BitLocker: ネットワーク ロック解除を有効にする方法

適用対象:

  • Windows 10
  • Windows 11
  • Windows Server 2016 以上

この記事では、BitLocker ネットワーク ロック解除のしくみと構成方法について説明します。

ネットワーク ロック解除は、オペレーティング システム ボリュームの BitLocker 保護機能オプションです。 ネットワーク ロック解除を使用すると、有線企業ネットワークに接続したときにシステムの再起動時にオペレーティング システム ボリュームの自動ロック解除を提供することで、ドメイン環境内の BitLocker 対応デスクトップとサーバーの管理が容易になります。 この機能では、クライアント ハードウェアに DHCP ドライバーを UEFI ファームウェアに実装する必要があります。 ネットワーク ロック解除を使用しない場合、TPM+ PIN 保護機能によって保護されるオペレーティング システム ボリュームでは、コンピューターの再起動または休止状態からの再開時 (たとえば Wake on LAN など) に PIN を入力する必要があります。 再起動後に PIN を要求すると、企業が無人デスクトップやリモート管理サーバーにソフトウェア パッチをロールアウトすることが困難になる可能性があります。

ネットワーク ロック解除を使用すると、TPM+PIN を持ち、ハードウェア要件を満たす BitLocker 対応システムは、ユーザーの介入なしに Windows に起動できます。 ネットワーク ロック解除は、起動時の TPM+ StartupKey と同様の方法で動作します。 ただし、USB メディアから StartupKey を読み取る必要はなく、ネットワーク ロック解除機能では、TPM に格納されているキーと、サーバーに送信され、暗号化解除され、セキュリティで保護されたセッションでクライアントに返される暗号化されたネットワーク キーからキーを構成する必要があります。

ネットワークロック解除のコア要件

ネットワーク ロック解除は、ドメインに参加しているシステムを自動的にロック解除する前に、必須のハードウェアとソフトウェアの要件を満たす必要があります。 これらの要件は次のとおりです。

  • 現在サポートされている Windows オペレーティング システム
  • ネットワーク ロック解除クライアントとして機能できる UEFI DHCP ドライバーでサポートされているオペレーティング システム
  • ネットワーク TPM チップと少なくとも 1 つの TPM 保護機能を使用してクライアントのロックを解除する
  • サポートされている任意のサーバー オペレーティング システムで Windows 展開サービス (WDS) ロールを実行しているサーバー
  • サポートされているサーバー オペレーティング システムにインストールされている BitLocker ネットワークロック解除オプション機能
  • WDS サーバーとは別の DHCP サーバー
  • 適切に構成された公開キーと秘密キーのペアリング
  • 構成されたネットワーク ロック解除グループ ポリシー設定
  • クライアント デバイスの UEFI ファームウェアで有効になっているネットワーク スタック

UEFI 内で DHCP を適切にサポートするには、UEFI ベースのシステムがネイティブ モードであり、互換性サポート モジュール (CSM) が有効になっていない必要があります。

ネットワーク ロック解除をコンピューターで確実に動作させるには、コンピューター上の最初のネットワーク アダプター (通常はオンボード アダプター) を DHCP をサポートするように構成する必要があります。 この最初のネットワーク アダプターは、ネットワーク ロック解除に使用する必要があります。 この構成は、デバイスに複数のアダプターがあり、一部のアダプターが DHCP なしで構成されている場合 (たとえば、ライトアウト管理プロトコルで使用する場合など) に注目する価値があります。 ネットワーク ロック解除は、何らかの理由で DHCP ポートエラーが発生したアダプターに到達するとアダプターの列挙を停止するため、この構成が必要です。 したがって、最初の列挙アダプターが DHCP をサポートしていない場合、ネットワークに接続されていない場合、または何らかの理由で DHCP ポートの可用性を報告できない場合、ネットワークロック解除は失敗します。

Network Unlock サーバー コンポーネントは、サポートされているバージョンのWindows Server 2012以降に、サーバー マネージャーまたはWindows PowerShellコマンドレットを使用する Windows 機能としてインストールされます。 機能名は、サーバー マネージャーの BitLocker ネットワーク ロック解除で、Windows PowerShellでBitLocker-NetworkUnlockされます。 この機能はコア要件です。

