Exchange サーバーで BitLocker を有効化する方法


(この記事は 2015 年 10 月 20 日に Exchange Team Blog に投稿された記事 Enabling BitLocker on Exchange Servers の翻訳です。最新情報については、翻訳元の記事をご参照ください。)

 

Exchange Server 2013Exchange Server 2016 の推奨アーキテクチャでは、Exchange データベース ファイルが保存されている固定データ ドライブで BitLocker を有効化することが推奨されています。一方で、サーバーに対して BitLocker を有効化する方法について、過去何年にもわたって多数のご質問が寄せられています。

今回の記事ではその方法をご紹介したいと思いますが、このテクノロジについてあまりご存じでない方に向けて、まずは BitLocker の概要をご説明します。

BitLocker とは

BitLocker は、Microsoft Windows に標準で搭載されているボリューム暗号化ソリューションであり、コンピューターまたはハード ディスクの盗難時や紛失時にデータが盗まれないように保護を強化するものです。

Windows Vista と Windows Server 2008 で初めて導入されて以来、データ ボリュームの暗号化、使用中のディスク領域のみの暗号化、柔軟性の向上など、BitLocker には多数の機能強化が行われてきました。

既定では、BitLocker は Cipher Block Chaining (CBC) モードの AES 暗号化アルゴリズムと、128 ビット (既定) または 256 ビット キーを使用します。

詳細については、Microsoft TechNet の「BitLocker の概要」をご覧ください。

BitLocker の展開方法

Exchange サーバーに BitLocker を展開する方法は複数あります。

  1. ネットワーク ロック解除データ回復エージェントと PKI インフラストラクチャ (英語)、TPM (推奨) のいずれかを使用して、オペレーティング システムのボリュームと Exchange データ ボリュームを暗号化する。
  2. Exchange データ ボリュームのみを暗号化する。

BitLocker を FIPS に準拠する形で使用するためには、以下の点を考慮してください。

  • トラステッド プラットフォーム モジュール (TPM) 1.2 は FIPS に非準拠で、SHA1 を使用します。FIPS に準拠するためには、TPM 2.0 を使用する必要があります。
  • ネットワーク ロック解除機能を使用するには、主要な要件を考慮する必要があります。
  • Microsoft BitLocker Administration and Monitoring (MBAM) を使用してサーバーのオペレーティング システムで BitLocker を管理することはできません。
  • ベース オペレーティング システムとして Windows Server 2012 R2 以降を使用していない場合、BitLocker の回復パスワードは使用できません。詳細については、「BitLocker の新機能」および KB 947249 (機械翻訳) をご覧ください。

ボリュームの暗号化方法

ボリュームを暗号化する方法は 2 種類あります。

  1. ボリューム全体を暗号化する。既にメッセージング データが保存されているボリュームを暗号化する場合には、この方法を選択してください。3 TB のディスクの場合、ディスク全体の暗号化には 8 時間以上かかります。
  2. 使用中のディスク領域のみを暗号化する。新規に展開する場合や、ボリュームに既存のデータが保存されていない新しいディスクの場合には、この方法を選択してください。

エンド ユーザーへの影響を避けるため、ボリューム全体の暗号化を開始する前に、必ずサーバーをメンテナンス モードに設定してください。ボリュームの暗号化中は、大幅なパフォーマンス低下 (CPU 使用率約 90%) が見込まれ、OS の空きボリューム領域 (約 2 GB 以下) の確保が必要となります。また、可用性を維持するために、DAG 内のサーバー 1 台ずつに BitLocker を展開するようにしてください。

OS のボリュームと Exchange データ ボリュームの暗号化シナリオ

BitLocker の保護が最も強化されるのは、TPM と併用した場合です。TPM とは、サーバーに装着されたハードウェア コンポーネントのことで、TPM 2.0 チップの使用が推奨されています。TPM は BitLocker と連携して、ユーザー データを保護すると共に、システムのオフライン中にサーバーが改ざんされていないことを確認します。

具体的には、BitLocker では TPM を使用して、初期ブート コンポーネントとブート構成データの整合性を検証します。そして、それらのコンポーネントが改ざんされておらず、かつ暗号化されたドライブが元のサーバーに存在する場合にのみ、暗号化されたドライブへのアクセスを許可します。

BitLocker では、以下の処理を行うことにより、起動プロセスの整合性を確保します。

  • 初期ブート ファイルの整合性が維持されていること、またブート セクター ウイルスやルートキットなどによって、それらのファイルに悪意のある変更が加えられていないことを確認します。
  • ソフトウェア ベースのオフライン攻撃を抑制して保護を強化し、代替ソフトウェアによってシステムが起動された場合にも、Windows オペレーティング システムのドライブの暗号化解除キーにアクセスできないようにします。
  • システムが改ざんされた場合には、システムをロックします。監視されているファイルが改変された場合、システムは起動しません。システムが通常どおり起動しないため、管理者は改ざんに気付くことができます。システムがロックアウトした場合には、BitLocker の回復プロセスに従い、パスワードまたは USB キーを使用してシステムのロックを解除します。
重要: TPM は物理サーバーの展開環境でのみ使用できます。仮想化されたサーバーでは TPM を使用できません。ゲスト オペレーティング システムのボリュームを暗号化する場合には、パスワードまたは USB キーを使用してゲスト オペレーティング システムの起動を許可する必要があります。

 

環境の設定

以下の手順では、Exchange Server のオペレーティング システムが Windows Server 2012 R2 以降であることを前提とします。

重要: 既存の Exchange サーバーで BitLocker を有効化する場合には、暗号化プロセスがエンド ユーザーのエクスペリエンスに影響することのないように、サーバーをメンテナンス モードに設定してください。
  1. Exchange サーバーを配置する組織単位 (OU) を作成します (存在しない場合)。
  1. Active Directory の適切なアクセス許可を使用して PowerShell を開きます。
  2. 次のコマンドを実行します。New-ADOrganizationalUnit “Exchange Servers” -path “dc=contoso,dc=com”
  3. 次のコマンドを実行します。$ExchangeOU = Get-ADOrganizationalUnit -Filter Name -like “Exchange Servers”
  4. 次のコマンドを実行します。Get-ADComputer “Exchange Server” | Move-ADObject -TargetPath $ExchangeOU.DistinguishedName
  • グループ ポリシー オブジェクト (GPO) を作成し、Exchange Server の OU にリンクさせます。
  1. Active Directory の適切なアクセス許可を使用して PowerShell を開きます。
  2. 次のコマンドを実行します (RSAT ツールをインストールする必要があります)。Import-Module grouppolicy
  3. 次のコマンドを実行します。New-GPO -Name “Exchange Server BitLocker Policy” -Domain contoso.com
  4. 次のコマンドを実行します。New-GPLink -Name “Exchange Server BitLocker Policy” -Enforced “yes” -Target $ExchangeOU.DistinguishedName
  • Exchange サーバーに BitLocker モジュールをインストールします。
  1. ローカルの管理者特権を使用して PowerShell を開きます。
  2. 次のコマンドを実行します。Install-WindowsFeature BitLocker -Restart
  3. サーバーを再起動します。
  • Exchange サーバーで TPM を有効化します。
  1. TPM を有効化/アクティブ化する方法の詳細については、ハードウェア ベンダーが提供する BIOS マニュアルを参照してください。
  2. トラステッド プラットフォーム モジュール管理ツール (tpm.msc) を使用して、TPM の状態を確認します。
  • Active Directory への TPM の回復情報の保存を許可します。
  1. Active Directory でアクセス制御エントリを適用するために必要なアクセス許可が付与されたアカウントを使用して、Exchange 管理シェルを開きます。
  2. 次のコマンドを実行します。Add-ADPermission $ExchangeOU.DistinguishedName -User “NT AUTHORITY\SELF” -AccessRights ReadProperty,WriteProperty -Properties msTPM-OwnerInformation,msTPM-TpmInformationForComputer -InheritedObjectType Computer -InheritanceType Descendents
  • BitLocker の GPO の設定を行います。
  1. グループ ポリシー管理コンソール (gpmc.msc) を開きます。
  2. 階層構造をたどって Exchange Server の OU を選択します。
  3. [Exchange Server BitLocker Policy] を右クリックし、[Edit] を選択します。
  4. [Computer Configuration]、[Policies]、[Administrative Templates]、[Windows Components]、[BitLocker Drive Encryption] の順に開きます。
  1. 右側のウィンドウで [Choose drive encryption method and cipher strength] をダブルクリックし、[Enabled] オプションを選択します。AES 256 ビット暗号化を使用する場合は、それを選択して [OK] をクリックします。

    1. [Computer Configuration]、[Policies]、[Administrative Templates]、[Windows Components]、[BitLocker Drive Encryption]、[Operating System Drives] の順に開きます。
      1. 右側のウィンドウで [Require additional authentication at startup] をダブルクリックし、[Enabled] オプションを選択します。必要に応じて、任意の認証方法を無効化または変更して、[OK] をクリックします。

      1. 右側のウィンドウで [Choose how BitLocker-protected operating system drives can be recovered] をダブルクリックし、[Enabled] オプションを選択します。[Do not enable BitLocker until recovery information is stored to AD DS for operating system drives] オプションを選択して、[OK] をクリックします。

      1. 右側のウィンドウで [Enforce drive encryption type on operating system drives] をダブルクリックし、[Enabled] オプションを選択します。暗号化の種類として [Used Space Only encryption] オプションを選択して、[OK] をクリックします。

    1. [Computer Configuration]、[Policies]、[Administrative Templates]、[Windows Components]、[BitLocker Drive Encryption]、[Fixed Data Drives] の順に開きます。
      1. 右側のウィンドウで [Choose how BitLocker-protected fixed drives can be recovered] をダブルクリックし、[Enabled] オプションを選択します。[Do not enable BitLocker until recovery information is stored to AD DS for fixed data drives] オプションを選択して、[OK] をクリックします。

      1. 右側のウィンドウで [Enforce drive encryption type on fixed data drives] をダブルクリックし、[Enabled] オプションを選択します。暗号化の種類として [Used Space Only encryption] オプションを選択して、[OK] をクリックします。

    1. [Computer Configuration]、[Policies]、[Administrative Templates]、[System]、[Trusted Platform Module Services] の順に開きます。
      1. 右側のウィンドウで [Turn on TPM backup to Active Directory Domain Services] をダブルクリックし、[Enabled] オプションを選択します。[OK] をクリックします。

  1. Exchange サーバーにグループ ポリシーが適用されたことを確認します。
  1. 次のコマンドを実行します。$Servers = Get-AdComputer -SearchBase $ExchangeOU.DistinguishedName -Filter
  2. 次のコマンドを実行します。Foreach ($Server in $Servers) {invoke-gpupdate -Computer $Servers.Name -Force -Target Computer}
  • OS の暗号化を有効化します。
  1. 次のコマンドを実行して、回復キーを作成します。Manage-bde -protectors -add -RecoveryPassword C:
  2. オペレーティング システムのドライブに対して次のコマンドを実行します。Manage-bde -on C: usedspaceonly
  • データ ボリュームの暗号化を有効化します (C:\ExchangeVolumes\ExVol1 の部分には Exchange データ ボリュームのマウント ポイントを指定します。必要に応じて変更してください)。
  1. 次のコマンドを実行して、回復キーを作成します。Manage-bde -protectors -add -RecoveryPassword “C:\ExchangeVolumes\ExVol1”
  2. 各 Exchange データベース ボリュームに対して次のコマンドを実行します。Manage-bde -on “C:\ExchangeVolumes\ExVol1” usedspaceonly
  3. 各 Exchange データベース ボリュームに対して次のコマンドを実行し、自動ロック解除を有効化します。Enable-BitLockerAutoUnlock -MountPoint “C:\ExchangeVolumes\ExVol1”
: 不良ディスク セクターが含まれる場合、BitLocker によるボリュームの暗号化が失敗する可能性があります。詳細については、イベント ID 24588 (英語) をご覧ください。

 

Exchange データ ボリュームの暗号化シナリオ

TPM を使用できない場合 (サーバーに TPM が装着されていない、サーバーが仮想化されているなど)、OS のボリュームを暗号化するには、パスワードまたは USB キーを使用してオペレーティング システムの起動を許可する必要があります。Exchange などのサービスでは、この方法はリスクを伴う可能性があるため、OS のボリュームを暗号化しないという選択肢もあります。この場合、代わりに固定データ ボリュームのみを暗号化します。OS のボリュームが暗号化されないため、オペレーティング システムの起動時に暗号化されたボリュームのロックを自動的に解除することはできません。そこで、以下のいずれかを実行する必要があります。

  1. OS の起動後に管理者が回復キーを手動で入力し、各ドライブのロックを解除する。
  2. OS の起動中にスケジュールされたタスクを呼び出し、暗号化されたボリュームのロックを解除する。

以下の手順では、スケジュールされたタスクを設定する方法について説明します。Exchange Server のオペレーティング システムが Windows Server 2012 R2 以降であることを前提とします。

重要: 既存の Exchange サーバーで BitLocker を有効化する場合には、暗号化プロセスがエンド ユーザーのエクスペリエンスに影響することのないように、サーバーをメンテナンス モードに設定してください。

 

  1. Exchange サーバーを配置する組織単位 (OU) を作成します (存在しない場合)。
  1. Active Directory の適切なアクセス許可を使用して PowerShell を開きます。
  2. 次のコマンドを実行します。New-ADOrganizationalUnit “Exchange Servers” -path “dc=contoso,dc=com”
  3. 次のコマンドを実行します。$ExchangeOU = Get-ADOrganizationalUnit “Exchange Servers”
  4. 次のコマンドを実行します。Get-ADComputer “Exchange Server” | Move-ADObject -TargetPath $ExchangeOU.DistinguishedName
  • グループ ポリシー オブジェクト (GPO) を作成し、Exchange Server の OU にリンクさせます。
  1. Active Directory の適切なアクセス許可を使用して PowerShell を開きます。
  2. 次のコマンドを実行します (RSAT ツールをインストールする必要があります)。Import-Module grouppolicy
  3. 次のコマンドを実行します。New-GPO -Name “Exchange Server BitLocker Policy” -Domain contoso.com
  4. 次のコマンドを実行します。New-GPLink -Name “Exchange Server BitLocker Policy” -Enforced “yes” -Target $ExchangeOU.DistinguishedName
  • BitLocker のスケジュールされたタスク用のサービス アカウント (_bitlockersvc) を作成します。
  1. お客様の企業のポリシーに従って、サービス アカウントを作成します。
  • BitLocker 管理用のセキュリティ グループを作成し、セキュリティ グループを保護されたコンテナーに配置します。
  1. Active Directory の適切なアクセス許可を使用して PowerShell を開きます。
  2. 次のコマンドを実行します。New-ADGroup -name “Exchange BitLocker Management” -groupscope Universal -path “cn=users,dc=coe,dc=local”
  3. 次のコマンドを実行します。Add-ADGroupMember “Exchange BitLocker Management” -members “_bitlockersvc”, “Organization Management”
  • Exchange サーバーに BitLocker モジュールをインストールします。
  1. ローカルの管理者特権を使用して PowerShell を開きます。
  2. 次のコマンドを実行します。Install-WindowsFeature BitLocker
  3. サーバーを再起動します。
  • Exchange サーバーのローカルの Administrators グループに BitLocker のセキュリティ管理グループを追加します。
  • BitLocker のセキュリティ管理グループに対して、msFVE-RecoveryPassword AD オブジェクトへのアクセス許可を付与します。これにより、前出のサービス アカウントで回復パスワードにアクセスできるようになります。
  1. ドメイン管理者のアクセス許可を使用して PowerShell セッションを開きます。
  2. 次のコマンドを実行します。$ExchangeOU = Get-OrganizationalUnit “Exchange Servers”
  3. 次のコマンドを実行します。DSACLS $ExchangeOu.DistinguishedName /I:T /G “contoso\Exchange BitLocker Management:CA;msFVE-RecoveryPassword”
  • BitLocker の GPO の設定を行います。
  1. グループ ポリシー管理コンソール (gpmc.msc) を開きます。
  2. 階層構造をたどって Exchange Server の OU を選択します。
  3. [Exchange Server BitLocker Policy] を右クリックし、[Edit] を選択します。
  4. [Computer Configuration]、[Policies]、[Administrative Templates]、[Windows Components]、[BitLocker Drive Encryption] の順に開きます。

A     右側のウィンドウで [Choose drive encryption method and cipher strength] をダブルクリックし、[Enabled] オプションを選択します。AES 256 ビット暗号化を使用する場合は、それを選択して [OK] をクリックします。

    1. [Computer Configuration]、[Policies]、[Administrative Templates]、[Windows Components]、[BitLocker Drive Encryption]、[Fixed Data Drives] の順に開きます。

A     右側のウィンドウで [Choose how BitLocker-protected fixed drives can be recovered] をダブルクリックし、[Enabled] オプションを選択します。[Do not enable BitLocker until recovery information is stored to AD DS for fixed data drives] オプションを選択して、[OK] をクリックします。

B     右側のウィンドウで [Enforce drive encryption type on fixed data drives] をダブルクリックし、[Enabled] オプションを選択します。暗号化の種類として [Used Space Only encryption] オプションを選択して、[OK] をクリックします。

    1. [Computer Configuration]、[Policies]、[Administrative Templates]、[System]、[Trusted Platform Module Services] の順に開きます。

A     右側のウィンドウで [Turn on TPM backup to Active Directory Domain Services] をダブルクリックし、[Enabled] オプションを選択します。[OK] をクリックします。

  1. Exchange サーバーにグループ ポリシーが適用されたことを確認します。
  1. 次のコマンドを実行します。$Servers = Get-AdComputer -SearchBase $ExchangeOU.DistinguishedName -Filter
  2. 次のコマンドを実行します。Foreach ($Server in $Servers) {invoke-gpupdate -Computer $Servers.Name -Force -Target Computer}
  • データ ボリュームの暗号化を有効化します (C:\ExchangeVolumes\ExVol1 の部分には Exchange データ ボリュームのマウント ポイントを指定します。必要に応じて変更してください)。
  1. 各 Exchange データベース ボリュームに対して次のコマンドを実行します。Manage-bde -on “C:\ExchangeVolumes\ExVol1” -rp -usedspaceonly
: 不良ディスク セクターが含まれる場合、BitLocker によるボリュームの暗号化が失敗する可能性があります。詳細については、イベント ID 24588 (英語) をご覧ください。

 

  1. Active Directory に回復キーが保存されたことを確認します。
  1. BitLocker ドライブ暗号化構成ガイド: Active Directory への BitLocker および TPM の回復情報のバックアップ (英語)」をダウンロードします。
  2. Get-BitLockerRecoveryInfo.vbs を実行します。
  3. スクリプトによってデータが返されない場合は、BDEAdBackup.vbs (英語) をダウンロードして実行し、回復キーをバックアップします。
  • オペレーティング システムの起動時にボリュームのロックを解除するスクリプトを作成します。
  1. 以下のファイルをスクリプトが格納されているディレクトリ (例: c:\bitlocker) に保存します。
UnlockDrives.ps1
$computer = Get-ADComputer $env:computername
$RecoveryInformations = get-ADObject -ldapfilter “(msFVE-Recoverypassword=*)” -Searchbase $computer.distinguishedname -properties *
$vols = gwmi win32_encryptablevolume -Namespace “Root\CIMV2\Security\MicrosoftVolumeEncryption”
$lockedvols = $vols | ? {$_.GetLockStatus().LockStatus -eq 1}
$vols[0].GetKeyProtectors().VolumeKeyProtectorID
foreach($lockedvol in $lockedvols)
{
$RecoveryInformations | % {$lockedvol.UnlockWithNumericalPassword($_.”msFVE-RecoveryPassword”)}
}

 

: このスクリプトは、初めて作成する際の基本的なものとして使用できます。このスクリプトによってデータ ボリュームのロックを解除する際に Microsoft Exchange Diagnostics、Microsoft Exchange Health Manager、Microsoft Exchange Service Host の各サービスの起動に失敗した場合、これらのサービスを確実に再起動するためにはこのスクリプトの実行権限を拡張する必要があります。
  1. システムの起動時に実行してボリュームのロックを解除する、スケジュールされたタスクを作成します。環境に応じて太字の部分を変更してください。
  1. 以下のファイルをスクリプトが格納されているディレクトリに保存します。
  2. 次のコマンドを実行します。schtasks /create /s $env:computername /ru contoso\_svcexbitlocker /rp <Password> /XML c:\Bitlocker\UnlockDrivesAtStart.xml /TN UnlockDrivesAtStart
<?xml version=”1.0″ encoding=”UTF-16″?>
<Task version=”1.2″ xmlns=”http://schemas.microsoft.com/windows/2004/02/mit/task”>
<RegistrationInfo>
<Date>2015-04-16T12:07:14.9465954</Date>
<Author>contoso\exadmin</</Author>
<Description>Script unlocks Exchange data drives at OS startup</Description>
</RegistrationInfo>
<Triggers>
<BootTrigger>
<Enabled>true</Enabled>
</BootTrigger>
</Triggers>
<Principals>
<Principal id=”Author”>
<UserId>contoso\_bitlockersvc</UserId>
<LogonType>Password</LogonType>
<RunLevel>HighestAvailable</RunLevel>
</Principal>
</Principals>
<Settings>
<MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
<DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
<StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
<AllowHardTerminate>true</AllowHardTerminate>
<StartWhenAvailable>false</StartWhenAvailable>
<RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
<IdleSettings>
<StopOnIdleEnd>true</StopOnIdleEnd>
<RestartOnIdle>false</RestartOnIdle>
</IdleSettings>
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>false</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context=”Author”>
<Exec>
<Command>C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe</Command>
<Arguments>-Command .\UnlockDrives.ps1</Arguments>
<WorkingDirectory>DIRECTORY_FOR_UNLOCKDRIVES.PS1</WorkingDirectory>
</Exec>
</Actions>
</Task>

システムの変更

以下のようにシステムを変更した場合、整合性チェックが失敗する可能性があります。その結果、TPM の BitLocker キーが解放されず、保護されたボリュームの暗号化を解除することができなくなります。

  • BitLocker で保護されたドライブを新しいコンピューターに移動する。
  • 新しい TPM を搭載した新しいマザーボードを取り付ける。
  • TPM のオフ、無効化、クリアを行う。
  • ブート構成の設定を変更する。
  • BIOS、UEFI ファームウェア、マスター ブート レコード、ブート セクター、ブート マネージャー、オプション ROM、その他の初期ブート コンポーネントやブート構成データを変更する。
  • BIOS/UEFI ファームウェアの更新プログラムを適用する。

標準的な運用手順の一環として、サーバーに対する変更を行う前に (Suspend-BitLocker (英語) コマンドレットを使用して) BitLocker 暗号化を中断することをお勧めします。また、ハードウェアやソフトウェアの構成を変更した場合は、運用環境に展開する前に必ず、BitLocker が有効化されたラボ環境でテストを行ってください。

さらに、BitLocker による回復が必要になった場合に備えて、回復方法に関する標準的な運用手順を策定するようにしてください。これにより、ダウンタイムを最小限に抑えることができます。詳細については、「BitLocker の回復ガイド」をご覧ください。

ディスクのメンテナンス作業

サーバーのライフサイクル中にディスクの寿命は尽きます。標準的な運用手順の一環として、ディスクを交換した場合には BitLocker を使用して新しいボリュームのフォーマットと暗号化を行う必要があります。

ディスクの障害から回復するために AutoReseed を使用している場合は、ディスクを使用する前にフォーマットと暗号化を行うか、障害後に暗号化するかのいずれかを選択できます。

ディスクを使用する前にフォーマットと暗号化を行う

この場合、Disk Reclaimer によるホット スペア ディスクのフォーマットを回避することが標準的な運用手順になります。その代わりに、すべてのホット スペア ディスクを使用する前にフォーマットと暗号化を行います。

  1. 次のコマンドを実行して、DAG に対して Disk Reclaimer を無効化します。Set-DatabaseAvailabilityGroup <DAGName> -AutoDagDiskReclaimerEnabled $false
  2. すべてのホット スペア ディスクのフォーマットと暗号化を行います。マウント ポイントやドライブ文字は割り当てないでください。
  3. ディスクに障害が発生した場合、AutoReseed により、障害が発生したボリュームに代わってホット スペア ボリュームが割り当てられ、障害が発生したデータベース コピーの再シードが行われます。
  4. メンテナンス期間をスケジューリングし、障害が発生したディスクを交換して、フォーマットと暗号化を行います。

障害後に暗号化する

この場合、Disk Reclaimer 機能によるホット スペア ディスクのフォーマットを許可すること (既定の動作) が標準的な運用手順になります。スペア ディスクがフォーマットされ、データベースの再シードが行われてからディスクを暗号化します。

  1. ディスクに障害が発生した場合、AutoReseed により、スペア ディスクの割り当て、再マップ、フォーマットが行われます。
  2. AutoReseed によって再シード処理が開始されます。
  3. System Center Operations Manager または他の運用管理ツールを使用して、Microsoft-Exchange-HighAvailability/Seeding クリムゾン チャネル内のイベント 1127 (データベースの再シード開始) とイベント 826 (データベースの再シード完了) を監視します。
  4. 影響を受けたサーバーのメンテナンス停止をスケジューリングし、新しいボリュームを暗号化します。

まとめ

BitLocker の暗号化について理解し Exchange サーバーに BitLocker を設定するうえで、今回の記事がお役に立てば幸いです。前述のとおり、推奨される手法は、TPM を使用して回復情報を保存し、オペレーティング システムの起動中にボリュームの自動ロック解除を許可することです。ただし、サーバーで TPM を使用できない場合には、データ ボリュームのみを暗号化し、OS の起動時にデータ ボリュームのロックを解除するしくみを作成する方法をご検討ください。

ご不明な点がありましたら、お気軽にお問い合わせください。

Ross Smith IV

Office 365 カスタマー エクスペリエンス担当
プリンシパル プログラム マネージャー

Skip to main content