killtec
Goto Top

Bitlocker aktivierung schlägt fehl (im AD)

Hallo,
ich habe folgendes Problem:
An einem MS Surface Tablet wurde beim Booten nach dem Bitlocker Key gefragt. Den haben wir eingegeben und das System gestartet.
Nachdem das System hoch gefahren ist, habe ich das Laufwerk entschlüsselt mit

manage-bde -off c:

wenn ich jetzt per Remote oder auch lokal in der Admin Console die Verschlüssellung wieder einschalten will kommt folgendes:

C:\WINDOWS\system32>manage-bde -on c:
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.22000
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Volume "C:" [Local Disk]  
[Betriebssystemvolume]
FEHLER: Die Angabe des Parameters "-StartupKey" oder "-Password" ist  
erforderlich, damit das Betriebssystemvolume durch BitLocker geschützt
werden kann.

Geben Sie "manage-bde -on -?" ein, um weitere Informationen anzuzeigen.  

HINWEIS: Wenn es nicht möglich war, über den Parameter "-on" Schlüsselschutzvorrichtungen hinzuzufügen oder die Verschlüsselung zu starten,  
müssen Sie möglicherweise "manage-bde -off" aufrufen, bevor Sie "-on" erneut versuchen.  

Die Laufwerksverschlüssellung ist mittels GPO geregelt. Das Gerät ist im Windows AD registriert und speichert den Weiderherstellungsschlüssel im AD.
Das Clientsystem ist Windows 11 Pro
Server ist 2016

Hintergrund der Entschlüssellung war der, dass ein neuer Key erzeugt wird und dieser dann wieder im TPM gespeichert wird.

Das Geräte kann ich aktuell nur per Netzwerk erreichen. also nicht physisch im Zugriff. Komme aber mit PSEXEC oder Teamviewer / PCVisit auf das System.

Gruß

Content-Key: 4823770014

Url: https://administrator.de/contentid/4823770014

Printed on: July 23, 2024 at 23:07 o'clock

Member: DerWoWusste
DerWoWusste Dec 01, 2022 at 13:07:48 (UTC)
Goto Top
Hi.

Die Fehlermeldung sagt es: Ihr habt per GPO (evtl. lokal per gpedit.msc) festgelegt, welche Protektoren erforderlich sind. Gibst Du die nicht an, macht er's nicht.

Stell das also zurück auf default.
Member: killtec
killtec Dec 01, 2022 at 13:37:29 (UTC)
Goto Top
ok, das interessante ist jedoch, das bei allen Geräten es genau so funktioniert... face-sad

hier mal die Settings:
bitlocker_settings
bitlocker_enc

Inhalt der CMD:
manage-bde -on C: -RecoveryPassword -SkipHardwareTest

Wenn ich das manuell eingebe kommt dann die gleiche Meldung wie oben.
Member: DerWoWusste
DerWoWusste Dec 01, 2022 updated at 13:42:31 (UTC)
Goto Top
"Die Settings" sind ja das, was du per GPO setzt. Wie gesagt kann aber lokal auch per gpedit.msc mitgemischt werden. Mach also auf einem elevated command prompt einfach ein
gpresult /h %temp%\result.html & %temp%\result.html
und schau dir das Resultat genau an - welche GPO setzt das besagt fest?

Wenn's schnell gehen soll: lösche in der Registry HKLM\software\policies\microsoft\fve, verschlüssele und setze die GPOs danach wieder auf einem elevated command prompt per
gpupdate /force
Member: killtec
killtec Dec 01, 2022 at 13:51:20 (UTC)
Goto Top
Ich Prüfe das mal, muss dazu mal auf den entsprechenden Computer zugreifen wenn er verfügbar ist. Bin Aktuell nur per PSExec drauf, da lässt er mich den gpresult nicht ausführen.
Member: DerWoWusste
DerWoWusste Dec 01, 2022 at 13:53:10 (UTC)
Goto Top
Mit psexec kannst du einfach den Registrypfad exportieren.
Member: killtec
killtec Dec 16, 2022 updated at 07:32:51 (UTC)
Goto Top
Hi,
so hatte gestern physischen Zugriff auf das Gerät. Habe dann erst einmal das TPM zurück gesetzt und danach konnte ich Bitlocker wieder normal aktivieren. Den Key hat er auch brav ins AD geschrieben. face-smile

Danke dir!