8
Active Directory und Exchange auf Bitlocker Datenlaufwerk
Hallo,
Ich versuche seit Tagen Active Directroy und Exchange Server auf ein Bitlocker gesichertes Datenlaufwerk zu installieren und zu starten.
Zur Umgegung:
ich habe ein Windows Server 2008 R2 der aus Kostenmangel in einen ungesicherten Raum steht. Daher habe ich C: und D: Verschlüsselt mit Bitlocker, damit im Fall eines Diebstahls nix damit angefangen werden kann. Darüber hinaus will ich AD und Excange nicht auf C: installieren, falls die OS Festplatte ausfällt und so relativ schnell wieder herstellen kann.
Zur Problematik:
Die Ver- und Entschlüsselung funktioniert einwandfrei automatisch. Erst wenn ich AD/Exchange aktivieren/installieren will und die Datenbank auf D: packe bekomme ich beim reboot ein Bluescreen das D: noch nicht zur Verfügung steht.
Dies wollte ich umgehen in dem ich den NTDS Dienst (Active Directory) abhängig vom BDESVC Dienst(Bitlocker) mache. Somit soll laut Windows Beschreibung Active Directory erst starten wenn Bitlocker "fertig" ist.
Jedoch bekomme ich immer noch die gleiche Fehlermeldung! Lediglich etwas zeit verzögert (Knappt 1-2Min).
Meine Frage ist nun ob dies überhaupt umsetzbar ist.
Ps: Andere Verschlüsselungssoftware wie TrueCrypt kommt nicht in Frage.
Danke im Voraus!
Ich versuche seit Tagen Active Directroy und Exchange Server auf ein Bitlocker gesichertes Datenlaufwerk zu installieren und zu starten.
Zur Umgegung:
ich habe ein Windows Server 2008 R2 der aus Kostenmangel in einen ungesicherten Raum steht. Daher habe ich C: und D: Verschlüsselt mit Bitlocker, damit im Fall eines Diebstahls nix damit angefangen werden kann. Darüber hinaus will ich AD und Excange nicht auf C: installieren, falls die OS Festplatte ausfällt und so relativ schnell wieder herstellen kann.
Zur Problematik:
Die Ver- und Entschlüsselung funktioniert einwandfrei automatisch. Erst wenn ich AD/Exchange aktivieren/installieren will und die Datenbank auf D: packe bekomme ich beim reboot ein Bluescreen das D: noch nicht zur Verfügung steht.
Dies wollte ich umgehen in dem ich den NTDS Dienst (Active Directory) abhängig vom BDESVC Dienst(Bitlocker) mache. Somit soll laut Windows Beschreibung Active Directory erst starten wenn Bitlocker "fertig" ist.
Jedoch bekomme ich immer noch die gleiche Fehlermeldung! Lediglich etwas zeit verzögert (Knappt 1-2Min).
Meine Frage ist nun ob dies überhaupt umsetzbar ist.
Ps: Andere Verschlüsselungssoftware wie TrueCrypt kommt nicht in Frage.
Danke im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 190301
Url: https://administrator.de/contentid/190301
Printed on: April 19, 2024 at 11:04 o'clock
8 Comments
Latest comment
Moin.
Ich hab mich damit ausreichend beschäftigt, kann man sagen.
Zunächst mal: Wie wird der Schlüssel an Bitlocker übergeben? Wenn Du nämlich nur das TPM nutzt, dann kannst Du den Schutz getrost vergessen.
Ich hab mich damit ausreichend beschäftigt, kann man sagen.
Zunächst mal: Wie wird der Schlüssel an Bitlocker übergeben? Wenn Du nämlich nur das TPM nutzt, dann kannst Du den Schutz getrost vergessen.
Hallo,
Der Schlüssel von D liegt auf C und der C Schlüssel liegt mit auf dem TPM Beim booten ist eine Pin erforderlich.
Der Schlüssel von D liegt auf C und der C Schlüssel liegt mit auf dem TPM Beim booten ist eine Pin erforderlich.
Mit PIN-Eingabe ist es zwar sicher, aber willst Du das jedesmal machen, wenn der Rechner booten muss (Absturz/Stromausfall mit einberechnen)?
Mit der Pin-Eingabe habe ich kein Problem wir sind ein kleines 15Mann Team.
OK... dann hoffe ich mal, dass keiner vor Dir im Büro ist... dann ist der Ärger vorprogrammiert, wenn der Server mal abge...t ist.
Ich würde Dir allen Ernstes entgegen Deiner Warnung zu Truecrypt raten, da hier alle Laufwerke gleichzeitig zur Verfügung stünden.
Mit Bitlocker kannst Du nur an Deinem Plan festhalten,die Startreihenfolge anzupassen. Abhängigkeiten brauchst Du überhaupt nicht, Du brauchst lediglich die AD-Dienste (frag mich lieber nicht, welche alle - hab ich noch nicht analysiert) auf manuell zu schalten und nach dem Start des Servers per Skript nachzustarten. Damit das Skript keine Anmeldung erfordert, braucht es natürlich ein ausführendes Konto, das kein AD zur Authentifizierung braucht... geht das überhaupt? Teste bitte zunächst, ob Du ohne laufendes AD noch mit dem Systemkonto handeln kannst.
Nebenbei:
Ich würde Dir allen Ernstes entgegen Deiner Warnung zu Truecrypt raten, da hier alle Laufwerke gleichzeitig zur Verfügung stünden.
Mit Bitlocker kannst Du nur an Deinem Plan festhalten,die Startreihenfolge anzupassen. Abhängigkeiten brauchst Du überhaupt nicht, Du brauchst lediglich die AD-Dienste (frag mich lieber nicht, welche alle - hab ich noch nicht analysiert) auf manuell zu schalten und nach dem Start des Servers per Skript nachzustarten. Damit das Skript keine Anmeldung erfordert, braucht es natürlich ein ausführendes Konto, das kein AD zur Authentifizierung braucht... geht das überhaupt? Teste bitte zunächst, ob Du ohne laufendes AD noch mit dem Systemkonto handeln kannst.
Nebenbei:
Somit soll laut Windows Beschreibung Active Directory erst starten wenn Bitlocker "fertig" ist.
Wo kann ich das nachlesen?
Nachlesen kann man dies entweder unter Link1 oder Link2 unter dem Punkt depend= ....
Hier der Auschnitt:
depend= Abhängigkeiten
Gibt die Namen der Dienste oder Gruppen an, die vor diesem Dienst starten müssen. Die Namen sind durch Schrägstriche (/) getrennt.
Ohne AD kann ich mich ganz normal einloggen und alles einstellen was ich will dabei gibt es keine Probleme.
Hier der Auschnitt:
depend= Abhängigkeiten
Gibt die Namen der Dienste oder Gruppen an, die vor diesem Dienst starten müssen. Die Namen sind durch Schrägstriche (/) getrennt.
Ohne AD kann ich mich ganz normal einloggen und alles einstellen was ich will dabei gibt es keine Probleme.
Korrigier mal Deine Links, indem Du sie so formatierst: [Link TextZumLink], denn sie gehen so nicht.
Ohne AD kann ich mich ganz normal einloggen und alles einstellen was ich will dabei gibt es keine Probleme.
Na dann teste mal das manuelle Nachstarten.
Freu Dich, ich hab's gelöst. Ich konnte einen virtuellen DC 2008 Server voll mit Bitlocker verschlüsseln. Das AD liegt auf Partition e:. Ich hatte auch zuerst den Bluescreen.
Was Du vergessen hattest (ich zunächst auch): Man muss autounlock anschalten: cscript %windir%\system32\manage-bde.wsf -autounlock e: -enable
Achtung: auf 2008 R2 nicht cscript...manage-bde.wsf, sondern einfach managebde.exe nutzen!
Danach prüfen mit cscript %windir%\system32\manage-bde.wsf -status
Ausgabe bei mir:
...
Volume E: [AD]
[Data Volume]
Size: 4,88 GB
Conversion Status: Fully Encrypted
Percentage Encrypted: 100%
Encryption Method: AES 128 with Diffuser
Protection Status: Protection On
Lock Status: Unlocked
Automatic Unlock: Enabled
Key Protectors:
External Key
Numerical Password
External Key (Required for automatic unlock)
Was Du vergessen hattest (ich zunächst auch): Man muss autounlock anschalten: cscript %windir%\system32\manage-bde.wsf -autounlock e: -enable
Achtung: auf 2008 R2 nicht cscript...manage-bde.wsf, sondern einfach managebde.exe nutzen!
Danach prüfen mit cscript %windir%\system32\manage-bde.wsf -status
Ausgabe bei mir:
...
Volume E: [AD]
[Data Volume]
Size: 4,88 GB
Conversion Status: Fully Encrypted
Percentage Encrypted: 100%
Encryption Method: AES 128 with Diffuser
Protection Status: Protection On
Lock Status: Unlocked
Automatic Unlock: Enabled
Key Protectors:
External Key
Numerical Password
External Key (Required for automatic unlock)
