Рекомендации по устранению неполадок BitLocker
В этой статье рассматриваются распространенные проблемы в BitLocker и приводятся рекомендации по их устранению. В этой статье также содержатся сведения о том, какие данные следует собирать и какие параметры проверка. Эти сведения значительно упрощают процесс устранения неполадок.
Просмотр журналов событий
Откройте Просмотр событий и просмотрите следующие журналы в разделе Журналы> приложений и службMicrosoft>Windows:
BitLocker-API. Просмотрите журнал управления , операционный журнал и все другие журналы, созданные в этой папке. Журналы по умолчанию имеют следующие уникальные имена:
- Microsoft-Windows-BitLocker-API/Management
- Microsoft-Windows-BitLocker-API/Operational
- Microsoft-Windows-BitLocker-API/Трассировка — отображается только при включении отображения журналов аналитики и отладки .
BitLocker-DrivePreparationTool. Просмотрите журнал Администратор, операционный журнал и все другие журналы, созданные в этой папке. Журналы по умолчанию имеют следующие уникальные имена:
- Microsoft-Windows-BitLocker-DrivePreparationTool/Администратор
- Microsoft-Windows-BitLocker-DrivePreparationTool/Operational
Кроме того, просмотритежурнал системыжурналов> Windows на наличие событий, созданных источниками событий TPM и TPM-WMI.
Для фильтрации и отображения или экспорта журналов можно использовать средство командной строкиwevtutil.exe или командлет PowerShell Get-WinEvent .
Например, чтобы использовать wevtutil.exe для экспорта содержимого журнала операций из папки BitLocker-API в текстовый файл с именемBitLockerAPIOpsLog.txt, откройте окно командной строки и выполните следующую команду:
wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt
Чтобы использовать командлет Get-WinEvent для экспорта одного и того же журнала в текстовый файл с разделительными запятыми, откройте окно Windows PowerShell и выполните следующую команду:
Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational" | Export-Csv -Path Bitlocker-Operational.csv
Get-WinEvent можно использовать в окне PowerShell с повышенными привилегиями для отображения отфильтрованной информации из системы или журнала приложений с помощью следующего синтаксиса:
Чтобы отобразить сведения, связанные с BitLocker, выполните следующие действия.
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | fl
Выходные данные такой команды выглядят следующим образом:
Экспорт сведений, связанных с BitLocker:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csv
Чтобы отобразить сведения, связанные с TPM, выполните следующие действия:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | fl
Чтобы экспортировать сведения, связанные с TPM, выполните следующие действия.
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csv
Выходные данные такой команды выглядят следующим образом.
Примечание.
При обращении к служба поддержки Майкрософт рекомендуется экспортировать журналы, перечисленные в этом разделе.
Сбор сведений о состоянии из технологий BitLocker
Откройте окно Windows PowerShell с повышенными привилегиями и выполните каждую из следующих команд:
Command | Заметки | Дополнительная информация |
---|---|---|
Get-Tpm > C:\TPM.txt |
Командлет PowerShell, экспортируемый сведения о доверенном платформенного модуля (TPM) локального компьютера. Этот командлет отображает различные значения в зависимости от того, является ли микросхема TPM версии 1.2 или 2.0. Этот командлет не поддерживается в Windows 7. | Get-Tpm |
manage-bde.exe -status > C:\BDEStatus.txt |
Экспортирует сведения об общем состоянии шифрования всех дисков на компьютере. | состояниеmanage-bde.exe |
manage-bde.exe c: -protectors -get > C:\Protectors |
Экспортирует сведения о методах защиты, используемых для ключа шифрования BitLocker. | защитаmanage-bde.exe |
reagentc.exe /info > C:\reagent.txt |
Экспортирует сведения о сетевом или автономном образе о текущем состоянии Среды восстановления Windows (WindowsRE) и любого доступного образа восстановления. | reagentc.exe |
Get-BitLockerVolume \| fl |
Командлет PowerShell, который получает сведения о томах, которые может защитить шифрование диска BitLocker. | Get-BitLockerVolume |
Просмотр сведений о конфигурации
Откройте окно командной строки с повышенными привилегиями и выполните следующие команды:
Command Заметки Дополнительная информация gpresult.exe /h <Filename>
Экспортирует результирующий набор сведений о политике и сохраняет их в виде HTML-файла. gpresult.exe msinfo.exe /report <Path> /computer <ComputerName>
Экспортирует исчерпывающие сведения об оборудовании, системных компонентах и программной среде на локальном компьютере. Параметр /report сохраняет сведения в виде файла .txt. msinfo.exe Откройте Редактор реестра и экспортируйте записи в следующих подразделах:
HKLM\SOFTWARE\Policies\Microsoft\FVE
HKLM\SYSTEM\CurrentControlSet\Services\TPM\
Проверьте предварительные требования к BitLocker
Распространенные параметры, которые могут вызвать проблемы с BitLocker, включают в себя следующие сценарии:
TPM должен быть разблокирован. Проверьте выходные данные командлета PowerShell get-tpm на наличие состояния доверенного платформенного модуля.
Windows RE необходимо включить. Проверьте выходные данные команды reagentc.exe на наличие состояния WindowsRE.
Зарезервированная системой секция должна использовать правильный формат.
- На компьютерах с единым расширяемым интерфейсом встроенного ПО (UEFI) зарезервированный системой раздел должен быть отформатирован как FAT32.
- На компьютерах прежних версий зарезервированный системой раздел должен быть отформатирован как NTFS.
Если устройство, на которое возникают проблемы, является планшетным или планшетным компьютером, используйте https://gpsearch.azurewebsites.net/#8153 для проверки состояния параметра Включить использование проверки подлинности BitLocker, требующего предварительного ввода с клавиатуры на сланцах .
Дополнительные сведения о предварительных требованиях для BitLocker см. в статье Базовое развертывание BitLocker: использование BitLocker для шифрования томов.
Дальнейшие действия
Если изученные сведения указывают на конкретную проблему (например, WindowsRE не включен), проблема может быть просто исправлена.
Решение проблем, не имеющих очевидных причин, зависит от того, какие именно компоненты задействованы и какое поведение просматривается. Собранная информация помогает сузить области для исследования.
Если устройство управляется Microsoft Intune, см. статью Применение политик BitLocker с помощью Intune: известные проблемы.
Если BitLocker не запускается или не может зашифровать диск и возникают ошибки или события, связанные с доверенным платформенный платформенный модуль, см. статью BitLocker не может зашифровать диск: известные проблемы доверенного платформенного модуля.
Если BitLocker не запускается или не может зашифровать диск, см. статью BitLocker не может зашифровать диск: известные проблемы.
Если сетевая разблокировка BitLocker не работает должным образом, см. статью BitLocker Network Unlock: известные проблемы.
Если BitLocker не работает должным образом при восстановлении зашифрованного диска или bitLocker неожиданно восстановил диск, см. статью Восстановление BitLocker: известные проблемы.
Если BitLocker или зашифрованный диск работает не так, как ожидалось, и возникают ошибки или события, связанные с TPM, см. статью BitLocker и TPM: другие известные проблемы.
Если BitLocker или зашифрованный диск не работает должным образом, см. статью Конфигурация BitLocker: известные проблемы.
Рекомендуется держать собранные сведения под рукой на случай, если служба поддержки Майкрософт обратитесь за помощью в решении проблемы.