Udostępnij za pośrednictwem


Odblokowywanie sieciowe funkcji BitLocker: znane problemy

Za pomocą funkcji Odblokowywanie sieciowe funkcji BitLocker komputery można zarządzać zdalnie bez konieczności wprowadzania numeru PIN funkcji BitLocker po uruchomieniu każdego komputera. Aby skonfigurować to zachowanie, środowisko musi spełniać następujące wymagania:

  • Każdy komputer należy do domeny.
  • Każdy komputer ma połączenie przewodowe z siecią wewnętrzną.
  • Sieć wewnętrzna używa protokołu DHCP do zarządzania adresami IP.
  • Każdy komputer ma sterownik DHCP zaimplementowany w oprogramowaniu układowym Unified Extensible Firmware Interface (UEFI).

Ogólne wskazówki dotyczące rozwiązywania problemów z odblokowywaniem sieciowym funkcji BitLocker można znaleźć w temacie How to enable Network Unlock: Troubleshoot Network Unlock (Jak włączyć odblokowywanie sieci: rozwiązywanie problemów z odblokowywaniem sieciowym).

W tym artykule opisano kilka znanych problemów, które mogą wystąpić podczas odblokowywania sieci funkcji BitLocker i zawiera wskazówki dotyczące rozwiązywania tych problemów.

Napiwek

Funkcja Odblokowywanie sieciowe funkcji BitLocker może zostać wykryta, jeśli jest włączona na określonym komputerze, wykonaj następujące czynności na komputerach UEFI:

  1. Otwórz okno wiersza polecenia z podwyższonym poziomem uprawnień i uruchom następujące polecenie:

    manage-bde.exe -protectors -get <Drive>
    

    Na przykład:

    manage-bde.exe -protectors -get C:
    

    Jeśli dane wyjściowe tego polecenia zawierają funkcję ochrony klucza typu TpmCertificate (9), konfiguracja jest poprawna dla funkcji Odblokowywanie sieciowe funkcji BitLocker.

  2. Uruchom Edytor rejestru i sprawdź następujące ustawienia:

    1. Istnieje następujący klucz rejestru i ma następującą wartość:

      • Podklucz: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE
      • Typ: REG_DWORD
      • Wartość: OSManageNKP równa 1 (prawda)
    2. Klucz rejestru:

      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\FVE_NKP\Certificates

      zawiera wpis, którego nazwa jest zgodna z nazwą odcisku palca certyfikatu funkcji Ochrony klucza odblokowywania sieciowego funkcji BitLocker, który został znaleziony w kroku 1.

Na urządzeniu Surface Pro 4 odblokowanie sieciowe funkcji BitLocker nie działa, ponieważ stos sieciowy UEFI jest niepoprawnie skonfigurowany

Rozważmy następujący scenariusz:

Odblokowanie sieciowe funkcji BitLocker zostało skonfigurowane zgodnie z opisem w funkcji BitLocker: Jak włączyć odblokowywanie sieciowe. Interfejs UEFI urządzenia Surface Pro 4 został skonfigurowany do używania protokołu DHCP. Jednak po ponownym uruchomieniu urządzenia Surface Pro 4 nadal jest wyświetlany monit o podanie numeru PIN funkcji BitLocker.

Podczas testowania innego urządzenia, takiego jak inny typ tabletu lub komputera przenośnego skonfigurowanego do korzystania z tej samej infrastruktury, urządzenie zostanie uruchomione ponownie zgodnie z oczekiwaniami bez monitowania o podanie numeru PIN funkcji BitLocker. Ten test potwierdza, że infrastruktura jest poprawnie skonfigurowana, a problem jest specyficzny dla urządzenia.

Przyczyna braku działania odblokowywania sieciowego funkcji BitLocker na urządzeniu Surface Pro 4

Stos sieciowy UEFI na urządzeniu jest niepoprawnie skonfigurowany.

Rozwiązanie problemu z odblokowywaniem sieciowym funkcji BitLocker, które nie działa na urządzeniu Surface Pro 4

Aby poprawnie skonfigurować stos sieciowy UEFI urządzenia Surface Pro 4, należy użyć trybu zarządzania Urządzenia Microsoft Surface Enterprise (SEMM). Aby uzyskać informacje o programie SEMM, zobacz Rejestrowanie i konfigurowanie urządzeń Surface za pomocą rozwiązania SEMM.

Uwaga 16.

Jeśli nie można użyć rozwiązania SEMM, urządzenie Surface Pro 4 może być w stanie użyć funkcji Odblokowywanie sieciowe za pomocą funkcji BitLocker, konfigurując urządzenie Surface Pro 4 do korzystania z sieci jako pierwszej opcji rozruchu.

Nie można użyć funkcji odblokowywania sieci funkcji BitLocker na komputerze klienckim z systemem Windows

Rozważmy następujący scenariusz:

Odblokowanie sieciowe funkcji BitLocker zostało skonfigurowane zgodnie z opisem w funkcji BitLocker: Jak włączyć odblokowywanie sieciowe. Komputer kliencki z systemem Windows 8 jest połączony z siecią wewnętrzną za pomocą ethernetowego. Jednak po ponownym uruchomieniu urządzenia urządzenie nadal wyświetla monit o podanie numeru PIN funkcji BitLocker.

Przyczyna braku możliwości korzystania z funkcji Odblokowywanie sieciowe funkcji BitLocker na komputerze klienckim z systemem Windows

Komputer kliencki z systemem Windows 8 lub Windows Server 2012 czasami nie odbiera ani nie używa funkcji ochrony odblokowywania sieciowego funkcji BitLocker, w zależności od tego, czy klient otrzymuje niepowiązane odpowiedzi BOOTP z serwera DHCP lub serwera usług WDS.

Serwery DHCP mogą wysyłać wszelkie opcje DHCP do klienta BOOTP zgodnie z opcjami DHCP i rozszerzeniami dostawcy BOOTP. To zachowanie oznacza, że ponieważ serwer DHCP obsługuje klientów BOOTP, serwer DHCP odpowiada na żądania BOOTP.

Sposób, w jaki serwer DHCP obsługuje komunikat przychodzący, zależy częściowo od tego, czy komunikat używa opcji Typ komunikatu:

  • Dwa pierwsze komunikaty wysyłane przez klienta odblokowywania sieciowego funkcji BitLocker to komunikaty DHCP DISCOVER\REQUEST. Używają opcji Typ komunikatu, więc serwer DHCP traktuje je jako komunikaty DHCP.
  • Trzeci komunikat, który wysyła klient odblokowywania sieciowego funkcji BitLocker, nie ma opcji Typ komunikatu. Serwer DHCP traktuje komunikat jako żądanie BOOTP.

Serwer DHCP obsługujący klientów BOOTP musi wchodzić w interakcje z tymi klientami zgodnie z protokołem BOOTP. Serwer musi utworzyć komunikat BOOTP BOOTREPLY zamiast komunikatu DHCPOFFER. Innymi słowy, serwer nie może zawierać typu opcji komunikatu DHCP i nie może przekraczać limitu rozmiaru komunikatów BOOTREPLY. Po wysłaniu komunikatu BOOTP BOOTPLY serwer oznacza powiązanie dla klienta BOOTP jako BOUND. Klient inny niż DHCP nie wysyła komunikatu DHCPREQUEST ani nie oczekuje komunikatu DHCPACK.

Jeśli serwer DHCP, który nie jest skonfigurowany do obsługi klientów BOOTP, odbiera komunikat BOOTREQUEST z klienta BOOTP, serwer dyskretnie odrzuca komunikat BOOTREQUEST.

Aby uzyskać więcej informacji na temat protokołu DHCP i odblokowywania sieci funkcji BitLocker, zobacz BitLocker: jak włączyć odblokowywanie sieci: sekwencja odblokowywania sieci.

Rozwiązanie problemu uniemożliwiającego korzystanie z funkcji Odblokowywanie sieciowe funkcji BitLocker na komputerze klienckim z systemem Windows

Aby rozwiązać ten problem, zmień konfigurację serwera DHCP, zmieniając opcję DHCP z DHCP i BOOTP na DHCP.