ネットワーク ロック解除では、機能が利用される環境で Windows 展開サービス (WDS) が必要です。 WDS インストールの構成は必要ありません。 ただし、WDS サービスはサーバー上で実行されている必要があります。

ネットワーク キーは、AES 256 セッション キーと共にシステム ドライブに格納され、Unlock サーバー証明書の 2048 ビット RSA 公開キーで暗号化されます。 ネットワーク キーは、WDS を実行している Windows Server のサポートされているバージョンのプロバイダーの助けを借りて暗号化解除され、対応するセッション キーで暗号化されて返されます。

ネットワーク ロック解除シーケンス

Windows ブート マネージャーがネットワーク ロック解除保護機能の存在を検出すると、ロック解除シーケンスがクライアント側で開始されます。 UEFI の DHCP ドライバーを使用して IPv4 の IP アドレスを取得し、前述のように、サーバーのネットワーク ロック解除証明書によってすべて暗号化された、ネットワーク キーと応答のセッション キーを含むベンダー固有の DHCP 要求をブロードキャストします。 サポートされている WDS サーバーのネットワーク ロック解除プロバイダーは、ベンダー固有の要求を認識し、RSA 秘密キーで暗号化を解除し、セッション キーで暗号化されたネットワーク キーをベンダー固有の DHCP 応答で返します。

サーバー側では、WDS サーバー ロールには、PXE プロバイダーなどのオプションのプラグイン コンポーネントがあり、これが受信ネットワーク ロック解除要求を処理します。 プロバイダーはサブネット制限を使用して構成することもできます。ネットワーク ロック解除要求でクライアントによって提供される IP アドレスが、ネットワーク キーをクライアントに解放するために許可されたサブネットに属している必要があります。 ネットワーク ロック解除プロバイダーが使用できない場合、BitLocker は次に使用可能な保護機能にフェールオーバーしてドライブのロックを解除します。 一般的な構成では、ドライブのロックを解除するための標準の TPM+PIN ロック解除画面が表示されます。

ネットワーク ロック解除を有効にするサーバー側の構成では、X.509 証明書の形式で 2048 ビット RSA 公開/秘密キー ペアをプロビジョニングし、公開キー証明書をクライアントに配布する必要もあります。 この証明書は、少なくともドメイン機能レベルのWindows Server 2012を持つドメイン コントローラーで、グループ ポリシー エディターを介して直接管理およびデプロイする必要があります。 この証明書は、中間ネットワーク キーを暗号化する公開キーです (ドライブのロック解除に必要な 2 つのシークレットのいずれかであり、もう 1 つのシークレットは TPM に格納されます)。

グループ ポリシー エディターを使用して、少なくともWindows Server 2012のドメイン機能レベルを持つドメイン コントローラーに直接、この証明書を管理して展開します。 この証明書は、中間ネットワーク キーを暗号化する公開キーです。 中間ネットワーク キーは、ドライブのロックを解除するために必要な 2 つのシークレットのいずれかです。もう 1 つのシークレットは TPM に格納されます。

BitLocker ネットワークロック解除シーケンスを示す図。

ネットワーク ロック解除プロセスは、次のフェーズに従います。

  1. Windows ブート マネージャーは、BitLocker 構成でネットワーク ロック解除保護機能を検出します。

  2. クライアント コンピューターは、UEFI で DHCP ドライバーを使用して、有効な IPv4 IP アドレスを取得します。

  3. クライアント コンピューターは、次を含むベンダー固有の DHCP 要求をブロードキャストします。

    1. WDS サーバーからのネットワーク ロック解除証明書の 2048 ビット RSA 公開キーを使用して暗号化されるネットワーク キー (256 ビット中間キー)。

    2. 応答の AES-256 セッション キー。

  4. WDS サーバーのネットワーク ロック解除プロバイダーは、ベンダー固有の要求を認識します。

  5. プロバイダーは、WDS サーバーの BitLocker ネットワーク ロック解除証明書 RSA 秘密キーを使用して要求の暗号化を解除します。

  6. WDS プロバイダーは、クライアント コンピューターに対する独自のベンダー固有の DHCP 応答を使用して、セッション キーで暗号化されたネットワーク キーを返します。 このキーは中間キーです。

  7. 返された中間キーは、別のローカル 256 ビット中間キーと組み合わされます。 このキーは、TPM によってのみ復号化できます。

  8. この結合キーは、ボリュームのロックを解除する AES-256 キーを作成するために使用されます。

  9. Windows はブート シーケンスを続行します。

ネットワーク ロック解除の構成

次の手順では、管理者は、ドメイン機能レベルが少なくともWindows Server 2012されているドメインでネットワーク ロック解除を構成できます。

WDS サーバーロールをインストールする

BitLocker ネットワークロック解除機能は、WDS ロールがまだインストールされていない場合にインストールします。 WDS は、サーバー マネージャーまたはWindows PowerShellを使用して BitLocker ネットワーク ロック解除をインストールする前に個別インストールできます。 サーバー マネージャーを使用してロールをインストールするには、サーバー マネージャーで [Windows 展開サービス] ロール選択します。

Windows PowerShellを使用してロールをインストールするには、次のコマンドを使用します。

Install-WindowsFeature WDS-Deployment

WDS サーバーは、DHCP (および必要に応じて AD DS) とクライアント コンピューターと通信できるように構成する必要があります。 WDS サーバーは、Windows 展開サービス構成ウィザードを開始する WDS 管理ツール wdsmgmt.mscを使用して構成できます。

WDS サービスが実行されていることを確認する

WDS サービスが実行されていることを確認するには、サービス管理コンソールまたはWindows PowerShellを使用します。 サービスがサービス管理コンソールで実行されていることを確認するには、 を使用して services.msc コンソールを開き、Windows Deployment Services サービスの状態を確認します。

Windows PowerShellを使用してサービスが実行されていることを確認するには、次のコマンドを使用します。

Get-Service WDSServer

ネットワークロック解除機能をインストールする

ネットワークロック解除機能をインストールするには、サーバー マネージャーまたはWindows PowerShellを使用します。 サーバー マネージャーを使用して機能をインストールするには、サーバー マネージャー コンソールで BitLocker ネットワークロック解除機能を選択します。

Windows PowerShellを使用して機能をインストールするには、次のコマンドを使用します。

Install-WindowsFeature BitLocker-NetworkUnlock

ネットワーク ロック解除用の証明書テンプレートを作成する

適切に構成された Active Directory Services 証明機関は、この証明書テンプレートを使用して、ネットワーク ロック解除証明書を作成して発行できます。

  1. [証明書テンプレート] スナップイン (certtmpl.msc) を開きます。

  2. [ユーザー テンプレート] を見つけ、テンプレート名を右クリックし、[ テンプレートの複製] を選択します。

  3. [互換性] タブで、[証明機関] フィールドと [証明書の受信者] フィールドをそれぞれ [Windows Server 2012] と [Windows 8] に変更します。 [結果の 変更を表示 する] ダイアログ ボックスが選択されていることを確認します。

  4. テンプレートの [ 全般 ] タブを選択します。 テンプレートの表示名テンプレート名は、テンプレートがネットワーク ロック解除に使用されることを明確に識別する必要があります。 [ Active Directory で証明書を発行 する] オプションのチェック ボックスをオフにします。

  5. [要求処理] タブを選択します。[目的] ドロップダウン メニューから [暗号化] を選択します。 [ 秘密キーのエクスポートを許可する] オプションが選択されていることを確認します。

  6. [暗号化] タブ 選択します。 [最小キー サイズ] を 2048 に設定します。 RSA をサポートするMicrosoft暗号化プロバイダーは、このテンプレートに使用できますが、簡単で前方互換性を確保するために、Microsoftソフトウェア キー ストレージ プロバイダーを使用することをお勧めします。

  7. [要求で次のいずれかのプロバイダーを使用する必要があります] オプションを選択し、選択した暗号化プロバイダーを除くすべてのオプション (Microsoft ソフトウェア キー ストレージ プロバイダーなど) をオフにします。

  8. [ サブジェクト名 ] タブを選択します。 要求で [供給] を選択します。 証明書テンプレートのポップアップ ダイアログが表示されたら、[ OK] を選択します

  9. [ 発行要件 ] タブを選択します。 CA 証明書マネージャーの承認有効な既存の証明書 オプションの両方を選択します。

  10. [ 拡張機能 ] タブを選択します。[ アプリケーション ポリシー] を 選択し、[ 編集]を選択します。...

