Bitlocker aktivierung auf C: nicht möglich, nur D: funktioniert.

[alex's very own]

Guten Tag liebe Community,

ich versuche Bitlocker zu aktivieren.
Wenn ich auf Turn on Bitlocker klicke, erscheint die Meldung: No TCG event log is available.
Ueber den Terminal funktioniert die Aktivierung ebenfalls nicht.

Spoiler: Detailierte Fehlermeldung

**********************
Windows PowerShell transcript start
Start time: 20251023110237
Username: ALEXANDERS-PC\Alexander
RunAs User: ALEXANDERS-PC\Alexander
Configuration Name:
Machine: ALEXANDERS-PC (Microsoft Windows NT 10.0.26100.0)
Host Application: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Process ID: 17136
PSVersion: 5.1.26100.6584
PSEdition: Desktop
PSCompatibleVersions: 1.0, 2.0, 3.0, 4.0, 5.0, 5.1.26100.6584
BuildVersion: 10.0.26100.6584
CLRVersion: 4.0.30319.42000
WSManStackVersion: 3.0
PSRemotingProtocolVersion: 2.3
SerializationVersion: 1.1.0.1
**********************
Transcript started, output file is C:\temp\BitLocker-Log.txt
PS C:\Users\Alexander> Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256 -UsedSpaceOnly -TpmProtector
Add-TpmProtectorInternal : No TCG event log is available. (Exception from HRESULT: 0x80284011)
At C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psm1:2103 char:31
+ ...   $Result = Add-TpmProtectorInternal $BitLockerVolumeInternal.MountPo ...
+                 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Write-Error], COMException
    + FullyQualifiedErrorId : System.Runtime.InteropServices.COMException,Add-TpmProtectorInternal
Add-TpmProtectorInternal : No TCG event log is available. (Exception from HRESULT: 0x80284011)
At C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\BitLocker\BitLocker.psm1:2103 char:31
+ ...   $Result = Add-TpmProtectorInternal $BitLockerVolumeInternal.MountPo ...
+                 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Write-Error], COMException
    + FullyQualifiedErrorId : System.Runtime.InteropServices.COMException,Add-TpmProtectorInternal

System Information:

Microsoft Windows 11 Pro
AMD Ryzen 7 2700
Asrock B450 Pro 4, Bios Version 5.60
Secure Boot State:    On
Automatic Device Encryption Support:    Reasons for failed automatic device encryption: Hardware Security Test Interface failed and device is not Modern Standby, TPM is not usable

Device Manager:
- AMD PSP 3.0 Device
- Trusted Platform Module 2.0

Get-Tpm

PS C:\Users\Alexander> Get-Tpm


TpmPresent                : True
TpmReady                  : True
TpmEnabled                : True
TpmActivated              : True
TpmOwned                  : True
RestartPending            : True
ManufacturerId            : 1095582720
PpiVersion                : 1.3
ManufacturerIdTxt         : AMD
ManufacturerVersion       : 3.7.0.3
ManufacturerVersionFull20 : 3.7.0.3
ManagedAuthLevel          : Full
OwnerAuth                 : Dy9VIl2bDLzRpph8D/GFDqhdZUk=
OwnerClearDisabled        : False
AutoProvisioning          : Enabled
LockedOut                 : False
LockoutHealTime           : 10 minutes
LockoutCount              : 0
LockoutMax                : 31
SelfTest                  : {}

list disk
Disk 0 gehoehrt nicht zum Windows System.
Disk 1 ist C
Disk 2 ist D
Disk 3 ist ein USB Stick mit einem Linux System

DISKPART> list disk

  Disk ###  Status         Size     Free     Dyn  Gpt
  --------  -------------  -------  -------  ---  ---
  Disk 0    Online          232 GB   232 GB
  Disk 1    Online          931 GB  2048 KB        *
  Disk 2    Online         3726 GB      0 B        *
  Disk 3    cOnline           58 GB      0 B        *

Bios Einstellungen:
Advanced/CPU Configuration:
AMD fTPM switch: AMD CPU fTPM

Unter Advanced/Trusted Computing:
TPM 2.0 Device Found
Firmware Version 3.7
Security Device Support: Enabled
Active PCR banks: -
Avaialble PCR banks: -
Pending operation: None
Platform Hierachy: Enabled
Storage Hierarchy: Enabled
Tpm 2.0 UEFI Spec Version : TCG_2
Physical Presence Spec Version: 1.3
TPM 2.0 Interface: CRB
Device Select: Auto
Disable Block Sid: Disabled

Security/Secure Boot
Secure Boot: Enabled
Secure Boot Mode: Custom

Secure Boot variable	Sizel Keys	Key	Source
Platform Key (PK)	640	1	Factory
Key Exchange Keys	1560	1	Factory
Authorized Signatures	3143	2	Factory
Forbidden Signatures	3724	77	Factory
Authorized TimeStamps	0	0	No Keys
OsRecovery Signatures	0	0	No Keys

Boot/Compabilitiy Supprt Module
CSM: Disabled

Ich habe bereits Clear TPM unter tpm.msv ausgefuehrt.
Ich habe bereits das Bios zu den Default Einstellungen gesetzt und neu konfiguriert.
"Clear Secure Boot Keys" wurde im Bios durchgefuehrt.
Und anschliessend wurde "Install default Secure Boot Keys" durchgefuehrt.

Das Problem besteht nur mit der Festplatte C. Auf D laesst der Konfigurationsprozess fuer Bitlocker aktivieren.
Ich musste in der Vergangenheit den EFI-Bootloader wiederherstellen. Vielleicht hat das Problem damit was zu tun?

Mit freundlichen Grüßen,
Alexander

 

[BFF]

Wo ist der Bootloader und was ist Datenträger 0?
Hast Du zufällig ein Dualboot?

 

[nutrix]

Mach mal bitte ein Screenshot (!!!) der Datenträgerverwaltung und poste es hier rein.

 

[R4ID]

Irgendwas stimmt auch nicht mit dem TPM (Eintrag 5).

 

[alex's very own]

Wo ist der Bootloader und was ist Datenträger 0?

Der Bootloader ist auf Disk 1.

Hast Du zufällig ein Dualboot?

Ja, und zwar Windows von Disk 1, und Linux vom USB Stick (aktuell nicht eingesteckt)

 

[EDV-Leiter]

Mach mal ein BIOS Update auf die neueste Version.
Deine 5.6 ist schon uralt.
Und nicht irritieren lassen von dem "not recommended".

 

[DocWindows]

@alex's very own Secureboot Mode Custom sollte eigentlich auf Standard stehen. Warum ist das auf Custom?

 

[alex's very own]

@DocWindows Unter Standard hat es nicht funktioniert. Und in diesem Tutorial von AsRock wird erklaert, dass man den Modus auf Custom stellen soll. Also hab ich's ausprobiert. https://www.asrock.com/support/faq.de.asp?id=548

Ergänzung (23. Oktober 2025)

Mach mal ein BIOS Update auf die neueste Version.
Deine 5.6 ist schon uralt.
Und nicht irritieren lassen von dem "not recommended".

Aus dem selben Tutorial von AsRock habe ich folgende Infos gefunden.

Update BIOS and AMD fTPM
To ensure compatibility between games and Secure Boot/TPM 2.0,
ASRock has released new BIOS versions for AM4 motherboards,
to update to AMD fTPM 3.x.2.x version."


AMD has informed us that only CPUs with below former codename support fTPM 3.*.2.* (TPMB).
Raven2
Picasso
Matisse
Renoir
Cezanne
Vermeer

Ich hab ein Ryzen 2700 der zur Pinnacle Ridge gehoehrt.

Ryzen 7

2700 (YD2700BBM88AF)

Pinnacle Ridge

Ich schaetze mal, das das neue Bios Update fuer meinen CPU nicht in Frage kommt, bezueglich des TPM Problems.

Ich hab noch mal auf der AMD Seite folgende Info gefunden: https://www.amd.com/en/resources/support-articles/faqs/pa-420.html

Dort wird gesagt, das in fTPM Version 3.*.0.* einen Fehler hat, und man mit einem Bios Update auf fTPM Version 3.*.2.* updaten soll. Aber AsRock schreibt, dass mein CPU laut AMD, Version 3.*.2.* nicht unterstuetzt.

 

[R4ID]

Dann brauchst du eine neuere CPU damit du das Bios aktuell hast, TPM geht und du den Bitlocker verwenden kannst.

Und ja TPM sollte auf Standard stehen.

 

[alex's very own]

Ich habe mir ein AsRock TPM2-S Modul gekauft und Bitlocker erfolgreich aktiviert.

Mein zweites Problem ist, dass BitLocker beim Booten nicht nach einem Passwort fragt.
Ich habe bereits die Gruppenrichtlinien konfiguriert:

Ebenfalls hab ich "Allow enhanced PINs for startup" auf True gesetzt, und ein Passwort erstellt.



Hat jemand Vorschlaege, woran es liegen kann?

 

[bart1983]

Sitze gerade an einem Win11 Home, dh ich kann GPedit.msc gerade nicht aufrufen, aber muss das erste Dropdown-Feld nicht auf "Allow TPM" stehen?

 

[alex's very own]

Das war davor auch auf “Allow TPM” eingestellt. Ich dachte aber dann, dass vielleicht dadurch Windows es mir erlaubt das OS nur mit TPM ODER mit TPM + PIN zu starten, und dann eben die Methode ohne PIN wählt.

 

[mchawk777]

Mach mal ein BIOS Update auf die neueste Version.
Deine 5.6 ist schon uralt.
Und nicht irritieren lassen von dem "not recommended".

Ich will das hier noch mal unterstreichen, da es wohl unter den Tisch gefallen ist.

Gerade bei AMD-Systemen ist es bei Secureboot oder TPM wichtig die möglichst neueste Firmware ("BIOS") installiert zu haben.

Wichtig: Bei Firmware-Updates immer Passwort und/oder Recovery-Key von Bitlocker-Datenträgern bereit halten!

 

[alex's very own]

@mchawk777 Kannst du erklären, was die genauen Vorteile von einem BIOS Update bezüglich Secureboot und TPM sind? Zu mal die Gefahr besteht, das Microcode fehlt, weil AsRock den Speicher für neurere CPUs benötigt.

Nach dem ich den Key Protector TPM gelöscht habe, wird jetzt beim starten der Bitlocker Pin abgefragt.

 

[mchawk777]

@mchawk777 Kannst du erklären, was die genauen Vorteile von einem BIOS Update bezüglich Secureboot und TPM sind? Zu mal die Gefahr besteht, das Microcode fehlt, weil AsRock den Speicher für neurere CPUs benötigt.

Klar: Du steigerst die Wahrscheinlichkeit, dass es funktioniert.
Keine Garantie - aber ohne lohnt keine weitere Diskussion, wenn Du es nicht machst.
Diese Probleme gerade in Bezug auf AMD sind die Firmware-Inkopatibilitäten veralteter Versionen hinlänglich bekannt.