Dela via

Upplåsning av BitLocker-nätverk: kända problem

  • Artikel

Genom att använda funktionen BitLocker Network Unlock kan datorer fjärrhanteras utan att behöva ange en BitLocker-PIN-kod när varje dator startas. För att konfigurera det här beteendet måste miljön uppfylla följande krav:

  • Varje dator tillhör en domän.
  • Varje dator har en kabelansluten anslutning till det interna nätverket.
  • Det interna nätverket använder DHCP för att hantera IP-adresser.
  • Varje dator har en DHCP-drivrutin implementerad i den inbyggda programvaran Unified Extensible Firmware Interface (UEFI).

Allmänna riktlinjer för hur du felsöker Upplåsning av BitLocker-nätverk finns i Aktivera nätverkslåsning: Felsöka upplåsning av nätverk.

Den här artikeln beskriver flera kända problem som kan uppstå när BitLocker Network Unlock används och ger vägledning för att åtgärda dessa problem.

Dricks

BitLocker Network Unlock kan identifieras om det är aktiverat på en viss dator med hjälp av följande steg på UEFI-datorer:

  1. Öppna ett fönster för upphöjd kommandotolk och kör följande kommando:

    manage-bde.exe -protectors -get <Drive>

    Till exempel:

    manage-bde.exe -protectors -get C:

    Om utdata från det här kommandot innehåller ett nyckelskydd av typen TpmCertificate (9) är konfigurationen korrekt för BitLocker Network Unlock.

  2. Starta Registereditorn och kontrollera följande inställningar:

    1. Följande registernyckel finns och har följande värde:

      • Undernyckel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE
      • Typ: REG_DWORD
      • Värde: OSManageNKP lika med 1 (Sant)

    2. Registernyckeln:

      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\FVE_NKP\Certificates

      har en post vars namn matchar namnet på certifikatets tumavtryck för BitLocker Network Unlock-nyckelskyddet som hittades i steg 1.

På en Surface Pro 4-enhet fungerar inte BitLocker Network Unlock eftersom UEFI-nätverksstacken är felaktigt konfigurerad

Föreställ dig följande scenario:

BitLocker Network Unlock har konfigurerats enligt beskrivningen i BitLocker: Aktivera nätverkslåsning. UEFI för en Surface Pro 4 har konfigurerats för att använda DHCP. Men när Surface Pro 4 startas om uppmanas den fortfarande att ange en BitLocker-PIN-kod.

När du testar en annan enhet, till exempel en annan typ av surfplatta eller bärbar dator som är konfigurerad för att använda samma infrastruktur, startas enheten om som förväntat, utan att fråga efter BitLocker-PIN-koden. Det här testet bekräftar att infrastrukturen är korrekt konfigurerad och att problemet är specifikt för enheten.

Orsaken till att BitLocker Network Unlock inte fungerar på Surface Pro 4

UEFI-nätverksstacken på enheten är felaktigt konfigurerad.

Lösning för BitLocker Network Unlock fungerar inte på Surface Pro 4

För att konfigurera UEFI-nätverksstacken för Surface Pro 4 korrekt måste Microsoft Surface Enterprise Management Mode (SEMM) användas. Information om SEMM finns i Registrera och konfigurera Surface-enheter med SEMM.

Kommentar

Om SEMM inte kan användas kan Surface Pro 4 kanske använda BitLocker Network Unlock genom att konfigurera Surface Pro 4 för att använda nätverket som sitt första startalternativ.

Det går inte att använda BitLocker Network Unlock-funktionen på en Windows-klientdator

Föreställ dig följande scenario:

BitLocker Network Unlock har konfigurerats enligt beskrivningen i BitLocker: Aktivera nätverkslåsning. En Windows 8-klientdator är ansluten till det interna nätverket med en Ethernet-kabel. Men när enheten startas om frågar enheten fortfarande efter BitLocker-PIN-koden.

Orsak till att det inte går att använda BitLocker Network Unlock-funktionen på en Windows-klientdator

En Windows 8-baserad eller Windows Server 2012-baserad klientdator tar ibland inte emot eller använder BitLocker Network Unlock-skyddet, beroende på om klienten tar emot orelaterade BOOTP-svar från en DHCP-server eller WDS-server.

DHCP-servrar kan skicka alla DHCP-alternativ till en BOOTP-klient som tillåts av DHCP-alternativen och BOOTP-leverantörstilläggen. Detta innebär att eftersom en DHCP-server stöder BOOTP-klienter svarar DHCP-servern på BOOTP-begäranden.

Hur en DHCP-server hanterar ett inkommande meddelande beror delvis på om meddelandet använder alternativet Meddelandetyp:

  • De första två meddelandena som BitLocker Network Unlock-klienten skickar är DHCP DISCOVER\REQUEST-meddelanden. De använder alternativet Meddelandetyp, så DHCP-servern behandlar dem som DHCP-meddelanden.
  • Det tredje meddelandet som BitLocker Network Unlock-klienten skickar har inte alternativet Meddelandetyp. DHCP-servern behandlar meddelandet som en BOOTP-begäran.

En DHCP-server som stöder BOOTP-klienter måste interagera med dessa klienter enligt BOOTP-protokollet. Servern måste skapa ett BOOTP BOOTREPLY-meddelande i stället för ett DHCP DHCPOFFER-meddelande. Servern får med andra ord inte innehålla alternativtypen DHCP-meddelande och får inte överskrida storleksgränsen för BOOTREPLY-meddelanden. När servern har skickat BOOTP BOOTREPLY-meddelandet markerar servern en bindning för en BOOTP-klient som BOUND. En icke-DHCP-klient skickar inte ett DHCPREQUEST-meddelande och inte heller förväntar sig klienten ett DHCPACK-meddelande.

Om en DHCP-server som inte har konfigurerats för att stödja BOOTP-klienter tar emot ett BOOTREQUEST-meddelande från en BOOTP-klient tar servern tyst bort BOOTREQUEST-meddelandet.

Mer information om DHCP och BitLocker Network Unlock finns i BitLocker: Aktivera nätverkslåsning: Nätverkslåsningssekvens.

Lösning för att inte kunna använda bitLocker-nätverksupplåsningsfunktionen på en Windows-klientdator

Lös problemet genom att ändra konfigurationen av DHCP-servern genom att ändra DHCP-alternativet från DHCP och BOOTP till DHCP.