Bitlocker lässt sich nicht aktivieren | TPM Down graden

[DrySaltMine]

Guten Tag,

wir haben in unserer Firma aktuell das Problem das wir den Bitlocker (bei einigen Geräten) nicht aktivieren können.

Bei uns sind folgende Geräte Gruppen betroffen:
HP Elitebook 840/850 G5
HP Elitebook 840/850 G6
HP EliteDesk 800 G3TWR.

Alle Geräte haben Windows 10 21H2 Installiert.
Alle Geräte haben auch eine aktuelle Version des TPM Moduls aktiviert (TPM 2.0 | Version ab 7.84)

Wir sind mittlerweile soweit gekommen, dass wen man Bitlocker aktivieren möchte, braucht es ein UEFI bei TPM 2.0 oder man nimm ein Bios bei TPM 1.2.

Für uns ist es leider keine Option an jeden Client einzeln dranzugehen und diese per Hand auf das UEFi UP zu graden um dann dort den Bitlocker zu aktivieren.

Wir finden bei HP selbst aber nur ein Tool welches für Geräte bis HP Elitebook 840/850 G4 geht. Andere Umwege über die Powershell haben wir auch bereites versucht aber leider ohne Erfolg.

Im Optimalen fall wäre es möglich das man es im Hintergrund laufen lassen kann, so dass die User nichts davon mitbekommen (Neuanmelden oder ein Neustart sind in Ordnung).

Falls weitere Informationen benötigt werden bitte kurz bescheid geben. (Ich werde voraussichtlich erst ab Donnerstag wieder antworten können)



Ich danke euch schonmal im voraus



MfG

 

[just_f]

Windows ist eh die Pro/Enterprise Version oder?

 

[VoodooMax]

Die Geräte sind aber schon im UEFI-Modus auf GPT installiert?

 

[tRITON]

Wir oben schon steht: Enterprise, wenn Du eine externe Software einsetzen möchtest, wie AirWatch oder Baramundi für das MDM.....

Das ging auch schon bei den älteren Modellen, das man das BIOS einstellen konnte per Script, was wir bei Setup haben erledigen lassen, bei der Betankung. Würde mich also wundern, wenn das nicht auch bei den Nachfolgemodellen der Fall sein sollte.

Als Enterprise Kunde hast Du doch auch einen HP Ansprechpartner. Am Besten direkt an HP wenden und klären. Du kaufst ja auch den Support für MS <-> HP dazu beim Gerät

 

[trickster234]

Welches Tool habt ihr den probiert?
BIOS Settings sollten eigentlich mit HP BCU machbar sein.

https://ftp.ext.hp.com/pub/caps-softpaq/cmit/HP_BCU.html

Warum habt ihr so aktuelle Kisten noch auf Legacy installiert?

 

[LinuXfr3ak]

MBR zu GUID konvertieren:

mbr2gpt /convert /allowFullOS

Wie mein vorposter schon erwähnt hat mit dem HP BCU die Bios einstellungen setzen

ACHTUNG - muss beides gemacht werden vor dem reboot - ansonsten wird das Notebook nicht mehr erfolgreich booten können

 

[DrySaltMine]

Windows ist eh die Pro/Enterprise Version oder?

Windows 10 Enterprise 21h2

Die Geräte sind aber schon im UEFI-Modus auf GPT installiert?

Nein die meisten Geräte sind noch auf MBR mit dem BIOS

Wir oben schon steht: Enterprise, wenn Du eine externe Software einsetzen möchtest, wie AirWatch oder Baramundi für das MDM.....

Das ging auch schon bei den älteren Modellen, das man das BIOS einstellen konnte per Script, was wir bei Setup haben erledigen lassen, bei der Betankung. Würde mich also wundern, wenn das nicht auch bei den Nachfolgemodellen der Fall sein sollte.

Als Enterprise Kunde hast Du doch auch einen HP Ansprechpartner. Am Besten direkt an HP wenden und klären. Du kaufst ja auch den Support für MS <-> HP dazu beim Gerät

Wir würden das im Optimalfall das über Baramundi ausrollen.
An den Ansprechpartner hatte ich gar nicht mehr gedacht gehabt. Ist auf jeden fall eine Überlegung wert

Welches Tool habt ihr den probiert?
BIOS Settings sollten eigentlich mit HP BCU machbar sein.

https://ftp.ext.hp.com/pub/caps-softpaq/cmit/HP_BCU.html

Warum habt ihr so aktuelle Kisten noch auf Legacy installiert?

Zum einem via PowerShell mit z.b: manage-dbe, Enable-Bitlocker
Dazu habe wir auch versucht über das Tool (https://support.hp.com/de-de/document/c05389555) von HP es hinzubekommen nur leider sind aber alle Geräte nicht mehr kompatibel.

Man kennt ja das berühmt berüchtigte Sprichwort "Never Change a Running System". Dazu wollten wir den Installations aufwand möglichst gering halten. Hinzukommt noch das wir Sehr viele der Geräte wegen Corona schnell fertig machen mussten und dem entsprechend auch kaum zeit hatten

MBR zu GUID konvertieren:

mbr2gpt /convert /allowFullOS

Wie mein vorposter schon erwähnt hat mit dem HP BCU die Bios einstellungen setzen

ACHTUNG - muss beides gemacht werden vor dem reboot - ansonsten wird das Notebook nicht mehr erfolgreich booten können

Ich Probiere dann mal rum und gebe eine Rückmeldung je nachdem wie das geklappt hat

 

[tRITON]

Wie gesagt denkt dran, dass Bitlocker über Verwaltung nur bei Enterprise lizensiert ist! Nicht, dass ihr beim Audit stress bekommt von MS.

 

[DrySaltMine]

Welches Tool habt ihr den probiert?
BIOS Settings sollten eigentlich mit HP BCU machbar sein.

https://ftp.ext.hp.com/pub/caps-softpaq/cmit/HP_BCU.html

Warum habt ihr so aktuelle Kisten noch auf Legacy installiert?

Hab ich ausprobiert nur das Tool scheint nicht richtig zulaufen. Außer das mit dem Passwort setzten das klappt ohne Probleme

Wie gesagt denkt dran, dass Bitlocker über Verwaltung nur bei Enterprise lizensiert ist! Nicht, dass ihr beim Audit stress bekommt von MS.

Wir haben die Enterprise Version von MS. Ist dann noch ein Problem ?

MBR zu GUID konvertieren:

mbr2gpt /convert /allowFullOS

Wie mein vorposter schon erwähnt hat mit dem HP BCU die Bios einstellungen setzen

ACHTUNG - muss beides gemacht werden vor dem reboot - ansonsten wird das Notebook nicht mehr erfolgreich booten können

Hab das alles in der PowerShell als Admin ausgeführt
Leider funktioniert das auch nicht ohne Fehler
Die Fehler sind unteranderem:

MBR2GPT: Attempting to convert disk 0
MBR2GPT: Retrieving layout of disk
MBR2GPT: Validating layout, disk sector size is: 512 bytes Disk layout validation failed for disk 0

PS C:\WINDOWS\system32> mbr2gpt /validate /allowFullOS MBR2GPT: Attempting to validate disk 0 MBR2GPT: Retrieving layout of disk
MBR2GPT: Validating layout, disk sector size is: 512 bytes
Disk layout validation failed for disk 0

Habe auch versucht via DISKPART die validation zu machen bzw. den fehler zu beheben nur leider wieder ohne erfolg.
Ein Trick den ich auch sehr häufig gelesen habe war, dass man die Festplatte verkleinern soll. Hab ich auch versucht. Das Verkleinern ging ohne Probleme nur düas mit der Fehler behebung ging nicht.

Ebenso wie WinReRepair.

 

[tRITON]

Wie viele PRIMARY Partitions hat denn die Disk?

Mehr als 3? Dann mag das Tool auch nicht laufen. Evtl noch die Recovery Partition da? Lösch diese mal

 

[DrySaltMine]

Genau Drei Partitionen.
1) System ( C: ) 237,83 GB NTFS
2) 100MB EFI-System
3) 551MB Wiederherstellung

Alle sind laut Windows fehlerfrei.