BitLocker 無法加密磁碟機:已知 TPM 問題
本文說明影響受信任平台模組 (TPM) 的常見問題,可能會防止 BitLocker 加密磁碟驅動器。 本文也提供解決這些問題的指引。
注意
如果判斷 BitLocker 問題未涉及 TPM,請參閱 BitLocker 無法加密磁碟驅動器:已知問題。
TPM 已鎖定,並顯示錯誤The TPM is defending against dictionary attacks and is in a time-out period
嘗試在裝置上開啟 BitLocker 磁碟驅動器加密,但失敗並出現類似下列錯誤訊息的錯誤訊息:
TPM 正在防禦字典攻擊,並處於逾時期間。
TPM 鎖定的原因
TPM 已鎖定。
鎖定 TPM 的解決方案
若要解決此問題,必須重設並清除 TPM。 您可以使用下列步驟重設並清除 TPM:
開啟提升權限的 PowerShell 視窗,然後執行下列文稿:
$Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm" $ConfirmationStatus = $Tpm.GetPhysicalPresenceConfirmationStatus(22).ConfirmationStatus if($ConfirmationStatus -ne 4) {$Tpm.SetPhysicalPresenceRequest(22)}重新啟動電腦。 如果顯示提示以確認清除 TPM,請同意清除 TPM。
登入 Windows,然後重試啟動 BitLocker 磁碟驅動器加密。
警告
重設和清除 TPM 可能會導致數據遺失。
TPM 無法準備錯誤 The TPM is defending against dictionary attacks and is in a time-out period
它嘗試在裝置上開啟 BitLocker 磁碟驅動器加密,但失敗。 進行疑難解答時,會使用 TPM 管理主控台 (tpm.msc) 嘗試在裝置上準備 TPM。 作業失敗,並出現類似下列錯誤訊息的錯誤訊息:
TPM 正在防禦字典攻擊,並處於逾時期間。
TPM 無法準備的原因
TPM 已鎖定。
TPM 無法準備的解決方案
若要解決此問題,請使用下列步驟停用並重新啟用 TPM:
重新啟動裝置,並在裝置開機時按適當的按鍵組合,以輸入裝置的 UEFI/BIOS 組態畫面。 請洽詢裝置製造商,以取得適當的按鍵組合,以進入 UEFI/BIOS 組態畫面。
在 UEFI/BIOS 組態畫面中,停用 TPM。 如需如何在 UEFI/BIOS 設定畫面中停用 TPM 的指示,請參閱裝置製造商。
儲存已停用 TPM 並重新啟動裝置以開機進入 Windows 的 UEFI/BIOS 組態。
登入 Windows 之後,返回 TPM 管理主控台。 會顯示類似下列錯誤訊息的錯誤訊息:
找不到相容的 TPM
此電腦上找不到相容的信任平台模組 (TPM)。 確認這部計算機有 1.2 TPM,且已在 BIOS 中開啟。
這是預期訊息,因為裝置的 UEFI 韌體/BIOS 中目前已停用 TPM。
重新啟動裝置,然後再次輸入 UEFI/BIOS 組態畫面。
在 UEFI/BIOS 組態畫面中重新設定 TPM。
儲存已啟用 TPM 的 UEFI/BIOS 設定,然後重新啟動裝置以開機進入 Windows。
登入 Windows 之後,返回 TPM 管理主控台。
如果 TPM 仍然無法準備,請依照針對 TPM 進行疑難解答一文 中的指示清除現有的 TPM 金鑰:清除 TPM 中的所有金鑰。
警告
清除 TPM 可能會導致數據遺失。
BitLocker 無法啟用錯誤 Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 或 Insufficient Rights
在環境強制執行 AD DS 原則中儲存復原資訊之前,請勿啟用 BitLocker。 嘗試在裝置上開啟 BitLocker 磁碟驅動器加密,但失敗並出現 或Insufficient Rights的錯誤訊息Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005。
或的原因Access DeniedInsufficient Rights
TPM 在 Active Directory 網域服務 (AD DS) 中 TPM 裝置容器上沒有足夠的許可權。 因此,無法將 BitLocker 修復資訊備份到 AD DS,且 BitLocker 磁碟驅動器加密無法開啟。
此問題似乎僅限於執行早於 Windows 10 之 Windows 版本的電腦。
Access Denied或的解決方案Insufficient Rights
若要確認此問題發生,請使用下列兩種方法之一:
停用原則,或從網域移除計算機,然後嘗試再次開啟 BitLocker 磁碟驅動器加密。 如果作業成功,則問題是由原則所造成。
使用LDAP和網路追蹤工具來檢查用戶端與AD DS域控制器之間的LDAP交換,以識別拒絕存取或許可權不足錯誤的原因。 在此情況下,當用戶端嘗試存取容器中的
CN=TPM Devices,DC=<domain>,DC=com物件時,應該會顯示錯誤。
若要檢閱受影響計算機的 TPM 資訊,請開啟提升許可權的 Windows PowerShell 視窗,然後執行下列命令:
Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-TPMInformationForComputer在此命令中, ComputerName 是受影響計算機的名稱。
若要解決此問題,請使用 dsacls.exe 之類的工具,確保 msTPM-TPMInformationForComputer 的訪問控制清單同時授與 NTAUTHORITY/SELF 的讀取和寫入許可權。
TPM 無法備妥錯誤 0x80072030: There is no such object on the server
域控制器已從 Windows Server 2008 R2 升級至 Windows Server 2012 R2。 在 AD DS 原則中儲存復原資訊之前,有一個組策略物件 (GPO) 會強制執行 「請勿啟用 BitLocker」。
它嘗試在裝置上開啟 BitLocker 磁碟驅動器加密,但失敗。 進行疑難解答時,會使用 TPM 管理主控台 (tpm.msc) 嘗試在裝置上準備 TPM。 作業失敗,並出現類似下列錯誤訊息的錯誤訊息:
0x80072030啟用將 TPM 資訊備份至 Active Directory 的原則時,伺服器上沒有這類物件
已確認 ms-TPM-OwnerInformation 和 msTPM-TpmInformationForComputer 屬性存在。
0x80072030的原因:伺服器上沒有這類物件
環境的網域和樹系功能等級可能仍設定為 Windows 2008 R2。 此外,AD DS 中的許可權可能無法正確設定。
0x80072030的解決方案:伺服器上沒有這類物件
此問題可透過下列步驟來解決:
將網域和樹系的功能等級升級至 Windows Server 2012 R2。
在腳本中,將 strPathToDomain 的值修改為組織的功能變數名稱。
開啟提升權限的 PowerShell 視窗,然後執行下列命令:
cscript.exe <Path>\Add-TPMSelfWriteACE.vbs在此命令中, <Path> 是腳本檔案的路徑。
如需詳細資訊,請參閱下列文章: