Schlagwort-Archive: Windows 8.1

Teil 20d: BitLocker Network Unlock konfigurieren

Veröffentlicht am von
1

Für BitLocker Network Unlock sind folgende Komponenten notwendig:

  • Windows Server 2012 oder Windows Server 2012 R2 (Teil 1, Teil 7)
  • Windows 8 x64 oder Windows 8.1 x64 (Teil 14ff)
  • UEFI Firmware 2.3.1 mit DHCP-Treiber im native Mode*
  • Einen Server mit Windows Deployment Services (Teil 13)
  • BitLocker Network Unlock Feature auf einem Server installiert (in diesem Teil weiter unten)
  • Einen DHCP Server, der nicht am WDS installiert ist (Teil 4)
  • Public Key Infrastructure (Teil 6ff)
  • Network Unlock Gruppenrichtlinie (in diesem Teil weiter unten; Teil 6h, Teil 20)

* UEFI Firmware 2.3.1 mit DHCP-Treiber: Es ist mir nicht gelungen, die Firmware-Version meines HP EliteBook 840 G1 (CLIENT004) festzustellen. Allerdings benötigt SecureBoot mindestens UEFI 2.3.1. Weil im BIOS Einstellungen zu SecureBoot vorhanden sind, nehme ich an, dass die Version passt. So habe ich mein HP EliteBook 840 G1 konfiguriert:

  1. Notebook starten > ESC drücken
  2. Mit F10 das BIOS Setup starten
  3. Erweitert > Bootoptionen
  4. Schnell-Boot deaktiviert (erlaubt nur PXE und den Start von der internen Festplatte)
  5. Natives UEFI (ohne CSM) aktiviert
  6. SecureBoot aktiviert
  7. Einstellungen mit F10 übernehmen

BitLocker Network Unlock konfigurieren – Schritte:

  • Die Zertifikatsvorlage für BitLocker Network Unlock konfigurieren
  • Das Feature BitLocker Network Unlock installieren
  • Zertifikat anfordern und exportieren
  • Zertifikat mit Private Key (.pfx) am WDS-Server importieren
  • Gruppenrichtlinien für Network Unlock konfigurieren
  • BitLocker Network Unlock mit CLIENT004 testen
  • Windows Deployment Services Debug-Log aktivieren

Die Zertifikatsvorlage für BitLocker Network Unlock konfigurieren

  1. Als Administrator an SERVER01 anmelden
  2. Server Manager > Local Server > Tools > Certification Authority
  3. Haimann Root CA erweitern
  4. Certificate Templates rechts anklicken und im Kontextmenü Manage anklicken
    NETWORK_UNLOCK-008
  5. Im Detailbereich die Zertifikatsvorlage User rechts anklicken und im Kontextmenü Duplicate Template anklicken
    NETWORK_UNLOCK-009 Weiterlesen

Teil 20c: TPM-Sperre mittels Besitzerkennwortdatei zurücksetzen

Veröffentlicht am von
Antworten

TPM-Sperre mittels Besitzerkennwortdatei zurücksetzen – Schritte:

  • Windows 7-Task Sequence für BitLocker konfigurieren und Client003 aufsetzen
  • TPM-OwnerInformation in Active Directory für Windows 8 finden
  • TPM-OwnerInformation in Active Directory für Windows 7 finden
  • tpm_owner.tpm-Datei erstellen
  • TPM-Sperre zurücksetzen

Mit Windows Server 2012 und Windows 8 hat Microsoft das TPM-Management ins Active Directory-Schema integiert. Die TPM-OwnerInformation steht nicht mehr als Attribut direkt beim Computer-Objekt (msTPM-OwnerInformation), sondern ist mit einem eigenen TPM-InformationObject (ms-TPM-InformationObject) verlinkt. Vorsicht beim Löschen von Computer-Objekten in Active Directory: Um Leichen zu vermeiden, zuerst das TPM-InformationObject löschen, dann erst das Computer-Objekt.

In den Gruppenrichtlinien können viele Einstellungen für das TPM konfiguriert werden. Bisher sind wir mit den Standard-Einstellungen ganz gut zurecht gekommen.

