Troubleshooting Bitlocker on Server 2019 Core - TEAL Technology Consulting GmbH
404
wp-singular,post-template-default,single,single-post,postid-404,single-format-standard,wp-theme-bridge,wp-child-theme-bridge-child,bridge-core-3.3.1,,qode-title-hidden,qode-child-theme-ver-1.0.0,qode-theme-ver-30.8.3,qode-theme-bridge,disabled_footer_top,qode_header_in_grid,qode-wpml-enabled,wpb-js-composer js-comp-ver-8.1,vc_responsive,elementor-default,elementor-kit-1005921

12 Nov. Troubleshooting Bitlocker on Server 2019 Core

Posted at 13:56h in Lessons Learned by

Update: 08.01.2020

Heute haben wir von Microsoft ein kurzes Update mit einem einfacheren Workaround erhalten. Das Problem ist leider immer noch nicht final gelöst.

Der einfache Workaround ist wie folgt:

Bitlocker kann aktiviert werden, ohne die Features on Demand Pakete zu de-installieren, indem man nachfolgende Group Policy wie in dem Screenshot konfiguriert:

Microsoft hat uns erklärt, dass sich dadurch der Pfad zum ausgeführten Code ändert und deshalb der Fehler nicht mehr auftritt. Dabei ist es egal welcher Verschlüsselungsalgorithmus ausgewählt wird.

Ursprünglicher Artikel vom 12.11.2019

In einem unserer SAE-Projekte haben wir mal wieder ein interessantes Problem entdeckt. Dieses Mal geht es um einen Bug im Zusammenspiel von Windows Server 2019 CORE, Bitlocker und dem App Compatibility Feature von Microsoft.

Problemstellung

In unserer SAE-Architektur haben wir auf den Einsatz von Server 2019 Core Edition gesetzt. Um dennoch einige grafische Konsolen zu öffnen, setzen wir das Server Core App Compatibility Feature on Demand ein. Dies ermöglicht es, z.B. Tools wie die MMC Konsole, den Eventviewer, PowerShell ISE und einige weitere auf einem CORE System zu verwenden.

Des Weiteren möchten wir unsere Laufwerke mit Bitlocker verschlüsseln. Normalerweise ein einfaches Vorhaben. Allerdings bei der Verwendung des PowerShell Befehls, bekamen wir allerdings folgende Fehlermeldung angezeigt:

Nach einem Reboot erhielten wir die folgende Fehlermeldung:

Auch mit dem Befehl „manage-bde -on C: -RP -S -USED“ hatten wir leider keinen Erfolg:

 Lösung

Eine finale Lösung ist derzeit noch nicht verfügbar. Der Fehler ist aber an das Microsoft Engineering Team eskaliert worden. Microsoft arbeitet derzeit an einer Lösung und wird vermutlich ein entsprechendes Update veröffentlichen.

Um dennoch in unserem Projekt weiter zu kommen, haben wir folgenden Workaround erarbeitet:

1. Deinstallation des App Compatibility Features:
Remove-WindowsCapability -online -Name ServerCore.AppCompatibility~~~~0.0.1.0

2. Bitlocker-Verschlüsselung aller Laufwerke. Hier exemplarisch ein Screenshot von der Systempartition:

3.Erneute Installation des App Compatibility Features:
Add-WindowsCapability -online -Name ServerCore.AppCompatibility~~~~0.0.1.0

Hört sich erst einmal nach einem sehr einfachen Workaround an. Da wir aber einiges an Aufwand investiert haben (TPM Reset, Reparaturinstallation usw.), um den Fehler zu identifizieren, möchten wir euch diesen Workaround nicht vorenthalten.

Bildquelle: freepik.com

<< Zurück

LATEST POSTS