Freigeben über


BitLocker und TPM: Andere bekannte Probleme

In diesem Artikel werden häufige Probleme beschrieben, die sich direkt auf das Tpm (Trusted Platform Module) beziehen, und enthält Anleitungen zur Behebung dieser Probleme.

Microsoft Entra ID: Windows Hello for Business und einmaliges Anmelden funktionieren nicht

Stellen Sie sich folgendes Szenario vor:

Ein Microsoft Entra eingebundener Clientcomputer kann nicht ordnungsgemäß authentifiziert werden. Auf dem Computer tritt mindestens eines der folgenden Symptome auf:

  • Windows Hello for Business funktioniert nicht
  • Fehler beim bedingten Zugriff
  • Einmaliges Anmelden (Single Sign-On, SSO) funktioniert nicht

Darüber hinaus protokolliert der Computer in Ereignisanzeige unter Windows Logs>System das folgende Ereignis mit der Ereignis-ID 1026:

Protokollname: System
Quelle: Microsoft-Windows-TPM-WMI
Datum: <Datum und Uhrzeit>
Ereigniskennung: 1026
Aufgabenkategorie: Keine
Ebene: Informationen
Schlüsselwörter:
Benutzer: SYSTEM
Computer: <Computername>
Beschreibung:
Die TPM-Hardware (Trusted Platform Module) auf diesem Computer kann nicht automatisch zur Verwendung bereitgestellt werden. Verwenden Sie zum interaktiven Einrichten des TPM die TPM-Verwaltungskonsole (Start-tpm.msc>), und verwenden Sie die Aktion, um das TPM bereit zu machen.
Fehler: Das TPM schützt vor Wörterbuchangriffen und befindet sich in einem Timeoutzeitraum.
Weitere Informationen: 0x840000

Ursache der Microsoft Entra ID: Windows Hello for Business und einmaliges Anmelden funktionieren nicht.

Dieses Ereignis gibt an, dass das TPM nicht bereit ist oder über eine Einstellung verfügt, die den Zugriff auf die TPM-Schlüssel verhindert.

Darüber hinaus gibt das Verhalten an, dass der Clientcomputer kein primäres Aktualisierungstoken (PRIMARY Refresh Token, PRT) abrufen kann.

Lösung für Microsoft Entra ID: Windows Hello for Business und einmaliges Anmelden funktionieren nicht

Um die status des PRT zu überprüfen, verwenden Sie den Befehl dsregcmd.exe /status, um Informationen zu sammeln. Überprüfen Sie in der Toolausgabe, ob entweder der Benutzerzustand oder der SSO-Zustand das Attribut AzureAdPrt enthält. Wenn der Wert dieses Attributs Nein ist, wurde das PRT nicht ausgegeben. Wenn der Wert des Attributs Nein ist, kann dies darauf hindeuten, dass der Computer sein Zertifikat nicht für die Authentifizierung vorlegen konnte.

Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben:

  1. Öffnen Sie die TPM-Verwaltungskonsole (tpm.msc), indem Sie Start auswählen und tpm.msc in das Suchfeld eingeben.

  2. Wenn ein Hinweis angezeigt wird, um entweder das TPM zu entsperren oder die Sperre zurückzusetzen, wenden Sie sich an den Hardwarehersteller, um zu ermitteln, ob es eine bekannte Lösung für das Problem gibt.

  3. Wenn das Problem nach der Kontaktaufnahme mit dem Hardwarehersteller immer noch nicht behoben ist, löschen Sie das TPM, und initialisieren Sie es erneut, indem Sie die Anweisungen im Artikel Problembehandlung für das TPM: Löschen aller Schlüssel aus dem TPM befolgen.

    Warnung

    Das Löschen des TPM kann zu Datenverlusten führen.

Wenn es in Schritt 2 keine Benachrichtigung gibt, das TPM zu entsperren oder die Sperre zurückzusetzen, überprüfen Sie die UEFI-Firmware-/BIOS-Einstellungen des Computers auf einstellungen, die zum Zurücksetzen oder Deaktivieren der Sperre verwendet werden können.

TPM 1.2-Fehler: Fehler beim Laden der Verwaltungskonsole. Das gerät, das vom Kryptografieanbieter benötigt wird, ist nicht einsatzbereit.

Stellen Sie sich folgendes Szenario vor:

Wenn Sie versuchen, das TPM-Verwaltungskonsole auf einem Windows-Computer zu öffnen, der TPM-Version 1.2 verwendet, wird die folgende Meldung angezeigt:

Fehler beim Laden des Verwaltungskonsole. Das gerät, das vom Kryptografieanbieter benötigt wird, ist nicht einsatzbereit.
HRESULT 0x800900300x80090030 – NTE_DEVICE_NOT_READY
Das gerät, das von diesem Kryptografieanbieter benötigt wird, ist nicht einsatzbereit.
TPM-Spezifikationsversion: TPM v1.2

Auf einem anderen Gerät, auf dem dieselbe Version von Windows ausgeführt wird, kann die TPM-Verwaltungskonsole geöffnet werden.

