bits 10 Geschrieben 7. Dezember 2010 Melden Teilen Geschrieben 7. Dezember 2010 Hi Wieder mal eine Frage. :D Irgendwie steht nur immer was von 2008 R2 oder 2008. Szenario: Ich habe Exchange 2007 mit 2003 DC's. Diese darf ich NICHT anfassen. Noch nicht... Ich habe einen 2008 R2 als zusätzlicher DomainController hinzugefügt (übliches Szenario Adprep undso). Läuft alles sauber. Domain Modus ist Windows 2003 Server. JETZT die eigentliche Frage. Habe heute die GPO eingerichtet auf dem 2008 R2 Server. Die zieht auch. Nur war da kein Recovery Key im AD zu sehen?! Kann das am Domänenmodus liegen? Muss der zwingend R2 (2008) sein? :suspect: Ich finde bis jetzt, noch nichts auf der Technet Seite wo da was steht. :D Werde Euch sonst morgen mal auf dem laufenden halten! Grüsse Bits Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 12. Dezember 2010 Autor Melden Teilen Geschrieben 12. Dezember 2010 Hi zusammen, Keiner ein Tip? Ich fand noch nix... Grüsse Bits Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 12. Dezember 2010 Melden Teilen Geschrieben 12. Dezember 2010 Moin, vielleicht könntest du erst einmal angeben, wovon du überhaupt redest. Es geht irgendwie um Bitlocker und um irgendein GPO. Mehr kann ich bislang aus deinem Posting nicht entnehmen. Bitte Fragen so stellen, dass man sie beantworten kann. Gruß, Nils Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 13. Dezember 2010 Autor Melden Teilen Geschrieben 13. Dezember 2010 Hi Nils, Das passiert wenn man in mitten der Materie ist. Man schreibt in Gedanken. Sorry.. Also, Ziel ist es, die Bitlocker Keys ins Active Directory zu schreiben! Es handelt sich hierbei um eine Windows 2003 Domäne (Gesamtstruktur Modus 2003). Ich habe nun zusätzlich einen Windows Server 2008 R2 als zusätzlichen Domänencontroller hinzugefügt. Die FSMO Rollen sitzen noch auf den 2003'er Server. Ich habe nun im 2K8 R2 eine GPO erstellt auf die OU, wo die Windows 7 Clients sind, die mittels Bitlocker verschlüsselt worden sind. Das interessante nun ist der Punkt, dass ich, wenn ich mit der rechten Mausstaste auf einen Rechner mit Windows 7 im AD drauf klicke, keine Bitlocker Key angezeigt bekomme. Nun meine eigentliche Frage. Damit ich die Bitlocker Recovery Key im AD haben kann, MUSS zwingend die Domain auf Windows Server 2008 sein? Oder reicht ledliglich ein 2008 R2 Server wo man dieses Feature aktiviert? Theoretisch sollte ja die Schemaerweiterungen ja im AD des 2003 sein wegen adprep Befehlen oder??! :suspect: Bei Windows Server 2008 (nicht R2) musste man ja noch Anpassungen am Schema vornehmen (gemäss was ich gelesen habe). Somit gehe ich davon aus, dass bei der Installation im 2008 R2 der Bitlocker Tools dies schon geschehen ist? Es ist ein Wunsch des Kunden dies im AD zu sehen. Jedoch finde ich kein Dokument, das was in Kombination mit Windows Server 2003 was erwähnt?! Sprich in dieser Konstellation. Ich darf die 2003 Server noch nicht migrieren. Muss vorerst so bleiben. Hmm... Grüsse Bits Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 13. Dezember 2010 Melden Teilen Geschrieben 13. Dezember 2010 Hi, schau dir bitte folgende Links an: -> BitLocker-Wiederherstellungskennwort-Viewer für Active Directory (Übersicht) -> Wie Sie die BitLocker Recovery Password-Viewer für Tool Active Directory-Benutzer und-Computer verwenden, um die Wiederherstellungskennwörter für Windows Vista anzeigen -> Konfigurieren von Active Directory für die Sicherung der Wiederherstellungsinformationen für die Windows BitLocker-Laufwerkverschlüsselung und TPM (Trusted Platform Module) Zitieren Link zu diesem Kommentar
samsam 14 Geschrieben 14. Dezember 2010 Melden Teilen Geschrieben 14. Dezember 2010 Moin bits, Guck mal diese 2-teile Artikel: How to use Group Policy to save “BitLocker to Go” recovery keys in Active Directory – Part 1 How to configure Group Policy to use Data Recovery Agents with “Bitlocker to Go” drives – Part 2 mfg Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 14. Dezember 2010 Autor Melden Teilen Geschrieben 14. Dezember 2010 Hi Necron, Kurzerhand den ersten Link angeschaut. Wichtig Unter Windows 2000 Server oder unter der ersten Version von Windows Server 2003 ausgeführte Domänencontroller werden bei der Sicherung von BitLocker- und TPM-Wiederherstellungsinformationen nicht unterstützt. Also darin steht ja auch: Ist dieses Schema Bestandteil von Windows Server 2008?Ja, das Schema ist Bestandteil von Windows Server 2008. Windows Windows Server 2008 Beta 2 enthält die Objekte, die eine Sicherung aller BitLocker- und TPM-Wiederherstellungsinformationen in Vorabversionen von Windows Vista ermöglichen. Die Schemaaktualisierung für die freigegebene Version von Windows Vista enthält die für Windows Server 2008 Beta 3 geplanten Änderungen. Kann ich die Schemaaktualisierung auf einen Domänencontroller unter Windows Server 2003 anwenden? Microsoft unterstützt BitLocker-Schemaerweiterungen nur unter Windows Server 2003 mit SP1 und höher sowie unter Windows Server 2008. Die erste Version von Windows Server 2003 enthält das Feature für das Vertraulichkeitsflag nicht, über das der Zugriff auf gesicherte Wiederherstellungsinformationen gesperrt wird. Sprich, also sollte, wenn ich einen 2K8 R2 zusätzlicher DC habe in der 2003 Domäne, dies ja funktionieren, ohne dass ich diese Tools ausführe, da ja bereits das Schema angepasst worden ist, richtig? Muss dann wohl die Angelegenheit genauer unter die Lupe nehmen... Gruss Zitieren Link zu diesem Kommentar
samsam 14 Geschrieben 15. Dezember 2010 Melden Teilen Geschrieben 15. Dezember 2010 Moin, Hast du schon diese Part 1 Artikel gelesen???!! Er hat schon geschrieben: Now before we begin there are a few pre-requisites that we need to cover to make sure this work. 1. You Active Directory must be running the Windows Server 2003 R2 scheme extensions. But I hear you say “you said that Group Policy Preferences doesn’t need schema changes to work” well yes… this is still true it is not a group policy requirement it is a BitLocker requirement. 2. You should install the “BitLocker Drive Encryption Administration Utilities” with Windows Server 2008 R2 or with the RSAT tools for Windows 7 (see image 1.) on at least one computer in your organisation. This computer can then be used to search for and view the recovery keys if you ever need them. This is a new tool with 2008 R2/Windows 7 and makes it MUCH easier to read the recovery keys than back in the 2003 R2/Vista days. image 1 Am ende Part 1, jemand wieder gefragt: I’m presuming that the line: You Active Directory must be running the Windows Server 2003 R2 scheme extensions. Should read “2008 R2 extensions??” Und er hat geantwortet: No…. 2003 R2 introduced the schema extentions to escrow the Bitlocker Keys in AD…. It had to be 2003 R2 as it was the current server OS when Vista was released. Vista had bitlocker as a feature and without the 2003 R2 extention then you would not have been able to store the recovery key in AD. mfg Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 15. Dezember 2010 Melden Teilen Geschrieben 15. Dezember 2010 Das mit den Tools stand übrigens auch in meinen Links. ;) Zitieren Link zu diesem Kommentar
bits 10 Geschrieben 15. Dezember 2010 Autor Melden Teilen Geschrieben 15. Dezember 2010 Hi zusammen, Also Samsam, das wurde schon längst eingerichtet. Es geht nicht um Removable Storage sondern um Laufwerk C:\ Verschlüsselung. Ich blicke bei diesem Thema einfach nicht durch! Zertifikat brauche ich doch NUR für USB Sticks sonst nicht oder? Sonst muss ich dann wohl ne CA hochziehen beim Kunden.. *grins..* Grüsse Bits und thanks für den Link. Bitlocker to Go Link kenne ich. Jedoch die Comments habe ich nicht gelesen.... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.