Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Door de functie BitLocker-netwerk ontgrendelen te gebruiken, kunnen computers op afstand worden beheerd zonder dat u een BitLocker-pincode hoeft in te voeren wanneer elke computer wordt opgestart. Om dit gedrag te configureren, moet de omgeving voldoen aan de volgende vereisten:
- Elke computer behoort tot een domein.
- Elke computer heeft een bekabelde verbinding met het interne netwerk.
- Het interne netwerk maakt gebruik van DHCP om IP-adressen te beheren.
- Elke computer heeft een DHCP-stuurprogramma geïmplementeerd in de UEFI-firmware (Unified Extensible Firmware Interface).
Zie Netwerk ontgrendelen inschakelen voor algemene richtlijnen voor het oplossen van problemen met Het ontgrendelen van BitLocker-netwerken: Problemen met ontgrendelen via netwerk oplossen.
In dit artikel worden verschillende bekende problemen beschreven die kunnen optreden wanneer BitLocker-netwerk ontgrendelen wordt gebruikt en richtlijnen biedt voor het oplossen van deze problemen.
Tip
BitLocker-netwerk ontgrendelen kan worden gedetecteerd als deze is ingeschakeld op een specifieke computer met de volgende stappen op UEFI-computers:
Open een opdrachtpromptvenster met verhoogde bevoegdheid en voer de volgende opdracht uit:
manage-bde.exe -protectors -get <Drive>Bijvoorbeeld:
manage-bde.exe -protectors -get C:Als de uitvoer van deze opdracht een sleutelbeveiliging van het type TpmCertificate (9) bevat, is de configuratie juist voor BitLocker-netwerk ontgrendelen.
Start de Register-editor en controleer de volgende instellingen:
De volgende registersleutel bestaat en heeft de volgende waarde:
- Subsleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE - Type:
REG_DWORD - Waarde:
OSManageNKPgelijk aan1(true)
- Subsleutel:
De registersleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\FVE_NKP\Certificatesheeft een vermelding waarvan de naam overeenkomt met de naam van de certificaatvingerafdruk van de BitLocker-sleutelbeveiliging voor het ontgrendelen van het netwerk die is gevonden in stap 1.
Op een Surface Pro 4-apparaat werkt BitLocker-netwerk ontgrendelen niet omdat de UEFI-netwerkstack onjuist is geconfigureerd
Bekijk het volgende scenario:
BitLocker-netwerk ontgrendelen is geconfigureerd zoals beschreven in BitLocker: Netwerk ontgrendelen inschakelen. UEFI van een Surface Pro 4 is geconfigureerd voor het gebruik van DHCP. Wanneer de Surface Pro 4 echter opnieuw wordt opgestart, wordt er nog steeds om een BitLocker-pincode gevraagd.
Bij het testen van een ander apparaat, zoals een ander type tablet of laptop-pc dat is geconfigureerd voor het gebruik van dezelfde infrastructuur, wordt het apparaat opnieuw opgestart zoals verwacht, zonder dat u wordt gevraagd om de Pincode van BitLocker. Met deze test wordt bevestigd dat de infrastructuur correct is geconfigureerd en dat het probleem specifiek is voor het apparaat.
Oorzaak van BitLocker-netwerk ontgrendelen werkt niet op Surface Pro 4
De UEFI-netwerkstack op het apparaat is onjuist geconfigureerd.
Oplossing voor BitLocker-netwerk ontgrendelen werkt niet op Surface Pro 4
Als u de UEFI-netwerkstack van de Surface Pro 4 correct wilt configureren, moet de Microsoft Surface Enterprise Management Mode (SEMM) worden gebruikt. Zie Surface-apparaten inschrijven en configureren met SEMM voor meer informatie over SEMM.
Notitie
Als SEMM niet kan worden gebruikt, kan de Surface Pro 4 mogelijk BitLocker-netwerk ontgrendelen gebruiken door de Surface Pro 4 te configureren om het netwerk te gebruiken als eerste opstartoptie.
Kan de functie BitLocker-netwerk ontgrendelen niet gebruiken op een Windows-clientcomputer
Bekijk het volgende scenario:
BitLocker-netwerk ontgrendelen is geconfigureerd zoals beschreven in BitLocker: Netwerk ontgrendelen inschakelen. Een Windows 8-clientcomputer is verbonden met het interne netwerk met een ethernetkabel. Wanneer het apparaat echter opnieuw wordt opgestart, wordt er nog steeds om de BitLocker-pincode gevraagd.
Oorzaak van het niet gebruiken van de functie BitLocker-netwerk ontgrendelen op een Windows-clientcomputer
Een Windows 8- of Windows Server 2012-clientcomputer ontvangt of gebruikt soms niet de BitLocker-beveiliging voor netwerk ontgrendelen, afhankelijk van of de client niet-gerelateerde BOOTP-antwoorden ontvangt van een DHCP-server of WDS-server.
DHCP-servers kunnen DHCP-opties verzenden naar een BOOTP-client, zoals toegestaan door de DHCP-opties en BOOTP-leveranciersextensies. Dit gedrag betekent dat omdat een DHCP-server BOOTP-clients ondersteunt, de DHCP-server reageert op BOOTP-aanvragen.
De manier waarop een DHCP-server een binnenkomend bericht verwerkt, is deels afhankelijk van of het bericht gebruikmaakt van de optie Berichttype:
- De eerste twee berichten die de BitLocker-client voor netwerk ontgrendelen verzendt, zijn DHCP DISCOVER\REQUEST-berichten. Ze gebruiken de optie Berichttype, zodat de DHCP-server ze behandelt als DHCP-berichten.
- Het derde bericht dat de BitLocker-client voor netwerk ontgrendelen verzendt, heeft niet de optie Berichttype. De DHCP-server behandelt het bericht als een BOOTP-aanvraag.
Een DHCP-server die BOOTP-clients ondersteunt, moet communiceren met deze clients volgens het BOOTP-protocol. De server moet een BOOTP BOOTREPLY-bericht maken in plaats van een DHCP DHCPOFFER-bericht. Met andere woorden, de server mag niet het type DHCP-berichtoptie bevatten en mag niet groter zijn dan de groottelimiet voor BOOTREPLY-berichten. Nadat de server het BOOTP BOOTREPLY-bericht heeft verzonden, markeert de server een binding voor een BOOTP-client als GEBONDEN. Een niet-DHCP-client verzendt geen DHCPREQUEST-bericht en verwacht die client ook geen DHCPACK-bericht.
Als een DHCP-server die niet is geconfigureerd voor de ondersteuning van BOOTP-clients, een BOOTREQUEST-bericht van een BOOTP-client ontvangt, wordt het BOOTREQUEST-bericht op de achtergrond verwijderd.
Zie BitLocker: Netwerk ontgrendelen inschakelen: Netwerk ontgrendelen: reeks netwerk ontgrendelen voor meer informatie over DHCP en BitLocker-netwerk ontgrendelen.
Oplossing voor het niet gebruiken van de functie BitLocker-netwerk ontgrendelen op een Windows-clientcomputer
U kunt dit probleem oplossen door de configuratie van de DHCP-server te wijzigen door de DHCP-optie van DHCP en BOOTP te wijzigen in DHCP.