Назад | Перейти на главную страницу

Удаленное шифрование EFS

Мы пытались настроить EFS в нашем домене. К сожалению, чтение / запись файла через общий сетевой ресурс не работает, мы получаем ошибку «Доступ запрещен».

Еще один тревожный факт заключается в том, что мне удалось заставить его работать на одной машине, но никакая другая работать не будет.

Все машины - это Windows 2008R2, работающие как виртуальная машина под хостом ESXi.

В соответствии с: http://technet.microsoft.com/en-us/library/bb457116.aspx#EHAA

Мы настраиваем задействованную машину как доверенную для делегирования
Пользователь не ограничен и ему можно доверять для делегирования.
Пользователи вошли в систему с обеих сторон и могут без проблем читать / записывать зашифрованные файлы локально.

Я включил ведение журнала Kerberos в реестре, и это соответствующие журналы, которые я получаю на машине с зашифрованными файлами. Для всего сертификата, которым обладает пользователь (изменяется только имя ключа):

Событие с кодом 5058: успех аудита, «Другие системные события»

Key file operation.
Subject:
    Security ID:        {MyDOMAIN}\{MyID}
    Account Name:       {MyID}
    Account Domain:     {MyDOMAIN}
    Logon ID:       0xbXXXXXXX

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: Not Available.
    Key Name:   {CE885431-9B4F-47C2-8415-2D766B999999}
    Key Type:   User key.

Key File Operation Information:
    File Path:  C:\Users\{MyID}\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-4585646465656-260371901-2912106767-1207\66099999999991e891f187e791277da03d_dfe9ecd8-31c4-4b0f-9b57-6fd3cab90760

        Operation:  Read persisted key from file.
    Return Code:    0x0[/code]

Событие с кодом 5061: отказ аудита, «целостность системы»

[code]Cryptographic operation.
Subject:
Security ID:        {MyDOMAIN}\{MyID}
    Account Name:       {MyID}
    Account Domain:     {MyDOMAIN}
    Logon ID:       0xbXXXXXXX

Cryptographic Parameters:
    Provider Name:  Microsoft Software Key Storage Provider
    Algorithm Name: RSA
    Key Name:   {CE885431-9B4F-47C2-8415-2D766B999999}
    Key Type:   User key.

Cryptographic Operation:
    Operation:  Open Key.
    Return Code:    0x8009000b

Может ли это быть связано с этой ошибкой из Функция CryptAcquireContext

NTE_BAD_KEY_STATE 0x8009000BL 
The user password has changed since the private keys were encrypted.

Проблема в том, что пользователи, которых я сейчас использую, не могут изменить свой пароль.

После разговора с MS Support.

Доступ к общей папке ДОЛЖЕН осуществляться с использованием IP-адреса вместо имени хоста.

Instead of:
\\{MyServerName}\C$\hahaFolder

Use:
\\{MyServerIP}\C$\hahaFolder

Это заставит сработать аутентификацию Kerberos ...