У меня есть устройство, на котором должна быть резервная копия для восстановления Bitlocker до AD для видимости на вкладке «Bitlocker Recovery» объекта в Active Directory.
Я обнаружил, что на устройстве был только предохранитель TPM. Поэтому я добавил цифровой пароль. Я хочу сделать резервную копию этого цифрового пароля в AD.
я бегу manage-bde protectors c: -adbackup -ID '{my-id-goes-here}'
. Windows отвечает: Recovery information was successfully backed up to Active Directory.
Я открываю ADUC, нахожу устройство, смотрю на вкладку «Восстановление Bitlocker» и обнаруживаю, что здесь ничего нет.
Я также пробовал:
$BLV = Get-BitLockerVolume -MountPoint "C:"
Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $BLV.KeyProtector[1].KeyProtectorId
получение кода выхода 0, но ничего не опубликовано в AD. Что-то мне здесь не хватает?
Есть единственная разница, которую я вижу между машинами, которые МОГУТ отправить его в AD таким образом, и этим устройством является поле «Состояние преобразования»:
Работающая машина - это «Полностью зашифрованная», а не «Только используемое пространство».
Как я могу сохранить этот пароль в AD?
«Цифровой пароль» - это не то, что хранится в AD. Вам нужно добавить «Ключ восстановления», например:
Add-BitLockerKeyProtector -MountPoint C: -RecoveryPasswordProtector
Оказалось, что проблема связана с репликацией, а не с Bitlocker.
Вкладка ключей восстановления Bitlocker для некоторых устройств в AD обновилась мгновенно. Другие этого не сделали.
Похоже, некоторым устройствам просто потребовалось больше времени для появления ключа. Я только что протестировал одно устройство, которому потребовалось около 20 минут, чтобы отразить изменения в AD.
Антихлимактический, да. Спасибо всем, кто внес свой вклад в эту проблему.