BitLocker 无法加密驱动器:已知 TPM 问题
本文介绍影响受信任的平台模块(TPM)的常见问题,这些问题可能会阻止 BitLocker 加密驱动器。 本文还提供了解决这些问题的指导。
注意
如果确定 BitLocker 问题不涉及 TPM,请参阅 BitLocker 无法加密驱动器:已知问题。
TPM 已锁定,并显示错误The TPM is defending against dictionary attacks and is in a time-out period
它尝试在设备上启用 BitLocker 驱动器加密,但失败并显示类似于以下错误消息的错误消息:
TPM 正在防御字典攻击,并且处于超时期。
TPM 锁定的原因
TPM 已锁定。
锁定的 TPM 的解决方法
若要解决此问题,需要重置并清除 TPM。 可以使用以下步骤重置和清除 TPM:
打开提升的 PowerShell 窗口并运行以下脚本:
$Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm" $ConfirmationStatus = $Tpm.GetPhysicalPresenceConfirmationStatus(22).ConfirmationStatus if($ConfirmationStatus -ne 4) {$Tpm.SetPhysicalPresenceRequest(22)}重新启动计算机。 如果显示确认清除 TPM 的提示,请同意清除 TPM。
登录到 Windows 并重试启动 BitLocker 驱动器加密。
警告
重置和清除 TPM 可能会导致数据丢失。
TPM 无法准备并出现错误 The TPM is defending against dictionary attacks and is in a time-out period
它尝试在设备上启用 BitLocker 驱动器加密,但失败。 故障排除时,TPM 管理控制台(tpm.msc)用于尝试在设备上准备 TPM。 操作失败,并显示类似于以下错误消息的错误消息:
TPM 正在防御字典攻击,并且处于超时期。
TPM 无法准备的原因
TPM 已锁定。
TPM 无法准备的解决方案
若要解决此问题,请按照以下步骤禁用并重新启用 TPM:
通过重启设备并点击设备启动时相应的组合键,输入设备的 UEFI/BIOS 配置屏幕。 有关输入 UEFI/BIOS 配置屏幕的适当组合,请咨询设备制造商。
进入 UEFI/BIOS 配置屏幕后,禁用 TPM。 请参阅设备制造商,了解如何在 UEFI/BIOS 配置屏幕中禁用 TPM。
保存禁用 TPM 的 UEFI/BIOS 配置,并重启设备以启动到 Windows。
登录到 Windows 后,返回到 TPM 管理控制台。 将显示类似于以下错误消息的错误消息:
找不到兼容的 TPM
在此计算机上找不到兼容的受信任平台模块(TPM)。 验证此计算机是否具有 1.2 TPM,并且已在 BIOS 中打开。
由于 TPM 当前已在设备的 UEFI 固件/BIOS 中禁用,因此预期会出现此消息。
重启设备并再次输入 UEFI/BIOS 配置屏幕。
在 UEFI/BIOS 配置屏幕中重新允许 TPM。
保存启用了 TPM 的 UEFI/BIOS 配置,并重启设备以启动到 Windows。
登录到 Windows 后,返回到 TPM 管理控制台。
如果 TPM 仍无法准备好,请按照文章 中的说明清除现有 TPM 密钥:清除 TPM 中的所有密钥。
警告
清除 TPM 可能会导致数据丢失。
BitLocker 无法启用并出现错误 Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 或 Insufficient Rights
在环境中强制实施 AD DS 策略中存储恢复信息之前,请勿启用 BitLocker。 它尝试在设备上启用 BitLocker 驱动器加密,但失败并显示错误消息 Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 或 Insufficient Rights。
原因 Access Denied 或 Insufficient Rights
TPM 在 Active Directory 域服务 (AD DS) 中对 TPM 设备容器没有足够的权限。 因此,无法将 BitLocker 恢复信息备份到 AD DS,BitLocker 驱动器加密无法打开。
此问题似乎仅限于运行早于 Windows 10 版本的 Windows 的计算机。
Access Denied或Insufficient Rights
若要验证此问题是否发生,请使用以下两种方法之一:
禁用策略,或者从域中删除计算机,然后尝试再次打开 BitLocker 驱动器加密。 如果操作成功,则问题由策略引起。
使用 LDAP 和网络跟踪工具检查客户端与 AD DS 域控制器之间的 LDAP 交换,以确定访问被拒绝或权限不足错误的原因。 在这种情况下,当客户端尝试访问容器中的
CN=TPM Devices,DC=<domain>,DC=com对象时,应显示错误。
若要查看受影响计算机的 TPM 信息,请打开提升的 Windows PowerShell 窗口并运行以下命令:
Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-TPMInformationForComputer在此命令中, ComputerName 是受影响的计算机的名称。
若要解决此问题,请使用dsacls.exe等工具确保 msTPM-TPMInformationForComputer 的访问控制列表同时授予 NTAUTHORITY/SELF 的读取和写入权限。
TPM 无法准备好并出现错误 0x80072030: There is no such object on the server
域控制器已从 Windows Server 2008 R2 升级到 Windows Server 2012 R2。 存在组策略对象(GPO),该对象强制 在恢复信息存储在 AD DS 策略中之前不启用 BitLocker。
它尝试在设备上启用 BitLocker 驱动器加密,但失败。 故障排除时,TPM 管理控制台(tpm.msc)用于尝试在设备上准备 TPM。 操作失败,并显示类似于以下错误消息的错误消息:
0x80072030启用将 TPM 信息备份到 Active Directory 的策略时,服务器上没有此类对象
已确认 存在 ms-TPM-OwnerInformation 和 msTPM-TpmInformationForComputer 属性。
0x80072030原因:服务器上没有此类对象
环境的域和林功能级别可能仍设置为 Windows 2008 R2。 此外,可能无法正确设置 AD DS 中的权限。
0x80072030的解决方法:服务器上没有此类对象
可通过以下步骤解决此问题:
将域和林的功能级别升级到 Windows Server 2012 R2。
在脚本中,将 strPathToDomain 的值修改为组织的域名。
打开提升的 PowerShell 窗口,并运行以下命令:
cscript.exe <Path>\Add-TPMSelfWriteACE.vbs在此命令中, <Path> 是脚本文件的路径。
有关详细信息,请参阅以下文章: