Jump to content

Bitlocker mit 2003 und 2K8R2 DC


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi

 

Wieder mal eine Frage. :D Irgendwie steht nur immer was von 2008 R2 oder 2008.

 

Szenario: Ich habe Exchange 2007 mit 2003 DC's. Diese darf ich NICHT anfassen. Noch nicht... Ich habe einen 2008 R2 als zusätzlicher DomainController hinzugefügt (übliches Szenario Adprep undso). Läuft alles sauber. Domain Modus ist Windows 2003 Server.

 

JETZT die eigentliche Frage. Habe heute die GPO eingerichtet auf dem 2008 R2 Server. Die zieht auch. Nur war da kein Recovery Key im AD zu sehen?!

 

Kann das am Domänenmodus liegen? Muss der zwingend R2 (2008) sein? :suspect: Ich finde bis jetzt, noch nichts auf der Technet Seite wo da was steht. :D

 

Werde Euch sonst morgen mal auf dem laufenden halten!

 

Grüsse Bits

Link zu diesem Kommentar

Hi Nils,

 

Das passiert wenn man in mitten der Materie ist. Man schreibt in Gedanken. Sorry..

 

Also, Ziel ist es, die Bitlocker Keys ins Active Directory zu schreiben! Es handelt sich hierbei um eine Windows 2003 Domäne (Gesamtstruktur Modus 2003). Ich habe nun zusätzlich einen Windows Server 2008 R2 als zusätzlichen Domänencontroller hinzugefügt. Die FSMO Rollen sitzen noch auf den 2003'er Server.

 

Ich habe nun im 2K8 R2 eine GPO erstellt auf die OU, wo die Windows 7 Clients sind, die mittels Bitlocker verschlüsselt worden sind.

 

Das interessante nun ist der Punkt, dass ich, wenn ich mit der rechten Mausstaste auf einen Rechner mit Windows 7 im AD drauf klicke, keine Bitlocker Key angezeigt bekomme.

 

Nun meine eigentliche Frage. Damit ich die Bitlocker Recovery Key im AD haben kann, MUSS zwingend die Domain auf Windows Server 2008 sein? Oder reicht ledliglich ein 2008 R2 Server wo man dieses Feature aktiviert? Theoretisch sollte ja die Schemaerweiterungen ja im AD des 2003 sein wegen adprep Befehlen oder??! :suspect:

 

Bei Windows Server 2008 (nicht R2) musste man ja noch Anpassungen am Schema vornehmen (gemäss was ich gelesen habe). Somit gehe ich davon aus, dass bei der Installation im 2008 R2 der Bitlocker Tools dies schon geschehen ist?

 

Es ist ein Wunsch des Kunden dies im AD zu sehen. Jedoch finde ich kein Dokument, das was in Kombination mit Windows Server 2003 was erwähnt?! Sprich in dieser Konstellation. Ich darf die 2003 Server noch nicht migrieren. Muss vorerst so bleiben.

 

Hmm...

 

Grüsse Bits

Link zu diesem Kommentar

Hi Necron,

 

Kurzerhand den ersten Link angeschaut.

 

Wichtig

Unter Windows 2000 Server oder unter der ersten Version von Windows Server 2003 ausgeführte Domänencontroller werden bei der Sicherung von BitLocker- und TPM-Wiederherstellungsinformationen nicht unterstützt.

 

Also darin steht ja auch:

 

Ist dieses Schema Bestandteil von Windows Server 2008?

Ja, das Schema ist Bestandteil von Windows Server 2008. Windows Windows Server 2008 Beta 2 enthält die Objekte, die eine Sicherung aller BitLocker- und TPM-Wiederherstellungsinformationen in Vorabversionen von Windows Vista ermöglichen. Die Schemaaktualisierung für die freigegebene Version von Windows Vista enthält die für Windows Server 2008 Beta 3 geplanten Änderungen.

 

Kann ich die Schemaaktualisierung auf einen Domänencontroller unter Windows Server 2003 anwenden?

 

Microsoft unterstützt BitLocker-Schemaerweiterungen nur unter Windows Server 2003 mit SP1 und höher sowie unter Windows Server 2008. Die erste Version von Windows Server 2003 enthält das Feature für das Vertraulichkeitsflag nicht, über das der Zugriff auf gesicherte Wiederherstellungsinformationen gesperrt wird.

 

Sprich, also sollte, wenn ich einen 2K8 R2 zusätzlicher DC habe in der 2003 Domäne, dies ja funktionieren, ohne dass ich diese Tools ausführe, da ja bereits das Schema angepasst worden ist, richtig?

 

Muss dann wohl die Angelegenheit genauer unter die Lupe nehmen...

 

Gruss

Link zu diesem Kommentar

Moin,

 

Hast du schon diese Part 1 Artikel gelesen???!!

Er hat schon geschrieben:

 

Now before we begin there are a few pre-requisites that we need to cover to make sure this work.

 

1. You Active Directory must be running the Windows Server 2003 R2 scheme extensions. But I hear you say “you said that Group Policy Preferences doesn’t need schema changes to work” well yes… this is still true it is not a group policy requirement it is a BitLocker requirement.

 

2. You should install the “BitLocker Drive Encryption Administration Utilities” with Windows Server 2008 R2 or with the RSAT tools for Windows 7 (see image 1.) on at least one computer in your organisation. This computer can then be used to search for and view the recovery keys if you ever need them. This is a new tool with 2008 R2/Windows 7 and makes it MUCH easier to read the recovery keys than back in the 2003 R2/Vista days.

 

image 1

image15.png

 

Am ende Part 1, jemand wieder gefragt:

 

I’m presuming that the line:

 

You Active Directory must be running the Windows Server 2003 R2 scheme extensions.

 

Should read “2008 R2 extensions??”

 

Und er hat geantwortet:

 

No…. 2003 R2 introduced the schema extentions to escrow the Bitlocker Keys in AD…. It had to be 2003 R2 as it was the current server OS when Vista was released. Vista had bitlocker as a feature and without the 2003 R2 extention then you would not have been able to store the recovery key in AD.

mfg

Link zu diesem Kommentar

Hi zusammen,

 

Also Samsam, das wurde schon längst eingerichtet. Es geht nicht um Removable Storage sondern um Laufwerk C:\ Verschlüsselung. Ich blicke bei diesem Thema einfach nicht durch! Zertifikat brauche ich doch NUR für USB Sticks sonst nicht oder? Sonst muss ich dann wohl ne CA hochziehen beim Kunden.. *grins..*

 

Grüsse Bits und thanks für den Link. Bitlocker to Go Link kenne ich. Jedoch die Comments habe ich nicht gelesen....

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...