
12 Nov. Troubleshooting Bitlocker on Server 2019 Core
Update: 08.01.2020
Heute haben wir von Microsoft ein kurzes Update mit einem einfacheren Workaround erhalten. Das Problem ist leider immer noch nicht final gelöst.
Der einfache Workaround ist wie folgt:
Bitlocker kann aktiviert werden, ohne die Features on Demand Pakete zu de-installieren, indem man nachfolgende Group Policy wie in dem Screenshot konfiguriert:

Microsoft hat uns erklärt, dass sich dadurch der Pfad zum ausgeführten Code ändert und deshalb der Fehler nicht mehr auftritt. Dabei ist es egal welcher Verschlüsselungsalgorithmus ausgewählt wird.
Ursprünglicher Artikel vom 12.11.2019
In einem unserer SAE-Projekte haben wir mal wieder ein interessantes Problem entdeckt. Dieses Mal geht es um einen Bug im Zusammenspiel von Windows Server 2019 CORE, Bitlocker und dem App Compatibility Feature von Microsoft.
Problemstellung
In unserer SAE-Architektur haben wir auf den Einsatz von Server 2019 Core Edition gesetzt. Um dennoch einige grafische Konsolen zu öffnen, setzen wir das Server Core App Compatibility Feature on Demand ein. Dies ermöglicht es, z.B. Tools wie die MMC Konsole, den Eventviewer, PowerShell ISE und einige weitere auf einem CORE System zu verwenden.
Des Weiteren möchten wir unsere Laufwerke mit Bitlocker verschlüsseln. Normalerweise ein einfaches Vorhaben. Allerdings bei der Verwendung des PowerShell Befehls, bekamen wir allerdings folgende Fehlermeldung angezeigt:

Nach einem Reboot erhielten wir die folgende Fehlermeldung:

Auch mit dem Befehl „manage-bde -on C: -RP -S -USED“ hatten wir leider keinen Erfolg:

Lösung
Eine finale Lösung ist derzeit noch nicht verfügbar. Der Fehler ist aber an das Microsoft Engineering Team eskaliert worden. Microsoft arbeitet derzeit an einer Lösung und wird vermutlich ein entsprechendes Update veröffentlichen.
Um dennoch in unserem Projekt weiter zu kommen, haben wir folgenden Workaround erarbeitet:
1. Deinstallation des App Compatibility Features:
Remove-WindowsCapability -online -Name ServerCore.AppCompatibility~~~~0.0.1.0
2. Bitlocker-Verschlüsselung aller Laufwerke. Hier exemplarisch ein Screenshot von der Systempartition:

3.Erneute Installation des App Compatibility Features:
Add-WindowsCapability -online -Name ServerCore.AppCompatibility~~~~0.0.1.0
Hört sich erst einmal nach einem sehr einfachen Workaround an. Da wir aber einiges an Aufwand investiert haben (TPM Reset, Reparaturinstallation usw.), um den Fehler zu identifizieren, möchten wir euch diesen Workaround nicht vorenthalten.
Bildquelle: freepik.com
LATEST POSTS
-
Cyberhygiene: 8 Stunden im Monat für saubere Systeme
Unser Managing Director und Security Architect, Fabian Böhm, war kürzlich im Podcast "Bits and Bytes" von Stegmann and Company mit Alexa Dippold und hat genau über dieses oft vernachlässigte Thema gesprochen. Und die Kernaussage ist ...
06 Mai, 2025 -
Cyber-Security auf der secIT: Ihre IT & Systemhärtung im Fokus
Gemeinsam mit unserem Partner FB Pro präsentieren wir uns an Stand E38 in der Eilenriedehalle des Hannover Congress Centrum und laden Sie ein, den entscheidenden Schritt zu mehr IT-Sicherheit zu gehen....
17 Februar, 2025 -
Deshalb ist Systemhärtung so wichtig, um DORA erfüllen zu können
DORA ist gekommen, um zu bleiben. Finanzunternehmen müssen nun strengere Cybersecurity-Vorgaben erfüllen. Eine Maßnahme darf auf keinen Fall vergessen werden: Systemhärtung! Ein Gastbeitrag von unserem Partner: FB Pro GmbH...
21 Januar, 2025