Protezione dei volumi condivisi del cluster e delle reti di archiviazione (SAN) con BitLockerProtecting cluster shared volumes and storage area networks with BitLocker

Ambito di applicazioneApplies to

  • Windows Server 2016Windows Server 2016

In questo articolo per professionisti IT viene descritto come proteggere ICV e san con BitLocker.This article for IT pros describes how to protect CSVs and SANs with BitLocker.

BitLocker può proteggere sia le risorse disco fisico che i volumi condivisi del cluster versione 2.0 (CSV2.0).BitLocker can protect both physical disk resources and cluster shared volumes version 2.0 (CSV2.0). BitLocker nei volumi in cluster consente un ulteriore livello di protezione per gli amministratori che desiderano proteggere dati sensibili e altamente disponibili.BitLocker on clustered volumes allows for an additional layer of protection for administrators wishing to protect sensitive, highly available data. Aggiungendo ulteriori protettori al volume in cluster, gli amministratori possono anche aggiungere un'ulteriore barriera di sicurezza alle risorse all'interno di un'organizzazione consentendo solo a determinati account utente di accedere per sbloccare il volume di BitLocker.By adding additional protectors to the clustered volume, administrators can also add an additional barrier of security to resources within an organization by allowing only certain user accounts access to unlock the BitLocker volume.

Configurazione di BitLocker nei volumi condivisi del clusterConfiguring BitLocker on Cluster Shared Volumes

Uso di BitLocker con volumi in clusterUsing BitLocker with Clustered Volumes

BitLocker nei volumi all'interno di un cluster vengono gestiti in base al modo in cui il servizio cluster "visualizza" il volume da proteggere.BitLocker on volumes within a cluster are managed based on how the cluster service "views" the volume to be protected. Il volume può essere una risorsa disco fisico, ad esempio un numero di unità logica (LUN, Logical Unit Number) in una rete di archiviazione (SAN, Storage Area Network) o nas (Network Attached Storage).The volume can be a physical disk resource such as a logical unit number (LUN) on a storage area network (SAN) or network attached storage (NAS).

Importante I SAN usati con BitLocker devono aver ottenuto la certificazione hardware di Windows.Important SANs used with BitLocker must have obtained Windows Hardware Certification. Per altre info, vedi Windows Hardware Lab Kit.For more info, see Windows Hardware Lab Kit.

In alternativa, il volume può essere un volume condiviso dal cluster, uno spazio dei nomi condiviso, all'interno del cluster.Alternatively, the volume can be a cluster-shared volume, a shared namespace, within the cluster. Windows Server 2012 ha espanso l'architettura CSV, ora nota come CSV2.0, per abilitare il supporto per BitLocker.Windows Server 2012 expanded the CSV architecture, now known as CSV2.0, to enable support for BitLocker. Quando si usa BitLocker con volumi designati per un cluster, il volume dovrà attivare BitLocker prima dell'aggiunta al pool di archiviazione all'interno del cluster o impostare la risorsa in modalità di manutenzione prima del completamento delle operazioni di BitLocker.When using BitLocker with volumes designated for a cluster, the volume will need to turn on BitLocker before its addition to the storage pool within cluster or put the resource into maintenance mode before BitLocker operations will complete.

Windows PowerShell o l'interfaccia della riga di comando manage-bde è il metodo preferito per gestire BitLocker nei volumi CSV2.0.Windows PowerShell or the manage-bde command-line interface is the preferred method to manage BitLocker on CSV2.0 volumes. Questo metodo è consigliato nell'elemento del Pannello di controllo di BitLocker perché i volumi CSV2.0 sono punti di montaggio.This method is recommended over the BitLocker Control Panel item because CSV2.0 volumes are mount points. I punti di montaggio sono un oggetto NTFS utilizzato per fornire un punto di ingresso ad altri volumi.Mount points are an NTFS object that is used to provide an entry point to other volumes. I punti di montaggio non richiedono l'utilizzo di una lettera di unità.Mount points do not require the use of a drive letter. I volumi privi di lettere di unità non vengono visualizzati nell'elemento del Pannello di controllo di BitLocker.Volumes that lack drive letters do not appear in the BitLocker Control Panel item. Inoltre, la nuova opzione di protezione basata su Active Directory necessaria per la risorsa disco del cluster o le risorse CSV2.0 non è disponibile nell'elemento del Pannello di controllo.Additionally, the new Active Directory-based protector option required for cluster disk resource or CSV2.0 resources is not available in the Control Panel item.

Nota: I punti di montaggio possono essere utilizzati per supportare i punti di montaggio remoti nelle condivisioni di rete basate su SMB.Note: Mount points can be used to support remote mount points on SMB based network shares. Questo tipo di condivisione non è supportato per la crittografia BitLocker.This type of share is not supported for BitLocker encryption.

Per l'archiviazione con provisioning sottile, ad esempio un disco rigido virtuale dinamico, BitLocker viene eseguito in modalità di crittografia Solo spazio su disco utilizzato.For thinly provisioned storage, such as a Dynamic Virtual Hard Disk (VHD), BitLocker runs in Used Disk Space Only encryption mode. Non è possibile utilizzare il comando manage-bde -WipeFreeSpace per eseguire la transizione del volume alla crittografia a volume completo in questi tipi di volumi.You cannot use the manage-bde -WipeFreeSpace command to transition the volume to full-volume encryption on these types of volumes. Questa azione è bloccata per evitare l'espansione dei volumi di cui è stato eseguito il thin provisioning in modo da occupare l'intero archivio di backup mentre si sta liberando lo spazio non occupato (libero).This action is blocked in order to avoid expanding thinly provisioned volumes to occupy the entire backing store while wiping the unoccupied (free) space.

Protezione basata su Active DirectoryActive Directory-based protector

È inoltre possibile utilizzare una protezione di Servizi di dominio Active Directory per proteggere i volumi cluster contenuti nell'infrastruttura di Servizi di dominio Active Directory.You can also use an Active Directory Domain Services (AD DS) protector for protecting clustered volumes held within your AD DS infrastructure. La protezione ADAccountOrGroup è una protezione basata su SID (Domain Security Identifier) che può essere associata a un account utente, a un account computer o a un gruppo.The ADAccountOrGroup protector is a domain security identifier (SID)-based protector that can be bound to a user account, machine account, or group. Quando viene effettuata una richiesta di sblocco per un volume protetto, il servizio BitLocker interrompe la richiesta e usa le API di protezione/annullamento della protezione di BitLocker per sbloccare o negare la richiesta.When an unlock request is made for a protected volume, the BitLocker service interrupts the request and uses the BitLocker protect/unprotect APIs to unlock or deny the request. BitLocker sbloccherà i volumi protetti senza l'intervento dell'utente tentando di proteggere i volumi nell'ordine seguente:BitLocker will unlock protected volumes without user intervention by attempting protectors in the following order:

  1. Clear keyClear key

  2. Chiave di sblocco automatico basata su driverDriver-based auto-unlock key

  3. Protezione ADAccountOrGroupADAccountOrGroup protector

    1. Protezione del contesto del servizioService context protector
    2. Protezione utenteUser protector
  4. Chiave di sblocco automatico basata sul Registro di sistemaRegistry-based auto-unlock key

Nota: Per il corretto funzionamento di questa funzionalità, è necessario un controller di dominio di Windows Server 2012 o versione successiva.Note: A Windows Server 2012 or later domain controller is required for this feature to work properly.

Attivare BitLocker prima di aggiungere dischi a un cluster usando Windows PowerShellTurning on BitLocker before adding disks to a cluster using Windows PowerShell

La crittografia BitLocker è disponibile per i dischi prima o dopo l'aggiunta a un pool di archiviazione del cluster.BitLocker encryption is available for disks before or after addition to a cluster storage pool. Il vantaggio di crittografare i volumi prima di aggiungerli a un cluster è che la risorsa disco non richiede la sospensione della risorsa per completare l'operazione.The advantage of encrypting volumes prior to adding them to a cluster is that the disk resource does not require suspending the resource to complete the operation. Per attivare BitLocker per un disco prima di aggiungerlo a un cluster:To turn on BitLocker for a disk before adding it to a cluster:

  1. Installare la funzionalità Crittografia unità BitLocker se non è già installata.Install the BitLocker Drive Encryption feature if it is not already installed.

  2. Verificare che il disco sia formattato con NTFS e a cui sia assegnata una lettera di unità.Ensure the disk is formatted NTFS and has a drive letter assigned to it.

  3. Identificare il nome del cluster con Windows PowerShell.Identify the name of the cluster with Windows PowerShell.

    Get-Cluster
    
  4. Abilita BitLocker nel volume scelto con una protezione ADAccountOrGroup, usando il nome del cluster.Enable BitLocker on the volume of your choice with an ADAccountOrGroup protector, using the cluster name. Ad esempio, utilizzare un comando come:For example, use a command such as:

    Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
    

    Avviso: È necessario configurare una protezione ADAccountOrGroup utilizzando il cluster CNO per un volume abilitato a BitLocker da condividere in un volume condiviso del cluster o per eseguire correttamente il failover in un cluster di failover tradizionale.Warning: You must configure an ADAccountOrGroup protector using the cluster CNO for a BitLocker enabled volume to either be shared in a Cluster Shared Volume or to fail over properly in a traditional failover cluster.

  5. Ripetere i passaggi precedenti per ogni disco del cluster.Repeat the preceding steps for each disk in the cluster.

  6. Aggiungere i volumi al cluster.Add the volume(s) to the cluster.

Attivazione di BitLocker per un disco in cluster tramite Windows PowerShellTurning on BitLocker for a clustered disk using Windows PowerShell

Quando il servizio cluster è già proprietario di una risorsa disco, deve essere impostata in modalità di manutenzione prima di poter abilitare BitLocker.When the cluster service owns a disk resource already, it needs to be set into maintenance mode before BitLocker can be enabled. Per attivare BitLocker per un disco in cluster, eseguire la procedura seguente:Use the following steps for turning on BitLocker for a clustered disk:

  1. Installare la funzionalità Crittografia unità BitLocker se non è già installata.Install the BitLocker Drive Encryption feature if it is not already installed.

  2. Controllare lo stato del disco del cluster usando Windows PowerShell.Check the status of the cluster disk using Windows PowerShell.

    Get-ClusterResource "Cluster Disk 1"
    
  3. Mettere la risorsa disco fisico in modalità manutenzione usando Windows PowerShell.Put the physical disk resource into maintenance mode using Windows PowerShell.

    Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource
    
  4. Identificare il nome del cluster con Windows PowerShell.Identify the name of the cluster with Windows PowerShell.

    Get-Cluster
    
  5. Abilita BitLocker nel volume scelto con una protezione ADAccountOrGroup, usando il nome del cluster.Enable BitLocker on the volume of your choice with an ADAccountOrGroup protector, using the cluster name. Ad esempio, utilizzare un comando come:For example, use a command such as:

    Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
    

    Avviso: È necessario configurare una protezione ADAccountOrGroup utilizzando il cluster CNO per un volume abilitato a BitLocker da condividere in un volume condiviso del cluster o per eseguire correttamente il failover in un cluster di failover tradizionale.Warning: You must configure an ADAccountOrGroup protector using the cluster CNO for a BitLocker enabled volume to either be shared in a Cluster Shared Volume or to fail over properly in a traditional failover cluster.

  6. Utilizzare Resume-ClusterResource per ripristinare la modalità di manutenzione della risorsa disco fisico:Use Resume-ClusterResource to take the physical disk resource back out of maintenance mode:

    Get-ClusterResource "Cluster Disk 1" | Resume-ClusterResource
    
  7. Ripetere i passaggi precedenti per ogni disco del cluster.Repeat the preceding steps for each disk in the cluster.

Aggiunta di volumi crittografati bitLocker a un cluster tramite manage-bdeAdding BitLocker encrypted volumes to a cluster using manage-bde

Puoi anche usare manage-bde per abilitare BitLocker nei volumi in cluster.You can also use manage-bde to enable BitLocker on clustered volumes. Seguire questa procedura per aggiungere una risorsa disco fisico o un volume CSV2.0 a un cluster esistente:Follow these steps to add a physical disk resource or CSV2.0 volume to an existing cluster:

  1. Verificare che la funzionalità Crittografia unità BitLocker sia installata nel computer.Verify the BitLocker Drive Encryption feature is installed on the computer.

  2. Verificare che il nuovo spazio di archiviazione sia formattato come NTFS.Ensure new storage is formatted as NTFS.

  3. Crittografare il volume, aggiungere una chiave di ripristino e aggiungere l'amministratore del cluster come chiave di protezione utilizzando l'interfaccia della riga di comando manage-bde (vedere l'esempio):Encrypt the volume, add a recovery key, and add the cluster administrator as a protector key by using the manage-bde command-line interface (see example):

    • Manage-bde -on -used <drive letter> -RP -sid domain\CNO$ -sync

      1. BitLocker controlla se il disco fa già parte di un cluster.BitLocker will check to see if the disk is already part of a cluster. In caso contrario, gli amministratori riscontrano un blocco rigido.If it is, administrators will encounter a hard block. In caso contrario, la crittografia continuerà.Otherwise, the encryption will continue.
      2. L'utilizzo del parametro -sync è facoltativo.Using the -sync parameter is optional. Il suo utilizzo garantisce che il comando attenda il completamento della crittografia per il volume prima di rilasciare il volume per l'utilizzo nel pool di archiviazione del cluster.Using it ensures the command waits until the encryption for the volume is completed before releasing the volume for use in the cluster storage pool.
  4. Aprire lo snap-in Gestione cluster di failover o i cmdlet di PowerShell del cluster per abilitare il disco in clusterOpen the Failover Cluster Manager snap-in or cluster PowerShell cmdlets to enable the disk to be clustered

    • Una volta che il disco è in cluster, può essere abilitato anche per CSV.Once the disk is clustered, it can also be enabled for CSV.
  5. Durante l'operazione online della risorsa, il cluster verifica se il disco è crittografato con BitLocker.During the resource online operation, cluster will check to see if the disk is BitLocker encrypted.

    1. Se il volume non è abilitato per BitLocker, si verificano operazioni online del cluster tradizionali.If the volume is not BitLocker enabled, traditional cluster online operations occur.

    2. Se il volume è abilitato per BitLocker, viene eseguito il controllo seguente:If the volume is BitLocker enabled, the following check occurs:

      • Se il volume è bloccato, BitLocker rappresenta l'oggetto CNO e sblocca il volume utilizzando la protezione CNO.If volume is locked, BitLocker will impersonate the CNO and unlock the volume using the CNO protector. Se l'operazione non riesce, verrà registrato un evento che indica che non è stato possibile sbloccare il volume e che l'operazione online avrà esito negativo.If this operation fails, an event will be logged that the volume could not be unlocked and the online operation will fail.
  6. Una volta che il disco è online nel pool di archiviazione, può essere aggiunto a un file CSV facendo clic con il pulsante destro del mouse sulla risorsa disco e scegliendo Aggiungi ai volumi condivisi del cluster.Once the disk is online in the storage pool, it can be added to a CSV by right-clicking the disk resource and choosing Add to cluster shared volumes.

I CSP possono includere volumi crittografati e non crittografati.CSVs can include both encrypted and unencrypted volumes. Per controllare lo stato di un particolare volume per la crittografia BitLocker, gli amministratori possono utilizzare il comando manage-bde -status con un percorso al volume all'interno dello spazio dei nomi CSV, come illustrato nella riga di comando di esempio seguente.To check the status of a particular volume for BitLocker encryption, administrators can utilize the manage-bde -status command with a path to the volume inside the CSV namespace as seen in the example command line below.

manage-bde -status "C:\ClusterStorage\volume1"

Risorse disco fisicoPhysical Disk Resources

A differenza dei volumi CSV2.0, è possibile accedere alle risorse disco fisico solo da un nodo del cluster alla volta.Unlike CSV2.0 volumes, physical disk resources can only be accessed by one cluster node at a time. Pertanto, operazioni come la crittografia, la decrittografia, il blocco o lo sblocco dei volumi richiedono il contesto per l'esecuzione.So operations such as encrypting, decrypting, locking, or unlocking volumes require context to perform. Ad esempio, non è possibile sbloccare o decrittografare una risorsa disco fisico se non si amministra il nodo del cluster proprietario della risorsa disco perché la risorsa disco non è disponibile.For example, you cannot unlock or decrypt a physical disk resource if you are not administering the cluster node that owns the disk resource because the disk resource is not available.

Restrizioni sulle azioni di BitLocker con volumi clusterRestrictions on BitLocker actions with cluster volumes

Nella tabella seguente sono contenute informazioni sia sulle risorse disco fisico (ovvero i volumi del cluster di failover tradizionali) che sui volumi condivisi del cluster (CSV) e sulle azioni consentite da BitLocker in ogni situazione.The following table contains information about both Physical Disk Resources (that is, traditional failover cluster volumes) and Cluster Shared Volumes (CSV) and the actions that are allowed by BitLocker in each situation.

AzioneAction

Nel nodo proprietario del volume di failoverOn owner node of failover volume

Nel server dei metadati (MDS) di CSVOn Metadata Server (MDS) of CSV

On (Data Server) DS of CSVOn (Data Server) DS of CSV

Modalità manutenzioneMaintenance Mode

Manage-bde –onManage-bde –on

Blocked (Bloccato)Blocked

Blocked (Bloccato)Blocked

Blocked (Bloccato)Blocked

PermesseAllowed

Manage-bde –offManage-bde –off

Blocked (Bloccato)Blocked

Blocked (Bloccato)Blocked

Blocked (Bloccato)Blocked

PermesseAllowed

Manage-bde Pause/ResumeManage-bde Pause/Resume

Blocked (Bloccato)Blocked

Blocked (Bloccato)Blocked

Blocked (Bloccato)Blocked

PermesseAllowed

Manage-bde –lockManage-bde –lock

Blocked (Bloccato)Blocked

Blocked (Bloccato)Blocked

Blocked (Bloccato)Blocked

PermesseAllowed

manage-bde –wipemanage-bde –wipe

Blocked (Bloccato)Blocked

Blocked (Bloccato)Blocked

Blocked (Bloccato)Blocked

PermesseAllowed

SbloccareUnlock

Automatico tramite il servizio clusterAutomatic via cluster service

Automatico tramite il servizio clusterAutomatic via cluster service

Automatico tramite il servizio clusterAutomatic via cluster service

PermesseAllowed

manage-bde –protector –addmanage-bde –protector –add

PermesseAllowed

PermesseAllowed

Blocked (Bloccato)Blocked

PermesseAllowed

manage-bde -protector -deletemanage-bde -protector -delete

PermesseAllowed

PermesseAllowed

Blocked (Bloccato)Blocked

PermesseAllowed

manage-bde –autounlockmanage-bde –autounlock

Consentito (scelta non consigliata)Allowed (not recommended)

Consentito (scelta non consigliata)Allowed (not recommended)

Blocked (Bloccato)Blocked

Consentito (scelta non consigliata)Allowed (not recommended)

Manage-bde -upgradeManage-bde -upgrade

PermesseAllowed

PermesseAllowed

Blocked (Bloccato)Blocked

PermesseAllowed

RiduciShrink

PermesseAllowed

PermesseAllowed

Blocked (Bloccato)Blocked

PermesseAllowed

EstendereExtend

PermesseAllowed

PermesseAllowed

Blocked (Bloccato)Blocked

PermesseAllowed

>Nota:\*\* Anche se il comando manage-bde -pause è Bloccato nei cluster, il servizio cluster riprenderà automaticamente una crittografia o una decrittografia sospesa dal nodo MDS>Note:\*\* Although the manage-bde -pause command is Blocked in clusters, the cluster service will automatically resume a paused encryption or decryption from the MDS node Nel caso in cui una risorsa disco fisico sperimenti un evento di failover durante la conversione, il nuovo nodo proprietario rileverà che la conversione non è completa e completerà il processo di conversione.In the case where a physical disk resource experiences a failover event during conversion, the new owning node will detect the conversion is not complete and will complete the conversion process.

Altre considerazioni sull'uso di BitLocker in CSV2.0Other considerations when using BitLocker on CSV2.0

Tenere inoltre conto di queste considerazioni per BitLocker nell'archiviazione in cluster:Also take these considerations into account for BitLocker on clustered storage:

  • I volumi BitLocker devono essere inizializzati e iniziare la crittografia prima che siano disponibili per l'aggiunta a un volume CSV2.0.BitLocker volumes have to be initialized and beginning encryption before they are available to add to a CSV2.0 volume.
  • Se un amministratore deve decrittografare un volume CSV, rimuovere il volume dal cluster o impostare la modalità di manutenzione del disco.If an administrator needs to decrypt a CSV volume, remove the volume from the cluster or put into disk maintenance mode. È possibile aggiungere nuovamente il file CSV al cluster in attesa del completamento della decrittografia.You can add the CSV back to the cluster while waiting for decryption to complete.
  • Se un amministratore deve iniziare a crittografare un volume CSV, rimuovere il volume dal cluster o impostarlo in modalità manutenzione.If an administrator needs to start encrypting a CSV volume, remove the volume from the cluster or put it in maintenance mode.
  • Se la conversione viene sospesa con la crittografia in corso e il volume CSV è offline dal cluster, il thread del cluster (controllo dell'integrità) riprenderà automaticamente la conversione quando il volume è online nel cluster.If conversion is paused with encryption in progress and the CSV volume is offline from the cluster, the cluster thread (health check) will automatically resume conversion when the volume is online to the cluster.
  • Se la conversione viene sospesa con la crittografia in corso e un volume di risorse disco fisico è offline dal cluster, il driver BitLocker riprenderà automaticamente la conversione quando il volume è online nel cluster.If conversion is paused with encryption in progress and a physical disk resource volume is offline from the cluster, the BitLocker driver will automatically resume conversion when the volume is online to the cluster.
  • Se la conversione viene sospesa con la crittografia in corso, mentre il volume CSV è in modalità manutenzione, il thread del cluster (controllo dell'integrità) riprenderà automaticamente la conversione quando si sposta di nuovo il volume dalla manutenzione.If conversion is paused with encryption in progress, while the CSV volume is in maintenance mode, the cluster thread (health check) will automatically resume conversion when moving the volume back from maintenance.
  • Se la conversione viene sospesa con la crittografia in corso, mentre il volume della risorsa disco è in modalità manutenzione, il driver BitLocker riprenderà automaticamente la conversione quando il volume viene spostato di nuovo dalla modalità di manutenzione.If conversion is paused with encryption in progress, while the disk resource volume is in maintenance mode, the BitLocker driver will automatically resume conversion when the volume is moved back from maintenance mode.