BitLocker: ネットワーク ロック解除を有効にする方法

適用対象

  • Windows 10
  • Windows 11
  • Windows Server 2016以上

IT 担当者向けこの記事では、BitLocker ネットワーク ロック解除のしくみと構成方法について説明します。

ネットワーク ロック解除は、オペレーティング システム ボリュームWindows 8 BitLocker Windows Server 2012オプションとして、ネットワーク ロック解除機能が導入されました。 ネットワーク ロック解除は、システムが再起動され、有線の企業ネットワークに接続されている場合にオペレーティング システム ボリュームのロックを自動的に解除することで、ドメイン環境で BitLocker 対応のデスクトップとサーバーを管理するのに役立ちます。 この機能では、クライアント ハードウェアに UEFI ファームウェアに DHCP ドライバーを実装する必要があります。

Network Unlock を使用しない場合、TPM+PIN プロテクタを使用するオペレーティング システム ボリュームでは、休止状態 (Wake on LAN など) の後でコンピューターが再起動または再開するときに PIN が必要になります。 企業の場合、このセットアップにより、ソフトウェア パッチを無人デスクトップやリモート管理サーバーに展開するのが難しくなる可能性があります。

ネットワーク ロック解除を使用すると、TPM+PIN を使用し、ハードウェア要件を満たす BitLocker が有効なシステムは、ユーザー Windowsに起動できます。 ネットワーク ロック解除は、起動時の TPM+StartupKey と同様に動作します。 ただし、StartupKey は USB メディアから読み取る必要があります。 代わりに、ネットワーク ロック解除のキーは、TPM に格納されているキーと、サーバーに送信される暗号化されたネットワーク キーから構成されます。 暗号化が解除され、セキュリティで保護されたセッションでクライアントに返されます。

ネットワークロック解除のコア要件

ネットワーク ロック解除では、ドメインに参加しているシステムのロックを自動的に解除するには、次の必須のハードウェアおよびソフトウェア構成が必要です。

  • 少なくとも 1 つ以上のユーザーまたはWindows 8実行しているWindows Server 2012。
  • UEFI DHCP ドライバーを使用するサポートされているオペレーティング システムには、ネットワーク ロック解除クライアントを指定できます。
  • ネットワーク ロック解除クライアントには、TPM (信頼できるプラットフォーム モジュール) チップと少なくとも 1 つの TPM プロテクタが必要です。
  • サポートされているサーバー オペレーティング システムで、Windows展開サービス (WDS) の役割を実行しているサーバーが必要です。
  • BitLocker Network Unlock オプション機能は、サポートされている任意のサーバー オペレーティング システムにインストールできます。
  • WDS サーバーとは別の DHCP サーバーが必要です。
  • 適切に構成された公開/プライベート キーのペアリングが必要です。
  • ネットワーク ロック解除グループ ポリシーの設定を構成する必要があります。

ネットワーク ロック解除機能を使用するには、ネットワーク スタックを有効にする必要があります。 機器メーカーは、さまざまな状態で、さまざまな BIOS メニューを使用して製品を提供します。 そのため、コンピューターを起動する前に、ネットワーク スタックが BIOS で有効になっているか確認してください。

注意

UEFI 内で DHCP を適切にサポートするには、UEFI ベースのシステムがネイティブ モードで、互換性サポート モジュール (CSM) が有効になっていない必要があります。

コンピューター上で Windows 8以降を実行する場合は、コンピューター上の最初のネットワーク アダプター (通常はオンボード アダプター) を DHCP をサポートするように構成する必要があります。 このアダプターは、ネットワーク ロック解除に使用する必要があります。

この構成は、特に複数のアダプターを使用し、ライトアウト管理プロトコルなど、DHCP を使用せずに構成する場合に使用します。 ネットワーク ロック解除は、何らかの理由で失敗した DHCP ポートを持つアダプターに達すると、アダプターの列挙を停止するために必要です。 したがって、最初の列挙アダプターが DHCP をサポートしない場合、ネットワークに接続されていない場合、または何らかの理由で DHCP ポートの可用性を報告できない場合、ネットワークロック解除は失敗します。

サポートされているバージョンのネットワーク Windows Server 2012以降では、ネットワーク ロック解除サーバー コンポーネントは、この機能Windowsします。 サーバー マネージャーまたはサーバー 管理者のWindows PowerShell使用します。 サーバー マネージャーでは、機能名は BitLocker ネットワーク ロック解除です。 このWindows PowerShell機能名は BitLocker-NetworkUnlock です。 この機能は、コア要件です。

ネットワーク ロック解除には、機能が使用される環境で WDS が必要です。 WDS インストールの構成は必要ありません。 ただし、WDS サービスはサーバー上で実行されている必要があります。

ネットワーク キーは、AES 256 セッション キーと共にシステム ドライブに保存されます。 ロック解除サーバーの証明書の 2048 ビット RSA 公開キーで暗号化されます。 ネットワーク キーは、WDS を実行しているサポートされているバージョンの Windows プロバイダーの助けを借りて復号化されます。 ネットワーク キーは、対応するセッション キーで暗号化されて返されます。

ネットワークロック解除シーケンス

ロック解除シーケンスはクライアント側で開始され、Windowsがネットワーク ロック解除プロテクタの存在を検出します。 UEFI の DHCP ドライバーを使用して IPv4 の IP アドレスを取得します。 次に、ネットワーク キーと応答のセッション キーを含むベンダー固有の DHCP 要求をブロードキャストします。すべて、前述のように、サーバーの Network Unlock 証明書によって暗号化されます。 サポートされている WDS サーバー上のネットワーク ロック解除プロバイダーは、ベンダー固有の要求を認識し、RSA 秘密キーで暗号化解除し、独自のベンダー固有の DHCP 応答を介してセッション キーで暗号化されたネットワーク キーを返します。

サーバー側では、WDS サーバーの役割には、PXE (プレブート実行環境) プロバイダーのようなオプションのプラグイン コンポーネントがあります。 プラグイン コンポーネントは、受信ネットワーク ロック解除要求を処理します。 プロバイダーは、サブネット制限を使用して構成できます。 これらの制限では、ネットワーク キーをクライアントに解放するために、ネットワーク ロック解除要求でクライアントによって提供される IP アドレスが許可されたサブネットに属している必要があります。 ネットワーク ロック解除プロバイダーが使用できない場合、BitLocker は次に使用可能なプロテクタに失敗してドライブのロックを解除します。 そのため、一般的な構成では、ドライブのロックを解除するための標準的な TPM+PIN ロック解除画面が表示されます。

ネットワーク ロック解除を有効にするサーバー側の構成では、X.509 証明書の形式で 2048 ビットの RSA 公開/秘密キーペアをプロビジョニングする必要があります。 また、この構成では、公開キー証明書をクライアントに配布する必要があります。

グループ ポリシー エディターを使用して、少なくとも 1 つのドメイン機能レベルを持つドメイン コントローラーで直接この証明書を管理Windows Server 2012。 この証明書は、中間ネットワーク キーを暗号化する公開キーです。 中間ネットワーク キーは、ドライブのロックを解除するために必要な 2 つのシークレットの 1 つです。もう一方のシークレットは TPM に格納されます。

BitLocker ネットワークロック解除シーケンスを示す図。

ネットワークロック解除プロセスは、次のフェーズに従います。

  1. このWindowsマネージャーは、BitLocker 構成でネットワーク ロック解除プロテクタを検出します。
  2. クライアント コンピューターは、UEFI の DHCP ドライバーを使用して、有効な IPv4 IP アドレスを取得します。
  3. クライアント コンピューターは、次の情報を含むベンダー固有の DHCP 要求をブロードキャストします。
    • WDS サーバーからのネットワーク ロック解除証明書の 2048 ビット RSA 公開キーによって暗号化されるネットワーク キー (256 ビットの中間キー)。
    • 応答の AES-256 セッション キー。
  4. WDS サーバー上のネットワーク ロック解除プロバイダーは、ベンダー固有の要求を認識します。
  5. プロバイダーは、WDS サーバーの BitLocker ネットワーク ロック解除証明書 RSA 秘密キーを使用して要求を復号化します。
  6. WDS プロバイダーは、独自のベンダー固有の DHCP 応答を使用して、セッション キーで暗号化されたネットワーク キーをクライアント コンピューターに返します。 このキーは中間キーです。
  7. 返される中間キーは、別のローカル 256 ビット中間キーと組み合わされます。 このキーは、TPM によってのみ復号化できます。
  8. この結合キーは、ボリュームのロックを解除する AES-256 キーを作成するために使用されます。
  9. Windowsシーケンスを続行します。

ネットワーク ロック解除の構成

次の手順では、管理者は、機能レベルが少なくとも 1 つ以上のドメインでネットワーク ロック解除を構成Windows Server 2012。

WDS サーバーの役割をインストールする

BitLocker ネットワークロック解除機能は、まだインストールされていない場合に WDS の役割をインストールします。 BitLocker ネットワーク ロック解除をインストールする前に個別にインストールする場合は、サーバー マネージャーまたはサーバー マネージャーを使用Windows PowerShell。 サーバー マネージャーに役割をインストールするには、[展開サービス] Windowsを選択します。

サーバーを使用して役割をインストールするにはWindows PowerShellコマンドを使用します。

Install-WindowsFeature WDS-Deployment

DHCP (および必要に応じて Active Directory ドメイン サービス) およびクライアント コンピューターと通信できるよう、WDS サーバーを構成します。 WDS 管理ツールを使用します wdsmgmt.msc 。 このツールは、展開サービスWindowsウィザードを起動します。

WDS サービスが実行されているのを確認する

WDS サービスが実行されているのを確認するには、サービス管理コンソールまたはサービス 管理コンソールを使用Windows PowerShell。 サービスがサービス管理コンソールで実行されているのを確認するには、を使用してコンソールを開きます services.msc 。 次に、WDS サービスの状態を確認します。

次のコマンドを使用してサービスWindows PowerShell確認するには、次のコマンドを使用します。

Get-Service WDSServer

ネットワークロック解除機能のインストール

ネットワーク ロック解除機能をインストールするには、サーバー マネージャーまたはサーバー マネージャーを使用Windows PowerShell。 この機能をサーバー マネージャー コンソールにインストールするには 、[BitLocker ネットワークロック解除] を選択します

この機能をインストールするには、次Windows PowerShellコマンドを使用します。

Install-WindowsFeature BitLocker-NetworkUnlock

ネットワーク ロック解除の証明書テンプレートを作成する

正しく構成された Active Directory Services 証明機関は、証明書テンプレートを使用してネットワーク ロック解除証明書を作成および発行できます。 証明書テンプレートを作成するには、次の方法を実行します。

  1. 証明書テンプレート スナップイン ( ) を開きます certtmpl.msc

  2. ユーザー テンプレートを探します。 テンプレート名を右クリックし、[テンプレートの複製] を選択します

  3. [互換性 ] タブで、[証明機関****] フィールド**** と [証明書の受信者] フィールドをそれぞれ [Windows Server 2012] **** Windows 8変更します。 [結果 の変更を表示する] が 選択されている必要があります。

  4. テンプレートの [全般] タブを選択します。 テンプレートの表示名と****テンプレート名は、テンプレートがネットワーク ロック解除に使用されるのを明確に識別する必要があります。 [Active Directory で証明書を 発行する] のチェック ボックスをオフにします

  5. [要求の 処理] タブを 選択します。[目的 ] ドロップダウン メニュー で、[暗号化] を 選択します。 [プライベート キーのエクスポートを許可する] オプション が選択されている必要があります。

  6. [ 暗号化] タブを選択 します。[最小キー サイズ] を 2048 に設定します。 (このテンプレートでは、RSA をサポートする Microsoft 暗号化プロバイダーを使用できます。 ただし、簡単かつ前方互換性を保つには、Microsoft Software Key キーを使用Storageプロバイダーを使用することをお勧めします。)

  7. [要求 ] を選択するには、次のいずれかのプロバイダーを使用する必要があります。 次に、選択した暗号化プロバイダーを除くすべてのオプション (Microsoft Software Key やプロバイダーなど)をStorageします

  8. [サブジェクト名 ] タブを選択 します。要求 で [供給] を選択します。 [証明書テンプレート] ダイアログ ボックスが表示される場合は 、[OK] を選択します

  9. [発行要件] タブを選択します。次に 、CA 証明書マネージャーの承認と有効な****既存の証明書の両方を選択します

  10. [拡張機能 ] タブを選択します。次に、[アプリケーション ポリシーの編集] > を選択します

  11. [アプリケーション ポリシー拡張機能の編集] ダイアログ**** ボックスで、[**** クライアント認証]、[ファイル システムの暗号化]、および [Secure Email] を選択します。 次に、[削除] を選択します

  12. [アプリケーション ポリシー 拡張機能の編集] ダイアログ ボックスで 、[追加] を 選択します

  13. [アプリケーション ポリシー の追加] ダイアログ ボックス で、[新規] を 選択します。 [新しい アプリケーション ポリシー] ダイアログ ボックスで、指定された領域に次の情報を入力し 、[OK] を選択して BitLocker ネットワーク ロック解除アプリケーション ポリシーを作成します。

    • 名前: BitLocker ネットワークロック解除
    • オブジェクト識別子: 1.3.6.1.4.1.311.67.1.1
  14. 新しく作成した BitLocker ネットワーク ロック解除アプリケーション ポリシーを選択し 、[OK] を選択します

  15. [拡張機能 ] タブがまだ開いている場合**** は、[キー使用法拡張機能の編集] を選択し、[キー暗号化 (キー暗号化) でのみキー交換を許可する ] を選択します。 次に、[ この拡張機能を重要にする] を選択します

  16. [セキュリティ] タブを選択 します。[ドメイン管理者] グループに [ 登録] アクセス許可が付与 されたと確認 します。

  17. [OK] を選択して、テンプレートの構成を完了します。

Network Unlock テンプレートを証明機関に追加するには、証明機関スナップイン ( ) を開きます certsrv.msc 。 [証明書テンプレート] を右クリックし、[発行する 新しい証明書テンプレート] を選択します。 以前に作成した BitLocker ネットワークロック解除証明書を選択します。

Network Unlock テンプレートを証明機関に追加した後、この証明書を使用して BitLocker ネットワーク ロック解除を構成できます。

ネットワークロック解除証明書を作成する

ネットワーク ロック解除では、既存の公開キーインフラストラクチャ (PKI) からインポートされた証明書を使用できます。 または、自己署名証明書を使用できます。

既存の証明機関から証明書を登録するには、次の方法を実行します。

  1. WDS サーバーで、を使用して証明書マネージャーを開きます certmgr.msc

  2. [証明書 - 現在のユーザー] で、[個人用] を右 クリックします

  3. [すべてのタスク要求 > 新しい証明書] を選択します

  4. 証明書登録ウィザードが開いたら、[次へ] を 選択します

  5. [Active Directory 登録ポリシー] を選択します

  6. ドメイン コントローラーのネットワーク ロック解除用に作成された証明書テンプレートを選択します。 次に、[登録] を選択します

  7. 詳細を求めるメッセージが表示されたら、[サブジェクト名] を選択し 、表示名の値を指定します。 ユーザー設定の名前には、証明書のドメインまたは組織単位の情報を含める必要があります。 たとえば、Contoso ドメインの BitLocker ネットワークロック解除証明書を示します

  8. 証明書を作成します。 証明書が [個人用] フォルダーに表示 されます

  9. ネットワーク ロック解除の公開キー証明書をエクスポートします。

    1. 以前に作成した証明書を右クリックし、[すべてのタスクのエクスポート] を選択して .cer ファイルを > 作成します
    2. [いいえ] を選択し、プライベート キーをエクスポートしない。
    3. [DER エンコードされたバイナリ X.509] を選択し、証明書のファイルへのエクスポートを終了します。
    4. ファイルに BitLocker-NetworkUnlock.cer などの名前を付け、 を指定します
  10. [ネットワーク ロック解除] のプライベート キーを使用して公開キーをエクスポートします。

    1. 以前に 作成した証明書を 右クリックして、.pfx ファイルを作成します。 次に、[すべてのタスクのエクスポート] > を選択します
    2. [はい、秘密キーをエクスポートします] を選択します。
    3. 手順を実行して .pfx ファイルを作成 します。

自己署名証明書を作成するには、コマンドレットを使用して証明書を作成するか New-SelfSignedCertificate Windows PowerShell使用します certreq

次に、次の例Windows PowerShell示します。

New-SelfSignedCertificate -CertStoreLocation Cert:\LocalMachine\My -Subject "CN=BitLocker Network Unlock certificate" -Provider "Microsoft Software Key Storage Provider" -KeyUsage KeyEncipherment -KeyUsageProperty Decrypt,Sign -KeyLength 2048 -HashAlgorithm sha512 -TextExtension @("1.3.6.1.4.1.311.21.10={text}OID=1.3.6.1.4.1.311.67.1.1","2.5.29.37={text}1.3.6.1.4.1.311.67.1.1")

例を次に示 certreq します。

  1. 拡張子 が .inf のテキスト ファイルを作成します。 たとえば***、BitLocker-NetworkUnlock.infnotepad.exeBitLocker-NetworkUnlock.inf を使用します*。

  2. 前に作成したファイルに次の内容を追加します。

    [NewRequest]
    Subject="CN=BitLocker Network Unlock certificate"
    ProviderType=0
    MachineKeySet=True
    Exportable=true
    RequestType=Cert
    KeyUsage="CERT_KEY_ENCIPHERMENT_KEY_USAGE"
    KeyUsageProperty="NCRYPT_ALLOW_DECRYPT_FLAG | NCRYPT_ALLOW_SIGNING_FLAG"
    KeyLength=2048
    SMIME=FALSE
    HashAlgorithm=sha512
    [Extensions]
    1.3.6.1.4.1.311.21.10 = "{text}"
    _continue_ = "OID=1.3.6.1.4.1.311.67.1.1"
    2.5.29.37 = "{text}"
    _continue_ = "1.3.6.1.4.1.311.67.1.1"
    
  3. 管理者特権のコマンド プロンプトを開き、ツール certreq を使用して新しい証明書を作成します。 次のコマンドを使用して、前に作成したファイルへの完全なパスを指定します。 ファイル名も指定します。

    certreq -new BitLocker-NetworkUnlock.inf BitLocker-NetworkUnlock.cer
    
  4. .cer ファイルが存在することを確認して、前のコマンドで証明書 が適切に作成されていることを 確認します。

  5. 証明書 を起動する - ローカル コンピューターを実行 して certlm.msc 実行します。

  6. ナビゲーション ウィンドウで [証明書 - ローカル コンピューター \個人\証明書] パスを開いて、.pfx ファイルを作成します。 ** 以前にインポートした証明書を右クリックし、[すべてのタスクのエクスポート ] を > 選択します。 手順に従って .pfx ファイルを作成 します。

プライベート キーと証明書を WDS サーバーに展開する

証明書とキーを作成したら、インフラストラクチャに展開してシステムのロックを適切に解除します。 証明書を展開するには、次の方法を実行します。

  1. WDS サーバーで、新しい Microsoft 管理コンソール (MMC) を開き、証明書スナップインを追加します。 メッセージが表示されたら、コンピューター アカウントとローカル コンピューターを選択します。
  2. [証明書 (ローカル コンピューター) - BitLocker ドライブ暗号化ネットワークロック解除] を右クリックし、[すべてのタスクのインポート] > 選択します
  3. [インポート するファイル] ダイアログ ボックスで、前に作成 した .pfx ファイルを選択します。
  4. .pfx ファイルの作成に使用した パスワードを入力 し、手順を完了します。

ネットワーク ロック解除のグループ ポリシー設定を構成する

これで、ネットワークロック解除用の WDS サーバーに証明書とキーを展開しました。 最後の手順では、グループ ポリシー設定を使用して、ネットワーク ロック解除キーを使用してロックを解除できるコンピューターに公開キー証明書を展開します。 ローカル グループ ポリシー エディターまたは MMC を使用して 、\Computer Configuration\Administrative Templates\Windows Components\BitLocker Drive Encryption で BitLocker のグループ ポリシー設定を検索します。

ネットワーク ロック解除を構成するために必要なグループ ポリシー設定を有効にするには、次の手順を実行します。

  1. グループ ポリシー管理コンソール ( ) を開きます gpmc.msc
  2. [起動時に追加 の認証を必要とする] ポリシーを有効にし、[TPM を使用してスタートアップ PIN を要求する] または [TPM でスタートアップ PIN を許可する] を選択します
  3. ドメインに参加しているすべてのコンピューターで TPM+PIN プロテクタを使用して BitLocker を有効にします。

必要なグループ ポリシー設定を展開するには、次の方法を実行します。

注意

[グループ ポリシーの設定 ] [起動時にネットワークロック解除を許可する] と [ネットワークロック解除証明書の追加] Windows Server 2012。

  1. Network Unlock 用に作成した .cer ファイルをドメイン コントローラーにコピーします。

  2. ドメイン コントローラーで、グループ ポリシー管理コンソール ( ) を開きます gpmc.msc

  3. 新しいグループ ポリシー オブジェクトを作成するか、既存のオブジェクトを変更して、[起動時にネットワークロック解除を許可する] 設定を有効 にします。

  4. パブリック証明書をクライアントに展開します。

    1. グループ ポリシー管理コンソールで、[コンピューター構成*\Policyes\\Windows 設定\Security 設定\*パブリック キー ポリシー\BitLocker ドライブ暗号化ネットワーク ロック解除証明書] に移動します。
    2. フォルダーを右クリックし、[ネットワークロック解除証明書の 追加] を選択します
    3. 手順に従って、前にコピー した .cer ファイルをインポートします。

    注意

    一度に使用できるネットワークロック解除証明書は 1 つのみです。 新しい証明書が必要な場合は、新しい証明書を展開する前に現在の証明書を削除します。 ネットワーク ロック解除証明書は、クライアント コンピューターの HKEY_LOCAL_MACHINE\Software\\Policies\Microsoft\SystemCertificates\\FVE_NKP キーにあります。

  5. グループ ポリシーを展開した後、クライアントを再起動します。

    注意

    ネットワーク (証明書ベース) プロテクタは、ポリシーが有効で、有効な証明書がコンピューター ストアに存在する再起動後にのみFVE_NKPされます。

WDS サーバー上のサブネット ポリシー構成ファイル (オプション)

既定では、サーバーは、DHCP を介してネットワーク ロック解除が有効な WDS サーバーに有線アクセスできる、正しいネットワーク ロック解除証明書と有効なネットワーク ロック解除プロテクタを持つクライアントのロックを解除します。 WDS サーバーにサブネット ポリシー構成ファイルを作成して、ネットワーク ロック解除クライアントがロック解除に使用できるサブネットを制限できます。

bde-network-unlock.ini* と呼 *ばれる構成ファイルは、ネットワーク ロック解除プロバイダーの動的リンク ライブラリ *(%windir%\System32\Nkpprov.dll) *と同じディレクトリに存在する必要があります。 構成ファイルは、IPv6 と IPv4 の両方の DHCP 実装に適用されます。 サブネット構成ポリシーが破損した場合、プロバイダーは失敗し、要求への応答を停止します。

サブネット ポリシー構成ファイルでは、セクションを使用 [SUBNETS] して特定のサブネットを識別する必要があります。 その後、名前付きサブネットを使用して証明書のサブセクションで制限を指定できます。

サブネットは、一般的な INI 形式で単純な名前と値のペアとして定義されます。 この形式では、各サブネットには独自の行があります。 名前は、等号の左側に表示されます。 等号の右側のサブネットは、クラスレス ドメイン間ルーティング (CIDR) アドレスまたは範囲です。 サブネット名 ENABLED に対してキーワードは許可されません。

[SUBNETS]
SUBNET1=10.185.250.0/24 ; a comment about this subrange could be here, after the semicolon
SUBNET2=10.185.252.200/28 
SUBNET3= 2001:4898:a:2::/64 ; an IPv6 subnet
SUBNET4=2001:4898:a:3::/64; in production, the admin would likely give more useful names, like BUILDING9-EXCEPT-RECEP.

各ネットワーク [SUBNETS] ロック解除証明書のセクションを次に示します。 証明書は、スペースなしで書式設定された証明書の拇印によって識別されます。 これらのセクションでは、その証明書を使用してロックを解除できるサブネット クライアントを定義します。

注意

証明書の拇印を指定する場合は、スペースを含めることはできません。 スペースを含む拇印は有効と認識されません。 スペースを使用すると、サブネット構成が失敗します。

各証明書セクションでは、許可されているサブネットの許可リストを示し、サブネットの制限を定義します。 証明書セクションにサブネットが一覧表示されている場合は、その証明書に対してこれらのサブネットだけが許可されます。 証明書セクションにサブネットが一覧表示されない場合は、その証明書に対してすべてのサブネットが許可されます。 サブネット ポリシー構成ファイルに証明書にセクションがない場合、その証明書にサブネットロック解除の制限は適用されません。

したがって、すべての証明書に制限を適用するには、サーバー上のすべてのネットワーク ロック解除証明書に対して証明書セクションを追加する必要があります。 また、証明書セクションごとに明示的な許可リスト セットを追加する必要があります。

セクションのサブネット名を証明書セクション ヘッダーの下の独自の行に置いて、サブネット リスト [SUBNETS] を作成します。 次に、サーバーは、この証明書を持つクライアントを、リストで指定したサブネット上でのみロック解除します。

トラブルシューティングを行う場合は、セクションからサブネットを削除せずにサブネットをすばやく除外できます。 先頭にセミコロンを使用してコメントアウトします。

[2158a767e1c14e88e27a4c0aee111d2de2eafe60]
;Comments could be added here to indicate when the cert was issued, which Group Policy should get it, and so on.
;This list shows this cert is allowed to unlock clients only on the SUBNET1 and SUBNET3 subnets. In this example, SUBNET2 is commented out.
SUBNET1
;SUBNET2
SUBNET3

証明書の使用を完全に禁止するには、サブネット リストに DISABLED 行を追加します。

ネットワークロック解除をオフにする

ロック解除サーバーをオフにするには、WDS サーバーから PXE プロバイダーの登録を解除するか、完全にアンインストールします。 ただし、クライアントによるネットワーク ロック解除プロテクタの作成を停止するには、[スタートアップ 時にネットワークロック解除を許可する] グループ ポリシー 設定を無効 にする必要があります。 クライアント コンピューターでこのポリシー設定を無効にすると、コンピューター上のすべての Network Unlock キー プロテクタが削除されます。 または、ドメイン コントローラーの BitLocker Network Unlock 証明書ポリシーを削除して、ドメイン全体で同じタスクを実行できます。

注意

WDS サーバー FVE_NKPのネットワーク ロック解除証明書とキーを含む FVE_NKP 証明書ストアを削除すると、その証明書のロック解除要求に応答するサーバーの機能も効果的に無効になります。 ただし、この条件はエラーと見なされます。 ネットワーク ロック解除サーバーをオフにするためのサポートまたは推奨される方法ではありません。

ネットワーク ロック解除証明書の更新

Network Unlock が使用する証明書を更新するには、管理者がサーバーの新しい証明書をインポートまたは生成する必要があります。 次に、ドメイン コントローラーの [ネットワーク ロック解除証明書グループ ポリシー] 設定を更新する必要があります。

注意

グループ ポリシー オブジェクト (GPO) を受信しないサーバーでは、起動時に PIN が必要になります。 このような場合は、サーバーが証明書を更新する GPO を受信しなかった理由を確認します。

ネットワークロック解除のトラブルシューティング

ネットワーク ロック解除の問題をトラブルシューティングするには、まず環境を確認します。 多くの場合、小さな構成の問題が障害の根本原因です。 次の項目を確認します。

  • クライアント ハードウェアは UEFI に基づいており、ファームウェア バージョン 2.3.1 を使用し、UEFI ファームウェアはネイティブ モードであり、BIOS モードが有効な互換性サポート モジュール (CSM) はありません。 この構成を確認するには、ファームウェアにレガシ モードや**** 互換モードなどの**** 有効なオプションが設定され、ファームウェアが BIOS に似たモードになっていないか確認します。

  • 必要なすべての役割とサービスがインストールされ、開始されます。

  • パブリック証明書とプライベート証明書が発行され、適切な証明書コンテナーに格納されています。 WDS サーバー上の Microsoft 管理コンソール (MMC.exe) を使用して、ネットワーク ロック* 解除 *証明書の存在を確認します。 ローカル コンピューターの証明書スナップインを有効にする必要があります。 クライアント コンピューターのレジストリ キー HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SystemCertificates\\FVE_NKP を確認して、クライアント証明書を確認します。

  • ネットワーク ロック解除のグループ ポリシーが有効で、適切なドメインにリンクされています。

  • グループ ポリシーがクライアントに適切に到達しています。 この機能を確認するには、GPRESULT.exe**または RSOP.msc ユーティリティを使用します。

  • ポリシーが適用された後、クライアントが再起動されました。

  • ネットワーク (証明書ベース) プロテクタ がクライアントに一覧表示されます。 いずれかのコマンドレットまたはコマンドレットを使用して manage-bde 、このWindows PowerShell確認します。 たとえば、次のコマンドは、ローカル コンピューター上のドライブ C で現在構成されているキー プロテクターを一覧表示します。

    manage-bde -protectors -get C:
    

    注意

    WDS デバッグ ログの出力を使用して、ネットワーク ロック解除に適切な証明書拇印が manage-bde 使用されているかどうかを判断します。

BitLocker ネットワークロック解除のトラブルシューティングを行う場合は、次のファイルを収集します。

  • イベント Windowsログ。 具体的には、BitLocker イベント ログと Microsoft-Windows-Deployment-Services-Diagnostics-Debug ログを取得します。

    WDS サーバーの役割では既定でデバッグ ログがオフになっているので、取得する前に有効にする必要があります。 WDS デバッグ ログを有効にするには、次の 2 つの方法のいずれかを使用します。

    • 管理者特権のコマンド プロンプトを起動し、次のコマンドを実行します。

      wevtutil sl Microsoft-Windows-Deployment-Services-Diagnostics/Debug /e:true
      
    • WDS サーバーでイベント ビューアーを開きます。

    1. 左側のウィンドウで、[アプリケーションとサービスログ] > [Microsoft > **** > Windows-Services-Diagnostics > Debug] を選択します
    2. 右側のウィンドウで、[ログの有効化] を選択します
  • DHCP サブネット構成ファイル (存在する場合)。

  • ボリューム上の BitLocker 状態の出力。 を使用して、この出力をテキスト ファイルに収集します manage-bde -status 。 または、Windows PowerShellを使用します Get-BitLockerVolume

  • クライアント IP アドレスでフィルター処理された WDS 役割をホストするサーバー上のネットワーク モニター キャプチャ。

以前のバージョンのネットワーク ロック解除グループ ポリシーの設定を構成する

ネットワーク ロック解除とそれに付随するグループ ポリシー設定は、Windows Server 2012。 ただし、サーバー 2008 R2 およびサーバー 2008 Windows実行するオペレーティング システムをWindowsできます。

システムは、次の要件を満たしている必要があります。

  • WDS をホストするサーバーは、この記事の最初の "適用先" リストで指定されているサーバー オペレーティング システムを実行している必要があります。
  • クライアント コンピューターは、この記事の冒頭の "適用先" リストで指定されているクライアント オペレーティング システムを実行している必要があります。

これらの古いシステムでネットワーク ロック解除を構成するには、次の手順に従います。

  1. WDS サーバーの役割をインストールします。

  2. WDS サービスが実行されているのを確認します。

  3. ネットワークロック解除機能をインストールします。

  4. ネットワーク ロック解除証明書を作成します。

  5. プライベート キーと証明書を WDS サーバーに展開します。

  6. ネットワーク ロック解除のレジストリ設定を構成します。

    この記事の最初の 「適用先」リストで指定されているクライアント オペレーティング システムを実行する各コンピューターで、次のスクリプト (ネットワーク ロック解除証明書ファイルが certutil BitLocker-NetworkUnlock.cerと呼ばれる場合) を実行して、レジストリ設定を適用します。

            certutil -f -grouppolicy -addstore FVE_NKP BitLocker-NetworkUnlock.cer
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v OSManageNKP /t REG_DWORD /d 1 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseAdvancedStartup /t REG_DWORD /d 1 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UsePIN /t REG_DWORD /d 2 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMPIN /t REG_DWORD /d 2 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPM /t REG_DWORD /d 2 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKey /t REG_DWORD /d 2 /f
            reg add "HKLM\SOFTWARE\Policies\Microsoft\FVE" /v UseTPMKeyPIN /t REG_DWORD /d 2 /f
    
  7. クライアントに TPM プロテクタを設定します。

  8. クライアントを再起動して、ネットワーク (証明書ベース) プロテクタを追加 します。

関連項目