cojahn 10 Geschrieben 6. September 2011 Melden Teilen Geschrieben 6. September 2011 Hallo Community, ich habe eine Frage bezüglich der Recovery Informationen im Active Directory. Vorab aber ein paar Informationen: Wir betreiben eine Domäne mit Windows Server 2008 (nicht R2) Ich möchte TPM und Recovery Informationen von Win7 Enterprise Clients im Active Directory speichern. Funktioniert soweit! Jetzt zu meinem Problem: Da der Bitlocker Viewer zum anzeigen von Wiederherstellungsinformationen anscheinend ein R2 Feature ist (verbessert mich wenn ich falsch liege) habe ich einfach mal im ADSI nach den befüllten Atributen geschaut. Die TPM-Owner informationen sind befüllt und die msFVE-Recovery Informationen auch! Schaue ich mir jetzt im AD das Computerobjekt (Attribut Editor) an sehe ich allerdings nur die TPM-Owner informationen und keins der Recovery Attribute. 1. Frage: Ist das nur ein Anzeigeproblem? Bekomme ich die Informationen irgendwie angezeigt? (Attribut hinzufügen!?) 2. Frage: Bei der Aktivierung von Bitlocker auf dem Client muss ich, egal mit welcher GPO Einstellung, immer den Wiederherstellungsschlüsel als Datei ablegen. Das will ich aber gar nicht, denn wenn der Schlüssel (Wiederherstellungskennwort) im AD hinterlegt ist reicht mir das doch! Kann ich das umgehen? Ich hoffe ich habe mich nicht zu kompliziert ausgedrückt und jemand kann mir auf die Fragen antworten. Danke im Voraus =) Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 6. September 2011 Melden Teilen Geschrieben 6. September 2011 Antwort 1: Hast du das Schema dahingehend erweitert, damit du eine Bitlocker Unterstützung hast? Ich gehe von nein aus, schau dir bitte folgendes zu diesem Thema an. BitLocker Drive Encryption Configuration Guide: Backing Up BitLocker and TPM Recovery Information to Active Directory Antwort 2: Ja, klar geht das. Wie aktivierst du Bitlocker, per Hand? Per SCCM/MDT/Script? Das Anlegen einer Textdatei mit dem Recovery-Passwort, wird immer gemacht, das sollte auch so sein. Als Ziel-Ordner einen Netzwerk-UNC mit entsprechenden ACLs angeben. Findest du der entsprechenden GPO unter dem Punkt "Choose default folder for recovery password" cheers, Daniel Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 6. September 2011 Melden Teilen Geschrieben 6. September 2011 Hi, hier für Windows Server 2008 und Vista, die Downloadlinks: Search results - Microsoft Download Center Zitieren Link zu diesem Kommentar
cojahn 10 Geschrieben 6. September 2011 Autor Melden Teilen Geschrieben 6. September 2011 (bearbeitet) Aber wenn ich das richtig lese braucht 2008 keine Schema Erweiterung für Bitlocker! Die Attribute sind ja im Schema vorhanden und werden befüllt. Ich sehe sie ja mit ADSI, nur im Computerobjekt im AD sehe ich sie nicht. Bitlocker aktiviere ich noch per Hand, soll aber per Enteo realisiert werden. Die GPO mit der Pfadangabe hab ich konfiguriert, ich dachte nur man kann diesen Schritt umgehen. Das witzige ist das ich das Tool (Den Viewer) nicht installieren kann da eine Fehlermeldung erscheint das das Update nicht für die Version geeignet ist. Wir haben als DC Server 2008 Enterprise mit SP2, hab ich noch vergessen zu erwähnen. *edit* Den Technet Artikel kann ich mittlerweile auswendig =) Die Beispielscripts laufen auch alle durch, am Client selber kann ich mit Get-BitLockerRecoveryInfo.vbs auch das Wiederherstellungskennwort auslesen! bearbeitet 6. September 2011 von cojahn Nachtrag Zitieren Link zu diesem Kommentar
NilsK 2.922 Geschrieben 6. September 2011 Melden Teilen Geschrieben 6. September 2011 Moin, eine Erweiterung der Anzeige in den Standard-Tools erfolgt bei Schema-Updates nicht. Mir ist nicht bekannt, ob es für Bitlocker zusätzliche DLLs gibt, die die Informationen im ADUC einblenden, aber es würde mich nicht wundern, wenn es keine gibt. Gruß, Nils Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 6. September 2011 Melden Teilen Geschrieben 6. September 2011 Das witzige ist das ich das Tool (Den Viewer) nicht installieren kann da eine Fehlermeldung erscheint das das Update nicht für die Version geeignet ist. Wir haben als DC Server 2008 Enterprise mit SP2, hab ich noch vergessen zu erwähnen. In meinem Link sind die Versionen auch für das SP2 enthalten! Zitieren Link zu diesem Kommentar
cojahn 10 Geschrieben 7. September 2011 Autor Melden Teilen Geschrieben 7. September 2011 Guten Morgen Necron, das hab ich gesehen, allerdings erscheint folgende Fehlermeldung. Was ja eigentlich so viel heisst wie: Ist schon installiert!? Jetzt verstehe ich gar nichts mehr... Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 7. September 2011 Melden Teilen Geschrieben 7. September 2011 Hast du auf die richtige Architektur geachtet? Ob du das Update schon installiert hast, siehst du in der Systemsteuerung > Windows Updates > Installierte Updates anzeigen Falls du das Update auch installiert hast, halte dich doch an die Instructions auf der MS Website: Instructions To start the download, click the Download button at the top of this page and do one of the following: •Click Open to start the installation immediately. •Click Save to copy the download to your computer for installation at a later time. Note: Please run “regsvr32.exe BdeAducExt.dll” as an Enterprise Administrator from your Windows system folder the first time this tool is run on the domain. Subsequent use of the tool on the domain will not require regsvr32.exe to be run. Cheers, Daniel Zitieren Link zu diesem Kommentar
cojahn 10 Geschrieben 7. September 2011 Autor Melden Teilen Geschrieben 7. September 2011 Note: Please run “regsvr32.exe BdeAducExt.dll” as an Enterprise Administrator from your Windows system folder the first time this tool is run on the domain. Subsequent use of the tool on the domain will not require regsvr32.exe to be run. Das ist doch aber für Vista! Ich möchte den Level gerne etwas anheben... Wo ich installierte Updates finde weiss ich und ich habe sicherlich schon so ziemlich jeden Artikel gelesen den es im Netz zu finden gibt. Deshalb wende ich mich ja auch an euch... weil ich definitiv mit meinem Latein am Ende bin. Ich bekomme den Viewer nicht installiert, und bereits installiert ist es nicht! Server: Windows Server 2008 Enterprise x64 SP2 Und ein Update auf R2 möchte ich eigentlich vermeiden... Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 7. September 2011 Melden Teilen Geschrieben 7. September 2011 Nein, in jedem der drei Links auf der MS Website steht for Windows Vista- or Windows Server 2008 Hast du denn die 64bit Version bei MS runtergeladen? Wenn ja, starte das Update mit Logfile bei der Installation und poste das Ergebnis hier. cheers, Daniel Zitieren Link zu diesem Kommentar
cojahn 10 Geschrieben 7. September 2011 Autor Melden Teilen Geschrieben 7. September 2011 Hast du denn die 64bit Version bei MS runtergeladen? Man Jarazul... bitte... solche DAU Fehler kannst Du ausschliessen! Ich kann keine Logs erstellen da meine WUSA.EXE auf dem Server den LOG Schalter nicht unterstützt, das geht erst ab Win7. Gibt es irgendwelche Dienste ausser Windows Update und Windows Modus Installer denen man noch Beachtung schenken sollte? Ich hab mittlerweile das Gefühl das es an irgendwelchen Einschränkungen liegt. Zitieren Link zu diesem Kommentar
jarazul 10 Geschrieben 7. September 2011 Melden Teilen Geschrieben 7. September 2011 Wenn du ausschließt zu überprüfen, dass ein Flüchtigkeitsfehler aufgetreten ist, dann schließe ich für mich aus, dir weiter zu helfen. cheers, Daniel Zitieren Link zu diesem Kommentar
cojahn 10 Geschrieben 7. September 2011 Autor Melden Teilen Geschrieben 7. September 2011 Jetzt sei doch nicht gleich angefressen! Wenn ich mich an eine IT Pro Community wende dann aus dem Grund das ich - Foren durchstöbert - Technet Artikel gelesen und - keine Idee mehr hab Wenn ich nicht denken will und das andere für mich tun lassen möchte schreibe ich ins Computer Bild Forum! Ich hab ein paar Beiträge höher geschrieben das ich den Level anheben möchte, also eine tiefere Problemanalyse mit eurer Hilfe angehen möchte ohne die Standardlinks, die ich in vielen Foren vorher schon besucht habe, abzuarbeiten. Ich befasse mich mit der Thematik zur Zeit Fulltime, beruflich. Und nicht nebenbei für ne Stunde Zuhause am Testsystem! Hier ein Auszug aus dem CBS.log, der aber auch nichtssagend ist: 2011-09-07 11:34:33, Info CBS Session: 30174529:1506166977 initialized.2011-09-07 11:34:33, Info CBS Read out cached package applicability for package: BdeAducExt-Package-TopLevel~31bf3856ad364e35~amd64~~6.0.6001.18000, ApplicableState: 0, CurrentState:0 2011-09-07 11:34:33, Info CBS Session: 30174529:1506166977 finalized. Reboot required: no Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 7. September 2011 Melden Teilen Geschrieben 7. September 2011 Wegen deinem Installationsproblem, schau dir bitte den folgenden Link an: Unable to install BitLocker Recovery Password Viewer for Active Directory Users and Computers tool (KB928202) on Windows 2008/Vista SP2 | risual support blog Zitieren Link zu diesem Kommentar
cojahn 10 Geschrieben 8. September 2011 Autor Melden Teilen Geschrieben 8. September 2011 Danke für Deine Antwort Necron, auf die Lösung bin ich auch schon gestossen, allerdings hab ich noch ein mal die Schritte durchgeführt, mit allen zum Download verfügbaren Paketen um auszuschließen das es an der falschen Datei liegt :P Die Dateien werden entpackt, und der pkmgr erzeugt zusätzlich noch eine update.cat. Danach passiert nichts mehr, und beim Versuch die DLL zu registrieren erscheint die Fehlermeldung das er die DLL nicht finden kann. Sie ist auch tatsächlich nicht auf dem System zu finden. Im Ereignislog finde ich danach unter System - Servicing Windows-Wartung hat erkannt, dass das Paket 928202(Update) nicht für dieses System geeignet ist. Wenn ich mir die erzeugte xml Datei anschaue sehe ich unter processorArchitecture="amd64" Jetzt muss ich mal doof fragen... Unsere Maschine hat einen Intel Prozessor.... Müsste es dann nicht die Prozessor Architektur INTEL64 sein??? Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.