none
Deploymentkonflikt zwischen SCCM und Bitlocker! RRS feed

 > 

  • Frage

  • Question
    Anmelden
    0
    Anmelden

    Hallo Zusammen,

    wir befinden uns zurzeit in einem Windows 7 Rollout. Dabei werden alle Systeme (VPC,NB, PC) automatisch ´über SCCM mit Windows 7 und Applikationen/Paketen deployed.

    Durch die immer größer werdenden Festplatten kommt es zu Konfliktsituationen mit dem Bitlocker.

    Der Bitlocker wird als letzter Punkt der OS-Task Sequence gestartet und beginnt mit dem Vercshlüsseln (legt den Wiederherstellungskey im AD ab), gleichzeitig verteilt der SCCM die ersten Pakete auf den Maschinen.´Durch den ständigen Festplattenzugriff des Bitlockers und der Anwendungsinstallationen läuft beides sehr verzögert ab. Je größer nun die die Festplatten werden, desto größer wird dieses Problem werden bzw umso mehr zeit wird eine Installation von Notebooks mit Software benötigen.

    Gibt es Lösungsansätze die Verschlüsselung auszubremsen und nur bei "keinen" Festplattenzugriff durchführen zu lassen?

    Eine idee ist die Festplattengröße über den SCCM vorzugeben, was jedoch nicht unser Anliegen und Ziel ist.

     

    Danke für eure Vorschläge,

    Andreas Beyer

     

    Dienstag, 5. Oktober 2010 12:38
    |

Alle Antworten

  • Question
    Anmelden
    0
    Anmelden
    Vermutlich stimmt dann am Konzept etwas nicht so ganz. Wie werden denn die Applikationen installiert? Offensichtlich nicht mit der OSD Tasksequenz, denn sonst wären diese ja bereits installiert bevor der Bitlocker-Step in der TS kommt. Ich tippe also auf dynamische Collections, in die der Rechner nach und nach automatisch aufgenommen wird (während Bitlocker läuft)? Ohne den genauen (!) Prozeß zu kennen kann man hier keine schlauen Tipps geben ...
    Dienstag, 5. Oktober 2010 13:06
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo,

    es werden die Basisanwendungen mit der OS-Task Sequence verteilt. Weitere folgen danach.

    Anwendungen wie Autocad oder auch Lotus Notes werden extra verteilt. Dazu werden die Geräte in die entsprechenden Collection gepackt.

     

    Sozusagen läuft der Bitlocker während Programme installiert werden.

    Letztendlich haben wir eine Task Sequence für all unsere verschiedenen Gerätetypen (VPC, NB, PC).

    Donnerstag, 7. Oktober 2010 09:11
    |
  • Question
    Anmelden
    0
    Anmelden
    Dazu werden die Geräte in die entsprechenden Collection gepackt.
    Und wie?
    Können denn die Apps nicht schon durch die TS installiert werden (anstatt diese erst danach per "normaler" Softwareverteilung)? Wie schon gesagt - eine "one fits all"-Antwort gibt's nicht. Dazu ist genau diese Frage zu generell und ohne Detailkenntnis nicht zu lösen.
    Donnerstag, 7. Oktober 2010 10:07
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    die geräte werden über eine eigens programmierte Konsole in die verschiedenen collections gepackt.

    also nicht automatisch sondern manuell.  Die Apps können nicht durch die TS installiert werden, da wir dadurch ca. 100-200 verschiedene TS benötigen würden.

    Donnerstag, 7. Oktober 2010 13:10
    |
  • Question
    Anmelden
    0
    Anmelden
    Wieso 100 - 200 verschiedene TS? Mit Bedingungen und / oder Variablen (auf Collection- und/oder Computer-Ebene) kann das doch sehr elegant gelöst werden. Wie wird denn per eigens programmierter Konsole ermittelt, welcher Rechner in welche Collection muss?
    Donnerstag, 7. Oktober 2010 14:52
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    da wir noch eine Novellumgebung im Einsatz haben, bei der die Software dem User zugewiesen wird. ist dies unsere Referenz für die Softwareverteilung.

    Es wird also der User betrachtet welche Applikationen dieser besitzt und anschließend seinem Gerät zugewiesen.

    Freitag, 8. Oktober 2010 08:51
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo
    Versuchs doch mal mit dem Hacken "Wait for BitLocker to complete the drive encryption process..." Dann bleibt der TS noch aktiv bis der Client fertig verschlüsselt ist.

    Gruss

    Montag, 25. Oktober 2010 06:31
    |
  • Question
    Anmelden
    0
    Anmelden

    Hallo Cayman

     

    Hoffe du kannst mir helfen.
    Wir möchteh Domänenweit den Bitlocker auf allen Client's aktivieren. Voraussetzungen ist da TPM, etc.
    Nun wie kann man den Bitlocker global, also über GPO,WDS oder SCCM so verteilen das alle Rechner welche in einer gewissen OU sind automatisch verschlüsselt werden.? So dass man nicht jeden Client in die Hand nehmen muss.

    Für deine Antwort wäre ich dir sehr dankbar.

    Gruss

    Sinan

    Freitag, 29. Oktober 2010 14:01
    |
  • Question
    Anmelden
    0
    Anmelden
    Hilft Dir das weiter: http://technet.microsoft.com/en-us/library/dd875532(WS.10).aspx?
    Samstag, 30. Oktober 2010 07:53
    |
    Beantworter
  • Question
    Anmelden
    0
    Anmelden

    Hallo Colaturka,
    So ohne Eingriff eines Benutzers/Supporters wird es wohl nicht gehen. Denn wenn du bis jetzt den TPM Chip noch nicht verwendet hast, dann benötigt die Aktivierung des TPM Chips eine "physical presence". Das heisst jemand muss nach einem reboot die F1 Taste oder "continue" drücken, je nach Hardwarehersteller.

    Wir haben das bei uns so gelöst, dass jedes neue Gerät, Desktop und Notebook, bevor es mit SCCM gestaged wird, vom Support der TPM chip aktiviert wird.

    Danach ist es möglich mit SCCM BitLocker zu aktivieren ohne weiteren Eingriff.

    Gruss

    Montag, 1. November 2010 08:07
    |