Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Active Directory und Exchange auf Bitlocker Datenlaufwerk

Frage Microsoft Windows Server

Mitglied: BADMAN152

BADMAN152 (Level 1) - Jetzt verbinden

28.08.2012 um 12:44 Uhr, 2532 Aufrufe, 8 Kommentare

Hallo,

Ich versuche seit Tagen Active Directroy und Exchange Server auf ein Bitlocker gesichertes Datenlaufwerk zu installieren und zu starten.

Zur Umgegung:

ich habe ein Windows Server 2008 R2 der aus Kostenmangel in einen ungesicherten Raum steht. Daher habe ich C: und D: Verschlüsselt mit Bitlocker, damit im Fall eines Diebstahls nix damit angefangen werden kann. Darüber hinaus will ich AD und Excange nicht auf C: installieren, falls die OS Festplatte ausfällt und so relativ schnell wieder herstellen kann.

Zur Problematik:

Die Ver- und Entschlüsselung funktioniert einwandfrei automatisch. Erst wenn ich AD/Exchange aktivieren/installieren will und die Datenbank auf D: packe bekomme ich beim reboot ein Bluescreen das D: noch nicht zur Verfügung steht.
Dies wollte ich umgehen in dem ich den NTDS Dienst (Active Directory) abhängig vom BDESVC Dienst(Bitlocker) mache. Somit soll laut Windows Beschreibung Active Directory erst starten wenn Bitlocker "fertig" ist.

Jedoch bekomme ich immer noch die gleiche Fehlermeldung! Lediglich etwas zeit verzögert (Knappt 1-2Min).

Meine Frage ist nun ob dies überhaupt umsetzbar ist.

Ps: Andere Verschlüsselungssoftware wie TrueCrypt kommt nicht in Frage.

Danke im Voraus!
Mitglied: DerWoWusste
28.08.2012 um 13:15 Uhr
Moin.

Ich hab mich damit ausreichend beschäftigt, kann man sagen.
Zunächst mal: Wie wird der Schlüssel an Bitlocker übergeben? Wenn Du nämlich nur das TPM nutzt, dann kannst Du den Schutz getrost vergessen.
Bitte warten ..
Mitglied: BADMAN152
28.08.2012 um 13:18 Uhr
Hallo,

Der Schlüssel von D liegt auf C und der C Schlüssel liegt mit auf dem TPM Beim booten ist eine Pin erforderlich.
Bitte warten ..
Mitglied: DerWoWusste
28.08.2012 um 13:20 Uhr
Mit PIN-Eingabe ist es zwar sicher, aber willst Du das jedesmal machen, wenn der Rechner booten muss (Absturz/Stromausfall mit einberechnen)?
Bitte warten ..
Mitglied: BADMAN152
28.08.2012 um 13:25 Uhr
Mit der Pin-Eingabe habe ich kein Problem wir sind ein kleines 15Mann Team.
Bitte warten ..
Mitglied: DerWoWusste
28.08.2012 um 13:32 Uhr
OK... dann hoffe ich mal, dass keiner vor Dir im Büro ist... dann ist der Ärger vorprogrammiert, wenn der Server mal abge...t ist.

Ich würde Dir allen Ernstes entgegen Deiner Warnung zu Truecrypt raten, da hier alle Laufwerke gleichzeitig zur Verfügung stünden.

Mit Bitlocker kannst Du nur an Deinem Plan festhalten,die Startreihenfolge anzupassen. Abhängigkeiten brauchst Du überhaupt nicht, Du brauchst lediglich die AD-Dienste (frag mich lieber nicht, welche alle - hab ich noch nicht analysiert) auf manuell zu schalten und nach dem Start des Servers per Skript nachzustarten. Damit das Skript keine Anmeldung erfordert, braucht es natürlich ein ausführendes Konto, das kein AD zur Authentifizierung braucht... geht das überhaupt? Teste bitte zunächst, ob Du ohne laufendes AD noch mit dem Systemkonto handeln kannst.

Nebenbei:
Somit soll laut Windows Beschreibung Active Directory erst starten wenn Bitlocker "fertig" ist.
Wo kann ich das nachlesen?
Bitte warten ..
Mitglied: BADMAN152
28.08.2012, aktualisiert um 13:50 Uhr
Nachlesen kann man dies entweder unter Link1 oder Link2 unter dem Punkt depend= ....

Hier der Auschnitt:
depend= Abhängigkeiten
Gibt die Namen der Dienste oder Gruppen an, die vor diesem Dienst starten müssen. Die Namen sind durch Schrägstriche (/) getrennt.

Ohne AD kann ich mich ganz normal einloggen und alles einstellen was ich will dabei gibt es keine Probleme.
Bitte warten ..
Mitglied: DerWoWusste
28.08.2012 um 13:47 Uhr
Korrigier mal Deine Links, indem Du sie so formatierst: [Link TextZumLink], denn sie gehen so nicht.
Ohne AD kann ich mich ganz normal einloggen und alles einstellen was ich will dabei gibt es keine Probleme.
Na dann teste mal das manuelle Nachstarten.
Bitte warten ..
Mitglied: DerWoWusste
30.08.2012, aktualisiert um 15:28 Uhr
Freu Dich, ich hab's gelöst. Ich konnte einen virtuellen DC 2008 Server voll mit Bitlocker verschlüsseln. Das AD liegt auf Partition e:. Ich hatte auch zuerst den Bluescreen.

Was Du vergessen hattest (ich zunächst auch): Man muss autounlock anschalten: cscript %windir%\system32\manage-bde.wsf -autounlock e: -enable
Achtung: auf 2008 R2 nicht cscript...manage-bde.wsf, sondern einfach managebde.exe nutzen!

Danach prüfen mit cscript %windir%\system32\manage-bde.wsf -status
Ausgabe bei mir:
...

Volume E: [AD]
[Data Volume]

Size: 4,88 GB
Conversion Status: Fully Encrypted
Percentage Encrypted: 100%
Encryption Method: AES 128 with Diffuser
Protection Status: Protection On
Lock Status: Unlocked
Automatic Unlock: Enabled
Key Protectors:
External Key
Numerical Password
External Key (Required for automatic unlock)
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Windows Server
gelöst Active Directory CA öffentlich vertrauenswürdig machen, geht das? (2)

Frage von DeathangelCH zum Thema Windows Server ...

Windows Server
gelöst Active Directory File Extension - Associated Program (11)

Frage von adm2015 zum Thema Windows Server ...

Windows 8
gelöst Active Directory Default User.v2 Profile - Windows 8.1 Apps Error (4)

Frage von adm2015 zum Thema Windows 8 ...

Windows Server
Active Directory sinnvoll für kleine Firma (15)

Frage von WolfPeano zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...