Рекомендации по устранению неполадок BitLocker

В этой статье рассматриваются распространенные проблемы в BitLocker и приведены рекомендации по устранению этих проблем. В этой статье также содержатся такие сведения, как сбор данных и параметры для проверки. Эта информация упрощает процесс устранения неполадок.

Просмотрите журналы событий

Откройте Просмотр событий и просмотрите следующие журналы в разделе "Приложения и службы">в Microsoft>Windows:

• BitLocker-API. Просмотрите журнал управления, операционный журнал и любые другие журналы, созданные в этой папке. Журналы по умолчанию имеют следующие уникальные имена:

  • Microsoft-Windows-BitLocker-API/Management
  • Microsoft-Windows-BitLocker-API/Operational
  • Microsoft-Windows-BitLocker-API/Трассировка — отображается только при включении журналов аналитики и отладки

• BitLocker-DrivePreparationTool. Просмотрите журнал администратора , операционный журнал и все другие журналы, созданные в этой папке. Журналы по умолчанию имеют следующие уникальные имена:

  • Microsoft-Windows-BitLocker-DrivePreparationTool/Admin
  • Microsoft-Windows-BitLocker-DrivePreparationTool/Operational

Кроме того, просмотрите журнал системы журналов> Windows для событий, созданных источниками событий TPM и TPM-WMI.

Для фильтрации и отображения или экспорта журналов можно использовать средство командной строки wevtutil.exe или командлет Get-WinEvent PowerShell.

Например, чтобы использовать wevtutil.exe для экспорта содержимого операционного журнала из папки BitLocker-API в текстовый файл с именем BitLockerAPIOpsLog.txt, откройте окно командной строки и выполните следующую команду:

wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt

Чтобы использовать командлет Get-WinEvent для экспорта того же журнала в текстовый файл, разделенный запятыми, откройте окно Windows PowerShell и выполните следующую команду:

Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational"  | Export-Csv -Path Bitlocker-Operational.csv

Get-WinEvent можно использовать в окне PowerShell с повышенными привилегиями для отображения отфильтрованной информации из журнала системы или приложения с помощью следующего синтаксиса:

• Чтобы отобразить сведения, связанные с BitLocker, выполните следующие действия.

  Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | fl
  

  Выходные данные такой команды выглядят следующим образом:

  

• Чтобы экспортировать сведения, связанные с BitLocker, выполните следующие действия.

  Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csv
  

• Чтобы отобразить сведения, связанные с TPM, выполните следующие действия.

  Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | fl
  

• Чтобы экспортировать сведения, связанные с TPM, выполните следующие действия.

  Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csv
  

  Выходные данные такой команды похожи на следующие.

  

Примечание.

При обращении к служба поддержки Майкрософт рекомендуется экспортировать журналы, перечисленные в этом разделе.

Сбор сведений о состоянии из технологий BitLocker

Откройте окно Windows PowerShell с повышенными привилегиями и выполните каждую из следующих команд:

Команда	Примечания.	Подробнее
Get-Tpm > C:\TPM.txt	Командлет PowerShell, который экспортирует сведения о доверенном модуле платформы локального компьютера (TPM). Этот командлет отображает разные значения в зависимости от того, является ли микросхема TPM версией 1.2 или 2.0. Этот командлет не поддерживается в Windows 7.	Get-Tpm
manage-bde.exe -status > C:\BDEStatus.txt	Экспортирует сведения о общем состоянии шифрования всех дисков на компьютере.	состояние manage-bde.exe
manage-bde.exe c: -protectors -get > C:\Protectors	Экспортирует сведения о методах защиты, используемых для ключа шифрования BitLocker.	средства защиты manage-bde.exe
reagentc.exe /info > C:\reagent.txt	Экспортирует сведения о сетевом или автономном образе о текущем состоянии среды восстановления Windows (WindowsRE) и любом доступном образе восстановления.	reagentc.exe
Get-BitLockerVolume \| fl	Командлет PowerShell, который получает сведения о томах, которые шифрование диска BitLocker может защитить.	Get-BitLockerVolume

Просмотр сведений о конфигурации

1. Откройте окно командной строки с повышенными привилегиями и выполните следующие команды:

   Команда	Примечания.	Подробнее
   gpresult.exe /h <Filename>	Экспортирует результирующий набор сведений о политике и сохраняет сведения в виде HTML-файла.	gpresult.exe
   msinfo.exe /report <Path> /computer <ComputerName>	Экспортирует исчерпывающую информацию об оборудовании, системных компонентах и среде программного обеспечения на локальном компьютере. Параметр /report сохраняет сведения в виде файла .txt.	msinfo.exe

2. Откройте редактор реестра и экспортируйте записи в следующих подразделах:

   • HKLM\SOFTWARE\Policies\Microsoft\FVE
   • HKLM\SYSTEM\CurrentControlSet\Services\TPM\

Проверка предварительных требований BitLocker

Распространенные параметры, которые могут вызвать проблемы с BitLocker, включают следующие сценарии:

• TPM должен быть разблокирован. Проверьте выходные данные команды командлета Get-tpm PowerShell для состояния доверенного платформенного модуля.

• Windows RE необходимо включить. Проверьте выходные данные команды reagentc.exe для состояния WindowsRE.

• Раздел, зарезервированный системой, должен использовать правильный формат.

  • На компьютерах с единым расширяемым интерфейсом встроенного ПО (UEFI) раздел, зарезервированный системой, должен быть отформатирован как FAT32.
  • На устаревших компьютерах раздел, зарезервированный системой, должен быть отформатирован как NTFS.

• Если устройство, находящееся в состоянии проблемы, является slate или планшетным компьютером, используйте https://gpsearch.azurewebsites.net/#8153 для проверки состояния проверки подлинности BitLocker, требующей предварительного ввода клавиатуры для параметра slates .

Дополнительные сведения о предварительных требованиях BitLocker см. в статье "Базовое развертывание BitLocker: использование BitLocker для шифрования томов"

Следующие шаги

Если сведения, рассмотренные до сих пор, указывают на конкретную проблему (например, WindowsRE не включена), проблема может иметь простое исправление.

Устранение проблем, которые не имеют очевидных причин, зависит от того, какие компоненты участвуют и какое поведение наблюдается. Собранные сведения помогают сузить области для изучения.

• Если устройство управляется Microsoft Intune, см . статью "Применение политик BitLocker с помощью Intune: известные проблемы".

• Если BitLocker не запускается или не может зашифровать диск и ошибки или события, связанные с TPM, возникают, см . раздел BitLocker не может зашифровать диск: известные проблемы доверенного платформенного модуля.

• Если BitLocker не запускается или не может зашифровать диск, см. раздел BitLocker не может зашифровать диск: известные проблемы.

• Если разблокировка сети BitLocker не ведет себя должным образом, см . раздел "Разблокировка сети BitLocker": известные проблемы.

• Если BitLocker не ведет себя должным образом при восстановлении зашифрованного диска или если BitLocker неожиданно восстановил диск, см . статью "Восстановление BitLocker: известные проблемы".

• Если BitLocker или зашифрованный диск не ведет себя должным образом, и возникают ошибки или события, связанные с TPM, см . раздел BitLocker и TPM: другие известные проблемы.

• Если BitLocker или зашифрованный диск не работает должным образом, см . раздел конфигурации BitLocker: известные проблемы.

Рекомендуется сохранить собранные сведения в случае, если служба поддержки Майкрософт обратитесь за помощью по устранению проблемы.