TPM должен был быть reintialized: новый пароль восстановления должен быть загружен на AD?
DFS не сохраняет накопившиеся файлы самостоятельно; если это - Ваш случай, то это означает, что что-то препятствует тому, чтобы он копировал правильно. Можно, конечно, проверить Event Viewer на связанные с DFS ошибки, но я соглашаюсь с Вами, что пропускная способность могла очень хорошо быть проблемой здесь.
Когда BitLocker шифрует диск, он сохраняет главный ключ шифрования на самом диске, но не в виде обычного текста. Мастер-пароль хранится в зашифрованном виде с помощью «Защитников». Каждый из них хранит отдельную копию главного ключа, так как только предохранитель, который его зашифровал, может расшифровать эту копию главного ключа.
Когда у вас есть Windows для шифрования тома через графический интерфейс, он обычно создает два предохранителя: пароль восстановления ( RP) и ключ TPM. Как отмечалось выше, они хранятся полностью отдельно. Если у вас настроен GPO каждый раз, когда создается RP, он сохраняется в AD. Это полностью автоматический процесс, и если у вас настроен объект групповой политики, RP не может быть сохранен на диск без загрузки в AD (т. Е. Создание автономной RP невозможно, поскольку AD не будет доступен).
Я настоятельно рекомендую отказавшись от графического интерфейса. Он слишком приукрашивает функцию BitLocker для системного администратора, и фактическая работа BitLocker действительно не так уж и сложна. Утилита CLI manage-bde входит в каждую версию Windows, поддерживающую BitLocker. Это довольно просто, хотя синтаксис немного многословен.
Чтобы увидеть, что сейчас делает диск портативного компьютера, просто запустите manage-bde -status C: . Что касается проблем с TPM, после разблокировки ПК и загрузки Windows я всегда запускаю manage-bde -protectors -get C: , копирую идентификатор для предохранителя TPM (включая скобки), затем запускаю manage- bde -protectors -delete C: -id {the_id_you_copied} и, наконец, manage-bde -protectors -add C: -tpm . Это на 30 секунд больше работы, но вы точно знаете, что он делает,
Я знаю, что это старый, пришел сюда в поисках чего-то еще, но по моему опыту автоматическая загрузка в AD после такого изменения не всегда бывает успешной. Меня несколько раз кусали на работе из-за этого. После второго получения битов я решил создать сценарий для процесса загрузки, чтобы убедиться, что это происходит, а не в зависимости от предполагаемого процесса автоматической загрузки. Вот что я написал (BitLocker_UploadToAD.cmd):
@Echo Off
cls
SETLOCAL
for /F "tokens=*" %%a in ('c:\windows\system32\manage-bde -protectors -get c: -type recoverypassword ^| findstr "ID: " ') DO SET ID=%%a
ECHO ID FOR DRIVE C IS: %ID%
ECHO.
ECHO REMOVING COLON AND ADDING HYPHEN TO BEGINNING...
ECHO.
set ID=-%ID::=%
ECHO NEW VALUE:
ECHO %ID%
ECHO.
ECHO BACKING UP TO AD...
c:\windows\system32\manage-bde -protectors -adbackup c: %ID%
ECHO.
ECHO DONE (PLEASE CHECK AD TO VERIFY IT WORKED)
PAUSE