0
Bitlocker Network Unlock funktioniert nicht
Hallo,
ich habe Probleme mit einem WDS-Server, der in unserem Netz die Bitlocker-Network-Unlock-Rolle übernehmen sollte.
Infrastruktur: Server und Clients sind aufgeteilt in verschiedene Netze (192.168.1.0/24 Server und 192.168.10.0/23 Clients), Broadcasts von den Servern Richtung Clients funktionieren (ein funktionierendes WoL- und PXE-Relay stehen bereit). Es gibt mehrere DCs (einige im Server-Subnetz, einer in einem komplett anderen Subnetz, der dort auch den DHCP macht, das hier aber irrelevant sein sollte), einen DHCP für das Client-Netz und eine CA.
Ich habe im Server-Subnetz einen WS2016 aufgesetzt nur mit den WDS-Rollen und dem Bitlocker-Network-Unlock-Feature (Restart nach der Installation wurde gemacht). Auf der CA habe ich die nötige Zertifikatsvorlage erstellt und ein Zertifikat auf dem WDS erstellt (als User anfordern, mit Private Key exportiert und als Bitlocker-Zertifikat für den lokalen Computer importiert) und den Dienst mit den Standardeinstellungen gestartet (im Deployment-Tool-Dialog "Server konfigureiren" und alles auf Standard belassen, außer dass jedem Client geantwortet werden soll). Die GPOs habe ich erstellt und den Clients zugewiesen (Zertifikat ohne Private Key ist hinterlegt). Fastboot auf den Clients ist deaktiviert.
Beim Erstellen des Zertifikats habe ich aber auch noch die IP und den FQDN des Servers unter "Alternative Namen" angegeben.
So funktionierte das Feature für kurze Zeit. Nachdem der WDS-Server neue Windows-Updates bekommen hatte, funktionierte es nach dem Restart des Servers nicht mehr. DHCP-Requests kamen noch an, beim PXE-Boot meldete sich der WDS-Server ebenfalls mit der Meldung, dass er keine PE-Images zur Verfügung stellt (soll so sein, der WDS soll nur den Unlocker machen), aber die Clients forderten den PIN für den Unlock. Windows-FW deaktiviert, keine Besserung.
In den Debug-Logs der Deployment Services tauchten Fehler mit den IDs 32771 auf (eine cpp-Datei, aus dem DHCP-Modul). Also habe ich ein Update nach dem anderen deinstalliert, habe das Zertifikat neu ausgestellt, eine Neuinstallation der Rolle durchgeführt, brachte alles keine Besserung.
Ich hatte noch bemerkt, dass ich bei der Zertifikatsvorlage vergessen hatte, die folgenden Punkte anzugeben (aus der MS-Docs-Seite):
"Select the Issuance Requirements tab. Select both CA certificate manager approval and Valid existing certificate options."
Ich habe die Vorlage geändert und das Zertifikat neu ausgestellt, keine Besserung.
Die Richtlinien wurden angewandt, habe ich oer RSOP geprüft und das Client-Zertifikat hatte ich in der GPO auch immer angeändert (Fingerprint auf den Clients war korrekt).
Ich habe versucht den Server neu aufzusetzen, als WS2012 R2. Dort lief aber die Rolle nicht sauber. Installation, Restart und Konfiguration funktionierte noch, nachdem ich aber das Zertifkat auf dem WDS-Server eingebunden hatte, stand nach dem nötigen Restart der WDS-Dienst im Status "wird gestartet" (in jedem folgenden Restart auch). Der Server konnte dann nicht per RDP-erreicht werden o.Ä., lokal kam man nicht mehr in die Systemsteuerung, etc.. Ich konnte den Dienst per Powershell beenden, dann reagierte der Server wieder wie gewohnt. Anschließend konnte ich den Dienst auch händisch ganz normal starten. Das Feature funktionierte weiterhin nicht.
In den Logs stand beim Start des Dienstes: "[WDSServer/WDSPXE/NKPPROV] Could not get private key from certificate. Skipping certificate." und im Server-Manager tauchte die Meldung mit der ID 772 auf "An error occurred while trying to create the UDP endpoint for WDSPXE provider on interface (IP des Servers:port). This can happen if the network interface was disabled or changed, or some other application is already using the port. The provider will not be able to receive requests on this interface."
Kennt jemand von euch solche Probleme und weiß evtl. woran das noch liegen könnte? Vor allem, da es kurzzeitig funktioniert hatte.
ich habe Probleme mit einem WDS-Server, der in unserem Netz die Bitlocker-Network-Unlock-Rolle übernehmen sollte.
Infrastruktur: Server und Clients sind aufgeteilt in verschiedene Netze (192.168.1.0/24 Server und 192.168.10.0/23 Clients), Broadcasts von den Servern Richtung Clients funktionieren (ein funktionierendes WoL- und PXE-Relay stehen bereit). Es gibt mehrere DCs (einige im Server-Subnetz, einer in einem komplett anderen Subnetz, der dort auch den DHCP macht, das hier aber irrelevant sein sollte), einen DHCP für das Client-Netz und eine CA.
Ich habe im Server-Subnetz einen WS2016 aufgesetzt nur mit den WDS-Rollen und dem Bitlocker-Network-Unlock-Feature (Restart nach der Installation wurde gemacht). Auf der CA habe ich die nötige Zertifikatsvorlage erstellt und ein Zertifikat auf dem WDS erstellt (als User anfordern, mit Private Key exportiert und als Bitlocker-Zertifikat für den lokalen Computer importiert) und den Dienst mit den Standardeinstellungen gestartet (im Deployment-Tool-Dialog "Server konfigureiren" und alles auf Standard belassen, außer dass jedem Client geantwortet werden soll). Die GPOs habe ich erstellt und den Clients zugewiesen (Zertifikat ohne Private Key ist hinterlegt). Fastboot auf den Clients ist deaktiviert.
Beim Erstellen des Zertifikats habe ich aber auch noch die IP und den FQDN des Servers unter "Alternative Namen" angegeben.
So funktionierte das Feature für kurze Zeit. Nachdem der WDS-Server neue Windows-Updates bekommen hatte, funktionierte es nach dem Restart des Servers nicht mehr. DHCP-Requests kamen noch an, beim PXE-Boot meldete sich der WDS-Server ebenfalls mit der Meldung, dass er keine PE-Images zur Verfügung stellt (soll so sein, der WDS soll nur den Unlocker machen), aber die Clients forderten den PIN für den Unlock. Windows-FW deaktiviert, keine Besserung.
In den Debug-Logs der Deployment Services tauchten Fehler mit den IDs 32771 auf (eine cpp-Datei, aus dem DHCP-Modul). Also habe ich ein Update nach dem anderen deinstalliert, habe das Zertifikat neu ausgestellt, eine Neuinstallation der Rolle durchgeführt, brachte alles keine Besserung.
Ich hatte noch bemerkt, dass ich bei der Zertifikatsvorlage vergessen hatte, die folgenden Punkte anzugeben (aus der MS-Docs-Seite):
"Select the Issuance Requirements tab. Select both CA certificate manager approval and Valid existing certificate options."
Ich habe die Vorlage geändert und das Zertifikat neu ausgestellt, keine Besserung.
Die Richtlinien wurden angewandt, habe ich oer RSOP geprüft und das Client-Zertifikat hatte ich in der GPO auch immer angeändert (Fingerprint auf den Clients war korrekt).
Ich habe versucht den Server neu aufzusetzen, als WS2012 R2. Dort lief aber die Rolle nicht sauber. Installation, Restart und Konfiguration funktionierte noch, nachdem ich aber das Zertifkat auf dem WDS-Server eingebunden hatte, stand nach dem nötigen Restart der WDS-Dienst im Status "wird gestartet" (in jedem folgenden Restart auch). Der Server konnte dann nicht per RDP-erreicht werden o.Ä., lokal kam man nicht mehr in die Systemsteuerung, etc.. Ich konnte den Dienst per Powershell beenden, dann reagierte der Server wieder wie gewohnt. Anschließend konnte ich den Dienst auch händisch ganz normal starten. Das Feature funktionierte weiterhin nicht.
In den Logs stand beim Start des Dienstes: "[WDSServer/WDSPXE/NKPPROV] Could not get private key from certificate. Skipping certificate." und im Server-Manager tauchte die Meldung mit der ID 772 auf "An error occurred while trying to create the UDP endpoint for WDSPXE provider on interface (IP des Servers:port). This can happen if the network interface was disabled or changed, or some other application is already using the port. The provider will not be able to receive requests on this interface."
Kennt jemand von euch solche Probleme und weiß evtl. woran das noch liegen könnte? Vor allem, da es kurzzeitig funktioniert hatte.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 441399
Url: https://administrator.de/contentid/441399
Printed on: April 23, 2024 at 11:04 o'clock
