Acontece que a função de armazenar as informações do TPM no AD (ou a tentativa de armazenar as informações do TPM no AD) ocorre apenas quando você altera a senha . Eu não estava mudando a senha, mas usando a mesma senha.
Devido ao fato de que vergonhosamente nosso esquema de AD é super-old school [parece com o servidor 2008 SP1, nem mesmo com o R2], usei BitLockerTPMSchemaExtension.ldf
(disponível aqui ) para estender o esquema para incluir as propriedades:
- msTPM-OwnerInformation
- msFVE-RecoveryGuid
- msFVE-RecoveryPassword
- msFVE-RecoveryInformation
- msFVE-VolumeGuid
- msFVE-KeyPackage
(concedido e digno de nota que msTPM-OwnerInformation
já estava presente)
Então, esperando que isso funcionasse sem problemas, passei a alterar a senha do TPM e imediatamente recebi o código de erro There is no such object on the server (error code: 0x80072030).
com o erro específico Cannot change TPM owner password.
Muito simplesmente, o atributo msTPM-OwnerInformation
é usado pelo Windows 7 e abaixo, mas o Windows 8+ (que era minha caixa de teste) usa msTPM-TPMInformationForComputer
conforme discutido mais detalhadamente em este thread do MSFT TechNet .
Para resolver esse problema, siga a a documentação da MSFT , estendendo o esquema do AD usando TpmSchemaExtension.ldf
e TpmSchemaExtensionACLChanges.ldf
.
ldifde -i -v -f TpmSchemaExtension.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .
ldifde -i -v -f TpmSchemaExtensionACLChanges.ldf -c "DC=X" "dc=contoso,dc=corp" -k -j .