Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory und Exchange auf Bitlocker Datenlaufwerk

Frage Microsoft Windows Server

Mitglied: BADMAN152

BADMAN152 (Level 1) - Jetzt verbinden

28.08.2012 um 12:44 Uhr, 2546 Aufrufe, 8 Kommentare

Hallo,

Ich versuche seit Tagen Active Directroy und Exchange Server auf ein Bitlocker gesichertes Datenlaufwerk zu installieren und zu starten.

Zur Umgegung:

ich habe ein Windows Server 2008 R2 der aus Kostenmangel in einen ungesicherten Raum steht. Daher habe ich C: und D: Verschlüsselt mit Bitlocker, damit im Fall eines Diebstahls nix damit angefangen werden kann. Darüber hinaus will ich AD und Excange nicht auf C: installieren, falls die OS Festplatte ausfällt und so relativ schnell wieder herstellen kann.

Zur Problematik:

Die Ver- und Entschlüsselung funktioniert einwandfrei automatisch. Erst wenn ich AD/Exchange aktivieren/installieren will und die Datenbank auf D: packe bekomme ich beim reboot ein Bluescreen das D: noch nicht zur Verfügung steht.
Dies wollte ich umgehen in dem ich den NTDS Dienst (Active Directory) abhängig vom BDESVC Dienst(Bitlocker) mache. Somit soll laut Windows Beschreibung Active Directory erst starten wenn Bitlocker "fertig" ist.

Jedoch bekomme ich immer noch die gleiche Fehlermeldung! Lediglich etwas zeit verzögert (Knappt 1-2Min).

Meine Frage ist nun ob dies überhaupt umsetzbar ist.

Ps: Andere Verschlüsselungssoftware wie TrueCrypt kommt nicht in Frage.

Danke im Voraus!
Mitglied: DerWoWusste
28.08.2012 um 13:15 Uhr
Moin.

Ich hab mich damit ausreichend beschäftigt, kann man sagen.
Zunächst mal: Wie wird der Schlüssel an Bitlocker übergeben? Wenn Du nämlich nur das TPM nutzt, dann kannst Du den Schutz getrost vergessen.
Bitte warten ..
Mitglied: BADMAN152
28.08.2012 um 13:18 Uhr
Hallo,

Der Schlüssel von D liegt auf C und der C Schlüssel liegt mit auf dem TPM Beim booten ist eine Pin erforderlich.
Bitte warten ..
Mitglied: DerWoWusste
28.08.2012 um 13:20 Uhr
Mit PIN-Eingabe ist es zwar sicher, aber willst Du das jedesmal machen, wenn der Rechner booten muss (Absturz/Stromausfall mit einberechnen)?
Bitte warten ..
Mitglied: BADMAN152
28.08.2012 um 13:25 Uhr
Mit der Pin-Eingabe habe ich kein Problem wir sind ein kleines 15Mann Team.
Bitte warten ..
Mitglied: DerWoWusste
28.08.2012 um 13:32 Uhr
OK... dann hoffe ich mal, dass keiner vor Dir im Büro ist... dann ist der Ärger vorprogrammiert, wenn der Server mal abge...t ist.

Ich würde Dir allen Ernstes entgegen Deiner Warnung zu Truecrypt raten, da hier alle Laufwerke gleichzeitig zur Verfügung stünden.

Mit Bitlocker kannst Du nur an Deinem Plan festhalten,die Startreihenfolge anzupassen. Abhängigkeiten brauchst Du überhaupt nicht, Du brauchst lediglich die AD-Dienste (frag mich lieber nicht, welche alle - hab ich noch nicht analysiert) auf manuell zu schalten und nach dem Start des Servers per Skript nachzustarten. Damit das Skript keine Anmeldung erfordert, braucht es natürlich ein ausführendes Konto, das kein AD zur Authentifizierung braucht... geht das überhaupt? Teste bitte zunächst, ob Du ohne laufendes AD noch mit dem Systemkonto handeln kannst.

Nebenbei:
Somit soll laut Windows Beschreibung Active Directory erst starten wenn Bitlocker "fertig" ist.
Wo kann ich das nachlesen?
Bitte warten ..
Mitglied: BADMAN152
28.08.2012, aktualisiert um 13:50 Uhr
Nachlesen kann man dies entweder unter Link1 oder Link2 unter dem Punkt depend= ....

Hier der Auschnitt:
depend= Abhängigkeiten
Gibt die Namen der Dienste oder Gruppen an, die vor diesem Dienst starten müssen. Die Namen sind durch Schrägstriche (/) getrennt.

Ohne AD kann ich mich ganz normal einloggen und alles einstellen was ich will dabei gibt es keine Probleme.
Bitte warten ..
Mitglied: DerWoWusste
28.08.2012 um 13:47 Uhr
Korrigier mal Deine Links, indem Du sie so formatierst: [Link TextZumLink], denn sie gehen so nicht.
Ohne AD kann ich mich ganz normal einloggen und alles einstellen was ich will dabei gibt es keine Probleme.
Na dann teste mal das manuelle Nachstarten.
Bitte warten ..
Mitglied: DerWoWusste
30.08.2012, aktualisiert um 15:28 Uhr
Freu Dich, ich hab's gelöst. Ich konnte einen virtuellen DC 2008 Server voll mit Bitlocker verschlüsseln. Das AD liegt auf Partition e:. Ich hatte auch zuerst den Bluescreen.

Was Du vergessen hattest (ich zunächst auch): Man muss autounlock anschalten: cscript %windir%\system32\manage-bde.wsf -autounlock e: -enable
Achtung: auf 2008 R2 nicht cscript...manage-bde.wsf, sondern einfach managebde.exe nutzen!

Danach prüfen mit cscript %windir%\system32\manage-bde.wsf -status
Ausgabe bei mir:
...

Volume E: [AD]
[Data Volume]

Size: 4,88 GB
Conversion Status: Fully Encrypted
Percentage Encrypted: 100%
Encryption Method: AES 128 with Diffuser
Protection Status: Protection On
Lock Status: Unlocked
Automatic Unlock: Enabled
Key Protectors:
External Key
Numerical Password
External Key (Required for automatic unlock)
Bitte warten ..
Ähnliche Inhalte
Windows 10
gelöst Bitlocker und AD: Keine Passwortabfrage (5)

Frage von honeybee zum Thema Windows 10 ...

Windows Server
gelöst Active Directory Report (7)

Frage von mah0ni zum Thema Windows Server ...

Windows Server
gelöst Migration Manager for Active Directory (3)

Frage von adrian138 zum Thema Windows Server ...

Windows Server
Active Directory-Verwaltungscenter macht Probleme (1)

Frage von MrFuzz zum Thema Windows Server ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Server-Hardware
HP DL380 G7: Booten vom USB via USB 3.1-PCI-e Karte möglich? (24)

Frage von Paderman zum Thema Server-Hardware ...

Windows 7
Bluesreens unternehmensweit (18)

Frage von SYS64738 zum Thema Windows 7 ...

LAN, WAN, Wireless
IP Adressen - Modem - Switch - Accesspoint (17)

Frage von teuferl82 zum Thema LAN, WAN, Wireless ...

Festplatten, SSD, Raid
gelöst Raid-Controller (Areca) Datenverlust trotz R5 (16)

Frage von sebastian2608 zum Thema Festplatten, SSD, Raid ...