Windows-Server-2008
EFS 遠端加密
我們一直在嘗試在我們的域中設置 EFS。不幸的是,通過網路共享讀取/寫入文件不起作用,我們收到“拒絕訪問”錯誤。
另一個令人擔憂的事實是,我設法讓它在一台機器上工作,但沒有其他機器可以工作。
這些機器都是 Windows 2008R2,在 ESXi 主機下作為 VM 執行。
根據:http ://technet.microsoft.com/en-us/library/bb457116.aspx#EHAA
- 我們將所涉及的機器設置為受信任的委託
- 使用者不受限制,可以信任進行委派。
- 使用者已在雙方登錄,並且可以在本地讀取/寫入加密文件而不會出現問題。
我在系統資料庫中啟用了 Kerberos 日誌記錄,這是我在具有加密文件的機器上獲得的相關日誌。為了使用者擁有的所有證書(僅更改密鑰名稱):
事件 ID 5058:審核成功,“其他系統事件”
Key file operation. Subject: Security ID: {MyDOMAIN}\{MyID} Account Name: {MyID} Account Domain: {MyDOMAIN} Logon ID: 0xbXXXXXXX Cryptographic Parameters: Provider Name: Microsoft Software Key Storage Provider Algorithm Name: Not Available. Key Name: {CE885431-9B4F-47C2-8415-2D766B999999} Key Type: User key. Key File Operation Information: File Path: C:\Users\{MyID}\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-4585646465656-260371901-2912106767-1207\66099999999991e891f187e791277da03d_dfe9ecd8-31c4-4b0f-9b57-6fd3cab90760 Operation: Read persisted key from file. Return Code: 0x0[/code]
事件 ID 5061:審核失敗,“系統完整性”
[code]Cryptographic operation. Subject: Security ID: {MyDOMAIN}\{MyID} Account Name: {MyID} Account Domain: {MyDOMAIN} Logon ID: 0xbXXXXXXX Cryptographic Parameters: Provider Name: Microsoft Software Key Storage Provider Algorithm Name: RSA Key Name: {CE885431-9B4F-47C2-8415-2D766B999999} Key Type: User key. Cryptographic Operation: Operation: Open Key. Return Code: 0x8009000b
這是否與CryptAcquireContext 函式中的此錯誤有關
NTE_BAD_KEY_STATE 0x8009000BL The user password has changed since the private keys were encrypted.
問題是我目前使用的使用者無法更改密碼。
在與 MS Support 交談後。
必須使用 IP 地址而不是主機名來訪問文件共享。
Instead of: \\{MyServerName}\C$\hahaFolder Use: \\{MyServerIP}\C$\hahaFolder
這將強制 Kerberos 身份驗證啟動…