当前位置：首页 > article >正文

【M365运维】修复Bitlocker在AAD里没有密钥的故障

article 2024/11/20 23:36:43

1. 先把C \ D 两个盘的加密关掉
关C 盘的时候可能会有下面的报错
---------------
[cno0010]: PS C:\windows\system32> manage-bde -off c:
BitLocker 驱动器加密: 配置工具版本 10.0.19041
版权所有 (C) 2013 Microsoft Corporation。保留所有权利。

错误: 此卷存储可以对其他卷进行自动解锁的一个或多个外部密钥。必须首先删除此类密钥，才能解锁此卷。
-------------------

先执行下面的命令，清理 autounlock
[cno0010]: PS C:\windows\system32> manage-bde -autounlock -ClearAllKeys c:
BitLocker 驱动器加密: 配置工具版本 10.0.19041
版权所有 (C) 2013 Microsoft Corporation。保留所有权利。

然后再解密 C 盘
所有自动解锁密钥都将从卷 C: 中删除。
[cno0010]: PS C:\windows\system32> manage-bde -off c:
BitLocker 驱动器加密: 配置工具版本 10.0.19041
。。。

解密正在进行中。

D 盘也解密掉
[cno0010]: PS C:\windows\system32> manage-bde -off d:
BitLocker 驱动器加密: 配置工具版本 10.0.19041
。。。

解密正在进行中。

2. 解密完成后，检查确认状态
[cno0010]: PS C:\windows\system32> manage-bde -protectors -get c:
BitLocker 驱动器加密: 配置工具版本 10.0.19041
。。。

卷 C: [Windows]
所有密钥保护器
错误: 找不到密钥保护器。

[cno0010]: PS C:\windows\system32> manage-bde -protectors -get d:
BitLocker 驱动器加密: 配置工具版本 10.0.19041
版权所有 (C) 2013 Microsoft Corporation。保留所有权利。

卷 D: [Data]
所有密钥保护器
错误: 找不到密钥保护器。

进一步确认
[cno0010]: PS C:\windows\system32> manage-bde -status
BitLocker 驱动器加密: 配置工具版本 10.0.19041
。。。

可以使用 BitLocker 驱动器加密保护的磁盘卷:
卷 C: [Windows]
[OS 卷]
    大小:              97.66 GB
    BitLocker 版本:    无
    转换状态:          完全解密
    已加密百分比:      0.0%
    加密方法:          无
    保护状态:          保护关闭
    锁定状态:          已解锁
    标识字段:          无
    密钥保护器:        找不到

卷 D: [Data]
[数据卷]
    大小:              139.23 GB
    BitLocker 版本:    无
    转换状态:          完全解密
    已加密百分比:      0.0%
    加密方法:          无
    保护状态:          保护关闭
    锁定状态:          已解锁
    标识字段:          无
    自动解锁:          已禁用
    密钥保护器:        找不到

3. 给C \D 盘分别设置Protectors
[cno0010]: PS C:\windows\system32> manage-bde -protectors -add c: -tpm -recoverypassword
BitLocker 驱动器加密: 配置工具版本 10.0.19041
。。。

添加的密钥保护器:
    数字密码:
      ID: {290F1843-xxxx-xxxx-xxxx-9D5329C4973D}
      密码:
424314-116820-035068-xxxxxx-083314-255255-233035-xxxxxx

    TPM:
      ID: {C8B44BF4-xxxx-xxxx-xxxx-C4799D43BC76}
      PCR 验证配置文件:
        0, 2, 4, 11

必需的操作:

将此数字恢复密码保存在你计算机之外的安全位置:
424314-116820-035068-xxxxxx-083314-255255-233035-xxxxxx

若要防止数据丢失，请立即保存此密码。此密码有助于确保你可以对加密的卷进行解锁。

[cno0010]: PS C:\windows\system32> manage-bde -protectors -add d: -recoverypassword
BitLocker 驱动器加密: 配置工具版本 10.0.19041
。。。

添加的密钥保护器:
    数字密码:
      ID: {2964A02E-xxxx-xxxx-xxxx-4F25312BF2A4}
      密码:
308297-670813-539264-xxxxxx-610984-323400-253363-xxxxxx

必需的操作:
将此数字恢复密码保存在你计算机之外的安全位置:
308297-670813-539264-xxxxxx-610984-323400-253363-xxxxxx
若要防止数据丢失，请立即保存此密码。此密码有助于确保你可以对加密的卷进行解锁。

4. 把密码备份到AD 和 AAD

[cno0010]: PS C:\windows\system32> manage-bde -protectors -aadbackup c: -id "{290F1843-xxxx-xxxx-xxxx-9D5329C4973D}"
BitLocker 驱动器加密: 配置工具版本 10.0.19041
。。。
已成功将恢复信息备份到 Azure Active Directory。

[cno0010]: PS C:\windows\system32> manage-bde -protectors -adbackup c: -id "{290F1843-xxxx-xxxx-xxxx-9D5329C4973D}"
BitLocker 驱动器加密: 配置工具版本 10.0.19041
。。。
已成功将恢复信息备份到 Active Directory。

[cno0010]: PS C:\windows\system32> manage-bde -protectors -adbackup d: -id "{2964A02E-xxxx-xxxx-xxxx-4F25312BF2A4}"
BitLocker 驱动器加密: 配置工具版本 10.0.19041
。。。
已成功将恢复信息备份到 Active Directory。

[cno0010]: PS C:\windows\system32> manage-bde -protectors -aadbackup d: -id "{2964A02E-77D3-43C9-8D01-4F25312BF2A4}"
BitLocker 驱动器加密: 配置工具版本 10.0.19041
。。。
已成功将恢复信息备份到 Azure Active Directory。

5. 把 C 盘启用加密
[cno0010]: PS C:\windows\system32> manage-bde -on c:
BitLocker 驱动器加密: 配置工具版本 10.0.19041
。。。

卷 C: [Windows]
[OS 卷]
必需的操作:

将此数字恢复密码保存在你计算机之外的安全位置:
424314-116820-035068-xxxxxx-083314-255255-233035-xxxxxx

若要防止数据丢失，请立即保存此密码。此密码有助于确保你可以对加密的卷进行解锁。

重新启动计算机以运行硬件测试。
(键入 "shutdown /?" 获取命令行说明。)

键入 "manage-bde -status" 以检查硬件测试是否成功。
注意: 硬件测试成功后将开始加密。

6. 重启电脑

7. 重启完等一会，C 盘会自动完成加密
[cno0010]: PS C:\windows\system32> manage-bde -status
BitLocker 驱动器加密: 配置工具版本 10.0.19041
。。。

可以使用 BitLocker 驱动器加密保护的磁盘卷:
卷 C: [Windows]
[OS 卷]
    大小:              97.66 GB
    BitLocker 版本:    2.0
    转换状态:          完全加密
    已加密百分比:      100.0%|
    加密方法:          XTS-AES 128
    保护状态:          保护已启用
    锁定状态:          已解锁
    标识字段:          未知
    密钥保护器:
        TPM
        数字密码

卷 D: [Data]
[数据卷]
   大小:              139.23 GB
    BitLocker 版本:    无
    转换状态:          完全解密
    已加密百分比:      0.0%
    加密方法:          无
    保护状态:          保护关闭
    锁定状态:          已解锁
    标识字段:          无
    自动解锁:          已禁用
    密钥保护器:        找不到

8. 给D 盘启动加密
[cno0010]: PS C:\windows\system32> manage-bde -on d:
BitLocker 驱动器加密: 配置工具版本 10.0.19041
。。。

卷 D: [Data]
[数据卷]
加密正在进行中。

9. 给 D 盘启用自动解锁
[cno0010]: PS C:\windows\system32> manage-bde -autounlock -enable d:
BitLocker 驱动器加密: 配置工具版本 10.0.19041
。。。

添加的密钥保护器:
    外部密钥:
      ID: {685B987F-xxxx-xxxx-xxxx-C51D36CCC7F4}
      外部密钥文件名称:
        685B987F-xxxx-xxxx-xxxx-C51D36CCC7F4.BEK
      已启用自动解锁。

[cno0010]: PS C:\windows\system32> manage-bde -protectors -get d:
BitLocker 驱动器加密: 配置工具版本 10.0.19041
卷 D: [Data]
所有密钥保护器
    外部密钥:
      ID: {685B987F-xxxx-xxxx-xxxx-C51D36CCC7F4}
      外部密钥文件名称:
        685B987F-xxxx-xxxx-xxxx-C51D36CCC7F4.BEK
      已启用自动解锁。

10. 完成
[cno0010]: PS C:\windows\system32> manage-bde -status
BitLocker 驱动器加密: 配置工具版本 10.0.19041
。。。
可以使用 BitLocker 驱动器加密保护的磁盘卷:

卷 C: [Windows]
[OS 卷]
    大小:              97.66 GB
    BitLocker 版本:    2.0
    转换状态:          完全加密
    已加密百分比:      100.0%
    加密方法:          XTS-AES 128
    保护状态:          保护已启用
    锁定状态:          已解锁
    标识字段:          未知
    密钥保护器:
        TPM
        数字密码

卷 D: [Data]
[数据卷]
    大小:              139.23 GB
    BitLocker 版本:    2.0
    转换状态:          加密进行中
    已加密百分比:      5.2%
    加密方法:          XTS-AES 128
    保护状态:          保护关闭
    锁定状态:          已解锁
    标识字段:          未知
    自动解锁:          已启用
    密钥保护器:
        外部密钥 (自动解锁所必需的)

查看全文

http://www.kler.cn/a/146670.html