Freigeben über

BitLocker-Netzwerkentsperrung: bekannte Probleme

  • Artikel

Mithilfe des BitLocker-Features zum Entsperren von Netzwerken können Computer remote verwaltet werden, ohne beim Starten jedes Computers eine BitLocker-PIN eingeben zu müssen. Um dieses Verhalten zu konfigurieren, muss die Umgebung die folgenden Anforderungen erfüllen:

  • Jeder Computer gehört zu einer Domäne.
  • Jeder Computer verfügt über eine kabelgebundene Verbindung mit dem internen Netzwerk.
  • Das interne Netzwerk verwendet DHCP zum Verwalten von IP-Adressen.
  • Jeder Computer verfügt über einen DHCP-Treiber, der in seiner UEFI-Firmware (Unified Extensible Firmware Interface) implementiert ist.

Allgemeine Richtlinien zur Problembehandlung bei der BitLocker-Netzwerkentsperrung finden Sie unter Aktivieren der Netzwerkentsperrung: Problembehandlung für die Netzwerkentsperrung.

In diesem Artikel werden mehrere bekannte Probleme beschrieben, die bei der Verwendung der BitLocker-Netzwerkentsperrung auftreten können, und enthält Anleitungen zum Beheben dieser Probleme.

Tipp

Die BitLocker-Netzwerkentsperrung kann erkannt werden, wenn sie auf einem bestimmten Computer aktiviert ist, indem Sie die folgenden Schritte auf UEFI-Computern ausführen:

  1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

    manage-bde.exe -protectors -get <Drive>

    Zum Beispiel:

    manage-bde.exe -protectors -get C:

    Wenn die Ausgabe dieses Befehls eine Schlüsselschutzvorrichtung vom Typ TpmCertificate (9) enthält, ist die Konfiguration für Die BitLocker-Netzwerkentsperrung korrekt.

  2. Starten Sie die Registrierungs-Editor, und überprüfen Sie die folgenden Einstellungen:

    1. Der folgende Registrierungsschlüssel ist vorhanden und hat den folgenden Wert:

      • Unterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE
      • Typ: REG_DWORD
      • Wert: OSManageNKP gleich 1 (True)

    2. Der Registrierungsschlüssel:

      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\FVE_NKP\Certificates

      verfügt über einen Eintrag, dessen Name mit dem Namen des Zertifikatfingerabdrucks der Schlüsselschutzvorrichtung für die BitLocker-Netzwerkentsperrung übereinstimmt, die in Schritt 1 gefunden wurde.

Auf einem Surface Pro 4 Gerät funktioniert die BitLocker-Netzwerkentsperrung nicht, da der UEFI-Netzwerkstapel falsch konfiguriert ist.

Stellen Sie sich folgendes Szenario vor:

Die BitLocker-Netzwerkentsperrung wurde wie unter BitLocker: Aktivieren der Netzwerkentsperrung beschrieben konfiguriert. UEFI eines Surface Pro 4 wurde für die Verwendung von DHCP konfiguriert. Wenn die Surface Pro 4 jedoch neu gestartet wird, wird weiterhin zur Eingabe einer BitLocker-PIN aufgefordert.

Beim Testen eines anderen Geräts, z. B. eines anderen Tablet- oder Laptop-PCs, das für die Verwendung derselben Infrastruktur konfiguriert ist, wird das Gerät wie erwartet neu gestartet, ohne zur Eingabe der BitLocker-PIN aufzufordern. Dieser Test bestätigt, dass die Infrastruktur ordnungsgemäß konfiguriert ist und das Problem spezifisch für das Gerät ist.

Ursache dafür, dass die BitLocker-Netzwerkentsperrung auf Surface Pro 4 nicht funktioniert

Der UEFI-Netzwerkstapel auf dem Gerät ist falsch konfiguriert.

Auflösung für BitLocker-Netzwerkentsperrung funktioniert nicht auf Surface Pro 4

Um den UEFI-Netzwerkstapel des Surface Pro 4 ordnungsgemäß zu konfigurieren, muss der Microsoft Surface Enterprise Management Mode (SEMM) verwendet werden. Informationen zu SEMM finden Sie unter Registrieren und Konfigurieren von Surface-Geräten mit SEMM.

