none
Disparition des bitlockers password Recovery dans l'AD RRS feed

  • Question

  • Bonjour à toutes et tous,

    Je suis actuellement en train d'implémenter la solution Bitlocker sur notre AD (DC en 2008 R2 et 2012R2) pour chiffrer les disques des ordinateurs portables en Seven X64 et W10 X64.

    Il y a trois mois mes tests ont été très concluants et uniquement effectués sur des Seven X64 Enterprise. Dès que je lançais un chiffrement de disque sur un ordinateur du domaine, l'onglet Récupération Bitlocker de l'objet ordinateur stockait parfaitement les clés de récupérations comme vous pouvez le voir sur le screenshot ci-dessous :


    A savoir qu'au niveau GPO, j'exige le stockage dans l'AD pour pouvoir chiffrer.

    J'ai laissé mes tests de côtés pendant 3 mois et j'ai repris cette semaine, rien n'a changé de particulier sur notre Infra, et la GPO gérant la configuration des clients Bitlocker non plus.

    Hors aujourd'hui, je tente de chiffrer un ordinateur portable en W10 x64 (1607). Le chiffrement se lance parfaitement, mais la clé de récupération n'est plus stockée dans l'AD comme on peut le voir sur le screenshot ci-dessous :


    La commande Powershell ci-dessous ne me liste plus rien :

    $objADObject = get-adobject -server xxxxxxxxx -Filter * | Where-Object {$_.DistinguishedName -match $objComputer.Name -and $_.ObjectClass -eq "msFVE-RecoveryInformation"} | Sort-Object -Property $_.DistinguishedName
    $key=$objADObject.DistinguishedName
    write-host "$key"

    A ce moment là c'était la première fois que je chiffrais un W10. J'émets donc l'hypothèse que ce problème est peut-être lié au niveau fonctionnel de mon domaine et que W10 a peut-être besoin d'un niveau plus haut pour que les clés s'affichent dans l'AD...

    Je lance donc un chiffrement sur un Seven X64 en vérifiant que ma GPO bitlocker est bien effective. Le chiffrement se déroule parfaitement mais pareil que W10 la clé de récupération n'est pas stockée dans l'AD...

    Ca n'est donc pas un soucis de niveau fonctionnel!

    Par curiosité sur un DC en 2012R2 je désinstalle le fonctionnalité de Chiffrement Bitlocker, redémarre le système, réinstalle la fonctionnalité de chiffrement, redémarre, relance un chiffrement..... Pareil, pas de clé dans l'AD....

    Heureusement je lance le chiffrement via un script maison qui stock également les clés de récupération au format TXT.

    Bref quelqu'un aurait-il eu des symptômes similaires?

    Je me dis peut-être à tort qu'une MAJ Windows pourrait y être pour quelque chose.

    Je n'ai toutefois pas encore supprimé ma GPO pour la recréer.

    Je vous remercie d'avance de vos retour.

    En vous souhaitant un très bonne journée ou soirée selon votre fuseau horaire.

    Cdt,

    Loïc

    vendredi 16 juin 2017 02:09

Réponses

  • Étant donné le problème ainsi que le caractère "critique", je vous conseille de contacter le support Microsoft.

    Si jamais vous avez l'audit AD activé, vous devriez être en mesure de voir si les attribut ont bien été modifiés pour le poste en question lors du cryptage du poste et si ils ont été modifiés par la suite.


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    mercredi 21 juin 2017 07:09

Toutes les réponses

  • Bonjour,

    En regardant un peu sur internet, il y aurait plusieurs pistes :

    -Le compte utilisé ne possède pas les droits.

    -Vous utilisez un poste d'admin avec RSAT pour accéder à l'AD

    Voici quelque piste à creuser

    Le lien ci dessous pour voir si l'attribut correspondant est bien rempli

    https://social.technet.microsoft.com/Forums/en-US/959971f9-db31-41cf-bcbc-f36de574b933/bitlocker-recovery-key-doesnt-go-into-bitlocker-tab-of-aduc?forum=winserverDS

    Le lien ci dessous pour faire une une recherche si vous avez un code sans connaître le nom du poste, ca peut toujours servir

    http://www.alexandreviot.net/2015/06/10/active-directory-how-to-display-bitlocker-recovery-key/


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    vendredi 16 juin 2017 08:16
  • Bonjour,

    Merci pour vos réponses.

    Je ne sais pas si je suis vraiment dans ce cas. Mon problème est le non enregistrement des clés dans l'AD alors qu'il fonctionnait à un moment donné en passant  par l'ADUC directement sur un DC et avec un compte admin du domaine.

    En revanche j'ai pu voir que l'attribut msFVE-RecoveryInformation n'existe plus dans mon AD. Je vais tenter de voir quand est-ce que le schéma AD a été modifié.

    ++


    lundi 19 juin 2017 00:11
  • Tous les attributs suivant se trouvent bien dans mon Schéma AD :

    • CN=ms-FVE-KeyPackage – attributeSchema object
    • CN=ms-FVE-RecoveryGuid – attributeSchema object
    • CN=ms-FVE-RecoveryInformation – classSchema object
    • CN=ms-FVE-RecoveryPassword – attributeSchema object
    • CN=ms-FVE-VolumeGuid – attributeSchema object
    • CN=ms-TPM-OwnerInformation – attributeSchema object

    Cependant sur l'objet Ordinateur les 5 premiers attributs n'existent plus.

    mardi 20 juin 2017 22:03
  • Étant donné le problème ainsi que le caractère "critique", je vous conseille de contacter le support Microsoft.

    Si jamais vous avez l'audit AD activé, vous devriez être en mesure de voir si les attribut ont bien été modifiés pour le poste en question lors du cryptage du poste et si ils ont été modifiés par la suite.


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    mercredi 21 juin 2017 07:09