網路解除鎖定

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

網路解除鎖定是操作系統磁碟區的 BitLocker 金鑰保護裝置 。 網路解除鎖定可在連線到有線公司網路時，於系統重新啟動時提供操作系統磁碟區的自動解除鎖定，讓網域環境中已啟用 BitLocker 的桌面和伺服器更容易管理。 網路解除鎖定需要客戶端硬體在其 UEFI 韌體中實作 DHCP 驅動程式。 如果沒有網路解除鎖定，受 TPM+PIN 保護裝置保護的操作系統磁碟區需要在裝置重新啟動或從休眠狀態繼續時輸入 PIN (例如網路喚醒) 。 重新啟動後需要 PIN，可能會讓企業難以將軟體修補程式推出至自動桌面和遠端管理的伺服器。

網路解除鎖定可讓具有 TPM+PIN 和 且符合硬體需求的已啟用 BitLocker 的系統開機進入 Windows，而不需要使用者介入。 網路解除鎖定的運作方式 TPM+StartupKey 類似於開機時的 。 不過，網路解除鎖定功能不需要從USB媒體讀取 StartupKey，而是需要從儲存在 TPM 中的金鑰和傳送至伺服器的加密網路密鑰組成金鑰，並在安全會話中解密並傳回給用戶端。

系統需求

網路解除鎖定必須符合必要的硬體和軟體需求，功能才能自動解除鎖定已加入網域的系統。 這些需求包括：

• 任何支援的操作系統，具有可作為網路解除鎖定用戶端的 UEFI DHCP 驅動程式
• 使用 TPM 晶片和至少一個 TPM 保護裝置的網路解除鎖定用戶端
• 在任何支援的伺服器作業系統上執行 Windows 部署服務 (WDS) 角色的伺服器
• 安裝在任何支援的伺服器作業系統上的 BitLocker 網路解除鎖定選用功能
• DHCP 伺服器，與 WDS 伺服器分開
• 正確設定的公開/私鑰配對
• 已設定網路解除鎖定組策略設定
• 在用戶端裝置的 UEFI 韌體中啟用網路堆疊

重要

若要在 UEFI 內支援 DHCP，以 UEFI 為基礎的系統應該處於原生模式，且不應該啟用相容性支援模組 (CSM) 。

若要讓網路解除鎖定可靠地運作，裝置上的第一個網路適配器，通常是上線適配卡，必須設定為支援 DHCP。 第一個網路適配器必須用於網路解除鎖定。 當裝置有多個適配卡，而且某些適配卡設定沒有 DHCP 時，此設定特別值得注意，例如用於光源管理通訊協定。 此設定是必要的，因為網路解除鎖定會在因任何原因而達到 DHCP 埠失敗的適配卡時停止列舉適配卡。 因此，如果第一個列舉的配接器不支援 DHCP、未插入網路，或因為任何原因而無法報告 DHCP 埠的可用性，則網路解除鎖定會失敗。

網路解除鎖定伺服器元件會安裝在支援的 Windows Server 版本上，作為使用 伺服器管理員 或 Windows PowerShell Cmdlet 的 Windows 功能。 功能名稱位於 BitLocker Network Unlock 伺服器管理員和 BitLocker-NetworkUnlock PowerShell 中。

網路解除鎖定需要 Windows 部署服務 (將使用此功能的環境中) WDS。 不需要設定 WDS 安裝。 不過，WDS 服務必須在伺服器上執行。

網路金鑰會與 AES 256 工作階段金鑰一起儲存在系統磁碟驅動器上，並使用解除鎖定伺服器證書的 2048 位 RSA 公鑰加密。 網路金鑰會在執行 WDS 的支援 Windows Server 版本提供者協助下解密，並以其對應的會話密鑰傳回加密。

網路解除鎖定順序

當 Windows 開機管理程式偵測到網路解除鎖定保護裝置是否存在時，解除鎖定順序會在客戶端啟動。 它會使用 UEFI 中的 DHCP 驅動程式來取得 IPv4 的 IP 位址，然後廣播廠商特定的 DHCP 要求，其中包含網路密鑰和回復的會話密鑰，全部都由伺服器的網路解除鎖定憑證加密。 支援之 WDS 伺服器上的網路解除鎖定提供者可辨識廠商特定的要求、使用 RSA 私鑰解密，並透過自己的廠商特定 DHCP 回復傳回以會話密鑰加密的網路密鑰。

在伺服器端，WDS 伺服器角色具有選擇性外掛程式元件，例如 PXE 提供者，其可處理傳入的網路解除鎖定要求。 提供者也可以設定子網限制，這會要求網路解除鎖定要求中用戶端所提供的IP位址屬於允許的子網，才能將網路密鑰釋放給用戶端。 在網路解除鎖定提供者無法使用的情況下，BitLocker 會故障轉移到下一個可用的保護裝置，以解除鎖定磁碟驅動器。 在一般設定中，會顯示標準 TPM+PIN 解除鎖定畫面來解除鎖定磁碟驅動器。

啟用網路解除鎖定的伺服器端設定也需要以 X.509 憑證的形式佈建 2048 位 RSA 公開/私鑰組，並將公鑰憑證散發給用戶端。 此憑證是用來加密中繼網路密鑰的公鑰 (這是解除鎖定磁碟驅動器所需的兩個秘密之一;另一個秘密會儲存在 TPM) 中，而且必須透過 群組原則 進行管理和部署。

網路解除鎖定程式會遵循下列階段：

1. Windows 開機管理程式會在 BitLocker 組態中偵測網路解除鎖定保護裝置
2. 用戶端電腦會在 UEFI 中使用其 DHCP 驅動程式來取得有效的 IPv4 IP 位址
3. 用戶端計算機會廣播廠商特定的 DHCP 要求，其中包含網路密鑰 (256 位中繼密鑰) ，以及回復的 AES-256 會話密鑰。 網路金鑰是使用來自 WDS 伺服器之網路解除鎖定憑證的 2048 位 RSA 公鑰來加密
4. WDS 伺服器上的網路解除鎖定提供者可辨識廠商特定的要求
5. 提供者會使用 WDS 伺服器的 BitLocker 網路解除鎖定憑證 RSA 私鑰來解密要求
6. WDS 提供者會使用自己的廠商特定 DHCP 回復來傳回以會話密鑰加密的網路金鑰給客戶端電腦。 此金鑰是中繼金鑰
7. 傳回的中繼金鑰會與另一個本機 256 位中繼密鑰結合。 此金鑰只能由 TPM 解密
8. 此合併金鑰可用來建立可解除鎖定磁碟區的 AES-256 金鑰
9. Windows 會繼續開機順序

設定網路解除鎖定

下列步驟可讓系統管理員在 Active Directory 網域中設定網路解除鎖定。

安裝 WDS 伺服器角色

如果尚未安裝，BitLocker 網路解除鎖定功能會安裝 WDS 角色。 在安裝 BitLocker 網路解除鎖定之前，可以使用 伺服器管理員 或 PowerShell 個別安裝 WDS。 若要使用 伺服器管理員 安裝角色，請選取 伺服器管理員 中的Windows 部署服務角色。

若要使用 PowerShell 安裝角色，請使用下列命令：

Install-WindowsFeature WDS-Deployment

必須設定 WDS 伺服器，才能與 DHCP (通訊，並選擇性地與 AD DS) 和用戶端電腦通訊。 您可以使用 WDS 管理工具 來設定 WDS 伺服器， wdsmgmt.msc這會啟動 Windows 部署服務組態精靈。

確認 WDS 服務正在執行

若要確認 WDS 服務正在執行，請使用服務管理主控台或 PowerShell。 若要確認服務正在服務管理控制台中執行，請使用 services.msc 開啟控制台，並檢查 Windows 部署服務 服務的狀態。

若要使用 PowerShell 確認服務正在執行，請使用下列命令：

Get-Service WDSServer

安裝網路解除鎖定功能

若要安裝網路解除鎖定功能，請使用 伺服器管理員 或 PowerShell。 若要使用 伺服器管理員 安裝功能，請在 伺服器管理員 控制台中選取 [BitLocker 網络解除鎖定] 功能。

若要使用 PowerShell 安裝功能，請使用下列命令：

Install-WindowsFeature BitLocker-NetworkUnlock

建立網路解除鎖定的證書範本

正確設定的 Active Directory 證書頒發機構單位可以使用此證書範本來建立和發行網路解除鎖定憑證。

1. 開啟憑證範本嵌入式管理單元 (certtmpl.msc)