Hinweis

Wenn SEMM nicht verwendet werden kann, kann der Surface Pro 4 möglicherweise die BitLocker-Netzwerkentsperrung verwenden, indem die Surface Pro 4 so konfiguriert wird, dass das Netzwerk als erste Startoption verwendet wird.

Das BitLocker-Netzwerkentsperrungsfeature kann auf einem Windows-Clientcomputer nicht verwendet werden

Stellen Sie sich folgendes Szenario vor:

Die BitLocker-Netzwerkentsperrung wurde wie unter BitLocker: Aktivieren der Netzwerkentsperrung beschrieben konfiguriert. Ein Windows 8 Clientcomputer ist mit einem Ethernet-Kabel mit dem internen Netzwerk verbunden. Wenn das Gerät jedoch neu gestartet wird, fordert das Gerät weiterhin zur Eingabe der BitLocker-PIN auf.

Ursache dafür, dass die BitLocker-Netzwerkentsperrung auf einem Windows-Clientcomputer nicht verwendet werden kann

Ein Windows 8- oder Windows Server 2012-basierter Clientcomputer empfängt oder verwendet manchmal die BitLocker-Schutzvorrichtung für die Netzwerkentsperrung nicht, je nachdem, ob der Client nicht verwandte BOOTP-Antworten von einem DHCP-Server oder WDS-Server empfängt.

DHCP-Server können alle DHCP-Optionen an einen BOOTP-Client senden, wie dies durch die DHCP-Optionen und BOOTP-Anbietererweiterungen zulässig ist. Dieses Verhalten bedeutet, dass der DHCP-Server auf BOOTP-Anforderungen antwortet, da ein DHCP-Server BOOTP-Clients unterstützt.

Die Art und Weise, wie ein DHCP-Server eine eingehende Nachricht verarbeitet, hängt teilweise davon ab, ob die Nachricht die Option Nachrichtentyp verwendet:

  • Die ersten beiden Nachrichten, die der BitLocker-Netzwerkentsperrungsclient sendet, sind DHCP DISCOVER\REQUEST-Nachrichten. Sie verwenden die Option Nachrichtentyp, sodass sie vom DHCP-Server als DHCP-Nachrichten behandelt werden.
  • Die dritte Nachricht, die der BitLocker-Netzwerkentsperrungsclient sendet, verfügt nicht über die Option Nachrichtentyp. Der DHCP-Server behandelt die Nachricht als BOOTP-Anforderung.

Ein DHCP-Server, der BOOTP-Clients unterstützt, muss mit diesen Clients gemäß dem BOOTP-Protokoll interagieren. Der Server muss anstelle einer DHCP-DHCPOFFER-Nachricht eine BOOTP BOOTREPLY-Nachricht erstellen. Anders ausgedrückt: Der Server darf nicht den DHCP-Nachrichtenoptionstyp enthalten und darf den Größengrenzwert für BOOTREPLY-Nachrichten nicht überschreiten. Nachdem der Server die BOOTP BOOTREPLY-Nachricht gesendet hat, markiert der Server eine Bindung für einen BOOTP-Client als BOUND. Ein Nicht-DHCP-Client sendet keine DHCPREQUEST-Nachricht, und dieser Client erwartet auch keine DHCPACK-Nachricht.

Wenn ein DHCP-Server, der nicht für die Unterstützung von BOOTP-Clients konfiguriert ist, eine BOOTREQUEST-Nachricht von einem BOOTP-Client empfängt, verwirft dieser Server die BOOTREQUEST-Nachricht im Hintergrund.

Weitere Informationen zu DHCP und der BitLocker-Netzwerkentsperrung finden Sie unter BitLocker: Aktivieren der Netzwerkentsperrung: Sequenz zum Entsperren des Netzwerks.

Lösung für die Verwendung der BitLocker-Netzwerkentsperrung auf einem Windows-Clientcomputer nicht möglich

Um dieses Problem zu beheben, ändern Sie die Konfiguration des DHCP-Servers, indem Sie die DHCP-Option von DHCP und BOOTP in DHCP ändern.