Jump to content

EFS Verschlüsselung kann in der Domäne nicht durchgeführt werden

Rotwilderer

Von Rotwilderer
in Active Directory Forum

Direkt zur Lösung Gelöst von Rotwilderer,
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Rotwilderer Enthusiast

Rotwilderer   10

Geschrieben
Geschrieben (bearbeitet)

Hallo zusammen,

 

ich habe eine W2K8 R2 Domäne und möchte darüber die EFS Verschlüsselung einrichten.

 

Folgendes habe ich durchgeführt:

 

  • Zertifizierungsstelle ist eingerichtet
  • KRA Zertifikat wurde ausgestellt und vom Dom-Admin angefordert
  • EFS-Zertifkat (Verschlüsselndes Dateisystem) wurde mit folgenden Parametern ausgestellt:
    Vorlage für windows Server 2008 Enterprise
    Zertifikat in Active Directory veröffentlichen
    Autoenrollment für authentfizierte Benutzer unter "Sicherheit" angehakt
  • Zertifikat für Schlüsselweiderherstellung mit den gleichen Einstellungen (Außer Berechtigungen, die habe ich nur für die Domänen-Admins gesetzt)
  • Datei-Wiederherstellung-Agent hinzugefügt
  • Gruppenrichtlinie in der Root der Domäne für EFS konfiguriert und das zuor ausgestellt Zertifikat für die EFS-Verschlüsselung angegben

Wenn ich nun an einem Client versuche einen Ordner/Datei zu verschlüsseln, erscheint folgende Fehlermeldung:

 

Beim Übernehmen der Attribute für die Datei ist ein Fehler aufgetreten: Dateipfad/Name

Falscher Parameter.

 

Das EFS-Zertifikat wird aber vom Client abgerufen, es erscheint auch im Zertifikatsspeicher.

 

Ich habe den Verdacht, dass es am Wiederherstellungs-Agenten liegt. Wenn ich unter "Verschlüsseltes Dateisystem" einen Weiderherstellungs-Agenten erstelle, wird dieser mit dem Standard EFS-Wiederherstellungs-Agent Zertifikat angelegt. Lösche ich dieses, kann der Wiederherstellungsagent nicht erstellt werden, es kommt die Fehlermeldung:

 

Es kann kein Datenwiederherstellungs-Agent erstellt werden. Die angeforderte Zertfikatvorlage wird von dieser Zertifizierungsstelle nicht unterstützt.

 

Wenn ich einen Datenwiederherstellungs-Agent hinzufüge, klappt dies wunderbar mit dem zufor erstellten und angefordertem Zertifikat.

 

Mit stellt sich dann außerdem die Frage, was der Unterschied zwischen einem Wiederherstellungs-Agent hizufügen und erstellen ist?

bearbeitet von Rotwilderer
Link zu diesem Kommentar
Rotwilderer Enthusiast

Rotwilderer   10

Geschrieben
  • Autor
Geschrieben

Ich habe jetzt noch mal ein bisschen selbst rumprobiert und mit ist aufgefallen, dass die Schlüssel für die angeforderten Zertifikate nicht archiviert werden, obwohl ich die Schlüsselarchvierung aktiviert habe (KRA eingerichtet, Zertfikat wird als "Gültig" angezeigt).

In den Vorlagen habe ich ebenfalls die Haken "Privaten Schlüssel für die Verschlüsselung archivieren" und "Erweiterten symmetrischen Algorythmus zum senden des Schlüssels an die Zertifierungsstelle verwenden" gesetzt.

In der Ansicht "Ausgestellte Zertifikate" erscheint bei den aus den oben genannten Vorlagen erstellten Zertifikaten in der Spalte "Archivierter Schlüssel" kein Eintrag.

 

Vielleicht ist das auch die Ursache, warum die Verschlüsselung nicht funktioniert.

 

Weiß hier jemand woran das liegen kann?

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.785

Geschrieben
Geschrieben

Moin,

 

die Fehlermeldung besagt ja, dass es keine Zertifikatsvorlage für den Recovery Agent gibt. Deiner Beschreibung entnehme ich, dass du dass evtl. auch gar nicht eingerichtet hast. Der KRA und der RA in EFS sind zwei unterschiedliche Dinge.

