Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Bitlocker Network Unlock funktioniert nicht

Mitglied: SeaJee

SeaJee (Level 1) - Jetzt verbinden

18.04.2019 um 18:20 Uhr, 317 Aufrufe

Hallo,

ich habe Probleme mit einem WDS-Server, der in unserem Netz die Bitlocker-Network-Unlock-Rolle übernehmen sollte.

Infrastruktur: Server und Clients sind aufgeteilt in verschiedene Netze (192.168.1.0/24 Server und 192.168.10.0/23 Clients), Broadcasts von den Servern Richtung Clients funktionieren (ein funktionierendes WoL- und PXE-Relay stehen bereit). Es gibt mehrere DCs (einige im Server-Subnetz, einer in einem komplett anderen Subnetz, der dort auch den DHCP macht, das hier aber irrelevant sein sollte), einen DHCP für das Client-Netz und eine CA.

Ich habe im Server-Subnetz einen WS2016 aufgesetzt nur mit den WDS-Rollen und dem Bitlocker-Network-Unlock-Feature (Restart nach der Installation wurde gemacht). Auf der CA habe ich die nötige Zertifikatsvorlage erstellt und ein Zertifikat auf dem WDS erstellt (als User anfordern, mit Private Key exportiert und als Bitlocker-Zertifikat für den lokalen Computer importiert) und den Dienst mit den Standardeinstellungen gestartet (im Deployment-Tool-Dialog "Server konfigureiren" und alles auf Standard belassen, außer dass jedem Client geantwortet werden soll). Die GPOs habe ich erstellt und den Clients zugewiesen (Zertifikat ohne Private Key ist hinterlegt). Fastboot auf den Clients ist deaktiviert.
Beim Erstellen des Zertifikats habe ich aber auch noch die IP und den FQDN des Servers unter "Alternative Namen" angegeben.

So funktionierte das Feature für kurze Zeit. Nachdem der WDS-Server neue Windows-Updates bekommen hatte, funktionierte es nach dem Restart des Servers nicht mehr. DHCP-Requests kamen noch an, beim PXE-Boot meldete sich der WDS-Server ebenfalls mit der Meldung, dass er keine PE-Images zur Verfügung stellt (soll so sein, der WDS soll nur den Unlocker machen), aber die Clients forderten den PIN für den Unlock. Windows-FW deaktiviert, keine Besserung.

In den Debug-Logs der Deployment Services tauchten Fehler mit den IDs 32771 auf (eine cpp-Datei, aus dem DHCP-Modul). Also habe ich ein Update nach dem anderen deinstalliert, habe das Zertifikat neu ausgestellt, eine Neuinstallation der Rolle durchgeführt, brachte alles keine Besserung.
Ich hatte noch bemerkt, dass ich bei der Zertifikatsvorlage vergessen hatte, die folgenden Punkte anzugeben (aus der MS-Docs-Seite):
"Select the Issuance Requirements tab. Select both CA certificate manager approval and Valid existing certificate options."
Ich habe die Vorlage geändert und das Zertifikat neu ausgestellt, keine Besserung.
Die Richtlinien wurden angewandt, habe ich oer RSOP geprüft und das Client-Zertifikat hatte ich in der GPO auch immer angeändert (Fingerprint auf den Clients war korrekt).

Ich habe versucht den Server neu aufzusetzen, als WS2012 R2. Dort lief aber die Rolle nicht sauber. Installation, Restart und Konfiguration funktionierte noch, nachdem ich aber das Zertifkat auf dem WDS-Server eingebunden hatte, stand nach dem nötigen Restart der WDS-Dienst im Status "wird gestartet" (in jedem folgenden Restart auch). Der Server konnte dann nicht per RDP-erreicht werden o.Ä., lokal kam man nicht mehr in die Systemsteuerung, etc.. Ich konnte den Dienst per Powershell beenden, dann reagierte der Server wieder wie gewohnt. Anschließend konnte ich den Dienst auch händisch ganz normal starten. Das Feature funktionierte weiterhin nicht.
In den Logs stand beim Start des Dienstes: "[WDSServer/WDSPXE/NKPPROV] Could not get private key from certificate. Skipping certificate." und im Server-Manager tauchte die Meldung mit der ID 772 auf "An error occurred while trying to create the UDP endpoint for WDSPXE provider on interface (IP des Servers:port). This can happen if the network interface was disabled or changed, or some other application is already using the port. The provider will not be able to receive requests on this interface."

Kennt jemand von euch solche Probleme und weiß evtl. woran das noch liegen könnte? Vor allem, da es kurzzeitig funktioniert hatte.
Ähnliche Inhalte
Windows 10
WWAN Sim Unlock Win10
Frage von today12Windows 101 Kommentar

Hallo liebe Administrator-Community, da ich nach längerer Internet-Recherche leider nicht schlauer geworden bin, bin ich nun auf euch angewiesen. ...

CPU, RAM, Mainboards
MPM mode unlock bei HP 8560p
Frage von Tomschaf91CPU, RAM, Mainboards

Hallo zusammen, von einen Tag auf den anderen hat anscheinend ein Notebook die Seriennummer, CT, etc. verloren und bei ...

Hyper-V
StorageSpacesDirect Network
Frage von EmptymanHyper-V

Hallo liebe Gemeinde, ich habe mal wieder eine Frage, in der Hoffnung, dass mir jemand helfen kann. :-) In ...

Windows 10

Windows 10 hosted Network funktioniert auf Galaxy Tab nur bedingt

Frage von NexderWindows 101 Kommentar

Hallo, Ich hoffe die Kategorie passt einigermaßen da ich Windows als "Übeltäter" vermute. Dennoch ist es ein übergreifendes Phänomen. ...

Neue Wissensbeiträge
Off Topic
Europawahl 2019 - Ein Statement der Jugend
Information von Frank vor 1 StundeOff Topic4 Kommentare

Dies ist ein offener Brief. Ein Statement. Von einem großen Teil der Youtuber-Szene. Am Wochenende sind die EU-Wahlen und ...

Off Topic
Europawahl 2019
Information von Frank vor 1 TagOff Topic29 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Humor (lol)

Minister wollen offenbar Ausweispflicht für .de-Domain

Information von Kraemer vor 1 TagHumor (lol)7 Kommentare

Zitat von Golem.de: Die zuständigen Verbraucherschutzminister fordern einem Medienbericht zufolge offenbar eine Ausweispflicht für .de-Domains. Das soll Betrugsfälle mit ...

Off Topic
Was als Noob hier mal gesagt werden musste
Information von th30ther vor 3 TagenOff Topic5 Kommentare

Moinsen wertes Forum, ich möchte mich an dieser Stelle mal beim Forum generell und bei aqui speziell bedanken! Ich ...

Heiß diskutierte Inhalte
Ausbildung
Wie sind eure Erfahrungen als oder mit Ü30 Azubis für Fachinformatik Systemintegration?
Frage von CaptainProcessorAusbildung26 Kommentare

Tagchen allerseits :) Mir steht in wenigen Monaten eine Veränderung bevor, da mein AG seine IT auslagert und ich ...

Off Topic
Europawahl 2019
Information von FrankOff Topic26 Kommentare

Vom 23. bis 26. Mai 2019 findet die Europawahl in den Mitgliedstaaten der Europäischen Union statt (ja auch in ...

Router & Routing
ZyXEL ZyWALL USG 20 Routing
Frage von Oggy01Router & Routing13 Kommentare

Hallo, und wieder habe ich ein Problem mit dem Routing. Bis vor ein paar Tagen habe ich das mit ...

Virtualisierung
VServer (Linux): Absichern, verschlüsseln usw
Frage von mrserious73Virtualisierung11 Kommentare

Hallo zusammen, ich möchte einen Linux-Vserver mieten und diesen absichern. Darunter verstehe ich in diesem Falle hauptsächlich: Dafür sorgen, ...