Jump to content

BitLocker auf DomainController (2016) aktivieren


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

ist es möglich auf einem Windows Server 2016 der ein Domain Controller / RODC ist BitLocker zu aktivieren?

 

Wir haben hier aktuell das Phänomen, dass auf DC/RODC kein BitLocker funktioniert, in der Systemsteuerung ist der Menüpunkt nicht mehr sichtbar und in der Windows Suche passiert beim Anklicken der BitLocker Verschlüsselung auch nichts mehr.

Bevor der Server hochgestuft wurde, war eine Bitlocker Verschlüsselung möglich. Zum Test hatten wir einen normalen Member Server in die Domain Controller OU verschoben, damit dieser die gleichen GPOs verarbeitet um zu prüfen ob es evtl. an einer GPO liegen könnte, das war leider nicht der Fall.

 

Selbst bei einem Server wo die Platten mit BitLocker schon verschlüsselt waren, war nach der hochstufung auf einen RODC die BitLocker Verschlüsselung wieder deaktiviert. Ist das von MS nicht gewollt, dass DC/RODC BitLocker nutzen, ich habe dazu bisher nichts gefunden?

 

Gruß


Andreas

 

Link zu diesem Kommentar

Moin,

 

eigene Erfahrung habe ich damit nicht, aber da dieses Dokument Bitlocker auf physischen DCs empfiehlt, scheint es mir zumindest keinen generellen Ausschluss zu geben. (Oder anders gesagt: ein bedauerlicher Einzelfall - oder noch anders: vermutlich lohnt es, weiter nach dem Problem auf der Maschine zu forschen.)

 

[Securing Domain Controllers Against Attack | Microsoft Docs]
https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/securing-domain-controllers-against-attack 
 

Gruß, Nils

 

Link zu diesem Kommentar

Wir haben denke ich eigentlich nicht sonderlich spezielle BitLocker Einstellungen außer das der Wiederherstellungs-Key im AD abgespeichert wird, anbei mal ein Auszug aus den GPO Einstellungen.

 

Was mich wie gesagt wundert ist, dass wenn ich einen Server habe, dieser nur normaler AD Member ist, aber sich auch in der gleichen OU wie die Domain Controller befindet und genau dieselben GPOs anwendet wie die aktuellen Domain Controller, kann ich BitLocker auf diesen Server nutzen. Stufe ich diesen Server nun hoch, ist BitLocker nicht mehr möglich.

 

P.S. Nachdem ich den Server hochgestuft hatte und gleich nach der Anmeldung in der Windows Suche BitLocker eingegeben habe, hat er mir noch die BitLocker-Laufwerkverschlüsselung angezeigt, dieser Link hat auch noch funktioniert und ich könnte da theoretisch BitLocker starten. Als angepinntes Fenster komme ich dort noch rein, aber in der Systemsteuerung ist es nicht mehr sichtbar und über die Suche wird mir nur noch BitLocker Verwalten angezeigt, was beim Anklicken nicht reagiert.

 

Gruß,

Andreas

ADS_BitLocker.PNG

bearbeitet von Attack44
Link zu diesem Kommentar

Ich habe jetzt z.B. alle BitLocker GPO-Einstellungen die wir hatten auf Nicht konfiguriert zurückgesetzt, leider hat sich an dem Problem nichts geändert, normale Member können BitLocker nutzen und DC/RODC können dies nicht. Es handelt sich hierbei um physische DC mit aktiven TPM-Chip, die TPM-Verwaltung in Windows sagt mir auch, dass TPM einsatzbereit wäre.

 

Wenn ich BitLocker über die PowerShell aktivieren möchte, erscheint folgende Meldung:

Set-BitLockerVolumeInternal : Das angegebene Laufwerk unterstützt keine hardwarebasierte Verschlüsselung. (Ausnahme von HRESULT: 0x803100B2)

 

Gruß,

Andreas

Link zu diesem Kommentar

Hardwarebasierte Verschlüsselung ist ein Feature eines physikalischen Datenträgers (meist werden die mit dem Zusatz SED - Self Encyrpting Device gekennzeichnet), wenn das der Datenträger nicht unterstützt, aber bei der Bitlocker Konfiguration als Vorraussetzung angegeben wird, ist klar warum es nicht will ........ Bitlocker ist eben eine Verschlüsselung auf Softwarebasis, kann aber durchaus auch SED Hardware verwenden.

 

Grüsse

 

Gulp

bearbeitet von Gulp
falsches Klammerende
Link zu diesem Kommentar
vor 3 Minuten schrieb Gulp:

Hardwarebasierte Verschlüsselung ist ein Feature eines physikalischen Datenträgers (meist werden die mit dem Zusatz SED - Self Encyrpting Device gekennzeichnet), wenn das der Datenträger nicht unterstützt, aber bei der Bitlocker Konfiguration als Vorraussetzung angegeben wird, ist klar warum es nicht will ........ Bitlocker ist eben eine Verschlüsselung auf Softwarebasis, kann aber durchaus auch SED Hardware verwenden.

 

Grüsse

 

Gulp


Es ist schon richtig was Du sagst, wenn ich aber den Domain Controller der die oben zitierte Meldung ausgibt wieder runterstufe funktioniert die Bitlocker-Verschlüsselung wieder (gleiche OU, GPOs und BitLocker-Einstellungen). Und das kann ich mir nicht erklären.

 

Gruß,

Andreas

Link zu diesem Kommentar

Was zunächst recht klar darauf hindeutet, dass da eine Richtlinie für DC aktiv wird, die die hardwarebasierte Verschlüsselung für Bitlocker vorraussetzt .......

 

Gleiche GPO geht ja nicht, da DC's immer per Default eine eigene GPO haben, die normale Server eben nicht haben:

Default Domain Controllers Policy

 

 

Grüsse

 

Gulp

bearbeitet von Gulp
Ergänzung
Link zu diesem Kommentar
vor 6 Minuten schrieb Gulp:

Was zunächst recht klar darauf hindeutet, dass da eine Richtlinie für DC aktiv wird, die die hardwarebasierte Verschlüsselung für Bitlocker vorraussetzt .......

 

Gleiche GPO geht ja nicht, da DC's immer per Default eine eigene GPO haben, die normale Server eben nicht haben:

Default Domain Controllers Policy

 

 

Grüsse

 

Gulp

Richtig, ich habe besagtem Server aber auch die Default Domain Controllers Policy zugewiesen, auch wenn er kein DC ist. Er ist ja wie gesagt in der gleichen OU wie die restlichen DC und bei den GPOs existiert auch keine sonstige Filterung. Der Server Verarbeitung die gleichen GPOs wie auch die aktiven DC.

 

Gruß,

Andreas

Link zu diesem Kommentar

Ich für meinen Teil bin mit der Default Domain Controllers Policy sehr vorsichtig und ändere da nie etwas drin, ebenso wie in der Default Domain Policy (einzige Ausnahme dort wären die Kennwort Richtlinien) .....

 

Per Default gibt es dort keinerlei Bitlocker Konfiguration, das kann ich bei mir auch entsprechend an einer recht frischen DC Installation nachvollziehen und was soll ich sagen, ich für meinen Teil kann auf den DC's alles konfigurieren was ich von Bitlocker will ...... das lässt an der Stelle jetzt leider aus meiner Sicht nur recht wenig Spielraum zum Bewerten der Situation aus der Ferne und führt mich eben zu meinen Vermutungen.

 

Grüsse

 

Gulp

 

 

Link zu diesem Kommentar

In den Default GPOs haben wir auch nicht viel drin stehen/verändert. Die BitLocker Einstellungen sind eine separate GPO, ich wollte nur bestimmte Dinge ausschließen, deshalb habe ich ein normale Member Server in der Domain Controller OU um ausschließen das nicht doch eine andere GPO dazwischen schießt.

 

Wenn ich auf dem DC gleich nach der Anmeldung in der Windows Suche BitLocker eingebe, komme ich in die BitLocker-Laufwerksverschlüsselung und ich kann daraus das Laufwerk verschlüsseln und das ohne Probleme.

Nur in der Systemsteuerung ist es nicht zu finden und das ist auch genau der Server, der oben die Fehlermeldung ausgespuckt hat.

Gruß,

Andreas

Link zu diesem Kommentar

Bitlocker Feature ist aber installiert?

 

Ich kenne sowas ähnliches nur wenn man in den Windows Einstellunge sucht, und "Bitlocker verwalten" zwar vorgeschlagen, aber eben nicht ausgeführt wird und man halt das Feature nicht installiert hat. Das ist dann aber auch egal ob das ein DC oder Member Server ist, das schaut dann bei beiden gleich aus ......

 

Grüsse

 

Gulp

bearbeitet von Gulp
Link zu diesem Kommentar
vor 7 Minuten schrieb Gulp:

Bitlocker Feature ist aber installiert?

 

Ich kenne sowas ähnliches nur wenn man in den Windows Einstellunge sucht, und "Bitlocker verwalten" zwar vorgeschlagen, aber eben nicht ausgeführt wird und man halt das Feature nicht installiert hat. Das ist dann aber auch egal ob das ein DC oder Member Server ist, das schaut dann bei beiden gleich aus ......

 

Grüsse

 

Gulp

 

Ja, dass Bitlocker Feature ist installiert und über Umwege gelange ich auch manchmal wie gesagt in die BitLocker Verwaltung und kann die Platte verschlüsseln.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...