Windows 10 (1803) になった途端に BitLocker 暗号化が実行されなくなった
Active Directory に参加させた PC を所定の OU に移動させ、BitLocker に関するグループ ポリシー オブジェクトを食ったのを確認し、その PC にて BitLocker 管理ツールからシステム ドライブを暗号化しようとするとActive Directory ドメイン サービス スキーマは Bitlocker ドライブ暗号化を実行するように構成されていません。 システム管理者に問い合わせてください。のようなエラーが発生。
GPO で 「AD DS にオペレーティング システム ドライブの回復情報が格納されるまで BitLocker を有効にしない」 にしてあるので、「AD に格納できる準備ができてないから暗号化をしなかった」 という事でしょう。
いや、Windows 10 (1709) までは正常に暗号化されているわけで、何かがおかしい。
とりあえず成功した
対象 PC のローカル Administrators に所属している、Active Directory 側のユーザーで作業をすれば成功しました。TechNet の US フォーラム BitLocker on Windows 10 1803 というスレッド、というかそこから飛んだ先にある Reddit の Bitlocer with AD-stored keys bloken on new 1803 installs? というスレッドのなかでサラっと成功談が書いてありましたね。
それまでの作業方法はというと、ます PC の Administrators に参加させたローカル作業用アカウントで作業を進めていた。
たまに AD 側への認証が必要になる場面では、必要とされる資格情報を入力してパスしていく。
その流れで暗号化処理もおこなっていたのだけれど、理由は不明だが、作業者なら作業者の AD 側のアカウントを PC のローカル Administrators に参加させ、その AD 側のアカウントでログオンして暗号化処理を行えばよいとの事。
根本的な解決方法にしては腑に落ちないけれど、とりあえず今回の事象に対してはこの対策法ですすめることにした。
Windows 10 (1803) 用の ADMX が公開されてるよ
これはエラーの件とは無関係だと思いますが、Windows 10 (1803) 向けのグループ ポリシー テンプレートが公開されているとのことで、こいつを早速 Active Directory のセントラル ストアに入れてしまいます。Administrative Templates (.admx) for Windows 10 April 2018 Update (1803) - 日本語
ここからダウンロードした Administrative Templates (.admx) for Windows 10 April 2018 Update.msi をドメインコントローラー上で実行し、C:\Program Files (x86)\Microsoft Group Policy\Windows 10 April 2018 Update (1803) に展開された PolicyDefinitions フォルダーの中身をすべてセントラル ストアにコピー。
あとは他のサイトにあるドメイン コントローラーにも複製されるのを待つだけ。
待つだけ。
いつまで?
いつまで待てばいいの?
とか気になっていたら 「古い Active Directory からバージョンアップしてきた場合、ファイル複製の機能のままになってるかもよ。 今は DFSR だよ」 なんていう記事を発見。。。
そして FSR から DFSR へのマイグレーション
マイクロソフト Network & AD サポートチーム公式ブログの FSR から DFSR への移行 (SYSVOL) という記事に丁寧な手順が書いてある。さらに、毎度本当にお世話になっている富士通のサーバー関係の PDF 文書から今回は Windows Server 2012/2012 R2 Active Directory 移行の手引き の 3.2.6 SYSVOL 複製方式の変更 にも丁寧な手順が書いてある。
ローカルのサイトに PDC 役を含め DC が 2台、別のサイトに 2台、さらに別のサイトに RODC が 1台計 5台の DC で作業を開始。 途中 AD の複製スパンによる待ち時間が発生しつつ正味 3時間で再起動なしに終了。