MDT / TPM / BitLocker problemen

dinsdag 21 juni 2016 18:56

Volgens mij moet de machine al wel lid zijn van het domain of de Bitlocker info weg te kunnen schrijven. Er moet voor zover ik weet dus al een computer object zijn voordat Bitlocker aan het werk gaat.

Verder kan het zijn dat je enkele van de stappen in onderstaand document nog moet doorlopen.

Schema extention zal niet nodig zijn wanneer je al op 2008 R2 of hoger zit, maar ik moest bijv. bij ons wel de stappen doorlopen vanaf "Set the Required permission for backing up TPM Password information"

https://technet.microsoft...ry/dd875529(v=ws.10).aspx

Acties:

woensdag 22 juni 2016 09:05

Topicstarter

Hi Dinnism,

Net even een deploy zonder enig AD er in verworven, same result...

Overigens intussen ook het zelfde al geprobeerd met 'AHCI' ipv. 'IntelRST', ook geen beter resultaat.

Iemand anders nog ideeën?

Alvorens thx

Acties:

woensdag 22 juni 2016 12:46

Moderator SSC/WOS

F7 - Nee - Ja

michaelbar schreef op dinsdag 21 juni 2016 @ 18:14:
Misschien een stomme vraag, maar kan iemand mij het verschil tussen TPM en BitLocker vertellen?

TPM is een "Trusted Platform Module", een stukje hardware in een werkplek waar security informatie weggeschreven kan worden. Bitlocker (een diskencryptie techniek) kan een TPM gebruiken om de encryptiekeys op te slaan. Dit zorgt ervoor dat een met bitlocker encrypted drive "automatisch" unlocked kan worden.

A Trusted Platform Module (TPM) is a microchip that is built into a computer. It is used to store cryptographic information, such as encryption keys. Information stored on the TPM can be more secure from external software attacks and physical theft.

BitLocker uses the TPM to help protect the Windows operating system and user data and helps to ensure that a computer is not tampered with, even if it is left unattended, lost, or stolen.

BitLocker can also be used without a TPM. To use BitLocker on a computer without a TPM, you must change the default behavior of the BitLocker setup wizard by using Group Policy, or configure BitLocker by using a script. When BitLocker is used without a TPM, the required encryption keys are stored on a USB flash drive that must be presented to unlock the data stored on a volume.

http://windows.microsoft....drive-encryption-overview

TPM is overigens wel enabled in het systeem?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Acties:

woensdag 22 juni 2016 15:16

Topicstarter

Hi 'Question Mark',

Zojuist extra screenie toegevoegd, je ziet daarom hoe TPM aan staat (default).

Je verhaal is inderdaad precies zoals ik TPM had verwacht te werken, maar tot mijn verbazing wil het maar niet.

Ik vermoed dat het met partitionering, UEFI, Secure Boot, etc. te maken heeft. Iemand nog suggesties?

Avlorens thx.

Acties:

woensdag 22 juni 2016 16:22

Moderator SSC/WOS

F7 - Nee - Ja

HEb je de benodigde scripts wel gedraaid zodat de permissies binnen AD goed ingesteld worden?

Daarnaast moet je ook de GPO gaan aanpassen zodat de werkplekken ook weten dat bitlocker recovery keys in AD moeten worden opgeslagen. Zie voor de hele uitleg:

Backing Up BitLocker and TPM Recovery Information to AD DS

Datzelfde document wordt eerder in dit topic ook al aangehaald zie ik net.

Leg eens duidelijk uit, welke stappen je allemaal al genomen hebt om eea in te richten. Dat mis ik een beetje in je verhaal.

Als je je deployment start, wordt de computer dan wel goed domainjoined? Ik lees nl. dat dit nu ook nog niet werkt. Fixed dat dan eerst als dit het geval is.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Acties:

woensdag 22 juni 2016 16:37

Topicstarter

Hi 'Question Mark',

Nou, ik heb intussen maar besloten om te proberen de key niet eens meer op te slaan in AD, ik wil enkel dat windows deployments verder gaan na de initele herstart. Min of meer dat dus er na een herstart in de TPM chip een key zit om de disk te decrypten.

Ik heb het topic ge-update met meer screenies waarin in duidelijk maak gebruik te maken van MDT (Microsoft Deployment Toolkit) en een 'Normal' (oftewel 'default') task sequence gebruik.

Ook maken de screenshots duidelijk dat, zelfs met, het vermijden van AD de zelfde problemen veroorzaakt.

Alvorens thx.

Acties:

DiedX

michaelbar schreef op woensdag 22 juni 2016 @ 16:22:

Ook maken de screenshots duidelijk dat, zelfs met, het vermijden van AD de zelfde problemen veroorzaakt.

Maar volgens mij wíl je juist de reserve-keys in je AD hebben. Daarvoor moet hij wel AD-joined zijn, én je moet aangeven dat je ze in de AD wil backuppen...

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 22 juni 2016 16:39

Acties:

chaoscontrol

En wat als je gewoon de Bitlocker wizard in het configuratiescherm doorloopt op dat werkstation, werkt het dan uberhaubt wel zoals je wilt?

Inventaris - Koop mijn meuk!

woensdag 22 juni 2016 16:40

Acties:

mhoogendam

Kan je een screenshot tonen van je task sequence zelf?
Ik heb zelf gemerkt dat de volgorde van de stappen erg belangrijk zijn voor een goede werking.

woensdag 22 juni 2016 16:50

Acties:

muppet99

michaelbar schreef op woensdag 22 juni 2016 @ 16:22:

Nou, ik heb intussen maar besloten om te proberen de key niet eens meer op te slaan in AD, ik wil enkel dat windows deployments verder gaan na de initele herstart. Min of meer dat dus er na een herstart in de TPM chip een key zit om de disk te decrypten.

Voor nu is dit goed te doen. Echter als je actief gaat uitrollen moet je zorgen dat de bitlocker key in het AD staat. Of je moet aan je gebruikers gaan uitleggen dat inspoelen de enige mogelijkheid is. Want een handmatige administratie bijhouden wil je niet.

Over TPM, heb je al gekeken of de ownership van je TPM chip goed staat?

Carpe Diem

woensdag 22 juni 2016 18:14

Acties:

woensdag 22 juni 2016 18:48

Topicstarter

Hi allen,

Dank jullie wel.

Ik heb wel door hoe ik de TPM chip moet cleanen (dus dat 'owner' spul).

Intussen ook screenshot toegevoegd van de default task sequence. Enige wat me daar echt opvalt is dat er een BIOS partitie wordt gemaakt, ik kan die uitzetten en UEFI aanzetten, maar ik heb het idee dat die 2 partities er gewoon voor zorgen dat windows (onafhankelijk van bios changes) altijd zal kunnen booten.

Ik ben verder nog altijd verdwaald in dit allen.

PS: Intussen BitLocker aan geprobeerd te zetten vanuit OS zelf, dat ging goed. Echter is deze key dus nu niet opgenomen in AD...

Acties:

woensdag 22 juni 2016 19:33

michaelbar schreef op woensdag 22 juni 2016 @ 18:14:
Hi allen,

Dank jullie wel.

Ik heb wel door hoe ik de TPM chip moet cleanen (dus dat 'owner' spul).

Intussen ook screenshot toegevoegd van de default task sequence. Enige wat me daar echt opvalt is dat er een BIOS partitie wordt gemaakt, ik kan die uitzetten en UEFI aanzetten, maar ik heb het idee dat die 2 partities er gewoon voor zorgen dat windows (onafhankelijk van bios changes) altijd zal kunnen booten.

Ik ben verder nog altijd verdwaald in dit allen.

PS: Intussen BitLocker aan geprobeerd te zetten vanuit OS zelf, dat ging goed. Echter is deze key dus nu niet opgenomen in AD...

Dan kunnen de volgende zaken aan de hand zijn:

1. De machine is geen lid van de AD.
2. Je hebt de noodzakelijk stappen (w.s. AD Rechten om TPMOWNER weg te mogen schrijven, of de benodigde GPO's) uit https://technet.microsoft...ry/dd875529(v=ws.10).aspx nog niet opgevolgt (niet iedere stap is op iedere AD noodzakelijk).

Acties:

woensdag 22 juni 2016 19:48

Topicstarter

Intussen AD self write away TPM info toegepast, en ook een OU met daarbij behorende GPO met instelling om TPM weg te laten schrijven door clients aangemaakt, beiden hielpen niet.

Morgen ga ik na een deploy zonder TPM tijdens MDT proberen de disk te encrypten, als de GPO goed is applied, begrijp ik er uit dat er dan (bij de encryption wizard) een optie bij komt (of als override) mbt. een 'destination' en daar staat dan AD bij.

Keep u posted guys, en nogmaals thx.

Acties:

woensdag 22 juni 2016 19:55

michaelbar schreef op woensdag 22 juni 2016 @ 19:33:
Intussen AD self write away TPM info toegepast, en ook een OU met daarbij behorende GPO met instelling om TPM weg te laten schrijven door clients aangemaakt, beiden hielpen niet.

Morgen ga ik na een deploy zonder TPM tijdens MDT proberen de disk te encrypten, als de GPO goed is applied, begrijp ik er uit dat er dan (bij de encryption wizard) een optie bij komt (of als override) mbt. een 'destination' en daar staat dan AD bij.

Keep u posted guys, en nogmaals thx.

Als ik het me goed herinner en alles staat goed ingesteld qua AD / GPO's e.d.dan schrijft hij gewoon de key weg in de AD zonder dat je specifiek voor een locatie hoeft te kiezen tijdens de wizard.

Acties:

woensdag 22 juni 2016 21:05

Moderator SSC/WOS

F7 - Nee - Ja

michaelbar schreef op woensdag 22 juni 2016 @ 19:33:
Intussen AD self write away TPM info toegepast, en ook een OU met daarbij behorende GPO met instelling om TPM weg te laten schrijven door clients aangemaakt, beiden hielpen niet.

Als je dat tot nu toe nog niet had gedaan mis je gewoon een harde randvoorwaarde, logisch dat het dan ook niet werkt.

Heb je de bijbehorende GPO ook aangepast?

Verder ben ik wel even benieuwd hoe je diskpartitie eruit ziet die je aanmaakt in je tasksequence. Toch niet toevallig maar één partitie aangemaakt?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Acties:

woensdag 22 juni 2016 23:21

Topicstarter

Hi 'Question Mark',

Hoe is het een randvoorwaarde als ik aanduid via screenies dat ik zowel 'een workgroup pc' er van wilde maken en dan ook nog eens koos om 'niet de TPM encryption key op te slaan in AD'? Deze opties maken het een 'AD loze' deploy, en dat werkt ook niet...

Ik heb misschien nu wel een wrokaround want alles is scriptbaar, maar het is raar dat de native tools van MS (MDT) het dus niet doen, en vraag me toch aanzienlijk af waarom eigenlijk...

Alvast thx

Acties:

donderdag 23 juni 2016 10:51

michaelbar schreef op woensdag 22 juni 2016 @ 21:05:
Hi 'Question Mark',

Hoe is het een randvoorwaarde als ik aanduid via screenies dat ik zowel 'een workgroup pc' er van wilde maken en dan ook nog eens koos om 'niet de TPM encryption key op te slaan in AD'? Deze opties maken het een 'AD loze' deploy, en dat werkt ook niet...

Ik heb misschien nu wel een wrokaround want alles is scriptbaar, maar het is raar dat de native tools van MS (MDT) het dus niet doen, en vraag me toch aanzienlijk af waarom eigenlijk...

Alvast thx

Mark bedoelt dat die stappen een rand voorwaarde zijn voor het opslaan in de AD.

Met wat voor Machine ben je trouwens aan het testen? Ik zie bijv. met een snelle google zoekopdracht naar "there are no more bitlocker recovery options on your pc" aardig wat resultaten met Dell Venue machines dit dit issue vertonen. Mocht je toevallig daarmee testen, probeer dan misschien eerst eens met een andere machine te testen, voordat blijkt dat het met een Dell Venue gewoon niet lekker werkt

Acties:

donderdag 23 juni 2016 14:46

Moderator SSC/WOS

F7 - Nee - Ja

michaelbar schreef op woensdag 22 juni 2016 @ 21:05:
Ik heb misschien nu wel een wrokaround want alles is scriptbaar, maar het is raar dat de native tools van MS (MDT) het dus niet doen, en vraag me toch aanzienlijk af waarom eigenlijk...

Omdat je misschien één partitie gebruikt? (ik kan het niet uit je screenshots halen)

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

Acties:

woensdag 14 september 2016 09:43

Topicstarter

Hi all,

Intussen BitLocker AD GPO goed gekregen, bij het aanzetten worden de keys in AD gezet, maar via MDT wil het nog altijd niet.

@Question Mark: Er zijn 3 of 4 partities. 1 voor BIOS boot, 1 voor UEFI boot, 1 voor Windoos en 1 voor de Recovery opties.

@Dennism: Het betreft een Dell Precision 7510, dus geen Venue, maar evt. kampt het met de zelfde vereisten/problemen vanuit Dell.

[ Voor 19% gewijzigd door michaelbar op 23-06-2016 14:48 ]

Acties: