SCCM Tasksequenz - Deployment schreibt bitlocker key nicht ins AD

[4zap 17]

Hi

 

folgendes Szenario: Azure AD - hybrid mit zwei onprem DC's an den lokalen Standorten, verteilt quer über die ganze Welt. Ich deploye Windows10 über den SCCM und mehrere CDP's auf meine Clients direkt übers Netzwerk. Intern im corp Netzwerk funktioniert das Ablegen des BL Keys im AD problemlos, auch sonst keine Fehler im Intranet beim Deployment. Die beiden onprem sind per s2s VPN mit dem Azure verbunden und somit Teil der Corp.

Ingesamt hab ich im Azure mehrere DC's am verschiendenen Standorten(wegen Georenundanz)

 

Jetzt habe ich eine Tasksequenz mit einem USB Stick erstellt für Standorte ohne direkte Azure Anbindung. Der SCCM steht im Azure Amsterdam. Deploye ich von Stick funktioniert der Domain Join am DC und das Computerkonto wird im AD erstellt. Dann verschlüsselt die Tasksequenz die Festplatten und ich warte darauf das der Bitlocker Key im AD Container landet. Das tut er aber nicht. (Management Gateway und Cloud Deployment Point wurden vorab erstellt)

 

Ich hab den DNS im Azure in Verdacht. Beim nslookup sehe ich alle Azure DCs als DNS Server in der Liste, alle Abfragen zur corp funktionieren fehlerfrei. Der DNS macht aber round-robin, d. h. ich vermute der Domain join wird bei einem anderen DC reingeschrieben und bei der nächsten Suche nach meiner corp. erscheint ein anderer DC bei dem das Computerkonto noch nicht repliziert wurde und er den KEy deshalb nicht ablegen kann. Aber eigentlich werden neue Objekte ja auch innerhalb von Azure direkt repliziert..... daher ist mir der Fehler nicht ganz klar. Könnte das evtl. ein Berechtigungsproblem sein? Bevor ich jetzt einen Case beim Support aufmache frag ich erstmal euch. :) Vielleicht habt ihr ja noch eine Idee.

 

viele Grüße

Ich Oberheld.... die Schemaerweiterung für den Bitlocker Key hab ich nur auf zwei DCs installiert. Ich vervollständige mal meine DCs und dann schau ich mal was passiert. Werde berichten.