  11. [アプリケーション ポリシー拡張機能オプションの編集] ダイアログ ボックスで、[クライアント認証]、[ファイル システムの暗号化]、[セキュリティで保護されたEmail] の順に選択し、[削除] を選択します

  12. [ アプリケーション ポリシー拡張機能の編集 ] ダイアログ ボックスで、[ 追加] を選択します。

  13. [ アプリケーション ポリシーの追加 ] ダイアログ ボックスで、[ 新規] を選択します。 [ 新しいアプリケーション ポリシー ] ダイアログ ボックスで、指定した領域に次の情報を入力し、[ OK] を選択して BitLocker ネットワークロック解除アプリケーション ポリシーを作成します。

    • 名前:BitLocker ネットワークロック解除
    • オブジェクト識別子:1.3.6.1.4.1.311.67.1.1
  14. 新しく作成された BitLocker ネットワーク ロック解除 アプリケーション ポリシーを選択し、[ OK] を選択します

  15. [ 拡張機能 ] タブがまだ開いている状態で、[ キー使用法拡張機能の編集 ] ダイアログを選択します。 [ キー暗号化 (キー暗号化) のみを使用してキー交換を許可する] オプションを選択します。 [ この拡張機能を重要にする ] オプションを選択します。

  16. [ セキュリティ ] タブを選択します。 Domain Admins グループに [登録] アクセス許可が付与されていることを確認します。

  17. [ OK] を選択 して、テンプレートの構成を完了します。

ネットワーク ロック解除テンプレートを証明機関に追加するには、証明機関スナップイン (certsrv.msc) を開きます。 [証明書テンプレート] を右クリックし、[新規作成]、[発行する証明書テンプレート] の順に選択します。 以前に作成した BitLocker ネットワーク ロック解除証明書を選択します。

ネットワーク ロック解除テンプレートを証明機関に追加した後、この証明書を使用して BitLocker ネットワーク ロック解除を構成できます。

ネットワーク ロック解除証明書を作成する

ネットワーク ロック解除では、既存の公開キー インフラストラクチャ (PKI) からインポートされた証明書を使用できます。 または、自己署名証明書を使用することもできます。

既存の証明機関から証明書を登録するには:

  1. WDS サーバーで、 を使用して証明書マネージャーを certmgr.msc開きます。

  2. [ 証明書 - 現在のユーザー] で、[ 個人用] を右クリックします。

  3. [すべてのタスク]> [新しい証明書の要求] を選択します

  4. 証明書登録ウィザードが開いたら、[ 次へ] を選択します。

  5. [ Active Directory 登録ポリシー] を選択します。

  6. ドメイン コントローラーのネットワーク ロック解除用に作成された証明書テンプレートを選択します。 次に、[登録] を選択 します

  7. 詳細を求められたら、[ サブジェクト名 ] を選択し、フレンドリ名の値を指定します。 フレンドリ名には、証明書のドメインまたは組織単位の情報を含める必要があります。 次に、例を示します。

    Contoso ドメインの BitLocker ネットワーク ロック解除証明書

  8. 証明書を作成します。 [ 個人用 ] フォルダーに証明書が表示されていることを確認します。

  9. ネットワーク ロック解除の公開キー証明書をエクスポートします。

    1. 前に .cer 作成した証明書を右クリックし、[ すべてのタスク] を選択し、[エクスポート] を選択してファイルを作成 します

    2. [ いいえ] を選択し、秘密キーをエクスポートしません

    3. [ DER でエンコードされたバイナリ X.509 ] を選択し、証明書のファイルへのエクスポートを完了します。

    4. ファイルに BitLocker-NetworkUnlock.cer などの名前を付けます。

  10. ネットワーク ロック解除の秘密キーを使用して公開キーをエクスポートします。

    1. 前に .pfx 作成した証明書を右クリックし、[ すべてのタスク] を選択し、[エクスポート] を選択してファイルを作成 します

    2. [はい、秘密キーをエクスポートします] を選択します。

    3. ファイルを作成する手順を完了します .pfx

自己署名証明書を作成するには、Windows PowerShellで コマンドレットをNew-SelfSignedCertificate使用するか、 を使用certreq.exeします。 次に、例を示します。

Windows PowerShell:

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")

certreq.exe:

