BitLocker kann Laufwerk nicht verschlüsseln: bekannte TPM-Probleme
In diesem Artikel werden häufig auftretende Probleme beschrieben, die sich auf das Trusted Platform Module (TPM) auswirken, das verhindern kann, dass BitLocker ein Laufwerk verschlüsselt. Dieser Artikel enthält auch Anleitungen zur Behebung dieser Probleme.
Notiz
Wenn festgestellt wurde, dass das BitLocker-Problem das TPM nicht umfasst, lesen Sie, dass BitLocker kein Laufwerk verschlüsseln kann: bekannte Probleme.
Das TPM ist gesperrt, und der Fehler The TPM is defending against dictionary attacks and is in a time-out period wird angezeigt.
Es wird versucht, die BitLocker-Laufwerkverschlüsselung auf einem Gerät zu aktivieren, aber es schlägt mit einer Fehlermeldung fehl, die der folgenden Fehlermeldung ähnelt:
Das TPM schützt vor Wörterbuchangriffen und ist in einem Timeoutzeitraum.
Ursache für das Gesperrte TPM
Das TPM ist gesperrt.
Auflösung für das gesperrte TPM
Um dieses Problem zu beheben, muss das TPM zurückgesetzt und gelöscht werden. Das TPM kann mit den folgenden Schritten zurückgesetzt und gelöscht werden:
Öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten, und führen Sie das folgende Skript aus:
$Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm" $ConfirmationStatus = $Tpm.GetPhysicalPresenceConfirmationStatus(22).ConfirmationStatus if($ConfirmationStatus -ne 4) {$Tpm.SetPhysicalPresenceRequest(22)}Starten Sie den Computer neu. Wenn eine Eingabeaufforderung angezeigt wird, die das Löschen des TPM bestätigt, stimmen Sie zu, das TPM zu löschen.
Melden Sie sich bei Windows an, und versuchen Sie erneut, die BitLocker-Laufwerkverschlüsselung zu starten.
Warnung
Das Zurücksetzen und Löschen des TPM kann zu Datenverlust führen.
Das TPM kann nicht mit dem Fehler vorbereitet werden. The TPM is defending against dictionary attacks and is in a time-out period
Es wird versucht, die BitLocker-Laufwerkverschlüsselung auf einem Gerät zu aktivieren, schlägt jedoch fehl. Bei der Problembehandlung wird das TPM-Verwaltungskonsole (tpm.msc) verwendet, um zu versuchen, das TPM auf dem Gerät vorzubereiten. Der Vorgang schlägt mit einer Fehlermeldung fehl, die der folgenden Fehlermeldung ähnelt:
Das TPM schützt vor Wörterbuchangriffen und ist in einem Timeoutzeitraum.
Ursache für tpmfehler bei der Vorbereitung
Das TPM ist gesperrt.
Lösung für TPM, bei der die Vorbereitung fehlschlägt
Um dieses Problem zu beheben, deaktivieren sie das TPM mit den folgenden Schritten, und aktivieren Sie es erneut:
Geben Sie die UEFI/BIOS-Konfigurationsbildschirme des Geräts ein, indem Sie das Gerät neu starten und beim Starten des Geräts auf die entsprechende Tastenkombination klicken. Wenden Sie sich an den Gerätehersteller, um die entsprechende Tastenkombination für die Eingabe in die UEFI/BIOS-Konfigurationsbildschirme einzugeben.
Deaktivieren Sie das TPM einmal in den UEFI/BIOS-Konfigurationsbildschirmen. Anweisungen zum Deaktivieren des TPM finden Sie auf den UEFI/BIOS-Konfigurationsbildschirmen des Geräteherstellers.
Speichern Sie die UEFI/BIOS-Konfiguration mit deaktivierten TPM, und starten Sie das Gerät neu, um in Windows zu starten.
Kehren Sie nach der Anmeldung bei Windows zum TPM-Verwaltungskonsole zurück. Es wird eine Fehlermeldung angezeigt, die der folgenden Fehlermeldung ähnelt:
Kompatibles TPM wurde nicht gefunden
Kompatibles Trusted Platform Module (TPM) wurde auf diesem Computer nicht gefunden. Stellen Sie sicher, dass dieser Computer über 1.2 TPM verfügt und im BIOS aktiviert ist.
Diese Meldung wird erwartet, da das TPM derzeit in der UEFI-Firmware/dem BIOS des Geräts deaktiviert ist.
Starten Sie das Gerät neu, und geben Sie die UEFI/BIOS-Konfigurationsbildschirme erneut ein.
Aktivieren Sie das TPM in den UEFI/BIOS-Konfigurationsbildschirmen.
Speichern Sie die UEFI/BIOS-Konfiguration mit aktivierten TPM, und starten Sie das Gerät neu, um in Windows zu starten.
Kehren Sie nach der Anmeldung bei Windows zum TPM-Verwaltungskonsole zurück.