Mehr Information dazu unter Trusted Platform Module Technology Overview.

Windows 7-Task Sequence für BitLocker konfigurieren und Client003 aufsetzen

  1. Als Administrator an SERVER02 anmelden
  2. Deployment Workbench starten
  3. OSD Prod Share erweitern
  4. Task Sequences anklicken
  5. Windows 7-Task Sequence rechts anklicken und im Kontextmenü Properties anklicken
  6. Auf den Reiter Task Sequence wechseln
  7. Windows 8-Task Sequence rechts anklicken und im Kontextmenü Properties anklicken
  8. Auf den Reiter Task Sequence wechseln
  9. Den Ordner Enable TPM in BIOS rechts anklicken und im Kontextmenü Copy anklicken
    TPM-001
  10. Zur Windows 7-Task Sequence wechseln
  11. Den Ornder Custom Tasks rechts anklicken und im Kontextmenü Paste anklicken
    TPM-002
  12. Mit Down den Ordner Enable TPM in BIOS aus dem Ordner Custom Tasks verschieben
    TPM-003
  13. Alle Fenster mit OK schließen
  14. Client003 mit Windows 7 und der BitLocker-PIN 1122334 aufsetzen
  15. Als Administrator an Client003 anmelden
    TPM-004
  16. Die Verschlüsselung funktioniert auch unter Windows 7 🙂
  17. Client003 herunterfahren Weiterlesen

Teil 1e: Active Directory-basierte Aktivierung installieren und konfigurieren

Veröffentlicht am von
Antworten

Für „Einfaches-Netzwerk“ werde ich die Active Directory-basierte Aktivierung installieren und konfigurieren. Diese Form der Aktivierung ist eine neue Rolle seit Windows Server 2012 und setzt mind. Windows 8-Clients voraus. Der Vorteil ist, dass sich die Clients nicht mehr periodisch am KMS-Service melden müssen. Die Rechner sind aktiviert, sobald sie mit der Domäne verbunden werden. Siehe Activate using Active Directory-based activation.

Active Directory-basierte Aktivierung konfigurieren

  1. Als Administrator an DC1 anmelden
  2. Server Manager > Manage > Add Roles and Features
  3. Add Role and Features Wizard
    1. Before You Begin > Next
    2. Installation Type: Role-based or feature-based installation > Next
    3. Server Selection: DC1.intern.einfaches-netzwerk.at > Next
    4. Server Roles: Volume Activation Services > Add Features > Next
      VAMT-001
    5. Features > Next
    6. Volume Activation Services > Next
    7. Confirmation > Install
    8. Results > Close
  4. Server Manager > Notifications > Volume Activation Tools
    VAMT-002
  5. Volume Activation Tools
    1. Activation Type: Active Directory-Based Activation > Next
      VAMT-003
    2. Product Key Management
      1. Install your KMS host key: xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
      2. Enter a display name for your new Activation Object: Einfaches-Netzwerk CSVLK > Next
        VAMT-004
    3. Product Key Management
      1. Activate online > Commit > Yes
        VAMT-005
    4. Product Key Management
      1. Activation Succeeded > Close
        VAMT-006

Active Directory-basierte Aktivierung überprüfen

  1. Server Manager > Tools > ADSI Edit
  2. ADSI Edit rechts anklicken > Connect to…
    VAMT-009
  3. Im Bereich Connection Point
    1. Select a well known Naming Context: Configuration > OK
      VAMT-010
  4. CN=Configuration,DC=intern,DC=einfaches-netzwerk,DC=at\CN=Services\CN=Microsoft SPP\CN=Activation Objects anklicken
    VAMT-007
  5. Fenster schließen
  6. Server Manager > Tools > Volume Activation Tools
  7. Volume Activation Tools
    1. Introduction > Next
    2. Activation Type
      1. Active Directory-Based Activation > Next
    3. Product Key Management
      1. Skip to Configuration > Next
    4. Configuration
      VAMT-008
  8. Fenster mit Close schließen