BitLocker und TPM: andere bekannte Probleme
In diesem Artikel werden allgemeine Probleme beschrieben, die sich direkt auf das vertrauenswürdige Plattformmodul (TPM) beziehen, und enthält Anleitungen zur Behebung dieser Probleme.
Microsoft Entra-ID: Windows Hello for Business und einmaliges Anmelden funktionieren nicht
Nehmen Sie das folgende Szenario als Beispiel:
Ein in Microsoft Entra eingebundener Clientcomputer kann sich nicht ordnungsgemäß authentifizieren. Der Computer hat mindestens eins der folgenden Symptome:
- Windows Hello for Business funktioniert nicht
- Bedingter Zugriff schlägt fehl
- Einmaliges Anmelden (Single Sign-On, SSO) funktioniert nicht
Darüber hinaus protokolliert der Computer in Ereignisanzeige das folgende Ereignis-ID 1026-Ereignis unter Windows Logs>System:
Protokollname: System
Quelle: Microsoft-Windows-TPM-WMI
Datum: <Datum und Uhrzeit>
Ereignis-ID: 1026
Aufgabenkategorie: Keine
Ebene: Information
Schlüsselwörter:
Benutzer: SYSTEM
Computer: <Computername>
Beschreibung:
Die TPM-Hardware (Trusted Platform Module) auf diesem Computer kann nicht automatisch verwendet werden. Um das TPM interaktiv einzurichten, verwenden Sie die TPM-Verwaltungskonsole (Start-tpm.msc>), und verwenden Sie die Aktion, um das TPM bereit zu machen.
Fehler: Das TPM schützt vor Wörterbuchangriffen und befindet sich in einem Timeout.The TPM is defending against dictionary attacks and is in a time-out period.
Zusätzliche Informationen: 0x840000
Ursache der Microsoft Entra-ID: Windows Hello for Business und einmaliges Anmelden funktionieren nicht
Dieses Ereignis gibt an, dass das TPM nicht bereit ist oder über eine Einstellung verfügt, die den Zugriff auf die TPM-Schlüssel verhindert.
Darüber hinaus weist das Verhalten darauf hin, dass der Clientcomputer kein primäres Aktualisierungstoken (PRIMARY Refresh Token, PRT) abrufen kann.
Lösung für Microsoft Entra ID: Windows Hello for Business und einmaliges Anmelden funktionieren nicht
Um den Status des PRT zu überprüfen, verwenden Sie den Befehl dsregcmd.exe /status , um Informationen zu sammeln. Überprüfen Sie in der Toolausgabe, ob der Benutzerstatus oder der SSO-Zustand das AzureAdPrt-Attribut enthält. Wenn der Wert dieses Attributs "Nein" lautet, wurde der PRT nicht ausgegeben. Wenn der Wert des Attributs "Nein" lautet, kann angegeben werden, dass der Computer sein Zertifikat für die Authentifizierung nicht präsentieren konnte.
Führen Sie zum Beheben dieses Problems die folgenden Schritte aus, um das TPM zu beheben:
Öffnen Sie das TPM-Verwaltungskonsole (tpm.msc), indem Sie "Start" auswählen und "tpm.msc" in das Suchfeld eingeben.
Wenn ein Hinweis angezeigt wird, um das TPM zu entsperren oder die Sperrung zurückzusetzen, wenden Sie sich an den Hardwareanbieter, um zu ermitteln, ob ein bekanntes Problem behoben wurde.
Wenn das Problem nach dem Kontaktieren des Hardwareanbieters immer noch nicht behoben ist, löschen und erneut initialisieren Sie das TPM, indem Sie den Anweisungen im Artikel "Problembehandlung beim TPM" folgen: Löschen Sie alle Schlüssel aus dem TPM.
Warnung
Das Löschen des TPM kann zu Datenverlust führen.
Wenn in Schritt 2 kein Hinweis angezeigt wird, das TPM zu entsperren oder die Sperrung zurückzusetzen, überprüfen Sie die UEFI-Firmware-/BIOS-Einstellungen des Computers auf alle Einstellungen, die zum Zurücksetzen oder Deaktivieren der Sperrung verwendet werden können.
TPM 1.2-Fehler: Fehler beim Laden des Verwaltungskonsole. Das gerät, das vom kryptografischen Anbieter benötigt wird, ist nicht für die Verwendung bereit.
Nehmen Sie das folgende Szenario als Beispiel:
Wenn Sie versuchen, das TPM-Verwaltungskonsole auf einem Windows-Computer zu öffnen, auf dem TPM Version 1.2 verwendet wird, wird die folgende Meldung angezeigt:
Fehler beim Laden des Verwaltungskonsole. Das gerät, das vom kryptografischen Anbieter benötigt wird, ist nicht einsatzbereit.
HRESULT 0x800900300x80090030 - NTE_DEVICE_NOT_READY
Das Gerät, das von diesem kryptografischen Anbieter benötigt wird, ist nicht einsatzbereit.
