BitLocker не удается зашифровать диск: известные проблемы доверенного платформенного модуля
В этой статье описаны распространенные проблемы, влияющие на доверенный платформенный модуль (TPM), которые могут помешать BitLocker зашифровать диск. В этой статье также содержатся рекомендации по устранению этих проблем.
Примечание.
Если было установлено, что проблема с BitLocker не связана с доверенным платформенный платформенный модуль, см. статью BitLocker не может зашифровать диск: известные проблемы.
TPM заблокирован и отображается ошибка The TPM is defending against dictionary attacks and is in a time-out period
При попытке включить шифрование диска BitLocker на устройстве происходит сбой с сообщением об ошибке, аналогичным следующему:
TPM защищает от атак по словарю и находится в период ожидания.
Причина блокировки доверенного платформенного модуля
TPM заблокирован.
Разрешение заблокированного доверенного платформенного модуля
Чтобы устранить эту проблему, необходимо сбросить и очистить доверенный платформенный модуль. TPM можно сбросить и очистить, выполнив следующие действия:
Откройте окно PowerShell с повышенными привилегиями и выполните следующий скрипт:
$Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm" $ConfirmationStatus = $Tpm.GetPhysicalPresenceConfirmationStatus(22).ConfirmationStatus if($ConfirmationStatus -ne 4) {$Tpm.SetPhysicalPresenceRequest(22)}
Перезагрузите компьютер. Если отображается запрос, подтверждающий очистку доверенного платформенного модуля, примите согласие на очистку доверенного платформенного модуля.
Войдите в Windows и повторите попытку, чтобы запустить шифрование диска BitLocker.
Предупреждение
Сброс и очистка доверенного платформенного модуля может привести к потере данных.
TPM не удается подготовиться с ошибкой The TPM is defending against dictionary attacks and is in a time-out period
Предпринята попытка включить шифрование диска BitLocker на устройстве, но она завершается ошибкой. При устранении неполадок консоль управления доверенного платформенного модуля (tpm.msc) используется для подготовки доверенного платформенного модуля на устройстве. Операция завершается сбоем с сообщением об ошибке, похожем на следующее сообщение об ошибке:
TPM защищает от атак по словарю и находится в период ожидания.
Причина сбоя подготовки доверенного платформенного модуля
TPM заблокирован.
Решение проблемы подготовки доверенного платформенного модуля
Чтобы устранить эту проблему, отключите и повторно включите TPM, выполнив следующие действия.
Введите экраны конфигурации UEFI/BIOS устройства, перезагрузив устройство и нажав соответствующую комбинацию клавиш при загрузке устройства. Обратитесь к производителю устройства за соответствующим сочетанием клавиш для ввода на экраны конфигурации UEFI/BIOS.
На экранах конфигурации UEFI/BIOS отключите TPM. Обратитесь к производителю устройства за инструкциями по отключению доверенного платформенного модуля на экранах конфигурации UEFI/BIOS.
Сохраните конфигурацию UEFI/BIOS с отключенным TPM и перезапустите устройство для загрузки в Windows.
После входа в Windows вернитесь к консоль управления доверенного платформенного модуля. Отображается сообщение об ошибке, аналогичное следующему:
Не удается найти совместимый доверенный платформенный модуль
На этом компьютере не удается найти совместимый доверенный платформенный модуль (TPM). Убедитесь, что на этом компьютере установлен TPM 1.2 и он включен в BIOS.
Это сообщение ожидается, так как доверенный платформенный модуль в настоящее время отключен в встроенном ПО UEFI или BIOS устройства.
Перезапустите устройство и снова введите экраны конфигурации UEFI/BIOS.
Повторное включение доверенного платформенного модуля на экранах конфигурации UEFI/BIOS.
Сохраните конфигурацию UEFI/BIOS с включенным TPM и перезапустите устройство для загрузки в Windows.
После входа в Windows вернитесь к консоль управления доверенного платформенного модуля.
