Desbloqueo de Bitlocker en red: problemas conocidos
Mediante la característica desbloqueo de red de BitLocker, los equipos se pueden administrar de forma remota sin tener que escribir un PIN de BitLocker cuando se inicia cada equipo. Para configurar este comportamiento, el entorno debe cumplir los siguientes requisitos:
- Cada equipo pertenece a un dominio.
- Cada equipo tiene una conexión cableada a la red interna.
- La red interna usa DHCP para administrar direcciones IP.
- Cada equipo tiene un controlador DHCP implementado en su firmware unified Extensible Firmware Interface (UEFI).
Para obtener instrucciones generales sobre cómo solucionar problemas de desbloqueo de red de BitLocker, consulte Habilitación del desbloqueo de red: Solución de problemas de desbloqueo de red.
En este artículo se describen varios problemas conocidos que se pueden encontrar cuando se usa el desbloqueo de red de BitLocker y se proporcionan instrucciones para solucionar estos problemas.
Sugerencia
Se puede detectar el desbloqueo de red de BitLocker si está habilitado en un equipo específico, siga estos pasos en los equipos UEFI:
Abra una ventana del símbolo del sistema con privilegios elevados y ejecute el siguiente comando:
manage-bde.exe -protectors -get <Drive>Por ejemplo:
manage-bde.exe -protectors -get C:Si la salida de este comando incluye un protector de clave de tipo TpmCertificate (9), la configuración es correcta para el desbloqueo de red de BitLocker.
Inicie el Editor del Registro y compruebe la siguiente configuración:
La siguiente clave del Registro existe y tiene el siguiente valor:
- Subclave:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE - Tipo:
REG_DWORD - Valor:
OSManageNKPigual a1(True)
- Subclave:
La clave del Registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\FVE_NKP\Certificatestiene una entrada cuyo nombre coincide con el nombre de la huella digital del certificado del protector de claves de desbloqueo de red de BitLocker que se encontró en el paso 1.
En un dispositivo Surface Pro 4, el desbloqueo de red de BitLocker no funciona porque la pila de red UEFI está configurada incorrectamente.
Considere el caso siguiente:
El desbloqueo de red de BitLocker se ha configurado como se describe en BitLocker: Cómo habilitar el desbloqueo de red. UEFI de surface Pro 4 se ha configurado para usar DHCP. Sin embargo, cuando se reinicia Surface Pro 4, todavía se solicita un PIN de BitLocker.
Al probar otro dispositivo, como un tipo diferente de tableta o equipo portátil configurado para usar la misma infraestructura, el dispositivo se reinicia según lo esperado, sin solicitar el PIN de BitLocker. Esta prueba confirma que la infraestructura está configurada correctamente y que el problema es específico del dispositivo.
Causa del desbloqueo de red de BitLocker no funciona en Surface Pro 4
La pila de red UEFI del dispositivo está configurada incorrectamente.
Resolución para el desbloqueo de red de BitLocker que no funciona en Surface Pro 4
Para configurar correctamente la pila de red UEFI de Surface Pro 4, se debe usar el Modo de administración de Microsoft Surface Enterprise (SEMM). Para obtener información sobre SEMM, consulta Inscribir y configurar dispositivos Surface con SEMM.
Nota:
Si no se puede usar SEMM, es posible que Surface Pro 4 pueda usar el desbloqueo de red de BitLocker configurando Surface Pro 4 para usar la red como primera opción de arranque.
No se puede usar la característica de desbloqueo de red de BitLocker en un equipo cliente windows
Considere el caso siguiente:
El desbloqueo de red de BitLocker se ha configurado como se describe en BitLocker: Cómo habilitar el desbloqueo de red. Un equipo cliente de Windows 8 está conectado a la red interna con un cable Ethernet. Sin embargo, cuando se reinicia el dispositivo, el dispositivo todavía solicita el PIN de BitLocker.
Causa de no poder usar la característica de desbloqueo de red de BitLocker en un equipo cliente windows
Un equipo cliente basado en Windows 8 o windows Server 2012 a veces no recibe ni usa el protector de desbloqueo de red de BitLocker, dependiendo de si el cliente recibe respuestas BOOTP no relacionadas desde un servidor DHCP o un servidor WDS.
Los servidores DHCP pueden enviar cualquier opción DHCP a un cliente BOOTP tal como lo permiten las opciones DHCP y las extensiones del proveedor de BOOTP. Este comportamiento significa que, dado que un servidor DHCP admite clientes BOOTP, el servidor DHCP responde a las solicitudes BOOTP.
La manera en que un servidor DHCP controla un mensaje entrante depende en parte de si el mensaje usa la opción Tipo de mensaje:
- Los dos primeros mensajes que envía el cliente de desbloqueo de red de BitLocker son mensajes DHCP DISCOVER\REQUEST. Usan la opción Tipo de mensaje, por lo que el servidor DHCP los trata como mensajes DHCP.
- El tercer mensaje que envía el cliente de desbloqueo de red de BitLocker no tiene la opción Tipo de mensaje. El servidor DHCP trata el mensaje como una solicitud BOOTP.
Un servidor DHCP que admita clientes BOOTP debe interactuar con esos clientes según el protocolo BOOTP. El servidor debe crear un mensaje BOOTP BOOTREPLY en lugar de un mensaje DHCP DHCPOFFER. En otras palabras, el servidor no debe incluir el tipo de opción de mensaje DHCP y no debe superar el límite de tamaño para los mensajes BOOTREPLY. Después de que el servidor envíe el mensaje BOOTP BOOTREPLY, el servidor marca un enlace para un cliente BOOTP como BOUND. Un cliente que no es DHCP no envía un mensaje DHCPREQUEST ni ese cliente espera un mensaje DHCPACK.
Si un servidor DHCP que no está configurado para admitir clientes BOOTP recibe un mensaje BOOTREQUEST de un cliente BOOTP, ese servidor descarta silenciosamente el mensaje BOOTREQUEST.
Para obtener más información sobre el desbloqueo de red DHCP y BitLocker, vea BitLocker: Cómo habilitar desbloqueo de red: secuencia de desbloqueo de red.
Resolución para no poder usar la característica de desbloqueo de red de BitLocker en un equipo cliente windows
Para resolver este problema, cambie la configuración del servidor DHCP cambiando la opción DHCP de DHCP y BOOTP a DHCP.