Riktlinjer för felsökning av BitLocker

Artikel
03/24/2024

Den här artikeln tar upp vanliga problem i BitLocker och innehåller riktlinjer för att felsöka dessa problem. Den här artikeln innehåller även information som vilka data som ska samlas in och vilka inställningar som ska kontrolleras. Den här informationen gör felsökningsprocessen mycket enklare.

Granska händelseloggarna

Öppna Loggboken och granska följande loggar under Program- och tjänstloggar>Microsoft>Windows:

BitLocker-API. Granska hanteringsloggen , driftloggen och andra loggar som genereras i den här mappen. Standardloggarna har följande unika namn:
- Microsoft-Windows-BitLocker-API/Management
- Microsoft-Windows-BitLocker-API/Operational
- Microsoft-Windows-BitLocker-API/Tracing – visas endast när Visa analys- och felsökningsloggar är aktiverat
BitLocker-DrivePreparationTool. Granska Admin loggen, driftloggen och andra loggar som genereras i den här mappen. Standardloggarna har följande unika namn:
- Microsoft-Windows-BitLocker-DrivePreparationTool/Admin
- Microsoft-Windows-BitLocker-DrivePreparationTool/Operational

Granska dessutomSystemloggen för Windows-loggar> för händelser som har skapats av händelsekällorna TPM och TPM-WMI.

Om du vill filtrera och visa eller exportera loggar kan du använda kommandoradsverktygetwevtutil.exe eller PowerShell-cmdleten Get-WinEvent .

Om du till exempel vill använda wevtutil.exe för att exportera innehållet i driftloggen från mappen BitLocker-API till en textfil med namnet BitLockerAPIOpsLog.txtöppnar du kommandotolken och kör följande kommando:

wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt

Om du vill använda cmdleten Get-WinEvent för att exportera samma logg till en kommaavgränsad textfil öppnar du ett Windows PowerShell fönster och kör följande kommando:

Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational"  | Export-Csv -Path Bitlocker-Operational.csv

Get-WinEvent kan användas i ett upphöjt PowerShell-fönster för att visa filtrerad information från systemet eller programloggen med hjälp av följande syntax:

Så här visar du BitLocker-relaterad information:

Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | fl

Utdata för ett sådant kommando liknar följande:

Skärmbild av utdata som skapas med hjälp av Get-WinEvent och ett BitLocker-filter.

Så här exporterar du BitLocker-relaterad information:

Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csv

Så här visar du TPM-relaterad information:

Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | fl

Så här exporterar du TPM-relaterad information:

Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csv

Utdata för ett sådant kommando liknar följande.

Skärmbild av utdata som skapas med hjälp av Get-WinEvent och ett TPM-filter.

Obs!

När du kontaktar Microsoft Support rekommenderar vi att du exporterar loggarna som anges i det här avsnittet.

Samla in statusinformation från BitLocker-teknikerna

Öppna ett upphöjt Windows PowerShell fönster och kör vart och ett av följande kommandon:

Kommando	Anteckningar	Mer information
`Get-Tpm > C:\TPM.txt`	PowerShell-cmdlet som exporterar information om den lokala datorns TPM (Trusted Platform Module). Den här cmdleten visar olika värden beroende på om TPM-kretsen är version 1.2 eller 2.0. Den här cmdleten stöds inte i Windows 7.	Get-Tpm
`manage-bde.exe -status > C:\BDEStatus.txt`	Exporterar information om den allmänna krypteringsstatusen för alla enheter på datorn.	manage-bde.exe status
`manage-bde.exe c: -protectors -get > C:\Protectors`	Exporterar information om de skyddsmetoder som används för BitLocker-krypteringsnyckeln.	manage-bde.exe skydd
`reagentc.exe /info > C:\reagent.txt`	Exporterar information om en online- eller offlinebild om den aktuella statusen för Windows Recovery Environment (WindowsRE) och eventuella tillgängliga återställningsbilder.	reagentc.exe
`Get-BitLockerVolume \\| fl`	PowerShell-cmdlet som hämtar information om volymer som BitLocker-diskkryptering kan skydda.	Get-BitLockerVolume

Granska konfigurationsinformationen

Öppna ett upphöjt kommandotolkfönster och kör följande kommandon:

Kommando	Anteckningar	Mer information
`gpresult.exe /h <Filename>`	Exporterar den resulterande uppsättningen principinformation och sparar informationen som en HTML-fil.	gpresult.exe
`msinfo.exe /report <Path> /computer <ComputerName>`	Exporterar omfattande information om maskinvara, systemkomponenter och programvarumiljö på den lokala datorn. Alternativet /report sparar informationen som en .txt fil.	msinfo.exe

Öppna Registry Editor och exportera posterna i följande undernycklar:
- HKLM\SOFTWARE\Policies\Microsoft\FVE
- HKLM\SYSTEM\CurrentControlSet\Services\TPM\

Kontrollera BitLocker-kraven

Vanliga inställningar som kan orsaka problem för BitLocker är följande scenarier:

TPM måste låsas upp. Kontrollera utdata från powershell-cmdlet-kommandot get-tpm för att se statusen för TPM.
Windows RE måste vara aktiverat. Kontrollera utdata för kommandotreagentc.exe för status för WindowsRE.
Den systemreserverade partitionen måste ha rätt format.
- På UEFI-datorer (Unified Extensible Firmware Interface) måste den systemreserverade partitionen formateras som FAT32.
- På äldre datorer måste den systemreserverade partitionen formateras som NTFS.
Om enheten som felsöks är en skiffer- eller surfplatta använder du https://gpsearch.azurewebsites.net/#8153 för att verifiera statusen för alternativet Aktivera användning av BitLocker-autentisering som kräver indata från förstartstangentbord på skiffer .

Mer information om BitLocker-kraven finns i Grundläggande distribution av BitLocker: Använda BitLocker för att kryptera volymer

Nästa steg

Om den information som undersökts hittills indikerar ett specifikt problem (till exempel att WindowsRE inte är aktiverat) kan problemet ha en enkel korrigering.

Att lösa problem som inte har uppenbara orsaker beror på exakt vilka komponenter som ingår och vilket beteende som visas. Den insamlade informationen hjälper till att begränsa de områden som ska undersökas.

Om den enhet som felsöks hanteras av Microsoft Intune läser du Framtvinga BitLocker-principer med hjälp av Intune: kända problem.
Om BitLocker inte startar eller inte kan kryptera en enhet och fel eller händelser som är relaterade till TPM inträffar, se BitLocker kan inte kryptera en enhet: kända TPM-problem.
Om BitLocker inte startar eller inte kan kryptera en enhet kan du läsa BitLocker kan inte kryptera en enhet: kända problem.
Om BitLocker Network Unlock inte fungerar som förväntat kan du läsa BitLocker Network Unlock: kända problem.
Om BitLocker inte fungerar som förväntat när en krypterad enhet återställs eller om BitLocker oväntat återställer en enhet läser du BitLocker-återställning: kända problem.
Om BitLocker eller den krypterade enheten inte fungerar som förväntat och fel eller händelser som är relaterade till TPM inträffar läser du BitLocker och TPM: andra kända problem.
Om BitLocker eller den krypterade enheten inte fungerar som förväntat läser du BitLocker-konfiguration: kända problem.

Vi rekommenderar att du håller den insamlade informationen till hands om Microsoft Support kontaktas för att få hjälp med att lösa problemet.

Dela via