1
Bitlocker in Hyper-V 2016 VM per CMD Fehler 0x803100a5
Sehr geehrte Damen und Herren,
ich probiere gerade in einer Testumgebung die Bitlocker Verschlüsselung.
Folgender Aufbau:
Host: Windows 10 1809 PC
VMs : Server 2016 Standard DC und ein Member Server mit Server 2016 Standard
Ich möchte gerne die VMs mit Bitlocker verschüsseln und das Passwort soll im AD gespeichert werden.
Folgendermaßen habe ich die TPM und Secure Boot für die VMs aktiviert:
SecureBoot habe ich geprüft mit:
TPM habe ich im Geräte-Manager und in der TPM-Verwaltung geprüft.
So sieht meine GPO aus:
Folgendermaßen habe ich Bitlocker auf den VMs installiert:
Nun möchte ich gerne die Verschlüsselung über die CMD aktivieren mit:
Dabei bekomme ich folgende Fehlermeldung:
Wenn ich Bitlocker über Systemsteuerung in der GUI aktiviere, dann läuft es ohne Probleme durch und der Schlüssel wird im AD hinterlegt. Dieser funktioniert auch zum entschlüsseln der VHDX, wenn ich diese als virtuelles Laufwerk an meinem Host einbinde.
Meine Google Suchergebnisse zielen alle darauf ab, das mit Server 2012 R2 noch kein vTPM möglich war und es deswegen nicht geht. Für den 2016er konnte ich keine Lösung finden.
Für mich wäre der Weg über die GUI kein Problem, da es sich nur um eine Hand voll Server handelt. Aber irgendein Problem scheint es ja trotzdem zu geben.
Kann mir jemand helfen? Sollten weitere Informationen nötig sein, da reiche ich sie gerne nach.
Und mal andersrum gefragt: Ist es überhaupt sinnvoll die VMs statt bzw. zusätzlich zum Host zu verschlüsseln oder gibt es da Probleme auf die ich bisher nicht gestoßen bin?
Mit freundlichen Grüßen
Felix
ich probiere gerade in einer Testumgebung die Bitlocker Verschlüsselung.
Folgender Aufbau:
Host: Windows 10 1809 PC
VMs : Server 2016 Standard DC und ein Member Server mit Server 2016 Standard
Ich möchte gerne die VMs mit Bitlocker verschüsseln und das Passwort soll im AD gespeichert werden.
Folgendermaßen habe ich die TPM und Secure Boot für die VMs aktiviert:
Get-VM | foreach ($VM) {
Set-VMFirmWare -VMName $_.name –EnableSecureBoot On -SecureBootTemplate "MicrosoftWindows"
Set-VMKeyProtector -VMName $_.name -NewLocalKeyProtector
Enable-VMTPM -VMName $_.name
}SecureBoot habe ich geprüft mit:
Confirm-SecureBootUEFI #Ergebnis: True
Get-SecureBootUEFI –Name SetupMode #Ergebnis: 0
Get-SecureBootUEFI –Name SecureBoot #Ergebnis: 1TPM habe ich im Geräte-Manager und in der TPM-Verwaltung geprüft.
So sieht meine GPO aus:
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlüsselung
Verschlüsselungsmethode und Verschlüsselungsstärke für Laufwerk auswählen (Windows 10 [Version 1511] und höher) = Aktiviert
Verschlüsselungsmethode für Betriebssystemlaufwerke auswählen: XTS-AES 256-Bit
Verschlüsselungsmethode für Festplattenlaufwerke auswählen: XTS-AES 256-Bit
Verschlüsselungsmethode für Wechsellaufwerke auswählen: AES-CBC 256-Bit
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Betriebssystemlaufwerke
Festlegen, wie BitLocker-geschützte Betriebssystemlaufwerke wiederhergestellt werden können = Aktiviert
Datenwiederherstellungs-Agents zulassen = Aktiviert
Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren:
48-stelliges Wiederherstellungskennwort zulassen
256-Bit-Wiederherstellungsschlüssel zulassen
Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdrücken = Aktiviert
BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS gespeichert wurden = Aktiviert
BitLocker-Wiederherstellungsinformationen für Betriebssystemlaufwerke in AD DS speichern = Aktiviert
Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren:
Wiederherstellungskennwörter und Schlüsselpakete speichern
Laufwerkverschlüsselungstyp auf Betriebssystemlaufwerken erzwingen
Auf belegten Speicherplatz beschränkte Verschlüsselung
Computerkonfiguration/Administrative Vorlagen/Windows-Komponenten/BitLocker-Laufwerkverschlüsselung/Festplattenlaufwerke
Festlegen, wie BitLocker-geschützte Festplattenlaufwerke wiederhergestellt werden können = Aktiviert
Datenwiederherstellungs-Agents zulassen = Aktiviert
Speichern von BitLocker-Wiederherstellungsinformationen durch Benutzer konfigurieren:
48-stelliges Wiederherstellungskennwort zulassen
256-Bit-Wiederherstellungsschlüssel zulassen
Wiederherstellungsoptionen aus BitLocker-Setup-Assistenten unterdrücken = Aktiviert
BitLocker erst aktivieren, nachdem Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS gespeichert wurden = Aktiviert
BitLocker-Wiederherstellungsinformationen für Festplattenlaufwerke in AD DS speichern = Aktiviert
Speicherung von BitLocker-Wiederherstellungsinformationen in AD DS konfigurieren:
Wiederherstellungskennwörter und Schlüsselpakete speichern
Laufwerkverschlüsselungstyp auf Festplattenlaufwerken erzwingen
Auf belegten Speicherplatz beschränkte VerschlüsselungFolgendermaßen habe ich Bitlocker auf den VMs installiert:
Install-WindowsFeature BitLocker -IncludeAllSubFeature -IncludeManagementTools -RestartNun möchte ich gerne die Verschlüsselung über die CMD aktivieren mit:
manage-bde -on C: -RecoveryPassword -SkipHardwareTestDabei bekomme ich folgende Fehlermeldung:
FEHLER: Ein Fehler ist aufgetreten (Code 0x803100a5):
Die die Verschlüsselung, bei der nur verwendeter Speicherplatz verschlüsselt wird, wird von der BitLocker-Laufwerkverschlüsselung nur für Speicher unterstützt, der für schlanke Speicherzuweisung geeignet ist.
HINWEIS: Wenn es nicht möglich war, über den Parameter "-on" Schlüsselschutzvorrichtungen hinzuzufügen oder die Verschlüsselung zu starten,
müssen Sie möglicherweise "manage-bde -off" aufrufen, bevor Sie "-on" erneut versuchen. Wenn ich Bitlocker über Systemsteuerung in der GUI aktiviere, dann läuft es ohne Probleme durch und der Schlüssel wird im AD hinterlegt. Dieser funktioniert auch zum entschlüsseln der VHDX, wenn ich diese als virtuelles Laufwerk an meinem Host einbinde.
Meine Google Suchergebnisse zielen alle darauf ab, das mit Server 2012 R2 noch kein vTPM möglich war und es deswegen nicht geht. Für den 2016er konnte ich keine Lösung finden.
Für mich wäre der Weg über die GUI kein Problem, da es sich nur um eine Hand voll Server handelt. Aber irgendein Problem scheint es ja trotzdem zu geben.
Kann mir jemand helfen? Sollten weitere Informationen nötig sein, da reiche ich sie gerne nach.
Und mal andersrum gefragt: Ist es überhaupt sinnvoll die VMs statt bzw. zusätzlich zum Host zu verschlüsseln oder gibt es da Probleme auf die ich bisher nicht gestoßen bin?
Mit freundlichen Grüßen
Felix
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 399731
Url: https://administrator.de/contentid/399731
Ausgedruckt am: 23.11.2024 um 17:11 Uhr
1 Kommentar
Hi.
Wenn es über die GUI geht, aber nicht über die Kommandozeile, dann ist das schlicht ein Bug.
Die Fehlermeldung besagt doch, dass deine virtuelle Festplatte thin provisioning nutzen müsste, damit es funktioniert. Es sollte also nur funktionieren, wenn Du keine Platte vom Typ "fixed size" (=vorallokiert), sondern eine vom Typ "dynamically expanding" eingerichtet haben solltest.
Es dürfte keinen Unterschied machen, ob CMD oder GUI, also ein Bug.
--
Normalerweise verschlüsselt man den Host.
Wenn es über die GUI geht, aber nicht über die Kommandozeile, dann ist das schlicht ein Bug.
Die Fehlermeldung besagt doch, dass deine virtuelle Festplatte thin provisioning nutzen müsste, damit es funktioniert. Es sollte also nur funktionieren, wenn Du keine Platte vom Typ "fixed size" (=vorallokiert), sondern eine vom Typ "dynamically expanding" eingerichtet haben solltest.
Es dürfte keinen Unterschied machen, ob CMD oder GUI, also ein Bug.
--
Normalerweise verschlüsselt man den Host.
