我们一直在尝试在我们的域中设置 EFS。不幸的是,通过网络共享读取/写入文件不起作用,我们收到“访问被拒绝”错误。
另一个令人担忧的事实是,我设法让它在一台机器上工作,但在其他机器上却无法工作。
这些机器都是Windows 2008R2,作为ESXi主机下的VM运行。
根据:http://technet.microsoft.com/en-us/library/bb457116.aspx#EHAA
- 我们设置了相关的机器,以便进行委托
- 用户不受限制并且可以被信任进行委派。
- 用户已在两侧登录,并且可以在本地无问题地读取/写入加密文件。
我在注册表中启用了 Kerberos 日志记录,这是我在包含加密文件的机器上获取的相关日志。对于用户拥有的所有证书(仅密钥名称更改),如下:
事件 ID 5058:审核成功,“其他系统事件”
Key file operation.
Subject:
Security ID: {MyDOMAIN}\{MyID}
Account Name: {MyID}
Account Domain: {MyDOMAIN}
Logon ID: 0xbXXXXXXX
Cryptographic Parameters:
Provider Name: Microsoft Software Key Storage Provider
Algorithm Name: Not Available.
Key Name: {CE885431-9B4F-47C2-8415-2D766B999999}
Key Type: User key.
Key File Operation Information:
File Path: C:\Users\{MyID}\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-4585646465656-260371901-2912106767-1207\66099999999991e891f187e791277da03d_dfe9ecd8-31c4-4b0f-9b57-6fd3cab90760
Operation: Read persisted key from file.
Return Code: 0x0[/code]
事件 ID 5061:审核失败,“系统完整性”
[code]Cryptographic operation.
Subject:
Security ID: {MyDOMAIN}\{MyID}
Account Name: {MyID}
Account Domain: {MyDOMAIN}
Logon ID: 0xbXXXXXXX
Cryptographic Parameters:
Provider Name: Microsoft Software Key Storage Provider
Algorithm Name: RSA
Key Name: {CE885431-9B4F-47C2-8415-2D766B999999}
Key Type: User key.
Cryptographic Operation:
Operation: Open Key.
Return Code: 0x8009000b
这可能与来自 CryptAcquireContext 函数
NTE_BAD_KEY_STATE 0x8009000BL
The user password has changed since the private keys were encrypted.
问题是我当前使用的用户无法更改他们的密码。
答案1
与 MS 支持人员交谈后。
必须使用 IP 地址而不是主机名来访问文件共享。
Instead of:
\\{MyServerName}\C$\hahaFolder
Use:
\\{MyServerIP}\C$\hahaFolder
这将强制启动 Kerberos 身份验证...