Windows-Server-2008

EFS 遠端加密

  • March 5, 2013

我們一直在嘗試在我們的域中設置 EFS。不幸的是,通過網路共享讀取/寫入文件不起作用,我們收到“拒絕訪問”錯誤。

另一個令人擔憂的事實是,我設法讓它在一台機器上工作,但沒有其他機器可以工作。

這些機器都是 Windows 2008R2,在 ESXi 主機下作為 VM 執行。

根據:http ://technet.microsoft.com/en-us/library/bb457116.aspx#EHAA

  • 我們將所涉及的機器設置為受信任的委託
  • 使用者不受限制,可以信任進行委派。
  • 使用者已在雙方登錄,並且可以在本地讀取/寫入加密文件而不會出現問題。

我在系統資料庫中啟用了 Kerberos 日誌記錄,這是我在具有加密文件的機器上獲得的相關日誌。為了使用者擁有的所有證書(僅更改密鑰名稱):

事件 ID 5058:審核成功,“其他系統事件”

Key file operation.
Subject:
   Security ID:        {MyDOMAIN}\{MyID}
   Account Name:       {MyID}
   Account Domain:     {MyDOMAIN}
   Logon ID:       0xbXXXXXXX

Cryptographic Parameters:
   Provider Name:  Microsoft Software Key Storage Provider
   Algorithm Name: Not Available.
   Key Name:   {CE885431-9B4F-47C2-8415-2D766B999999}
   Key Type:   User key.

Key File Operation Information:
   File Path:  C:\Users\{MyID}\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-4585646465656-260371901-2912106767-1207\66099999999991e891f187e791277da03d_dfe9ecd8-31c4-4b0f-9b57-6fd3cab90760

       Operation:  Read persisted key from file.
   Return Code:    0x0[/code]

事件 ID 5061:審核失敗,“系統完整性”

[code]Cryptographic operation.
Subject:
Security ID:        {MyDOMAIN}\{MyID}
   Account Name:       {MyID}
   Account Domain:     {MyDOMAIN}
   Logon ID:       0xbXXXXXXX

Cryptographic Parameters:
   Provider Name:  Microsoft Software Key Storage Provider
   Algorithm Name: RSA
   Key Name:   {CE885431-9B4F-47C2-8415-2D766B999999}
   Key Type:   User key.

Cryptographic Operation:
   Operation:  Open Key.
   Return Code:    0x8009000b

這是否與CryptAcquireContext 函式中的此錯誤有關

NTE_BAD_KEY_STATE 0x8009000BL 
The user password has changed since the private keys were encrypted.

問題是我目前使用的使用者無法更改密碼。

在與 MS Support 交談後。

必須使用 IP 地址而不是主機名來訪問文件共享。

Instead of:
\\{MyServerName}\C$\hahaFolder

Use:
\\{MyServerIP}\C$\hahaFolder

這將強制 Kerberos 身份驗證啟動…

引用自:https://serverfault.com/questions/437510