cardisch
Apr 01, 2022
view5649
view6
0
Goto Top

Ehemaliger Domänenclient will Bitlocker nicht mehr aktivieren

GermansolvedQuestionSecurity ToolsSecurity
Hallo@all,

ich musste einen Client, der nicht mehr in unserer Domäne arbeiten wird, allerdings auf einer SCCM-Domäneninstallation beruht, in eine Arbeitsgruppe bringen.
Da ich Probleme (gelöst) mit den Windows Upgrades hatte, habe ich "temporär" Bitlocker deaktiviert, zu diesem Zeitpunkt war der PC schon in der Arbeitsgruppe.
Jetzt wollte ich BL wieder aktivieren, bekomme jedoch Fehlermeldungen:
FEHLER: Ein Fehler ist aufgetreten (Code 0x8031002c):
Für die Gruppenrichtlinieneinstellungen muss vor dem Verschlüsseln des Laufwerks ein Wiederherstellungskennwort angegeben werden.

Unsere Installationen werden standardmäßig BL-verschlüsselt, Key im AD gespeichert. Auf diesen habe ich auch Zugriff.

Laut GPEdit ist bei diesem PC nicht eine Bitlocker-relevante GPO noch aktiv, habe dennoch mal die "BL-Wiederherstellungsinformation im AD speichern" Option aktiviert.
Habe schon TPM gelöscht, sowohl im BIOS als auch unter Windows, keine Besserung.
Auch ein Versuch den alten Key oder einen neuen einzutrommeln funktioniert nicht (mehr)..

Hat noch jemand einen guten Tipp für mich?

Danke und Gruß,

Carsten
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 2367925404

Url: https://administrator.de/contentid/2367925404

Printed on: May 3, 2024 at 00:05 o'clock

6 Comments
Latest comment
Goto Top
Member: DerWoWusste
DerWoWusste Apr 01, 2022 at 07:39:33 (UTC)
Goto Top
Hi.

Öffne eine elevated shell und dort
manage-bde -on c: -used -s -rp
Was für eine Meldung kommt da?
Member: cardisch
cardisch Apr 01, 2022 at 07:43:35 (UTC)
Goto Top
Hi DWW:

PS C:\WINDOWS\system32> manage-bde -on c: -used -s -rp
BitLocker-Laufwerkverschlüsselung: Konfigurationstool, Version 10.0.19041
Copyright (C) 2013 Microsoft Corporation. Alle Rechte vorbehalten.

Volume "C:" [Laufwerk C]  
[Betriebssystemvolume]
Hinzugefügte Schlüsselschutzvorrichtungen:

    Numerisches Kennwort:
      ID: {B35D5A98-9577-4C79-92AF-9379954FA0C3}
      Kennwort:
       hab ich gelöscht

FEHLER: Ein Fehler ist aufgetreten (Code 0x8031000a):
Die Gesamtstruktur der Active Directory-Domänendienste enthält nicht die erforderlichen Attribute und Klassen, um BitLocker-Laufwerkverschlüsselung oder TPM (Trusted Platform Module)-Informationen  zu hosten. Wenden Sie sich an den Domänenadministrator, um zu überprüfen, ob alle erforderlichen Active Directory-Schemaerweiterungen für BitLocker installiert wurden.

HINWEIS: Wenn es nicht möglich war, über den Parameter "-on" Schlüsselschutzvorrichtungen hinzuzufügen oder die Verschlüsselung zu starten,  
müssen Sie möglicherweise "manage-bde -off" aufrufen, bevor Sie "-on" erneut versuchen.  
PS C:\WINDOWS\system32>

Einmal ein-, dann ausschalten bringt auch nichts...
Member: DerWoWusste
DerWoWusste Apr 01, 2022 at 07:53:59 (UTC)
Goto Top
Und, was sagst Du zu deiner Verteidigung? face-wink Stimmt der Fehler nicht, ist das Schema erweitert, kann man auf anderen Domänenclients RecKeys ins AD speichern?
Member: DerWoWusste
Solution DerWoWusste Apr 01, 2022 at 09:12:43 (UTC)
Goto Top
Entschuldige bitte, du schriebst ja, dasser mittlwerweile keinen Domänenzugang mehr hat.
Dann sollte es reichen, unter HKLM\software\policies den Zweig FVE zu löschen (vorher exportieren).
Member: cardisch
cardisch Apr 01, 2022 at 10:58:57 (UTC)
Goto Top
@dww.

Du hast nicht nur ein tierisches Konterfei, du bist auch eines face-wink
FVF löschen war die Lösung.

Vielen Dank

Carsten
Member: DerWoWusste
DerWoWusste Apr 01, 2022 at 11:43:50 (UTC)
Goto Top
Logo, gerne.
GermansolvedQuestionSecurity ToolsSecurity
Hotly discussed
DaniEnd of availability for classic Teams clientDani - 2 CommentsFrankUbuntu 24.04 LTS Noble Numbat availableFrankadmtechDeveloper diary: Release 6.1admtech