針對 BitLocker 進行疑難解答的指導方針
本文說明 BitLocker 中的常見問題,並提供疑難解答這些問題的指導方針。 本文也提供資訊,例如要收集的數據,以及要檢查的設定。 這項資訊可讓疑難解答程式更容易。
檢閱事件記錄檔
開啟 事件檢視器,並檢閱 Windows Microsoft>應用程式與服務>記錄下的下列記錄:
BitLocker-API。 檢閱管理記錄、作業記錄,以及此資料夾中產生的任何其他記錄。 預設記錄具有下列唯一名稱:
- Microsoft-Windows-BitLocker-API/Management
- Microsoft-Windows-BitLocker-API/Operational
- Microsoft-Windows-BitLocker-API/追蹤 - 只有在啟用 [顯示分析和偵錯記錄] 時才會顯示
BitLocker-DrivePreparationTool。 檢閱管理記錄、作業記錄,以及此資料夾中產生的任何其他記錄。 預設記錄具有下列唯一名稱:
- Microsoft-Windows-BitLocker-DrivePreparationTool/Admin
- Microsoft-Windows-BitLocker-DrivePreparationTool/Operational
此外,請檢閱 Windows 記錄>系統 記錄,以取得由 TPM 和 TPM-WMI 事件來源產生的事件。
若要篩選和顯示或匯出記錄,可以使用命令行工具或 Get-WinEvent PowerShell Cmdlet wevtutil.exe。
例如,若要使用 wevtutil.exe ,將作業記錄的內容從 BitLocker-API 資料夾匯出至名為 BitLockerAPIOpsLog.txt 的文字檔,開啟命令提示字元視窗,然後執行下列命令:
wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt
若要使用 Get-WinEvent Cmdlet 將相同的記錄檔匯出至逗號分隔文本檔,請開啟 Windows PowerShell 視窗並執行下列命令:
Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational" | Export-Csv -Path Bitlocker-Operational.csv
Get-WinEvent 可用於提升許可權的 PowerShell 視窗中,使用下列語法顯示來自系統或應用程式記錄檔的篩選資訊:
若要顯示 BitLocker 相關資訊:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | fl這類指令輸出如下所示:
若要匯出 BitLocker 相關信息:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csv若要顯示 TPM 相關資訊:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | fl若要匯出 TPM 相關信息:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csv這類命令的輸出如下所示。
注意
連絡 Microsoft 支援服務 時,建議導出本節所列的記錄。
從 BitLocker 技術收集狀態資訊
開啟提升權限的 Windows PowerShell 視窗,然後執行下列每個命令:
| Command | 注意 | 其他資訊 |
|---|---|---|
Get-Tpm > C:\TPM.txt |
匯出本機電腦受信任平台模組 (TPM) 相關信息的PowerShell Cmdlet。 此 Cmdlet 會根據 TPM 晶片是 1.2 版或 2.0 版,顯示不同的值。 Windows 7 不支援此 Cmdlet。 | Get-Tpm |
manage-bde.exe -status > C:\BDEStatus.txt |
匯出電腦上所有磁碟驅動器之一般加密狀態的相關信息。 | manage-bde.exe狀態 |
manage-bde.exe c: -protectors -get > C:\Protectors |
匯出 BitLocker 加密金鑰所使用之保護方法的相關信息。 | manage-bde.exe保護裝置 |
reagentc.exe /info > C:\reagent.txt |
匯出有關 Windows 修復環境 (WindowsRE) 和任何可用復原映像之目前狀態的在線或離線映像相關信息。 | reagentc.exe |
Get-BitLockerVolume \| fl |
PowerShell Cmdlet 可取得 BitLocker 磁碟驅動器加密可以保護之磁碟區的相關信息。 | Get-BitLockerVolume |
檢閱組態資訊
開啟提升權限的 [命令提示字元] 視窗,然後執行下列命令:
Command 注意 其他資訊 gpresult.exe /h <Filename>匯出原則信息的結果集,並將資訊儲存為 HTML 檔案。 gpresult.exe msinfo.exe /report <Path> /computer <ComputerName>匯出本機計算機上硬體、系統元件及軟體環境的完整資訊。 /report 選項會將資訊儲存為.txt檔案。 msinfo.exe 開啟註冊表編輯器,然後匯出下列子機碼中的專案:
HKLM\SOFTWARE\Policies\Microsoft\FVEHKLM\SYSTEM\CurrentControlSet\Services\TPM\
檢查 BitLocker 必要條件
可能導致 BitLocker 問題的常見設定包括下列案例:
TPM 必須解除鎖定。 檢查 get-tpm PowerShell Cmdlet 命令的輸出,以取得 TPM 的狀態。
必須啟用 Windows RE。 檢查 reagentc.exe 命令的輸出,以取得 WindowsRE 的狀態。
系統保留的數據分割必須使用正確的格式。
- 在統一可延伸韌體介面 (UEFI) 電腦上,系統保留的分區必須格式化為 FAT32。
- 在舊版電腦上,系統保留的分區必須格式化為 NTFS。
如果發生問題的裝置是平板電腦或平板電腦,請使用 https://gpsearch.azurewebsites.net/#8153 來驗證 [啟用使用 BitLocker 驗證] 的狀態 ,而需要預先啟動鍵盤輸入 slates 選項。
如需 BitLocker 必要條件的詳細資訊,請參閱 BitLocker 基本部署:使用 BitLocker 加密磁碟區
下一步
如果到目前為止檢查的資訊指出特定問題(例如 WindowsRE 未啟用),問題可能會有直接的修正。
解決沒有明顯原因的問題,取決於所牽涉到的元件,以及所看到的行為。 收集到的信息有助於縮小調查範圍。
如果發生問題的裝置是由 Microsoft Intune 管理,請參閱 使用 Intune 強制執行 BitLocker 原則:已知問題。
如果 BitLocker 未啟動或無法加密磁碟驅動器,且發生與 TPM 相關的錯誤或事件,請參閱 BitLocker 無法加密磁碟驅動器:已知的 TPM 問題。
如果 BitLocker 未啟動或無法加密磁碟驅動器,請參閱 BitLocker 無法加密磁碟驅動器:已知問題。
如果 BitLocker 網路解除鎖定未如預期般運作,請參閱 BitLocker 網路解除鎖定:已知問題。
如果已復原加密的磁碟驅動器時 BitLocker 未如預期般運作,或 BitLocker 意外復原磁碟驅動器,請參閱 BitLocker 復原:已知問題。
如果 BitLocker 或加密的磁碟驅動器未如預期般運作,且發生與 TPM 相關的錯誤或事件,請參閱 BitLocker 和 TPM:其他已知問題。
如果 BitLocker 或加密的磁碟驅動器未如預期般運作,請參閱 BitLocker 設定:已知問題。
建議您在連絡 Microsoft 支援服務 以協助解決問題時,將收集到的資訊保持方便。