Bei der Aktualisierung von SCCM wird auch immer das Bootimage aktualisiert auf die neueste Version. Wenn man im Unternehmen damit aber auch weiterhin Windows 7 deployed und mit Bitlocker die Festplatten verschlüsselt taucht folgende Fehlermeldung nach der Installation des Betriebssystems auf:

FILE: \WINDOWS\system32\winload.exe

Status: 0xc210000

Info: The action could not be completed because the Bitlocker Drive Encryption key required to unlock the volume could not be obtained.

Hört sich erstmal ganz schlimm an, ist es aber nicht. Zum Hintergrund muss man verstehen, dass die Bitlocker Verschlüsselungsroutinen sich mit Windows 10 ändern. Die neue Verschlüsselungsroutine XTS-AES kann nicht von Windows 7 gelesen werden und daher kommt es zu dieser Fehlermeldung.

Das betroffene Bootimage ist das was beim Upgrade von v1511 auf die nächste Version aktualisiert wird.

Um das Deployment zu reparieren muss die Tasksequenz angepackt werden.
Hier müssen vor dem Step Pre-Provision Bitlocker drei Registrykeys gesetzt werden:

reg add HKLM\SOFTWARE\Policies\Microsoft\FVE /t REG_DWORD /v EncryptionMethodWithXtsFdv /d 3 /f
reg add HKLM\SOFTWARE\Policies\Microsoft\FVE /t REG_DWORD /v EncryptionMethodWithXtsOs /d 3 /f
reg add HKLM\SOFTWARE\Policies\Microsoft\FVE /t REG_DWORD /v EncryptionMethodWithXtsRdv /d 3 /f

Damit bringt man dem Bootimage bei, dass AES-CBC 128bit benutzt werden soll das von Windows 7 verstanden wird.

Die Keys müssen gesetzt werden bevor Bitlocker Pre-Provisioning passiert:

Die Schritte in der Tasksequenz sind vom Typ General -> Run Command Line :

Die Values stehen dabei für folgende Verschlüsselungsroutinen:
3 = AES-CBC 128-bit
4 = AES-CBC 256-bit
6 = XTS-AES 128-bit
7 = XTS-AES 256-bit