manage-bde.exe -status "C:\ClusterStorage\volume1"

Ressourcen für physische Datenträger

Im Gegensatz zu CSV2.0-Volumes kann auf physische Datenträgerressourcen jeweils nur von einem Clusterknoten zugegriffen werden. Diese Bedingung bedeutet, dass Vorgänge wie das Verschlüsseln, Entschlüsseln, Sperren oder Entsperren von Volumes einen Kontext erfordern. Beispielsweise kann eine physische Datenträgerressource nicht entsperrt oder entschlüsselt werden, wenn sie den Clusterknoten, dem die Datenträgerressource gehört, nicht verwaltet, da die Datenträgerressource nicht verfügbar ist.

Einschränkungen für BitLocker-Aktionen mit Clustervolumes

Die folgende Tabelle enthält Informationen sowohl zu physischen Datenträgerressourcen (d. h. zu herkömmlichen Failoverclustervolumes) als auch zu freigegebenen Clustervolumes (CSV) sowie zu den Aktionen, die von BitLocker in jeder Situation zulässig sind.

Aktion Auf dem Besitzerknoten des Failovervolumes Auf dem Metadatenserver (MDS) von CSV Auf (Data Server) DS von CSV Wartungsmodus
Manage-bde.exe -on Blockiert Blockiert Blockiert Zugelassen
Manage-bde.exe -off Blockiert Blockiert Blockiert Zugelassen
Manage-bde.exe Pause/Resume Blockiert Blockiert** Blockiert Zugelassen
Manage-bde.exe -lock Blockiert Blockiert Blockiert Zugelassen
Manage-bde.exe -wipe Blockiert Blockiert Blockiert Zugelassen
Entsperrung Automatisch über Clusterdienst Automatisch über Clusterdienst Automatisch über Clusterdienst Zugelassen
Manage-bde.exe -protector -add Zugelassen Zugelassen Blockiert Zugelassen
Manage-bde.exe -protector -delete Zugelassen Zugelassen Blockiert Zugelassen
Manage-bde.exe -autounlock Zulässig (nicht empfohlen) Zulässig (nicht empfohlen) Blockiert Zulässig (nicht empfohlen)
Manage-bde.exe -upgrade Zugelassen Zugelassen Blockiert Zugelassen
Schrumpfen Zugelassen Zugelassen Blockiert Zugelassen
Erweitern Zugelassen Zugelassen Blockiert Zugelassen

Hinweis

Obwohl der manage-bde.exe -pause Befehl in Clustern blockiert ist, setzt der Clusterdienst automatisch eine angehaltene Verschlüsselung oder Entschlüsselung vom MDS-Knoten fort.

Wenn bei einer physischen Datenträgerressource während der Konvertierung ein Failoverereignis auftritt, erkennt der neue besitzende Knoten, dass die Konvertierung nicht abgeschlossen ist, und schließt den Konvertierungsprozess ab.

Weitere Überlegungen bei der Verwendung von BitLocker in CSV2.0

Einige weitere Überlegungen, die für BitLocker in clustered storage zu berücksichtigen sind, sind:

  • BitLocker-Volumes müssen initialisiert werden und mit der Verschlüsselung beginnen, bevor sie einem CSV2.0-Volume hinzugefügt werden können.
  • Wenn ein Administrator ein CSV-Volume entschlüsseln muss, entfernen Sie das Volume aus dem Cluster, oder versetzen Sie es in den Datenträgerwartungsmodus. Die CSV kann dem Cluster wieder hinzugefügt werden, während auf den Abschluss der Entschlüsselung gewartet wird.
  • Wenn ein Administrator mit der Verschlüsselung eines CSV-Volumes beginnen muss, entfernen Sie das Volume aus dem Cluster, oder versetzen Sie es in den Wartungsmodus.
  • Wenn die Konvertierung mit laufender Verschlüsselung angehalten wird und das CSV-Volume vom Cluster offline ist, setzt der Clusterthread (Integritätsprüfung) die Konvertierung automatisch fort, wenn das Volume im Cluster online ist.
  • Wenn die Konvertierung mit laufender Verschlüsselung angehalten wird und ein Physisches Datenträgerressourcenvolume vom Cluster offline ist, setzt der BitLocker-Treiber die Konvertierung automatisch fort, wenn das Volume im Cluster online ist.
  • Wenn die Konvertierung mit laufender Verschlüsselung angehalten wird, während sich das CSV-Volume im Wartungsmodus befindet, setzt der Clusterthread (Integritätsprüfung) die Konvertierung automatisch fort, wenn das Volume aus der Wartung zurück verschoben wird.
  • Wenn die Konvertierung mit laufender Verschlüsselung angehalten wird, während sich das Datenträgerressourcenvolume im Wartungsmodus befindet, setzt der BitLocker-Treiber die Konvertierung automatisch fort, wenn das Volume aus dem Wartungsmodus zurück verschoben wird.