Sblocco di rete via BitLocker: problemi noti
Usando la funzionalità Di sblocco di rete BitLocker, i computer possono essere gestiti in remoto senza dover immettere un PIN bitLocker all'avvio di ogni computer. Per configurare questo comportamento, l'ambiente deve soddisfare i requisiti seguenti:
- Ogni computer appartiene a un dominio.
- Ogni computer ha una connessione cablata alla rete interna.
- La rete interna usa DHCP per gestire gli indirizzi IP.
- Ogni computer ha un driver DHCP implementato nel firmware UEFI (Unified Extensible Firmware Interface).
Per linee guida generali su come risolvere i problemi di sblocco di rete di BitLocker, vedere Come abilitare lo sblocco di rete: Risolvere i problemi di sblocco di rete.
Questo articolo descrive diversi problemi noti che possono verificarsi quando viene usato lo sblocco di rete bitLocker e fornisce indicazioni per risolvere questi problemi.
Suggerimento
Lo sblocco di rete BitLocker può essere rilevato se è abilitato in un computer specifico, seguire questa procedura nei computer UEFI:
Aprire una finestra del prompt dei comandi con privilegi elevati ed eseguire il comando seguente:
manage-bde.exe -protectors -get <Drive>
Ad esempio:
manage-bde.exe -protectors -get C:
Se l'output di questo comando include una protezione con chiave di tipo TpmCertificate (9), la configurazione è corretta per lo sblocco di rete BitLocker.
Avviare l'editor del Registro di sistema e verificare le impostazioni seguenti:
La chiave del Registro di sistema seguente esiste e ha il valore seguente:
- Sottochiave:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE
- Tipo:
REG_DWORD
- Valore:
OSManageNKP
uguale a1
(True)
- Sottochiave:
Chiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\FVE_NKP\Certificates
ha una voce il cui nome corrisponde al nome dell'identificazione personale del certificato della protezione della chiave di sblocco di rete BitLocker trovata nel passaggio 1.
In un dispositivo Surface Pro 4 lo sblocco di rete BitLocker non funziona perché lo stack di rete UEFI non è configurato correttamente
Prendi in considerazione lo scenario seguente:
Lo sblocco di rete bitLocker è stato configurato come descritto in BitLocker: Come abilitare lo sblocco di rete. UEFI di surface Pro 4 è stato configurato per l'uso di DHCP. Tuttavia, quando Surface Pro 4 viene riavviato, viene comunque richiesto un PIN bitLocker.
Quando si testa un altro dispositivo, ad esempio un tipo diverso di tablet o PC portatile configurato per l'uso della stessa infrastruttura, il dispositivo viene riavviato come previsto, senza richiedere il PIN bitLocker. Questo test conferma che l'infrastruttura è configurata correttamente e il problema è specifico del dispositivo.
Causa dello sblocco di rete BitLocker non funzionante in Surface Pro 4
Lo stack di rete UEFI nel dispositivo non è configurato correttamente.
Risoluzione per lo sblocco di rete BitLocker non funzionante su Surface Pro 4
Per configurare correttamente lo stack di rete UEFI di Surface Pro 4, è necessario usare la modalità di gestione di Microsoft Surface Enterprise (SEMM). Per informazioni su SEMM, vedi Registrare e configurare i dispositivi Surface con SEMM.
Note
Se NON è possibile usare SEMM, Surface Pro 4 potrebbe essere in grado di usare Lo sblocco di rete BitLocker configurando Surface Pro 4 per usare la rete come prima opzione di avvio.
Non è possibile usare la funzionalità di sblocco di rete BitLocker in un computer client Windows
Prendi in considerazione lo scenario seguente:
Lo sblocco di rete bitLocker è stato configurato come descritto in BitLocker: Come abilitare lo sblocco di rete. Un computer client Windows 8 è connesso alla rete interna con un cavo Ethernet. Tuttavia, quando il dispositivo viene riavviato, il dispositivo richiede comunque il PIN di BitLocker.
Causa dell'impossibilità di usare la funzionalità Di sblocco di rete BitLocker in un computer client Windows
Un computer client basato su Windows 8 o Windows Server 2012 a volte non riceve o usa la protezione Di sblocco di rete BitLocker, a seconda che il client riceva risposte BOOTP non correlate da un server DHCP o da un server WDS.
I server DHCP possono inviare qualsiasi opzione DHCP a un client BOOTP, come consentito dalle opzioni DHCP e dalle estensioni del fornitore BOOTP. Questo comportamento significa che poiché un server DHCP supporta i client BOOTP, il server DHCP risponde alle richieste BOOTP.
Il modo in cui un server DHCP gestisce un messaggio in arrivo dipende in parte dal fatto che il messaggio usi l'opzione Tipo di messaggio:
- I primi due messaggi inviati dal client di sblocco di rete BitLocker sono i messaggi DHCP DISCOVER\REQUEST. Usano l'opzione Tipo di messaggio, quindi il server DHCP li considera come messaggi DHCP.
- Il terzo messaggio che il client di sblocco di rete BitLocker invia non ha l'opzione Tipo di messaggio. Il server DHCP considera il messaggio come richiesta BOOTP.
Un server DHCP che supporta i client BOOTP deve interagire con tali client in base al protocollo BOOTP. Il server deve creare un messaggio BOOTP BOOTREPLY anziché un messaggio DHCPOFFER. In altre parole, il server non deve includere il tipo di opzione del messaggio DHCP e non deve superare il limite di dimensioni per i messaggi BOOTREPLY. Dopo che il server invia il messaggio BOOTP BOOTREPLY, il server contrassegna un'associazione per un client BOOTP come BOUND. Un client non DHCP non invia un messaggio DHCPREQUEST, né il client prevede un messaggio DHCPACK.
Se un server DHCP non configurato per supportare i client BOOTP riceve un messaggio BOOTREQUEST da un client BOOTP, tale server rimuove automaticamente il messaggio BOOTREQUEST.
Per altre informazioni sullo sblocco di rete DHCP e BitLocker, vedere BitLocker: How to enable Network Unlock: Network Unlock sequence(Come abilitare lo sblocco di rete: sequenza di sblocco di rete).
Risoluzione per l'impossibilità di usare la funzionalità di sblocco di rete BitLocker in un computer client Windows
Per risolvere questo problema, modificare la configurazione del server DHCP modificando l'opzione DHCP da DHCP e BOOTP a DHCP.