kiso222
Goto Top

Bitlocker in Hyper-V 2016 VM per CMD Fehler 0x803100a5

Sehr geehrte Damen und Herren,

ich probiere gerade in einer Testumgebung die Bitlocker Verschlüsselung.

Folgender Aufbau:
Host: Windows 10 1809 PC
VMs : Server 2016 Standard DC und ein Member Server mit Server 2016 Standard

Ich möchte gerne die VMs mit Bitlocker verschüsseln und das Passwort soll im AD gespeichert werden.

Folgendermaßen habe ich die TPM und Secure Boot für die VMs aktiviert:
Get-VM | foreach ($VM) {
    Set-VMFirmWare -VMName $_.name –EnableSecureBoot On -SecureBootTemplate "MicrosoftWindows"  
    Set-VMKeyProtector -VMName $_.name -NewLocalKeyProtector
    Enable-VMTPM -VMName $_.name
}

SecureBoot habe ich geprüft mit:
Confirm-SecureBootUEFI              #Ergebnis:  True
Get-SecureBootUEFI –Name SetupMode  #Ergebnis: 0
Get-SecureBootUEFI –Name SecureBoot #Ergebnis: 1

TPM habe ich im Geräte-Manager und in der TPM-Verwaltung geprüft.

So sieht meine GPO aus:
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlüsselung

Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen (Windows 10 [Version 1511] und höher) = Aktiviert
	Verschlüsselungsmethode für Betriebssystemlaufwerke auswählen:	XTS-AES 256-Bit
	Verschlüsselungsmethode für Festplattenlaufwerke auswählen:	XTS-AES 256-Bit
	Verschlüsselungsmethode für Wechsellaufwerke auswählen:	AES-CBC 256-Bit

Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke

	Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können = Aktiviert 

		Datenwiederherstellungs-Agents zulassen = Aktiviert
		Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren:	
		48-stelliges Wiederherstellungskennwort zulassen
		256-Bit-Wiederherstellungsschlüssel zulassen
		Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdrücken = Aktiviert
		BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurden = Aktiviert
		BitLocker-Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS speichern = Aktiviert	
			Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren:
			Wiederherstellungskennwörter und Schlüsselpakete speichern

		
	Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen 
		Auf belegten Speicherplatz beschränkte Verschlüsselung
	
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Festplattenlaufwerke

	Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können = Aktiviert 

		Datenwiederherstellungs-Agents zulassen = Aktiviert
		Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren:	
		48-stelliges Wiederherstellungskennwort zulassen
		256-Bit-Wiederherstellungsschlüssel zulassen
		Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdrücken = Aktiviert
		BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS gespeichert wurden = Aktiviert
		BitLocker-Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS speichern = Aktiviert	
			Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren:
			Wiederherstellungskennwörter und Schlüsselpakete speichern
			
	Laufwerkverschlüsselungstyp auf Festplattenlaufwerken erzwingen 
		Auf belegten Speicherplatz beschränkte Verschlüsselung

Folgendermaßen habe ich Bitlocker auf den VMs installiert:
Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools -Restart

Nun möchte ich gerne die Verschlüsselung über die CMD aktivieren mit:
manage-bde -on C: -RecoveryPassword -SkipHardwareTest

Dabei bekomme ich folgende Fehlermeldung:
FEHLER: Ein Fehler ist aufgetreten (Code 0x803100a5):
Die die Verschlüsselung, bei der nur verwendeter Speicherplatz verschlüsselt wird, wird von der BitLocker-Laufwerkverschlüsselung nur für Speicher unterstützt, der für schlanke Speicherzuweisung geeignet ist.

HINWEIS: Wenn es nicht möglich war, über den Parameter "-on" Schlüsselschutzvorrichtungen hinzuzufügen oder die Verschlüsselung zu starten,  
müssen Sie möglicherweise "manage-bde -off" aufrufen, bevor Sie "-on" erneut versuchen.  

Wenn ich Bitlocker über Systemsteuerung in der GUI aktiviere, dann läuft es ohne Probleme durch und der Schlüssel wird im AD hinterlegt. Dieser funktioniert auch zum entschlüsseln der VHDX, wenn ich diese als virtuelles Laufwerk an meinem Host einbinde.

Meine Google Suchergebnisse zielen alle darauf ab, das mit Server 2012 R2 noch kein vTPM möglich war und es deswegen nicht geht. Für den 2016er konnte ich keine Lösung finden.

Für mich wäre der Weg über die GUI kein Problem, da es sich nur um eine Hand voll Server handelt. Aber irgendein Problem scheint es ja trotzdem zu geben.

Kann mir jemand helfen? Sollten weitere Informationen nötig sein, da reiche ich sie gerne nach.

Und mal andersrum gefragt: Ist es überhaupt sinnvoll die VMs statt bzw. zusätzlich zum Host zu verschlüsseln oder gibt es da Probleme auf die ich bisher nicht gestoßen bin?

Mit freundlichen Grüßen
Felix

Content-ID: 399731

Url: https://administrator.de/forum/bitlocker-in-hyper-v-2016-vm-per-cmd-fehler-0x803100a5-399731.html

Ausgedruckt am: 26.12.2024 um 01:12 Uhr

DerWoWusste
Lösung DerWoWusste 29.01.2019 um 14:36:45 Uhr
Goto Top
Hi.

Wenn es über die GUI geht, aber nicht über die Kommandozeile, dann ist das schlicht ein Bug.
Die Fehlermeldung besagt doch, dass deine virtuelle Festplatte thin provisioning nutzen müsste, damit es funktioniert. Es sollte also nur funktionieren, wenn Du keine Platte vom Typ "fixed size" (=vorallokiert), sondern eine vom Typ "dynamically expanding" eingerichtet haben solltest.

Es dürfte keinen Unterschied machen, ob CMD oder GUI, also ein Bug.
--
Normalerweise verschlüsselt man den Host.