Alles zum Thema Windows Server sowie Windows IT Pro Themen — Q & A zu den Windows Server Versionen NT / 2000 / 2003 / 2003 R2 / 2008 / 2008 R2: Rollen, Features, Konfiguration, Troubleshooting
wir haben für einen unserer Kunden eine Migration von SBS 2003 auf SBS 2008 durchgeführt. Nachdem Eschange aus der Organisation entfern und der alte SBS 2003 heruntergestuft wurde, hat sich herausgestellt, dass der Kunde einige verschlüsselte Dateien besitzt. Der Benutzer hat in seinem lokalen Zertifikatsspeicher ein entsprechendes EFS Zertifikat. Dennoch kann der User nicht mehr auf die Dateien zugreifen oder auch entschlüsseln. Bis dato wurde die Zertifizierungsstelle vom SBS nicht genutzt oder auch eingerichtet. Die Domain ist identisch bzw. per Migration übernommen worden.
Kennt jemand eine Lösung oder eine Ursache? Das PAsswort wurde nicht geändert.
EFS verschlüsselt Daten auf Netzlaufwerken "neu", d.h. diese werden beim Transport vom CLient zum Server entschlüsselt übertragen und auf dem Server neu verschlüsselt. Hierzu wird auf dem Server für jeden Benutzer ein eigenes Verzeichnis angelegt, in dem das Schlüsselmaterial liegt.
Dieses Schlüsselmaterial ist bei der Migration nicht übernommen worden, daher können die Daten nicht entschlüsselt werden.
Habt Ihr das Zertifikat des Data Recovery Agents vor der Migration gesichert (erster Administrato der Domäne, liegtim Profil des Administrators)? Falls ja, könntet Ihr die Daten damit entschlüsseln.
der Kunde hat keine Info's vorab gegeben, dass Dateien verschlüsselt wurden. Wir haben den gesamten Datenbestand mit File Migration Tool von MS übernommen. Erst als einige Dateien nicht mehr vorhanden waren, habe wir uns auf die Suche gemacht. Die Zertifikate wurde nicht migriert oder aber gesichert.
Gibt es eine Erklärung für den nun fehlerhaften Zugriff? Wir haben gesehen, dass die alte Zertifizierungsstelle ja auf dem SBS2003 aktiv war, nun auf dem SBS2008 eine neue existiert. Sollte die alte Zertifizierungsstelle intakt sein? Leider ist der alte SBS 2003 komplett abgeschalten, da komplett migriert.
das Problem hat nichts mit der PKI als solches zu tun. Die Dateien wurden mit einem bestimmten File Encryption Key (FEK) gesichert und die nun fehlenden Zertifikate zum Entschlüsseln dieses FEK stehen nun nicht mehr zur Verfügung. Denn diese liegen / lagen auf dem 2003er SBS.
Ich hatte eigentlich im Hinterkopf, daß das File Server Migration Tool darauf hinweist, aber da kann ich mich auch irren.
Habt Ihr den alten DRA bzw. dessen Zertifikat + privaten Schlüssel vielleicht gesichert?
Ich habe den Kunden gefragt, dieser hat eine Sicherung Veritas Backup Exec 11.0 vom kompletten Systembereich und dem Datenbereich.
Punkt 1 wäre die Sicherung der Daten, fließen diese verschlüsselt ins Backup? Der Administrator in der Domäne wurde als Dienstkonto hinterlegt.
Punkt 2 wäre die Frage nach dem Herstellen des Administratoprofiles zwecks des Zertifikates. Muss dabei der gesamte "alte" Server" lauffähig sein, damit ich das Zertifikat erhalte oder kann im lokalen Profil certmgr.msc das Zertifikat exportieren? Derzeit sehe ich unter dem Domainadmin das Zertifikat mit dem Fingerprint der verschlüsselten Datei. Ich kann das Zertifikat exportieren ABER ohne privaten Schlüssel, höchstwahrscheinlich weil die Zertifizierungsstelle durch die Migration in der Domain ausgetauscht wurde, der SBS200 server hieß und der SBS2008 als Namen server01 trägt.
zu Punkt 1:
Ja, die Daten fließen verschlüsselt in das Backup. Das ist der Sinn von Dateiverschlüsselun.
zu Punkt 2:
Ich möchte noch einmal anmerken, daß das konkrete Problem rein gar nichts mit der installierten oder deinstallierten CA zu tun hat. Es geht um schon vorhandene Zertifikate, nicht um neu auszustellende oder abgelaufene Zertifikate.
Handelt es sich bei dem "neuen" Administrator um den selben Administrator der alten SBS Domäne (also wurde das Upgrade in der selben SBS Domäne durchgeführt) oder ist es ein neuer Forest?
In ersterem Fall könntest Du mit der Rücksicherung des Profils zum Administrator Glück haben (gleiches Kennwort benötigt wie vor der Migration). D.h. Du überschreibst das aktuelle Profil mit dem alten Profil inkl. aller untergeordneter Daten.
In letzterem Fall denke ich, daß es mit der Rücksicherung des Profils nicht so einfach klappen würde, da sich die SID des Benutzers unterscheidet.
In diesem Fall gibt es darauf spezialisierte Datenretter, die bei vorhandenem Profil des Administrators und bekanntem Kennwort die Schlüssel des DRA aus dem Profil extrahieren können und damit den privaten Schlüssel wieder verfügbar machen können.
die Migration ist nach Anleitung von Microsoft. SBS Migrationsfile erstellt, SBS2008 in bestehende Domain installiert, wobei im Setup autom. alle FSMO Rollen auf den SBS2008 verschoben werden. Ebenfalls bleibt die Exchange Struktur erhalten. Dann Postfächer verschoben, Exchange 2003 aus Exchange Organisation deinstalliert und SBS2003 per dcpromo aus Domain entfernt. Somit ist keine Änderung an der Domain oder an den Arbeitsstationen erforderlich, auch der Administrator nebst Passwort ist identisch wie vor der Migration.
ok, dann versuche das alte Profil "über" das neue Profil des Administrators zurückzusichern. Vorher natürlich das neue Profil sichern, nur für den Fall der Fälle.
Reicht dabei das Zurückkopieren des Profiles unter C:\dokumente und Einstellungen .. oder muss der Server inkl. Zertifizierungsstelle erst funktionstüchtig sein, um das Zertifikat zu sichern?
Ich habe dieses Vorgang leider noch nicht durchgeführt
das Profil sollte ausreichen, aber da die Profile sich von XP/2003 zu Vista/2008 verändert haben solltest du das Profil besser auf einem XP/2003-Rechner wiederherstellen. Dort einmal als Dom-Admin anmelden und dann das Profil mit dem Profil aus dem Backup überschreiben. Danach sollte es mit dem entschlüsseln klappen (oder auch mit dem Export des Zertifikates).
