針對 BitLocker 進行疑難解答的指導方針

本文會解決 BitLocker 中的常見問題，並提供針對這些問題進行疑難解答的指導方針。本文也提供一些資訊，例如要收集哪些數據，以及要檢查哪些設定。這項資訊可讓疑難解答程式變得更容易。

檢閱事件記錄

開啟事件檢視器，然後在應用程式和服務>記錄Microsoft>Windows 下檢閱下列記錄：

BitLocker-API。檢閱管理記錄、作業記錄檔，以及此資料夾中產生的任何其他記錄。預設記錄具有下列唯一名稱：
- Microsoft-Windows-BitLocker-API/Management
- Microsoft-Windows-BitLocker-API/Operational
- Microsoft-Windows-BitLocker-API/追蹤 - 只有在啟用 顯示分析和偵錯記錄 時才會顯示
BitLocker-DrivePreparationTool。檢閱 管理員 記錄檔、作業記錄檔，以及此資料夾中產生的任何其他記錄。預設記錄具有下列唯一名稱：
- Microsoft-Windows-BitLocker-DrivePreparationTool/管理員
- Microsoft-Windows-BitLocker-DrivePreparationTool/Operational

此外，請檢閱 Windows 記錄>系統記錄檔中 TPM 和 TPM-WMI 事件來源所產生的事件。

若要篩選及顯示或匯出記錄，可以使用 wevtutil.exe 命令行工具或 Get-WinEvent PowerShell Cmdlet。

例如，若要使用 wevtutil.exe 將作業記錄的內容從 BitLocker-API 資料夾匯出至名為 BitLockerAPIOpsLog.txt的文字檔，請開啟命令提示字元視窗，然後執行下列命令：

wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt

若要使用 Get-WinEvent Cmdlet 將相同的記錄匯出至逗號分隔文字檔，請開啟 Windows PowerShell 視窗並執行下列命令：

Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational"  | Export-Csv -Path Bitlocker-Operational.csv

Get-WinEvent 可以在提升許可權的 PowerShell 視窗中使用，使用下列語法顯示系統或應用程式記錄檔中篩選的資訊：

若要顯示 BitLocker 相關資訊：

Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | fl

這類指令輸出如下所示：

使用 Get-WinEvent 和 BitLocker 篩選器所產生的輸出螢幕快照。

若要匯出 BitLocker 相關信息：

Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csv

若要顯示 TPM 相關資訊：

Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | fl

若要匯出 TPM 相關信息：

Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csv

這類命令的輸出如下所示。

使用 Get-WinEvent 和 TPM 篩選器所產生的輸出螢幕快照。

注意事項

連絡 Microsoft 支援服務時，建議您匯出本節所列的記錄。

開啟提升權限的 Windows PowerShell 視窗，然後執行下列每個命令：

命令	附註	其他資訊
`Get-Tpm > C:\TPM.txt`	PowerShell Cmdlet，可匯出本機計算機信賴平臺模組 (TPM) 的相關信息。此 Cmdlet 會根據 TPM 晶片是 1.2 版還是 2.0 版來顯示不同的值。 Windows 7 不支援此 Cmdlet。	Get-Tpm
`manage-bde.exe -status > C:\BDEStatus.txt`	匯出電腦上所有磁碟驅動器之一般加密狀態的相關信息。	manage-bde.exe 狀態
`manage-bde.exe c: -protectors -get > C:\Protectors`	匯出用於 BitLocker 加密金鑰之保護方法的相關信息。	manage-bde.exe 保護工具
`reagentc.exe /info > C:\reagent.txt`	匯出有關 Windows 復原環境目前狀態的在線或離線映像資訊 (WindowsRE) 和任何可用的復原映像。	reagentc.exe
`Get-BitLockerVolume \\| fl`	取得 BitLocker 磁碟驅動器加密可保護之磁碟區的相關信息的 PowerShell Cmdlet。	Get-BitLockerVolume

開啟提升權限的指令提示字元視窗，然後執行下列命令：

命令	附註	其他資訊
`gpresult.exe /h <Filename>`	匯出原則信息的結果集，並將資訊儲存為 HTML 檔案。	gpresult.exe
`msinfo.exe /report <Path> /computer <ComputerName>`	匯出本機計算機上硬體、系統元件和軟體環境的完整資訊。 /report 選項會將資訊儲存為 .txt 檔。	msinfo.exe

開啟登錄編輯器，然後匯出下列子機碼中的專案：
- HKLM\SOFTWARE\Policies\Microsoft\FVE
- HKLM\SYSTEM\CurrentControlSet\Services\TPM\

可能會造成 BitLocker 問題的常見設定包括下列案例：

TPM 必須解除鎖定。檢查 get-tpm PowerShell Cmdlet 命令的輸出，以瞭解 TPM 的狀態。
Windows RE 必須啟用。檢查 reagentc.exe 命令的輸出，以取得 WindowsRE 的狀態。
系統保留的數據分割必須使用正確的格式。
- 在整合可延伸韌體介面 (UEFI) 計算機上，系統保留的磁碟分區必須格式化為 FAT32。
- 在舊版計算機上，系統保留的數據分割必須格式化為NTFS。
如果要進行疑難解答的裝置是平板電腦或平板電腦，請使用 https://gpsearch.azurewebsites.net/#8153 來確認 [ 啟用需要在平板上預先啟動鍵盤輸入的 BitLocker 驗證 ] 選項的狀態。

如果到目前為止檢查的資訊指出特定問題 (例如 WindowsRE 未啟用) ，則問題可能會有直接的修正。

解決沒有明顯原因的問題取決於確切涉及哪些元件，以及看到的行為。收集到的信息有助於縮小要調查的區域。

如果疑難解答的裝置是由 Microsoft Intune 所管理，請參閱使用 Intune 強制執行 BitLocker 原則：已知問題。
如果 BitLocker 未啟動或無法加密磁碟驅動器，且發生與 TPM 相關的錯誤或事件，請參閱 BitLocker 無法加密磁碟驅動器：已知的 TPM 問題。
如果 BitLocker 未啟動或無法加密磁碟驅動器，請參閱 BitLocker 無法加密磁碟驅動器：已知問題。
如果 BitLocker 網路解除鎖定的行為不如預期，請參閱 BitLocker 網路解除鎖定：已知問題。
如果在加密磁碟驅動器復原時，或 BitLocker 意外復原磁碟驅動器時，BitLocker 的行為不如預期，請參閱 BitLocker 復原：已知問題。
如果 BitLocker 或加密的磁碟驅動器未如預期般運作，且發生與 TPM 相關的錯誤或事件，請參閱 BitLocker 和 TPM：其他已知問題。
如果 BitLocker 或加密磁碟驅動器的行為不如預期，請參閱 BitLocker 設定：已知問題。

建議您在連絡 Microsoft 支援服務以取得解決問題的協助時，讓收集到的資訊保持方便。