BitLocker 故障排除指南
本文介绍 BitLocker 中的常见问题,并提供解决这些问题的指南。 本文还提供要收集的数据以及要检查的设置等信息。 此信息使故障排除过程更加容易。
查看事件日志
打开事件查看器,并在 Windows Microsoft>应用程序和服务日志下查看以下日志:>
BitLocker-API。 查看管理日志、操作日志以及此文件夹中生成的任何其他日志。 默认日志具有以下唯一名称:
- Microsoft-Windows-BitLocker-API/Management
- Microsoft-Windows-BitLocker-API/Operational
- Microsoft-Windows-BitLocker-API/跟踪 - 仅在启用“显示分析和调试日志”时显示
BitLocker-DrivePreparationTool。 查看管理日志、操作日志以及此文件夹中生成的任何其他日志。 默认日志具有以下唯一名称:
- Microsoft-Windows-BitLocker-DrivePreparationTool/Admin
- Microsoft-Windows-BitLocker-DrivePreparationTool/Operational
此外,请查看 Windows 日志>系统日志,以了解 TPM 和 TPM-WMI 事件源生成的事件。
若要筛选和显示或导出日志, 可以使用wevtutil.exe 命令行工具或 Get-WinEvent PowerShell cmdlet。
例如,若要使用 wevtutil.exe 将操作日志的内容从 BitLocker-API 文件夹导出到名为 BitLockerAPIOpsLog.txt的文本文件,请打开命令提示符窗口,然后运行以下命令:
wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt
若要使用 Get-WinEvent cmdlet 将同一日志导出到逗号分隔的文本文件,请打开 Windows PowerShell 窗口并运行以下命令:
Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational" | Export-Csv -Path Bitlocker-Operational.csv
Get-WinEvent 可用于提升的 PowerShell 窗口中,使用以下语法显示系统或应用程序日志中的筛选信息:
显示 BitLocker 相关信息:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | fl此类命令的输出如下所示:
导出 BitLocker 相关信息:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csv显示 TPM 相关信息:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | fl导出 TPM 相关信息:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csv此类命令的输出如下所示。
注意
联系Microsoft 支持部门时,建议导出本节中列出的日志。
从 BitLocker 技术收集状态信息
打开提升的 Windows PowerShell 窗口,并运行以下命令:
| 命令 | 备注 | 了解详细信息 |
|---|---|---|
Get-Tpm > C:\TPM.txt |
导出有关本地计算机受信任平台模块(TPM)的信息的 PowerShell cmdlet。 此 cmdlet 显示不同的值,具体取决于 TPM 芯片是版本 1.2 还是 2.0。 Windows 7 不支持此 cmdlet。 | Get-Tpm |
manage-bde.exe -status > C:\BDEStatus.txt |
导出有关计算机上所有驱动器的常规加密状态的信息。 | manage-bde.exe状态 |
manage-bde.exe c: -protectors -get > C:\Protectors |
导出有关用于 BitLocker 加密密钥的保护方法的信息。 | manage-bde.exe保护程序 |
reagentc.exe /info > C:\reagent.txt |
导出有关 Windows 恢复环境(WindowsRE)和任何可用恢复映像的当前状态的联机或脱机映像的信息。 | reagentc.exe |
Get-BitLockerVolume \| fl |
获取 BitLocker 驱动器加密可以保护的卷的信息的 PowerShell cmdlet。 | Get-BitLockerVolume |
查看配置信息
打开提升的命令提示符窗口,并运行以下命令:
命令 备注 了解详细信息 gpresult.exe /h <Filename>导出策略结果集信息,并将信息保存为 HTML 文件。 gpresult.exe msinfo.exe /report <Path> /computer <ComputerName>在本地计算机上导出有关硬件、系统组件和软件环境的综合信息。 /report 选项将信息保存为.txt文件。 msinfo.exe 打开注册表编辑器,并导出以下子项中的条目:
HKLM\SOFTWARE\Policies\Microsoft\FVEHKLM\SYSTEM\CurrentControlSet\Services\TPM\
检查 BitLocker 先决条件
可能导致 BitLocker 问题的常见设置包括以下方案:
TPM 必须解锁。 检查 get-tpm PowerShell cmdlet 命令的输出,了解 TPM 的状态。
必须启用 Windows RE。 检查reagentc.exe命令的输出,了解 WindowsRE 的状态。
系统保留分区必须使用正确的格式。
- 在统一可扩展固件接口 (UEFI) 计算机上,系统保留分区必须格式化为 FAT32。
- 在传统计算机上,系统保留分区必须格式化为 NTFS。
如果设备出现问题是板式电脑或平板电脑,则用于 https://gpsearch.azurewebsites.net/#8153 验证“启用使用 BitLocker 身份验证”的状态 ,要求在板块 选项上输入预启动键盘。
有关 BitLocker 先决条件的详细信息,请参阅 BitLocker 基本部署:使用 BitLocker 加密卷
后续步骤
如果到目前为止检查的信息指示特定问题(例如,未启用 WindowsRE),则问题可能具有简单的修复。
解决没有明显原因的问题取决于涉及哪些组件以及所看到的行为。 收集的信息有助于缩小要调查的领域范围。
如果设备有问题shot 由 Microsoft Intune 管理,请参阅 使用 Intune 强制实施 BitLocker 策略:已知问题。
如果 BitLocker 未启动或无法加密驱动器以及与 TPM 相关的错误或事件,请参阅 BitLocker 无法加密驱动器:已知的 TPM 问题。
如果 BitLocker 未启动或无法加密驱动器,请参阅 BitLocker 无法加密驱动器:已知问题。
如果 BitLocker 网络解锁的行为不符合预期,请参阅 BitLocker 网络解锁:已知问题。
如果在恢复加密驱动器时 BitLocker 的行为不符合预期,或者 BitLocker 意外恢复驱动器,请参阅 BitLocker 恢复:已知问题。
如果 BitLocker 或加密驱动器的行为不符合预期,并且发生与 TPM 相关的错误或事件,请参阅 BitLocker 和 TPM:其他已知问题。
如果 BitLocker 或加密驱动器的行为不符合预期,请参阅 BitLocker 配置:已知问题。
建议在联系Microsoft 支持部门时保持收集的信息方便,以帮助解决问题。