BitLocker kann ein Laufwerk nicht verschlüsseln: Bekannte TPM-Probleme

  • Artikel

In diesem Artikel werden häufige Probleme beschrieben, die sich auf das Trusted Platform Module (TPM) auswirken, die möglicherweise verhindern, dass BitLocker ein Laufwerk verschlüsselt. Dieser Artikel enthält auch Anleitungen zur Behebung dieser Probleme.

Hinweis

Wenn festgestellt wurde, dass das BitLocker-Problem nicht das TPM betrifft, lesen Sie BitLocker kann ein Laufwerk nicht verschlüsseln: bekannte Probleme.

Das TPM ist gesperrt, und der Fehler The TPM is defending against dictionary attacks and is in a time-out period wird angezeigt.

Es wurde versucht, die BitLocker-Laufwerkverschlüsselung auf einem Gerät zu aktivieren, aber es schlägt mit einer Fehlermeldung ähnlich der folgenden Fehlermeldung fehl:

Das TPM schützt vor Wörterbuchangriffen und befindet sich in einem Timeout.

Ursache für die Sperre des TPM

Das TPM ist gesperrt.

Lösung für das gesperrte TPM

Um dieses Problem zu beheben, muss das TPM zurückgesetzt und gelöscht werden. Das TPM kann mit den folgenden Schritten zurückgesetzt und gelöscht werden:

  1. Öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten, und führen Sie das folgende Skript aus:

    $Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm"
$ConfirmationStatus = $Tpm.GetPhysicalPresenceConfirmationStatus(22).ConfirmationStatus
if($ConfirmationStatus -ne 4) {$Tpm.SetPhysicalPresenceRequest(22)}

  2. Starten Sie den Computer neu. Wenn eine Eingabeaufforderung angezeigt wird, die das Löschen des TPM bestätigt, stimmen Sie dem Löschen des TPM zu.

  3. Melden Sie sich bei Windows an, und versuchen Sie erneut, die BitLocker-Laufwerkverschlüsselung zu starten.

Warnung

Das Zurücksetzen und Löschen des TPM kann zu Datenverlusten führen.

Das TPM kann nicht mit dem Fehler vorbereitet werden. The TPM is defending against dictionary attacks and is in a time-out period

Es wurde versucht, die BitLocker-Laufwerkverschlüsselung auf einem Gerät zu aktivieren, aber es tritt ein Fehler auf. Bei der Problembehandlung wird der TPM-Verwaltungskonsole (tpm.msc) verwendet, um zu versuchen, das TPM auf dem Gerät vorzubereiten. Der Vorgang schlägt mit einer Fehlermeldung ähnlich der folgenden Fehlermeldung fehl:

Das TPM schützt vor Wörterbuchangriffen und befindet sich in einem Timeout.

Ursache für die Nichtvorbereitung des TPM

Das TPM ist gesperrt.

Lösung für tpm-Fehler bei der Vorbereitung

Um dieses Problem zu beheben, deaktivieren und aktivieren Sie das TPM mit den folgenden Schritten erneut:

  1. Geben Sie die UEFI/BIOS-Konfigurationsbildschirme des Geräts ein, indem Sie das Gerät neu starten und während des Gerätestarts die entsprechende Tastenkombination drücken. Wenden Sie sich an den Gerätehersteller, um die entsprechende Tastenkombination für den Einstieg in die UEFI-/BIOS-Konfigurationsbildschirme zu erhalten.

  2. Deaktivieren Sie das TPM auf den UEFI-/BIOS-Konfigurationsbildschirmen. Wenden Sie sich an den Gerätehersteller, um Anweisungen zum Deaktivieren des TPM auf den UEFI-/BIOS-Konfigurationsbildschirmen zu erhalten.

  3. Speichern Sie die UEFI/BIOS-Konfiguration mit deaktiviertem TPM, und starten Sie das Gerät neu, um in Windows zu starten.

  4. Kehren Sie nach der Anmeldung bei Windows zum TPM-Verwaltungskonsole zurück. Eine Fehlermeldung ähnlich der folgenden Fehlermeldung wird angezeigt:

    Kompatibles TPM nicht gefunden

    Kompatibles Trusted Platform Module (TPM) kann auf diesem Computer nicht gefunden werden. Vergewissern Sie sich, dass dieser Computer über 1.2 TPM verfügt und im BIOS aktiviert ist.

    Diese Meldung wird erwartet, da das TPM derzeit in der UEFI-Firmware/im BIOS des Geräts deaktiviert ist.

  5. Starten Sie das Gerät neu, und geben Sie die UEFI-/BIOS-Konfigurationsbildschirme erneut ein.

  6. Aktivieren Sie das TPM in den UEFI-/BIOS-Konfigurationsbildschirmen erneut.

  7. Speichern Sie die UEFI-/BIOS-Konfiguration mit aktiviertem TPM, und starten Sie das Gerät neu, um in Windows zu starten.

  8. Kehren Sie nach der Anmeldung bei Windows zum TPM-Verwaltungskonsole zurück.

Wenn das TPM immer noch nicht vorbereitet werden kann, löschen Sie die vorhandenen TPM-Schlüssel, indem Sie die Anweisungen im Artikel Problembehandlung für das TPM: Löschen aller Schlüssel aus dem TPM befolgen.

Warnung

Das Löschen des TPM kann zu Datenverlusten führen.

BitLocker kann mit dem Fehler Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 oder nicht aktiviert werden. Insufficient Rights

Die Richtlinie BitLocker nicht aktivieren, bis Wiederherstellungsinformationen in AD DS gespeichert sind , wird in der Umgebung erzwungen. Es wurde versucht, die BitLocker-Laufwerkverschlüsselung auf einem Gerät zu aktivieren, schlägt jedoch mit der Fehlermeldung oder Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005Insufficient Rightsfehl.

Ursache von Access Denied oder Insufficient Rights

Das TPM verfügte nicht über ausreichende Berechtigungen für den TPM-Gerätecontainer in Active Directory Domain Services (AD DS). Daher konnten die BitLocker-Wiederherstellungsinformationen nicht in AD DS gesichert werden, und die BitLocker-Laufwerkverschlüsselung konnte nicht aktiviert werden.

Dieses Problem scheint auf Computer beschränkt zu sein, auf denen Versionen von Windows ausgeführt werden, die älter als Windows 10 sind.

Lösung für Access Denied oder Insufficient Rights

Um zu überprüfen, ob dieses Problem auftritt, verwenden Sie eine der folgenden beiden Methoden:

  • Deaktivieren Sie die Richtlinie, oder entfernen Sie den Computer aus der Domäne, und versuchen Sie erneut, die BitLocker-Laufwerkverschlüsselung zu aktivieren. Wenn der Vorgang erfolgreich ist, wurde das Problem durch die Richtlinie verursacht.

  • Verwenden Sie LDAP- und Netzwerkablaufverfolgungstools, um den LDAP-Austausch zwischen dem Client und dem AD DS-Domänencontroller zu untersuchen, um die Ursache des Fehlers "Zugriff verweigert " oder " Unzureichende Rechte " zu ermitteln. In diesem Fall sollte ein Fehler angezeigt werden, wenn der Client versucht, auf sein Objekt im CN=TPM Devices,DC=<domain>,DC=com Container zuzugreifen.

  1. Um die TPM-Informationen für den betroffenen Computer zu überprüfen, öffnen Sie ein Fenster mit erhöhten Windows PowerShell, und führen Sie den folgenden Befehl aus:

    Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-TPMInformationForComputer

    In diesem Befehl ist ComputerName der Name des betroffenen Computers.

  2. Um das Problem zu beheben, verwenden Sie ein Tool wie dsacls.exe , um sicherzustellen, dass die Zugriffssteuerungsliste von msTPM-TPMInformationForComputer sowohl Lese - als auch Schreibberechtigungen für NTAUTHORITY/SELF gewährt.

Das TPM kann nicht mit dem Fehler vorbereitet werden. 0x80072030: There is no such object on the server

Domänencontroller wurden von Windows Server 2008 R2 auf Windows Server 2012 R2 aktualisiert. Es ist ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) vorhanden, das die Richtlinie BitLocker nicht aktivieren erzwingt, bis Wiederherstellungsinformationen in AD DS gespeichert sind .

Es wurde versucht, die BitLocker-Laufwerkverschlüsselung auf einem Gerät zu aktivieren, aber es tritt ein Fehler auf. Bei der Problembehandlung wird der TPM-Verwaltungskonsole (tpm.msc) verwendet, um zu versuchen, das TPM auf dem Gerät vorzubereiten. Der Vorgang schlägt mit einer Fehlermeldung ähnlich der folgenden Fehlermeldung fehl:

0x80072030 Es ist kein solches Objekt auf dem Server vorhanden, wenn eine Richtlinie zum Sichern von TPM-Informationen in Active Directory aktiviert ist.

Es wurde bestätigt, dass die Attribute ms-TPM-OwnerInformation und msTPM-TpmInformationForComputer vorhanden sind.

Ursache der 0x80072030: Auf dem Server ist kein solches Objekt vorhanden.

Die Domänen- und Gesamtstrukturfunktionsebene der Umgebung ist möglicherweise weiterhin auf Windows 2008 R2 festgelegt. Darüber hinaus sind die Berechtigungen in AD DS möglicherweise nicht ordnungsgemäß festgelegt.

Lösung für 0x80072030: Auf dem Server ist kein solches Objekt vorhanden.

Das Problem kann mit den folgenden Schritten behoben werden:

  1. Aktualisieren Sie die Funktionsebene der Domäne und Gesamtstruktur auf Windows Server 2012 R2.

  2. Laden Sie Add-TPMSelfWriteACE.vbsherunter.

  3. Ändern Sie im Skript den Wert von strPathToDomain in den Domänennamen des organization.

  4. Öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

    cscript.exe <Path>\Add-TPMSelfWriteACE.vbs

    In diesem Befehl < ist Path> der Pfad zur Skriptdatei.

Weitere Informationen finden Sie in den folgenden Artikeln: