Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel worden veelvoorkomende problemen beschreven die van invloed zijn op de TRUSTED Platform Module (TPM) die mogelijk verhinderen dat BitLocker een station versleutelt. Dit artikel bevat ook richtlijnen voor het oplossen van deze problemen.
Notitie
Als is vastgesteld dat het BitLocker-probleem geen betrekking heeft op de TPM, raadpleegt u BitLocker kan een station niet versleutelen: bekende problemen.
De TPM is vergrendeld en de fout The TPM is defending against dictionary attacks and is in a time-out period wordt weergegeven
Er wordt geprobeerd BitLocker-stationsversleuteling in te schakelen op een apparaat, maar het mislukt met een foutbericht dat lijkt op het volgende foutbericht:
De TPM verdedigt zich tegen woordenlijstaanvallen en bevindt zich in een time-outperiode.
Oorzaak van het vergrendelde TPM
De TPM is vergrendeld.
Oplossing voor de TPM die wordt vergrendeld
Om dit probleem op te lossen, moet de TPM opnieuw worden ingesteld en gewist. De TPM kan opnieuw worden ingesteld en gewist met de volgende stappen:
Open een PowerShell-venster met verhoogde bevoegdheid en voer het volgende script uit:
$Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm" $ConfirmationStatus = $Tpm.GetPhysicalPresenceConfirmationStatus(22).ConfirmationStatus if($ConfirmationStatus -ne 4) {$Tpm.SetPhysicalPresenceRequest(22)}Start de computer opnieuw op. Als er een prompt wordt weergegeven om het wissen van de TPM te bevestigen, gaat u akkoord met het wissen van de TPM.
Meld u aan bij Windows en probeer bitLocker-stationsversleuteling opnieuw te starten.
Waarschuwing
Het opnieuw instellen en wissen van de TPM kan gegevensverlies veroorzaken.
De TPM kan niet worden voorbereid met de fout The TPM is defending against dictionary attacks and is in a time-out period
Er wordt geprobeerd BitLocker-stationsversleuteling in te schakelen op een apparaat, maar dit mislukt. Tijdens het oplossen van problemen wordt de TPM-beheerconsole (tpm.msc) gebruikt om de TPM op het apparaat voor te bereiden. De bewerking mislukt met een foutbericht dat lijkt op het volgende foutbericht:
De TPM verdedigt zich tegen woordenlijstaanvallen en bevindt zich in een time-outperiode.
Oorzaak dat TPM niet kan worden voorbereid
De TPM is vergrendeld.
Oplossing voor TPM die niet kan worden voorbereid
U kunt dit probleem oplossen door de TPM uit te schakelen en opnieuw in te schakelen met de volgende stappen:
Voer de UEFI-/BIOS-configuratiecontroles van het apparaat in door het apparaat opnieuw op te starten en de juiste toetsencombinatie te selecteren terwijl het apparaat wordt opgestart. Neem contact op met de fabrikant van het apparaat voor de juiste toetsencombinatie voor het invoeren van de UEFI-/BIOS-configuratiecontroles.
Schakel de TPM uit in de UEFI-/BIOS-configuratieschermen. Neem contact op met de fabrikant van het apparaat voor instructies over het uitschakelen van de TPM in de UEFI-/BIOS-configuratiecontroles.
Sla de UEFI-/BIOS-configuratie op met de TPM uitgeschakeld en start het apparaat opnieuw op om op te starten in Windows.
Zodra u bent aangemeld bij Windows, keert u terug naar de TPM-beheerconsole. Er wordt een foutbericht weergegeven dat lijkt op het volgende foutbericht:
Compatibele TPM kan niet worden gevonden
Compatibele TPM (Trusted Platform Module) kan niet worden gevonden op deze computer. Controleer of deze computer 1.2 TPM heeft en of deze is ingeschakeld in het BIOS.
Dit bericht wordt verwacht omdat de TPM momenteel is uitgeschakeld in de UEFI-firmware/BIOS van het apparaat.
Start het apparaat opnieuw op en voer de UEFI-/BIOS-configuratieschermen opnieuw in.
Schakel de TPM opnieuw in de UEFI-/BIOS-configuratiecontroles in.
Sla de UEFI-/BIOS-configuratie op met de TPM ingeschakeld en start het apparaat opnieuw op om op te starten in Windows.
Zodra u bent aangemeld bij Windows, keert u terug naar de TPM-beheerconsole.
Als de TPM nog steeds niet kan worden voorbereid, wist u de bestaande TPM-sleutels door de instructies in het artikel Problemen met de TPM oplossen: alle sleutels van de TPM wissen.
Waarschuwing
Als u de TPM wist, kan dit gegevensverlies veroorzaken.
BitLocker kan niet worden ingeschakeld met de fout Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 of Insufficient Rights
BitLocker niet inschakelen totdat herstelgegevens zijn opgeslagen in AD DS-beleid , worden afgedwongen in de omgeving. Er wordt geprobeerd BitLocker-stationsversleuteling in te schakelen op een apparaat, maar het mislukt met het foutbericht van Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 of Insufficient Rights.
Oorzaak van Access Denied of Insufficient Rights
De TPM beschikt niet over voldoende machtigingen voor de container tpm-apparaten in Active Directory-domein Services (AD DS). Daarom kan er geen back-up worden gemaakt van de BitLocker-herstelgegevens naar AD DS en kan BitLocker-stationsversleuteling niet worden ingeschakeld.
Dit probleem lijkt beperkt te zijn tot computers met versies van Windows die ouder zijn dan Windows 10.
Oplossing voor Access Denied of Insufficient Rights
Gebruik een van de volgende twee methoden om te controleren of dit probleem optreedt:
Schakel het beleid uit of verwijder de computer uit het domein, gevolgd door BitLocker-stationsversleuteling opnieuw in te schakelen. Als de bewerking slaagt, is het probleem veroorzaakt door het beleid.
Gebruik LDAP- en netwerktraceringshulpprogramma's om de LDAP-uitwisselingen tussen de client en de AD DS-domeincontroller te onderzoeken om de oorzaak van de fout Toegang geweigerd of Onvoldoende rechten te identificeren. In dit geval moet er een fout worden weergegeven wanneer de client probeert toegang te krijgen tot het object in de
CN=TPM Devices,DC=<domain>,DC=comcontainer.
Als u de TPM-informatie voor de betreffende computer wilt bekijken, opent u een Windows PowerShell-venster met verhoogde bevoegdheid en voert u de volgende opdracht uit:
Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-TPMInformationForComputerIn deze opdracht is ComputerName de naam van de betreffende computer.
Als u het probleem wilt oplossen, gebruikt u een hulpprogramma zoals dsacls.exe om ervoor te zorgen dat de toegangsbeheerlijst van msTPM-TPMInformationForComputer zowel lees - als schrijfmachtigingen verleent aan NTAUTHORITY/SELF.
De TPM kan niet worden voorbereid met de fout 0x80072030: There is no such object on the server
Domeincontrollers zijn bijgewerkt van Windows Server 2008 R2 naar Windows Server 2012 R2. Er bestaat een groepsbeleidsobject (GPO) dat bitLocker niet inschakelen afdwingt totdat herstelgegevens zijn opgeslagen in AD DS-beleid .
Er wordt geprobeerd BitLocker-stationsversleuteling in te schakelen op een apparaat, maar dit mislukt. Tijdens het oplossen van problemen wordt de TPM-beheerconsole (tpm.msc) gebruikt om de TPM op het apparaat voor te bereiden. De bewerking mislukt met een foutbericht dat lijkt op het volgende foutbericht:
0x80072030 Er is geen dergelijk object op de server wanneer een beleid voor het maken van een back-up van TPM-gegevens naar Active Directory is ingeschakeld
Er is bevestigd dat de kenmerken ms-TPM-OwnerInformation en msTPM-TpmInformationForComputer aanwezig zijn.
Oorzaak van 0x80072030: er is geen dergelijk object op de server
Het functionele domein- en forestniveau van de omgeving kan nog steeds worden ingesteld op Windows 2008 R2. Bovendien zijn de machtigingen in AD DS mogelijk niet juist ingesteld.
Oplossing voor 0x80072030: er is geen dergelijk object op de server
Het probleem kan worden opgelost met de volgende stappen:
Werk het functionele niveau van het domein en forest bij naar Windows Server 2012 R2.
Download Add-TPMSelfWriteACE.vbs.
Wijzig in het script de waarde van strPathToDomain in de domeinnaam van de organisatie.
Open een PowerShell-venster met verhoogde bevoegdheid en voer de volgende opdracht uit:
cscript.exe <Path>\Add-TPMSelfWriteACE.vbsIn deze opdracht <is Path> het pad naar het scriptbestand.
Raadpleeg voor meer informatie de volgende artikelen: