Улучшения BitLocker в Windows Server 2012 и Windows 8 (часть 3) — поддержка общего тома кластера

• Улучшения BitLocker в Windows Server 2012 и Windows 8 (часть 2) — поддержка общего тома кластера

Введение

В части 1 этой серии мы обсудили поддержку нового диска с самошифрованием (SED) в версии BitLocker для Windows 8/Server 2012, а также новую функцию сетевой разблокировки. Затем во второй части мы говорили о возможности шифрования только используемого дискового пространства и предварительной подготовке BitLocker. На этот раз мы рассмотрим еще одно усовершенствование BitLocker, применимое к серверам Windows Server 2012: поддержка общего тома кластера.

Работа с общими томами кластера

Общие тома кластера (CSV) — это функция, которую Microsoft представила в Windows Server 2008 R2 с Hyper-V, которая позволяет всем узлам отказоустойчивого кластера получать доступ к общему тому NTFS, чтобы кластеризованные виртуальные машины могли совместно использовать хранилище, но все еще может выйти из строя. Вы можете перемещать или мигрировать виртуальные машины, совместно использующие том, независимо друг от друга. CVS работает с файлами виртуального жесткого диска (VHD).

К сожалению, эта функция не была использована в полной мере из-за проблем с CSV. Они были ограничены определенными видами рабочих нагрузок, такими как кластеры SQL, конфигурация была сложной, а обновления часто создавали проблемы.

Microsoft прислушалась к жалобам, и Windows Server 2012 вносит ряд улучшений в CSV, включая поддержку большего количества ролей кластера, CSVFS (файловая система общих томов кластера), которая создает единое пространство имен файлов в общем хранилище, более простое резервное копирование, улучшенную производительность копирования за счет удаление внешних зависимостей для аутентификации, возможность сделать хранилище доступным только для части узлов, а также возможность сканировать и восстанавливать тома без простоев. Кроме того, новая версия CSV интегрируется с Storage Spaces, SMB Multichannel и SMB Direct. И, наконец, теперь у нас есть поддержка CSV для шифрования диска BitLocker для физической защиты CSV, которые находятся за пределами защищенного центра обработки данных.

Если вам интересно узнать больше об общих улучшениях CSV в Windows Server 2012, обязательно ознакомьтесь с этим сеансом слайд-шоу на веб-сайте MSDN.

Если вам интересно узнать больше об использовании шифрования диска BitLocker с файлами CSV в Server 2012, читайте дальше.

Как работает BitLocker на CSV

Практическое применение этого заключается в том, что теперь вы можете использовать BitLocker для шифрования томов в отказоустойчивом кластере с помощью CSV версии 2.0. Поскольку BitLocker обеспечивает защиту, даже когда неавторизованный пользователь получает физический доступ, это обеспечивает более высокий уровень безопасности для тех томов кластера, которые содержат важные файлы. Это может быть важной частью многоуровневой стратегии безопасности для этих серверных томов.

BitLocker работает с различными типами томов в отказоустойчивом кластере, включая физические диски и их LUN (номера логических устройств), которые находятся в NAS (сетевое хранилище) или SAN (сети хранения данных). LUN — это идентификатор логического диска, созданного на физическом диске. Но теперь он также работает с общим пространством имен Cluster Shared Volume. Вам необходимо включить BitLocker в CSV, прежде чем добавлять его в пул носителей кластера.

Управление BitLocker на CSV

Возможно, вы привыкли управлять томами BitLocker с помощью апплета панели управления BitLocker, показанного на рис. 1.

Рис. 1. Апплет панели управления BitLocker

Однако рекомендуемый способ управления BitLocker на томах Server 2012 CSV 2.0 — использование средства командной строки manage-bde или Windows PowerShell. Проблема с использованием апплета панели управления BitLocker заключается в том, что он не отображает тома, которым не назначены буквы дисков. Поскольку тома CSV 2.0 на самом деле являются точками подключения, им не обязательно назначаются буквы дисков, поэтому они не будут отображаться в апплете панели управления.

CSV может содержать как зашифрованные, так и незашифрованные тома.

Реализация BitLocker на CSV

Вы можете включить BitLocker для тома перед его добавлением в пул носителей в кластере или сделать это после того, как том уже добавлен, но проще сделать это заранее, если есть возможность. Если вы сделаете это позже, вам потребуется приостановить работу пула хранения, чтобы внедрить шифрование BitLocker.

