Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Mithilfe der BitLocker-Netzwerksperrfunktion können Computer remote verwaltet werden, ohne beim Starten jedes Computers eine BitLocker-PIN eingeben zu müssen. Um dieses Verhalten zu konfigurieren, muss die Umgebung die folgenden Anforderungen erfüllen:
- Jeder Computer gehört zu einer Domäne.
- Jeder Computer verfügt über eine kabelgebundene Verbindung mit dem internen Netzwerk.
- Das interne Netzwerk verwendet DHCP zum Verwalten von IP-Adressen.
- Jeder Computer verfügt über einen DHCP-Treiber, der in seiner Unified Extensible Firmware Interface (UEFI)-Firmware implementiert ist.
Allgemeine Richtlinien zum Behandeln der Problembehandlung bei der BitLocker-Netzwerksperrung finden Sie unter Aktivieren der Netzwerksperrung: Problembehandlung bei der Netzwerkentsperrung.
In diesem Artikel werden mehrere bekannte Probleme beschrieben, die auftreten können, wenn die BitLocker-Netzwerkentsperrung verwendet wird, und enthält Anleitungen zur Behebung dieser Probleme.
Tipp
Die BitLocker-Netzwerkentsperrung kann erkannt werden, wenn sie auf einem bestimmten Computer aktiviert ist, die folgenden Schritte auf UEFI-Computern ausführen:
Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:
manage-bde.exe -protectors -get <Drive>Zum Beispiel:
manage-bde.exe -protectors -get C:Wenn die Ausgabe dieses Befehls eine Schlüsselschutzvorrichtung vom Typ TpmCertificate (9) enthält, ist die Konfiguration für die BitLocker-Netzwerksperrung korrekt.
Starten Sie den Registrierungs-Editor, und überprüfen Sie die folgenden Einstellungen:
Der folgende Registrierungsschlüssel ist vorhanden und hat den folgenden Wert:
- Unterschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE - Typ:
REG_DWORD - Wert:
OSManageNKPgleich1(True)
- Unterschlüssel:
Der Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\FVE_NKP\Certificatesenthält einen Eintrag, dessen Name dem Namen des Zertifikatfingerabdrucks der BitLocker-Schlüsselschutzvorrichtung für die Netzwerksperrung entspricht, die in Schritt 1 gefunden wurde.
Auf einem Surface Pro 4-Gerät funktioniert die BitLocker-Netzwerksperrung nicht, da der UEFI-Netzwerkstapel falsch konfiguriert ist.
Nehmen Sie das folgende Szenario als Beispiel:
Die BitLocker-Netzwerkentsperrung wurde wie in BitLocker beschrieben konfiguriert: Aktivieren der Netzwerkentsperrung. UEFI eines Surface Pro 4 wurde für die Verwendung von DHCP konfiguriert. Wenn surface Pro 4 jedoch neu gestartet wird, fordert es weiterhin eine BitLocker-PIN auf.
Wenn Sie ein anderes Gerät testen, z. B. einen anderen Tablet- oder Laptop-PC, der für die Verwendung derselben Infrastruktur konfiguriert ist, wird das Gerät wie erwartet neu gestartet, ohne zur Eingabe der BitLocker-PIN aufzufordern. Dieser Test bestätigt, dass die Infrastruktur ordnungsgemäß konfiguriert ist und das Problem für das Gerät spezifisch ist.
Ursache für die BitLocker-Netzwerkentsperrung funktioniert nicht auf Surface Pro 4
Der UEFI-Netzwerkstapel auf dem Gerät ist falsch konfiguriert.
Auflösung für die BitLocker-Netzwerkentsperrung funktioniert nicht auf Surface Pro 4
Um den UEFI-Netzwerkstapel des Surface Pro 4 ordnungsgemäß zu konfigurieren, muss der Microsoft Surface Enterprise Management Mode (SEMM) verwendet werden. Informationen zu SEMM finden Sie unter Registrieren und Konfigurieren von Surface-Geräten mit SEMM.
Notiz
Wenn SEMM nicht verwendet werden kann, kann surface Pro 4 möglicherweise BitLocker-Netzwerksperrung verwenden, indem sie Surface Pro 4 so konfiguriert, dass das Netzwerk als erste Startoption verwendet wird.
Die BitLocker-Netzwerksperrfunktion auf einem Windows-Clientcomputer kann nicht verwendet werden.
Nehmen Sie das folgende Szenario als Beispiel:
Die BitLocker-Netzwerkentsperrung wurde wie in BitLocker beschrieben konfiguriert: Aktivieren der Netzwerkentsperrung. Ein Windows 8-Clientcomputer ist mit einem Ethernet-Kabel mit dem internen Netzwerk verbunden. Wenn das Gerät jedoch neu gestartet wird, fordert das Gerät weiterhin die BitLocker-PIN an.
Ursache für die Verwendung der BitLocker-Netzwerksperrfunktion auf einem Windows-Clientcomputer
Ein windows 8-basierter oder Windows Server 2012-basierter Clientcomputer empfängt oder verwendet manchmal nicht die BitLocker-Netzwerksperrschutzkomponente, je nachdem, ob der Client nicht verwandte BOOTP-Antworten von einem DHCP-Server oder WDS-Server empfängt.
DHCP-Server können alle DHCP-Optionen an einen BOOTP-Client senden, wie die DHCP-Optionen und BOOTP-Anbietererweiterungen zulässig sind. Dieses Verhalten bedeutet, dass der DHCP-Server, da ein DHCP-Server BOOTP-Clients unterstützt, auf BOOTP-Anforderungen antwortet.
Die Art und Weise, wie ein DHCP-Server eine eingehende Nachricht verarbeitet, hängt teilweise davon ab, ob die Nachricht die Option "Nachrichtentyp" verwendet:
- Die ersten beiden Nachrichten, die der BitLocker-Netzwerkentsperrungsclient sendet, sind DHCP DISCOVER\REQUEST-Nachrichten. Sie verwenden die Option "Nachrichtentyp", sodass der DHCP-Server sie als DHCP-Nachrichten behandelt.
- Die dritte Nachricht, die der BitLocker-Netzwerkentsperrungsclient sendet, verfügt nicht über die Option "Nachrichtentyp". Der DHCP-Server behandelt die Nachricht als BOOTP-Anforderung.
Ein DHCP-Server, der BOOTP-Clients unterstützt, muss gemäß dem BOOTP-Protokoll mit diesen Clients interagieren. Der Server muss eine BOOTP BOOTREPLY-Nachricht anstelle einer DHCP-DHCPOFFER-Nachricht erstellen. Mit anderen Worten, der Server darf den DHCP-Nachrichtenoptionstyp nicht enthalten und darf die Größenbeschränkung für BOOTREPLY-Nachrichten nicht überschreiten. Nachdem der Server die BOOTP BOOTREPLY-Nachricht gesendet hat, kennzeichnet der Server eine Bindung für einen BOOTP-Client als BOUND. Ein Nicht-DHCP-Client sendet weder eine DHCPREQUEST-Nachricht noch erwartet dieser Client eine DHCPACK-Nachricht.
Wenn ein DHCP-Server, der nicht für die Unterstützung von BOOTP-Clients konfiguriert ist, eine BOOTREQUEST-Nachricht von einem BOOTP-Client empfängt, verwirft dieser Server die BOOTREQUEST-Nachricht im Hintergrund.
Weitere Informationen zur DHCP- und BitLocker-Netzwerkentsperrung finden Sie unter BitLocker: Aktivieren der Netzwerkentsperrung: Netzwerkentsperrungssequenz.
Auflösung für die Nichtverwendung der BitLocker-Netzwerksperrfunktion auf einem Windows-Clientcomputer
Um dieses Problem zu beheben, ändern Sie die Konfiguration des DHCP-Servers, indem Sie die DHCP-Option von DHCP und BOOTP in DHCP ändern.