2. 找出用戶範本，以滑鼠右鍵按下範本名稱，然後選取 [ 複製範本]

3. 在 [兼容性] 索引卷標上，將 [證書頒發機構單位] 和 [憑證收件者] 字段分別變更為 [Windows Server 2016] 和 [Windows 10]。 確定已選取 [ 顯示產生的變更 ] 對話框

4. 選取範本的 [ 一般 ] 索引標籤。 範本顯示名稱和範本名稱應該會識別範本將用於網路解除鎖定。 清除 [ 在 Active Directory 中發佈憑證 ] 選項的複選框

5. 選取 [要求處理] 索引標籤。從 [目的] 下拉功能表中選取 [加密]。 確定已選取 [ 允許匯出私鑰] 選項

6. 選取 [ 密碼編譯] 索引 標籤。將 [ 金鑰大小下限 ] 設定為 2048。 任何支援 RSA 的 Microsoft 密碼編譯提供者都可以用於此範本，但為了簡單明瞭且順向相容，建議使用 Microsoft 軟體密鑰儲存提供者

7. 選取 [要求必須使用下列其中一個提供者 ] 選項，並清除所選密碼編譯提供者以外的所有選項，例如 Microsoft 軟體密鑰儲存提供者

8. 選取 [ 主體名稱] 索引 標籤。在 要求中選取 [提供]。 如果出現證書範本快顯對話方塊，請選取 [ 確定 ]

9. 選取 [ 發行需求] 索引 標籤。選取 CA 憑證管理員核准 和 有效的現有憑證 選項

10. 選取 [ 延伸模組] 索引標籤 。選 取 [應用程式原則 ]，然後選擇 [ 編輯...]。

11. 在 [編輯應用程式原則延伸模組選項] 對話方塊中，選取 [用戶端驗證]、[加密檔案系統] 和 [安全 Email]，然後選擇 [移除]

12. 在 [ 編輯應用程式原則延伸 模組] 對話框上，選取 [ 新增]

13. 在 [ 新增應用程式原則 ] 對話框中，選取 [ 新增]。 在 [ 新增應用程式 原則] 對話框中，於所提供的空間中輸入下列資訊，然後選取 [ 確定 ] 以建立 BitLocker 網络解除鎖定應用程式原則：

    • 名稱：BitLocker 網路解除鎖定
    • 對象標識碼：1.3.6.1.4.1.311.67.1.1

14. 選取新建立的 BitLocker 網络解除鎖定 應用程式原則，然後選取 [確定]

15. 在 [ 延伸模組] 索引標籤 仍開啟時，選取 [ 編輯密鑰使用方式延伸 模組] 對話框。 選取 [ 僅允許使用金鑰加密 (金鑰加密進行金鑰交換) ] 選項。 選取 [ 將此擴充功能設為重要 ] 選項

16. 選取 [ 安全性] 索引 標籤。確認已授與 Domain Admins 群組 註冊 許可權

17. 選取 [確定 ] 以完成範本的設定

若要將網路解除鎖定範本新增至證書頒發機構單位，請開啟證書頒發機構單位嵌入式管理單元 (certsrv.msc) 。 以滑鼠右鍵按兩下 [ 證書範本]，然後選擇 [ 新增]、[要發出的證書範本]。 選取先前建立的 BitLocker 網路解除鎖定憑證。

將網路解除鎖定範本新增至證書頒發機構單位之後，此憑證可用來設定 BitLocker 網路解除鎖定。

建立網路解除鎖定憑證

網路解除鎖定可以使用從現有公鑰基礎結構匯入的憑證 (PKI) 。 或者，它可以使用自我簽署憑證。

若要從現有的證書頒發機構單位註冊憑證：

1. 在 WDS 伺服器上，使用 開啟憑證管理員 certmgr.msc
2. 在 [ 憑證 - 目前使用者] 下方，以滑鼠右鍵按兩下 [ 個人]
3. 選 取 [所有工作>要求新憑證]
4. 當 [憑證註冊精靈] 開啟時，選取 [ 下一步]
5. 選取 Active Directory 註冊原則
6. 選擇針對域控制器上的網路解除鎖定所建立的證書範本。 然後選取 [ 註冊]
7. 當系統提示您提供詳細資訊時，請選取 [主體名稱 ]，並提供易記的名稱值。 易記名稱應包含憑證的網域或組織單位資訊例如： Contoso 網域的 BitLocker 網路解除鎖定憑證
8. 建立憑證。 確定憑證出現在 [個人] 文件 夾中
9. 匯出網路解除鎖定的公鑰憑證：
   1. .cer以滑鼠右鍵按兩下先前建立的憑證，選取 [所有工作]，然後選取 [匯出]，以建立檔案
   2. 選 取 [否]，不要匯出私鑰
   3. 選 取 DER 編碼的二進位 X.509 並將憑證導出至檔案
   4. 提供檔名，例如 BitLocker-NetworkUnlock.cer
10. 使用私鑰導出公鑰以進行網路解除鎖定
    1. .pfx以滑鼠右鍵按兩下先前建立的憑證，選取 [所有工作]，然後選取 [匯出]，以建立檔案
    2. 選 取 [是]，匯出私鑰
    3. 完成建立檔案的 .pfx 步驟

若要建立自我簽署憑證，請使用 New-SelfSignedCertificate Windows PowerShell 中的 Cmdlet 或使用 certreq.exe。 例如：

PowerShell

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")

certreq.exe

1. 建立延伸名的 .inf 文字檔，例如：

   notepad.exe BitLocker-NetworkUnlock.inf
   

2. 將下列內容新增至先前建立的檔案：

   [NewRequest]
   Subject="CN=BitLocker Network Unlock certificate"
   ProviderType=0
   MachineKeySet=True
   Exportable=true
   RequestType=Cert
   KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
   KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
   KeyLength=2048
   SMIME=FALSE
   HashAlgorithm=sha512
   [Extensions]
   1.3.6.1.4.1.311.21.10 = "{text}"
   _continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
   2.5.29.37 = "{text}"
   _continue_ = "1.3.6.1.4.1.311.67.1.1"
   

3. 開啟提升許可權的命令提示字元， certreq.exe 並使用工具來建立新的憑證。 使用下列命令，指定先前建立之檔案的完整路徑以及檔名：

   certreq.exe -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
   

4. 確認憑證已由上一個命令正確建立，方法是確認 .cer 檔案存在

5. 執行 以啟動 憑證 - 本機計算機 控制台 certlm.msc

6. .pfx依照下列步驟建立檔案 ： 憑證 - 本機計算機控制台：

   1. 流覽至 憑證 - 本機計算機>個人>憑證
   2. 以滑鼠右鍵按兩下先前匯入的憑證，選取 [ 所有工作]，然後選取 [ 匯出]
   3. 遵循精靈來建立 .pfx 檔案

將私鑰和憑證部署至 WDS 伺服器

建立憑證和金鑰之後，請將它們部署到基礎結構，以正確解除鎖定系統。 若要部署憑證：

1. 在 WDS 伺服器上，執行 以啟動 [憑證 - 本機計算機] 主控台 certlm.msc
2. 以滑鼠右鍵按兩下 [本機計算機 (憑證] 底下的 [ BitLocker 磁碟驅動器加密網络 解除鎖定] 專案 ) ，選取 [ 所有工作]，然後選取 [ 匯入]
3. 在 [ 要匯入的檔案] 對話框中，選擇先前建立的 .pfx 檔案
4. 輸入用來建立 .pfx 並完成精靈的密碼

設定網路解除鎖定的組策略設定

將憑證和金鑰部署至網路解除鎖定的 WDS 伺服器時，最後一個步驟是使用組策略設定，將公鑰憑證部署到將使用網路解除鎖定密鑰來解除鎖定的所需電腦。 您可以使用本機 群組原則 編輯器 或 Microsoft 管理控制台，在電腦設定系統管理範>本Windows 元件>BitLocker 磁碟驅動器加密下>找到 BitLocker 的組策略設定。

下列步驟說明如何啟用設定網路解除鎖定所需的組策略設定。

1. 開啟 群組原則 Management Console (gpmc.msc)
2. 啟用 [ 啟動時需要額外的驗證] 原則，然後選取 [ 需要搭配 TPM 啟動 PIN ] 或 [允許使用 TPM 啟動 PIN]
3. 在所有加入網域的計算機上開啟具有 TPM+PIN 保護裝置的 BitLocker

下列步驟說明如何部署必要的組策略設定：

1. .cer將為網路解除鎖定所建立的檔案複製到域控制器

2. 在域控制器上，開啟 群組原則 Management Console (gpmc.msc)

3. 建立新的 群組原則 物件或修改現有的物件，以啟用 [在啟動時允許網络解除鎖定] 設定

4. 將公用憑證部署至用戶端：

   1. 在組策略管理控制台中，流覽至下列位置：

      計算機設定>政策>Windows 設定>安全性>設定公鑰原則>BitLocker 磁碟驅動器加密網路解除鎖定憑證。

   2. 以滑鼠右鍵按兩下資料夾，然後選取[ 新增網路解除鎖定憑證]

   3. 遵循精靈步驟，並匯入 .cer 稍早複製的檔案

   注意

   一次只能使用一個網路解除鎖定憑證。 如果需要新的憑證，請先刪除目前的憑證，再部署新的憑證。 網路解除鎖定憑證位於用戶端電腦上的登錄機碼底下 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP 。

5. 在部署 群組原則 之後重新啟動用戶端

   注意

   網路 (憑證型) 保護裝置只會在重新啟動之後新增，且已啟用原則，且有效憑證存在於FVE_NKP存放區中。

WDS 伺服器上的子網原則配置檔 (選擇性)

根據預設，伺服器會解除鎖定具有正確網路解除鎖定憑證的所有用戶端，以及透過 DHCP 有線存取已啟用網路解除鎖定之 WDS 伺服器的有效網路解除鎖定保護裝置。 您可以在 WDS 伺服器上建立子網原則組態檔，以限制網路解除鎖定用戶端可用來解除鎖定的子網 () 。

名為的 bde-network-unlock.ini組態檔必須位於與網路解除鎖定提供者 DLL () %windir%\System32\Nkpprov.dll 相同的目錄中，而且它同時適用於 IPv6 和 IPv4 DHCP 實作。 如果子網設定原則損毀，提供者會失敗並停止回應要求。

子網原則組態檔必須使用 區 [SUBNETS] 段來識別特定子網。 然後，您可以使用具名子網來指定憑證子區段中的限制。 子網會定義為簡單的名稱/值組，其格式為一般 INI，其中每個子網都有自己的一行，名稱位於等號左邊，而子網在等號右側識別為無類別 Inter-Domain 路由 (CIDR) 位址或範圍。 子網名稱不允許關鍵詞 ENABLED 。

[SUBNETS]
SUBNET1=10.185.250.0/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=10.185.252.200/28 
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

在本 [SUBNETS] 節之後，每個網路解除鎖定憑證都可以有區段，其識別方式是憑證指紋格式化而沒有任何空格，這會定義可從該憑證解除鎖定的子網用戶端。

注意

指定憑證指紋時，請勿包含任何空格。 如果指紋中包含空格，子網設定會失敗，因為指紋無法辨識為有效。

子網限制會在每個憑證區段中定義，方法是取消允許的子網清單。 如果憑證區段中列出任何子網，則該憑證只允許這些子網。 如果憑證區段中未列出任何子網，則該憑證允許所有子網。 如果憑證在子網原則組態檔中沒有 區段，則不會套用任何子網限制來使用該憑證解除鎖定。 如需套用至每個憑證的限制，伺服器上的每個網路解除鎖定憑證都必須有憑證區段，而且每個憑證區段都必須有明確允許的清單集。

子網清單的建立方式是將區段中的子網 [SUBNETS] 名稱放在憑證區段標頭下方的專屬行上。 然後，伺服器只會在子網上解除鎖定具有此憑證的用戶端， (清單中指定的) 。 若要進行疑難解答，可以快速排除子網，而不需要從 區段中刪除子網，方法是使用前面加上分號來將它批注化。

