BitLocker を使用したクラスター共有ボリュームと記憶域ネットワークの保護

適用対象

  • Windows Server 2016

IT のプロ向けこの記事では、BitLocker を使用して CSV と SANS を保護する方法について説明します。

BitLocker は、物理ディスク リソースとクラスター共有ボリューム バージョン 2.0 (CSV2.0) の両方を保護できます。 クラスター化されたボリューム上の BitLocker を使用すると、機密性の高い高可用性データを保護する管理者に対して、追加の保護層を提供できます。 管理者は、クラスター化されたボリュームにプロテクターを追加することで、特定のユーザー アカウントだけが BitLocker ボリュームのロックを解除できるようにすることで、組織内のリソースにセキュリティの障壁を追加することもできます。

クラスター共有ボリュームでの BitLocker の構成

クラスターボリュームでの BitLocker の使用

クラスター内のボリューム上の BitLocker は、クラスター サービスが保護するボリュームを "ビュー" する方法に基づいて管理されます。 ボリュームには、記憶域ネットワーク (SAN) 上の論理ユニット番号 (LUN) やネットワーク接続ストレージ (NAS) などの物理ディスク リソースを使用できます。

重要

BitLocker で使用する SANS は、ハードウェア認定Windows取得している必要があります。 詳細については、「ハードウェア ラボキットWindowsを参照してください

または、クラスター内のクラスター共有ボリューム (共有名前空間) をボリュームにすることもできます。 Windows Server 2012、Csv アーキテクチャ (CSV2.0) を拡張し、BitLocker のサポートを有効にしました。 クラスターに指定されたボリュームで BitLocker を使用する場合、ボリュームは、クラスター内のストレージ プールに追加する前に BitLocker を有効にするか、BitLocker 操作が完了する前にリソースをメンテナンス モードにする必要があります。

Windows PowerShellまたは manage-bde コマンド ライン インターフェイスは、CSV2.0 ボリュームで BitLocker を管理するための推奨される方法です。 このメソッドは、CSV2.0 ボリュームがマウント ポイントなので、BitLocker コントロール パネル アイテムに対して推奨されます。 マウント ポイントは、他のボリュームへのエントリ ポイントを提供するために使用される NTFS オブジェクトです。 マウント ポイントでは、ドライブ文字の使用は不要です。 ドライブ文字がないボリュームは、BitLocker コントロール パネルアイテムには表示されません。 さらに、クラスター ディスク リソースまたは CSV2.0 リソースに必要な新しい Active Directory ベースのプロテクタ オプションは、[コントロール パネル] アイテムでは使用できません。

注意

マウント ポイントは、SMB ベースのネットワーク共有上のリモート マウント ポイントをサポートするために使用できます。 この種類の共有は、BitLocker 暗号化ではサポートされていません。

動的仮想ハード ディスク (VHD) などのシン プロビジョニングストレージの場合、BitLocker は使用ディスク領域のみ暗号化モードで実行されます。 manage-bde -WipeFreeSpaceコマンドを使用して、これらの種類のボリュームでボリュームをフル ボリューム暗号化に移行することはできません。 このアクションは、薄くプロビジョニングされたボリュームを拡張してバッキング ストア全体を占有し、空き領域をワイプしないようにブロックされます。

Active Directory ベースのプロテクタ

また、Active Directory ドメイン サービス (AD DS) プロテクタを使用して、DS インフラストラクチャ内AD保護することもできます。 ADAccountOrGroup プロテクタは、ユーザー アカウント、コンピューター アカウント、またはグループにバインドできるドメイン セキュリティ識別子 (SID) ベースのプロテクタです。 保護されたボリュームに対してロック解除要求が行われた場合、BitLocker サービスは要求を中断し、BitLocker 保護/保護解除 API を使用して要求のロックを解除または拒否します。 BitLocker は、次の順序でプロテクタを試みて、ユーザーの介入なしに保護されたボリュームのロックを解除します。

  1. キーのクリア

  2. ドライバー ベースの自動ロック解除キー

  3. ADAccountOrGroup プロテクタ

    1. サービス コンテキスト プロテクタ
    2. ユーザー プロテクタ
  4. レジストリ ベースの自動ロック解除キー

注意

このWindows Server 2012正常に動作するには、ドメイン コントローラー以降のドメイン コントローラーが必要です。

デバイスを使用してクラスターにディスクを追加する前に BitLocker を有効Windows PowerShell

BitLocker 暗号化は、クラスター ストレージ プールに追加する前または後のディスクで使用できます。 ボリュームをクラスターに追加する前にボリュームを暗号化する利点は、ディスク リソースが操作を完了するためにリソースを中断する必要がなされないという利点です。 ディスクをクラスターに追加する前に、ディスクの BitLocker を有効にする方法は次の手順です。

