ネットワークロック解除

ネットワーク ロック解除は、オペレーティング システム ボリュームの BitLocker キー 保護機能 です。 ネットワーク ロック解除を使用すると、有線企業ネットワークに接続したときにシステムの再起動時にオペレーティング システム ボリュームの自動ロック解除を提供することで、ドメイン環境内の BitLocker 対応デスクトップとサーバーの管理が容易になります。 ネットワーク ロック解除では、クライアント ハードウェアに DHCP ドライバーが UEFI ファームウェアに実装されている必要があります。 ネットワーク ロック解除を使用しない場合、保護機能によって TPM+PIN 保護されたオペレーティング システム ボリュームは、デバイスの再起動時または休止状態からの再開時 (Wake on LAN など) に PIN を入力する必要があります。 再起動後に PIN を要求すると、企業が無人デスクトップやリモート管理サーバーにソフトウェア パッチをロールアウトすることが困難になる可能性があります。

ネットワーク ロック解除を使用すると、ハードウェア要件を満たす と を備 TPM+PIN えた BitLocker 対応システムは、ユーザーの介入なしに Windows に起動できます。 ネットワークロック解除は起動時と同様の TPM+StartupKey 方法で動作します。 ただし、USB メディアから StartupKey を読み取る必要はなく、ネットワーク ロック解除機能では、TPM に格納されているキーと、サーバーに送信され、暗号化解除され、セキュリティで保護されたセッションでクライアントに返される暗号化されたネットワーク キーからキーを構成する必要があります。

システム要件

ネットワーク ロック解除は、ドメインに参加しているシステムを自動的にロック解除する前に、必須のハードウェアとソフトウェアの要件を満たす必要があります。 これらの要件は次のとおりです。

  • ネットワーク ロック解除クライアントとして機能できる UEFI DHCP ドライバーでサポートされているオペレーティング システム
  • ネットワーク TPM チップと少なくとも 1 つの TPM 保護機能を使用してクライアントのロックを解除する
  • サポートされている任意のサーバー オペレーティング システムで Windows 展開サービス (WDS) ロールを実行しているサーバー
  • サポートされているサーバー オペレーティング システムにインストールされている BitLocker ネットワークロック解除オプション機能
  • WDS サーバーとは別の DHCP サーバー
  • 適切に構成された公開キーと秘密キーのペアリング
  • 構成されたネットワーク ロック解除グループ ポリシー設定
  • クライアント デバイスの UEFI ファームウェアで有効になっているネットワーク スタック

重要

UEFI 内で DHCP をサポートするには、UEFI ベースのシステムがネイティブ モードであり、互換性サポート モジュール (CSM) が有効になっていない必要があります。

ネットワーク ロック解除を確実に機能させるには、デバイス上の最初のネットワーク アダプター (通常はオンボード アダプター) を DHCP をサポートするように構成する必要があります。 この最初のネットワーク アダプターは、ネットワーク ロック解除に使用する必要があります。 この構成は、デバイスに複数のアダプターがあり、一部のアダプターが DHCP なしで構成されている場合 (たとえば、ライトアウト管理プロトコルで使用する場合など) に注目する価値があります。 ネットワーク ロック解除は、何らかの理由で DHCP ポートエラーが発生したアダプターに到達するとアダプターの列挙を停止するため、この構成が必要です。 したがって、最初の列挙アダプターが DHCP をサポートしていない場合、ネットワークに接続されていない場合、または何らかの理由で DHCP ポートの可用性を報告できない場合、ネットワークロック解除は失敗します。

ネットワーク ロック解除サーバー コンポーネントは、サーバー マネージャーまたはWindows PowerShellコマンドレットを使用する Windows 機能として、サポートされているバージョンの Windows Server にインストールされます。 機能名は、BitLocker Network Unlockサーバー マネージャーと BitLocker-NetworkUnlock PowerShell にあります。

ネットワーク ロック解除では、機能が利用される環境で Windows 展開サービス (WDS) が必要です。 WDS インストールの構成は必要ありません。 ただし、WDS サービスはサーバー上で実行されている必要があります。

ネットワーク キーは、AES 256 セッション キーと共にシステム ドライブに格納され、Unlock サーバー証明書の 2048 ビット RSA 公開キーで暗号化されます。 ネットワーク キーは、WDS を実行している Windows Server のサポートされているバージョンのプロバイダーの助けを借りて暗号化解除され、対応するセッション キーで暗号化されて返されます。

ネットワーク ロック解除シーケンス

Windows ブート マネージャーがネットワーク ロック解除保護機能の存在を検出すると、ロック解除シーケンスがクライアント側で開始されます。 UEFI の DHCP ドライバーを使用して IPv4 の IP アドレスを取得し、サーバーのネットワーク ロック解除証明書によってすべて暗号化された、ネットワーク キーと応答のセッション キーを含むベンダー固有の DHCP 要求をブロードキャストします。 サポートされている WDS サーバーのネットワーク ロック解除プロバイダーは、ベンダー固有の要求を認識し、RSA 秘密キーで暗号化を解除し、セッション キーで暗号化されたネットワーク キーをベンダー固有の DHCP 応答で返します。

サーバー側では、WDS サーバー ロールには、PXE プロバイダーなどのオプションのプラグイン コンポーネントがあり、これが受信ネットワーク ロック解除要求を処理します。 プロバイダーはサブネット制限を使用して構成することもできます。ネットワーク ロック解除要求でクライアントによって提供される IP アドレスが、許可されたサブネットに属してネットワーク キーをクライアントに解放する必要があります。 ネットワーク ロック解除プロバイダーが使用できない場合、BitLocker は次に使用可能な保護機能にフェールオーバーしてドライブのロックを解除します。 一般的な構成では、ドライブのロックを解除するための標準 TPM+PIN のロック解除画面が表示されます。

ネットワーク ロック解除を有効にするサーバー側の構成では、X.509 証明書の形式で 2048 ビット RSA 公開/秘密キー ペアをプロビジョニングし、公開キー証明書をクライアントに配布する必要もあります。 この証明書は、中間ネットワーク キー (ドライブのロック解除に必要な 2 つのシークレットのいずれかであり、もう一方のシークレットは TPM に格納されます) を暗号化する公開キーであり、グループ ポリシー経由で管理および展開する必要があります。

ネットワーク ロック解除プロセスは、次のフェーズに従います。

  1. Windows ブート マネージャーが BitLocker 構成でネットワーク ロック解除保護機能を検出する
  2. クライアント コンピューターは、UEFI で DHCP ドライバーを使用して、有効な IPv4 IP アドレスを取得します
  3. クライアント コンピューターは、ネットワーク キー (256 ビットの中間キー) と応答用の AES-256 セッション キーを含むベンダー固有の DHCP 要求をブロードキャストします。 ネットワーク キーは、WDS サーバーからのネットワーク ロック解除証明書の 2048 ビット RSA 公開キーを使用して暗号化されます
  4. WDS サーバーのネットワーク ロック解除プロバイダーは、ベンダー固有の要求を認識します
  5. プロバイダーは、WDS サーバーの BitLocker ネットワーク ロック解除証明書 RSA 秘密キーを使用して要求の暗号化を解除します
  6. WDS プロバイダーは、クライアント コンピューターに対する独自のベンダー固有の DHCP 応答を使用して、セッション キーで暗号化されたネットワーク キーを返します。 このキーは中間キーです
  7. 返された中間キーは、別のローカル 256 ビット中間キーと組み合わされます。 このキーは TPM によってのみ復号化できます
  8. この結合キーは、ボリュームのロックを解除する AES-256 キーを作成するために使用されます
  9. Windows はブート シーケンスを続行します

ネットワーク ロック解除シーケンスの図。

ネットワーク ロック解除の構成

次の手順では、管理者が Active Directory ドメインでネットワーク ロック解除を構成できます。

WDS サーバーロールをインストールする

BitLocker ネットワークロック解除機能は、WDS ロールがまだインストールされていない場合にインストールします。 WDS は、サーバー マネージャーまたは PowerShell を使用して、BitLocker ネットワーク ロック解除をインストールする前に個別にインストールできます。 サーバー マネージャーを使用してロールをインストールするには、サーバー マネージャーで [Windows 展開サービス] ロール選択します。

PowerShell を使用してロールをインストールするには、次のコマンドを使用します。

Install-WindowsFeature WDS-Deployment

WDS サーバーは、DHCP (および必要に応じて AD DS) とクライアント コンピューターと通信できるように構成する必要があります。 WDS サーバーは、Windows 展開サービス構成ウィザードを開始する WDS 管理ツール wdsmgmt.mscを使用して構成できます。

WDS サービスが実行されていることを確認する

WDS サービスが実行されていることを確認するには、サービス管理コンソールまたは PowerShell を使用します。 サービスがサービス管理コンソールで実行されていることを確認するには、 を使用してコンソールをservices.msc開き、Windows 展開サービス サービスの状態をチェックします。

PowerShell を使用してサービスが実行されていることを確認するには、次のコマンドを使用します。

Get-Service WDSServer

ネットワークロック解除機能をインストールする

ネットワーク ロック解除機能をインストールするには、サーバー マネージャーまたは PowerShell を使用します。 サーバー マネージャーを使用して機能をインストールするには、サーバー マネージャー コンソールで BitLocker ネットワークロック解除機能を選択します。

PowerShell を使用して機能をインストールするには、次のコマンドを使用します。

Install-WindowsFeature BitLocker-NetworkUnlock

ネットワーク ロック解除用の証明書テンプレートを作成する

適切に構成された Active Directory 証明機関は、この証明書テンプレートを使用して、ネットワークロック解除証明書を作成して発行できます。

  1. 証明書テンプレート スナップインを開く (certtmpl.msc)

  2. [ユーザー テンプレート] を見つけ、テンプレート名を右クリックし、[テンプレートの複製] を選択します。

  3. [互換性] タブで、[証明機関] フィールドと [証明書の受信者] フィールドをそれぞれ [Windows Server 2016] フィールドと [Windows 10] フィールドに変更します。 [結果の 変更を表示 する] ダイアログ ボックスが選択されていることを確認します

  4. テンプレートの [ 全般 ] タブを選択します。 テンプレートの表示名テンプレート名は、テンプレートがネットワーク ロック解除に使用されることを識別する必要があります。 [Active Directory で証明書を発行する] オプションの [チェック] ボックスをオフにする

  5. [要求処理] タブを選択します。[目的] ドロップダウン メニューから [暗号化] を選択します。 [ 秘密キーのエクスポートを許可する ] オプションが選択されていることを確認します

  6. [暗号化] タブ 選択します。 [最小キー サイズ] を 2048 に設定します。 RSA をサポートする Microsoft 暗号化プロバイダーは、このテンプレートに使用できますが、簡単で前方互換性を確保するために、Microsoft Software Key Storage Provider を使用することをお勧めします

  7. [要求で次のいずれかのプロバイダーを使用する必要があります] オプションを選択し、選択した暗号化プロバイダー (Microsoft Software Key Storage Provider など) を除くすべてのオプションをオフにします

  8. [ サブジェクト名 ] タブを選択します。 要求で [供給] を選択します。 証明書テンプレートのポップアップ ダイアログが表示されたら、[OK] を選択します

  9. [ 発行要件 ] タブを選択します。 CA 証明書マネージャーの承認有効な既存の証明書 オプションの両方を選択する

  10. [ 拡張機能 ] タブを選択します。[ アプリケーション ポリシー] を 選択し、[ 編集]を選択します。

  11. [アプリケーション ポリシー拡張機能オプションの編集] ダイアログ ボックスで、[クライアント認証]、[ファイル システムの暗号化]、[セキュリティで保護されたEmail] の順に選択し、[削除] を選択します

  12. [アプリケーション ポリシー拡張機能の編集] ダイアログ ボックスで、[追加] を選択します。

  13. [ アプリケーション ポリシーの追加 ] ダイアログ ボックスで、[ 新規] を選択します。 [ 新しいアプリケーション ポリシー ] ダイアログ ボックスで、指定した領域に次の情報を入力し、[ OK] を選択して BitLocker ネットワークロック解除アプリケーション ポリシーを作成します。

    • 名前:BitLocker ネットワークロック解除
    • オブジェクト識別子:1.3.6.1.4.1.311.67.1.1

  14. 新しく作成された BitLocker ネットワーク ロック解除 アプリケーション ポリシーを選択し、[ OK] を選択します

  15. [ 拡張機能 ] タブがまだ開いている状態で、[ キー使用法拡張機能の編集 ] ダイアログを選択します。 [ キー暗号化 (キー暗号化) のみを使用してキー交換を許可する] オプションを選択します。 [ この拡張機能を重要にする ] オプションを選択します

  16. [ セキュリティ ] タブを選択します。 Domain Admins グループに [登録] アクセス許可が付与されていることを確認します

  17. [ OK] を選択 してテンプレートの構成を完了します

ネットワーク ロック解除テンプレートを証明機関に追加するには、証明機関スナップイン (certsrv.msc) を開きます。 [証明書テンプレート] を右クリックし、[新規作成]、[発行する証明書テンプレート] の順に選択します。 以前に作成した BitLocker ネットワーク ロック解除証明書を選択します。

ネットワーク ロック解除テンプレートを証明機関に追加した後、この証明書を使用して BitLocker ネットワーク ロック解除を構成できます。

ネットワーク ロック解除証明書を作成する

ネットワーク ロック解除では、既存の公開キー インフラストラクチャ (PKI) からインポートされた証明書を使用できます。 または、自己署名証明書を使用することもできます。

既存の証明機関から証明書を登録するには:

  1. WDS サーバーで、 を使用して証明書マネージャーを開きます。 certmgr.msc
  2. [証明書 - 現在のユーザー] で、[個人用] を右クリックします。
  3. [すべてのタスク]> [新しい証明書の要求] の選択
  4. 証明書の登録ウィザードが開いたら、[次へ] を選択します
  5. Active Directory 登録ポリシーを選択する
  6. ドメイン コントローラーのネットワーク ロック解除用に作成された証明書テンプレートを選択します。 次に、[登録] を選択 します
  7. 詳細を求められたら、[ サブジェクト名 ] を選択し、フレンドリ名の値を指定します。 フレンドリ名には、証明書のドメインまたは組織単位の情報が含まれている必要があります(例: Contoso ドメインの BitLocker ネットワーク ロック解除証明書)
  8. 証明書を作成します。 [ 個人用 ] フォルダーに証明書が表示されていることを確認します
  9. ネットワーク ロック解除の公開キー証明書をエクスポートします。
    1. 前に .cer 作成した証明書を右クリックし、[ すべてのタスク] を選択し、[エクスポート] を選択してファイルを作成 します
    2. [ いいえ] を選択し、秘密キーをエクスポートしない
    3. [DER でエンコードされたバイナリ X.509] を選択し、証明書のファイルへのエクスポートを完了します
    4. ファイルに BitLocker-NetworkUnlock.cer などの名前を付けます
  10. ネットワーク ロック解除の秘密キーを使用して公開キーをエクスポートする
    1. 前に .pfx 作成した証明書を右クリックし、[ すべてのタスク] を選択し、[エクスポート] を選択してファイルを作成 します
    2. [ はい] を選択し、秘密キーをエクスポートします
    3. ファイルを作成する手順を完了する.pfx

自己署名証明書を作成するには、Windows PowerShellで コマンドレットをNew-SelfSignedCertificate使用するか、 を使用certreq.exeします。 次に、例を示します。

PowerShell

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")

certreq.exe

  1. 次のように、拡張子を持つテキスト ファイルを .inf 作成します。

    notepad.exe BitLocker-NetworkUnlock.inf

  2. 前に作成したファイルに次の内容を追加します。

    [NewRequest]
Subject="CN=BitLocker Network Unlock certificate"
ProviderType=0
MachineKeySet=True
Exportable=true
RequestType=Cert
KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
KeyLength=2048
SMIME=FALSE
HashAlgorithm=sha512
[Extensions]
1.3.6.1.4.1.311.21.10 = "{text}"
_continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
2.5.29.37 = "{text}"
_continue_ = "1.3.6.1.4.1.311.67.1.1"

  3. 管理者特権でコマンド プロンプトを開き、ツールを certreq.exe 使用して新しい証明書を作成します。 次のコマンドを使用して、以前に作成したファイルの完全パスとファイル名を指定します。

    certreq.exe -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer

  4. ファイルが存在することを確認して、前のコマンドによって証明書が .cer 正しく作成されたことを確認します

  5. を実行して 証明書 - ローカル コンピューター コンソールを起動する certlm.msc

  6. .pfx証明書 - ローカル コンピューター コンソールの次の手順に従って、ファイルを作成します。

    1. [証明書 - ローカル コンピューターの個人用>証明書]> に移動します
    2. 以前にインポートした証明書を右クリックし、[すべてのタスク] を選択し、[エクスポート] を選択します。
    3. ウィザードに従ってファイルを作成します.pfx

秘密キーと証明書を WDS サーバーに展開する

証明書とキーを作成したら、それらをインフラストラクチャにデプロイして、システムのロックを適切に解除します。 証明書を展開するには:

  1. WDS サーバーで、 を実行して 証明書 - ローカル コンピューター コンソールを起動します。 certlm.msc
  2. [証明書 (ローカル コンピューター)] の [BitLocker ドライブ暗号化ネットワークのロック解除] 項目を右クリックし、[すべてのタスク] を選択し、[インポート] を選択します。
  3. [ インポートするファイル ] ダイアログで、前に作成したファイルを .pfx 選択します
  4. の作成に使用するパスワードを .pfx 入力し、ウィザードを完了します

ネットワーク ロック解除のグループ ポリシー設定を構成する

ネットワーク ロック解除用の WDS サーバーに証明書とキーを展開する場合、最後の手順では、グループ ポリシー設定を使用して、ネットワーク ロック解除キーを使用してロックを解除する目的のコンピューターに公開キー証明書を展開します。 BitLocker のグループ ポリシー設定は、ローカル グループ ポリシー エディターまたは Microsoft 管理コンソールを使用したコンピューター構成>管理テンプレート>の Windows コンポーネント>BitLocker ドライブ暗号化に関するページにあります。

次の手順では、ネットワーク ロック解除を構成するための要件であるグループ ポリシー設定を有効にする方法について説明します。

  1. グループ ポリシー管理コンソールを開く (gpmc.msc)
  2. [起動時に追加認証が必要] ポリシーを有効にし、[TPM でスタートアップ PIN を要求する] または [TPM でスタートアップ PIN を許可する] を選択します
  3. ドメインに参加しているすべてのコンピューターで TPM+PIN 保護機能を使用して BitLocker を有効にする

次の手順では、必要なグループ ポリシー設定を展開する方法について説明します。

  1. ネットワーク ロック .cer 解除用に作成されたファイルをドメイン コントローラーにコピーします

  2. ドメイン コントローラーで、グループ ポリシー管理コンソール (gpmc.msc) を開きます

  3. 新しいグループ ポリシー オブジェクトを作成するか、既存のオブジェクトを変更して[起動時にネットワークロック解除を許可する]設定を有効にする

  4. パブリック証明書をクライアントに展開します。

    1. グループ ポリシー 管理コンソール内で、次の場所に移動します。

      コンピューターの構成>ポリシー>Windows の設定>セキュリティ設定>公開キー ポリシー>BitLocker ドライブ暗号化ネットワークのロック解除証明書

    2. フォルダーを右クリックし、[ネットワーク ロック解除証明書の追加] を選択します

    3. ウィザードの手順に従って、前に .cer コピーしたファイルをインポートします

    一度に使用できるネットワーク ロック解除証明書は 1 つだけです。 新しい証明書が必要な場合は、新しい証明書をデプロイする前に現在の証明書を削除します。 ネットワーク ロック解除証明書は、クライアント コンピューターの HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP レジストリ キーの下にあります。

  5. グループ ポリシーの展開後にクライアントを再起動する

    ネットワーク (証明書ベース) 保護機能は、再起動後にのみ追加され、ポリシーが有効になり、有効な証明書がFVE_NKP ストアに存在します。

WDS サーバー上のサブネット ポリシー構成ファイル (省略可能)

既定では、正しいネットワーク ロック解除証明書と、DHCP 経由でネットワーク ロック解除が有効な WDS サーバーへの有線アクセス権を持つ有効なネットワーク ロック解除保護機能を持つすべてのクライアントは、サーバーによってロック解除されます。 WDS サーバー上のサブネット ポリシー構成ファイルを作成して、ネットワーク ロック解除クライアントがロック解除に使用できるサブネットを制限できます。

と呼ばれる bde-network-unlock.ini構成ファイルは、ネットワーク ロック解除プロバイダー DLL (%windir%\System32\Nkpprov.dll) と同じディレクトリに配置する必要があり、IPv6 と IPv4 の両方の DHCP 実装に適用されます。 サブネット構成ポリシーが破損した場合、プロバイダーは失敗し、要求への応答を停止します。

サブネット ポリシー構成ファイルでは、 セクションを [SUBNETS] 使用して特定のサブネットを識別する必要があります。 その後、名前付きサブネットを使用して、証明書サブセクションで制限を指定できます。 サブネットは、共通の INI 形式で単純な名前と値のペアとして定義されます。各サブネットには、等号の左側に名前を持つ独自の行があり、等号の右側にクラスレス Inter-Domain ルーティング (CIDR) アドレスまたは範囲として識別されるサブネットがあります。 ENABLEDキーワードは、サブネット名に対して許可されていません。

[SUBNETS]
SUBNET1=10.185.250.0/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=10.185.252.200/28 
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

このセクションの [SUBNETS] 後には、各ネットワーク ロック解除証明書のセクションがあり、スペースなしで書式設定された証明書拇印によって識別され、その証明書からロックを解除できるサブネット クライアントを定義できます。

証明書の拇印を指定する場合は、スペースを含めないでください。 拇印にスペースが含まれている場合、拇印が有効と認識されないため、サブネットの構成は失敗します。

サブネットの制限は、許可されるサブネットの許可リストを示すことによって、各証明書セクション内で定義されます。 証明書セクションにサブネットが一覧表示されている場合は、その証明書に対してのみ許可されます。 証明書セクションにサブネットが一覧表示されていない場合、その証明書のすべてのサブネットが許可されます。 証明書にサブネット ポリシー構成ファイルにセクションがない場合、その証明書でロックを解除するためのサブネット制限は適用されません。 すべての証明書に制限を適用するには、サーバー上のすべてのネットワークロック解除証明書の証明書セクションと、証明書セクションごとに明示的に許可されるリストセットが必要です。

サブネット リストは、セクションのサブネットの名前を証明書セクション ヘッダーの [SUBNETS] 下の独自の行に配置することによって作成されます。 その後、サーバーは、この証明書を使用してクライアントのロックを解除します。この証明書は、一覧で と同じように指定されています。 トラブルシューティングのために、サブネットをセクションから削除せずに、先頭にセミコロンを付けてコメントアウトすることで、すばやく除外できます。

[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

証明書の使用を完全に禁止するには、そのサブネット リストに行を追加 DISABLED します。

ネットワークロック解除をオフにする

ロック解除サーバーをオフにするには、PXE プロバイダーを WDS サーバーから登録解除するか、完全にアンインストールできます。 ただし、クライアントによるネットワーク ロック解除保護機能の作成を停止するには、[ スタートアップ グループでのネットワーク ロック解除を許可する ] ポリシー設定を無効にする必要があります。 このポリシー設定がクライアント コンピューターで 無効 に更新されると、コンピューター上のすべてのネットワーク ロック解除キー 保護機能が削除されます。 または、ドメイン コントローラーで BitLocker ネットワークロック解除証明書ポリシーを削除して、ドメイン全体に対して同じタスクを実行することもできます。

WDS サーバー上のネットワーク ロック解除証明書とキーを含むFVE_NKP証明書ストアを削除すると、その証明書のロック解除要求に応答するサーバーの機能も効果的に無効になります。 ただし、これはエラー状態と見なされ、ネットワーク ロック解除サーバーをオフにするためのサポートまたは推奨される方法ではありません。

ネットワークロック解除証明書を更新する

ネットワーク ロック解除で使用される証明書を更新するには、管理者はサーバーの新しい証明書をインポートまたは生成してから、ドメイン コントローラーの [ネットワーク ロック解除] 証明書グループ ポリシー設定を更新する必要があります。

グループ ポリシー設定を受け取らないサーバーでは、起動時に PIN が必要です。 このような場合は、証明書を更新するためにサーバーが GPO を受け取らない理由を確認します。

ネットワークロック解除のトラブルシューティング

ネットワークロック解除の問題のトラブルシューティングは、まず環境を確認することから始まります。 多くの場合、小さな構成の問題がエラーの根本原因になる可能性があります。 確認する項目は次のとおりです。

  • クライアント ハードウェアが UEFI ベースであり、ファームウェア バージョン 2.3.1 にあり、BIOS モードの互換性サポート モジュール (CSM) が有効になっていないネイティブ モードであることを確認します。 検証は、ファームウェアに "レガシ モード" や "互換モード" などのオプションが有効になっていないか、ファームウェアが BIOS に似たモードになっていないことを確認することで行うことができます

  • 必要なすべての役割とサービスがインストールされ、開始されます

  • パブリック証明書とプライベート証明書は発行されており、適切な証明書コンテナー内にあります。 ネットワーク ロック解除証明書の存在は、ローカル コンピューターの証明書スナップインが有効になっている WDS サーバーの Microsoft 管理コンソール (MMC.exe) で確認できます。 クライアント証明書は、クライアント コンピューターのレジストリ キー HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\FVE_NKP を確認することで確認できます

  • ネットワーク ロック解除のグループ ポリシーが有効になっており、適切なドメインにリンクされている

  • グループ ポリシーがクライアントに適切に到達しているかどうかを確認します。 グループ ポリシーの検証は、 または RSOP.msc ユーティリティをGPRESULT.exe使用して行うことができます

  • ポリシーの適用後にクライアントが再起動されたかどうかを確認する

  • ネットワーク (証明書ベース) 保護機能がクライアントに一覧表示されているかどうかを確認します。 保護機能の検証は、manage-bde コマンドレットまたは Windows PowerShell コマンドレットを使用して行うことができます。 たとえば、次のコマンドは、ローカル コンピューターの C: ドライブで現在構成されているキー 保護機能を一覧表示します。

    manage-bde.exe -protectors -get C:

    の出力 manage-bde.exe と WDS デバッグ ログを使用して、適切な証明書の拇印がネットワーク ロック解除に使用されているかどうかを判断します。

次のファイルを収集して、BitLocker ネットワーク ロック解除のトラブルシューティングを行います。

  • Windows イベント ログ。 具体的には、BitLocker イベント ログとログを取得します Microsoft-Windows-Deployment-Services-Diagnostics-Debug

    WDS サーバー ロールのデバッグ ログは既定でオフになっています。 WDS デバッグ ログを取得するには、まず WDS デバッグ ログを有効にする必要があります。 WDS デバッグ ログを有効にするには、次の 2 つの方法のいずれかを使用します。

    • 管理者特権のコマンド プロンプトを起動し、次のコマンドを実行します。

      wevtutil.exe sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true

    • WDS サーバーでイベント ビューアーを開きます。

      1. 左側のウィンドウで、[アプリケーションとサービス ログ>] [Microsoft>Windows>Deployment-Services-Diagnostics>Debug] に移動します
      2. 右側のウィンドウで、[ログの有効化] を選択します

  • DHCP サブネット構成ファイル (存在する場合)

  • ボリュームの BitLocker 状態の出力。 を使用 manage-bde.exe -statusして、この出力をテキスト ファイルに収集します。 または、Windows PowerShellでGet-BitLockerVolume

  • クライアント IP アドレスでフィルター処理された WDS ロールをホストするサーバー上のネットワーク モニター キャプチャ