cardisch
Goto Top

Ehemaliger Domänenclient will Bitlocker nicht mehr aktivieren

Hallo@all,

ich musste einen Client, der nicht mehr in unserer Domäne arbeiten wird, allerdings auf einer SCCM-Domäneninstallation beruht, in eine Arbeitsgruppe bringen.
Da ich Probleme (gelöst) mit den Windows Upgrades hatte, habe ich "temporär" Bitlocker deaktiviert, zu diesem Zeitpunkt war der PC schon in der Arbeitsgruppe.
Jetzt wollte ich BL wieder aktivieren, bekomme jedoch Fehlermeldungen:
FEHLER: Ein Fehler ist aufgetreten (Code 0x8031002c):
Für die Gruppenrichtlinieneinstellungen muss vor dem Verschlüsseln des Laufwerks ein Wiederherstellungskennwort angegeben werden.

Unsere Installationen werden standardmäßig BL-verschlüsselt, Key im AD gespeichert. Auf diesen habe ich auch Zugriff.

Laut GPEdit ist bei diesem PC nicht eine Bitlocker-relevante GPO noch aktiv, habe dennoch mal die "BL-Wiederherstellungsinformation im AD speichern" Option aktiviert.
Habe schon TPM gelöscht, sowohl im BIOS als auch unter Windows, keine Besserung.
Auch ein Versuch den alten Key oder einen neuen einzutrommeln funktioniert nicht (mehr)..

Hat noch jemand einen guten Tipp für mich?

Danke und Gruß,

Carsten

Content-Key: 2367925404

Url: https://administrator.de/contentid/2367925404

Printed on: June 24, 2024 at 16:06 o'clock

Member: DerWoWusste
DerWoWusste Apr 01, 2022 at 07:39:33 (UTC)
Goto Top
Hi.

Öffne eine elevated shell und dort
manage-bde -on c: -used -s -rp
Was für eine Meldung kommt da?
Member: cardisch
cardisch Apr 01, 2022 at 07:43:35 (UTC)
Goto Top
Hi DWW:

PS C:\WINDOWS\system32> manage-bde -on c: -used -s -rp
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Volume "C:" [Laufwerk C]  
[Betriebssystemvolume]
Hinzugefügte Schlüsselschutzvorrichtungen:

    Numerisches Kennwort:
      ID: {B35D5A98-9577-4C79-92AF-9379954FA0C3}
      Kennwort:
       hab ich gelöscht

FEHLER: Ein Fehler ist aufgetreten (Code 0x8031000a):
Die Gesamtstruktur der Active Directory-Domänendienste enthält nicht die erforderlichen Attribute und Klassen, um BitLocker-Laufwerkverschlüsselung oder TPM (Trusted Platform Module)-Informationen  zu hosten. Wenden Sie sich an den Domänenadministrator, um zu überprüfen, ob alle erforderlichen Active Directory-Schemaerweiterungen für BitLocker installiert wurden.

HINWEIS: Wenn es nicht möglich war, über den Parameter "-on" Schlüsselschutzvorrichtungen hinzuzufügen oder die Verschlüsselung zu starten,  
müssen Sie möglicherweise "manage-bde -off" aufrufen, bevor Sie "-on" erneut versuchen.  
PS C:\WINDOWS\system32>

Einmal ein-, dann ausschalten bringt auch nichts...
Member: DerWoWusste
DerWoWusste Apr 01, 2022 at 07:53:59 (UTC)
Goto Top
Und, was sagst Du zu deiner Verteidigung? face-wink Stimmt der Fehler nicht, ist das Schema erweitert, kann man auf anderen Domänenclients RecKeys ins AD speichern?
Member: DerWoWusste
Solution DerWoWusste Apr 01, 2022 at 09:12:43 (UTC)
Goto Top
Entschuldige bitte, du schriebst ja, dasser mittlwerweile keinen Domänenzugang mehr hat.
Dann sollte es reichen, unter HKLM\software\policies den Zweig FVE zu löschen (vorher exportieren).
Member: cardisch
cardisch Apr 01, 2022 at 10:58:57 (UTC)
Goto Top
@dww.

Du hast nicht nur ein tierisches Konterfei, du bist auch eines face-wink
FVF löschen war die Lösung.

Vielen Dank

Carsten
Member: DerWoWusste
DerWoWusste Apr 01, 2022 at 11:43:50 (UTC)
Goto Top
Logo, gerne.