TPM-Spezifikationsversion: TPM v1.2
Auf einem anderen Gerät, auf dem dieselbe Version von Windows ausgeführt wird, kann das TPM-Verwaltungskonsole geöffnet werden.
Ursache (verdächtig) des TPM 1.2-Fehlers: Fehler beim Laden des Verwaltungskonsole. Das gerät, das vom kryptografischen Anbieter benötigt wird, ist nicht für die Verwendung bereit.
Diese Symptome deuten darauf hin, dass das TPM Hardware- oder Firmwareprobleme aufweist.
Lösung für TPM 1.2-Fehler: Fehler beim Laden des Verwaltungskonsole. Das gerät, das vom kryptografischen Anbieter benötigt wird, ist nicht für die Verwendung bereit.
So lösen Sie das Problem:
Wechseln Sie den TPM-Betriebsmodus von Version 1.2 auf Version 2.0, wenn das Gerät diese Option verfügbar hat.
Wenn das TPM von Version 1.2 auf Version 2.0 nicht behoben wird oder das Gerät nicht über TPM Version 2.0 verfügt, wenden Sie sich an den Hardwareanbieter, um zu ermitteln, ob ein UEFI-Firmwareupdate/BIOS-Update/TPM-Update für das Gerät vorhanden ist. Wenn ein Update verfügbar ist, installieren Sie das Update, um festzustellen, ob das Problem behoben wird.
Wenn beim Aktualisieren der UEFI-Firmware/BIOS das Problem nicht behoben wird oder kein Update verfügbar ist, erwägen Sie, die Hauptplatine des Geräts zu ersetzen, indem Sie den Hardwareanbieter kontaktieren. Nachdem die Hauptplatine ersetzt wurde, schalten Sie den TPM-Betriebsmodus von Version 1.2 auf Version 2.0 um, wenn diese Option verfügbar ist.
Warnung
Das Ersetzen der Hauptplatine führt dazu, dass Daten im TPM verloren gehen.
Geräte treten aufgrund eines TPM-Problems nicht der Hybrid-Microsoft Entra-ID bei
Beim Versuch, ein Gerät mit einer Microsoft Entra-Hybrid-ID zu verbinden, schlägt der Verknüpfungsvorgang fehl.
Um zu überprüfen, ob die Verknüpfung erfolgreich war, verwenden Sie den Befehl "dsregcmd /status". In der Toolausgabe geben die folgenden Attribute an, dass die Verknüpfung erfolgreich war:
- AzureAdJoined: JA
- DomainName: <on-prem Domain name>
Wenn der Wert von AzureADJoined "Nein" lautet, ist der Verknüpfungsvorgang fehlgeschlagen.
Ursachen und Auflösungen für Geräte treten aufgrund eines TPM-Problems nicht der Hybrid-Microsoft Entra-ID bei
Dieses Problem kann auftreten, wenn das Windows-Betriebssystem nicht der Besitzer des TPM ist. Die spezifische Lösung für dieses Problem hängt davon ab, welche Fehler oder Ereignisse angezeigt werden, wie in der folgenden Tabelle dargestellt:
| Nachricht | Ursache | Lösung |
|---|---|---|
| NTE_BAD_KEYSET (0x80090016/-2146893802) | TPM-Vorgang ist fehlgeschlagen oder ungültig | Dieses Problem wurde wahrscheinlich durch ein beschädigtes Sysprep-Image verursacht. Stellen Sie beim Erstellen eines Sysprep-Images sicher, dass Sie einen Computer verwenden, der nicht mit der Microsoft Entra-ID oder der Hybrid-Microsoft Entra-ID verknüpft oder registriert ist. |
| TPM_E_PCP_INTERNAL_ERROR (0x80290407/-2144795641) | Allgemeiner TPM-Fehler. | Wenn das Gerät diesen Fehler zurückgibt, deaktivieren Sie dessen TPM. Windows 10, Version 1809 und neuere Versionen, erkennen automatisch TPM-Fehler und schließen die Microsoft Entra-Hybridbeitritte ab, ohne das TPM zu verwenden. |
| TPM_E_NOTFIPS (0x80280036/-2144862154) | Der FIPS-Modus des TPM wird derzeit nicht unterstützt. | Wenn das Gerät diesen Fehler angibt, deaktivieren Sie das TPM. Windows 10, Version 1809 und neuere Versionen, erkennen automatisch TPM-Fehler und schließen die Microsoft Entra-Hybridbeitritte ab, ohne das TPM zu verwenden. |
| NTE_AUTHENTICATION_IGNORED (0x80090031/-2146893775) | Das TPM ist gesperrt. | Dieser Fehler ist vorübergehend. Warten Sie auf den Cooldownzeitraum, und wiederholen Sie dann den Verknüpfungsvorgang. |
Weitere Informationen zu TPM-Problemen finden Sie in den folgenden Artikeln: