Недавно я попытался настроить Microsoft DFSR в Windows 2008 R2 для репликации папки, зашифрованной с помощью EFS. Установка не выявила ошибок или предупреждений, но позже я прочитал, что DFSR никак не поддерживает EFS. В журнале событий DFSR также были журналы событий, указывающие, что зашифрованный файл был найден и не будет реплицирован.
http://technet.microsoft.com/en-us/library/cc773238(v=ws.10).aspx#BKMK_052
У меня вопрос, есть ли какие-нибудь инструменты, которые позволят этому произойти? Предпочтительно на основе программного обеспечения. Это будет репликация по локальной сети на целевой узел для двух серверов в одном домене.
Прежде всего, позвольте мне указать, что EFS использует сертификаты для шифрования, поэтому репликация или резервное копирование файлов бесполезно без резервного копирования сертификатов, используемых для создания этих файлов. (Итак, если вы еще этого не сделали, сделайте это.) Это, вероятно, большая часть причины того, что технологии репликации Microsoft не поддерживают EFS. (Взаимодействие шифрования с изменениями битового уровня в файле и DFS/DFS-Rзависимость от репликации изменений битового уровня, вероятно, тоже играет роль.)
Вам, вероятно, в любом случае не следует «реплицировать» зашифрованные файлы (в целом) (использование псевдослучайных данных при генерации определенного алгоритма шифрования означает, что вы все равно не сможете дешифровать простую копию), и лучший подход - это дешифруйте файлы, затем реплицируйте или скопируйте их и, если необходимо, зашифруйте их заново в целевой системе.
Сказав это, ваш лучший подход, если вы должны "воспроизвести" EFS зашифрованные файлы (в частности) для использовать robocopy с /EFSRAW переключатель. Это позволит вам точно скопировать зашифрованные файлы, и при условии, что вы скопируете / сделаете резервную копию сертификата, используемого для создания файлов, вы также сможете дешифровать их в реплицированной системе. Я лично не использую EFS, поэтому я не могу сказать, сможете ли вы легко настроить EFS сертификат в новой системе (ах), чтобы разрешить прозрачный доступ, но похоже, что это должно быть возможно. Если вы настроили запланированную задачу и сценарий или используете /MON:n или /MOT:t коммутаторов с помощью robocopy, вы сможете эффективно выполнить настройку репликации главный-подчиненный.