Wenn man einen Server 2008 mit einer Bitlocker verschlüsselten Partition einsetzt kann man einen nahezu sicher sein, dass die Daten auch gut geschützt sind. Soweit zur Theorie.

Wenn man über die Implementierung eines DFS Stamms nachdenkt gibt es 2 elementare Gedanken dazu:

• Ist der DFS Stamm Active Directory integriert?
• Was passiert, wenn der 2. Server keine Bitlocker Verschlüsselung aktiviert hat?

Zu Punkt1:

Ist der 2. Server ein Stand Alone Server, dann kann es passieren, dass man hier eine Menge Konfigurationsarbeit leisten muss, z.B. die automatische Replikation.

Zu Punkt2:

Hier lauert die eigentliche Gefahr! Sollte man vergessen haben, das neue Mitglied des DFS Stamms mit Bitlocker zu verschlüsseln, dann würden bei einer Replikation ALLE DATEN unverschlüsselt sein! Zumindest auf dem 2. Server ist das Sicherheitsmodell nutzlos und ein Diebstahl oder das "Fremdbooten" hätten fatale Folgen!

Abhilfe:

DFS Stämme nur AD integriert einsetzten, dadurch ist die Kontrolle per GPO gewährleistet. Automatische Replikation wird über FRS (File Replication Service) gemacht und ist auch verschlüsselt.

Ist der Server Member einer Domäne, dann kann man die Bitlocker Verschlüsselung per GPO erzwingen. Um sicher zu gehen, dass alle Partitionen dem Unternehmensweiten Standard entsprechen, kann man die gewünschten Server per WMI Filter abfragen. Hierzu eignet sich die GPMC (Bestandteil vom Server 2008, beim Server 2003 muss diese nachinstalliert werden). Nur wenn das Ergebnis positiv ist, sollte man mit der Einführung des DFS Stamms fortfahren.