Richtlinien für die Problembehandlung bei BitLocker
In diesem Artikel werden häufige Probleme in BitLocker behandelt und Richtlinien zur Behandlung dieser Probleme bereitgestellt. Dieser Artikel enthält auch Informationen, z. B. welche Daten erfasst werden sollen und welche Einstellungen überprüft werden sollen. Diese Informationen erleichtern den Problembehandlungsprozess erheblich.
Überprüfen der Ereignisprotokolle
Öffnen Sie Ereignisanzeige, und überprüfen Sie die folgenden Protokolle unter Anwendungs- und Dienstprotokolle>Microsoft>Windows:
BitLocker-API. Überprüfen Sie das Verwaltungsprotokoll , das Betriebsprotokoll und alle anderen Protokolle, die in diesem Ordner generiert werden. Die Standardprotokolle weisen die folgenden eindeutigen Namen auf:
- Microsoft-Windows-BitLocker-API/Management
- Microsoft-Windows-BitLocker-API/Operational
- Microsoft-Windows-BitLocker-API/Ablaufverfolgung – wird nur angezeigt, wenn Analyse- und Debugprotokolle anzeigen aktiviert ist.
BitLocker-DrivePreparationTool. Überprüfen Sie die Admin Protokoll, das Betriebsprotokoll und alle anderen Protokolle, die in diesem Ordner generiert werden. Die Standardprotokolle weisen die folgenden eindeutigen Namen auf:
- Microsoft-Windows-BitLocker-DrivePreparationTool/Admin
- Microsoft-Windows-BitLocker-DrivePreparationTool/Operational
Überprüfen Sie außerdem das Protokoll des Windows-Protokollsystems> auf Ereignisse, die von den TPM- und TPM-WMI-Ereignisquellen generiert wurden.
Zum Filtern und Anzeigen oder Exportieren von Protokollen kann daswevtutil.exe-Befehlszeilentool oder das PowerShell-Cmdlet Get-WinEvent verwendet werden.
Wenn Sie beispielsweise wevtutil.exe verwenden möchten, um den Inhalt des Betriebsprotokolls aus dem Ordner BitLocker-API in eine Textdatei mit dem Namen BitLockerAPIOpsLog.txtzu exportieren, öffnen Sie ein Eingabeaufforderungsfenster, und führen Sie den folgenden Befehl aus:
wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt
Wenn Sie das Cmdlet Get-WinEvent verwenden möchten, um dasselbe Protokoll in eine durch Trennzeichen getrennte Textdatei zu exportieren, öffnen Sie ein Windows PowerShell Fenster, und führen Sie den folgenden Befehl aus:
Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational" | Export-Csv -Path Bitlocker-Operational.csv
Die Get-WinEvent kann in einem PowerShell-Fenster mit erhöhten Rechten verwendet werden, um gefilterte Informationen aus dem System- oder Anwendungsprotokoll mithilfe der folgenden Syntax anzuzeigen:
So zeigen Sie BitLocker-bezogene Informationen an:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | fl
Die Ausgabe eines solchen Befehls sieht wie folgt aus:
So exportieren Sie BitLocker-bezogene Informationen:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csv
So zeigen Sie TPM-bezogene Informationen an:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | fl
So exportieren Sie TPM-bezogene Informationen:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csv
Die Ausgabe eines solchen Befehls sieht wie folgt aus.
Hinweis
Wenn Sie Microsoft-Support kontaktieren, wird empfohlen, die in diesem Abschnitt aufgeführten Protokolle zu exportieren.
Sammeln von status Informationen aus den BitLocker-Technologien
Öffnen Sie ein fenster mit erhöhten Windows PowerShell, und führen Sie jeden der folgenden Befehle aus:
Befehl | Hinweise | Weitere Informationen |
---|---|---|
Get-Tpm > C:\TPM.txt |
PowerShell-Cmdlet, das Informationen zum Trusted Platform Module (TPM) des lokalen Computers exportiert. Dieses Cmdlet zeigt unterschiedliche Werte an, je nachdem, ob der TPM-Chip Version 1.2 oder 2.0 ist. Dieses Cmdlet wird in Windows 7 nicht unterstützt. | Get-Tpm |
manage-bde.exe -status > C:\BDEStatus.txt |
Exportiert Informationen über die allgemeine Verschlüsselung status aller Laufwerke auf dem Computer. | manage-bde.exe status |
manage-bde.exe c: -protectors -get > C:\Protectors |
Exportiert Informationen zu den Schutzmethoden, die für den BitLocker-Verschlüsselungsschlüssel verwendet werden. | manage-bde.exe Schutzvorrichtungen |
reagentc.exe /info > C:\reagent.txt |
Exportiert Informationen zu einem Online- oder Offlineimage zum aktuellen status der Windows-Wiederherstellungsumgebung (WindowsRE) und aller verfügbaren Wiederherstellungsimages. | reagentc.exe |
Get-BitLockerVolume \| fl |
PowerShell-Cmdlet, das Informationen zu Volumes abruft, die die BitLocker-Laufwerkverschlüsselung schützen kann. | Get-BitLockerVolume |
Überprüfen der Konfigurationsinformationen
Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie die folgenden Befehle aus:
Befehl Hinweise Weitere Informationen gpresult.exe /h <Filename>
Exportiert den Resultierenden Satz von Richtlinieninformationen und speichert die Informationen als HTML-Datei. gpresult.exe msinfo.exe /report <Path> /computer <ComputerName>
Exportiert umfassende Informationen zur Hardware, Systemkomponenten und Softwareumgebung auf dem lokalen Computer. Die Option /report speichert die Informationen als .txt Datei. msinfo.exe Öffnen Sie die Registrierungs-Editor, und exportieren Sie die Einträge in den folgenden Unterschlüsseln:
HKLM\SOFTWARE\Policies\Microsoft\FVE
HKLM\SYSTEM\CurrentControlSet\Services\TPM\
Überprüfen der BitLocker-Voraussetzungen
Zu den allgemeinen Einstellungen, die Zu Problemen mit BitLocker führen können, gehören die folgenden Szenarien:
Das TPM muss entsperrt werden. Überprüfen Sie die Ausgabe des PowerShell-Cmdlet-Befehls get-tpm auf die status des TPM.
Windows RE muss aktiviert sein. Überprüfen Sie die Ausgabe des befehlsreagentc.exe auf die status von WindowsRE.
Die vom System reservierte Partition muss das richtige Format verwenden.
- Auf UEFI-Computern (Unified Extensible Firmware Interface) muss die vom System reservierte Partition als FAT32 formatiert sein.
- Auf Legacycomputern muss die vom System reservierte Partition als NTFS formatiert sein.
Wenn es sich bei dem Gerät um einen Slate- oder Tablet-PC handelt, verwenden Sie https://gpsearch.azurewebsites.net/#8153 , um die status der Option Verwendung der BitLocker-Authentifizierung aktivieren, die tastatureingaben in Slates vor dem Start erfordert zu überprüfen.
Weitere Informationen zu den BitLocker-Voraussetzungen finden Sie unter Grundlegende BitLocker-Bereitstellung: Verwenden von BitLocker zum Verschlüsseln von Volumes.
Nächste Schritte
Wenn die bisher untersuchten Informationen auf ein bestimmtes Problem hindeuten (z. B. WindowsRE ist nicht aktiviert), kann das Problem einfach behoben werden.
Das Beheben von Problemen, die keine offensichtlichen Ursachen haben, hängt davon ab, welche Komponenten beteiligt sind und welches Verhalten angezeigt wird. Die gesammelten Informationen helfen dabei, die zu untersuchenden Bereiche einzugrenzen.
Wenn das Gerät, auf dem ein Problembild ausgeführt wird, von Microsoft Intune verwaltet wird, finden Sie weitere Informationen unter Erzwingen von BitLocker-Richtlinien mithilfe von Intune: bekannte Probleme.
Wenn BitLocker ein Laufwerk nicht startet oder nicht verschlüsseln kann und Fehler oder Ereignisse im Zusammenhang mit dem TPM auftreten, lesen Sie BitLocker kann ein Laufwerk nicht verschlüsseln: bekannte TPM-Probleme.
Wenn BitLocker ein Laufwerk nicht startet oder nicht verschlüsseln kann, lesen Sie BitLocker kann ein Laufwerk nicht verschlüsseln: bekannte Probleme.
Wenn sich die BitLocker-Netzwerkentsperrung nicht wie erwartet verhält, finden Sie weitere Informationen unter BitLocker-Netzwerkentsperrung: bekannte Probleme.
Wenn bitLocker sich beim Wiederherstellen eines verschlüsselten Laufwerks nicht wie erwartet verhält oder wenn BitLocker unerwartet ein Laufwerk wiederhergestellt hat, finden Sie weitere Informationen unter BitLocker-Wiederherstellung: Bekannte Probleme.
Wenn sich BitLocker oder das verschlüsselte Laufwerk nicht wie erwartet verhält und Fehler oder Ereignisse im Zusammenhang mit dem TPM auftreten, finden Sie weitere Informationen unter BitLocker und TPM: Andere bekannte Probleme.
Wenn sich BitLocker oder das verschlüsselte Laufwerk nicht wie erwartet verhält, finden Sie weitere Informationen unter BitLocker-Konfiguration: Bekannte Probleme.
Es wird empfohlen, die gesammelten Informationen zur Hand zu halten, falls Microsoft-Support um Hilfe bei der Behebung des Problems kontaktiert wird.