Если TPM по-прежнему не удается подготовить, очистите существующие ключи доверенного платформенного модуля, следуя инструкциям в статье Устранение неполадок доверенного платформенного модуля: очистка всех ключей из доверенного платформенного модуля.
Предупреждение
Очистка доверенного платформенного модуля может привести к потере данных.
BitLocker не удается включить с ошибкой Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005
или Insufficient Rights
Политика Не включать BitLocker до тех пор, пока сведения о восстановлении не будут сохранены в AD DS , применяется в среде. При попытке включить шифрование диска BitLocker на устройстве происходит сбой с сообщением об ошибке Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005
или Insufficient Rights
.
Причина или Access Denied
Insufficient Rights
TPM не имеет достаточных разрешений на контейнер устройств TPM в доменные службы Active Directory (AD DS). Таким образом, не удалось создать резервную копию данных восстановления BitLocker в AD DS, а шифрование диска BitLocker не удалось включить.
Эта проблема, по-видимому, ограничена компьютерами под управлением версий Windows, предшествующих Windows 10.
Разрешение для Access Denied
или Insufficient Rights
Чтобы убедиться, что эта проблема возникает, используйте один из следующих двух методов:
Отключите политику или удалите компьютер из домена, а затем снова попытайтесь включить шифрование диска BitLocker. Если операция выполнена успешно, проблема была вызвана политикой.
Используйте средства трассировки ldap и сети, чтобы изучить обмен LDAP между клиентом и контроллером домена AD DS, чтобы определить причину ошибки "Отказано в доступе " или "Недостаточные права ". В этом случае при попытке клиента получить доступ к объекту в контейнере
CN=TPM Devices,DC=<domain>,DC=com
должна отображаться ошибка.
Чтобы просмотреть сведения о доверенном модулем для затронутого компьютера, откройте окно Windows PowerShell с повышенными привилегиями и выполните следующую команду:
Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-TPMInformationForComputer
В этой команде Имя_компьютера — это имя затронутого компьютера.
Чтобы устранить эту проблему, используйте такое средство, как dsacls.exe , чтобы убедиться, что список управления доступом msTPM-TPMInformationForComputer предоставляет разрешения на чтение и записьдля NTAUTHORITY/SELF.
Не удается подготовить TPM с ошибкой 0x80072030: There is no such object on the server
Контроллеры домена были обновлены с Windows Server 2008 R2 до Windows Server 2012 R2. Существует объект групповой политики( GPO), который применяет параметр Не включать BitLocker, пока сведения о восстановлении не будут сохранены в политике AD DS .
Предпринята попытка включить шифрование диска BitLocker на устройстве, но она завершается ошибкой. При устранении неполадок консоль управления доверенного платформенного модуля (tpm.msc) используется для подготовки доверенного платформенного модуля на устройстве. Операция завершается сбоем с сообщением об ошибке, похожем на следующее сообщение об ошибке:
0x80072030 Если включена политика резервного копирования данных доверенного платформенного модуля в Active Directory, на сервере нет такого объекта.
Подтверждено наличие атрибутов ms-TPM-OwnerInformation и msTPM-TpmInformationForComputer .
Причина 0x80072030: на сервере нет такого объекта.
Функциональный уровень домена и леса среды по-прежнему может быть установлен в Windows 2008 R2. Кроме того, разрешения в AD DS могут быть заданы неправильно.
Решение для 0x80072030: на сервере нет такого объекта
Эту проблему можно устранить, выполнив следующие действия.
Обновите функциональный уровень домена и леса до Windows Server 2012 R2.
Скачайте Add-TPMSelfWriteACE.vbs.
В скрипте измените значение strPathToDomain на доменное имя организации.
Откройте окно PowerShell с повышенными привилегиями и выполните следующую команду:
cscript.exe <Path>\Add-TPMSelfWriteACE.vbs
В этой команде <Path> — это путь к файлу скрипта.
Дополнительные сведения см. в следующих статьях: