问题[tpm](server)

在使用 vTPM 设置 Windows 服务器后（请参阅https://cloud.google.com/blog/products/gcp/security-in-plaintext-use-shielded-vms-to-harden-your-gcp-workloads）当尝试使用如下命令初始化 TPM 虚拟智能卡时，Google Cloud VM 并通过远程桌面服务 (RDS) 访问它：

Tpmvscmgr.exe create /name "TestVirtualSC" /pin prompt /adminkey default /generate

产生以下错误：

Creating TPM Smart Card...
TPM Virtual Smart Card management cannot be used within a Terminal Services session.
    (0x800704d3) The request was aborted.

那么，有没有办法通过远程 RDS 会话初始化 TPM 虚拟智能卡？或者，有没有其他方法可以在运行 Windows Server 的 Google Cloud VM 中对其进行初始化？

首先，我想明确的是，这是在“Hyper-V Server 2019”（免费无头虚拟机管理程序）上，而不是在安装了 Hyper-V 角色的“Windows Server 2019”上。

一段时间以来，我一直在用头撞墙，并尝试了几乎所有可以使用的教程选项。解释我尝试过的每一个选项都太过分了。简短的版本是，无论我做什么以某种方式启用 BitLocker，我最终都会遇到一个错误，即无法找到此处简要显示的文件...

PS C:\Windows\System32\> Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -RecoveryKeyPath "E:\" -RecoveryKeyProtector
Add-TpmProtectorInternal : The system cannot find the file specified. (Exception from HRESULT: 0x80070002)
At C:\Windows\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psm1:2095 char:31

如果使用密码、恢复密钥、TPM ......我会收到相同的错误消息......没有区别。当我使用 Manage-BDE.exe 尝试启用 BitLocker 时，我得到了类似的错误，但不是详细的错误。

我已经重新格式化了几次。我在加入域之前和之后都尝试过。之前/之后的功能附加组件。我曾多次尝试清除 TPM。我试过在 BIOS 中启用/禁用安全启动。我已启用/禁用/销毁/重建 Windows 恢复分区以及 ReAgent.xml 文件。

我基本上没有选择，正在寻找任何可以寻求帮助的东西。我最终想要它做的是仅从 TPM 启动，并可以选择恢复密码和恢复密钥。

基本系统概述：

• 超微 X10SRW-F
• E5-2690 v3
• BIOS 中镜像 (RAID 1) 中的 2 个 248GB Enterprise Samsung SSD（通过 Intel VROC）
• TPM 2.0
• 仅 UEFI 引导（非双引导或传统引导）
• Hyper-V 服务器 2019
• 角色：Hyper-V 角色
• 特征：
  • .NET 4.7
  • 位锁
  • 适用于 BitLocker 和 Hyper-V 的 RSAT
  • 其他一切的标准（没有库存以上）
• 附加组件：按需安装应用程序功能以获取 Explorer、Powershell_ISE 和其他一些工具。

非常感谢您的帮助。

BitLockerVolume -MountPoint C).KeyProtector 我看到多个 RecoveryPassword 密钥保护器，我如何知道哪个处于活动状态？

如果我将硬盘插入另一台机器，它会要求我提供其中一个键，但我怎么知道它会要求哪个键 ID？

编辑：所以这是我关心的问题，我知道可以激活多个键，但是当 Windows 提示时，它要求输入一个特定的键 ID：

那么我怎么知道它会要求哪个键 ID，我可以给它这个屏幕上的任何活动键吗？它要求一个特定的，如果我给它一个不同的它会很酷吗？

我们部署了多台 Surface Pro 3 设备，并在 TPM + PIN 模式下启用了 BitLocker。这些设备具有 TPM 2.0 芯片并运行 Windows 8.1 Pro。

我们遇到的问题是，用户在输入正确的 PIN 码时偶尔会收到“错误的 PIN 码尝试次数过多”错误。然后，他们必须输入恢复密钥才能继续启动过程。然后，他们每次启动设备时都需要输入恢复密钥，直到我们使用 tpm.msc 手动重置 TPM 锁定，这显然不方便。

出于某种原因，TPM 正在进入锁定状态，但这似乎不是因为重复错误的 PIN 尝试。如果您让设备运行，锁定最终不会超时这一事实也表明它是出于其他原因，而不是达到最大错误身份验证尝试次数。我了解 TPM 2.0 规范声明应该是这种情况，与将确切行为留给供应商的 TPM 1.2 规范不同。

运行Get-Tpm表明 TPM 肯定处于锁定状态，但不提供有关原因的任何信息。

有谁知道我是否可以做任何事情来尝试确定锁定的根本原因？

如何查看是否已设置 TPM 所有者？所有看到的都是如何清除 TPM、重置所有者密码、更改所有者的示例。我只是想看看所有者是否已设置以及可能设置为谁。在 tpm.msc 中查看是否有所有者集对我来说并不明显。

这可能吗？我如何知道是否在 Windows 中的 tpm 上设置了所有者？