Вот как включить BitLocker на диске перед его добавлением в кластер:

1. Если функция шифрования диска BitLocker не установлена на сервере, ее необходимо установить. Вы можете сделать это либо через диспетчер серверов, либо через PowerShell. Если он уже установлен, перейдите к шагу 9. Если вы хотите установить с помощью PowerShell, перейдите к шагу 8.
2. Чтобы установить BitLocker через диспетчер серверов, перейдите на панель навигации диспетчера серверов и выберите «Управление», затем «Добавить роли и компоненты».
3. В мастере нажмите « Далее» и выберите «Установка на основе ролей или компонентов», затем снова нажмите «Далее».
4. Щелкните Выбрать сервер из пула серверов и подтвердите подлинность сервера.
5. Нажмите «Далее», чтобы перейти к выбору функций, и установите флажок «Шифрование диска BitLocker». Вы можете установить дополнительные функции управления для BitLocker здесь.
6. Нажмите «Далее» еще раз и выберите «Установить».
7. Вам потребуется перезагрузить компьютер, чтобы завершить установку BitLocker. Вы можете выбрать, будет ли перезапускаться автоматически.
8. Чтобы установить BitLocker с PowerShell, используйте командлет Install-WindowsFeature или Add-WindowsFeature в модуле servermanager. Команда для установки BitLocker со всеми функциями и перезагрузки компьютера: Install-WindowsFeature BitLocker –IncludeAllSubFeature –IncludeManagementTools –Restart
   Обратите внимание, что функцию Enhanced Storage необходимо устанавливать отдельно.
9. Отформатируйте диск в NTFS, если это еще не сделано.
10. Назначьте букву диска.
11. В PowerShell используйте следующую команду, чтобы включить BitLocker с помощью средства защиты паролем, как в этом примере: Enable –BitLocker E: -PasswordProtector –Password $pw
12. В PowerShell используйте следующую команду, чтобы определить имя кластера:
    Get-кластер
13. Используйте следующий пример команды (определение предохранителя на основе SID), чтобы добавить предохранитель на основе SID, чтобы том перешел на другой ресурс:
    Add-BitLockerProtector E: -ADAccountOrGroupProtector –ADAccountorGroup CLUSTER$

Для каждого диска в кластере выполните шаги 9–13.

Если диск уже был добавлен в кластер до того, как вы включили BitLocker, вы все равно можете включить на нем BitLocker, но вам придется перевести его в режим обслуживания, что означает, что в это время он будет недоступен. Используйте PowerShell для выполнения следующих шагов:

1. Установите компонент BitLocker на сервер, если вы еще этого не сделали (см. шаги 1–8 выше).
2. Используйте следующую команду PowerShell, чтобы проверить состояние диска кластера:
   Get-ClusterResource «Кластерный диск 1»
3. Используйте следующую команду, чтобы перевести диск в режим обслуживания:
   Get-ClusterResource «Кластерный диск 1» | Suspend-ClusterResource
4. Теперь вы можете выполнить шаги 11–13 выше, чтобы определить имя кластера и добавить предохранитель на основе SID в том.
5. Добавьте том или тома в кластер.
6. Вам потребуется возобновить работу диска (вывести его из режима обслуживания). Вы можете сделать это с помощью следующей команды PowerShell:
   Get-ClusterSharedVolume «Кластерный диск 1» | Резюме-ClusterResource

Как бы удобно это ни было, некоторые люди не являются поклонниками «PowerHell». Если вы предпочитаете использовать инструмент manage-bde вместо PowerShell, вам необходимо выполнить следующие шаги:

1. Как и в предыдущих инструкциях, установите функцию BitLocker, если она еще не установлена, и отформатируйте диск в NTFS.
2. Используйте следующие параметры в инструменте manage-bde, чтобы зашифровать том, добавить ключ восстановления и добавить администратора кластера в качестве ключа защиты:
   manage-bde –on –used <буква диска> -RP –sid domainCNO$ -sync
   (Обратите внимание, что параметр –sync используется, чтобы убедиться, что шифрование тома завершено до того, как он будет выпущен в пул хранения кластера.)
3. Используйте Failover Cluster Manager в MMC (или вы можете использовать PowerShell), чтобы включить диск для кластеризации.
4. Когда диск находится в пуле носителей, щелкните ресурс диска и выберите Добавить в общие тома кластера, чтобы добавить его в CSV.

Если вам нужно расшифровать том CSV, вы можете перевести его в режим обслуживания или удалить том из кластера (точно так же, как вы должны перевести его в режим обслуживания или удалить, чтобы начать его шифрование). Как правило, BitLocker автоматически возобновляет процесс преобразования, когда преобразование приостановлено с выполнением шифрования в любом из следующих состояний:

• Том CSV или ресурс физического диска отключен от кластера
• Ресурс CSV или физического диска находится в режиме обслуживания

Резюме

В этой части 3 нашей серии статей об улучшениях, внесенных корпорацией Майкрософт в BitLocker в Windows Server 2012, мы рассмотрели, как теперь можно включить шифрование диска BitLocker на общих томах кластера с помощью графического интерфейса управления, PowerShell и/или Инструмент командной строки -bde.

Все эти улучшения вместе взятые означают, что BitLocker как никогда полезен для защиты серверных машин и томов хранения, которые совместно используются узлами отказоустойчивого кластера. Когда-то развертывание BitLocker на серверах было разочаровывающим занятием, но новые функции, которые были добавлены с учетом корпоративного центра обработки данных, значительно упрощают процесс, так что теперь шифрование серверных томов с помощью BitLocker, наконец, стало жизнеспособный вариант в этой среде.

• Улучшения BitLocker в Windows Server 2012 и Windows 8 (часть 2) — поддержка общего тома кластера