 

Hast du also eine Zertifikatsvorlage für den EFS-Recovery-Agenten angelegt und passend berechtigt?

 

Gruß, Nils

Link zu diesem Kommentar
Rotwilderer Enthusiast

Rotwilderer   10

Geschrieben
  • Autor
Geschrieben

Ja, einen Key Recovery Agent habe ich aus der Vorlage "Key Recovery Agent" erstellt, d.h. der Dom-Admin hat das Zertifikat angefordert und ich habe diesen User in der Gruppenrichtlinie unter Computerkonfiguration => Richtlinien => Windows Einstellungen => Sicherheitseinstellungen => Richlinien für öffentliche Schlüssel => "Verschlüsselndes Dateisystem" "Datenwiederherstellungs Agent hinzufügen" hinzugefügt und das entsprechende Zertifikat ausgewählt. (Siehe Oben). Wenn der selbe User allerdings verucht unter dem gleichen Pfad die Option "Datenwiederherstellungs Agent erstellen" anwähle, dann bekommte ich di oben genannte Fehlermeldung.

Wo liegt denn eingentlich der Unterschied zwischen erstellen und hinzufügen?

Link zu diesem Kommentar
NilsK Grand Master

NilsK   2.785

Geschrieben
Geschrieben

Moin,

 

du brauchst dafür nicht den Key Recovery Agent. Das ist ja das, was ich dir zu sagen versuche. Der KRA ist für die PKI selbst da. Du brauchst ein Zertifikat für den EFS-RA.

 

Normalerweise erzeugt man das manuell und hinterlegt es dann in der Gruppenrichtlinie.

 

https://technet.microsoft.com/en-us/library/cc962113.aspx

 

https://technet.microsoft.com/en-us/library/cc512680.aspx

 

http://www.serverhowto.de/EFS-Recovery-oder-Vorsorge-ist-alles.632.0.html

 

Gruß, Nils

Link zu diesem Kommentar
Rotwilderer Enthusiast

Rotwilderer   10

Geschrieben
  • Autor
Geschrieben

Moin,

 

du brauchst dafür nicht den Key Recovery Agent. Das ist ja das, was ich dir zu sagen versuche. Der KRA ist für die PKI selbst da. Du brauchst ein Zertifikat für den EFS-RA.

 

Ich meinte natürlich EFs Recovery Agent. Habe ich woh in der Aufregung durcheinander gebracht. :)

 

Wie dem auch sei, ich habe mir die von dir geposteten Artikel druchgelesen. Dort ist beschrieben, dass der erste Dom-Admin der die Domäne erstellt hat, das EFS-RA Zertifikat automatisch erstellt bekommt.

Da ich die Domäne von meinem Vorgänger geerbt habe kann ich nicht mit gewissheit sagen, welcher User das ist. Ich habe auf jeden Fall bei allen in frage kommenden Accounts die Zertifikatsspeicher auf dem ersten DC durchsucht, habe aber kein Zertifikat gefunden.

Funktioniert das ganze denn noch wenn ich diesen Schlüssel bzw. das Zertifikat nicht mehr habe?

 

 

Normalerweise erzeugt man das manuell und hinterlegt es dann in der Gruppenrichtlinie.

 

Ich habe das entsprechende EFS-RA Zertifikat angefordert und exportiert, es dann inder Gruppenrichtlinie direkt importiert.

Es wird der Account mit dem Zertifikat auf angezeigt. Ich erhalte beim Verschlüsseln aber immer noch die Meldung: Falscher Parameter!

Link zu diesem Kommentar
  • Beste Lösung
Rotwilderer Enthusiast

Rotwilderer   10

Geschrieben
  • Autor
  • Beste Lösung
Geschrieben

So, ich habe das Problem gelöst: Es lag an der Kryptographie, ich habe den falschen Algrorythmus ausgewählt.

Standardmäßig wird bei der Erstellung der Zertfikatsvorlage immer der RSA Algorythmus eingestellt, es wird aber für EFS eine ECC Kryptographie gefordert:

https://technet.microsoft.com/de-de/library/dd630631%28v=ws.10%29.aspx

 

Drauf gekommen bin ich über folgenden Beitrag:

 

http://www.journeyofthegeek.com/?p=137

 

Am Ende dieses Artikels stand der entscheidene Hinweis.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...