Highlighted
dorschi87
1 Nickel

Tpm does not have compatible SRK / Bitlocker pre-provision

Hi @all,

did anyone know what "Tpm does not have compatible SRK" means?

Dell E7450, Dell E6330..

The task sequence execution engine successfully completed the action (Pre-provision BitLocker) in the group (Install Operating System) with exit code 0
Action output: ==============================[ OSDOfflineBitlocker.exe ]==============================
Command line: "OSDOfflineBitlocker.exe" /enable /ignoretpm:True
Initialized COM
Command line for extension .exe is "%1" %*
Set command line: "OSDOfflineBitlocker.exe" /enable /ignoretpm:True
Target drive, disk index and partition index are not specified. We should use current system partition.
Initializing TPM...
Tpm is enabled
Tpm is activated
Tpm is not owned
Tpm ownership is allowed
uStatus == 0, HRESULT=80280058 (e:\qfe\nts\sms\framework\tscore\tpm.cpp,503)
Tpm does not have compatible SRK
Tpm has EK pair
Initial TPM state: 39
Creating TPM owner authorization value
Succeeded loading resource DLL 'X:\sms\bin\x64\1033\TSRES.DLL'
Taking ownership of TPM
'IsSrkAuthCompatible' failed (2150105176)
Resetting TPM Storage Root Key
SVolume C: [Windows]
[Data Volume]
Used Space Only encryption is now in progress..

14 ANTWORTEN 14
Community Manager
Community Manager

RE: Tpm does not have compatible SRK / Bitlocker pre-provision

Hi,

Ist der TPM im Bios eventuell ausgeschaltet?

Was setzt ihr auf - Windows 7 via SCCM? 

SRK steht für Storage Root Key. Hier gibt es einen kleinen Artikel - unter anderem wird der Storage Root Key dort erwähnt.

Grüße

Tom



DellTom Guenther
Community Technologist - Business Client
Social Media and Communities Professional
Twitter | LinkedIn | XING
dorschi87
1 Nickel

RE: Tpm does not have compatible SRK / Bitlocker pre-provision

SCCM 2012, Windows 10 1607. TPM ist enabeld.

dorschi87
1 Nickel

RE: Tpm does not have compatible SRK / Bitlocker pre-provision

Der Link hilft uns nicht weiter, wir haben das Problem bei unterschiedlichen Modellen. Unabhängig der 7x70 Serie. Auch sagt das Utility das es nicht passt. Smiley (traurig)

Community Manager
Community Manager

RE: Tpm does not have compatible SRK / Bitlocker pre-provision

Bios und TPM-Firmware ist bei den Geräten aktuell? Hier gibt es Updates z.B. für Windows 10 beim E7450. Beides muss unbedingt Up to Date sein.

Hilft dir eventuell der Thread hier weiter. Es sieht so aus, als wäre der TPM nicht richtig geowned.

Grüße

Tom



DellTom Guenther
Community Technologist - Business Client
Social Media and Communities Professional
Twitter | LinkedIn | XING
dorschi87
1 Nickel

RE: Tpm does not have compatible SRK / Bitlocker pre-provision

Vielen Dank für die Rückmeldung.

Der erste Link hilft nicht weiter, hier geht es um ControlVault, was wir nicht einsetzen. Der zweite Link zum Forum ist etwas unverständlich, an welcher Stelle das Script ausgeführt werden soll ;/

Community Manager
Community Manager

RE: Tpm does not have compatible SRK / Bitlocker pre-provision

Hi,

Das muss vor der BitLocker Sequenz gestartet werden.

Grüße

Tom



DellTom Guenther
Community Technologist - Business Client
Social Media and Communities Professional
Twitter | LinkedIn | XING
dorschi87
1 Nickel

RE: Tpm does not have compatible SRK / Bitlocker pre-provision

das erste Script funktioniert, nach einem Reboot muss F12 to clear and enable TPM gedrückt werden, danach erfolgt der Aufruf des zweiten Scripts, was aber folgende Fehlermeldung mit sich bringt:

The task sequence execution engine successfully completed the action (TPMStatus2) in the group (Install Operating System) with exit code 0
Action output: ... easing
Released the resolved source C:\_SMSTaskSequence\Packages\NPS0022F
SYou cannot call a method on a null-valued expression.

der anschließende Schritt Bitlocker pre-provision bringt weiterhin folgende Meldung:

The task sequence execution engine successfully completed the action (Pre-provision BitLocker) in the group (Install Operating System) with exit code 0
Action output: ==============================[ OSDOfflineBitlocker.exe ]==============================
Command line: "OSDOfflineBitlocker.exe" /enable /ignoretpm:True
Initialized COM
Command line for extension .exe is "%1" %*
Set command line: "OSDOfflineBitlocker.exe" /enable /ignoretpm:True
Target drive, disk index and partition index are not specified. We should use current system partition.
Initializing TPM...
Tpm is enabled
Tpm is activated
Tpm is not owned
Tpm ownership is allowed
uStatus == 0, HRESULT=80280058 (e:\qfe\nts\sms\framework\tscore\tpm.cpp,503)
Tpm does not have compatible SRK
Tpm has EK pair
Initial TPM state: 39
Creating TPM owner authorization value
Succeeded loading resource DLL 'X:\sms\bin\x64\1033\TSRES.DLL'
Taking ownership of TPM
'IsSrkAuthCompatible' failed (2150105176)
Resetting TPM Storage Root Key
Searching for next available system volume:
 Used Space Only encryption is now in progress..

Community Manager
Community Manager

RE: Tpm does not have compatible SRK / Bitlocker pre-provision

Dann nehmt das Script bitte erstmal wieder raus. Ein Versuch war es wert. Allerdings sagt das Log ja schon, dass der Endorsement Key ok ist Und einen Owner habt ihr ja auch nicht dabei.

Eine Frage noch bzgl. des Ablaufs - läuft denn der Setup Task soweit durch oder bricht da etwas ab? Die Encryption läuft ja durch.

Und ich glaube jetzt habe ich den Fehler auch erkannt. Er sagt invalid Storage Root Key, weil noch kein Owner eingetragen ist. Eigentlich müsste der Task so aussehen:

TPM checken -> EK Key checken -> ownership übernehmen -> SRK erstellen

Denn ohne TPM Ownership kein SRK.

Am Ende macht eurer Task aber eigentlich alles richtig. Er übernimmt die Ownership des TPM und erstellt dann einen Storage Root Key und kann somit dann auch verschlüsseln.

Grüße

Tom



DellTom Guenther
Community Technologist - Business Client
Social Media and Communities Professional
Twitter | LinkedIn | XING
dorschi87
1 Nickel

RE: Tpm does not have compatible SRK / Bitlocker pre-provision

Die TS läuft soweit durch. Nur das TPM Modul meldet unter Windows "The TPM is ready for use, with reduced funktionallity. Auch ist das TPM Kennwort ist nicht in der MBAM Database, das Notebook ist aber komplett verschlüsselt.