Temos vários laptops Windows 10 (Win10 Enterprise, a maioria executando Build 1803 , aqui em nosso escritório principal e em várias co-localizações. Estamos implementando o BitLocker em toda a empresa e temos um GPO que ativa e (deve) salvar a chave do BitLocker no Active Directory No entanto, para algumas máquinas ela não salvou a chave. Eu acho que isso está acontecendo apenas em máquinas que estavam já estou usando o BitLocker porque cada teste que eu fiz em uma nova máquina onde o GPO habilita o BL também salva a chave (eu ainda não vi a falha nem uma vez).
Para máquinas existentes que usam o BitLocker, mas não têm suas chaves salvas no AD, tenho executado esse comando / script simples do PowerShell, seja em uma sessão do PSRemoting ou via Invoke-Command {block}
$keyID = Get-BitLockerVolume -MountPoint c: | select -ExpandProperty keyprotector |
where {$_.KeyProtectorType -eq 'RecoveryPassword'}
Backup-BitLockerKeyProtector -MountPoint c: -KeyProtectorId $keyID.KeyProtectorId
No entanto, estou tentando executar isso em algumas máquinas e recebendo este erro:
Backup-BitLockerKeyProtector : The Active Directory Domain Services forest does not contain the required attributes and classes to host BitLocker Drive Encryption or Trusted Platform Module information. Contact your domain administrator to verify that any required BitLocker Active Directory schema extensions have been installed.
(Exception from HRESULT: 0x8031000A)
At line:1 char:1
+ Backup-BitLockerKeyProtector -MountPoint c: -KeyProtectorId $keyID.Ke ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [Write-Error], COMException
+ FullyQualifiedErrorId : System.Runtime.InteropServices.COMException,Backup-BitLockerKeyProtector
Eu sou um dos administradores de domínio. Eu li que este é um problema com o Win10 Build 1803 aqui e aqui . No entanto, ambos os links mencionam apenas ativar BitLocker, não necessariamente salvando as chaves BL para o ADDS retroativamente. Qualquer ajuda apreciada.