Hyper-V und Bitlocker in Kombination klingen erst Mal nicht so smart, sind sie aber.
In meinem Fall läuft Bitlocker direkt auf dem Hypervisor.

Erste Frage: warum Bitlocker auf einem Server?
Die Idee war, dass im Falle eines Hardwareausfalles der NVMe oder bei einem Tausch dieser kein kompliziertes Löschen der Daten gemacht werden muss. Fällt die NVMe aus, schmeiße ich sie weg.

In diesem Beispiel lege ich den Key für die Verschlüsselung im TPM, also im Mainboard, ab.
Das hat den Nachteil, dass bei einem Mainboardausfall nicht einfach die NVMe in ein anderes Mainboard geschoben werden kann, sondern dann Bitlocker beachtet werden muss.

Warum auf dem Hypervisor, nicht in den VMs?

1. Dadurch, dass der Hypervisor Bitlocker nutzt, die VMs allerdings nicht, lassen sich diese leichter administrieren. Wenn eine VM nun einen Bluescreen hat, kann easy Linux in einer Live-Umgebung gebootet werden – innerhalb der VM sind die Daten unverschlüsselt
2. Veeam zu nutzen ist wesentlich einfacher. Denn es ist genau so in der Handhabung wie ohne Bitlocker.
3. Alle VMs liegen verschlüsselt auf dem Datenträger, selbst die, die kein Bitlocker unterstützen. Alle VMs nutzen Bitlocker, selbst die, die es nicht nutzen. Weil eine Verschlüsselung zwischen der VM und der eigentlichen Hardware stattfindet, ist sie aus Sicht der VM nicht da (siehe Punkt 1 und 2).
4. Ich bilde mir ein, dass es performanter ist, Bitlocker möglichst nah an der Hardware zu nutzen. Das mag allerdings subjektiv sein.

Bitlocker in den einzelnen VMs zu nutzen ist zwar technisch möglich; allerdings macht das alle Vorteile von oben weg, und hat keinen für mich erkenntlichen Vorteil der überwiegen würde.

Die Installation und Einrichtung war Windows-typisch easy; erst Bitlocker via PowerShell und dem folgenden Befehl nachinstalliert:

Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools

Dann Systemsteuerung > Bitlocker

1. für C:\ aktivieren mit „automatischer Entsperrung bei Start“
2. anschließend für die Partition mit den VMs aktivieren, ebenfalls automatische Entsperrung bei Start

Ein aktivieren nur für die VM-Partition + automatisch entsperren ist nicht möglich gewesen; erst, als ich C:\ mit automatischer Entsperrung aktiviert habe, ging das auch für mein D:\-Laufwerk,

Bei beiden wollte er einen Recovery Key auf einem externen Datenträger speichern oder drucken. Ich habe mich für drucken entschieden, Print To PDF, dann vom Server in meine Cloud gezogen.

Weitere Dinge die zu beachten sind:

1. Backups müssen weiterhin verschlüsselt werden. Da die Verschlüsselung auf dem Hypervisor stattfindet, blickt Veeam nicht, dass die Partition darunter verschlüsselt ist, und sichert weiterhin die unverschlüsselten VMs von dem Datenträger weg.
2. Der Server braucht ein TPM, das TPM muss mind. 1.2 unterstützen; sonst muss bei jedem Start der Key zum Entschlüsseln eingegeben werden, was vorerst ganz schön nervig klingt.
3. Sonst nichts weiter

Performancetechnisch konnte ich keine Nachteile feststellen; habe allerdings auch eine NVMe mit wenigen VMs im Einsatz, die sich vorher lasttechnisch in der Nase gepopelt hat, kann das daher nicht im größeren Stil beurteilen.