BitLocker и TPM: другие известные проблемы
В этой статье описаны распространенные проблемы, связанные непосредственно с доверенным платформенным модулем (TPM), и приведены рекомендации по их устранению.
Microsoft Entra ID: Windows Hello для бизнеса и единый вход не работают
Рассмотрим следующий сценарий.
Присоединенный к Microsoft Entra клиентский компьютер не может правильно пройти проверку подлинности. Компьютер испытывает один или несколько из следующих симптомов:
- Windows Hello для бизнеса не работает
- Сбой условного доступа
- Единый вход (SSO) не работает
Кроме того, в Просмотр событий компьютер регистрирует следующее событие с идентификатором 1026 в системе журналов> Windows:
Имя журнала: System
Источник: Microsoft-Windows-TPM-WMI
Дата: <дата и время>
Идентификатор события: 1026
Категория задачи: Нет
Уровень: сведения
Ключевые слова:
Пользователь: SYSTEM
Компьютер: <имя компьютера>
Описание:
Оборудование доверенного платформенного модуля (TPM) на этом компьютере не может быть подготовлено для использования автоматически. Чтобы настроить TPM в интерактивном режиме, используйте консоль управления доверенного платформенного модуля (Start-tpm.msc>) и используйте действие , чтобы подготовить TPM.
Ошибка. TPM защищается от атак по словарю и находится в периоде ожидания.
Дополнительные сведения: 0x840000
Причина Microsoft Entra ID: Windows Hello для бизнеса и единый вход не работают
Это событие указывает на то, что доверенный платформенный модуль не готов или имеет какой-либо параметр, который запрещает доступ к ключам доверенного платформенного модуля.
Кроме того, поведение указывает на то, что клиентский компьютер не может получить основной маркер обновления (PRT).
Решение для Microsoft Entra ID: Windows Hello для бизнеса и единый вход не работают
Чтобы проверить состояние PRT, используйте команду dsregcmd.exe /status для сбора сведений. В выходных данных средства убедитесь, что состояние пользователя или состояние единого входа содержит атрибут AzureAdPrt . Если значение этого атрибута равно Нет, prT не был выдан. Если атрибут имеет значение No, это может указывать на то, что компьютер не смог представить свой сертификат для проверки подлинности.
Чтобы устранить эту проблему, выполните следующие действия для устранения неполадок доверенного платформенного модуля:
Откройте консоль управления доверенного платформенного модуля (tpm.msc), нажав кнопку Пуск и введя tpm.msc в поле Поиска.
Если отображается уведомление о разблокировке доверенного платформенного модуля или сбросе блокировки, обратитесь к поставщику оборудования, чтобы определить, есть ли известное решение проблемы.
Если проблема по-прежнему не устранена после обращения к поставщику оборудования, очистите и повторно инициализируйте TPM, следуя инструкциям в статье Устранение неполадок доверенного платформенного модуля: очистка всех ключей из доверенного платформенного модуля.
Предупреждение
Очистка доверенного платформенного модуля может привести к потере данных.
Если на шаге 2 нет уведомления о разблокировке доверенного платформенного модуля или сбросе блокировки, просмотрите параметры встроенного ПО UEFI или BIOS компьютера, чтобы узнать, какие параметры можно использовать для сброса или отключения блокировки.
Ошибка доверенного платформенного модуля 1.2. Сбой загрузки консоль управления. Устройство, необходимое поставщику шифрования, не готово к использованию
Рассмотрим следующий сценарий.
При попытке открыть консоль управления доверенного платформенного модуля на компьютере с Windows, использующим TPM версии 1.2, отображается следующее сообщение:
Сбой загрузки консоль управления. Устройство, необходимое поставщику шифрования, не готово к использованию.
HRESULT 0x800900300x80090030 — NTE_DEVICE_NOT_READY
Устройство, необходимое этому поставщику шифрования, не готово к использованию.
Версия спецификации доверенного платформенного модуля: TPM версии 1.2
На другом устройстве под управлением той же версии Windows можно открыть консоль управления доверенного платформенного модуля.
Причина (предполагаемая) ошибки TPM 1.2: сбой загрузки консоль управления. Устройство, необходимое поставщику шифрования, не готово к использованию
Эти симптомы указывают на то, что доверенный платформенный модуль имеет проблемы с оборудованием или встроенным ПО.
Решение ошибки TPM 1.2: сбой загрузки консоль управления. Устройство, необходимое поставщику шифрования, не готово к использованию
Устранение проблемы:
Переключите режим работы доверенного платформенного модуля с версии 1.2 на версию 2.0, если этот параметр доступен на устройстве.
Если переключение доверенного платформенного модуля с версии 1.2 на версию 2.0 не устраняет проблему или если на устройстве нет доступной версии TPM 2.0, обратитесь к поставщику оборудования, чтобы определить, есть ли обновление встроенного ПО UEFI, обновление BIOS или TPM для устройства. Если доступно обновление, установите его, чтобы узнать, устранена ли проблема.
Если обновление встроенного ПО или BIOS UEFI не устранит проблему или нет доступных обновлений, попробуйте заменить системную плату устройства, обратившись к поставщику оборудования. После замены системной платы переключите режим работы доверенного платформенного модуля с версии 1.2 на версию 2.0, если этот параметр доступен.
Предупреждение
Замена системной платы приведет к потере данных в доверенном платформенного модуля.
Устройства не присоединяются к гибридным Microsoft Entra ID из-за проблемы доверенного платформенного модуля
При попытке присоединить устройство к гибридной Microsoft Entra ID операция соединения завершается ошибкой.
Чтобы убедиться, что соединение выполнено успешно, используйте команду dsregcmd /status. В выходных данных средства следующие атрибуты указывают на успешное соединение:
- AzureAdJoined: ДА
- DomainName: <локальное доменное имя>
Если значение AzureADJoined равно Нет, операция присоединения завершилась ошибкой.
Причины и решения для устройств не присоединяются к гибридным Microsoft Entra ID из-за проблемы доверенного платформенного модуля
Эта проблема может возникать, если операционная система Windows не является владельцем доверенного платформенного модуля. Конкретное решение этой проблемы зависит от того, какие ошибки или события отображаются, как показано в следующей таблице:
Сообщение | Reason | Разрешение |
---|---|---|
NTE_BAD_KEYSET (0x80090016/-2146893802) | Сбой или недопустимая операция доверенного платформенного модуля | Эта проблема, вероятно, была вызвана повреждением образа sysprep. При создании образа sysprep используйте компьютер, который не присоединен или не зарегистрирован в Microsoft Entra ID или гибридной Microsoft Entra ID. |
TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | Ошибка универсального доверенного платформенного модуля. | Если устройство возвращает эту ошибку, отключите TPM. Windows 10, версия 1809 и более поздних версиях автоматически обнаруживает сбои доверенного платформенного модуля и завершает Microsoft Entra гибридного соединения без использования доверенного платформенного модуля. |
TPM_E_NOTFIPS (0x80280036/-2144862154) | Режим FIPS доверенного платформенного модуля в настоящее время не поддерживается. | Если устройство выдает эту ошибку, отключите TPM. Windows 10, версия 1809 и более поздних версиях автоматически обнаруживает сбои доверенного платформенного модуля и завершает Microsoft Entra гибридного соединения без использования доверенного платформенного модуля. |
NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | TPM заблокирован. | Это временная ошибка. Подождите, пока истек период охлаждения, а затем повторите операцию соединения. |
Дополнительные сведения о проблемах доверенного платформенного модуля см. в следующих статьях: