共用方式為

BitLocker 網路解除鎖定:已知問題

  • 發行項

藉由使用 BitLocker 網路解除鎖定功能,計算機可以在遠端管理,而不需要在每部計算機啟動時輸入 BitLocker PIN。 若要設定此行為,環境必須符合下列需求:

  • 每部計算機都屬於網域。
  • 每部電腦都有與內部網路的有線連線。
  • 內部網路會使用 DHCP 來管理IP位址。
  • 每部計算機都有在其整合可擴展韌體介面 (UEFI) 韌體中實作的 DHCP 驅動程式。

如需如何針對 BitLocker 網路解除鎖定進行疑難解答的一般指導方針,請參閱 如何啟用網路解除鎖定:針對網路解除鎖定進行疑難解答。

本文說明使用 BitLocker 網路解除鎖定時可能會遇到的數個已知問題,並提供解決這些問題的指引。

提示

如果特定電腦上啟用 BitLocker 網路解除鎖定,可以在 UEFI 計算機上使用下列步驟來偵測它:

  1. 開啟提升權限的指令提示字元視窗,然後執行下列命令:

    manage-bde.exe -protectors -get <Drive>

    例如:

    manage-bde.exe -protectors -get C:

    如果此命令的輸出包含 TpmCertificate (9) 類型的密鑰保護裝置,則 BitLocker 網路解除鎖定的設定正確。

  2. 啟動註冊表編輯器,並確認下列設定:

    1. 下列登錄機碼存在,且具有下列值:

      • 子機碼HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE
      • 類型REG_DWORD
      • OSManageNKP 等於 1 (True)

    2. 登入機碼:

      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\FVE_NKP\Certificates

      具有專案,其名稱符合步驟 1 中找到之 BitLocker 網路解除鎖定密鑰保護裝置的憑證指紋名稱。

在 Surface Pro 4 裝置上,BitLocker 網路解除鎖定無法運作,因為 UEFI 網路堆疊設定不正確

請參考下列案例:

BitLocker 網路解除鎖定已設定為 BitLocker:如何啟用網路解除鎖定。 Surface Pro 4 的 UEFI 已設定為使用 DHCP。 不過,當 Surface Pro 4 重新啟動時,仍會提示輸入 BitLocker PIN。

測試另一部裝置時,例如設定為使用相同的基礎結構的不同類型的平板電腦或膝上型計算機,裝置會如預期般重新啟動,而不會提示輸入 BitLocker PIN。 此測試會確認基礎結構已正確設定,且問題專屬於裝置。

BitLocker 網路解除鎖定無法在 Surface Pro 4 上運作的原因

裝置上的 UEFI 網路堆疊設定不正確。

BitLocker 網路解除鎖定的解析度無法在 Surface Pro 4 上運作

若要正確設定 Surface Pro 4 的 UEFI 網路堆疊,必須使用 Microsoft Surface Enterprise Management Mode (SEMM) 。 如需 SEMM 的相關信息,請參閱 使用 SEMM 註冊及設定 Surface 裝置。

注意

如果無法使用 SEMM,Surface Pro 4 可以藉由將 Surface Pro 4 設定為使用網路作為第一個開機選項,來使用 BitLocker 網路解除鎖定。

無法在 Windows 用戶端電腦上使用 BitLocker 網路解除鎖定功能

請參考下列案例:

BitLocker 網路解除鎖定已設定為 BitLocker:如何啟用網路解除鎖定。 Windows 8 用戶端電腦會使用乙太網路纜線連線到內部網路。 不過,當裝置重新啟動時,裝置仍會提示輸入 BitLocker PIN。

無法在 Windows 用戶端電腦上使用 BitLocker 網路解除鎖定功能的原因

Windows 8 型或 Windows Server 2012 型用戶端電腦有時不會接收或使用 BitLocker 網路解除鎖定保護裝置,視用戶端是否從 DHCP 伺服器或 WDS 伺服器接收不相關的 BOOTP 回復而定。

DHCP 伺服器可能會將任何 DHCP 選項傳送至 DHCP 選項和 BOOTP 廠商擴充功能所允許的 BOOTP 用戶端。 此行為表示,由於 DHCP 伺服器支援 BOOTP 用戶端,DHCP 伺服器會回復 BOOTP 要求。

DHCP 伺服器處理傳入訊息的方式,部分取決於訊息是否使用 [訊息類型] 選項:

  • BitLocker 網路解除鎖定用戶端傳送的前兩個訊息是 DHCP DISCOVER\REQUEST 訊息。 他們會使用 [訊息類型] 選項,因此 DHCP 伺服器會將它們視為 DHCP 訊息。
  • BitLocker 網络解除鎖定用戶端傳送的第三則訊息沒有 [訊息類型] 選項。 DHCP 伺服器會將訊息視為 BOOTP 要求。

支援 BOOTP 用戶端的 DHCP 伺服器必須根據 BOOTP 通訊協定與那些客戶端互動。 伺服器必須建立 BOOTP BOOTREPLY 訊息,而不是 DHCP DHCPOFFER 訊息。 換句話說,伺服器不得包含 DHCP 訊息選項類型,且不得超過 BOOTREPLY 訊息的大小限制。 伺服器傳送 BOOTP BOOTREPLY 訊息之後,伺服器會將 BOOTP 用戶端的系結標示為 BOUND。 非 DHCP 用戶端不會傳送 DHCPREQUEST 訊息,也不會該用戶端預期 DHCPACK 訊息。

如果未設定為支援 BOOTP 用戶端的 DHCP 伺服器從 BOOTP 用戶端接收 BOOTREQUEST 訊息,該伺服器會以無訊息方式捨棄 BOOTREQUEST 訊息。

如需 DHCP 和 BitLocker 網路解除鎖定的詳細資訊,請參閱 BitLocker:如何啟用網路解除鎖定:網路解除鎖定順序

解決無法在 Windows 用戶端電腦上使用 BitLocker 網路解除鎖定功能

若要解決此問題,請將 DHCP 選項從 DHCP 和 BOOTP 變更為 DHCP,以變更 DHCP 伺服器的設定。