启动Bitlocker服务提示不支持输入Bitlocker恢复密码
surface book3 出厂镜像恢复(整个硬盘全部被清空)后,启动Bitlocker服务时,提示不支持输入Bitlocker恢复密码这一周都在重装系统和软件,安了20年+系统,过手几万台设备的老司机了,表示糟心得很,每天12小时1周了,SSD快被我写报废了吧,一天写几百GB数据,都在安装系统和测试软件,装系统办法有很多,但是按照微软和组织要求的安全来装,会把人折腾到吐。你们很多人的恢复分区没有吧,默认WINRE在C盘吧,甚至都被你删除了。原本是想着软件都挺大型,启动Bitlocker有一定性能损失,等软件全都装好了再来启动加密。哦豁
帖子发出来的目的,期盼景友也许会有点别的建议。实在搞不定,我只能睡醒了,继续恢复出厂,继续手工调整分区,继续装软件,一遍又一遍折腾,恶~心吐
目标就是:必须使用厂商系统镜像,必须保证恢复分区能用,必须有Bitlocker加密,开机登录使用组织账号。
最后这次我没有留恢复分区,错就错在这里,没有恢复分区的情况下,Winre默认放在C盘的。我有个不成熟的想法,软件不都全搞定了么?把C盘备份成镜像,然后重新恢复出厂,恢复出厂分区会被自动调整,Bitlocker加密和恢复分区功能都是正常的。然后看用什么手段移花接木,把备份的Windows恢复回去,BCD引导启动应该没啥问题,就剩WINRE怎么搬移到恢复分区,微软的文章很长,要自己重做WINRE,又是安装盘,又是WINRE融合,几个阶段挺复杂没那个能力整。最主要的是,微软家的Surface硬件,不用出厂Winre,键盘触摸触控都没有。微软的驱动,需要先装基础件,然后是桥接件,这两个装妥了,设备管理器才会出键盘USB这些硬件,不是直接驱动,PE没多大用。
最后的最后,Bitlocker加密真的很好,恨的人也非常多。我们帖子里面不讨论这个,好吗?
那你的 bitlocker 加密开启成功了么? 本帖最后由 lrjycyz 于 2025-3-28 13:19 编辑
rubycon 发表于 2025-3-28 06:04
那你的 bitlocker 加密开启成功了么?
没有成功,解包封包的痛苦,随便一动上百G数据,一早上又过去了{:5_263:}
部署 Windows 8.1 映像后无法生成 WinRE - Windows Client | Microsoft Learn
通常来说,厂商恢复盘里面,WINRE是预先制作好的。我的情况是,解包厂商恢复盘,里面找不到WINRE,,install里面也找不到,看来WINRE是恢复系统时生成的。
现只好备份数据,准备厂商恢复盘恢复,提却备份环境再来移花接木,我的情况还要复杂些,我多系统共存更复杂。
有个简便的方法,就是弄个虚拟机,用厂商恢复U盘引导,装一次后提取。可问题又来了,虚拟机U盘启动不起来,把启动U盘做成启动光盘也一样,哎,我这🐕日悲剧
{:9_371:}
呃。出厂镜像是只FFU的那个带磁盘分区一起恢复,还是仅仅当时备份的c盘恢复。
对于新机器,UEFI+GPT分区,要启用BitLocker,RE是必须在别的分区的。
恢复RE也没有什么难度,现在cmd里用reagentc.exe /disable 关闭re,删除c:\windows\system32\recovery\ReAgent.xml(若扔c盘的re是c:\recovery)这个,然后创建re分区,
再复制winre.wim到恢复分区,\\recovery\windowsre\winre.wim. 不复制到这个目录也没有关系,但分区要大些,2倍RE大。我图省事,直接分了2G。
分区那个id,可以用diskpart的set id=de94bba4-06d1-4d40-a16a-bfd50179d6ac变成恢复分区,会自动隐藏的
然后还是用reagentc /setreimage /path x:\recovery\windowsre 配置re的路径。
若是pe下配置 需要指定是那个windows。比如在D盘的windows,那就是 d:\windows\system32\reagentc /setreimage /path x:\recovery\windowsre /target d:\windows
然后还是用reagentc /enable 启用re。
那个开启bitlocker的提示很准确啊,毕竟只有RE带BitLocker的驱动和解密程序,ADK制作的PE没有,win安装setup的PE也带。
不带的话,识别不了BitLocker,也打不开。而因为RE是恢复系统用的,必须是不能加密的分区,用于启动,还要带Bitlocker的解密支持。
我以前记得sp4时,那个wim时ffu
而微软这个奇葩,又是pe支持ffu,而winsetup的pe和re不支持,adk制作的pe支持
ffu是dism /catpure-fuu 和 dism /apply-ffu
是微软的整盘克隆,可以连带re。uefi一起备份,而已可以恢复所有分区,一般是oem用来批量灌装的,ffu有时候也是wim格式。不一定是ffu结尾,也能用wim工具解包。
500G的可以恢复到1T,反过来不行。和纯wim,单一分区比,少了灵活性,但对于部署来说。很省事,都不需要管分区和RE问题。
本帖最后由 sasalemma 于 2025-3-28 14:03 编辑
{:9_361:}
另外我觉得我都是纯re或者pe来安装系统的。
现在新机都是uefi启动了。
diskpart的情况下
lis diak ……查看多少磁盘
sel disk 0 ……选中需要安装的磁盘
clean ……不需要文件,就是直接清空磁盘
convert gpt ……转换成gpt模式
create par efi size=512 ……创建esp分区,大小512
format quick label=UEFI fs=fat32 ……格式化为fat32,标签uefi
assign letter=m ……设置盘符
cre par pri size=2048 ……创建re分区,大小2g
set id=de94bba4-06d1-4d40-a16a-bfd50179d6ac ……设置分区id为恢复分区
format quick label=RE fs=ntfs ……格式化为ntfs
assign letter=n ……设置盘符
cre par pri size=204802 ……创建c分区,大小200g整,分剩下空间整盘,把size去掉就是
format quick label=WIN fs=ntfs ……格式化为ntfs
assign letter=C ……设置盘符
对于强迫症来说,在pe或re下,用diskpart分区,gpt格式是不会产生16m的MSR分区的,只要全分区不剩空间,在win下你转换一个磁盘到gpt模式,会先默认产生一个MSR分区。
然后推出diskpart,用dism释放文件不就好了
dism /apply-image /imagefile:x:\sources\install.wim /applydir:c: /index:1 ……imagefile就是wim的文件的路径,index是wim包里的第几个镜像
bcdboot c:\windows /l zh-cn /s m: /f uefi ……当然复杂些也行,m是esp分区,f后是指uefi启动模式,bios的用bios或者wtg那种双启动,就用 /f all
robocopy c:\windows\system32\recovery n:\recovery\windowsRE ……复制winre.wim到恢复分区
c:\windows\system32\reagentc /stereimage /path n:\recovery\windowRE /target c:\windows ……设置re路径
然后正常启动就是,oobe过程会自动配置re,然后安装软件什么的,想启用BitLocker不卡,还是安装完后,先直接启用,然后加密全盘,ssd也不慢,安装软件
然后把电源调节成高性能,不关机不关屏幕,让系统去超级预读,trim一类。
然后再sysprep。然后整盘ffu。然后批量装机。
edge的更新会影响sysprep,这个可以google解决。不同版本的情况不一。
我图省事,连sysprep都不做,直接ffu
而且用小号的磁盘做母盘,比如256g的,释放到大盘,再修改下分区大小。
要是一个一个c盘,又配置启动和re。要命了
当然有tpm的机器,BitLocker恢复密钥先去整出来,要不ffu到新机有tpm的情况,还是需要输入恢复密码并重新启用tpm自动解密
tpm最好先再bios关闭再启用或者clear tpm一类清一下原来保存的东东。
最重要一点。连diskpart分区操作或者dism的恢复操作,都能写成脚本啊。像当年wimboot启动的win8平板,插u盘,启动读取脚本,自动分区,释放镜像,收工。
最重要是收工。有时候觉得运维这类图形界面操作真麻烦,自动化脚本才是王道,无论是shell还是ps脚本,还是vbs,bat。
lrjycyz 发表于 2025-3-28 12:23
没有成功,解包封包的痛苦,随便一动上百G数据,一早上又过去了
部署 Windows 8.1 映像后无法生成 WinRE - ...
{:9_352:}
你这个情况很常见,毕竟那个re和oem。wim在原来的机器,你格式话整盘就消失了。厂家单纯的恢复盘是没有re的,如果你这个盘是纯分区捕获,
你看我前面的安装脚本,winre在这个盘前就已经复制到恢复分区了,然后oobe过程会把系统盘的wim删除掉的。所以其实你可以直接去普通安装盘找一个。无所谓的。
我印象中下sp4映像是ffu格式的。一个系列不同的硬盘大小一个ffu。那个surfacelaptop和sp4在货架上很久没有用了。 本帖最后由 lrjycyz 于 2025-3-28 23:32 编辑
sasalemma 发表于 2025-3-28 14:10
你这个情况很常见,毕竟那个re和oem。wim在原来的机器,你格式话整盘就消失了。厂家单纯的恢复盘是没有 ...
如果我想移花接木,我就得重新做一次系统。如果没有这个re环境,那驱动器加密就没办法启用。厂商的恢复过程,两个选项,不管你选择哪个留不留数据都一样,直接把你硬盘整个重新分区,ESP,MSR,win盘,恢复分区。然后在接下来的恢复过程中,恢复分区中就有了winre。
经过一系列操作,目前功能已经正常。重新编辑下这个帖。
下面这个图,是用厂商恢复U盘,恢复电脑后,RE分区里面的内容。可以证实,WINRE.WIM是预制好的,不是现生成的。百思不得其姐:厂商的恢复安装盘里面,所有的文件,包括boot.wim,install.wim等解包完成,均找不到任何的Recovery.wim或winre.wim,筛选大于300MB的单个文件,只有boot,install和一个超过2GB的ICB.ppkg预配包(解包里面也没有),这个Winre.wim到底怎么来的?
把Recovery整个文件夹替换后,reagentc开启后的启动项,因为恢复分区一直存在,但是之前为什么不工作?费解。
设备加密之前这里有个开关是关闭的,现在没有动点开看到就这样了
当开启Winre,什么都不用操作,看到已经在加密了
剩下来,就是测试安全启动兼容性问题了,移花接木能不能全部成,还看这个。
sasalemma 发表于 2025-3-28 13:37
呃。出厂镜像是只FFU的那个带磁盘分区一起恢复,还是仅仅当时备份的c盘恢复。
对于新机器,UEFI+GPT分区 ...
好详细,谢谢分享,码字辛苦。很认可最后“但对于部署来说。很省事,都不需要管分区和RE问题。”这句话,现在最痛苦的就是,硬盘里面的数据得保留,偏偏微软恢复盘直接给你分区。拷硬盘数据,2天没拷完,800多万个小文件,拷不动想死
页:
[1]