針對 BitLocker 進行疑難解答的指導方針
本文會解決 BitLocker 中的常見問題,並提供針對這些問題進行疑難解答的指導方針。 本文也提供一些資訊,例如要收集哪些數據,以及要檢查哪些設定。 這項資訊可讓疑難解答程式變得更容易。
檢閱事件記錄
開啟 事件檢視器,然後在應用程式和服務>記錄Microsoft>Windows 下檢閱下列記錄:
BitLocker-API。 檢閱 管理 記錄、 作業 記錄檔,以及此資料夾中產生的任何其他記錄。 預設記錄具有下列唯一名稱:
- Microsoft-Windows-BitLocker-API/Management
- Microsoft-Windows-BitLocker-API/Operational
- Microsoft-Windows-BitLocker-API/追蹤 - 只有在啟用 顯示分析和偵錯記錄 時才會顯示
BitLocker-DrivePreparationTool。 檢閱 管理員 記錄檔、作業記錄檔,以及此資料夾中產生的任何其他記錄。 預設記錄具有下列唯一名稱:
- Microsoft-Windows-BitLocker-DrivePreparationTool/管理員
- Microsoft-Windows-BitLocker-DrivePreparationTool/Operational
此外,請檢閱 Windows 記錄>系統 記錄檔中 TPM 和 TPM-WMI 事件來源所產生的事件。
若要篩選及顯示或匯出記錄,可以使用 wevtutil.exe 命令行工具或 Get-WinEvent PowerShell Cmdlet。
例如,若要使用 wevtutil.exe 將作業記錄的內容從 BitLocker-API 資料夾匯出至名為 BitLockerAPIOpsLog.txt的文字檔,請開啟命令提示字元視窗,然後執行下列命令:
wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt
若要使用 Get-WinEvent Cmdlet 將相同的記錄匯出至逗號分隔文字檔,請開啟 Windows PowerShell 視窗並執行下列命令:
Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational" | Export-Csv -Path Bitlocker-Operational.csv
Get-WinEvent 可以在提升許可權的 PowerShell 視窗中使用,使用下列語法顯示系統或應用程式記錄檔中篩選的資訊:
若要顯示 BitLocker 相關資訊:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | fl
這類指令輸出如下所示:
若要匯出 BitLocker 相關信息:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csv
若要顯示 TPM 相關資訊:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | fl
若要匯出 TPM 相關信息:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csv
這類命令的輸出如下所示。
注意事項
連絡 Microsoft 支援服務 時,建議您匯出本節所列的記錄。
從 BitLocker 技術收集狀態資訊
開啟提升權限的 Windows PowerShell 視窗,然後執行下列每個命令:
命令 | 附註 | 其他資訊 |
---|---|---|
Get-Tpm > C:\TPM.txt |
PowerShell Cmdlet,可匯出本機計算機信賴平臺模組 (TPM) 的相關信息。 此 Cmdlet 會根據 TPM 晶片是 1.2 版還是 2.0 版來顯示不同的值。 Windows 7 不支援此 Cmdlet。 | Get-Tpm |
manage-bde.exe -status > C:\BDEStatus.txt |
匯出電腦上所有磁碟驅動器之一般加密狀態的相關信息。 | manage-bde.exe 狀態 |
manage-bde.exe c: -protectors -get > C:\Protectors |
匯出用於 BitLocker 加密金鑰之保護方法的相關信息。 | manage-bde.exe 保護工具 |
reagentc.exe /info > C:\reagent.txt |
匯出有關 Windows 復原環境目前狀態的在線或離線映像資訊 (WindowsRE) 和任何可用的復原映像。 | reagentc.exe |
Get-BitLockerVolume \| fl |
取得 BitLocker 磁碟驅動器加密可保護之磁碟區的相關信息的 PowerShell Cmdlet。 | Get-BitLockerVolume |
檢閱設定資訊
開啟提升權限的指令提示字元視窗,然後執行下列命令:
命令 附註 其他資訊 gpresult.exe /h <Filename>
匯出原則信息的結果集,並將資訊儲存為 HTML 檔案。 gpresult.exe msinfo.exe /report <Path> /computer <ComputerName>
匯出本機計算機上硬體、系統元件和軟體環境的完整資訊。 /report 選項會將資訊儲存為 .txt 檔。 msinfo.exe 開啟登錄 編輯器,然後匯出下列子機碼中的專案:
HKLM\SOFTWARE\Policies\Microsoft\FVE
HKLM\SYSTEM\CurrentControlSet\Services\TPM\
檢查 BitLocker 必要條件
可能會造成 BitLocker 問題的常見設定包括下列案例:
TPM 必須解除鎖定。 檢查 get-tpm PowerShell Cmdlet 命令的輸出,以瞭解 TPM 的狀態。
Windows RE 必須啟用。 檢查 reagentc.exe 命令的輸出,以取得 WindowsRE 的狀態。
系統保留的數據分割必須使用正確的格式。
- 在整合可延伸韌體介面 (UEFI) 計算機上,系統保留的磁碟分區必須格式化為 FAT32。
- 在舊版計算機上,系統保留的數據分割必須格式化為NTFS。
如果要進行疑難解答的裝置是平板電腦或平板電腦,請使用 https://gpsearch.azurewebsites.net/#8153 來確認 [ 啟用需要在平板上預先啟動鍵盤輸入的 BitLocker 驗證 ] 選項的狀態。
如需 BitLocker 必要條件的詳細資訊,請參閱 BitLocker 基本部署:使用 BitLocker 加密磁碟區
後續步驟
如果到目前為止檢查的資訊指出特定問題 (例如 WindowsRE 未啟用) ,則問題可能會有直接的修正。
解決沒有明顯原因的問題取決於確切涉及哪些元件,以及看到的行為。 收集到的信息有助於縮小要調查的區域。
如果疑難解答的裝置是由 Microsoft Intune 所管理,請參閱使用 Intune 強制執行 BitLocker 原則:已知問題。
如果 BitLocker 未啟動或無法加密磁碟驅動器,且發生與 TPM 相關的錯誤或事件,請參閱 BitLocker 無法加密磁碟驅動器:已知的 TPM 問題。
如果 BitLocker 未啟動或無法加密磁碟驅動器,請參閱 BitLocker 無法加密磁碟驅動器:已知問題。
如果 BitLocker 網路解除鎖定的行為不如預期,請參閱 BitLocker 網路解除鎖定:已知問題。
如果在加密磁碟驅動器復原時,或 BitLocker 意外復原磁碟驅動器時,BitLocker 的行為不如預期,請參閱 BitLocker 復原:已知問題。
如果 BitLocker 或加密的磁碟驅動器未如預期般運作,且發生與 TPM 相關的錯誤或事件,請參閱 BitLocker 和 TPM:其他已知問題。
如果 BitLocker 或加密磁碟驅動器的行為不如預期,請參閱 BitLocker 設定:已知問題。
建議您在連絡 Microsoft 支援服務 以取得解決問題的協助時,讓收集到的資訊保持方便。
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應