Ak si po úspešnom nasadení systému Windows 10 všimnete, že modul Trusted Platform Module (TPM) je v režime s obmedzenou funkčnosťou, tento príspevok vám má pomôcť. V tomto príspevku identifikujeme niektoré potenciálne známe príčiny tohto správania a potom poskytneme riešenie tohto problému, ako aj opatrenia, ktoré môžete prijať, aby ste zabránili výskytu problému počas nasadenia systému Windows 10 .

S týmto problémom sa môžete stretnúť na základe nasledujúceho scenára.

Na nasadenie Windowsu 10 používate Microsoft Deployment Toolkit (môže to byť akákoľvek verzia MDT , ktorá podporuje Windows 10 ) na nasadenie Windowsu 10^{(Windows 10)} pomocou kroku „ Povoliť BitLocker (offline)^{(Enable BitLocker (offline))} “ (skript ZTIBDE.wsf)^{((ZTIBDE.wsf script))} na predbežné poskytnutie nástroja BitLocker počas Windows PE v „ Preinstall ” skupina a nasadenie je úspešné.

V tomto scenári si však všimnete, že modul Trusted Platform Module^{(Trusted Platform Module)} ( TPM ) je v režime s obmedzenou funkčnosťou. V tejto situácii konzola správy TPM^{(TPM Management)} ( TPM.msc ) hlási nasledujúci problém:

Modul TPM je pripravený na použitie s obmedzenou funkčnosťou. Informačné príznaky: 0x900 Autorizácia
vlastníka TPM nie je správne uložená v registri.
Informácie databázy Registry systému Windows o koreňovom kľúči úložiska^{(Storage Root Key)} modulu TPM sa nezhodujú s koreňovým kľúčom úložiska modulu TPM^{(TPM Storage Root Key)} alebo chýbajú.

Modul TPM je pripravený na použitie s obmedzenou funkčnosťou

Ak čelíte problému so zníženou funkčnosťou TPM^{(TPM reduced functionality )} , môžete tento problém obísť pre nové nasadenia, kým nebude k dispozícii nová verzia MDT – pridajte príkaz nižšie do skriptu ZTIBDE.wsf na začiatku časti „ Hlavná funkcia^{(Function Main)} “ :

reg add hklm\system\currentcontrolset\services\tpm\wmi -v UseNullDerivedOwnerAuth -t REG_DWORD -d 0x01 -f

Stojí za zmienku, že zariadenia, v ktorých je modul TPM^(TPM) už v režime so zníženou funkčnosťou, je potrebné^{(TPM must be cleared)} pred odstránením tohto problému vymazať.

Ak chcete zabrániť výskytu tohto problému, nebudete musieť predbežne poskytovať nástroj BitLocker , ale počkať, kým povolíte celý systém. Uvedomte si, že pri použití tejto metódy bude nasadenie trvať dlhšie.

Podľa spoločnosti Microsoft sa problém so zníženou funkčnosťou modulu TPM^{(TPM reduced functionality )} vyskytuje, pretože funkcia TpmValidate v skripte ^{(TpmValidate)}ZTIBDE.wsf zbytočne^(ZTIBDE.wsf) preberá vlastníctvo modulu TPM^(TPM) z prostredia Windows PE . Systém Windows by mal byť schopný správne prevziať vlastníctvo modulu TPM^(TPM) pred aplikáciou Out-of-Box Experience (OOBE)^{(Out-of-Box Experience (OOBE))} , aby ho mohol poskytnúť pomocou správnych parametrov.

Keď dôjde k tejto zmene vlastníctva TPM z Windows PE , TPM dostane parametre, ktorým Windows nerozumie. Preto sú kľúčové hierarchie v TPM deaktivované a natrvalo nedostupné pre Windows .

The TPM is ready for use, with reduced functionality

If after а succеssful deploymеnt of Windows 10 and you noticе that thе Trusted Platform Module (TРM) is in reduced functionality mode, then this post is intended to help you. In thiѕ pоst, we will identify some potential known causes for this behavior and then рrovide the workaround for this iѕsue as well as the measurе you can take to рrevent the issue from occurring during the dеployment of Windows 10.

You might encounter this issue based on the following scenario.

You use Microsoft Deployment Toolkit (This can be any version of MDT that supports Windows 10) to deploy Windows 10 by using the “Enable BitLocker (offline)” step (ZTIBDE.wsf script) to pre-provision BitLocker during Windows PE in the “Preinstall” group and the deployment is successful.

However, in this scenario, you notice that the Trusted Platform Module (TPM) is in reduced functionality mode. In this situation, the TPM Management console (TPM.msc) reports the following issue:

The TPM is ready for use, with reduced functionality. Information Flags: 0x900
The TPM owner authorization is not properly stored in the registry.
Windows’s registry information about the TPM’s Storage Root Key does not match the TPM Storage Root Key or is missing.

The TPM is ready for use, with reduced functionality

If you’re faced with the TPM reduced functionality issue, you can work around this issue for new deployments until a new version of MDT is available – add the command below to the ZTIBDE.wsf script at the start of the “Function Main” section:

reg add hklm\system\currentcontrolset\services\tpm\wmi -v UseNullDerivedOwnerAuth -t REG_DWORD -d 0x01 -f

It is worth noting that devices in which the TPM is already in reduced functionality mode, the TPM must be cleared before you can mitigate this issue.

To prevent this issue from occurring, you’ll need to not pre-provision BitLocker, instead wait to enable the full system. Be aware that the deployment will take longer to complete by using this method.

According to Microsoft, the TPM reduced functionality issue occurs because the TpmValidate function in the ZTIBDE.wsf script takes ownership of the TPM from Windows PE unnecessarily. Windows should be able to correctly take ownership of the TPM before Out-of-Box Experience (OOBE) to provision it by using the correct parameters.

When this change in ownership of the TPM from Windows PE occurs, the TPM is given parameters that Windows does not understand. Therefore, the key hierarchies in the TPM are disabled and made permanently unavailable to Windows.

Melánia Černá

About the author

Som softvérový inžinier so skúsenosťami s programami Xbox Explorer, Microsoft Excel a Windows 8.1 Explorer. Vo voľnom čase rád hrám videohry a pozerám televíziu. Mám titul z University of Utah a momentálne pracujem ako softvérový inžinier pre medzinárodnú spoločnosť.

Modul TPM je pripravený na použitie s obmedzenou funkčnosťou

Modul TPM je pripravený na použitie s obmedzenou funkčnosťou

The TPM is ready for use, with reduced functionality