Ehemaliger Domänenclient will Bitlocker nicht mehr aktivieren

Hallo@all,

ich musste einen Client, der nicht mehr in unserer Domäne arbeiten wird, allerdings auf einer SCCM-Domäneninstallation beruht, in eine Arbeitsgruppe bringen.
Da ich Probleme (gelöst) mit den Windows Upgrades hatte, habe ich "temporär" Bitlocker deaktiviert, zu diesem Zeitpunkt war der PC schon in der Arbeitsgruppe.
Jetzt wollte ich BL wieder aktivieren, bekomme jedoch Fehlermeldungen:

FEHLER: Ein Fehler ist aufgetreten (Code 0x8031002c):
Für die Gruppenrichtlinieneinstellungen muss vor dem Verschlüsseln des Laufwerks ein Wiederherstellungskennwort angegeben werden.

Unsere Installationen werden standardmäßig BL-verschlüsselt, Key im AD gespeichert. Auf diesen habe ich auch Zugriff.

Laut GPEdit ist bei diesem PC nicht eine Bitlocker-relevante GPO noch aktiv, habe dennoch mal die "BL-Wiederherstellungsinformation im AD speichern" Option aktiviert.
Habe schon TPM gelöscht, sowohl im BIOS als auch unter Windows, keine Besserung.
Auch ein Versuch den alten Key oder einen neuen einzutrommeln funktioniert nicht (mehr)..

Hat noch jemand einen guten Tipp für mich?

Danke und Gruß,

Carsten

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 2367925404

Url: https://administrator.de/forum/ehemaliger-domaenenclient-will-bitlocker-nicht-mehr-aktivieren-2367925404.html

Ausgedruckt am: 30.05.2025 um 13:05 Uhr

6 Kommentare

Neuester Kommentar

Hi.

Öffne eine elevated shell und dort

manage-bde -on c: -used -s -rp

Was für eine Meldung kommt da?

Hi DWW:

PS C:\WINDOWS\system32> manage-bde -on c: -used -s -rp
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Volume "C:" [Laufwerk C]  
[Betriebssystemvolume]
Hinzugefügte Schlüsselschutzvorrichtungen:

    Numerisches Kennwort:
      ID: {B35D5A98-9577-4C79-92AF-9379954FA0C3}
      Kennwort:
       hab ich gelöscht

FEHLER: Ein Fehler ist aufgetreten (Code 0x8031000a):
Die Gesamtstruktur der Active Directory-Domänendienste enthält nicht die erforderlichen Attribute und Klassen, um BitLocker-Laufwerkverschlüsselung oder TPM (Trusted Platform Module)-Informationen  zu hosten. Wenden Sie sich an den Domänenadministrator, um zu überprüfen, ob alle erforderlichen Active Directory-Schemaerweiterungen für BitLocker installiert wurden.

HINWEIS: Wenn es nicht möglich war, über den Parameter "-on" Schlüsselschutzvorrichtungen hinzuzufügen oder die Verschlüsselung zu starten,  
müssen Sie möglicherweise "manage-bde -off" aufrufen, bevor Sie "-on" erneut versuchen.  
PS C:\WINDOWS\system32>

Einmal ein-, dann ausschalten bringt auch nichts...

Und, was sagst Du zu deiner Verteidigung?

Stimmt der Fehler nicht, ist das Schema erweitert, kann man auf anderen Domänenclients RecKeys ins AD speichern?

Entschuldige bitte, du schriebst ja, dasser mittlwerweile keinen Domänenzugang mehr hat.
Dann sollte es reichen, unter HKLM\software\policies den Zweig FVE zu löschen (vorher exportieren).