  1. 次のように、拡張子を持つテキスト ファイルを .inf 作成します。

    notepad.exe BitLocker-NetworkUnlock.inf
    
  2. 前に作成したファイルに次の内容を追加します。

    [NewRequest]
    Subject="CN=BitLocker Network Unlock certificate"
    ProviderType=0
    MachineKeySet=True
    Exportable=true
    RequestType=Cert
    KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
    KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
    KeyLength=2048
    SMIME=FALSE
    HashAlgorithm=sha512
    [Extensions]
    1.3.6.1.4.1.311.21.10 = "{text}"
    _continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
    2.5.29.37 = "{text}"
    _continue_ = "1.3.6.1.4.1.311.67.1.1"
    
  3. 管理者特権のコマンド プロンプトを開き、ツールを certreq.exe 使用して新しい証明書を作成します。 次のコマンドを使用して、以前に作成したファイルの完全パスとファイル名を指定します。

    certreq.exe -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
    
  4. ファイルが存在することを確認して、前のコマンドによって証明書が適切に .cer 作成されたことを確認します。

  5. を実行して 、証明書 - ローカル コンピューター コンソールを起動 certlm.mscします。

  6. .pfx証明書 - ローカル コンピューター コンソールの次の手順に従って、ファイルを作成します。

    1. [証明書 - ローカル コンピューターの>個人用>証明書] に移動します

    2. 以前にインポートした証明書を右クリックし、[すべてのタスク] を選択し、[エクスポート] を選択します。

    3. ウィザードに従ってファイルを作成します .pfx

秘密キーと証明書を WDS サーバーに展開する

証明書とキーを作成したら、それらをインフラストラクチャにデプロイして、システムのロックを適切に解除します。 証明書を展開するには:

  1. WDS サーバーで、 を実行certlm.mscして証明書 - ローカル コンピューター コンソールを起動します。

  2. [証明書 (ローカル コンピューター)] の [BitLocker ドライブ暗号化ネットワークのロック解除] 項目を右クリックし、[すべてのタスク] を選択し、[インポート] を選択します。

  3. [ インポートするファイル ] ダイアログで、前に作成したファイルを .pfx 選択します。

  4. の作成に使用するパスワードを .pfx 入力し、ウィザードを完了します。

ネットワーク ロック解除のグループ ポリシー設定を構成する

ネットワーク ロック解除用の WDS サーバーに証明書とキーを展開する場合、最後の手順では、グループ ポリシー設定を使用して、ネットワーク ロック解除キーを使用してロックを解除する目的のコンピューターに公開キー証明書を展開します。 BitLocker のグループ ポリシー設定は、ローカル グループ ポリシー エディターまたは Microsoft 管理コンソールを使用したコンピューター構成>管理テンプレート>の Windows コンポーネント>BitLocker ドライブ暗号化に関するページにあります。

次の手順では、ネットワーク ロック解除を構成するための要件であるグループ ポリシー設定を有効にする方法について説明します。

  1. グループ ポリシー管理コンソール (gpmc.msc) を開きます。
  2. [起動時に 追加の認証が必要] ポリシーを有効にし、[ TPM でスタートアップ PIN を要求する ] または [TPM で スタートアップ PIN を許可する] を選択します。
  3. ドメインに参加しているすべてのコンピューターで、TPM+PIN 保護機能を使用して BitLocker を有効にします。

次の手順では、必要なグループ ポリシー設定を展開する方法について説明します。

グループ ポリシー設定 [起動時にネットワークロック解除を許可する] と [ネットワークロック解除証明書の追加] がWindows Server 2012で導入されました。

  1. ネットワーク ロック .cer 解除用に作成されたファイルをドメイン コントローラーにコピーします。

  2. ドメイン コントローラーで、グループ ポリシー管理コンソール (gpmc.msc) を開きます。

  3. 新しい グループ ポリシー オブジェクトを作成するか、既存のオブジェクトを変更して、[起動時にネットワークロック解除を許可する] 設定を有効にします。

  4. パブリック証明書をクライアントに展開します。

    1. グループ ポリシー管理コンソール内で、次の場所に移動します。

      コンピューターの構成>ポリシー>Windows の設定>セキュリティ設定>公開キー ポリシー>BitLocker ドライブ暗号化ネットワークのロック解除証明書

    2. フォルダーを右クリックし、[ ネットワーク ロック解除証明書の追加] を選択します。

    3. ウィザードの手順に従って、前に .cer コピーしたファイルをインポートします。

    一度に使用できるネットワーク ロック解除証明書は 1 つだけです。 新しい証明書が必要な場合は、新しい証明書をデプロイする前に現在の証明書を削除します。 ネットワーク ロック解除証明書は、クライアント コンピューターの HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP レジストリ キーの下にあります。

  5. グループ ポリシーのデプロイ後にクライアントを再起動します。

    ネットワーク (証明書ベース) 保護機能は、再起動後にのみ追加され、ポリシーが有効になり、有効な証明書がFVE_NKP ストアに存在します。

WDS サーバー上のサブネット ポリシー構成ファイル (省略可能)

既定では、正しいネットワーク ロック解除証明書と、DHCP 経由でネットワーク ロック解除が有効な WDS サーバーへの有線アクセス権を持つ有効なネットワーク ロック解除保護機能を持つすべてのクライアントは、サーバーによってロック解除されます。 WDS サーバー上のサブネット ポリシー構成ファイルを作成して、ネットワーク ロック解除クライアントがロック解除に使用できるサブネットを制限できます。

bde-network-unlock.iniと呼ばれる構成ファイルは、ネットワーク ロック解除プロバイダー DLL (%windir%\System32\Nkpprov.dll) と同じディレクトリに配置する必要があり、IPv6 と IPv4 の両方の DHCP 実装に適用されます。 サブネット構成ポリシーが破損した場合、プロバイダーは失敗し、要求への応答を停止します。

サブネット ポリシー構成ファイルでは 、[SUBNETS] セクションを使用して特定のサブネットを識別する必要があります。 その後、名前付きサブネットを使用して、証明書サブセクションで制限を指定できます。 サブネットは、共通の INI 形式で単純な名前と値のペアとして定義されます。各サブネットには、等号の左側に名前を持つ独自の行があり、等号の右側にクラスレス Inter-Domain ルーティング (CIDR) アドレスまたは範囲として識別されるサブネットがあります。 キーワード ENABLED は、サブネット名に対して許可されていません。

[SUBNETS]
SUBNET1=10.185.250.0/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=10.185.252.200/28 
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

[SUBNETS] セクションの後に、各ネットワーク ロック解除証明書のセクションを指定できます。これは、スペースなしで書式設定された証明書拇印によって識別され、その証明書からロックを解除できるサブネット クライアントを定義します。

証明書の拇印を指定する場合は、スペースを含めないでください。 拇印にスペースが含まれている場合、拇印が有効と認識されないため、サブネットの構成は失敗します。

サブネットの制限は、許可されるサブネットの許可リストを示すことによって、各証明書セクション内で定義されます。 証明書セクションにサブネットが一覧表示されている場合は、その証明書に対してのみ許可されます。 証明書セクションにサブネットが一覧表示されていない場合、その証明書のすべてのサブネットが許可されます。 証明書にサブネット ポリシー構成ファイルにセクションがない場合、その証明書でロックを解除するためのサブネット制限は適用されません。 すべての証明書に制限を適用するには、サーバー上のすべてのネットワーク ロック解除証明書の証明書セクションと、証明書セクションごとに明示的に許可されるリスト セットが必要です。

サブネット リストは、証明書セクション ヘッダーの下の [ SUBNETS] セクションのサブネットの名前を独自の行に配置することによって作成されます。 その後、サーバーは、この証明書を使用してクライアントのロックを解除します。この証明書は、一覧で と同じように指定されています。 トラブルシューティングのために、サブネットをセクションから削除せずに、先頭にセミコロンを付けてコメントアウトすることで、すばやく除外できます。

[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

証明書の使用を完全に禁止するには、そのサブネット リストに行を追加 DISABLED します。

ネットワークロック解除をオフにする

ロック解除サーバーをオフにするには、PXE プロバイダーを WDS サーバーから登録解除するか、完全にアンインストールできます。 ただし、クライアントによるネットワーク ロック解除保護機能の作成を停止するには、[ スタートアップ グループでのネットワーク ロック解除を許可する ] ポリシー設定を無効にする必要があります。 このポリシー設定がクライアント コンピューターで 無効 に更新されると、コンピューター上のすべてのネットワーク ロック解除キー 保護機能が削除されます。 または、ドメイン コントローラーで BitLocker ネットワークロック解除証明書ポリシーを削除して、ドメイン全体に対して同じタスクを実行することもできます。

WDS サーバー上のネットワーク ロック解除証明書とキーを含むFVE_NKP証明書ストアを削除すると、その証明書のロック解除要求に応答するサーバーの機能も効果的に無効になります。 ただし、これはエラー状態と見なされ、ネットワーク ロック解除サーバーをオフにするためのサポートまたは推奨される方法ではありません。

ネットワークロック解除証明書を更新する

ネットワーク ロック解除で使用される証明書を更新するには、管理者はサーバーの新しい証明書をインポートまたは生成してから、ドメイン コントローラーの [ネットワーク ロック解除] 証明書グループ ポリシー設定を更新する必要があります。

グループ ポリシー オブジェクト (GPO) を受け取らないサーバーは、起動時に PIN を必要とします。 このような場合は、サーバーが GPO を受け取って証明書を更新しなかった理由を確認します。

ネットワークロック解除のトラブルシューティング

ネットワークロック解除の問題のトラブルシューティングは、まず環境を確認することから始まります。 多くの場合、小さな構成の問題がエラーの根本原因になる可能性があります。 確認する項目は次のとおりです。

  • クライアント ハードウェアが UEFI ベースであり、ファームウェア バージョン 2.3.1 にあり、BIOS モードの互換性サポート モジュール (CSM) が有効になっていないネイティブ モードであることを確認します。 検証を行うには、ファームウェアに "レガシ モード" や "互換モード" などのオプションが有効になっていないか、ファームウェアが BIOS に似たモードになっていないことを確認します。

  • 必要なすべてのロールとサービスがインストールされ、開始されます。

  • パブリック証明書とプライベート証明書は発行されており、適切な証明書コンテナー内にあります。 ネットワーク ロック解除証明書の存在は、ローカル コンピューターの証明書スナップインが有効になっている WDS サーバーのMicrosoft管理コンソール (MMC.exe) で確認できます。 クライアント証明書は、クライアント コンピューターのレジストリ キー HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP を確認することで確認できます。

  • ネットワーク ロック解除のグループ ポリシーが有効になっており、適切なドメインにリンクされています。

  • グループ ポリシーがクライアントに適切に到達しているかどうかを確認します。 グループ ポリシーの検証は、 または RSOP.msc ユーティリティをGPRESULT.exe使用して行うことができます。

  • ポリシーの適用後にクライアントが再起動されたかどうかを確認します。

  • ネットワーク (証明書ベース) 保護機能がクライアントに一覧表示されているかどうかを確認します。 保護機能の検証は、manage-bde コマンドレットまたは Windows PowerShell コマンドレットを使用して行うことができます。 たとえば、次のコマンドは、ローカル コンピューターの C: ドライブで現在構成されているキー 保護機能を一覧表示します。

    manage-bde.exe -protectors -get C:
    

    の出力 manage-bde.exe と WDS デバッグ ログを使用して、適切な証明書の拇印がネットワーク ロック解除に使用されているかどうかを判断します。

次のファイルを収集して、BitLocker ネットワーク ロック解除のトラブルシューティングを行います。

  • Windows イベント ログ。 具体的には、BitLocker イベント ログと Microsoft-Windows-Deployment-Services-Diagnostics-Debug ログを取得します。

    WDS サーバー ロールのデバッグ ログは既定でオフになっています。 WDS デバッグ ログを取得するには、まず WDS デバッグ ログを有効にする必要があります。 WDS デバッグ ログを有効にするには、次の 2 つの方法のいずれかを使用します。

    • 管理者特権のコマンド プロンプトを起動し、次のコマンドを実行します。

      wevtutil.exe sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
      
    • WDS サーバーでイベント ビューアーを開きます。

      1. 左側のウィンドウで、[アプリケーションとサービス ログ>Microsoft>Windows>Deployment-Services-Diagnostics>Debug] に移動します。
      2. 右側のウィンドウで、[ ログの有効化] を選択します。
  • DHCP サブネット構成ファイル (存在する場合)。

  • ボリュームの BitLocker 状態の出力。 を使用 manage-bde.exe -statusして、この出力をテキスト ファイルに収集します。 または、Windows PowerShellで を使用しますGet-BitLockerVolume

  • クライアント IP アドレスでフィルター処理された WDS ロールをホストするサーバー上のネットワーク モニター キャプチャ。