Jump to content
Sign in to follow this  
bits

Bitlocker mit 2003 und 2K8R2 DC

Recommended Posts

Hi

 

Wieder mal eine Frage. :D Irgendwie steht nur immer was von 2008 R2 oder 2008.

 

Szenario: Ich habe Exchange 2007 mit 2003 DC's. Diese darf ich NICHT anfassen. Noch nicht... Ich habe einen 2008 R2 als zusätzlicher DomainController hinzugefügt (übliches Szenario Adprep undso). Läuft alles sauber. Domain Modus ist Windows 2003 Server.

 

JETZT die eigentliche Frage. Habe heute die GPO eingerichtet auf dem 2008 R2 Server. Die zieht auch. Nur war da kein Recovery Key im AD zu sehen?!

 

Kann das am Domänenmodus liegen? Muss der zwingend R2 (2008) sein? :suspect: Ich finde bis jetzt, noch nichts auf der Technet Seite wo da was steht. :D

 

Werde Euch sonst morgen mal auf dem laufenden halten!

 

Grüsse Bits

Share this post


Link to post

Moin,

 

vielleicht könntest du erst einmal angeben, wovon du überhaupt redest. Es geht irgendwie um Bitlocker und um irgendein GPO. Mehr kann ich bislang aus deinem Posting nicht entnehmen.

 

Bitte Fragen so stellen, dass man sie beantworten kann.

 

Gruß, Nils

Share this post


Link to post

Hi Nils,

 

Das passiert wenn man in mitten der Materie ist. Man schreibt in Gedanken. Sorry..

 

Also, Ziel ist es, die Bitlocker Keys ins Active Directory zu schreiben! Es handelt sich hierbei um eine Windows 2003 Domäne (Gesamtstruktur Modus 2003). Ich habe nun zusätzlich einen Windows Server 2008 R2 als zusätzlichen Domänencontroller hinzugefügt. Die FSMO Rollen sitzen noch auf den 2003'er Server.

 

Ich habe nun im 2K8 R2 eine GPO erstellt auf die OU, wo die Windows 7 Clients sind, die mittels Bitlocker verschlüsselt worden sind.

 

Das interessante nun ist der Punkt, dass ich, wenn ich mit der rechten Mausstaste auf einen Rechner mit Windows 7 im AD drauf klicke, keine Bitlocker Key angezeigt bekomme.

 

Nun meine eigentliche Frage. Damit ich die Bitlocker Recovery Key im AD haben kann, MUSS zwingend die Domain auf Windows Server 2008 sein? Oder reicht ledliglich ein 2008 R2 Server wo man dieses Feature aktiviert? Theoretisch sollte ja die Schemaerweiterungen ja im AD des 2003 sein wegen adprep Befehlen oder??! :suspect:

 

Bei Windows Server 2008 (nicht R2) musste man ja noch Anpassungen am Schema vornehmen (gemäss was ich gelesen habe). Somit gehe ich davon aus, dass bei der Installation im 2008 R2 der Bitlocker Tools dies schon geschehen ist?

 

Es ist ein Wunsch des Kunden dies im AD zu sehen. Jedoch finde ich kein Dokument, das was in Kombination mit Windows Server 2003 was erwähnt?! Sprich in dieser Konstellation. Ich darf die 2003 Server noch nicht migrieren. Muss vorerst so bleiben.

 

Hmm...

 

Grüsse Bits

Share this post


Link to post

Hi Necron,

 

Kurzerhand den ersten Link angeschaut.

 

Wichtig

Unter Windows 2000 Server oder unter der ersten Version von Windows Server 2003 ausgeführte Domänencontroller werden bei der Sicherung von BitLocker- und TPM-Wiederherstellungsinformationen nicht unterstützt.

 

Also darin steht ja auch:

 

Ist dieses Schema Bestandteil von Windows Server 2008?

Ja, das Schema ist Bestandteil von Windows Server 2008. Windows Windows Server 2008 Beta 2 enthält die Objekte, die eine Sicherung aller BitLocker- und TPM-Wiederherstellungsinformationen in Vorabversionen von Windows Vista ermöglichen. Die Schemaaktualisierung für die freigegebene Version von Windows Vista enthält die für Windows Server 2008 Beta 3 geplanten Änderungen.

 

Kann ich die Schemaaktualisierung auf einen Domänencontroller unter Windows Server 2003 anwenden?

 

Microsoft unterstützt BitLocker-Schemaerweiterungen nur unter Windows Server 2003 mit SP1 und höher sowie unter Windows Server 2008. Die erste Version von Windows Server 2003 enthält das Feature für das Vertraulichkeitsflag nicht, über das der Zugriff auf gesicherte Wiederherstellungsinformationen gesperrt wird.

 

Sprich, also sollte, wenn ich einen 2K8 R2 zusätzlicher DC habe in der 2003 Domäne, dies ja funktionieren, ohne dass ich diese Tools ausführe, da ja bereits das Schema angepasst worden ist, richtig?

 

Muss dann wohl die Angelegenheit genauer unter die Lupe nehmen...

 

Gruss

Share this post


Link to post

Moin,

 

Hast du schon diese Part 1 Artikel gelesen???!!

Er hat schon geschrieben:

 

Now before we begin there are a few pre-requisites that we need to cover to make sure this work.

 

1. You Active Directory must be running the Windows Server 2003 R2 scheme extensions. But I hear you say “you said that Group Policy Preferences doesn’t need schema changes to work” well yes… this is still true it is not a group policy requirement it is a BitLocker requirement.

 

2. You should install the “BitLocker Drive Encryption Administration Utilities” with Windows Server 2008 R2 or with the RSAT tools for Windows 7 (see image 1.) on at least one computer in your organisation. This computer can then be used to search for and view the recovery keys if you ever need them. This is a new tool with 2008 R2/Windows 7 and makes it MUCH easier to read the recovery keys than back in the 2003 R2/Vista days.

 

image 1

image15.png

 

Am ende Part 1, jemand wieder gefragt:

 

I’m presuming that the line:

 

You Active Directory must be running the Windows Server 2003 R2 scheme extensions.

 

Should read “2008 R2 extensions??”

 

Und er hat geantwortet:

 

No…. 2003 R2 introduced the schema extentions to escrow the Bitlocker Keys in AD…. It had to be 2003 R2 as it was the current server OS when Vista was released. Vista had bitlocker as a feature and without the 2003 R2 extention then you would not have been able to store the recovery key in AD.

mfg

Share this post


Link to post

Hi zusammen,

 

Also Samsam, das wurde schon längst eingerichtet. Es geht nicht um Removable Storage sondern um Laufwerk C:\ Verschlüsselung. Ich blicke bei diesem Thema einfach nicht durch! Zertifikat brauche ich doch NUR für USB Sticks sonst nicht oder? Sonst muss ich dann wohl ne CA hochziehen beim Kunden.. *grins..*

 

Grüsse Bits und thanks für den Link. Bitlocker to Go Link kenne ich. Jedoch die Comments habe ich nicht gelesen....

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...