我有两台服务器,都在域上,都是 Windows Server 2008 R2,在我看来配置几乎完全相同。
Server1 允许将加密文件复制到其网络共享,Server2 在尝试复制加密文件时出现错误:“您正在将文件复制到不支持加密的目的地”(首选行动)。
两台服务器的注册表项 NtfsDisableEncryption 均设置为 0。
我查看了 GPO,没有看到任何与 EFS 相关的内容。我也记不起设置了什么。
在哪里可以找到导致此行为的选项?
我如何/在哪里可以找到决定此行为的服务器之间的差异?
答案1
我不知道这个问题的答案,但它看起来很有趣所以我想尝试复制这个问题。
在默认安装 2012 R2 的情况下(手头没有 2008 R2),当我尝试将 EFS 加密文件从一台加入域的机器复制到另一台机器上的共享时,遇到了同样的错误。
谷歌最终引导我找到了这篇文章;
http://technet.microsoft.com/en-us/library/bb457116.aspx#EHAA
回答
在 Active Directory 用户和计算机中,找到故障服务器的计算机帐户。打开属性窗口,在委派选项卡上勾选“信任此计算机委派任何服务(仅 Kerberos)”。
重新启动服务器。
您现在应该能够将 EFS 加密文件远程复制到文件共享。
这为我解决了问题;希望也能为您解决。
最终导致我出现此问题的线索是尝试加密现有的远程文件;这也失败了,但错误消息更有用“无法完成请求的操作。必须信任计算机才能进行委派,并且必须将当前用户帐户配置为允许委派。”
据我所知,之所以需要这样做是因为文件复制在网络上的工作方式。在传输 CIFS/SMB 文件时,文件在源计算机上解密,以纯文本形式传输,并在目标计算机上重新加密。为了让远程文件服务器在文件到达时重新加密文件,EFS 服务必须模拟启动文件复制的用户的用户帐户。
值得注意的是,如果您允许将 EFS 文件存储在远程文件共享上,还必须考虑许多其他问题;我上面发布的链接详细概述了其中一些问题 - 这篇文章值得一读。