  1. BitLocker ドライブ暗号化機能がインストールされていない場合は、その機能をインストールします。

  2. ディスクが NTFS 形式で、ドライブ文字が割り当てられているか確認します。

  3. クラスターを使用してクラスターの名前をWindows PowerShell。

    Get-Cluster
    
  4. クラスター名を使用して 、ADAccountOrGroup プロテクタを使用して、選択したボリュームで BitLocker を有効にします。 たとえば、次のようなコマンドを使用します。

    Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
    

    警告

    クラスター共有ボリュームで共有するか、従来のフェールオーバー クラスターで適切にフェールオーバーするには、BitLocker が有効なボリュームのクラスター CNO を使用して ADAccountOrGroup プロテクタを構成する必要があります。

  5. クラスター内の各ディスクについて、上記の手順を繰り返します。

  6. クラスターにボリュームを追加します。

デバイスを使用してクラスター化されたディスクの BitLocker を有効Windows PowerShell

クラスター サービスが既にディスク リソースを所有している場合は、BitLocker を有効にする前にメンテナンス モードに設定する必要があります。 クラスター化されたディスクの BitLocker を有効にする場合は、次の手順を使用します。

  1. BitLocker ドライブ暗号化機能がインストールされていない場合は、その機能をインストールします。

  2. クラスター ディスクの状態を確認するには、Windows PowerShell。

    Get-ClusterResource "Cluster Disk 1"
    
  3. 物理ディスク リソースを、リソース を使用してメンテナンス モードWindows PowerShell。

    Get-ClusterResource "Cluster Disk 1" | Suspend-ClusterResource
    
  4. クラスターを使用してクラスターの名前をWindows PowerShell。

    Get-Cluster
    
  5. クラスター名を使用して 、ADAccountOrGroup プロテクタを使用して、選択したボリュームで BitLocker を有効にします。 たとえば、次のようなコマンドを使用します。

    Enable-BitLocker E: -ADAccountOrGroupProtector -ADAccountOrGroup CLUSTER$
    

    警告

    クラスター共有ボリュームで共有するか、従来のフェールオーバー クラスターで適切にフェールオーバーするには、BitLocker が有効なボリュームのクラスター CNO を使用して ADAccountOrGroup プロテクタを構成する必要があります。

  6. Resume-ClusterResource を使用して、物理ディスク リソースをメンテナンス モードから取り戻します。

    Get-ClusterResource "Cluster Disk 1" | Resume-ClusterResource
    
  7. クラスター内の各ディスクについて、上記の手順を繰り返します。

manage-bde を使用して BitLocker 暗号化ボリュームをクラスターに追加する

manage-bde を使用して、クラスター化されたボリュームで BitLocker を有効にすることもできます。 物理ディスク リソースまたは CSV2.0 ボリュームを既存のクラスターに追加するには、次の手順を実行します。

  1. BitLocker ドライブ暗号化機能がコンピューターにインストールされていることを確認します。

  2. 新しいストレージが NTFS 形式で設定されている必要があります。

  3. manage-bde コマンド ライン インターフェイスを使用して、ボリュームを暗号化し、回復キーを追加し、保護キーとしてクラスター管理者を追加します (例を参照)。

    • Manage-bde -on -used <drive letter> -RP -sid domain\CNO$ -sync

      1. BitLocker は、ディスクが既にクラスターの一部である場合に確認します。 この場合、管理者はハード ブロックに遭遇します。 それ以外の場合、暗号化は続行されます。
      2. -sync パラメーターの使用はオプションです。 このコマンドを使用すると、ボリュームの暗号化が完了するまでコマンドが待機してから、クラスター ストレージ プールで使用するボリュームを解放します。
  4. フェールオーバー クラスター マネージャー スナップインまたはクラスター PowerShell コマンドレットを開き、ディスクをクラスター化する

    • ディスクがクラスター化された後は、CSV を有効にすることもできます。
  5. リソースのオンライン操作中に、クラスターはディスクが BitLocker で暗号化されているのか確認します。

