Richtlinien für die Problembehandlung bei BitLocker
In diesem Artikel werden allgemeine Probleme in BitLocker behandelt und Richtlinien für die Behandlung dieser Probleme bereitgestellt. Dieser Artikel enthält auch Informationen, z. B. welche Daten erfasst werden sollen und welche Einstellungen überprüft werden sollen. Diese Informationen erleichtern den Problembehandlungsprozess erheblich.
Überprüfen der Ereignisprotokolle
Öffnen Sie Ereignisanzeige, und überprüfen Sie die folgenden Protokolle unter "Anwendungen und Dienste protokolliert>Microsoft>Windows":
BitLocker-API. Überprüfen Sie das Verwaltungsprotokoll , das Betriebsprotokoll und alle anderen Protokolle, die in diesem Ordner generiert werden. Die Standardprotokolle weisen die folgenden eindeutigen Namen auf:
- Microsoft-Windows-BitLocker-API/Management
- Microsoft-Windows-BitLocker-API/Operational
- Microsoft-Windows-BitLocker-API/Tracing – wird nur angezeigt, wenn Analyse- und Debugprotokolle aktiviert sind
BitLocker-DrivePreparationTool. Überprüfen Sie das Administratorprotokoll , das Betriebsprotokoll und alle anderen Protokolle, die in diesem Ordner generiert werden. Die Standardprotokolle weisen die folgenden eindeutigen Namen auf:
- Microsoft-Windows-BitLocker-DrivePreparationTool/Admin
- Microsoft-Windows-BitLocker-DrivePreparationTool/Operational
Überprüfen Sie außerdem das Windows Logs>System-Protokoll auf Ereignisse, die von den TPM- und TPM-WMI-Ereignisquellen erstellt wurden.
Zum Filtern und Anzeigen oder Exportieren von Protokollen kann das wevtutil.exe Befehlszeilentool oder das Cmdlet Get-WinEvent PowerShell verwendet werden.
Wenn Sie z. B. wevtutil.exe verwenden möchten, um den Inhalt des Betriebsprotokolls aus dem BitLocker-API-Ordner in eine Textdatei mit dem Namen BitLockerAPIOpsLog.txt zu exportieren, öffnen Sie ein Eingabeaufforderungsfenster, und führen Sie den folgenden Befehl aus:
wevtutil.exe qe "Microsoft-Windows-BitLocker/BitLocker Operational" /f:text > BitLockerAPIOpsLog.txt
Um das Cmdlet Get-WinEvent zum Exportieren desselben Protokolls in eine durch Trennzeichen getrennte Textdatei zu verwenden, öffnen Sie ein Windows PowerShell-Fenster, und führen Sie den folgenden Befehl aus:
Get-WinEvent -logname "Microsoft-Windows-BitLocker/BitLocker Operational" | Export-Csv -Path Bitlocker-Operational.csv
Das Get-WinEvent kann in einem PowerShell-Fenster mit erhöhten Rechten verwendet werden, um gefilterte Informationen aus dem System- oder Anwendungsprotokoll mithilfe der folgenden Syntax anzuzeigen:
So zeigen Sie BitLocker-bezogene Informationen an:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | flDie Ausgabe eines solchen Befehls sieht wie folgt aus:
So exportieren Sie BitLocker-bezogene Informationen:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'BitLocker' | Export-Csv -Path System-BitLocker.csvSo zeigen Sie TPM-bezogene Informationen an:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | flSo exportieren Sie TPM-bezogene Informationen:
Get-WinEvent -FilterHashtable @{LogName='System'} | Where-Object -Property Message -Match 'TPM' | Export-Csv -Path System-TPM.csvDie Ausgabe eines solchen Befehls ähnelt der folgenden.
Notiz
Beim Kontaktieren von Microsoft-Support wird empfohlen, die in diesem Abschnitt aufgeführten Protokolle zu exportieren.
Sammeln von Statusinformationen aus den BitLocker-Technologien
Öffnen Sie ein Windows PowerShell-Fenster mit erhöhten Rechten, und führen Sie die folgenden Befehle aus:
| Get-Help | Notizen | Weitere Informationen |
|---|---|---|
Get-Tpm > C:\TPM.txt |
PowerShell-Cmdlet, das Informationen zum Trusted Platform Module (TPM) des lokalen Computers exportiert. Dieses Cmdlet zeigt unterschiedliche Werte an, je nachdem, ob der TPM-Chip Version 1.2 oder 2.0 ist. Dieses Cmdlet wird in Windows 7 nicht unterstützt. | Get-Tpm |
manage-bde.exe -status > C:\BDEStatus.txt |
Exportiert Informationen zum allgemeinen Verschlüsselungsstatus aller Laufwerke auf dem Computer. | status manage-bde.exe |
manage-bde.exe c: -protectors -get > C:\Protectors |
Exportiert Informationen zu den Schutzmethoden, die für den BitLocker-Verschlüsselungsschlüssel verwendet werden. | manage-bde.exe Schutzkomponenten |
reagentc.exe /info > C:\reagent.txt |
Exportiert Informationen zu einem Online- oder Offlineimage über den aktuellen Status der Windows-Wiederherstellungsumgebung (WindowsRE) und jedes verfügbare Wiederherstellungsimage. | reagentc.exe |
Get-BitLockerVolume \| fl |
PowerShell-Cmdlet, das Informationen zu Volumes abruft, die die BitLocker-Laufwerkverschlüsselung schützen kann. | Get-BitLockerVolume |
Überprüfen der Konfigurationsinformationen
Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie die folgenden Befehle aus:
Get-Help Notizen Weitere Informationen gpresult.exe /h <Filename>Exportiert den Ergebnissatz von Richtlinieninformationen und speichert die Informationen als HTML-Datei. gpresult.exe msinfo.exe /report <Path> /computer <ComputerName>Exportiert umfassende Informationen zur Hardware, Systemkomponenten und Softwareumgebung auf dem lokalen Computer. Die Option "/report " speichert die Informationen als .txt Datei. msinfo.exe Öffnen Sie den Registrierungs-Editor, und exportieren Sie die Einträge in den folgenden Unterschlüsseln:
HKLM\SOFTWARE\Policies\Microsoft\FVEHKLM\SYSTEM\CurrentControlSet\Services\TPM\
Überprüfen der BitLocker-Voraussetzungen
Allgemeine Einstellungen, die Probleme für BitLocker verursachen können, umfassen die folgenden Szenarien:
Das TPM muss entsperrt sein. Überprüfen Sie die Ausgabe des Cmdlet-Befehls "get-tpm PowerShell" auf den Status des TPM.
Windows RE muss aktiviert sein. Überprüfen Sie die Ausgabe des befehls reagentc.exe auf den Status von WindowsRE.
Die vom System reservierte Partition muss das richtige Format verwenden.
- Auf UEFI-Computern (Unified Extensible Firmware Interface) muss die vom System reservierte Partition als FAT32 formatiert sein.
- Auf älteren Computern muss die vom System reservierte Partition als NTFS formatiert sein.
Wenn es sich bei dem Gerät um einen Schiefer- oder Tablet-PC handelt, verwenden Sie diese Option https://gpsearch.azurewebsites.net/#8153 , um den Status der BitLocker-Authentifizierung zu überprüfen, für die Tastatureingaben vor dem Start erforderlich sind.
Weitere Informationen zu den BitLocker-Voraussetzungen finden Sie in der Grundlegenden Bereitstellung von BitLocker: Verwenden von BitLocker zum Verschlüsseln von Volumes
Nächste Schritte
Wenn die bisher untersuchten Informationen auf ein bestimmtes Problem hindeuten (z. B. WindowsRE ist nicht aktiviert), kann das Problem eine einfache Lösung haben.
Das Beheben von Problemen, die keine offensichtlichen Ursachen haben, hängt davon ab, welche Komponenten beteiligt sind und welches Verhalten angezeigt wird. Die gesammelten Informationen helfen dabei, die zu untersuchenden Bereiche einzugrenzen.
Wenn das Gerät, auf dem Probleme auftreten, von Microsoft Intune verwaltet wird, lesen Sie das Erzwingen von BitLocker-Richtlinien mithilfe von Intune: bekannte Probleme.
Wenn BitLocker kein Laufwerk startet oder nicht verschlüsseln kann und Fehler oder Ereignisse im Zusammenhang mit dem TPM auftreten, lesen Sie, dass BitLocker ein Laufwerk nicht verschlüsseln kann: Bekannte TPM-Probleme.
Wenn BitLocker kein Laufwerk startet oder nicht verschlüsseln kann, lesen Sie, dass BitLocker kein Laufwerk verschlüsseln kann: bekannte Probleme.
Wenn sich die BitLocker-Netzwerkentsperrung nicht wie erwartet verhält, lesen Sie bitLocker Network Unlock: bekannte Probleme.
Wenn Sich BitLocker nicht wie erwartet verhält, wenn ein verschlüsseltes Laufwerk wiederhergestellt wird oder BitLocker unerwartet ein Laufwerk wiederhergestellt hat, lesen Sie bitLocker-Wiederherstellung: bekannte Probleme.
Wenn sich BitLocker oder das verschlüsselte Laufwerk nicht wie erwartet verhalten, und Fehler oder Ereignisse, die mit dem TPM zusammenhängen, finden Sie unter BitLocker und TPM: andere bekannte Probleme.
Wenn sich BitLocker oder das verschlüsselte Laufwerk nicht wie erwartet verhalten, lesen Sie die BitLocker-Konfiguration: bekannte Probleme.
Es wird empfohlen, die gesammelten Informationen praktisch zu halten, falls Microsoft-Support kontaktiert wird, um Hilfe bei der Behebung des Problems zu erhalten.