Tpm does not have compatible SRK / Bitlocker pre-provision

Hi,

Ist der TPM im Bios eventuell ausgeschaltet?

Was setzt ihr auf - Windows 7 via SCCM? 

SRK steht für Storage Root Key. Hier gibt es einen kleinen Artikel - unter anderem wird der Storage Root Key dort erwähnt.

Grüße

Tom

SCCM 2012, Windows 10 1607. TPM ist enabeld.

Der Link hilft uns nicht weiter, wir haben das Problem bei unterschiedlichen Modellen. Unabhängig der 7x70 Serie. Auch sagt das Utility das es nicht passt. :(

Bios und TPM-Firmware ist bei den Geräten aktuell? Hier gibt es Updates z.B. für Windows 10 beim E7450. Beides muss unbedingt Up to Date sein.

Hilft dir eventuell der Thread hier weiter. Es sieht so aus, als wäre der TPM nicht richtig geowned.

Grüße

Tom

Vielen Dank für die Rückmeldung.

Der erste Link hilft nicht weiter, hier geht es um ControlVault, was wir nicht einsetzen. Der zweite Link zum Forum ist etwas unverständlich, an welcher Stelle das Script ausgeführt werden soll ;/

Hi,

Das muss vor der BitLocker Sequenz gestartet werden.

Grüße

Tom

Dann nehmt das Script bitte erstmal wieder raus. Ein Versuch war es wert. Allerdings sagt das Log ja schon, dass der Endorsement Key ok ist Und einen Owner habt ihr ja auch nicht dabei.

Eine Frage noch bzgl. des Ablaufs - läuft denn der Setup Task soweit durch oder bricht da etwas ab? Die Encryption läuft ja durch.

Und ich glaube jetzt habe ich den Fehler auch erkannt. Er sagt invalid Storage Root Key, weil noch kein Owner eingetragen ist. Eigentlich müsste der Task so aussehen:

TPM checken -> EK Key checken -> ownership übernehmen -> SRK erstellen

Denn ohne TPM Ownership kein SRK.

Am Ende macht eurer Task aber eigentlich alles richtig. Er übernimmt die Ownership des TPM und erstellt dann einen Storage Root Key und kann somit dann auch verschlüsseln.

Grüße

Tom

das erste Script funktioniert, nach einem Reboot muss F12 to clear and enable TPM gedrückt werden, danach erfolgt der Aufruf des zweiten Scripts, was aber folgende Fehlermeldung mit sich bringt:

The task sequence execution engine successfully completed the action (TPMStatus2) in the group (Install Operating System) with exit code 0
Action output: ... easing
Released the resolved source C:\_SMSTaskSequence\Packages\NPS0022F
SYou cannot call a method on a null-valued expression.

der anschließende Schritt Bitlocker pre-provision bringt weiterhin folgende Meldung:

The task sequence execution engine successfully completed the action (Pre-provision BitLocker) in the group (Install Operating System) with exit code 0
Action output: ==============================[ OSDOfflineBitlocker.exe ]==============================
Command line: "OSDOfflineBitlocker.exe" /enable /ignoretpm:True
Initialized COM
Command line for extension .exe is "%1" %*
Set command line: "OSDOfflineBitlocker.exe" /enable /ignoretpm:True
Target drive, disk index and partition index are not specified. We should use current system partition.
Initializing TPM...
Tpm is enabled
Tpm is activated
Tpm is not owned
Tpm ownership is allowed
uStatus == 0, HRESULT=80280058 (e:\qfe\nts\sms\framework\tscore\tpm.cpp,503)
Tpm does not have compatible SRK
Tpm has EK pair
Initial TPM state: 39
Creating TPM owner authorization value
Succeeded loading resource DLL 'X:\sms\bin\x64\1033\TSRES.DLL'
Taking ownership of TPM
'IsSrkAuthCompatible' failed (2150105176)
Resetting TPM Storage Root Key
Searching for next available system volume:
 Used Space Only encryption is now in progress..

Die TS läuft soweit durch. Nur das TPM Modul meldet unter Windows "The TPM is ready for use, with reduced funktionallity. Auch ist das TPM Kennwort ist nicht in der MBAM Database, das Notebook ist aber komplett verschlüsselt.

Nochmal das Gerät spezifizieren bitte. Das geht da um einen E7450 mit TPM 1.2?

Bios Settings sind:

Uefi oder Legacy?
Secure Boot an oder aus?
GPT Partition?

Für Geräte mit TPM 1.2 dürfte dieser Fehler meiner Meinung nach so nicht auftreten. Für Geräte mit TPM 2.0 kann der Fehler so auftreten. Wenn gewisse Voraussetzungen nicht erfüllt sind. 

Ihr bekommt ja wahrscheinlich den Fehler erst seit dem Windows 10 Deployment. Windows 7 Deployment mit Bitlocker war kein Problem?

Grüße

Tom

PS: und updated bitte mal trotzdem den Control Vault am E7450 - das ist zu gut deutsch der TPM.

Ok. Sieht soweit chic aus.

Mach das Update und gib mir dann bitte nochmal Bescheid. 

Danke & Grüße

Tom

Nach Anpassung des Partition Disk Steps ist alles ok. Vielen Dank für die Unterstützung.

Oh - ok. Stimmt der BitLocker benötigt ja eine freie Partition. von dort bootet er dann in den verschlüsselten Bereich. Das war der Trick bzw. das fehlende Puzzleteil?

Grüße

Tom