13
Windows Server 2022: BitLocker automatisches Entsperren externe HDD funktioniert nicht
Hallo community,
ich verwende BitLocker für unsere Sicherungsfestplatten (externen USB 3.0 HDD).
Über manage-bde habe ich das automatische Entsperren aktiviert. Das funktioniert soweit erst einmal einwandfrei, ABER:
Mir ist jetzt aufgefallen, dass auto unlock nur funktioniert, wenn der lokale Administrator oder der Domain-Admin nicht länger als 2h gesperrt ist.
Wenn die angemeldete Sitzung länger als 2h inaktiv ist / gesperrt ist, funktioniert das automatische Entsperren nicht beim Wechsel der Festplatte. Wenn kein Adminstrator am HYPER-V angemeldet ist funktioniert das auto-unlock auch nicht!
Kann mir jemand sagen woran das liegt bzw. gibt es einen Workaround dafür?
Die Sicherungsmedien werden in Rotation durch die Geschäftsleitung mit nach Hause genommen.
Bisher war der Wechsel kein Problem da ich als Admin die Festplatten immer selbst getauscht habe und meist zur Kontrolle zeitnah nach Tausch auf dem Hyper-V Server angemeldet war.
Aufgefallen ist mir das Problem durch schulungsbedingte Abwesenheit. Das Sekretariat hat in diesem Zeitraum die HDD für mich getauscht. Wie bisher HDD abgezogen und HDD wieder angesteckt.
Alle Sicherungen sind Fehlgeschlagen weil die HDD nicht automatisch entsperrt wurde.
Melde ich mich mit einem lokalen Administrator / Domain-Admin an, sperre die Sitzung, tausche dann die HDD innerhalb von 2 h, funktioniert das auto unlock einwandfrei. Sobald die Sitzung länger als 2h gesperrt ist, funktioniert auto unlock nicht.
Habe noch keine Lösung für dies Konstellation finden können.
Habe versucht eine Aufgabe an das "Einsteckevent" zu koppeln und mit einem Skript die Entsperrung über den Wiederherstellungsschlüssel zu versuchen.
Leider hat das noch nicht funktioniert da ich vmtl. einen Fehler im skript habe.
Würde mich über jeden Denkanstoß freuen.
Danke im voraus.
ich verwende BitLocker für unsere Sicherungsfestplatten (externen USB 3.0 HDD).
Über manage-bde habe ich das automatische Entsperren aktiviert. Das funktioniert soweit erst einmal einwandfrei, ABER:
Mir ist jetzt aufgefallen, dass auto unlock nur funktioniert, wenn der lokale Administrator oder der Domain-Admin nicht länger als 2h gesperrt ist.
Wenn die angemeldete Sitzung länger als 2h inaktiv ist / gesperrt ist, funktioniert das automatische Entsperren nicht beim Wechsel der Festplatte. Wenn kein Adminstrator am HYPER-V angemeldet ist funktioniert das auto-unlock auch nicht!
Kann mir jemand sagen woran das liegt bzw. gibt es einen Workaround dafür?
Die Sicherungsmedien werden in Rotation durch die Geschäftsleitung mit nach Hause genommen.
Bisher war der Wechsel kein Problem da ich als Admin die Festplatten immer selbst getauscht habe und meist zur Kontrolle zeitnah nach Tausch auf dem Hyper-V Server angemeldet war.
Aufgefallen ist mir das Problem durch schulungsbedingte Abwesenheit. Das Sekretariat hat in diesem Zeitraum die HDD für mich getauscht. Wie bisher HDD abgezogen und HDD wieder angesteckt.
Alle Sicherungen sind Fehlgeschlagen weil die HDD nicht automatisch entsperrt wurde.
Melde ich mich mit einem lokalen Administrator / Domain-Admin an, sperre die Sitzung, tausche dann die HDD innerhalb von 2 h, funktioniert das auto unlock einwandfrei. Sobald die Sitzung länger als 2h gesperrt ist, funktioniert auto unlock nicht.
Habe noch keine Lösung für dies Konstellation finden können.
Habe versucht eine Aufgabe an das "Einsteckevent" zu koppeln und mit einem Skript die Entsperrung über den Wiederherstellungsschlüssel zu versuchen.
Leider hat das noch nicht funktioniert da ich vmtl. einen Fehler im skript habe.
Würde mich über jeden Denkanstoß freuen.
Danke im voraus.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 73765200523
Url: https://administrator.de/contentid/73765200523
Printed on: May 13, 2024 at 01:05 o'clock
13 Comments
Latest comment
Moin.
Das bekommen wir hin mit dem Workaround.
Ich würde das "Einsteckevent" genauso nutzen, wie hier von mir beschrieben:
Echte 2FA mit TPM-VSC (virtuelle Smartcards)
(suche die Stelle "Dann erstelle ich einen zweiten Task").
Als Kommando dann
manage-bde -unlock x: -rp 123456-123432-....
(x: anpassen. Falls x: nicht fest ist, eine for-Schleife durch alle Buchstaben laufen lassen).
Das bekommen wir hin mit dem Workaround.
Leider hat das noch nicht funktioniert da ich vmtl. einen Fehler im skript habe.
Dann teile bitte das Skript und das Einsteckevent, an das Du koppelst. Wenn das Skript loggt, teile auch das Log.Ich würde das "Einsteckevent" genauso nutzen, wie hier von mir beschrieben:
Echte 2FA mit TPM-VSC (virtuelle Smartcards)
(suche die Stelle "Dann erstelle ich einen zweiten Task").
Als Kommando dann
manage-bde -unlock x: -rp 123456-123432-....
(x: anpassen. Falls x: nicht fest ist, eine for-Schleife durch alle Buchstaben laufen lassen).
Hallo DWW,
danke für die schnelle Antwort. Hier das Skript das ich auf Basis Deiner Vorlage nutzen möchte:
Das Ereignis an das ich koppeln will:
Und hier der Fehler aus der Aufgabenplanung:
Windows Server 2022 Ver. 21H2 (Build 20348.2113) mit Hyper-V Rolle
danke für die schnelle Antwort. Hier das Skript das ich auf Basis Deiner Vorlage nutzen möchte:
$JustNow = (Get-Date).AddSeconds(-5)
$foundstick = Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-DriverFrameworks-UserMode/Operational'; starttime=$JustNow}| where message -match 'SWD\WPDBUSENUM\{E9C2B480-472C-11EE-9C8F-B03AF61AD78A}#0000000000100000'
if ($foundstick -ne $null) {manage-bde -unlock f: -rp XXXXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX-XXXXX}Das Ereignis an das ich koppeln will:
Und hier der Fehler aus der Aufgabenplanung:
Windows Server 2022 Ver. 21H2 (Build 20348.2113) mit Hyper-V Rolle
Wie Dein letzter Screenshot des Aufgabenplaners zeigt, hast Du mehrere Trigger definiert. Warum das?
Der Grund für die zurückweisung müsste sein, dass der Task bereits läuft und in den taskeigenschaften eingestellt ist, dass er nicht gestartet werden soll, wenn er bereits läuft.
Schließ die Platte an.
Sperre sie mit manage-bde -lock f:
Stoppe den Task. Starte ihn manuell - funktioniert die Entsperrung?
Der Grund für die zurückweisung müsste sein, dass der Task bereits läuft und in den taskeigenschaften eingestellt ist, dass er nicht gestartet werden soll, wenn er bereits läuft.
Schließ die Platte an.
Sperre sie mit manage-bde -lock f:
Stoppe den Task. Starte ihn manuell - funktioniert die Entsperrung?
Achtung: bei manuellem Test muss natürlich auch die Zeitspanne größer gewählt werden im Skript - vielleicht 20 Sekunden.
Hallo DWW,
der 2. Trigger ist "beim Systemstart". Damit bereits angeschlossene Platten beim Neustart entsperrt werden.
Habe Deine Anweisungen ausgeführt:
1. Laufwerk mit manage-bde -lock f: gesperrt
(ging erst nicht da die automatische Entsperrung aktiviert war, also über die BitLocker GUI deaktiviert und mit
mit manage-bde -status F: geprüft)
2. Task gestoppt
3. Task gestartet -> Status "wird ausgeführt" aber keine Entsperrung der HDD
4. HDD bei laufendem Task abgezogen und wieder angesteckt, keine Entsperrung
der 2. Trigger ist "beim Systemstart". Damit bereits angeschlossene Platten beim Neustart entsperrt werden.
Habe Deine Anweisungen ausgeführt:
1. Laufwerk mit manage-bde -lock f: gesperrt
(ging erst nicht da die automatische Entsperrung aktiviert war, also über die BitLocker GUI deaktiviert und mit
mit manage-bde -status F: geprüft)
2. Task gestoppt
3. Task gestartet -> Status "wird ausgeführt" aber keine Entsperrung der HDD
4. HDD bei laufendem Task abgezogen und wieder angesteckt, keine Entsperrung
Führe das Skript mal mittels psexec sichtbar als System-Konto aus:
Shell als Admin starten, dort
Psexec -si powershell_ise
Auf der sich öffnenden pshell_ise das Skript starten und die Ausgabe teilen
Shell als Admin starten, dort
Psexec -si powershell_ise
Auf der sich öffnenden pshell_ise das Skript starten und die Ausgabe teilen
Korrektur: natürlich nicht cmd, sondern powershell_ise als System-Konto starten.
PS C:\Windows\system32> C:\Auto_Unlock\Powershell\unlock_MONAT.ps1
Get-WinEvent : Es wurden keine Ereignisse gefunden, die den angegebenen Auswahlkriterien entsprechen.
In C:\Auto_Unlock\Powershell\unlock_MONAT.ps1:2 Zeichen:15
+ ... oundstick = Get-WinEvent -FilterHashtable @{LogName='Microsoft-Window ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ObjectNotFound: (:) [Get-WinEvent], Exception
+ FullyQualifiedErrorId : NoMatchingEventsFound,Microsoft.PowerShell.Commands.GetWinEventCommand
Zeit erhöhen, hab ich dich doch gebeten.
Sieht so aus als würde er das Ereignis nicht finden ...
Habs auf 20 Sekunden gestellt
Du musst es schon so einstellen, dass es funktionieren kann. Wenn die Platte das letzte mal vor diesem Test angesteckt wurde vor 2 Minuten, dann muss es auf minimal 120 Sekunden gestellt werden. das Ereignis ist ja im log, also muss er es finden können.
OK. ich setze den Timer auf 120 Sekunden und teste es erneut
