Freigeben über

BitLocker-Netzwerkentsperrung: bekannte Probleme

  • Artikel

Mithilfe der BitLocker-Netzwerksperrfunktion können Computer remote verwaltet werden, ohne beim Starten jedes Computers eine BitLocker-PIN eingeben zu müssen. Um dieses Verhalten zu konfigurieren, muss die Umgebung die folgenden Anforderungen erfüllen:

  • Jeder Computer gehört zu einer Domäne.
  • Jeder Computer verfügt über eine kabelgebundene Verbindung mit dem internen Netzwerk.
  • Das interne Netzwerk verwendet DHCP zum Verwalten von IP-Adressen.
  • Jeder Computer verfügt über einen DHCP-Treiber, der in seiner Unified Extensible Firmware Interface (UEFI)-Firmware implementiert ist.

Allgemeine Richtlinien zum Behandeln der Problembehandlung bei der BitLocker-Netzwerksperrung finden Sie unter Aktivieren der Netzwerksperrung: Problembehandlung bei der Netzwerkentsperrung.

In diesem Artikel werden mehrere bekannte Probleme beschrieben, die auftreten können, wenn die BitLocker-Netzwerkentsperrung verwendet wird, und enthält Anleitungen zur Behebung dieser Probleme.

Tipp

Die BitLocker-Netzwerkentsperrung kann erkannt werden, wenn sie auf einem bestimmten Computer aktiviert ist, die folgenden Schritte auf UEFI-Computern ausführen:

  1. Öffnen Sie ein Eingabeaufforderungsfenster mit erhöhten Rechten, und führen Sie den folgenden Befehl aus:

    manage-bde.exe -protectors -get <Drive>

    Zum Beispiel:

    manage-bde.exe -protectors -get C:

    Wenn die Ausgabe dieses Befehls eine Schlüsselschutzvorrichtung vom Typ TpmCertificate (9) enthält, ist die Konfiguration für die BitLocker-Netzwerksperrung korrekt.

  2. Starten Sie den Registrierungs-Editor, und überprüfen Sie die folgenden Einstellungen:

    1. Der folgende Registrierungsschlüssel ist vorhanden und hat den folgenden Wert:

      • Unterschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE
      • Typ:REG_DWORD
      • Wert: OSManageNKP gleich 1 (True)

    2. Der Registrierungsschlüssel:

      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\FVE_NKP\Certificates

      enthält einen Eintrag, dessen Name dem Namen des Zertifikatfingerabdrucks der BitLocker-Schlüsselschutzvorrichtung für die Netzwerksperrung entspricht, die in Schritt 1 gefunden wurde.

Auf einem Surface Pro 4-Gerät funktioniert die BitLocker-Netzwerksperrung nicht, da der UEFI-Netzwerkstapel falsch konfiguriert ist.

Nehmen Sie das folgende Szenario als Beispiel:

Die BitLocker-Netzwerkentsperrung wurde wie in BitLocker beschrieben konfiguriert: Aktivieren der Netzwerkentsperrung. UEFI eines Surface Pro 4 wurde für die Verwendung von DHCP konfiguriert. Wenn surface Pro 4 jedoch neu gestartet wird, fordert es weiterhin eine BitLocker-PIN auf.

Wenn Sie ein anderes Gerät testen, z. B. einen anderen Tablet- oder Laptop-PC, der für die Verwendung derselben Infrastruktur konfiguriert ist, wird das Gerät wie erwartet neu gestartet, ohne zur Eingabe der BitLocker-PIN aufzufordern. Dieser Test bestätigt, dass die Infrastruktur ordnungsgemäß konfiguriert ist und das Problem für das Gerät spezifisch ist.

Ursache für die BitLocker-Netzwerkentsperrung funktioniert nicht auf Surface Pro 4

Der UEFI-Netzwerkstapel auf dem Gerät ist falsch konfiguriert.

Auflösung für die BitLocker-Netzwerkentsperrung funktioniert nicht auf Surface Pro 4

Um den UEFI-Netzwerkstapel des Surface Pro 4 ordnungsgemäß zu konfigurieren, muss der Microsoft Surface Enterprise Management Mode (SEMM) verwendet werden. Informationen zu SEMM finden Sie unter Registrieren und Konfigurieren von Surface-Geräten mit SEMM.

Notiz

Wenn SEMM nicht verwendet werden kann, kann surface Pro 4 möglicherweise BitLocker-Netzwerksperrung verwenden, indem sie Surface Pro 4 so konfiguriert, dass das Netzwerk als erste Startoption verwendet wird.

Die BitLocker-Netzwerksperrfunktion auf einem Windows-Clientcomputer kann nicht verwendet werden.

Nehmen Sie das folgende Szenario als Beispiel:

Die BitLocker-Netzwerkentsperrung wurde wie in BitLocker beschrieben konfiguriert: Aktivieren der Netzwerkentsperrung. Ein Windows 8-Clientcomputer ist mit einem Ethernet-Kabel mit dem internen Netzwerk verbunden. Wenn das Gerät jedoch neu gestartet wird, fordert das Gerät weiterhin die BitLocker-PIN an.

Ursache für die Verwendung der BitLocker-Netzwerksperrfunktion auf einem Windows-Clientcomputer

Ein windows 8-basierter oder Windows Server 2012-basierter Clientcomputer empfängt oder verwendet manchmal nicht die BitLocker-Netzwerksperrschutzkomponente, je nachdem, ob der Client nicht verwandte BOOTP-Antworten von einem DHCP-Server oder WDS-Server empfängt.

DHCP-Server können alle DHCP-Optionen an einen BOOTP-Client senden, wie die DHCP-Optionen und BOOTP-Anbietererweiterungen zulässig sind. Dieses Verhalten bedeutet, dass der DHCP-Server, da ein DHCP-Server BOOTP-Clients unterstützt, auf BOOTP-Anforderungen antwortet.

Die Art und Weise, wie ein DHCP-Server eine eingehende Nachricht verarbeitet, hängt teilweise davon ab, ob die Nachricht die Option "Nachrichtentyp" verwendet:

  • Die ersten beiden Nachrichten, die der BitLocker-Netzwerkentsperrungsclient sendet, sind DHCP DISCOVER\REQUEST-Nachrichten. Sie verwenden die Option "Nachrichtentyp", sodass der DHCP-Server sie als DHCP-Nachrichten behandelt.
  • Die dritte Nachricht, die der BitLocker-Netzwerkentsperrungsclient sendet, verfügt nicht über die Option "Nachrichtentyp". Der DHCP-Server behandelt die Nachricht als BOOTP-Anforderung.

Ein DHCP-Server, der BOOTP-Clients unterstützt, muss gemäß dem BOOTP-Protokoll mit diesen Clients interagieren. Der Server muss eine BOOTP BOOTREPLY-Nachricht anstelle einer DHCP-DHCPOFFER-Nachricht erstellen. Mit anderen Worten, der Server darf den DHCP-Nachrichtenoptionstyp nicht enthalten und darf die Größenbeschränkung für BOOTREPLY-Nachrichten nicht überschreiten. Nachdem der Server die BOOTP BOOTREPLY-Nachricht gesendet hat, kennzeichnet der Server eine Bindung für einen BOOTP-Client als BOUND. Ein Nicht-DHCP-Client sendet weder eine DHCPREQUEST-Nachricht noch erwartet dieser Client eine DHCPACK-Nachricht.

Wenn ein DHCP-Server, der nicht für die Unterstützung von BOOTP-Clients konfiguriert ist, eine BOOTREQUEST-Nachricht von einem BOOTP-Client empfängt, verwirft dieser Server die BOOTREQUEST-Nachricht im Hintergrund.

Weitere Informationen zur DHCP- und BitLocker-Netzwerkentsperrung finden Sie unter BitLocker: Aktivieren der Netzwerkentsperrung: Netzwerkentsperrungssequenz.

Auflösung für die Nichtverwendung der BitLocker-Netzwerksperrfunktion auf einem Windows-Clientcomputer

Um dieses Problem zu beheben, ändern Sie die Konfiguration des DHCP-Servers, indem Sie die DHCP-Option von DHCP und BOOTP in DHCP ändern.