Jump to content

Auslesen von Bitlocker Recovery Informationen


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Community,

 

ich habe eine Frage bezüglich der Recovery Informationen im Active Directory.

Vorab aber ein paar Informationen:

Wir betreiben eine Domäne mit Windows Server 2008 (nicht R2)

Ich möchte TPM und Recovery Informationen von Win7 Enterprise Clients im Active Directory speichern.

 

Funktioniert soweit!

 

Jetzt zu meinem Problem:

Da der Bitlocker Viewer zum anzeigen von Wiederherstellungsinformationen anscheinend ein R2 Feature ist (verbessert mich wenn ich falsch liege)

habe ich einfach mal im ADSI nach den befüllten Atributen geschaut.

 

Die TPM-Owner informationen sind befüllt und die msFVE-Recovery Informationen auch!

Schaue ich mir jetzt im AD das Computerobjekt (Attribut Editor) an sehe ich allerdings nur die TPM-Owner informationen und keins der Recovery Attribute.

 

1. Frage:

Ist das nur ein Anzeigeproblem?

Bekomme ich die Informationen irgendwie angezeigt?

(Attribut hinzufügen!?)

 

2. Frage:

Bei der Aktivierung von Bitlocker auf dem Client muss ich, egal mit welcher GPO Einstellung, immer den Wiederherstellungsschlüsel als Datei ablegen.

Das will ich aber gar nicht, denn wenn der Schlüssel (Wiederherstellungskennwort) im AD hinterlegt ist reicht mir das doch!

Kann ich das umgehen?

 

Ich hoffe ich habe mich nicht zu kompliziert ausgedrückt und jemand kann mir

auf die Fragen antworten.

 

Danke im Voraus =)

Link zu diesem Kommentar

Antwort 1: Hast du das Schema dahingehend erweitert, damit du eine Bitlocker Unterstützung hast? Ich gehe von nein aus, schau dir bitte folgendes zu diesem Thema an.

 

BitLocker Drive Encryption Configuration Guide: Backing Up BitLocker and TPM Recovery Information to Active Directory

 

Antwort 2: Ja, klar geht das. Wie aktivierst du Bitlocker, per Hand? Per SCCM/MDT/Script? Das Anlegen einer Textdatei mit dem Recovery-Passwort, wird immer gemacht, das sollte auch so sein. Als Ziel-Ordner einen Netzwerk-UNC mit entsprechenden ACLs angeben. Findest du der entsprechenden GPO unter dem Punkt "Choose default folder for recovery password"

 

cheers, Daniel

Link zu diesem Kommentar

Aber wenn ich das richtig lese braucht 2008 keine Schema Erweiterung für Bitlocker! Die Attribute sind ja im Schema vorhanden und werden befüllt.

Ich sehe sie ja mit ADSI, nur im Computerobjekt im AD sehe ich sie nicht.

 

Bitlocker aktiviere ich noch per Hand, soll aber per Enteo realisiert werden.

Die GPO mit der Pfadangabe hab ich konfiguriert, ich dachte nur man kann diesen Schritt umgehen.

 

Das witzige ist das ich das Tool (Den Viewer) nicht installieren kann da eine

Fehlermeldung erscheint das das Update nicht für die Version geeignet ist.

 

Wir haben als DC Server 2008 Enterprise mit SP2, hab ich noch vergessen zu

erwähnen.

 

*edit*

Den Technet Artikel kann ich mittlerweile auswendig =)

Die Beispielscripts laufen auch alle durch, am Client selber kann ich mit

Get-BitLockerRecoveryInfo.vbs auch das Wiederherstellungskennwort auslesen!

bearbeitet von cojahn
Nachtrag
Link zu diesem Kommentar

Hast du auf die richtige Architektur geachtet? Ob du das Update schon installiert hast, siehst du in der Systemsteuerung > Windows Updates > Installierte Updates anzeigen

 

Falls du das Update auch installiert hast, halte dich doch an die Instructions auf der MS Website:

 

Instructions

To start the download, click the Download button at the top of this page and do one of the following:

•Click Open to start the installation immediately.

•Click Save to copy the download to your computer for installation at a later time.

 

Note: Please run “regsvr32.exe BdeAducExt.dll” as an Enterprise Administrator from your Windows system folder the first time this tool is run on the domain. Subsequent use of the tool on the domain will not require regsvr32.exe to be run.

 

Cheers, Daniel

Link zu diesem Kommentar
Note: Please run “regsvr32.exe BdeAducExt.dll” as an Enterprise Administrator from your Windows system folder the first time this tool is run on the domain. Subsequent use of the tool on the domain will not require regsvr32.exe to be run.

 

Das ist doch aber für Vista!

 

Ich möchte den Level gerne etwas anheben...

Wo ich installierte Updates finde weiss ich und ich habe sicherlich schon so ziemlich jeden Artikel gelesen den es im Netz zu finden gibt.

Deshalb wende ich mich ja auch an euch... weil ich definitiv mit meinem Latein

am Ende bin.

 

Ich bekomme den Viewer nicht installiert, und bereits installiert ist es nicht!

Server: Windows Server 2008 Enterprise x64 SP2

 

Und ein Update auf R2 möchte ich eigentlich vermeiden...

Link zu diesem Kommentar
Hast du denn die 64bit Version bei MS runtergeladen?

Man Jarazul... bitte... solche DAU Fehler kannst Du ausschliessen!

 

Ich kann keine Logs erstellen da meine WUSA.EXE auf dem Server den LOG

Schalter nicht unterstützt, das geht erst ab Win7.

 

Gibt es irgendwelche Dienste ausser Windows Update und Windows Modus Installer denen man noch Beachtung schenken sollte?

Ich hab mittlerweile das Gefühl das es an irgendwelchen Einschränkungen liegt.

Link zu diesem Kommentar

Jetzt sei doch nicht gleich angefressen!

 

Wenn ich mich an eine IT Pro Community wende dann aus dem Grund das ich

- Foren durchstöbert

- Technet Artikel gelesen und

- keine Idee mehr hab

 

Wenn ich nicht denken will und das andere für mich tun lassen möchte schreibe ich ins

Computer Bild Forum!

Ich hab ein paar Beiträge höher geschrieben das ich den Level anheben möchte, also

eine tiefere Problemanalyse mit eurer Hilfe angehen möchte ohne die Standardlinks,

die ich in vielen Foren vorher schon besucht habe, abzuarbeiten.

 

Ich befasse mich mit der Thematik zur Zeit Fulltime, beruflich. Und nicht nebenbei für ne

Stunde Zuhause am Testsystem!

 

Hier ein Auszug aus dem CBS.log, der aber auch nichtssagend ist:

2011-09-07 11:34:33, Info CBS Session: 30174529:1506166977 initialized.

2011-09-07 11:34:33, Info CBS Read out cached package applicability for package: BdeAducExt-Package-TopLevel~31bf3856ad364e35~amd64~~6.0.6001.18000, ApplicableState: 0, CurrentState:0

2011-09-07 11:34:33, Info CBS Session: 30174529:1506166977 finalized. Reboot required: no

Link zu diesem Kommentar

Danke für Deine Antwort Necron,

 

auf die Lösung bin ich auch schon gestossen, allerdings hab ich noch ein mal die Schritte

durchgeführt, mit allen zum Download verfügbaren Paketen um auszuschließen das es an der falschen Datei liegt :P

 

Die Dateien werden entpackt, und der pkmgr erzeugt zusätzlich noch eine update.cat.

Danach passiert nichts mehr, und beim Versuch die DLL zu registrieren erscheint die Fehlermeldung das er die DLL nicht finden kann. Sie ist auch tatsächlich nicht auf dem System zu finden.

 

Im Ereignislog finde ich danach unter System - Servicing

Windows-Wartung hat erkannt, dass das Paket 928202(Update) nicht für dieses System geeignet ist.

 

Wenn ich mir die erzeugte xml Datei anschaue sehe ich unter processorArchitecture="amd64"

Jetzt muss ich mal doof fragen...

Unsere Maschine hat einen Intel Prozessor....

Müsste es dann nicht die Prozessor Architektur INTEL64 sein???

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...