Ursache (vermutet) des TPM 1.2-Fehlers: Fehler beim Laden der Verwaltungskonsole. Das gerät, das vom Kryptografieanbieter benötigt wird, ist nicht einsatzbereit.

Diese Symptome deuten darauf hin, dass das TPM Hardware- oder Firmwareprobleme aufweist.

Lösung für TPM 1.2-Fehler: Fehler beim Laden der Verwaltungskonsole. Das gerät, das vom Kryptografieanbieter benötigt wird, ist nicht einsatzbereit.

So lösen Sie das Problem:

  • Wechseln Sie den TPM-Betriebsmodus von Version 1.2 auf Version 2.0, wenn diese Option auf dem Gerät verfügbar ist.

  • Wenn das Problem durch das Wechseln des TPM von Version 1.2 auf Version 2.0 nicht behoben wird oder wenn auf dem Gerät die TPM-Version 2.0 nicht verfügbar ist, wenden Sie sich an den Hardwareanbieter, um zu ermitteln, ob ein UEFI-Firmwareupdate/BIOS-Update/TPM-Update für das Gerät vorhanden ist. Wenn ein Update verfügbar ist, installieren Sie das Update, um festzustellen, ob das Problem dadurch behoben wird.

  • Wenn das Problem durch aktualisieren der UEFI-Firmware/des BIOS nicht behoben wird oder kein Update verfügbar ist, sollten Sie erwägen, die Hauptplatine des Geräts zu ersetzen, indem Sie sich an den Hardwareanbieter wenden. Nachdem die Hauptplatine ausgetauscht wurde, wechseln Sie den TPM-Betriebsmodus von Version 1.2 auf Version 2.0, sofern diese Option verfügbar ist.

    Warnung

    Das Ersetzen der Hauptplatine führt dazu, dass Daten im TPM verloren gehen.

Geräte treten aufgrund eines TPM-Problems nicht hybriden Microsoft Entra ID bei

Beim Versuch, ein Gerät mit einer Hybrid-Microsoft Entra ID zu verbinden, scheint der Joinvorgang fehlzuschlagen.

Um zu überprüfen, ob der Join erfolgreich war, verwenden Sie den Befehl dsregcmd /status. In der Toolausgabe geben die folgenden Attribute an, dass der Join erfolgreich war:

  • AzureAdJoined: JA
  • DomainName: <Lokale Domänenname>

Wenn der Wert von AzureADJoinedAuf Nein festgelegt ist, ist der Joinvorgang fehlgeschlagen.

Ursachen und Lösungen für Geräte, die aufgrund eines TPM-Problems nicht hybrid Microsoft Entra ID beitreten

Dieses Problem kann auftreten, wenn das Windows-Betriebssystem nicht der Besitzer des TPM ist. Die spezifische Behebung dieses Problems hängt davon ab, welche Fehler oder Ereignisse angezeigt werden, wie in der folgenden Tabelle gezeigt:

Nachricht Grund Lösung
NTE_BAD_KEYSET (0x80090016/-2146893802) TPM-Vorgang fehlgeschlagen oder ungültig Dieses Problem wurde wahrscheinlich durch ein beschädigtes Sysprep-Image verursacht. Stellen Sie beim Erstellen eines Sysprep-Images sicher, dass Sie einen Computer verwenden, der nicht mit Microsoft Entra ID oder Hybrid-Microsoft Entra ID verknüpft ist oder in diesem registriert ist.
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) Generischer TPM-Fehler. Wenn das Gerät diesen Fehler zurückgibt, deaktivieren Sie das TPM. Windows 10, Version 1809 und höheren Versionen erkennen Sie TPM-Fehler automatisch, und schließen Sie die Microsoft Entra Hybridjoin ab, ohne das TPM zu verwenden.
TPM_E_NOTFIPS (0x80280036/-2144862154) Der FIPS-Modus des TPM wird derzeit nicht unterstützt. Wenn das Gerät diesen Fehler gibt, deaktivieren Sie das TPM. Windows 10, Version 1809 und höheren Versionen erkennen Sie TPM-Fehler automatisch, und schließen Sie die Microsoft Entra Hybridjoin ab, ohne das TPM zu verwenden.
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) Das TPM ist gesperrt. Dieser Fehler ist vorübergehend. Warten Sie auf den Abkühlzeitraum, und wiederholen Sie dann den Joinvorgang.

Weitere Informationen zu TPM-Problemen finden Sie in den folgenden Artikeln: