BitLocker는 드라이브를 암호화할 수 없습니다. 알려진 TPM 문제

  • 아티클

이 문서에서는 BitLocker가 드라이브를 암호화하지 못할 수 있는 TPM(신뢰할 수 있는 플랫폼 모듈)에 영향을 주는 일반적인 문제에 대해 설명합니다. 이 문서에서는 이러한 문제를 해결하기 위한 지침도 제공합니다.

참고

BitLocker 문제가 TPM과 관련이 없는 것으로 확인되면 BitLocker에서 드라이브를 암호화할 수 없음: 알려진 문제를 참조하세요.

TPM이 잠겨 있고 오류가 The TPM is defending against dictionary attacks and is in a time-out period 표시됩니다.

디바이스에서 BitLocker 드라이브 암호화를 켜려고 했지만 다음 오류 메시지와 유사한 오류 메시지와 함께 실패합니다.

TPM은 사전 공격을 방어하고 있으며 시간 제한 기간에 있습니다.

TPM이 잠겨 있는 원인

TPM이 잠깁니다.

잠겨 있는 TPM에 대한 해결 방법

이 문제를 resolve 위해 TPM을 재설정하고 지워야 합니다. TPM은 다음 단계를 사용하여 다시 설정 및 지울 수 있습니다.

  1. 관리자 권한 PowerShell 창을 열고 다음 스크립트를 실행합니다.

    $Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm"
$ConfirmationStatus = $Tpm.GetPhysicalPresenceConfirmationStatus(22).ConfirmationStatus
if($ConfirmationStatus -ne 4) {$Tpm.SetPhysicalPresenceRequest(22)}

  2. 컴퓨터를 다시 시작합니다. TPM의 지우기를 확인하는 프롬프트가 표시되면 TPM을 지우는 데 동의합니다.

  3. Windows에 로그온하고 BitLocker 드라이브 암호화를 다시 시도합니다.

경고

TPM을 다시 설정 및 지우면 데이터가 손실될 수 있습니다.

TPM이 오류로 준비하지 못함 The TPM is defending against dictionary attacks and is in a time-out period

디바이스에서 BitLocker 드라이브 암호화를 켜려고 했지만 실패합니다. 문제를 해결하는 동안 TPM 관리 콘솔(tpm.msc)을 사용하여 디바이스에서 TPM을 준비합니다. 다음 오류 메시지와 유사한 오류 메시지와 함께 작업이 실패합니다.

TPM은 사전 공격을 방어하고 있으며 시간 제한 기간에 있습니다.

TPM을 준비하지 못하는 원인

TPM이 잠깁니다.

TPM 준비 실패에 대한 해결 방법

이 문제를 resolve 다음 단계를 수행하여 TPM을 사용하지 않도록 설정하고 다시 사용하도록 설정합니다.

  1. 디바이스를 다시 시작하고 디바이스가 부팅할 때 적절한 키 조합을 눌러 디바이스의 UEFI/BIOS 구성 화면을 입력합니다. UEFI/BIOS 구성 화면에 입력하기 위한 적절한 키 조합은 디바이스 제조업체에 문의하세요.

  2. UEFI/BIOS 구성 화면에서 TPM을 사용하지 않도록 설정합니다. UEFI/BIOS 구성 화면에서 TPM을 사용하지 않도록 설정하는 방법에 대한 지침은 디바이스 제조업체에 문의하세요.

  3. TPM을 사용하지 않도록 설정한 상태에서 UEFI/BIOS 구성을 저장하고 디바이스를 다시 시작하여 Windows로 부팅합니다.

  4. Windows에 로그인한 후 TPM 관리 콘솔 돌아갑니다. 다음 오류 메시지와 유사한 오류 메시지가 표시됩니다.

    호환되는 TPM을 찾을 수 없음

    호환되는 TPM(신뢰할 수 있는 플랫폼 모듈)은 이 컴퓨터에서 찾을 수 없습니다. 이 컴퓨터에 1.2 TPM이 있고 BIOS에서 켜져 있는지 확인합니다.

    이 메시지는 TPM이 현재 디바이스의 UEFI 펌웨어/BIOS에서 비활성화되어 있기 때문에 예상됩니다.

  5. 디바이스를 다시 시작하고 UEFI/BIOS 구성 화면을 다시 입력합니다.

  6. UEFI/BIOS 구성 화면에서 TPM을 다시 사용할 수 있습니다.

  7. TPM을 사용하도록 설정된 상태에서 UEFI/BIOS 구성을 저장하고 디바이스를 다시 시작하여 Windows로 부팅합니다.

  8. Windows에 로그인한 후 TPM 관리 콘솔 돌아갑니다.

TPM을 아직 준비할 수 없는 경우 TPM 문제 해결: TPM에서 모든 키 지우기 문서의 지침에 따라 기존 TPM 키를 지웁니다.

경고

TPM을 지우면 데이터가 손실될 수 있습니다.

BitLocker가 오류 Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 와 함께 사용하도록 설정되지 못함 또는 Insufficient Rights

복구 정보가 AD DS 정책에 저장될 때까지 BitLocker를 사용하도록 설정 안 함 정책이 환경에 적용됩니다. 디바이스에서 BitLocker 드라이브 암호화를 켜려고 했지만 또는 Insufficient RightsAccess Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 오류 메시지와 함께 실패합니다.

또는 의 Access Denied 원인 Insufficient Rights

TPM에 AD DS(Active Directory Domain Services TPM 디바이스 컨테이너에 대한 충분한 권한이 없습니다. 따라서 BitLocker 복구 정보를 AD DS에 백업할 수 없으며 BitLocker 드라이브 암호화를 켤 수 없습니다.

이 문제는 Windows 10 이전 버전의 Windows를 실행하는 컴퓨터로 제한되는 것으로 보입니다.

또는 에 대한 해결 방법 Access DeniedInsufficient Rights

이 문제가 발생하는지 확인하려면 다음 두 가지 방법 중 하나를 사용합니다.

  • 정책을 사용하지 않도록 설정하거나 도메인에서 컴퓨터를 제거한 다음 BitLocker 드라이브 암호화를 다시 켭니다. 작업이 성공하면 정책으로 인해 문제가 발생했습니다.

  • LDAP 및 네트워크 추적 도구를 사용하여 클라이언트와 AD DS 도메인 컨트롤러 간의 LDAP 교환을 검사하여 액세스 거부 또는 권한 부족 오류의 원인을 식별합니다. 이 경우 클라이언트가 컨테이너의 개체 CN=TPM Devices,DC=<domain>,DC=com 에 액세스하려고 할 때 오류가 표시됩니다.

  1. 영향을 받는 컴퓨터에 대한 TPM 정보를 검토하려면 관리자 권한 Windows PowerShell 창을 열고 다음 명령을 실행합니다.

    Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-TPMInformationForComputer

    이 명령에서 ComputerName 은 영향을 받는 컴퓨터의 이름입니다.

  2. 문제를 resolve 위해 dsacls.exe 같은 도구를 사용하여 msTPM-TPMInformationForComputer의 액세스 제어 목록이 NTAUTHORITY/SELF읽기쓰기 권한을 모두 부여하도록 합니다.

오류와 함께 TPM을 준비하지 못했습니다. 0x80072030: There is no such object on the server

도메인 컨트롤러가 Windows Server 2008 R2에서 Windows Server 2012 R2로 업그레이드되었습니다. 복구 정보가 AD DS 정책에 저장될 때까지 BitLocker를 사용하도록 설정 안 함 정책을 적용하는 GPO(그룹 정책 개체)가 있습니다.

디바이스에서 BitLocker 드라이브 암호화를 켜려고 했지만 실패합니다. 문제를 해결하는 동안 TPM 관리 콘솔(tpm.msc)을 사용하여 디바이스에서 TPM을 준비합니다. 다음 오류 메시지와 유사한 오류 메시지와 함께 작업이 실패합니다.

0x80072030 Active Directory에 TPM 정보를 백업하는 정책을 사용하는 경우 서버에 이러한 개체가 없습니다.

ms-TPM-OwnerInformationmsTPM-TpmInformationForComputer 특성이 있는 것으로 확인되었습니다.

0x80072030 원인: 서버에 이러한 개체가 없습니다.

환경의 도메인 및 포리스트 기능 수준은 여전히 Windows 2008 R2로 설정될 수 있습니다. 또한 AD DS의 사용 권한이 올바르게 설정되지 않을 수 있습니다.

0x80072030 해결 방법: 서버에 이러한 개체가 없습니다.

이 문제는 다음 단계로 해결할 수 있습니다.

  1. 도메인 및 포리스트의 기능 수준을 Windows Server 2012 R2로 업그레이드합니다.

  2. Add-TPMSelfWriteACE.vbs다운로드합니다.

  3. 스크립트에서 strPathToDomain 값을 organization 도메인 이름으로 수정합니다.

  4. 관리자 권한 PowerShell 창을 열고 다음 명령을 실행합니다.

    cscript.exe <Path>\Add-TPMSelfWriteACE.vbs

    이 명령 < 에서 Path>는 스크립트 파일의 경로입니다.

자세한 내용은 다음 문서를 참조하세요.