Dela via

BitLocker kan inte kryptera en enhet: kända TPM-problem

  • Artikel

Den här artikeln beskriver vanliga problem som påverkar TPM (Trusted Platform Module) som kan hindra BitLocker från att kryptera en enhet. Den här artikeln innehåller också vägledning för att lösa dessa problem.

Obs!

Om det har fastställts att BitLocker-problemet inte omfattar TPM läser du BitLocker kan inte kryptera en enhet: kända problem.

TPM är låst och felet The TPM is defending against dictionary attacks and is in a time-out period visas

Det har försökt aktivera BitLocker-enhetskryptering på en enhet, men det misslyckas med ett felmeddelande som liknar följande felmeddelande:

TPM skyddar mot ordlisteattacker och är i en tidsgräns.

Orsaken till att TPM är låst

TPM är utelåst.

Lösning för TPM som låses

För att lösa det här problemet måste TPM återställas och rensas. TPM kan återställas och rensas med följande steg:

  1. Öppna ett upphöjt PowerShell-fönster och kör följande skript:

    $Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm"
$ConfirmationStatus = $Tpm.GetPhysicalPresenceConfirmationStatus(22).ConfirmationStatus
if($ConfirmationStatus -ne 4) {$Tpm.SetPhysicalPresenceRequest(22)}

  2. Starta om datorn. Om en uppmaning visas som bekräftar rensningen av TPM samtycker du till att rensa TPM.

  3. Logga in på Windows och försök starta BitLocker-enhetskryptering igen.

Varning

Återställning och rensning av TPM kan orsaka dataförlust.

TPM kan inte förberedas med felet The TPM is defending against dictionary attacks and is in a time-out period

Det har försökt aktivera BitLocker-enhetskryptering på en enhet, men det misslyckas. Vid felsökning används TPM-hanteringskonsolen (tpm.msc) för att försöka förbereda TPM på enheten. Åtgärden misslyckas med ett felmeddelande som liknar följande felmeddelande:

TPM skyddar mot ordlisteattacker och är i en tidsgräns.

Orsaken till att TPM inte kunde förberedas

TPM är utelåst.

Lösning för TPM som inte kan förberedas

Lös problemet genom att inaktivera och återaktivera TPM med följande steg:

  1. Ange enhetens UEFI/BIOS-konfigurationsskärmar genom att starta om enheten och välja rätt tangentkombination när enheten startas. Kontakta enhetstillverkaren för lämplig nyckelkombination för att komma in på UEFI/BIOS-konfigurationsskärmarna.

  2. När du är på UEFI/BIOS-konfigurationsskärmarna inaktiverar du TPM. Kontakta enhetstillverkaren om du vill ha anvisningar om hur du inaktiverar TPM på UEFI/BIOS-konfigurationsskärmarna.

  3. Spara UEFI/BIOS-konfigurationen med TPM inaktiverat och starta om enheten för att starta i Windows.

  4. När du har loggat in på Windows går du tillbaka till TPM-hanteringskonsolen. Ett felmeddelande som liknar följande felmeddelande visas:

    Det går inte att hitta kompatibel TPM

    Det går inte att hitta den kompatibla TPM-modulen (Trusted Platform Module) på den här datorn. Kontrollera att datorn har 1,2 TPM och att den är aktiverad i BIOS.

    Det här meddelandet förväntas eftersom TPM för närvarande är inaktiverat i enhetens UEFI-inbyggda programvara/BIOS.

  5. Starta om enheten och ange UEFI/BIOS-konfigurationsskärmarna igen.

  6. Återaktivera TPM i UEFI/BIOS-konfigurationsskärmarna.

  7. Spara UEFI/BIOS-konfigurationen med TPM aktiverat och starta om enheten för att starta i Windows.

  8. När du har loggat in på Windows går du tillbaka till TPM-hanteringskonsolen.

Om TPM fortfarande inte kan förberedas rensar du de befintliga TPM-nycklarna genom att följa anvisningarna i artikeln FelsökA TPM: Rensa alla nycklar från TPM.

Varning

Om du rensar TPM kan data gå förlorade.

BitLocker kan inte aktiveras med felet Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 eller Insufficient Rights

Aktivera inte BitLocker förrän återställningsinformationen lagras i AD DS-principen tillämpas i miljön. Det har försökt att aktivera BitLocker-enhetskryptering på en enhet, men det misslyckas med felmeddelandet Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 eller Insufficient Rights.

Access Denied Orsak till ellerInsufficient Rights

TPM hade inte tillräcklig behörighet för TPM-enhetscontainern i Active Directory Domain Services (AD DS). Därför gick det inte att säkerhetskopiera BitLocker-återställningsinformationen till AD DS och BitLocker-enhetskryptering kunde inte aktiveras.

Det här problemet verkar vara begränsat till datorer som kör versioner av Windows som är tidigare än Windows 10.

Lösning för Access Denied eller Insufficient Rights

Kontrollera att det här problemet inträffar genom att använda någon av följande två metoder:

  • Inaktivera principen eller ta bort datorn från domänen följt av att försöka aktivera BitLocker-enhetskryptering igen. Om åtgärden lyckas orsakades problemet av principen.

  • Använd LDAP- och nätverksspårningsverktyg för att undersöka LDAP-utbyten mellan klienten och AD DS-domänkontrollanten för att identifiera orsaken till felet Åtkomst nekad eller Otillräcklig behörighet . I det här fallet bör ett fel visas när klienten försöker komma åt objektet i containern CN=TPM Devices,DC=<domain>,DC=com .

  1. Om du vill granska TPM-informationen för den berörda datorn öppnar du ett upphöjt Windows PowerShell fönster och kör följande kommando:

    Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-TPMInformationForComputer

    I det här kommandot är ComputerName namnet på den berörda datorn.

  2. Lös problemet genom att använda ett verktyg som dsacls.exe för att säkerställa att åtkomstkontrollistan för msTPM-TPMInformationForComputer beviljar både läs - och skrivbehörighet till NTAUTHORITY/SELF.

Det går inte att förbereda TPM med felet 0x80072030: There is no such object on the server

Domänkontrollanter uppgraderades från Windows Server 2008 R2 till Windows Server 2012 R2. Det finns ett grupprincipobjekt (GPO) som framtvingar Att inte aktivera BitLocker förrän återställningsinformation lagras i AD DS-principen .

Det har försökt aktivera BitLocker-enhetskryptering på en enhet, men det misslyckas. Vid felsökning används TPM-hanteringskonsolen (tpm.msc) för att försöka förbereda TPM på enheten. Åtgärden misslyckas med ett felmeddelande som liknar följande felmeddelande:

0x80072030 Det finns inget sådant objekt på servern när en princip för att säkerhetskopiera TPM-information till Active Directory är aktiverad

Det har bekräftats att attributen ms-TPM-OwnerInformation och msTPM-TpmInformationForComputer finns.

Orsak till 0x80072030: Det finns inget sådant objekt på servern

Domän- och skogsfunktionsnivån i miljön kan fortfarande vara inställd på Windows 2008 R2. Dessutom kanske behörigheterna i AD DS inte har angetts korrekt.

Lösning för 0x80072030: Det finns inget sådant objekt på servern

Problemet kan lösas med följande steg:

  1. Uppgradera funktionsnivån för domänen och skogen till Windows Server 2012 R2.

  2. Ladda ned Add-TPMSelfWriteACE.vbs.

  3. I skriptet ändrar du värdet för strPathToDomain till organisationens domännamn.

  4. Öppna ett upphöjt PowerShell-fönster och kör följande kommando:

    cscript.exe <Path>\Add-TPMSelfWriteACE.vbs

    I det här kommandot < är Path> sökvägen till skriptfilen.

Mer information finns i följande artiklar: