BitLocker no puede cifrar una unidad: problemas de TPM conocidos
En este artículo se describen los problemas comunes que afectan al módulo de plataforma segura (TPM) que podría impedir que BitLocker cifre una unidad. En este artículo también se proporcionan instrucciones para solucionar estos problemas.
Nota:
Si se ha determinado que el problema de BitLocker no implica el TPM, consulte BitLocker no puede cifrar una unidad: problemas conocidos.
El TPM está bloqueado y se muestra el error The TPM is defending against dictionary attacks and is in a time-out period .
Se intenta activar el cifrado de unidad BitLocker en un dispositivo, pero se produce un error similar al siguiente mensaje de error:
El TPM está defendiendo contra ataques de diccionario y está en un período de tiempo de espera.
Causa del bloqueo del TPM
El TPM está bloqueado.
Resolución del TPM que se está bloqueando
Para resolver este problema, el TPM debe restablecerse y borrarse. El TPM se puede restablecer y borrar con los pasos siguientes:
Abra una ventana de PowerShell con privilegios elevados y ejecute el siguiente script:
$Tpm = Get-WmiObject -class Win32_Tpm -namespace "root\CIMv2\Security\MicrosoftTpm" $ConfirmationStatus = $Tpm.GetPhysicalPresenceConfirmationStatus(22).ConfirmationStatus if($ConfirmationStatus -ne 4) {$Tpm.SetPhysicalPresenceRequest(22)}Reinicie el equipo. Si se muestra un mensaje que confirma la desactivación del TPM, acepte borrar el TPM.
Inicie sesión en Windows e intente iniciar el cifrado de unidad BitLocker.
Advertencia
Restablecer y borrar el TPM puede provocar la pérdida de datos.
El TPM no se puede preparar con el error The TPM is defending against dictionary attacks and is in a time-out period
Se intenta activar el cifrado de unidad BitLocker en un dispositivo, pero se produce un error. Durante la solución de problemas, la consola de administración de TPM (tpm.msc) se usa para intentar preparar el TPM en el dispositivo. Se produce un error en la operación con un mensaje de error similar al siguiente:
El TPM está defendiendo contra ataques de diccionario y está en un período de tiempo de espera.
Causa de que TPM no se prepare
El TPM está bloqueado.
Resolución de errores de preparación de TPM
Para resolver este problema, deshabilite y vuelva a habilitar el TPM con los pasos siguientes:
Escriba las pantallas de configuración UEFI/BIOS del dispositivo reiniciando el dispositivo y presionando la combinación de teclas adecuada a medida que arranca el dispositivo. Consulte con el fabricante del dispositivo para obtener la combinación de teclas adecuada para entrar en las pantallas de configuración ueFI/BIOS.
Una vez en las pantallas de configuración de UEFI/BIOS, deshabilite el TPM. Consulte con el fabricante del dispositivo para obtener instrucciones sobre cómo deshabilitar el TPM en las pantallas de configuración ueFI/BIOS.
Guarde la configuración de UEFI/BIOS con el TPM deshabilitado y reinicie el dispositivo para arrancar en Windows.
Una vez que haya iniciado sesión en Windows, vuelva a la consola de administración de TPM. Se muestra un mensaje de error similar al siguiente:
No se encuentra TPM compatible
No se encuentra el módulo de plataforma segura compatible (TPM) en este equipo. Compruebe que este equipo tiene 1.2 TPM y está activado en el BIOS.
Este mensaje se espera, ya que el TPM está deshabilitado actualmente en el firmware o BIOS UEFI del dispositivo.
Reinicie el dispositivo y vuelva a escribir las pantallas de configuración ueFI/BIOS.
Vuelva a habilitar el TPM en las pantallas de configuración de UEFI/BIOS.
Guarde la configuración de UEFI/BIOS con el TPM habilitado y reinicie el dispositivo para arrancar en Windows.
Una vez que haya iniciado sesión en Windows, vuelva a la consola de administración de TPM.
Si el TPM todavía no se puede preparar, borre las claves de TPM existentes siguiendo las instrucciones del artículo Solución de problemas del TPM: Borrar todas las claves del TPM.
Advertencia
Borrar el TPM puede provocar la pérdida de datos.
BitLocker no se puede habilitar con el error Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 o Insufficient Rights
No habilite BitLocker hasta que la información de recuperación se almacene en la directiva de AD DS en el entorno. Se intenta activar el cifrado de unidad BitLocker en un dispositivo, pero se produce un error con el mensaje de error de Access Denied: Failed to backup TPM Owner Authorization information to Active Directory Domain Services. Errorcode: 0x80070005 o Insufficient Rights.
Causa de Access Denied o Insufficient Rights
El TPM no tenía permisos suficientes en el contenedor de dispositivos TPM en Servicios de dominio de Active Directory (AD DS). Por lo tanto, no se pudo realizar una copia de seguridad de la información de recuperación de BitLocker en AD DS y no se pudo activar el cifrado de unidad BitLocker.
Este problema parece estar limitado a los equipos que ejecutan versiones de Windows anteriores a Windows 10.
Resolución de Access Denied o Insufficient Rights
Para comprobar que se está produciendo este problema, use uno de los dos métodos siguientes:
Deshabilite la directiva o quite el equipo del dominio seguido de intentar volver a activar el cifrado de unidad BitLocker. Si la operación se realiza correctamente, el problema se debe a la directiva.
Use las herramientas de seguimiento de red y LDAP para examinar los intercambios LDAP entre el cliente y el controlador de dominio de AD DS para identificar la causa del error Acceso denegado o Derechos insuficientes. En este caso, se debe mostrar un error cuando el cliente intenta acceder a su objeto en el
CN=TPM Devices,DC=<domain>,DC=comcontenedor.
Para revisar la información de TPM del equipo afectado, abra una ventana de Windows PowerShell con privilegios elevados y ejecute el siguiente comando:
Get-ADComputer -Filter {Name -like "ComputerName"} -Property * | Format-Table name,msTPM-TPMInformationForComputerEn este comando, ComputerName es el nombre del equipo afectado.
Para resolver el problema, use una herramienta como dsacls.exe para asegurarse de que la lista de control de acceso de msTPM-TPMInformationForComputer concede permisos de lectura y escritura a NTAUTHORITY/SELF.
El TPM no se puede preparar con el error 0x80072030: There is no such object on the server
Los controladores de dominio se actualizaron de Windows Server 2008 R2 a Windows Server 2012 R2. Existe un objeto de directiva de grupo (GPO) que exige que No habilite BitLocker hasta que la información de recuperación se almacene en la directiva de AD DS .
Se intenta activar el cifrado de unidad BitLocker en un dispositivo, pero se produce un error. Durante la solución de problemas, la consola de administración de TPM (tpm.msc) se usa para intentar preparar el TPM en el dispositivo. Se produce un error en la operación con un mensaje de error similar al siguiente:
0x80072030 No hay ningún objeto de este tipo en el servidor cuando se habilita una directiva para realizar una copia de seguridad de la información de TPM en Active Directory.
Se ha confirmado que los atributos ms-TPM-OwnerInformation y msTPM-TpmInformationForComputer están presentes.
Causa de 0x80072030: no hay este objeto en el servidor
El nivel funcional de dominio y bosque del entorno todavía se puede establecer en Windows 2008 R2. Además, es posible que los permisos de AD DS no se establezcan correctamente.
Resolución de 0x80072030: no hay este objeto en el servidor
El problema se puede resolver con los pasos siguientes:
Actualice el nivel funcional del dominio y el bosque a Windows Server 2012 R2.
Descargue Add-TPMSelfWriteACE.vbs.
En el script, modifique el valor de strPathToDomain en el nombre de dominio de la organización.
Abra una ventana de PowerShell con privilegios elevados y ejecute el siguiente comando:
cscript.exe <Path>\Add-TPMSelfWriteACE.vbsEn este comando, <Path> es la ruta de acceso al archivo de script.
Vea los siguientes artículos para más información: