Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory und Exchange auf Bitlocker Datenlaufwerk

Frage Microsoft Windows Server

Mitglied: BADMAN152

BADMAN152 (Level 1) - Jetzt verbinden

28.08.2012 um 12:44 Uhr, 2542 Aufrufe, 8 Kommentare

Hallo,

Ich versuche seit Tagen Active Directroy und Exchange Server auf ein Bitlocker gesichertes Datenlaufwerk zu installieren und zu starten.

Zur Umgegung:

ich habe ein Windows Server 2008 R2 der aus Kostenmangel in einen ungesicherten Raum steht. Daher habe ich C: und D: Verschlüsselt mit Bitlocker, damit im Fall eines Diebstahls nix damit angefangen werden kann. Darüber hinaus will ich AD und Excange nicht auf C: installieren, falls die OS Festplatte ausfällt und so relativ schnell wieder herstellen kann.

Zur Problematik:

Die Ver- und Entschlüsselung funktioniert einwandfrei automatisch. Erst wenn ich AD/Exchange aktivieren/installieren will und die Datenbank auf D: packe bekomme ich beim reboot ein Bluescreen das D: noch nicht zur Verfügung steht.
Dies wollte ich umgehen in dem ich den NTDS Dienst (Active Directory) abhängig vom BDESVC Dienst(Bitlocker) mache. Somit soll laut Windows Beschreibung Active Directory erst starten wenn Bitlocker "fertig" ist.

Jedoch bekomme ich immer noch die gleiche Fehlermeldung! Lediglich etwas zeit verzögert (Knappt 1-2Min).

Meine Frage ist nun ob dies überhaupt umsetzbar ist.

Ps: Andere Verschlüsselungssoftware wie TrueCrypt kommt nicht in Frage.

Danke im Voraus!
Mitglied: DerWoWusste
28.08.2012 um 13:15 Uhr
Moin.

Ich hab mich damit ausreichend beschäftigt, kann man sagen.
Zunächst mal: Wie wird der Schlüssel an Bitlocker übergeben? Wenn Du nämlich nur das TPM nutzt, dann kannst Du den Schutz getrost vergessen.
Bitte warten ..
Mitglied: BADMAN152
28.08.2012 um 13:18 Uhr
Hallo,

Der Schlüssel von D liegt auf C und der C Schlüssel liegt mit auf dem TPM Beim booten ist eine Pin erforderlich.
Bitte warten ..
Mitglied: DerWoWusste
28.08.2012 um 13:20 Uhr
Mit PIN-Eingabe ist es zwar sicher, aber willst Du das jedesmal machen, wenn der Rechner booten muss (Absturz/Stromausfall mit einberechnen)?
Bitte warten ..
Mitglied: BADMAN152
28.08.2012 um 13:25 Uhr
Mit der Pin-Eingabe habe ich kein Problem wir sind ein kleines 15Mann Team.
Bitte warten ..
Mitglied: DerWoWusste
28.08.2012 um 13:32 Uhr
OK... dann hoffe ich mal, dass keiner vor Dir im Büro ist... dann ist der Ärger vorprogrammiert, wenn der Server mal abge...t ist.

Ich würde Dir allen Ernstes entgegen Deiner Warnung zu Truecrypt raten, da hier alle Laufwerke gleichzeitig zur Verfügung stünden.

Mit Bitlocker kannst Du nur an Deinem Plan festhalten,die Startreihenfolge anzupassen. Abhängigkeiten brauchst Du überhaupt nicht, Du brauchst lediglich die AD-Dienste (frag mich lieber nicht, welche alle - hab ich noch nicht analysiert) auf manuell zu schalten und nach dem Start des Servers per Skript nachzustarten. Damit das Skript keine Anmeldung erfordert, braucht es natürlich ein ausführendes Konto, das kein AD zur Authentifizierung braucht... geht das überhaupt? Teste bitte zunächst, ob Du ohne laufendes AD noch mit dem Systemkonto handeln kannst.

Nebenbei:
Somit soll laut Windows Beschreibung Active Directory erst starten wenn Bitlocker "fertig" ist.
Wo kann ich das nachlesen?
Bitte warten ..
Mitglied: BADMAN152
28.08.2012, aktualisiert um 13:50 Uhr
Nachlesen kann man dies entweder unter Link1 oder Link2 unter dem Punkt depend= ....

Hier der Auschnitt:
depend= Abhängigkeiten
Gibt die Namen der Dienste oder Gruppen an, die vor diesem Dienst starten müssen. Die Namen sind durch Schrägstriche (/) getrennt.

Ohne AD kann ich mich ganz normal einloggen und alles einstellen was ich will dabei gibt es keine Probleme.
Bitte warten ..
Mitglied: DerWoWusste
28.08.2012 um 13:47 Uhr
Korrigier mal Deine Links, indem Du sie so formatierst: [Link TextZumLink], denn sie gehen so nicht.
Ohne AD kann ich mich ganz normal einloggen und alles einstellen was ich will dabei gibt es keine Probleme.
Na dann teste mal das manuelle Nachstarten.
Bitte warten ..
Mitglied: DerWoWusste
30.08.2012, aktualisiert um 15:28 Uhr
Freu Dich, ich hab's gelöst. Ich konnte einen virtuellen DC 2008 Server voll mit Bitlocker verschlüsseln. Das AD liegt auf Partition e:. Ich hatte auch zuerst den Bluescreen.

Was Du vergessen hattest (ich zunächst auch): Man muss autounlock anschalten: cscript %windir%\system32\manage-bde.wsf -autounlock e: -enable
Achtung: auf 2008 R2 nicht cscript...manage-bde.wsf, sondern einfach managebde.exe nutzen!

Danach prüfen mit cscript %windir%\system32\manage-bde.wsf -status
Ausgabe bei mir:
...

Volume E: [AD]
[Data Volume]

Size: 4,88 GB
Conversion Status: Fully Encrypted
Percentage Encrypted: 100%
Encryption Method: AES 128 with Diffuser
Protection Status: Protection On
Lock Status: Unlocked
Automatic Unlock: Enabled
Key Protectors:
External Key
Numerical Password
External Key (Required for automatic unlock)
Bitte warten ..
Ähnliche Inhalte
Windows Server
Exchange 2010 Active Directory und Windows Server 2016 (4)

Erfahrungsbericht von Herbrich19 zum Thema Windows Server ...

Windows Userverwaltung
gelöst Server 2012 R2 Active Directory über den Webbrowser öffnen (4)

Frage von blackhawk17 zum Thema Windows Userverwaltung ...

Windows Server
Serie: Active Directory Zertifikatsdienste (Teil 1-8)

Link von pewa2303 zum Thema Windows Server ...

Neue Wissensbeiträge
Tipps & Tricks

Wie Hackt man sich am besten in ein Computernetzwerk ein

(38)

Erfahrungsbericht von Herbrich19 zum Thema Tipps & Tricks ...

Humor (lol)

Bester Vorschlag eines Supporttechnikers ever: APC

(15)

Erfahrungsbericht von DerWoWusste zum Thema Humor (lol) ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
POS Hardware und alternativen zu Raid 1? (21)

Frage von Brotkasten zum Thema Festplatten, SSD, Raid ...

Rechtliche Fragen
Hotspot rechtssicher betreiben? (14)

Frage von xSiggix zum Thema Rechtliche Fragen ...

ISDN & Analoganschlüsse
gelöst Splitter - RJ45 zu RJ11? (13)

Frage von Waishon zum Thema ISDN & Analoganschlüsse ...

Internet
Smartphone Benachrichtigungen (9)

Frage von schneerunzel zum Thema Internet ...