Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
BitLocker-Übersicht
BitLocker-Laufwerkverschlüsselung ist ein Datenschutzfeature, das in das Betriebssystem integriert ist und die Bedrohungen des Datendiebstahls oder der Gefährdung von verlorenen, gestohlenen oder unzureichend außer Betrieb genommenen Computern behandelt.
BitLocker bietet den meisten Schutz bei Verwendung mit einem Trusted Platform Module (TPM) Version 1.2 oder höher. Das TPM ist eine Hardwarekomponente, die von Computerherstellern auf vielen neueren Computern installiert ist. Es funktioniert mit BitLocker, um Benutzerdaten zu schützen und sicherzustellen, dass ein Computer nicht manipuliert wurde, während das System offline war.
Auf Computern, auf denen keine TPM-Version 1.2 oder höher vorhanden ist, können Sie bitLocker weiterhin verwenden, um das Windows-Betriebssystemlaufwerk zu verschlüsseln. Diese Implementierung erfordert jedoch, dass der Benutzer einen USB-Startschlüssel einfügt, um den Computer zu starten oder aus dem Ruhezustand fortzusetzen. Ab Windows 8 können Sie ein Kennwort für ein Betriebssystemvolume verwenden, um das Volume auf einem Computer ohne Trusted Platform Module (TPM) zu schützen. Keine dieser Optionen bietet die Überprüfung der Systemintegrität vor dem Start, die bitLocker mit einem TPM bietet.
Neben dem TPM bietet BitLocker die Möglichkeit, den normalen Startvorgang zu sperren, bis der Benutzer eine persönliche Identifikationsnummer (PIN) bereitstellt oder ein Wechselgerät einfügt. Dieses Gerät kann ein USB-Speicherstick sein, der einen Startschlüssel enthält. Diese zusätzlichen Sicherheitsmaßnahmen ermöglichen die Multi-Faktor-Authentifizierung (MFA) und stellen sicher, dass der Computer erst dann gestartet oder aus dem Ruhezustand aktiviert wird, wenn die richtige PIN oder der richtige Systemstartschlüssel angegeben wird.
Übersicht: Freigegebene Clustervolumes
Cluster Shared Volumes (CSV) ermöglichen mehreren Knoten in einem Windows Server-Failovercluster oder Azure Local gleichzeitig Lese-/Schreibzugriff auf dieselbe logische Einheitsnummer (LUN) oder einen Datenträger, der als NTFS-Volume bereitgestellt wird. Der Datenträger kann als resilientes Dateisystem (ReFS) bereitgestellt werden. Das CSV-Laufwerk befindet sich jedoch im Umleitungsmodus, was bedeutet, dass der Schreibzugriff an den Koordinatorknoten gesendet wird. Mit CSVs kann für Clusterrollen schnell ein Failover von einem zu einem anderen Knoten ausgeführt werden, ohne Besitzrechte für das Laufwerk ändern oder Volumes erneut bereitstellen bzw. ihre Bereitstellung aufheben zu müssen. Freigegebene Clustervolumes vereinfachen auch die Verwaltung einer möglicherweise großen Anzahl von LUNs in einem Failovercluster.
CSV stellt ein allgemeines, gruppiertes Dateisystem bereit, das über NTFS oder ReFS angeordnet ist. CSV-Anwendungen umfassen Folgendes:
- VHD/VHDX-Dateien (gruppierte virtuelle Festplatten) für gruppierte virtuelle Hyper-V-Computer
- Dateifreigaben mit horizontaler Skalierung zum Speichern von Anwendungsdaten für die Clusterrolle „Dateiserver mit horizontaler Skalierung“. Beispiele für die Anwendungsdaten dieser Rolle umfassen Dateien von virtuellen Hyper-V-Computern und Microsoft SQL Server-Daten. ReFS wird für einen Scale-Out File Server in Windows Server 2012 R2 und früheren Versionen nicht unterstützt. Weitere Informationen zu Dateiservern mit horizontaler Skalierung finden Sie unter Dateiserver mit horizontaler Skalierung für Anwendungsdaten.
- Die Failoverclusterinstanz (FCI) für Microsoft SQL Server 2014 (oder höher) und die Microsoft SQL Server-Clusterworkload in SQL Server 2012 und früheren Versionen von SQL Server unterstützen die Verwendung von CSV nicht.
- Windows Server 2019 oder höher; Microsoft Distributed Transaction Coordinator (MSDTC)
Verwenden von BitLocker mit freigegebenen Clustervolumes
BitLocker auf Volumes innerhalb eines Clusters wird basierend darauf verwaltet, wie der Clusterdienst das zu schützende Volume „sieht“. Das Volume kann eine physische Datenträgerressource sein, z. B. eine logische Gerätenummer (Logical Unit Number, LUN) in einem Storage Area Network (SAN) oder einem Network-Attached Storage (NAS).
Alternativ kann das Volume ein freigegebenes Clustervolume (CSV) innerhalb des Clusters sein. Bei Verwendung von BitLocker mit Volumes, die für einen Cluster vorgesehen sind, kann das Volume mit BitLocker vor dem Hinzufügen zum Cluster oder im Cluster aktiviert werden. Setzen Sie die Ressource in den Wartungsmodus, bevor Sie BitLocker aktivieren.
Windows PowerShell oder die Befehlszeilenschnittstelle "Manage-BDE " ist die bevorzugte Methode zum Verwalten von BitLocker auf CSV-Volumes. Diese Methode wird über das BitLocker-Systemsteuerungselement empfohlen, da CSV-Volumes Bereitstellungspunkte sind. Bereitstellungspunkte sind Windows NTFS-Dateisystem (NTFS)-Objekte, die verwendet werden, um Einstiegspunkte für andere Volumes bereitzustellen. Für Bereitstellungspunkte muss kein Laufwerkbuchstabe verwendet werden. Volumes ohne Laufwerkbuchstaben werden nicht im BitLocker-Systemsteuerungselement angezeigt.
BitLocker entsperrt geschützte Volumes ohne Benutzereingriff, indem die Schutzmechanismen in der folgenden Reihenfolge ausprobiert werden:
Entschlüsselung
Treiberbasierter Schlüssel für die automatische Entsperrung
ADAccountOrGroup-Schutzkomponente
Dienstkontextschutz
Benutzerschutz
Registrierungsbasierter Schlüssel für die automatische Entsperrung
Die Option „Failovercluster“ erfordert die Active Directory-basierte Schutzoption für die Clusterdatenträgerressource. Andernfalls sind CSV-Ressourcen im Systemsteuerungselement nicht verfügbar.
Eine Active Directory Domain Services (AD DS)-Schutzkomponente zum Schutz gruppierter Volumes, die in Ihrer AD DS-Infrastruktur gespeichert sind. Die ADAccountOrGroup-Schutzkomponente ist eine SID-basierte Schutzkomponente (Domain Security Identifier), die an ein Benutzerkonto, ein Computerkonto oder eine Gruppe gebunden werden kann. Wenn eine Entsperrungsanforderung für ein geschütztes Volume gestellt wird, unterbricht der BitLocker-Dienst die Anforderung und verwendet die BitLocker-APIs zum Schutz/Aufheben des Schutzes, um die Anforderung zu entsperren oder zu verweigern.
Neue Funktionalität
In früheren Versionen von Windows Server und Azure Local ist die einzige unterstützte Verschlüsselungsschutzkomponente die SID-basierte Schutzkomponente, bei der das verwendete Konto clustername-Objekt (Cluster Name Object, CNO) ist, das im Rahmen der Erstellung des Failoverclusterings in Active Directory erstellt wird. Dies ist ein sicherer Entwurf, da die Schutzkomponente in Active Directory gespeichert und durch das CNO-Kennwort geschützt ist. Außerdem ist die Bereitstellung und Entsperrung von Volumes einfach, da jeder Failoverclusterknoten Zugriff auf das CNO-Konto (Clusternamenobjekt) hat.
Der Nachteil ist dreifach:
Diese Methode funktioniert offensichtlich nicht, wenn ein Failovercluster ohne Zugriff auf einen Active Directory-Controller im Rechenzentrum erstellt wird.
Die Volumeentsperrung im Rahmen des Failovers kann zu lange dauern (und möglicherweise aufgrund eines Timeouts abgebrochen werden), wenn der Active Directory-Controller nicht reagiert oder langsam ist.
Der Onlineprozess des Laufwerks schlägt fehl, wenn kein Active Directory-Controller verfügbar ist.