    1. ボリュームが BitLocker が有効になっていない場合は、従来のクラスター オンライン操作が行われます。

    2. ボリュームが BitLocker が有効になっている場合は、次のチェックが行われます。

      • ボリュームがロック されている場合、BitLockerは CNO を偽装し、CNO プロテクタを使用してボリュームのロックを解除します。 この操作が失敗した場合、ボリュームのロックを解除できなかったイベントが記録され、オンライン操作は失敗します。
  6. ディスクがストレージ プール内でオンラインになっている場合は、ディスク リソースを右クリックし、[クラスター共有ボリュームに追加] を選択して CSV に 追加できます

CSV には、暗号化されたボリュームと暗号化されていないボリュームの両方を含めできます。 BitLocker 暗号化の特定のボリュームの状態を確認するために、管理者は、次のコマンド ライン例に示す CSV 名前空間内のボリュームへのパスを持つ manage-bde -status コマンドを使用できます。

manage-bde -status "C:\ClusterStorage\volume1"

物理ディスク リソース

CSV2.0 ボリュームとは異なり、物理ディスク リソースにアクセスできるのは、一度に 1 つのクラスター ノードのみです。 そのため、ボリュームの暗号化、復号化、ロック、ロック解除などの操作を実行するには、コンテキストが必要です。 たとえば、ディスク リソースが使用できないので、ディスク リソースを所有するクラスター ノードを管理していない場合は、物理ディスク リソースのロックを解除または解除できません。

クラスター ボリュームを使用した BitLocker アクションの制限

次の表に、物理ディスク リソース (従来のフェールオーバー クラスター ボリューム) とクラスター共有ボリューム (CSV) の両方に関する情報と、各状況で BitLocker で許可されるアクションについて説明します。

操作 フェールオーバー ボリュームの所有者ノードで CSV のメタデータ サーバー (MDS) で CSV のオン (データ サーバー) DS メンテナンス モード
Manage-bde –on ブロック ブロック ブロック 許可されます
Manage-bde –off ブロック ブロック ブロック 許可されます
Manage-bde Pause/Resume ブロック Blocked** ブロック 許可されます
Manage-bde –lock ブロック ブロック ブロック 許可されます
manage-bde –wipe ブロック ブロック ブロック 許可されます
ロックを解除する クラスター サービス経由で自動 クラスター サービス経由で自動 クラスター サービス経由で自動 許可されます
manage-bde –protector –add 許可されます 許可されます ブロック 許可されます
manage-bde -protector -delete 許可されます 許可されます ブロック 許可されます
manage-bde –autounlock 許可 (推奨されません) 許可 (推奨されません) ブロック 許可 (推奨されません)
Manage-bde -upgrade 許可されます 許可されます ブロック 許可されます
Shrink 許可されます 許可されます ブロック 許可されます
拡張 許可されます 許可されます ブロック 許可されます

注意

manage-bde -pause コマンドはクラスターでブロックされましたが、クラスター サービスは一時停止中の暗号化または暗号化解除をクラスター ノードから自動的にMDSします。

物理ディスク リソースが変換中にフェールオーバー イベントを発生した場合、新しい所有ノードは変換が完了していないのを検出し、変換プロセスを完了します。

CSV2.0 で BitLocker を使用する場合のその他の考慮事項

また、次の考慮事項を考慮して、クラスターストレージ上の BitLocker を考慮します。

  • BitLocker ボリュームを CSV2.0 ボリュームに追加するには、その前に初期化して暗号化を開始する必要があります。
  • 管理者が CSV ボリュームの暗号化を解除する必要がある場合は、クラスターからボリュームを削除するか、ディスクメンテナンス モードにします。 暗号化解除が完了するのを待っている間に、クラスターに CSV を追加し戻します。
  • 管理者が CSV ボリュームの暗号化を開始する必要がある場合は、クラスターからボリュームを削除するか、メンテナンス モードにします。
  • 暗号化が進行中で変換が一時停止され、CSV ボリュームがクラスターからオフラインの場合、クラスター スレッド (正常性チェック) は、ボリュームがクラスターにオンラインのときに自動的に変換を再開します。
  • 暗号化が進行中で変換が一時停止され、物理ディスク リソース ボリュームがクラスターからオフラインの場合、BitLocker ドライバーはボリュームがクラスターにオンラインのときに自動的に変換を再開します。
  • 暗号化が進行中で変換が一時停止されている場合、CSV ボリュームがメンテナンス モードの間、クラスター スレッド (正常性チェック) は、ボリュームをメンテナンスから戻す際に自動的に変換を再開します。
  • 暗号化が進行中で、ディスク リソース ボリュームがメンテナンス モードの間に変換が一時停止されている場合、ボリュームがメンテナンス モードから戻されると、BitLocker ドライバーは自動的に変換を再開します。