Compartir a través de

Desbloqueo de red de BitLocker: problemas conocidos

  • Artículo

Mediante el uso de la característica Desbloqueo de red de BitLocker, los equipos se pueden administrar de forma remota sin tener que escribir un PIN de BitLocker cuando se inicia cada equipo. Para configurar este comportamiento, el entorno debe cumplir los siguientes requisitos:

  • Cada equipo pertenece a un dominio.
  • Cada equipo tiene una conexión cableada a la red interna.
  • La red interna usa DHCP para administrar direcciones IP.
  • Cada equipo tiene un controlador DHCP implementado en su firmware de unified Extensible Firmware Interface (UEFI).

Para obtener instrucciones generales sobre cómo solucionar problemas de desbloqueo de red de BitLocker, consulte Cómo habilitar desbloqueo de red: Solucionar problemas de desbloqueo de red.

En este artículo se describen varios problemas conocidos que se pueden encontrar cuando se usa el desbloqueo de red de BitLocker y se proporcionan instrucciones para solucionar estos problemas.

Sugerencia

El desbloqueo de red de BitLocker se puede detectar si está habilitado en un equipo específico, siga estos pasos en equipos UEFI:

  1. Abra una ventana del símbolo del sistema con privilegios elevados y ejecute el siguiente comando:

    manage-bde.exe -protectors -get <Drive>

    Por ejemplo:

    manage-bde.exe -protectors -get C:

    Si la salida de este comando incluye un protector de clave de tipo TpmCertificate (9), la configuración es correcta para desbloqueo de red de BitLocker.

  2. Inicie Editor del Registro y compruebe la siguiente configuración:

    1. Existe la siguiente clave del Registro y tiene el siguiente valor:

      • Subclave: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FVE
      • Tipo: REG_DWORD
      • Valor: OSManageNKP igual a 1 (True)

    2. La clave del Registro:

      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\FVE_NKP\Certificates

      tiene una entrada cuyo nombre coincide con el nombre de la huella digital del certificado del protector de clave de desbloqueo de red de BitLocker que se encontró en el paso 1.

En un dispositivo Surface Pro 4, el desbloqueo de red de BitLocker no funciona porque la pila de red UEFI está configurada incorrectamente

Imagine la siguiente situación:

El desbloqueo de red de BitLocker se ha configurado como se describe en BitLocker: Cómo habilitar el desbloqueo de red. UEFI de un Surface Pro 4 se ha configurado para usar DHCP. Sin embargo, cuando se reinicia el Surface Pro 4, sigue solicitando un PIN de BitLocker.

Al probar otro dispositivo, como un tipo diferente de tableta o equipo portátil configurado para usar la misma infraestructura, el dispositivo se reinicia según lo esperado, sin solicitar el PIN de BitLocker. Esta prueba confirma que la infraestructura está configurada correctamente y que el problema es específico del dispositivo.

Causa de que el desbloqueo de red de BitLocker no funcione en Surface Pro 4

La pila de red UEFI del dispositivo está configurada incorrectamente.

La resolución de desbloqueo de red de BitLocker no funciona en Surface Pro 4

Para configurar correctamente la pila de red UEFI de la Surface Pro 4, es necesario usar el Modo de administración empresarial (SEMM) de Microsoft Surface. Para obtener información sobre SEMM, consulta Inscribir y configurar dispositivos Surface con SEMM.

Nota:

Si no se puede usar SEMM, es posible que el Surface Pro 4 pueda usar el desbloqueo de red de BitLocker configurando el Surface Pro 4 para usar la red como su primera opción de arranque.

No se puede usar la característica de desbloqueo de red de BitLocker en un equipo cliente windows

Imagine la siguiente situación:

El desbloqueo de red de BitLocker se ha configurado como se describe en BitLocker: Cómo habilitar el desbloqueo de red. Un equipo cliente Windows 8 está conectado a la red interna con un cable Ethernet. Sin embargo, cuando se reinicia el dispositivo, el dispositivo sigue solicitando el PIN de BitLocker.

Causa de no poder usar la característica de desbloqueo de red de BitLocker en un equipo cliente Windows

A veces, un equipo cliente basado en Windows 8 o basado en Windows Server 2012 no recibe ni usa el protector de desbloqueo de red de BitLocker, en función de si el cliente recibe respuestas BOOTP no relacionadas de un servidor DHCP o un servidor WDS.

Los servidores DHCP pueden enviar cualquier opción DHCP a un cliente BOOTP según lo permitido por las opciones DHCP y las extensiones de proveedor de BOOTP. Este comportamiento significa que, dado que un servidor DHCP admite clientes BOOTP, el servidor DHCP responde a las solicitudes BOOTP.

La manera en que un servidor DHCP controla un mensaje entrante depende en parte de si el mensaje usa la opción Tipo de mensaje:

  • Los dos primeros mensajes que envía el cliente de desbloqueo de red de BitLocker son mensajes DHCP DISCOVER\REQUEST. Usan la opción Tipo de mensaje, por lo que el servidor DHCP los trata como mensajes DHCP.
  • El tercer mensaje que envía el cliente de desbloqueo de red de BitLocker no tiene la opción Tipo de mensaje. El servidor DHCP trata el mensaje como una solicitud BOOTP.

Un servidor DHCP que admita clientes BOOTP debe interactuar con esos clientes según el protocolo BOOTP. El servidor debe crear un mensaje BOOTP BOOTREPLY en lugar de un mensaje DHCP DHCPOFFER. En otras palabras, el servidor no debe incluir el tipo de opción de mensaje DHCP y no debe superar el límite de tamaño de los mensajes BOOTREPLY. Una vez que el servidor envía el mensaje BOOTP BOOTREPLY, el servidor marca un enlace para un cliente BOOTP como BOUND. Un cliente que no es DHCP no envía un mensaje DHCPREQUEST, ni ese cliente espera un mensaje DHCPACK.

Si un servidor DHCP que no está configurado para admitir clientes BOOTP recibe un mensaje BOOTREQUEST de un cliente BOOTP, ese servidor descarta de forma silenciosa el mensaje BOOTREQUEST.

Para obtener más información sobre dhcp y desbloqueo de red de BitLocker, vea BitLocker: How to enable Network Unlock: Network Unlock sequence( BitLocker: How to enable Network Unlock: Network Unlock sequence.

Resolución para no poder usar la característica de desbloqueo de red de BitLocker en un equipo cliente Windows

Para resolver este problema, cambie la configuración del servidor DHCP cambiando la opción DHCP de DHCP y BOOTP a DHCP.