У меня есть два сервера, оба в домене, оба Windows Server 2008 R2, на мой взгляд, почти одинаково настроенные.
Сервер1 позволяет копировать зашифрованные файлы в свои сетевые ресурсы, Сервер2 выдает ошибку при попытке скопировать зашифрованный файл: «Вы копируете файл в место назначения, которое не поддерживает шифрование» (предпочтительное действие).
На обоих серверах запись реестра NtfsDisableEncryption имеет значение 0.
Я просмотрел GPO и не вижу ничего, связанного с EFS. Я тоже не помню постановку.
Где я могу найти вариант, ответственный за такое поведение?
Как / где я могу найти разницу между теми серверами, которые определяют это поведение?
Я не знал ответа на этот вопрос, но это выглядело интересно, поэтому я подумал, что попытаюсь воспроизвести проблему.
При установке 2012 R2 по умолчанию (не было 2008 R2 под рукой) я получил ту же ошибку при попытке скопировать зашифрованный файл EFS с одного компьютера, присоединенного к домену, на общий ресурс на другом.
Google в конце концов привел меня к этой статье;
http://technet.microsoft.com/en-us/library/bb457116.aspx#EHAA
Ответ
В Active Directory «Пользователи и компьютеры» найдите учетную запись компьютера для отказавшего сервера. Откройте окно свойств, на вкладке «Делегирование» отметьте «Доверять этому компьютеру для делегирования любой службе (только Kerberos)».
Перезагрузите сервер.
Теперь у вас должна быть возможность удаленно копировать зашифрованные файлы EFS в общую папку.
Это решило проблему для меня; надеюсь, это будет и для вас.
Ключ, который в конечном итоге привел меня к этому, заключался в попытке зашифровать существующий удаленный файл; это тоже не удается, но гораздо полезнее сообщение об ошибке: «Запрошенная операция не может быть завершена. Компьютер должен быть доверенным для делегирования, а текущая учетная запись пользователя должна быть настроена для разрешения делегирования».
Причина (насколько я понимаю) того, что это требуется, заключается в том, как копия файла работает по сети. При передаче файла CIFS / SMB файл дешифруется на исходном компьютере, передается в виде обычного текста и повторно шифруется в месте назначения. Чтобы удаленный файловый сервер повторно зашифровал файл по прибытии, служба EFS должна олицетворять учетную запись пользователя, инициировавшего копирование файла.
Следует отметить, что есть ряд других проблем, которые необходимо принять во внимание, если вы разрешите хранить файлы EFS в удаленных общих файловых ресурсах; Ссылка, которую я разместил выше, описывает некоторые из них более подробно - статью стоит прочитать.