サーバーは SBS 2011 Essentials、クライアントは Windows 7 Ultimate です。
こちらを参照して BitLocker の回復情報を AD に保存しようとしているのですが、うまくいきません。
http://technet.microsoft.com/ja-jp/library/cc766015(WS.10).aspx
TPM のパスワードは AD に保存されているようですが、BitLocker の回復キーが保存されていないようです。
一通り手順を完了した後で、Get-BitLockerRecoveryInfo.vbs を実行しても、
Accessing object: LDAP://CN=コンピュータ名,CN=Computers,DC=HOGEHOGE,DC=local
と出るだけで、それ以外の情報が出てきません(Domain Admin で実行しています)。
manage-bde -protectors -adbackup c: -id {...}
とやると、
エラー: Active Directory への回復情報の保存は、グループ ポリシーで
許可されていません。操作は実行されませんでした。
と表示されてしまいます。
グループポリシーの構成はできていると思います。
クライアントマシンで gpresult /z をやった結果の抜粋です。
管理用テンプレート
------------------
GPO: HOGEHOGE.local
キー名: SOFTWARE\Policies\Microsoft\TPM\ActiveDirectoryBackup
値: 1, 0, 0, 0
状態: 有効
GPO: HOGEHOGE.local
キー名: SOFTWARE\Policies\Microsoft\TPM\RequireActiveDirectoryBackup
値: 1, 0, 0, 0
状態: 有効
GPO: HOGEHOGE.local
キー名: SOFTWARE\Policies\Microsoft\FVE\ActiveDirectoryBackup
値: 1, 0, 0, 0
状態: 有効
GPO: HOGEHOGE.local
キー名: SOFTWARE\Policies\Microsoft\FVE\ActiveDirectoryInfoToStore
値: 1, 0, 0, 0
状態: 有効
GPO: HOGEHOGE.local
キー名: SOFTWARE\Policies\Microsoft\FVE\RequireActiveDirectoryBackup
値: 1, 0, 0, 0
状態: 有効
気になった点としては、ldifde をやった際に、最初のいくつかの処理で、「既に存在しているためスキップ」というような表示が出ていたことくらいです。
どうしたらよいのでしょうか。よろしくお願いいたします。
αετος(aetos)