Wenn das TPM weiterhin nicht vorbereitet werden kann, löschen Sie die vorhandenen TPM-Schlüssel, indem Sie den Anweisungen im Artikel "Problembehandlung beim TPM" folgen: Löschen Sie alle Schlüssel aus dem TPM.
Warnung
Das Löschen des TPM kann zu Datenverlust führen.
BitLocker kann nicht mit dem Fehler Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 aktiviert werden oder Insufficient Rights
BitLocker erst aktivieren, wenn Wiederherstellungsinformationen in der AD DS-Richtlinie gespeichert werden, wird in der Umgebung erzwungen. Es wird versucht, die BitLocker-Laufwerkverschlüsselung auf einem Gerät zu aktivieren, aber es schlägt mit der Fehlermeldung von Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 oder Insufficient Rights.
Ursache oder Access DeniedInsufficient Rights
Das TPM verfügte nicht über ausreichende Berechtigungen für den TPM-Gerätecontainer in Active Directory-Domäne Services (AD DS). Daher konnten die BitLocker-Wiederherstellungsinformationen nicht mit AD DS gesichert werden, und die BitLocker-Laufwerkverschlüsselung konnte nicht aktiviert werden.
Dieses Problem scheint auf Computer beschränkt zu sein, auf denen Versionen von Windows ausgeführt werden, die älter als Windows 10 sind.
Auflösung für Access Denied oder Insufficient Rights
Um dieses Problem zu überprüfen, verwenden Sie eine der folgenden beiden Methoden:
Deaktivieren Sie die Richtlinie, oder entfernen Sie den Computer aus der Domäne, gefolgt von dem Versuch, die BitLocker-Laufwerkverschlüsselung erneut zu aktivieren. Wenn der Vorgang erfolgreich ist, wurde das Problem durch die Richtlinie verursacht.
Verwenden Sie LDAP- und Netzwerkablaufverfolgungstools, um den LDAP-Austausch zwischen dem Client und dem AD DS-Domänencontroller zu untersuchen, um die Ursache des Fehlers "Zugriff verweigert " oder "Unzureichende Rechte " zu ermitteln. In diesem Fall sollte ein Fehler angezeigt werden, wenn der Client versucht, auf sein Objekt im
CN=TPM Devices,DC=<domain>,DC=comContainer zuzugreifen.
Um die TPM-Informationen für den betroffenen Computer zu überprüfen, öffnen Sie ein Windows PowerShell-Fenster mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:
Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-TPMInformationForComputerIn diesem Befehl ist ComputerName der Name des betroffenen Computers.
Um das Problem zu beheben, verwenden Sie ein Tool wie dsacls.exe, um sicherzustellen, dass die Zugriffssteuerungsliste von msTPM-TPMInformationForComputer sowohl Lese- als auch Schreibberechtigungen für NTAUTHORITY/SELF gewährt.
Das TPM kann nicht mit dem Fehler vorbereitet werden. 0x80072030: There is no such object on the server
Domänencontroller wurden von Windows Server 2008 R2 auf Windows Server 2012 R2 aktualisiert. Ein Gruppenrichtlinienobjekt (Group Policy Object, GPO) ist vorhanden, das bitLocker erst aktiviert , wenn Wiederherstellungsinformationen in der AD DS-Richtlinie gespeichert werden.
Es wird versucht, die BitLocker-Laufwerkverschlüsselung auf einem Gerät zu aktivieren, schlägt jedoch fehl. Bei der Problembehandlung wird das TPM-Verwaltungskonsole (tpm.msc) verwendet, um zu versuchen, das TPM auf dem Gerät vorzubereiten. Der Vorgang schlägt mit einer Fehlermeldung fehl, die der folgenden Fehlermeldung ähnelt:
0x80072030 Es gibt kein solches Objekt auf dem Server, wenn eine Richtlinie zum Sichern von TPM-Informationen in Active Directory aktiviert ist.
Es wurde bestätigt, dass die Attribute "ms-TPM-OwnerInformation " und "msTPM-TpmInformationForComputer " vorhanden sind.
Ursache für 0x80072030: Es gibt kein solches Objekt auf dem Server.
Die Domänen- und Gesamtstrukturfunktionsebene der Umgebung kann weiterhin auf Windows 2008 R2 festgelegt sein. Darüber hinaus sind die Berechtigungen in AD DS möglicherweise nicht ordnungsgemäß festgelegt.
Auflösung für 0x80072030: Es gibt kein solches Objekt auf dem Server.
Das Problem kann mit den folgenden Schritten behoben werden:
Aktualisieren Sie die Funktionale Ebene der Domäne und Gesamtstruktur auf Windows Server 2012 R2.
Laden Sie Add-TPMSelfWriteACE.vbs herunter.
Ändern Sie im Skript den Wert von strPathToDomain in den Domänennamen der Organisation.
Öffnen Sie ein PowerShell-Fenster mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:
cscript.exe <Path>\Add-TPMSelfWriteACE.vbsIn diesem Befehl <ist Path> der Pfad zur Skriptdatei.
Weitere Informationen finden Sie in den folgenden Artikeln: