本文介绍的常见问题可能会阻止 BitLocker 在恢复驱动器时按预期运行，或者可能导致 BitLocker 意外启动恢复。 本文还提供了解决这些问题的指导。

注意

在本文中，“恢复密码”是指 48 位恢复密码，“恢复密钥”是指 32 位恢复密钥。 有关详细信息，请参阅 BitLocker 密钥保护程序。

Windows 提示输入 BitLocker 恢复密码。 但是，未配置 BitLocker 恢复密码。

BitLocker 和 Active Directory 域服务 (AD DS) 常见问题解答解决了可能产生此症状的情况，并提供了有关解决此问题的过程的信息：

如果在计算机加入域之前在计算机上启用了 BitLocker，该怎么办？

如果备份最初失败，会发生什么情况？ BitLocker 是否会重试备份？

请考虑以下情况：

必须恢复Windows 11或Windows 10笔记本电脑的硬盘。 磁盘已使用 BitLocker 驱动程序加密进行加密。 但是，BitLocker 恢复密码未备份，并且笔记本电脑的普通用户无法提供密码。

可以使用以下方法之一手动备份或同步联机客户端的现有恢复信息：

创建 Windows Management Instrumentation (WMI) 脚本来备份信息。 有关详细信息，请参阅 BitLocker 驱动器加密提供程序。

在提升的命令提示符窗口中，使用 manage-bde.exe 命令备份信息。

例如，若要将 C： 驱动器的所有恢复信息备份到 AD DS，请打开提升的命令提示符窗口并运行以下命令：

cmd manage-bde.exe -protectors -adbackup C：

注意

BitLocker 不会自动管理此备份过程。

请考虑以下情况：

需要通过运行以下命令在平板电脑或平板电脑设备上测试 BitLocker 恢复：

cmd manage-bde.exe -forcerecovery

但是，输入恢复密码后，设备无法启动。

重要

平板电脑设备不支持 manage-bde.exe -forcerecovery 命令。

出现此问题的原因是 Windows 启动管理器在启动前阶段无法处理触摸输入。 如果启动管理器检测到设备是平板电脑，它会将启动过程重定向到 Windows 恢复环境 (WinRE) ，后者可以处理触摸输入。

如果 WindowsRE 检测到硬盘上的 TPM 保护程序，它会执行 PCR 重新密封。 但是，该 manage-bde.exe -forcerecovery 命令会删除硬盘上的 TPM 保护程序。 因此，WinRE 无法重新封装 PCR。 此故障会触发无限的 BitLocker 恢复周期，并阻止 Windows 启动。

此行为是设计用于所有版本的 Windows。

若要解决重启循环问题，请执行以下步骤：

在“BitLocker 恢复”屏幕上，选择“ 跳过此驱动器”。

选择“高级选项疑难解答>”>命令提示符。

在“命令提示符”窗口中，运行以下命令：

关闭命令提示符窗口。

关闭设备。

启动设备。 Windows 应照常启动。

请考虑以下情况：

Surface 设备已打开 BitLocker 驱动器加密。 更新 Surface 的 TPM 的固件或安装更改系统固件签名的更新。 例如，安装了 Surface TPM (IFX) 更新。

在 Surface 设备上遇到以下一个或多个症状：

启动时，Surface 设备会提示输入 BitLocker 恢复密码。 输入了正确的恢复密码，但 Windows 无法启动。

启动直接进入 Surface 设备的统一可扩展固件接口 (UEFI) 设置。

Surface 设备似乎处于无限重启循环中。

如果将 Surface 设备 TPM 配置为使用平台配置寄存器 (PCR) 除默认值 PCR 7 和 PCR 11 以外的值，则会出现此问题。 例如，以下设置可以按这种方式配置 TPM：

支持连接待机 (也称为 InstantGO 或 Always On，始终连接的电脑) ，包括 Surface 设备，必须使用 TPM 的 PCR 7。 在此类系统上的默认配置中，如果正确配置了 PCR 7 和安全启动，则 BitLocker 会绑定到 PCR 7 和 PCR 11。 有关详细信息，请参阅 BitLocker 组策略设置：关于平台配置寄存器 (PCR) 。

若要验证设备上正在使用的 PCR 值，请打开提升的命令提示符窗口并运行以下命令：

在此命令中， 表示操作系统驱动器的驱动器号。

若要解决此问题并修复设备，请执行以下步骤：

如果已安装 TPM 或 UEFI 更新，并且 Surface 设备无法启动，即使输入了正确的 BitLocker 恢复密码，也可以使用 BitLocker 恢复密码和 Surface 恢复映像从启动驱动器中删除 TPM 保护程序来恢复启动功能。

若要使用 BitLocker 恢复密码和 Surface 恢复映像从启动驱动器中删除 TPM 保护程序，请执行以下步骤：

从 Surface 用户的 Microsoft.com 帐户获取 BitLocker 恢复密码。 如果 BitLocker 由其他方法（例如 Microsoft BitLocker 管理和监视 (MBAM) 、Configuration Manager BitLocker Management 或 Intune）管理，请与管理员联系以获取帮助。

使用另一台计算机从 Surface 恢复映像下载 下载 Surface 恢复映像。 使用下载的映像创建 USB 恢复驱动器。

将 USB Surface 恢复映像驱动器插入 Surface 设备，然后启动设备。

出现提示时，选择以下项：

操作系统语言。

键盘布局。

选择“高级选项疑难解答>”>命令提示符。

在“命令提示符”窗口中，运行以下命令：

其中：

注意

有关如何使用此命令的详细信息，请参阅 manage-bde unlock。

重启计算机。

出现提示时，输入在步骤 1 中获取的 BitLocker 恢复密码。

注意

禁用 TPM 保护程序后，BitLocker 驱动器加密将不再保护设备。 若要重新启用 BitLocker 驱动器加密，请选择“ 开始”，键入 “管理 BitLocker”，然后按 Enter。 按照步骤加密驱动器。

若要在 Windows 未启动的情况下从 Surface 设备恢复数据，请按照步骤 1 ：禁用启动驱动器上的 TPM 保护程序 部分的步骤 1 到步骤 5 转到命令提示符窗口。 打开命令提示符窗口后，请执行以下步骤：

在命令提示符下，运行下列命令：

在此命令中，是在步骤 1：禁用启动驱动器上的 TPM 保护程序部分的步骤 1 中获取的 BitLocker 恢复密码，DriveLetter>< 是分配给操作系统驱动器的驱动器号。

解锁驱动器后，使用 copy 或 xcopy.exe 命令将用户数据复制到另一个驱动器。

注意

有关这些命令的详细信息，请参阅 Windows 命令 一文。

若要使用 Surface 恢复映像重置设备，请按照 为 Surface 创建和使用 USB 恢复驱动器一文中的说明进行操作。

为了防止此问题再次出现，建议还原安全启动的默认配置和 PCR 值。

若要在 Surface 设备上启用安全启动，请执行以下步骤：

通过打开提升的 Windows PowerShell 窗口并运行以下 PowerShell cmdlet 来挂起 BitLocker：

在此命令中， 是分配给驱动器的字母。

重启设备，然后编辑 UEFI 设置，将 “安全启动 ”选项设置为“ 仅限 Microsoft”。

重启设备并登录到 Windows。

打开提升的 PowerShell 窗口并运行以下 PowerShell cmdlet：

若要重置 TPM 上的 PCR 设置，请执行以下步骤：

禁用配置 PCR 设置的任何组策略对象，或者从任何强制实施此类策略的组中删除设备。

有关详细信息，请参阅 BitLocker 组策略设置。

通过打开提升的 Windows PowerShell 窗口并运行以下 PowerShell cmdlet 来挂起 BitLocker：

在此命令中， 是分配给驱动器的字母。

运行以下 PowerShell cmdlet：

在安装系统固件或 TPM 固件更新时，可以通过在应用此类更新之前暂时挂起 BitLocker 来避免这种情况。

重要

TPM 和 UEFI 固件更新在安装时可能需要多次重启。 若要在此过程中使 BitLocker 保持挂起状态，必须使用 PowerShell cmdlet Suspend-BitLocker ，并且必须将 Reboot Count 参数设置为以下值之一：

2 或更高版本：此值设置在 BitLocker 设备加密恢复之前设备重启的次数。 例如，将值设置为 2 将导致 BitLocker 在设备重启两次后恢复。

0：此值无限期挂起 BitLocker 驱动器加密。 若要恢复 BitLocker，需要使用 PowerShell cmdlet Resume-BitLocker 或其他机制恢复 BitLocker 保护。

若要在安装 TPM 或 UEFI 固件更新时挂起 BitLocker，请执行以下操作：

打开提升的Windows PowerShell窗口并运行以下 PowerShell cmdlet：

在此 PowerShell cmdlet 中， 是分配给驱动器的字母。

安装 Surface 设备驱动程序和固件更新。

安装固件更新后，重新启动计算机，打开提升的 PowerShell 窗口，然后运行以下 PowerShell cmdlet：

请考虑以下情况：

设备使用 TPM 1.2 并运行Windows 10 版本 1809。 该设备还使用 基于虚拟化的安全功能 ，例如 Device Guard 和 Credential Guard。 每次启动设备时，设备都会进入 BitLocker 恢复模式，并显示类似于以下错误消息的错误消息：

恢复

你的电脑/设备需要修复。 无法访问所需的文件，因为 BitLocker 密钥未正确加载。

错误代码0xc0210000

需要使用恢复工具。 如果你没有任何安装媒体 (，如光盘或 USB 设备) ，请联系你的电脑管理员或电脑/设备制造商。

TPM 1.2 不支持安全启动。 有关详细信息，请参阅System Guard安全启动和 SMM 保护：已启用 System Guard 的计算机满足的要求

有关此技术的详细信息，请参阅Windows Defender System Guard：基于硬件的信任根如何帮助保护 Windows

若要解决此问题，请使用以下两种解决方案之一：