[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

若要完全不允許使用憑證，請在其子網清單中新增一 DISABLED 行。

關閉網路解除鎖定

若要關閉解除鎖定伺服器，可以從WDS 伺服器取消註冊 PXE 提供者，或完全卸載。 不過，若要停止用戶端建立網路解除鎖定保護裝置，應該停用 [ 在啟動時允許網路解除 鎖定] 組策略設定。 當此原則設定在用戶端 電腦上更新 為停用時，會刪除計算機上的任何網路解除鎖定密鑰保護裝置。 或者，您可以在域控制器上刪除 BitLocker 網路解除鎖定憑證原則，以完成整個網域的相同工作。

注意

拿掉 WDS 伺服器上包含網路解除鎖定憑證和金鑰的FVE_NKP證書存儲，也會有效地停用伺服器響應該憑證之解除鎖定要求的能力。 不過，這會被視為錯誤狀況，而且不是關閉網路解除鎖定伺服器的支持或建議方法。

更新網路解除鎖定憑證

若要更新網路解除鎖定所使用的憑證，系統管理員必須匯入或產生伺服器的新憑證，然後更新域控制器上的網路解除鎖定憑證組策略設定。

注意

未收到組策略設定的伺服器在開機時需要 PIN。 在這種情況下，請瞭解伺服器為何不會收到 GPO 來更新憑證。

針對網路解除鎖定進行疑難解答

針對網路解除鎖定問題進行疑難解答會從驗證環境開始。 很多時候，小型設定問題可能是失敗的根本原因。 要驗證的專案包括：

• 確認客戶端硬體是以 UEFI 為基礎，且位於韌體 2.3.1 版，且 UEFI 韌體處於原生模式，但未啟用相容性支援模組 (啟用 BIOS 模式的 CSM) 。 驗證可以藉由檢查韌體沒有啟用選項來完成，例如「舊版模式」或「相容性模式」，或韌體未顯示為類似BIOS的模式

• 所有必要的角色和服務都會安裝並啟動

• 公開和私人憑證已發佈，且位於適當的憑證容器中。 您可以在 WDS 伺服器上的 Microsoft Management Console (MMC.exe) 中驗證網路解除鎖定憑證是否存在，並啟用本機計算機的憑證嵌入式管理單元。 藉由檢查客戶端電腦上的登錄機碼 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP ，即可驗證客戶端憑證

• 已啟用網路解除鎖定的組策略，並連結至適當的網域

• 確認組策略是否正確地連線到用戶端。 您可以使用或 RSOP.msc 公用GPRESULT.exe程式來驗證組策略

• 確認用戶端在套用原則之後是否已重新啟動

• 確認用戶端上是否列出 網路 (憑證型) 保護裝置。 您可以使用manage-bde或 Windows PowerShell Cmdlet 來驗證保護裝置。 例如，下列命令會列出本機電腦 C： 磁碟驅動器上目前設定的金鑰保護裝置：

  manage-bde.exe -protectors -get C:
  

  注意

  使用的 manage-bde.exe 輸出以及 WDS 偵錯記錄檔，判斷是否要將適當的憑證指紋用於網路解除鎖定。

收集下列檔案以針對 BitLocker 網路解除鎖定進行疑難解答。

• Windows 事件記錄檔。 具體而言，取得 BitLocker 事件記錄檔和 Microsoft-Windows-Deployment-Services-Diagnostics-Debug 記錄檔

  WDS 伺服器角色的偵錯記錄預設會關閉。 若要擷取 WDS 偵錯記錄，必須先啟用WDS偵錯記錄。 使用下列兩種方法之一來開啟 WDS 偵錯記錄。

  • 啟動提升權限的命令提示字元，然後執行下列命令：

    wevtutil.exe sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
    

  • 在 WDS 伺服器上開啟 事件檢視器：

    1. 在左窗格中，流覽至 應用程式和服務記錄>Microsoft>Windows>Deployment-Services-Diagnostics>偵錯
    2. 在右窗格中，選取 [ 啟用記錄]

• 如果有 DHCP 子網配置檔 (，)

• 磁碟區上 BitLocker 狀態的輸出。 使用 manage-bde.exe -status將此輸出收集到文字檔中。 或在 Windows PowerShell 中，使用Get-BitLockerVolume

• 裝載 WDS 角色之伺服器上的網路監視器擷取，由用戶端 IP 位址篩選