Es wurden neue Funktionen hinzugefügt, mit denen das Failoverclustering eine eigene BitLocker-Schlüsselschutzvorrichtung für ein Volume generiert und verwaltet. Sie wird verschlüsselt und in der lokalen Clusterdatenbank gespeichert. Da die Clusterdatenbank ein replizierter Speicher ist, der vom Systemvolume auf jedem Clusterknoten unterstützt wird, sollte das Systemvolume auf jedem Clusterknoten auch BitLocker geschützt sein. Failover-Clustering erzwingt es nicht, da einige Lösungen das System-Volume möglicherweise nicht verschlüsseln möchten oder müssen. Wenn das Systemlaufwerk nicht BitLocker-verschlüsselt ist, kennzeichnet der Failover-Cluster dies während des Online- und Entsperrprozesses als Warnereignis. Bei der Validierung des Failover-Clusters wird eine Meldung protokolliert, wenn erkannt wird, dass es sich um eine Einrichtung ohne Active Directory oder eine Arbeitsgruppe handelt und das Systemvolume nicht verschlüsselt ist.
Installieren der BitLocker-Verschlüsselung
BitLocker ist ein Feature, das allen Knoten des Clusters hinzugefügt werden muss.
Hinzufügen von BitLocker mithilfe des Server-Managers
Öffnen Sie den Server-Manager , indem Sie das Server-Manager-Symbol auswählen oder servermanager.exeausführen.
Wählen Sie auf der Navigationsleiste des Server-Managers " Verwalten" und dann " Rollen und Features hinzufügen" aus , um den Assistenten zum Hinzufügen von Rollen und Features zu starten.
Wenn der Assistent zum Hinzufügen von Rollen und Features geöffnet ist, wählen Sie "Weiter" im Bereich "Bevor Sie beginnen " (sofern angezeigt) aus.
Wählen Sie die Option Rollenbasierte oder featurebasierte Installation im Bereich Installationstyp des Bereichs Assistent zum Hinzufügen von Rollen und Features und dann Weiter aus, um fortzufahren.
Wählen Sie im Bereich "Serverauswahl" die Option "Serverpool auswählen" aus, und bestätigen Sie den Server für die BitLocker-Featureinstallation.
Wählen Sie im Bereich "Serverrollen" im Assistenten "Rollen und Features hinzufügen" die Option "Weiter" aus, um mit dem Bereich "Features" fortzufahren.
Aktivieren Sie das Kontrollkästchen neben der BitLocker-Laufwerkverschlüsselung im Bereich "Features " des Assistenten zum Hinzufügen von Rollen und Features . Der Assistent zeigt die zusätzlichen Verwaltungsfunktionen für BitLocker an. Wenn Sie diese Features nicht installieren möchten, deaktivieren Sie die Option " Verwaltungstools einschließen " und wählen Sie "Features hinzufügen" aus. Sobald die Auswahl optionaler Features abgeschlossen ist, wählen Sie "Weiter" aus, um fortzufahren.
Note
Das Feature "Erweiterter Speicher " ist ein erforderliches Feature zum Aktivieren von BitLocker. Dieses Feature ermöglicht die Unterstützung für verschlüsselte Festplatten auf fähigen Systemen.
Wählen Sie " Installieren " im Bestätigungsbereich des Assistenten zum Hinzufügen von Rollen und Features aus , um die BitLocker-Featureinstallation zu starten. Die BitLocker-Funktion erfordert zum Abschluss einen Neustart. Wenn Sie im Bestätigungsbereich die Option Zielserver bei Bedarf automatisch neu starten auswählen, wird der Computer nach Abschluss der Installation zwangsweise neu gestartet.
Wenn das Kontrollkästchen "Zielserver automatisch neu starten" nicht ausgewählt ist, zeigt der Ergebnisbereich des Assistenten zum Hinzufügen von Rollen und Features den Erfolg oder Fehler der BitLocker-Featureinstallation an. Falls erforderlich, wird im Ergebnistext eine Benachrichtigung über zum Abschluss der Feature-Installation zusätzlich erforderliche Aktionen angezeigt, wie z. B. der Neustart des Computers.
Hinzufügen von BitLocker mithilfe von PowerShell
Verwenden Sie für jeden Server den folgenden Befehl:
Install-WindowsFeature -ComputerName "Node1" -Name "BitLocker" -IncludeAllSubFeature -IncludeManagementTools
Um den Befehl gleichzeitig auf allen Clusterservern auszuführen, verwenden Sie das folgende Skript und passen Sie die Liste der Variablen am Anfang an Ihre Umgebung an.
Füllen Sie diese Variablen mit Ihren Werten aus.
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker"
In diesem Teil wird das cmdlet Install-WindowsFeature auf allen Servern in $ServerList ausgeführt, wobei die Liste der Features in $FeatureList übergeben wird.
Invoke-Command ($ServerList) {
Install-WindowsFeature -Name $Using:Featurelist -IncludeAllSubFeature -IncludeManagementTools
}
Starten Sie anschließend alle Server neu:
$ServerList = "Node1", "Node2", "Node3", "Node4" Restart-Computer -ComputerName $ServerList -WSManAuthentication Kerberos
Mehrere Rollen und Features können gleichzeitig hinzugefügt werden. Um beispielsweise BitLocker, die Failover-Clusterfunktion und die Dateiserver-Rolle hinzuzufügen, würde die $FeatureList alle notwendigen Funktionen enthalten, getrennt durch ein Komma. Beispiel:
$ServerList = "Node1", "Node2", "Node3", "Node4"
$FeatureList = "BitLocker", “Failover-Clustering”, “FS-FileServer”
Bereitstellen eines verschlüsselten Volumes
Die Bereitstellung eines Laufwerks mit BitLocker-Verschlüsselung kann erfolgen, wenn das Laufwerk Teil des Failoverclusters ist oder außerhalb, bevor es hinzugefügt wird. Um die Externe Schlüsselschutzkomponente automatisch zu erstellen, muss das Laufwerk eine Ressource im Failovercluster sein, bevor BitLocker aktiviert wird. Wenn BitLocker vor dem Hinzufügen des Laufwerks zum Failovercluster aktiviert ist, müssen zusätzliche manuelle Schritte zum Erstellen der Externen Schlüsselschutzkomponente ausgeführt werden.
Für die Bereitstellung verschlüsselter Volumes sind PowerShell-Befehle erforderlich, die mit Administratorrechten ausgeführt werden. Es gibt zwei Optionen zum Verschlüsseln der Laufwerke und das Failoverclustering kann eigene BitLocker-Schlüssel erstellen und verwenden.
Interner Wiederherstellungsschlüssel
Externe Wiederherstellungsschlüsseldatei
Verschlüsseln mithilfe eines Wiederherstellungsschlüssels
Durch das Verschlüsseln der Laufwerke mit einem Wiederherstellungsschlüssel kann ein BitLocker-Wiederherstellungsschlüssel erstellt und der Clusterdatenbank hinzugefügt werden. Wenn das Laufwerk online geschaltet wird, muss es nur den Wiederherstellungsschlüssel von der lokalen Clusterstruktur abfragen.
Verschieben Sie die Datenträgerressource auf den Knoten, auf dem die BitLocker-Verschlüsselung aktiviert ist:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Move-ClusterSharedVolume Resource -Node Node1
Legen Sie die Datenträgerressource in den Wartungsmodus ein:
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Suspend-ClusterResource
Ein Dialogfeld wird angezeigt, in dem Folgendes angezeigt wird:
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 1’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Drücken Sie ' Ja', um den Vorgang fortzusetzen.
Führen Sie Folgendes aus, um die BitLocker-Verschlüsselung zu aktivieren:
Enable-BitLocker -MountPoint "C:\\ClusterStorage\\Volume1" -RecoveryPasswordProtector
Nachdem Sie den Befehl eingegeben haben, wird eine Warnung angezeigt und stellt ein numerisches Wiederherstellungskennwort bereit. Speichern Sie das Kennwort an einem sicheren Ort, da es auch in einem bevorstehenden Schritt erforderlich ist. Die Warnung sieht ähnlich wie folgt aus:
WARNING: ACTIONS REQUIRED:
1. Save this numerical recovery password in a secure location away from your computer:
271733-258533-688985-480293-713394-034012-061963-682044
To prevent data loss, save this password immediately. This password helps ensure that you can unlock the encrypted volume.
Um die BitLocker-Schutzinformationen für das Volume abzurufen, kann der folgende Befehl ausgeführt werden:
(Get-BitlockerVolume -MountPoint "C:\\ClusterStorage\\Volume1").KeyProtector
Dadurch werden sowohl die Schlüsselschutz-ID als auch die Wiederherstellungskennwortzeichenfolge angezeigt.
KeyProtectorId : {26935AC3-8B17-482D-BA3F-D373C7954D29}
AutoUnlockProtector :
KeyProtectorType : RecoveryPassword
KeyFileName :
RecoveryPassword : 271733-258533-688985-480293-713394-034012-061963-682044
KeyCertificateType :
Thumbprint :
Die Schlüsselschutz-ID und das Wiederherstellungskennwort werden benötigt und in einer neuen privaten Physischen Datenträgereigenschaft namens BitLockerProtectorInfo gespeichert. Diese neue Eigenschaft wird verwendet, wenn die Ressource aus dem Wartungsmodus kommt. Das Format der Schutzkomponente ist eine Zeichenfolge, in der die Schutz-ID und das Kennwort durch ":" getrennt werden.
Get-ClusterSharedVolume "Cluster Disk 1" | Set-ClusterParameter -Name BitLockerProtectorInfo -Value "{26935AC3-8B17-482D-BA3F-D373C7954D29}:271733-258533-688985-480293-713394-034012-061963-682044" -Create
Um zu überprüfen, ob der BitlockerProtectorInfo-Schlüssel und -Wert festgelegt sind, führen Sie den Befehl aus:
Get-ClusterSharedVolume "Cluster Disk 1" | Get-ClusterParameter BitLockerProtectorInfo
Nachdem die Informationen vorhanden sind, kann der Datenträger nach Abschluss des Verschlüsselungsprozesses aus dem Wartungsmodus herausgebracht werden.
Get-ClusterSharedVolume -Name "Cluster Disk 1" | Resume-ClusterResource
Wenn die Ressource nicht online kommt, kann es sich um ein Speicherproblem, ein falsches Wiederherstellungskennwort oder ein Problem handelt. Überprüfen Sie, ob der BitlockerProtectorInfo-Schlüssel über die richtigen Informationen verfügt. Falls nicht, sollten die zuvor angegebenen Befehle erneut ausgeführt werden. Wenn das Problem nicht mit diesem Schlüssel zusammenhängt, empfehlen wir, sich an die zuständige Gruppe innerhalb Ihrer Organisation oder an den Speicheranbieter zu wenden, um das Problem zu lösen.
Wenn die Ressource online ist, sind die Informationen richtig. Während des Ablaufs des Wartungsmodus wird der BitlockerProtectorInfo-Schlüssel unter der Ressource in der Clusterdatenbank entfernt und verschlüsselt.
Verschlüsseln mit externer Wiederherstellungsschlüsseldatei
Durch das Verschlüsseln der Laufwerke mithilfe einer Wiederherstellungsschlüsseldatei kann ein BitLocker-Wiederherstellungsschlüssel erstellt und von einem Speicherort aus aufgerufen werden, auf den alle Knoten Zugreifen haben, z. B. auf einen Dateiserver. Sobald das Laufwerk online ist, stellt der zugehörige Knoten eine Verbindung mit dem Wiederherstellungsschlüssel her.
Verschieben Sie die Datenträgerressource auf den Knoten, auf dem die BitLocker-Verschlüsselung aktiviert ist:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Move-ClusterSharedVolume Resource -Node Node2
Legen Sie die Datenträgerressource in den Wartungsmodus ein:
Get-ClusterSharedVolume -Name "Cluster Disk 2" | Suspend-ClusterResource
Ein Dialogfeld wird eingeblendt
Suspend-ClusterResource
Are you sure that you want to turn on maintenance for Cluster Shared Volume ‘Cluster Disk 2’? Turning on maintenance will stop all clustered roles that use this volume and will interrupt client access.
Drücken Sie ' Ja', um den Vorgang fortzusetzen.
Führen Sie den folgenden Befehl aus, um die BitLocker-Verschlüsselung zu aktivieren und die Schlüsselschutzdatei lokal zu erstellen. Das lokale Erstellen der Datei und das anschließende Verschieben an einen Speicherort, auf den alle Knoten zugreifen können, wird empfohlen.
Enable-BitLocker -MountPoint "C:\ClusterStorage\Volume2" -RecoveryKeyProtector -RecoveryKeyPath C:\Windows\Cluster
Um die BitLocker-Schutzinformationen für das Volume abzurufen, kann der folgende Befehl ausgeführt werden:
(Get-BitlockerVolume -MountPoint "C:\ClusterStorage\Volume2").KeyProtector
Dadurch werden sowohl die Schlüsselschutz-ID als auch der von ihr erstellte Schlüsseldateiname angezeigt.
KeyProtectorId : {F03EB4C1-073C-4E41-B43E-B9298B6B27EC}
AutoUnlockProtector :
KeyProtectorType : ExternalKey
KeyFileName : F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
RecoveryPassword :
KeyCertificateType :
Thumbprint :
Wenn Sie zu dem Ordner wechseln, der für das Erstellen angegeben wurde, wird dieser nicht direkt angezeigt. Dies liegt daran, dass sie als ausgeblendete Datei erstellt wird. Beispiel:
C:\Windows\Cluster\>dir f03
Directory of C:\\Windows\\Cluster
File Not Found
C:\Windows\Cluster\>dir /a f03
Directory of C:\Windows\Cluster
<Date> <Time> 148 F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
C:\Windows\Cluster\>attrib f03
A SHR C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Da dies auf einem lokalen Pfad erstellt wird, muss sie in einen Netzwerkpfad kopiert werden, damit alle Knoten über den Befehl "Kopieren-Element " darauf zugreifen können.
Copy-Item -Path C:\Windows\Cluster\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK -Destination \\Server\Share\Dir
Da das Laufwerk eine Datei verwendet und sich auf einer Netzwerkfreigabe befindet, beenden Sie den Wartungsmodus für das Laufwerk, indem Sie den Pfad zur Datei angeben. Nachdem das Laufwerk mit der Verschlüsselung abgeschlossen hat, würde der Befehl zum Fortsetzen wie folgt lauten:
Resume-ClusterPhysicalDiskResource -Name "Cluster Disk 2" -RecoveryKeyPath \\Server\Share\Dir\F03EB4C1-073C-4E41-B43E-B9298B6B27EC.BEK
Die BEK-Datei wird nach dem Bereitstellen des Laufwerks nicht mehr benötigt und kann aus der Freigabe entfernt werden.
Neue PowerShell-Cmdlets
Mit diesem neuen Feature wurden zwei neue Cmdlets erstellt, um die Ressource online zu schalten oder die Ressource manuell mithilfe des Wiederherstellungsschlüssels oder der Wiederherstellungsschlüsseldatei fortzuführen.
Start-ClusterPhysicalDiskResource
Beispiel 1
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
Beispiel 2
Start-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Resume-ClusterPhysicalDiskResource
Beispiel 1
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryPassword "password-string"
Beispiel 2
Resume-ClusterPhysicalDiskResource -Name "My Disk" -RecoveryKeyPath "path-to-external-key-file"
Neue Ereignisse
Es gibt mehrere neue Ereignisse, die sich im Microsoft-Windows-FailoverClustering/Operational-Ereigniskanal befinden.
Wenn das Erstellen der Schlüsselschutz- oder Schlüsselschutzdatei erfolgreich ist, ähnelt das angezeigte Ereignis folgendem:
Source: Microsoft-Windows-FailoverClustering Event ID: 1810 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource added a protector to a BitLocker encrypted volume.
Wenn beim Erstellen der Schlüsselschutz- oder Schlüsselschutzdatei ein Fehler auftritt, ist das angezeigte Ereignis ähnlich wie folgt:
Source: Microsoft-Windows-FailoverClustering Event ID: 1811 Task Category: Physical Disk Resource Level: Information Description: Cluster Physical Disk Resource failed to create an external key protector for the volume
Wie bereits erwähnt, empfiehlt es sich, das Systemvolume auf jedem Clusterknoten zu schützen, da es sich bei der Clusterdatenbank um einen replizierten Speicher handelt, der auf jedem Clusterknoten auch bitLocker-geschützt sein sollte. Dies wird vom Failoverclustering nicht erzwungen, da einige Lösungen das Systemvolume möglicherweise nicht verschlüsseln möchten oder müssen. Wenn das Systemlaufwerk nicht durch BitLocker gesichert ist, kennzeichnet Failovercluster dies während des Entsperrungs-/Onlineprozesses als Ereignis. Das angezeigte Ereignis ähnelt folgendem:
Source: Microsoft-Windows-FailoverClustering Event ID: 1824 Task Category: Physical Disk Resource Level: Warning Description: Cluster Physical Disk Resource contains a BitLocker protected volume, but the system volume is not BitLocker protected. For data protection, it is recommended that the system volume be BitLocker protected as well. ResourceName: Cluster Disk 1
Bei der Failoverclustervalidierung wird eine Meldung protokolliert, wenn erkannt wird, dass es sich um ein Setup ohne Active Directory oder ein Arbeitsgruppensetup handelt und das Systemvolume nicht verschlüsselt ist.