通过

BitLocker 网络解锁:已知问题

  • 项目

通过使用 BitLocker 网络解锁功能,可以在每台计算机启动时远程管理计算机,而无需输入 BitLocker PIN。 若要配置此行为,环境需要满足以下要求:

  • 每台计算机都属于域。
  • 每台计算机都与内部网络建立有线连接。
  • 内部网络使用 DHCP 来管理 IP 地址。
  • 每台计算机都有在其统一可扩展固件接口 (UEFI) 固件中实现的 DHCP 驱动程序。

有关如何对 BitLocker 网络解锁进行故障排除的一般指南,请参阅 如何启用网络解锁:排查网络解锁问题。

本文介绍使用 BitLocker 网络解锁时可能会遇到的几个已知问题,并提供解决这些问题的指导。

提示

如果在特定计算机上启用 BitLocker 网络解锁,可以在 UEFI 计算机上使用以下步骤来检测它:

  1. 打开提升的命令提示符窗口并运行以下命令:

    manage-bde.exe -protectors -get <Drive>

    例如:

    manage-bde.exe -protectors -get C:

    如果此命令的输出包含 TpmCertificate (9) 类型的密钥保护程序,则 BitLocker 网络解锁的配置是正确的。

  2. 启动注册表编辑器,并验证以下设置:

    1. 存在以下注册表项并具有以下值:

      • 子项HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE
      • 类型:REG_DWORD
      • OSManageNKP 等于 1 (True)

    2. 注册表项:

      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\FVE_NKP\Certificates

      具有一个条目,其名称与步骤 1 中找到的 BitLocker 网络解锁密钥保护程序证书指纹的名称匹配。

在 Surface Pro 4 设备上,BitLocker 网络解锁不起作用,因为 UEFI 网络堆栈配置不正确

假设出现了下面这种情景:

BitLocker 网络解锁已配置,如 BitLocker: 如何启用网络解锁。 Surface Pro 4 的 UEFI 已配置为使用 DHCP。 但是,当 Surface Pro 4 重新启动时,它仍会提示输入 BitLocker PIN。

测试其他设备(例如配置为使用相同的基础结构的不同类型的平板电脑或笔记本电脑)时,设备会按预期重启,而不会提示输入 BitLocker PIN。 此测试确认基础结构已正确配置,并且问题特定于设备。

BitLocker 网络解锁在 Surface Pro 4 上无法正常工作的原因

设备上的 UEFI 网络堆栈配置不正确。

BitLocker 网络解锁在 Surface Pro 4 上无法正常工作的分辨率

若要正确配置 Surface Pro 4 的 UEFI 网络堆栈,需要使用 Microsoft Surface Enterprise Management Mode (SEMM)。 有关 SEMM 的信息,请参阅 使用 SEMM 注册和配置 Surface 设备。

注意

如果无法使用 SEMM,Surface Pro 4 可能可以通过将 Surface Pro 4 配置为使用网络作为其第一个启动选项来使用 BitLocker 网络解锁。

无法在 Windows 客户端计算机上使用 BitLocker 网络解锁功能

假设出现了下面这种情景:

BitLocker 网络解锁已配置,如 BitLocker: 如何启用网络解锁。 Windows 8 客户端计算机使用以太网电缆连接到内部网络。 但是,重启设备后,设备仍会提示输入 BitLocker PIN。

无法在 Windows 客户端计算机上使用 BitLocker 网络解锁功能的原因

基于 Windows 8 或基于 Windows Server 2012 的客户端计算机有时不会接收或使用 BitLocker 网络解锁保护程序,具体取决于客户端是否从 DHCP 服务器或 WDS 服务器接收不相关的 BOOTP 回复。

DHCP 服务器可将任何 DHCP 选项发送到 DHCP 选项和 BOOTP 供应商扩展允许的 BOOTP 客户端。 此行为意味着,由于 DHCP 服务器支持 BOOTP 客户端,DHCP 服务器会回复 BOOTP 请求。

DHCP 服务器处理传入消息的方式部分取决于消息是否使用消息类型选项:

  • BitLocker 网络解锁客户端发送的前两条消息是 DHCP DISCOVER\REQUEST 消息。 它们使用“消息类型”选项,因此 DHCP 服务器将其视为 DHCP 消息。
  • BitLocker 网络解锁客户端发送的第三条消息没有消息类型选项。 DHCP 服务器将消息视为 BOOTP 请求。

支持 BOOTP 客户端的 DHCP 服务器必须根据 BOOTP 协议与这些客户端进行交互。 服务器必须创建 BOOTP BOOTREPLY 消息,而不是 DHCP DHCPOFFER 消息。 换句话说,服务器不得包含 DHCP 消息选项类型,并且不能超过 BOOTREPLY 消息的大小限制。 服务器发送 BOOTP BOOTREPLY 消息后,服务器会将 BOOTP 客户端的绑定标记为 BOUND。 非 DHCP 客户端不会发送 DHCPREQUEST 消息,也不会发送该客户端需要 DHCPACK 消息。

如果未配置为支持 BOOTP 客户端的 DHCP 服务器从 BOOTP 客户端接收 BOOTREQUEST 消息,该服务器会无提示地放弃 BOOTREQUEST 消息。

有关 DHCP 和 BitLocker 网络解锁的详细信息,请参阅 BitLocker:如何启用网络解锁:网络解锁序列

无法在 Windows 客户端计算机上使用 BitLocker 网络解锁功能的解决方案

若要解决此问题,请通过将 DHCP 选项从 DHCP 和 BOOTP 更改为 DHCP 来更改 DHCP 服务器的配置。